Make your own free website on Tripod.com
Capitulo 14 - Caso de Estudio
Home
New Page Title

capitulo14a.jpg

Capitulo 14 Seguridad y Control de los Sistemas de Información

 

1.-¿ Por que los sistemas de computación son mas vulnerables a la destrucción, fraude, error y mal uso que los sistemas manuales? Enuncie algunas de las áreas donde son muy vulnerables.

Las redes de comunicaciones son muy vulnerables a las fallas naturales de hardware y software y a un mal uso de programadores, operadores de computadoras, personal de mantenimiento y usuarios finales. Es posible intervenir las líneas de comunicación e interceptar ilegalmente los datos. La trasmisión de alta velocidad a través de canales de comunicaciones de cable de par trenzado ocasiona una interferencia llamada diafonía. La radiación también puede desestabilizar una red en diversos puntos.

 

2.- Enuncie algunas de las características de los sistemas de información en línea que los hacen difíciles de controlar.

Desastres, el hardware, programas, archivos de datos y otro equipo de computación pueden ser destruidos  por incendios, fallas en el suministro de energía u otros desastres.

Seguridad, las políticas, los procedimientos y las medidas técnicas que se emplean para prevenir acceso no autorizado, alteración, robo o daño físico a los sistemas de información.

Errores, las computadoras también pueden funcionar como instrumentos de error, que pueden desestabilizar, destruir gravemente los registros y operaciones de una organización.

 

3.-¿ Cómo pueden afectar el software y la calidad de datos deficientes el desempeño y la confiabilidad del sistema? Describa dos problemas de calidad de software.

Errores de programación y defectos, un problema es la presencia de errores de programación ocultos o defectos en el código de los programas. Los estudios han demostrado que es casi imposible eliminar todos los errores de programación es la complejidad del código de tomas de decisiones.

La pesadilla del mantenimiento, el mantenimiento, el proceso de modificar un sistema que ya esta en uso, es la fase mas costosa del proceso de desarrollo de sistemas. En la mayoría de las organizaciones casi la mitad el tiempo del personal de sistemas de información se consume en el mantenimiento de sistemas existentes.

Problemas de calidad de los datos, datos inexactos, inoportunos o inconsistentes con otras fuentes de información pueden crear graves problemas funcionales y financieros para los negocios.

 

4.- ¿Qué son los controles? Distinga entre controles generales y controles de aplicaciones.

Controles generales: controles globales que establecen un marco de trabajo para controlar el diseño, la seguridad y el uso de programas de computación a lo largo de una organización.

Controles de aplicaciones: son controles específicos únicos para cada aplicación computarizada, como nomina o procesamiento de pedidos. Constan de controles aplicados desde el área funcional de negocios de un sistema particular y de procedimientos programados.

 

 

 

5.- Enuncie y describa los principales controles generales y de aplicaciones para los sistemas computarizados.

CONTROLES GENERALES

Controles de software: monitorean el uso del software del sistema y provienen el acceso no autorizado a programas de software, software del sistema y programas de computadora.

Controles de hardware: aseguran que el hardware de computo sea físicamente seguro y verifican el funcionamiento defectuoso del equipo.

Controles de operaciones de computo: vigilan el trabajo del departamento de computación para garantizar que lo procedimiento programados se apliquen de manera consistente y correcta al almacenamiento y procesamiento de datos.

Controles de seguridad de los datos: aseguran que los archivos de datos de negocios en disco o cinta no sean objeto de acceso no autorizado, cambio o destrucción mientras estan en uso o almacenados.

Controles de implementación: auditan el proceso de desarrollo de sistemas en varios puntos para garantizar que el proceso se controle y administre adecuadamente.

Controles administrativos: estándares, reglas, procedimientos y disciplinas de control formalizados para garantizar que se ejecuten y apliquen adecuadamente los controles generales y de aplicaciones de la organización.

CONTROLES DE APLICACIÓN

Entrada, procesamiento: totales establecidos de antemano para transacciones de entrada y procesamiento. Estos totales pueden abarcar desde una simple cuenta de documentos hasta los totales para campos de cantidad como la suma de ventas totales.

Entrada: rutinas programadas que pueden realizarse para editar errores en los datos de entrada antes de procesarlos. Las transacciones que no cumplan con los criterios de edición se rechazaran.

Entrada, procesamiento: compara los datos introducidos con la información de archivos maestros, e indica los elementos que no coinciden para investigación posterior.

Procesamiento, salida: equilibra el total de transacciones procesadas con la cantidad total de transacciones introducidas o emitidas.

Salida: documentación que especifica que los destinatarios autorizados han recibido sus informes, verificaciones u otros documentos importantes.

 

6.- ¿Qué es la seguridad? Enliste y describa los controles que promueven la seguridad para hardware de computadora, redes de computación, programas de computación y datos computarizados.

La seguridad de las comunicaciones electrónicas es un importante problema de control para las compañías que practican el comercio electrónico. Es esencial que los datos de compradores y vendedores relacionados con  el comercio se mantengan en privado cuando se transmiten electrónicamente.

Encriptación: codificación de mensajes para impedir su lectura o acceso sin autorización.

Autentificación: es una transacción, capacidad de cada parte para determinar la identidad de la otra parte.

Integridad del mensaje: capacidad para cerciorarse de que un mensaje transmitido no sea copiado ni alterado.

Firma digital: código digital que puede adjuntarse a un mensaje transmitido via electrónica para identificar exclusivamente su contenido y al remitente.

Certificado digital: adición a un mensaje electrónico para verificar la identidad del remitente y proporcionar al destinatario los medios para codificar una respuesta.

 

7.- ¿Qué medidas especiales de seguridad deben tomar las organizaciones que se enlazan a Internet?

La SSL (Capa de Zócalos Seguros) y el S-HTTP (Protocolo Seguro de Transporte de Hipertexto) son protocolos que se emplean para el traslado seguro de información a través de Internet. Permiten que las computadoras cliente y servidor manejen actividades de encriptación y desencriptacion cuando se comunican entre si durante una sesión segura en la Web. Algunos sistemas de pago con tarjeta de crédito usan el protocolo SSL para encriptar los datos del pago.

 

CASO DE ESTUDIO

 

1.Describa brevemente el problema de Allied Irish y de Allfirst que de repente surgió en febrero de 2002.

ô     Se revelo una perdida de 750 millones de dólares en operaciones de intercambio de divisas . habiendo una acusación a una persona responsable , de nombre John Rusnak El yen había bajado durante los últimos meses del año 2001  y aparentemente se esperaba un cambio y volviera  a subir contra el euro pero no fue asi sino al contrario.

      

2.   Describa las debilidades de control en Allfirst y Allied Irish . ¿Qué factores administrativos , organizacionales y de tecnología contribuyeron a estas debilidades?

ô     La primer debilidad que se encontró por parte de la administración fue que las personas que operaban en los grupos de control de la tesorería eran débiles e inexpertos, y a Rusnak se le facilito el maniobrar el desvió de las perdidas, en cuanto a las debilidades organizacionales , se encontró que la empresa no tenia una comunicación entre el front desk y el back desk lo cual daba pie para que las transacciones que este efectuaba no llegaran con la misma información de un área a otra. En cuanto a las debilidades tecnológicas la FBI determino que el programa que se utilizaba para la verificación de la validez de las transacciones era obsoleta y por lo tanto no requería d e un sistema computarizado sino que hasta físicamente podían autorizar los movimientos.

 

3.  ¿ Quien o que fue responsable de las perdidas por las transacciones de Rusnak? ¿ que rol desempeñaron los sistemas de Allied Irish y Allfirst? ¿Qué rol jugó la administración?

ô     Los resultados de la investigación propusieron en el informe otorgado por el FBI que nadie conspiró a sabiendas con Rusnak sino que debido a  la facilidad e poder perpetrar las transacciones no se pudo detectar que estas eran fraudulentas , sin embrago seis personas de la administración junto con Rusnak fueron despedidas de Allfirst. EL rol que desempeñaron los sistemas fue el que causo la factibilidad de realizar un fraude . El conjunto de programas utilizado por Allied Irish permitía el control del front office y el back office permitiéndole a Rusnak tomar el control  sobre el medio para unir las dos partes  y así poder figurar y falsificar la aceptación de hacer una transacción.

 

4.  Los sistemas de información podrían haber impedido que Rusnak hacer lo que hizo? Explique.

ô     Si podrían haberlo impedido. AIB  instalo el grupo de programas Opics en el back office pero no en el front office por consiguiente no hubo un control de las operaciones realizadas. SE utilizo la confiabilidad d e las personas debido al puesto que Rusnak desempeñaba  pero esto no era suficiente , si hubiera existido un programa que determinara la seguridad de las transacciones y la factibilidad de la realización  no hubiera sido capaz Rusnak de hacer un fraude y habría sido detectado a tiempo.

 

5. Si usted fuera responsable de diseñar los nuevos sistemas  de información para AIB y Allfirst ¿ que haría para resolver sus problemas de control?

ô     En primer lugar contratar una compañía que creara un software de seguridad con solo disponibilidad de uso por el presidente y el secretario de la tesorería de la empresa , con capacidad de uso de el front desk y el back desk en línea pero sin  poder entrar en operaciones de uno y otro , solo APRA mantener una comunicación de la aprobación de las transacciones con una tercera firma autorizada por solo el tesorero y o el presidente de la corporación.

 

cap14.jpg

Back to Menú de Capitulos y Casos de Estudio

Back to Menú General

Enter main content here

capitulo14.jpg

Enter secondary content here

Enter supporting content here

Sistemas de Información
Equipo "Los Amiguis"
Grupo 452