2.2 Dar seguimiento de operación de las herramientas informáticas de acuerdo al plan de seguridad.

2.2 Dar seguimiento de operación de las herramientas informáticas de acuerdo al plan de seguridad.

A)Elabora e interpreta reporte de estado de las aplicaciones.

La seguridad de aplicaciones debe ser considerada un importante aspecto de control interno en las entidades con alto por ciento de automatización de sus operaciones ya que se correspondes totalmente los objetivos enunciados en la normativa de control interno vigente.

las aplicaciones son un tipo de programas informáticos diseñado como herramienta para permitir a los usuarios realizar uno o diversos tipos de trabajos.

B)Modifica configuraciones.

La configuración es un conjunto de datos que determina el valor de algunas variables de un programa a de un sistema operativo,Estas opciones generalmente son cargados en su inicio y de algunos casos se deberá reiniciar para poder ver los cambios,ya que el programa no podrá cargarlos mientras se este ejecutando,si la configuración aun no ha sido definida por el usuario,el programa o sistema cargará por defecto.

• Conforme a procedimientos definidos en el manual.

Un manual de procedimiento es el documento que contiene la descripción de actividades que deben seguirse en la realización de funciones de unidad administrativa,o de dos o más de ellas.

El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación.Suele contener información y ejemplos de formularios,autorizaciones o documentos necesarios,maquinas o equipo de oficina a utilizar y cualquier otro dato que pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa.

• Nuevos requerimientos.

Los requerimientos de seguridad son identificados mediante una evolución metódica de riesgos de seguridad.Las técnicas de evaluación de riesgo pueden ser aplicados a toda la organización,o solo en algunas partes,como en los sistemas  individuales de información,componentes específicos de sistema o servicio donde estés factible,realista y útil.

Existen 3 fuentes principales que deben considerarse para que una organización identifique sus requerimientos de seguridad:

1. La primera fuente se deriva determinando los riesgos de la organización.
2. La segunda fuente se refiere a los requerimientos legales,regulatorios,contractuales y establecido que una organización,sus socios comerciales y proveedores de servicio tienen satisfacer.
3. La tercera fuente es el conjunto particular de principios,objetivos y requerimientos para el procesamiento de la información que una organización ha desarrollado para mantener sus operaciones.

• Respalda las configuraciones de las aplicaciones.

Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias.

1. Ser confiable.
2. Estar fuera de linea en un lugar seguro.
3. La forma de recuperar sea rápida y eficiente.

Esto nos lleva a que un sistema de respaldo y recuperación de información tienen que ser probado y eficiente.

Las copias de seguridad con uno de los elementos más importantes y que requieren mayor atención a la hora de definir las mediadas de seguridad del mismo sistema de información.

Copiar solo los dados,poco recomendable,ya que en caso de incidencia,sera preciso recuperar el entorno que proporcionan  los programas para acceder a los mismos.

Clasificación de respaldos:

-Copias de información (Backups).

Estos son los respaldos más duplicados de archivos que guardan en "TapeDrives" de alta capacidad.

-Respaldo completo ("Full").

Guarda todos lo archivos que sean especificados al tiempo de ejecutarse el respaldo.

2.3 Controla parámetros de seguridad.

A)Revisa la configuración de las herramientas de seguridad aplicadas a los equipos y redes de comunicación.

• Herramientas de auditoria para la recopilación de la información.

 Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas

Esta técnica es la más utilizada por los auditores  ya que a través de esta se obtiene información sobre lo que  esta auditando, además de tips que permitirán conocer más sobre los puntos a  evaluar o analizar. La entrevista en general es un medio directo para la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema.

Cuestionarios

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.

Encuestas

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se contemplan  dentro de la aplicación  de métodos probabilistas y estadísticos para hacer la mejor elección de las muestras y recolección de opiniones.

Inventarios

Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar la cantidad real con las existencias que se registra en los documentos.

• Herramienta de auditoria para la configuración y comparación.

La auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.

Al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:

• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

• Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.

• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modernización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoria de Sistemas.

B)Analiza reportes de las aplicaciones.

• Genera reportes de operación de las aplicaciones.

Muchas veces nos encontramos realizando sistemas de información que se dedican a capturar datos pero que también necesitan una manera de procesarlos y mostrarlos. Para esta tarea entran en juego los famosos Reportes que no son más que objetos que entregan información en un formato particular y que permiten realizar ciertas operaciones como imprimirlos, enviarlos por email, guardarlos a un archivo, etc.

Es importante mencionar que los datos almacenados son útiles en la misma medida que se puedan convertir en información para las personas que los necesitan. También es importante subrayar que la plataforma tecnológica que utilicemos debe poder tener facilidades para convertir los datos en información y poder entregarlos a los usuarios de forma que sean útiles.

Pues bien, el caso es que el .net Framework no es la excepción. Al instalar cualquiera de los productos, desde las versiones exprés hasta la versión TeamSuite podemos realizar reportes y presentarlos a los usuarios para que puedan utilizar la preciada información.

• Identifica nuevos requerimientos.

Los requerimientos pueden dividirse en requerimientos funcionales y requerimientos no funcionales. Los requerimientos funcionales definen las funciones que el sistema será capaz de realizar. Describen las transformaciones que el sistema realiza sobre las entradas para producir salidas. 

Los requerimientos no funcionales tienen que ver con características que de una u otra forma puedan limitar el sistema, como por ejemplo, el rendimiento (en tiempo y espacio), interfaces de usuario, fiabilidad (robustez del sistema, disponibilidad de equipo), mantenimiento, seguridad, portabilidad, estándares, etc. 

Los requerimientos deben ser: 

Especificados por escrito. Como todo contrato o acuerdo entre dos partes 

Posibles de probar o verificar. Si un requerimiento no se puede comprobar, entonces ¿cómo sabemos si cumplimos con él o no? 

Descritos como una característica del sistema a entregar. Esto es: que es lo que el sistema debe de hacer (y no como debe de hacerlo) 

Lo más abstracto y conciso posible. Para evitar malas interpretaciones.

• Nuevos requerimientos de seguridad.

Definir los equipos que, por razones de seguridad, requieren circuitos fijamente cableados. Por definición, estos circuitos de seguridad trabajan independientemente del sistema de automatización (a pesar de que el circuito de seguridad ofrece normalmente un interface de entrada/salida para la coordinación con el programa de usuario). Usualmente se configura una matriz para conectar cada actualizador con su propia área de PARO DE EMERGENCIA. Esta matriz constituye la base para los esquemas de los circuitos de seguridad. Proceder de la siguiente manera al diseñar los dispositivos de protección:

          · Definir los encolamientos lógicos y mecánicos/eléctricos entre las diferentes tareas de automatización.

        · Diseñar circuitos para poder manejar manualmente, en caso de emergencia, los aparatos integrantes del proceso.

          · Definir otros requerimientos de seguridad para garantizar un seguro desarrollo del proceso.

• Establece medidas para solucionar nuevos requerimientos.

Objetivo General

Orientar sobre el mejor curso de acción para la puesta en marcha de un servidor Web que garantice la seguridad de la información.

Objetivos Específicos

1.     Evaluar y seleccionar un Sistema Operativo adecuado para la implementación de herramientas de seguridad informática en servidores de Web.

2.     Enunciar los requerimientos del  equipo  necesarios  para  el  desarrollo  del  Sistema Operativo seleccionado.

1.     Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema.

1.     Proporcionar técnicas de protección que brinden  soluciones  óptimas  a  la vulnerabilidad  de los servidores Web.

1.     Presentar una  serie  de  recomendaciones  para  el  desempeño  satisfactorio  del  sistema  mencionado, así  como  para  su  correcta  instalación.

Seguridad

La seguridad en redes de telecomunicaciones está fundamentada en tres elementos:

• La Integridad.- Se refiere a que el contenido y el significado de la información no se altere al viajar por una red, no obstante el número y tipo de equipos que se encuentren involucrados; la infraestructura utilizada debe ser transparente para el usuario.
• La Confiabilidad.- Implica que el servicio debe estar disponible en todo momento.
• La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya que contribuye a impedir que personas no autorizadas lean y conozcan la información que se transmite.

La verdadera seguridad de un sistema va más allá de la instalación de la actualización más reciente, la configuración de un cierto fichero, o la cuidadosa administración del acceso de los usuarios a los recursos de sistema. Es una manera de ver las diferentes amenazas que acechan su sistema y lo que se  está dispuesto a hacer para evitarlas.

Seguridad De Redes

Si usa su sistema en una red (como una red de área local, red de área amplia o Internet), deberá ser consciente de que su sistema estará a un nivel más alto de riesgo que si no estuviese conectado a una. Además de atentados brutales a los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de su sistema en una red más grande aumenta la oportunidad de que ocurra un problema de seguridad y la forma posible en que pueda ocurrir.

C)Implementación de acciones correctivas en la configuración y ejecución de herramientas de seguridad.

• Planes de contingencia.

Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.

Se entiende por Recuperación, "tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información" (1).

Se dice que el Plan de Contingencias es el encargado de sostener el modelo de Seguridad Informática planteado y de levantarlo cuando se vea afectado.

La recuperación de la información se basa en el uso de una política de copias de seguridad (Backup) adecuada.

• Actualización de software y equipo de seguridad.

Las actualizaciones tienen como objetivo reparar problemas específicos de vulnerabilidades que se presentan en un programa. Algunas veces, en lugar de liberar un sólo parche o actualización, los distribuidores publican una versión actualizada de su software, aunque podrían referirse a ésta como un parche.

Cuando las actualizaciones están disponibles, los distribuidores usualmente las liberan a través de sus sitios web para que los usuarios las descarguen. Algunos programas cuentan con herramientas de actualización automática cada vez que existe algún parche disponible, tal es el caso de Windows Update. Es importante instalar las actualizaciones tan pronto como sea posible para proteger al equipo de los intrusos, quienes buscan tomar ventaja de las vulnerabilidades. Si estas opciones automáticas están disponibles, es recomendable aprovercharlas, si no lo están, se aconseja verificar los sitios web de su distribuidor periódicamente en busca de actualizaciones.

Asegúrate de descargar software o actualizaciones sólo desde sitios web confiables, nunca lo hagas a través de enlaces que aparezcan en mensajes de correo electrónico, pues los intrusos acostumbran hacer que los usuarios visiten sitios web que inyectan o propagan códigos maliciosos disfrazados de actualizaciones. También, ten cuidado con los mensajes de correo electrónico en los que se afirme que un archivo adjunto es una actualización de software, estos archivos adjuntos comúnmente son virus.

            

1.2 Elabora el plan de seguridad en cómputo acorde con los riesgos determinados y estándares de protección.

A) Analiza modelos y buenas prácticas de seguridad informática.

•       ITIL: Propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos.

Plantea hacer una revisión y estructuración de los procesos existentes en caso de que estos lo necesiten. Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente (con fechas de cambio y modificaciones), ya que esta puede ser de gran utilidad para otros miembros del área.

La biblioteca de infraestructura de ITIL toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI.

El conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.

• COBIT: Es un estándar abierto desarrollado y promovido por el Instituto de Gobernación de TI.

 Apoyado en las necesidades gerencia les en cuanto a monitoreo de los niveles apropiados de seguridad de TI que se deben seguir en las organizaciones. El Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalúa el grado de control sobre los procesos de TI de una organización en una escala de 0 a 5, donde el menor (0) significa "No existe" y el mayor "Optimizado" (5).

• ISM3: Es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad ISM3 ve como objetivo la seguridad de la información, el garantizar la   consecución de objetivos de negocio. De la información. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).

   Algunas características significativas de ISM3 son:

-Métricas de Seguridad de la Información.

-Niveles de Madurez.

-Basado en Procesos.

-Adopción de las Mejores Prácticas.

-Certificación.

A)Analiza estándares internacionales de seguridad informática.

BS 17799: es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organización por Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information tecnología - Security techniques - Code of practica foro información segurito malajemente. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En España existe la publicación nacional UNE-ISO/IEC 17799 que fue elaborada por el comité técnico AEN/CTN 71 y titulada Código de buenas prácticas para la Gestión de la Seguridad de la Información, que es una copia idéntica y traducida del inglés de la Norma Internacional ISO/IEC 17799:2000. La edición en español equivalente a la revisión ISO/IEC 17799:2005 se estima que esté disponible en la segunda mitad del año 2006.

      Serie ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001: La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

      ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).

ISO 20000: La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.

La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infraestructura Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Jovenmente Commerce (OGC).

C) Definición del plan de seguridad informática.

      

Descripción de los principales  elementos de protección.

Las principales amenazas que se prevén en la seguridad física son:

a.     Desastres naturales, incendios accidentales tormentas e inundaciones.

b.    Amenazas ocasionadas por el hombre.

c.      Condiciones Climatológicas 

d.     Señales de Radar: La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.

e. Instalaciones Eléctricas 

f. Ergometría 

Acciones Hostiles

·  Robo: Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.

 Fraude: Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.

      Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido.

 La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería". Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados.

      Definición de políticas.

-De acceso físico a equipos: Al crear perfiles se puedo establecer las diferentes categorías de acceso deseadas por ejemplo a un "empleado de mantenimiento" se le podrá restringir las áreas a las cuales tendrá acceso con horarios limitados, mientras que el perfil de usuario de un "ejecutivos administrativos" puede crearse con mayores atributos. Por nuestra experiencia en la implementación de nuestros sistemas de control garantizamos la perfecta instalación de nuestros equipos en cualquier tipo de puerta o portón de acceso, utilizando partes y accesorios de primera calidad de fabricante líderes a nivel mundial. Nuestros sistemas están desarrollado para utilizar los dispositivos más avanzados del mercado, por ejemplo las credenciales con las accederá a las aéreas están dotadas de un microchip inteligente en donde el o los administradores del sistema podrá almacenar la información necesaria o requerida para atribuir los accesos a cada colaborador y esto se almacena directamente en la credencial (ver productos) y adicionalmente lograr alcanzar un mayor nivel de seguridad, implementando sistemas BIOMÉTRICOS (huella dactilar, palma de la mano, iris del ojo) dando acceso en forma conjunta con la credencial inteligente(SmartArt). Control de Acceso Físico: Esta solución permite el control de los puntos estratégicos de una compañía mediante equipos que verifican la identidad de las personas en el momento de ingresar a las instalaciones. Control de tiempo de las personas que realizan transacciones. Mediante un manejo avanzado credencialización que permite controlar, limitar, monitorear y auditar el acceso físico. Este tipo de sistema es ideal para organizaciones que desea controlar una única área restringida o múltiples puertas de acceso.

D) Establece métricas y mecanismos para la evaluación de los controles implementados.

Define indicadores para evaluar la eficiencia de los controles implementados: La definición más usual de un indicador es: un hecho cuantificado que mide la eficacia y/o la eficiencia de todo o parte de un proceso o de un sistema (real o simulado), con referencia a una norma, un plan o a un-objetivo, determinado o aceptado en un cuadro estratégico de la empresa. Esta definición pone el acento sobre la función “medición” del indicador.

Dicha función es descrita por un modelo que integra la elaboración de la prestación en tres facetas distintas.

Una faceta objetivo, que permite expresar los objetivos vinculados a los indicadores.

Una faceta evaluación, que compara las medidas alcanzadas con los objetivos declarados. Las prestaciones evaluadas son expresadas de manera homogénea, sobre la base de ciertos mecanismos de cálculo, facilitando una agregación o una evaluación ulterior.

Y una faceta de apreciación, que analiza las prestaciones alcanzadas en función del contexto de desarrollo así como del conocimiento del observador.

Define el modo en que los indicadores serán medidos.

Ha de ser motivo de cambio y de formación continuada en cuanto a los comportamientos de los distintos ejecutivos y/o responsables. Ha de conseguir la motivación entre los distintos responsables. Esto ha de ser así, sobre todo por cuanto esta herramienta será el reflejo de su propia gestión.

  Por último y como objetivo más importante, esta herramienta de gestión debe facilitar la toma de decisiones. Para ello, el modelo debería en todo momento: