UNIVERSIDAD AUTÓNOMA DEL CARMEN
                  SDUD OD LQVWLWXFLyQ  $GLFLRQDOPHQWH  ODV 7,& SXHGHQ IRUWDOHFHU HO FRQWURO LQWHUQR VREUH OD VHJXULGDG GH OD
                  LQIRUPDFLyQ PHGLDQWH XQD DGHFXDGD UHVWULFFLyQ GH DFFHVRV  $XQTXH ODV 7,& FRQOOHYDQ WLSRV HVSHFt¿FRV GH
                  DFWLYLGDGHV GH FRQWURO  QR UHSUHVHQWDQ XQD FRQVLGHUDFLyQ GH FRQWURO ³LQGHSHQGLHQWH´  VLQR TXH VRQ SDUWH
                  LQWHJUDO GH OD PD\RUtD GH ODV DFWLYLGDGHV GH FRQWURO
               11.07    La Administración de la U1$&$5 GHEH HYDOXDU ORV REMHWLYRV GH SURFHVDPLHQWR GH LQIRUPDFLyQ  LQWHJUL-
                  GDG  GLVSRQLELOLGDG  FRQ¿GHQFLDOLGDG  H[DFWLWXG \ YDOLGH]  SDUD VDWLVIDFHU ODV QHFHVLGDGHV GH LQIRUPDFLyQ
                  GH¿QLGDV
               11.08    La Administración debe desarrollar mecanismos e instrumentos adecuados de evaluación que promue-
                  van el mejoramiento de la administración y control de los sistemas de información, así como la oportuna
                  GHWHFFLyQ \ FRUUHFFLyQ GH SRVLEOHV DQRPDOtDV

               Diseño de los Tipos de Actividades de Control Apropiadas.
               11.09    La Administración de la U1$&$5 debe diseñar actividades de control apropiados en los sistemas infor-
                  mación para garantizar la cobertura de los objetivos de procesamiento de la información en los procesos
                  RSHUDWLYRV  (Q ORV VLVWHPDV GH LQIRUPDFLyQ  H[LVWHQ GRV WLSRV SULQFLSDOHV GH DFWLYLGDGHV GH FRQWURO  JHQH-
                  UDOHV \ GH DSOLFDFLyQ
               11.10    Los controles son las políticas y procedimientos que se aplican a la totalidad o a un segmento de los
                  VLVWHPDV GH LQIRUPDFLyQ  /RV FRQWUROHV JHQHUDOHV IRPHQWDQ HO EXHQ IXQFLRQDPLHQWR GH ORV VLVWHPDV GH
                  información mediante la creación de un entorno apropiado para el correcto funcionamiento de los contro-
                  OHV GH DSOLFDFLyQ  /RV FRQWUROHV JHQHUDOHV GHEHQ LQFOXLU OD DGPLQLVWUDFLyQ GH OD VHJXULGDG  DFFHVR OyJLFR
                  \ ItVLFR  DGPLQLVWUDFLyQ GH OD FRQ¿JXUDFLyQ  VHJUHJDFLyQ GH IXQFLRQHV  SODQHV GH FRQWLQXLGDG \ SODQHV GH
                  UHFXSHUDFLyQ GH GHVDVWUHV  HQWUH RWURV
               11.11    Los controles de aplicación, a veces llamados controles de procesos de operación, son los controles que
                  VH LQFRUSRUDQ GLUHFWDPHQWH HQ ODV DSOLFDFLRQHV LQIRUPiWLFDV SDUD FRQWULEXLU D DVHJXUDU OD YDOLGH]  LQWHJUL-
                  GDG  H[DFWLWXG \ FRQ¿GHQFLDOLGDG GH ODV WUDQVDFFLRQHV \ ORV GDWRV GXUDQWH HO SURFHVR GH ODV DSOLFDFLRQHV  /RV
                  controles de aplicación deben incluir las entradas, el procesamiento, las salidas, los archivos maestros, las
                  LQWHUIDFHV \ ORV FRQWUROHV SDUD ORV VLVWHPDV GH DGPLQLVWUDFLyQ GH GDWRV  HQWUH RWURV

               Diseño de la Infraestructura de las TIC.

               11.12    La Administración de la U1$&$5 debe diseñar las actividades de control sobre la infraestructura de las
                  TIC para soportar la integridad, exactitud y validez del procesamiento de la información mediante el uso
                  GH ODV 7,&  /RV VLVWHPDV GH LQIRUPDFLyQ UHTXLHUHQ GH XQD LQIUDHVWUXFWXUD SDUD RSHUDU  LQFOX\HQGR ODV UHGHV
                  GH WHOHFRPXQLFDFLRQHV SDUD YLQFXODUODV  ORV UHFXUVRV LQIRUPiWLFRV SDUD ODV DSOLFDFLRQHV \ OD HOHFWULFLGDG
                  La infraestructura de TIC de la U1$&$5 puede ser compleja y su administración puede ser compartida por
                  GLIHUHQWHV XQLGDGHV GHQWUR GH OD PLVPD R WHUFHUL]DGD  /D $GPLQLVWUDFLyQ GHEH HYDOXDU ORV REMHWLYRV GH OD
                  U1$&$5 \ ORV ULHVJRV DVRFLDGRV DO GLVHxR GH ODV DFWLYLGDGHV GH FRQWURO VREUH OD LQIUDHVWUXFWXUD GH ODV 7,&
               11.13    La Administración de la U1$&$5 debe mantener la evaluación de los cambios en el uso de las TIC y
                  debe diseñar nuevas actividades de control cuando estos cambios se incorporan en la infraestructura de las
                  7,&  /D $GPLQLVWUDFLyQ WDPELpQ GHEH GLVHxDU DFWLYLGDGHV GH FRQWURO QHFHVDULDV SDUD PDQWHQHU OD LQIUDHV-
                  WUXFWXUD GH ODV 7,&  (O PDQWHQLPLHQWR GH OD WHFQRORJtD GHEH LQFOXLU ORV SURFHGLPLHQWRV GH UHVSDOGR \ UHFX-
                  peración de la información, así como la continuidad de los planes de operación, en función de los riesgos y
                  ODV FRQVHFXHQFLDV GH XQD LQWHUUXSFLyQ WRWDO R SDUFLDO GH ORV VLVWHPDV GH HQHUJtD  HQWUH RWURV

               Diseño de la Administración de la Seguridad de la Información.

               11.14    La Administración de la U1$&$5 debe diseñar actividades de control para la gestión de la seguridad
                  VREUH ORV VLVWHPDV GH LQIRUPDFLyQ H LQIUDHVWUXFWXUD GH 7,& FRQ HO ¿Q GH JDUDQWL]DU HO DFFHVR DGHFXDGR  GH
                  IXHQWHV LQWHUQDV \ H[WHUQDV D pVWRV  /RV REMHWLYRV SDUD OD JHVWLyQ GH OD VHJXULGDG GH OD LQIRUPDFLyQ GHEHQ
                  LQFOXLU OD FRQ¿GHQFLDOLGDG  OD LQWHJULGDG \ OD GLVSRQLELOLGDG
               11.15    La gestión de la seguridad debe incluir los procesos de información y las actividades de control relacio-
                  QDGDV FRQ ORV SHUPLVRV GH DFFHVR D ODV 7,&  LQFOX\HQGR TXLpQ WLHQH OD FDSDFLGDG GH HMHFXWDU WUDQVDFFLRQHV
               11.16    La gestión de la seguridad debe incluir también los permisos de acceso a través de varios niveles de
                  datos, los sistemas operativos, la red de telecomunicaciones, las aplicaciones y segmentos físicos, entre
                  RWURV  /D $GPLQLVWUDFLyQ GHEH GLVHxDU ODV DFWLYLGDGHV GH FRQWURO VREUH SHUPLVRV SDUD SURWHJHU D OD U1$&$5
                  GHO DFFHVR LQDSURSLDGR \ HO XVR QR DXWRUL]DGR GHO VLVWHPD
               11.17    La Administración de la U1$&$5 debe evaluar las amenazas de seguridad a las TIC tanto de fuentes
                  LQWHUQDV FRPR H[WHUQDV

                                                   20