1.

CONTROLES

Dentro de la ingeniería de sistemas, un sistema de control es un conjunto de

dispositivos encargados de administrar, ordenar, dirigir o regular el
comportamiento de otro sistema, con el fin de reducir las probabilidades de fallo y
obtener los resultados deseados. Por lo general, se usan sistemas de control
industriales en procesos de producción industriales para controlar equipos
o máquinas.
Existen dos clases comunes de sistemas de control, sistemas de lazo abierto y
sistemas de lazo cerrado. En los sistemas de control de lazo abierto la salida se
genera dependiendo de la entrada; mientras que en los sistemas de lazo cerrado
la salida depende de las consideraciones y correcciones realizadas por
la retroalimentación. Un sistema de lazo cerrado es llamado también sistema de
control con realimentación. Los sistemas de control más modernos en ingeniería
automatizan procesos sobre la base de muchos parámetros y reciben el nombre
de controladores de automatización programables (PAC)

1.1 CONTROLES DE ENTRADA Y SALIDA

Controles en la entrada de datos

Procedimiento de control de entrada de datos

La mayoría de las transacciones de procesamiento electrónico de datos

comienza con procedimientos de entrada de datos. En términos generales,
cualquiera que sea el ambiente en que se procesan los datos, se hace
necesario efectuar el control de ingreso para asegurar que cada transacción
a ser procesada cumpla con los siguientes requisitos:

1- Se debe recibir y registrar con exactitud e íntegramente.

2- Se deben procesar solamente datos válidos y autorizados.

3- Se deben ingresar los datos una vez por cada transacción.

Los controles en el ingreso de datos son preventivos, pues tratan de evitar

la producción de errores exigiendo el ajuste de los datos introducidos a
patrones de formato y estructura (fecha valida, dato numérico, dato dentro
de un rango específico, introducción de dígitos de chequeo, etc.).

Las pantallas de captura de datos deben ser diseñadas de manera similar

consistente con los documentos fuente que son ingresados al sistema. El
orden de los campos, en la pantalla y el documento, deben ser iguales para
evitar errores de digitación. En el ingreso de los datos, la aplicación debe
tener adecuados mensajes de ayuda, con el fin de facilitar los ingresos de
estos y advertir sobre algún error cometido, indicando la clase de error.

Restringir el acceso de los usuarios a las diferentes opciones de la

aplicación, de tal forma que se definan los diferentes perfiles de acceso, de
acuerdo a las funciones de cada cargo, logrando con esto, disminuir el
riesgo de que personas no autorizadas puedan leer, modificar, adicionar,
eliminar datos o transacciones.

Verificar en cada pantalla de captura que los campos de los datos

importantes sea de obligatoria digitación.

En toda la aplicación, cada campo debe tener el formato de datos

apropiado: numérico, alfabético o alfanumérico y la cantidad adecuada de
caracteres.

Para los campos numéricos y campos fecha, implantar controles de limite o

racionabilidad, para asegurar que los datos estén dentro de un límite. Por
ejemplo: la fecha de vencimiento de un crédito debe ser posterior a la fecha
de apertura del mismo.

En la captura o modificación de datos críticos debe dejarse una pista de

auditoria (log) donde se identifique lo siguiente: nombre del usuario, fecha y
hora, valor del campo y donde se realizó la transacción.

Verificar que los log´s de la aplicación sean revisados por los responsables
para investigar accesos y manipulaciones no autorizadas.

Al ir ingresando los datos, el sistema debe ir comparando con los registros

de los archivos maestros para determinar la validez de los datos
ingresados, en caso de presentarse una inconsistencia, el sistema debe
avisar al usuario inmediatamente a fin de que la misma sea corregida.

De acuerdo con cada aplicación, en las pantallas de captura de documentos

fuente críticos y que tengan al menos una columna numérica, se debe
incluir el ingreso de totales de control, con el fin de verificar la correcta
digitación de cantidades. Los totales de control también se puede aplicar en
el ingreso de los lotes de documentos, ingresando para cada lote, él
número de documentos a ser procesados, con el fin de detectar
documentos faltantes por ingresar o documentos ingresados mas de una
vez.
La aplicación debe permitir imprimir listados de datos ingresados para que
estos sean revisados por los usuarios, con el propósito de verificar la
correcta inclusión de los datos.

La aplicación no debe permitir que los datos de los archivos maestros

después de haber tenido movimiento puedan ser borrados del sistema.

Los números de documentos fuente o él número del lote, no deben permitir

ser ingresados para el procesamiento más de una vez.

Es importante tener en cuenta que los anteriores controles se aplican no

solo cuando los datos se ingresan por primera vez, sino también, cuando ya
estos existen en el sistema y lo que se quiere es modificarlos.

En el ingreso de los datos, se puede presentar que estos sean rechazados

por el sistema; lo que la aplicación debe facilitar es el control sobre dicha
transacción rechazada, manteniendo en un archivo, las transacciones
rechazadas para que estas sean analizadas y corregidas por los usuarios.
Dentro del área de control de entrada de datos se localizan los siguientes
Puntos de Control

1- Transacciones en línea.

2- Usuario y operador.

3- Terminal o dispositivo de entrada de datos.

Punto de control: transacciones en línea .Los objetivos generales de este

punto de control se apoyan en la necesidad de:

1- Disponer de mecanismos de control que minimicen la exposición a

riesgos derivados de amenazas como las siguientes:

 ingreso de transacciones que no cumplan con lo establecido por las

regulaciones vigentes.
 ingreso de transacciones erróneas o incompletas.
 ajustes indebidos a transacciones.
 deterioros o degradación a la base de datos.
 carencia de pistas de auditoría.

2- Asegurar la continuidad de las actividades mediante vías alternativas de

entrada de datos.

Los objetivos generales mencionados más arriba deben traducirse en

objetivos específicos. Los mismos se indican a continuación
1- Asegurar la exactitud, razonabilidad y legalidad de las transacciones en
línea.

2- Asegurar la consistencia de los datos de las transacciones. Verificar las

aplicaciones de mecanismos adecuados de control de validación de datos
de las transacciones, en cuanto a estructura, integridad, rango, fecha de
ocurrencia.

3- Cerciorar que sólo transacciones aprobadas sean admitidas en las

operaciones en línea.

4- Asegurar que no exista la posibilidad de perder la transmisión de

transacciones.

5- Asegurar la eficacia de los mecanismos de detección de errores y de

prácticas de corrección de los mismos.

6- Asegurar que los mecanismos de transacciones en línea provean de

pistas de auditoría para pruebas posteriores y que los mismos sirvan como
medio de evidencia ante requerimientos legales o regulatorios.

7- Minimizar el riesgo de que se produzcan interrupciones durante la

transmisión de transacciones.

Las técnicas de control aplicables a estos objetivos son:

1- Identificar y registrar todos los tipos de transacciones aceptadas por el

sistema

2- Identificar y registrar a los operadores autorizados para ingresar las

transacciones aprobadas.

3- desplegar en pantalla formatos específicos para orientar al operador

acerca de los datos que debe ingresar en cuanto a dimensión, secuencia,
rango o limites dentro de los cuales se deben mantener los valores a
ingresar.

4- Exhibir rangos de validez de los datos, de manera que sirvan de

orientación también al operador.

5- Aplicar diálogos interactivos de control.

6- Controlar la presencia de anomalías estructurales de datos.

7- Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, día

superior a 31.
8- En el caso de procesamiento en linea, modalidad en lote, puede crearse
un archivo de datos de entrada sin verificarlos en una primera instancia.

9- En el caso de procesamiento en línea, modalidad de tiempo real, la

verificación de datos de entrada que acceden al azar, puede efectuarse por
medio de una simulación de procesamiento en lote.

10- Efectuar previsiones de control en los procedimientos de transacciones

trasmitidas en línea, bajo la modalidad en lote.

Por ejemplo:

Determinar una cantidad fija de transacciones a ser procesadas en lotes y

conciliar la sumatoria de los valores de determinados campos con totales de
esos mismos campos obtenidos por separado y registrados por fuera del
sistema.

11- Mantener un conteo de transacciones ingresadas para conciliar el total

de la cantidad de estas con un total obtenido por vía separada. Aplicar un
criterio similar para el caso de procesamiento en línea, en el que se refiere
a cantidad de lotes ingresados.

12- Establecer procedimientos específicos para administrar la corrección

de errores detectados en el ingreso de datos y para asegurar su ingreso al
proceso. Mantener registros de datos rechazados que están pendientes de
corrección, e informar sobre los mismos a un tercero.

13- Suministrar pistas de auditoría de actividad.

Por ejemplo mantener al final de cada archivo importes de control.

14- Mantener en las terminales log’s que sirvan como pistas de auditoría
para posibilitar la reconstrucción de transacciones desde todas las
estaciones de usuarios.

15- Mantener registros de mensajes enviados y recibidos, identificados en

un número de serie.

16- Prever la formulación de informes gerenciales diarios sobre tipos de

transacciones desarrolladas, que incluyan totales de importes de
determinados campos.

17- Mantener continuidad en el procedimiento en línea mediante la posible

utilización de vías alternativas de procesamiento, de manera que se recurra
a otra terminal en caso de in-operatividad de alguna de ellas, de no ser
posible esta solución, prever mecanismos manuales o alternativas que
incluyan el almacenamiento de transacciones durante el procesamiento de
emergencia, la generación de pistas de auditoría respecto de esas
transacciones y la consiguiente incorporación de las mismas al reiniciarse la
transmisión normal a la base de datos.

18- Verificar que en las transacciones contables los débitos balanceen con
los créditos.

19- Prever la efectivización de un profundo entrenamiento por parte de los

usuarios y operadores de los sistemas en línea y en tiempo real, asegurar
que los programas de entrenamiento no afecten los archivos de operación
normal.

PUNTO DE CONTROL: OPERADOR DE ENTRADA DE DATOS.

Los objetivos generales de este punto de control se apoyan en la necesidad

de:

a) Minimizar la posibilidad de que se cometan errores humanos durante la

transmisión de entrada de datos.

b) Asegurar q las funciones que ejecutan los operadores de datos sobre

áreas reservadas se ajustan a las políticas y prácticas de control de la
organización.

Los objetivos específicos:

a) Restringir la posibilidad de ingresos de datos, consulta y actualización de

archivos a personas exclusivamente autorizadas e identificadas.

b) Desactivas la terminal desde la que se hayan intentado, frecuentemente,

accesos no autorizados o erróneos, o bien, aquella que haya estado un
determinado tiempo inactiva.

c) Mantener registros de los cambios efectuados en las autorizaciones de

accesos.

d) Asegurar el mantenimiento confidencial de las claves de encriptación de

datos o mensajes; hacer lo mismo con las contraseñas

Técnicas de control aplicables a los objetos

a) Facilitar y simplificar la tarea del operador.

b) Utilizar opciones limitadas entre las posibles de un menú conforme a las
autorizaciones otorgadas a cada usuario por medio de tablas, entregar a
cada usuario una contraseña basada en algún favor.

c) Introducir el software rutinas del bloqueo que solo pueda ser des
afectadas por medio de contraseñas autorizadas.

d) Desactivar terminales después de tres intentos fallidos de ingreso de

datos, mantener registros internos frustrados.

e) Disponer de procedimientos específicos de seguridad en el caso en que

se restauren operaciones ocurridas luego de un periodo de inactividad por
fallas de una terminal.

f) Efectuar control de duplicación.

PUNTO DE CONTROL: TERMINAL

Objetivos generales:

a) Asegurar, por medio de operadores autorizados y desde lugares

autorizados.

b) Asegurar la continuidad de los negocios (procesamiento de

transacciones), aun en el caso de que se produzcan fallas en el sistema.

c) Mantener la confidencialidad y privacidad de los datos agrupados y

transmitidos para su procesamiento dentro de un ambiente protegido.

Objetivos específicos:

a) Resguardar físicamente el área destinada a terminales.

b) Asegurar el dispositivo de entrada de datos pueda ser identificado.

c) Asegurar que antes de efectuar una conexión e iniciar una sesión de

transmisión de datos, se verifique que la respectiva terminal sea autentica.

d) Asegurar la autenticidad y legitimidad del operador/usuario

e) Verificar que los usuarios opere en una terminal que envié y reciba
transacciones que están dentro de los límites de su autorización.

f) Asegurar que la terminal, por medio del software de la computadora

central, tenga la capacidad de aceptar o rechazar transacciones en
conformidad con las reglas establecidas.
g) Evitar la exposición de códigos de encriptación.

h) Minimizar el riesgo de infidencias delimitado que es lo que cada operador

puede hace y observar.

i) Evitar que persona extrañas quieran obtener conocimiento de información

confidencial.

Técnicas de control aplicables:

a) utilizar el software establecido.

b) Separar técnicamente las terminales de uso general.

c) Delimitar los menús

d) Evitar personas ajenas al operador autorizado.

e) Registrar los datos a transmitir.

f) Establecer procedimientos alternativos en caso de cualquier anomalía.

g) Establecer límites de tiempo para el mantenimiento.

h) Asignar llaves funcionales especiales a los usuarios.

i) Utilizar cables blindados.

j) Que solo la únicamente una persona autorizada sea quien cambie los
códigos de encriptación.

k) Verificar si todas las terminales quedan afuera de servicio al finalizar la

jornada laboral.

PROCEDIMIENTOS PARA EL CONTROL DE LAS SALIDAS

La información de salida de un procesamiento computarizado se refleja en

listados o tabulados impresos en papel o formularios continuos.

A continuación se explicaran algunos de los controles de salida más

habituales.

1. Custodia del formulario crítico o negociable

Los formularios en blanco que serán destinados para ser impresos por
computadora deben estar protegidos adecuadamente contra robos o daños.
También deberán mantenerse adecuados registros sobre la existencia y
uso de los mismos, y cumplirse con planes de recuentos físicos periódicos
2. Conciliación entre formularios salidos del inventario y aquellos
procesados (impresos)

Una persona ajena a quien genere la impresión deberá conciliar y

fundamentar las razones de las diferencias por errores de impresión,
mutilaciones, etc.

3. Conciliación de importes totales contenidos en las salidas

El encargado de Mesa de Control o de la sección Control de Datos deberá

conciliar los importes totales de salida con los respectivos importes totales
de datos de entrada. Al auditor de sistemas tendrá que verificar si en el
diseño del sistema la existencia de pistas de auditoria permitirá el rastreo
del procesamiento de las transacciones en caso de ausencia de balanceo.

4. Control de distribución y verificación de recepción

El control de distribución obedece a la necesidad de mantener la

confidencialidad de la información reservada. Debido a que actualmente la
mayoría del procesamiento de información pasa por procesos
computarizados.

5. Tiempo de retención de informes

La política de retención deberá determinar los tiempos fijados desde el

punto de vista legal y desde la normativa interna de la empresa.

6. Información de salida para corrección de errores

Los programas prevén métodos de detención de errores, en estos casos,

los errores se imprimen en un listado o bien se muestran por pantalla pero
lo realmente importante es verificar que los mismos queden registrados en
almacenamiento transitorio hasta tanto se verifique su corrección y
reingreso al proceso. El auditor revisara el procedimiento que utiliza el
usuario para corregir y retornar los datos al proceso.

1.2 CONTROLES DE PROCESO

El controlar un proceso, se refiere a como se controlan variables inherentes

al mismo para: –

 Reducir la variabilidad del producto final

 Incrementar la eficiencia
 Reducir impacto ambiental
  Mantener el proceso dentro de los límites de seguridad que
corresponda

El lazo de control

Un lazo de control requiere la ocurrencia de tres tareas:

 Medida
 Comparación
 Ajuste

Variable de proceso –

Son aquellas que pueden cambiar las condiciones de un proceso

 Setpoint: Valor al que se desea mantener una variable de proceso

 Variable medida :Es aquella que se desea mantener estable
 Variable manipulada: Es aquella que varía para mantener constante
la variable medida

Error •

Es la diferencia entre la variable medida y el setpoint. Puede ser + ó -.

Está compuesto por: –

 Magnitud –
 Duración –
 Velocidad de variación

Offset –

Es una variación constante de la variable de proceso, respecto del setpoint.

•

Variación de carga –

Es un cambio no deseado en algún factor que pueda afectar la variable de

proceso.

Algoritmo de control –

Es la expresión matemática de una función de control

Lazo abierto y lazo cerrado

  Lazo cerrado: existe cuando la variable de proceso es medida,
comparada con el setpoint y se genera una acción tendiente a
corregir cualquier desviación respecto del mismo.

 lazo abierto: la variable de proceso no es comparada y se genera

una acción independientemente de las condiciones de la misma.

Componentes del lazo de control •

 Elemento primario o sensor: Es el primer elemento en un lazo de

control el cual mide la variable de proceso. •
 Trasductor: Convierte una señal física en una eléctrica •
 Convertidor: Convierte una señal de un dominio en otro • Transmisor
– Convierte la lectura de un sensor en una señal estándar que pueda
ser transmitida
 Señales: son alertas del funcionamiento del proceso

Indicadores •

 Son dispositivos leíbles por los humanos que muestran información

del proceso
 Pueden ser analógicos o digitales, simples o complejos.

Controladores •

Es un dispositivo que recibe los datos del instrumento de medida, lo

compara con el dato de setpoint programado, y si es necesario ordena al
elemento de control que genere una acción correctiva.

PLC (Programmable Logic Controller) –

Básicamente una computadora conectada a dispositivos de entradas y

salidas, analógicas y digitales. Responden a señales de entrada con
señales de salida que intentan mantener el/los valores de setpoint.

DCS (Distributed Control System)

 Además de realizar las funciones de control, proveen lecturas

del estado del proceso, mantienen bases de datos, manejan HMIs •
 IED (Intelligent Electronic Device) – PLCs utilizados en las
denominadas “Power Utilities”

Dispositivo Corrector o Elemento final de control. –

Es quien actúa físicamente para cambiar la variable manipulada. Ej. Válvula
• Actuador: Es la parte final del dispositivo de control que produce
un cambio físico en el elemento final de control. Ej. Actuador eléctrico o
neumático de una válvula

Tipos de control

 Control manual

 Control automático

1.3 CONTROLES DE LIBRERÍA

También conocido como control de ventas la cual comprende la estructura,

las políticas, el plan de organización y el conjunto de métodos y
procedimientos de la empresa dirigidos a asegurar la maximización de los
ingresos.

Desde el punto de vista de los controles de librería las ventas y las

transacciones tienen que tener un control el libros, esto se llevara a la
maximización para el crecimiento de la empresa a través de las estrategias
y políticas de ventas, de acuerdo a ello el sistema administrativo más eficaz
será el que lo logre, y a la vez la consecuencia de la información requerida
para los controles que sean necesario y ver el movimiento del flujo de los
productos de la empresa. La información en los controles de librería son
para la dirección y esta tomara las decisiones, estableciendo igualmente
controles mayores con los que ya se cuenta o mantenerlos para asegurar
que las operaciones se lleven a cabo de acuerdo con los planes diseñados

Objetivos de control

 Asegurar los procedimientos

 Maximizar las ventas
 control de las operaciones previas
 control de las operaciones diarias
 control de ventas en los puntos de venta
 controles del servicio
 controles de producto

TÉCNICAS DE CONTROL

TÉCNICAS DE PREVENCIÓN

 autorización de las transacciones:

 relación de personas autorizadas a realizar descuentos e
invitaciones a clientes
 actualizar o registrar datos en libros auxiliares

 validación de datos previa al procedimiento

 cotejar número de productos
 revisar cargos y precios establecidos
 revisar si hubiera algún cargo por el uso de otro bien o servicio
, o si se está dando una comanda a efectuar
 comprobar que los cargo a mano corriente son correctos y
estos han pasado correctamente a la factura del cliente

 verificación de datos
 dejar evidencia de las comprobaciones realizadas en facturas
 verificar periódicamente las normas establecías
 aceptación de reservaciones en pedidos
 verificación de cargos , si lo hubiera
 toma de comandas y emisión de facturas
 cuentas por cobrar y movimientos de efectivo o cheques
  normas y procedimientos claramente establecidos
 fijación de tarifas y condiciones de descuentos
 especificaciones claras del procedimiento, con delimitación de
responsabilidades

DE DETECCIÓN O DESCUBRIMIENTO

 utilización de documentación prenúmerada y facturas

 arqueos periódicos en los puntos de venta y en recepción
 utilización de dispensadores con sistemas de conteo

 Archivos
 Archivos de justificantes en recepción
 Archivo de facturas de pendientes de cobro

 Comparaciones y análisis de variaciones anormales

 Saldos entre pedidos
 Estudio de saldos
 Datos reales con presupuestos
 Estudio de antigüedad de saldos

 Conciliación y análisis de las partidas de conciliación

 Libro mayor con libros auxiliares
 Bancos (cobro o desembolsos)

 Confirmaciones y análisis de discrepancias

 Clientes y bancos

1.4 CONTROLES DE ACCESO: LÓGICO Y FÍSICO

1.4.1 controles lógicos

El gran crecimiento de las redes, interconexiones y telecomunicaciones en

general, incluido el uso de Internet de forma casi corriente, ha demostrado
que la seguridad física no lo es todo. Es un punto que debe
complementarse necesariamente con la implementación de controles para
la seguridad lógica de los sistemas y computadoras. Es esa tendencia de
interconexión de redes con otras redes, o de una simple PC a Internet la
que nos da la pauta de que aún si usamos tarjetas electrónicas para
acceder a nuestra oficina, hay otras puertas traseras mucho menos
evidentes que debemos controlar porque nuestros sistemas están
virtualmente a la espera de que alguien intente utilizarlos.
 Ya hablamos en ediciones anteriores sobre los riesgos que enfrentamos por
dejar esas puertas físicas o lógicas sin un control adecuado. Pero
recordemos que el objetivo final de toda seguridad informática es
integridad de datos y programas, lo que incluye la disponibilidad,
confidencialidad y confiabilidad de la información. También hablamos de
cuáles son los controles físicos, su clasificación y uso. Hablemos entonces
de los controles lógicos.

Los controles lógicos son aquellos basados en un software o parte de él, que
nos permitirán:

 Identificar los usuarios de ciertos datos y/o recursos: hacer una

clasificación de tipos de usuarios y sus objetivos de acceso a los
sistemas.
 Restringir el acceso a datos y recursos de los sistemas:
establecer los permisos por tipo de usuario. Por ejemplo, establecer
que un usuario común de un sistema no tendrá acceso a los datos
financieros de la organización.
 Producir pistas para posteriores auditorias: todos los
movimientos hechos por los usuarios deben ser registrados y
guardados a modo de historia de lo que ha ocurrido. Generalmente
archivos llamados “logs”, son los que mantienen este tipo de
información.

Los controles:

(1) Identificación y autenticación de usuarios

Identificación es el proceso de distinguir una persona de otra; y

autenticación es validar por algún medio que esa persona es quien dice ser.
Pensemos en un policía pidiendo a alguien que se identifique. Bien, si una
persona dice “me llamo Juan Carlos Piró”, se está identificando. Pero el oficial
seguramente querrá hacer una autenticación, para asegurarse de que esta
persona no miente, y le pedirá su documento personal, que será en ese caso el
control usado. En las calles de Buenos Aires la policía ya está contando con
dispositivos de autenticación a través de huellas dactilares, para incrementar el
nivel de control y de esa forma también, buscar en una base de datos el
historial de la persona. En Estados Unidos, estos controles están en la base de
todo sistema de seguridad, en aeropuertos, para identificación de terroristas,
en municipios para controlar que la gente sin permisos de manejo traten de
adquirir una licencia de conducir en otras ciudades, etc. En todos los niveles,
este es un control con demanda nunca tan creciente como en este momento.

Encontrar una forma satisfactoria de control de identificación y autenticación no

es muy fácil. Algunas técnicas son muy fáciles de violar, otras son muy
costosas y otras son consideradas muy intrusas. Los modelos más
generalmente usados se basan en una de estas técnicas:

 Lo que el usuario sabe: comúnmente, las claves de acceso que pueden

utilizarse para sistemas generales (acceso a la PC) u específicos (acceso a
una Base de Datos). Es el más ampliamente usado. Para otorgarle la
característica de ser un buen control, a veces se añaden ciertas
especificaciones: la clave debe cambiarse de forma periódica y nunca debe
ser mostrada en una pantalla. Algunos sistemas muestran asteriscos al
momento del ingreso de una clave (********) y otros simplemente no
muestran nada, para ni siquiera dar la evidencia de cuántos dígitos tiene
esa clave.
Otras características que hacen a las claves un buen control, es:

 el forzar un tamaño en dígitos mínimo

 obligar mezclas de números y letras (no sólo números o sólo
letras)
 prohibir el uso de datos personales, como nombre apellido o
fecha de cumpleaños como clave
 obligar un tiempo mínimo de uso de clave para no volver a la
anterior luego de haberla cambiado
 prohibir el uso de claves ya usadas anteriormente
 Lo que el usuario tiene: como ya expuesto en el anterior artículo, ejemplos
de este tipo de control son las tarjetas magnéticas y las tarjetas
electrónicas.
Pero también los carnés de conducir, y las tarjetas de identificación son
controles de autenticación.

La típica tarjeta de identificación de un empleado posee una foto. A

pesar de que ese tipo de tarjetas no son legibles por la computadora,
cualquier persona puede hacer una comparación entre la foto y el rostro
de alguien. El requerimiento de poseer la tarjeta en todo momento, limita
la posibilidad de que alguien pueda usar la tarjeta de otro empleado.
Esas tarjetas podrían también ciertas características legibles para las
computadoras, que sirvan a modo de permiso de acceso o “login”. Como
las fotos pueden ser falsificadas fácilmente, en algunos casos se les
aplica algún sello de seguridad o código que no sea reproducible
corrientemente.
 En el esfuerzo de disminuir el personal de guardia en los edificios,
algunas organizaciones utilizan cámaras que lees las tarjetas. El
empleado inserta la tarjeta en una ranura que permite verla en primer
plano con un monitor. Luego, este mismo empleado mira hacia una
cámara y las dos imágenes son transmitidas a un guardia que hará la
comparación para dar o no los permisos de acceso.

 Algo específico del usuario: como ejemplos podemos nombrar las

características faciales, huellas dactilares, voz, etc. Estos controles son los
más automatizados dentro de esta clasificación. Los controles biométricos
ya fueron descriptos en detalle anteriormente. Hay una gran variedad de
controles de este tipo, generalmente basados en las siguientes
características del usuario:

 Huellas dactilares
 Patrones de la retina
 Geometría de la mano
 Dinámica de la firma
 Patrones de la voz

La necesidad de evitar operaciones fraudulentas crece exponencialmente. Si

los perpetradores de estos delitos sienten que pueden ser identificados,
muchos no correrán el riesgo. Aquellos que sientan que permanecerán
anónimos usualmente continúan con los actos ilegales.

(2) Programas de control de acceso

Programas diseñados para administrar los permisos de acceso a los recursos

del sistema de información. Permite manejar el identificación y autenticación de
usuarios, el control de acceso de cada recurso disponible y el mantenimiento
de información de eventos sobre el sistema para la posterior investigación y
detección de fraudes.
Estos programas pueden brindar un ajustado control de seguridad,
especialmente en áreas tales como:

 Definición de usuarios: recordemos que los derechos de usuarios

comunes no deberían ser los mismos que los de gerentes, programadores,
secretarias, etc. De ahí la necesidad de clasificar los usuarios por tipos.
 Definición de derechos de usuarios luego de que el acceso ha sido
otorgado: una vez que un usuario ha tenido acceso al sistema, tendrá
disponibles ciertas funciones, y otras no, dependiendo de la definición que
hayamos hecho. Por ejemplo, un usuario de tipo A puede leer los archivos
de información de clientes, pero no podrá actualizarlos. Un usuario de tipo
B podrá hacer esas actualizaciones.
 Establecimientos de logs o información de eventos: típicamente, un log
es un archivo que describe todos los eventos ocurridos. Si tuviésemos que
expresar lo que dice un log de forma coloquial, podríamos decir algo así: “El
día 3 de mayo a las 9:45 am, el usuario Anibal Fernandez pidió Autorización
de acceso a las planillas de clientes. El acceso fué concedido. El usuario
modificó el teléfono del cliente Nro. 567 y cerró el sistema a la hora 10:15
am”
Esta información es guardada, por supuesto, de forma codificada, para
luego poder hacer investigaciones en caso de ser necesario.

En el momento de implementar un sistema de seguridad, entonces, se crea

la clasificación de usuarios, se crean las cuentas de usuarios con las
claves de acceso y esta información se mantiene en una base de datos
generalmente encriptada. Por supuesto, una vez más cabe aclarar que
todo esto se desprende de ciertos programas y políticas de seguridad,
dentro de un marco preestablecido.

Este tipo de sistemas incluye o debería incluir el control sobre accesos

remotos a través de otras redes, o bien a través de Internet. Vale decir,
debe detectar todo tipo de intento de acceso a un recurso para realizar el
control pertinente. Los hackers son los especialistas en encontrar los
baches de seguridad en puertas traseras a los sistemas, por controles que
son violados y a través de accesos remotos.

1.4.2controles físicos

Los sistemas de control de acceso físico establecen mecanismos de

seguridad para evitar ataques físicos a los recursos, que generalmente
ocurren cuando un intruso tiene acceso a las dependencias y es capaz de
acceder físicamente a los sistemas. En contraposición a los controles de
acceso físico encontramos los controles de acceso lógico, mecanismos que
protegen los sistemas informáticos, aplicaciones y datos de accesos
ilegítimos y usos indebidos.

Los controles de acceso físico son las restricciones que se implementan

sobre un lugar, para evitar que a este accedan personas no autorizadas.

Esto se hace con el fin de mantener la seguridad sobre las instalaciones y

las personas que normalmente se encuentran en ahí, además de proteger
información y objetos valiosos.
En el caso de las grandes organizaciones, los sistemas de control de
acceso físico pueden ser algo complejos y estar conformados por una
variedad de componentes, humanos y tecnológicos, como pueden ser
cuerpos de seguridad, un circuito cerrado de televisión, sensores de
identificación, sistemas de alamas y detección de intrusos, etc.

En general todos los miembros de una organización, son responsables de

la seguridad de la misma, cada uno en la medida de sus funciones.

Los controles de acceso pueden ser más estrictos en determinadas áreas

de un edificio, como es el caso de organizaciones que tienen áreas de
acceso público y otras de acceso restringido.

Así mismo, un empleado puede tener prohibido el acceso a determinadas

áreas, o estar limitado a determinado horario o calendario.

En contraposición a los controles de acceso físico tenemos los "controles de

acceso lógico", que protegen los sistemas informáticos, aplicaciones y datos
de accesos ilegítimos y usos indebidos.

Sistema de control de acceso

Los componentes de un sistema de control de acceso físico pueden ser
bastantes variados. Una simple puerta o un torniquete, pueden ser parte del
sistema de control de acceso, así como cualquier otra barrera física, que
controle el acceso a un determinado lugar. También la persona encargada
de verificar la identidad de quien solicita el acceso y la aplicación software
encargada de la gestión del sistema.

Existen también los sistemas de control automatizado, que responden a la

presentación de una credencial o una tarjeta inteligente.

Este tipo de sistemas de control usan sensores que verifican la

identificación de quien solicita el acceso, y lo conceden o no en función de
que la credencial que se muestre, ya sea que ésta sea correcta o no.
 Algunos sistemas de control de acceso también pueden estar provistos de
un teclado para la introducción de una contraseña o de un lector biométrico,
que funcione con la huella dactilar, reconocimiento de iris u otro sistema
biométrico.

2. APLICACIÓN DE CONTROLES DE APLICACIÓN DE COBIT

Los controles generales son aquellos que están inmersos en los procesos y
servicios de TI. Algunos ejemplos son:
 Desarrollo de sistemas
 Administración de cambios
 Seguridad
 Operaciones de cómputo

COBIT asume que el diseño e implementación de los controles de aplicación

automatizados son responsabilidad de TI, y están cubiertos en el dominio de
Adquirir e Implementar, con base en los requerimientos de negocio definidos,
usando los criterios de información de COBIT. La responsabilidad operativa de
administrar y controlar los controles de aplicación no es de TI, sino del dueño del
proceso de negocio.
Por lo tanto, la responsabilidad de los controles de aplicación es una
responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la
responsabilidad cambia de la siguiente manera:

 La empresa es responsable de:

 Definir apropiadamente los requisitos funcionales y de control

 Uso adecuadamente los servicios automatizados

 TI es responsable de:
 Automatizar e implementar los requisitos de las funciones de negocio
y de control
 Establecer controles para mantener la integridad de controles de
aplicación.

Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI,
pero sólo los aspectos de desarrollo de los controles de aplicación; la
responsabilidad de definir y el uso operativo es de la empresa.

La siguiente lista ofrece el conjunto recomendado de objetivos de control de

aplicaciones. Identificados por ACn, de Control de Aplicación número (por sus
siglas en inglés):
AC1 Preparación y Autorización de Información Fuente.
Asegurar que los documentos fuente están preparados por personal autorizado y
calificado siguiendo los procedimientos establecidos, teniendo en cuenta una
adecuada segregación de funciones respecto al origen y aprobación de estos
documentos. Los errores y omisiones pueden ser minimizados a través de buenos
diseños de formularios de entrada. Detectar errores e irregularidades para que
sean informados y corregidos.

AC2 Recolección y Entrada de Información Fuente.

Establecer que la entrada de datos se realice en forma oportuna por personal
calificado y autorizado. Las correcciones y reenvíos de los datos que fueron
erróneamente ingresados se deben realizar sin comprometer los niveles de
autorización de las transacciones originales. En donde sea apropiado para
reconstrucción, retener los documentos fuente originales durante el tiempo
necesario.

AC3 Chequeos de Exactitud, Integridad y Autenticidad

Asegurar que las transacciones son exactas, completas y válidas. Validar los
datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen
como sea posible.

AC4 Integridad y Validez del Procesamiento

Mantener la integridad y validación de los datos a través del ciclo de
procesamiento. Detección de transacciones erróneas no interrumpe el
procesamiento de transacciones válidas.

AC5 Revisión de Salidas, Reconciliación y Manejo de Errores

Establecer procedimientos y responsabilidades asociadas para asegurar que la
salida se maneja de una forma autorizada, entregada al destinatario apropiado, y
protegida durante la transmisión; que se verifica, detecta y corrige la exactitud de
la salida; y que se usa la información proporcionada en la salida.

AC6 Autenticación e Integridad de Transacciones

Antes de pasar datos de la transacción entre aplicaciones internas y funciones de
negocio/operativas (dentro o fuera de la empresa), verificar el apropiado
direccionamiento, autenticidad del origen e integridad del contenido. Mantener la
autenticidad y la integridad durante la transmisión o el transporte.

IMPULSADO POR LA MEDICIÓN

 Modelos de madurez que facilitan la evaluación por medio de

benchmarking y la identificación de las mejoras necesarias en la capacidad

 Metas y mediciones de desempeño para los procesos de TI, que

demuestran cómo los procesos satisfacen las necesidades del negocio y
de TI, y cómo se usan para medir el desempeño de los procesos internos
 basados en los principios de un marcador de puntuación balanceado
(balanced scorecard)

 Metas de actividades para facilitar el desempeño efectivo de los procesos

Descripción grafica de aplicación COBIT y las TI

CONCLUSIONES

 La aplicación de controles en los sistemas son de suma importancia debido

a que hoy en día existen diversos medios y métodos que pueden vulnerar el
normal funcionamiento de la empresa para existen diversos sistemas de
control que entre los principales y más comunes se tiene: controles de
entrada y salida el cual proporciona seguridad en el manejo de datos,
información y bienes, en controles de procesos es la verificación correcta
de los estándares establecidos para obtener el producto de acuerdo a las
especificaciones dadas, en los controles de librería se tiene principalmente
el manejo de inventario y de los productos que van siendo vendidos y la
relación con los clientes, en cuanto al control de acceso existen dos tipos
por un lado tenemos a acceso lógico que es manejado desde un
computador por lo general y vinculado con el usuario de forma
biomecánica, en cuanto el acceso físico se maneja de manera palpable con
tarjetas , reconocimientos o verificaciones de acceso.

 COBIT asume que el diseño e implementación de los controles de

aplicación automatizados son responsabilidad de TI, y están cubiertos en el
dominio de Adquirir e Implementar, con base en los requerimientos de
negocio definidos, usando los criterios de información de COBIT. La
responsabilidad operativa de administrar y controlar los controles de
aplicación no es de TI, sino del dueño del proceso de negocio. Por lo tanto,
la responsabilidad de los controles de aplicación es una responsabilidad
conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la
responsabilidad cambia de acuerdo a: La empresa es responsable y las TIs.