Riesgos y Control-Proteccion de Datos (Biblioteca GBM)

Universidad del Magdalena – Facultad de Ingeniería

Programa de Ingeniería de Sistemas

1

UNIVERSIDAD DEL MAGDALENA SISTEMA DE INFORMACIÓN BIBLIOTECA “GERMÁN BULA MEYER”

Autores: Miguel Castilla

Leonardo Herrera

Eduardo Llanes

David Sánchez

Estudio de Riesgos y Control

1. Acceso General:

Dentro del sistema de información que maneja la Biblioteca Germán Bula Meyer se

tiene especial cuidado con este nivel de riesgo pues implica el manejo de información

referente a bienes públicos (cualquier tipo de material), lo cual por ley debe tener un

alto grado de control y seguimiento.

Para garantizar la protección de contraseñas se está utilizando un software de control

de acceso, lo anterior acompañado del análisis de Logs e informes periódicos

mensuales que el Sistema genera. La Directora de la Biblioteca pide estos informes al

jefe de sistemas de la Biblioteca y así analizan la posible intrusión por parte de un

usuario no autorizado.

2. Acceso a funciones de procesamiento:

En la actualidad en cuanto a este aspecto se ha detectado una falla, debido a que los

monitores al momento de asumir su responsabilidad de funcionarios, tienen privilegios

sobre la gestión de multas a los clientes (estudiantes y funcionarios de la Universidad

que hacen uso de los servicios de la Biblioteca), lo que no se está teniendo en cuenta es

el hecho de que los monitores a su vez son estudiantes y por lo tanto no deberían tener



2

acceso a este tipo de información ya que podrían llegar a manipularla con el fin de

obtener el propio beneficio o el de alguna persona cercana a ellos que también sea

estudiante o funcionario. En el peor de los casos estaríamos viendo la eliminación de

una multa de la base de datos del sistema de información de la biblioteca, lo que

generaría traumatismo al momento de determinar si una persona puede o no hacer

uso de los recursos que esta nos ofrece.

La única forma de solucionar este inconveniente sería estableciendo un control

detallado de las actividades que se llevan a cabo en el Sistema (por medio de Logs), de

este modo se detectaría la posible falta por parte del monitor que está realizando un

cambio indebido o no autorizado en la base de datos. Es así como se evidencia un

acceso a funciones de procesamiento no debido, pues un usuario autorizado “no está

haciendo lo que debe”.

3. Ingreso de datos:

En cuanto a este aspecto el Sistema de Información de la Biblioteca permite un

adecuado ingreso de los datos. Se manejan diferentes formularios con una serie de

validaciones previas que no permiten fallas al momento de digitar los datos que harán

parte del Sistema.

Los filtros que se manejan antes de confirmar el ingreso de algún dato son:

- Tipo de datos correspondientes a los de la BD.

- Datos en NULL y not NULL.

- Datos clave no repetidos.

Todos estos filtros son aplicados durante ejecución y cuando se le da “submit” a alguno

de los formularios los respectivos mensajes se le presentan al usuario para que haga las

correcciones debidas y así puedan ingresarse los datos indicados.



3

Se detectó además un inconveniente con la información que el sistema tiene referente

a los usuarios, ésta se encuentra desactualizada. Lo anterior se puede atribuir al

método de ingreso de datos de este tipo (archivo plano procedente de la Oficina de

Admisiones Registro y Control Académico), se aconsejaría una conexión entre los

servidores respectivos con el fin de que la información sea actualizada de manera

constante y no se haga necesario ingresar este archivo plano al sistema, que está

causando la desactualización aparente.

4. Ítems rechazados o en suspenso:

Actualmente el Sistema de la Biblioteca Germán Bula Meyer está presentando un

inconveniente, con respecto al manejo del catálogo en línea, que está siendo

estudiado. Este consiste en que algunos libros o material que figura como disponible

muchas veces no se está encontrando en los lugares especificados, esto indica que el

material en realidad se encuentra prestado, lo cual genera descontento por parte de

los clientes (estudiantes y funcionarios) al momento de realizar su consulta.

Se detecta una posible falla al momento de generar la transacción o el movimiento en

el sistema del estado “disponible” al estado “no disponible” (prestado).

5. Procesamiento:

Las transacciones procesadas o generadas por el sistema de información de la

Biblioteca Germán Bula Meyer se encuentran controladas por una serie de rutinas de

control de secuencia, de este modo se lleva un control detallado de éstas y además se

evitan posibles fallas de procesamiento o transacciones incompletas.

Además por medio de reportes semanales se informa sobre posibles fallas de

procesamiento o transacciones inconclusas con el fin de corregirlas.



4

6. Estructura organizativa del departamento de Sistemas:

En la Biblioteca Germán Bula Meyer no existe en la actualidad un departamento de

Sistemas establecido como tal, pero si un encargado de la labor de manejo de la

tecnología y el sistema de información interno. Dicho encargado tiene un control

pormenorizado del Sistema de Información de la Biblioteca.

Es necesario aclarar una falla en este aspecto, debido a la no existencia de una persona

o asistente que logre suplir las labores o el rol del encargado de tecnología, lo cual

generaría traumatismos al momento de que exista una falla y esta persona no esté

presente por algún motivo de fuerza mayor.

Se propone la existencia de un manual de operaciones que permita llevar un control

detallado de las transacciones que se llevan a cabo, a la vez de monitorear el Sistema.

Lo anterior con el fin de que algún otro funcionario de la Biblioteca, con la debida

autorización de la Directora, pueda entrar a suplir la ausencia del encargado de

tecnologías de la Biblioteca.

7. Cambios no autorizados:

Este tipo de riesgo, en lo relacionado con cambios de línea de código por parte de

personas no autorizadas, no se presenta comúnmente en el Sistema de Información de

la Biblioteca Germán Bula Meyer teniendo en cuenta que, como ya mencionábamos, el

manejo de este está a cargo de una sola persona.

Esta persona sin embargo, lleva la documentación respectiva de todo cambio que

realice al sistema con el fin de informar a los usuarios (monitores o bibliotecarios)

acerca de estos y no generar posibles inconvenientes en cuanto al manejo o gestión de

éste.



5

Estudio de Protección de datos

1. Finalidad

Encontramos que, aunque en el momento en que somos admitidos en la Universidad

del Magdalena le damos a esta el consentimiento para la manipulación de nuestros

datos, cuando un archivo de datos que es creado en la Biblioteca Germán Bula Meyer

no se le da a conocer explícitamente al usuario los datos que contiene dicho archivo ni

la finalidad con la cual este es creado.

2. Pertinencia

La recolección de datos en la biblioteca cumple con el principio de pertinencia, ya que los

datos que son recolectados en ella son usados para llevar control de los préstamos de

material y las multas, realizar estadísticas de uso del servicio y llevar a los usuarios

información relacionada con este servicio. Y para ello los datos que se manejan son:

código, nombre completo, documento de identidad, e-mail, carrera o cargo, préstamos y

multas.

3. Utilización abusiva

Luego de cumplir con el principio de pertinencia, la utilización de los datos no se da de

forma abusiva ya que cumple con las finalidades de llevar control de los préstamos de

material y las multas, la realización periódica de estadísticas de uso del servicio por

carrera y el envió de correos informativos a los usuarios.



6

4. Exactitud

El sistema cuenta con los medios necesarios para comprobar la exactitud de los datos

registrados, y esto se logra obteniéndolos de los registros del departamento de

Admisiones, Registro y Control Académico, así como dándole al usuario la oportunidad de

revisar sus datos para verificar su exactitud. Pera a pesar de que el sistema cuenta con

medios para comprobar la exactitud de los datos, la actualización de estos no es

permanente ya que esta se realiza solo al inicio del semestre académico y no todos los

datos son actualizados.

5. Derecho al olvido

De todos los datos que son recolectados en la Biblioteca Germán Bula Meyer, es necesario

que la mayoría de estos se mantengan vigentes debido a que son importantes para las los

distintos movimientos que se realizan con ellos en el sistema. Pero otros datos, como las

multas de un usuario, son datos que solo son necesarios para el control de préstamos por

el tiempo que dure la multa y para la realización de estadísticas semestrales; y contrario a

esto, la información sobre las multas es mantenida de forma indefinida.

6. Consentimiento

La recolección de los datos realizada por parte de la biblioteca Germán Bula Meyer no es

puesta en consentimiento por parte del usuario explícitamente, pero al momento de

ingresar a la Universidad del Magdalena los estudiantes dan el consentimiento de utilizar

estos datos, y por lo tanto son suministrados a las dependencias que necesiten esta

información, pero en todo caso el usuario no tiene conocimientos que datos están siendo

utilizados en esta dependencia.



7

7. Protección Especial

En la biblioteca Germán Bula Meyer, no se administran datos personales que especifiquen

el origen racial, ideología política, afiliación sindical, creencias, salud, vida sexual,

infracciones penales y administrativas. Ya que la universidad al ser de carácter público y al

ingresar personas de distintas culturas se debe mantener protegida dicha información y

no dejarla abierta a dependencias que no necesitan estos datos. Por lo tanto la biblioteca

no infringe en este punto.

8. Seguridad

En cuanto a la seguridad relacionada con lo físico, los servidores donde se maneja la

información están protegidos y además existen cámaras de vigilancia para verificar que

una persona externa a la dependencia realice labores que no le concierne. En cuanto a lo

organizativo y lógico, los privilegios de los empleados no están bien definidos y todos los

que tengan acceso al sistema de información puede ver los datos de los usuarios, incluso

los monitores que son estudiantes que no deberían tener la posibilidad de ver la

información de otros estudiantes.

9. Acceso Individual

Actualmente en la biblioteca a través de su catalogo en línea el usuario puede consultar

sus datos, verificar la exactitud de estos y si fueron recolectados de forma ilegal. Dado el

caso que los datos tengan algún tipo de inconvenientes el usuario puede pedir la

destrucción o corrección de estos.



8

10. Publicidad

Actualmente en la Biblioteca no son publicados los diseños de los archivos de datos de los

usuarios y de tal modo no se sabe como son manipulados estos.

Riesgos y Control-Proteccion de Datos (Biblioteca GBM)

Documents

Transcript of Riesgos y Control-Proteccion de Datos (Biblioteca GBM)