Cuáles son los principales componentes que permiten la sistematización interna de la

empresa?

Una estructura o sistema de control interno es una amalgama de las políticas y procedimientos
que implementa una pequeña empresa para garantizar que se logre cada uno de sus objetivos.
Asegura que cada empleado siga las directivas implementadas por el equipo de alta gerencia.
También asegura que todos los estados financieros sean precisos. Además, una estructura de
control interno asegura que la organización siga cumpliendo con las leyes u otras regulaciones
legales que controlan la industria. El Comité de Organizaciones Patrocinadoras de la Comisión
Treadway reconoce cinco componentes esenciales de este sistema: el ambiente de control,
evaluación de riesgos, actividades de control, información y comunicación y monitoreo.

Sistema de control:

El entorno de control, también llamado entorno de control interno, se refiere al valor que el
equipo de alta dirección de una pequeña empresa atribuye a la importancia de la función de
auditoría y gestión de riesgos para la empresa. Además, este componente aborda los métodos
y el estilo en que se implementan las iniciativas de control interno. Algunas organizaciones, por
ejemplo, mantienen un entorno de control increíblemente laxo en el que pocas políticas se
ponen en práctica y los empleados gozan de libertad. Este es a menudo el caso en las
industrias no reguladas. En industrias fuertemente reguladas, como los servicios financieros, el
entorno de control a menudo es increíblemente formal. Varios departamentos, incluidos los
legales, el cumplimiento y los recursos humanos, hacen cumplir muchas pautas para minimizar
los riesgos legales y financieros para la empresa.

Evaluación de riesgos

El componente de la evaluación de riesgos son las acciones tomadas por una pequeña
empresa para determinar cualquier situación que pueda representar un riesgo legal o
financiero para la empresa. Por ejemplo, un equipo de profesionales del derecho puede
auditar los registros de empleo de una empresa para garantizar que todos los archivos
cumplan con las políticas de la Comisión de Igualdad de Oportunidades en el Empleo de los
Estados Unidos. Del mismo modo, un contador puede auditar los registros financieros del
negocio para asegurarse de que todas las prácticas contables sean sólidas.

Actividades de control

El componente de actividades de control describe cada política, procedimiento y mejor

práctica que una pequeña empresa pone en práctica para minimizar el riesgo. Por ejemplo, la
alta gerencia de la empresa puede exigir que un contador externo revise los libros de la
organización anualmente para garantizar que el equipo contable interno se desempeñe de
manera efectiva. Del mismo modo, una empresa puede crear una política que establezca que
toda la correspondencia saliente debe ser revisada por el departamento legal antes de la
entrega.

Información y comunicación

La información y la comunicación son los métodos utilizados para capacitar a la población de

empleados en las actividades de control. Una pequeña empresa puede implementar este
componente de varias maneras. Algunas actividades de control se pueden detallar en un
manual para empleados. Alternativamente, el departamento de recursos humanos puede
impartir capacitación en el aula a los trabajadores, educándolos sobre todas las políticas de
gestión de riesgos.

Supervisión

El componente de monitoreo de la estructura de control interno describe las prácticas de una

pequeña empresa de auto-auditoría de sus sistemas de gestión de riesgos, asegurando que
todos los empleados cumplan con las políticas internas. Esto se puede llevar a cabo de varias
maneras. Se puede crear un departamento de cumplimiento interno específicamente para
auditar la organización. Alternativamente, la compañía puede contratar los servicios de una
firma de auditoría externa, como KPMG o Deloitte, para proporcionar una evaluación
independiente del éxito del control interno de la organización.

3. Cuáles son los mecanismos que facilitan y promueven la interacción entre usuarios.

Se consideran como características de las TIC’s:

1. Interactividad: Las TIC’s que utilizamos en la comunicación social son cada día más
interactivas, es decir:

Permiten la interacción de sus usuarios.

Posibilitan que dejemos de ser espectadores pasivos, para actuar como participantes.

2.Instantaneidad: Se refiere a la posibilidad de recibir información en buenas condiciones

técnicas en un espacio de tiempo muy reducido, casi de manera instantánea.

3. Interconexión: De la misma forma, casi que instantáneamente, podemos acceder a muchos

bancos de datos situados a kilómetros de distancia física, podemos visitar muchos sitios o ver y
hablar con personas que estén al otro lado del planeta, gracias a la interconexión de las
tecnologías de imagen y sonido.

4. Digitalización: La característica de la digitalización hace referencia a la transformación de la

informaciónn analógica en códigos numéricos, lo que favorece la transmisión de diversos tipos
de información por un mismo canal, como son las redes digitales de servicios integrados. Esas
redes permiten la transmisión de videoconferencias o programas de radio y televisión por una
misma red.

5. Diversidad: Otra característica es la diversidad de esas tecnologías que permiten

desempeñar diversas funciones. Un videodisco transmite informaciones por medio de
imágenes y textos y la videoconferencia puede dar espacio para la interacción entre los
usuarios.

6. Colaboración: Cuando nos referimos a las TIC como tecnologías colaborativas, es por el
hecho de que posibilitan el trabajo en equipo, es decir, varias personas en distintos roles
pueden trabajar para lograr la consecución de una determinada meta común. La tecnología en
sí misma no es colaborativa, sino que la acción de las personas puede tornarla, o no,
colaborativa. De esa forma, trabajar con las TIC no implica, necesariamente, trabajar de forma
interactiva y colaborativa. Para eso hay que trabajar intencionalmente con la finalidad de
ampliar la comprensión de los participantes sobre el mundo en que vivimos. Hay que estimular
constantemente a los participantes a aportar no sólo información, sino también relacionar,
posicionarse, expresarse, o sea, crear su saber personal, crear conocimiento.

7. Penetración en todos los sectores: Por todas esas características las TIC penetran en todos
los sectores sociales, sean los culturales, económicos o industriales. Afectan al modo de
producción, distribución y consumo de los bienes materiales, culturales y sociales. [1].

Gráficamente, podemos apreciar las características de las TICs de la siguiente manera:

Con los beneficios que nos brindan las nuevas posibilidades de conectividad, emergen también
una serie de nuevos riesgos. Muchas empresas son amenazadas en sus activos, y más aún
cuando el activo más importante es la información. El deterioro de ésta puede representa
millones de dólares en pérdidas en el mundo de los negocios. Las vulnerabilidades2 en los
sistemas de información pueden traer graves problemas. Cada vez las redes están expuestas a
virus informáticos, spam, código malicioso, hackers y crakers que penetran los sistemas de
seguridad. Los elementos que la seguridad (ver Fig. 1) de la información busca proteger son:

• La información

• Los equipos que la soportan

• Las personas que la utilizan

Entramado

Vol.2 No. 1, 2006 (Enero - Junio)

© Unilibre Cali

88

El primero de los tres principios de la seguridad de la información que aplicamos es la

integridad, la cual nos permite garantizar que la información no ha sido alterada en su
contenido, por tanto, es íntegra.
El principio de la confidencialidad de la información tiene como propósito el asegurar que sólo
la persona correcta acceda a la información que queremos distribuir.

Una vez que nos aseguramos que la información correcta llegue a los destinatarios o usuarios
correctos, ahora lo que debemos garantizar es que llegue en el momento oportuno, y
precisamente de esto trata el tercer principio de la seguridad de la información: la
disponibilidad. Para que una información se pueda utilizar, deberá estar disponible.

Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el
manejo de la información de forma segura, ya que de nada sirve cualquier sistema de
seguridad, por complejo y completo que este sea, si los empleados, por ejemplo, facilitan su
usuario y contraseña a personas ajenas a la empresa y con esto dejan abierta la puerta a
posibles ataques o filtraciones de información crítica al exterior de la compañía.

Es importante tener claro cuáles son los tipos de amenazas más comunes a las cuales están
expuestas las empresas hoy en día. La Tabla 1 hace un resumen en este sentido.

El análisis y evaluación de riesgos permite a las compañías tener una visión más clara sobre sus
vulnerabilidades y de los esfuerzos que deben hacer para mejorar.

En el mundo de las certificaciones de calidad y en el cumplimiento de estándares

internacionales que permitan acceder a nuevos mercados o se brinden nuevos valores
agregados que marquen una diferenciación o ventaja competitiva, las políticas definen la
forma de hacer las cosas, el mejoramiento de los procesos. Reconocer las limitaciones y
restricciones de la tecnología es un buen paso para entender la importancia de las políticas. En
este sentido podemos definir la política como un instrumento gerencial que traza una
dirección predeterminada describiendo la manera de manejar un problema o situación. Las
políticas son planteamientos de alto nivel que transmiten a los colaboradores de la empresa la
orientación que necesitan para tomar decisiones presentes y futuras.

Las políticas son requisitos generalizados que deben ser escritos en papel y comunicados a
ciertos grupos de personas dentro y en algunos casos fuera de la organización. Figura 1: Los
elementos de la seguridad

Entramado

89

Vol.2 No. 1, 2006 (Enero - Junio)

Dussan, C

Tipos de Amenazas

Ejemplos

Suplantación

Alteración

Repudio

Divulgación de información

Denegación de servicio
Elevación de privilegios

• Falsificar mensajes de correo electrónico

• Reproducir paquetes de autenticación

• Alterar datos durante la transmisión

• Cambiar datos en archivos

• Eliminar un archivo esencial y denegar este hecho

• Adquirir un producto y negar posteriormente que se ha adquirido

• Exponer la información en mensajes de error

• Exponer el código de los sitios Web

• Inundar una red con paquetes de sincronización

• Inundar una red con paquetes ICMP falsificados

• Explotar la saturación de un búfer para obtener privilegios en el sistema

• Obtener privilegios de administrador de forma ilegítima

Aunque las políticas de seguridad informática varían de una organización a otra, un típico
documento de este tipo incluye una exposición de motivos, la descripción de las personas a
quienes van dirigidas las políticas, el historial de las modificaciones efectuadas, unas cuantas
definiciones de términos especiales y las instrucciones gerenciales especificas sobre el
tratamiento de las políticas. Estas son obligatorias y pueden considerarse a una ley propia
dentro de la organización.

Una política de seguridad son un conjunto de directrices, normas, procedimientos

instrucciones que guía las instrucciones de trabajo y definen los criterios de seguridad para que
sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y
normalizar la seguridad tanto en el ámbito humano como tecnológico.

Áreas de normalización de las políticas de seguridad

• Tecnológica: Se refiere a los esfuerzos que se deben realizar para el buen funcionamiento de
la plataforma de hardware, software y telecomunicaciones. Servidores, estaciones de trabajo,
sistemas operativos, bases de datos, acceso a Internet etc. Algunas personas relacionan
directamente los problemas de seguridad con el área tecnológica pero es importante hacer
relevancia que se parte de la ética profesional y la buena conducta de los usuarios.

• Humana: En definitiva todos se convierten en usuarios los proveedores, clientes, empleados

etc. y para ellos se enfocan los recursos y esfuerzos. Este aspecto va muy ligado a la cultura
organizacional y cómo se integran en sus actividades diarias aspectos como la ética, la
responsabilidad, capacitación y mejoramiento continuo.

Elaboración de la política

Para elaborar una política de seguridad de la información es importante tomar en cuenta las
exigencias básicas y las etapas necesarias para su producción. Tabla 1: Amenazas al sistema de
informática de la empresas
 1- Que mecanismos permiten proteger la confidencialidad, integridad y disponibilidad
de recursos (Reconociendo el riesgo informático, y ahondando en los aspectos de:

a) Concepto de Control b) Elementos de Administración c) Matriz, Mitigación y

Valoración d) Planes de contingencia.

Entramado Vol.2 No. 1, 2006 (Enero - Junio)

© Unilibre Cali

90

1. Exigencias de la Política: La política es elaborada tomando como base la cultura de la

organización y el conocimiento especializado en seguridad de los profesionales involucrados
con su aplicación y comprometimiento. Es importante considerar que para la elaboración de
una política de seguridad institucional se debe:

a. Integrar el comité de seguridad responsable de definir la política (equipo multidisciplinario)

b. Elaborar el documento final (preocupaciones de la administración, atribución de las

responsabilidades de las personas involucradas, legislación y cláusulas contractuales,
prevención contra amenazas, educación y formación en seguridad de la información.)

c. Hacer oficial la política una vez que se tenga definida (aprobación por parte de la
administración, mecanismos de comunicación efectiva a socios, empleados, proveedores y
clientes de la empresa).

2. Etapas de producción de la política: Elaborar una política es un proceso que exige tiempo e
información. Es necesario saber cómo se estructura la organización y cómo son dirigidos en la
actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad
existente para poder después detectar los puntos a analizar para que esté en conformidad con
los estándares de seguridad.

El trabajo de producción se compone por distintas etapas, entre otras:

a. Objetivos y ámbito (presentación del tema de la norma en relación con sus propósitos y
contenidos)

b. Entrevista (identificar junto con los usuarios las preocupaciones que ellos tienen con los
activos, los procesos de negocio)

c. Investigación y análisis de documentos (se identifican y analizan los documentos existentes

en la organización)

d. Reunión de política (se discuten los temas y se redactan las políticas)

e. Glosario de la política (aclaración de dudas conceptuales alrededor de la política)

f. Responsabilidades y penalidades (identificar a los responsables por la gestión de la seguridad

y cumplimiento de tareas)
Documentos de una

política de seguridad

Un modelo propuesto según la norma ISO 17799 la cual recomienda la aplicación de

estándares encaminados a la seguridad informática plantea tres grandes secciones:

• Las directrices son un conjunto de reglas generales de nivel estratégico donde se expresan
los valores de la seguridad de la organización. Es propuesta por el líder empresarial de la