TI.Daniel

jueves, 19 de noviembre de 2015

ACL y Zona desmilitarizada.

ACL.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.
En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Ejemplo:

Crear una ACL estándar:
(config)#access-list <# lista>
Ejemplos:
(config)#access-list 1 deny 10.5.3.0 0.0.0.255
(config)#access-list 1 permit host 10.5.3.37
(config)#access-list 1 permit any
Crear una ACL extendida:
(config)#access-list <# lista> [comparación] [puerto origen] [comparación] [puerto destino]
Ejemplos:
(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80
(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255
(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any
Aplicar la lista sobre un puerto:
Debe ingresarse primero al puerto deseado y luego aplicarla allí, ya sea entrante o saliente:
(config-if)#ip access-group <# lista>
Ejemplo:
(config)#interface seria 0/0
(config-if)#ip access-group 100 out
Para aplicarla al tráfico que va dirigido al router propiamente (telnet por ejemplo), debe hacerse sobre las terminales virtuales
(config)#line vty 0 4
(config-line)#access-class <# lista>
Ejemplo:
(config-line)#access-class 105 in
Borrar una ACL:
(config)#no access-list <# lista>
Ejemplo:
(config)#no access-list 105

Zona desmilitarizada.

Una DMZ (del inglés Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet

El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red ex-terna que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se con-vierte en un callejón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.

Esto se ve muchísimo más claro en un esquema:

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).

Habitualmente una configuración DMZ es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall).

Firewall.

¿Qué es Firewall?

Es un elemento de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las necesidades del usuario. Forman una barrera para proteger a los ordenadores conectados a Internet en las dos direcciones: evitan una intrusión al PC desde la Red e impiden que los programas instalados accedan a Internet sin permiso.

Características.

Diferentes niveles de protección basados en la ubicación del PC

Cuando tu PC se conecta a una red, la protección firewall aplica un nivel de seguridad diferente en función del tipo de red de que se trate. Si deseas modificar el nivel de seguridad asignado inicialmente, podrás hacerlo en cualquier momento accediendo a las opciones de configuración del firewall.

Protección de redes inalámbricas (Wi-Fi)

Bloquea eficazmente los intentos de intrusión realizadas a través de redes inalámbricas (Wi-Fi). Al producirse una intrusión de este tipo, aparece un aviso emergente que te permitirá bloquear la intrusión de inmediato.

Accesos a la red y accesos a Internet

Indica cuáles son los programas instalados en tu ordenador que podrán acceder a la red (o a Internet).

Protección contra intrusos

Impide las intrusiones por parte de hackers que intentan acceder a tu ordenador para realizar en él ciertas acciones, y no siempre con la mejor intención.

Bloqueos

El firewall te permite bloquear los accesos de los programas que has decidido que no deben acceder a la red local o a Internet. También bloquea los accesos que, desde otros ordenadores, se realizan para conectarse con programas en tu ordenador.

Definición de Reglas

Define reglas con las que puedes indicar qué conexiones deseas autorizar y a través de qué puertos o zonas.

Medidas preventivas y correctivas.

Entre las medidas que realiza un firewall de forma preventiva están.

Detecta ataques del sistema conforme estos tratan de obtener información en base a cualquier esquema.
Restringir el acceso a un punto cuidadosamente controlado, digamos que es capaz de impedir tráfico no deseado desde el exterior.
Restringe a las personas para que salgan de un punto cuidadosamente controlado.

Correctivas:

Un firewall es instalado en el punto donde se halla la conexión a internet. Ahí la red puede sufrir serios daños y ataques constantes. En un esquema general es recomendable colocar una intranet.
Otorga servicios a los clientes para la operación correcta de su aplicación siempre y cuando cumplan con las políticas de seguridad.
Filtrar el tráfico proveniente tanto del exterior como del interior de la zona que se está protegiendo o que se requiere proteger.
Evitar que los ataques se acerquen más a sus demás defensas.

lunes, 16 de noviembre de 2015

AAA, TACACS, RADIUS y KERBEROS

AAA (Authentication, Authorization y Accounting).

Nos estamos basando en un solo protocolo o en algunos en especial, sino en una familia de protocolos que proveen los servicios anteriormente mencionados. Si le adicionamos el concepto de Auditoría, tendríamos lo que a veces se conoce como AAAA, o cuádruple A. Para comprender mejor estos sistemas de autenticación, debemos recordar primero los conceptos que representan

Authentication.

La autenticación es el proceso por el que una entidad demuestra que es quien dice ser, probando así su identidad frente a un sistema u otra entidad, al presentar alguno de los factores de autenticación ya conocidos algo que uno tiene por ejemplo, un token o algo que uno sabe por ejemplo, un password.

También puede darse el requisito de la presentación de dos de los tres tipos de factores, para obtener lo que se denomina autenticación Two Factors. Vale la pena destacar que, en muchos casos, no es indispensable enviar por la red las credenciales de autenticación.

Authorization.

Se refiere a la concesión de privilegios específicos (ninguno) a una entidad o usuario basándose en su identidad (autenticada), los privilegios que solicita, y el estado actual del sistema. Las autorizaciones pueden también estar basadas en restricciones, tales como restricciones horarias, sobre la localización de la entidad solicitante, la prohibición de realizar logins múltiples simultáneos del mismo usuario.

Accounting.

Se refiere al seguimiento del consumo de los recursos de red por los usuarios. Esta información puede usarse posteriormente para la administración, planificación, facturación, u otros propósitos. La contabilización en tiempo real es aquella en la que los datos generados se entregan al mismo tiempo que se produce el consumo de los recursos.Consiste en la grabación de los datos de consumo para su entrega en algún momento posterior.

TACACS.

El TACACS es un protocolo cliente, servidor que proporciona la Seguridad centralizada para los usuarios que intentan tener el Acceso de administración a un router o a un servidor de acceso a la red.

El TACACS+ proporciona estos servicios del Authentication, Authorization, and Accounting (AAA):

Autenticación de los usuarios que intentan iniciar sesión al equipo de red
Autorización de determinar qué nivel de usuarios del acceso debe tener
El considerar para no perder de vista todos los cambios el usuario hace

Contribuido por Surendra BG, ingeniero de Cisco TAC.

Ejemplo:

RADIUS.

RADIUS es el acrónimo en inglés de Remote Authentication Dial-In User Server, y es quizás el más conocido. Utiliza el puerto UDP 1812 UDP y funciona como cliente-servidor. Su éxito residió, probablemente, en su implementación en proveedores de acceso a Internet (ISP), que fueron los que primero debieron incluir una instancia de autenticación remota a través de la red para validar las conexiones de sus clientes.

Estas conexiones pueden ser tanto inalámbricas como por medio de cablemódems, líneas ADSL o accesos dial-up. RADIUS recibe la información de credenciales de acceso por medio del protocolo PPP a través de un servidor conocido como Network Access Server, que redirige el pedido a un servidor RADIUS con el propio protocolo RADIUS. Este comprueba que la información sea correcta mediante otros mecanismos de autenticación (PAP, CHAP o EAP) y, en caso de ser aceptada, autoriza al cliente a acceder al sistema y le provee los recursos necesarios, como una dirección IP. RADIUS permite manejar sesiones, lo cual es útil para la medición de tiempo para facturación, como en hoteles o ISPs.

KERBEROS.

Kerberos es un protocolo de seguridad creado por MIT que usa una criptografía de claves simétricas para validar usuarios con los servicios de red evitando así tener que enviar contraseñas a través de la red. Al validar los usuarios para los servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no autorizados que intentan interceptar contraseñas en la red.

FUNCIONAMIENTO GENERAL DE KERBEROS.

Cada usuario dispone de una clave.
Cada servidor dispone de una clave.
Kerberos mantiene una base de datos que contendrá a todas estas claves.
La clave e un usuario será derivada de su contraseña y estará cifrada.
La clave de un servidor se genera aleatoriamente.
Los servicios de red que requieren autenticación, así como los usuarios que requieran estos servicios, se deben registrar con Kerberos.
Las claves privadas se negocian cuando los usuarios se registran.
Kerberos, en conocimiento de todas las claves privadas, crea mensajes para informar a un servidor de la autenticidad de un usuario que requiere servicios de éste.

NIVELES DE PROTECCIÓN DE KERBEROS

Autenticación: Prueba que el usuario es quien dice ser. Puede ser que la autenticidad se establezca al inicio de la conexión de red y luego se asuma que los siguientes mensajes de una dirección de red determinada se originan desde la parte autenticada.

Integridad de datos:Asegura que los datos no se modifican en tránsito. Se requiere autenticación de cada mensaje, sin importar el contenido del mismo. Esto se denomina mensaje seguros.

Privacidad de datos:Asegura que los datos no son leídos en tránsito. En este caso, no sólo se autentica cada mensaje, sino que también se cifra. Éstos mensajes son privados.

martes, 10 de noviembre de 2015

Historia de SSL y TLS.

Historia de SSL y TLS.

SSL fue desarrollado originalmente por Netscape. La versión 1.0 no fue publicada, la versión 2.0 se publicó en 1995 pero contenía puntos débiles en la seguridad que llevó a ser substituida por la versión 3.0 en 1996.

El protocolo SSL fue desarrollado originalmente por Netscape. La versión 1.0 nunca se entregó públicamente; la versión 2.0 se presentó en febrero de 1995 pero "contenía una cantidad de fallas de seguridad que al final llevaron al diseño de la versión SSL 3.0" Dicha versión, presentada en 1996, fue un rediseño completo del protocolo producido por Paul Kocher, quien trabajó con los ingenieros de Netscape Phil Karlton y Alan Freier. Las versiones más nuevas de SSL/TLS están basadas en SSL 3.0. El borrador de 1996 de SSL 3.0 fue publicado por la IETF como el histórico RFC 6101. En el mes de octubre de 2014, se generó una nueva vulnerabilidad sobre el protocolo SSL en su versión 3.0, Vulnerabilidad de Poodle.

TLS 1.0 fue definido en el RFC 2246 en enero de 1999 y es una actualización de SSL versión 3.0. Como dice el RFC, "las diferencias entre este protocolo y SSL 3.0 no son dramáticas, pero son significativas en impedir la interoperabilidad entre TLS 1.0 y SSL 3.0". TLS 1.0 incluye una forma en la cual la implementación puede conectarse en SSL 3.0, debilitando la seguridad.

Funcionamiento.

El cliente envía y recibe varias estructuras handshake:

Envía un mensaje ClientHello especificando una lista de conjunto de cifrados, métodos de compresión y la versión del protocolo SSL más alta permitida. Éste también envía bytes aleatorios que serán usados más tarde (Cliente o Reto). Además puede incluir el identificador de la sesión.
Después, recibe un registro ServerHello, en el que el servidor elige los parámetros de conexión a partir de las opciones ofertadas con anterioridad por el cliente.
Cuando los parámetros de la conexión son conocidos, cliente y servidor intercambian certificados (dependiendo de las claves públicas de cifrado seleccionadas). Estos certificados son actualmente X.509, pero hay también un borrador especificando el uso de certificados basados en OpenPGP.

TLS/SSL poseen una variedad de medidas de seguridad:

Numerando todos los registros y usando el número de secuencia en el MAC.
Usando un resumen de mensaje mejorado con una clave (de forma que solo con dicha clave se pueda comprobar el MAC). Esto se especifica en el RFC 2104).
Protección contra varios ataques conocidos (incluyendo ataques man-in-the-middle), como los que implican un degradado del protocolo a versiones previas (por tanto, menos seguras), o conjuntos de cifrados más débiles.
El mensaje que finaliza el protocolo handshake (Finished) envía un hash de todos los datos intercambiados y vistos por ambas partes.
La función pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa con algoritmos hash diferentes (MD5 y SHA), después realiza sobre ellos una operación XOR. De esta forma se protege a sí mismo de la eventualidad de que alguno de estos algoritmos se revelen vulnerables en el futuro.

jueves, 22 de octubre de 2015

Encriptacion (cifrado).

Historia.
La historia de la criptografía clásica los métodos de cifrado que usan papel y lápiz, o quizás ayuda mecánica sencilla, esto se remonta a miles de años.

Segunda Guerra mundial.
Durante la segunda guerra mundial un grupo de científicos trabajaba en Enigma, la máquina encargada de cifrar los mensajes secretos alemanes. Las máquinas de cifrado mecánicas y electromecánicas se utilizaban extensamente, aunque allá donde estas máquinas eran poco prácticas los sistemas manuales continuaron en uso. Se hicieron grandes avances en la rotura de cifrados, todos en secreto.

¿Que es ?

La encriptación es el proceso para volver ilegible la información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Es una medida de seguridad que es usada para almacenar o transferir información delicada. Pueden ser contraseñas, números de tarjetas de crédito, conversaciones privadas, entre otros. Para encriptar y desencriptar la información se utilizan fórmulas matemáticas que a la vez son muy complejas, para poder desencriptar se necesita un tipo de clave ya sea publica o privada.

Cifrado RSA.

El algoritmo RSA es un algoritmo de clave pública desarrollado en 1977 en el MIT por Ronald Rivest, Adi Shamir y Leonard Adelman.

Fue registrado el 20 de Septiembre de 1983. El 20 de Septiembre del 2000, tras 17 años, expiró la patente RSA, pasando a ser un algoritmo de dominio público.

Este popular sistema se basa en el problema matemático de la factorización de números grandes.
RSA, como ya se ha indicado, se basa en la dificultad que presenta la factorización de números grandes. Las claves pública y privada se calculan a partir de un número que se obtiene como producto de dos primos grandes. Un atacante que quiera recuperar un texto claro a partir del criptograma y de la clave pública, tiene que enfrentarse a dicho problema de factorización.

Para romper un cifrado RSA, podemos probar varias vías. Aparte de factorizar n, que ya sabemos que es un problema computacionalmente intratable en un tiempo razonable, podríamos intentar probar por un ataque de fuerza bruta tratando de encontrar la clave privada, probando sistemáticamente con cada uno de los números posibles del espacio de claves.

Cifrado MD5.
A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash.
Es un algoritmo de reducción criptográfico de 128 bits ampliamente usado.
La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida.

Cifrado SHA-1.
SHA-1 ha sido examinado muy de cerca por la comunidad criptográfica pública, y no se ha encontrado ningún ataque efectivo. No obstante, en el año 2004, un número de ataques significativos fueron divulgados sobre funciones criptográficas de hash con una estructura similar a SHA-1; lo que ha planteado dudas sobre la seguridad a largo plazo de SHA-1.

SHA-0 y SHA-1 producen una salida resumen de 160 bits (20 bytes) de un mensaje que puede tener un tamaño máximo de 264 bits, y se basa en principios similares a los usados por el profesor Ronald L. Rivest del MIT en el diseño de los algoritmos de resumen de mensaje MD4 y MD5.

miércoles, 30 de septiembre de 2015

El Auditor y la Organización. "Comentario".

La auditoria nos sirve para poder evaluar y verificar los procesos de una organización para poder llevar el fácil control, así nos podremos dar cuenta del error manejo de la organización o alguna desviación que se vaya teniendo en cada proceso y procedimiento del desarrollo de cualquier tarea o actividad que se vaya elaborando.

Por otra parte nos ayuda a mejorar cada proceso que tengamos que realizar en algún momento dependiendo de la política de la empresa, al igual que se pueden implementar nuevas normas de organización en la empresa para su mejora continua de la misma, la auditoria informática se encarga de evaluar y como la palabra lo dice de auditar los sistemas informáticos, tiene varios puntos de evaluación, ya sea los Datos, el equipo de computo, seguridad lógica, etc..

lunes, 28 de septiembre de 2015

Auditoria

Concepto de auditoria.

Para realizarla se utilizan técnicas de revisión y verificación idóneas; con ellas se planifica el trabajo de auditoria y se establecen programas y procedimientos documentados tanto en los Papeles de Trabajo como en los archivos correspondientes (temporal y permanente).

Consiste en el examen de las cuentas que han de expresar la imagen fiel del patrimonio y de la situación financiera, así como el resultado de las operaciones y el sistema de control interno: el auditor constata la razonabilidad de la información contable en los aspectos significativos determinados por el principio de importancia relativa. El control interno analiza que se cumplan las directrices de la dirección, la protección de activos y la ausencia de errores y fraude.

Es una actividad desarrollada por persona cualificada e independiente; es decir, con una titulación académica, experiencia profesional y competencia, y con presunción de independencia de criterio en virtud de las normas vigentes, sin intereses o influencias que menoscaben la objetividad.

Concepto de auditoria informática.

Detectar evidencias de riesgos y/o problemas en el apoyo informático a los procesos de negocios originados por un mal uso informático y/o del control.

Por tanto la auditoría informática debe analizar:

La función informática, que engloba el análisis de la organización, seguridad, segregación de funciones y gestión de las actividades de proceso de datos.

Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que fueron diseñados.

Objetivos.

· Verificar el control interno de la función informática.

· Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes.

· Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.

· Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.

(Avilés, 2009)

Mapa Jerárquico.

Funciones de la auditoria informática.

Funciones mínima

Evaluación y verificación de los controles y procedimientos relacionados con la función de informática dentro de la organización.

La validación de los controles y procedimientos utilizados para el aseguramiento permanente del uso eficiente de los sistemas de información computarizados y de los recursos de informática dentro de la organización.

ü Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática.

ü Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización.

ü Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional.

ü Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio.

ü Elaborar un plan de auditoria en informática en los plazos determinados por el responsable de la función.

ü Obtener la aprobación formal de los proyectos del plan y difundidos entre los involucrados para su compromiso.

ü Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática.

(Hernández & Echenique, 2000, 2003)

Características.

ü Realizada con criterios de eficiencia, eficacia y economía

ü Empleo de técnicas y enfoques apropiados en el plan de auditoría y al determinar prioridades para la asignación de los recursos.

ü Emplea un enfoque de auditoría basado en riesgos

ü Identificar y evaluar riesgos relevantes

ü Labor de auditoría de SI debe ser supervisada

ü Basada en evidencia suficiente, confiable y pertinente

ü Que permita alcanzar los objetivos de auditoría y obtener conclusiones objetivas y razonables del resultado de la auditoría

ü Determinar la naturaleza, plazos y alcance de los procedimientos de auditoría que adelantará.

ü Realizada con actitud de escepticismo profesional

ü Considerar la materialidad de la auditoría

ü Y su relación con el riesgo de auditoría

(Sosa)

Los principios que guían el diseño de la estructura de la organización

Principio de autoridad y jerarquía: se fundamenta en la existencia en la empresa diferentes niveles de autoridad, ordenados en jerarquías según el grado de responsabilidad y control.

Principio de unidad de dirección: debe existir una dirección única encargada de definir los objetivos generales y estrategia de la empresa, ejemplo: el director o gerente general.

Principio de departamentalización: consiste en la agrupación de tareas y funciones en áreas funcionales, departamentos o divisiones que coordinen las diferentes relaciones de la empresa. (HEREDIA SCASSO, 2005)

La partes fundamentales de una organización:

Ø Núcleo de operaciones: conformado por los empleados operarios que realizan funciones básicas de compra, producción, ventas, entre otras;

Ø El ápice estratégico: son los altos directivos, ocupan los cargos de mayor jerarquía y supervisan todo el sistema, son responsables de hacer realidad la misión, visión y diseño del plan estratégico.

Ø Línea media: profesionales responsables de las áreas funcionales, y departamentos, divisiones y procesos; ejemplo: los jefes de departamentos.

Ø Tecno-estructura: son analistas responsables del estudio, planeación y control en la organización, normalizan las actividades de la empresa.

Ø Staff de apoyo: son unidades especializadas que se encargan de asesorar en temas específicos, asesor fiscal, de finanzas, o cualquier profesional que asesora al gerente en procesos y toma de decisiones. (HEREDIA SCASSO, 2005)

Importancia de la estructura organizacional de la empresa

Ø Permite darle organización y control a la empresa.

Ø Ayuda a establecer estrategias y distribuir las responsabilidades para el logro de objetivos y metas.

Ø Define los deberes, responsabilidades y actividad de cada persona.

Ø Fija líneas de autoridad y subordinación de cada persona, lo que cada uno debe hacer para alcanzar las metas. (HEREDIA SCASSO, 2005)

Políticas de la Organización (Reglas de negocio)

Política

Es la orientación o directriz que debe ser divulgada, entendida y acatada por todos los miembros de la organización, en ella se contemplan las normas y responsabilidades de cada área de la organización. Las políticas son guías para orientar la acción; son lineamientos generales a observar en la toma de decisiones, sobre algún problema que se repite una y otra vez dentro de una organización. En este sentido, las políticas son criterios generales de ejecución que complementan el logro de los objetivos y facilitan la implementación de las estrategias. Las políticas deben ser dictadas desde el nivel jerárquico más alto de la empresa. (RUBIO DOMINGUEZ, 2006)

Tipos de políticas

Generales; son las que aplica a todos los niveles de la organización, son de alto impacto o criticidad, por ejemplo: políticas de presupuesto, políticas de compensación, política de la calidad, política de seguridad integral, entre otras.

Específicas; son las que aplican a determinados procesos, están delimitadas por su alcance.

Metodología recomendada

Ø Fase I: Diseño y desarrollo de la política, en la cual se contempla desde la necesidad, definición, hasta su redacción.

Ø Fase II: Validación y aprobación de la política, se procede a realizar las revisiones y ajustes requeridos, para su posterior aprobación por parte de los involucrados.

Ø Fase III: Divulgación a todos los niveles de la organización, consiste en formalizar a todos los miembros de la organización la vigencia y aplicación de la misma.

Ø Fase IV: Mantenimiento de la política en cuanto a cumplimiento y vigencia, se refiere a los ajustes o actualizaciones que requiera dicho instrumento, se recomienda hacer revisiones y/o actualizaciones al menos una vez por año. (RUBIO DOMINGUEZ, 2006)

Beneficios de la aplicación de las políticas

Ø Aseguran un trato equitativo para todos los empleados.

Ø Generan seguridad de comunicación interna en todos los niveles.

Ø Es fuente de conocimiento inicial, rápido y claro, para ubicar en su puesto nuevos empleados.

Ø Facilita una comunicación abierta y promueve la honestidad.

Ø Desarrolla la autoridad, poder y liderazgo.

Ø Asegura la confianza, transparencia, objetividad y aprendizaje.

Ø Son indispensables para una adecuada delegación de autoridad.

Ø Reflejan la imagen de la empresa y deben reajustarse a tiempo. (RUBIO DOMINGUEZ, 2006)

Manual de políticas de la organización

Es un documento que tiene como propósito fundamental integrar en forma ordenada las normas y actividades que se deben realizar para que se opere de acuerdo a las necesidades de la empresa, además de proporcionar elementos de apoyo en la toma de decisiones y servir de guía en la inducción de nuevos empleados. (RUBIO DOMINGUEZ, 2006)

Contenido

Este documento contiene elementos muy importantes, tales como:

Ø objetivos principales

Ø políticas generales y operativas

Ø procedimientos

Ø diagramas

Ø formularios

Ø flujos del trabajo

Ventajas

Este tipo de manuales ayuda a la ejecución correcta de todas y cada una de las actividades, procurando uniformar el trabajo, además de que facilita la operación de las actividades a fin de hacer eficiente un proceso.

También permite a las personas que lo leen obtener elementos para desarrollar de mejor manera sus actividades dentro de la empresa, de acuerdo a sus políticas, y presenta una alternativa para la empresa que desea optimar sus actividades. (RUBIO DOMINGUEZ, 2006)

Características de los manuales de políticas de la organización

Ø Las políticas escritas requieren que los administradores piensen a través de sus cursos de acción y predeterminen que acciones se tomarán bajo diversas circunstancias.

Ø Se proporciona un panorama general de acción para muchos asuntos, y solamente los asuntos poco usuales requieren la atención de altos directivos.

Ø Se proporciona un marco de acción dentro del cual el administrador puede operar libremente.

Ø Las políticas escritas ayudan a asegurar un trato equitativo para todos los empleados.

Ø Las políticas escritas generan seguridad de comunicación interna en todos los niveles.

Ø El manual de políticas es fuente de conocimiento inicial, rápido y claro, para ubicar en su puesto nuevos empleados. (RUBIO DOMINGUEZ, 2006)

Tipos de manuales de políticas y sus apartados.

Los Manuales de Políticas por el alcance de su información se clasifican en:

Manuales Generales de Políticas

Abarcan a toda la Institución, incluye como elemento primario todas aquellas disposiciones generales, las cuales las establece cada unidad administrativa a efectos de sus propias responsabilidades y autoridad funcional. (STONER & FREEMA, 2002)

Manuales específicos de Políticas

Se ocupan de una función operacional o una unidad administrativa en particular.

Interpretación del manual de procedimientos de la organización

Proceso

Un proceso es un conjunto de actividades planificadas que implican la participación de

un número de personas y de recursos materiales coordinados para conseguir un objetivo

previamente identificado. Se estudia la forma en que el Servicio diseña, gestiona y mejora sus procesos (acciones) para apoyar su política y estrategia y para satisfacer plenamente a sus clientes y otros grupos de interés. (STONER & FREEMA, 2002)

Rol

El papel que despliega un individuo o un grupo en una actividad determinada, implica una serie de conductas, derechos y normas que fueran definidos por la sociedad oportunamente y que por tanto se espera que una persona despliegue y cumpla en función del estatus social que ostenta. Como sabemos, en el amplio grupo de una sociedad, nos encontramos con integrantes que disponen diversos status: altos, bajos, medios, en tanto, a cada uno le corresponderá un rol determinado.

Función

Es básicamente un proceso que se lleva a cabo o pone en práctica en algo, en un ámbito como el laboral por ejemplo, para que despliegue las tareas para lo cual fue ideado y pensado y que entonces a la persona que lo utiliza o lo pone en práctica, le reporte lo que se conoce como funcionalidad, que es, a grandes rasgos, que le sirva y que le retribuya a quien utiliza el funcionamiento en cuestión, beneficios o ganancias por el hecho de usar el mismo, que se pueden materializar en un aparato o en un sofisticado invento. (STONER & FREEMA, 2002)

Manual

Se denomina manual a toda guía de instrucciones que sirve para el uso de un dispositivo, la corrección de problemas o el establecimiento de procedimientos de trabajo. Los manuales son de enorme relevancia a la hora de transmitir información que sirva a las personas a desenvolverse en una situación determinada. En general los manuales son frecuentes acompañando a un determinado producto que se ofrece al mercado, como una forma de soporte al cliente que lo adquiere. En este caso, el manual suele tener una descripción del producto y de la utilización que del mismo debe hacerse, ya sea para obtener un buen rendimiento de éste como para dar cuenta de posibles problemas y la forma de evitarlos. (STONER & FREEMA, 2002)

Ventajas de los manuales

Ø Mantienen una sólida organización de las actividades

Ø Ayudan a que todos los miembros de la organización estén enterados de las funciones a desempeñar.

Ø Delimitar funciones, actividades y responsabilidades

Ø Evitar duplicidad de funciones

Ø Sistematizar las actividades

Ø Ayudan a la evaluación de puestos

Ø Adiestran a los nuevos integrantes (STONER & FREEMA, 2002)

Tipos de manuales de la organización

Manual para especialistas

Contiene normas o indicaciones referidas exclusivamente a determinado tipo de actividades u oficios. Se busca con este manual orientar y uniformar la actuación de los empleados que cumplen iguales funciones. (STONER & FREEMA, 2002)

Manual del empleado

Contiene aquella información que resulta de interés para los empleados que se incorporan a una empresa sobre temas que hacen a su relación con la misma, y que se les entrega en el momento de la incorporación. Dichos temas se refieren a objetivos de la empresa, actividades que desarrolla, planes de incentivación y programación de carrera de empleados, derechos y obligaciones, entre otros. (STONER & FREEMA, 2002)

Manual de propósitos múltiples

Reemplaza total o parcialmente a los mencionados anteriormente, en aquellos casos en los que la dimensión de la empresa o el volumen de actividades no justifique su confección y mantenimiento. (STONER & FREEMA, 2002)

Manual de procedimientos

Un manual de procedimientos es un instrumento administrativo que apoya el quehacer cotidiano de las diferentes áreas de una empresa.

En los manuales de procedimientos son consignados, metódicamente tanto las acciones como las operaciones que deben seguirse para llevar a cabo las funciones generales de la empresa. Además, con los manuales puede hacerse un seguimiento adecuado y secuencial de las actividades anteriormente programadas en orden lógico y en un tiempo definido.

Los procedimientos, en cambio, son una sucesión cronológica y secuencial de un conjunto de labores concatenadas que constituyen la manera de efectuar un trabajo dentro de un ámbito predeterminado de aplicación.

Todo procedimiento implica, además de las actividades y las tareas del personal, la determinación de los tiempos de realización, el uso de recursos materiales, tecnológicos y financieros, la aplicación de métodos de trabajo y de control para lograr un eficiente y eficaz desarrollo en las diferentes operaciones de una empresa. (SERRAT, 2003)

Las ventajas de contar con manuales de procedimientos

Ø Auxilian en el adiestramiento y capacitación del personal.

Ø Auxilian en la inducción al puesto.

Ø Describen en forma detallada las actividades de cada puesto.

Ø Facilitan la interacción de las distintas áreas de la empresa.

Ø Indican las interrelaciones con otras áreas de trabajo.

Ø Permiten que el personal operativo conozca los diversos pasos que se siguen para el desarrollo de las actividades de rutina.

Ø Permiten una adecuada coordinación de actividades a través de un flujo eficiente de la información.

Ø Proporcionan la descripción de cada una de sus funciones al personal.

Ø Proporcionan una visión integral de la empresa al personal.

Ø Se establecen como referencia documental para precisar las fallas, omisiones y desempeños de los empleados involucrados en un determinado procedimiento. (SERRAT, 2003)

Elaboración

Para elaborar un manual de procedimientos hay que seguir los siguientes pasos:

Definir el contenido:

Ø Introducción

Ø Objetivos

Ø Áreas de aplicación

Ø Responsables

Ø Políticas

Ø Descripción de las operaciones

Ø Formatos

Ø Diagramas de flujo

Ø Terminología

Recopilación de información.

Estudio preliminar de las áreas.

Elaboración de inventario de procedimientos.

Integración de la información.

Análisis de la información.

Graficar los procedimientos.

Revisión de objetivos, ámbito de acción, políticas y áreas responsables.

Implantación y recomendaciones para la simplificación de los procedimientos. (SERRAT, 2003)

Las fuentes de información más comunes son:

Ø Archivos de la empresa.

Ø Directivos, ejecutivos asesores y empleados.

Los métodos para compilar la información son:

Ø Encuestas.

Ø Investigación documental.

Ø Observación directa.

Revisión, aprobación, distribución e implantación

Una vez concluido el documento tiene que ser revisado para verificar que la información esté completa, que sea veraz y no tenga contradicciones.

El responsable de cada área de la empresa debe aprobar el contenido para su impresión, difusión y distribución con los ejecutivos y empleados que deben tenerlo. Para implantar el manual se requiere capacitar al personal encargado de realizar las actividades.

Actualización

Es necesario mantener los manuales permanentemente actualizados. Mediante revisiones periódicas, a fin de tenerlos apegados a la realidad de la operación.

Manual de objetivos y políticas

Un Manual de Objetivos y Políticas expresa por escrito los objetivos y políticas de una organización definiendo el marco general a través del cual se determina la ejecución de acciones concretas.

Contenido

El Manual de Objetivos y Políticas estaría conformado por la descripción de los objetivos y políticas generales y específicos de la Empresa y de cada una de las áreas. Comúnmente se suelen confundir los términos de objetivo y política, es por esto que a continuación definimos cada una de ellos. (SERRAT, 2003)

Características

Ø Es una guía de decisiones

Ø Es un medio de transmisión de actitudes de la alta dirección

Ø Es un marco dentro del cual el personal directivo actúa y orienta las actividades y objetivos, según convenga las condiciones de las diferentes áreas de la empresa.

Ø Es un instrumento permanente de consulta.

Ø Ayuda a la planificación, organización, coordinación y control de la Empresa, como instrumentos útiles para la dirección de la misma. (SERRAT, 2003)

Manual departamental

Estos manuales contienen información detallada referente a los antecedentes, legislación, atribuciones, estructura, organigrama, misión, y funciones organizacionales.

Cuando corresponden a un área específica incluyen la descripción de puestos de manera opcional, pueden representar el directorio de la organización, contienen:

Ø Finalidad de cada elemento de la organización

Ø Declaración de funciones.

Ø Objetivos generales de la organización.

Ø Políticas generales.

Ø Glosario de términos administrativos

Ø Nombres de aéreas o departamentos y puestos.

Ø Procedimientos de organización

Ø Responsabilidades de los altos niveles

Ø Funciones

Ø Cartas de organización

Ø Descripción de puestos

Ø Descripción de actividades

Ø Introducción y objetivos del manual

Ø Historia de la empresa

Recursos Humanos

Capital humano

Conjunto de las capacidades productivas que un individuo adquiere por acumulación de conocimientos generales o específicos. Busca dar cuenta de distintas ventajas en términos de generación de valor considerando al aporte humano que se realiza en un mercado determinado. Por extensión, muchas veces se utiliza el término “capital humano” para dar cuenta de los recursos humanos que tiene una empresa, de sus competencias conjugadas que derivan en una mejora general en la producción. (AGUIRRE & M.P, 2000)

Recursos humanos

Se designa como recursos humanos al conjunto de trabajadores o empleados que forman parte de una empresa o institución y que se caracterizan por desempeñar una variada lista de tareas específicas a cada sector. Los recursos humanos de una empresa son, de acuerdo a las teorías de administración de empresas, una de las fuentes de riqueza más importantes ya que son las responsables de la ejecución y desarrollo de todas las tareas y actividades que se necesiten para el buen funcionamiento de la misma.

Gestión de Recursos Humanos

La gestión de los recursos humanos se encarga de obtener y coordinar a las personas de una organización, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las relaciones humanas. Este proceso requiere un objetivo coherente con las políticas de la empresa en donde este departamento debe de mantener el activo más valioso de cualquier organización como lo son las personas. (IGLESIAS, 1992)

La gestión de las personas contratadas por una organización implica el empleo de las personas, el diseño y desarrollo de los recursos relacionados y lo más importante, la utilización y la compensación a sus servicios para optimizar la rentabilidad del negocio a través de desempeño de los empleados. . (IGLESIAS, 1992)

El Departamento de Gestión de Recursos Humanos es responsable de:

Ø La comprensión y relación con los empleados como individuos, por lo que la identificación de las necesidades individuales que le ayuden ser más efectivo dentro del puesto de trabajo.

Ø Desarrollo de interacciones positivas entre los trabajadores, de forma que se mantenga un ambiente optimo que pueda garantizar una buena productividad en la empresa.

Ø Identificar las áreas que tengan ciertas debilidades en cuanto al conocimiento para desempeñar una buena función en la ejecución de sus tareas, estas debilidades son la base para RR.HH. establecer medidas correctivas en forma de talleres y seminarios.

Ø Generar una tribuna para todos los empleados a expresar sus objetivos y proporcionar los recursos necesarios para llevar a cabo programas de profesional y personal, esencialmente, en ese orden.

Ø Reclutamiento de la fuerza de trabajo requerida, de forma que cuando se exista una vacante disponible, se pueda seleccionar al personal más idóneo para ocupar el puesto.

Ø El departamento de recursos humanos también mantiene una actitud abierta a las quejas de los empleados, en busca de que estos puedan acercarse al Departamento de RR.HH. a llevar cualquier inquietud que le afecte dentro del área laboral.

Ø Es el departamento responsable de realizar las evaluaciones de desempeño de cada uno de los trabajadores de la empresa, de forma que estas puedan servir de base para cualquier promoción de igual forma identificar cualquier debilidad que pueda servir para brindar al empleado capacitaciones acorde a la debilidad encontrada.

Ø Promociones, transferencias o la expulsión de los servicios prestados por el empleado son algunas de las funciones que son aplicadas por el departamento de recursos humanos. Las promociones se llevan a cabo, y se basan principalmente en el rendimiento global del individuo, acompañado por el lapso o la tenencia que ha servido a la organización. . (IGLESIAS, 1992)

Condiciones necesarias para diseñar e implementar un SGRH

Ø Claridad en los objetivos propuestos y coincidencia entre los estratégicos y los individuales.

Ø Esfuerzo global planificado de cambio que involucre y comprometa a todos los trabajadores.

Ø Participación activa de los cuadros de dirección

Ø Prioridad para los elementos de necesidad inmediata y que satisfagan las expectativas del personal. . (IGLESIAS, 1992)

Ventajas

Ø Mejoramiento de la organización, planificación y control de los recursos humanos.

Ø Brinda claridad a los trabajadores sobre los objetivos y funciones que se deben alcanzar

Ø Mejora el clima y ambiente de trabajo.

Ø Sistemas salariales en correspondencia con la actividad que se desarrolla.

Ø Incremento de la motivación de los trabajadores

Ø Mayor integración. . (IGLESIAS, 1992)

Proceso de selección en Recursos humanos

Análisis y descripción del puesto a cubrir

Toda selección de personal parte, como hemos visto, de una demanda. El origen de un proceso de selección es la necesidad de cubrir un puesto de trabajo. Para ello es necesario conocer información del puesto y los requisitos necesarios para poder determinar qué persona se adecuará mejor al mismo. En función de toda esta información se podrá iniciar la búsqueda de candidatos. . (IGLESIAS, 1992)

Reclutamiento de candidatos

Cada vez son más las empresas que subcontratan los servicios de empresas para realizar el primer filtro de candidatos, especialmente para los proceso de selección externa. Las consultoras especializadas en este tipo de selección recogen los criterios establecidos por empresa en la descripción de necesidades del puesto funciones, competencias y recurren a sus fuentes de información para presentar a sus clientes un número determinado de candidatos. . (IGLESIAS, 1992)

Preselección de candidatos

En esta fase se deberá llevar a cabo un análisis de toda la información recibida de los candidatos realizando un estudio teniendo en cuenta todos los datos de análisis y valoración recabados en momentos anteriores del proceso. Se analizarán los historiales buscando la mayor adecuación con los requerimientos extraídos durante el análisis. . (IGLESIAS, 1992)

Realización de pruebas

La finalidad de esta fase es la de obtener información relativa a las aptitudes, actitudes, capacidades del candidato de cara al desempeño del puesto de trabajo. . (IGLESIAS, 1992)

Valoración de candidaturas

En esta fase debemos tener suficientes elementos de juicio para poder elegir el candidato más adecuado. Con todos los datos disponibles el seleccionador deberá evaluar las candidaturas finales y elaborar un informe apoyándose en los datos obtenidos durante el proceso que sean considerados como necesarios para la adecuación de la persona al puesto de trabajo. . (IGLESIAS, 1992)

Entrevista final

En esta última entrevista el candidato se reunirá con aquella o aquellas personas con las que se relacionará de forma directa en el desempeño de su puesto de trabajo, es decir, con los supervisores o jefes inmediatos y los directivos de las distintas áreas o departamentos. Es importante destacar el papel relevante que el responsable de un equipo de trabajo tiene en la selección de sus colaboradores, ya que será él, en la mayoría de los casos, quién tome la decisión de la elección final del candidato. (IGLESIAS, 1992)

Plan de acogida

El plan de acogida comienza con el primer contacto de la persona seleccionada con la nueva empresa y el objetivo del mismo es el de llevar a cabo una serie de actividades dirigidas a lograr su integración en la Organización. (IGLESIAS, 1992)

Seguimiento

Mediante la elaboración de un plan de seguimiento se podrá valorar el grado de adecuación persona/puesto y, por tanto, el éxito del proceso de selección. . (IGLESIAS, 1992)

Diagnóstico de la situación actual.

Diagnóstico.

Las necesidades de diagnosticar, evaluar, analizar y, eventualmente, iniciar un proceso de desarrollo en la organización, pueden tener diversos orígenes:

• El proceso natural de crecimiento de la organización, que hace difícil continuar con los mismos esquemas organizativos anteriores, apropiados para una organización más pequeña, referida a otro mercado, con otra competencia y responsabilidades diversas.

• El proceso natural de deterioro de la organización, es posible que la organización vea envejecer su personal, sus equipos, sus edificios. Es posible, además, que su producto haya ido quedando obsoleto

• La organización ha sido sometida a cambios de importancia. En este caso, se requiere del diagnóstico como una forma de conocer el impacto que estos cambios han tenido en los diferentes sectores y subsistemas de la organización o prevenir las transformaciones que pudieran ser provocadas por los cambios que se implementarán.

• El aumento de complejidad del entorno de la organización demanda un cambio correspondiente en la complejidad de la propia organización. Así mismo como Rodríguez (1999) indica que la organización siempre es menos compleja que su entorno, pero debe mantener con este una cierta relación para actuar selectivamente con la complejidad del entorno. Si la complejidad del entorno aumenta (por ejemplo, con un cambio político, económico, social u otros), la organización se verá obligada a aumentar correspondientemente su complejidad interna. La organización cambia permanentemente, en congruencia con los cambios de su entorno, y suponer que no lo ha hecho equivale a caminar a ciegas, suponiendo que se conoce el camino.

• La organización desea mejorar su clima, aumentar la motivación de sus miembros, hacer, en definitiva, más agradable el trabajo dentro de ella. Para esto, se hace necesario conocer las aspiraciones y los problemas que los trabajadores tienen, para buscar una forma de superación de dificultades y de generación de este nuevo clima laboral más grato.

(Claudia M. Valenzuela, 2010)

Diagnóstico de negocio u organización.

Para la realización del diagnóstico organizacional se requiere partir desde el origen mismo de la empresa, de su misión, visión, objetivos y propósitos. Con base a ellos se fijan las estrategias necesarias para lograrlos. Cada estrategia ira encaminada hacia la consecución de cada uno de los objetivos y lineamientos de la empresa.

Las estrategias hacen referencia a cómo lograr un objetivo, y estas deberás ser lo mas eficiente posible. No olvidemos que casi toda organización dispone de unos recursos limitados los que deben ser correctamente administrados con el fin de maximizar sus utilidades, lo que hace imperativo diseñar unas estrategias con base en la situación real de la empresa. Esto quiere decir que se debe realizar un estudio y un análisis interno de la organización que permita conocer a fondo tanto las debilidades como las fortalezas, las oportunidades y amenazas de la empresa, y es esta herramienta la que nos va a permitir hacer un diagnóstico de la empresa, del cual se partirá para rediseñar las estrategias o para crearlas desde cero si es que estas no existen.

(Gerencie, s.f.)

Diagnóstico de la función informática de la organización.

El servicio de diagnóstico consiste en determinar el estatus del área de Tecnología en cuanto a su organización y estructura, infraestructura, operaciones, procesos y seguridad de tal suerte que se identifiquen las acciones que permitan brindar un servicio más oportuno, eficiente y seguro. Este diagnóstico permite también evaluar sus necesidades, establecer prioridades y planificar con miras a lograr un área de Tecnología, con una operación eficiente, estable y segura. Este servicio incluye lo siguiente:

Diagnóstico de la situación actual

· Organización y estructura del Centro de Cómputo

· Infraestructura tecnológica

· Operación del Centro de Cómputo

· Aplicaciones actuales

Diagnóstico de Seguridad Informática

· Identificación de riesgos

· Análisis de los Controles actuales: Administrativos, Operacionales y Técnicos

· Revisión general de los procesos

(InfoTechnology, s.f.)

Áreas de oportunidad.

Para identificar las áreas de oportunidad que existen dentro de la organización es importante tomar en cuenta el análisis FODA, ya que a través de este y otros instrumentos que se manejen o implemente en la empresa podrán otorgar o presentar un mejor resultado.

Recordando el análisis FODA consiste en:

FODA (en inglés SWOT), es la sigla usada para referirse a una herramienta analítica que le permitirá trabajar con toda la información que posea sobre su negocio, útil para examinar sus Fortalezas, Oportunidades, Debilidades y Amenazas.

Este tipo de análisis representa un esfuerzo para examinar la interacción entre las características particulares de su negocio y el entorno en el cual éste compite. El análisis FODA tiene múltiples aplicaciones y puede ser usado por todos los niveles de la corporación y en diferentes unidades de análisis tales como producto, mercado, producto-mercado, línea de productos, corporación, empresa, división, unidad estratégica de negocios, etc). Muchas de las conclusiones obtenidas como resultado del análisis FODA, podrán serle de gran utilidad en el análisis del mercado y en las estrategias de mercadeo que diseñé y que califiquen para ser incorporadas en el plan de negocios.

El análisis FODA debe enfocarse solamente hacia los factores claves para el éxito de su negocio. Debe resaltar las fortalezas y las debilidades diferenciales internas al compararlo de manera objetiva y realista con la competencia y con las oportunidades y amenazas claves del entorno.

Lo anterior significa que el análisis FODA consta de dos partes: una interna y otra externa.

La parte interna tiene que ver con las fortalezas y las debilidades de su negocio, aspectos sobre los cuales usted tiene algún grado de control.

La parte externa mira las oportunidades que ofrecen el mercado y las amenazas que debe enfrentar su negocio en el mercado seleccionado. Aquí usted tiene que desarrollar toda su capacidad y habilidad para aprovechar esas oportunidades y para minimizar o anular esas amenazas, circunstancias sobre las cuales usted tiene poco o ningún control directo.

Fortalezas y Debilidades

Considere áreas como las siguientes:

Análisis de Recursos

Capital, recursos humanos, sistemas de información, activos fijos, activos no tangibles.

Análisis de Actividades

Recursos gerenciales, recursos estratégicos, creatividad

Análisis de Riesgos

Con relación a los recursos y a las actividades de la empresa.

Análisis de Portafolio

La contribución consolidada de las diferentes actividades de la organización.

Hágase preguntas como éstas:

¿Cuáles son aquellos cinco a siete aspectos donde usted cree que supera a sus principales competidores?

¿Cuáles son aquellos cinco a siete aspectos donde usted cree que sus competidores lo superan?

Al evaluar las fortalezas de una organización, tenga en cuenta que éstas se pueden clasificar así:

Fortalezas Organizacionales Comunes

Cuando una determinada fortaleza es poseída por un gran número de empresas competidoras. La paridad competitiva se da cuando un gran número de empresas competidoras están en capacidad de implementar la misma estrategia.

Fortalezas Distintivas

Cuando una determinada fortaleza es poseída solamente por un reducido número de empresas competidoras. Las empresas que saben explotar su fortaleza distintiva, generalmente logran una ventaja competitiva y obtienen utilidades económicas por encima del promedio de su industria. Las fortalezas distintivas podrían no ser imitables cuando:

Su adquisición o desarrollo pueden depender de una circunstancia histórica única que otras empresas no pueden copiar.

Su naturaleza y carácter podría no ser conocido o comprendido por las empresas competidoras. (Se basa en sistemas sociales complejos como la cultura empresarial o el trabajo en equipo).

Fortalezas de Imitación de las Fortalezas Distintivas

Es la capacidad de copiar la fortaleza distintiva de otra empresa y de convertirla en una estrategia que genere utilidad económica.

La ventaja competitiva será temporalmente sostenible, cuando subsiste después que cesan todos los intentos de imitación estratégica por parte de la competencia.

Al evaluar las debilidades de la organización, tenga en cuenta que se está refiriendo a aquellas que le impiden a la empresa seleccionar e implementar estrategias que le permitan desarrollar su misión. Una empresa tiene una desventaja competitiva cuando no está implementando estrategias que generen valor mientras otras firmas competidoras si lo están haciendo.

Oportunidades y Amenazas

Las oportunidades organizacionales se encuentran en aquellas áreas que podrían generar muy altos desempeños. Las amenazas organizacionales están en aquellas áreas donde la empresa encuentra dificultad para alcanzar altos niveles de desempeño.

Considere:

Análisis del Entorno

Estructura de su industria (Proveedores, canalés de distribución, clientes, mercados, competidores).

Grupos de interés

Gobierno, instituciones públicas, sindicatos, gremios, accionistas, comunidad.

El entorno visto en forma más amplia

Aspectos demográficos, políticos, legislativos, etc.

(AuditOrgani., s.f.)

Tipos de control.

Incluye los procesos de planeación, organización, políticas, métodos y procedimientos que en forma coordinada adopta la dependencia o entidad con el propósito de promover la eficiencia operacional y lograr los objetivos.

Los controles internos se clasifican en los siguientes:

· Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

· Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones. etc.

· Controles correctivos: Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

Metodología para el establecimiento de controles

Para la implantación de un sistema de controles internos informáticos habrá que definir:

· Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

· Administración de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

· Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

· Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.