Introducción al Control Interno – UNED

Módulos » Módulo 5: Sistemas de información » 5.8. Control de sistemas de información

5.8. Control de sistemas de información

La norma 5.8 señala que las autoridades y jefaturas, según sus competencias, deben disponer los controles pertinentes para que los sistemas de información garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter.

Todos los sistemas de información deben contar con claves de acceso para ingresar a los mismos, como también deben estar claramente definido quienes pueden ingresar a cuáles sistemas y que responsabilidades tienen sobre el uso de estos.

El artículo 6, inciso b), sobre los deberes de los funcionarios, del Reglamento para uso de equipo de cómputo e internet de la UNED, indica que los funcionarios deben verificar que la información almacenada en el computador esté libre de virus y otras amenazas informáticas, para lo cual deberá velar porque el antivirus institucional esté instalado y debidamente actualizado.

Realizar de forma periódica escaneos o exploraciones del dispositivo tecnológico que tenga a cargo el funcionario, utilizando el antivirus institucional con el propósito de detectar y eliminar virus “gusanos” o cualquier software malicioso que pueda afectar a los equipos y a la información institucional.

El artículo 8, incisos f, g, h, k, l, q, r), sobre las prohibiciones de los funcionarios, del Reglamento para uso de equipo de cómputo e internet de la UNED, indica que los funcionarios tienen prohibido:

f) Descargar y almacenar música, fotos y videos en sus diferentes formatos que no sean de uso para las funciones propias de su quehacer laboral,

g) La reproducción o grabación ilegal de software, música y películas, entre otros,

h) Hacer uso de los medios electrónicos de comunicación institucionales para acceder, enviar, conservar o reproducir material restringido,

k) Llevar actos de conductas dolosas de orden informático tales como introducir virus u otros elementos físicos o electrónicos que puedan dañar o impedir el normal funcionamiento de la red, del sistema o de equipos informáticos (hardware y software) de terceros o de la UNED,

l) Instalar hardware, software y dispositivos de red no autorizado por la DTIC, tales como protectores de pantalla, juegos y aplicaciones protegidas por la Ley de Derechos de Autor o cualquier otro software y hardware que pueda poner en riesgo la red de datos.

q) Enviar, copiar o facilitar por cualquier medio, información propiedad de la UNED y que por su naturaleza no debe divulgarse a terceros ajenos a la Institución, excepto que se cuente con la debida autorización de las autoridades superiores. 

r) Modificar la configuración base definida por la DTIC, así como la configuración general del equipo de cómputo.

Casos

A continuación, se le presenta un caso o situación que ejemplifica incumplimiento de lo definido en esta norma de control de sistemas de información. Valórelo y analícelo.

Caso No 8: Antivirus

La oficina de Antonio es la encargada de la compra e instalación del antivirus para todas las computadoras y otros equipos de la institución, el cual busca proteger toda la infraestructura tecnológica. En una ocasión a Antonio se le olvido realizar con el debido tiempo de anticipación los trámites para que la organización comprara las licencias del antivirus, por lo que no fue posible instalarlo en el momento que se vencía, lo que ocasionó que todos los equipos quedaran sin protección y quedaran vulnerables a ciberataques, pudiéndose generar fugas de información, afectación a los servicios brindados a los usuarios, entre otras afectaciones.

««  5.7. Calidad de la comunicación

|

5.9. Tecnologías de información  »»