Organización y División de las responsabilidades

La manera de organizar las actividades de un centro de cómputo incluye aspectos que afectan
la seguridad en computación; éstos son:

División de responsabilidades

Dentro de cualquier empresa, la división de responsabilidades permite lograr la revisión y los

balances sobre la calidad del trabajo. Dentro del contexto de computación hay varios recursos
que mejoran la calidad del control de la dirección y, con ello, la seguridad; estos recursos con
sus restricciones correspondientes son los siguientes:

 El personal que prepara los datos no debe tener acceso a las actividades de operación.
 Los analistas de sistemas y los programadores no deben tener acceso a
 las actividades de operación y viceversa.
 Los operadores no deben tener acceso irrestricto a las funciones de protección de
información o departamentos donde se localicen los archivos maestros.
 Los operadores no deben tener los controles únicos del procesamiento del trabajo y se
les debe prohibir que inicien las correcciones de los errores.

El grado de división entre las diferentes funciones depende del nivel de seguridad que la
instalación requiera. Los elementos clave de este criterio constituyen funciones claramente
definidas y autónomas.

En el contexto de las actividades de computación, estas funciones clave son:

 Desarrollo de los sistemas.

 Programación
 Mantenimiento de programas.
 Preparación de los datos.
 Operaciones centrales y remotas.
 Control.
 Preservación de los archivos.

Las divisiones de trabajo también se deben aplicar a los procedimientos del usuario. Esto se
realiza tradicionalmente en el nivel de aplicación. Con frecuencia, dentro del departamento; de
computación, se produce una fuerte resistencia contra el establecimiento una aplicación de
una división efectiva de las responsabilidades sobre la base de los procedimientos, pues se
considera que inhiben y obstaculizan la eficiencia general.

Las medidas de seguridad reducirán la flexibilidad en el trabajo pero mediante el diseño

meticuloso, no se afectara la eficiencia. Muchas veces no se consulta con el personal afectado
cuando se diseñan las divisiones del trabajo. En consecuencia, las personas no se
comprometen con las medidas y se puede propiciar que se sientan muy desmotivadas. Esta
situación genera un aumento de riesgo en la seguridad, lo que se puede evitar fácilmente
mediante la reflexión previa.

Los dos elementos clave que sirven de base para las dimisiones subsecuentes de
responsabilidad son las funciones de control y de archivo. Resulta conveniente que estas
funciones sean autónomas y se adscriban a la autoridad más alta que se pueda de preferencia
al director de la empresa.

Sistemas de control interno

La división de responsabilidades y los sistemas de verificación interna se combinan para formar
el sistema de control interno de una institución.

Los sistemas de verificación permiten las comprobaciones de evidencia que prueban que se
realiza la recolección de datos forma completa y precisa y que se trabaja de acuerdo con las
divisiones de responsabilidades y de jerarquía.

La verificación documentada de evidencias requiere que:

1. Las modificaciones de los programas se autoricen y prueben de forma adecuada,

2. Se documente de manera adecuada y progresiva los sistemas nuevos.

3. Los departamentos de origen documenten y verifiquen los datos de los archivos, tanto
registros nuevos como corregidos, contra impresos que sean editados en el cómputo.

4. Los datos de entrada se agrupen y revisen de acuerdo con datos aceptados para
procesamiento.

5. Se documenten los errores y se autoricen y comparen las correcciones de los mismos.

Los auditores internos y externos participan también en la verificación que hay en una
empresa para el control interno. Sus principales actividades son:

• Revisar la división responsabilidades y los procedimientos para garantizar que sean

correctos.

• Realizar pruebas que garanticen el cumplimiento de los procedimientos o sistemas de

control interno predeterminados.

Asignación de responsabilidades en cuanto a la seguridad

En Ja descripción de las labores es necesario que participen todos los departamentos, pues
resulta muy importante especificar sus responsabilidades. La seguridad es un área clave de
resultado o de acción.

Un factor crítico para el éxito de la seguridad es la gente. La organización y división de

responsabilidades también debe guio piarse en esta área. La organización que se establezca en
esta área se determinará por el tipo de persona que se encargará de las funciones de
seguridad. Las funciones más importantes son las siguientes:

Supervisor de seguridad. Se encarga de evaluar los riesgos y preparar los planes de seguridad,
así como supervisar los procesos de selección de productos y los procedimientos de evaluación
de las bitácoras de seguridad. También debe asistir en la definición de límites para determinar
una violación de seguridad, planes de segundan para el sistema de red y establecer el
programa de capacitación para su personal.

Oficial de seguridad. Evalúa los riesgos de segundad, dicta las acciones contra los intrusos
supervisa la seguridad en tiempo real, asi como el sistema de administración de la red. Además
ayuda en la selección de instrumentos, en la evaluación de las bitácoras de vigilancia, en la
elaboración de los planes de seguridad y en la administración de los pasaportes

Auditor de seguridad. Ayuda en la estimación de riesgos de seguridad, en el establecimiento

de límites para determinar una violación a la seguridad, en la definición de la relación correcta
de precauciones físicas y lógicas, además de evaluar las bitácoras de vigilancia, categorizar los
riesgos de seguridad, auxiliar en la selección de instrumentos y escribir los reportes de avance
de los planes de seguridad.

Analista de seguridad. Se encarga de definir las funciones de monitores y vigilancia, evaluar el

impacto de las técnicas de seguridad en el desempeño de la red y seleccionar los servicios del
área de seguridad. También debe recomendar instrumentos durante el proceso de selección
de los mismos, programar los instrumentos y establecer procedimientos para asegurar el
sistema de administración de la red.

Coordinador de seguridad de la red. Controla la configuración de la seguridad de la red las

autorizaciones de acceso a las aplicaciones. servicios. gateways, routers, bridges y firewalls de
la red; realiza el seguimiento del inventario y mantenimiento del directorio de la red.
administra los pasaportes locales y asiste en la toma de acciones contra los intrusos.

Sustitución del personal clave

Un elemento esencial para la seguridad en computación consiste en garantizar que todo el

personal clave tenga una sustitución adecuada. En la práctica no es posible asegurar la
sustitución de todo el personal, por lo que se necesita restringir en forma cuidadosa la
definición de personal clave. Se debe brindar atención especial a la evaluación de la
importancia del personal relacionado con la programación de las aplicaciones o sistemas de
carácter avanzado.

Con frecuencia se argumenta el costo cuando se plantea el problema de la sustitución muchas

instalaciones se ajustan basándose en que el personal no es adecuado. Asi» los niveles de
costo no contemplan la sustitución. Si la instalación requiere medidas de seguridad de alto
nivel» entonces los niveles de gastos deben contemplar la sustitución y el apoyo adecuado
para los puestos clave.