AUIBITORIA ENAUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Auténoma de México Universidad Autonoma Metropolitana McGraw-Hill MEXICO « BUENOS AIRES - CARACAS « GUATEMALA « LISBOA « MADRID NUEVA YORK « SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO + SAO PAULO AUCKLAND « LONDRES « MILAN « MONTREAL » NUEVA DELHI + SAN FRANCISCO ‘SINGAPUR - ST. LOUIS - SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS INTRODUCCION, CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias .. Concepto de auditoria y concepto de informética .. Diversos tipos de auditoria y su relacién con la auditoria en informatica... ‘Auditoria interna/extema y auditorfa contable_/financiera Auditoria administrativa/ operacional Auditoria con informatica . Definicién de auditoria en informatica... Concepto de auditoria en informatica Campo de la auditoria en informa Auditoria de programas ... CAPITULO 2: Planeacién de Ia audiloria en informética sn Fases do la auditoria os “i PlaneaciGn de la auditoria en informatica Revisién preliminar... Revisién detallada Examen y evaluacidn de la informacion . Pruebas de consentimiento .... Pruebas de coniroles del usuario . Pruebas sustantivas.. Evaluacign de los sistemas de acuerdo al riesgo. Investigacién preliminar. Personal participante. CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacién organizacional PPrincipales planes que se requicren dentro de la organiizacicn de informatica Evaluacién de la estructura organica Estructura orgénica Funciones: Objetivos.. Anilisis de onganizaciones EvaluaciGn de los recursos humanos .. Entrevistes con el personal de informatica Situacién presupuestal y financiora ..conTENDO Presupuestos .. Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas... Evaluecion de sistemas Evaluacisn del anlisi Andlisis y disefio estructirade vnesnn Evaluecisn ciel diseno ldgico del sistema... Programas de desarrollo... Bases de datos El administrador de bases de datos Comunicacién ‘ Informes Andlisis de informe’... Ruido, redundancia, entropia Evaluacisn del desarrollo del sistema Sistemas distribuidos, Internet, comunicacién entee oficinas Control de proyectos vemnsmn Control de disefo de sistemas y programadén Instructivos de operacisn .. Forma de implantacion Equipo y facilidades de Programadia Enirevistas a usuarios .. ct Entrevistas . Cuestionario Derechos ce autor y secretos industriales Intemet - - Proteccién de los derechos de autor... 144 Secretos industriales. eon oe CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo Controles: _ Control de datos fuente y manejo de cifras de control... snine LOL Control de operacion... Control de salida Control de asignacién de trabajo Control de medios de almacenamiento masivo Control de mantenimiento Orden en el centro de eSmputo ... de la configuracién del sistema de computo... Puntos a evaluar en los equipos .. CAPETULO 6: Evaluacion de la seguridad ..n. Seguridad ldgica y confidencialidad... Seguri Riesgo Encrip Seguridad Seguridad Ubicac Piso el Aire ac Instala Seguri Seguric Detece: ‘Tempe Seguridad. Protec Seguros . Conic Seguridad. Seguridad. Plan de con de desa Plan de Selecci CAPITULC ‘Técnicas pa Analisi Metodo Evaluaciéa | Anilisis Evaluacion Evaluag Evaluad Evaluad Evaluag Controles Presentacion Conclusion Bibliogratia Indice analitBRGRS S FA Seguridad 16g{¢€ soon Riesgos y controles a auditar Encriptamiento Seguridad en el personal... Seguridad fisica Ubicacién y construccién del centro de cémputo iso elevado o camara plena Aire acondicionado .. Instalacién eléctrica y suministro de energia =. Seguridad contra desastres provocados por agua . Seguridad de autorizacién de accesos. Deteccidn de humo y fuego, extintores ‘Temperatura y humedad. Seguridad en contra de virus Protecciones contra virus y elementos a auditar Seguros Condiciones generales del seguro de equipo electrénico.. Seguridad en la utilizacién del equipo Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre Plan de contingencias.. Seleccion de la estrategia .. CAPETULO 7: Interpretacién de la informaciéa . ‘Técnicas para la interpretacién de Ia informacisn’ Analisis critico de los hechos Metodologia para obtener el grado de madurez del sistema Evaluacién de los sistemas Analisis Evaluacién de los sistemas de informacién Evaluacién en la ejecucién Evaluacion en el impacto Evaluacién econémica Evaluacién subjetiva . Controles Presentacién. Conclusiones Bibliografia nn. {ndice analiticoINTRODUCCION En la actualidad el costo de los equipos de eémputo ha disminuido considera blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduceién de sus costos. Aunque los costos uni tarioshan disminuido (el de una computadora personal, “microcomputadora”), los costos totales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacién precio /memoria es menor, el tamaiio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de més datos en mucho menos tiempo y que procesan la informacién en forma mas ripida (memorias RAM y ROM, fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, Io que ha tenido como consecuencia que os costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Intemet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asf como la confiabilidad y segurided con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relaciGn con la informacién y uso que se da a éstas. También se tiene poco control sobre la utilizacién de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como logica y se presenta una falta de confidencialidad de la informaciGn. Lo que se debe incrementar es la producti- vidad, el control, la seguridad y Ia confidencialidad, para tener la informacién necesaria en el tiempo y en el Iugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacién son particularmente notables: ‘+ Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de Ia miniaturizaci6n de po- derosas capacidades, en diferentes dispositivos disefiados para usos pers nales y profesionales Una gran dispordbilidad de software poderooo, btrato relativamente ac- cesible, con interfases de uso grafico. ‘Ala medida del cliente, cambio de sistemas a software preempacado. ‘Cambio de computadoras principales (mainframe) a computadoras de us0 individual aumentadas como parte de rectes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-xii irRoDUCCION bios en la naturaleza, organizacisn y localizacién de actividades de los si temas de informaci io final + _Incrementoen la habilidad de las computadoras para accesar datos en tiempo Feal 0 demorado, ambos en forma local 0 a través de acceso a facilidades Temotas, incluyendo via Intemet. + Captura de nuevos datos y el liderazgo en tecnologfa en almacenamiento maximo para incrementar la computarizaci6n, datos/ informacién en tex- tos, graficas y video, con énfasisen la adminisiracisn, presentacisn y comu- nicacidn de informacién, utilizando aproximaciones de multimedia + Lacobertura de informacion y as tecnologias de comunicacién afectan la forma en que se trabaja y se compra ‘+ Incremento del uso de Intemet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrOnico (E-mail), intemet, inclu- yendo world y wide web. + Elincremento en ol uso de Intornet para conducir comunicacién entre orga- nizaciones e individuos, a través de sistemas de comercio electrénico, tales como intercambio electrénico de datos (EDI)y sistema de transferenciae trSnica de fondos (EFTS). + Mercadeo masivo y distribucién de productos de tecnologia de informa: ida y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrSnico y servicios financieros. + Reduccién de barreras de uso e sistemas, estimulando una gran penetra ion de sistemas de informacion dentro de organizaciones de todos los ta: mais, de lucto 0 no lucrativas, para contadores y consejos de administs cin, y para propésitos estratégicos ¢ incremento de papeles del usuario final de computadoras. * Una amplia penetracién de tecnologia de informacisn, tal como disefio manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacion para eecutivos (EIS) y sistemas de reuniones en forma electrénica (EMS), * Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor macidn, tales como software de ingenierfa de asistencia computarizada (CASE), programacién orientada a objetos y temologia de flujos (WORK FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. + Acceso a reingenieria de nuevos negocios, basado en la integraci6n efectiva de tecnologia de informacién y procesos de negocios. mn, como el cambio a computadoras de usu Uno de los problemas més frecuentes en los centros de informatica es la falta de una adecuada organizacisn, que permita avanzar al ritmo de las exi sgencias de las organizaciones. A esto hay que agregar la situacion que presen- tan los nuevos equipas en cuanto al uso de bases de datos, rades y sistemas de informacién, Loantcrior, combinado con lanecesidad de una eficiente plancacivn cetratégica y corporativa de las organizaciones, y con una descentralizacion de equipos y centralizacidn de la informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for ma de org izar control y adminis En muchos « pleo de herramee Puestos, finanzas Tepercute en una nes con las caract hace que no se cu desvien de los ob La proliferaci manda de control vVacidad de la info Ademés, hay una dad de (a continui sistemas se caigan incompatibles y el Los sistemastt de las herramiont Para poder evaluai Iarlo desde su inic electrénico, 0 bien respaldos, seguride No basta, pues, con Pos de cémpato, qu ma total de informa La informatica Mos afios, En una g prendié hace alga €reaciGn del horno, década hemos visio era algo cominlata Femoto, y considera tedes. Esto ha provo uitica. Yo no poden con microcomputed conocia en detalles de tener especialisia informatica, y en ola rentes funciones que de la informitica yd EI principal obet Ios siguientes puntos La parte adminis! Tos recursos mat Los sistemes y pro necesidades delavio etre sta stra- lode tiste tivos afor vada IRK- sde ma de organizar el érea de emputo, requieran aplicar técnicas modemas de control y administracién. En muchos centros de informatica también se desconoce el adecuado em- pleo de herramientas administrativas, contables//financieras. tales como presu- puestos, finanzas, costos, recursos humanos, organizacién, control, etc. Esto repercute en una inadecuada drea de informatica que no permite tomar decisio- nes con las caracteristiras que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la pri- vacidad de la informaci6n y su integridad, y sobre los cambios de los sistemas. Ademés, hay una preocupacién sobre la caida de los sistemas y sobre la seguri- dad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupaciénes la proliferacién de subsistemas incompatible y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacién de las herramientas que nos proporcionan los mismos sistemas electronicos. Para poder evaluar un sistema de informacién es necesario conocerio y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecanico, electrGnico, o bien 1a combinaciGn de éstos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacién que proporcionan. No basta, pucs, conocer una parte 0 fase del sistema, como pueden ser les equi- pes de cémputo, que tan sélo vienen a ser una herramienta dentro de un siste- ma total de informacién. La informatica ha sido un rea que ha cambiado drasticamente en los tilt mos aftos. En una generacidn, la tecnologfa ha cambiado tanto que Io que sor- prendié hace algunos afios, como la Ilegada del hombre a la Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacion de la informatica: st hace poco era algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de reds. Esto ha provocado que se tengan especialistas dentro del érea de la infor- mitica. Yano podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, o bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de éstas es la auditoria en informétiea, y en ella debemos de tener especialistas para cada una de las dife- rentes funciones que se reatizardn. Esto sin duda depende del tamano del area de la inforsnstica y de la organizacién. El principal objetivo del libro es evaluar la funcién de la informatica desde Jos siguientes puntos de vista La parte administrativa del departamento de informatica. Los recursos materiales y técnicos del drea de informética. Los sistemas y procedimientos, y laeficiencia de su uso y su relacién con las necesidades de la organizacién. mnTRopuccionxiv rRooUCCON inform dependiendo de su tamaiio Es conveniente precisar y aclarar que la funcién de la auditoria e1 sad con la que me relies dcpesera ‘ane de las caracteristicas y del mimero de equipos de cémputo con que se cuente. El Findizarde ecuerda.n h erggnizacion de que sc trate-e los equlposoFiven CaPiTUI y caracteristicas. La prot Os, Al finalizConcepto de auditoria carityco €N informatica te y diversos tipos de auditorias Obuetivos Al finalizar este capitulo, usted: 1. Analizaré lo 2. Conocera to: informética 3. Expondré cudles s con informatica 4. Descrbira las habi formética. 5. Detiniré cual es el campo de la auditoria en informatica. 6. Explicaré cudles son los principales objetivos de la auditoria en informatica 0s de auditoria e informatica, 0s tipos de auditoria y su relacion con la auditoria en sonicas avanzadas que se utiizan en la euditoria fades fundamentales que debe tener todo auditor de in2 : cari Concerto pe aupioria r Y CONCEPTO DE INFORMATICA Ste pe coe Nace in mnctsta El concapte Ue ecco eva coop ss = srgiaig" El raion tend -vsnl de ply coven atréanoner dese at SS ee nc cain aera qiseniaTes “ae | El Roletin C de normas de auditoria® del Instituto Mexicano de Contadores | ost ria debe ev, tivas de sol Informatie equipas de, conferencia tica dela Fa Nacional A) palabra 1a conjur facestim En 1966, del modo sig ndquin: Hacia pe cién, sobre fc por redefini Interguberna UNESCO. Es ello, formuld Aplicacisn La IBItan ca que, aungt Ciencia de En 1977, Mexicana de | Ciencia de En alguns proceso electr mas amplio, ytia debe evaluar par Informitica equipos d conferencia f de Ia Facult 1 ministracis Frectamerts al Auténoi amplio; no eevaluar la jjetivos pro e*auditor de cuentas debe estar intergubern: INESCO. F Allo, form: intos para | laauditoria sidera el total del sistem:DIVERSOS TIFOS DE AUDITOR: Niveles de informacion También es comtin confundir el concepto de dato con el de informacién. La Jenados con un objetivo co: min. El dato se refiere tinicamente a un simbolo, signo o a una serie de let nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos letras o ntimeros, La informacion esté orientada a reducir la incertidumbre del receptor y tie- ne la caracteristica de poder duplicarse pricticamente sin costo, no se gasta Ademds no existe por si misma, sino que debe expresarse en algtin objeto (pa pel, cinta, etc.); de otra manera puede des: con la comunicacisn oral, Io cual hace que la inform: debidamente por medio de adecuados sist recer 0 deforn se, como sucede ién deba ser controlada mas de seguridad, confidencialidad y respaldo. La informacién puede comunicarse, y para ello hay que lograr que los me- dios de seguridad sean levados a cabo después de un adecuado examen de la forma de transmisisn, de la eficiencia de los canales de comunicacién{el trans misor, el receptor, el contenido de la comunicacién, la redundancia y el ruidg) La informacisn ha sido dividida en varios niveles. El primero es el nivel técnico, que considera los aspectos de eficiencia y capacidad de los canales de transmisidn; el segundo es el nivel semntico, que se ocupa de la info desde el punto de vista de su considera al rese xto dado, y el cuarto nivel analiza la informa cidn desde el punto de vista normativo y de la parte ética, o sea considera cuan do, dénde y a quién se destina la informacién 0 la@ikusiDquie se le dé abarcar los cuatro niveles de Thformacién, Enel cuarto nivel tenemos una serie de aspectos importantes, como la parte Jegal del uso de 2 iucidi ca ¥ la crevcidn de la ética en informatica, gue no sélo debe incluir a los profesionales t cnicos y especialistas en informatica, sino también a los usua rios tanto de gr indes computadoras como de computadaras personales, gnificado; el tercero es el pragmatic, el cual Ia informacién, los estudios que se han hecho sabre la Kan a de la infor. La informac in tradicional (oral y escrita) se ve afectada dentro de Ia infor mitica cuando se introduce el manejo de medios electronicos, lo cual la hace facilmente mod ficable y adaptable a las caracteristicas de cada receptor. La informacisn tambien tiene la capacidad de mangjarse en forma rdpida y en gran- des voltimenes, lo cual permite generar, localizar, duplicar y distribuir la infor macién de modo sorprendente a través de métodos, téenicas y herramientas como microcomputadoras, procesos distribuidos, redes de comunicacisn, ba ses de datos, etcetera, La nueva tecnologia permite que el usuario disponga de la informacién en cualg) momento, ya sea para su acceso, actualizacién, tacidn o para que pueda distribuirse como se desee. Aunqu mbio 0 explo e intercambiarse entre tantos usuarios mismo tiempo se plantea un gran problema en cuanto al cuarto nivel de la informacién, que es st parte étic el estudio de la posibilidades del buen o mal uso de la informacidn por parte de personas no autorizadas. La planeacién y control de la informacién nos ofrece nuevos aspectos im- portantes a consid 1, entre los que estén la teoria de sistemas, las bases datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su c: po de accisn. Dwer YSUR EN INF Avon Y AUDI EL Boletin E interno: stud la neem, estudio para det permitar procedir Lo procedir guardar ticas pre Objetivosb tro objetivor + Laprote © Laobter + Lapron © Lograr¢ blecidas Seha es! troles inte nistrativos, Objetivos g del plan de proteccidn dDiversos TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA EN INFORMATICA Avorroria INTERNA/EXTERNA Y AUDITORIA CONTABLE/FINANCIERA 22 del Instituto Mexicano de Contadores® sefiala respecto al control Detinicion y objetivos det control internoon lentificar d pjetivos de control interno apl de trarsaccon as diferentes ‘on sen Objetivos de autorizacion Objetivos dei procesamiento y clasificacién de transacciones haat evan pin obama? peepee lta i “laste en forma tal qué pertaitan la preps Las traraacek pstradas en el mismo peviodo contable Objetiv Elac administ Objetive desarrollay que se Elare no. La prin fen el logro decir, come 2 audi cién, proce da fisica, veObjetivo de salvaguarda fisica Objetivo de verificacion y evaluaciongeneral, al equipo de cémputo y al departamento de informatica, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, ad. ministracién, etc,, asi como de experiencia y un saber profundo en informé tica La auditoria interna debe estar presente en todas y cada tuna de las partes de la organizacién. Ahora bien, la pregunt icual debe ser su participacién dentro del érea de informatie: La informatica es en primer lugar una herramienta muy valios que normalmente se plantea a que debe toner un adecuado control y es un auxiliar de Ia auditoria interna, Pero, sogtin este concepto, la auditor de informatica Se ha estudiado que los interna puede considerarse como un usuario del dre 4ivos generales del control intezno son: + Autorizacion, * Procesamiento y clasificacién de las transacciones. + Salvaguarda fisica, Con base en los objetivos y responsabilidades del control interno pademos hacer otras dos preguntas: ;De qué manera puede participar el personal de con. trol intemo en el disefio de los sistemas? {Qué conocimientos debe tener el per jones den: sonal de control intemo para poder cumplir adecuadamente sus fun tro del érea de informs Las respuestas a estas preguntas dependersn del nivel que tenga el control enel disefio general y detalla do de los sistemas se debe incluir'a personal de la contraloria interna, que habr: intemo dentro de la organizacién. Sin emb: de tener conocimientos de informatica, aunque no se requerird que sean espe cialistas, ya que s6lo intervendran en el disefio general del sistema, en el diseno decontroles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en les sistemas de verificaciéa. Se habrén de comprobar las férmul de obtencién del i seguro social, etc,, pero no debersn intervenit en la elaboracisn de los sistemas, probai esto sobre el producto del trabajo, el cdlculo del pago del alado en el bases de datos 0 programacién. Tendrin que © que lo diseno general sea igual a lo obtenido en el momento de implantacién, para que puedan dar su autorizaci6n a la corrida en paralelo. El auditor interno, en el momento en que se eatin claborando los sistemas, debe participar en estas * Asegurarse de verificar que los requerimientos de seguridad y de auditoria sean incorporados, y participar en la revisién de puntos de vorificacién + Revisar la aplicacién de los sistemas y de control tanto con el usuario como enel centro de informatica * Verificar que las politicas de eguridad y los procedimientos estin incorpo: -ades al plan en caso de desastre * Incorporar técnicas avanzadas de auditoria en los sistemas de computo. 1s sistemas de seguridad no pueden llevarse a cabo a menos que existan procedimientes de control y un ade 1ado plan en caso de desastre, elaborados { desde el momento en el que se disefia el sistema. El auditor planesa largo de tal manera dad sean incor Au DITO La tecnologia « estin estructu son dramatico administrative planeacisn ad: trol interno de de la tecnologi esta soportad nologia William P, Elexamen planes y ob des human Se lleva a ¢ presa con el fi Pérdidas y Mejores a Mejores fo Operacion Mejor uso La auditor del drea de inf auditoria en ini aplicarlos al ér El departa Objetivos, Organizac Estructura FuncionesAupiroria ADMINISTRATIVA/JOPERACIONAL esti afectando la forma en que lus organizaciones= siguientes factore +) Verifieae era reportes PTO OF informac jc organizacién). macenad = + Pruebasi auDToRIa la valida: © Clasificat * Seleccién + Llevaras compustac Con fines para Auorroria CON INFORMATICA es de softwa © Supervisa Concepto de auditoria con informatica auitorai x ‘equipo, q Los procedimientos de aud a tador o mi en la mayoria de los ambientes de informatica. necer bajo estn mito. nutales y métodos asistidc ‘cumentacisn,t ademas de los En Utilizaci6n de las técnicas de auditorias cece asistidas por computadora Jas instruccione desde la bibliot objeto de En general, cl auditor debe utilizarla computadora en la gjecucién de la audit od jue esta herramienta permitiré ampliar | ura del examen, reduciend * . €l tiempo/ costo de las pruebas y procedimientos de muestreo, que de otra mane ratendrian que zee manualmente. Existen paquetes de computadora(e are) gue permiten elaborar auditorias a sistemas financieros y contables que s encuentran en medios informaticos. Ademis, el empleo de la computed auditorle permit faliarcarscon a 0 enel centro ¢ aaa + Desorrollar Ee ne Sines smputadora del auditor, para ser trabe te, 0 bien acceso al siste ae a en red para que el auditor elabore las prus “re| i o1 cat 1 independiente una simu de tr ' sac '$ para verificar la conexion y cor gram + Ullizaci6n de paquetes para auditorfa; por ejemple P 1 1 fabricante ¢ firmas de contadores 08.0 bajo estricto control del departamento de auditoria. Por esto, toda la dc < Je auditoria pueden ser guardados utilizandc seria aceptable en tanto s el control d i » almacenados. Las programas desarrallados co deben estar cuidadosamente documentad: d : + Mantener el control basico sobre los programas que se encuentren cata & el sistema y llevar a cabo protecciones apropiad, + Desarrollar prog independientes de control que monitoreen el pro% samiento del programa de auditori iandos de control.2 + Controlar la integridad de los archivos que se estan procesando y las sal das generadas. vousnsoe res Técnicas avanzadas w° de auditoria con informética de datos y procesamiento computacién, como procesamiento en linea, bases distribuido, se podria evaluar el sistema empleando técnicas avanzadas de auditoria. Estos méiodes requieren un experto y, por lo tanto, pueden no ser apropiados si el departamento de auditoria no cuenta con el entrenamientoade cuado. Otra limitante, incluyenda el casto, puede ser la sobrecarga del sistem y la degradaci6n en el tiempo de respuesta. Sin embargo, cuando se usan apro- piadamente, estos métodos superan la utilizacién en una auditoria tradi Pruebas integrales. Consisten en el procesamiento de datos de un departamen to ficticio, comparando estos resultados con restiltados predeterminados otras palabras, las transacciones iniciadas por el auditor son independientes de laaplicacion normal, pero son procesadas al mismo tiempo. Se debe tener espe cial cuidado con las particiones que se estén utilizando en el sistema para prue ba de la contabilidad o balances, a fin de evitar situaciones anormale Simulacién. Consiste en desarrollar programas de aplicacién para determina da prueba y comparar los resultados de la simulacién con la aplicaci6n real Revisiones de acceso. Se conserva tin registro computarizado de todos los ac cesos a determinados archivos; por ejemplo, informacién de la identificacién tanto de la terminal como del usuario. Operaciones de la informacisr los resultados que paralelo. Consiste en verificar la exactit oduce un ma nuevo que sustituye a uno ya Evaluacidn de un sistema con datos de prueba. Esta verificaci6n consiste er probar los resultados produ én con datos de prueba co los resultados que fueron obtenidos inicialmente en las pruebas del progran (solamente aplicable cuando se hacen modificaciones a un sistema), aplicacién que Registros extendidos. Consisten en age determinado, como un campo datos de todos los progr: ampo de control a un registro stro extra, que pueda inclu sd forman parte del procesamien- to de determinada transac Totales aleatorios de ciertos programas. Se consi tuen totales en algunas p: fes del sistema para ir verificando su exactitud en forma parcial Seleccién de d deun archivo parcial el archi car en forma t Resultados de demos compar una metodolo Btaaimentc Gan losprobie dencia al audi Biter pores El empleo mienta que fac Trasladar I Llevar a cal Verificar la Visualizaci Ordenamie El auditor sistemas, cone con las politicas continua dencia que exis puede cambiar Transacciones ceso. En las apl Por ejemplo, el cuando el inve computadora s orden de repos blecido, El registro man Enlas aplicacioy do Ia informaci némina puede través de la red tener unaclaveden no ser adientes de tener espe para pruc determin dos los ac aformacisr tun registro fa inclu Selecci6n de determinado tipo de transacciones como auxiliar en el andlisis deun archive histérico. Por medio de este métado podemas analizar en forma parcial el archivo hist6rico de un sistema, el cual seria casi imposible de verif Resultados de ciertos edlculos para comparaciones posteriores. Con ellos po demos comparar en el futuro los totales en diferentes fechas. Las téenicas anteriormente descritas ayudan al auditor interno a establece ana metodologia para la revision de los sistemas de aplicacion de una institu actualmente se han desarzollado programas y sistemas de auditoria que elimi nan los problemas de responsabilidad del departamento de auditoria, al int enir en las actividades e informacién cuyo control corresponde estrictamente al departamento de informstica, lo cual proporciona una verdadera indeper dencia al auditor en la revisidn de los datos del sistema. En la actualidad, el auditor puede estar desarrollando algunas de sus funciones al intervenir en la El empleo de la microcomputadora en la auditoria constituye una herra: mienta que facilita la realizacidn de actividades de revisién como: Jadar los datos del sistema a un ambiente de control del au levar a cabo la seleccién de datos Verificar la exactitud de los célculos: muestreo estadistico. Visualizacién de datos. Ordenamiento de la informacién. Produccién de reportes e histogramas, El auditor intemo debe participar en el disefio general y especifico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo politicas internas antes de que se comience la programacién del sistema, A continuacién se muestran ejemplos de las formas tradicionales de evi dencia que existen en un proceso manual y las maneras en que la computadora puede cambiarla: Transacciones originadas por personas y accesadas a un sistema para su pro- e260. En las aplicaciones computarizadas, pueden generarse automaticamente Porejemplo, el sistema puede emitir automaticamente una orden de reposicién cuando el inventario esté a un nivel por debajo del punto de reorden. Sin la computadora se requerfa que una persona estuviera revisando y elaborara la den de reposicién cuando el inventario estuviera abajo del mfnimo ya esta: blecido. E registro manual de la informacién necesaria para originar una transaccién. En as aplicaciones computarizades no se producen documentos impresos cuan do la informacién es accesada. Por ejemplo, un cambio hecho a las tarifas de través de la red interna, sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histérico4 a La revisin de transacci s por el personal, que deja constancia con sus firmas, iniciales 0 sellos en los documentos para indicar la autorizacién de! proceso. En as aplicaciones computarizadas la autorizacién puede ser automa ica. For ejemplo, una venta a crédito puede ser automaticamente aprobada si limite de c previamente d D ninado no esté excedido. Otro: os de autorizacisn idad inica incluyen el acceso mediante claves de seg Anteriormente se tenian firm londe ahora sélo se tiene una clave ave de acceso, que ¢s equivalente a la autorizacién, dejando tinicamente egistro (en el mejor de los casos) de la Have de acceso utilizada, el lugar donde tuvo acceso y la hora y dia en que fue autorizada El transporte de documentos de una estacién de trabajo a otra por personas, correo 0 servicios similares de un lugar del negocioa otro sitio completamen- te distinto. tun documento fisicamente. En aplica formacion es transcrita, codificada, frecuentemente condensada y entonces en ro de cudndo recibié la informacion el recepte Procesamiento ma tienen espacio de trabajo para ejecutar el necesario. En la aplicaci snicamente dentro de la memori ;putarizadas, el proce Jel computador mediante p determinad roceso simplificado que facilita las ejecuciones repetitivas sin alta probabi: lidad de error, En les aplicaciones computarizadas, el proc de ser ext nadamente complejo debido a la velocidad y exactitud del computador. For jemplo, una compara puede utiliza mputadora para calcular la efectivi dad de cientos de posibles horarios 0 eSdulas de produccién a fin de seleccion 1 mas adecuado, mientras que en los métodos manuales esto seria casi impo- Mantenimiento en manuales de informacién de naturaleza fija que es nece saria para el proceso, como tarifas de néminas o precios de productos. E aplicaciones computarizadas, esta informacién se almacena en medio: computarizados o bien por medio de catélogos; en los métodos manuales es dificil tener catalo muy amplios y con actualizacién inmediata Listado de los resultados del proceso en documentos impresos, como che ques y reportes. Frecuentemer procesos intermedios. En las aplicaciones computarizadas el proceso puede n dar por resultado documentos impre: Por ejemplo, ransferidos electrénicamente. En algunos sistemas, la informacién ratinaria ¢ retenida de ren accién. Almacenam archivo 0 si recobrarsemr computariza ben utilizars dios, los cual de bases de Uso de doce nuales estos métodos de partir de las pistas de serviria de pi dos. Las pist roglas del pre gjecutar Unoo més m alas transac. cic y proces den set incl Revision de nes computar mente media dificil para | tacionales est Ladivision d la distribuciét pleadgs, sino! zado. Por eje partes fengar enel caso del Proceso de gr cruzamientod diticil y costosUno o mas manuales de procedimientos que contienen informacion relativa ransacciones del sistem: re Cn | F i in Jas ap es computarizadas, pue yas den ser incluidos en I mas mediante ayud. babi nar su razonabilidad, exactitud, totalidad y autorizacion. En las dificil para la gente monitorear los proces orme los sistemas compu integrados y son mas complejos y el Jel proceso se as nece Ladivisién de tareas entre los empleado plicaciones compu oceso de grandes cantidades de datos ue pueden requerir la repeticin 0 , ruzamiento de diversos elementos16 Habilidades del auditor aciones computarizadas, grandes cantidades de datos pue uusos secundarios de los datos Planeacién de los procedimientos de auditoria con informatica El propssito principal de la planeacién de las met didas de auditoria es incluir dentro de las aplicaciones las facilidades que per an realizar las actividade de auditorfa dela manera mas fl La planeacidn de los servicios establece las facilidades tanto actuales como El auditor debe examinar est futuras que ofrece la direccién de informatic plan para establecer los requerimientos de auditorfa necesarios. Para el funcionamiento de dichos procedimientos se requieren dentro de los programas rutinas que permitan accesar la informacion y sisten indepen: dientes para la selecci6n, sumarizacién, comparacidn y emisidn de reportes, El poder planear y realizar estas tareas implica un trabajo complicado pero que es necesario hacer. La computarizacién de I organizaciones ha dado por resultado una concentracién de datos y funciones, que son seleccionades, correlacionados, resumidos y dise pico, normalmente un dato puede nados. En un ambiente computarizado tt actualizar muchos archivos. Es necesario que el auditor cuente con las herramientas adecuadas del mismo y tambien verificar que el sist 2 poder seguir el fema esté realizando las funciones que supuestamente debe ejecutar; estas herramientas computarizadas le deben per mitir detectar los errores y corregirlos po rior mente 1 auditor no es un programador especializ do, por lo que es obligacisn de este grupo de proceso planear el desarrollo de estas herramientas de cémputo, atendiendo las solicitudes y Es comprensible pensar que recomendaciones, de los auditores y aportando su propia experiencia, También debe participar en las pruebas en paralelo y en la implantacién del nara asegurarse de que tod procedimientos, entradas y salidas son los solicitados por el usuario en el momento del diseno detallado, asi como para evaluar que los calculos realizados sean los correctos y, en general, para darla aprobacién del sistema una vez verificado que cumpla con los objetivos, flujo de informaci6n, controles y politicas del usuario y de la organizacion. La participacisn del auditor interno en el disefo e implementacién dk sistema es de suma importancia. Por ejemplo, la clasificacién de la evidene que se venia utilizando tradicionalmente, como la firma del funcionario pera autorizar una transaccién, se ve reemplazada por una clave de seguridad de acceso o la firma electrénice, aunque la introduccién de un computador no ne cesariamente cambia las formas de la evidencia de auditoria, El auditor interno debe estar presente en el desarrollo del sistema para eva: luar que la informacién requerida por el usuario quede cubierta y se cumpla conel grado dt acuerdo con le Existen cie Jas minimas qi + Hobilidad ‘+ Habilidadt + Hobilidad + Hobilidad ‘© Habilidad Como eval tre los proceso piadas para en rea de trabajo mientos de los contexto dela} y pricticas que tribucidn poter especifico. Las habilid implantar, ejeo de la tecnologi gobiemen el ot Dernic Concer Después de ana tipos de audito: ponder las sign campo de accid, Esta es lad Practice sobre at Es una fanci vvos de los sis los objetivos Mientras qu Auditoria en reas de laoinar este lento d indepen- alo pero dado por onados ado tt snrio que eialize rrollo de scion del lidas son ‘mo para fa dar la flujo de dad de 2rnone cumpla con el grado de control que necesita la informacién procesada por el sistema, de acuerdo con los objetivos y politicas de la organizacisn B eras habilidades fundamentales que deben ser consideradascomo lasminimas que todo auditor de informatica debe tener Hobilidad para manejar paquetes de procesadores de texto, + Habilidades para manejo de hojas de calculo. + Habilidad para el uso del E-mail y conocimiento de Internet + Habilidad para manejo de bases de dato: + Habilidad para el uso de al menos un p ete bisico de contabilidad. Como evaluador, el auditor de informatica debe ser capaz de distinguir en ttelos procesos de evaluacién de sistemas y las aproximaciones que son apro- piadas para encauzar los propésitos especificos de evaluacion relevante para el ea de trabajo. En este sentido, el auditor en informatica debe tener los conoci- nnientos de los pasos cequerides para aplicar una evaluacién particular en contexto de la tecnologia de la informacidn. Debe poser esténdares relevant y pricticas que gobiernen la conduccién de una evaluacién particular. Su con- ibucién potencial a una evaluacién particular puede ser hecha en un contexto speafico. Lashabilidades técnicas requeridas por el auditor en informatica son las de mplantar, ejecutar y comunicar los resulta os de la evaluacidn en el contexto de la tecnologia de informacién, de acuerdo con estandares profesionales que gobiemnen el objetivo de la auditoria DeriniciON DE AUDITORIA EN INFORMATICA Concerto DE AUDITORIA EN INFORMATICA Después de analizar los conceptos de auditoria y de informatica, los diferentes tipes de auditoria, asf como su interrelacién con la informética, debemos re ponder las siguientes p tuntas: Qué es auditorfa en informatica? gCudl es su es la definicién de Ron Weber en Auditing Conceptual Foundations and tice sobre auditoria informatica: Es una funcién que ha sido desarrellada para asegurar la salv uarda de los act wos de los sistemas de computadoras, mantener la integridad de los datos y logra Mientras que la definicion de Mair William es la siguiente: Auditoria en informatica es la verificacién de los controles en las siguientes trwate : El cont bido loin mas debi El abus informatica de informat informacisr robes horm tambien sor La audi equipos de mas habra ¢ das, proced (desarroll n incluir y el pers Ademé: se ro adec dafios consic inversién im dencial a la pérdidas en pro un recur estrenado, nuestra soci den ir des¢ bertad ode l Ademis es responsabgue mangjan estos dos tipos de problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en las computadora H control en el abuso de las computadoras es normalmente més dificil de bio lo ineclecuado de las leyes. Es mas dificil condenar a alguien que hizo un inadecuado uso del tiempo de las computadoras, 0 copias ilegales de progra- mas, debido a que las leyes no consideran a Jas computadoras como una perso na, s6lolas personas pueden ser declaradas como culpables, o bien considerar 4a informacion como un bien tangible y un determinado cost 1s0 tiene una importante influencia en el desarrollo de la auditoria en informética, ya que ena mayoria de las ocasiones el propio personal de la orga~ hizaci6n es el principal factor que puede provocar las pérdidas dentro del area Gién del equipo en trabajos distintos « los de la organizacién, la obtencibn de informacion para fines personales (Internet), los juegos 0 pasatiempos, y los también son Ilevades a cabo por el propio personal de la organizacién, La auditoria en informatica debera comprender no sélo la evaluacién de lo das, procedimientos, comunicacidn, controles, archivos, seguridad, personal (esarrollador, operador, usuarias) y obtenciéa de informacidn. En esto se de- it los equipos de cSmputo, por ser la herramienta que permite obte ner una informaci6n adecuada y une organizacicn especifica (departamento de cimputo, departamento de informatica, gerencia de procesos electrénicos, etc), cl personal que hard posible el uso de los equipos de cémputo. Ademds de los datos, el hardware de computadora, el software y persor son recursos criticos de las organizaciones. Algunas organizaciones tienen in- versiones en equipo de hardware con un valor multimillonario, Aun con un seguro adecuado, las pérdidas intencionales 0 no intencionales pueden causar ios considerables, En forma similar, el software muchas veces constituye una inversiGn importante. Si el software es corrompido o destru psible que la organizacion no pueda continuar con sus operaciones, si no es prontamente recobrado. Si el software es robado, se puede proporcionar informacién confi- dencial a la competencia, y si el software es de su propiedad, pueden tenerse pérdidas en ganancias o bien en juicios legales. Finalmente, el personal es siem- pre un recurso valioso, sobre todo ante la falta de personal de informatica bien, s computadoras ejecutan automaticamente muchas funciones criticas en nuestra sociedad. Consecuentemente, las pérdidas pueden ser muy altas y pue- len ir desde pérdidas multimillonarias en lo econdmico, hasta pérdidas de li- ertad o de la vida en el caso de errores en laboratories médicos o en hospitales. Ademiés de los aspectos constitucionales y legales, muchos paises han con iderado la privacidad como parte de los derechos humanos. Consideran que responsabilidad de las personas que estén con las computadoras y con las edes de comunicaci6n, asegurar que el uso de Ia informacidn sea recolect integrada y entregada répidamente y con la privacidad y confidencialidad jveridas, Existe una responsabilidad adicional en el sentido de asegurarse de que la informacién sea usada solamente para los propésitos que fre elaborada Perdida do informacién20 capiruto 1 EPTO DE \UOITORIA Campo de la auditoria Eneste caso se encuentran las bases de datos, las cuales pueden ser usadas para nes ajenos para los que fueron disefiadas o bien entrar en la privacidad de las, La tecnologia es neutral, no es buena ni mala. El uso de la tecnologia es lo que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- giaen Internet no es problema de la tecnologia, sino de la forma y caracteristi cas sobre las cuales se usa esa tecnologia. Es una funcién del gobierno, de las asociaciones profesionales y delos grupos de presién evaluar cl uso de la teeno- logia; pero es bien aceptado el que las organizaciones en Jo individual tengan una conciencia social, que incluya el uso de la tecnologia en informatica. Debers de existir una legi la que se considere el andlisis y acién mas estricta en el uso de la tecnologia, en investigacion paraevitar el mal uso de Internet y otras tecnologias, para evitar situaciones como el suicidio colectivo de sectas religiosas, como sucedié en Estados Unidos. También se requiere de una tica por parte de las organizaciones y de los individuos que tis todo tipo de tecnologia, no sélo la de informatica. Campo DE LA AUDITORIA EN INFORMATICA Fl campo de accién de la auditoria en informstica es: * Laevaluaci6n administrativa del area de informatica, La evaluacién de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacién. La evaluacién de la eficiencia y eficacia con la que se trabaja * La evaluacién del proceso de datos, de los sistemas y de los equipos de cémputo (software, hardware, redes, bases de dates, comunicaciones). ‘+ Seguridad y confidencialidad de la informacion. * Aspectos legales de los sistemas y de Ia informacién, Para lograr los puntos antes seftalados se necesita: A) Evaluacién administrativa de la evaluacién de lel departamento de informatica. Esto compren Los objetivos del departamento, direccién o gerencia Metas, planes, politicas y procedimientes de procesos electrdnicos estén- dares. © Organizacisn del drea y su estructura orgénica Funciones y niveles de autoridad y responsabilidad del drea de proce s0s electronicos, Integracisn de los recursos materiales y tenicos. Direceién, Costos y controles presupuestales Controies administrativos del area de procesos electrénicos. B) D) Evalu: se tien Ey Ey Ey Fa rosy co Ins For foi Co Uti ei cur Pro Der Evaluac prende: Con Con Con ‘Con Con Con Com Ord Seguride Sega Cont esp Segu Segu Segu Plan sastre + Resta Los prine = Salva ware © Integradas para 8) Evaluacisn de los sistemas y procedimientos, y de la eficiencia y eficacia qui a lad de las tienen en e! uso de la informacién, lo cual comprende saseacd ogfa es lo + Evaluacidn del anallisis de los sistemas y sus diferentes etapas. INFORMATICA vlecnolo- + Evaluacién del disefio Igico del sistema racterist + Evaluacién del desarrollo fisico del sistema, to, de + Facilidades para la elaboracién de los sistemas. Iatecno Control de proyectos. al tengan Control de sistemas y programacién. ic mentacir slogia, en Formas de implantacién Soguridad fisica y ISgica de los sistema: = Confide + Instructivos y doc cialidad de los sistemas. * Controles de mantenimiento y forma de respaldo de los sistemas. Utilizacién de los sistema Prevencidn de factores que p cuperacién en caso de desa: * Productividad. Jan causar contingencias; seguros y re Derechos de autor y secretos industriales. Evaluacién del praceso de datos y de los equipos de prende: ‘émputo que com- Controles de los datos ente y manejo de cifras de cor Control de operacién. = Control de salida, i. Control de asignaci6n de trabajo. | me © Control de medios de almacenamiento masivos. cc * Control de otros clementos de cémputo. B * Control de medios de comunicacién c © Orden en el centro de aémputo. D) Seguridad * Seguridad fisica y Kégica + Confidencialidad jmpren + Respaldos. «Seguridad del personal * Seguridad en la utilizacién de los equipos. os est + Plan de contingencia y procedimiento de respaldo para casos de de cast. + Restauracién de equipo y de sistemas. Ae prove Bed Los principales objetivos de la auditoria en informatica son los siguientes = Salvaguardar los activos. Se refiere a la proteccién del hardware, soft- ware y recursos humanos, ‘© Integridad de datos. Los datos deben mante plicarse22 © Efectividad de sistemas. Los sistemas deben cumplir con los abjetivos dela + Eficiencia de sistemas. Que se cumplan los objetivos con los menores recut * Seguridad y confidencialidac Para que sea eficiente la auditoria en informatica, ésta se debe realizar tam: bién durante el proceso de disedio del sistema, Los disefiadores de sistem: nen la dificil tarea de asegurarse que interpretan las necesidades de los usa ios, que disenan los controles requeridos por los auditores y que aceptan y entienden los isefios propuesto: La interrelacién que debe existir entre la auditoria en informatica y los dife rentes tipos de auditoria es la siguiente: el nuicleo o centro de la informatica so los programas, los cuales pueden ser auditados por medio de la auditor programas, Estos programas se usan en las computadoras de acuerdo con la organizacion del centro de cémputo (personal). La auditoria en informética debe evaluar todo (informatica, organizacié del centro de cémputo, computadoras, comunicacién y programas), con auxili de los principios de auditoria administrativa, auditorta interna, auditoria co table/financiera y, a su vez, puede proporcionar informacién a esos tipos de aurditorfa, Las comp adoras deben ser una herramienta para la realizacién di cualquiera de las auditorias. La adecuada salvaguarda de los activos, la integridad de los datos y la efi ciencia de los sistemas solamente se pueden | 1 si la administracidn de | organizacién desarrolla un adecuado sistema de control interno El tipo y caracteristicas del control interno dependeran de una serie de fa tores, por ejemplo, si se trata de un medio ambiente de minicomputadoras macrocomputadoras, si estén cone n en forma indivi dual, sie tiene Internet y Extranet. Sin embargo, la division de responsabilida: des y la delegacién de autoridad es cada vez mas dificil debi: usuarios comparten recursos, lo que dificulta el proceso de control inte Como se ve, la evaluacin que se debe desarrollar para la rea n de Ie nto en informatica y con mucha experiencia en el érea La informacion proporcionada debe ser confiable, oportuna, veridica, y debe manejarse en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro de parémetros legales y ética Aunrroria DE PROGRAMAS 2 auditoria de programas es la evaluacién de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluat e riesgo que tienen para la organizacién. La auditoria de programas tiene un mayor grado de profundidad y de de le que la auditoria en informatica, ya que analiza y evaliia Ia parte central de uso delas con parte dela at Para logn realicen han ¢ temas deadm bases de dato, el programa. cién del mism mas se neces tengan los res general se ca optimizar un) Para optit cidn del sistem mentacién dettives uso de las computadoras, quees el programa, aunque se puede considerar com parte de la auditoria en informatica ores recur Para lograr que la auditoria de programas sea eficiente, las personas que la mes deadministracién de base de datos, lenguajes de programaciGn, utilerias, datos, medios de comunicaci6n y acerca del equipo en que fue escrito tema Flaca Pars octerlicwas dae tre hutbcras wbctanta deen progr do con I mentaciGn detallada del sistema to $tipos de win de fede fac fadoras ta indiv isabilida: tmuchos temo, fo dePlaneacién de la auditoria en informatica CAPITULO Osuetivos Al finalizar este capitulo, usted: Conocera las distintas fases que comprende la auditoria en informatica Comprenderd la importancia en el trabajo de auditoria de la planeacién, el examen y la evaluacion de la informacion, la comunicacion de los resultados. y el seguimiento, . Explicard el valor de la evaluacién de los sistemas de acuerdo al riesgo . Desoribira las fases que deben sequirse para realizar una adecuada invest ‘gacién preliminar Definird cuales son las principales caracteristicas que requiere ol personal que habrd de panicipar en una aucitoria. Conocard cémo se elabora una carta-convenio de servicios profesionales de auditoria.26 capiTuLo 2 Auditoria interna Fases DE LA AUDITORIA ‘ecoleccisn y evaluacién de eviden. ar cudndc dos, de qué man: son salvaguardados los activos de los sistemas a se mantiene la integridad de los datos y cémc abjetivos de la organizacisn eficazn consumidos eficientemente. La auditoria en inforn dicionales de la auditorfa: aquellos que son de la auditoria externa, de salva sarda de los activos y la integridad de datos, y los objetivos gerenciales, aque ios pr 2 auditoria interna que no sdlo logran los objetivos sefialados ino también los de eficiencia y eficacia. auditoria interna es una funcidn independiente de la evaluacién que s establece dentro de una organizacidn para examinar y evaluar sus actividades El objetivo de la auditoria interna consiste en apoyar alos miembros de la orga nizacién en el desemperio de sus responsabilidad Para ello, proporciona. uaciones, recomendacione Los auditores internos son responsables de proporcionar informacién acer a de la adecuacién y efectividad del sistema de control interno de la organiza cin y de la calidad de la gestién El manual de org: izacion deberé establecer clai ame los propésitos del lepartamento de auditoria interna, especificar queel alcance del trabajo no debe tener restricciones y sefialar que los auditores internos no tendrén au Ly/e responsabilidad respecto de las actividades que auditan El auditor interno debe ser independiente de las actividades que audita. Esta independencia permite que el auditor interne realice su trabajo libre y ob- jetivamente, ya que sin esta independencia no se pueden obtener los resultados deseados, Las normas de auditoria interna comprenden: Las actividades auditadas y la objetividad de los auditores intemos, * El conocimiento técnico, la capacidad y el cuidado profesional de los audi toresinternos con los que deben ejercer su funcidn. En el casa de la audito de su a importancia el que el auditor cuente con Ic nocimientos técnicos alizados y con la experiencia necesaria en el * Elalcance del trabajo de auditoria interna en el Area de informatica EI desarrollo de las responsabilidades asi responsables de la auditorfa a informatica Jas a los auditores internos Los auditores internos deber auditan, ser independientes de las actividades que deben de tener un amplio criterio para no tomar decisiones subjeti vas basadas en preferencias personales sobre determinado equipo 0 sin analizar a profundidad las opiniones. Los auditores internos son indepen: dientes cuando pueden desempeiiar su trabajo con libertad y objetividad. La independencia permite a los auditores internos rendir juicios imparciale feware iales para una adecua La obje internos de deben subo La ot de tal mane que no hay auditores it posibilitade Los rest el respectivi de que el tr Elaudit ridos y con Eldepa, as persona disciplina mw berd aseguri ditores sean des y periciz Fl depar mientos, exp bilidades de tores califica las responsa mento non Que las es un pr trabajo d * Quelosi tructivos + Quesea © Quelaa dencia a} Que los Que los disciplin: Cada au + Se requie cas de aw pericia lapara la adecuada conduccién de las auditorias; esto se log! adecuada objetividad y criterio, a objetividad es una actitud de independencia mental que los auditor Interes deben mantener al realizar las auditorias. Los auditores internos no deben subordinar sus juicios en materia de auditoria al de otros. La objetividad requiere que los auditores internos realicen sus auditoria Je tal manera que tengan una honesta confianza en el producto de su trabajo y que no hayan creado compromisos significativos en cuanto a la calidad. 1 auditores internos no deben colocarse en situaciones en las que se sientan im. osiblitados para hacer juicios profesionales objetivos. del trabajo de auditoria deben ser revisados antes de emiti me de auditoria, para proporcionar una tazonable seguridad 1 trabajo se realiz6 objetivamente El auditor en informatica debe contar con los conocimientos técnicos reque idos y con capacidad profesios Ei departamento de auditoria interna deberd asignar a cada auditorfa a aque las personas que en su conjunto posean los conocimientos, la experiencia y la fisciplina necesarios para conducir apropiadamente la auditoria, También de berd asegurarse que la experiencia técnica y Ia formacién académica de los au ditores sean las apropiadas para realizar las auditorias en informatica simismo, se deberd obtener una razonable seguridad sobre las capaci: des y pericias de cada prospecto para auditor en informatica 1 departamento de auditoria interna deberd contar u obtener los conoci nientos, experiencias y disciplinas necesarias para llevar a cabo sus responsa- ilidades de auditorfa en informatica. Deberd tener personal o emplear consul ores calificados en las disciplinas de informatica necesarias para cumplir con as responsabilidades de auditoria; sin embargo, cada miembro del departa mento no necesita estar calificado en todas las disciplines, El departamento de auditoria interna debera asegurarse Que las auditorias sean supervisadas en forma apropiada. La supervision S un proceso continuo que comienza con la planeacién y termina con el trabajo de auditori (Que los informes de auditoria sean precisos, objetivos, cla tructivos y oportunos, Que se cumplan los objetivos de la auditors (Que la auditoria sea debidamente documentada y que se conserve la evi dencia apropiada de la supervisin Que los auditores camplan con las normas profesionales de conducta Que los auditores en informatica posean los conocimientos, experiencias y iplinas esenciales para realizar sus auditorias Cada auditor interno requiere de ciertos conocimientos y experiencia: Se requiere pericia en la aplicacién de las normas, procedimientos y técni cas de auditoria interna para el desarrollo de las revisiones. Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las si- Habilidades de los auditores28 Cuidado profesional tuacion mente se encuentren, ocupandose de ellas sin tener que recurrir en exceso a ayudas o investigaciones técnicas, que posi + Tener habilidad para: aplicar amplios conocimientes a sittaciones que po siblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcenzar solucic nes razonables Entre las habilidades que deben tener los auditores estar + Habilidad para comunicarse efectivamente y dar un trato adecuado a les personas, Los auditores intemos deben tener habilidad para comunicarse tanto de manera oral como escrita, de tal manera que puedan transmitir dlara y efectivamente asuntos como: los objetivos de la auditorfa, las eva Iuaciones, las conclusiones y las recomendaciones. * Los auditores en informatica son responsables de continuar su desarroll profesional para poder mantener st pericia profesional. Deberén mante nerse informados acerca de las mejoras y desarrollos recientes. * Los atsditores en informatica deben ejercer el debido c > profesional 4 realizar sus auditori Elcuidado profesional, deberd estar de acuerdo con 1a comple}idad de la auditoria que se realiza. Los auditores deben estar atentos ala posibilidad de errores intencionales, de errores omisiones, del ineficiencio, del desperdicio, de la inefectividad y del conflicto de interese También deberdn estar alertas ante aquellas condiciones y actividades en donde es més probable que existan irregularidades. Ademas, deberin d identificar los controles inadecuados y emitir .comendaciones para pro mover el cumplimiento con procedimientos y practicas aceptables. EI debido cuidado implica una razonable capacidad, no infalibilidad ni a ciones extraordinarias. Requiere nes con un alcance razonable, pero no requiere auditorias detalladas de todas r puede dar una absoluta se jaridades. Sin embai b no se cumplan posiciones debe ser considerada siempre gue el auditor emprende una auditoria Cuando el auditor detecte una irre deberd informarl: puede recomend. cunstancias. Pos las operaciones. Por consiguiente, el auditor no dad de queno existan incumplimientos o irregu idad de que existan irregularidades materiales 0 que ularidad que va en contra de lo estab a organizacién. El auditor eriormente, el auditor deberd efectuar su seguimiento para ver ficar que se ha cumplido con lo sefialado. a las autoridades adecuadas de El ejercicio del debido cuidado profesional significa el uso razonable delas experiencias y juicios en el desarrollo de la auditoria, Para este fin el auditor debera considerar * Elalcance del trabajo de auditoria necesario para lograr los objetivos de lt auditoria + Lamaterialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditoria. Laadea + Elcosto, Elcuida determinane plidos. Cuen Elalcan« cuacisn y ef lidad enel c revisar la ad sistema estat y metas de le Los objet © Laconfi sar la cot dos para © Elcumpl tos + La salvag El uso efi * Fllogro El sistem; control y el c eben examin + Quelosre tuna, com © Que losex Los audit cumplimiento que pueden te ben determin: La gerene mas disefiado politicas, plan res son respor y si las activi Piados. Los audit = La comece existencias sin tener es que po: nificativas ar solucio- transmitir desarrollo ofesional a cuerdo cor leben estar jones, ce | Je ntereses vidades en deberan de s para pro: es. dad ni ac verificacio- as de todas Juta seguri la las dis aauditoria establecido El auditor topare ve mable de las jelivos de la ese aplican + Laadecuacion y efectividad de los controles intemos, El costo de la auditoria en relacisn con los posibles beneficios. El cuidado profesional incluye la evaluacion de los estandares establecidos, determinando en consecuencia si tales esténdares son plidos. Cuando ést septables y si son cum son vages deberén solicitarse interpretaciones autorizada: El aleance de la auditoria debe abarcar el examen y evaluacién de la ade- uacion y efectividad del sistema de control interno de la organizacién y la ca- idad en el cumplimiento de las responsabilidades asignadas, El propésito de cevisar la adecuaciGn del sistema de control interno es el de cerciorarse si el sistema establecido proporciona una razonable seguridad de que los objetivos metas de la arganizacién se cumpli n eficiente y econémicamen Los objetivos elementales del control interno son para asegurar * Laconflabilidad e integridad de la informaci6n. Los auditores deben revi- sar la confiabilidad e integridad de la informacién y los métodos emplea: dos para identificar, medir, clasificar y reportar dicha informacién El cumplimiento de las politicas, planes, procedimientos, leyes y reglamen- + Lasalvaguarda de los activos. + Bluso eficiente y econdmico de les recursos. ELlogro de los objetivos y metas establecidos para las operaciones o progra- El sistema de informacién proporciona datos para la toma de decision control y el cumplimiento con requerimientos extemos. Por ello, los audi deben examinar los sistemas de informacién y cuando sea apropiado asegurarse: * Que los registros e informes contengan informacién precisa, confiable, opor- tuna, completa y titi * Que los controles sobre los registros e informes sean adecuados y efectivos, Los auditores deben revisar umplimiento de las pol que pueden tener un impacto significative en las operaciones e informes, y de- en determinar si la organizacién cumple con ellos. La gerencia de informa: sistemas establecidos para asegurarse del as, planes y procedimientos, leyes y reglamentos 2s responsable del establecimiento de los si nas disefiedos para asegusar el cumplimiento de requerimientos tales como Poiiticas, planes, procedimientos y leyes y reglamentos aplicables. Los atidito- ws son responsables de determinar si los sistemas son adecuados y efectivos si las actividades auditadas estar piados. Los auditores deberan revisai mpliendo con los requerimientos apro- + La correccisn de los métodos de salvaguarda de los activos y verificar la existencia de estes activos. 2930 Uso eticiente de recursos + Los métodos empleados para salvaguardar los activ de diferentes ti de riesgos tales como: robo, incendios, actividades impropias o ilegales, asi como de elementos naturales como terremotos, inundaciones, etestera Los auditores debersn evaluar i empleo de los recursos se realiza en forma econémica y eficiente Laadministracibn es responsable de establecer estandares medir la eficiencia y economia en el uso de los son responsables de determinar si fe operacion para »s. Los atsditores interns + Los esténdares para medir la economia y eficiencia en el uso de los recurso: son los adecuados. * Los estdndares de operacién establecidos han sido entendidos y se cum: plen. Las desviaciones a los estandares de operacion se identifican, analizan y se comunican a los responsables para que tomen las medidas correctivas. + Se toman las med s con el uso econdmicoy eficiente de los recursos deberén identificar situaciones tales com + Subutilizacién de instalacione + Procedimientos que no justifican su costo Exceso o insuficiencia de personal. Uso indebido de las instalaciones. Los auditores deberdn revisar las operaciones o programas para cerciorai se si los resultados son consist tes con los objetivos y metas establecidos y si las operaciones o programas se llevan a cabo como se planearon. Pianeacion DE LA AUDITORIA EN INFORMATICA Para hacer una adecuada planeacién de Ia auditoria en informética seguir una serie de pasos previos que permitiran dimensionar el tam racteristicas del area dentro del organismo a auditar, sus sis cidn y equipo. Con ello podremos dk personal de auditoria, las herramie minar el nuimero y caracteristicas del nias necesarias, el tiempo y costo, asf como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios Dentro de la auditorfa en general, la planeacidn es uno de los pasos mas mportantes, ya que una inadecuada planeacién provocard una serie de proble efectiie cor El trak seguimien La plas © Elestal + Laobte © La dete © Elestal involuc © Lareal promov © laprp * Ladete: dos de | © La obter En el ca pues habra « * Evaluac * Eyaluac * Evaluac 0 (softw © Segurida © Aspectos Para logr informacién ¢ evaluar. Para trevistas prey deberd incluis solicitar o for El proces Programa Planes de Informes ¢ Las metas plimiento, sobates tipos hay que ticas de ahorar e eprotle mas que pueden im se cumpla con la auditoria 0 bien hacer que no efectiie con el profesionalismo que debe tener cualquier auditor. El trabajo de auditoria deberd incluir la planeacién de Ja auditoria, el ex. men.y la evaluaciGn de la informacién, la comunicacién de los resultados y La planeacién deberd ser documentada e incluiré: Flestablecimiento de los objetivos y el aleance del trabajo. Laobtencién de informacién de apoyo sobre las actividades que se auditardn La determinacin de los recursos necesarios para realizar la auditor Elestablecimiento de la comunicaciGn necesaria con todos los que estarén involucrados en la auditoria La realizacion, en la forma mas apropiada, de una inspeccién fisica para familiarizarse con las actividades y controles a auditar, as{ como identifica cidn de las reas en las que se deberd hacer énfasis a promover comentarios y la promocién de los auditad¢ La preparacién por escrito del programa de auditoria La determinacién de cémo, cudndo y a quién se le comunicarén los resulta dos de la auditoria. La obtencién de la aprobacién del plan de trabajo de la auditoria, En el caso de la auditoria en informatica, la planeacién es fundamenta pues habrd que hacerla desde el punto de vista de varios objet Objetivos valuacién administrativa del rea de procesos electrénico: de a plrmecial Evaluacién de Jos equipos de compute Evaluacién del proceso de datos, de los sistemas y de los equipos de eémpu Seguridad y confidencialidad de la informacion: + Aspectos legales de los sistemas y de la informacion, Para lograr una adecuada planeacicn, lo primero que se requiere es obtener informacién general sobre la organizacién y sobre la funcién de informatica a evaluar. Para ello es preciso hacer una investigacién preliminar y algunas er frevistas previas, y con base en esto planear el programa de trabajo, el cu: deberd incluir tiempos, costos, personal necesario y documentos auxiliares a clicitar o formular durante el desarrollo de la auditoria EI proceso de planeacion comprende el establecer: nas de trabajo de auditoria. contratacién de personal y presupuesto f Informes de actividades. Las metas se debersn establecer de tal manera que se pueda lograr su cum plimiento, sobre la base de los planes especificos de operacion y de los presu32 capiruto 2 buestos, los que hasta donde sea posible deberén ser cuantificables. Deberdn ompafiarse de los criterios para medirlas y de fechas limite para su logro. Los programas de trabajo de ausditoria deberdn inclu: las actividades que ‘mando en consideracion el alcance del trabajo de auditoria planeado y la natu- raleza y extensién del trabajo de auditoria realizado por otros. Los programas de trabajo deberdn ser lo suficientemente flexibles para cubrir demandas im Los planes de contratacién de empleados y los presupuestos financieros incluyendo cl niimero de auditores, st conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo—, deberén contemplarse ai el borar los programas de trabajo de auditoria, asf como las actividades adminis- amiento requeridos, la investigacién sobre trativas, la escolaridad y el adies auditoria y los esfuerzos de desartollo. Revision PRELIMINAR El primer paso en el desarrollo de la auditoria, después de la planeacio: revision preliminar del area de informatica, El objetivo de la revision prelimi- e el auditor pueda tomarla nar esel de obtener la informacidn necesaria para decisién de eémo proceder en la auditoria, Al terminar la revision preliminar el auditor puede proceder en uno de los tres caminos siguientes, » de la auditoria, Puede haber problemas debido a la falta de compe tencia técnica para realizar la auditorfa, © Realizar una revisién detallada de los controk Iaesperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuen- .s internos delos sistemas con + Decidir el no confiaren los controles internos del sistema, Existen dos razo- nes posibles para esta decisin. Primero, puede ser mis eficiente desde punto de vista de costo-beneficio el realizar pruebas sustantivas directa- mente. Segundo, los controles del érea de informatica pueden duplicar los controles existentes en el area del usuario, El auditor puede decidir que se obtendré un mayor costo-beneficio al dar una mayor confianza a los con- tzoles de compensacisn y revisar y probar mejor estos controles. La revisién preliminar significa la recoleccién de evidencias por medio de entrevistas con el personal de le instalacidn, la observacidn de las actividades en la instalacidn y la revisi6n de la documentaci6n preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de 's considerar que ésta seré entrevistas, 0 con documentacién narrati s6lo una informacion inicial que nos permitira elaborar el plan de trabajo, ia cual se profundizard en el desarrollo de la auditoria La revi zada por ut no normaln parte geren familiarizac causas de el audi consideraci siel auditor gar de proc Con la fase ¢ ‘oles in Revis Los objetive Para que el dentro del 4 El audit timiento, co decontrolin bas compen: puede, desp internos se t alternos de « nla fas Tas causas d para reducir sin detallad dos reducen tencién de in usados en la con que se ol Como en de lograr los auditor inter ciencia y efic suficientes ps interno debe sobrecontral, nos controles controles inte tamente a rev procedimient de los sistem:Deberdin La revisi6n preliminar elaborada por un auditor interno difiere de la reali gto. zada por un auditor externo en tres aspectos, En primer lugar, el auditor inter 5 des que no normalmente requiere de menos revisiones y trabajos, especialmente en la be ta AUDITOR Fido, to: parte gerencial y de organizacién, ya que él es parte de la organizaciGn y est Ianatu- familiarizado con la misma, En segundo, el auditor externose enfoca més en la: agramas causas de las pérdidas y en los controles necesarios para justificar sus decisio Tipos res el auditor interno tiene una amplia perspectiva, la cual incorpora en sus de revisiones. consideraciones sobre laeficienciay la eficacia con la que se trabaja. En tercero, ancieros Sie! auditor interno supone serias debilidades en los controles internos, en Ii ay las proceder directamente con las pruebas sustantivas, deberd continuar ealela conla fase de revisiGn detallada para sefialar recomendaciones para mejorar lo: dminis. controles internos. in bre RevisiON DETALLADA Los objetives de Ia fase detallada son los de obtener Ia informacién necesaria pra que el auditor tenga un profundo entendimiento de los controles usados dentro del area de informatica. prelim: Elauditor debe decidir si debe de continuar elaborando pruebas de consen: imiento, con la esperanza de obtener mayor confianza por medio del sistema ni de control interno, o proceder directamente ala revisidn con los usuarios (prue- bas compensatorias), 0 a las pruebas sustantivas. En algunos casos el auditor puede, después de hacer un andlisis detallado, decidir que con los controles Beape intemos se tiene suficiente confianza, y en otros casos que los procedimientos temos de auditoria pueden ser mas apropiado: Bi con En la fase de evaluacidn detallada es importante para el auditor identificar ens las causas de las pérdidas existentes dentro de la instalacién y los controles para reducir las pérdidas y los efectos causados por éstas. Al torminar la revi sign detallada el auditor debe evaluar en qué momento los controles estableci- dos reducen las pérdidas esperadas a un nivel aceptable. Los métodos de ob- Bevel tencién de informacién al momento de la evaluacisn detallada son los mismos eee usaitos en la investigacién preliminar, y lo tinico que difiere es la profundidad [Bis tcc con que se obtiene la informacién y se evahia. i. Como en el caso de la investigacin preliminar, se tienen diferentes forma: lograr los objetivos desde et punto de vista del auditor intemo o extemo. El aditor interno debe considerar las causas de las pérdidas que afectan la efi- ciencia y eficacia, ademés de evaluar por qué los controles escogidos son o no . suficientes para reducir las pérdidas esperadas a un nivel aceptable. El auditor Taoice interno debe evaluar si los controles escogidos son dptimos, si provocan un | ee sobrecontrol, o bien si se logra un satisfactorio nivel de control usando me- noscontroles o controles menos costosos. Si el auditor interno considera que los, coniroles internos del sistema no son satisfactorios, en lugar de proceder direc- dencias fio de mente a revisar, a probar controles alternos o a realizar pruebas sustantivas y procedimientos, debe sefialar las recomendaciones para mejorar los controlescartruio 2 Examen Y EVALUACION DE LA INFORMACION Los auditores internos deberdn obtener, analizar, in informacién para apoyar los resultados de la auditoria, El proceso de ¢3 amen y evaluacién de la informacién es el s * Se debe obtener la informacion de Objetivos y alcances de la auditor ‘* La informacién deberd ser suficiente, compe! odos los asuntos relacionados con los lente, relevant es sdlidas en relacidn con los hallazgos y recomendaciones de la auditoria. La informacién suficiente significa que est basada en chos, que es adecuada y convincente, de tal forma gue una per e y util para que proporcione bi ona pruden las mismas conclusiones que el auditor. La ica que es confiable y puede obtenerse de la informacion competente s} mejor manera, usando las téenieas de auditoria apropiadas. La informacién relevante apoya les hallazgos y recomendaciones de auditoria y es consis tente con los objetivos de ésta. La informacion util ayuda a la organizacion a lograr sus metas, + Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadistico, deberdn ser elegidos con ant: rioridad, cuando esto sea posible, y ampliarse 0 modificarse cuando las ci cunstancias lo requierar * El proceso de recabar, analizar, interpretar y documentar la informacion deberd supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditoria se cum plieron * Los documentos de trabajo de la auditoria deberén ser preparados por los auditores y revisados por la gerencia de auditoria, Estos documentos deb rn registrar la informacidn obtenida y el andlisis realizado, y deben apo- yar las bases de los hallazgos de auditoria y las recomendaciones que se Los auditores deberén reportar los resultedos del trabajo de auditoria. El wuditor deberd discutir las cor Ta administracin beran ser objetivos, claros, c usiones y recomendaciones en Jos nivel ites de emitir su informe final. Los informes de piados ¢ constructivos y oporiunos, Los informes \ce y resultados de la auditoria y, cuando se con in la opinién del auditor. wir recomendaciones para mejoras potenciales y reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vista ¢ los audiitados respecto a las conclusiones y recomendaciones luidos en el informe de auditoria presentarén el propésite sidere apropiado, contend: Los informes pueden Los auditores internos rea zavén el seguimiento de les recomendacion para asegurarse que se tomaron las accianes apropiaclas sobre los hallazgos de auditoria reportados. El dir + Selece © Entre todos + Eval El trak la ad. El dir ner un pro eee Lasup cabo conti Jas normas Las 10 auditoriar ra que cual Para e practicars Prue El objetivo controles in determinar jan confiabl Adema cuentement asistidas pont para qu sdacione’ da en he apruden- aditor. La erse de I formaciss -de que la Jos por los nto debe- eben apo: nes que se ditoria. EL informes lo se con- den ser in llazges de Eldirector de auditoria en informatica deberé establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar Descripciones de puestos por cada nivel de auditoria en informatica Seleccién de individuos calificados y competente Entrenamiento y oportunidad de capacitacion profesional continua para todos y cada uno de los auditores. Fvaluacién del trabajo de cada uno de los auditores porlomenos una vez al Asesoria a los auditores en lo referente a su trabajo y a su desarrollo profe- El trabajo de auditoria interna y externa debera coordinarse para asegura Ja adecuada cobertura y para minimizar la duplicidad de esfuerzo: El director de auditoria interna en informatica debers establecer y mante ner un programa de control de calidad para evaluar las operaciones de! depa: tamento de auditoria interna. El propésito de este programa es proporcionar tuna seguridad razonable de que el trabajo de auditoria esté de acuerdo con las normes aplicables, Un programa de control de calidad deberd incluir los siguientes elementos: Revisiones internas Revisiones extemas, a supervision del trabajo de los auditores en informatica debera llevarse a bo continuamente para asegurarse de que estén trabajando de acuerdo con as normas, peliticas y programas de auditoria en informatica as revisiones internas deberan cealizarse periGdicamente por el personal del departamento de auditoria interna para evaluar la calidad del trabajo de raque cualquier otra auditoria Para evaluar la calidad del trabajo de auditoria en informética debern Pruceas DE CONSENTIMIENTO El objetivo de la fase de prueba de consentimiento es e] de determinar si los ontroles intemos operan coma fueron disefiados para operar. F] auditor debe determinar si los controles deciarados en realidad existen y si realmente traba ian confiablemente. Ademis de las técnicas manuales de recoleccidn de evidencias, muy fre- cuentemente el auditor debe recurrir a técnicas de recoleccién de informacién asisticas por computadora, para determiner la existencia y confiabilidad de los ELA AUDITORIA Programa de coniral de calidad36 Tipos de pruebas controles. Por ejemplo, par aluar la existencia y confiabilidad de los contro- ies de un sistema en red, se requeriré el entrar a la red y evaluar directamente al sistema, Pruesas DE CONTROLES DEL USUARIO {dir el no confiar en los controles int uaditor p dentro de las instalaciones informsticas, porque el usuario ejerce cantroles que ompensan cualquier debilidad dentro de los controles internos de informatica stas pruebas que compensan las deficiencias de los controles intemos se pue den realizar ‘ediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios Pruesas SUSTANTIVAS Elobjetivo de la fase de pruedas sustantivas es obtener eviciencia suficiente que permita al auditor emitir su jricio en las conclusiones acerca de cuando pueden ocurrir pérdidas materia jurante el procesamiento de la informacién. El au itor extemo expresaré este juicio en forma de opinién sobre cuéndo puede xxistir un proceso equivocado o dentificar ocho diferentes pru: Ita de control de la informacién. Se pueden mantanivas: ‘Pruebas para identificar errores en el procesamiento o de falta de seguri- dad 0 confidenc alidad de los dato: Pruebas para identificar la inconsistencia de los datos. >ruebas para comparar con los datos 0 contadores fisicos, Prucbas para asegurar Confirmacién de datos con fuentes externa Pruebas para confirmar la adecuada comunicacisn Pruebas para determinar falta de seguridad. Prucbas para determinar problemas de legalidad. Debemos cuestionamos el beneficio de tener un excesivo control o bien eva- luar el beneficio marginal de tener mayor control contra el costo que representa Sste. Para ello es necesario evaluar el costo por falla del sistema, y sus reperca- siones para determinar el grado de riesgo y confianza necesarios contra el costo de implantacién de controles y el costo de recuperacion de la informacion o eliminacién de las repercusiones - Flau * Dura + Dura © Dura Enge pendenci nar esto: Aume © Asign poster + Crear audite © Obten Realiz lograr los subsistem: ‘cas de cad subsisteme evaluacién sin olvidar La sum sistema, Los pas Mos que se investigacic de cémo es que son pr controles in To, el auditc troles ques dimientos.} 50s el audit der con pas Durante ciles, Cada ¢ quiere de ev cias obtenidEl auditor debe participar en tres estades del sistema: + Durante la fase de diseno del si + Durante la fase de operacién + Durante la fase posterior a la auditoria, En general, la opinién del gerente de informética y de la alta gerencia con: sideran que el que el auditor participe en la fase de diseno disminuye la inde endencia del auditor, pero existen varias formas en las cuales so puede elimi: + Aumentando los conocimientos en informatica del auditor. + Asignar diferentes auditores a la fase de disefio al trabajo de auditoria y al rior a la auditori Crear una seccién de auditoria en informatica dentro del departamento de auditoria interno, especializado en auditoria en informatica + Obtener mayor soporte de la alta gerenci Realizar una auditoria en informatica es un trabajo complejo, Por ello, par los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una waluacién global sobre la confianza total del siste vidar el postulado de investigaci6n de operaciones, que 10 se debers realizar nos sefiala que La suma de los éptimos parciales de los subsistemas no es igual al 6ptimo de jstema, pero nos da una buena aproximacisr que involucran una auditoria en informatica son similares a aque Lospa los que se realizan para auditar un sistema manual, Primero se realiza un: acién preliminar del érea de informatica, para lograr un entendimiento sndo administrada la instalacién y de los principales sistemas fiar en lo: de cémo es que son procesados. En segundo lugar, si el auditor determina ec controles internos del sistema, se realiza una investigacidn detallada. En terce- rp, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos con. tuoles que son criticos. En cuarto, se realizan pruebas sustantivas de los proce dimientos, Finalmente, el auditor debe dar una opinion. Después de estos pa ide si debe pros | auditor evaltia los controles internos del sistema y di con pasos alternativos, Durante la auditoria en informatica deber ciles. Cada evalitacién sobre la confianza de los sistemas de control interno re tomarse muchas decisiones diff: re de evaluaciones complejas realizadas en forma conjunta con las eviden:1 38 Ineimp10 Ejemplo Evatuacion DE LOS SISTEMAS DE ACUERDO AL RIESGO evaluar la importance! Una de las forn que puede tener para la organiza- cién un determinado sistema, es considerar el riesgo q implica el que no sea 2 informacién o bien el que sea usado utilizado adecuadamente, la pérdida di Por personal ajeno a la organizacién. Para evaluar el riesgo de un sistema con mayor detalle véase el apartado "Plan de co ingencia y procedimientos de respaldo para casos de desastre”, en el cap Algunos sistemas de aplicaciones son de més alto riesgo que otros debidoa que + Son susceptibles a diferentes tipos de pérdida ¢ Fraudes y desfeleas entre los cuales estén lo El auditor debe de poner especial atencién a aquellos sistemas que requii ran de un adecuado control financiero. Flujo de cala, inversiones cuentas por pagar y cobrar, nomine. 13 fallas pueden impactar grandemente a la organizacién. Una tala en el procesamiento de la némina puede tener como consecuencia fl que se tenga una huelga + Interfieren con otros sistemas, y los errores generados permean a otros sis + Potencialmente, alto riesgo debido a dafios en la competencia. Algunos sis femas le dan ala organiza mercadc jon un nivel competitivo muy alto dentro de un Sistema de planeacion esiratégica. Patentes, derechos de autor, ales son las mayores fuentes de recursos de la organizacion. Otros a través de los cuales su pérdida puede destruir la imagen de la organizacion + Sistemas de tecnologia de punta o avanzada. Si los sistemas utilizan tecno- logia avanzada o de punta. Sistemas de bases de dal somunicadion, tecno- logia sobre la cual la organizacién tanga muy poca experiencia o respaldo, 'a cual es mas probable que sea una fuente de problemas de contro. * Sistemas de alto ost, Sistemas que son muy costosos de desarrollar, los ales son frecu mente sistemas complejos que pueden prese nas de control. hos probl live Es ne que F rapid Lain trol gerer troles ger practicas de la inst: Ios contre dos sobre aplicacior Se del mento po document programa Se det dentro de ria y Ia fee En el cién prelin pos de es har se deb reas, basa Administr, departame de docume Laefici objetivos e: adapta a lo Esta ad usuarios de direccién y dicho sisten cutivos y us Asimisr que el perso dos que see trol, inicam Lethe SprInvestigacion PRELIMINAR que permita una prime sbal. El objeto de este primer contacto es percib idamente las estruct n ales y diferencias principales entre el no a auditar y otras organizaciones que se hayan investigado, a inv in preliminar debe incorporar fases de evaluacién del cor trol gerencial y del control de las aplicaciones. Durante la revisiGn de los con- troles gerenciales el auditor debe entender a la organizacisn y las politicas y pricticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquia de la instalacion en que se encuentran las computadoras. Durante la revision de los controles de las aplicaciones, el auditor debe entender los controles ejerc dos sobre el mayor tipo de transacciones que fluyen a través de los sistemas de aplicaciones mas significativos dentro de la instalacién de computadoras, Se debe recopilar informaci6n para obtener una visién general del departa- mento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, asf como el programa detallado de la investigacis Se deberd observar el estado general del ituacin nntro de la organizacién, si existe la informacién solicitada, si es o no neces: ria y la fecha de su tiltima actualizacién n el caso de la auditoria en informstica debemos comenzar la investiga én preliminar con una visita al orgenismo, al érea de informética y a los equi- pos de computo, y solicitar una serie de documentos. La investigacion prelimi- xr se debe hacer solicitando y revisando la informacién de cada una de las paséndose en los siguientes punto: Administracién. Se recopila la informacién para obtener una visién general del mento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento, a eficiencia en el departamento de informatica sélo se puede lograr si sus bjetivos estin integrados con los de la institucidn y si permanentemente se adapta a los posibles cambios de éstos. ista adaptaciOn tinicamente puede ser posible si los altos ejecutivos y los asuarios de los sistemas toman parte activa en. cisiones referentes a la Jireccién y utilizacién de los sistemas de informacién, y si el responsable de Jicho sistema constantemente consulta y pide asesoria y cooperacién a los eje- Asimismo el control de la direceién de informatica no es posible, a menos ue el personal responsable aplique la misma disciplina de trabajo y los méto- dos que se exigen normalmente a los usuarios. Podemas hablar de tener el con- rol, tinicamente cuando se contemplaron los objetives, se establecié un presu40 caprruo 2 DE LA AUDITORIA EN INFORMATICA Requerimientos de una auditoria puesto y se registraron correctamente los costos en el desarrollo de la aplica- Gién, y cuando ésta contempla el nivel de ses tiempos minimos de entrega de resultados de calidad y vieio en términos d a operacidn del computador. El éxito de la direccién de informatica dentro de una organizacién depende finalmente de que todas las personas responsables adopt va respecto a su trabajo y evaltien constantemente la eficiencia en su propio trabajo, asi como el desarrollado en su drea, estableciendo metas y estandares, tuna actitud posit .ductividad La direccién de informatica, seguin las diferentes dreas de la organizaci6n, es evaluada desde diferentes p Los usuarios a nivel operativo generalmente la tos de vista, > una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccién de informatica es una funcién de servicio. Cada grupo de usuarios tiene su propia po y nivel de servicio, sin considerar el costo del mismo y expectativa del normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios, Los altos ejecutivos consideran a la direccién di versién importante, que tiene Ia funcién de participar activamente en el cum- plimiento de los objetivos de la organizacién, Por ello, esperan an maximo del retorno de su inversion; esperan que los recursos destinados a la direccién de informatica proporcionen tn beneficio m iximo a la organizacién y que ésta participe en la aciministraciGn eficiente y en la minimizaciGn de los costos me- diante informacién que permita una adecuada toma de decisiones. Los directi- vos, con toda Ia raz6n, consideran que la organizacién cada dia depende mas del rea de informé ca y consecuentemente esperan que se deba administrar lo més eficiente y eficaz posible. 'sencialmente, la meta principal de los administradores de la direccién di informética es la misma que inspira cualquier departamento de serv binar un servicio adecuado con una operacién econémica. : El problema estriba en balance el nivel de servicio a los usuarios, que jempre puede ser incrementado a costa de un incremento del factor econémico Para poder analizar y dimensionar la estructura a auditar se debe solicita A nivel organizacién total Objetivos a corto y largo plazos, Manual de Antecedentes historia del organismo. Politicas generales. A nivel del drea de informatica * Objetivos a corto y largo plazos. Manual de organizacién del drea que incluya puestos, funciones, nivele jerérquicos y tramos de mando. * Manual de politicas, reglamentos internos y lineamientos generales rsonas y puestos en el dea, © Nuimero d Presi Recu solic local Esta Fechi Cont Cont Conv Conf Cons locali Plane Ubica Polit Politi Politic extern Sister Deseti larse,« Manu: Manus Deseti Diagra Fecha Proyee Bases ¢ Proced Sistem: Enela cion, deben No No Se tiene Noaplica- calidad y 1depende posit propio stindares excién de su propia nelc iximo del e ésta is directi- ande mas ristrar lo solicita Procedimientos administrativos del dre Presupuestos y costos del area INVESTIGACION {ELININAR Recursos materiales y técnicos: Solicitar documentos sobre los equipos, asi como el mimero de ellos, localizacién y sus caracteristicas (de los equipos instalados, por instalar programados). Estudios de viabilidad. Fechas de instalacién de los equipos y planes de instalacién. Contratos vigentes de compra, renta y servicio de mantenimiento, Contratos de seguros. Convenios que se tienen con otras instalaciones Configuracién de los equipos y capacidades actuales y méximas, Configuracién de equipos de comunicacién (redes internas y externa: localizacion de los equipes. Planes de expansién Ubicacién general de los equipo Politicas de operacidn. Politicas de uso de los equipos. Politicas de seguridad fisica y prevencin contea contingencias interna: Sistemas: Descripeién general de los sistemas instalados y de los que estén por ins rse, que contengan voltimenes de informacién Manual de formas. Manual de procedimientos de los sistema: Descripcién genérica Diagramas de entrada, archivos, salida. Fecha de instalacién de los sistemas. Proyecto de instalacién de nuevos sistemas. Bases de datos, propietarios de la informacion y usuarios de la misn Procedimientos y politicas en casos de desastre Sistemas propios, rentados y adquiridos. En el momento de hacer la planeaci6n de la auditoria o bien en su reali ign, debemos evaluar que pueden presentarse las siguientes situaciones. + Se solicita la informacin y se ve que: No se tiene y se necesita, Nose tiene y no se necesita ne la informacién pero: Es incompleta.42 capiruto 2 PLANEACION LAAUDTTORIA Uso do informacién No ests actualizada No es la adecuada. Se usa, esté actualizad is la adecuada y esta completa Enel caso de que no se disponga de la informacién y se considere necesita, se debe evaluar la causa por la que no es necesaria, ya que se pl estar solicitando un tipo de informacién que debido a las caracteristicas de organismo no se requii .0 nos dard un parémetro muy impor hacer una adecuada planeacion de la auditoria, Enel caso de queno se tenga la informacién pero que sea necesaria, se debe ante para recomendar que se elabore de acuerdo con las necesidades y con el uso que se vaa dar En el caso de que se ter a la informacién pero que no se utilice, se debe analizar por qué no se usa. El motivo puede ser que esté incompleta, que no est actualizada, que no sea la adecuada, etc. Hay que analizar y definir las ara seialar alternativas de solucién, lo que nos lleva a la utilizacién de la in- En caso de que se actualizada, si es la ‘enga la informacién, se debe analizar si se usa, si e decuada y si est completa; de ser asi, se considerard den- ‘ode las conclusiones de la evaluacidn, ya que como ¢e dijo la auditoria no sélo debe considerar errores, sino también sefalar los aciertos. Antes de concluir esta etapa no se olvide que el éxito del anélisis criti depende de las con ideraciones siguiente + Estudiar hechos y no opiniones (no se toma informacin sin fundamento). Investigar la: + Atender razones, no excusas. * No confiar en la memoria, preguatar constantemente * Criticar objetivamente y a fondo todos los informes y los datos recabado: 1usas, no los efecto: Persona PARTICIPANTE Una de las partes més importantes en la planeacién de la auditoria en inforn ca es el personal que debers participar En este punto no veremos el niimero de personas que debe ya queesto depende de las dimensiones de la organizacidn, de los sistemas y de los equipos; lo que se deberd considerar son las caracteristicas del personal que iabrd de participar en la auditoria Uno de los esquemas generalmente aceptados para tener un adecuado cot trol es que el personal que intervenga esté debidamente capacitado, que tenga nn alto sentido de moralidad, al cual se le exija la optimizacién de recursos ficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la practica sional y la eapacitacién que debe tener el personal que intervendré en la auditoria En primer zacién, que de la auditoria, p Jas reuniones Este es ur direcci6n, nie tuna o varias p cién en el mor También s en el moment de comprobac do, y complen sloel punto d del sistema Para comp de la auditoria ‘Técnico en Conocimie Experienci: Experienci: Conocimie ‘Conocimies + Conocimie Enel casod mientos y expe: eaciones, etcste Lo anterior y experiencias + ‘con las caracter Una vez pla bilidad de prese de auditores ext La carta con Su confirmacin auditoria, las lin dad y lo: fore Una vez que do en Ia figura 2 Este formato de ‘euado control de de formulacion, | dad, el niimero ¢ minaci6n, el ninEn primer lugar, debemos pensar que hay personal asignado por la orgar ucién. que deba tener el suficiente nivel para poder coordinar el desarrollo de Ibauditoria, proporcionarnos toda la informacin que se solicite y programar les reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direcci6n, ni contar con un grupo muultidisciplinario en el cual estén presentes o varias personas del area a auditar, sera casi imposible obtener informa- in en el momento caracteristicas deseadas. ambién se debe contar con personas a por los usuarios para que eel momento que se solicite informacién, o bien se efecttie alguna entrevista de comprobacién de hipétesis, nos proporcionen aquello que se esta solicitan do, y complementen el grupo multidisciplinario, ya que debemos analizar no séloel punto de vista de la direccién de informética, sino tambien el del usuario el sistema Para complementar el grapo, como colaboradores directos en la realiz auditorfa, se deben tener personas con las siguientes caracte + Técnico en informatica Conocimientos de administracién, contaduria y finanza: Experiencia en el érea de informétic xperiencia en operacin y anélisis de sistemas. Conocimientos y experiencia en psicologia industrial Conocimiento de los sistemas operativos, bases de datos, redes y comuni wiones, dependiendo del drea y caracteristicas a auditar ‘onocimientos de los sistemas mas importantes, Enel caso de sistemas complejos se deberd contar con personal con conoci mientos y experiencia en reas especificas como base de datos, redes, comuni- cciones, etcétera. o anterior no significa que una sola persona deba tener los conocimientos sxperiencias sefialadas, pero s{ que deben intervenir una o varias personas can las caracteristicas aj a vez planeada la forma de llevar a cabo la auditoria, estaremos en po: biidad de presentar la carta—convenio de servicios profesionales (en el caso de auditores externos)—y el plan de trabajo. a carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacién de aceptacicn. En ella se especifican el objetivo y aleance de la itoria, las limitaciones y la colaboracién necesaria, el grado de responsabil os informes que se han de entregar que se ha hecho la planeacién, se puede utilizar el formato senal. do en la figura 2.1, el cual servird para resumir el plan de trabajo de la auditoria Este formato de programa de auditoria nos servird de base para llevar un adi cuado control del desarrollo de la misma. En él figuran el organismo, la fecha de formulacisn, las fases y suibfases que comprenden la descripcién de Ia activi- sd, el mimero de personas participantes, las fe timadas de inicio y ter i6n, el ntimero de dias habiles y el nuim dias-hombre estimados. Caracteristicas el personal Programa de auditoriaaa El control del avai de la figura 2.2, ‘urarnos que el trabajo se esta llevando a cabo de acuerdo con el program de auditoria, con los -e de la auditoria lo podemos llevar mediante el formal tual nos permite cumplir con los procedimientos de « de conter con la informacién del avance permite que el taba elaborado pueda ser revisado por cualquiera de nuestros asistentes. 2 en informatica, véase la figura Como ejemplo de propuesta de auditor 2 somo ejemplo de contrato de auditoria en informética consiltesiecontro Iprograma planeacién, figura 24. Figura 2.1. Programa de auditoria en informatica48 capiruLo 2 ANEAGIGA Figura 2.2. Avance del cumplimiento del programa de auditoria en informatica ANTECE (Anotar los at OBJETIV (Anotar el obj ALCANC Elalcance de Evaluacié ‘Su on Funcit Objet? Estrue Recur Norme ‘Capac Planes Contro Estanc Condi Situaci Evaluacion Evalua mientos prograr los usu Evaluae con eld mas. Segurid Derech« los utiiz Evaiuaa Evaluacion ¢ Adquisic Estanda Controle Nuevos Almacer Comunejemplo de propuesta de servicios de auditoria en informatica ENTES, nlecedentes especiiicos del proyecto de auditorfa.) (0S DE LA AUDITORIA EN INFORMATICA jativo especifico de la aucitoria.) :S DEL PROYECTO s| proyecto comprende. bn Ge la direccion de informatica en lo que corresponce a: ‘ganizacién iones. 08. ctura. 60s humanos. las y politicas. Gitacion. 18 do trabajo. ‘les. dares. jones do trabajo. ci6n presupuesal y financiera. m de los sistemas: \acién de los diferentes sistemas en operacién (flujo, proced- 8, documontaci6n, organizacién de archivos, estandares do amacién, controles, utlizacién de ios sistemas, opiniones de suarios). acién de avances de los sistemas en desarrollo y congruencia | disefio general, control de proyectos, modulavidad de los siste- a ee ee ee ekAndlisis de la seguridad ldgica y confidencialidad. Evaluacion de los proyectos en desarrollo, prioridades y personal | PERSON asignado. ill Evaluacion de la participacién de auditoria interna, Evaluacion de controles. Evaluacién de las licencias, la obtencién de derechos de autor y de la confidencialidad de la informacién Entrevistas con usuarios de los sistemas. Evaluacién directa de la informacién obtenida contra las necesida- des y requerimientos de los usuarios. Analisis objetivo de la estructuracion y flujo de los programas. Analisis y evaluacién de Ia informacién compilada. Elaboracién de informe. Para la evaluacién de los equipes se llavardn a cabo las siguientes act Videdes: Solicitud de los estudios de viabilidad, costolbeneficio y caracteristi- cas de los equipos actuales, proyectos sobre adquisicién o amplia- clon de equipo y su actualizacion. Solicitud de contratos de compra o renta de los equipos Solicitud de contratos de mantenimionto do los equipos. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguros. Bitécoras do loc equipos. on Elaboracion de un cuestionario sobre la utilzacion de equipos, archi- fists. vos, unidades de entrada/salida, equipos periféricos, y su seguridad. dota Visita a las instalacionos y a los lugares do almaconamionto do ar. chivos magnéticos. Visita técnica de comprobacién de seguridad fisica y 16 instalaciones. Evaluacion técnica del sistema eléctrico y ambiental de los equipos, del local utilizado y en general de las instalacion: Evaluacion de los sistemas de seguridad de acceso. Evaluaci6n de la informacion recopilada, obtencién de gréficas, por centales de utlizacion de los equipes y su justificacion. hyen Elaboracién de informe. uales Elaboracion del informe final, presentacion y discusion del mismo, y pre- sentacién de conclusiones y racomendaciones. TIEMPO Y COSTO (Poner el tiempo en que se realizard el proyecto, de preferencia indicando el | tempo de cada una de las etapas; el costo del mismo, que incluya el perso- nal parficipante en la auditoria y sus caracteristicas, y la forma de pago.EN INFORMATICA Figura 2.4. Ejomplo de contrato de auditoria en informatica Contrato de prestacién de servicios profesionales de auditoria en informatica que celebran por una parle representado por en su caracter de yqueen lo suce- sivo se denominard “el cliente’, por otra parle representada por a quien se denominara “el auditor’, de conformidad con las declaraciones y clausulas siguientes: DECLARACIONES L. Elcliente dectara: a) Queesuna ) Queesté representado para este acto por yquetiono come eudomicilio ©) Que requiere obtener servicios de auditoria en informatica, por lo que ha decidido coniratar los servicios dal auditor I. Declara el auditor: ) Que es una sociedad anénima, constituida y existonte do acvorde con las leyes y que dentro de sus objetivos primordiales esta el de prestar auditoria en informatica b) Que esta consiituida legalmento segin escritura nmero de fecha ante el notario pulico num del Lie, ©) Quesefiala como su domiciio Ill, Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionaco, lo formalizan otorgando el presente contrato que se contiene en las siguientes: CLAUSULAS Primera. Objeto auditor se obliga 2 prestar al cliente los servicios de auditoria en informd- fica para llevar a cabo la ovaluecién de la direccién de informatica del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las pat- » ° tes, forma parte integrante del contrato. Segund: El alcanc contrato 2) Eval oi aes i ee Se‘Segunda. Alcance del trabajo Bb Elalcance de los trabajos que llevaré a cabo el auditor intemo dentro de este natica contrato son: Evaluaciones de la direccién de informatica en lo que corresponde a: eo Su organizacién 4 Funcio Estructura. Cumplimiento de los objetivos. Recursos humanes. Normas y politcas. Capacitacion Planes de trabajo. Controles. Estandares Condiciones de trabajo. Sltuacion presupuestal y financiera ines y Frio Evaluacién de los sistemas: Evaluacin de los diferentes sistemas en operacién ({lujo, procedi- mientos, documentacion, organizacion de archivos, estandares de programacién, controles, utiizacién de los sistemas). we Opiniones de los usuarios. Bide | Evaluacion de avances de los sistemas en desarrollo y congruencia con el disefio general, control de proyectos, modularidad de los sis temas. ae Evaluacion de prioridades y recursos asignados (humanos y equi- pos de cémputo) Seguridad légica de los sistemas, confidencialidad y respaldos. hos de autor y secrets industiiales, de los sistemas propios y tiizados por fa organizacion Evaluacién de las bases do datos. Evaluacion de los equipos: Adquisicién, estudios de viabilidad y costo-beneficio. Capacidades. Utilizacion, Estan¢ Controles. Nuevos proyectos de adquisicio Almacenamiento, Comunicacién Redes. Equipos adici do. lo forma: lento, spar52 Contratcs de compra, renta o renta con opcién a compra. Planes y proyecciones de adquisicion de nuevos equipos. + Mantenimientos. ) Evaluacién de la seguridad: * Seguridad léaica y confidencialidad + Seguridad on ol personal + Seguridad fisica * Seguridad contra virus. + Seguros. Seguridad en la utlizacién de los equipos. Seguridad en la restauracin de los equipos y de los sistemas. Plan de contingencia y procedimientos en caso de desastre 2) Elaboracién de informes que contengan conclusiones y recomendacio: nes por cada uno de los trabajos sefialados en los incisos a. 6, c, dde esta cléusula, Tercera. Programa de trabajo Elciiente y el auditor convienen en desarrollar en forma conjunta un progra ma de trabajo en el que se determinen con precisién las actividades a reali zar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realizacién. Cuarta. Supervision Eloliente 0 quien designe tendra derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrata y a dar par escrito las, instrucciones que estime converientes. Quinta. Coordinacién de los trabajos El cliente designard por parte de la organizacién @ un coordinador del pro- yecto, quien sera el responsable de coordinar la recopilacién de la informa ion que solicite el auditor, y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. Sexta. Horarlo de trabajo Personal del auditor dedicar4 el tiempo necesario para cumplir satisfacto: Mente con los trabajos matoria do la colebracién do este contrato, de acusr de al programa de trabajo convenido por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no tard sujeto a horarios y jomadas daterminadas. ‘Septima. Personal asignado El auditor designard para el desarrollo de los trabajos objeto de este contrato 1 socios del despecho, quienes, cuando consideren necesario, incorporaran personal técnico capacitado de que dispone la firma, en el numero que se requieran y de acuerdo a los trabajos a realizar. Octava. F EI person queda ex; que ol auc pecto all p se deriver cualquier Novena. | El auditor de este co cumplimie Por las par del cliente ‘cual deber el program Décima. H Eiclente p norarios pc cl impuect siguiente: a) _— Bd wat 2 a inte Undécima, El importe dos, honore auditoria, pi Duodecima En caso de cién, domor table al cl so y se sen Decimoterc De ser nece contrato, las[Octava. Relacion laboral El personal del aucstor no tondrd ninguna relacién laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atencion a que el auditor en ringtin momento se considera intermediatio del liante res- pocto al porsonal que ocupe para der cumplimiento de las obligaciones que se deriven de las relaciones entre él y su personal, y que exime al cllenie de ‘ualquier responsabilidad que a este respecio existere. Novena. Plazo de trabajo Elauditor se obliga a terminar los trabajos sevialados en la cléusula segunda de este contrato en dias habiles después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo «slimado para la terminacion de los trabajos esta con relacion a la oportuni- cad con que el cliente entrague los documentos requeridos por al auditor y al cumplimiento de las fechas estipuladas en el programa de irabajo aprobado porlas partes, porlo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutird en el plazo estipulado, el cual deberd incrementarse de acuardo a las nueves fechas establecidas en € programa de trabajo, sin perjuicio alguno para el auditor Décima. Honorarios EI clente pageré al auditor por los trabajos objeto del presente contrato, ho- rarios por la cantidad de mas el impuesio al valor agregada correspondiente. La forma da pago serd la siguiente: % alla firma del contrato. % alos dias hébiles después de iniciados los. trabajos. S % a la terminacion de los trabajos y presentacién del informe final Undécima. Alcance de los honorarios El importe safialado en la clusula décima compensara al auditor por suol- dos, honorarios, organizacién y direccién técnica propia de los servicios de auditoria, prestaciones sociales y laborales de su personal Duodécima. incremento de honorarios En caso de que se tenga un retraso debido a la falta de entrega de informa: cién, demora 0 cancelacién de las reuniones, o cualquier otra causa impu- table al cliente, este contrato se incrementera en forma proporcional al retra 50 y se sefialaré el incremento de comin acuerdo. Decimotercera. Trabajos adicionales De ser necesaria alguna acicién a los alcances 0 productos del presente contrato, las partes celebraran por separado un convenio que formara parte54 capiruto 2 PLANEACION DE LA AUDITORIA NFORMATIC integrante de este instrumento y en forma conjunta se acordara el nuevo costo. Decimocuarta. Viaticos y pasajes El importe de los vidticos y pasajes en que incurra el auditor en el traslade, hospedaje y alimentacién que requieran durante su permanencia en la ciu dad de Como con: ‘sacuencia de los trabajos objeto de este contrato, serd por cuenta del cliente, Decimoquinta. Gastos generales Los gastos de fotocopiado y dibujo que se produzcan con motive de este contrato correrdn por cuenta del dliente. Decimosexta. Causas de rescision Soran causa de rescisién del presente contrato la violacién o incumplimiente de cualquiera de las cléusulas de este contrato, Decimoséptima. Jurisdiccién Todo lo no previsto en este contralo se regira por las disposiciones relalivas, contenidas en el Codigo Civil del y, en caso de contro: versia para su interpratacién y cum»plimiento, las partes se someten a la juris diccién de los tribunales federales, renunciando al fuero que les pueda co- responder en razon de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, le rubrican y firman de conformidad, en original y tres copias, en la ciuded de el dia “EL CLIENTE EL AUDITOR ; Oxy Al finalizeAuditoria de la funcion de informatica CAPITULO Ossetivos Miele oy ousted |. Explicara la importancia de a recoleccion de informacion sobre la organiza- ion que se va a auditar. 2. Deseribird los pas 9 a realizar una adecuada evaluacién de la estructura organ jon a auditar. Definird los elementos a tomer en cuenta en la evaluacién del personal de una organizacién. Manejaré una guia para entrevistar adecuadamente al personal de informé- tica, 5. Conocerd la importancia de evaluar los recursos financieros y materiales de una organizaciéncaprruto 3 Recopivacion DE LA INFORMACION ORGANIZACIONAL Una vez elaborada la planeacién de la auditorfa, 1a cual serviré como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoria, cederd a efectuar la revisién sistematizada del drea, a través de los siguientes, elementos: debe empezar la recoleccién de la informacién. Para ello se pro A) Revisisn de la estructura orgénica + Jorarquias (definicién de la autoridad lineal, fancional y de asesoria ®) + Estructura orgénica + Funciones * Objetivos B) Se deberd revisar la situacién de los recursos humanos. C) Entrevistas con el personal de procesos electrénicas: Jefatura, Analisis. Programadores Operadores Personal de bases de datos. Personal de comunicacin y redes. Personal de mantenimiento. Personal administrativo. Responsable de comunicaciones, Responsable de Internet e Intranet. Responsable de redes locales 0 nacionales. Responsable de sala de t Responsable de capacitacién. D) Se deberd conocer la situacién en cuanto a: + Presupuesto. * Recursos financieros. * Recursos materiales, + Mobiliario y equipo. + Costos E) Se hard un levantamiento del censo de recursos humanos y anélisis de si: tuacion en cuanto 2: er on + ¢ 20 € oF onl fi leon + tt oP Por ti admit - 0 Le te + sil < sy qu - Si + Si atl * Sil © SisNiimero de personas y distribucion por éreas. Denorninacion de puestos y personal de confianza y de base (sindicaliza- y no sindicalizado). Salario y conformacidn del mismo (prestaciones y adiciones), Movimientos salariales. pacitacisn (actual y programa de capacitacién) Escolaridad. Experiencia profesional Antigiiedad (en la organizacién, en el puesto y en puestos similares fuera de la organizaciGn), Historial de trabajo. Indice de rotacién del persona Programa de capacitacion (vigente y capacitacin otorgada en el tlt iltimo, se deberd revisar el grado de cumplimiento de los documentos Normas y politicas, Planes de trabajo Controles Estdndares. Procedimient La informacion nos servird para determinar. ades en la organizacion estan definidas adecuada. Si la estructura organizacional ests adecuada a las necesidade Siel control organizacional es el adecuadc Sisse tienen los objetivos y politicas adecuadas, si se encuentran vigen tes y si estin bien definida Siexiste la documentacidn de las actividades, funciones y responsabili dades. Silos puestos se encuentran definidos y seftaladas sus responsabilidades Siel andlisis y descripcién de puestes estd de acuerdo con el personal que los ocupa Si se cumplen los lineamientos organizacionales. Si el nivel de salarios est de acuerdo con el mercado de trabajo. Sise tiene un programa de capacitacion adecuado y sise cumple con él Si los planes de trabajo concuerdan con los objetivos de la empresa. Si se cuenta con los recursos humanos necesarios que garanticen la continttidad de la operacicn o si se cuenta con los “indispensables Si se evaltian los planes y se determinan las desviaciones. Si se cumple con los procedimientos y controles admin:capruto 3 AUDITORIA DE. LAFUNCION DE INFORMATICA Funciones de la gerencia La onganizacién debe estar estructurada de tal forma que permita lograr cficiente y eficazmente los objetives, y que esto se logre a través de una adecua da toma de decisiones. Una forma de evaluar la forma en que la in de l gerencia de informitica se esta desempefiando es mediante la evaluac funciones que la alta gerencia debe realizar: Planeacién. Determinar los objetivos del drea y la forma en que se van a lograr estos objetivos. cién. Proveer de las facilidades, estructura, divisién del trabajo, responsabilidades, actividades de grupo y persona las metas. * Recursos humanos. Seleccionando, capacitando y entrenando al personal requerido para realizar las metas, Direccidn. Coordinando las actividades, proveyendo liderazgo y guia, y motivando al personal + Control. Compa necesario para realiza indo lo real contra lo plane: .do, como base para realizat PrinciPaLes PLANES QUE SE REQUIEREN DENTRO DE LA ORGANIZACION DE INFORMATICA Estudio de viabilidad Investiga los costos y beneficios de los uses a largo plazo de las computadoras, yrecomienda cuando debe ono usarse. En caso de requerirse el uso de la compu- tacidn, sirve para definir el tipo de hardware, el software el equipo periférico y de comunicacién necesarios para lograr los objetiv de la organizacién El estudio de viabilidad consiste en la evaluacién para determinar, prime- 10, sila computadora puede resolver o mejorar un determinado procedimiento, y; segundo, cudl es la mejor alternativa, Para lograr esto se deben de contestar una serie de preguntas, entre las cuales estan las siguientes: + GLa computadora resolvera o mejorar los procedimientos, funciones o ac tividades que se realizan? gla computadora mejoraré la informacién para lograr una adecuada toma de decisiones? Ene + (cua + iCud Sed 0 bia ques * Sed cuaci Se di Sed Qué Qué Cua 2Cual 2Cual cual 2Cual Despu cificacione asesores, ¢ y como gu Planeacic modifica: Especifica| y modificac do la organ hardware, « Alguna © Espeaif periféri Evaluac Planeac Pruebas Envioe Particip Disefiorita lograr a gerencia personal tutador lacompu- periférico star ada toma El costo de la informitica proporcionaré una adecuada tasa de retorno? {Eneste caso, uno de los mayeres problemases el de evaluar los intangibles.) {Cul es el periodo de recuperacién de la inversion? {Cual es la relacién costo-beneficio que se obtendrs? 0 bien hacer cambios al sistema actual o actualizar el sistema de cmputo {Se debe comprar o elaborar internamente los nuevos sistemas 0 las ade- {Se deben comprar los equipos, rentar o rentar con opcién a compra? cremento en las capacidades de procesamiento? Qué prioridad tiene el proyecto y para cuxindo debe ser realizado? {Qué caracterieticas tiene el sistema actual? {Cuales son las areas potenciales en que se usard el nuevo sistema? iCuéles son las fortalezas y debilidades del sistema actual? {Cusles son los recursos adicionales que se requeriran? ‘Cual es el impacto a informatica a largo plazo? Cusles son las restricciones que se deben considerar? {Cual es el proyecto (PERT) que se tiene para su implementacién? Después de contestar estas preguntas, se debe elaborar un manual de espe- sificaciones para ser distribuido al personal de informatica, a los vendedores asesores, para que les sirva de base para la contratacién, elaboracion o comp ycomo guia de referencia y control del proyecto. Planeacion de cambios, modificaciones y actualizacion Especifica las metas y actividades que se deben realizar para lograr los cambios ymodificaciones, su independencia, tiempos, responsables y restricciones, cuan- do la organizacién toma la decision de hacer cambios sustanciales de software, hardware, comunicacién 0 equipos periféricos. Algunas de las actividades tipicas en este plan son: Pruebas finales de aceptacién. Bris «ital, Disefio de la estructura organizacional en caso de que se vea afectada60 Plan maestro EI plan maestro o plan estratégico de una instalacién informatica define los objetivos a largo plazo y las metas necesarias para lograrlo. Una de las principales obligaciones del dea de gerencia en informatica es la construcci ‘vos, metas y actividades generales a realizar durante los siguientes aftos, inciu yendo los nuevos sistemas que se pretenden implemen un periodo coro o largo, dependiendo de las eazacteristicas y necesidades de la organizaci6n, y de lo cambiante de los sistemas. Una organizacion consolidada posiblemente requiera un plan maestro a mas largo plazo que una organizacién de un plan maestro, El plan maestro debe contener los objet: 7. Puede comprender de reciente creacién. EI plan maestro puede compren der cuatro subplanes: A) Elplanestratégico de organizadién. Incluye los objetivos de la organizacisn a largo plazo, el medio ambiente, los factores organizacionales que serén afectados, asf como sus prioridades, el personal requerido, su actualiza- cin, desarrollo y capacitacién. B) El plan estratégico de sistemas de informacion. Se debe elaborar el plan estratégico y los abjetivos planteadosa largo plazo dentro de un plan estra tégico de informacién, y las implicaciones que tendré dentro de Ia org: zacion en general y en la organizacion de informatica ©) Ep! objetivos planteados de requerimientos. Define la arquitectura necesaria para lograr los D) Elplan de aplicaciones de sistemas de informacién. Define los sistemas de aplicaciones que se desarrollardn, asociados con las prioridades y con et periodo en que seran implantados: + Adguisicidn o desarrollo de sistemas y su programa de trabajo. + Planeacin de desarrollo y capacitacidn del personal necesario, o bien su contratacién, + Recursos financieros que se necesitarsn + Requerimiento de facilidaces * Requerimientos de cambios en la organizacicn. Plan de proyectos Consiste en el plan basico para desarrollar determinado sistema y para asegu- rarse que cl proyectoes consistente con las metas y objetivos de la organizacién y con aquellos sefalados en el plan maestro. Es importante que este plan no solo contemple Jos sistemas, sino tambien las prioridades y el momento en el cual se desarrollarén los sistemas. Un pla grar un det cadas dent Identif Ident Detern Detern Detern Detern Plan de s continge en caso. Una instal razones: h deben tent de recupe encuentro to para la Eva Para logra de organi Organ Funci Odjeti Anais ‘ManuUn plan de proyectos debe contener las actividades bisicas para poder lo: gar un determinado proyecto. Las principales tareas que deben estar especifi- gyy alas dentro de un plan de proyecto son: LA ESTRUCTURA identificar las tareas a realizar identificar las relaciones entre tareas. Determinar las restricciones de tiempo de cada tarea del proyecto. Determinar los recursos necesarios para cada tarea. Determinar cualquier otra restriccién que se tenga. Determinar la secuencia de actividades. Plan de seguridad: seguros, contingencias y recuperacién en caso de siniestro Una instalacion de informatica esta expuesta a sufrir un desastre por muchas tazones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, proble mas del equipo. Se debe tener un plan que permita eliminar en lo posible la ocurrencia de un desastre o de pérdida por causas internas 0 externas a la orga: nizacisn, Se debe contar con una adecuada planeacién sobre los seguros que se deben tener en caso de que ocurra un desastre. También se debe tener un plan de recuperacidn para que en caso de que ocurra un desastre la instalacién se encuentre en funcionamiento.en el menor tiempo posible y con el menor impac to para la organizacién Evatuacion DE LA ESTRUCTURA ORGANICA la evaluacién de la estructura orgénica se deberd solicitar el manual anizacién de la direccién, el cual debera comprender, como minimo: Organigrama con jerarquias, Dbjetives y politicas, Analisis, descripcidn y evaluacion de puestos. Manual de procedimientos Manual de normas, Instructivos de trabajo o guias de actividad62 Direccion de informatica También se deben solicitar = Objetivos de la direecién, * Politicas y normas de la direccién. © Planeacidn, El director de informatica y aquellas personas que tengan un cargo direc vo deben llenar los cuestionarios sobre estructura orgénica, funciones, objet vos y politi Basicamente, el departamento de informética puede estar dentro de alguno de estos tipos de dependencia: A) Depende de alguna direccién o gerencia, Ia cual, normalmente, es la direcciGn de finanzas. Esto se debe a que inicialmente informatica, 0 departa- mento de procesamiento electrénico de datos, nombre can que se le conocia, procesaba principalmente sistemas de tipo contable, financiero o administrati vo; por ejemplo, la contabilidad, la némina, ventas o facturacisn. El que informatica dependa del usuario principal, normalmente se presenta cen estructuras pequefias 0 bien que inician en el dtea de informatica. La ventaja gue tiene es que no se crea una para el rea de informética y permite que el usuario principal tenga un mayor control sobre sus sistemas. La desventaja principal es que los atros usuarios son considerados camo secundarios y normalmente no se les da la importancia y prioridad requerida. Otra desventaja es que, como la informacion es poder, a veces hace que un area tenga un mayor poder. También, en ocasion del 4 sucede que el gerente o director a usuaria del cual depende informatica tiene muy poco conocimiento de informatica; ello ocasiona que el jefe de informatica cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usua lugar a problemas con las Iineas de autoridad. Este tipo de organizacién se usa ias, lo que da ba cuando comenzé el érea de informética, y en Ta actualidad s6lo es recomen: dable para instalaciones muy pequefias B) La segunda posibilidad es que la direccidn de informatica dependa de la gerencia general; esto puede ser en li La ventaja de alguna de estas organizaciones es que el director de informa tica pode toner un nivel adecuada dentro de la organizacién, lo cual Ie permi. tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo con los lineamientos dados por la gerencia general ao bien en forma de asesorfa La desventaja es que aumentan los niveles de la organizacién, lo que eleva r4 el costo de la utilizacidn de los sistemas de cémputo. C) La tercera posibilidad es para estructuras muy grandes, en las que hay bases de datos, redes o bien equipos en diferentes lugares. En esta estructura se considera la administracién coxporativa. La direcci6n de informatica depende de la gerencia general, y existen departamentos de in- formitica dentro de las demas gerencias, las cuales reciben todas las normas, politicas, procedimientos y esténdares de la direccién de informatica, aunque funcionalmente dependan de la gerencia a la cual estan adscritas. La direccién de informatica es la responsable de las politicas, normatividad y controles Las fi perfectan lugares d en un lug otro luga tener bien La ve centralize, se debe ter departame 208 ola dt Enlaa cidn de rec utilizadas muy claro es el respo zacién del Dent de tener ur los sistema te la creaci pero con la La resp yen qué tralizada o¥ minicompu el desarroll tener politic cién de equi sicién de e cual hace ne mas y platal DjLlaa pendiente q) Estru Uno de losel Un personal repercute dircargo direct jones, objeti- t1o de alguno Imente, es la aod see conocia, administrati ese presenta a La ventaja aformitica y ‘stemas, requerida, que un drea tec director imiento de dentro de la lo que da ecomen- penda dela de intorms- He pormi ° y, por lo de acuerdo que eleva as que hay ‘direccion tos de in- a, aunque {direcaién ttroles Las funciones, organizacién y politicas de los departamentos deben estar porfociamente definidas para evitar la duplicidad de mando y el que en do: lugares diferentes se estén desarrollando los mismos sistemas, o bien que sélo ex un lugar se programe y no se permita usar los equipos para programar er dirolugar que no sea la direccidn de informatica. Esto se puede dar en instala Cdones que tengan equipo en varias ciudades o lugares, y para evitarlo se deber tener bien definidas las politicas y funciones de todas las areas. La vontaja principal de esta organizacién consiste on quo se puede toner eenizalizada la informacién (base de datos) y descentralizades los equipos; perc se debe tener una adecuada coordinacion entre la direccion de informatica y los departamentos de informatica de las éreas usuarias para evitar duplicar eshuer 2350 a duplicidad de mando Ena actualidad, con la proliferacion de computadoras personales y la crea cién de redes tanto internas como externas, asi como de bases de datos que son Uilizadas por diferentes asuarios a diversas profundidades, este tipo de orga. hizacién se puede considerar como la més recomendable. Lo que hay que tene muy claro es que en este tipo de organizacion el departamento de informitice el responsable de las normas y politicas de adquisicién de equipo y de utili zacién del mismo. Dentro de esta misma forma de organizacion se debe evaluar la posibilidad do tener una estructura por proyectos, lo cual permitirs que los disenadores de tela creacion de una fuerza de trabajo independiente, con todos los recursos, pero con la obligacién de cumplir con los objetivos y metas sefialados para un Sistema deatzo de los diferentes planes Larespuesta a si un tipo de organizacién corporativa es la mas conveniente yenqué grado esté en funcién de la decisién sobre tener una organizacién cen trlizada o descentralizada. La descentralizacién del procesamiento de la infor- macién ocurre en la actualidad como algo natural, debido al incremento de las minicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar eldesarrollo, implementacién y adquisicién de equipes y de software, se deben tenes politicas de descentcalizacién muy bien definidas, para evita le prolifera ibn de equipo y de software que impida la adecuada comunicacién y la adqui- Sicién de equipo no compatible, y que dificulte la integridad de los datos, lo cual hace necesario que el personal sea entrenado en diferentes equ mas y plataformas, D) La cuarta forma de organizacién es la creacién de una compaiiia pendiente que dé servicio de informatica a la organizacién Estructura ORGANICA Uno de los elementos mas criticos es el relativo al personal y au organizacién. Un personal calificado, motivado, entrenado y con la adecuada remuneracién, repercute directamente en el buen desempefio del rea de informética IRGANICA64 Bases juridicas (principalmente writes en el sector publico) A continuacién oftecemos unos cuestionarios que serviran pa 2 evaluar la structura orgénica y las bases juridicas: Se ajusta la estructura orgénica actual a k disposiciones juridices vigentes? No, zpor qué razén? {Cuales son los ordenamientos legales en que se sustenta la direccion? OBJETIVO DE LA ESTRUCTURA La estructura actual esta encaminada a la consecucion de los objetvos del rea? Explique en qué forma. ePermite fa estructura actual que s+ e leven a cabo con eficiencia * Las atribuciones encomendadas? * Las funciones esiablecidas? + La distribucién det trabajo? El control interno? Si alguna de las respuestas es negativa, explique cud NIVELES JERARQUICOS Es conveniente conocer los niveles jerérquicos para poder evaluar si son los nacesarios y si estin bien datinidos. {Los niveles jerarqul i208 establecidos actualmente son necesarios y suficientes para el dese arrollo de las actividades del area? zCudles y por qué son sus recomendaciones? Permiten los niveles jerérquicos actuales que se desarrolle adecuadamente la = Operacién? + Suporvisién? + Control? ePermit oa 7 & * To Si algun eConsics + Ma + Me Por qué Se cons! dida actu: No, por eElareay No, 2aus Se debe te to, ya que dan ales p eLos puest llevar a cat No, zpor a. EI nimero fon les fune Solicit et m + Andis + Progra{Perniten los niveles aciuales que se tenga una Agi: + Comunisacién ascendente? + Gomunicacién descendente? si * Toma de decisiones? si ND Sialguna de las respuesias es negativa, explique cudl es la razén [boas vigentes? sw {Wonsidera que algunes éroee deberian tener + Mayor jererquia? + Menor jerarcula? No Hreceon? éPor qué razén? DEPARTAMENTALIZACION Ps cbjetivos vel ¢Se consideran adecuados los departamentos, areas y cficinas en que esté divi ida actualmente la esiructura de la direccion? sin No, gpor qué razén? area y sus subareas tienen delimitadas con claridad sus responsablidaces? si) mo No, Lqué efectos provoca esia situacién? PUESTOS ‘Se debe tener culdado de que estén bien definidas las funciones de cada pues- to, ya que desafortunadamente existe mucha confusion en los nombres que se dan a los puestos dentro del medio de la informatica fuer si son tos {Los puestes actuales son adecuados a las necesidades que tiene el érea para leva: @ cabo sus furcions No, ipor qué razén? LEI nimero de empieados que trabaja actualmente os adecuaco para cumplir f0n las funciones encomendada: adamente ta: Solicte el manual de descripcion de puestos de: si x0 + Analisis. + Programacién66 Técnicos. Operacion Capture Adminis cartruto 3 rador de bases de datos. Comunicacién y redes. Direccién, ‘Administrativos. Otros. Pida la plantita det personal, Se debe especi el numero de personas que feporten a las personas que a su vez reportan a cada puesto, ya sea: Director. Subdireotor. Jetes de departemento. Jetes de seccion, Jefes de area. {EI numero de personas es el adecuade en cada uno de los pue USI? gPor qué? No, zeudles el ntimero de personal que consideraria adecuado? Sefale el puesto © los puestos. EXPECTATIVAS Dentio de las expectativas se pueden detectar, en algunas ocasiones, defice cies y frustraciones de las personas. {Consider que debe revisarse la estructura actual, a fin de ha lente {Por qué. razé0? {Cudl ee la estructura que pon: F una modificaeién a la estructura, ,cuéndo cor jera que dabaria uSe encuen No, por que Su autorida No, por qué LEN su érea SI, explique ¢ UExiste en el Fu CIO Las funciones € designen con ¢ tuna organized nuacion un cue: Se han estat {Por qué no? {Las funciones Por qué ro et LEstan por esc zCual es Ia cat {Cual es la forAUTORIDAD é&e encuentra definida adecuadamente la linea de autoridad? si {¢No, por qué raz6n? (Su autoridad va de acuerdo a su responsabilidad? {UNo, por qué raz6n? UEn su rea se han presentado contlictos por el ejercicio de la autoridad? Si, expique en qué casos. {Existe en el drea algdn sistema de sugerencias y quejas por parte del personal? Funciones Las funciones en informatica pueden diferir de un organismo a otro, aunque se designen con el mismo nombre; por ejemplo, la funcién del programador en una organizacién puede ser diferente en otra organizaciGn. Ofrecemos a conti quaci6n un cuestionario para evaluar las funciones. EXISTENCIA {Se han establecido funciones del area? Por qué no? {Las funciones estén de acuerdo con las atribuciones legales? {Por qué no estén de acuerdo? Estén por esorto en algiin documento las funciones del Area? {Qudl es la causa de que no estén por escrito? LOudl es la forma de darlas @ conocer?{Quién olabors las funciones? eParticipd el érea on su Por qué causas no particip6? Quien las autorz6 0 aprobs? COINCIDENCIAS ‘Se debe tener cuidado en que se conozcan las funciones del Area éLes funciones estan encemis ‘a la consecucién de los abjetives institucione: les e internos? aon No, zpor qué? 2Les tunciones del area estan ac des al regamento interior? sino No, zen qué considera que differen? eConocen otra las funciones del area? d No No, épor qué? {Consicera que se deben dar a conocer? sw No, gpor qué? ADECUADAS Dobomes tener cuidado, ya que en esta area podemos detectar malestares de| personal, debido a que si las funciones no son adecuadas a las necesdades pueden ex'stir problemas de definicion de funciones o bien de cargas de traoglo, 2Son adecuadas a la realidad las {unciones? vo En caso negativo, ,por qué no son adecuadas? ‘eSon adecuad En caso negati ‘4Cuales son st Son adecuad: Epicton contlc De que tipo? éSe tiene conte (No, por qué? 406mo afecta 4Qué funciones éParticipo la ar No, zpor qué? Esta seccién no dol personal 2Estan delimitad {A nival de daoi GA nivel de pul No, zpor qué? Las actividad asignadas?{Sen adecuadas a las necesidades 2 En caso negativo, gpor qué no? {Cidles son sus principales limitaciones? a las cargas do trabajo? len confictos por las cargas de trabajo desequilioradas’ @De qué tipo? tisne contamplada la desconcentr .Cémo afeota la desconeentracién a las funciones? eQu6 fur @Patisips a dirocoién do informatica on su olaboracién? }, :por qué? (CUMPLIMIENTO secoion nos sirve para evaluar el grado de cumpimiento de las tunciones sn deliritadas las funciones? ZA nivel de departamento? nivel de puesto? No, zpor que? {Las aciividades que realiza el personal son acordes a las funciones que tiene asignadas? si No70 capiruco 3 No, Zqué tipo de actividades ignadas? liza que no estan acordes a las funciones {Quien las ordena? Las actividades que realiza actualmente cumplen en su totalidad con Giones conforidas? No, Zoual es su grado de cumpiimiento? La fata de cumplimiento de sus funciones as por + Falta de personal otk + Personal no capacitado. sin + Gargas de tranajo excesivas. * Porque realiza otras actividades, La forma en que las ordena, Cudlos furcionos realiza on forma: + Perogica? + Eventual? + Sistomatica’ + Owes? eTienen programas y tareas encomenda No, epor qué? ¢Permiten cumplir con los programas y tareas encomendadas (necesidades de Operaciér)? sion No, gpor qué causas? Quien es el responsable de ordenar que se ejecuten las actividades?” En caso de realizar otras actividades. :quién las ordena y autoriza? En caso de no encontrarse el jefe inmediato, zquién lo puede realizar? ePara cum De que tip £Cuél es ol £8e lo prop No, .que le No, zoomo éCon que fr Para curpli Si, que tip: eA cuantas : eCuédles son ZExiste dupli Si, cqué cont EExiste duplc St, gcuales y Qué conflict La cuplcidac SI, ccudl esl No, Zcual esAPOYOS Para cumpir con sus tunciones requiere de apoyos de otras areas? {De qué tpo? {Cu es al Area que proporeiona al {Se lo proporcionan con oportunidad? No, eque le ocasiona? No, goémo resuelve esa falta de apoyo? {0 on qué frecuencia lo solicita? Para cumplir con sus funciones, zproporciona apoyes a otras areas? Si, zqué tipo de apoyo proporciona? sAcudntas area ‘Cudles on? DUPLICIDAD UBxiste dupicidad de funciones en la misma érea? Si, zqué conflictos ocasiona y cules funciones? ¢Existe dupicidad de funciones en otras éreas? Si, goudles y donde? {Qué contlictos ocasiona? 212 duplicidad de funciones s0 debe a que ol area no puede realizarlas’ Si, coudl es fa razén? No, Zoual es su opinion al respecto?72 ‘Se pusden eliminar funciones? si No AUBTORADE Sf, gouales? Se pueden transfer funciones? ro SI, gouales y aconde? ¢Permite la dupicidad que se dé el control interno? No No, epor qué? Osuetivos Uno de los posibles problemas o descontentos q desi une falta de definicién de los objetivos; esto provoca que no se pueda tener un: ;nacimiento de los abjetivos de la organizacién, lo cual puede deberse Ofrecemos un cuestionario que sirve para evaluar los objetivos. EXISTENCIA, Se han esiablecido objetivos para el are {Quien los establecio? {Cuil fue | método para el establecimiento de los objetivos? iParticipé el area en su establecimiento? si {Cuales ‘ueron las princpales razones de la seleccion de lcs objetivos? Los objetivos establecidos son congruentes con + Los do ja aireccion? a) + Los de ia subdireccicn? 3} ND + Los del departamento/ofici si 80 ‘+ Los de otros departamentos/oficinas? o LPor qué no se han establecido cbjetivos para el Area? Nadie le exige establecerte 2 Considera importante que se establezcan. N Es responsabilidad de otra area establecer los objetivos. si 80 ecuai? eDe qui Como Se har 2En qué ePor que 2Qué pr éSe han 2A quien eQuienn Qué mé ePor qué podieras utlizar en contabildad inde lo pride Evavuacion DEL DESARROLLO DEL SISTEMA dad, el Print En esta etapa del sistema se deberén auditar los programas, su disefo, el len- guaje utilizado, la interconexi6n entre los programas y las caracteristicas del »exista hardware empleado (total o parcial) para el desarrollo del sistema, ee Al evaluar un sistema de informacién se tendré presente que todo sistema dida de debe proporcionar informacién para planear, organizar y controlar de manera reso de eficaz y oportuna, asi como para reducir la duplicidad de datos y de reportes, y tener una mayor seguridad en la forma mas econdmica posible. De ese medo se contaré con los mejores elementos para una adecuada toma de decisiones.comsos SISTEMAS pistriBuIDos, INTERNET, ~~ COMUNICACION ENTRE OFICINAS Los sistemas distribuidos se 1 definir como el sistema en el cu WAN, PBX, LAN, Intern 2 implementar un sistema distribuide son: Mejora del tiempo de respuesta. Reduccidn de costos, etitud en la actuali uuna sola computadora :n crecimiento planeado. En lugar de grandes equipos qit mas faciles de adm remento de confianz ya que si falla el equipo principal no significa falle todo el sistema Compartir recursos Aumenta la satisfacc 5, ya quelas computadoras y el des rrollo pueden estar ma En bases de datos ar al evaluat un sistema distribuido s al calificado en todos los puntos del sis Consistencia de los datos. Mantenimiento del sistema. to de la informaci acidn de Ia ubicacidn planead réfico esperado en las lineas de comunich Es importante considerar las variables que af os (susceptibles de modificarse). + Tra rent © Este actu * Inte, lacie + Acc = Nec © Con = Opo * Fun * Esté = Mod * Jerat © Sege = Unic En» ma que } aislados, Se di gta nos Co Debido a frecuente ‘una persc ridades & de inforn de una ac la técnica iQué del presu del mism menteop porque & esta cualit porcionar Para | elanalista el cual se plan debe para eveltTransportables (que puedan ser usados en diferentes maquinas y en dife rentes plataformas), Cai Estructurados (las interacciones de sus componentes 0 subsistemas deben Ge PROVECTOS sctuar como un todo) Integrados (un solo objetivo). En él habrd sistemas que puedan ser Interre lacionados y no programas aislados. csibles (que estén disponibles}. el cual las Necesarios (que se pruebe su utilizacisn) ios progra- Comprensibles (que contengan todos los atributos) 1 Internet. Oportunos (que ests la informacién en el momento que se requier Funcionales (que proporcionen la informacién adecuada a cada nivel Estandar (que la informacion tenga la misma interpretacin en los distintos riveles} Medulares (facilidad para ser expandidos o reducidos). : Jerérquicos (por niveles funcionales). a Seguros (que sélo las personas autorizadas tengan acceso). Unicos (que no dupliquen informacisn quipos que @ play Rae cd En relaci6n con otros sistemas deben de estar interconectados de tal for- pong ma que permitan un sistema integral, y no una serie de programas o sistemas Se deben de tener sistemas que tengan la necesaria redundancia, pero que Sta no sea tan grande que provoque que el sistema sea lento o ineficiente, gnifica que syeldesa- Controt DE PROYECTOS duido son: Debido a las caracteristicas proplas del andlisis y de la programaciGn es muy recuente que la implantacién de los sistemas se retrase, y llega a suceder que ana persona trabaje varios afios en un sistema o bien que se presenten irregula- ridaces en las que los programadores realizan actividades ajenas a la direccién de informatica. Para poder controlar el avance de los sistemas, ya que se trata de una actividad intelectual de dificil evaluacién, se recomienda que se utilice fa técnica de administracién por proyectos para su adecuado contre Qué significa que un sistema sea liberado en el plazo establecido y dentro alin 2| prestipitesto? Pues sencillamente que el grado de control en el desarrollo de! mismo es el adecuado 0 tal vez el éptimo. Pero esto no se consigue gratuita mente o porque la experiencia o calidad del personal de desarrollo sea alta, sino porque existe un grado de control durante su desarrollo que permite obtener Sistemas nde apli minales, Fecunica: esta cualidad. Cabe preguntar aqui: ¢quién es cl elemento adecuado para pro- porcionar este grado de control? Bicaciécy Para poder tener una buena administraci6n por proyectos se requiere que cl analista 0 el programador y su jefe inmediato elaboren un plan de trabajo en elcual se especifiquen actividades, metas, personal participante y tiempos. Este n debe ser revisado periddicamente (semanal, mensual o bimestralmente) ra evaluar el avance respecto a lo programado.118 La estructura estiindar de la planeacién de proyectos debers incluir lidad de asignar fechas predefinidas de terminacién de cada tarea. Entre ests fechas debe estar el calendario de reuniones de revisién, las cuales tendrén d ferentes nivel de detalle. sarias las reunicnes a nivel téenico conll participacidn del personal especializada de 1a direccién de informatica, part definir la factibilidad de la solucién y los resultados planeados, Son muy im portantes las reuniones con los usuarios finales, para verificar la validez de as esultados esperados. La evaluacién de proyectos y su control puede realizarse de acuerdo am diferentes autores, A manera de ajemplo presentamos el 1. GExste una lisia de proyectos de sistema de procesamiento de informa: Cion y fechas programadas de implantacicn que puedan ser consideracos como plan maestro? 2. 2Esié relacionacio el plan maestro con un plan ger dopendencia? 3. {Ofrece el plan masstro la atencién de solicitudes urgentes de los usua Flos? 4, ¢Asigna el pian maestro un porcentaje del tiemao total de produscen al Feproceso 0 tallas de equipo? de desarrolo dela = Poner la lista de proyectos a corto y a largo plazos. ‘+ Poner una lista de sistemas en proceso de periodicidad y de usuarios 4Quién autoriza los proyectos? zCémo £0 asignan los recursos? 6 7. ECémo se estimen los tiempos de duracién? 8. ZQuién interviene en ja planeacion de los proyectos? 0. 7Cémo se calcula el presupuesto del proyecto? 2 Qué técnicas se usan en el control de los proyacios? {Quién asigna las prioridades? 2Cémo se asignan las prioridades? {Cémo se conivola el avance del proyecto? {Con qué pericdicidad se revisa el reporte de avant 4.Cémo se estima el rendimiento del personal? {Con qué frecuenca se estiman los costes del proyecto para compat ‘con lo prosupucstado? 17. 4Qué aociones correctivas se tomn en caso de desviaciones? 18. LQué pasos y tecnicas se siguen en la planeacion y control de las p tos? Enumérelos secuencialmente, del proyé Detorminacién de los abjotives. SeNelamiento de las polticas, Designacion del funcionario responsable det proyecto Intearacién del arupo de trabaio. Intagracién de un comté do dé Doserrollo do la irvestgacién Documentacién de la investigacion. Factiolidad de los sistemas. Analisis y valuacién de propuestas, Seleccién de equipos. (2 (a () O) 0) O) ( 19, ,Selle De andisis De program: ‘Observacior Incluir el que el depart ia, segin la s Como ejei calendario de sables del sist figura 4.12; de los informes d avance de pro Se deberd tran en proce cumple const Contr Y PROGI Elobjetivo de Gificaciones fu para su mane Las revisi gramacisn, y Etapa de andl objetivo del s las especifica Btapa de estu rrollando el n incluyendo e Etapa de dis l6gico; evalu omisiones, a que el costo que se detect el costo que: nar la descrip vista del usu l6gica de cacir la faci. ttre estas xdrén di 0 con la. ica, para ezde los tionario: fom {Se llevan a cabo revisiones periécicas de los sistemas para determinar si atin cumplen con los objetives para los cuales fueron disefiados? De andisis ©) no () De programacon O) n() ir el plazo estimado de acuerdo con los proyectos que se ti ue el departamento de informatica satisfaga las necesidades de la de fa segiin la situacién actual Como ejemplo de formato de control de proyectos véase la figura 48; del alendario de actividades véase las figuras 49 y 4.10; del reporte de los res} tables del sistema, véase la figura 4.11; del control de programadores, véase la igura 4.12; de planeacién de la programacién, véase las figuras 4.13 y 4.14; de bsinformes de avance de la programacién, véase la figura 4.15; de control de nce de programacién véase figuras 4.16 y 4.17. Se deberdn revisar tanto los proyectos terminados como los que se encue en proceso, para verificar si se ha cumplido con el plan de trabajo o si umple con su funcidn de medio de control. Controw DE DISENO DE SISTEMAS Y PROGRAMACION bjetivo de esto es asegurarse de que el sistema funcione conformea las espe ficaciones funcionales, a fin de que el usuario tenga la suficiente informacién para su manejo, operacién y aceplacién. Las revisiones se efecttian en forma paralela, desde el andlisis hasta la pro- Hapa de anilisis y definicién del problema. Identificar con claridad cudl es el bjetivo del sistema, eliminando inexactitudes, ambigiiedades y omisiones en Bapa de estudio de factibilidad. Elaborar el costo/ beneticio del sistema, desa rollando el modelo logico, hasta llegar a la decisiGn de elaborarlo o rechazarlo, incluyendo el estudio de factibilidad tSenico y las recomendaciones Etapa de disefio. Desarrollar los objetivos del sistema; desarrollar el modelo \égico; evaluar diferentes opciones de diseo, y descubrir errores, debilidades, omisiones, antes de iniciar la codificacién. Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento en, ue se detectan: si se descubren en el momento de programacion seré més alto el costo que si se detectan en la etapa de andlisis. El andlisis debers proporcio- nar la descripcién del funcionamiento del sistema funcional desde e! punto de vista del ustiario, indicando todas las interacciones del sistema, la descripcién ligica de cada dato, las estructuras que é&tos forman, el flujo de informacién120 | Figura 4.8. Control de proyectos ‘COORDINADOA © NOM,Figi — es ura 4.9. Calendario de actividades ANALISIS Y PROGRAMACIONFigura 4.10. Control de actividades del programador DIAGRAMA 7. COMPILACION 10, PRUEBAS VERIF, PRUEBAFigura 4.11 Reporte semanal de los responsables de sistemas METAS FUADAS | METAS ALCANZADAS| COMENTARIOS. RECURSOS HBS. PROGRAM, | HAS, ANALISIS a HAS. PRUEBAFigura 4.13. Planeacién de programacion PROGAAMADORsus AAO Figura 4.14. PROGRAMADOR — 1GRAMA_ Hoja de planeacién de actividades FECHA w. | prop | ona. | acru. FECH PROG NOM. Fa NUM. FasFigura 4.15. informe de avance de programacionFigura 4.16. Control de avance de programacion PROGRAMADO! PROGRAM! PROGRAM Lave ‘ACT viDADFigura 4.17. Hoja de planeacién de actividades y control de avance130 que ticne lug: | sistema. Asimismo, se capiroa como entrada 08 que serén realizados, las salidas que deberé Zu scapimne * porcionar, los contfoles que se efectuaran para cada variable y 1os proc 7 eves sistas —mientos aba Etapa de programacién. Buscar la clatidad, modalidad y verificar con base 5] Jas especificaciones. 4. Elapade implementacién y pruebas del sistema. Desarvollar la implementaci del sistema con datos de prueba y la carga de datos definitives, evaluandod 5. in 's especificaciones funcionales, verificando datos estadisticos, transicd los, programas y sistema tota . Esta funci6n tiene una gran importancia en el ciclo de evaluacidn de apl . ple las especificaciones del usuario, que se haya desarrollado dentro de lo . supuestado, que tenga los controles necesarios y que efectivamente cump! : Un cambio hecho a un sistema existente, como la creacién de uno nue 5 presupane necesariamente cambios en la forma de obtener la informacién yi i operaciones; se debe comprobar si mejora la exactitud de la informacicn : rada, sila obtencién de los roportes efectivamente reduce el tiempo d : osies mas completa. Se debe determinar cudnto afecta las actividades del p i sonal usuario o si aumenta o disminuye el personal de la organizaciGn, as{com . los cambios entre las interacciones entre los miembros de la organizacici ello, afin de saber si aumenta o disminuye el esfuerzo realizado y su reli 6.20 costo /beneficio para generar la informacion destinada a la toma de de¢ sistema Esm Como ejemplo de cuestionario para la evaluacién del disefo y prueba indole: s sistemas presentamos el siguiente amistad ¢ tema, res) “ grave da 1. Quiénes intervienen al dsefar un sistema? nn | (Qué * Usuario. FP ésteno he * Analista. J einstalad * Gerente de departamento, nes o nue + Administradores de bases de datos. Enel * Personal de comuri de sus roc * Aucitores internos. Elma + Asesores del desart Boe bles y técrizando médus aplica~ ddel bade {Que longuaje o lenguajes conocen os analistas? {Culntos analistas hay y qué experiencia tionen? 2Cémo se controla el trabajo de los analistas? Indique qué pasos se siguen en el desarrollo de un sistema: Definicidn del problema Desarrollo de objetivos del studio de factiblidad Estudio costovbeneticio Estudio de factiblidad técnico Definicion de tiempos y costo del proyecto Desarrallo dal modale Iégico Propuesta de diferentes alternatives Especiticaciones para el sistema fisico Especiticaciones de programas Disefio de impiementacién Disofio do carga de datos Coxificacién Programa de entrenamiento Estudio de la definicion Diseusién con el usuario Elaborar datoe de prueba Revision de resultados Documentacion ‘Someter resultados de prueba {Qué documentacién acompaia al programa cuando se entroga? Es muy frecuente que no se libere un sistema, esto es, que alguien continie déndole mantenimiento y que sea el tinico que lo conozca. Ello pu mistad con el usuario, falta de documentaciSn, mal andlisispreliminar del si tema, resistencia a cambiar a otro proyecto, o bien a una situacién que es muy grave dentro del érea de informatica: la aplicacién de “indispensables”, que 2Qué sucede respecto al mantenimiento omodificacién de un sistema cuando éste1no ha sido bien desarrollado (analizado, diseftado, programado, probado) einstalado? La respuesta es sencilla: necesitard cambios frecuentes por omisio- En el caso de sistemas, muchas organizaciones estan gastando cerca de 80 de sus recurses de cdmputo en mantenimientc El mantenimiento excesivo es consecuencia de falta de planeacién y control el ollo de sistemas; la planeacion debe contemplar los recursos dispori bles y técnicos apropiados para el desarrolle Diseno del sistemaPor su parte, el control debe tener como s nto deni del desarrollo de un sistema. Estas normas no pueden estar aisladas, prinel del contexto particular de la direccién de informatica (ambiente) y, segunda fl los lineamientos generales de la organizacién, para lo cual es necesacio cml con personal en desarrollo que posea suficiente experiencia en el establecini to de normas de desarrollo de sistemas. Estas mismas caracteristicas deben ei cen el personal de auditoria de sistema Es poco probable que un proyecto llegue a un final feliz cuandose he inal do sin éxito. Dificilmente estaremos controlando realmente el flujo de la informacidadl un sistema que desde su inicio ha sido mal analizado, mal disefiado, mal pi gramado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente es ocasionado pl un mal desarrollo, Esto se inicia desde que el usuario establece sus req mientos (en ocasiones sin saber qué desea) hasta la instalacién del sistema que se haya establecido un plan de prueba de éste para medir su gradadl confiabilidad en la operacién que se efectuaré Para verificar si existe esta situacion, se debe pedir a los analistas las at dades que estén desarrollando en el momento de la auditoria y evaluar sei efectuando actividades de mantenimiento 0 si se estén realizando nue yectos. En ambos casos se deberd evaluar el tiempo que llevan dentro deli mo sistema, la prioridad que se le asign6 y cémo esté el tiempo real en reac con el tiempo estimado en el plan maestro. EI que los analistas, los programadores, 0 unos y otros, ten todo momento a los sistemas en operacién puede ser un grave jonar fallas de seguridad, Instructivos DE OPERACION Debemos evaluar los instructivos de operacion de los sistemas para evitar qu los programadores tengan acceso a los sistemas en operacién. El contenido Jc los instructivos de operacién debers comp! agrama de flujo por cada programa. Diagrama particular de entrada-salida. Mensaje y su explicacin. Pardmetros y su explicacién Disofio de impresién de resultado: Cifras de control Formulas de verificacion, Observaciones. Instrucciones en caso de error. Calendario de proceso y resultados. Form, La finalidac cién de un ‘aceptacién sma. Para ell 1. Indicar Pro inicialn renciac forma} gar las En el ce de inci puestos Tambie debe cc Eour Laselecciss de numero dimiento ¢ sistema op) quete de pt cin de ini equipos (bi relaciGn co Enrtr Lasentrevi Ta situaciéna Forma DE IMPLANTACION ndo, de les ecctiee Sdn ee lt L la opera ciin de un sistema; esto comprende: prueba integral del sistema, adecuacién, dad es la de evaluar los trabajos que se realizan para ini contar Seti ‘axeptacién por parte del usuario, entrenamiento de los responsables del siste- ma, Para ello deben de considerarse los siguientes aspectos indicar cudles puntos se toman en cuenta para la prueba de un si cién de Prueba particular de cada p ial pro- Prueba por fase, validacién, actualizacién. ido por Pru Pruebas de seguridad y confidencialidad Otros (especificar), a en sistema paralelo, ado de n la implantaci6n se debe de analizar la forma en que se van a ctivi inicialmente los datos del sistema, locual puede ser por captura o por transfe- siestén rencia de informacién. Estos datos pueden ser de todo el sistema, 0 bien er fa nis gar las cifras de control © bien los datos acumulados. orma parcial. Lo que es necesario evaluar es la for acién 190 de una némina, los dias trabajados por los empleados 2 la focha Ejemplo: de iniciacién do! sistema, 0 bien sus acumulados en percapciones y en im: a 108 retenidos. También se debe de hacer un plan de trabajo para la implantacién, el cual debe contener las fechas en que se realizaran cada uno de los procesos, Eautro Y FACILIDADES DE PROGRAMACION én de unsiste a interaccisn aseleccién dela configu cSmputo incluy ae Toe numerosas y complejas decisiones de cardcter técnico. El impacto en el ren- miento de un sistema de computo debido a cambios trascendentales en e sistema o po, puede ser determinado por medio de un pa- quete de pruckas (b que haya sido elaborado para este fin en la direc cin de informatica. Es conveniente solicitar pruebas y comparaciones entre equipos (benchamark) para evaluar la situacién del equipo y del software er relacién con otros que se encuentran en el mercado. tivo o en el eq) Entrevistas A USUARIOS as entrevistas se d orn llevar a cabo para comparar los dates proporcionados y lasituacién de la direccién de informatica desde el punto de vista de los usuariosSu objeto es conocer la opinién que tienen los usuarios sobre los capiruco 4 Proporcionados, asi como la difusisn de las aplicaciones de la compu de los sistemas en operacién Las entrevistas se deberdn hacer, en caso de ser posible, a todos lai rios, o bien en forma aleatoria a algunos de ellos, tanto a los més impat como a los de menor importancia en cuanto al uso del equipo. Enrrevistas Aunque la entrevista es una de las fuentes de informacién més imporantyl saber cémo opera un sistema, no siempre tiene la efectividad que se de que en ocasiones las personas entrevistadas pueden ser presionadas x analistas de sistemas, 0 piensan que si se hacen algunos cambios, étcs pol afectar su trabajo. El gezente debe de hacer del conocimiento de los ent dos el propésito del estudio Una guia para la entrevista puede ser la siguiente: Prepérese para la entrevista estudiando los puestes de las person van a ser entrevistadas y sus funciones dentro de la organizacin. Preséntese y dé un panorama del motivo de la entrevista Comience con preguntas generales sobre las funciones, la org los métodos de trabaj Haga preguntas especificas sobre los procedimientos que puedan data No excet resultado el sefialamiento de mejoras. Ser facil Siga los temas tratados en la entrevista Ser confi ‘+ Limite el tomar notas a lo més relovante, para evitar distractores . Poderlos + Al final de la entrevista, ofrezca un resumen de la informacisn obteil Ser amig pregunte cémo se le podra dar seguimiento. Para que ‘una comunit Cc ma. En ella! io, las nece: UESTIONARIO sien dee En este que sera prc may la forn cuados, esta ‘quien tiene Identificar el grupo que va a ser evaluado, Esta eta El disefto de un cuestionario debe tener una adecuada preparacién, eau cidn, preevaluacién y evaluacién. Algunas guias generales son Escribir una introduccién clara, para quo el investigada conazca los eopecialista vos del estudio y el uso que se le dara a la informacion ogrs una a Determine que datos deben ser recopilados. trol satisfaci Flabore las preguntas con toda precisiGn (no haga preguntas en negali Para ve de tal forma que la persona que las responda lo pueda hacer con toda requeridos dad. Estructure las preguntas en forma logica y secuencial de tal forma ql Sera PFECISOnputadora y les ustia= importantes ante para desea, ya das por los 0s podrian entrovistay onas que : dar como sbrenida y , labora: jos objeti- oda clari- arma que ol iempo de respuesta y ce escritura seabreve (aunque se deben dejar abier- as las observaciones). Elimine todas aquellas preguntas que no tengan un sbetivo claro, 0 que sean improcedentes. Limite el numero de preguntas para evitar que sea demasiado el tiempo de contestacién y que se pierdla el interés de la persona implemente in cuestionario piloto, para evaluar quc todas las preguntas sean claras y que las respuestas sean las esperadas, Disefie e implemente un plan de recoleccién de datos Determine el métado de anslisis que sera usado. Distribuya los cuestionarios y déles seguimiento para obtener las respues: as deseadas; asimismo, analice los resultados. Procure que su cuestionario responda a las siguientes preguntas: (Qué dreas pueden ser mejoradas? + (Que informacion necesita que actualmente no tiene que es dificil de ‘obtener? Qué cucllos de botella ocurren durante el dia? ;Cémo se pueden li {Como se puede cambiar e! procedimiento para eliminarlos? cExiste un procedimiento que sea redundante 0 repetitive? ¢Cémo se podria climinar esta repeticién? Desde el punto de vista del usuario los sistemas deben: Cumplir con los requerimientos totales del usuario, Cubrir todos los controles necesarios, No exceder las estimaciones del presupuesto inicial, en tiempo y costo. Ser fécilmente modificables. Ser confiables y sepuros. Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible. Ser amigables. Para que un sistema cumpla con Ios requerimientos del ustrario se necesita ana comunicacién completa entre éste y el responsable del desarrollo del siste ma, En ella se deben definir claramente los elementos con que cuenta el usua- ‘io as necesidades del proceso de informacién y los requerimientos de infor: matin de salida, almacenada o improsa En esta misma etapa debié haberse definido la calidad de la informacién que serd procesada por la computadore, estableciéndose los riesgos de la mis- nay la forma de minimizarlos. Para ello se debieron definir los controles ade rads, estableciéndose ademés los niveles de acceso a la informacidn, es decir quién tiene privilegio de consultar, modificar o incluso borrar informectén. Esta etapa habra de ser cutidadosamente verificada por el auditor interno cialista en sistemas y por el auditor en informatica, para comprobar que se gr una adecuada comprensién de los requerimientos del usuario y un con ro) satisfactorio de informacisn Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y que se estén proporcionando en forma adecuads, cuando menos ENTREVISTAS ‘AUSUARIOS Requerimientos dol usuarioDescripcién de los servicios prestados. Criterios que utilizan los usuarios para evaluar el nivel del servicio pres capiuto 4 R ee Reparte periddico del uso y concepto del usuario sobre el servicio 58 SSTENAS Registro de Ios requerimientos planteados por el usuario. Tiempo de uso, Con esta informacién se puede comenzar a realizar Ia entrevista para minar si los servicios proporcionados y planeados por la direceién de in tica cubren las necesidades de informacién de la organizaci A continuacion se presenta una guia de cuestionario para aplican la entrevista con el usuari uo ta ai ° uitados esporadie A. Deficiente aPor qué? {Cubre sus necesidades de procesamiento? A. No las cubro 8. Parcialmente C. La mayor Por qué? nO considera la calidad del procesamiento que se le proporciona? Deficiente B. Aceptabo. s D. Excelente aPor qué? Hay dsponibilidad de pr is requerimiantos? A. Goneralmento no existe Ceasionalmente larmente D. Siempre viclos proporcionados? costo cel servicio proporcionade por el depariamento de pt B. Minimo C. Regular D. Adecuado E. No lo conoeti estado. He por a direc- bro de pro. 137 {Son entiegados con puntuaiidad los tr A. Nunca B. Rara ©. Ocasionaimenie USUARIOS D. Generaimente _E. Siempre aPor qué? de la presentacinn de los trabajos s A. Deficiente B. Aceptable C. Satistactoia __D. Excelente {Por qué? 10. {Qué piensa de la atencién brindada por el sonal de procesos electr6- A. Insatictactoria B, Satisfactoria C. Excelente ePor que? 2Qué piensa de la asesoria que so imparte sobre informatica? porciona 8. Es insufciente C. Satisfacto D. Excelente {Qué piensa de la seguridad en el manejo para su procesamiento? @ la informacion proporcionada A. Nule B. Riosgosa S D. Excelente E Lo ePor qué? de informac 30 ulliza los roportes quo le proporcionan {Cudles no u16. De aquellos que no utiliza, {por qué razon los recibe? 17, Qué eugorencias hace on cuanto a la oliminacién de reportes: modifeasill fusién, division de reporte? 18. 2Se cuenta con un manual del usuatio por sistema? 19. 2Es claro y objetivo e! manual del usuario? 20. ZQué opinién tiene sobre e! manual? nora: Pida ol manual dol usuario para evaluat. 21, gDe su departamento, quién Interviene en el aiseno de sistemas? 22. ¢fEn qué sistemas tiene actualmente su servicio de computacién? 23, {Qué sistemas desearia que se incluyeran? 24, Observaciones. Derechos DE AUTOR Y SECRETOS INDUSTRIALES En relaci6n con las disposiciones juridices adecuadas para la actividad inf matica, la Camara de Diputados y el Instituto Nacional de Estadistica, Geo fia e Informatica (INEGI) organizaron un fore de consulta sobre derecho et formatica. Como resultado, se recopilaron opiniones, propuestas y ex cias relacionadas con diversos aspectos, en parala informa dica de datos de los que destacan: las garankal n personal almacenada en bases de datos y la protecciénju récter estratégico; la tipificacién de delitos informéticos valor probatorio del documento electrdnico, y la proteccién de derechos dea tor para quienes desartollan programas para computadora. Dentro del concepto de propiedad intelectual, uno de los aspectos mis: portantes es el que se refiere a los derechos de autor, el cual involucra la p més importante del desarrollo intelectual de las personas, ya que se refiere al ramas literaria, cientifica, técnica, juridica, musical, pictdrica, escult6riea, a En primer vecho desu tr del publi “son, en cierto En segunc se vers esti literatura, elt ypais. Nadie d mismo modo yenalaelabo ‘mente remun En tercen ccesarias, por! faciles de obt En cuarte del pensamic derecho a dec yy derecho a¢ En quint ‘obras de los ‘mejor sus co ppatrimonio ¢ El progr en francés co dor, es unco ble por méq miento dela dos determi Cada ve obras acreec Ailtimas adic porar entre Ariiculo todo cre privilegi La legis catélogo dealas rqui- grifica, nematogratica, televisiva, asf como los programasde cimpu- bases de datos y los medios de comunicacisn, entre las mas importante: Enlamayoria de los paises existen leyes protectoras de las obras intelectua- les que producen los poetas, los navelistas, los compositores, los pintores, los Y SECRETOS ‘ecultores, y de manera reciente se han protegido los programas de compu-_'NOUSTRIALES tadora y las bases de datos. Pero ademas de su legislacién domestica, las nacio celebran compromisos unas con otras para dar una proteccién intemacional jos autores. En general, se admite que son cinco las razone proteccidn. sn primer lugar, por una razcn de justica social: el autor debe obtener pro- echo desu trabajo, Los ingresos que perciba, deben estar en funcibn de la aco- Programa de gida del publico a sus obras y de sus condiciones de explotacién: las “regalias! computacién Sen, en cierto modo, los salarios de los trabajaclores intelectuales. En segundo, por una razén de desarrollo cultural; siesta protegido, el autor se verd estimulado para crear nuevas obras, enriqueciendo de esta manera la literatura, el teatro, la meisica, los programas de computacién elaborados en su pais. Nadie debe realizar un trabajo sin que sea debidamente remunerado; de! mismo modo, los que, por su trabajo, su inteligencia, su experiencia, contribu: yena la claboracisn de programas y sistemas de cémputo, deben de ser debida mente remunerades. in tercero, por una raz6n de orden econdmico; las inversiones que son ne cesarias, por ejemplo, para la elaboracién de un sistema de cémputo serin més féciles de obtener si existe una proteccidn efectiva Encuarto, por una razén de orden moral; al ser la obra la expresicn persona del pensamiento del autor, éste debe tener derecho a que se respete, es decir, derecho a dedidirsi puede ser reproducida o ejecutada.en puiblico, cuando y eémo, y derecho a oponerse a toda deformaciGn o mutilacin cuando se utiliza la obra. fn quinto lugar, por una razén de prestigio nacional: el conjunto de las obras de los autores de un pats refleja el alma de la nacién y permite conocer mejor sus costumbres, Sus Uusos, sus aspiraciones. Si la proteccion no existe, el patrimonio cultural serd escaso y no se desarrollaran las artes, programa de computacién, conocido en inglés como rogram y en francés como programe d ordinateur, y también llamado programa de ordena: dor, es un conjunto de instracciones que, cuando se incorpora a un soporte legi- ble por méquina, puede hacer que una maquina con capacidad para el trata miento de la informacién indique, realice o consiga una {uncidn, tarea o resulla- dos determinados. Cada vez se acepta con mayor frecuencia que los programas originales son bras acreedoras a la proteccién gue otorga el derecho de autor. Una de las tilimas adiciones de que fue objeto la precedente ley autoral, consistié en incor porar entre las obras protegidas a los programas de computacién Artie derecho de autor es el reconocimiento que hace el Estado a favor d jodo creador de obras literarias y artisticas provistas en ol articulo 13 de esta Le virtud del cual otorga su protecciéa para que cl autor gove de prerrogativa privilegios exclusives de caracter personal y petrimonial a legislacidn actual, ademas de conservar dichos programas en un similas catélogo de las obras para las que se reconocen los derechos de autor (art.140 LFDA), les dedica un capitulo es scial (capitulo IV del titulo IV) con re 1 ; : ; 1 ta Xi rojrom de ing | demas ob: por analo uedan considerarse obras literarias 0 a 83. Salvo pacto en contrario, la persona fisica 0 moral que comisione “a i fn Ley prc de computac wu docamentacién, cuando hayan sido cread u 10s empleados en el eercicio de sus funciones o siguiendo las instruct nes del empleador, corresponden a ést Como ina lo previsto por el articulo 33 de la presente Ley, el pla ‘Como excepcién a lo previsto en el articulo 27 base de dates conservara, aun después de la venta de efemplares de los mismos, mala ferecho de autorizar o prohitir el arrendamiento de dichos ejemplares. Este p a en si mismo un objeto esencial de la licencia de uso. cent 1 105. El usuario logitimo de un programa de computacién podré real sicion nero de copias que le autorice la ee jerechos de autor, o una sola copia de dicho programa siempre y cuxduccidn permanente 0 prov de se quedarsn p const proteccis exceptuados de daptacién. r Derechos de autor pe[. Comunicar 0 utilizar piblicamente una obra protegida por cualquier nd y de cualquier forma, sin la autorizacién previa y expresa del autor, de sus al on mos herederos o de! titular del derecho patmonial de autor; ous IL, Utilizar la imagen de tuna persona sin su autorizacion o la de sus casi biente IIL Produc, reproducit, almacenar, distribuir, transportar o comerciil videogramas o libros, protegidos por lo» -opias de obras, fonograma auitor © por los derechos conexos, sin la autorizacisn de los n erechud los términos de esta L TV. Ofrecer en venta, almacenar, transportar o poner en circulacisn obras tegidas por esta Ley que hayan sido det torizacion del titular del derecho de autor, V. Importar, vender, arrendar o realizar cualqui proteccién de un programa de computacién, VL Retransmnitis, jar, rep madas, modificadas o mutiladas sna acto que permita tenes oducir y difundir al pablico emisiones deo mos de radiodifusion y sin la autorizacin debida, y Vil. Usar, reproducir o explotar una reserva de derechos protegida o un grama de cmputo sin el consentimiento del ttula Articulo 232. Las infracciones en materia de comercio previstos en la prs Ley serdn sancionadas por el Instituto Mexicano dela Propiedad Industrial I. De cinco mil hasta di mil dias de salario minimo en los caso las fracciones I, IL, 1V, V, VIL, VII y IX del articulo anterio TI, De mil hasta cinco mil dias de salario minimo e fracciones Il y VI del articulo anterior, y ILL De quinientos hasta mil dias de sal refiere la fraccién X del articulo anterior. Se aplicars multa adicional de ral vigente por dia a quion persista Tos casos previsios jo minimo en los demés casosa sta quiinientos dfas de salario minima Ia infracci6n culo 233, Si cl infractor frese un editor, on quiet persona fisica o moral que Incrementarse hasta en anismo de radiodifusién, oc xxplote obras a escala comercial, la mula p un cincuenta por ciento respecto de as cantidades pre tas en el articulo anterior INTERNET El Internet, considerado como una coleccisn de redes interconectadas 0 com un conjunto de computadoras unidas entre si, no ha sido tomado en cuen entre las disposiciones que se acaban de mencionar. Para obtener acceso a Internet se requiere un equipo que ests al aleancedd publico en general, por lo que cualquier persona puede entrar a la red de res de comunicacion si contrata los servicios de un proveedor de acceso. Recientemente han surgido empresas proveedoras de servicios dedic a ofrecer en renta conexiones a Internet, ya sea de manera directa, indi parcial, siendo las propias empresas las que proporcionan el equipo necesii jener acceso. Los proveedores de servicios son los responsables de la informacién qu ponen al servicio de sus usuarios, ya que dichas compaiifas son encargadas d divulgar y controlar la informaciéa transmitida por Internet. Son mt Mlevadas a infracciGn + ‘ma de com ral de mod obra bajo « violacione: Tesen form dbblica de a utiliza la pt tes, por cu: nes que pa sobre tela artista pre! El deb polémicas trumento Internet. E disco duro Internet. E suna 0 vari ‘Cuand atribuye gt pués extra ‘cookies’, ¢ Esto p visitantes ) entre vari que permi electronic anunciant El coc todo en ¢ Iinea, la ce tode paga grabando Teéric wun service Las te ines han al verdadere ciGn de de do su nav den borra programa La sit determi de Internemedio, s legiti- ausaha- ciolizar chive dil as pro icos de rganis inpro- que se pod wenta e del edes Ieiadas a cabo en Internet para determinar cuales pucieran constituir alguna nractién a los derechos de autor. No abstante, se puede pensar que este siste- mnade comunicacién puede originar las siguientes violaciones: al derecho mo hl de modificar la obra; al derecho moral de inédito; al derecho de publicar la tbr bajo el propio nombre o de manera an6nima. También pueden producirse tilaciones a los derechos patrimoniales cuando se transmiten obras intelectua lisen forma de archives por medio de Internet, ya que se realiza una uiilizaciGn publica de una obra sin la remuneraci6n parael autor de la creacién intelectual También puede ser facilmente violado el derecho de autor cuando la ted Uiizala propia imagen, dela queson titulareslos artistas, intérpretes y ejecutary tes por cuanto que en Internet es posible encontrar un gran ntimero de image- ssque pueden ser reproducidas imprimiéndolas sobre papel, como carteles, 0 sobre tela para obtener prendas de vestir (como playeras con la imagen del atista preferido} El debate sobre la proteccién de los datos personales en Internet reabre la polémica sobre el papel desemperiado por los cookie, que sirven mas como ins- tumento de mercadoteenia que como medio para espiar a los usuarios de Intecnet, EI término cookie se aplica a un simple archivo de datos situado en el disco duro del computador de una persona 0 compaiia que ofrece servicios de Intemet. Fl cookie y su contenido son creados por wn servidor que almacena nao varias péginas Internet. ando un visitante accede a una pagina web por primera vez, elservidor le atribuye generalmente un ruimero de identificaci6n con atributos, el cookie. Des: pués extrae su nombre deun ficheroempleado en las plataformas Unix, los “magic cookies’, con lo que el visitante serd identificado en sus visitas ulteriores. Esto permite al propietario de la pagina analizar el comportamiento de sus vistantes y personalizar sus visitas, El desplazamiento delos usuarios de Internet entre varias paginas de una direceién se puede identificar a la perf gue permite “tomar nota” del recorrido utilizado mas a menudo. La direccion ekectténica podra ser modificada para satisfacer a la vez al visitante y a los anunciantes, que pueden colocar su publicidad en el lugar mas adectiado, I cookie sirve también pera grabar lo que ocurre en estas visitas, sobre todo en caso de compra. Si se elige, por ejemplo, un libro en una libreria en ine, la compra queda grabada en un cookie, antes de reaparecer en el momen c Civil tal como lo prescribe el articulo 1910 del Cc Consideraciones legales sobre el empleo de nombres de dominio frente al régimen de marcas Las posibilidades dela comunicacién via Internet son inagotables, comprendign dose dentro de ellas la posibilidad de ofertar productos y p enorme mercado potencial que acude a Jos sitios en la red, mediante la obten- Sn de un nombre de dominio que refiera a los usuarios de la red a un sitio isivo destinado a promover sus bienes y/o servicios. Los nombres de dominio son denominaciones tinicas asignadas a personas net un domicilio que pueda ser visitado por usuarios en la red. Fl estar servicios al gueder sistema de dominio interpreta los nombres como ntimeros y cada computadora conectada a la red cuenta con un ntimero tinico. La concesién de nombres de dominio es coordinada por un organismo llama- do Network Solutions Inc, a través de InterNIC, quien trabaja en conjunto con administradores de dominio, coordinadores de redes y proveedores de servicio Je Intomet. Los nombres de dominio son registrados a través de una forma de solicitud estindar disponible en la red y el tinico criterio seguido para sion es el de verificar que no exista un nombre de dominio, idéntico, previamente asignado. Lo anterior, resulta necesario desde el punto de vista técnico, ya que no .c60 idnticas de sitios distintos en la red pueden enistir dos rutas d E] comercio de bienes y servicios a través de la red ha propiciado la con frontacién de los intereses de titulares de marcas registradas con duefios de sitios en la red que adoptan marcas propiedad de terceros como nombres de dominio, Desde fines de 1995 los gobiernos de los estados y listintas organizaciones internacionales han encaminado sus esfuerzos a balancear de manera adecua- por un lado, la necesidad de proteger los derechos de propiedad intelectual y, por otto, las innegables ventajas del acceso a ia informacién vfa Internet DEAUTOR YSECRETOS 149Mantiene el liderazgo de dicha empresa Network Solutions, Inc (NSI), que es cariuo a 720 operativo de la US National Science Foundation, autoridad que regula EVALUASION asignacién de dominios en Internet 3 sisten En el décimo Congreso de las Naciones Unidas sobre previsién del deli tratamiento de delincuentes celebrado en Viena del 10 al 17 de octubre del 208 1 llegda la conclusién sobre los delitos relacionados con las redes informétic Para combatir eficazmente los delitos cibernéticos es necesario un enfoque & ternacional coordinado a diferentes niveles. A nivel nacional, la investiga de esos delitos requiere personal, conocimientos especializados y procedimiag tos adecuados. Se alienta a los Estados a que consideren la posibilidad de cra mecanismos que permitan obtener de manera oportuna datos exactos de li sistemas y redes informaticas cuando estos datos se requieran como prucbaal los procedimientes judiciales. A nivel internacional, la investiga los delitos cibernéticos requiere una adecuacién oportuna, facilitada por la @ ordinacién entre los organismos nacionales de aplicacién de la ley y la insti cin de la autoridad legal pertinente.” ‘Como ejemplo de legislaciones relacionadas con informatica en Latinoamé ca tenemos el caso de Colombia: Poder Paiblico - Rama Legislative LEY 527 DE 1999 (agosto 18) por medio de la cual se define y reglamenta datos, del comercio electronico y de las firmas di des de certficacién y se dictan otras disposiciones. PARTET PARTE GENERAL CAPITULO 1. Disposiciones generales 4) Mensaje de datos, La informacisn generada, enviada, recibida, almacenadio comunicada por medios electrénicos, dpticos o similares, como pudieran entre otros, el Intercambio Electrénico de Datos (EDD, Internet. el correo els tri egrama, el tox oel telefax b) Comercio electrénico, Abarca las cuestiones suscltadas por toda relackin de indole comercial, sea 9 no contractual, estructurada a partir de la utiliza de uno o mas mensajes de datos o de cualquier otro medio similar. Las reladoe res de indole comercial comprenden, sin limitarse a ellas, las siguientes ope: raciones: toda operacién comercial de suministro o intorcambio de bien 0 servicios, todo acuerdo de distribucidn, toda operacién de representacisa 8 pandato comercial; todo tip clones financieras, bursétiles y de epi ros; de construccis b ultoria; de ingenieria; de concesion d licencias; todo acuerd cesién o explotacién de un servicio publ Je empresa conjunta y otras formas de cooperacisn industrial o comercial de transporte de mercancias o de pasajeros por via aérea, maritima y férrea, 0 parquees el regula la I delito y del 2006, foque in- stigacion de crea eficaz de or Ja co» 2 institu noaméri- nasjes de de segu piblico, Firma digital. Se entender como un valor numérico que se adhiere a an men saje de datos y que, wtilizando un procedimiento matemstico conocido, vince DERECHOS DE AUTOR. valor se ha obtenido exclusivamente con la clave del iniciador y que el mensa- 08 je inicial no ha sido moditicado después de efectuada la transformacisn; lado a la clave del iniciador y al texto del mensaje permite determinar que este Entidad de cortificacién. Es aquella persona que, autorizada conforme a la presente ley, esté facultade pata emitir certficados en relacién con las firmas igitales de las personas, ofrecer o facilitar los servicios de registro y estampa- do cronoldgico de la transmisién y recepcisn de mensajes de datos, asi como umplir otras funciones relativas a las comunicaciones basadas en las firmas digitales, Intercambio ElectrOnico de Datos (EDN. La transmisién electrnica de dates de una computadora a otra, que esté estructurada bajo normas téenicas conve nidas al efecto Sistema de informacién. Se entenderé todo sistema ulilizado pata gener iar, recibir, archivar o procesar de alguna otra forma mensajes de datos, CAPITULO II. Aplicacién de los requisitos juridicos de los mensajes de datos tHculo 80, Integridad de un mensaje de datos, wulo 10. Admisibilidad y fuerza probatona de los mensajes de datos. ulo 11. Criterio para valorar probatoriamente un mensaje de datos 2. Conservacién de los mensajes de datos y documentos. CAPITULO IIL. Comunicacién de los mensajes de datos 17. Presuncién del origen de un mensaje de datos rticulo 18. Concordancia del mensaje de datos enviado con el mensaje de recibido, Articulo 19. Mensajes de dates duplicados. slo 20. Acuse de recibo. fculo 21. Presuncién de recepcién, de un mensaje de datos. PARTE IL COMERCIO ELECTRONICO EN MATERIA DE TRANSPORTE DE MERCANCIAS PARTE Ill FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION CAPITULO I. Firmas digitales Artieulo 28. Atributos jaridices de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquélla tenia la intencisn de acrecitar ese mensaje de datos y de ser vinculado con el contenido del Pa de una firma digital tendré la misma fuerza y efectos que el uso de una firma manuscrita, si aquélia incorpora los siguientes atributos:captruto 4 DE LOS SISTENAS Es tinica a la persona que la usa. 2 Es susceptible de ser verificada Esta bajo el control exclusivo de la persona que la usa Esta ligada a la informacién o mensaje, de tal manera que si éstes son ca dos, la firma digital es invalidada. Esta conforme a las reglamentaciones adoptadas por el Gobierno Na 10, CAPITULO II. Entidades de certificacién CAPITULO IIL, Certificados CAPETULO IV. Suscriptores de firmas digitales CAPITULO V. Superintendencia de Industria y Comercio DECRETO NUMERO 1747 DE 2000 ft 4 septiembre 11) i or e! cual se regiamenta parcialmente la Ley 527 de 1999, en lo relacionad A s de ceriificacién, los certificados y las firmas digitales. CAPITULO I. Aspectos generales loo, Definiciones. Para ef eto see os del presente Iniciador: persona que actuando por su cuenta, 9 en cu e de dates, Suscriptor: persona a cuyo nombre se expide un certificado. Repositorio: sistema de informacién utilizado para almacenary re tifieados y otra informacién relacionada con los mismor Clave privada: valor o valores numéricos que, utilizados conjuntamente oll tun procedimiento matematico conocido, sirven para generar la firma digi de un mensaje de dat Clave pablics: valor 0 al numéricos que son utilizados para veriicall sda del iniciade Certificado en relacién con las fi tales: mensaje de datos fir por la entidad de certficacicin que identifica, tanto ala entidad de cerificac swam lpcexriide cosmo, suser ex, ¥.coenienge le dave pabiies de dats Estampado cronolégico: mensaje de datos firmado por una entidad cacién que sirve para verificar que otro mensaje de datos no ha cambiad tun periodo que comienza en la fecha y hora en que se presta el servici termina en la fecha n que prestador firma del mensaje d: rampade, pierde va datos dee dez Entidad de certificacién cerrada: entidad que ofrece ser entidades de cortificacién sélo para e crip . ios propios intercambio de mensajes entre la ad y¢ semuneraci6n por elloEntidad de certificacidn abierta: la que ofrece servicios propios de las des de certficacisn, tales que: n) Su uso no se limita al intercamibio de mensaies entre la entidad y el st Eka b) Recibe remuneracién por 6 onal Declaracién de Practicas de Certificackén (DPC): menifestacién de la entidad de certficacion sobre las politicas y procedimventos que aplica para la presta- de sus servicios CAPITULO IL. De las entidades de certificacién Y certificados digitales Seccidn I. De las entidades de certificaciin cervadé Seccidin IK, De las en de corificaciin aber Ariiculo 60. Declaracién de Préctcas de Certifcacidn (DPC). La Superintendencia de industria y Comercio definiré el cantenido de la Declaraci6n de Practicas de Cert ficacién, DPC, la cual debers incluir, al menos lo siguiente: Identificacion de la entidad de cerificacisn, Politica de mangjo de los certificados. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben cbservar los terceros, Manejo de a informacién stministrada por los suscriptores, Garantias que ofrece para el cumplimiento de las obligaciones que se deri de sus actividades, Limites de responsabilidad por el ejercicio de su actividad arifas de expedicién y revocacidn de cettificados. Procedlimientos de seguridad para e! manejo de los siguientes eventos: ) Cuando la seguridad de la clave privada de Ia entidad de certificacién se ha visto comprometida b) Cuando al sistema de seguridad de la entidad de certificacion ha sido vul ) Cuando se presenten fallas en el sistema de la entidad de cectficacién que comp! n la prestacidn del servicio; #) Cuando los sistemas de cifrado pierclan vigencia por no ofrecer el nivel di eifcar seguridad contratados por el suscriptor 9, El plan de contingencia encaminado a garantizar la continuidad del servicio rmado ). Modelos y minutas de los contratas que utilizaran con Tos usuario .cién i Politica de manejo de ottos servicios que fuere a prestar, detallando sus condi- aa slo 11. Informe de Auditoxia, lo 12, Requisitos de las firmas auditoras jlo 14, Certificaciones resiprocas. El reconocimiento de los certificados di ado en por el ‘nmas digitales emitidos por entiledes de cerlficacicn extranjeras, realizado por intidades de certificacién autorizadas para tal efecto en Colombia, se hard consta in un certificado expedido por estas tiltimas. ‘culo 15. Uso dol cectticado digitalSeccén ID Berd lever un registro de pbc, eos que contenge todos ls celcados en CAPITULO IIL Facultades de la Superintendencia de Industria y Comercio Articulo 27. Estindares. La Superintendencia de Industria y Comercio determina os estindares admisibles con respecto a les cuales las entidades de cert deberdn acreditar el cumplimiento do los requisites relativas a! a generacién de pares de claves. [a generacin de firma: Los certificades. Los sistemas de ciftado, Las comuni < La seguridad de los sistemas de informacion y de las instalaciones, o Cualquier otro aspecto que redunde en la contiabilidad y seguridad d cettificados, o de la informacién que repose en la entidad de certificacién rminacin de los estindares admisibles, Ia euperintendencia debe ellos que tengan carécler internacional y que esién vigentes tecnol gicamente o los desarrollados por el organismo nacional de normalizacén o ue sean ampliamente reconocidos para los propésitos perseguides. En todo cas deberd tener en cuenta su aplicabilidad a la luz de la legislacisn vigeEvaluacion del proceso “ist W geitute, Ge datos y de los equipos ens de coémputo Osuetivos Al finalizar este capitulo, usted: = Explicara por qué los datos de las organizaciones son valiosos recursos y or qué es necesario tener esirictos controles sobre ellos, Conocera los distintos tipos de control que deben ejercerse sobre los d 1 de los de las organizaciones. 3 . Desonbiré las reglas relativas al orden y cuidado que deben odservarse en el centro de cémputo. |. Explicard la importancia de evaluar el grado de eficiencia del sistema opera tivo para salisfacer las necesidades de una instalacion. |. Conocerd les puntos principales que deberdn ser evaluados en los equipos de cémputo de una organizacién, tos adebe- exnolé- no losControues son intangibk los demés inventarios de la organizaci6n, por lo cual se debe tener presente: de los recursos més valiosos de las organizaciones, y, aungie dog ,,necesitan ser controlades y auditados con el mismo cui + La responsabilidad de los datos es compartida conjuntamente por algut ‘ancion determinada de la organizacion y Ja direcci6a de informatica * Un problema que se debe considerar es el que se origina por la duplicidié dc los datos, el cual consiste en poser determi 40s posibles (principalmente en el caso de redes y banco de datos) yle lidad de su actualizacién y consistencia. bern ten los propietarios 0 usu responsa © Losda wna clasificacién estandar y un mecanismo de der ificacién que permita detectar duplicidad y redundancia dentro de unt plicacién y de todas las aplicaciones en general. © Sed jonar los elementos de los datos con las bases de datos done estan almacenados, asi como los reportes y grupos de procesos donde sm En todo permitan la mejor operacién de los sistemas. Estas politicas son evaluadas de ante el transcurso de la auditorfa, por lo que s6lo son mencionadas en et seccién, pero se encuentran estudiadas en detalle en diferentes capitulos nntro de informatica se debe contar con una serie de poli Entre las politicas de operacién del computadorseene rntran las siguients Politicas de respaldos a informacién deber nal o diarigy los siguientes puntos: | Los respaldos de salizarse mensual, sem se deben observ + Contar con politicas formales por escrito para efectuar los respaldos man suales, semanales y diarios de la informaci6n. * Todos los medios magnéticos de respaldo no deben estar almacensdsa un mismo lugar, sunque se te lie porle usd uber umn con pencia grave (neendio, wandoclll no se tendria el riesgo de perder parte 0 la totalidad de la informacicn J que se cuenta en otto lug, sapere | + Debe tenerse acceso restringido al érea cn donde se tienen almace | edios magnétices, tanto de operacién como de respaldo. * Se deben tener idlentificadas las cintas por fecha, conce tae lbeinian a nido de los datos de registro y los responsables de efectuarlos. es conveniente elaborar y actualizar una relacis © Sedebe contar con una politica que indique los procedimientos a seguiret ‘cuanto al almacenamiento de las cintas de respaldo en un lugar diferent y I punt dos | caso form dad. elab. gue mest bas, dos } lacio cont dels I que | resp. acce: act Poli Las debi traci versyeaungque: uidado que resente: por alguna’ uplicidad fos 0 usua- datos) y la wdeiden- tro de una xos donde donde son) dos men- nados en indacién) tivo, conte erente al de la ubicacién del site, en donde se pueda tener acceso las 24 horas del dia ydonde se designen responsables de mantener actualizada la informacion Vital de la organizacién. H hecho de no contar con estas politicas de respaldo que contemplen Ios puntos anteriores puede provocar que no se sigan los procedimientos adecua- dos para realizar los respaldos, que haya riesgo de pérdida de informacién en caso de alguna contingencie y no tener una disponibilidad inmediata de la in- jomaciGn de respaldo para recuperar la informacisn y conseguir una continui- Se debe elaborar por escrito una serie de politicas y procedimientos para la elabocacién de los respaldos, contemplando los pasos a seguir, la informacion ue debe de ser respaldada, segtin el periodo correspondiente (mensual, se astral o anual), asi como al personal asignado para cada caso. También se debe especificar la forma de etiquetacion, nomenclatura, prue- bas, rotacién de cintas, los nombres de los responsables de efectiar los respal- dos y las cintas que serén designadas para ser reaguardedas fuera de las insta lacones. También se debe tener una relacién por escrito de la ubicacion y el ontenido de las cintas, que debe ser entregada al responsable de la seguridad del site, asf como al gerente del érea de informatica Dentro de las politicas de respaldo, se debe contar con un punto que indi- que los procedimientos a seguir en cuanto al almacenamiento de las cintas de rspaldo en un lugar diferente al de la ubicacién del site, donde se pueda ten cso las 24 horas del dia y donde se designen responsabilidades de mantener ictualizada la informaci6n vital de la onganizacion. Politicas y procedimientos las politicas existentes deben estar actualizadas en todas las actividades, estar ebidamente documentadas y sor dal conocimiento del personal No contar con politicas y procedimientos actualizados que rijan la adminis tacidn del area de sistemas podria ocasionar + Administracién inadecuada de la operacién. + Relajamiento en el cumplimiento de las obligaciones del personal. + Inadecuada divisién de labores. Las politicas y procedimientos deben incluir los siguientes puntos: Seguridad de la informacion (fisica y Iigica’ Adquisicién de hardware y software Operacién de centro de eémputo, Es recomendable que se documenten todos los procedimientos de las di- versas actividades. Estes, al igual que las normas y politicas, se manifestaran porescrito en mantiales de operacicn Politicas para el computadorAA proceder deesta manera, e obtendrian ls siguientes ventas legaby: sinraae por pag DEL PROCE supervision, y se fomenta la eficiencia del personal en sus funciones. provee: voeuoe eauroe " Drccedimientos originales crtados = * * Se precisa la responsabilidad individual de los participantes en una oper Beane Ademés, dichas politi conocimiento del personal Sy procedimientos a desarrollar, debersn ser ° Act que ws ‘ est Politica de revisién de bitacora * En (soporte técnico) del Deben existir bitécoras de operacién en las que se registren los procesos realizs ¢ a 0s resultados de su ejecucisn, la concurrencia de errores, los procesos fe ‘ jos en el equipo y la manera en que concluyeron. tie No contar con una politica de revisién de las biticoras de operacién delas 2 Carecer de bases para el rastreo de errores de procesamiento. fe! Falta de parémetros de evaluacién respecto al funcionamionto del equipoy dol departamento d + Ausencia de controles en cuanto a registro de seguimiento de prob * Falta de pardmetros para determinar las causas de una falla significativaen el sistom sistemas, Politic y dar seguimiento a su correccién, + Dependencia del personal para solucién de errores. aa * Loserrores pueden presentarse en forma recurrente y no ser detectados li een cual causa pérdidas de tiempo en la correccién Y Proce * Puede presentarse una perdida de tiempo al no programarse adecuedatrn eben te las funciones, lo que tiene como consecuencia una confusién en el éea Bos Es necesario establecer una politica de revisiGn de las bitécores de opera * Ele cin, asignando responsables por proceso funcion, Jo que traeria como benef un Para la adquisiciGn, mantenimiento y desarrollo de sistemas se deben con. tar siderar: Sec tad + De Control de las licencias del software ey tan Todas las organizaciones deben de tener un inventario de las licencias dels * No ware actualizado, que asegure que toda la paqueteria y software en generalsonsulta y_ Yuna opera del ign de los clequipoy blemas. ificativa en stados, lo cuadamen- en dl drea realizar de opera- mo benefi leben con. 1s del soft ‘eneral sea legal y esté amparada por una licencia, para evitar posibles problemas legales porpago de derechos de uso y explotacién del software Al no contar con las licencias correspondientes, no se le puede pooveedorel servicio de soporte o actualizacién de software, ya que par nimero de serie instelado dentro de la licencia, el cual se encuentra clasificade er una base de datos dentro de los equipos del proveedor. Por tal motivo es muy ficil detectar si la licencia es pirata 0 ya vencic Por ello, es muy importante + Actualizar el inventario de hardware y software, sefialando los paquetes que se tienen instalados por méquina y verificando que cada uno de éstos sté amparado por una licencia in caso de no contar con las licencias, es necesario contactar al proveedor dol software o del paquete en cuestién para actualizarlas o adquirielas lo mas pronto posible laborar un plan verificador de software, para revisar que no se instale paqueteria pirat Designar a una persona responsable del drea de informatica para guardar y tener actualizadas las licencias. omover un plan de concientizacién entre el personal con el fin de que nc instale paqueteria pirata en las maquinas propiedad de la empresa, y aplicar sanciones al personal que no acate estas medidas. Politicas de seguridad fisica del site stalaciones del site deben ser las adecuadas para asegurar el buen funcic into y la continuidad necesaria en las operaciones. Deben existir politicas que describan los aspectos de seguridad fisica minimos que ddeben de regir dentro del departamento de sistemas. Por tal motivo, durante la visita a las instalaciones se deben observar los * El acceso al site debe estar restringido por una puerta, la cual contara cor una chapa adecuada de s ad, 0 con un dispositivo electrénico de con trol de acceso. Se deben tener dispositivos adecuados de deteccién de humo, si como aspersores de calor para la extincion de incendios, ademas de cor ar con extintores icbe tener proteceién en los servidores para que no puedan ser desconec tados accidental o intencionalmente y provocar asi serios dafios al equipo. Deben existir documentos o carteles que indiquen las normas de seguridad minima que deben de observarse al estar en el site El personal operativo no debe permitir el acceso a personal ajeno al depar tamento. No debe tenerse papel para impresién dentro del site, el cual es un objete potencial de algiin desastre conTRoLEs: Cuidado del sitecartruto 5 (os equipos que se utilizan para la limpieza dentro del site no deben estar directamente conectados a la toma de corriente on la que esta tados los equipos de cémputo y los serv Los equipos eléctricos, interruptores o de comunicacidn, no deben e ance de cualquier persona Tay que elaborar politicas formales de seguridad y disefiar las caracterié as para el site, por lo que se recomienda lo siguiente Seguridad fisica del centro de cémputo. Disefiar un lugar exclusive ado para los equipos centrales. Implementar dispositivos adecuados la prevencién y extinciGn de incendios que garanticen la salvaguard: equipo e informacién que se encuentre dentro del sit Acceso al centro de cémputo, El acceso al centro de cémputo deb restringido por llaves electrénicas, chapas magnéticas, etc.; ademés, es ‘que se implemente algiin procedimiento de control de acceso pa al no autorizado a las instal mismo, se debe de real una distribucién correcta de las politicas y procedimientos de segurid fisica, con el objetivo de que el personal conozca las responsabilida: acciones que les corresponde, y con el fin de promover el cumplimien Jos objetivos y metas Plan de contingencias. Debe existir un plan de contingencias que permita g los sistema igan funcionando en caso dealgtin siniestro en caso de algun: huelga. Debe verificarse que se cumplan con todas las caracteristicas que u ncias pued asegurar que se est preparado para enfrentar imprevistos y desast documento de esta importancia requiere. Un plan de conti cualquier indole, asegurando una continuidad en la operacién de los mas de eémputo, Fjemplos de contingencias pueden ser: incendios, torme tas, inundaciones y actos vandalicos, los cuales pueden ocasionar una dist nucién en el aprovechamiento de la computadora por un periodo considers: ble. Con la importancia y dependencia que se tiene de la computadora, u perdida de informacion © la imposibilidad potencial para procesarla orig da por tuna contingencia puede ser muy significativa. Se sugiere la revisi 1n de contingencias para que contenga los siguientes controle: .cidn de funciones y entrenamiento de personal. tividades a seguir en caso de contingencias. Estudio detallado de mas probabilidad de ocurrir y los impacto: Jas que, de acuerdo con la zona geogréfica, tiene jue cada una de éstas ado d radio de tiempo e restablecimiento de op de consecuencias potenciales que se desprenderian por la inope tom identificar la aplicaciones y archivos de datos criticos para la ope cién de los servicios computacionales, asi como determinar las pra dades de restablecimiento de éstos. Se deben incluir especificacior de hardware y software, tiempo de procesamiento, programa, archi documentacin de programas y operacién. Pore de lo: dato) E gund tas, y se pu cribir tura ¢ (capt rio, p: dad ¢no debon de ben estar al ‘scaracteristi jusivo y ade- pciados para aguarda del debe estar dede realizar nridad sebilidades y tplimiento de de ss permita que Jealguna isticas que un ncas puede Uesastres de. Ade los siste- ¢o considera- yutadora, una sarlaorigina- réfica, tienen de &tas oca- o de opera mo un estti= tla inoperati- tar las priori eificaciones ima, archivos Proveer los lineamientos necesarios para el restablecimiento de ope: clones a partir de los respaldos de informacién, Desarrollo de pruebas periédicas del plan de contingencia, asi como el establecimiento de niveles de autoridad y responsabi jidades pa -2 ga rantizar el buen resultado de la prueba. Establecer procedimientos y responsabilidades para mantener el plan de contingencias. Procedi una co} nientos 0 planes ngencia, Establecimiento de pr ara la reconstruccién de los site después de -edimientos manuales de operacién por parte de los usuarios para restablecer operaciones mientra ¢ recuperan lo: Lineamientos para garantizar que dicho plan sea probado y actualiza- do periédicamente El plan de contingencias, revisado y aprobado, debe ser distribuido a cada una de las dreas de la divisién de informstica de la empresa y sexs dado a cono- era todo el personal que labora en ellas. Controt DE DATOS FUENTE Y MANEJO DE CIFRAS DE CONTROL a mayorfa de los delitos por computadora son cometidos por modificaciones de datos fuente al Suprimir u omitir datos + Alterar datos, Duplicar procesos Esto es de suma importancia en el caso de sistemas en linea, en los que los usuarios son los responsables de la captura y modificacién de Ia informacién. Por ello, se debe tener un adecuado control con fialamiento de responsables delos datos (uno de los usuarios debe ser el tinico responsable de determinade daio), con claves de acceso de acuerdo a niveles. Hl primer nive es en el que se pueden hacer tinicamente consultas; el se gundo nivel es aquel en el que se puede hacer cap el tercer nivel es aquel en el que se puede hace se pueden realizar bajas, 13, modificaciones y consul: todo lo anterior y ademas Nota: Debido a que se denomina de diferentes formas la actividad de trans: cribir la informacién del dato fuente tur o captacién, por consideraria co la computadora, sugerimos lam iiderandola como sinénimo de dig capturista, digitalizadora), anteriormente la re a de info la cap- jtalizar sponsabilidad de captura era del \ente responsabilidad de! usta rrores y consecuentemente la necesi sus controles. Ahora existen diversas forma: matica; en la actualidad es principal i, pero esto no elimina la posibilidad di d de audit de captura de la 161ponsable del control deesta informacion y aseguirese que es confiable y oporta ( primero que debemos evaluar es la entrada de la informacién 1 Io cual se puede utilizar el siguiente cuestionario, el cual esté di ra en el area de informatica, independientemente de la captura {Existen normas que definan el contenido de los instructivos de cap datos? 2. Indique el porcentaje de datos que se reciten en el drea de castactin y We que si contiene su insttuctivo correspondiente, En caso de que el u sea el responsable de la captura, debe existr un manual del usuaro, 0 ayuda (holp) dentro del sistoma, Indique el contenido de la orden de trabajo que se recibe en e! drea de cap. iacién de datos del area de Informatica Numero de folio. (_ ) Fecha y nora de entrega de Fecha y hora de recepcion, documentos y registros Nombre del documento. (_ ) captades. Volumen aproximado de (_ ) Clave del capturista registros. ( } Namero(s) de formato(s) Clave de cargo (niimero de Nombre, departamento, usuario cuonta), (| Nombre’ det responsabio. Numero de registros (_ | Fecha estmada de ent indique cual(es) control(es) interno(s) existe(n) en el rea de caplacién oe datos: Firmas de autorizacién, ( } Verifcacion de cifras de Recepcién de trabajos. ( ) control de entrada con las Revisién del documento fuente de salida lidad, veriicacién de Control de trabajos strasados. fl mmpleioe, ot.) (_ ) Avance de trabajos. Proridados de captaciin (_ ) Vesificacién Produccién de trabejo. (_ } Errores por trabajo. Cesto mensual por frabejo. (_) Gorreccion de errores. Enirega de trabajos, LExiste un programa de trabajo ce captacién de datos? 9 alabora ese programa para cada tumo? Diariamonto ( Mensuaimente ( La elaboracion del programa de trabajo se hace: lnternamente ( Se les sefiala a los usuatios las prioridades ( Se les sefiala a ios usuatios la posible fecha de entrega ( 11. Se 12. Se 13. 188 14. 1S 15. Pai©) GE programa de trabajo es congruente con el calendario de producci6n? si() n0() ConTROLES D) Indique el contenido del programa de trabajo de capiacién. Nombre de usvario. (_ ) Hora programada de entrega. ( ) Cave de trabajo. (.) Youmen estimado de Fecha programada de rogisiros por trabajo. O) recepcién. (__) Fecha programada de Hora programada de recepcién. (_) enirege. a) ) £.QU8 accion(es) se toma(n) sel trabajo programado no se reche a tierrpo? Cuando Ie carga de trabajo supera la capacicad instalada se requiere: Tiempo extra. ( ) Se subcontrata. ( ) eQuién controla las entradas de documentos fuerte? En qué forma las controla? Qué cifras de control se obtianen? Sistema Cifras que se Observaciones, obtienen {Qué documentos de entrada se tenen? Sistemas Documentos Depto. que Periodicidad —_Observaciones proporciona ‘el documento So anota qué persone recibe Ia informacién y ou volumen’ Se anota a qué capturista se entreca la informacién, ol volumen y ia hora? Se vetiica ta calidad de la informacion recibida para su captura? si 80 2Se revisan las elfras de control antes de enviarlas a captura? éPara aquetios procesos que no traigan ciftas de control se han establecido Citerios a fin de asegurar que la informacicn es completa y valida?164 ito que indique cémo tratar la informaciéa invd 16. ;Existe un procedimiento ‘orresponden las eras de contol ida? (Sin firma, ilegible, no 17. En caso de resguardo de informacion de entrada en sistemas, ,s° custodian en un lugar seguro? No 18. Si se queda en el departamento de sistemas, zpor cudnto tiempo se guard? 19. ,Exiate un regietro de anemaliae en la informacién dobido 2 mala cod! 20. ,Existe una relacién completa ve distibucion de listados, 2n la cual se ing Quen personas, secuencia y sistemas a los que pertenecen? s ‘cuerden con los documer as de las validaciones 24, {Se aprovecha adecuadamente el papel de Ios listados inservibles? | 25. i Existe un registro de los documentos que entran a captura? 26. So hace un reporte diario, semanal o mensual de captura? hace un reporte datio, semanal ¢ menaual de anomal cidn de entrada? No 28. 1Se lleva un control de la produccicn por person 29. .Quién revisa este control? jones esoritas para capturar cada aplicacién o, en su defec ion de programas? sno 80. ;Existen instruc Vease en la figura 5.1 un ejemplo del formato de mesa de con redes y comunicacién son evaluados en Ia seccicin 1 sistemas en line sistemas, y esta evaluacién debe ser confirmada con el usuario. Conrtrot DE OPERACION 2 eficiencia y el costo de la operacién de un sistema de cémputo se ven fu menteafectados por la calidad e integridad de la documentacion requerida para,tempo se gi fn a cual se indi 3s documen: Idos fos listados? tewvibtes? & informa. 0, en su defec- Figura 5.1. Mesa de control 165capiruco s DEL PROCESO Sistemas en lote el proceso en la computadora. Los instructivos de operacién proporcio normales y anormales del procesamiento, y sila documentacién es in o inadecuada lo obliga a improvisar o suspender los procesos mientrasini ga lo conducente, generando probablemente errores, reprocesos, despets datos, Debemos de considerar la operacidn de los sistemas en linea, deben de estar residentes en todo momento, con su correspondiente sist comunicacién, mientras que en cuanto a los sistemas en lote (batcl) 3 planear y programar su operacion. Para lograr esto existen instalaciones tienen equipos de computacién y comunicacién dedicados exclusi (batch), El objetivo del siguiente ejemplo de cuestionario es sefialar los procedin tos e instructivos formales de operacién de sistemas en lote (batch estandarizacién y evaluar el cumplimiento de los mismos. 1. EExisten procedimiontos formales para la eperacién dal te? 2Es0s procedimiontos describen detalladamente tanto la organizacién dell Sala de maquinas como la operacién dal sistema de cémputo? LEstén actualizados los procedimiertos? s Indique la periodicidad de le actualizacién de los procecimientos: Semestial O) Anval a) Cada vez que haya cambio de equipo () Observe la forma en que esté operando la maquina, zcémo se distrby les trabajos en lotes? {Cudl es el limite de trabajos en lotes y si se tiene ur ‘adecuado orden y control en los procesos por lotes? so Indique el contenido de los instructivos de operacién para cada apicecién Identifcacién del sistema, Periodicidad y duracin de la corrida Especificacion de formas especiales. Etiquetas de archivos de salida, nombre del archivo légico y fechas de creacion y expiracién. Inetrustivo sobre materiales de entrada y ealida Altos programados y las acciones requeridas. Instructivos especiticos para los operadores en caso de falla del equipo. Puntos de reinicio, procedimientos de recuperacisn para praceso de gran duracién 0 criterios.‘oporcionan all en situaciones entras investi vsamiento de ea, los cuales wee sistema de procedimien- de eémou acion de ta fistrbuyon Hentiticacion de todos los dispostivos de am la maquina a ser usados. () — contaoces Especificaciones de resultados (cifras de control, recistros de salide por archivo, etc.) a) Insiructives de plan de contingencia, O) Insiructives de procedimientos de recuperactén. ( 7, “Existen érdenes de proceso para cada corrida en computadora (incluyendo pruetas, compilaciones y produccion)? si! 10 Son suficientemente claras para los operadores estas 6rdenes? 9. “Existe una estandarizacién de las érdenes de proceso? sin 10. {Existe un control que asegure la justiicacon de los procesos en el compu- tador? (Que los procesos que se estén trabaiando estén autotizados ten: ‘gan una razin de ser procesados, si 10 1 éC5mo programan los operadores los trabajo dentro de la sala de méqui Primero que entra, primero que sale. ) Se respetan las prioridades. Cy Otra (espacifique). 12. gLos retrasos o incumplimiento del programa de operacién diarla, se revisa y analiza? si 10 13, ,Quién revisa este reporte en su caso? 14, «Como controtan los operadores las versiones correcias y cémo se ident Can las que son de prusba? 15. Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de maquinas, tomando on cuonta equipo y oporador, mediante una inspeccién visual, y describa sus observaciones. 16. ZExisten procedimientos escritos para la recuperacién del sistema en caso de falas? si Ho 17, {Como se actiia en cas0 de erroros? 18. LExisten instrucciones especiticas para cada proceso, con las indicaciones Pertinentes? si 10 19. {Se tienen procedimiontos especificos que indiquen al operador qué hacer cuando un programa intertumpe su ejecucién u otras dificultades en pro: eso? sl 10cartrutos 0. ,Puede el oparador mocificar los datos de entrada? @Se prohibe a analistas y otro personal ajeno al area la operacion de la ma Se prohibe al operador modificar informacion de archivos o bibfoteca de programas? ° 2EI operador realiza funciones de mantenimriento diario en dispositivos que asi lo requieran? as No zLas intervencionas da los operadores Son muy numerosas? Se limitan a los mensajes ese Oras? (especitique) ’Se tiene un conto! adecuado eobre los sitemas que estén en oper {Coma se controlan los trabajos dentro de a sala de maqui {Se rota al personal del control de informacién con los operadores, proc fando un entrenamiento cnuzado y evitando la manipulacién traudulonta de {Cuantan los operadores con una bitécora para mantener registros de cua jules evento y accién tomada por ellos? Por maqui rita manualmente eNetifcan que exssta un regis re el tiempo de paros y mantenimienio o instelaciones de softwar ft 0. zExisten procedimientos para evitar las corridas de programas no autor: sie un plan definido para el cambio de tumno de operacion que evie el descontrol y discontinuidad de ta operacion’ aw LNerifican que sea razonable el plan para coordiner el cambio de tuo? Se hacen inspecciones periédicas de muestre0? Enuncie los procedimientos mencionados en el inciso anterior.5. 4Se contiola estriclamente el acceso a la documentacn de aplicaciones mutinarias? eCbmo? eVentican que los privilegios del operador se restrinjan a aquellos que le son asignados 2 la clasificacion de seguridad de operador? {Existon procodiriontes formalise que 99 deben observar antes de que se hayan acepiado en operacién, sistemas nuevos ¢ modificaciones a les ris mos? si f. {Estos procedimientos incluyen corridas an paralela da los sistemas modii= cados con las versiones antorioros? no 8. ;Durante cuanto tempo? {Qué precauciones se toman durante el periods de impiantacién? Quien da la eprobacién formal cuando las corridas de prueba de un sist nodilicado © nuevo estén acordes con los instructivos de operacién? Mencione qué instructivos se proporcionan @ las personas que intervienen fen fa operacicn rutinaria de un sistema. Indique qué tipo de cortroles se tieneh sobre los archivos magnétices de los archivos de datos, que aseguren la utlizacion de los datos precisos en los procesos correspcndieni @Existe un lugar para archivar las bitdcoras del sistema del equipo de cSmpu: Indique cémo esta organizedo este Por fecha Por fecha y hora Por turno de operacion Otros la ullizacién sistométioa do las bitdooras? 7. zAdems de las mencionadas anteriormente, qué otras funciones 0 areas se encuentran en la sala de méquines actualmente?{Se verifica que se lleve un registro de utlizacion de! equipo diario, sistem cartruto s fn linea y Daten, de tal manera que se pueda medir la eficrencia del uso EVALUAGON ealed sw aencs €Se tiene un invertario actualizado dol total de los equips, de cu locals 4C5mo se controlan los procesos en linea? {Se tenen seguros sobre todos los equipos? ¢Con qué compania? Solictar pSlizas de seguros y verificar tipo de seguro y montos, 4C5mo se controlan las laves de acceso (password)? Se debe verificar que cl instructive 4 n contenga los siguinil datos: Diagramas Mensajes y su explicacisn. Pardmetros y su explicaci6n, Férmulas de veriticacién, Observaciones ¢ instrucciones en caso de error Calendario de proceso y de entrega de resultados, Controt DE SALIDA ofrece el siguiente cuestionario en relacién con el control de salida: So tonon copias de los archives magnéticos en otros locales? Donde se encuentran esos locales? Qué seguridad fisica so tiene en esos locales? {Qué contidencialidad se tiene en es0s locales?temas 189 del caliza- guientes 5, ,Quién entrege los documentos de salda de los procesos en lotes (batch)? CONTROLES 6. En qué forma se entregen? 7. 2Qué documentos? Sistema Documentos Aquién se Feriodicidad_Observaciones entregan 8. 2Qué controlas se tienen? Sistema Centro! Observaciones Comentarios 9. 2Se tiene un responsable (usuario) de la informacion de cada sistema en linea y en lotes (batch)? 3} NO 10. uCémo se alienden solicitudes de Informacién a ottos usuarios de! mismo sistema? 11. @8e dostruye la informacion no utiizada, o bien qué ge hace con alla? Destruye ( ) Vende { ) Tira ( ) Otro ( Controt DE ASIGNACION DE TRABAJO Esta parte se relaciona con la direccién de las operaciones de la computadora en terminos de la eficiencia y satisfacciOn de! usuario. Esta seccidn debe ser com- parada con la opinién del usuario, La funcisn clave del personal de cargas de méquina esta relacionada con el logro eficiente y efectivo de varios aspect + Satisfacer las necesidades de tiempo del usuaric Ser compatible con los programas de recepcién y transcripcién de datos Permitir niveles efectivos de utilizacidn de los equipos y sistemas de opera~ Volver la utilizacién de los equipos en linea. Entregar a tiempo y cozrectamente los procesos en lotes ({uteh) La experiencia muestra que los mejores resultadas se logran en organiza siones que utilizan sistemas formales de programacién de actividades, los cua kes intentan balancear los factores y medir resultados. Se deberan evaluar los procedimientos de programacién de cargasde méqui- na para determinar sie ha considerado atenuar les picos de los procesos gene- rados por cierres mensuales, o bien los picos de los sistemas en linea, y poder6 de trabajo de lotes dades de procesos en linea, con su Opera la sala de méquinas sobre la base de programas de trabajo? s periodos que ebarcan los programas ds Indique el puesto o departamento responsable de la elaboracién de los pro gramas do trabajo. Se comunica oportunamente a los usuarios | las modificaciones a los prog mas de trabajo? : na de trabajo de la maquina, Fallas de la maquina? Soporte de os usuarios? recuencia se asigna la computad Porcentaje, para una cola api sspecifique los elementos que sirven para programar las a programacién di tisfaga en forma eficaz al usua Asimismo, se tendré cuidado con los controle Co DE! Los di compu podria tica bir de aln didn. (borra A‘ vos ps macis U eficics El magn 1\dad a cuestio. onal, que Conrrot DEMEDIOS DE ALMACENAMIENTO MASIVO Los dispositivos de almacenamiento representan, para cualquier centro de mputo, archivos extremadamente importantes, cuya pérdida parcial o total podria tener repercusiones muy serias, no sdlo en ia unidad de informati no en la dependencia en la cual se presta servicio. Una direccién de informé: administrada debe tener perfectamente protegidos estos dispositivos acenamiento, ademas de mantener registros sisteméticos de la utiliza: cidn de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacién), principalmente en el caso de las cintas, Ademas, se deben tener perfectamente identificados fisicamente los archi vos para reducir la posibilidad de utilizacién errdnea o destruccién de la infor- Un manejo adecuado de estos ‘4 una operacin mé eficiente y segura, mejorando ademas los tiempos de proce El siguiente cuestionario puede ser extensivo a todo tipo de almacenamiento magnético; como ejemplo de formato para el anillisis de archivos, véase fi 1. Los locales asignados a alm 10s magnéticos tienen: Aire acendicionado. ) Proteccién contra el fuego (Genalar qué tivo de proteccion) Ceradura especal Otro UTienen el almacén de archives pr ‘autemitica contra el fuego? (Sefialar qué tipo.) Qué inforrracion minima contiene et inventario de la cintoteca y la disco- teca? Numero de setie 0 carrate Nombre o clave del usuario. Fecha de generacién del archivo. Fecha de oxpiracién del archivo Numero do volumen. Otras. 4, 2Se verifican con frecuencia la validez de los inventarios de los archivos5. En caso de exist discrepancia enire archivos y su contenido, se resualvel y explican salistactoiamente las discrepancias? {Qué tan frecuentes son estas discropancias? Se tienen procedimientos que permitan la reconstrucei6n de un archive et Cinta 0 disco, el cual fue inadvertidamente destruido? sno £60 tionon identificados los archivos con informacién confidencial y sec ta con claves de acceso 4como? {Existe un control estncto de las copies de estos archivos? si Qué medio se utliza para almacanarios?: Otto (especitique). Esie almacen esta stuado En el mismo edificio de la direceién de informatica En otro lugar. ‘Ambos, {82 borran los archivos de los disposttivos de almacenamiento, cuarde st desechan éstos? se eCudles? 2Se certfica la destruccién 0 baja de Ios archivos dafectuosos? SP registran como parte del inveniario los nuevos elementos magné que se reciben en la biblioteca? ss N £80 iene un responsable, por turno, de los erchivos magnéticos? 4S realizan auditorias periédicas a los medios de almacenamiento? Con qué perodiodaa?‘even cuen- to 17. ,Qué medidas se toman en el caso de extravio de algun dispositive de alma- is ‘enamienio? 18 [Se restringe el acceso a los lugares asignados para guardar los disposi vos de almacenamiento, a cargo ce personal autcrizado? © si_—No {Se tiene relacién del personal autorizado para firmar la salida de archivos confidenciales? a No 20. {Existe un procedimiento para registrar los archivos que se prestan y la fe cha en que se devolveran? 5 NO {Se lleva control sobre los archives prestados por la instalacién? En caso de préstamo, icon qué informacién se documentan? FORMATO PARA PRESTAMO Nombre de la institucién a quien se hace el préstamo. Fecha de recepcién Cy Fecha en que se debe devolver 0) Archivos que contiene Formatos. Cifras ce control Cédigo de grabacién Nombre del responsable que los presto Otros Indique qué procedimionto se sigue en el reemplazo de las eintas que con: tienen los archivos maestros. 4, El eintotecario controla la cinta maestia anterior proviondo eu uso incor to 0 su eliminacion prer ature? aM {La operacion de reemplazo es controlada por el cintotecerio? 26. {Se ulliza la poltica de conservacion de archivos hijo-padre-abuelo? 27. En los proc para recuperacion de archivos? ‘I 16 que mangjan archives en linea, Zexiston procedimiontos 28, :Estos procedimientos los concen los operadores? so 2Cémo mnsigue?29. {Con qué periodicidad so rovisan estos procecimiontos? Mensual ( Ani ( Semestral ( Ota ( 30. iExiste un responsable en caso de falla? 31. Exolique qué politicas se siguen para la obtencién de a 32, yExiste un procediriento para el manejo de la informacion de la cintotec 3. 4Lo conece ¥ lo sigue ol cintotecario? om {Se distrbuyen en forma periodica entre los jetes de sistemas intormes archivos para que liberen los dispositivos de almacenamiento? Con qué frecuer El objetivo del cuestionario es evaluar la forma como se administran il dispositivos de almacenamiento basico de la direccién. Al seftalar archi magnéticos nos referimos a cintas, discos, disquetes, CD, DVD y cualquier a medio de almacenamiento masivo de informacién Controt DE MANTENIMIENTO Existen basicamente tres tipos de contrato de mantenimiento. El contra mantenimiento total, que incluye el mantenimiento correctivo y preventiv cual a su vez puede dividirse en aquel que incluye las partes dentro del cont toy el que no las incluye. El contrato que incluye refacciones es propiamen como un seguro, ya que en caso de descompostura el proveedor debe prop cionar las partes sin costo alguno. Este tipo de contrato es normalmente el ma caro, pero se deja al proveedor la responsabilidad total del mantenimie excepcidn de daiios por negligencia en la utilizacién de los equipos. Estet de mantenimiento normalmente se emplea en equipos grandes.) I segundo tipo de mantenimiento es “por llamada”, en el cual se llama proveedor en caso de descompostura y éste cobra de acuerdo a una tarifayd tiempo que se requiera para componerla (casi todos los proveedores incluy en la cotizacién de compostura el tiempo de trasiado de su oficina a donde encuentre el equipo y viceversa), Este tipo de mantenimiento no incluye rela El tere: aquel en el una cotizac refacciones tadoras pet Aleval poseselqu con detalle fividad y a) tos que sea Para p control sob Para ev pueden uti 1. Espe dat c EK sister . e8e! |. CEM Silo: 2ay6 Solic pore ex autoan los jer otro to de 0, el contr amente sropor fento a ama al fa y al refac: aquel P qui tercer tipo de antenimiento es el que se conoce como “en b enelcual el cliente lleva a las oficinas del proveedor el equipo, y éste hace tizacidn de acuerdo con el tiempo necesario para su compostuira, mas las, jones (este tipo de mantenimiento puede set el adecuado para compu: tsloras personales), Alevaluar el manter niento debemos primero analizar cual de los tres ti talle que las cléusulas estén perfectamer haya penalizacién en caso de incump lefinidas, que no exista subje imiento, ps ‘a poder exigir el cumplimiento del contrato se debe tener un esiricto control sobre las fallas, la frecuencia y el tiempo de reparaci6n. control que se tiene sobre el mantenimiento y Tas fallas se » evaluat el “1 utilizar los siguientes cuestionario ue el tivo de contrato de mantenimiento que se tiene (scliciter copia to) 2Existe un programa de mantenimiento preventivo para cada dispositive del Sistema de cémputo? Ss MO Se lleva a cabo tal programa? 2Existen tiempos de respuesta y de compostura estipulados en los contratos? aN Silos tiempos de reparacién son superiores a los estioulados en el conirato. qué eecionas correctivas se toman para ajustarios a lo convenido? Solicite el plan de mantenimiento preventivo, que dabe ser proporcionado por el proveedor. {GExlsto algtin tipo do mantonimionto preventive que pueda dar el operador fautorizado por el proveedor? eer) ecual? {Céme se netiican las falias? 7Cémo se les da sequimiento? CONTROL DE FALLAS. 2Se mantionen registros actualizados de las fallas de los dispositivos del sistema de cémputo y servicios auxiiares (aire acondicionaco, sistema de fenergia inintertumpida, etoétora)? as No (oleitar los registros de los Litimos seis meses.) de mantenimiento dir los contratos y revisar a evitar contraFigura 5.2. Andlisis de archivos cariruto s FUNGION ostauiros || NOMBRE DEL ARCHIVO. r TIPO DE A DESCRIPCON. EN VIGOR DESDE 3 CLASFICADO POR DOCUMENTOS 0 INFORMES A 0 RECOPLO evs Eva PAGINA Pn, dad to pr laci que trolWUT tess) Es posible identiticar por medio de estos registros los problemas més fecurrentes 0 las fallas mayores que afectan en forma determinante el lurcionamiento de la sala de méquinas? st {0omo se identiican? Tiempo de respuesta promedio que se ha tenido con el contrato de manteni miento (tiempo de respuesta es el periodo entre la notficacién o aviso de la existencia de un problema y la llegada del personal técnico que realizé les reparaciones del equipo). {Cuéles son las actitudes de las ingenieros de servicio que mantienen sus oquipoc? \Cuél considera que es la competencia técnica de los ingenieros de servicio ‘que dan manterimiento a sus equipes? Por qué? {.Cuél es e1 tiempo promedio que toma investigar y resover el problema? {.Cuél es la disporibilidad de retaccionas necesarias para dar manterimrion to a sus equipos? {Cua ¢s la efectividad del proveedor para resolver sus problemas de mante himiento? 8. gOuales son las mecidas de mantenimiento prevento realzadas al dar ser- Vicio a su equipo? {.0ul es on goneral la calidas de los servicios ofrecidos bajo su “Contrato de mantenimiento"? Evaluacién del mantenimiento Cuando se evaltia la capacidad de los equipos, no se debe olvidar que la capac ividades de mantenimien- insta- dad bruta disponible se debera disminuir por las a 0 preventivo, fallas internas y externas no previstas, y mantenimiento ¢ nnta a evaluar, mediante los controles El enfog ta seccién se ori n del sistema de cémputo. Un con- que se tengan en la direccién, la utilizaci ol adecuado permitird sustentar sélidamente cualquier solicitud de expan sién de la configuracién presente. Se debe tener control de las fallas y del100 mantenimicnto no sélo del equipo central, sino del total de los equipoail DecoMuTS —_ 1. Indique los registros que se llevan de la utlizacién del sistema de cémputé (especificando la pariodici Tiempo de prueba de programas, Tiempo dedicado a produccién. Tiempo dedicado a mantenimionto correctivo del sistema operativo. ( } Tiempo dedicado a mantenimiento preventivo. Tiempo de falla de los dispositivos del sistema de cémputo. Tiempo de uso do cada unidad de cinta Tiompo ocioso. Tiempo de uso de impresora. Tiempo de reproceso, Tiempo de la computadora utiizado en demostraciones. Tiempo de falla por servicios auxiiares 2. Anote los siguiontes datos: Tiempo promedio de operaciones por dia. hs = 5 Tiempo promedio de respuesta para programas de produccion Numero promedio al dia que se consideran como heras de produccién. Numero promedio de trabajos en cola de espera de ejecucion en nor. 6 Nimero promadio de trabajos an cola de espera de impresién en horas pico Numero promedio de trabajos de ejecucién en horas pico. Evaltie la relacién de usc de imprasoras respecto a la mezcla de trabajo Determine si se debe: u + Incrementar el nimero de impresoras. t * Restaurar las cargas de trabajo. ( * Utilizar otro tipo de salidas (diferentes a impresoras). ( a * Utlizar impresora de mayor velocidad r + ZEs excesiva el volumen de impresion?. 8 10 En caso de contestar si, sefiale las causes: Reportes muy largos. i 9 Reportes no utlizados. Procesos en lote que deben est Otros (ospocificar cusles)pos, in- cin y + Espocificar el existen procasos que debon cambiarse de hatch a linea 0 4. Eval le utlizacion del sistema de computo a través de las siguientes rela: Siel tiempo ocioso excede el 35%, El equipo insialado puede estar sobrado de cepacidad para la carga de t bio actual Siel tiempo de martenimiento al equipo sobrepasa el 5% So doherd exigi al proveedor que mejore la calidad de soporte de manteni miente ‘cl tiempo do falla dol sietoma do odmputo os mayor al 5%. Se lo deberd exigir la reparacién y dieminucién do los tiempos do falla al proveedar Nora: Estos son solamente ejemplos de factores que pueden obtenerse, los ‘cuales pueden ser ampliacos, y los porcentajes dependeran det ipo de equ po y la experiencia que se tenga. (Esta seccién esta orientada a revisar las acciones que tealiza la dreccén de informatica para evaluer, martener y auditar los sistemas implantados.) Indiquo qué tipo de evaluscisn s9 realiza a los sistemas implantados: Ninguna, ) De otjetivos. ) Econémica. ) De oportunidad. ) De beneficios ) De opetacién, i Otros (espactticar). ( ) 6. Indique qué instruciivos se elaboran: Interno del sistema (help). ( ) De captacion Dol usuario. () De operacién. Otros (especiticer). () 2QUé porcentaje del personal de programacion se dedica a dar manteni- Tmiento a los sistemas existentas? ZEl responsable del Area de produccin formula las estadisticas de utiiza- Sién de equivos, mostranda la frecuencia de fallas de los mismos y las esta isticas de produccién por eplcacisn? (Espocfique cémo se realiza y dé un ejemplo.) ai (NO. En que porcentaje se cumplen los calendarios de produccicn? Existen:rogramadores que utilizan el equipo o el tiempo para aplicacionesiig ana: a la organizacién EVALUAGION Personal que utiliza la computadora para trabajos personales, trabsjo EL Phoceso autorizados o juegos. Programas que, por estar mal elaborados (generalmente cuando set grandes archivos), degradan la maquina, Degradacién del equipo por allas en equipos periféricos. La computadal puede considerarse como un proceso en linea el cual, al fallaralguna dell unidades principales (memoria, unidad central), no permite la utilizacié del resto del equipo. Pero existen unidades secundarias (cintas, impresoras terminales, discos) que al fallar provocan que se vea reducida la posibii dad de utilizacién del equipo L Eiempio Si tenemes una moresora y s2 descompone, un alto porcentaje de utiizacion Gel equipo se ve aismruida, aunque é! proveador eonsidere que solo una unidad secuncara fue la dafade, Lo m’smo sucece s\ se tienen dos unidades Ge disco y se descompore una (en caso de tener sélo una unidad de discos, fa fala os total). Para controlar este tipo de degradadién se puede tener un reporte que Dispositivo que integra la configuracién del equipo (por ejemplo, cinta disco, impresora). Niimero del dispositivo; si tenemos por ejemplo 2 cintas, se anota 1 y2, dependiendo de cual fue la que fall6. Tipo de falla. Se anotaré una buena descripciOn del tipo de falla, paralo cual se puede elaborar un catélogo. Porcentaje de degradacién, Este dato deberd ser anotade por lo ponsables de la direccion de informatica basdndose en la experiencia y en las implicaciones que tenga en el sistema total (por ejemplo, sis tienen 2 unidades de disco la degradacién es del 50%, si se descompo: nen las doses el 100% y si se tiene slo una, también el 100%; en el caso de la impresora si se tiene s6lo una puede ser el 66.5%, ete. Nuimero de horas que duré la falla, desde el momento de la descom: postura hasta el momento en que la entregue reparada el proveedor Orpen EN EL CENTRO DE COMPUTO Una direcci6n de informatica bien administrada debe tener y observar reglas relativas al orden y cuidado de la sala de maquinas. Los dispositivos del sis ma de cémputo y los archivos magnéticos pueden ser dafiados si se manejanen orma inadecuada, lo que puede traducirse en pérdidas irreparables de infor maci6n 0 en costos muy elevados en la reconstruccién de archivos. Por ello, se deben revisar las disposiciones y reglamentos que coadyuven al mantenimien: Cuidado de ta to del orden dentro de la sala de miquinas sala de méquinas EI siguiente cuestionario ayuda a evaluar el orden que existe en Ia sala de méquinas.b wade las lizacién posibili tes para lo los res compo- relcaso 183 Indique la periodicidad con que se hace la impieza de la sala de méquinas y de la cdmara de aire que co encuentra absjo del piso falsoy los ductos de aire: EVALUACION Semanaimente ) —— Quinconaimente ) 7 Mensualmente. ) Bimestralmente. ) No hay programa, ) Otro (especifique). ) Existe un lugar asignade a las cintas y discos magneéticos? sino 4Se tiene asignado un lugar especifico para papeleria y utensiios de tra- bajo? si NO Son funcionales los muebles asignados para la cintoteca y discoteca? si ND 5. 2Se tienen disposiciones para que se acomoden en su lugar correspondien- te, después de su uso, las cintas, los discos magnéticos, la papeleria, tes. tora? tN Inaque fa periocicidad con que se limpian las unidades de cinta Al cambio de tuo ) Cada semana i ( o) tra (especticar. (_) 2Existen prohibiciones para tumar, tomar alimentos y refrescos en la sala de maquinas? sD ¢Se cuenta con earteles en lugares visiblee que reauerdon dicha prohibicién? 9, {Se tiene restringida la operacién del sistema de cémputo unicamente al | personal especializado de la direcoi6n de informética? si ND 10. Mencione los casos on que personal ajeno al departamento de operacién opera el sisiema de computo, 11. Evalie los niveles de iluminacién y nuido y sefale cuando estén fuera del rango estipulade on los estindares. Evavuacion DE LA CONFIGURACION DEL SISTEMA DE COMPUTO Los objetivos son evaluar la configuracisn actual, tomando en consideracién las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el tivo satisface las necesidades de la instalaciGn y revisar las cual el sistema oppoliticas seguidas por la unidad de informatica en la conservacién desu pre Esta seccidn estd orientada a Evaluar posibles cambios en el hardware a fin de nivelar el sistema de jl cémputo (computadoras, unidadles periféricas, redes, sistemas de comuti: jl caci6n) con la carga de trabajo actual, o de comparar la capacidad instalad con los planes de desarrollo a mediano y largo plazos. Evaluar las posibilidades de modificar el equipo para reducir ¢ ien el tiempo de proceso Evaluar la utilizacién de los diferentes dispositivos periféricos. Ofrecemos el siguiente cuestionario, que sirve para hacer esas evaluacione 1. De acuerdo con ios tiempos de utiizacién de cada dspositivo del sister compute, Zexiste equipo: Con poco uso? Ocioso? Capacicad eupetior a la n Desciiba cual es: ZEI equipo mencionado en el inc'so anterior puede reemplazarse por oto mas rapido y de menor costo? si 4EI sisterra de cémputo tiene capacidad de red? So utiliza la capacicad de rod? 5. En caso negativo, exponga los motives por los cuales no se utiliza la red. Especifique qué sistema de comunicacién se tiene, {Cudntas terminales, computadoras personales, periéricas, se tianan ectadas al sistema de cémputo? Cantidad Tipo £Se ha investigado si el tempo de respuesta satisface a los us Indique si existen politicas para aplicaciones soportadas en red Tamaio maximo de programas Namero de archives. Tamafio maximo para cada archivo. Nivel de acceso, 2Elalmacenamiento maximo del sistema de cmputo es suficiente para der el proceso por lotes y en linea?progra- P 185 2. Vertigo @ oxsincia de un pronto de cagas 0 rabaes quo $e elect tan cart el fo, cone objeto de quo se prevean os pcos en las cavans cones de abajo yee puedan dstibuadecuadarione exes Sons ado 2,480 tone un pregiama de taboo aio? {Semona? Arua? predcin? 6, Vertque quo so contomplon dentro de planes de producin peodon do 6. Ventique que se dsponga de espaco y tiempo para realizar cortidas espe- ciales, corridas de prueba de sistemas en desarrolio y corridas que deben ropetirse. Verifique que se tengan definides el espacio y el tiempo para of respaldo de la informecién. &, Vernifique at equipo de comunicacion, caracteristicas, numero de usuarios y tiempo de respuasta que se cbtiene en un proceso normal, 9. {Se tiene una programacién de| mantenimiento previo? si ko 10. {Se tiene un plan definido de respakle de la informacion? sino 11, £Se revisa el cumplimiento de los programas de produccién establecidas? 12. Verfique que se tenga conocimionto do los préximos sistemas que entr {en produccién, con abjeto de que se programe su incorporacién. 18. .Quién revisa estos planes? 14. {Se cumplen generaimonto ostos planos? Si no, oxplique por qué 15, :Se repiten con frecuencia corridas por anomalias? si Noaa 16. Indique los estandares de produccion que se tienen en 1a direccion o& CAPITULO s Iniormatica, /ALUAGIC Por tipo de equipo ( ) Por plataforma ( ) ZExisten indices de error aceptab les para cada tipo de 18. gCuindo fue la titima revisién de eacs esténdares? 19. ZI personal de captacion conoce esos estandares? 20. Indique Jos medios utiizados para medi’ la eficiencia de los operadores de captacién. Estadisticas Estadisticas mensuales de produccién por trabajo y por operador. menéualos do error por trabajo y por cpereder. Estadisticas mensuales de produccién por trabajo. Estadisticas mensuales de error por tabalo Estadisticas de procuccisn por trabajo y operador por hora. ( Otros (espectican, 21. Indique qué medida(s) se toma(n) cuando el randimianto para un trabejo oslt abajo del estandar: Se coneulta @ los operadores sobre les problemas observados nel trabajo, Se capacitan los operadores sobre el manejo del equipo. fe Imparten platicas sobre el trabajo. ) Otros. ) 22. 2Se tienen i esténdar? ntivos para el personal que tenga un rendimiento superior al 23. ,Cada cudndo se imparton curses de capacitacién sobre la operacién ds equipo? 24. 2Se registran los tiempos de respuesta a las solicitudes? sino 25. ,Cual es el tiempo de respuesta promedio? Puntos A EVALUAR EN LOS EQUIPOS | | equipo que se adqui esquet dentro de una organ ia de adquisicidn de toda la oF -quiipes zacién debe de cumplir con nizacién. En lo posible, se deben ton -Andares dentro de la orgai izacién, a menos que por requerimient especificos se necesite un equipo con caracteristicas distintas. Estono implicaque los equipos tengan que ser del mismo proveedor, aunque si deben tener la misma filos« gan prob cada lose: requt tador equi tado: facto 1 de di: requi tes p’ L eval equi depe talen tador E publi con F vents E costo: tador pode: estar nefici actua Rent Las a pra, 0 jas y espec superclon de bres do Bio esta sion del dlir con el ‘ben tener vrimientos rplica que plica qi lamisma flosoffa. Las compras por impulso u oportunistas pueden provocar que se ten- gan diferentes equipos, modelos, estructuras y filosofias. Esto puede provocar Fr Je compatibilic Sino se tienen politicas y esténdares de compra de equipos de cémputo, mento o empleado puede decidir el adquirir diferentes equipos, hos cuales pueden no ser compatibles, o bien el conocimiento y entrenamiento Jemas de falta én y de confianza expan: ada depar nquerira de mayor tiempo y costo, La conexién de un tipo de terminal o comput tadora personal a una computadora principal (i equipo o de software adicional. Los sistemas elaborados F ) puede requerir de ara un tipo de compu- tudora pueden no servir en otro tipo de maquina. El mantenimiento es otro factor que puede incrementarse en caso deno tener compatibilidad de equipos, Tener diferentes plataformas de programacisn, sistemas operatives, base de datos, equipos de comunicacién y lenguajes propietarios, provoca que se incrementen los costos, que se haga mas problematico el mantenimiento, que se requiera personal con diferente preparacién técnica, y que se necesiten diteren- tes programas de capacitacir La posibilidad de que se pueda expandir un equipo es otro de los factores a evaluar. Al crecer una organizacién, es muy probable que se requie 's répidos. Esto es de mayor impor equipos también crezcan y sean n dependiendo del tamafo de las computadoras, ya que es un factor fundamen- talen los grandes equipos y de relativamente poca importancia en las compu: tadoras personales, debido a que no es tan alto su costo de reer se cambia 0 se compra una computadora por el factor En muchas ocasior publicitario, sin que se tenga la evaluacidn real de los equipos, o bien se adquie- ren equipos (principalmente computadoras personales) que son ensamblado: con partes de diferentes proveedores a costos muy bajos. Se deberd evaluar la ventaja de adquirir lo ultimo en tecnologia, contra el costo que esto representa, asi como el tener equipos muy baratos pero con baja confianza en el proveedor. En la actualidad cada dia las computadoras son més poderosas y menos costosas, y las organizaciones también cada dia dependen més de las compu- tadoras, asi es que existe la tendencia de comprar cada dia computadoras mas poderosas, sin considerar que en el futuro existiran computadoras mas podero- La dacisién de adquirir o cambiar una computadora debers estar basada en un estudio muy detallado que demuestre el incremento de be- neficios en relaci6n con su costo, y en la relacién costo /beneficio de los equipos actuales. Renta, renta con opcién a compra o compra Las computadoras y el software pueden rentarse, rentarse con opcién a com- pra, comprarse, ¥ ¢ > del software, producirse. Cada una tiene sus venta jas y desventajas, y es funcién del auditor el eveluar en cada instalacién en especifico por qué se escogié una opcién, y si las ventajas que se obtienen son superiores a sus desventaja: El auditor deberé evaluar {Existe un comité de compra de equipo? © (Quien participa en el comiteé? + GExisten politicas de adquisicidn de eq 187 Adquisicién de equips¢Cémose determina el proveedor del equipo? {Cémo se evaltian las propuestas de instalacién, mantenimiento y enlrei 2Cémo se evaltia el costo de operacién y el medio ambiente requerido pa cada equipo? {Se evaltian las opciones de compra, renta y renta con opcién a compra Ventajas © Renta Compromiso Menor riesgo de obsolescencia. No requiere de inversién inicial. * Renta con opeién a compra: Menor riesg No requiere de inversién inicial. Se puede ejercer la opcién de compra. Los pagos normalmente incluyen servicios. Menor costo que renta. © Compra! Se puede tener valor de recuperacién Normalmente es menor su costo que el de compra a largo plazo. Desventajas + Renta: © Mas caro que compra o renta con opeién a compra El equipo puede ser usado. Algunos vendedores de equipo no lo rentan, ‘+ Renta con opcién a compra Fs més No ti valor de recuperacién para el comprador. + Compra: Requiere de inversion inicial 0 de préstamo. Amarra al comprador a su decision El comprador debe conseguir u obtener servicio de mantenimiento, Centralizacion vs. descentralizacion El tener equipes en forma centralizada o descentralizada puede tener ven y desventa indiendo del tipo de organizaciSn. El auditor debers evalu a Ia organ organizac este punte computad Centraliz, Descentr Vent1 organizacidn y la justificacién que se tiene para que en una determinada 189 trena. izacién se tengan equipos en forma centralizada o descentralizada. En unto se evalian las grandes computadoras ¢ instalaciones, eliminando las ara computadoras personales, ya que éstas deberan estar descentralizadas para cada Centralizacién + Ventajas: Economia de escala Acceso a grandes capacidades. Operaciones y administracién mas profesionales. Accesos muiltiples a datos comunes. Seguridad, control y proteccién de los datos Un mejor reclutamiento y entrenamiento del personal especializado, Una mejor planeacién de la carrera profesional del personal de infor Control astos de informa Estandarizacién de equipos y de software + Desventajas: Falta de control de los usuarios sobre el desarrollo y operacién de los La responsabilidad del desarrollo de los proyectos esté limitada a un selecto personal Posible frustracién dentro de la organizacién por desconocimiento de los cambios en los servicios de informitic Descentralizacién de procesamiento de datos * Ver ! Autonomia local y control por parte d Mayor responsabilidad ante Reduccién de los costos de telecomunicacin. Acceso inmediato a las bases de datos descentralizadas Los analistas de sistemas locales tienen mayor atencién a las necesida: des de los usuarios. Oportunidad de crear una carrera profesional dentro de las dreas fun ionales de los usuarios, Consistente con la descentralizacién establecida dentro de una estru tura corporativa © Desventajas: Pérdida de control gerencial central Posibilidad de incompatibilidad de datos, equipos y softwar Posibles errores para seguir los estandares de sistemas dentro de las ajas practicas de desarrollo,Evaluacion de la seguridad CAPITULO. Osuetivos Al finalizar este capitulo, usted: 1. Conoceré la importancia de salvaguardar la integridad de la inforr se almacena en una computadora, 2. Explicaré por qué es importante conservar la integrided, disponibilidad 3. Entenderd que un buen centro de cémputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal. 4. Desoribird las politicas, procedimientos y praclicas necesarios ner la seguridad fisica de un centro de computo. 5. Conocera los distintos tipos de dafios que provocan los virus on las computadoras, y las manera: 6. Definira las caracteristicas de los seguros exis gos relacionados con los equipos de cémputo. 7. Explicara qué elementos deberdn considerarse para tener uni jon que nfidencialidad y Je los sisiemas de informa lentes para er rentar los ries guridad en el uso de los equipos y sistemas, asi como en su restauracién,Delitos Por computadora as computedoras son un instrumento que estructura gran cantidad dein macion, la cual puede ser confidencial para individuos, empresas o inst nes, y puedeser mal utilizada odivulgada. También pueden ocurrit robo al des 0 sabotsjes que provoquen la destraccién total o parcial de la ac sta informacién puede ser de suma importancia, y no tenerla en ela prec provocar retrasos sumamente costosos. Ante ests cién, en el transcurso de este siglo el mundo ha sido testigo de la transfoms cidn de algunos aspectos de seguridad y derechc esia organizacion estuviese nuevamente en operacion? El centro de comp puede ser el activo mas valioso y al mismo tiempo el mas vulnerable n la situaci6n actual de eriminclogia, en los delites de “cuello blance'd acluye la modalidad de los delitos hechos mediante la computadora oles s mas de informacisn, de los cuales 95% de los detectades han sido descubiatl por accidente, y la gran mayoria no han sido divulgados para evitar darida circunstancias tradicionales del crimen, Muestra de ello son los fraudes caciones y venta de informacién hechos a las computadoras © por medidl éstas. Existen diferontes estimaciones sobre el costo de los delitos de cucllo bi co, las cuales dependeran de la fuente que haga estas estima, q todos los casos se considera que los delitos de cuello blanco en Estados Uni superan los miles de millones de délare Durante mucho tiempo se consider que los procedimientos de audio seguridad eran responsabilidad de la persona que elabora los siste siderar que son responsabilidad del area de informitica en cuanto cidn de los sistemas, del usuario en cuanto a le utilizacién que si nformacion y a la forma de accesarla, y del departamento de auditoria int en cuanto a la supervisiGn y disefio de los controles necesarios. a seguridad del drea de informatica tiene como objetivo: Proteger la integridad, exactitud y confidencialidad de la informaci Proteger los activos ante desastres provocados por la mano del hombal de actos hostiles Proteger a la organizacién contra situaciones externas como desastres i ales y sabotajes nn caso de desastre, contar con los planes y politicas de contingencis pil lograr una pronta recuperacién Contar con los seguros necesarios que cubran las pérdidas econdmicat caso de desastre Los motivos de los delitos por computadora normalmente son por Beneficio personal. Obtener un beneficio, ya sea econdmico, politico sll 0 de poder, dentro de la organizacion. Beneficios para la organizacién, Se considera que al cometer algtin dello omputadora se ayudar al desempeno de la organizacién e rrabaja, sin evaluar sus repercusiones.1 de infor: institucior 0s, frau actividad) en el mor esta situa ansforma- cSmputo nlossiste. scabiertos jarideasa ficado las os, falsifi- medio de uelloblan o¢ Unidos, uditoria y bo ledéa la ‘a interna hombre y stres natu nicias para tico social + Sindrome de Robin Hood (por beneficiar a otras personas). Se estén hacien~ do copias ilegales por considerar que al infectar a las computadoras, 0 bien alalterar la informacién, se ayudaré a otras personas. Jugando a jugar. Como diversidn o pasatiempo. Ficil de desfalca B individuo tiene problema La computadora no tiene sentimientos. La compatadora es una herramien- ta que es facil de desfalcar, y es un reto poder hacerlo. + El departamento es deshonesto, * Odio a la organizacion (revancha). Se considera que el depastamento o la organizacién es deshonesta, ya que no ha proporcionado todos los benefi- cios a los que se tiene derecho. + Equivocacion de ego (deseo de sobreselir er + Mentalidad turbada. Existen individuos con D3 que ponen su nom reconocimiento. Iguna forma) roblemas de personalidad que us un reto y una superacién, los cuales llegan a ser ven en elabor tan ci y direccién en el virus, para lograr ese adad En la actualided, principalmente en las computadoras personales otro factor que hay que considerar: el amado “virus” de la: cual, aunque tiene diferentes intenciones, se encuentra principalm quetes que son copiados sin autorizacién (“piratas”) y borra toda la inform: cidn que oe tiene en tun disco Se trata de pequenas subrutinas escondidas en los programas que se ecti- van cuando se cumple alguna condici6n, por ejemplo, haber obtenido una co- sha o situacién predetermin: puesto por los diseRiadores de algtin tipo de pro- Jar” aquienes lo roban 0 Cop anza en contra de la organizacion. (En la actua a detectar lo ) Existen varios tipos de virus pero casi todos acttian como “ceballos de ‘ova’, es decir, se encuentran dentro de un programa y acttian con determina: indicacién Un ej fa USPA & IRA de Forth Worth. Cuando despidieron a un programador en 1985, éste dejé incidente provocé el primer juicio en Estados Unidos contra una persona por sabotaje @ una computadora ‘Al auditar los sistemas, se debe tener cuidado q ratas” o bien que, al conectamos en ted con otras posibilidad de transmisién del virus, También se toma como pretexto el virus y se producen e nto de una falla de la computad primero que se piensa es que estan infectados. inte en pa- pia en forma ilegal, y puede ejectitarse en una di. El virws normalmente grama (software) para “castig bien por alguna actitud de ver lidad existen varios productos p jan sin autorizaclono mplo e3 la destruccién de la informacién de la compa un, nente a informacidn de las ventas. Este brutina que destru je no se tengan copias “pi- omputadoras, no exista la jebe cuidar que eno sctos psicolgicos en los usua- rios, ya que en el mom considera que hay cinco factores que han permitido el incremento en los crimenes por computadora’ + Elaumento del ntimero de personas que se encuentran estudiando compu- tacion. 193 Los virus,E] aumento del mimero de empleados que tienen acceso a los equips facilidad en el uso de los equipos de cémputc incremento en laconcentracién del mimero deaplicaciones y, consecutil mente, de la informacion. lincremento de redes y de facilidades para utilizar las computador il cualquier lugar y tiempo uyen une posibilidad de uso con fines delictive so inadecuado de la computadora comienza desde la utilizacion deta je mSquina para usos ajenas al de la organizacién, Ia copia de progeanl 50 por via telefénica a bases de datos a fin de modificar la informaciin am >ropésitos fraudulentos, Estos delitos pueden ser cometidos por persorasail En la actualidad las compafiias cuentan con grandes dispositives pal seguridad fisica de las computadoras, y se tiene la idea que los sist s0 de la seguridad ante incendio 0 robo, que “eso no me puede suceder ail plejos que nadie fuera de su organizacidn los va aentender y noles van ase Pero en la actualidad existe un gran niimero de personas que puede capi asar la informaciGn que contiene un sistema y considerar que hacer estos cn n segundo ingreso. También se ha detectado que el mayor ntimero de fraud destruccién de informacion o uso ilegal de ésta, provienen del personal inte Je una organizacién, También se debe considerar que gran parte de los fraud hechos por computadora o el mal uso de ésta son realizados por personal del En forma paralela al aumento de los fraudes hechos a los sistema computarizados, se han perfeccionado los sistemas de seguridad tanto isi como l6gica; la gran desventaja del aumento en la seguridad l6gica es que equiere consumir un ntimero mayor de recursos de eémputo para lograr mi sna id6nea seguridad, lo ideal es encontrar un sistema de acceso adecuadoill el de seguridad requerido por el sistema con el menor costo posible. Enlig Jesfaleos por computadora (desde un punto de vista técnica), hay que len cuidado con les “caballos de Troya” que son programas a los que se les encaja ‘utinas que seran activadas con una senal especifica. Securivap LOGICA Y CONFIDENCIALIDAD a seguridad légica se encarga de los controles de acceso que estan para Salvaguardar la integridad de la informacion almacenada ee2Q ROR oe auiipos, \secuente= adoras en: nde tiem= tael ace icin. con, ' para la temas no mo en el tera mio aptar y raudes, llinterno sfraudes mal de Ja ae ) asi como de controlar el mal uso de la informacién. Estos controles re den el riesgo de caer en situaciones adversas Se p lacementa el potencial de la org; fu ésta sea utilizada en forma inadecuada fisminuida su defensa ante competidores, el crimen organizade, personal des- je decir entonces que un inadecuade control de acceso légico izacin para perder informacién, o bien para asimismo, esto hace que se vea kel violaciones accidentales. La seguridad légica se encarga de controlar y salvaguardar la informacién femerada por los sistemas, por el software de desarrollo y por los programas.en iplicacicn; identifica individualmente a cada usuario y sus actividades en el stema, y restringe el acceso a datos, a los programas de uso general, de uso epecifico, de las redes y termninales. La falta de seguridad logica o su violacién puede traer las siguient tuencias a la organizacién: ada a la computadora. + Cambio de los datos antes o cuando se le da * Copias de programas y/o informacion. + Cécigo oculto en un programa. + Entrada de virus. stros, y seguridad ldgica puede evitar una afectacién de pérdida de re ayuda a conocer el momento en que se produce un cambio 0 fraude en los sis- temas, tipo de seguridad puede comenzar desde la simple Tlave de acceso (con- tmsefia 0 password) hasta los sistemas més complicados, pero se debe evaluar que cuanto més complicados sean los dispositivos de seguridad més costosos resultan. Por lo tanto, se debe mantener tina adecuada relacién de seguridad cesto en los sistemas de informacién (os sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. La in- troduccién de informacién confidencial a la computadora puede provocar que la en manos de unas cuantas personas, por lo que existe éta esté concentra ncia en caso de pérdida de los registros. El mas comuin de una alta depend estos delitos se presenta en el momento de la programacién, en el cual medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al mo- mento de programar un sistema de némina se puede incluir una rutina que verifique si se tiene dentro del archivo de empleados el registro federal de causantes del programador. En caso de existir, contintia el proceso normal nador que elabors el sistema renun- mente; si no existe significa que el progr cié 0 fue despedido y en ese momento pudo borrar todos los archives. Esta rutina, aunque es facil de detectar, puede provocar muchos problemas, caso de que no se tenga los programas fuente o bien que no se encuentren debidamente documentados. También en el caso de programadores honestos, en forma no intencional, se pueden tener falas o negligencia en los sistemas, La dependencia de ciertos individuos clave, algunos de los cua: les tienen un alto nivel técnico, comtinmente pone a la organizaciGn en manos de unas cuantas personas, las cuales suelen ser las tinicas que conocen lo sistemas debido a que no los docume 195 SEGURIDAD LOGICA Y CONFIDENCIALIDADControt de acceso Tipos de usuarios Un método eficaz para proteger sistemas de computacién es el soil control de acceso, Dicho de manera simple, los paquetes de control dea protegen contra el acceso no autorizado, pues piden al usuario una conti antes de permiticle el ‘a informacidn confidencial. Dichos paquets sido populares desde hace muchos afies en el mundo de las computedorasga des, y los principales proveedores ponen a disposicién de los clientes algun estos paquietes, Sin embargo, los paquetes de control de acceso basados nai tuaselias pueden ser eludidos por delincuentessofisticados en computacinpil lo que noes conveniente depender de esos paquetes por si solos para tenet seguridad adecuada. integral de seguridad debe comprende: Flomentos administratives Definicién de una politica de seguridad. Organizacion y divisién de responsabilidades. Securipap LOGICA Uno de los puntos més importantes a considerar para poder definir la sg dad de un sistema es el grado de actuacién que puede tener un usuario den de tn sistema, ya sea que la informacién se encuentre en un archivo nor ‘en una base de datos, o bien ques posea una minicomputadora, o unsiteal en red (interna o externa). Para esto podemos definir los siguientes tipaslt Propietario, Es, como su nombre lo indica, el duefo de la informaci responsable de ésta, y puede realizar cualquier funcién (consultar, modi car, actualizar, dar autorizaciSn de entrada a otro usuario). Es respons de la seguridad Idgica, en cuanto puede realizar cualquier accién y pul autorizar a otros usuarios de acuerdo con el nivel que desee cartes, Administrador. Sdlo puede actualizar 0 modificar el software con la debi autorizacién, pero no puede modificar la informacién. Es responsable dell seguridad l6gica y de la integridad de los datos. Usuario principal. Esta autorizado por el propietario para hacer modifi ciones, cambios, lectura y utilizacidn de los datos, pero no puede dar aul rizaci6n para que otros usuarios entren Usuario de consulta. Sélo puede leer la informacién pero no puede moti carla Usuario de explotacién. Puede leer la informacién y utilizarla para expla cin de la misma, principalmente para hacer reportes de diferente indal los cuales, por ejemplo, pueden sor contables o estadisticos, Usuario de audilorfe, Puede utilizar la informacién y rastrearla dentro dd sistema para fines de auditoria.software de ‘Ide acceso scontrasena, aquetes han dora salguno de dos en con- ttacién, por tener una la sogari io dentro normal tipos de acion, el modifi- Ponsable y puede adebida ble de Ia modifi niro del Los usuarios pueden ser muilti esultado de Ls usuarios resultado de la combi ne ae ines sefalados. Serecomienda que existas6lo un usuario pro ¥ que el administrador sea una ps formatica es, y pueden ser sona designada por la gerencia de in- Para conservar la integridad, confidencialidad y disponibilidad de los sis mas dle informacidn se debe tomar en cuenta lo siguiente: * Laintegridad es responsabilidad do los individuos autosiad sus responsabilidades normale de trabajo (asvario noponcabia’ pels pad) consultar (usuario de consulta) 0 para bajar archivos importantes pa ra microcomputadoras (usuario de explotacién), onibilidad es responsabilidad de individuos autorizados para alterar ardmetros de control de acceso al sistema operativo, al sistema maneja- dor de base de datos, al monitoreo de teleproceso o al software de telecom nicaciones (usuario administrador). | control implantado para minimizar estos riesgos debe considerar los si- guientes Factores: * El valor de los datos siendo procesados. + La probabilidad de que ocurra un acceso no autarizado. + Las consecuencias para la orgenizacisn si ocurre un acceso no autorizado + Elriesgo y repercusiones en caso de que un usuario no autorizado utilice la informacién, L sguridad I6gica abarca las siguientes reas * Rutas de acceso + Claves de acceso. * Software de control de acceso. © Encriptamiento. Rutas de acceso El acceso a la computadora no significa tener una entrada sin restricciones. I miter el acceso sdio a los niveles apropiados puede proporcionar una mayor seguridad. El objetivo de la seguridad de los sistemas de informacién es control las operaciones y su ambiente mediante el monitoreo del acceso a la informacién y a los programas, para poder darle un seguimiento y determinar la causa proba- algiin tipo de software es conveniente al util ble de desviaciones. Por el dentro de un sistema, contar con una ruta de acceso. wt SEGURDAD LEGICA Y CONFIDENCIALDAD Control de accesoCada uno de los sistemas de informacién tiene una ruta de acceso aul puede definirse como la trayectoria seguida en el momento de acceso ase fema ‘Como se ha sefialado, un usuario puede pasar por uno o miitiples ai de seguridad antes de obtener el acceso a los programas y datos. Los test Sélo lectura Sélo consulta Lectura y consulta Lectura y escritura, para crear, actualizar, bortar, ejecutar o copiar El eaquema identifica a los usuarios del sistema, los tipos de disposi por los cuales se accesa al sistema, el software usado para el acceso al sistem Jos recursos que pueden ser accesados y los sistemas donde residen esto sos. Los sistemas pueden cer en linea, fuera de linea, en batch, y rutas de tdecs E| esquema de las rutas de acceso sirve para identificar todos los puntsté control que pueden ser usados para proteger los datos en el sistema. £l aut debe conocer las rutas de acceso para la evaluacisn de los puntos de conta apropiados. Claves de acceso Un area importante en la seguridad légica es el control de las claves de acco de los usuarios. Existen diferentes métodos de identificacién para el ususti Un password © esdigo. Una credencial con banda magnética Algo especifico del usuario (caracteristicas propias) La identificacion es definida como el proceso de distincién de un usua de otros. La identificacién de entrada proporcionard un reconocimiento indi dual; cada usuario debe tener una identificacién de entrada tinica que debese reconocida por el sistema Password, eédigo o laves de acceso. La identificacién de los individuos & usualmente conocida y estd asociada con un password o clave de acceso. La claves de acceso pueden ser usadas para controlar el acceso a la computador, a suis recursos, asi como definir nivel de acceso 0 funciones espectficas Las Haves de acceso deben tener las siguientes caracteristicas: Fl sistema debe verificar primero que el usuario tenga una lave de access vélida, La llave de acceso debe ser de una longitud adecuada para ser un secreta La llave de acceso no debe ser desplegada cuando es tecleada. que e: pias. 1: L L 1 Leso, la cual ceso al sige sles niveles 2s tipos de ar. spositivos I sistema, tos recur. de teleco- juntos de’ auditor e control >indivi febe ser 0. Las tadora, # Lis llaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de que alguien obienga la llave de acceso de otras personas. ‘sina Las llaves de acceso deben de prohibir el uso de nombres, palabras o cade nas de caracteres dificiles de retener, ademas el password no debe ser cam. biado por un valor pasado. Se recomienda Ia combinacidn de caracteres alfabsticos y numéricos. No debe ser particularmente identificable con e usuario, como su nombre, apellido o fecha de nacimiento Identificacién Grdenciales con banda magnética, La banda magnética de las credenciales ¢ del usuario fiecuentemente usada para la entradla al sistema. Esta credencial es como una bincaria, pero se recomienda que tenga fotografia y firma a ventaja més importante de la credencial es prevenir la entrada de im pstores al sistema. Una credencial ordinaria es facil de falsificar, por lo que Se debe elaborar de una manera especial, que no permita que sea reprodu- cia, Validacién por caracteristicas. Es un método para la identificacion del usuario, que es implantado con tecnologia biométrica. Consiste en la verificacién y reco- nocimiento de la identidad de las personas, basdindose en caracteristicas pro- pias. Algunos de los dispositives biométricos son: Las huellas dactilare: + Laretina * La geometria de la mano. La firma La voz, Software de control de acceso ste puede ser definide como el software disefiado para permitir el manejo y ‘control del acceso a los siguientes recursos: + Programas de librerias, + Archivos de datos, + Programas en aplicacién. + Médulos de funciones. + Utilerias. + Diccionario de datos. + Archivos. + Programas, + Comunicacién. Controla el acceso a la informacién, grabando e investigando los eventos ealizados y el acceso a los recursos, pot medio de la identificacién del usuario, El software de control de acceso, tiene las siguientes funcionecaptruto s Paquetes de seguridad [Eiemplo_ Definicién de usuario: + Definicién de las funciones del usuario después de accesar el sistem + Establecimiento de auditoria a través del uso del sistema I software de seguridad protege los recursos mediante la identi Jos usuarios autorizados con las llaves de acceso, que son archivadas y gui par este software, sto F efectuado a través de la creacién de archivos 0 tablis seguridad. Los paquetes de seguridad frecu ncluyen facili encriptar estas tablas e archives. A cada usuario se le deb acceso y por cada re un grado de proteccién, r s puedan ser protegidos de acceso no autorizado Algunos paquetes de seguridad pueden ser usados para restrin a programas, librerias y archivos de datos; otros pueden ademas limitar d ug de terminales o restringir el acceso a bases de datos, y existen otros més pi confirmar y evaluar Ja autorizacién de la terminal remota para utilizar dete nada informacién. Estos pueden variar en el nivel de la seguridad brindadad los archivos de datos. La seguridad puede estar basada en el tipo de acces usuarios autorizados para agregar registros a un archivo o los que tnicameti leen registro: a mayor ventaja del software de seguridad es la capacidad para protege los recursos de accesos no autorizados, incluyendo los siguientes: Procesos en espera de modificacién por un programa de apl Accesos por les editores en lint + Accesos por utilerias de software * Accesos.a archivos de las bases de datos, a través de un manejador debs de datos (DBMS). Acceso de terminales o estaciones no autorizadas Estos paquetes pueden restringir el acceso a los recursos (archivos de é ciendo asi el riesgo de los no autorizad nel caso de terminales de compra de boletos de pronésticos, se puede rastringir la entrada a terminales no autorizadas 0 an tiempo no autorizado Otra caracteristica de estos paquetes es que se pueden detectar la de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse Desplegar mensajes de error scribir los registros para la auditoria a bitécora puede consistir en registrar los aczes0s no exitosos, $00 10s in tentos, un registro de todos los. as validos y los recursos protegidostema, icacidn de guarda- tablas de ades paral la recurso) los de un) clacceso tar el uso mas para determi- indada a e acceso: icamente r de base s de da- uode do. violacio- dos, Aigunos paquetes conticnen date: 1a ce auditor. pecitices pars ear incluidos on la bitéco 201 Cada bitacora debe incluir la identificacién del ustrario: siel acceso es exito- a 49, deben consignarse los recursos accesados, dia, hora, terminal y un dato es prifco de lo que fue modificado durar 250 no fue exitoso la muyor informacidn posible sobre dia, hora, ter ‘es de intento usadas. 1 Otros tipos de software de control de acceso Algunos tipos de software son disefiados con caracterist que pueden ser an software asadas para proveerles seguridad. Sin emba: par un software especifico, software, explicaremos las caracteristicas 1, es preferible 2 asegurar el ambiente total y completar las caracterts: Jecontiol de ac ices de segurid Como existen diferentes tipos de de seguridad de los siguientes: + Sistemas operativo: + Manejadores de bases de datos, + Software de consolas o terminales maestras, Software de librexias. Software de utilerias. Telecomunicaciones A) Sistemas operativos se trata de una serie de programas que se © perativos, los cuales manejan los ret lentran dentro de los sistemas ursos de las computadoras y sirven como interfase entre el software de aplicaciones y ol hardware. Estos programas proporcionan segusidad ya que, intemamente, dentro Ge los sistemas operativos manejan y controlan la ejecucién de program; de aplicacidn y proven Ins servic ns que estos programas requieren, dope diendo del usuario y del sistema que se esté trabajando. Cada servicio debe incluir un calendario de trabajo (Job Schedule), manejador de equipos periferi- »8, un contador de trabajo y tin compilador de programas, pruebas y debug (depuraciones). El grado de proteccién sobre estos servicios depende de los nas operativos. Loselementos de seguridad de los sistemas operativos incluyen losiguiente + Control de salidas de los programas al modificarse eédigos. ator usual Jementos ms importantes del sistema, y sus actividades deben ser monitoreadas. mente tienen accesos a los el * Los sistemas operatives usan claves de acceso (passwords, ID) para prevenir Elementos :suarios no autorizados a funciones y utilerias del sistema operative. Mi de seguridad 25, estas claves de acceso estan definidas en una tabla del sistema = chas vque es activada cuando un sistema es utilizado, Las claves de acceso debe ser cambiadas inmediatamente por las nuevas claves de acceso. nos sistemas operativos proven una caracteristica que pucd el mimero de accesos no autorizados y autorizar usuarios a los protegidos, si este mimero es excedido, el usuario no autorizado es pr nido para el nuevo acceso a estos recurso: Los sistemas operativos permiten una instalacién para la implementacil opcional de caracteristicas de seguridad cuando el sistemas instalad {gunos sistemas operativos contienen sus propias caracteristicas de dad y muchas veces éstas no son adecuadas; en este caso es acons integrar al sistema operativo un software de seguridad para protege recursos. El valor de éstos es un factor determinante cuando se decide qi tanta proteccién es necesaria, Los sistemas operativos tienen un completo control sobre las actividades de todas las aplicaciones que estin corriendo en el sistema. Si un usuario autorizado puede lograr accesar a los recursos del sistema operativo, pi de hacer modificaciones que alteren el proceso normal del flujo del El sistema operativo tiene autoridad para dar facilidades de segurid para accesar recursos confidenciales, Esto implica que en algunas ocasions se requerird del uso de algun producto de seguridad adicional. El softwar de funciones de control del sistema operativo debe prover una bitScorade auditoria Tanto el administrador del sistema o el administrador de le datos establecen sus privilegios a través del sistema operativo. Indi mente, con estos privilegios tienen completo control sobre el sistema o tivo y su ambiente; ellos pueden otorgar la autoridad para modificarus rios y accesar secciones, alterar la generacion de procedimientos del si ma y modificar las prioridades de trabajos (jobs) que corten dentro de trol del sistema. Debe existir una bitacora de las actividades del adminis dor del sistema o del administrador de la seguridad de datos. Los sistemas operativos permiten la definicién de consolas o termin maestras desde las cuales los operadores pueden introducir com sistema operativo. Las consolas no requieren una sefal en proceso pé emisién de comandos. Por Io tanto, el acceso a Areas fisicas en don: las consolas debe ser restringido. Ademés, las caracteristicas del sist que permiten a una terminal ser asignada con el estatus de consola ser guardadas a prueba de accesos no autorizados. B) Software manejador de base de datos Es un software cuya finalidad es la de controlar, organizar y manipular los. tos. Provee multiples caminos para accesar los datos en una base de dato neja la integridad de datos entre operaciones, funciones y tareas de | ‘Cuando un usuario inicialmente requiere del uso del sistema de adminiy tracion de bases de datos (Data Base Managentent System, DBMS) se establece identificador para el usuario y la sesién. Inmediatamente, el usuario puede se identificado por el ID-usuario, ID-terminal, y por una aplicacién o fu dita unn rid ©: El sc prog term date defi ela func acce D) Els ejec enc softdeben imitar 0. AL 2guri- ejable er los e qué jades iono pue- tema, ad y rade wdde jual- ‘stan ida Ma. En espera del modo de modificaciones, €] usuario podré ser identificado | | porel trabajo (job), por la aplicacién o por la funcion, usuario seré us: ra rastrear todos los accesos a los schivos de datos a través del administrador de la base de datos (DBMS). Las caracteristicas de seguridad del software DBMS pueden ser usadas para neringir el acceso a tun usuario especifico, a un cierto archivo oa vistas légicas, ls accesos a procedimientos, funciones o software en aplicaciones limitado a isuarios autorizados con el proposito de ejecutar sus tareas asignadas. Las vis- asde datos légicos estan colocadas en archivos para usuarios particulares, fun: jones 0 aplicaciones, y puede ser representado todo o parte del archivo de {aos fisicos 0 una combinacion de campos de muiltiples archivos de datos fisi- (os. Fstas caracteristicas son usadas para controlar funciones inicas en el admi: ristrador de la base de datos (DBMS). asutilerias de la base de datos proven funciones demantenimiento, como spaldos y restauracién de la base de datos, reorganizacién de datos, reportes, etadiaticos de las bases de datos y sus relaciones. Estos pueden ser usa ‘demas para adicionar o borrar datos y prover seguridad El diccionario de dates (DD) es un software que guia y provee un método a documentar elementos de la base de datos, asi como un método de seguri ad de dates en un administrador de bases de datos (DBMS). Todas las modificaciones al directorio de datos (DD) deben producir una itécora de auditorfa, como un registro automstico de todos los cambios y 1 medio de recuperacién después de alguna interrupcién que hubiese ocu- ido. ©) Software de consolas o terminales maestras H software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proven soporte y servicio para que las ramas en aplicacidn. {dad para restringirel acceso a los terminales en linea accesen a los prog Las consolas incluyen funciones d seg datos, via programas en aplicacién. Estas funciones frecuentemente estén basadas en una serie de tablas que definen a los usuarios autorizados, asi como los recursos y programas en apli ‘olas pueden sélo limitar acién que ellos pueden accesar. Generalmente la el acceso al usuario para entrar a un programa en aplicacién, no para el uso de funciones especificas de un programa. La mayor parte de las consolas mantienen un registro de uso de llaves de acceso (password) diario validas no validas. D) Software de librerias EI software de librerias consta de datos y programas especificos escritos para ejecutar una funcién en la organizacién. Los programas en aplicacién (librerias) pueder in archivos er guardado en el sistema, y el acceso a estos programas puede ser controlado por medio de software (software de control de acceso general) usado para controlar el accesocapiruto 6 El software de manejo de librerias puede ser usado para mantener y prte ger los recursos de programas de librerias, la ejecucién de instancias, los archivos de datos pueden ser utilizados por jobs, y en algunaill Estas librerias deben ser sopor | adas por un adecuado control de cambiosy procedimientos de documentacién. | Una importante funci6n del software controlador de librerias es control describir los cambios de programas en una bitéeora. El software de libres provee diferentes niveles de seguridad, los cuales se reflejan en las bitacor P auditoria Los controles de cambios de emergencia deben estar e alanaturaleza de este * Accesos de emergencia. Pueden set concedidos con el propésito de resolve cl problema, y ser inmediatamente revocados despu elto, s de que el problem * Todas las acciones realizadas durante la emengencia debe er autométicn mente registradas. Cuando se instala el software ¢ 108 niveles de pi librerias se definen las librerias y sus tips de acceso ata libreria pueden ser restringidos durante la ist cin. Por ejemplo, un programador deb un pr E) Software de utilerias Existen dos tipos de software de utilerfas, El primero es tusado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y lo editorese nea son los ejemplos de este tipa de software. El segundo es usado ir en el manejo de operaciones de la computadora. Monitoreos, calen darios de trabajo, sistema manejador de disco y cinta son ejemplos de este tipo le software El software de utilerfas tiene privilegios de acceso todo el tiempo, algtin tiempo o nunea. Los accesos privilegiados se otorgan a programadores oa ts rios que e pacan la seguridad normal Entre los ejemplos de utilerias de software estén: scutan funciones que sobre Utilerias de monitores. Sistemas manejadores de cinta Sistemas manejadores de disco Calendarios de Editores en line Ds Scanner de viru Software de telecomunicaciones. Ciertos tipos de software de telecomunicaciones pued so a las redes y a aplicaciones especiticas localizad ss en la red, | alsin lugar debe bios frecuentemente son realizades fuera de her de trabajo normal, son cortos, no se comunican) imr inel Los realry prote Elsoftware de telecomunicaciones provee la interfase entre las terminales y n algunas las redes y tiene la capacidad para: mbios y . ‘ontrolar la invocacién de los programas de aplicacis ificar que todas las transacciones estén completas y's transmitidas. n correctamente ontrolar y- Restringir feoras de © Restringir el a saris para actuar en funciones seleccionadas. 0 al sistema a ciertos individuos, ardebido Riescos Y CONTROLES A AUDITAR s resolver problema Los controles de software de seguridad general y de software especifico pue- lomal den ser implantados para minimizar cl riesgo de la eguridad ligica, By ae J rasy funciones. Los controles son ustalmente a través delTD (idetifenor) P . nord Procedimientos del respaldo en el evento de interrupcién. das por un grupo fuera del ambiente de desarrollo.Bitacoras de auditoria. Las bitacoras de auditoria son usadas para monitor carne los accesos permitidos y negados. Fl software debe contener tna biticorade EVALUAGION auditoria del uso de las funciones que el software ejecuta, particularmertes :GURIOAD ambian las funciones 0 se modifican datos. Esta bitacora de auditoria pos blemente sea mantenida en un archivo separado, y puede ser manejad las actividades del sistema, o tal vez sea una parte del registro. El tipo & bitécoras de auditoria varia gradualmente de acuerdo al software y al vende dor: por ejemplo, un software puede guardar antes y después imagenes los cambios, mientras que otros solamente tienen una técnica de re cidn que puede ser usada para seguridad en casos necesanios. rativo 0 con el software de control de acceso, Estas bitécoras de auditoria registran las actividades y opcionalmente mus ran el registro de los cambios hechos en el archivo 0 programa. Son importa es para el seguimiento de los cambios. Controles de software especifico. A continuacién prosentamos algunos de controles usados por los diferentes tipos de software especifico: * Elacceso al sistema debe ser restringido para individuos no autorizados + Sedebe controlar el acceso a los procesos y a las aplicaciones permitiendoa los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso. * Las tablas de acceso 0 descripciones deberdn ser establecidas de manera que se restrinja a los usuarios ejecutar funciones incompatibles o més a de sus responsabilidades. fe deberd contar con procedimientos para que los programadores de af aciones tengan prohibido realizar cambios no autorizados a los p: nitard tanto a usuarios como a programadores de aplicaciones a ipo especifico de acceso de datos (por ejemplo: lectura y modificacién * Para asegurar las rutas de acceso debers restringirse el acceso a secciones tablas de seguridad, mismas que deberén ser encriptadas Las bitacoras de auditoria deberan ser protegidas de modificaciones autorizadas Deberdn restringirse las modificaciones 0 cambios al software de control de acceso, y éstos deberén ser realizados de acuerdo a procedimientos autor * Software de sistemas operativos. Entre los controles se incluyen los s Los password e identificadores deberdn ser confidenciales. Los usuarios no autorizados que logran accesar al sistema pueden causar modifi ones no autorizadas. El acceso al software de sistema operativo deberd ser restringido.itécora de urmente si oria posi= jada por El tipo de al vende- igones de recupera- I sistema fe mules: nportan- os de los j2ados. tienddo a ndoque mds alla de apli- os pro- cones 0 ntrol de Ios si- ndifica- Los aciministradores de la seguridad dleberan ser los tnicos con autor dad para modificar funciones del sistema, incluyendo procedimientos y tablas de usuarios. El acceso a util Las instalaciones de sistemas y las reinstalaciones deben ser monitoreadas porque Ia realizacién no autor lida El uso de todas las funciones del software (editores de linea, consolas) es restringido a individuos autorizados. Deberén revisarse las biticoras de audlitoria para determinar si ocurre un acceso no autorizado o si se realizan modificaciones, fas del sistema operative serd restringide vada puede resultar inva: Software manejador de base de datos. Los controles incluyen lo siguiente: © Blacceso a los archivos de datos deberd ser restringido en una vista de datos ldgica, a nivel de tipo de campo. La seguridad en el campo sera dada de acuerdo al contenido del campo (validaciéa de campos). Debera controlarse el acceso al diccionario de datos. La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DSMS, itécora de auditoria debe reportar los accesos al diccionario de datos. Las modificaciones de capacidades desde el DBMS par: datos deberdn limitarse al personal apropiad. las bases de Software de consolas o terminales maesteas. Estos controles incluyen lo si- guiente, © Los cambios realizados al software de consolas o terminales maestras deberén ser protegidos y controlados Software de librerias. Los controles incluyen los siguientes: © Elsoftiware de librerfas mantiene una bitaécora de auditorfa de todas las actividades realizadas. La informacién provista en la bitécora incluye el nombre del programa, el niimero de la versidn, los cambios especifi cos realizados, la fecha de mantenimiento y la identifieacién del pro- gramador. © Elsoftware de librerias tiene la facilidad de comparar dos versiones de programas en eédigo fuente y reportar | © Deben limitarse el acceso a programas o datos almacenados por el soft- ware de librer * Debers impedirse el acceso a p viduos no autorizados, © Los cambios realizados al software de librerias tendrén que ser protegi- dos y controlados. Las versiones correctas de los programas de produccidn deben corres ponder a los programas objeto. diferencias. word 0 ebdigos de autorizacién a indi- 207 SEGURIDAD La!* Software de utilerias. Los controles incluyen lo siguient VALUAOEM Deberé restringirse el acceso a archivos de utileria: Algunas utilerias establecen niveles de utilizacin por cada fun: verifican cada nivel de autorizaciGn del usuario antes de darle ao utilizando password para prever accesos no autorizados El software de utilerfas genera una bitécora de auditorfa de usosy a vidades. Algunas proveen bitacoras detalladas de actividades conde tos protegidos, librerias y otros recursos. Estas bitécoras de audi proveen informacién de cada identificador (ID), fecha y hore dea recursos accesados y tipo de acces Esta bitdcora sirve como un registro de eventos, incluyendo v seguridad y accesos no autorizados. Cada paque puede tener diferentes capacidades de control. Tomar precauciones para asegurar la manipulacién de d orrar, etc.), los protege de un uso no autorizado Asegurar que tinicamente personal autorizado tenga acceso aplicaciones. Las utilerias no deben ser mantenidas en e] ambiente de produccién: debe asegurar que tinicamente usuarios autorizados ten, Las bitacoras de auditoria producidas por utilerias deben samente revisadas para identificar alguna viclacién a la * Software de telecomunicaciones. Los controles incluyen lo siguient Controlar el acceso a datos sensibles y recursos dela red forma Verificacién de login de aplicaciones — Control de las conexiones entre sistemas de telecomunicac terminale Restriecidn al uso de aplicaciones de la red. — ProtecciGn de datos sensibles durante la transmisiGn, terminand sesién automaticamente Los comandos del operador que pueden dar slioutdown a los com rnentes de la red slo pueden ser usados por usuarios autorizados. El acceso diario al sistema debe ser monitoreado y protegido, Asegurar que los datos no sean accesados 0 modificados por rio no autorizado, ya sea durante la transmisiGn o mientras est macenamiento tempor Consideraciones al auditar Cuando se realiza una revisiGn de seguridad l6gica, el auditor intemo deberd eve Iuar y probar los siguientes tres controles implantados para minimizar riesgo gun apr los< Inst eny acti- n da: titorfa ente programas y a la informacién. 209 + Control de acce El acceso a funciones, datos y programas asociados con el software debe estar ingido a individuos autorizados y debe ser consistente con doc: + Todos los cambios del softy acuerdo ¢ nanejo del plan de trabajo y con la autorizacién del usuario. + Se debe de mantener una bitécora de auditoria de todas las actividade cativa Una auditoria suridad légica puede ser realizada de diferentes for radi se en areas de s jue son ap! del software eguridad det soft nn debe tomarse en cuenta las caracteristicas d are, incluyendo el control de ai autentificacién del usuario, «je el software Ent las consideraciones especificas al auditar esta + Software de control de acceso. + Software de telecomunicacione + Software manejador de bases de datos, + Software de utilerias. + Software de sistema operative. ante el ciclo de vida del software deben ser evaluadas su instalacién, Ciclo de vida del sofware tenimiento y operacién. Se debe utilizar la auditoria para at giin hecho al software no comprometa la integridad, confi provechamiento de los datos o recursos del sistema El software de auditoria especializado puede ser usado para tev rarse que son ejecutados de acuerdo con los p prob. Instalacion y mantenimiento. Es la primer fase del ciclo de vida del software nla cual el auditor debe revisar lo siguiente cedimientos p end existente, pruebas de funciones, documentacién de cambios, notific ‘esponsable, ejecucién de pru nal respaldo de software de cambios, revisién y redencidn de pruebas de salida y aprobacidn de prio- jes para la implementaciénProcedimientos para iniciacisn, decumentacién, pruebas y aprobaciinde modificaciones al software Procedimientos para la generacién y modificacién al softy Procedimientos usados para ejecutar software y mantenimiento del dic nario de datos para un mayor grado de modificaci6n. Procedimientos de emergencia usados para dar solucién a un problem pecitico de software Mantenimiento y contenido de las bitécoras de auditoria de todos los DBM odificaciones del diccionario de datos. Bitacoras a los pardmetros del software y de las centencias del lengua aplicaciones en ejecucion Acceso a librerias de programas Operacién. En la segunda fase del ciclo de vida del software deberan revisus + Controles de acceso para los programas, librerias, parémetros, seccionest archivos de software asociados. Procedimientos disefiados para asegurar que el sistema no es instalaclo (car inicial del programa) sin el software original, creando asf un procecimeni de seguridad. Disponibilidad y control de acceso a los comandos que pueden ser usadis para desactivar el so ‘Areas de responsabilidad para el control del software, operacién y conde tencia de capacidad de acceso. Horas durante las cuales el software est disponible. Procedimientos pars la iniciacién y terminacién del uso del software. Control de acceso sobre consolas y terminales maestras. Procedimientos para registrar terminacién anormal o errores, los cuals pueden indicar problemas en la integridad del software y documenta hs resultados en programas de seguridad, Controles de acceso sobre escritura de programas y lenguajes de lib de aplicaciones en ejecucisn Bitdcares de auditoria sobce las actividades del softrare Dependencia de otro software para continuar la operacisn, operaciones automatizadas o dependencia del calendario de actividades. Software de control de acceso. Entre las consideraciones de auditoria paradl software de control de acceso estan: Diseio y administracién. Procedimientos de identificacidn del usuario. Procedimientos de autentificacién del usuario. Recursos para controlar el acceso. Reportes y vigilancia del software de control de acceso reportando y vig lando. El software de control de acceso ustialmente provee utilerfas que pueden ser usadas en la ejecuciGn de una auditoria. Los eventos pueden ser registrados en un archivo de auditoria (cambios en el sistema, ast como la ocurrencia de otras lacior sade Dcién de diccio- ema es- s DBMS, uaje de visarse: > (carga miento usados cuales atar los, para el pueden strado: otras numerosas actividades: login, archivos de acceso, recursos de acceso, vio- reporteadores y otras utilerias pueden ser cones y cambios de acceso) Jas para presentar esta informacién continuamente + Disofio y administracidn. En estos aspectos los auditores internas deben Localizacién de archives de seguridad J para asegurar que loe protegidos archivo: del software de control de acceso est Uso de recursos 0 controles de acceso a nivel del usuario para asegura que el software de control de acceso protege datos y recursos en un nivel correcte archivos de seguridad o encriptacién de tablas usadas para prohibirla vista de tablas individuales aridad que contienen des: Limitaciones de acceso para archi words. cripciones y p Limitaciones de acceso a archivos de seguridad a través de la adminis: tracién de comandos de seguridad en linea 0 utileria La jerarquia de seguridad, fados de la administracién de la seguridad pued; tener gran capacidad para cierto software ridad 0 modificacién Métodos y limitaciones sobre archivos de seg tabl Responsabilidades del usuario para la adm dad, particularmente en un ambiente descentralizado, pa que las capacidades definidas son consistentes con las responsabili nistracién de la segu dade: Definicién de parémetros de seguridad, como los recursos definidos, reglas de password, default de niveles de acceso y opciones de login con je proteccién para aprobacién de la gerencia, considerando pruebas accesar recursos protegidos, « Procedimientos de identificacién del usuario. Los auditores deberdn revi- sar y aprobar los métodos usados para definir usuarios para el software Las siguientes situaciones deberdn ser revisadas por un apropiado nit vel de direccis Las identificaciones del usuario para corroborar que sean individ y no compartida: Probar la revocaci6n de usuarios inactivos. EI despliegue de la tiltima fecha y hora en que algin ID especifico fue >, Esta informacién podré ayudar para identificar actividade sconexidn de identificaciones del usuario siguier Este control puede tamb tar actividades ilicitas. El uso de comienzo y fin de fechas para ID de usuario de empleado: contratados.° El uso de grupos de usuarios para el recurso de acceso a los archivts mamioe Los usuarios deberan ser asignados a los grupos apropiados. EVALUAGION Propictarios de dates y recursos para asegurar que ellos con los resp ELA SECURIT sables apropiados. + Procedimientos de autentificacién del usuario, Los auditores internos rel sarin lo siguiente © Debers ser evaluiade el uso de passwords o informacién personal duram te la sesién Debera ser identificada la disponibilidad de automatizar funciones und ‘vez identificado el usuario, asicomo la autenticacidn de procedimients cst protegido cuando es usado por el usuaric La miscara del passvord para as res son tecleados no se desplieguen Ta sintaxis del pessuord. Algiin software de control de acceso pd EImantenimionto de a historia del password. Este puede serusado fa procesos bate + Los recursos para controlar el acceso. Los auditores internos debersin ev sar lo siguiente: © Posibles niveles de acceso. © Niveles de acceso por default, particularmente para usuarios 0 jobs que no tienen un ID de usuario. El acceso del usuario a archivos de seguridad Que la seguridad sea implantada en el nivel correcto, ‘rocedimientos para asegurar la proteccién automatica Procedimientos para la proteccién de recursos, Uso de rutas répidas o funciones aceleradas a través de controles Controles de acceso sobre aplicaciones locales 0 remotas. Restricciones de acceso sobre recursos criticos del sistema, tales coma istemas, programas y aplicaciones en ejecucién, librerias del lengua), catdlogos del sistema y directorios, diccionarios de datos, logs y archic vos de password, tablas de definicin de privilegios, algoritmos ée encriptacién y tablas de datos. + Reportes y vigilancia del software de control de accesos. El auditor interna ificacion del acceso autorizado al sistema y el uso de reha te Las identificaciones de acceso no autorizado 213 ntificacion de archivos de seguridad, n comandos sensibles, antenimiento a tabla y el sequnpap u ados y sus actividades rchivos de s bitacoras de auditoria del control de a EI login de usuarios privile as restricciones de acceso del sistema. Estos archivos Sistema operativo o software de control de acceso existente. Las violaciones a la seguridad Los archivos de seguridad y la generacién de reportes de las actividade notificados asuario para asegurar que los propietarios de datos y recursos son je los eventos de seguridad en un periodo determinado, debera revisar, evaluar y probar el uso y proce femas operativos. El audito F que gobiernan programas, usuarios y funciones ¢ Siento 1 sistema operati especialmente los siguientes privileg asfacilidades del sistema operativo, como son la supervisi6n 10 sobre tablas que definen privilegios de usuarios, pro ® Controles de ace amas y funciones. + Controles de acceso sobre consolas o terminales maestras y privilegios aso + Bitécoras de auditoria, + Posibilidad y uso del control de acceso sobre los default de inicio de ID de Comandos desoftware o funciones que son consideradas importantes, como turidad al archivo de descripciones. F mantenimiento de s: ria dentro de los programas para disminuir o limitar las posibilidades En muchas ocasionesel mayor riesgo de fraude o mal uso de la informacién est dentro del mismo personal, y la mayor seguridad est en contar con perso: al leal, honesto y con ética, Para lograr esto se debe contar con personal capa- itado, motivado y con remuneraciones adecuadas. Pero también se debe pre- la posibilidad de personal mal intencionado, para lo cual se debe tener los ontroles de seguridad sefalados, los cuales deben de ser observados princi palmente por el personal del drea de informstica. El auditor debe de estar cons. jente que los primeros que deben implantar y observar los controles son los d personal de informatica estabi- Intece: gue Securipap FISICA fico y El objetivo es establecer politicas, procedimientes y précticas para evitar la tesub- interrupciones prolongadas del servicio de procesamiento de informacién, de nar no bido a contingencias como incendio, inundacién, huelgas, disturbios, sabotaje, ilidad terremotos, huracanes etc, y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.220 corms Unicacion y construccion DEL CENTRO DE COMPUTO En el pasado se acostumbraba colocar los equipos de cémputo en un lig ndes ventanales, ya que constitufan el orgullo de la organi i6n y se consideraba necesario estuviesen a la vista del puiblico, inclusoha gran cantidad de invitados para conocerlc visible, con Esto ha cambiado de modo al, principalmente por el riesgo de terrorismo o sabotaje persona que desea perjudicar a forma iénsese que ul a organizacién querré daar el centro dei Sn, por Jo queen Ia actualidad se considera extremadamente pega so tener e] centro de eémputo en las reas de alto tréfico de in lugar cercano a la calle 0 con un alto num ‘0 de invitados, ademis@ excesivo flujo de personal interfiere con la eficiencia en el trabajo y disn la seguridad Otros elementos referentes al material y construccién del edificio del en Je cémputo con los que se debe tener precaucién son los materiales altameai inflamables, que despiden humos sumamente t6xicos, © las pai dan periectamente selladas y despiden polvo (por e a menos que tenga sellador), los cuales debs En lo posible también se debe tor smplo, el tirol planchad ser evitados. n del centro de cémputo (por ejemplo, lugares sumamente calurosos al que todo el dia les est dando el sol), y se debe evitar, en lo posible, lo Las dimensiones minimas del centro de cmputo deben determinarse del sistema, el espacio requerido para cada tt dad, para su mantenimiento, el érea de operacidn. P les removibles pueden ser utilizados pa general, aunque los equipos de cémpute la cantidad de compone ello, las paredes y pane ilitar ampliaciones futurts -e han reducido en tamaio, se dl sicerar el incremento en el ntimero de éstos y en equipos periféricos Ademés, en el centro de cmputo se debe prever espacio para lo sigue Formatos y papel para impresora Mesas de trabajo y muebles Area y mobiliario para mantenimiento, Equipo de telecomunicaciones Consolas del operador Area de recepcién Microcomputadoras. Fuentes de poder Boveda de seg dad. Los archivos maestros y /o registros deberan ser gua dados n-una béveda antiincendio bajo maxima proteccién Piso OCAN En la anti pisos elev de cémpu tadoras, p ‘con pisos cuente co Unac ¥y protecc Ademés, cerca de! rejillas de Un pi do con la: dad de sc Se rec que la su cAmara p terminad poder sei sistema y Av: El equips tipo de < cual sen ma, asic Los Jas princ Las frecuent ductos. to exteri indique superio:mun lugar 0 habia modo radi- se que una intro de in- ite peligro- nas, o bien ad disminuye: nds, el centro. saltamente que no que- planchado, la orienta- ttosos a Ios los grandes pueden ser teada uni- des y pane- pam ioturas. En fo, se debe siguiente: Piso ELEVADO O CAMARA PLENA Enla antigtiedad era un requerimiento en todos los centros de cémpute tener pisos elevados o pisos falsos. En la actualidad, con los cambios de los sistemas eable para macrocompu: decémputo, este requerimiento sélo es necesario o de tadoras, por lo que habra que verificar con el proveedor la necesidad de contar on pisos elevados, o bien la conveniencia de tener una mejor instalacion que quente con el cableado dentro del piso elevado. Una de las ventajas de los pisos felsos es que p y proteccién del cableado del sistema, y facilitan el reacomodo del sistema Ademas, proven de un excelente método para llevar el aire acondicionado rel tendido cerca de las unidades del sistema, permitiendo la adicién o recolocacié rejllas de aire cuando son agregadas o recolocadas maquinas en la sala. so elevado debe ser capaz. de soportar una carga uniforme, de acuer- Jel proveedor; también debe considerarse la capaci do con las especificaciones: Jad de soportar unidades adicionales segtin el potencial de crecimiento. Se recomienda que el acabado del piso sea hecho con plistico antiestatico ienga 45 cm de alto, cuando es usado como “Amara plena de aire acondicionado, La altura del terminado, debe ser de 2.4 m. Asimismo, los panel poder ser removidos facilmente para permitir la instalacion del cableado del ser de facil limpieza con trapo huimedo o aspiradora. piso elev que la superficie d in, desde el pi del piso elevado deben sist Are ACONDICIONADO Elequipo de aire acondicionado es otro de los dispositivos que dependeran del tipo de computadora que se utilice y del lugar donde esta instaledo, dor la temperatura minima y maxi > deberdn trabajar los equipos. ara lo cual se recomienda verificar con el prove ma, asf como la humedad relativa en la q Los ductos de aire acondicionado deben estar limpios, ya que son una de las principales causas de poivo. Las instalaciones del aire acondicionado son una fuente de incendio muy jalmente a través de los frecuente, son susceptibles de ataques fisicos, esp instalar redes de proteccién en todo el sistema de ductos, to exteriores coma interiores, y deberd de contarse con detectores de humo que indiquen la posible presencia de fuego. ‘Se recomienda que la presidn de aire en la sala de odmputo sea ligeramente superior a la de las areas adyacentes, para reducir asi la entrada de polvo y ductos. Se del wuciedad,CAPITULO 6 UACION EGURIOA Protecelén det sisteme eléctrico InsTALACION ELECTRICA Y SUMINISTRO DE ENERGIA Uno de los dispositives que deben de ser evaluados y controlados con may uidado es la instalaciOn eléctrica, ya que no solamente puede provocar fala Je energia que pueden producir pérdidas de informacién y de trabajo, sina que 5 uno de los principales provocadores de incendio: El auditor debe auxiliarse de un especialista para evaluar el adecuado fut cionamiento del sistema eléctrico y el suministro de energia, Los cables del sistema eléctrico deben estar perfectamente identificads (positivos, negatives y tierra fisica); lo mas frecuente es identificarlos por mes dio de colores (positivo, rojo). Deben de existir conexiones independientes los equipos de eémputo; este cuidado se debe tener en las oficinas donde ba conectadas terminales o microcomputadoras, y ademés deben estar identifi das, contar con tierra fisica, lo cual protegerd a los equipos contra un cortod cuito en caso de una descarga, Se debe revisai jue se cuente con los plans instalaci6n eléctrica debidamente actualizados. Es comtin en las oficinas que, al no tener identificados los contactos paralas computadoras, éstos sean utilizados para equipos que pueden producir picts ya que utilizan grandes cergas de corriente, como fotocopiadoras o aires ac dicionados. Las variaciones de energia en una linea pueden ser causados por el encin dido 0 apagado de maquinas cléctricas, tales como motores, ascensores, €y pos de soldadura, sistemas de aire acondicionado, etc. El flujo de corrientede un sistema de iluminacién puede producir “picos de ruidos” que podrien ee ceder el nivel de energia aceptable para alguna unidad de! sistema. Por logs altamente recomendado que el sistema eléctrico utilizado en los equipos de informética cuente con tierra fisica, y de ser posible sistemas de corriente cor tinua (10-break) y estén aislados con contactos independientes y perfectamen te identificados. En zonas grandes con cargas eléctricas industriales 0 con diciones de entrada de potencia marginales puede ser necesario un aislamien to adicional para prevenir interrupciones de energia en el sistema, La tierra fisica debe estar perfectamente instalada de acuerdo con la cificaciones del proveedor, dependiendo de la zona en que esté inst equipo y de las caracteristicas de éste. Se debe tener una protecciGn contra roedores o fauna nociva en los cable de sistema eléctrico y de comunicaciones. Es comtin que los roedores se coman el plstico de los cables, por lo que se debe tener cuidado de combatir esta fauna nociva, y tener la precauciGn de que el veneno o el fumigante que se use p combatirla no provoque problemas al personal, Los reguladores son dispositivos eléctricos que reducen el riesgo de tener un accidente por los cambios de corriente. Dichos protectores son comtinme construidos dentro de un sistema de corriente ininterrumpico UPS (Uninterup bile Power Supply System L equir lador rifica carga car q: quee comp fax, y televi no pr ‘capac y con T velm ladis: eleva una b poco: ticam U gaso: rrumy nivele pido. U sea de tivo di falla e rump perice de ho} macié E zonaé intern mayor archiv presor do se |tado fun- thificado: por me- nies para onde hay lentifica- Janos de para las it picos, equi lente de relloes ipos de ate con- lamien: espe lado el scables afsuna e tener mente rrupti- eguladores que existen en el mercado pueden funcionar para varios 223 | equipos, o bien estar limitados para un reducido namero (parecidos a los regu- cin de informatica (incluyendo terminales y microcomputadoras), se debe ve- nificar y controlar que el mimero de equipos conectados sean acordes con las cargas y 1 se debe verifi- Reguiadores néimero de equipos conectados, ya gulador. Si son equig B car que el ques muy frecuente en las oficinas que se conecteal regulador no solamente la compatadora personal, sino otros dispositivos periféricos. como impresora 0 fax, y que se llegue hasta conectar otro tipo de equipo eléctrico como radios 0 ] televisores. Esto puede provocar dos problemas: el primero es que el regulador € todos los equipos, ya que el requerimiento eléctrico sobrepasa sus capacidades, y el otro es que se puede provocar una sobrecarga.en los conta no prote) Consecuentemente una posibilidad de incendio. Ta vel m4ximoy un minimo, ya que existen algunos queen caso de una sobrecarg bién se debe tener cuidado en adquirir reguladores que tengan un ni- a disminuyen hasta el nivel aceptable, pero si existe una baja de corriente no la elevan a niveles minimos aceptables. En ocasiones perjudica més a un equipo na baja de energia prolongada, que no es detectada y provaca que el equi- continie prendido enun nivel bajo, que una sobrecarga, que hace que auton, icamente el regulador © equipo se apague Una forma para asegurarnos de que un regulador actuars en una sobrecar © en bajos niveles, es contar con un regulador que tenga un sistema no inte rrumpido (no-break), ya que en caso de que exista una variacion que pase los, niveles minimos y maximos, automaticamente entrard el sistema no interrum: Un sistema de energia no interrumpido (UPS) consiste en un generador, ya sea de bateria o de gas, que hace interfase entre la ener tivo de entrada de energia eléctrica a la computa e funcion a en e] abastecimiento ¢ a eléctrica y el disposi- Dar una consistencia a la corriente eléctrica que hai a la computadora en caso de haber una gia eléctrica. El sistema de energia no int a eléetrica a la comp! reriodo; dependiendo de lo sofisticado que sea, la corriente de horas o de algunos minutos, de tal forma que permita respaldar la infor- tumpible (UPS) provee de ener tadora por un cierto éetrica puede ser Es conveniente evaluer la probabilidad de que no se tenga corriente en zona en la que se trabaja, para determinar el int mpo que necesita el sistema no rumpido, También se deben evaluar los problemas que provocar y necesidades que se tienen. En la contar con electricidad y las prioridad mayoria de los casos se necesita un determinado periodo para res archivos de computadoras personales, y se puede esperar para utilizar la im- aldar lo En el caso de sistemas de alto riesgo 0 costosos, come por ejemplo un siste- ma bancario, no solamente se debe contar con sistemas de reguladores y eléctri mbién con plantas de | do se pierda la enengfa eléctrica por un periodo prolongado. En algtin momento tal vez exista la necesidad de apagar la computadora y cos no interrumpidos, sinc 2 de emergencia, paracuan 1s dispositivos periféricos en caso de que el centro de cémputo donde se encaptruto 6 cuentre Ia computadora se incendie o si hubiera una evacuacién, Los switch dt emergencia sirven para este propésito: uno en el cuarto de maquinas y ¢l ai cerca, pero afuera del cuarto. Estos deben ser claramente identificades con Uk letrero, accesibles e inclusive estar a salvo de gente que no tiene autorizadin para utilizarlos. Los switch deben estar bien protegidos de una activacién sc dental Los incendios a causa de la electricidad son siempre un riesgo. Para red cirlo, los cables deben ser puestos en paneles y canales resistentes al fuego. Ee tos canalesy paneles generalmente se encuentran en el piso del centro de cSmpy to. Los cables deben estar adecuadamente aislados y fuera de los lugares é paso del personal, Se debe cuidar no sdlo que los cables estén aislados sino también que los cables no se encuentren por toda la oficina, Los os ramificados para la tluminacién y los sistemas de aire no ¢= berdn estar conectados a los tableros de potencia utilizados por el sistema El proveedor debe proporcionar un tablero de distribucién, el que deberd contar con interruptor general, voltimetro, ampesimetro, frecuentimetro e inte rruptor individual por cada una de las unidades que configuren en el sistema El tablero debe ubicarse en un lugar accesible y cada interruptor debe estar debidamente rotulado para su facil localizeciéi Securipan CONTRA DESASTRES PROVOCADOS POR AGUA Los centros de cémputo no deben colocarse en sétanos 0 en éreas de plana baja, sino de preferencia en las partes altas de una estructura de varios piso, aunque hay que cuidar que en zonas sismicas no queden en lugares donde peso ocasionado por equipos a papel pueda provacar problemas, Se debe evaluar la mejor opcién, dependiendo de la sepuridad de acceso centro de cOmputo, cuando en la zona existen problemas de inundaciones ost, sismicas, En caso de ser zona de inundaciones o con problemas de drengje mejor opcién es colocar el centro de cSmputo en areas donde el riesgo de inun dacién no sea evidente Algunas causas de esto pueden ser la ruptura de caferias o el bloqueo de drenaje, por lo tanto, la ubicacidn de las cafierias en un centro de cémputo una decisién importante, asf como considerar el nivel del manto fredtico. Debe considerarse el riesgo que representa el drenaje cuando el centro é€ cémputo se localiza en un sétano. Deben instalarse, si es el caso, detectores de agua o inundacién, asi como bombas de emergencia para resolver inundaci nes inesperadas. Otro de los cuidados que se deben tener para evitar dafios por agua es ph seer aspersores contra incendio especiales que no sean de agua. Se Esimy al dia,bsswitch de fas y el otro dos con un jutorizacion {Para redu- Hfuego. E. bde cimpu- dle compu res de que deberd hretroe inte- Fdebe estar fs de planta aris pisos, bi {cimputo es Bitico oquieo del Plectores de Finundacio- lagua es po- Securipap DE AUTORIZACION DE ACCESOS osean este todo -arse que los controles de ace lia, y que éstos incluyan a todo el p arante los descansos y cambios de turno El personal de informatica, asi come debe identificar antes de entrar a ésta. E sonal de la organizacién, en especial aalquier otro ajeno ala instalacién, se riesgo que proviene de } organizacién es tan grande como el de cualquier otto visitante. Solamente el personal autorizado por medio de una Ilave de acceso o por la gerencia debe ngresar a dichas instalaciones. En los centros de cémputo se pueden utilizar los siguientes os + Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe er dificil de duplicar. cidn. En este sistema se usa una combinacién ria de combi cceso. La combinaciGn debe ser cambiada re ros para permitire ‘© cuando el empleado sea transferido o termine su funcién laboral dentro de ese centro de cémputo. Esto reduce el riesgo de que la combinacién sea ‘onocida por gente no autori + Pu tico magnética como llave de entrada, Un cddigo especial interno en la tar ta electrénica. El sistema mas comtin es el que usa una tarjeta de plés- jeta es leido por un sensor activando el seguro de la puerta. + Puortas sensoriales, Son activadas por los propios individuos con alguna arte de su cuerpo, como puede ser la huella dactilar, voz, retina, g tefa de la mano o bien por la firma + Registros de entrada. Todos los visitantes deben firmar el registro de visi tantes indicando su nombre, st compaiiia, la razén para la visita, la perso- na a la que visita. El registro se encuentra en la recepcié o de cSmputo. Es importante que el visitante proporcione una id foto (licencia de manejo 0 credencial), ya que de otra forma podria inventar deben de portar | no se tendria seguridad. Los emplead credencial de la empresa con foto, la cual ademés de servir de identifica ion, se utilizar para senalar las areas de informatica a las cuales tiene autorizacién de entrar deben + Videocsmaras. Estas deben ser colocadas guardados para su se pueda monitorear el centro. Los caset posible andlisis. + Escolta controladora para el acceso de visitantes. Todos los visitantes de- ben ser acompafiados por un empleado responsable. Se consideran visitan- + Puertas dobles. Este equipo es recomendable para lugares de alta segur! dad: se trata de dos puertas, donde la segunda solo se pueda abrir cuando Ia primera esté corrada os fist + Alarmas. Todas las éreas deben estar p cos no autorizados. Las alarmas contra robo deben se sea posible en forma discreta, de manera que nose atra este dispositive de alta seguridad. Tales medidas no slo se deben aplicar protegidas contra robo © ac isadas hasta donde a la atencién hacia enel centro de cémputo sino también en reas adyacente: 205 Puertas de seguridadDetectores de humo Equipos contra ineendio Deteccién pe Humo Y FUEGO, EXTINTORES Los detectores de frego y humo se deben colocar tomando en cuenta lair calor 0 el humo y no permitir que se active el detector. El que se eliia deberd ser capaz de detectar los distintos tipos de gas desprenden los cuerpos en combustién. Algunos no detcctan el humo od por que proviene del plastico quemado que se usa como aislante en eld dad, y en consecuencia los incendios ocasionados por un cortocirc no scan detectado: Los detectores de humo y calor se deben instalar en el centro de «impli en las dreas de ofcina, incluyendo el depdsito de papeler Las alarmas contra incendios deben estar conectadas con la La organizacién se debe cerciorar que los controles de seguridad cml incendios satisfegan los estandares minimos del depariamento de bonbet La documentacién sobre los sistemas, Ia programacisn y las opera do especific en el plan de contingencias. Se deben establecer procedimiel de respaldo que garanticen la actualizacién de toda la documentacicn demi rarutinaria; las copias de seguridad ce deben almaconar en un lugar camo las copias de seguridad de los programas y los archivos, los cuales dl estar debidamente actualizades, documentados y fechados, para cuando sl Debe existir un sistema de deteccién de humo por ionizacién para ail anticipado. Este sistema debe hacer sonar una alarma ¢ indicar la situaciéindl detector activado. El sistema de deteccidn no debe interrumpir la coment energia elécirica al equipo de eémputo. Se debe contar con un dispostivoai de emergencia para cortar el sistema eléctrico y el aire acondicionay en instalarse en cada salida del centro de cémputo. locar en lugares estratégicos del centro de cémputo extn de CO (recomendable para equipo eléctrico). El equipo pera pl respirar debe estar ala mano, tanto en el rea de cémputo como para cl us (es conveniente que este sefialamiento se encuentre en la parte inferior, cra al piso, ya que en caso de humo sélo podrén ser visibles en la parte infra facil acceso, pesos y tipo de producto que utilizan. Es muy frecu tengan extintores, pero puede suceder que no se encuentren recai que sean de tan dificil acceso 0 de un peso tal que sea dificil utilizarl extintores deben estar a la altura o tener un peso proporcional al de un: ara que pueda utilizarlos, Se det gases Sxi ‘Tamb dio y si he das de er falso, rep: control cc de 0a 60 boquilles permitir | que elma Jos equip Es ne en caso ¢ mente pr de su usc deben ha Las< debe con Esta sala propio e en arma dos hora Ten Alguno: persona sistema base en Dis ma Mo eat Per cal, lai\difundir el legases qu en electrici- cuito tal vez imetro fisicc dad contra bomberos, rade respal- cedimientos inde mane- alejado, asi suales deben cuando sean 8 para aviso situacién del iGiriente de positive ma icionado y to extintores >para poder arael uso de i capacidad uente que se iados o bien ilzarlos, Le de una mujer Se debe cuidar que los de extintores no sean inadecuados, que put vocar mayor perjuicio a las maquinas (extintores liquidos) 0 que pr Jan pro- oduz 108 t6xicos. También se debe evaluar si el personal sabe usar los equipos contra incen- dio y si ha habido practicas en cuanto a su empleo; que existan suficientes sali para evitar robo: osos son las cintas magnéticas que, al quemarse, das de emergencia, debidamente controlada Los materiales mas pelig producen gases téxicos, y el papel carbén, que es altamente inflamab Los detectores de ionizacién del aire deben colocarse en el techo y en el piso falso, repartirse de manera uniforme y estar conectados al tablero del equipo de control contra incendio. En este tablero se localiza un reloj que puede calibrarse de 0 a 60 segundos; para provocar un disparo de gas debe jalarse a través de boquillas de aspersién estratégicamente colocadas en el techo de la sala, para permitir la evacuacién del personal y desconectar el sistema. Se debe verificar queel material utilizado para extinguir los incendios no provoque problemas a los equipes electrénicos, Es necesario definir y documentar los procedimientos que se deben seguir en caso de incendio. Los planes de evacuacién del centro deben estar plena- mente probados y documentados. Ademés, se debe entrenar al personal acerca de su uso, ya qué con frecuencia muchos empleados no saben exactamente qué deben hacer en caso de incendio. Las cintas y discos magnéticos deben almacenarse en una sala aparte y se debe contar con un acceso al area en donde se localiza el equipo de comput. Esta sala debe contar con todas las condiciones ambientales y de seguridad no- cesarias, ya que la informacién almacenada ahi tiene mas importancia que el P en armarios con paredes fabricadas especialmente para resistir por lo menos opio equipo de cémputo. Las cintas y discos magnéticos deben almacenarse dos horas de fuego. Temperatura Y HUMEDAD Algunos equipos grandes de cémputo (mainframes), 0 bien las computadoras personales que son usadas en zonas muy célidas o desérticas, necesitan de un, sistema de aire acondicionado disentado para estar en operacion constante, con base en los siguientes parémetros: * Disipacion térmica (BTU), La disipacidn térmica de cada unidad de siste- ‘mas es mostrada en tinidades térmicas britdnicas por hora. ‘+ Movimiento de aire (CFM). Los movimientos de aire se muestran en pies cibicos por minuto. + Pérdidas por transferencia de calor. Existen pérdidas por transferencia de chos, 0 por calor, por las siguientes curvas: a) A través de paredes, pisos y t Ia iluminacion; b) diferencias en temperatura entre la sala de cémputo y reas adyacentes, y c) ventanas expuestas a los rayos del sol. 227Los cambios de temperatura durante la operacién del computador dl ser disminuidos. La variaciGn ciclica de temperatura sobre el rango compl de operacién no debe realizarse en menos de ocho horas Ladisipacién térmica, el movimiento de aire, as{ come los minimos caPtHULo 6 mos de temperatura y humedad permitidos deben ser espec eedor del equipo, aunque le temperatura ideal recomendad mente la huimedad debe ser agregada, ya quo al enfriar el aire s a mayoria del vapor de agua por condensocisr Se recomienda quese instalen instrumentos registradores de temper humedad. Dichos instrumentos son necesarias para prover un contin i tro de las condiciones embientales en el érea del equipo Los ductos del aire acondicionado deben estar limpics, ya que son wall las principales causas de polvo, y se habra de contar con detectores de que indiquen la posible presencia de Fuego. ‘omando en cuenta lo anterior, en ei siguiente cuestionario se consign las caracteristicas necesarias para evaluar una adecuada seguridad UBICACION Y CONSTRUCCION DEL CENTRO DE COMPUTO 1. (E! edilcio donde se encuentra la computadora esta situado a salvo de Inundacién’ _ erremato? ) Fusgo? ) Sabotaje? ) 2E| cantro de cémputo da al exterior? (musdies, silas, etc.) cel centro, {Tene el cusrte de méquiias una instalacién da eecaperato y, ci e9 abl pueden ser rotos los vidrios con factidac? si JESta el centro de computo en un lugar de alto trafico de personas? 6. {Se tiene materiales 0 paredes inllamabies dentro del centre ce cémpuls? 182 tiene paredes que despiden polvo? 4Se fiene paredes que ne estén adecuadamente selledas? Se tiene grandes ventanales orientados a la entrada o salida del sol? éExiste luger suticiente para los equipos?uindor deben ng completo. Qs por el pro- de 22°C. Gee emperatura y jeson una de res de humo. Ad fsica TO lo de: referencia } equipo 229 Esta sobrasaturada la instalacién? i v0 {Se tiene lugar previsto? Este os el adecuado para: sic, + Almacenamiento de equipos magnetico: as 10 + Formatos y papel para impresora. Ss 10 + Mesas de trabajo y muebles. No + Area y motiliario para martenimionto. sno + Equigo de tolocomunicacicnes. a + Area de progiameciér + Consolas dst operador. Fy + Area de recepcion. + Microcomputadoras. + Fuentes de poder + Béveda do seguridad (b5vada antiincondio bajo maxima proteccién). PISO ELEVADO O CAMARA PLENA 2Se tiene piso elevado? sw ca20 alirmativo: 2Esta impia la camara plena? Fl 2ES de facl limoieza? si {ZEI piso es antestation? s] AIRE ACONDICIONADO a temperatura en la que trabajan los equlpos es la rec proveedor ada por el 00 re acondicionada cuentan con alarmas contra intrusos? 2Los ductos del 2 ZLOs ductos de aire acondicionado estén limpios? Wo 2Se controla la humedad de acuerdo con las espectticaciones del proveedor? NO De qué forma? {Con qué periodicidad? INSTALACION ELECTRICA V SUNINISTRO DE ENERGIA Se cuenta con terra ffsica? 0 2a tierra fisica cumple con las disposiciones del proveedor de equipos de edmputo? a NO. LEI cableado so encuentra debidamente instalado? a 0{Los cables se encuentran debidamente identiicados (posiivo, negatvo list cariruto 6 tisica)? si Los contactos do equipo do cémputo estan debidamente ientificadce? ZEn los contactos, esté identiticado ol positivo, negativo y tierra tisic Se cuenta con los planos de instalacion eléctiica actualizados? £80 tone conectado a jos contactos de equipo de cémputo otro equips é 2Se tiena instalacién eléctrica de equipo de eSmputa independiente de aba ingtalaciones eléctricae? 3 ¢Se tlene precaucién contra fauna nociva? 8 2EI equipo contra fauna nosiva esté debidamente protegido y culdade pal No producir problemas al personal? 4Se utiiza material antiestético? Se tienen regulacores para los equipos de eémputo? Se verifica la regulacién de las cargas méximas y minimas? En caso positive, zcon qué periodicidad? 4Se tiene equipo ininterrumpible? Dura el tiempo suficiente pare respaldar los archivos o pare continua a proceso? so éSe tiene generadores de corriente inintarrumpida? En caso positive, ede qué tipo? éSe prueba su funcionamiento? En case positive, goon qué periodcidad? éSe tiene switch de apagado en caso de emergencia an lugar visible? Los cables estén dentro de panetes y canales eléctricos? éEaiston tabloros de distribucién elécttioa?os ca? no war aa 46, 53. 54. 55. 56 ‘SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA ii 2Se cuenta con alarmas contra inuncacionos? aw ica SEGURIDAD DE AUTORIZACION DE ACCESOS 2Se han adoptado medidas de segurided en la direcoién de informatica? 2Existe una persona responsable de la seguridad? ad 0 2Existe peisonal de vigilancia en la instituclén? d 1% 2Se investiga @ les vigilantes cuando eon contratados dirsctamonto? 2Se controja el trabajo fuera de horario? <0 Se ragistran las acciones de los operadores para evita’ que realicen alguna quo pueda dafar el sistema? 1% Se identifica a la persona que ingresa? d De qué forma? {Como se controla el acceso? * Vigilante, + Recepcionista + Tarjeta de control de acceso. + Puerta de combinacén, + Puerta con cerradura. * Pustta electronica. + Puerta sensorial + Registro de ontradas. + Puertas dobles. * Escotta controtada. + Alarmas, + Tarjetas magnéticas + Contro! biométrice, * Idontficacién pereonal. ( LExiste vigiancia en el cuarto de maquinas las 24 horas? =| No 1Se ha instruido @ estas personas sobre qué medidas temar.en caso de que alguion protenda enirar sin autorizacién? se 1 Son contioladas las visitas y demostractones en el centro de computo? ss NO 1.Cémo son controladas?280 al cuarto de personas ajanas a la diet DETECCION DE HUMO Y FUEGO. EXTINTORES GExiste alarma para’ ‘= Detectar fuego (calor 0 hurro) en forma automatica? + Avisar en forma manual la presencia del fuego? + Detectar una fuga de agua? * Detectar magnets? + No existe? {Estas alarmas estén: En el cuaito de méquinas? En acintoteca y dscotaca? En las bodegas? En otros lados? 2Existe alarma pata detestar condiciones anormalos dol ambiente: * Enel cuarto de maquinas? * Enlacintoteca y discote + Enla bodega? = Enotvos lados? ( O eCuales ? gla alarma es perfectmente aucible? da alerma esté conectada: Al puesto de guarcias? A Ia estacién de bomberos? ‘Aalgin otro Oto. 3. iExisten extintores de fuego: + Manuals? + Automaéticos? + No existen 1Se ha adiestrado e! personal en el manejo de los extintores? si Los extintores, menualee © automdttoos, funcionan a base dede infor ¢Se revisa de acuerdo con el proveedor el tuncionamiento de los exiiiores? a (wora: Veritique el niimero de extitores y su estado) Si es que existen extiniores automdticos, {son activados por los detectores automaticos de fuego? si No Si loe extintores automatioos con a base de agua, ¢se han temaco medidas para evitar que el agua cause més cafio que el fuego” st Ne Si los extintores autométicas son a base de ges, 2se han tomado medidas para avtar que el gas causa més dao que el fuego? si NO onen los extintores 70. ¢Existe un lapso de tiempo suficiente, ‘autonaticos, para que el personal: artes de que func + Corte la accién de los extintores por tratarse de falsa alarma? ‘= Pueda cortar la energla eléctica? ‘+ Pueda abandonar el local sin peligro de intoxicacion? + Es inmediata su accién? 71. gLos interruptores de energia estin debidamente protegidos, stiquetad: ‘Sin obstdculos para alcanzarlos? si No 72, «Saben qué hacer los operadores del cuarto de maquinas en caso de que ‘ocurra una emetgencia oeasionada por fuego? ss 73. LEI personal ajeno a operacicn sabe qué hacer en el caso de una emergen- E cia (incendio)? si ND 74, ¢Exiete ealida de omergensia? «ow aésta puerta solo es posible abnira: ‘+ Desde el interior? ) + Desde el exterior? ) * Por ames lados? ) 76. 40 roviea frecuentemente que no e esta puerta y de las té abioria 0 descompuesta la carras rrtanas, ai es cue existen? Se ha adiestrado a todo el personel en la forma en que se deden desalojar las instalaciones en ceso de emergencia? a e 76, uSe han tomado medidas para minimizer la posibilided de fuego: ‘+ Evitando articulos infiamables en el cuarto de méquinas? ( ) + Prohibiende fumar? ) Vigilando y manteniendo el sistema eléctrico? ) + No se ha previsio, )480 tienen identificadas y sefialadas las salidas de emergencia? Se encuentran las sefalizaciones en la parte inferior y superior oe is pa Sillos? s Se cuenta con mascaras contia gases o sistemas portdtlas de oxigana? 4Se tiene boveda contra Incendio? SEGURIDAD EN GENERAL Se controla el préstamo de: + Elementos magnéticos? + Equipo? + Sotware? Explique ‘a forma en que se ha clasificado la informacién: vital, esencial no esencial, etcétera {480 cuerta con copias de los archivos en un lugar distinto al de la compu tadora? 3 Explique la forma en que estén protegidas fisicamente estes copias (bi cajas de seguridad. etc.) para garantizar su integridad en caso de incendo, inundacién, terremato, elcétera Se tienen establecidos procedimientes de actualzacion para estas coplas? 8. Indique ol numero de copias que se tienen, de acuerdo con la forma en que se clasifica la informacion, Existe dopartamento de auciterfa intorna on la inetitucién? 9) LEste departamento de auditoria Intema conoce todos los aspectos de las sistemas? _ {Qué tipes de controles ha propuasto? Se cumplen? 3. ,Se audlan los sistemas en operacion? {Con qué frecuencia?: + Cada sale meses. + Cada ao + Otra (especifique)95, 96, 97. al, no 98. fompu- 2 2oveda, 100. lcerdio, . 101 enque 102, do tos 103, 104, 235 {Cuéndo se efectiian modificaciones a los programas, ainiciatva de quién?: + Usuario. CA * Director de informatica = Vole de anal + Programader. + Otras (especitique) () 0) O) ) O) La solicitud de modifcaciones 2 las programas se hacen en forma: + Oral a) + Escrta fn [En caso de cor escrita solicte formatos.) Una vez efectuadas las modificaciones, se presentan jas pruebas a los interesados? sf 2Existe control estricto en las modificaciones? no Se revisa que tengan la fecha de las modificaciones cundo 86 hayan electuado? at No Se verifica identificacién: + De la terminal? ) + Dal uaustio? () + No se pide identificacion ) 4Se ha establecido el nivel de usuario de la informacion? Se ha establecide un niimero maximo de violaciones en sucesién para que la mpuiadora cierre esa terminal y se dé avico al responsable de lia? si N 2Se registra cada violacién a los procedimientos con el fin de llevar esta- disticas y fronar las tendencias mayores? no {Existen controles y medidas de seguridad sobre las siguientes opera clones? si NO ‘eCudles sor? * ecepcién de documentos. * Informacién confidencial + Captacién de documentos. + Cémputo slecténico. + Programa: * Discotecas y ciniotecas. * Documentos de saiida, + Archivos magnétices.caput 6 Danos de virus Operacién del equipo de computacién, En cuanto al acceso de personal Idontfigacién del personal Palicia, Seguros contra robo ¢ incengio, Cajas de seguridad. Otras (especticue). Securipap EN CONTRA DE VIRUS Un virus de computadora es un programa o serie de instrucciones que al init tar otros programas provoca que se modifiquen sus instrucciones, o bien quel infectar los dates y la informecién provoque variaciones en los resultados i clalmente previstos. Su comportamiento y consecuencias pueden evolucon mediante un ntimero finito de instancias. Los dafios que puede provocar un virus son de muy diversa indole, pel uno de los principaleses el psicolégico, ya que muchos usuarios, cuando tiene quier tipo de problema, lo primero que piensan es que es un virus, sine on o siel sistema tiene problemas (bugs), lo primeroengle se piensa es en un virus. Los dafios mda comunes son los siguientes: Suplantacion de datos. Eliminacién aleatoria Destruccidn de la produccién ModiticaciGn de los cédigos de proteccién Bloqueo de redes. Cambios de informacién entre usuarios, Por medio de un canal encubierto, cambiar, accesar 0 difund! segurid. Modificacién de informaci6n de salida o de pantallas. uraci6n, reduccién de disponibilidad o cambio de pardmetr Combinacién de los anteriore: En.un principio los virusinfectaban la parte protegida de la memoria dol programas; despuds, se extendieron, en el sentido de que no sélo infectabin dl ario, sino a otros posibles usuarios de la informacién. Esto se presentaba pi Gipalmente en las redes y en las bases de datos, pero en la actualidad tambien tiene el problema de persistencia, ya que el virus puede estar encapsulado, hast que suceda un evento (fecha), 0 bien tenga posibilidades de infectar al sistema, Para evitar que los virus se diseminen por todo el sistema computarizalodl por las redes se debs © Ufilizar paquetes y programas originales. + Limitar la utilizacién en comin. Solo permitir el acceso a la parte del de ma 0 del programa autorizado para cada usuario,n navegar por todos + Limitar el trdnsito. Evitar que todos los usuarios pue lossistemas, Restringir el transito entre usuarios o entre si remas (lo cual es, dificil y va en muchos casos en contra de la filosofia de uso de la informa- ign y de comunicacién). + Limitar la programacién y controlarle adecuadamente El problema de los virus en muchas ocasiones son los ciclos interminables; — que se desinfecte una parte del sistema o algunos usuarios, el virus puede r latente e infectar nuevamente al sistema. Esto sucede sobre todo cuando dlsistema se encuentra en operacién. Para poder tener una cura parcial se debe dividirel sistema o los usuarios de tal forma que se pueda desinfectar una parte sin suspender totalmente la operacion del sistema. Por lo anterior se recomien: daquea la primera posibilidad de virus se apague el sistema y se evalte hasta infec ser desinfectado, lo cual a su vez puede provocar también el problema psicols- gico de estar pensando que la primera falla que se tenga, se trate de un virus. aque al dos ini- ‘Se debe tener vacunas contra virus; el problema es que generalmente estas Gccrial acunas no cubren todos los virus, por lo que se requiere actualizarlas constan: femente. fe, pero Otra forma de protegerse es a través de analizadores de virus. Estos pro: otionen, gramas dotectan la existencia de un virus en el momento de la inicializacién sin exa- (bootstrap) de las computadoras personales. Estos analizadores presentan pro- fen que blemas, ya que son costosos y poco efectivos para todos los diferentes virus, J aunque son actualmente muy populares en el mercado. Un analizador real ivo debe detectar el virus antes de que ataque. Entre los problemas en la utilizacisn de analizadores y de yacunas contre ius estén * Son efectivos solamente contra virus conocidos o patrones de ataques cone: + Utilizan muchos recursos y tiempo para detectar virus en redes para anali ar un sistema en busca de los patrones conocidos. os + Enalgunos de los casos, los ataques vienen del interior de la organizacién siendo efectivos se deben actualizar constantemente, * Para que puedan segui + Algunos no son efect son mas frecuentes. * Algunos producen resultados sada di 198 para detectar virus evolutives, les cuale sitivos falsos, creando efectos psicol6gicos amas analizadores de manera confiable en hia Protecciones conTRA VIRUS izadoo Y ELEMENTOS A AUDITAR que todos los paquetes que se utilicen sean originales; Se debe evaluar y audi roblema esta en de paquete es original elsiste- cubrir qué elemento puede servir para determinar que 237 Analizadores do virusParaeello se tiene la factura, el disquete original, el manual, lahojad tia, aunque en algunos casos Se compra la autorizacién corporativa (ke para el uso de un niimero determinado de copias, lo cual dificulta evalua todas las copias que se tienen sean autorizadas, Enun principio, los virus se encontraban principalmente en los prog juegos, por lo que se deben eliminar loa juegos en todos los equipos del oficinas, ya que éstos, en primer lugar, no tienen por que estar en computadal para trabajo y, ensegundo, esto disminuye la posibilidad de infectar las cong fadoras Se debe verificar que todas las computadoras tengan analizadors] desinfectadores de virus instalados y actualizados. Los sistemas deben estar debidamente aislados, de tal forma que undill ma sélo pueda accesar Ia informacién que requiera y no pueda entrar a0 sistema base de datos. Se debe prohibir la utilizacién de diquetes externos, a menos que sean damente probades y desinfectados. Se debe vigilar como parte esencial y primaria que exista una defensa tralaintroduccién de algtin virus, y en caso de que se infecten las compuladsa toner un adecuado procedimiento para desinfectarlas. Deben de existir politicas y procedimientos de actuacisn en caso deg exista un virus, tanto para computadoras personales como para redes,y lat ma de desinfectarlos y restaurar el sistema (politica de encuéntralo,climial algjate). En algunas partes se han creado los equipos conocides como CE (Computer Emergency Response Team: equipo de respuesta de emergencis problemas relacionados con la computadora, los cuales tienen bajo su espa sabilidad los planes de contingencia, emergencia y contra virus. El equipo tiene la responsabilidad de detectar cualquier problema de ving gurar que los sistemas técnicos y humanos funcionen adlecuadamente en Gi Desafortunadamente, las leyes contza los virus, principalmente los malig 505, no han evolucionado al ritmo della tecnologia (se considera delito soca dolla persona actué en forma maliciosa e intencional), y la deteccién del cxga de los virus es cada dia mas complicade Internet Inermet es una asombrosa creacién que ha reforzado nuestra economis; ep senta todavia un trabajo en marcha, capaz de ser derrumbado con socprende te facilidad. Inciuso los gigantes del cibercomercio no son mas resistentes. Tolo lo que se necesita es un bien dirigido ataque de degeneracién de servicios (008 por sus siglas en inglés) para causar daiios, al menos temporalmente La degeneracion del servicio se hace por medio de plantar, primero, a software “esclavo” en computadoras de terceras partes o “zombies”. En ut momento, esos programas esclavos utilizan la capacidad de procesamiento de ‘sus ant que sor En Estado: siones millon grola en los: tos no Si transn, vulner ce de cat ras las Le fin de Se est servic dios d legitir Pm vulnede garan= (licencia) aluar que wrogramas| pos de las: putadoras| ascompu: adores y un siste- rar a otro sean d ‘utadoras, ode que ya for iminalo y no CERT encias de spuesta a pon de virus, malicio. Slocuan- elorigen fa; repre- prenden- tes. Todo. ©s (DOS, ero, un En un tiento de sus anfitriones para enviar una torre de mensajes destructivos a los servidores queson su verdadero blanco En 1998, el Equipo de Respuestas a Emergencias Informaticas (CERT) de tados Unidos comenzé a prevenir a la comunidad cibemtica sobre las incur- siones de DOS, y admitié que: “No podrén prometer que esto desaparezca a orto plazo. La solucién es la proteccisn de todo ciberespacio contra programas depreda- dores que reclutan a decenas y hasta cientos de méquinas inocentes para un taque de DOS. Los proveedores de servicio de Internet deberan instalar filtros n los datos que transmiten, y los auditores debersin cuidar que silo se utilicen cias de seguridad deberan introducir agentes zombies que husmeen en busca de informacién indeseada, 0 bien por medio de rompecabezas criptograficos que abrumen a las méquinas agresoras. Los hackers malévolos, que intentan ers conocidos como de sombrero negro, que intentan divertirse al echarle a perder el dia a un usuario de Internet, en la actualidad son combatides po! medio de hackers de sombrero blanco, que trabajan en firmas de seguridad La misma conexién que hace a la red tan robusta, también la deja vulnera- efecto del eslabén débil de la cadena. La apertura y facilidad con que millones de personas pueden compartir la informacién, también pone en pe gro la intimidad. La mayoria de los ataques no son disefiados para introducirse en los sistemas, sino simplemente para hacerlos més lentos. Pero los allanamien- ias financieres, 0 los tos no son dificiles y pueden venir mds problemas, Silos datos no se protegen apropiadamente, la informacién personal que se transmite en linea deja a la Web vulnerable al robo de identidad. Los funciona rios estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de vulnerar o penetrar las computadoras del gobiemo.* ‘Con un miimero creciente de conexiones permanentes, tales como médem de cable, los hackers malévolos podrian husmear digitalmente por las cerradu- ras las vidas de las personas y la privacidad de las empresas. Los hackers usan herramientas de software para merodear por el sistema, a ian enmendadb. fin de encontrar debilidades que los operadores de redes no Se esta a merced de los administradores de sitios web y de proveedoi wardo contra los defectos y reme- servicios de Internet para mante dios de seguridad, Lo més peligroso es que los hackers en cualquiera de las organizaciones que han sido afectadas por ellos. Porlo anterior, para que el auditor se asegure que la informacidn no sea tan vulnerable: * Se debe utilizar siempre software antivirus y actualizarlo con frecuencia para alejar programas destructivos. * Nose debe permitir que comerciantes en linea almacenen informacion de empresa 0 de las personas. de febrero de 200 230 SEGURDAD VIRUS La degeneracién dol eorvicio DOScaprruLo 6 Capacidad del seguro e debe utilizar contrasefias dificiles que combinen mimeros y letras ys deben cambiar con frecuen, Se deben utilizar diferentes contrasefas para sitios en la red y aplicacions para despistar a posibles hacker Se debe utilizar la versién més actualizada del navegador de red, sof de E-mail y otros program Se deben enviar los ntimeros o informacién confidencial solamente ast scar el icono de candado o Have en el navegador que se busca. Hay que tener cuidal Se deben usar programas de seguridad para controlar los cookies que a vian datos de vuelta a los sitios wet Se debe instalar software para inspeccionar el trafico si se usa DSI médem de cable para conectarse a la red. No se deben abrir agregados de E-mail a menos que se conozca la fie del mensaje recibido. Securos Los seguros de los equtipos en algunas ocasiones se dejan en segundo térming aunque son de gran importancia, Se tiene poco conocimiento de los riesg entrana la computacion, ya que en ocasiones el riesgo no es claro para las com pafiias de seguros, debido a lo nuevo de la herrai ala poca exper existente sobre desastres y al rapido avance de Ia tecnologia ‘Como ejemplo de lo anterior tenemos las pélizas de seguros contra ée tres, ya que algunos conceptos son cubiertos por el proveedor del servi mantenimiento, lo cual hace que se duplique el seguro, o bien que sobrevengan desastres que no son normales en cualquier otro tipo de ambiente. ‘Se deben verificar las fechas de vencimiento de las pélizas, pues pue ceder que se tenga la péliza adecuada pero vencida, y que se encuentre zada con los nuevos equipos. El seguro debe cubrir todo el equipo y su instalacién, por lo que es probaile que una sola péliza no pueda cubrir todo el equipo con las diferentes caractet ticas (existe equipo que puede ser transportado, como computadoras p les, y otras que no se pueden mover, como unidades de disco duro), por lo. tal vez. convenga tener dos o mas pélizas por separado, cada una con las e ficaciones necesarias. Se debe tomar en cuenta que existen riesgos que son dificiles de evalu de asegurar, como la negligencia, El costo de los equipos puede variar, principalmente en aquellos paises tienen grandes tasas de inflacién o de devaluacion, por lo que los seguros deten estar a precio de compra (valor de adquisicién de nuevo equipo con iguale caracteristicas) y no a precio al momento de contrataciGn del seguro, El seguro debe cubrir tanto dafios causados por factores externos (terrem to, inundacién, etc.) como internos (dafios ocasionados por negligencia operadores, dafios debidos al aire acondicionado, etcétera del rarl: des! lop siste pra doa oen estigas y se ftware a sitios tidado ue en bot fuente desas. ide su tual: sbable peci- También se debe asegurar contra la pérdida de los programas (software) -asto de recuperacién de lo anterior En el caso de | 1c tendré en cuenta en el momento de aso arlos e] costo de elaboracisn de determinado equipo, el costo de crearlos nue amente y su valor comercial. En el caso del personal, se pueden tener fianzas abotaje, acciones equipos contra robo, negligencia, dafios causados por el per shonestas, etcétera, Es importante que la direccién de informatica esté preparada para evitar en 2s, equipo de cémputo, asi como al osible el daio fisico al personal, of mas, deberd tener cuidado de que existan normas y sistema de operacidn. Ad rdcticas eficaces ejemplo y en forma genérica, por lo comiin un seguro de equipo de cimputo considera lo siguiente * Bienes que se pueden amparar. Cualquier tipo de equipo electrinico, como: de cémputo, de comunicacién, de transmisién de radio y television, etc Con excepcion de los que formen parte de equipo especial en automoviles, camiones, buques, aviones. ertura bisica cubre contra todo riesgo de pérdida + Riesgos cubiertos. La col stbita, accidental e imprevista, con excepcién de las exclusiones que se in- dican en las condiciones generales de la péliza. Est sidn, implosi6n, arcos voltaicos, cortocireu- bertuira ampara ries gos como: incendio, rayo, ex tos, sobretensiones, etcétera + Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso, como son: terremoto y erupcidn volesnica; huracén, cielén y tiféry equipos miviles o portatiles; huelgas y motin; hurto. ‘+ Exclusiones. Las indicadas en las condiciones generales de cada * Suma asegurada. Fn todos los casos se tiene que reportar como suma ase- gurada el valor de reposicidn de los equipos a asegurar (a valor nuevo sin descontar depreciacion). + Primas, cuotas y deducibles. Dependen del tipo de equipo. + Indemniz tro. Las pérdidas parciales se indemnizan a valor de reposicién (valor nuevo) y las pérdides totales a valor real (valor nuevo menos depreciacién). cin en caso de sini Conpiciones GENERALES DEL SEGURO DE EQUIPO ELECTRONICO Enla péliza de seguro se certifica que, a reserva de que el asegurado haya page- la prima mencionada en la parte descriptiva, y con suje do alos asegurad: cidn a los demés términos, exclusiones, disposiciones y condiciones contenidas 0 endosadas, los aseguradores indemnizaran en la forma y hasta los limites estipulados en pélizacapiuto 6 Una vez que la instalacién inicial y la puesta en marcha de los bienes ae ados haya finalizado satisfactoriamente, este seguro se aplica, ya sea quell bienes estén operando o en reposo, o hayan sido desmontados con el proptsl de ser limpiados o reparados, o mientras sean trasladados dentro de losprali estipulades, o mientras se estén ejecutando las operaciones mencionadil durante el remontaje subsiguiente. Exclusiones genetales Los aseguradores no indemnizardn al asegurado respecto a pérdidas dali directa o indirectamente causados 0 agravados por: + Guerra, invasidn, actividades de enemigo extranjero, hestilidades (Hi sin declaracién de guerra, guerra civil, rebelidn, revoluciGn, insuctesi matin, tumulto, huelga, paro decretado por el patrén, conmocica sv pi der militar 0 usurpade, grupos de personas maliciosas o personas ai do a favor o en conexion con cualquier organizaci6n politica, consprai onfiscacién, requisicisn. destruceién 0 dafio por orden de cualcuier ge no de jure 0 de facto, 0 de cualquier autorided pablica, Reaecion nuclear, raciacién nuclear o contaminacién radiactiva, Acto intencional o negligencia manifiesta del asegurado o de sus repre La compaiia aseguradora en ningtin caso seré responsable por: pénliis dafios materiales, perjuicios o gastos causados, directa o indirectamente, pif falta de funcionamiento o por fallas, errores 0 deficiencias de cualquier dsp tivo, aparato, mecanismo, equipo, instalacién o sistema, sea o no propiedaddd asogurado 0 que esté bajo control a simple posesién, como consecuencia dl incapacidad de sus componentes fisicos 0 légicos, Para efectos de esta clausula, se entiende par componentes l6gicos os ss mas operatives, programas, bases de datos, lineas de cédigo, aplicacionesy demés elementos de computacién clectrénica, también denominades softvary y per componentes fisicos, los dispositivos electrnicos o electromecdaas i les como procesadores, microprocesadores, tarjetas de circuitos impresos dis cos, unidades lectoras, impresoras, reproductoras, conmutadores, equiposde control y dems elementos conocids bajo le denominaci6n genérica de huh No obstante lo anterior, y vinicamente aplicable para los riesgos de inc dio, rayo y/o explosidn, caida de aviones (u objetos caidos de ellos}, vehicles y humo, granizo, terremoto, erupcién yolcénica e inundacién, un dato dire eurride de forma accidental, siibita e imprevista, generado consecuencialmente por las pérdidas 0 dafios excluidos por la presente cléusula, gozard de coberte ra, siempre y cuando se establezea como amparada en las condiciones de trato de seguro. En cualquier accién, litigio y otro procedimiento en el cual los aseguradore alegaran que, a causa de las disposiciones de las exclusiones anteriores, algunt‘sasegu: que Tos ropésito spredios nadas, 0 © daiios iv, poe :presen- Ate, por dispo: Had del sade la 50s, dis tipos de ie hard 2hiculos bert pérdida, destruccién © dafio no estuviera cubierto por este seguro, entonces 243 stars a carg del asegurado el probar que tales pérdidas, di SEGUROS fies sf estan cubiertos por este seguro. Condiciones generales sradores sélo procederé si se observan y a responsabilidad de los aseg cumplen fielmente los términos de la péliza, en lo relativo a cualquier cosa que debe hacer 0 que deba cumplir el asegurado. todas las precauciones razonables cumplira con todas las recomendaciones hechas por los aseguradore: con objeto de prevenir pérdidas 0 dafios y cumplieé con los requerimientos ales y con las especificaciones técnica del fal + Elasegurado, por cuenta propia, tomar * Los representantes de los aseguradores podran en cualquier fecha razona ble inspeccionar y examinar el riesgo, y el asegurado suministrard a los antes de los aseguradores todos los detalles e informaciones nece repre 1 riesgo. + Elasegurado notificard inmediatamente a los aseguradores, por tele , cual material en el riesgo y tomar a su prc costo todas las precauciones adicionales que las circunstancias requieran para garantizar un funcionamiento confiable de la maquinaria ase Si fuera necesario, se ajustardn el alcance de la co sarias para la apreciacion seguin las circunstancias. El asegurado no hard ni admitird que se hagan cambios materiales que aumenten el riesgo, a menos que los aseguradores le confirmen por escrito la continuacién del s + Alocurrir cualquier siniestro que pudiera dar lugar a una reclamacién, s gtin esta poliza, el asegui ado debera Notificar inmediatamente a los aseguradores, por telefono o telégrafy confirmarlo por carta certificada indicando la naturaleza y la exten- sidn de la pérdidas o dafios Temar todas las medidas dentro de sus posibilidades para minimiza la extension de la pérdida 0 dano Conservar las partes dafiadas y ponerlas a disposicién de un represen: tante 0 expe Suministrar toda aquella informacion y pruebas documentales que los ores le requieran. 10 de los aseguradores para su inspeccién. ar alas autoridades judiciales respectivas, en caso de pérdidas « dafios debidos a robo con violencia, asalto y /o hurto. uradores no serdn responsables por pérdidas o dafios, de los cuales no hayan recibido notificacién dentro de un determinado nuimero de dias des tificado a los aseguradores, podra el asegurado llevar a cabo la ‘eparaciones o reemplazos de pérdidas de menor cuantia, debiendo en tod los demas casos dar a un rep) sentante de los aseguradores oportunidad dinspeccionar la pérdida antes de que se efectiien las reparaciones o alters res. Si el representante de los aseguradores no Ilevara a cabo la inspecciéndae tzo de un lapso considerado como razonable bajo estas circunstancias, clas rado estar autorizado a realizar las reparaciones o reemplazos respective. La responsabilidad de los asegurados con respecto a cualquier bien asegh rado bajo Ia péliza cesars; si dicho bien contintia operando después de unt reclamacién, sin haber sido reparado a satisfacci6n de los aseguradores osise realizaran las reparaciones provisionales sin consentimiento de los aseguradons + Elasegurado, por cuenta de los aseguradores, hard y permitiré realizarn dos aquellos actos que puedan ser necesarios 0 requeridos por los aseyue dores para defender derechos o interponer recursos 0 para obtener com Pensaciones 0 indemnizaciones de terceros (que no estan asegurados a esta poliza), y respecto a los cuales los aseguradores tengan o tuvieran recho a subrogacién en virtud del pago de dichas compensacionest indemnizaciones por cualquier pérdida o dao, ya sea que dichos adtre cosas fueran o Tiegasen a ser necesarias o requeridas antes © despues de qa los aseguradores indemnizaran al asegurado. Si en los términos de la péliza surgiera alguna diferencia respectoala fa pagar (habiéndose por otro lado admitido la responsabilidad), ales th vergencias serdn sometidas a la decision de un arbitro designado por sah to por las partes en conflicto * Los beneficios derivades de la péliza se perderén: Sila informacién proporcionada por el asegurado no corresponde al roalidades existontes, sila redlamacién fuera en alguna forma fraud lenta, 0 si se hicieran o se emplearan declaraciones falsas para apy la reclamacién Si al hacer una reclamacién, ésts es rechazada por los aseguradonesys no se iniciara accién @ demandla Dafios materiales Aleance de la coberture. Los aseguradores, en caso de que esté pagada lap 7a, seencuentre vigente y que la pérdida o dao no se encuentren especficameai excluidos, indemnizaran al asogurado por tales pérdidas o dafios, enefectivaa reparando 0 zeemplazéndolos (a eleccidn de los aseguradores) hasta una a ue por cada anualidaci de seguro no exceda de la stuma asegurada asignadia cada bien asegurado en la parte descriptiva y de la cantidad total garantizala por la poli Exclusiones especiales ‘Sin embargo, los aseguradores no serdn responsables, a menos que se esipil. lo contrario en las polizas, de:racio- nden= egies isegu- dores ‘ar to- igura- los en inde- ctes 0 le que es de poya poli- daa + Pérdida o responsabi + Eldeducible estipulado. * Pérdidas 0 dafos causados directa o indirectamente por resultantes de te rremoto, temblor, golpe de mar por maremoto y erupcién volcdnica, cicl6n huracdn. * Pérdidas o daiios causados directa o indirectamente por hurto, robo con 0 sin violencia y/o asalto. + Pérdidas o dafios causados por cualquier fallo 0 defecto existente al inicio del seguro, que sean conocidos por el asegurado o por sus representantes responsables de los bienes asegurados, sin tomar en cuenta que dichos fa llos 0 de + Pérdidas 0 dafos causados directa o indirectamente por fallo o interrup- tos fueran © no conocidos por los aseguradores. ign en el aprovisionamiento de corriente eléctrica de la red piiblica, de ga: + Pérdidas 0 daios que sean consecuencia directa del funcionamiento conti nuo (desgaste, cavilacién,crosién, cor dual debido a condiciones atmosféricas. + Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a menos qite dichos fallos fueren causados por pérdidas.o daiio indemnizable ocurrido a les bienes asegurados, + Cualquier gasto erogado respecto al mantenimiento de los bienes asegura- dos; tal exclusisn so aplica también a las partes recambiadas en el curso de dichas operaciones de mantenimiento. + Pérdidas o danos cuya responsabilidad recaiga en el fabricante o el prove. dor de los bienes asegurados, ya sea legal o contractualmente + Pérdidas o dafios a equipos arrendados 0 alquilados, cuando la responsabi lidad recaiga en el propietario, ya ea legalmente o segiin convenio de arren- damiento y/o mantenimie ades consecuenciales de cualquier tipo. + Pérdidas o dafios a partes desgastables, tales como bulbos, valvulas, tubos, bandas, fusibles, sellos, cintas, alambres, cadenas, neumaticos, herramien- nbiables, lentes, rod tas reca los, grabados, objetos de vidrio, porcelana 0 cerdmica a cualquier medio de operaci6n (por ejemplo: lubricantes, com bustibles, agentes quimicos). * efectos estéticos, tales como raspaduras de superficies pintadas, pulid. pecto a pérdidas 0 dafios pecificadas hayan sido afecta- ‘os aseguradores serdn empero responsables mencionado! ‘mente, cuando las parte Jas por una pérdida o dafo indemnizable ocurrido a les bienes asegurados Entre las exclusiones que pueden contratarse mediante convenio expreso ‘+ Terremoto y erupeidn volednica. © Huracan, ciclén y tifon * Huelgas y conmocién civil Hurto y/o robo sin violencia Robo con violencia y/o asalto. 245Disposiciones aplicables CAPITULO 6 EVALUACION ELASEGURICAD Es requisito indispensable del seguro que la suma asegurada sea igual avail de reposicién del bien asegurado por otro bien nuevo de la misma dase Gi Cidad, incluyendo fletes, impuestos y derechos aduaneres, si los hubiese gi tos de montae. Si la suma asegurada es inferior al monto que debié asegurarse, los guarde con el monto que debi asegurarse. Cada uno de los bienes estardsifl a esta condicién separadamente Bases de la indemnizacién: 4) En aquellos casos en que pudieran repararse los daiios ocurricosa losbigtl asegurados, los aseguradores indemnizardn aquellos gastos que sean neal »s erogar para dejar la unidad dafiada en las condiciones existentes innelil Esta compensacidn también incluiré los gastos de desmontaje y remoriil incurridos con el objeto de llevar a cabo las reparaciones, asi como tambi fletes ordinarios al y del taller de reparacién; impuestos y derechos aduanal si los hubiese, o siempre que tales gastos hubieran sido incluidos en la Sal asegurada. Si las reparaciones se Hevaran a cabo en un taller propiedad dé Nose hard reduccién alguna en concepto de depreciacién respects apa repuestas, pero si se tomaré en cuenta el valor de cualquier salvamento que bienes asegurades inmediatamente antes de ocurrir el dano, se haré el sobre la base de lo estipulado en el siguiente parrafo. b) En caso de que el objeto asegurado fuera totalmente dafiado, robaldl ruido, los aseguradores indemnizaradn hasta el monto del valor actual que tuviere el objeto inmediatamente antes de ocurrir el siniestro, incluyendo tos por fletes ordinarios, montaje y derechos aduaneros, si los hubiera, pre que tales gastos estuvieran incluidos en la suma asegurada Se calcularé el susodicho valor actual deduciendo del valor de repo del objeto una cantidad adecuada por concepto de depreciacién. Los avegu Gores también indemnizaran los gastos que normalmente se erogaran parades montar el objeto destruido, pero tomando en consideracién el valor de sil mento respectivo. El bien destraido ya no quedaré cubierto por la pél bigndose declarar todos los datos correspondientes al bien que k con el fin de incluirio en la parte descriptiva de la poliza. reemplagy partir de la fecha en que ocurra un siniestro indemnizable, la sumaai da, a menos que fuera restituida la suma ase} Cualquier gasto adicional erogado por concepto de tiempo extra, nocturno y trabajo en dias festivos, fletes expreso, etc,, sélo estaré cubiert SH OMmONI OR Ye meso © el seguro si asf se hubiera convenido por medio de un endoso.al valor -y capa ey gas- ‘sasegu- egurada Ti sujeto, 'sbie ‘media: montaje también lasuma ded del I ajuste bado o nal que lo gas- ra des. esalva- mplace, les los gastos por modificaciones, adi nimiento y reacondicionamiento. Segtin la péliza no serén recuper ciones, mejoramiento, man Los aseguradores responderdn por el costo de cualquier reparaciGn provi sional, siempre que ésta forme parte de la reparaci6n final, y que no aumente gastos totales de reparacién, Los aseguradores slo responderén por dafios después de haber recibido a satisfaccion las facturas y docume reparaciones o efectuado los reemplazos, respectivamente tos comprobantes, de haberse realizado las Securipan EN LA UTILIZACION DEL EQUIPO nla actualidad los programas y equipos son altamente sofisticados y s6lo al alle el disefo, lo dan producir algtin deterioro a los sistemas si no gunas personas dentro del centro de cémputo conocen al d que puede provocar que se toman las siguientes medidas: archivos Se debe restringir el acceso a los programas y a los Los operadores deben trabajar con poca supervisidn y sin la participacién de los programadores, y no deben modificar los programas ni los archivos 3, Sedebe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. Como ejemplo de Jos problemas ocasionados por un mal uso de los respaldos esta el de aq lla instalacién en que al mismo tiempo que se capturaba informacién para mas. El capturista capturaba el 15 de enero y en ese momento el programa: ign del 13 de enero. El capturista continuaba capturando pero ya ne en los archivos del 15 sino del dia 13, y cuando volvian nuevamente a poner la informacién del dia 15 descubrian que existia la informacién que habian capturado pero no la encontraka, 4, No debe permitirse la entrada a la red a personas no autorizadas, ni a usai las terminales. 5. En los casos de informacién confidencial, ésta debe usar de ser posible, en forma codific: 6. Sedebe realizar les y di 7. Sedeb 8. Se deben hacer auditorias periédicas sobre el érea de operacisn y Ia utiliza: ao criptografiada. riddicamente una verificacién fisica del uso de termina: e los reportes obtenidos. es estd dando a las termi: monitorear periédicamente el uso que se ign de las terminales. 9. Elusuario esel responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sélo se lograré por medio de los controles adecuades, los cuales deben ser definidos desde el momento del disenio general del sistemaEVALUACON Debe existir una perfecta division de responsabilidades entre los capturs de datos y los operadores de computadora, y entre los operadores yl personas responsables de las libreri Deben existir registros que reflejen la transferencia de informacién entell diferentes funciones de un sistema. Debe controlarse la distribucidn de las salidas (reportes, cintas, ete Se deben guardar copias de los archivos y programas en lugeres sennsll centro de cémputo y en las instalaciones de alta seguridad; por epmplall bancos, Se debe tener un estricto control sobre el transporte de discos y cintasdel sala de cémputo al local de almacenale distante, Se deben identificar y controlar perfectamente los archives Se debe tener estricto control sobre el acceso fisica a los archivos. En el caso de programas, se debe asignar a cada uno de ellos una clave ql identifique el sistema, subsistema, programa y versiGn. Esto nos servirepaa identificar el nuimero de veces que se ha compilado o corrido un progam y permitirs costear en el momento que se encuentre un sistema en pred Gin, También evitard que el programador ponga nombres que no sig quen nada y que sean dificiles de identificar, y que el programador vile Ia computadora para trabajos personales, Otto de los puntos en los que hay que tener seguridad es en el manele informacion. Por ejemplo, existe un gran robo de informacién contidercil pi medio del fotocopiado. Se da el caso de compafias en que sus compstiloas hhan conocido los planes confidenciales por medio del desperdicio de papel bien el caso de una compania que elabord una serie de politicas de pera sumamente confidenciales y que los operadores y, consecuentemente, tal compa, conocié la informacisn al momento de obtener los listadas por me dio de la computacora. Lo més drdstico en este caso es que Tos listados qe obtuvieron eran planes que servirfan como alternativas de solucién. pero qi no habian sido autorizados. Para contrelar este tipo de informacién se debe Cuidar que no se ebtengan fotocopias de informacién confidencial sinl debida autorizacion, Sélo el personal autorizado debe tener acceso a la informacién confidencia Controlar los listacios tanto de los procesos correctos como aquellos pia Controiar el numero de copias, y Ja destruccién de la informacicn y del Papel carbén de los reportes muy confidenciales, El factor mas importante para la eliminacién de riesgos en la programacia 63 que todos los programas y archivos estén debidamente documentados, por lo cual se debe considerar la necesidad de tener un alto grado de seguridad desde el momento de hacer el disefo proliminar del sistema, sigutiando los pa 08 del disco detallado y de la programacién, El siguiente factor en importancia es contar con los respaldos y ci de los sistemas, programas, archivos y documentaciGn necesarios para que funcionar el plan de emergencia, En lo de datos cuanto a: Equiy Cont Defir Requ Estit Estar Aud punt Sec En unm las comy siniestro el motiv menor t futuro ¢ ion ney En existe u establec que oc te posit En} conting An: anudac operatcepturistas dores y las énentre las esajenos al jemplo: los cintss de la sevird para ea » 10 signif ador utilice | manejo de dencial por mmpetidores de papel, 0 He personal te, toda Jos por me ados que se pero que ise debe pial sin la onfidencial quellos pro- acién y del ogramacién € seguridad endo las pa Hduplicados a que pueda En los sistemas de cSmputo en que se tiene sistemas en tie de datos y red de computadoras, se deben tomar medidas de alta s cuanto a npe real, bases ridad en ‘© Equipo, programas y archivos. © Control de aplicaciones por terminal (definir qué aplicaciones se pueden corter en una terminal especifica). ‘© Definir una estrategia de seguridad de Ia red y de respaldos. © Requerimientas fisicos + Esténder de aplicaciones y de control. + Estandar de archives. * Auditorfa interna en el momento del disefio del sistema, su implantacién y puntos de verificacién y control Securipap AL RESTAURAR EL EQUIPO En un mundo que depende cada dia més de los servicios proporcionados por las computadoras, es vital definir proce el motivo que la origins y el dao causado, lo que permitira recuperar en el menor tiempo posible el proceso perdido, También se debe analizar el impacto imientos en caso de una posible falla 0 I detalle 0. Cuando ocurre una contingencia, es esencial que se conozea futuro en el funcionamiento de la erganizacién y prevenir cualquier implica~ cidn negativa En todas las actividades relacionadas con las ciencias de la computacién factores para de existe un riesgo aceptable; es necesario analizar y entender establecer los procedimientos que permitan eliminarios al maximo, y en ca que ocurran, poder reparar el dafio y reanudar la operacién lo mas répidame te posible, En una situacion ideal se deberian elaborar planes para manejar cualquier contingencia que se presente. Analizando cada aplicacisn, se deben definir planes de recuperacién y re anudacién, para asegurarse que los usuarios se vean afectadios lo menos posible en caso de falla o siniestro. Las acciones de recuperacién disponibles a nivel operative pueden ser: © En algunos casos es conveniente no realizar ninguna accién y reanudar el proceso, Mediante copias periddicas de los archives se puede reanudar un pro: ceso a partir de una fecha determinada. © El procesamiento anterior complementado con un registro de las trar- sacciones que afectaron los archivos permitiré retroceder ove uridad del con. mientos realizados a un ivo al punto de tener la se tenido del mismo y a partir de éste reanuder 249 SEGURIDADAnalizar el flujo de datos y procedimientos y cambiar el proceso ni mal por un proceso alterno de emergencia. + Reconfigurar los recursos disponibles, tanto de equipo y sistemas comode comunicaciones Cualquier procedimiento que se determine que es el adecuado paraul caso de emergencia debera ser planeado y probado previamente mientos que puede utilizar, ademas de un conocimiento de las caracterstias de las aplicaciones, tanto desde el punto técnico como de su prioridad, nivelde cervicio plancado ¢ influjo en la operacién de la crganizacién Ademés de los procedimientos de recuperacién y reinicio de la infor ign, se deben considerar los procedimientes operativos de os recursos fsa come hardware y comunicaciones, planeando la utilizacién de equipos que mitan seguir operand en caso de fala de la corriente eléctrica, cami de comunicacion y utilizacin de instalaciones de computo simi otras medidas de recuperacién y reinicio deben de ser planeadas y proba Con frecuencia un problema en algtin programa, un error en los datos error de operacién o una falla del equipo hacen que una corrida en la méqu aborte antes de terminar el proceso. Cuando esto sucede, generalmente no se puede iniciar el trabajo dondes produjo la interrupcisn El objetivo del siguiente cuestionario es evaluar los procedimientos de m8 tauraciGn y repeticidn de procesos en el sistema de cémputo 1. Existen procadimientos relatives a la restauracién y repeticin de procests ‘on ol sistema de cémputo? ss No 2. Enuncie los provedimientos mencionades en el inciso anterior. {,Cuentan los operadores con alguna decumentacion en donde se guard las instrucciones actualizadas para el manejo de restauraciones? En el momento en que se hacen cambios 0 correcciones 2 los programas ylo archivos se deben tener las siguientes precauciones: + Las correcciones de programas deben ser cebicamente aucorizadas j probadas. Con esto se busca evitar que se cambien por una nueva vel ‘ién que anios no ha sido perfectamente probada y actualizade Los nuevos sistemas deben estar adecuadamente documentadoe y oe Los errores corregidos deben estar adecuadamente documenta J es correcciones autorzadas y verifcadas Los archivos da nuevos ragistros.o correcciones ya existentes daben cocumentados y verficadas antos de obtener roportos. Los datos de entrada deden astar debidamente probados y veriicados contra la entrada de datos durante el procesamriento,como de >pe procedi teristicas nivel de informa: queper talternos Estas y >robadas onde se ‘arden amas tas y ¥ pro- sy las leads Pian DE CONTINGENCIA Y PROCEDIMIENTOS DE RESPALDO PARA CASOS DE DESASTRE administracién, por un mal manejo de les, sabotajes sligencia o por ataques deliberados heckos por ladrones, por f o bien por situaciones propias de la organizaci6n (huelgas). El trabajar con po- bilidad de que ocurra un desastre es algo comtin, aunque se debe evitar en lo posible y planear de antemano las medidas en caso de que La organizacion debe tener todos los controles, las funciones y los disposi tivos para evitar un desastre, pero en caso de que ocurra, debe contar con un plan de contingencia que permita restaurar el equipo en el menor tiempo posi ble y con las minimas consecuencias. En cada direccién de informatica se debe establecer y aprobar un plan de emergencia, el cual debe contener tanto el procedimiento come la informacién nudar la operacion del sistema de computo en caso de de- sastre. Algunas compaiiias se resisten a tener un plan para casos de desastre 0 smergencia, pues consideran que es imposible que ocurra un accidente. En los en tiempo real, el plan dificilmente puede ser usado en otro a tinica alternativa es tener una alta seguridad en los equi sistemas en linea 0 equipo, por lo qu: pos o bien computadoras en forma de tandem, sin embargo, es necesario que plan de contingencia con el que se cuenta, permita restaurar el servicio en el menor tiempo posible, con la mejor afectacién a la organizacién El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situacianes de emergencia se tenga la seguridad de e funcionard Segtin una de las ocho grandes firmas estadounidenses de contadores pi itud de los sivo 0 deli- blicos, los planes de seguridad deben garantizar la integridad y ex. atos; permitir identificar la informacién confidencial, de us0 exc proteger los actives de desastres provocados por la mano del hombre y por actos abiertamente hostiles y conservarlos, asegurar la capacidad de la organizacién para sobrevivir a accidentes; proteger a los em- pleados contra tentaciones o sospechas innecesarias y 1a administracién contra cargos por imprudenc La prueba del plan de contingencia o emergencia debe hacerse sobre la base de que un desastre es posible y que se han de utilizar respaldos (posiblemente en otras instituciones). Habré que cambiar la configuracién y posiblemente se tengan que usar algunos métodos manuales, no solo simulando un ambiente ficticio cercano a la realidad sino considerando que la emergencia puede existir Se deben evitar suposiciones que, en un momento de emergencia, vuelvan inoperante el respaldo. En efecto, aunque el equipo de cémputo sea aparente- en la configuracisn, el sistema opera mente el mismo, puede haber diferene tivo, discos, etcétera. 251as revisiones al plan se deben realizar cuando se haya efectuad cambio en la configuracisn del equipo o bien cada seis meses, Una de las pi cipales objeciones al plan de emergencia es su costo; pero, como en el casodeul guro contra incendio, slo podemos evaluar sus ventajas si desafortun mente el desastre ocurre 1 plan de emergencia, una vez aprobado, se debe distribuir entre person responsable de su operacién. Por precaucién, es conveniente tener una cmp fuera de la direccién de informética, as organizaciones pueden ser afectadas en menor o mayor grado ante diferentes tipos de desastres en informatica y las repercusiones variarin segit la dependencia que tenga la organizacidn respecto a la tecnologia as organizaciones deben de identificar su procesos criticos, el tiempo. recursos para restablecer el servicio ante una contingencia, por lo que al pr ‘ecto del plan debe tener una alta prioridad plan de contingencias anteriormente s6lo tomaba en cuenta los prowsts basados en la computadora. Sin embargo, se debe considerar todo aquello que asegure la continuidad de la organizacién, incluyendo regist documentacién fuente in virtud dela informacisn que contiene el plan de emergencia, se cons ard como confidencial o de acceso restringido. aclaboracién del plan y de los componentes puede hacerse en forma ind pendiente de acuerdo con los requerimientos deemergencia. La estructt considerar facilitar su actualizacién, Puan DE CONTINGENCIAS El plan de contingencias y el plan de seguridad tienen como finalidad prove a organizacion de requerimientos para su recuperacién ante desastres. 108 desastres pueden clasificarse de la siguiente manera: Tipos Destruccidn complet de desastres Destruecidn parcial del centro de cémputo. Destruccidn o mal funcionamiento de los equipos auxiliares del centro de cémpute (electricidad, aire acondicionado, etcétera). a del centro de cémputo. Destruccidn parcial o total de los equipos descentralizado: Pérdida total parcial de informacién, manuales 0 documentacién Pérdida de personal clave Juelga 0 problemas laborale 1a metodclogia tiene como finalidad conducir de la manera mas efectiva un plan de recuperacidn ante una contingencia sufrida por la organizacién 1 plan de contingencia es definido come: la identificacién y proteccidn de los procesos criticos de la organizacion y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecucién, protegiendo estos recurso:fhado a de las prine Fleaso de un fafortunada: Htre personal bruna copia nte los tiempo y los } que el pro- los procesos quello que maruales y forma inde tuctura debe Kd proveer a bres Hoontro de fizacion famantencr recursos y preparando procedimientos para asegurar la sobrevivencia de la organizacién caso de desastre. En la elaboracisn del plan de contin ejecutivos de la organizacién y el personal usuario y técnico de los procesos. encias deben de intervenit los niveles Para la preparacién del plan se seleccionari el personal que realice las acti- ies clave de éste. El grupo de recuperacién en caso de emergencia debe ink (por ejemplo, los jefes de operacién, de andlisis y programacién, y de auditoria interna). Cada tino de ellos debe tener do por personal de administraciGn de la direcci6n de informatica equipo de respaldo, la interfase administrativa y la de logistica, por ejemplo, ¢ proporcionar los archivos necesarios para el fancionamiento adecuado. Cada miembro del grupo debe tener asignada una tarea y contar con una persona de spaldo. Se dabers elaborar un directorio de emergencia con teléfonos part lares que contenga ademas los nombres y direcciones, Este deberd estar almace nado en un lu Entre los objetivos del plan de contingencia se encuentran: r seguro y accesible + Minimizar el impacto del desastre en la organizacién. ‘+ Establecer tareas para evaluar los procesos indispensables de la organi- ‘+ Evaluar los procesos de la organizacién, con el apoyo y autorizacién re pectivos a través de una buena metodologia. * Determinar el costo del plan de recuperacion, incluyendo la capacitacién y laorganizacién para restablecer los procesos criticos de la organizacién cuan- do ocu tuna interrupdién de las oper: La metodologia del plan de contingencias determina los procesos criticos la organizacién para restablecer sus operaciones y debe tomar en cuenta ser eficaz y eficiente, los aspectos legales, el impacto d esgos para que sobreviva la organizacidn. El plan de conti sncias debe contemplar lo siguiente + Lanaturaleza,la actividades de la organi extensidn y le complejidad de Bg © El tamaio niimero de usuarios) * La evaluacion de los procesos considerados como criticos. ado de riesgo al que la organizacién esté expuesto. las instal de la organizacién (centros de cémputo y nuimero de procesos criticos. = La formulacién de las medid nivel de seguridad requerido. ‘© La justificaci6n del costo de implantar las medidas de seguridad de seguridad necesarias dependiendo del Entre las etapas del proyecto del plan de contingencias estén Analisis del impacto en | Seleccidn de la estrategi Preparacién del plan. Mantenimiento. IN Y PROCEDIME! ESPALDO Objetivos et plan de contingencia Metodologia del plan de contingencia Etapas del plan de contingenciascarttuto 6 Impacto en la organizecién Procedimientos alternos El proyecto comienza con el analisis del impacto en la organizacisn, Dun caso de no estar en funcionamiente, + Clasificar a instalacion en términos de riesgo (alto, mediano, pequene) identificar las aplicaciones que tengan un alto ries aplicaciones con un alto riesgo. Algunas instalaciones y sus aplicaciones tienen un alto grado de resp por lo que, si es que el servicio se interrumpe cierto periodo, la organizacieng Ja comunidad sufriré un gran impacto; otras pueden fécilmente continua a operaciones sin afectar grandemente a la organizacion por medio de la uti cidn de métodos manuales Se debe evaluar el nivel de riesgo de la informacién para hacer un adeaat do estudio costo /beneticio entre el costo por pérdida de informacién y el de un sistema de segurida Para clasificar el riesgo ¢ identifica las aplicaciones de alto riesgo debemel >reguntarnos qué sucederia si no se puede usar el sistema. Si la respuesta gs que no se podria seguir trabajando, entonces estamos situados en un sistemade El sistema de reservaciones de boletos de avion. Este es un si fiesao. De menor riesgo podria ser la némina y por ttimo el de la o (en periodos normales, no en periodos de entraga de informacién conteble) La siguiente pregunta es: zqué implicaciones tiene el que no se recupered sistema y cuanto tiempo podrfamos estar sin utilizarlos? Enel caso de reservaciones en linea y en tiempo real, no se puede trabajar nose cuenta con el sistema, y no podemos estar sin él més que unos minutos B el caso de la némina depende de cuando se debe entregar (semanal, quincend mensualmente), lo mismo que la contabilidad. (Existe un provedimiento alterno y qué problemas nes ocasionaria? En reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la om >aivia no es posible debido a las redes y a los bancos de datos. El procedimien alterno consistiria en que sélo se reciban reservaciones en una oficina obienque se estén comunicando por teléfono para que una oficina concenire las reservaciones. Sin embargo, esto provocaria una gran ineficiencia y un pésima ervicio. Al terminar la emergencia se deben dar de alta en el sistema lis reservaciones captadas manualmente En el caso de la némina se puede hacer de forma manual (lo cual puede resultar muy complicado) o bien pagar lo mismo que la némina anterior (logue provocarfe reclamos por parte del personal al que se le pague menos) y después de la emergencia procesar la ndmina nueva y sacar un programa que perma pagar la diferencia de mas o de menos y ajustar los impuestos. En caso de con ar con respaldos se puede tener como procedimiento altemo procesarlo énot sistema, La contabilidad puede hacerse en forma manual o bien, en caso de tenve aldo, procesarse en otro sistema, proble pasar dos en energi deben1 Duran- quefo) e aquellas: 1 riesgos, autiliza- adecua: el costo debemos yuesta es stema de uupere el tutos. En. fincenal, imiento bien que atre las tpésimo, A pue (lo que después permita ¢ ha hecho en un caso de emergencia? Enel caso de sistemas como el 2s, de bancos o casas de bolsa, el tinico procedimiento para evitar Q\ © en paralelo) que permitan mas es tener sistemas simulténeos (tande Je un equipo a otro en forma instantanea, disponer de sistemas duplica- dos en areas criticas (aires acondicionados, discos, etc.) y contar con sistemas di evergia no interrumpible (n0-b deben tener mayor seguridad. Para evaluar la instalacidn en térm ya que debido a su alto riesgo son los qu: nos de riesgo se debe: nas que contengan infor: a 5 + Clasificar los datos, la informacién y los progr maciGn confidencial de alto valor dentro del mercado de competencia di una organizacién, asi como la informacién que sea de dificil recuperacién. # Tdentificar aquella informacién que tenga un gran coste financiers en caso Je pérdide o bien que pueda provocer un gran impacto en la toma de deci * Determinar la informacién que pueda representar tuna gran pérdida en Ia organizacién y, consecuentemente, provocar incluso la posibilidad de no se pueda sobrevivir sin esa informacién. in ejemplo de alto riesgo puede ser la informacién confidencial de tipo ional o bien la informacién sobre el mercado y Ia publicidad de una com Para cuanti veles administrativos directamente afect revistas con los altos ni efectuar dos por la su jue les puede causar este tipo de s- icar el riesgo es necesar nsidn en el proce niento para que cuantifiquen el impacto Existe una importante etapa para identificar cada proceso de la organizs- ién, para determinar los procesos que son criticos en su continuiclad y para definir los procesos que deberén estar incluidos en el plan de contingencias, Se én del plan de conti rata de un paso vital en la implementa Existen diferentes métodos para determinar los procesos critics de una * Todos los procesos criticos, Con este método, la decisién es tomada por todos los departamentos y se parte de que todas las funciones de cada de se eliminan uno o dos departamen- partamento son criticas. Por lo general tos, pero casi todo es dlasificado como critico. Si se elige este método, se deben enlistar todas las funciones de cada departamento. Este método no es recomendable porque elaborar el plan contingencias requeriré de mucho tiempo. Seria costoso y Hevaria tiempo respaldar todas las funciones en todos los departamentos. * Mandatos de los gerentes. Este método astme que los gerentes conocen los elementos criticos para mantener un aceptable nivel en izacién. L intuicion de los, dentificacion de funciones criticas es hecha en base a gerentes. El beneficio de este método es el tiempo que se ahorra durante la fase inicial. Lo peligroso es que esta basado en una intuicién y éste no es un analisis riguroso 255 Metodos para determinar los procesos criticos* Analisis de riesgos financieros. Consiste en la determinaciGn de pérdilas siete fnancieras por cada funcién y proceso de la organizaci6n. Esto se obit EVALUACICN por la determinacién de la probabilidad de un desastre y la pérdida anu LA SESURIOAD s comparado con el nivel de pérdida financiera aceptable para la org zaci6n. Son criticos aquellos procesos de los que se esperan grandes pé das. Sin embargo, no se puede determinar exactamente el riesgo. Andlisis del impacto en la organizacién. La metodologia del plan de conti gencias se basa en la técnica de analisis de impacto en la organizacién, Fat Ilo se distribuyen cuestionarios para todos los departamentos de la os nizacidn. Los cuestionarios completes y Ia informacién obtenida dusale as entrevistas definen los criterios para determinar los procesos cris te método tal vez. tome més tiempo inicialmente que el de “todos los ps 308 son criticos”, Sin embargo, disminuye considerablemente el tiem el dinero cuando se desarrolla el plan de recuperacién. Los cuestionarios y entrevistas persiguen los siguientes objetivo Objetivos de ta tificar los procesos criticos y necesarios de técnica de anilisis del impacto dependencias criticas de los sistema: - tificar los procesos crticos en cuanto a la imagen y operacionalidadd a organizacién, asi como sus repercusiones en caso de suspenderse sti Determinar los procesos con probabilidad de ser destruidos, tomando @ cuenta periodos de pérdida especificos (tres horas, un dia o una semana} Definir recursos alternativos de informacién y servicio Determinar el costo financiero de un desastre y el probable tiempo de a dontificar amenazas especificas de cada proceso critica (instalacidn deli ecificar los sistemas que ponen en riesgo la continuidad de las opered Después de que la informacion esté reunida gracias a las entrevistas ls cuestionarios, se analizard para determinar cada proceso critico. La clasifice cién de los procesos seré el resultado del andlisis, diseutido con la gerendag direccién, para asegurar que todos los procesos son apropiados, se incluyan el plan de contingencias. Los procesos que son identificados como critics @ Informacion objetivo de la informacién preliminar es crear una muestra de cuestion preliminar ios y conducir las entrevistas preliminares con el fin de identificar process criticos para la continuidad de las operaciones fundamentales de la organizadiéa sta tarea comienza con el diseito, la creacién y la prueba de los cuestie os cuestionarios en el anilisis del impacto de la organizacién son usa para dirigir las entrevistas, ‘0s cuestionarios deberdn servir para analizar a detalle las funciones cas de la organizacién cin, es mente ¢ de deci: Elp Las Los Los Dey Dey Per seg Cot Ree De: Nii Mé Pro Priv Las cluyen ternatiy Co cados « mencic proces: tadora ticas. De Estasepérdidas « obtiene da anual. la organi- ies perdi ie contin- ‘én. Para, ela orga- 2 durante s criticos. isles pro- tiempo y se su uti- mando en semana) oderecu- operacio- stas y los. huyan en atitcos en proceso: fanizacion. as cuestion Un beneficio adicional al de analizar los procesos criticos de la organiza ciin, es conocer la documentacién e integraciGn de la informacién que usual mente estd en propiedad de diversos individuos, lo que ayuda a la mejor toma de decisiones El propésito de las entrevistas preliminares es para identificar lo siguiente eas vitales de la organizacién para que la corporacisn sobreviva * Los componentes criticos entre cada drea de la organizacién. * Los sistemas esenciales para cada érea de la organizacién + Dependencia y facilidades de soporte * Dependencia e impacto en otras reas de la organizacién, * Pérdidas financieras directas y costos de recuperacidn involucrados en el guimiento de las pérdidas, * Costos de un probable desastre como repercusion en las ventas. + Responsabilidad de los entrevistadas + Descripeién del trabajo realizado y procesos involucrados ‘© Numero de personas y habilidad requerida para realizar el pro * Métodos alternativos de posibles procedimientos. + Procedimientos sugeridos de recuperacién. + Prioridades de recuperacidn, as guias de andlisis de las areas de la organizacion deben ser usadas para asistir en Ta generacién de discusiones en diferentes procesos criticos. Estos in- luyen componentes esenciales sugerides, dependencias criticas, recursos al jernativos y probabilidad del impacto de destruccién para diferentes areas. Como la mayorfa de los planes de contingencias en el pasado estaban enfc jos en las op mencionar en las entrevistas que el pian de contingencias debe cubrir todos 1os procesos de la organizacién. Algunos de los que no estén basados en la compu- iadora deben ser discutidos y debe llenarse el cuestionario de las funciones cr asadas en los sistemas autométicos, es necesario Deben realizarse entrevistas con los jefes de departamento para obtener una revisién inicial de la organizacién y confirmar la naturaleza y sus pro stas entrevistas deben incluir lo siguiente + Antecedentes de la organizacién, como su naturaleza, Iineas de productos, rransacciones anuales (compras y ventas), mercado y competidores. + Arwas de la organizacién y jofes de departamento + Informacién estratégica y decisiones de operacién, * Seguridad en el centro de computo y en las areas mas importantes de la + Algunos riesgos especificos que pongan en peligro los procesos criticos de la organizacion, * Conocimiento de los requerimientos legales (multas, esténdares de la in- dustria, requerimientos de auditoria en relacién con el plan de contingen * Algtin plan de contingencias emprendido. Propositos de las entrevistas Elemento de las entrevistasLos directives deben conocer la informacién general para el mantenimien carimuos dela organizacién, pero tal vez no tengan el conocimiento especitico dela Evaluacon formacién. DE LA SEGURIDAD La informacisn requerida para el proyecto del plan de contingencias pucle existir en varias formas en la organizacidn, Se deberd obtener la documentacidn existente que contenga antecedent dela organizacién. Estos deben incluir Recoleccién Organigramas, de dato Descripcida de procesos operativos Medidas de seguridad existentes contra desastre. Seguros Procedimientos de desasires existente: Ademas de las entrevistas generales, se requiere informacién mis deal da sobre los sistemas automiticos, Durante las entrevistas con el jefe de ini matica y con especialistas se deberdn revisar los sistemas y sus componeniey esenciales, como son’ Componentes ‘éminos de informacién, estrategias tecnoldgicas y propésitos de des de los sistomas Ilo de sistemas. autométicos Personas de informatica y detalles de escritorio. Instalaciones de informatica y funciones especificas, Hardware requerido, modelo y configuracién ‘Comunicaciones, redes, LAN, WAN (incluyendo microcomputaxto Periféricos, como terminales, impresoras y capacidad de disc Facilidades esenciales de soporte, 10s de proceso, Procesosen linea y batch Lista de las aplicaciones mayores, Plan de contingencias existente. Localizacién y frecuencia de respaldes de programas y datos. Historia de fallas en el sistema Los cuestionarios deben distribuirse en todos los niveles de la organize cién, principalmente entre los empleados que usan y manejan sistemas dials mente, para asegurar que toda la informacién relevante sea revisada. Los cuestionarios de las funciones criticas deben ser distribuidos al misma tiempo que los cuestionarios del impacto en la organizacisn y junto con inioe maci6n concerniente a los propésites de las entzevistas, procedimientes, dure ciones y tiempos,lenimiento 0 de la in- puede jecedentes ds detalla~ ede infor- aponentes Bascom tas diaria. tbs, dura- Cuestionarios para andlisis del impacto en la organizacion Las entrevistas y cuestionarios sobre el enélisis del impacto de la organizacién n Jos jefes de departamento is del impacto de la organizacién deberdn deberan basarsé en las discusiones Estos cuestionarios sobre el andi las discusiones con los jefes de departamento. Suntas especificas, sino de lasdreas basarse e1 Estos cuestionarios no deben plantear pr en general. Las entrevistas deberén También tenderdn que ser incluidas otras dreas no automatizadas que pue den tener informacién critica y recursos fisicos (maquinaria) para la continut dad del funcionamiento de la organizacién A continuacién ofrecemos un ejemplo ¢ ‘obre el andlisis del impacto en la organizacién ser consistentes. CUESTIONARIO SOBRE EL IMPACTO 1. {Cuales areas det negocio son de mayor responsabilidad? Do éstas, identifique los componentes que en su opinion son: * Lo esenclal para que la organizacion sobreviva. * Lo esoncial para mantener las funciones mas importantes de la organ'- * Funciones no criticas para la organizacién y que pueden ser suspendida: temporalmente en un evento de emergencia, 2. Eudes son las consecuencias financieras de la perdida de un componente clave de la organizacion? + {Ouales son las consecuencias del deterioro de la imagen ante la pércida de un componente clave de la organizacion’ (Ejemplo: problemas laborales) * Provea la informacisn bdsica de cada componente de tu responsabilidad Esto puedo cor on forma de diagrama do fly, ol cual debord idontiticar entradas y salidas en las areas de la orgenizacisn. Debe inclu funciones sistematizadas, funciones manuales y sus interdependencias. 3. Con qué informacién y faciidades cuenta en cada area de la organizacion? cuestionario para guiar la entre- 259URIDAD Se deben identificar todos los recursos internos y externos de datos, ali ciones yor computadora y las facilidades con las que se cuenta, incluyendopm sonal clave y comunicaciones, Los cuestionarios de funciones criticas son disefiados para recolecariil Gn que refleje Ia importancia de cada proceso en la orgenizacisn, y pal evaluar qué tan critica puede ser tna funcidn, o si es posible que éste se dele durante un periodo determinado. Debera ser aplicado un cuestionario paracadh proceso. Para determinar lo que es “critico”, se debe usar la medida de “tolerane que es definida como Ia capacidad de continuar con los procesos durante i interrupcidn de las actividades normales de la organizaci6n. Sila toleranciadp tun proceso particular es pequeiia, el proceso es probablemente crtico. La ti rancia puede y debe ser cuantificada en términos monetarios, de impacto all organizacién y de impacto ala imagen de la organizacién, Los usuarios deben conocer el valor de los sistemas criticos, porque dll son los responsables. La experiencia muestra que son normalmente imparcls para evaluat lo critico de sus sisten Laspreguntasdeben ser directas para determinar procesoscriticos ysedéa buscar métodos alternativos. CUESTIONARIO DE FUNCIONES CRITICAS Cepatemenos oe eye Division Teletono. Oficina Nombre de la juncién Dascripeién de Ia funcién COMENTARIO. Con qué frecuencia es realizada la tuncion? ‘Anual —-Semestral. ~—«Mensual. «== Semanal tra explicacién: {Cusl serfa el costo para fa organizacidn siesta funcién no fuera realizad Por dia? $ Por semana? §. Por mes? § Estimar cusl seria ol costo adicional (multas, pérdidas de arrondamisn, cconttaios cancelades) en qué organizacion puede inclurir si esta funcidn nd es reallzadar Por dia $ Por semana $ Por mes $_ido per {La vida humana es puesta en riesgo si esta funcién no se realiza? {La organizacion tendra conticios si esta funcion no es realizada? {Esto impactaria la operacién oficionte dontro de la oxganizacion? LE! servicio a los clientes es afectado por la no realizacién de esta funcién? Los requerimientos legales pueden no ser cumplidos sin esta funcién? CUESTIONARIO DE OPERACION clo de una hora de interrupcion en el centro de cémputo * La mayor interrupoién operacional en el servicio al cliente es pos de personal totalmente parado + Inconvorionte, pero el contro de las a ividades del negoo ntacio. O) + Esencialmente insignificante. Impacto de una interrupcisn total en el centro de cSmputo, durante dos o tres + Casi fatal, no hay fuentes de respaico. a) + Facilidades de respaldo extemas, menores ingresos nayores costo: ) * Caro. Algunos prosesos puaden sor procovades. ) Aplitud del personal observado en caso de emergencia + Enel centro de cémputo la fuerza de trabajo es organizada.( ) + Son inexpertos (medios organizados) O) + Son desorganizados, i) Numero de operaciones crticas en sistemas en linea o en sistema en batch: y O) : ) : 0) Localizacién de los sistemas: + En.un area especiica ia + Enos 0 tres areas. ) * Corte por multiples departamentos. 0) 261dida, copia ment Li 6. De taal recuperacion después de la Interupcion: capirucos EVALUACION DE LASEGURDAD + 304 dias en sistemas criicos. + 12.0 24 hocas en sistemas oritioos. + Sin problemes (recuperacion inmediata). Control de recuperacion después de: la interruncion: ‘+ Mucho tiampo consumico y costoso por los sistemas, Interrelacionados, + Aiguna interrugcion. ‘+ Rolativamente répido, dafo controlaco, * Parcialidad de copias manueles. + Imposible. + Aigo posibe. + Rolativamente fac Seteccion DE LA ESTRATEGIA Una ver que hemos definido el grado de riesgo, hay que elaborar una lista dé los sistemas con las medidas preventivas que se deben tomar, asi como hi correctivas en caso de desastre, seftaléndole a cada funcidn su prioridad EI siguiente paso es identificar y comentar procesos alternativos para pi ces0s identificados como exiticos en la organizacién. $i existen otros proce mientos con recursos similares aprovechables, éstos podrn ser conside! como posibles procedimientos alternos. En caso de desastre se procuraré trabajar los sistemas de acuerdo con si prioridades, ya que no se podré hacer en otra instalacién en la misma form) como se venian trabajando en la instalacién original. Cada tina de los riesgos y st probabilidad de acurrencia deben ser identi cados Las medidas de prevencion de desastre deben estar respaldadas en un it gar seguro. Se debe considerar y evaluar rangos de estrategias de recuperaciin posibles, para que al final de esta etapa de seleccidn una sea clegida El plan de recuperacién de la organizaciGn es proyectado y probado, Si preparacién requiere de la participacién de! personal de la orgenizacisn pa asogurar que ésiot sean miembros dal plan y que estén disponibles cuando te se lleve a la préctica, Documentacion Es importante contar con la documentacién completa del plan de conti del plan de gencia para ser usada en caso de desastre. Esta dehe ser evaluada y aprobadi contingencia periddicamente reviseda para actualizarla. Toda la documentacién as¢ciada con 1 plan de contingencias y el control de procedimientos juega un importante papel dentro de la organizacién Después de que cl plan de contingencias sea desarrollado, los documentos deberan archivarse en un lugar que esté protegido de desastre, deterioro 0 pttallisia de 3 procedi- Siderados ridentifi en un lu Ybado. Su cin para ando éste le contin- probada y Gada con aportante cumentos 100 pér- dida, pero accesible en caso de contingencias. A cada director se le dard una 263 ia, a cual deberd incluir la versién, la fecha y el lugar donde estaré el docu- px gy pe nento. CONTINGENGIA Los datos que contendra para su identificacion son: + Titulo del documento. + Identificacién 0 ntimero de referencia. + Numero de la version y fecha Elementos de la + Autor documentacion + Nuimero de versién. La vida del documento tendré varios cambios. Lo: lineamientos a seguir para controlar las versiones sor: Historia, Numero de paginas. Aprobacién del documento Contral de cambios, Distribucién del documento. Los departamentos deben tener implantada su propia estrategia de respal- do, Se debe asegurar que el personal asignado ala tarea de recoleccién de datos, esté correctamente instruido. El personal de procesamiento de datos frecuentemente no estd enterado de la importancia funcional de los sistemas que soporta. Es més apropiado en la: aplicaciones criticas automatizadas consultar a los usuarios 0 a los jefes de de partamento. De cualquier manera, el depariamento de procesamiento de datos conoce el procesamiento a detalle de estas aplicaciones Al finalizar el plan de contingencia, éste debe contener Elementos del plan de contingencias + Elsefialamiento de los procesos eriticos. * Su impacto. + Prioridad. + Tiempo en que puede estar fuera de servicio. + Informacidn existente de cada proceso (procedimientos y politicas). + Documentacién para la recuperacién. Por cada proceso, se requiere del usuario de Software Hardware, Recursos materiales. Personal Consumibies. Utilerias. > Sistemas de comunicacién. Redes, Transporte. Bases de datos. Archivos (respaldos}Para evaluar las medidas de seguridad, se debe espec saunces * Laaplicaciér, los programas y archivos Las medidas en caso de desastre, pérdida total, abuso y los planes neve plazos. El planen caso de desastre debe incluir La documentacién de programacién y de operacién, Los equipos. El equipo complete. El ambiente de los equipos. Datos, archivos, papeleria, equipo y accesories. Sistemas (sistemas operativos, bases de datos, programas de utileria gramas). Al final de esta etapa, el plan de recuperacidn entra en una fase de p para asegurar que se trabaja en forma eficient: El plan en caso de desastre debe considerar todos los puntos por separad en forma integral como sistema, La documentacién estar en todo momen tan actualizada como sea posible, ya que en muchas ocasiones no se actu las tiltimas modificaciones, lo que provoca que el plan de emergencia no pue ser utilizado, ‘Cuando el plan sea requerido debido a una emergencia, el grupo deberd Pruebas Asegurar que todos los miembros sean notificados. del plan Informar al director de informatica, de recuperacién CCuantificar el dano o perdida del equipo, archivos y documentos para def nir qué parte del plan debe ser activad: Determinar el estado de todos Ios sistemas en proc Notificar a los proveedores del equipo cual fue el dao. Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en cuenta Elaboraci6n de una lista con los métodos disponibles para realiza ‘ialamiento de la posibilidad de alternar los procedimientos de ope raci6a (por ejemplo, cambios en los dispositivos, sustitucién de proce sos en linea por procesos en lote), sefialamiento de las necesidades para armar y transportar al lugar de Que se requieran Estimacién de las necesidades de tiempo de las computadoras para un respaldo todos los archivos, programas, etc periodo large Cuando ocurra la emergencia, se deberd reducir la carga de procesos, an lizando alternativas comeDy largo parado momento tualizan wo pueda ara defi de ope e proce ugar de + Posponer las aplicaciones de prioridad mas baja Cambiar la frecuencia del proceso de trabajos. Suspender las aplicaciones en desarrollo, Por otro lado, se debe establecer una coord de seguridad a fin de proteger la inforn +ha con el personal Hay que tener mucho catidado con la informacién que sale de la oficina, y la ma en que es utilizada asi como preveer que sea borrada al momento de dejar la instalacién que esta déndole respaldo Respecto a la configuracidn del equipo, ‘ay que tener toda la informacién correspondiente al hardware y software del equipo propio y del respaldo. Deberan tenerse todas las especificaciones de los servicios auxiliares, tale: -omo energia eléctrica, aire acondicionado, etc. A fin de contar con servicios de respaldo adecuades y reducir al minimo las restriccic an tomar en cuenta las siguientes consideraciones: + Minimo de memoria principal requerida y el equipo periférice que permita procesar las apli + Se debe tener d © En caso de re jones esenciales, amentados los cambios de software. Ido. el tiempo de computadora disponible. otras instituciones, previamente se deberd con conveniente incluir en el acuerdo de soporte reciproco los siguier * Configuracién de equipos + Configuracidn de equipo de captacién de datos. * Sistemas operatives. * Configuracién de imente, se deberd tener una lista de los requerimientos minimos para 1n efectivo plan de recuperacién en caso de desastr ‘0 mas importante es identificar el nsimero y tipo de componentes esenci les que puedan ser criticos en caso de emergencia o de desastre, para lo cual ofrecemos el siguiente cuestionario: ‘A) Equipo principal (equipo, canales de comunicacién, memoria, eteétera) Equipo Proyecto en Es esencial fabreante cl equipo para procesar? B) Unidades de disco {incluyendo controladores, némero de unidades, paque- ies de discos, numero de discos por paquete). bricante —-Niimero de Capacidad Proyectos 2 Es esencial unidades para procesar? ©) Unidades ce cinta, 265 DE AESPALDO "ARA CASOSUnidades de almaconamionto (en linea o fuera de Iinea), Equipo peririco (lectoras, impresoras, etcetera) Unidades de comunicacién, controladores, Namero de Proyecto en) 2Es esencal equipos equipo ppara procesar? Sistemas operativos. Terminales. Equipo adcional + Electricidad KVA + Aire acondicionado BTU, + Temperatura requerida, + Humodad requerida. RED DE COMUNICACION ‘pcién do la red de comunivacién, En caso de emergencia, £es esencial el uso de la red de comunicacién? Daserba el porqué de su respuesta tw Programas necesarios para la comunicacon. Se debe contar eon: Copia de programas de procuccion. ey Copia de archivos maestos de las aplicaciones clave y sistemas operatives. a) Copia de la documentacién de los sistemas e instructivos de operacion Oe) Copia de los archivos necesaris para procesar las transacciones, oO) Inveniario de formes especiales utlizadas en ja operaciOn normal (se de ben incluir tambien papeleria normal, cintas magnéticas). ( ) Un local con las instalaciones necesarias (energia, aire acondicionado, piso adecuado, etcéter). a Convenios para el uso de comoutadoras compatibie ()(G0n? Yatvos, zien, Es importante que en la prueba del plan exista disciplina en la ejecucién. La disciplina es importante no sélo para facilitar la recuperaci6n, sino para dete tar problemas (en el momento del desastre), con el fin de minimizar la pérdida de vidas y costos. Deberd existir un coordinador de la recuperacién, quien debe ser el encar- gado de las pruebas, El plan de conting 1 nido y revisado regularmente para que refleje los cambios en la organizacion o modificado adaptando los procedimientos. Después de la creacién inicial, el plan debe ser formalmente revisado, por sncias debe ser elaborado aseguréndose de q varios meses se debe asegurar que los procedimientos de recuperacién hayan sido mantenidos y probados apropiadamente 267 ‘Mantenimiento del plan de contingenciasInterpretacion de la informacion CAPITULO OsJetivos Al finalizar este capitulo, usted: Ce Comprendera cémo se e 1 a las 18 2 3. Definiré los diferentes tip: 4 5 Desoribira la importancia Conocara cémo realizar controles er para la interpretacion de la informacion del sistema, altia el grado de madurez dal sistema, de evaluacién de los sistemas de informacién. auditoria. onclusiones de la aucitoria270 wees Tecnicas PARA LA INTERPRETACION DE LA INFORMACION Para interpretar la informacién se puede utilizar desde técnicas muy sencillas hasta técnicas complejas de auditoria, Anausis CRITICO DE LOS HECHOS Pregunta Qué Dénde Cusindo Quien Cémo ‘08 medios Cusnto La cantidad La pregunta mas importante es qué, pues la respuesta permitird saber puede ser ptenida, Cada interrogante se debe + Pore . * Qué otra cos. © Qué deberia ha + Donde se hace. * Por qué se hace ahi© En qué otto lugar podria hacerse © Dénde deberia hacerse © Por qué se ha Cuando po © Cuando debe 4. Persona: © Quién to hace = Por qué lo hace esa persona. © Qué otra persona podria hacerlc © Quién deberia hacerlo, 5. Medios: = Cémo se hace * Por qué se hace de ese modo * De qué otro modo podria hacerse = Como deberia hacerse 6. Cantidad Cuanto se hace Por qué se hace Cudinto podria ha Cuanto deberia hacerse ntidad (volumen), Meropotocia PARA OBTENER EL GRADO DE MADUREZ DEL SISTEMA Para poder interpretar la informacién de los sistemas se debe evaluar el grado de madurez de los mismos: ‘© Vorificar si el sistema esta definido. = Verificar si el sistema estd estructurado. ‘© Verificar si el sistema es relativamente estable, * Verificar si los resultados son utilizados 0 no. Caracteristicas Maduro Inmaduro Definido Completamente Incompleto Estructurado Alta Baja Estable No cambia Muchos cambios Resultados tilizados No utilizado amt TEcNICAS272 Dependiendo del grado de madurez y de su grado de estructuraciing arituo7 determina si debe estar austomatizado y la posible madurez que repercutial APRETACION una mejor utilizacidn y en disminucién de cambios. PELAINFORWAGIGN Si el sistema estd estructurado y maduro se debi6 usar la técnica de site de informacisn; si estd estructurado pero no esté maduro se debié seguit i ciendo manualmente; si estd semiestructurado y maduro se podré usar até -a de soporte en la toma de las decisiones (DSS = Decision System Suppor} Si el sistema esté semiestructurado pero no esté maduro debi sezuist haciendo en forma manual; si no esté estructurado y maduro, es un sistent guiado por la intuicién y deberd seguirse haciendo en forma manual. Si ro.stf sstructurado ni maduro el sistema no tiene razén de existir Nivel madurez Maduro Inmaduro Nivel estructura Estructurado Sistema de general Semiestructurado Sistema de Manual de decis No estructuraclo in Sin razon Uso de diagramas Otra forma de analizar los hechos es seguir la ruta de la informacién desde origen hasta su destino, y disponer de este camino en una secuencia cronolég con el fin de clarificar dénde aparece, cémo avanza a lo largo del sistem cémo llega asu destino, Esta técnica ayuda a hacer un estudio objetivo de ted los pasos por los cuales deberd pasar la informacion. Se considera necesario agregar algunas caracteristicas que definan ain este estudio como frecuencia, tiempo, costo y distancia fisica de ca coadyuvando a una evaluacién mas objetiva del sistema. Evatuacion DE LOS SISTEMAS Se debe evaluar el desarrollo que ha tenido el sistema mediante el and Jos pasos que comprendis el desarrollo del sistema, y comparar lo qu ne6 contra lo que realmente se esta obteniendo, Anausis Se debe evaluar la informacién obtenida en los sistemas para pod: + Determinar el objeto y compararlo con lo obtenido, + Buscar la interrelacidn con otros sistemas,sistema seguir ha. arlatécni- port). in sistema Lsistema y ode todos da paso andlisis de oder: © Bvaluar la secuencia y flujo de las interacciones. © Evaluar la satisfaccién del usuario. Entre las etapas del andlisis estan: lisis conceptual: ‘+ Evaluarel sistema funcional © Evaluar la modularidad del sistema. ‘© Evaluar la segmentacisn del sistema, ‘= Evaluar la fragmentacion del sistema, + Evaluar la madurez del sistema * Evaluar los objetivos particulares del sistema. * Evaluar el flujo actual de informacién * Definir el contenido de los reportes y compararlo con el objetivo. aluar los modelos de reportes: + Evaluar los controles de operacisr * Cuantificar el volumen de informacién. * Evaluar la presentacién y ajustes Se debe conocer en términos generales el nivel de! sistema funcional para obtener los elementos suficientes que permitan evaluar el nivel de interaccién, su grado de estructuraciGn y la madurez del sistema con el fin de determiner 1es que deben hacerse estén se justifica su a Entre las evaluaci Evalue el objetivo. Evalue que el objetivo general y el alcance del sistema fun ional estén definidos en forma clara y precisa. Esta actividad se encarga de dolimitar el sistema obteniendo todo lo relacionado con él, mediante las ents vistas a los usuarios involucrados con el fin de evaluar si se cumplié con el -in ser confrontadas para objetivo. Las versiones que ofrezcan los usuarios debe verificar su compatibilidad, Evaliie la interaccién con otros sistemas. Se debié analizar la informacién del sciones y sus contaetos con otros sistema con el propésito de localizar sus int sistemas, a fin de determinar si existe un sistema integral de informaci6n, siste- mas aislados 0 simplemente programas, o si existe redundancia y ruido, asi como cusles son los controles con que cuenta el sistema, Para evaluar todas las entradas y salidas que tienen lugar en el sistema, esta parte de la auditoria de- termina el flujo de operacisn y también todas las entradas y salidas que ocurren internamente, La manera de desarrollar esta actividad es usar aquellos docu. treando las fuentes y desti- mentos de informacién que mangja el sistema, 1 nos, elaborando o reservando la matriz de recepcidn/distribucion de los docu mentos, y la matriz de entradas/salidas. Evaltie si se obtiene la secuencia y flujo de las interacciones. Para llevar a cabo esta actividad es necesario establecer el flujo de informacién a través del 273 Tipos de evaluacionescartruto 7 sistema, tomas de la matriz de entradas/salidas y agregar el orden de ocurren cia, as{ como la periodicidad. Grafiquela en un plano horizontal para tratar de encontrar duplicidad de informacién. Este plano debe hacerse de tal manera que refleje un periodo, as{ como el orden de ocurrencia, Evaliieel sistema funcional. Dado que ya seevalts el objetivo, la y su Hlujo, lo que si Gdn. Tomando como base los elementos de los primeros tres pasas, se debe verificar si es congnuente con su obj ue es analizarlos para tener una idea mas clara de su fur ativo, es decir, sila descripcién define sus propésites. En esta etapa se evaltia “qué hace” el sistema. Fvalielamodularidad del sistema. Esta actividad subdivide gue pueden ser procesadas en forma independiente, pero cayo objetivo part: cular es buscar el objetivo general del sistema funcional, correspondienda a fancién gen del sistema consiste en identificar ag trada, un proceso, y se obtiene un ri istema en partes cada médulo t al del sistema. Asimismo, una fancién genera’ illas partes de éate donde ocurre una en wultado parcial Evalie la segmentacién del sistema. Este paso tiene por objeto subdividir los nGdulos en funciones particulares, de tal manera que el conjunto de funciones cefina al médulo en cuestién. En esta parte deben evaluarse aquellas funcio: 4 res que son realizadas para distintos médulos (interconexién modular); funcidn extraida del médulo debid ser consistente y validada con el usuario. Evaliie la fragmentacién del sistema, Se subdivide el segmento en funciones especificas © procedimientos, pues cada funcién particular o segmento puede contener uno o mas procedimientos. A su vez, cada procedimiento puede estat formado por distintos niveles (jerarquia de procedimientas); dependiendo de su complejidad en esta parte se debe evaluar haciendo énfasis en “qué hace” y no en el “cémo lo hace", ya to se evalua en el analisis detallado. Evaliie el flujo de informacién del sistema funcional. Identifique en cada do- cumento su origen y su seguimiento a través de las diferentes entidades o ce- partamentos por donde transita; a la vez vaya identificando sus a: supresiones de informacién. Por tiltimo, identifique cémo y dénde llega a su recomienda el uso del diagrama de flujo de informacidn, Una forma de analizar los hechos es seguir la ruta de la informacién desde su origenhasta sudestino y disponer de este camino en una secuencia cronolégica con el fin de clarificar donee aparece, cdmo avanza a lo largo del sistema y como liegaa su destino. Esta técnica ayuda a hacer un estudio objetivo de todos los pasos por los cuales deberd pasar la informacién. Se considera neces agregar algunas caracteristicas que definan atin més este estudio, como 0, lo cual ayudara a un mejor analisis y a una evaliacién mas objetiva del sistema da, volumen, tiempo, costo y distancia fisica de cada Evaltie los documentos de entrada y el contenido de los reportes. Se deben evaluar las formas de entrada, s solicita das y autorizaciones, verificar que los reportes o pantallas de salida contengan -ontenido, claridad, controles, copia ds,ear. Contenido INTERPRETACION Pruebas y revisiones. El objetivo es asegurarse que el sistema funcionede acuerdo con las especificaciones funcionales, a fin de que el ustario tengala macién obtenida en las opiniones de los usuarios), Esta actividad es muy it Portante ya que el costo de corregir errores es directamente proporcioralab momento que se detecia. Las pruebas del sistema buscan asegurar que se ct plan los requisitos de las especificaciones funcionales, verificando datos es disticos, ransacciones, reportes, archivos, anotando la fallas que pudieran oat rir y realizando los ajustes necesarios. Los niveles de prueba pueden ser ag pados en médulos, programas y en el sistema total Evatuacion pe LOS SISTEMAS DE INFORMACION Giones de sistemas de informacion por computadora. Busca comprobar queli aplicacién cumpla las especificaciones requeridas por el usuario, que se hays desarrollado dentro de lo presupuestado y que efectivamente cumpla con lag Esta funcién tiene una gran importancia en el ciclo de evaluacién de las apli objetivos y beneficios esperados, Un cambioa un sistema existente, como la creacién de uno nuevo, introda ce necesariamente cambios en la forma de obtener la informacién y un «os adicional. Ambos deberdn ser evaluados antes y después del desarrollo, Se debe evaluar el cambio (si lo hay) dela forma en que las operaciones sm Gjecutadas, comprobar si mejora la exactitud de la informacién g obtencidn de les repories efectivamente reduce el tiempo de entrega, si esis completa, en qué tanto afecta las actividades del personal usuario, si aumentag disminuye el personal de la organizaciéa, y los cambios de las interaccione entre los miembros de la orgenizaciGn. De ese modo se sabrd si aumenta od minuye el esfuerzo por generar la informaciéa para la toma de decisiones. cm el objeto de estar en condiciones de determinar la productividad y calidad dil El analisis debera proporcionar: la descripcién del funcionamiento del sis tema desde el punto de vista del usuario, indicando todas las intecacciones de istema, la descripcidn légica de cada deto, las estructuras que forman ésiosyel flujo de informacion que tiene lugar en el sistema; lo que el sistema toma como entradas, los procesos que serén realizados, asf como les salidas que de ber proporcionar, los controles que se efectuarn para cade variable y los pre cedimientes. De este modo se agrupardn en cuatro grandes temas: © Evaluacién en la sjecucién + Evaluacidn en el impacto.© Evaluacién econémica + Evaluacién subjetiva, Evatuacion EN LA EJECUCION Se refiere al uso de cuestionarios para recabar datos acerca de la actuacién dela aplicacién en la computadora, con objeto de conocer qué tan bien o qué tan mal std siendo usada y si opera eficientement: Los cuestionarios son medios para recopilar datos acerca del uso de los. recursos de la computadora y pueden ser cuestionarios manuales, encuestas de iniones, evaluacién de documentacién, obtencién de informacién electroni 2 integrada al equipo (hardware) y de programas ejecuténdose (software), sbteniéndose en ambas las estadisticas acerca de su uso, Los dispositivos de hardware son dispositivos electrOnicos que pueden ser conectados a varios puntos del equipo, como Io son en la unidad de control, los, anales de comunicacién, ete., que durante la ejecucién de una aplicacién reg tran cantidad, frecuencia y direccién de los componentes del equipo. Los datos, ue puedan .er analizados después; por ejemplo, algunos de éstos contabilizan la frecuen. son almacenados normalmente sobre cinta magnética o disco, par ia de uso de la unidad central de proceso en relacién con la espera para opera salida. indo estos datos quiz se detecte la necesidad adore ada-salida con objeto de acortar la espera del procesador central, eliminando los cuellos de botella que por esta causa se ge estadisticas de software son juegos de instrucciones ejecutables conec ys acerca de la operaciGn del ste tipo de monitor requiere z del provesador. Lo: «das al sistema operativo con el fin de colectar di sistema y acerca de los programas de aplicacién. datos también son almacenados en cir nagnética o cualquier otro dispositivo de almacenamiento secundario con el fin de analizarlos después. Este monitor deben ser ejecutados para | Una estadistica de hardware puede ser utilizada para medir la cantidad de tiempo de la unidad de p trada en los canales de comunicaci6n y dispositivos de almacenamier intidad utilizada. Su import .cesamiento central, pero también podré ser concen: un: a se puede dario para determinar la frec evaluar con el siguiente ejemplo Si estamos considerando agregar una nueva aplicacin al sistema, el anal sis del monitoreo ayuda a determinar si la computadora podré soportarla, si P 7 macenamiento, lineas de comunicaciGn, terminales, etc. Asimismo, puede usar ayudar al administrador a decidir si se a; san nuevas unidades de a se para determinar si todo el equipo es necesario, si se deben redisefiar los ar Uso de cuestionariosLas estadisticas del software nos pueden ayudar a lenguajes vis usados, qué tipo de proceso es més comin (alto v le calculos, complejos procesos en lotes contr orridas, frecuencia de pruebas, programas ter a). Estas evaluaciones son generadas automaticamente mostrando a qué horas del dia los trabajos son corridos y tambié lizados y qué tan grandes con las apl tualizaciones procesos en linea, frecuenc minados anormalmente, el mntra secuencia d qué recursos del sistema fueron uti 2s en relacin nel equipo. Basindose en estos datos, el auditor contaré con la ir para hacer las evaluaciones eficiencia es a mejorar el servicio e incrementar la Estos dos tipos de monitores normalmente son proporcionades por el fabri doras, pero algunos monitores de software pueden ser desa: rrollados por la propia organizacisi cante de comp Evatuacion eN EL impacto Es la evaluacion que se hace sobre la manera en que afecta a viene en la aplicacién (usuaries) con el abjeta de do ente que inter minar cémo la implanta: cin y el uso del sistema de informacién afect qué factores son directamente atribuibles al deben interesar son las que interv ale organizacién distinguiendo sistema. Las principales areas que nen la toma de decisiones y en las activi dades de operacién. Esta evaluacién se hace con el fin de detectar a la gente involucrada; las actividades que son necesarias realizar, la calidad de la informacién, y el costo de operacién resul as y jerarquizadas antes de em zar a disefiar el sistema con el fin de que, cuando se instale, se compruebe si los resultados satisfacen plenamente lo planeado, Estos dato: tantes para guiar futuros proyectes. Algunas expectativas deben ser elabor nbién son impor Asimismo se debe ev juar el efecto que tiene sobre el ambiente del sistema (personas, leyes, etc). Para ello contamos con varias técriicas que nos ayudan en este prope ito, las cuales son: bitdcora de eventos, registro de actitudes, con tribucion, peso y andlisis de sistemas. Bitacora de eventos Esta informacidn se obtuvo en la seccién de Ja opinién del usuario registraron los eventos relacionados con la introduccion de una aplicacién. Cual- quier evento que influya en el sistema y cualquier nuevo evento ir por él, es registrado en forma de notas, y al final se agrupan. Para un estudio sistemitico no se requiere equipo adicional, y debe usarse cuando la medicién tiene lugar en periodas largos 0 cuando se desean medir varios tipos de im,PRETAG Técnicas de la evaluacién econémico del sistema dentro de la organizacién en relacién con los beneficios obtenidos por ést En el impacto se mide mo una aplicacién de sistemas de informacién h contribuido © mejorado la eficiencia en el érea donde se usa. Asimismo la eva Iuacién después de su implementacién es critica para conocer ebmo el sistem opera y dénde pueden necesitarse cambios. evaluacién econdmica es importante puesto que el capital zacién no es gratuito, debiéndose cuantificar los beneficias y los cos tema en términos monetarios para estar en condiciones de justificar © no s desarrollo e implantacién Cuando la aplicacién ha sido realizada, se busca obtener el costo real contr el beneficio real para comprobar o determinar el porque de la diferencia con lo presupuestado y/o la calidad de la aplicaci Estas técnicas nos ayudan a obtener los elementos necesarios para evaluar por medio de un andllsis de costo/beneficio de la aplicacién. Nos permite ad mas evaluar si fue desarrollado en las condiciones econdmicas esperadas, po lo que este andlisis debers efectuarse antes y después del desarrollo de la apli cacién. La justificacién la encontramos en el hecho de que cualquier tipo de organizacidn busca alcanzar sus objetivos con recursos econémicos limitados Fl administrador de sistemas de informacién debera verificar y cuidar que estas actividades se realicen en forma sistematica y completa para evitar crea sistemas que perjudiquena la organizacion y minen su economia. Este punto es de suma importancia dado el momento actual en donde los recursos compu tacionales se ven afectadc jemente por las devaluaciones y el costo de capital. Hay que tratar de ol I mayor beneficio con el equipo disponible e invertir en equipos adicionales slo cuando esté plenamente justificada la in versiGn por los beneficios que se obtendrén, Evatuacion SUBJETIVA Partiendo de la premisa de que los usuarios son los principales afectados direc tamente por el sistema, sus puntos de vista y necesidades deberdn ser conside rados para la evaluacin. Los que procesan los datos, el personal de sistemas y el personal de alta direccién deberdn también participar en la determinacién de los beneficios eco nomicos de la actividad particular a ser desarrollada. Unenfoque experimental propone un mecanismo para obtener los factores, ademés del ahorto de costes, que habrén de ser considerados en la evaluacién del sistema de informaciér Necesitamos incorporar a nuestra contribucién de beneficios los puntos de vista y opiniones de la gente que usar o seré afectada por la aplicacién del sistema de informacién. La justificacién de evaluacién subjetiva se centra en que la opinién del gru. Po usuario proporciona un punto de vista mas completo de la aplicacién, ays dando a obtener aquellos factores que hubiéramos pasado por alt282 Les contrele: individual y constan de: operativos comprenden cada stno de los sistemas en fon + Control de flujo de la informacién. * Control de proyectos. Organizacién del proyecte Reporte de avance. Revisiones cel dis © Técnicas: so del sistema, De usuario, De control * Control de cambios a programa: Requisicion de cambio. > Razén del cambio. © Naturaleza del cambi Persona que lo solicita, 9 Persona que revisa y autoriz Frecuencia de cambio: Persona asignada al mantenimiento. Bitacora de cambios. ‘+ Mantenimiento y documentacién. * Produccién. + Controles de documentacién, * Documentacién: © Delsistema Del programa. ‘© Mantenimiento y acceso a la docum: ‘© Control de sistemas y programas. + Sistemas en lote (batch) | De entrada, Autorizacién de entrada, © Armado de lotes. Verificacién de lotes. © Control de programas. * Reporte de control: © Balanceo de lotes. Reporte de errore © Reporte de excepcidn,en forma Reporte de transacciones. 263 Reporte de cambios en el archivo maestro. conrroues + Validacién de entradas: Verificacién de secuencia Campos omitidos. Totales de control Transacciones validas, Caracteres validos. Campos validos Codi Pruebas de razonabilidad Digito verificador Btiquetado de archives. 108 validos, + Contro de programas miscela Control de progra Verificacién de ctiquetas de archivo. {tervencidn del operador, Punto de verificacién y reinicio. contol de salida. Formato de salida Control de formas de salida, Corres Controles corrida a corrida. Sistemas en linea de errores, © Controles de entrada: a terminales 0 a programas, archivos, datos y a la computadora Informaci6n confidencial * Control de programa’ © Reportes de control Validacidn de en © Correccién de errores, Puntos de verificacién y reinici © Controles de salida Formatos de reporte. Formas de control de salida Informacidn confidencial.Los controles técnicos que se deben evaluar son: Controles de operacidn y uso de la computador Supervisor turist Controles de entrada y salida Recepcién de informacién Distribucién de la informaci6i Calendarizacié Controles sobre archivos. Recuperacidn de desastre ‘ontroles de usuario: Origen de documentacién fuente Recoleccicin y preparacién de entrada y documentacisn fuent Manejo de errores de documentacién fuente Tipos de errores que pueden aparecer Pasos a seguir para su correccién. os métodos a utilizar para recuperar documentos fuente corregidos si Retencidn de documentos fuente ‘ontroles de entrada de dato: ‘onversién de datos y captura Validacién de dato Manejo de errores en datos y captura Controles de salida de datos. Balanceo y conciliacién de salidas Distribucién de salidas Procedimientos documentados que describen los métodos de distribuc lendarizacién, revisiGn y distribucién de salida por parte de los usua Bitacoras de reportes. Manejo y retencién de registros de salida y documentos ‘ormatos de salid Niimero de copia: Controles técnicos! Aplicaciones, Sistemas,idos son Recursos de los programas por aplicacién: + Calendario de programas. Registro contable: + Equipo + Unidad control de procesos. + Memoria secundaria, + Dispositivos periféricos. atroles I6gicos de! sistema + Sistemas operatives. + Sistemas de utileria, + Sistemas de bibliotecas. + Sistemas de mantenimiento de archivo, Sistemas de seguridad. Control de acceso al sistema. Control de can bios al sistema: + Redundancia en la informacién. + Inconsistencia de dato: + Seguridad Controles de seguridad, respaldo y confidencialidad Sobre las bases de los objetivos de la auditoria en informatica se deben pre sentar, de acuerdo con la informacién obtenida, los controles existente lusiones, opiniones y alternativas de soluci6n debidamente fundamentadas en + Evaluacién de los sistemas. los equipos. Presentacion La presentacién de las conclusiones de la auditoria podra hacerse en la si Una breve descripcién de la situacién actual en la cual se reflejen los puntos mis importantes. (Esta pre zacién. 14s alto de la organi- rntacidn es para el nivel 285286 Una descripcisn detallada que comprende: * Los problemas detectados. © Posibles causas, problemas y falla que originaron la situacién presen: tada, + Repercusiones que pueden tener los problemas detectados. © Alternativas de solucisn. © Comentarios y observaciones de la direccién de informatica y de los usuarios sobre las soluciones propuestas. Si se opta por alguna altemativa de solucién, cudles son sus repercusiones, ventajas y desventajas, y tiempo estimado para efectuar el cambio. 1. Se debe hacer hincapié en cémo se corregird el problema o se mejorard una determinada situacién, se obtendrén los beneficios, en cudnto tiempo cudles son los puntos débiles. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas que s senkillas (se procuraré que se entiendan los términos técnicos y, sies posible, usar técnicas audiovisuales). Como ejemplo de formato de presentacién delas conclusiones de la auditoria en informatica, véase la figura7.1, y como ejemplo del ria en informatica, véase la figura 7.2 sguimiento de la audito-ativos por ra que se Figura 7.1. Conclusiones de la auditoria en informaticaDInECCION Figura 7.2. Seguimiento de las recomendaciones de la auditoria en informatica PERIODO QUE SEREPORTA AUDITORIA Fenn De TeRMNO De LA AUOITORIA nes wanConclusiones El avance tecnolégico que se ha logrado en los tiltimos afios ha sido impresio- ante. El avance se ha reflejado més posiblemente en el érea de informstica, lo cual ha provocado que se tenga microcomputadoras con un bajo costo y con tuna gran capacidad de procesamiento y que se cuente con computadoras que permitan desde el control del proceso de ensamble de automdviles en forma completamente automata, hasta que en la décad do llegar a la Luna, Fn el area educativa este avance ha influido en todas las carreras, desde las subtéenicas y subprofesionales } rales, Nos encontramos asf con que les nifios de primaria ya estén usando las computadoras y no hay profesisn que no necesite en forma directa 0 indirecta su utilizacion Si analizamos que aproximadamente 80 por ciento de las computadoras digitales son utilizadas en las organizaciones con fines de informaciGn, de toma de decisionos, contables y administrativos, y si evaluamos el costo que repre inta la utilizacién de estas computadoras, podremos ver la importancia que tiene para la alta direccion poder evaluar la adecuada utilizacién de esta herra mienta. Esto trae como consecuencia que el profesionista deba actualizarse en cluso adecuado de la nueva tecnologia, as de este recurso tan costoso. También deben adecuarse les normes de auditoria y del control interno para que sean congruentes con el desarrollo tecnologico. La auditorfa en informatica es una nueva materia que es consecuencia directa de los sesenta se haya podi- sta las técnicas y profesio- como en la evaluacién que se haga cel desarrollo en el area y de la necesidad de evaluar la adecuada utilizacién, respaldo y confidencialidad de la informacion de la organizacién. Esta nueva area evaliia la informacisn desde su generacién (dato) hasta su utilizacién (informacién), y debe considera: la herramionta que se utiliza, su optimizacién, el respaldo de la informacién, la seguridad y confidencialidad de Ta misma, y conseguir el mejor uso de la informacidn al menor costo, evitando duplicidad. Pata lograr esta evaluacién se requiere que el auditor conozca no slo sobre Jas materias que le son propias, sino que tenga una capacitaci6n técnica en el rea de sistemas computacionales e informatica La auditoria no debe terminar con la presentaci6n, sino se serie de auditorias y revisiones periédicas, con un adecuado seguim: observacione: dlinicio de una nto de las roblemas y las mejoras a los s correcciones a os f para lograr sistemas que lo ameriten,Bibliografia puntes de auditoria administrativa, Lic. y C.P-Jorge Alvarez Anguiano. Facultad Nacional Auténoma de de Contaduria y Administracién, Universidad La auditoria . Lic. José Antonio Fernandez Arena, editorial Diana ‘én, Koontz, O'Doneel y Weihrich, editorial McGraw-Hill jabriel Sénchez Curiel, editorial iuditoria de estados fi McGraw-Hill, 199 «ditoria de sistemas electrénicos, Porter Jr, W. Thomas, manos, sucesores, 2a. edicién, México, D-F torfa en informatica, un enfoque préctico, Mario G., Piattini, E editorial Ra-Ma, 1998. informética, un enfoque metodolégico y prfctico, Enrique Heméndez Hemdndez, editorial Continental, 1996. dditoria del computador, Instituto Mexicano de Contadores Paiblicos, A.C, México, D. F fives, EDP Auditors Foundation for Education and Research, US.A México, dia 0, perspectivn y estrategias de desarrollo, Fun- editorial Herrero Her- milio del Peso, Gn Arturo Rosembleuth, A.C, 1982 niputer Audit Guidelines, Canadian Institute of Chartered Accounts, Terento, Canad chu intelectual, David Rangel Medina, 1a. edicién, editorial McGraw-Hill 1998, DP Auditing Conceptual Foundations and Practice, Ron Weber, editorial McGraw Hill EDP Auditing, Kennth, W. Clowews, Holt, Rinehart y Winston, Canada Limited, V Ladimir Zwass, editorial McGraw-Hill, 1997. iones de propiedad intel ién de los nombres y direcciones de Internet 30 de abril de 1999, Organizacién Mundia (OM Intecnational Federation of Accountants (IFAC), Revisado, 1998, Information System Management, James A. Senn, Satate University of New York Bringhamtor, editorial Wadsworth Publishing Company, Inc,, Belmon California; 1978. Information System in Ma la, edicion, Reston Virginia de la Propiedad Intele: ny, Inc, .gement, editorial Reston Publishing Comp: are, M. Morris Mano, editorial Prentice Hall, 1991pipticcraria Management An Experimental Approach, Knudson, Harry R., Woodworth, Robert Bell, Cecil H., editorial McGraw-Hill, 1a. edicién, Nueva York gement Information Sysiem, The Management View, Robert Schulthers, Mary Sumner, editorial McGraw-Hill, 1998. Management information and Control System, RL Trickner, Oxford Center for Management Studies, editorial Willer-Interscience Publication, 1976.7 Management Information Systems, Stephen Haag, Maeve Cummings, James Dawkans, editorial McGraw-Hill, 2a, edicién, 2000, Management Standards for Data Processing, Brandon, Dick H,, editori Nostrand Reinhoold Company, 1a. edicién, Nueva York, USA. Manual de informe del auditor, Instituto Mexicano de Contadores Puiblicos, Melodologia y técnicas de investigaci rial Siglo XX1, 1981 Modern Control Systems, Richard C. Dorf, Robert H. Bishop, editorial Addison- Wesley, 1995. Normas y procedimientes de auditoria, Instituto Mexicano de Contadores Paiblicos. Pri jentos de control ew computacién, Canadian Institute of Chartered Accounts, Instituto Mexicano de Contadores Puiblicos, A.C Proteccién informatica, Pierce Gratton, editorial Trillas, 1998 de los programas de computecisn, Universidad Nacional Au- 8 Redes de computacién, Andrew $. Tanenbaun, 3a. edicién, editorial Prentice Hall, 1997 ‘ales, Felipe Pardinas, edito- La proteccisn juridi téno na de MExico, | dustriales, comentarios sobre aspectos relevantes de su reglamentacion en Mexico, Mauricio Jalife Daher. eguridad en centres de cémputo, Leonard H. Fine, editorial Trillas, 1988. Seguridad en co n, William P. Martin, Interface Age, febrero, 1984. idad en informatica, Jao Marcos Fantinatti, editorial MeGraw-Fiill mas operativos, conceptes fundamentales, A. Silberschatz J. Peterson, P. Galvin, 3a. edicién, editorial Addison-Wesley Iberoamericana, 1994. Sistemas de informe Prentice Fiall The System Development Audit, Horeld Werss, PTH International Conference of EDP, Auditor Association Tecnicas de laauditoria en informatica, Yan Derrien. 1995, rativa, Robert G. Murdic, 2a. edicién, editorial editorial Alfaomega Marcombothy Robert, ners, Mary Center for 976.7 foos. 1a, edito- Addison- Pablicos. thartered ional Au tice Hall 8 384 Galvin, editorial arcombo, INDICE ANALiTICO sige claves de, 198-199 controles de, 225 aves de, 198-199 rutas de, 197-198 Actividades ealendario de, 121 control de, 122 hoja de planeacidn de, 126 Administraci6n de la investigacisn preliminar, 39 Agua, desasires por, 224 ‘acondicionado, 221 ductos de, 228 movimiento de (CFM), Aleance de la cobertura, 244 Almacenamiento de documentos de entrada, proceso y salida, 15 ispositivos de, ritico de los heches, e informes, 107, 113 de sistemas, 279 del impacto de la organizacién, 259 del sistema, 93 evaluncién del, &: de, 96 y disefio estcucturedo, Analizadores de virus, 237 Aplicacisn(es) ciclo de evaluacisn de las. 2 5-96 planeacién de situacién de una, Aseguradores, 244 Asegurados, 243 responsabilidad de los, 2 Asignacigin de trabajo, control de. 171-172 ), 16, 22, Independencia del, 9 numero de, 32 Audito participacisn, 92 responsabilidades de los, 197-188 Auditor interno, 8-8, 26 habilidades del, 16-17, objetividad del. 27 Auditoria asistida per computadoca, 10 conclusiones de la, definicion, 2 de programes personal de ls, planeackin de, 16, 3031, 41-42 presentacion de la, 285-286 pprocedimientos de, 34 programa(s) de, 11, 4 Programas de ttabsjo (os, 21 requecimientos de una, 40-42 segitimiento de la, teécnicas avanzadas de, storia administrativa, 9-1 reportes especia Au Auditoria con informatica Auditoria en informatica campo de accién concepto, 17-18, 26 director de, 35, elementos que debe « 1a, 7 los tipos de aud objetivos de la, 21-22 pasos de una, 37 laneacién de la, 3t Auditoria interna, 26 normas de, 26 responsabili .des del departamento294 (WOIcE ANALITICO Autentificaciin del usu en sentido digital, 216 Autorizacion deaccesos, seguridad de, 225, B Bases de indemnizacién, 246 jurfdicas del departamento de informatica, 61-67 Bases de datos, 99-100, 249 dministrador de, 100-101 components a evaluar en una, 100 nodelos de, 101 sistema cle administracién de, 99 software manejador de (DEMS), Batch, wase Sistemas en lote Bitécora(s), 153 de auditor 05, 206 de events, tn C,2 tin £02, 5 DTU, véuse Disipacion térmica CADICAM, vf ra por medio de compatarizeda Calen Calor, pérdida: Cambios y mejoras al sistema, 98 CASE, Ingenieria asistencia computarizada Categorizacisn del software, 90 Centralizacién, 188-189 Centro de cémputo, 182-183 seguridad de acceso, 225, 228.230 CERT, wi o™, adi putadora nto de aire quipo do rospus ise Movin Giclo deevalia asificacin del riesge Cobertura, alcance de Compe deuns lema de comunicas Computadera rimenes por, 193-194 delites por 193 municacién, 102-103, 113 102 289 ncialidad, Coatid Configuracis 197 del equipo, 265 Consideraciones al auc sutentiicacs 2 Insialacin y mantenimiento, 209-210, operacién, 210 recursos para controlar el acceso 199-21 Consulta a de control de 21 Contingencia(s) etapas del proyecto d plan de, 253 metodolagia del plan ele, 253 plan de 52, 257, 263 Contratacién de empleados, planes de Contnibucion y peso, 279 Controlies) a auditar, 205-208, de acceso, de asignacidn de trab de programacién, 128 de calidad, programa de, 35, Jo dator fuente, 161 de mantentimiento, 17 de medios d de proyectos, 117-119 dle seguridad, 28 ‘generales, 251 mesa de, 164, 165 operativos, 282-283 salida, 1 = 284-285 Control objetivo(s) autorizacicn, 6 de salvaguanda fisica, 7209-210 80,21 le 253 5 de, 3 brocesamiento, 6 atiidad de les objetivos elementales del, 29 ie, 143 as “piralas’, 193 de la operacién, Je un sistem: Jel equipo de eémpato, x, 240 Criptoandlisis, 2 rn Criptogratia, 217-218, 247 CuestionarioG), 134-138, 256 de funsiones eriticas, 260 acidn, 261-2 ridad fisica, 228-236, siar la entrevista, sobre el impacto de la organizacién, Cumplimiento de los documentos administrativo: Dates, 1 DBMS, Sistema de administracisn d Degradacicn del equipo, 18 Delitos por computador motivas, 192-193 Departamento (0 rea) de informatica ses juridicas, 6467 valuavidn administrativa del, 20 junciones en el, 67 abjetivos, 72: turidad del, 192-19: pos de dependencias del, 62-63 Derechos de autor, 138-14 protecci Desarrollo del sistema, evaluaciéa, 115 Desastre(s Descripeidn Je formas, 11 Je formas de papeleria, 112 de informes, 106 Deteccisn de humo y fego, 226, 292-234 “de Hlujo, 97 1s0 de, 272 Disefio de formas, 101-113, do manufactura por medi de (CAD/CAM), xi del sistema, 93 detallado, 58 jormas de, 108 co del sistema, evaluacién del Disipacisn téemica (BTU), 227 Direccisn dle! autor en Internet, Disponibilidad, 16 Division de tareas entre Ios empleados, 15, Dominio, nombr ‘se Soporte en la tom ones DI, wise Intercambio electidnico de date ficiencia de la operacion, 164, 165, FIS, reese Sistema de transferencia electrsnica de fondo: 1 Sistemas de informaci6n para s de las entrevista, ase Sistemas forma electrdnica a usuarios, 133 con el jefe de informatica y con alistas, 258, con el personal de informs cuestionario pata guiar la, 259 ropssito de las, ‘uestionarios, 256, 25 295286 tworce anauinco Sept, seguridad de, 241 de respuesta de emergencias do computadars, 238, seguridad al restaurar el, 249 seguridad en le utilizacién del, 24 segues de los, 240 Estrategia de desarrolle, 61 de respaldo, 263 dio de factibilidad, 92.94, 119 de viabilided Etapas del weclo del plan de contingoneias, 2 ‘aciministrati Glo de, ce las aplicaciones, 276 de formas, 108-110, de Ja contiguracis: de la estructura ngainica, 61-65 de la gerencia de informatica de Io instalacion en términos de de los sistomas de informacion, de sistemas, 90-95, 27 de acuerdo con el riesgo, 38 Duidos, 116 y proced de software, 99 de unsistema lel desarrollo del sistom: >, 130 15 del dise del di de © légico del sistema, 98, 103, 1 mentenimiento, 179-182 ‘el proceso de datos, 21 detallada, 33 enel im en Ja ecucion, 27 subjetiva, 280-261 Examen y evaluacin de Pruebas de consentiniento, 35-36 Pruebas de controles del usua: Pruebas sustantivas, 36-37 intores (o extinguidores), 22 ! del departamento de del sistema do con datosde prushs, 12 Factbilided, estudio de, Firma digital, 21 Formas de disefio, 104 descripeion de, 111, 112 evaluacién de, 108, 103, 1 Formas tradicions les de evidencia almacenamiento de documentos de entrada, proceso y salida, 1 Alivision de tareas entre los, empleados, 1 listado de los resultados del proceso, 1415 rocedimianto informacién selativa, 1 rocesamie! nto manual, 14 Proceso de grandes cantidades di datos, 15-165 Proceso simplificado, 1 registro manual de revisi6n de procesos, 1 revisisn de transacciones por el Personal, 14 personas, 13 transporte de use a por documentos, 14 (08 impresos, 15 195 Fuego y humo, deteccién de Funcionos 26-2 226, 2 criticas, cuestionarios de, 260 en informatica, 67-72 Grado de Grifica ¢ madurez del sistema, 271 le fujo de la infor rupo de recuperacin, ae Haciers, Hardware, 27792, 94 12 09, 11 wvddencia documentos de Ysalida, 15 los del proce proceso, nientos con Li ntidades 4 nlormecién, s por tos, 14 , 260 2,271 cin, 104 Tumedad, temperatura y, 2 fumo, fuego y, 225+ deteccion de Implementacidn y desarrollo lisico, os, 224 Indemnizaciin, bases de, 246 Informacisn, 4 confiabilidad ¢ integridad de la, 29 entrada de la, 162-164 examen y evaluacion de la, sréfica de flujo de la, 104 manejo de la, 248 pérdida de, planeacisa y control de Ta, 4 ema de, 29 utilidad de la, 5 3.8 departamento de, 20, 62-63, entrevistas con ef personal de, gerencia de, 58 mes, 103-113 snslisis de, 107, 113 deseripcién de, 106 Inicializacion, 237 rica, 222-294 Instructiva(s) de operacién, 132, 170 Intogridad, 197 Intercambio electrénico de datos (EDD, x Internet, si, 142-144, 238 eccién del autor en, rio Investigacidn preliminar, 39-4 Lenguajes de programaciin, 98 Listado de Ios resultados del proceso, M15 Llaves de acceso, 198-199 1 fume, xi, 22 Manejo de nformacion, 248 Mantenimiento en manuales de informacion, 14 182 evaluacién del, excesivo, 131-132 nstalacién y, 209-210 tipos de contratos de, 17-179 Manual(es) de analisis, 96 61 de procedimientos con informacis de orga relativa, 15 Memorias RAM y ROM, Metas, 31-3 Metodologia del plan decontingencias, aire (CEM), 227 Movimiento di Nombres de dominio, 148 0. Objetivo(s) de Ia auditoria en informatica 2-22 ridad en el drea de informatica, 192 del departamento de informatica, del libro, xii del plan de contingencias, 253, Operacion(es) saditar, 210 Je los sistomas en late, 16 instructivos de, 192, 170 Organizacion(es) analisis de andlisis del impacto de la, 259 antacedentes de I, manual de, 26 plan de recuperacisn de la, 262 procesos criticos de una ap Passcord, 198 Pérdida de la informacion, 19-20 Perdidas por transierenecia de calor, 22 297 noice ANALITICO298 fuciee anatimico P ticipants —_ 56 Plantes) fe contingencias, 2: de pro 60-61 ecuperacién de la ongenize 262, 26 ctividades, hoja do, 126, 1 de auiditoria, 16 de cambios, $9 dela estratégie site, 159-161 ¥ Procedimientos, 157 Poti Presu Problemas de los sistemas de administracin de bases de datos, 10) Procedimientos de res ig eriticos de una organiz grandes cantidadte peticisn a mplifcad, 14 Productividad, 134-186 Programacicn facilidades de, 133 ‘ontrol do, 124 dades del, 122 Programas copias de, 193, 194 lo, 98.09 de trabsjo, 172 ce desa Revisigr Propésito de las entrevistas, 257 control de, del plan de contingencias, 25 Prucbas de consentimiento, 33-36 ae RAM, x 08, 85-86 Recursos finance manos, 56-5) Recursos materiales, 86.87 Redes) Redundancia, 114-115 Registro(s) Relacion precio/ memoria, Renta, Repetic 250 Reporte speciales de auditoria Respaldo los asegurados, 244 Procedimientos de, 2 comparaciones, 1 nar, 32-23, Riesgois) clasificacign del, 254 «n la programadién, 248 evaluacion de la instalacin ¢egurados, 244 vs di s- lida, control dle, 170-171 Secretos industriales, 145-149 jstouarar el equipo, 249. ontra desasttes por ague, 224, 2 en contra de virus, 236, en la utilizacion del equipo, P fisica, 219, 228 logics, 194-197 objetives de la, ¢ informstica, 192 ol érea de ondliciones generales, 249-244 exclusiones especiales, 244 a exclusiones generales, 242-24 “liza de Selec de determinado tipo de transaccions ciclo de vide d componentes esencial confidenc idad de las’ de de administracicn de bases de dato (DBMS) 9 problemas de los, 101 de bases de datos, 100 ventajas de los, 101 Je compuro, evaluacion de la configuracién del, 183 icacisn, 102 no interrumpid mnibilidad de los, de informacisr ciseribuldos, 116 en linea o en tiempo real, 249, 251 integridad d operativos, 201-202, planeacisn de, 92 problemas més comunes de los, 94 rocedimiento en el, 104 ruebas del, 93 compartido 0 regalado, 90 control de Ins licencias de compat de seguridad, 20) elaborado p pecifico, 206 aluaci6n de, 99, 209 transportable, ware de control de acceso, 196, 99.205 consideraciones a auditar, 210-211 reportes y vigilancia, 212.213 sistemas operativos, 201-202, 206 software de librerias, 2 oftware de utilerias, 204-205, 208, a 299 (noice anatinico300 INCE ANALMICD sarhg “Ot 202 MB, 207, 218-206 cotidiana, 93 cen la toma de dedisiones (DSS), Subplanes del plan >, 60 Técnicas de auditoria anilisiscritico de los hechos, 270-271 evaluacién de un sistema con datos de rueba, 12 grado de madurez, 271.272 operaciones en paralelo, 12 istros extendidles, 12 resultados de ciertos céleules para ciones posteriores, 13 ‘acceso, 12 de determinado tipo de ales aleatorios de ciertos progranasti Tecnologia Je flijos (WOR neutral, 20 Telecomunicaciones, softy Temperatura dad

Potrebbero piacerti anche

• American Gods: The Tenth Anniversary Edition

  

  Da Everand

  American Gods: The Tenth Anniversary Edition

  Neil Gaiman

  Valutazione: 4 su 5 stelle

  4/5 (12954)
• The Iliad: A New Translation by Caroline Alexander

  

  Da Everand

  The Iliad: A New Translation by Caroline Alexander

  Homer

  Valutazione: 4 su 5 stelle

  4/5 (5719)
• American Gods [TV Tie-In]: A Novel

  

  Da Everand

  American Gods [TV Tie-In]: A Novel

  Neil Gaiman

  Valutazione: 4 su 5 stelle

  4/5 (12520)
• • Riviste
  • Podcast
  • Spartito
• Good Omens

  

  Da Everand

  Good Omens

  Neil Gaiman

  Valutazione: 4.5 su 5 stelle

  4.5/5 (12041)
• Pride and Prejudice: Bestsellers and famous Books

  

  Da Everand

  Pride and Prejudice: Bestsellers and famous Books

  Jane Austen

  Valutazione: 4.5 su 5 stelle

  4.5/5 (20479)
• The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  

  Da Everand

  The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  Mark Manson

  Valutazione: 4 su 5 stelle

  4/5 (5810)
• Good Omens: A Full Cast Production

  

  Da Everand

  Good Omens: A Full Cast Production

  Neil Gaiman

  Valutazione: 4.5 su 5 stelle

  4.5/5 (10912)
• Wuthering Heights (Seasons Edition -- Winter)

  

  Da Everand

  Wuthering Heights (Seasons Edition -- Winter)

  Emily Bronte

  Valutazione: 4 su 5 stelle

  4/5 (9974)
• The Art of War: A New Translation

  

  Da Everand

  The Art of War: A New Translation

  SUN TZU

  Valutazione: 4 su 5 stelle

  4/5 (3044)
• The Hobbit

  

  Da Everand

  The Hobbit

  J. R. R. Tolkien

  Valutazione: 4.5 su 5 stelle

  4.5/5 (24587)
• The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  

  Da Everand

  The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good Life

  Mark Manson

  Valutazione: 4.5 su 5 stelle

  4.5/5 (20056)
• The Handmaid's Tale

  

  Da Everand

  The Handmaid's Tale

  Margaret Atwood

  Valutazione: 4 su 5 stelle

  4/5 (13227)
• Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy

  

  Da Everand

  Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of Strategy

  Stephen F. Kaufman

  Valutazione: 4 su 5 stelle

  4/5 (3321)
• Never Split the Difference: Negotiating As If Your Life Depended On It

  

  Da Everand

  Never Split the Difference: Negotiating As If Your Life Depended On It

  Chris Voss

  Valutazione: 4.5 su 5 stelle

  4.5/5 (3295)
• Remarkably Bright Creatures: A Novel

  

  Da Everand

  Remarkably Bright Creatures: A Novel

  Shelby Van Pelt

  Valutazione: 4.5 su 5 stelle

  4.5/5 (5654)
• The 7 Habits of Highly Effective People

  

  Da Everand

  The 7 Habits of Highly Effective People

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2568)
• And Then There Were None

  

  Da Everand

  And Then There Were None

  Agatha Christie

  Valutazione: 4.5 su 5 stelle

  4.5/5 (8972)
• The Perfect Marriage: A Completely Gripping Psychological Suspense

  

  Da Everand

  The Perfect Marriage: A Completely Gripping Psychological Suspense

  Jeneva Rose

  Valutazione: 4 su 5 stelle

  4/5 (1120)
• How To Win Friends And Influence People

  

  Da Everand

  How To Win Friends And Influence People

  Dale Carnegie

  Valutazione: 4.5 su 5 stelle

  4.5/5 (6533)
• Habit 6 Synergize: The Habit of Creative Cooperation

  

  Da Everand

  Habit 6 Synergize: The Habit of Creative Cooperation

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2499)
• The 7 Habits of Highly Effective People: The Infographics Edition

  

  Da Everand

  The 7 Habits of Highly Effective People: The Infographics Edition

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2484)
• Freakonomics Rev Ed

  

  Da Everand

  Freakonomics Rev Ed

  Steven D. Levitt

  Valutazione: 4 su 5 stelle

  4/5 (7865)
• The 7 Habits of Highly Effective People

  

  Da Everand

  The 7 Habits of Highly Effective People

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (353)
• The Hobbit

  

  Da Everand

  The Hobbit

  J. R. R. Tolkien

  Valutazione: 4.5 su 5 stelle

  4.5/5 (25199)
• It Ends with Us: A Novel

  

  Da Everand

  It Ends with Us: A Novel

  Colleen Hoover

  Valutazione: 4.5 su 5 stelle

  4.5/5 (5825)
• Habit 1 Be Proactive: The Habit of Choice

  

  Da Everand

  Habit 1 Be Proactive: The Habit of Choice

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2558)
• Habit 3 Put First Things First: The Habit of Integrity and Execution

  

  Da Everand

  Habit 3 Put First Things First: The Habit of Integrity and Execution

  Stephen R. Covey

  Valutazione: 4 su 5 stelle

  4/5 (2507)