ndice ASUNTOS RELACIONADOS CON LA AUDITORIA...................................................1 Auditoria relacionada con la retencin de archivos confidenciales y Trascendentes ...........................................................................................................

1 Retencin de los Datos de Auditora1 La importancia de una licencia...............................................................................1 De la Proteccin al Derecho de Autor....................................................................2 De los Programas de Computacin y las Bases de Datos2 Seguros. ......4 Propsito.................................................................. ..............................................4 Objetivos de Control ...............................................................................................4 Los Seguros............................................................................................................4 A. rea de riesgo asegurable.................................................................................5 B. Servicios de seguro especializados ..................................................................5 C. Seguimiento de los cambios en los riesgos ......................................................7 Seguridad ...............................................................................................................8 Aspectos de Seguridad en la Auditora..................................................................9 Riesgos Inevitables de Seguridad..., .....................................................................9 Revisin de Amenazas por Parte del Administrador o de los Usuarios..............10 Planeacin de contingencias .....................................................................................10 Definicin ..............................................................................................................10 Plan de contingencias .................................................. .......................................11 Ciclo de vida de los desastres .............................................................................12 1. Operaciones Normales...............................................................................12 2. Respuestas de Emergencia .......................................................................12 3. Procesamiento Interno ...............................................................................12 4. Restauracin...............................................................................................12 reas de exposicin .............................................................. ..............................13 1. Comunicaciones telefnicas.....13 2. Capacidad de procesamiento de cmputo ................................................13 3. Medios vitales ..................................... .......................................................13 4. Los planes actuales pueden no ser efectivos .......... .................................14

Fases de un plan de contingencias ........................................ ............................14 Fase l. Anlisis y Diseo.. ..............................................................................14 Fase lI. Desarrollo de un plan ........................................................................14 Fase lII. Pruebas y mantenimiento.................................................................15 Herramientas ........................................................................................................15 Caractersticas de un plan de contingencia.........................................................15 Caractersticas de un buen plan de contingencia................................................16 Crimen y fraude computacional ................................................................................18 Robo directo .........................................................................................................19 Robo indirecto ......................................................................................................19 Sabotaje................................................................................................................19 Husmeadores Destructivos .......... .......................................................................20 Informacin Antipiratera ......................................................................................20 Tipos de piratera..................................................................................................20 Piratera de Internet..............................................................................................22 Denuncia de Piratera..................................................................... .......... ..........23 Bibliografa..................................................................................................................24

ASUNTOS RELACIONADOS CON LA AUDITORIA Auditoria relacionada con la retencin de archivos confidenciales y trascendentes. Retencin de los Datos de Auditora El tiempo necesario para conservar el registro de auditora depende del lugar y debe documentarse con los manuales de procedimientos de funcionamiento de la organizacin. Cuando se intenta llegar a un tiempo ptimo para conservar el registro de auditora, existen restricciones en el medio de almacenamiento que deben ser considerados en todo momento. El medio de almacenamiento usado debe ser capaz de conservar confiablemente los datos de auditora durante el tiempo requerido por el sitio. El registro de auditora debe revisarse por lo menos una vez por semana, pero es probable que sea un tiempo de espera demasiado largo para revisar el registro de auditora, esto depender de la cantidad de datos esperados por el sistema provenientes de la auditora, este parmetro debe ajustarse. Las revisiones peridicas promedio recomendadas para el registro de auditora deben documentarse en el manual del recurso correspondiente. La importancia de una licencia Quizs no lo haya advertido, pero el desarrollo de software supone un esfuerzo de equipo que combina las ideas creativas y los talentos de programadores, redactores y diseadores grficos. Y, al igual que la mayora de las obras creativas, tales como libros, composiciones musicales y pelculas, el software informtico est protegido por las leyes de propiedad intelectual. Cuando usted compra software, no se convierte en el titular del derecho de autor. S est comprando el derecho de utilizar el software conforme a ciertas restricciones impuestas por el titular del derecho de autor, normalmente el editor del software. Las normas exactas se describen en la documentacin que acompaa al software: la licencia. Es fundamental que comprenda estas normas y se rija por ellas. En la mayora de los casos, establecen que usted tiene el derecho de cargar el software en un solo ordenador y de realizar una copia de respaldo. Si copia, distribuye o instala el software de maneras prohibidas por la licencia, ya sea intercambiando discos con amigos o compaeros de trabajo o participando en la reproduccin generalizada, est violando la ley de propiedad intelectual federal. Aunque slo ayude a otra persona a realizar copias no autorizadas, sigue siendo responsable conforme a la ley de propiedad intelectual. Adems de las consecuencias legales pertinentes, el uso de software copiado o falsificado tambin supone:

Mayor exposicin a virus de software, discos daados o software defectuoso por otras causas; Falta de documentacin o documentacin inadecuada. Ausencia de garantas; Falta de apoyo tcnico del producto disponible para los usuarios que cuentan con las licencias adecuadas; Imposibilidad de acceder a las actualizaciones de software que se ofrecen a los usuarios que cuentan con las licencias adecuadas.

De la Proteccin al Derecho de Autor De los Programas de Computacin y las Bases de Datos Artculo 101. Se entiende por programa de computacin la expresin original en cualquier forma, lenguaje o cdigo, de un conjunto de instrucciones que, con una secuencia, estructura y organizacin determinada, tiene como propsito que una computadora o dispositivo realice una tarea o funcin especfica. Artculo 102. Los programas de computacin se protegen en los mismos trminos que las obras literarias. Dicha proteccin se extiende tanto a los programas < operativos como a los programas aplicativos, ya sea en forma de cdigo fuente o de cdigo objeto. Se exceptan aquellos programas de cmputo que tengan por objeto causar efectos nocivos a otros programas o equipos. Artculo 103. Salvo pacto en contrario, los derechos patrimoniales sobre un programa de computacin y su documentacin, cuando hayan sido creados por uno o varios empleados en el ejercicio de sus funciones o siguiendo las instrucciones del empleador, corresponden a ste. El plazo de la cesin de derechos en materia de programas de computacin no est sujeto a limitacin alguna. Artculo 104. Como excepcin a lo previsto en el artculo 27 fraccin IV (autorizacin o prohibicin de la distribucin de la obra, incluyendo la venta u otras formas de transmisin de la propiedad de los soportes materiales que la contengan), el titular de los derechos de autor sobre un programa de computacin o sobre una base de datos conservar, an despus de la venta de los ejemplares de los mismos, el derecho de autorizar o prohibir el arrendamiento de dichos ejemplares. Este precepto no se aplicar cuando el ejemplar del programa de computacin no constituya en s mismo un objeto esencial de la licencia de uso. Artculo 105. El usuario legtimo de un programa de computacin podr realizar el nmero de copias que le autorice la licencia concedida por el titular de los derechos de autor, o una sola copia de dicho programa siempre y cuando: Sea indispensable para la utilizacin del programa, O sea destinada exclusivamente como resguardo para sustituir la copia legtimamente adquirida, cuando sta no pueda utilizarse por dao o prdida. La copia de respaldo deber ser destruida cuando cese el derecho del usuario para utilizar el programa de computacin.

Artculo 106. El derecho patrimonial sobre un programa de computacin comprende la facultad de autorizar o prohibir: 1. La reproduccin permanente o provisional del programa en todo o en parte, por cualquier medio y forma, 2. La traduccin, la adaptacin, el arreglo o cualquier otra modificacin de un programa y la reproduccin del programa resultante, 3. Cualquier forma de distribucin del programa o de una copia del mismo, incluido el alquiler, y 4. La de compilacin, los procesos para revertir la ingeniera de un programa de computacin y el desensamblaje. Artculo 107. Las bases de datos o de otros materiales legibles por medio de mquinas o en otra forma, que por razones de seleccin y disposicin de su contenido constituyan creaciones intelectuales, quedarn protegidas como compilaciones. Dicha proteccin no se extender a los datos y materiales en s mismos. Artculo 108. Las bases de datos que no sean originales quedan, sin embargo, protegidas en su uso exclusivo por quien las haya elaborado, durante un lapso de cinco aos. Artculo 109. El acceso a informacin de carcter privado relativa a las personas, contenidas en las bases de datos a que se refiere el artculo anterior, as como la publicacin, reproduccin, divulgacin, comunicacin pblica y transmisin de dicha informacin, requerir la autorizacin previa de las personas de que se trate. Quedan exceptuados de los anterior, las investigaciones de las autoridades encargadas de la procuracin e imparticin de justicia, de acuerdo con la legislacin respectiva, as como el acceso a archivos pblicos por las personas autorizadas por la ley, siempre que la consulta sea realizada conforme a los procedimientos respectivos. Artculo 110. El titular del derecho patrimonial sobre una base de datos tendr el derecho exclusivo, respecto de la forma de expresin de la estructura de dicha base, de autorizar o prohibir: Su reproduccin permanente o temporal, total o parcial, por cualquier medio y de cualquier forma, Su traduccin, adaptacin, reordenacin y cualquier otra modificacin, La distribucin del original o copias de la base de datos, La comunicacin al pblico, y La reproduccin, distribucin o comunicacin pblica de los resultados de las operaciones mencionadas en la fraccin 2 del presente artculo. Artculo 111. Los programas efectuados electrnicamente que contengan elementos visuales, sonoros, tridimensionales o animados quedan protegidos por esta Ley en los elementos primigenios que contengan. Artculo 112. Queda prohibida la importacin, fabricacin, distribucin y utilizacin de aparatos o la prestacin de servicios destinados a eliminar la proteccin tcnica de los programas de cmputo, de las transmisiones a travs del espectro electromagntico y de redes de telecomunicaciones y de los programas de elementos electrnicos sealados en el artculo anterior. Artculo 113. Las obras e interpretaciones o ejecuciones transmitidas por medios electrnicos a travs del espectro electromagntico y de redes de telecomunicaciones y el resultado que se obtenga de esta transmisin estarn protegidas por esta Ley.

Artculo 114. La transmisin de obras protegidas por esta Ley mediante cable, ondas radioelctricas, satlite u otras similares, debern adecuarse, en lo conducente, a la legislacin mexicana y respetar en todo caso y en todo tiempo las disposiciones sobre la materia. Seguros. Propsito El proceso de la auditora- en un sistema de informacin seguro es el proceso de la grabacin, evaluacin, y revisin de cualesquiera o de todas las actividades relevantes de seguridad en el sistema. Proporciona una gua a los usuarios en cmo utilizar eficazmente las capacidades de auditora implementadas en los sistemas. Este documento contiene informacin sobre los mecanismos de auditora que se implementan en los sistemas seguros, as como de los cuidados en el registro, y algunas caractersticas de configuracin. Objetivos de Control Los sistemas que se utilizan para dirigir, procesar, clasificar, la informacin sensible deben asegurar la responsabilidad individual, siempre que se invoque una poltica de seguridad obligatoria o discrecional. Adems, con el fin de asegurar la responsabilidad debe existir un agente autorizado y competente, que tenga acceso y evale la responsabilidad de la informacin por medios seguros, dentro de una cantidad de tiempo razonable. El objetivo del control de la responsabilidad se relaciona con la revisin y conduce al objetivo siguiente: Un sistema informtico confiable debe proveer al personal autorizado la capacidad de revisar cualquier accin en la que pueda potencialmente causar el acceso, generacin, o efecte el desbloqueo de la informacin clasificada o sensible. Los datos de la auditora sern adquiridos selectivamente tomando en cuenta las necesidades de la revisin de una instalacin y/o de una aplicacin determinada. Sin embargo, debe haber suficiente seguridad en los datos de la auditora que permitan rastrear los sucesos, los individuos especficos (o los procesos) que ha efectuado las acciones. Los Seguros Los seguros existen desde hace mucho tiempo, provistos de criterios y prcticas bien definidas. Sin embargo, cualquier institucin que busque asesoramiento y orientacin sobre cobertura de riesgos de computacin, corre el riesgo de enfrentar dificultades considerables. Existen dos problemas principales: .

La existencia de un gran vaco en la comunicacin: en general, los aseguradores saben mucho sobre riesgos comerciales pero muy poco acerca de computadoras, mientras que el personal de cmputo conoce poco acerca de seguros y mucho sobre computadoras. No hay un entendimiento cabal respecto a los riesgos y sus consecuencias, debido a que la profesin computacional es reciente y a que los antecedentes en relacin con las reclamaciones sobre seguros son pocos.

El resultado de lo anterior es que muy pocos usuarios de computadoras gozan de una cobertura adecuada para todos los riesgos. La tendencia es cubrir una o dos reas de riesgo evidente, como la reposicin del equipo o contra los incendios. Otro costo como la recaptura o el lmite de responsabilidad ante esta prdida, casi siempre se pasan por alto: Existen tres aspectos en particular: Las reas de riesgo asegurables. Los servicios de seguros especializados. El cambio del tipo de riesgo.

A. rea de riesgo asegurable. Ambiente Equipo Programas y datos Interrupcin comercial y su recuperacin. Personal Responsabilidades a terceras personas Estas reas de riesgo fueron publicadas por el National Computing Centre (NCC). B. Servicios de seguro especializados. En la actualidad, ciertas instituciones ofrecen servicios especializados para usuarios de computadoras. Estos servicios incluyen la adopcin del personal altamente capacitado en el manejo de las computadoras y, en consecuencia de los riesgos inherentes. Adems, varias compaas internacionales de seguros cuentan con plizas especializadas para usuarios de computadoras. Normalmente una pliza de seguros de equipo de cmputo cubre:

1. Daos materiales al equipo. Ampara cualquier prdida o dao fsico, sbito e imprevisto, que requiera de reparacin o reemplazo. Excluye: Prdidas o daos causados por terremoto, temblor, maremoto, erupcin volcnica, cicln, tifn o huracn. Prdidas o daos causados por hurto o robo sin violencia. Prdidas o daos causados por fallo e interrupcin en el suministro de corriente elctrica, de gas o de agua. Prdidas o daos que sean consecuencia del uso continuo o deterioro gradual debido a condiciones atmosfricas. Sin embargo este tipo de exclusiones se pueden prever mediante la contratacin expresa de otra pliza.

2. Portadores externos de datos. Cubre la indemnizacin sobre daos causados a dispositivos de almacenamiento de datos as como la informacin contenida en stos. Excluye, cualquier gasto resultante de la incorrecta programacin, perforacin, clasificacin, insercin, anulacin accidental de informaciones, prdidas de informacin causadas por campos magnticos y virus informticos. 3. Incremento en el costo de operacin. Esta cobertura se aplica si un dao material indemnizable diera lugar a una interrupcin parcial o total de la operacin lo que causara un desembolso adicional al usar un centro de cmputo ajeno y/o suplente. Los seguros a los equipos de cmputo se aplican a los bienes que se estn operando o que se encuentren en reposo, desmontados para propsitos de limpieza o reparacin o durante su traslado dentro del periodo establecido en la pliza. Generalmente excluyen los daos causados por: Guerra, invasin, actividades de enemigos extranjeros, hostilidades (con o sin declaracin de guerra, guerra civil, rebelin, revolucin, insurreccin, motn, tumulto, huelga, paro decretado por el patrn, conmocin civil, poder militar o usurpado, conspiracin, etc). Reacciones nucleares, radiacin nuclear o contaminacin radiactiva. Acto internacional o negligencia manifiesta del seguro o de sus representantes. Sin embargo existen algunas plizas adicionales que pueden contratarse y que cubren lo siguiente: Huelgas, alborotos populares y conmocin civil. Gastos extraordinarios y fletes expresos.

Gastos por flete areo. Daos por fallo de la instalacin de climatizacin. Robo sin violencia (hurto). Equipos mviles y porttiles fuera de los predios sealados. Clusula de huracn, cicln, tifn. Daos mecnicos y elctricos internos. Equipos de climatizacin.

Se deben revisar y evaluar las diferentes alternativas de seguro que ofrecen las compaas dedicadas a este rubro. C. Seguimiento de los cambios en los riesgos Los riesgos asegurables cambian en forma progresiva dentro de la institucin como un todo y en el interior de sus actividades de cmputo. Es importante garantizar que los nuevos riesgos se encuentren cubiertos y que las plizas estn actualizadas. Un mtodo valioso es la formacin de un comit de seguridad de cmputo. Sus objetivos seran: Identificar y cuantificar los riesgos directos y consecuentes de la instalacin de cmputo en la empresa. Garantizar que la cobertura se revise para tomar nota de los incrementos de los costos en los precios de reproduccin. Garantizar la existencia de los planes de contingencia adecuada, en especial cuando no se puede obtener la cobertura del seguro. Asegurar que la prdida consecuente se excluya de las responsabilidades de la institucin hacia terceras personas. Obtener asesora y orientacin especializadas cuando se requiera.

Adems, el comit debe contar con representantes de las siguientes dependencias: La direccin de procedimientos de datos. La compaa de seguros. Los gestores de seguros. El departamento de control secretarial o financiero. La auditora interna o la externa. Por medio de las reuniones peridicas, cuatrimestrales o anuales segn el tamao de la institucin, es posible asegurar que la cobertura de riesgos est claramente identificada y actualizada.

Seguridad Da a da, las compaas depositan su confianza en redes internas y externas como forma de enviar y recibir informacin crtica entre clientes, proveedores y personas, y manipular as sus bases de datos. Sin embargo, hay muchos puntos de la red donde pueden interceptarse, copiarse y desviarse los datos o mensajes. A pesar de que las compaas aplican mecanismos de alta seguridad para mantener a los que las atacan lejos de sus redes, es probable que algunos consigan entrar. Los procesos de cifrado y autentificacin garantizan que, aunque haya una violacin de seguridad, externa o interna, la informacin de la empresa est segura. Los elementos bsicos en la revisin de un sistema de informacin son: La revisin de la seguridad de la informacin. Que la estructura de la base de datos sea la adecuada. Que el modelo est acorde con las necesidades del usuario. Que el acceso a la misma sea gil, adems. Que tenga cierta flexibilidad.

El proceso de auditora tiene cinco metas importantes en el aspecto de seguridad. Primero: El proceso de auditora debe permitir la revisin de los modelos de acceso a los objetos individuales, a las bitcoras de acceso de procesos especficos, de los individuos, y del uso de varios mecanismos de proteccin utilizados por el sistema para su proteccin. Segundo: El proceso de auditora debe permitir el descubrimiento de tentativas de los usuarios autorizados de desviar los mecanismos de proteccin, as como identificar las tentativas realizadas por parte de intrusos para ingresar al sistema. Tercero: El proceso de auditora debe permitir el descubrimiento de cualquier uso de privilegios o permisos, que pueden ocurrir cuando un asume funciones con privilegios mayores a los suyos o realiza algn proceso para el que requiere permisos mayores a los que tiene asignados. Cuarto: El proceso de auditora debe actuar como impedimento contra tentativas habituales de intrusos de desviar o alterar los mecanismos de proteccin del sistema. Quinto: la meta del proceso de auditora es proporcionar al usuario una forma adicional de asegurarse de la efectividad del mecanismo de proteccin. Los registros de auditora se utilizan para detectar y para disuadir la penetracin en un sistema informtico y para revelar las acciones que identifican su uso errneo. En la discrecin del auditor, los registros de auditora pueden limitarse a los sucesos especficos o pueden abarcar todas las actividades dentro del sistema. Debe ser posible que el blanco del proceso de auditora sea un usuario o un objeto. Es decir, el mecanismo de auditora debe ser capaz de vigilar cada vez que Juan tuvo acceso al sistema X, as como vigilar cuando el archivo Z fue ledo o ejecutado; y adems cada vez que Juan tuvo acceso al archivo Z.

Aspectos de Seguridad en la Auditora El software que se encarga del registro de auditora, as como el registro de auditora en s mismo, deben protegerse debido a la informacin que contienen y deben estar bajo controles de acceso restringidos. Los requisitos de la seguridad del mecanismo de la auditora son los siguientes: El mecanismo de grabacin del suceso o evento auditado ser parte del archivo de auditora y ser protegido contra cualquier modificacin no autorizada. El registro de auditora ser protegido por el ARCHIVO DE AUDITORA contra el acceso no autorizado (es decir, slo el personal de auditora puede tener acceso al registro de auditora). El registro de auditora tambin ser protegido contra la modificacin no autorizada. El mecanismo para habilitar o bloquear la auditora de sucesos/eventos ser parte del ARCHIVO DE AUDITORA y seguir siendo inaccesible para los usuarios no autorizados.

Finalmente, los datos del registro de auditora deben considerarse como datos sensibles, y el registro de la auditora en s mismo ser considerado tan sensible como los datos ms sensibles contenidos en el sistema. Riesgos Inevitables de Seguridad Hay ciertos riesgos involucrados en el proceso de auditora, existen porque no hay manera de evitar que ocurran estos sucesos. Porque hay ciertos factores imprevisibles implicados en la revisin, es decir, por parte del hombre, de la naturaleza, etc., el proceso de auditora nunca puede ser ciento por ciento confiable. Las medidas preventivas que pueden tomarse, pueden reducir al mnimo la probabilidad de cualquiera de estos factores que afectan la seguridad proporcionada por el mecanismo de auditora, pero no existe un mecanismo de auditora libre de riesgo. Revisin de Amenazas por Parte del Administrador o de los Usuarios Incluso con la revisin de los mecanismos para detectar y disuadir violaciones de seguridad, la amenaza por parte de intrusos, administradores o alguna persona involucrada con la seguridad del sistema, estar siempre presente. Tambin es posible que el administrador de seguridad del sistema de un sistema seguro pudiera detener el registro de actividades, mientras que ingresa a los archivos del sistema y los altera para obtener una ventaja personal. Los administradores autorizan al personal, pero como tambin pueden tener acceso a los datos de identificacin y de autentificacin, podran tambin elegir ingresar el sistema disfrazado como otro usuario para cometer crmenes bajo una identidad falsa. La gerencia debe estar enterada de este riesgo y debe seleccionar adecuadamente al administrador de seguridad del sistema. La persona que sea seleccionada para una posicin tan critica, como la administracin de seguridad del sistema, debe estar
9

conciente de esta responsabilidad antes de que le sean concedidos los privilegios que un da podra utilizar contra la organizacin. El administrador de seguridad del sistema tambin podra ser observado para asegurarse de que no hay variaciones sin explicacin en actividades normales. Cualquier desviacin de la norma de operaciones puede indicar que una violacin de la seguridad ha ocurrido o es inminente de ocurrir. Una medida de seguridad adicional para controlar esta amenaza potencial, es asegurarse de que el administrador del sistema y la persona responsable de la auditora son dos personas distintas. La separacin de las funciones del auditor de las bases de datos, y del administrador del sistema es una accin importante al separar los privilegios de acceso. Si tal separacin no se realizara, y si se permitiera al administrador emprender funciones del auditor o viceversa, la funcin entera de la seguridad quedara en la responsabilidad de un solo individuo. Otra alternativa puede ser emplear papeles separados del auditor. Tal situacin puede dar a una persona la autoridad para desactivar el mecanismo de auditora, mientras que otra persona puede tener la autoridad para activar el mecanismo. En este caso que no existe un individuo pueda desactivar el mecanismo de auditora, de forma que pueda comprometer el sistema, y despus pueda activar el mecanismo de auditora. Planeacin de contingencias. Definicin El plan de contingencias es una estrategia constituida por un conjunto de recursos ideados con el propsito de servir de respaldo, contando con una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de negocio efectuados por una paralizacin total o parcial de la capacidad operativa de la empresa. Tal estrategia, puntualizada en un manual, es resultado de todo un proceso de anlisis y definiciones que dan lugar a las metodologas. A su vez las metodologas existentes versan sobre el proceso necesario para obtener dicho plan. Es muy importante tener en cuenta que el concepto a considerar es "la continuidad en el negocio"; estudiar todo lo que pueda en un momento dado paralizar la actividad y producir prdidas. Todo lo que no considere estos criterios no podr ser nunca un plan de contingencias. Plan de contingencias En el mundo de los negocios, la tecnologa del cmputo ha incrementado su campo de accin desde transacciones de contabilidad de tabulacin histrica, hasta asimilaciones de tiempo real en el manejo de datos complejos analgicos y digitales, as como en la formulacin y la ejecucin de procesos en procedimientos de control y seguridad. Las computadoras han adquirido la capacidad de asimilar consistente mente los datos, variables, soluciones de desarrollo, y aplicarlos a la multitud de problemas de negociacin. En general, la mayora de los procesos para la toma de decisiones y los sistemas de control que han sido institucionalizados en sistemas computacionales.

10

Para la mayora de las organizaciones la supuesta dependencia de los sistemas de cmputo durante un periodo de recuperacin de desastres es un mito propiciado por los siguientes factores: Ausencia en una conciencia centralizada y en la prioridad de los Programas de Educacin para tener un anlisis del impacto en los negocios. Fallas en la exploracin de las alternativas Un proceso educativo y la exploracin de alternativas viables con el personal adecuado es la clave para la efectividad de los planes de contingencia a un costo adecuado.

Los planes de recuperacin de desastres y la planeacin continua de negocios involucran grandes consideraciones de planeacin. Existen generalmente tres reas de accin a la que estn dirigidos: Prdida de la capacidad de comunicacin, como: voz y datos. Prdida de la capacidad de procesamiento. Prdida del espacio principal de trabajo.

La responsabilidad de llevar a cabo esta planeacin dentro de las reas funcionales de una organizacin puede ser asumida por departamentos individuales, sin embargo la planeacin de contingencia debe ser coordinada centralizadamente. De forma tal que las relaciones nter departamentales, las dependencias de un sistema con otros, y la necesidad de reducir duplicacin de tareas en algunos puntos de la planeacin justifican la necesidad de coordinar los procesos durante la planeacin de contingencias en la corporacin-completa. Ciclo de vida de los desastres 1. Operaciones Normales Las operaciones normales indican el periodo de tiempo antes de que ocurra un desastre. Esta fase del plan debe incluir la prctica de las operaciones que pretenden prevenir un desastre desde que principia, y de aquellas que ayudan a mitigar el impacto del mismo, prever lo que podra ocurrir. 2. Respuestas de Emergencia Las respuestas derivadas de una situacin de emergencia ocurren durante las pocas horas que siguen inmediatamente a un desastre. Esta fase de un plan identifica las actividades que pueden necesitar mayor atencin durante este periodo, con la finalidad de asegurar una respuesta a la organizacin y proporcionar una lista de verificacin de las emisiones importantes que pueden pasar inadvertidas durante la confusin que acompaa a los desastres.

11

3. Procesamiento Interno El procesamiento interno es un procedimiento alternativo que representa el tiempo de duracin de la contingencia en relacin con el soporte de las funciones esenciales de la empresa hasta que la capacidad de procesamiento normal sea restaurada. Estos procedimientos alternativos, deberan ser desarrollados por un departamento funcional dividido en tres fases: Inicio: Esta seccin identifica la necesidad de una preparacin especfica para asegurar las transiciones desde "el negocio como usual" hasta una modalidad de procesamiento interno. Soporte de las funciones esenciales del negocio: Esta seccin describe los departamentos funcionales que estn de acuerdo en el soporte de las funciones vitales del negocio durante el periodo de recuperacin de desastres. ' Recuperacin de datos. En esta seccin, el plan cubre las responsabilidades funcionales para retener los datos transaccionales que ocurren durante el periodo de procesamiento interno, as que los archivos y bases de datos pueden ser actualizados cuando la capacidad de procesamiento normal sea restaurado.

4. Restauracin La restauracin indica el periodo de tiempo destinado a aquellas actividades que se necesita realizar para recuperar una condicin o capacidad de procesamiento en su operacin normal. La restauracin involucra necesariamente los pasos de la planeacin, organizacin y control de tales actividades. Cuando el clima econmico es favorable, los planes de contingencia estn al final de la lista de las cosas que se necesitan hacer; cuando los beneficios son bajos, los planes de contingencia forman parte de las actividades prioritarias de la empresa ya que se trata de asegurar el negocio, Adems mientras mayor sea el costo en los proyectos del plan de contingencias, mayor ser su plazo. reas de exposicin Las reas comunes de exposicin a desastres en los negocios incluyen lo siguiente: Comunicaciones telefnicas Capacidad de procesamiento de cmputo Medios vitales

1. Comunicaciones telefnicas Los telfonos por lo regular estn a cargo de alguna concesin; rara vez falla el servicio a excepcin de breves periodos, tal como una tormenta inesperada, o un sismo. Pero es apropiado preparar un plan de contingencia que nos proveer una capacidad de comunicacin de voz mnima durante el periodo de recuperacin de desastres, tomando en cuenta que la mayora de las computadoras que se conectan a Internet desde las empresas recurren a este medio principalmente.

12

2. Capacidad de procesamiento de cmputo Para valorar la magnitud de este apartado, hay que evaluar por ejemplo cuanto tiempo puede operar la organizacin sin procesamiento de computacin. Las organizaciones de servicio financiero no pueden operar por ms de un da o dos sin procesamiento de computacin, como ellos necesitan esta capacidad para el servicio de transacciones. An para otras organizaciones, este no puede ser el caso. Sin embargo varios negocios son dependientes de las computadoras para sus operaciones cotidianas, aun as, resulta incorrecto asumir que ellos no pueden operar sin este soporte durante un periodo relativamente breve en la recuperacin del desastre en por lo menos una o dos semanas. 3. Medios vitales La prdida de inmuebles resultante del fuego u otros siniestros no es un algo nuevo. La falta de seguridad es la respuesta de mayor costo efectivo. Las fallas en los negocios que siguen a un desastre, normalmente son causadas por prdidas de bienes, como medios de manufactura, centros de distribucin, o construcciones de oficina, o una incapacidad para soportar las funciones vitales del negocio siguen a una interrupcin de la capacidad de procesamiento normal. 4. Los planes actuales pueden no ser efectivos Al menos el 25% de las organizaciones han tenido desastres en el trabajo debido a sus planes de recuperacin. Algunos planes parecen muy buenos en papel 'pero podran no funcionar al momento de ser implementados. Los planes que no son viables usualmente tienen tres cosas en comn: El enfoque es mantener a la computadora corriendo, en lugar de mantener a la organizacin en accin. Nadie se toma el tiempo de identificar procedimientos alternativos para soportar funciones que normalmente confan en la tecnologa de computacin, pero actualmente podra sobrevivir a un desastre en el periodo de recuperacin utilizando mtodos alternativos. El plan contiene detalles innecesarios y que afirman que los problemas no existen.

Fases de un plan de contingencias Fase 1. Anlisis y Diseo Estudia la problemtica, las necesidades de recursos, las alternativas de respaldo, y se analiza el costo/beneficio de las mismas. sta es la fase ms importante, pudiendo llegarse al final de la misma incluso a la conclusin de que no es viable o es muy costoso su seguimiento. En la forma de desarrollar esta fase, se diferencian las dos familias metodolgicas. Estas son llamadas Risk Analysis y Business Impact. Las Risk Analysis se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. Aunque los registros de incidentes son escasos y poco fiables, an as es ms fcil encontrar este tipo de metodologas que las segundas Las Business

13

Impact, se basan en el estudio del impacto (prdida econmica o de imagen que ocasiona la falta de algn recurso de los que soporta la actividad del negocio. Estas metodologas son ms escasas, pero tienen grandes ventajas como es el mejor entendimiento del proceso o el menor empleo de tiempo de trabajo por ir ms directamente al problema. Fase 11. Desarrollo de un plan Esta fase y la tercera son similares en todas las metodologas. En ella se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuacin generando as la documentacin del plan. Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de la situacin normal a la alternativa debe concluirse con la reconstruccin de la situacin inicial antes de la contingencia. Fase III. Pruebas y mantenimiento En esta fase se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera prueba como comprobacin de todo el trabajo realizado, as como concientizar al personal implicado. Asimismo se define la estrategia de mantenimiento, la organizacin destinada a ello, y las normas y procedimientos necesarios para llevado a cabo. Herramientas El esquema de una herramienta debe tener al menor los siguientes puntos: Base de datos relacional Mdulo de entrada de datos. Mdulo de consultas Proceso de textos Generador de informes Ayudas on -line" Hoja de clculo Gestor de proyectos Generador de grficos

Caractersticas de un plan de contingencia Un plan de contingencia debera de: Tener la aprobacin de los integrantes. Ser flexible. Contener un proceso de mantenimiento. Tener un costo efectivo. Enfatizar en la continuidad del negocio. Asignar responsabilidades especficas.

14

Incluir un programa de prueba.

Aprobacin El plan debe de ser aceptable para auditores internos; fuera de auditores, el director, clientes y proveedores. Flexibilidad El plan deber ser especificado en guas, en lugar de relacionar los detalles a situaciones individuales del desastre. Mantenimiento Eludir detalles innecesarios de manera que el plan pueda ser fcilmente actualizado. Costo-Efectividad La planeacin del proyecto deber enfatizar en la necesidad de minimizar los costos del desarrollo del plan, respaldo redundante del procesamiento de la suscripcin de honorarios, mantenimiento y costo de pruebas. Continuidad de la empresa El plan debe de asegurar la continuidad, durante un periodo de recuperacin de desastres. Respuesta organizada El plan debe proporcionar una lista de verificacin de salidas que necesitan atencin inmediata que sigue al desastre. As mismo incluir listas de nmeros de telfono y las direcciones de individuos para conectarlos. Responsabilidad A individuos especficos deber asignrseles la responsabilidad de cada salida que requiera atencin durante la Respuesta de Emergencia y el tiempo del periodo del procesamiento interno. Prueba La prueba con los usuarios para revisar los procedimientos de verificacin de respaldo debe de realizar algo especfico en los intervalos de tiempo. De tal forma que el plan cuente con un estado de frecuencias de prueba y documente la metodologa de prueba. Caractersticas de un buen plan de contingencia Funcional - Desarrollado por los supervisores de primera lnea Costo- Efectividad - En relacin con baja probabilidad Flexibilidad - El mismo plan puede ser utilizado para cualquier desastre Fcil de mantener - Mantenerlo simple Pero no basta con tener un manual cuyo ttulo sea Plan de Contingencia o denominacin similar, sino que es imprescindible conocer si funcionar con las garantas necesarias y cubre los requerimientos en un tiempo inferior al fijado y con una duracin suficiente. El plan de contingencia inexcusablemente debe: o Realizar un anlisis de Riesgos de Sistemas Crticos que determine la tolerancia de los sistemas.

15

o o

o o o

Establecer un Periodo Crtico de Recuperacin en el cual los procesos deben ser reanudados antes de sufrir prdidas significativas o irrecuperables. Realizar un Anlisis de Aplicaciones Crticas por el que se establezcan las prioridades de Proceso. Determinar las prioridades de Proceso, por das del ao, que indiquen cules son las Aplicaciones y Sistemas Crticos en el momento de ocurrir el desastre y el orden de proceso correcto. Establecer Objetivos de Recuperacin que determinen el perodo de tiempo (horas, das, semanas) entre la declaracin de Desastre y el momento en que el Centro Alternativo puede procesar las Aplicaciones Crticas. Designar, entre los distintos tipos existentes, un Centro Alternativo de Proceso de Datos. Asegurar la Capacidad de Comunicaciones. Asegurar la Capacidad de los Servicios de respaldos.

Algunas de las preguntas que pueden formularse al realizar una auditoria sobre este tipo de planes esta: Cmo est estructurado el Plan? Es fcil de seguir el Plan n el caso de un desastre? Indica el Plan quin es el responsable de desarrollar tareas especficas? Cmo se activa el plan en caso de un desastre? Cmo estn contenidos estos procedimientos de activacin en los procedimientos de emergencia normales de la organizacin? Han sido probados estos procedimientos en un test de desastre simulado? Contiene el Plan procedimientos que fijen los daos en las etapas iniciales de las Operaciones de Recuperacin? Incluye el Plan procedimientos para trasladar el proceso desde el Centro Alternativo al Centro Restaurado o Nuevo? Contiene el Plan listados del Inventario del proceso de datos y Hard de comunicaciones, software, formularios preimpresos y stock de papel y accesorios? Estn actualizados los listados telefnicos del personal de Recuperacin as como empleados del Proceso de Datos, alta direccin, usuarios finales, vendedores y proveedores? Cmo esta contenido el plan? Quin es el responsable de actualizar el Plan? Cundo fue actualizado el plan? Hay copias del Plan distribuidas en otro lugar?

En la auditora es necesario revisar si existe tal plan, si es completo y actualizado, si cubre los diferentes procesos, reas y plataformas, o bien si existen planes deferentes segn entornos, evaluar en todo caso su idoneidad, as como los resultados de las pruebas que se hayan realizado, y si permite garantizar razonablemente que en caso
16

necesario, y a travs de los medios alternativos, propios o contratados, podra permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los responsables del uso de las aplicaciones, que a veces son tambin los propietarios de las mismas pero podran no serio. Si las revisiones no aportan garantas suficientes se deben sugerir pruebas complementarias o hacer constar en el informe, incluso indicarlo en el apartado de limitaciones Es necesario verificar que la solucin adoptada es adecuada: instalaciones propias, ajenas, compartidas, etc. Y que existe el contrato oportuno si hay participacin de otras entidades aunque sean del mismo grupo o sector. Dentro lo crtico de las aplicaciones se puede distinguir entre las ms crticas, con impacto muy alto en el negocio y sin alternativa, otras con alternativas, e incluso diferenciado si con costos altos o inferiores, y aquellas cuya interrupcin, al menos en un nmero de das fijado, no tiene casi incidencia y habr que distinguir qu tipos de consecuencias e impacto, en funcin del sector y entidad, y da del mes en que ocurriera el incidente, y tal vez la hora en algunos casos. Frente a lo que vena siendo la previsin de contingencias en estos aos pasados, centrndose slo en el host como un gran servidor, hoy en da, con la clara tendencia a entornos distribuidos, es necesario considerar tambin estos en la previsin de las contingencias. Debe existir un manual completo y exhaustivo relacionado con la continuidad en el que se contemplen diferentes tipos de incidencias y a que nivel se puede decidir que se trata de una contingencia y de qu tipo. Crimen y fraude computacional. El crimen organizado ha estado utilizando cada vez ms las computadoras para agilizar y mejorar sus actividades criminales, los criminales han empezado a. utilizar computadoras para tener acceso a los sistemas de cmputo de las grandes compaas. El delito por computadora puede interactuar en forma no autorizada con una computadora, pero cometidos son medios convencionales. Son ejemplos de delitos relacionales con computadoras l robo de computadoras impreso o almacenado encintas magnticas. Los delitos relacionados con computadoras pueden controlarse usando medios de seguridad. Sin embargo implican nuevas especialidades tcnicas criminales y a menudo solo pueden detectarse y prevenirse teniendo una buena compresin tcnica acerca de un sistema de computacin. Los motivos de los delitos por computadora normalmente son: 1. Beneficio personal 2. Beneficio para la organizacin 3. Sndrome de Robin Hood (por beneficiar a otras personas) 4. Fcil de desfalcar 5. El departamento es deshonesto 6. Odio a la organizacin (revancha) 7. El individuo tiene problemas financieros 8. La computadora no tiene sentimientos ni delata 9. Equivocacin de ego (deseo de sobresalir en alguna forma)

17

10. Mentalidad turbada Se considera que hay cuatro factores que han permitido el incremento en los crmenes por computadora. Estn son: 1. Amento de nmeros de personas que se encuentran estudiando computacin. 2. El aumento de nmeros de empleados que tienen acceso a los equipos. 3. La facilidad en el uso de los equipos de cmputo. 4. El incremento en la concentracin del nmero de aplicaciones y de la informtica. Los delitos por computadora pueden clasificarse en tres: 1. Robo directo 2. Robo indirecto 3. Sabotaje Robo directo. Implica el acceso a la computadora para poder robar programas, datos, o tiempo de computadora. Es posible obtener cierta proteccin al almacenar datos y programas Importantes en cdigos secretos. Mas proteccin puede lograrse utilizando claves separadas de acceso para programas u recolecciones individuales de datos Crticos. Estas claves de acceso deben cambiarse con regularidad y distribuirse solo aquellos que necesiten Conocerlo. Tambin resulta importante asegurar que cualquier copia de un programa o datos que se realicen dentro de la computadora estn protegidas al igual y se borren cuando ya no se necesiten. Robo indirecto Indica los delitos por computadora que parecen tener ms atractivo para la prensa. Se caracteriza por la alteracin no autorizada de programas o de datos dentro de la computadora para fines ilegales. Casos clsicos son: mtodo de restar dinero, alteracin de programas, transferencia de fondos, etc. Sabotaje U n empleado descontento, un competidor de negocios o un saboteador pueden intentar borrar grandes volmenes de datos o valiosos programas de computadora. Podran insertarse maloseosamente errores en los programas o hacer trabajos que se dieran a las computadoras a fin de sobrecargarla y por tanto reducir su efectividad. En realidad la mayora de la parte de los crmenes por computadora son obra de criminales empedernidos. Husmeadores Destructivos La "gang 414" fue un grupo de jvenes "husmeadores" (hackers) que usaron las microcomputadoras para obtener acceso a sistemas de computo electrnico por todo Estados Unidos.

18

Obtenan o adivinaban las contraseas de un sistema, examinaban archivos, corran programas. Durante sus incursiones electrnicas, daaron archivos claves de diversas compaas. Los miembros de la "Gang 414" terminaron con sus computadoras confiscadas. Informacin Antipiratera El software es uno de los baluartes tecnolgicos ms apreciados de la era de la informacin, puesto que rige el funcionamiento del mundo de los ordenadores y de Internet. Desgraciadamente, por este motivo y por la facilidad con la que se pueden crear copias exactas de los programas en cuestin de segundos, la piratera de software se encuentra muy extendida. Desde simples usuarios hasta profesionales que se dedican al comercio de software robado, se pueden encontrar prcticas de piratera en casas, escuelas, negocios e instituciones gubernamentales. Los piratas informticos no slo perjudican a las compaas que fabrican software, sino que, al no ser posible reinvertir el dinero que stas obtienen en investigacin y desarrollo de programas ms avanzados, tambin perjudican a todos los usuarios. Por este motivo, cualquier forma de piratera de software (incluso una copia de un programa para un amigo) se considera ilegal. Adems, a medida que aumenta el nmero de ordenadores y el uso de Internet, tambin aumenta el nmero de casos de piratera de software. En BSA pensamos que las nuevas tecnologas deben mejorar el acceso a trabajos con copyright, as como su distribucin, de manera legal. Aydenos a erradicar la actividad de los piratas de Internet: denuncie la piratera hoy. Todas las denuncias se procesan de forma totalmente confidencial. Tipos de piratera Existen cinco tipos comunes de piratera de software. Comprender cada uno de ellos les servir a los usuarios para evitar los problemas asociados con el software ilegal. Piratera de usuario final: Tiene lugar cuando el empleado de una empresa reproduce copias de software sin autorizacin. La piratera de usuario final puede adoptar las siguientes formas: Utilizar una copia adquirida con licencia para instalar un programa en varios ordenadores; Copiar discos con fines de instalacin y distribucin; Aprovechar ofertas de actualizaciones sin tener una copia legal de la versin a actualizar; Adquirir software acadmico, restringido o no destinado a la venta minorista sin una licencia para uso comercial; Intercambiar discos en el lugar de trabajo o fuera de l.

19

Uso excesivo del servidor por parte del cliente: Este tipo de piratera tiene lugar cuando demasiados empleados en una red utilizan simultneamente una copia central de un programa. Si usted tiene una red de rea local e instala programas en el servidor para que los utilicen varias personas, tiene que estar seguro de que la licencia lo habilite para actuar de esa manera. Si hay ms usuarios de los que se permiten por la licencia, estamos' frente a un caso de "uso excesivo". Piratera de Internet: Tiene lugar cuando se descarga software de Internet. Las compras de software en lnea deben regirse por las mismas normas de compra que se aplican a los mtodos de adquisicin tradicionales. La piratera de Internet puede adoptar las siguientes formas: Sitios web piratas que ofrecen software para hacer descargas gratuitas o a cambio de la carga de programas; Sitios de subastas en Internet que ofrecen software infringiendo los derechos de reproduccin, fuera de canal o falsificado; Redes par a par que permiten la transferencia no autorizada de programas protegidos por derechos de autor.

Carga de disco duro: Tiene lugar cuando una empresa que vende ordenadores nuevos carga copias ilegales de software en los discos duros para que la compra de las mquinas resulte ms atractiva. Las mismas inquietudes y problemas se aplican a los Revendedores de valor agregado (VAR, por sus siglas en ingls) que venden o instalan software nuevo en los ordenadores en el lugar de trabajo. Falsificacin de software: Este tipo de piratera consiste en la reproduccin y la venta ilegal de material protegido por derechos de autor con la intencin de imitar directamente dicho producto protegido. En el caso de los paquetes de software, es comn encontrar copias falsificadas de CD o disquete s que incorporan los programas de software, as como todo el embalaje relacionado, manuales, acuerdos de licencia, etiquetas, tarjetas de registro y funciones de seguridad. Piratera de Internet Si bien Internet aumenta ampliamente las oportunidades para vender productos y servicios, tambin crea nuevas oportunidades para robar software. En efecto, el robo y la distribucin de software amenazan con socavar el tremendo potencial de innovacin, puestos de trabajo e ingresos que conlleva Internet.

20

Hasta hace poco, la copia no autorizada de software requera el intercambio fsico de discos. Pero, a medida que Internet continuamente se vuelve ms sencilla, rpida y menos cara, la piratera de software avanza al mismo ritmo. Internet viabiliza el paso de los productos de un ordenador a otro, sin ninguna transaccin de discos y poco riesgo de deteccin. Algunos esquemas de piratera incluso involucran a ordenadores sin el conocimiento del propietario. La piratera que en el pasado requera la comprensin de complejos cdigos informticos ahora se puede realizar con el clic de un Mouse. Y, de acuerdo con estimaciones recientes, aproximadamente 100 millones de norteamericanos ahora tienen acceso a Internet, con lo cual los piratas de software cuentan con un mercado ascendente. La industria de alta tecnologa est impulsando la revolucin de la informacin, que a su vez es la piedra angular de la nueva economa. Las empresas miembros de BSA son los productores lderes de software, hardware y tecnologas innovadoras y han desempeado un papel clave en el suministro de infraestructuras crticas para Internet y el comercio electrnico. Estamos a favor de la tecnologa y nos abocamos a la promesa de las nuevas tecnologas, como las conexiones en redes par a par. En el centro de estas tecnologas se encuentra la propiedad intelectual. Si bien Internet nos ha facilitado a todos nosotros el intercambio de informacin, nada supone que debamos abandonar nuestras leyes. Los avances en las nuevas tecnologas dependen de una fuerte proteccin de la propiedad intelectual. Denuncia de Piratera . ,,

Le preocupa la utilizacin de software ilegal? Si sospecha que un socio, un compaero de trabajo o incluso un antiguo empleado estn utilizando o vendiendo software sin licencia, comunquelo a BSA Espaa a travs de la lnea de informacin gratuita o mediante una demanda on-line. Slo le llevar un momento hacerlo y la informacin que proporcione se mantendr en el ms estricto secreto. Incluso puede efectuar la denuncia de manera annima.

21

Bibliografa www.monografias.com www.ace-proiect.org/main/espanol/po/pohOld.htm Ley Federal del Derecho de Autor publicada en el Diario Oficial de la Federacin el da 24 de diciembre de 1996.y actualizada al 28 de febrero de 1999, en la direccin de Internet: http://www.cddhcu.gob.mx/leyinfo/

22