Imagen Del Libro Auditoria Informatica de Echenique

AUIBITORIA ENAUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Auténoma de México Universidad Autonoma Metropolitana McGraw-Hill MEXICO « BUENOS AIRES - CARACAS « GUATEMALA « LISBOA « MADRID NUEVA YORK « SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO + SAO PAULO AUCKLAND « LONDRES « MILAN « MONTREAL » NUEVA DELHI + SAN FRANCISCO ‘SINGAPUR - ST. LOUIS - SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS INTRODUCCION, CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias .. Concepto de auditoria y concepto de informética .. Diversos tipos de auditoria y su relacién con la auditoria en informatica... ‘Auditoria interna/extema y auditorfa contable_/financiera Auditoria administrativa/ operacional Auditoria con informatica . Definicién de auditoria en informatica... Concepto de auditoria en informatica Campo de la auditoria en informa Auditoria de programas ... CAPITULO 2: Planeacién de Ia audiloria en informética sn Fases do la auditoria os “i PlaneaciGn de la auditoria en informatica Revisién preliminar... Revisién detallada Examen y evaluacidn de la informacion . Pruebas de consentimiento .... Pruebas de coniroles del usuario . Pruebas sustantivas.. Evaluacign de los sistemas de acuerdo al riesgo. Investigacién preliminar. Personal participante. CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacién organizacional PPrincipales planes que se requicren dentro de la organiizacicn de informatica Evaluacién de la estructura organica Estructura orgénica Funciones: Objetivos.. Anilisis de onganizaciones EvaluaciGn de los recursos humanos .. Entrevistes con el personal de informatica Situacién presupuestal y financiora ..conTENDO Presupuestos .. Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas... Evaluecion de sistemas Evaluacisn del anlisi Andlisis y disefio estructirade vnesnn Evaluecisn ciel diseno ldgico del sistema... Programas de desarrollo... Bases de datos El administrador de bases de datos Comunicacién ‘ Informes Andlisis de informe’... Ruido, redundancia, entropia Evaluacisn del desarrollo del sistema Sistemas distribuidos, Internet, comunicacién entee oficinas Control de proyectos vemnsmn Control de disefo de sistemas y programadén Instructivos de operacisn .. Forma de implantacion Equipo y facilidades de Programadia Enirevistas a usuarios .. ct Entrevistas . Cuestionario Derechos ce autor y secretos industriales Intemet - - Proteccién de los derechos de autor... 144 Secretos industriales. eon oe CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo Controles: _ Control de datos fuente y manejo de cifras de control... snine LOL Control de operacion... Control de salida Control de asignacién de trabajo Control de medios de almacenamiento masivo Control de mantenimiento Orden en el centro de eSmputo ... de la configuracién del sistema de computo... Puntos a evaluar en los equipos .. CAPETULO 6: Evaluacion de la seguridad ..n. Seguridad ldgica y confidencialidad... Seguri Riesgo Encrip Seguridad Seguridad Ubicac Piso el Aire ac Instala Seguri Seguric Detece: ‘Tempe Seguridad. Protec Seguros . Conic Seguridad. Seguridad. Plan de con de desa Plan de Selecci CAPITULC ‘Técnicas pa Analisi Metodo Evaluaciéa | Anilisis Evaluacion Evaluag Evaluad Evaluad Evaluag Controles Presentacion Conclusion Bibliogratia Indice analitBRGRS S FA Seguridad 16g{¢€ soon Riesgos y controles a auditar Encriptamiento Seguridad en el personal... Seguridad fisica Ubicacién y construccién del centro de cémputo iso elevado o camara plena Aire acondicionado .. Instalacién eléctrica y suministro de energia =. Seguridad contra desastres provocados por agua . Seguridad de autorizacién de accesos. Deteccidn de humo y fuego, extintores ‘Temperatura y humedad. Seguridad en contra de virus Protecciones contra virus y elementos a auditar Seguros Condiciones generales del seguro de equipo electrénico.. Seguridad en la utilizacién del equipo Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre Plan de contingencias.. Seleccion de la estrategia .. CAPETULO 7: Interpretacién de la informaciéa . ‘Técnicas para la interpretacién de Ia informacisn’ Analisis critico de los hechos Metodologia para obtener el grado de madurez del sistema Evaluacién de los sistemas Analisis Evaluacién de los sistemas de informacién Evaluacién en la ejecucién Evaluacion en el impacto Evaluacién econémica Evaluacién subjetiva . Controles Presentacién. Conclusiones Bibliografia nn. {ndice analiticoINTRODUCCION En la actualidad el costo de los equipos de eémputo ha disminuido considera blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduceién de sus costos. Aunque los costos uni tarioshan disminuido (el de una computadora personal, “microcomputadora”), los costos totales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacién precio /memoria es menor, el tamaiio de la memoria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de més datos en mucho menos tiempo y que procesan la informacién en forma mas ripida (memorias RAM y ROM, fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, Io que ha tenido como consecuencia que os costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Intemet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asf como la confiabilidad y segurided con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relaciGn con la informacién y uso que se da a éstas. También se tiene poco control sobre la utilizacién de los equipos, existe un deficiente sistema de seguridad tanto fisica como logica y se presenta una falta de confidencialidad de la informaciGn. Lo que se debe incrementar es la productividad, el control, la seguridad y Ia confidencialidad, para tener la informacién necesaria en el tiempo y en el Iugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacién son particularmente notables: ‘+ Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de Ia miniaturizaci6n de poderosas capacidades, en diferentes dispositivos disefiados para usos pers nales y profesionales Una gran dispordbilidad de software poderooo, btrato relativamente accesible, con interfases de uso grafico. ‘Ala medida del cliente, cambio de sistemas a software preempacado. ‘Cambio de computadoras principales (mainframe) a computadoras de us0 individual aumentadas como parte de rectes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-xii irRoDUCCION bios en la naturaleza, organizacisn y localizacién de actividades de los si temas de informaci io final + _Incrementoen la habilidad de las computadoras para accesar datos en tiempo Feal 0 demorado, ambos en forma local 0 a través de acceso a facilidades Temotas, incluyendo via Intemet. + Captura de nuevos datos y el liderazgo en tecnologfa en almacenamiento maximo para incrementar la computarizaci6n, datos/ informacién en tex- tos, graficas y video, con énfasisen la adminisiracisn, presentacisn y comunicacidn de informacién, utilizando aproximaciones de multimedia + Lacobertura de informacion y as tecnologias de comunicacién afectan la forma en que se trabaja y se compra ‘+ Incremento del uso de Intemet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrOnico (E-mail), intemet, incluyendo world y wide web. + Elincremento en ol uso de Intornet para conducir comunicacién entre organizaciones e individuos, a través de sistemas de comercio electrénico, tales como intercambio electrénico de datos (EDI)y sistema de transferenciae trSnica de fondos (EFTS). + Mercadeo masivo y distribucién de productos de tecnologia de informa: ida y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrSnico y servicios financieros. + Reduccién de barreras de uso e sistemas, estimulando una gran penetra ion de sistemas de informacion dentro de organizaciones de todos los ta: mais, de lucto 0 no lucrativas, para contadores y consejos de administs cin, y para propésitos estratégicos ¢ incremento de papeles del usuario final de computadoras. * Una amplia penetracién de tecnologia de informacisn, tal como disefio manufactura por medio de asistencia computarizada (CAD/CAM), sistema de imagenes por computadora, sistemas de informacion para eecutivos (EIS) y sistemas de reuniones en forma electrénica (EMS), * Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor macidn, tales como software de ingenierfa de asistencia computarizada (CASE), programacién orientada a objetos y temologia de flujos (WORK FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. + Acceso a reingenieria de nuevos negocios, basado en la integraci6n efectiva de tecnologia de informacién y procesos de negocios. mn, como el cambio a computadoras de usu Uno de los problemas més frecuentes en los centros de informatica es la falta de una adecuada organizacisn, que permita avanzar al ritmo de las exi sgencias de las organizaciones. A esto hay que agregar la situacion que presentan los nuevos equipas en cuanto al uso de bases de datos, rades y sistemas de informacién, Loantcrior, combinado con lanecesidad de una eficiente plancacivn cetratégica y corporativa de las organizaciones, y con una descentralizacion de equipos y centralizacidn de la informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for ma de org izar control y adminis En muchos « pleo de herramee Puestos, finanzas Tepercute en una nes con las caract hace que no se cu desvien de los ob La proliferaci manda de control vVacidad de la info Ademés, hay una dad de (a continui sistemas se caigan incompatibles y el Los sistemastt de las herramiont Para poder evaluai Iarlo desde su inic electrénico, 0 bien respaldos, seguride No basta, pues, con Pos de cémpato, qu ma total de informa La informatica Mos afios, En una g prendié hace alga €reaciGn del horno, década hemos visio era algo cominlata Femoto, y considera tedes. Esto ha provo uitica. Yo no poden con microcomputed conocia en detalles de tener especialisia informatica, y en ola rentes funciones que de la informitica yd EI principal obet Ios siguientes puntos La parte adminis! Tos recursos mat Los sistemes y pro necesidades delavio etre sta stra- lode tiste tivos afor vada IRK- sde ma de organizar el érea de emputo, requieran aplicar técnicas modemas de control y administracién. En muchos centros de informatica también se desconoce el adecuado empleo de herramientas administrativas, contables//financieras. tales como presupuestos, finanzas, costos, recursos humanos, organizacién, control, etc. Esto repercute en una inadecuada drea de informatica que no permite tomar decisiones con las caracteristiras que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la privacidad de la informaci6n y su integridad, y sobre los cambios de los sistemas. Ademés, hay una preocupacién sobre la caida de los sistemas y sobre la seguridad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupaciénes la proliferacién de subsistemas incompatible y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacién de las herramientas que nos proporcionan los mismos sistemas electronicos. Para poder evaluar un sistema de informacién es necesario conocerio y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecanico, electrGnico, o bien 1a combinaciGn de éstos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacién que proporcionan. No basta, pucs, conocer una parte 0 fase del sistema, como pueden ser les equipes de cémputo, que tan sélo vienen a ser una herramienta dentro de un sistema total de informacién. La informatica ha sido un rea que ha cambiado drasticamente en los tilt mos aftos. En una generacidn, la tecnologfa ha cambiado tanto que Io que sor- prendié hace algunos afios, como la Ilegada del hombre a la Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacion de la informatica: st hace poco era algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de reds. Esto ha provocado que se tengan especialistas dentro del érea de la informitica. Yano podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, o bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de éstas es la auditoria en informétiea, y en ella debemos de tener especialistas para cada una de las diferentes funciones que se reatizardn. Esto sin duda depende del tamano del area de la inforsnstica y de la organizacién. El principal objetivo del libro es evaluar la funcién de la informatica desde Jos siguientes puntos de vista La parte administrativa del departamento de informatica. Los recursos materiales y técnicos del drea de informética. Los sistemas y procedimientos, y laeficiencia de su uso y su relacién con las necesidades de la organizacién. mnTRopuccionxiv rRooUCCON inform dependiendo de su tamaiio Es conveniente precisar y aclarar que la funcién de la auditoria e1 sad con la que me relies dcpesera ‘ane de las caracteristicas y del mimero de equipos de cémputo con que se cuente. El Findizarde ecuerda.n h erggnizacion de que sc trate-e los equlposoFiven CaPiTUI y caracteristicas. La prot Os, Al finalizConcepto de auditoria carityco €N informatica te y diversos tipos de auditorias Obuetivos Al finalizar este capitulo, usted: 1. Analizaré lo 2. Conocera to: informética 3. Expondré cudles s con informatica 4. Descrbira las habi formética. 5. Detiniré cual es el campo de la auditoria en informatica. 6. Explicaré cudles son los principales objetivos de la auditoria en informatica 0s de auditoria e informatica, 0s tipos de auditoria y su relacion con la auditoria en sonicas avanzadas que se utiizan en la euditoria fades fundamentales que debe tener todo auditor de in2 : cari Concerto pe aupioria r Y CONCEPTO DE INFORMATICA Ste pe coe Nace in mnctsta El concapte Ue ecco eva coop ss = srgiaig" El raion tend -vsnl de ply coven atréanoner dese at SS ee nc cain aera qiseniaTes “ae | El Roletin C de normas de auditoria® del Instituto Mexicano de Contadores | ost ria debe ev, tivas de sol Informatie equipas de, conferencia tica dela Fa Nacional A) palabra 1a conjur facestim En 1966, del modo sig ndquin: Hacia pe cién, sobre fc por redefini Interguberna UNESCO. Es ello, formuld Aplicacisn La IBItan ca que, aungt Ciencia de En 1977, Mexicana de | Ciencia de En alguns proceso electr mas amplio, ytia debe evaluar par Informitica equipos d conferencia f de Ia Facult 1 ministracis Frectamerts al Auténoi amplio; no eevaluar la jjetivos pro e*auditor de cuentas debe estar intergubern: INESCO. F Allo, form: intos para | laauditoria sidera el total del sistem:DIVERSOS TIFOS DE AUDITOR: Niveles de informacion También es comtin confundir el concepto de dato con el de informacién. La Jenados con un objetivo co: min. El dato se refiere tinicamente a un simbolo, signo o a una serie de let nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos letras o ntimeros, La informacion esté orientada a reducir la incertidumbre del receptor y tiene la caracteristica de poder duplicarse pricticamente sin costo, no se gasta Ademds no existe por si misma, sino que debe expresarse en algtin objeto (pa pel, cinta, etc.); de otra manera puede des: con la comunicacisn oral, Io cual hace que la inform: debidamente por medio de adecuados sist recer 0 deforn se, como sucede ién deba ser controlada mas de seguridad, confidencialidad y respaldo. La informacién puede comunicarse, y para ello hay que lograr que los medios de seguridad sean levados a cabo después de un adecuado examen de la forma de transmisisn, de la eficiencia de los canales de comunicacién{el trans misor, el receptor, el contenido de la comunicacién, la redundancia y el ruidg) La informacisn ha sido dividida en varios niveles. El primero es el nivel técnico, que considera los aspectos de eficiencia y capacidad de los canales de transmisidn; el segundo es el nivel semntico, que se ocupa de la info desde el punto de vista de su considera al rese xto dado, y el cuarto nivel analiza la informa cidn desde el punto de vista normativo y de la parte ética, o sea considera cuan do, dénde y a quién se destina la informacién 0 la@ikusiDquie se le dé abarcar los cuatro niveles de Thformacién, Enel cuarto nivel tenemos una serie de aspectos importantes, como la parte Jegal del uso de 2 iucidi ca ¥ la crevcidn de la ética en informatica, gue no sélo debe incluir a los profesionales t cnicos y especialistas en informatica, sino también a los usua rios tanto de gr indes computadoras como de computadaras personales, gnificado; el tercero es el pragmatic, el cual Ia informacién, los estudios que se han hecho sabre la Kan a de la infor. La informac in tradicional (oral y escrita) se ve afectada dentro de Ia infor mitica cuando se introduce el manejo de medios electronicos, lo cual la hace facilmente mod ficable y adaptable a las caracteristicas de cada receptor. La informacisn tambien tiene la capacidad de mangjarse en forma rdpida y en grandes voltimenes, lo cual permite generar, localizar, duplicar y distribuir la infor macién de modo sorprendente a través de métodos, téenicas y herramientas como microcomputadoras, procesos distribuidos, redes de comunicacisn, ba ses de datos, etcetera, La nueva tecnologia permite que el usuario disponga de la informacién en cualg) momento, ya sea para su acceso, actualizacién, tacidn o para que pueda distribuirse como se desee. Aunqu mbio 0 explo e intercambiarse entre tantos usuarios mismo tiempo se plantea un gran problema en cuanto al cuarto nivel de la informacién, que es st parte étic el estudio de la posibilidades del buen o mal uso de la informacidn por parte de personas no autorizadas. La planeacién y control de la informacién nos ofrece nuevos aspectos importantes a consid 1, entre los que estén la teoria de sistemas, las bases datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su c: po de accisn. Dwer YSUR EN INF Avon Y AUDI EL Boletin E interno: stud la neem, estudio para det permitar procedir Lo procedir guardar ticas pre Objetivosb tro objetivor + Laprote © Laobter + Lapron © Lograr¢ blecidas Seha es! troles inte nistrativos, Objetivos g del plan de proteccidn dDiversos TIPOS DE AUDITORIA Y SU RELACION CON LA AUDITORIA EN INFORMATICA Avorroria INTERNA/EXTERNA Y AUDITORIA CONTABLE/FINANCIERA 22 del Instituto Mexicano de Contadores® sefiala respecto al control Detinicion y objetivos det control internoon lentificar d pjetivos de control interno apl de trarsaccon as diferentes ‘on sen Objetivos de autorizacion Objetivos dei procesamiento y clasificacién de transacciones haat evan pin obama? peepee lta i “laste en forma tal qué pertaitan la preps Las traraacek pstradas en el mismo peviodo contable Objetiv Elac administ Objetive desarrollay que se Elare no. La prin fen el logro decir, come 2 audi cién, proce da fisica, veObjetivo de salvaguarda fisica Objetivo de verificacion y evaluaciongeneral, al equipo de cémputo y al departamento de informatica, para lo cual se requieren conocimientos de contabilidad, finanzas, recursos humanos, ad. ministracién, etc,, asi como de experiencia y un saber profundo en informé tica La auditoria interna debe estar presente en todas y cada tuna de las partes de la organizacién. Ahora bien, la pregunt icual debe ser su participacién dentro del érea de informatie: La informatica es en primer lugar una herramienta muy valios que normalmente se plantea a que debe toner un adecuado control y es un auxiliar de Ia auditoria interna, Pero, sogtin este concepto, la auditor de informatica Se ha estudiado que los interna puede considerarse como un usuario del dre 4ivos generales del control intezno son: + Autorizacion, * Procesamiento y clasificacién de las transacciones. + Salvaguarda fisica, Con base en los objetivos y responsabilidades del control interno pademos hacer otras dos preguntas: ;De qué manera puede participar el personal de con. trol intemo en el disefio de los sistemas? {Qué conocimientos debe tener el per jones den: sonal de control intemo para poder cumplir adecuadamente sus fun tro del érea de informs Las respuestas a estas preguntas dependersn del nivel que tenga el control enel disefio general y detalla do de los sistemas se debe incluir'a personal de la contraloria interna, que habr: intemo dentro de la organizacién. Sin emb: de tener conocimientos de informatica, aunque no se requerird que sean espe cialistas, ya que s6lo intervendran en el disefio general del sistema, en el diseno decontroles, en los sistemas de seguridad, en el respaldo y confidencialidad del sistema y en les sistemas de verificaciéa. Se habrén de comprobar las férmul de obtencién del i seguro social, etc,, pero no debersn intervenit en la elaboracisn de los sistemas, probai esto sobre el producto del trabajo, el cdlculo del pago del alado en el bases de datos 0 programacién. Tendrin que © que lo diseno general sea igual a lo obtenido en el momento de implantacién, para que puedan dar su autorizaci6n a la corrida en paralelo. El auditor interno, en el momento en que se eatin claborando los sistemas, debe participar en estas * Asegurarse de verificar que los requerimientos de seguridad y de auditoria sean incorporados, y participar en la revisién de puntos de vorificacién + Revisar la aplicacién de los sistemas y de control tanto con el usuario como enel centro de informatica * Verificar que las politicas de eguridad y los procedimientos estin incorpo: -ades al plan en caso de desastre * Incorporar técnicas avanzadas de auditoria en los sistemas de computo. 1s sistemas de seguridad no pueden llevarse a cabo a menos que existan procedimientes de control y un ade 1ado plan en caso de desastre, elaborados { desde el momento en el que se disefia el sistema. El auditor planesa largo de tal manera dad sean incor Au DITO La tecnologia « estin estructu son dramatico administrative planeacisn ad: trol interno de de la tecnologi esta soportad nologia William P, Elexamen planes y ob des human Se lleva a ¢ presa con el fi Pérdidas y Mejores a Mejores fo Operacion Mejor uso La auditor del drea de inf auditoria en ini aplicarlos al ér El departa Objetivos, Organizac Estructura FuncionesAupiroria ADMINISTRATIVA/JOPERACIONAL esti afectando la forma en que lus organizaciones= siguientes factore +) Verifieae era reportes PTO OF informac jc organizacién). macenad = + Pruebasi auDToRIa la valida: © Clasificat * Seleccién + Llevaras compustac Con fines para Auorroria CON INFORMATICA es de softwa © Supervisa Concepto de auditoria con informatica auitorai x ‘equipo, q Los procedimientos de aud a tador o mi en la mayoria de los ambientes de informatica. necer bajo estn mito. nutales y métodos asistidc ‘cumentacisn,t ademas de los En Utilizaci6n de las técnicas de auditorias cece asistidas por computadora Jas instruccione desde la bibliot objeto de En general, cl auditor debe utilizarla computadora en la gjecucién de la audit od jue esta herramienta permitiré ampliar | ura del examen, reduciend * . €l tiempo/ costo de las pruebas y procedimientos de muestreo, que de otra mane ratendrian que zee manualmente. Existen paquetes de computadora(e are) gue permiten elaborar auditorias a sistemas financieros y contables que s encuentran en medios informaticos. Ademis, el empleo de la computed auditorle permit faliarcarscon a 0 enel centro ¢ aaa + Desorrollar Ee ne Sines smputadora del auditor, para ser trabe te, 0 bien acceso al siste ae a en red para que el auditor elabore las prus “re| i o1 cat 1 independiente una simu de tr ' sac '$ para verificar la conexion y cor gram + Ullizaci6n de paquetes para auditorfa; por ejemple P 1 1 fabricante ¢ firmas de contadores 08.0 bajo estricto control del departamento de auditoria. Por esto, toda la dc < Je auditoria pueden ser guardados utilizandc seria aceptable en tanto s el control d i » almacenados. Las programas desarrallados co deben estar cuidadosamente documentad: d : + Mantener el control basico sobre los programas que se encuentren cata & el sistema y llevar a cabo protecciones apropiad, + Desarrollar prog independientes de control que monitoreen el pro% samiento del programa de auditori iandos de control.2 + Controlar la integridad de los archivos que se estan procesando y las sal das generadas. vousnsoe res Técnicas avanzadas w° de auditoria con informética de datos y procesamiento computacién, como procesamiento en linea, bases distribuido, se podria evaluar el sistema empleando técnicas avanzadas de auditoria. Estos méiodes requieren un experto y, por lo tanto, pueden no ser apropiados si el departamento de auditoria no cuenta con el entrenamientoade cuado. Otra limitante, incluyenda el casto, puede ser la sobrecarga del sistem y la degradaci6n en el tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos métodos superan la utilizacién en una auditoria tradi Pruebas integrales. Consisten en el procesamiento de datos de un departamen to ficticio, comparando estos resultados con restiltados predeterminados otras palabras, las transacciones iniciadas por el auditor son independientes de laaplicacion normal, pero son procesadas al mismo tiempo. Se debe tener espe cial cuidado con las particiones que se estén utilizando en el sistema para prue ba de la contabilidad o balances, a fin de evitar situaciones anormale Simulacién. Consiste en desarrollar programas de aplicacién para determina da prueba y comparar los resultados de la simulacién con la aplicaci6n real Revisiones de acceso. Se conserva tin registro computarizado de todos los ac cesos a determinados archivos; por ejemplo, informacién de la identificacién tanto de la terminal como del usuario. Operaciones de la informacisr los resultados que paralelo. Consiste en verificar la exactit oduce un ma nuevo que sustituye a uno ya Evaluacidn de un sistema con datos de prueba. Esta verificaci6n consiste er probar los resultados produ én con datos de prueba co los resultados que fueron obtenidos inicialmente en las pruebas del progran (solamente aplicable cuando se hacen modificaciones a un sistema), aplicacién que Registros extendidos. Consisten en age determinado, como un campo datos de todos los progr: ampo de control a un registro stro extra, que pueda inclu sd forman parte del procesamien- to de determinada transac Totales aleatorios de ciertos programas. Se consi tuen totales en algunas p: fes del sistema para ir verificando su exactitud en forma parcial Seleccién de d deun archivo parcial el archi car en forma t Resultados de demos compar una metodolo Btaaimentc Gan losprobie dencia al audi Biter pores El empleo mienta que fac Trasladar I Llevar a cal Verificar la Visualizaci Ordenamie El auditor sistemas, cone con las politicas continua dencia que exis puede cambiar Transacciones ceso. En las apl Por ejemplo, el cuando el inve computadora s orden de repos blecido, El registro man Enlas aplicacioy do Ia informaci némina puede través de la red tener unaclaveden no ser adientes de tener espe para pruc determin dos los ac aformacisr tun registro fa inclu Selecci6n de determinado tipo de transacciones como auxiliar en el andlisis deun archive histérico. Por medio de este métado podemas analizar en forma parcial el archivo hist6rico de un sistema, el cual seria casi imposible de verif Resultados de ciertos edlculos para comparaciones posteriores. Con ellos po demos comparar en el futuro los totales en diferentes fechas. Las téenicas anteriormente descritas ayudan al auditor interno a establece ana metodologia para la revision de los sistemas de aplicacion de una institu actualmente se han desarzollado programas y sistemas de auditoria que elimi nan los problemas de responsabilidad del departamento de auditoria, al int enir en las actividades e informacién cuyo control corresponde estrictamente al departamento de informstica, lo cual proporciona una verdadera indeper dencia al auditor en la revisidn de los datos del sistema. En la actualidad, el auditor puede estar desarrollando algunas de sus funciones al intervenir en la El empleo de la microcomputadora en la auditoria constituye una herra: mienta que facilita la realizacidn de actividades de revisién como: Jadar los datos del sistema a un ambiente de control del au levar a cabo la seleccién de datos Verificar la exactitud de los célculos: muestreo estadistico. Visualizacién de datos. Ordenamiento de la informacién. Produccién de reportes e histogramas, El auditor intemo debe participar en el disefio general y especifico de los sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo politicas internas antes de que se comience la programacién del sistema, A continuacién se muestran ejemplos de las formas tradicionales de evi dencia que existen en un proceso manual y las maneras en que la computadora puede cambiarla: Transacciones originadas por personas y accesadas a un sistema para su pro- e260. En las aplicaciones computarizadas, pueden generarse automaticamente Porejemplo, el sistema puede emitir automaticamente una orden de reposicién cuando el inventario esté a un nivel por debajo del punto de reorden. Sin la computadora se requerfa que una persona estuviera revisando y elaborara la den de reposicién cuando el inventario estuviera abajo del mfnimo ya esta: blecido. E registro manual de la informacién necesaria para originar una transaccién. En as aplicaciones computarizades no se producen documentos impresos cuan do la informacién es accesada. Por ejemplo, un cambio hecho a las tarifas de través de la red interna, sin dejar registro impreso del cambio, aunque se debe tener una clave de seguridad para poder accesarlo y llevar un registro histérico4 a La revisin de transacci s por el personal, que deja constancia con sus firmas, iniciales 0 sellos en los documentos para indicar la autorizacién de! proceso. En as aplicaciones computarizadas la autorizacién puede ser automa ica. For ejemplo, una venta a crédito puede ser automaticamente aprobada si limite de c previamente d D ninado no esté excedido. Otro: os de autorizacisn idad inica incluyen el acceso mediante claves de seg Anteriormente se tenian firm londe ahora sélo se tiene una clave ave de acceso, que ¢s equivalente a la autorizacién, dejando tinicamente egistro (en el mejor de los casos) de la Have de acceso utilizada, el lugar donde tuvo acceso y la hora y dia en que fue autorizada El transporte de documentos de una estacién de trabajo a otra por personas, correo 0 servicios similares de un lugar del negocioa otro sitio completamen- te distinto. tun documento fisicamente. En aplica formacion es transcrita, codificada, frecuentemente condensada y entonces en ro de cudndo recibié la informacion el recepte Procesamiento ma tienen espacio de trabajo para ejecutar el necesario. En la aplicaci snicamente dentro de la memori ;putarizadas, el proce Jel computador mediante p determinad roceso simplificado que facilita las ejecuciones repetitivas sin alta probabi: lidad de error, En les aplicaciones computarizadas, el proc de ser ext nadamente complejo debido a la velocidad y exactitud del computador. For jemplo, una compara puede utiliza mputadora para calcular la efectivi dad de cientos de posibles horarios 0 eSdulas de produccién a fin de seleccion 1 mas adecuado, mientras que en los métodos manuales esto seria casi impo- Mantenimiento en manuales de informacién de naturaleza fija que es nece saria para el proceso, como tarifas de néminas o precios de productos. E aplicaciones computarizadas, esta informacién se almacena en medio: computarizados o bien por medio de catélogos; en los métodos manuales es dificil tener catalo muy amplios y con actualizacién inmediata Listado de los resultados del proceso en documentos impresos, como che ques y reportes. Frecuentemer procesos intermedios. En las aplicaciones computarizadas el proceso puede n dar por resultado documentos impre: Por ejemplo, ransferidos electrénicamente. En algunos sistemas, la informacién ratinaria ¢ retenida de ren accién. Almacenam archivo 0 si recobrarsemr computariza ben utilizars dios, los cual de bases de Uso de doce nuales estos métodos de partir de las pistas de serviria de pi dos. Las pist roglas del pre gjecutar Unoo més m alas transac. cic y proces den set incl Revision de nes computar mente media dificil para | tacionales est Ladivision d la distribuciét pleadgs, sino! zado. Por eje partes fengar enel caso del Proceso de gr cruzamientod diticil y costosUno o mas manuales de procedimientos que contienen informacion relativa ransacciones del sistem: re Cn | F i in Jas ap es computarizadas, pue yas den ser incluidos en I mas mediante ayud. babi nar su razonabilidad, exactitud, totalidad y autorizacion. En las dificil para la gente monitorear los proces orme los sistemas compu integrados y son mas complejos y el Jel proceso se as nece Ladivisién de tareas entre los empleado plicaciones compu oceso de grandes cantidades de datos ue pueden requerir la repeticin 0 , ruzamiento de diversos elementos16 Habilidades del auditor aciones computarizadas, grandes cantidades de datos pue uusos secundarios de los datos Planeacién de los procedimientos de auditoria con informatica El propssito principal de la planeacién de las met didas de auditoria es incluir dentro de las aplicaciones las facilidades que per an realizar las actividade de auditorfa dela manera mas fl La planeacidn de los servicios establece las facilidades tanto actuales como El auditor debe examinar est futuras que ofrece la direccién de informatic plan para establecer los requerimientos de auditorfa necesarios. Para el funcionamiento de dichos procedimientos se requieren dentro de los programas rutinas que permitan accesar la informacion y sisten indepen: dientes para la selecci6n, sumarizacién, comparacidn y emisidn de reportes, El poder planear y realizar estas tareas implica un trabajo complicado pero que es necesario hacer. La computarizacién de I organizaciones ha dado por resultado una concentracién de datos y funciones, que son seleccionades, correlacionados, resumidos y dise pico, normalmente un dato puede nados. En un ambiente computarizado tt actualizar muchos archivos. Es necesario que el auditor cuente con las herramientas adecuadas del mismo y tambien verificar que el sist 2 poder seguir el fema esté realizando las funciones que supuestamente debe ejecutar; estas herramientas computarizadas le deben per mitir detectar los errores y corregirlos po rior mente 1 auditor no es un programador especializ do, por lo que es obligacisn de este grupo de proceso planear el desarrollo de estas herramientas de cémputo, atendiendo las solicitudes y Es comprensible pensar que recomendaciones, de los auditores y aportando su propia experiencia, También debe participar en las pruebas en paralelo y en la implantacién del nara asegurarse de que tod procedimientos, entradas y salidas son los solicitados por el usuario en el momento del diseno detallado, asi como para evaluar que los calculos realizados sean los correctos y, en general, para darla aprobacién del sistema una vez verificado que cumpla con los objetivos, flujo de informaci6n, controles y politicas del usuario y de la organizacion. La participacisn del auditor interno en el disefo e implementacién dk sistema es de suma importancia. Por ejemplo, la clasificacién de la evidene que se venia utilizando tradicionalmente, como la firma del funcionario pera autorizar una transaccién, se ve reemplazada por una clave de seguridad de acceso o la firma electrénice, aunque la introduccién de un computador no ne cesariamente cambia las formas de la evidencia de auditoria, El auditor interno debe estar presente en el desarrollo del sistema para eva: luar que la informacién requerida por el usuario quede cubierta y se cumpla conel grado dt acuerdo con le Existen cie Jas minimas qi + Hobilidad ‘+ Habilidadt + Hobilidad + Hobilidad ‘© Habilidad Como eval tre los proceso piadas para en rea de trabajo mientos de los contexto dela} y pricticas que tribucidn poter especifico. Las habilid implantar, ejeo de la tecnologi gobiemen el ot Dernic Concer Después de ana tipos de audito: ponder las sign campo de accid, Esta es lad Practice sobre at Es una fanci vvos de los sis los objetivos Mientras qu Auditoria en reas de laoinar este lento d indepen- alo pero dado por onados ado tt snrio que eialize rrollo de scion del lidas son ‘mo para fa dar la flujo de dad de 2rnone cumpla con el grado de control que necesita la informacién procesada por el sistema, de acuerdo con los objetivos y politicas de la organizacisn B eras habilidades fundamentales que deben ser consideradascomo lasminimas que todo auditor de informatica debe tener Hobilidad para manejar paquetes de procesadores de texto, + Habilidades para manejo de hojas de calculo. + Habilidad para el uso del E-mail y conocimiento de Internet + Habilidad para manejo de bases de dato: + Habilidad para el uso de al menos un p ete bisico de contabilidad. Como evaluador, el auditor de informatica debe ser capaz de distinguir en ttelos procesos de evaluacién de sistemas y las aproximaciones que son apropiadas para encauzar los propésitos especificos de evaluacion relevante para el ea de trabajo. En este sentido, el auditor en informatica debe tener los conoci- nnientos de los pasos cequerides para aplicar una evaluacién particular en contexto de la tecnologia de la informacidn. Debe poser esténdares relevant y pricticas que gobiernen la conduccién de una evaluacién particular. Su con- ibucién potencial a una evaluacién particular puede ser hecha en un contexto speafico. Lashabilidades técnicas requeridas por el auditor en informatica son las de mplantar, ejecutar y comunicar los resulta os de la evaluacidn en el contexto de la tecnologia de informacién, de acuerdo con estandares profesionales que gobiemnen el objetivo de la auditoria DeriniciON DE AUDITORIA EN INFORMATICA Concerto DE AUDITORIA EN INFORMATICA Después de analizar los conceptos de auditoria y de informatica, los diferentes tipes de auditoria, asf como su interrelacién con la informética, debemos re ponder las siguientes p tuntas: Qué es auditorfa en informatica? gCudl es su es la definicién de Ron Weber en Auditing Conceptual Foundations and tice sobre auditoria informatica: Es una funcién que ha sido desarrellada para asegurar la salv uarda de los act wos de los sistemas de computadoras, mantener la integridad de los datos y logra Mientras que la definicion de Mair William es la siguiente: Auditoria en informatica es la verificacién de los controles en las siguientes trwate : El cont bido loin mas debi El abus informatica de informat informacisr robes horm tambien sor La audi equipos de mas habra ¢ das, proced (desarroll n incluir y el pers Ademé: se ro adec dafios consic inversién im dencial a la pérdidas en pro un recur estrenado, nuestra soci den ir des¢ bertad ode l Ademis es responsabgue mangjan estos dos tipos de problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en las computadora H control en el abuso de las computadoras es normalmente més dificil de bio lo ineclecuado de las leyes. Es mas dificil condenar a alguien que hizo un inadecuado uso del tiempo de las computadoras, 0 copias ilegales de programas, debido a que las leyes no consideran a Jas computadoras como una perso na, s6lolas personas pueden ser declaradas como culpables, o bien considerar 4a informacion como un bien tangible y un determinado cost 1s0 tiene una importante influencia en el desarrollo de la auditoria en informética, ya que ena mayoria de las ocasiones el propio personal de la orga~ hizaci6n es el principal factor que puede provocar las pérdidas dentro del area Gién del equipo en trabajos distintos « los de la organizacién, la obtencibn de informacion para fines personales (Internet), los juegos 0 pasatiempos, y los también son Ilevades a cabo por el propio personal de la organizacién, La auditoria en informatica debera comprender no sélo la evaluacién de lo das, procedimientos, comunicacidn, controles, archivos, seguridad, personal (esarrollador, operador, usuarias) y obtenciéa de informacidn. En esto se de- it los equipos de cSmputo, por ser la herramienta que permite obte ner una informaci6n adecuada y une organizacicn especifica (departamento de cimputo, departamento de informatica, gerencia de procesos electrénicos, etc), cl personal que hard posible el uso de los equipos de cémputo. Ademds de los datos, el hardware de computadora, el software y persor son recursos criticos de las organizaciones. Algunas organizaciones tienen inversiones en equipo de hardware con un valor multimillonario, Aun con un seguro adecuado, las pérdidas intencionales 0 no intencionales pueden causar ios considerables, En forma similar, el software muchas veces constituye una inversiGn importante. Si el software es corrompido o destru psible que la organizacion no pueda continuar con sus operaciones, si no es prontamente recobrado. Si el software es robado, se puede proporcionar informacién confidencial a la competencia, y si el software es de su propiedad, pueden tenerse pérdidas en ganancias o bien en juicios legales. Finalmente, el personal es siempre un recurso valioso, sobre todo ante la falta de personal de informatica bien, s computadoras ejecutan automaticamente muchas funciones criticas en nuestra sociedad. Consecuentemente, las pérdidas pueden ser muy altas y pue- len ir desde pérdidas multimillonarias en lo econdmico, hasta pérdidas de li- ertad o de la vida en el caso de errores en laboratories médicos o en hospitales. Ademiés de los aspectos constitucionales y legales, muchos paises han con iderado la privacidad como parte de los derechos humanos. Consideran que responsabilidad de las personas que estén con las computadoras y con las edes de comunicaci6n, asegurar que el uso de Ia informacidn sea recolect integrada y entregada répidamente y con la privacidad y confidencialidad jveridas, Existe una responsabilidad adicional en el sentido de asegurarse de que la informacién sea usada solamente para los propésitos que fre elaborada Perdida do informacién20 capiruto 1 EPTO DE \UOITORIA Campo de la auditoria Eneste caso se encuentran las bases de datos, las cuales pueden ser usadas para nes ajenos para los que fueron disefiadas o bien entrar en la privacidad de las, La tecnologia es neutral, no es buena ni mala. El uso de la tecnologia es lo que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- giaen Internet no es problema de la tecnologia, sino de la forma y caracteristi cas sobre las cuales se usa esa tecnologia. Es una funcién del gobierno, de las asociaciones profesionales y delos grupos de presién evaluar cl uso de la teeno- logia; pero es bien aceptado el que las organizaciones en Jo individual tengan una conciencia social, que incluya el uso de la tecnologia en informatica. Debers de existir una legi la que se considere el andlisis y acién mas estricta en el uso de la tecnologia, en investigacion paraevitar el mal uso de Internet y otras tecnologias, para evitar situaciones como el suicidio colectivo de sectas religiosas, como sucedié en Estados Unidos. También se requiere de una tica por parte de las organizaciones y de los individuos que tis todo tipo de tecnologia, no sélo la de informatica. Campo DE LA AUDITORIA EN INFORMATICA Fl campo de accién de la auditoria en informstica es: * Laevaluaci6n administrativa del area de informatica, La evaluacién de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacién. La evaluacién de la eficiencia y eficacia con la que se trabaja * La evaluacién del proceso de datos, de los sistemas y de los equipos de cémputo (software, hardware, redes, bases de dates, comunicaciones). ‘+ Seguridad y confidencialidad de la informacion. * Aspectos legales de los sistemas y de Ia informacién, Para lograr los puntos antes seftalados se necesita: A) Evaluacién administrativa de la evaluacién de lel departamento de informatica. Esto compren Los objetivos del departamento, direccién o gerencia Metas, planes, politicas y procedimientes de procesos electrdnicos estén- dares. © Organizacisn del drea y su estructura orgénica Funciones y niveles de autoridad y responsabilidad del drea de proce s0s electronicos, Integracisn de los recursos materiales y tenicos. Direceién, Costos y controles presupuestales Controies administrativos del area de procesos electrénicos. B) D) Evalu: se tien Ey Ey Ey Fa rosy co Ins For foi Co Uti ei cur Pro Der Evaluac prende: Con Con Con ‘Con Con Con Com Ord Seguride Sega Cont esp Segu Segu Segu Plan sastre + Resta Los prine = Salva ware © Integradas para 8) Evaluacisn de los sistemas y procedimientos, y de la eficiencia y eficacia qui a lad de las tienen en e! uso de la informacién, lo cual comprende saseacd ogfa es lo + Evaluacidn del anallisis de los sistemas y sus diferentes etapas. INFORMATICA vlecnolo- + Evaluacién del disefio Igico del sistema racterist + Evaluacién del desarrollo fisico del sistema, to, de + Facilidades para la elaboracién de los sistemas. Iatecno Control de proyectos. al tengan Control de sistemas y programacién. ic mentacir slogia, en Formas de implantacién Soguridad fisica y ISgica de los sistema: = Confide + Instructivos y doc cialidad de los sistemas. * Controles de mantenimiento y forma de respaldo de los sistemas. Utilizacién de los sistema Prevencidn de factores que p cuperacién en caso de desa: * Productividad. Jan causar contingencias; seguros y re Derechos de autor y secretos industriales. Evaluacién del praceso de datos y de los equipos de prende: ‘émputo que com- Controles de los datos ente y manejo de cifras de cor Control de operacién. = Control de salida, i. Control de asignaci6n de trabajo. | me © Control de medios de almacenamiento masivos. cc * Control de otros clementos de cémputo. B * Control de medios de comunicacién c © Orden en el centro de aémputo. D) Seguridad * Seguridad fisica y Kégica + Confidencialidad jmpren + Respaldos. «Seguridad del personal * Seguridad en la utilizacién de los equipos. os est + Plan de contingencia y procedimiento de respaldo para casos de de cast. + Restauracién de equipo y de sistemas. Ae prove Bed Los principales objetivos de la auditoria en informatica son los siguientes = Salvaguardar los activos. Se refiere a la proteccién del hardware, software y recursos humanos, ‘© Integridad de datos. Los datos deben mante plicarse22 © Efectividad de sistemas. Los sistemas deben cumplir con los abjetivos dela + Eficiencia de sistemas. Que se cumplan los objetivos con los menores recut * Seguridad y confidencialidac Para que sea eficiente la auditoria en informatica, ésta se debe realizar tam: bién durante el proceso de disedio del sistema, Los disefiadores de sistem: nen la dificil tarea de asegurarse que interpretan las necesidades de los usa ios, que disenan los controles requeridos por los auditores y que aceptan y entienden los isefios propuesto: La interrelacién que debe existir entre la auditoria en informatica y los dife rentes tipos de auditoria es la siguiente: el nuicleo o centro de la informatica so los programas, los cuales pueden ser auditados por medio de la auditor programas, Estos programas se usan en las computadoras de acuerdo con la organizacion del centro de cémputo (personal). La auditoria en informética debe evaluar todo (informatica, organizacié del centro de cémputo, computadoras, comunicacién y programas), con auxili de los principios de auditoria administrativa, auditorta interna, auditoria co table/financiera y, a su vez, puede proporcionar informacién a esos tipos de aurditorfa, Las comp adoras deben ser una herramienta para la realizacién di cualquiera de las auditorias. La adecuada salvaguarda de los activos, la integridad de los datos y la efi ciencia de los sistemas solamente se pueden | 1 si la administracidn de | organizacién desarrolla un adecuado sistema de control interno El tipo y caracteristicas del control interno dependeran de una serie de fa tores, por ejemplo, si se trata de un medio ambiente de minicomputadoras macrocomputadoras, si estén cone n en forma indivi dual, sie tiene Internet y Extranet. Sin embargo, la division de responsabilida: des y la delegacién de autoridad es cada vez mas dificil debi: usuarios comparten recursos, lo que dificulta el proceso de control inte Como se ve, la evaluacin que se debe desarrollar para la rea n de Ie nto en informatica y con mucha experiencia en el érea La informacion proporcionada debe ser confiable, oportuna, veridica, y debe manejarse en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro de parémetros legales y ética Aunrroria DE PROGRAMAS 2 auditoria de programas es la evaluacién de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluat e riesgo que tienen para la organizacién. La auditoria de programas tiene un mayor grado de profundidad y de de le que la auditoria en informatica, ya que analiza y evaliia Ia parte central de uso delas con parte dela at Para logn realicen han ¢ temas deadm bases de dato, el programa. cién del mism mas se neces tengan los res general se ca optimizar un) Para optit cidn del sistem mentacién dettives uso de las computadoras, quees el programa, aunque se puede considerar com parte de la auditoria en informatica ores recur Para lograr que la auditoria de programas sea eficiente, las personas que la mes deadministracién de base de datos, lenguajes de programaciGn, utilerias, datos, medios de comunicaci6n y acerca del equipo en que fue escrito tema Flaca Pars octerlicwas dae tre hutbcras wbctanta deen progr do con I mentaciGn detallada del sistema to $tipos de win de fede fac fadoras ta indiv isabilida: tmuchos temo, fo dePlaneacién de la auditoria en informatica CAPITULO Osuetivos Al finalizar este capitulo, usted: Conocera las distintas fases que comprende la auditoria en informatica Comprenderd la importancia en el trabajo de auditoria de la planeacién, el examen y la evaluacion de la informacion, la comunicacion de los resultados. y el seguimiento, . Explicard el valor de la evaluacién de los sistemas de acuerdo al riesgo . Desoribira las fases que deben sequirse para realizar una adecuada invest ‘gacién preliminar Definird cuales son las principales caracteristicas que requiere ol personal que habrd de panicipar en una aucitoria. Conocard cémo se elabora una carta-convenio de servicios profesionales de auditoria.26 capiTuLo 2 Auditoria interna Fases DE LA AUDITORIA ‘ecoleccisn y evaluacién de eviden. ar cudndc dos, de qué man: son salvaguardados los activos de los sistemas a se mantiene la integridad de los datos y cémc abjetivos de la organizacisn eficazn consumidos eficientemente. La auditoria en inforn dicionales de la auditorfa: aquellos que son de la auditoria externa, de salva sarda de los activos y la integridad de datos, y los objetivos gerenciales, aque ios pr 2 auditoria interna que no sdlo logran los objetivos sefialados ino también los de eficiencia y eficacia. auditoria interna es una funcidn independiente de la evaluacién que s establece dentro de una organizacidn para examinar y evaluar sus actividades El objetivo de la auditoria interna consiste en apoyar alos miembros de la orga nizacién en el desemperio de sus responsabilidad Para ello, proporciona. uaciones, recomendacione Los auditores internos son responsables de proporcionar informacién acer a de la adecuacién y efectividad del sistema de control interno de la organiza cin y de la calidad de la gestién El manual de org: izacion deberé establecer clai ame los propésitos del lepartamento de auditoria interna, especificar queel alcance del trabajo no debe tener restricciones y sefialar que los auditores internos no tendrén au Ly/e responsabilidad respecto de las actividades que auditan El auditor interno debe ser independiente de las actividades que audita. Esta independencia permite que el auditor interne realice su trabajo libre y objetivamente, ya que sin esta independencia no se pueden obtener los resultados deseados, Las normas de auditoria interna comprenden: Las actividades auditadas y la objetividad de los auditores intemos, * El conocimiento técnico, la capacidad y el cuidado profesional de los audi toresinternos con los que deben ejercer su funcidn. En el casa de la audito de su a importancia el que el auditor cuente con Ic nocimientos técnicos alizados y con la experiencia necesaria en el * Elalcance del trabajo de auditoria interna en el Area de informatica EI desarrollo de las responsabilidades asi responsables de la auditorfa a informatica Jas a los auditores internos Los auditores internos deber auditan, ser independientes de las actividades que deben de tener un amplio criterio para no tomar decisiones subjeti vas basadas en preferencias personales sobre determinado equipo 0 sin analizar a profundidad las opiniones. Los auditores internos son indepen: dientes cuando pueden desempeiiar su trabajo con libertad y objetividad. La independencia permite a los auditores internos rendir juicios imparciale feware iales para una adecua La obje internos de deben subo La ot de tal mane que no hay auditores it posibilitade Los rest el respectivi de que el tr Elaudit ridos y con Eldepa, as persona disciplina mw berd aseguri ditores sean des y periciz Fl depar mientos, exp bilidades de tores califica las responsa mento non Que las es un pr trabajo d * Quelosi tructivos + Quesea © Quelaa dencia a} Que los Que los disciplin: Cada au + Se requie cas de aw pericia lapara la adecuada conduccién de las auditorias; esto se log! adecuada objetividad y criterio, a objetividad es una actitud de independencia mental que los auditor Interes deben mantener al realizar las auditorias. Los auditores internos no deben subordinar sus juicios en materia de auditoria al de otros. La objetividad requiere que los auditores internos realicen sus auditoria Je tal manera que tengan una honesta confianza en el producto de su trabajo y que no hayan creado compromisos significativos en cuanto a la calidad. 1 auditores internos no deben colocarse en situaciones en las que se sientan im. osiblitados para hacer juicios profesionales objetivos. del trabajo de auditoria deben ser revisados antes de emiti me de auditoria, para proporcionar una tazonable seguridad 1 trabajo se realiz6 objetivamente El auditor en informatica debe contar con los conocimientos técnicos reque idos y con capacidad profesios Ei departamento de auditoria interna deberd asignar a cada auditorfa a aque las personas que en su conjunto posean los conocimientos, la experiencia y la fisciplina necesarios para conducir apropiadamente la auditoria, También de berd asegurarse que la experiencia técnica y Ia formacién académica de los au ditores sean las apropiadas para realizar las auditorias en informatica simismo, se deberd obtener una razonable seguridad sobre las capaci: des y pericias de cada prospecto para auditor en informatica 1 departamento de auditoria interna deberd contar u obtener los conoci nientos, experiencias y disciplinas necesarias para llevar a cabo sus responsa- ilidades de auditorfa en informatica. Deberd tener personal o emplear consul ores calificados en las disciplinas de informatica necesarias para cumplir con as responsabilidades de auditoria; sin embargo, cada miembro del departa mento no necesita estar calificado en todas las disciplines, El departamento de auditoria interna debera asegurarse Que las auditorias sean supervisadas en forma apropiada. La supervision S un proceso continuo que comienza con la planeacién y termina con el trabajo de auditori (Que los informes de auditoria sean precisos, objetivos, cla tructivos y oportunos, Que se cumplan los objetivos de la auditors (Que la auditoria sea debidamente documentada y que se conserve la evi dencia apropiada de la supervisin Que los auditores camplan con las normas profesionales de conducta Que los auditores en informatica posean los conocimientos, experiencias y iplinas esenciales para realizar sus auditorias Cada auditor interno requiere de ciertos conocimientos y experiencia: Se requiere pericia en la aplicacién de las normas, procedimientos y técni cas de auditoria interna para el desarrollo de las revisiones. Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las si- Habilidades de los auditores28 Cuidado profesional tuacion mente se encuentren, ocupandose de ellas sin tener que recurrir en exceso a ayudas o investigaciones técnicas, que posi + Tener habilidad para: aplicar amplios conocimientes a sittaciones que po siblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcenzar solucic nes razonables Entre las habilidades que deben tener los auditores estar + Habilidad para comunicarse efectivamente y dar un trato adecuado a les personas, Los auditores intemos deben tener habilidad para comunicarse tanto de manera oral como escrita, de tal manera que puedan transmitir dlara y efectivamente asuntos como: los objetivos de la auditorfa, las eva Iuaciones, las conclusiones y las recomendaciones. * Los auditores en informatica son responsables de continuar su desarroll profesional para poder mantener st pericia profesional. Deberén mante nerse informados acerca de las mejoras y desarrollos recientes. * Los atsditores en informatica deben ejercer el debido c > profesional 4 realizar sus auditori Elcuidado profesional, deberd estar de acuerdo con 1a comple}idad de la auditoria que se realiza. Los auditores deben estar atentos ala posibilidad de errores intencionales, de errores omisiones, del ineficiencio, del desperdicio, de la inefectividad y del conflicto de interese También deberdn estar alertas ante aquellas condiciones y actividades en donde es més probable que existan irregularidades. Ademas, deberin d identificar los controles inadecuados y emitir .comendaciones para pro mover el cumplimiento con procedimientos y practicas aceptables. EI debido cuidado implica una razonable capacidad, no infalibilidad ni a ciones extraordinarias. Requiere nes con un alcance razonable, pero no requiere auditorias detalladas de todas r puede dar una absoluta se jaridades. Sin embai b no se cumplan posiciones debe ser considerada siempre gue el auditor emprende una auditoria Cuando el auditor detecte una irre deberd informarl: puede recomend. cunstancias. Pos las operaciones. Por consiguiente, el auditor no dad de queno existan incumplimientos o irregu idad de que existan irregularidades materiales 0 que ularidad que va en contra de lo estab a organizacién. El auditor eriormente, el auditor deberd efectuar su seguimiento para ver ficar que se ha cumplido con lo sefialado. a las autoridades adecuadas de El ejercicio del debido cuidado profesional significa el uso razonable delas experiencias y juicios en el desarrollo de la auditoria, Para este fin el auditor debera considerar * Elalcance del trabajo de auditoria necesario para lograr los objetivos de lt auditoria + Lamaterialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditoria. Laadea + Elcosto, Elcuida determinane plidos. Cuen Elalcan« cuacisn y ef lidad enel c revisar la ad sistema estat y metas de le Los objet © Laconfi sar la cot dos para © Elcumpl tos + La salvag El uso efi * Fllogro El sistem; control y el c eben examin + Quelosre tuna, com © Que losex Los audit cumplimiento que pueden te ben determin: La gerene mas disefiado politicas, plan res son respor y si las activi Piados. Los audit = La comece existencias sin tener es que po: nificativas ar solucio- transmitir desarrollo ofesional a cuerdo cor leben estar jones, ce | Je ntereses vidades en deberan de s para pro: es. dad ni ac verificacio- as de todas Juta seguri la las dis aauditoria establecido El auditor topare ve mable de las jelivos de la ese aplican + Laadecuacion y efectividad de los controles intemos, El costo de la auditoria en relacisn con los posibles beneficios. El cuidado profesional incluye la evaluacion de los estandares establecidos, determinando en consecuencia si tales esténdares son plidos. Cuando ést septables y si son cum son vages deberén solicitarse interpretaciones autorizada: El aleance de la auditoria debe abarcar el examen y evaluacién de la ade- uacion y efectividad del sistema de control interno de la organizacién y la ca- idad en el cumplimiento de las responsabilidades asignadas, El propésito de cevisar la adecuaciGn del sistema de control interno es el de cerciorarse si el sistema establecido proporciona una razonable seguridad de que los objetivos metas de la arganizacién se cumpli n eficiente y econémicamen Los objetivos elementales del control interno son para asegurar * Laconflabilidad e integridad de la informaci6n. Los auditores deben revisar la confiabilidad e integridad de la informacién y los métodos emplea: dos para identificar, medir, clasificar y reportar dicha informacién El cumplimiento de las politicas, planes, procedimientos, leyes y reglamen- + Lasalvaguarda de los activos. + Bluso eficiente y econdmico de les recursos. ELlogro de los objetivos y metas establecidos para las operaciones o progra- El sistema de informacién proporciona datos para la toma de decision control y el cumplimiento con requerimientos extemos. Por ello, los audi deben examinar los sistemas de informacién y cuando sea apropiado asegurarse: * Que los registros e informes contengan informacién precisa, confiable, oportuna, completa y titi * Que los controles sobre los registros e informes sean adecuados y efectivos, Los auditores deben revisar umplimiento de las pol que pueden tener un impacto significative en las operaciones e informes, y deen determinar si la organizacién cumple con ellos. La gerencia de informa: sistemas establecidos para asegurarse del as, planes y procedimientos, leyes y reglamentos 2s responsable del establecimiento de los si nas disefiedos para asegusar el cumplimiento de requerimientos tales como Poiiticas, planes, procedimientos y leyes y reglamentos aplicables. Los atidito- ws son responsables de determinar si los sistemas son adecuados y efectivos si las actividades auditadas estar piados. Los auditores deberan revisai mpliendo con los requerimientos apro- + La correccisn de los métodos de salvaguarda de los activos y verificar la existencia de estes activos. 2930 Uso eticiente de recursos + Los métodos empleados para salvaguardar los activ de diferentes ti de riesgos tales como: robo, incendios, actividades impropias o ilegales, asi como de elementos naturales como terremotos, inundaciones, etestera Los auditores debersn evaluar i empleo de los recursos se realiza en forma econémica y eficiente Laadministracibn es responsable de establecer estandares medir la eficiencia y economia en el uso de los son responsables de determinar si fe operacion para »s. Los atsditores interns + Los esténdares para medir la economia y eficiencia en el uso de los recurso: son los adecuados. * Los estdndares de operacién establecidos han sido entendidos y se cum: plen. Las desviaciones a los estandares de operacion se identifican, analizan y se comunican a los responsables para que tomen las medidas correctivas. + Se toman las med s con el uso econdmicoy eficiente de los recursos deberén identificar situaciones tales com + Subutilizacién de instalacione + Procedimientos que no justifican su costo Exceso o insuficiencia de personal. Uso indebido de las instalaciones. Los auditores deberdn revisar las operaciones o programas para cerciorai se si los resultados son consist tes con los objetivos y metas establecidos y si las operaciones o programas se llevan a cabo como se planearon. Pianeacion DE LA AUDITORIA EN INFORMATICA Para hacer una adecuada planeacién de Ia auditoria en informética seguir una serie de pasos previos que permitiran dimensionar el tam racteristicas del area dentro del organismo a auditar, sus sis cidn y equipo. Con ello podremos dk personal de auditoria, las herramie minar el nuimero y caracteristicas del nias necesarias, el tiempo y costo, asf como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios Dentro de la auditorfa en general, la planeacidn es uno de los pasos mas mportantes, ya que una inadecuada planeacién provocard una serie de proble efectiie cor El trak seguimien La plas © Elestal + Laobte © La dete © Elestal involuc © Lareal promov © laprp * Ladete: dos de | © La obter En el ca pues habra « * Evaluac * Eyaluac * Evaluac 0 (softw © Segurida © Aspectos Para logr informacién ¢ evaluar. Para trevistas prey deberd incluis solicitar o for El proces Programa Planes de Informes ¢ Las metas plimiento, sobates tipos hay que ticas de ahorar e eprotle mas que pueden im se cumpla con la auditoria 0 bien hacer que no efectiie con el profesionalismo que debe tener cualquier auditor. El trabajo de auditoria deberd incluir la planeacién de Ja auditoria, el ex. men.y la evaluaciGn de la informacién, la comunicacién de los resultados y La planeacién deberd ser documentada e incluiré: Flestablecimiento de los objetivos y el aleance del trabajo. Laobtencién de informacién de apoyo sobre las actividades que se auditardn La determinacin de los recursos necesarios para realizar la auditor Elestablecimiento de la comunicaciGn necesaria con todos los que estarén involucrados en la auditoria La realizacion, en la forma mas apropiada, de una inspeccién fisica para familiarizarse con las actividades y controles a auditar, as{ como identifica cidn de las reas en las que se deberd hacer énfasis a promover comentarios y la promocién de los auditad¢ La preparacién por escrito del programa de auditoria La determinacién de cémo, cudndo y a quién se le comunicarén los resulta dos de la auditoria. La obtencién de la aprobacién del plan de trabajo de la auditoria, En el caso de la auditoria en informatica, la planeacién es fundamenta pues habrd que hacerla desde el punto de vista de varios objet Objetivos valuacién administrativa del rea de procesos electrénico: de a plrmecial Evaluacién de Jos equipos de compute Evaluacién del proceso de datos, de los sistemas y de los equipos de eémpu Seguridad y confidencialidad de la informacion: + Aspectos legales de los sistemas y de la informacion, Para lograr una adecuada planeacicn, lo primero que se requiere es obtener informacién general sobre la organizacién y sobre la funcién de informatica a evaluar. Para ello es preciso hacer una investigacién preliminar y algunas er frevistas previas, y con base en esto planear el programa de trabajo, el cu: deberd incluir tiempos, costos, personal necesario y documentos auxiliares a clicitar o formular durante el desarrollo de la auditoria EI proceso de planeacion comprende el establecer: nas de trabajo de auditoria. contratacién de personal y presupuesto f Informes de actividades. Las metas se debersn establecer de tal manera que se pueda lograr su cum plimiento, sobre la base de los planes especificos de operacion y de los presu32 capiruto 2 buestos, los que hasta donde sea posible deberén ser cuantificables. Deberdn ompafiarse de los criterios para medirlas y de fechas limite para su logro. Los programas de trabajo de ausditoria deberdn inclu: las actividades que ‘mando en consideracion el alcance del trabajo de auditoria planeado y la naturaleza y extensién del trabajo de auditoria realizado por otros. Los programas de trabajo deberdn ser lo suficientemente flexibles para cubrir demandas im Los planes de contratacién de empleados y los presupuestos financieros incluyendo cl niimero de auditores, st conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo—, deberén contemplarse ai el borar los programas de trabajo de auditoria, asf como las actividades adminis- amiento requeridos, la investigacién sobre trativas, la escolaridad y el adies auditoria y los esfuerzos de desartollo. Revision PRELIMINAR El primer paso en el desarrollo de la auditoria, después de la planeacio: revision preliminar del area de informatica, El objetivo de la revision prelimi- e el auditor pueda tomarla nar esel de obtener la informacidn necesaria para decisién de eémo proceder en la auditoria, Al terminar la revision preliminar el auditor puede proceder en uno de los tres caminos siguientes, » de la auditoria, Puede haber problemas debido a la falta de compe tencia técnica para realizar la auditorfa, © Realizar una revisién detallada de los controk Iaesperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuen- .s internos delos sistemas con + Decidir el no confiaren los controles internos del sistema, Existen dos razones posibles para esta decisin. Primero, puede ser mis eficiente desde punto de vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los controles del érea de informatica pueden duplicar los controles existentes en el area del usuario, El auditor puede decidir que se obtendré un mayor costo-beneficio al dar una mayor confianza a los con- tzoles de compensacisn y revisar y probar mejor estos controles. La revisién preliminar significa la recoleccién de evidencias por medio de entrevistas con el personal de le instalacidn, la observacidn de las actividades en la instalacidn y la revisi6n de la documentaci6n preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de 's considerar que ésta seré entrevistas, 0 con documentacién narrati s6lo una informacion inicial que nos permitira elaborar el plan de trabajo, ia cual se profundizard en el desarrollo de la auditoria La revi zada por ut no normaln parte geren familiarizac causas de el audi consideraci siel auditor gar de proc Con la fase ¢ ‘oles in Revis Los objetive Para que el dentro del 4 El audit timiento, co decontrolin bas compen: puede, desp internos se t alternos de « nla fas Tas causas d para reducir sin detallad dos reducen tencién de in usados en la con que se ol Como en de lograr los auditor inter ciencia y efic suficientes ps interno debe sobrecontral, nos controles controles inte tamente a rev procedimient de los sistem:Deberdin La revisi6n preliminar elaborada por un auditor interno difiere de la reali gto. zada por un auditor externo en tres aspectos, En primer lugar, el auditor inter 5 des que no normalmente requiere de menos revisiones y trabajos, especialmente en la be ta AUDITOR Fido, to: parte gerencial y de organizacién, ya que él es parte de la organizaciGn y est Ianatu- familiarizado con la misma, En segundo, el auditor externose enfoca més en la: agramas causas de las pérdidas y en los controles necesarios para justificar sus decisio Tipos res el auditor interno tiene una amplia perspectiva, la cual incorpora en sus de revisiones. consideraciones sobre laeficienciay la eficacia con la que se trabaja. En tercero, ancieros Sie! auditor interno supone serias debilidades en los controles internos, en Ii ay las proceder directamente con las pruebas sustantivas, deberd continuar ealela conla fase de revisiGn detallada para sefialar recomendaciones para mejorar lo: dminis. controles internos. in bre RevisiON DETALLADA Los objetives de Ia fase detallada son los de obtener Ia informacién necesaria pra que el auditor tenga un profundo entendimiento de los controles usados dentro del area de informatica. prelim: Elauditor debe decidir si debe de continuar elaborando pruebas de consen: imiento, con la esperanza de obtener mayor confianza por medio del sistema ni de control interno, o proceder directamente ala revisidn con los usuarios (pruebas compensatorias), 0 a las pruebas sustantivas. En algunos casos el auditor puede, después de hacer un andlisis detallado, decidir que con los controles Beape intemos se tiene suficiente confianza, y en otros casos que los procedimientos temos de auditoria pueden ser mas apropiado: Bi con En la fase de evaluacidn detallada es importante para el auditor identificar ens las causas de las pérdidas existentes dentro de la instalacién y los controles para reducir las pérdidas y los efectos causados por éstas. Al torminar la revi sign detallada el auditor debe evaluar en qué momento los controles establecidos reducen las pérdidas esperadas a un nivel aceptable. Los métodos de ob- Bevel tencién de informacién al momento de la evaluacisn detallada son los mismos eee usaitos en la investigacién preliminar, y lo tinico que difiere es la profundidad [Bis tcc con que se obtiene la informacién y se evahia. i. Como en el caso de la investigacin preliminar, se tienen diferentes forma: lograr los objetivos desde et punto de vista del auditor intemo o extemo. El aditor interno debe considerar las causas de las pérdidas que afectan la eficiencia y eficacia, ademés de evaluar por qué los controles escogidos son o no . suficientes para reducir las pérdidas esperadas a un nivel aceptable. El auditor Taoice interno debe evaluar si los controles escogidos son dptimos, si provocan un | ee sobrecontrol, o bien si se logra un satisfactorio nivel de control usando me- noscontroles o controles menos costosos. Si el auditor interno considera que los, coniroles internos del sistema no son satisfactorios, en lugar de proceder direc- dencias fio de mente a revisar, a probar controles alternos o a realizar pruebas sustantivas y procedimientos, debe sefialar las recomendaciones para mejorar los controlescartruio 2 Examen Y EVALUACION DE LA INFORMACION Los auditores internos deberdn obtener, analizar, in informacién para apoyar los resultados de la auditoria, El proceso de ¢3 amen y evaluacién de la informacién es el s * Se debe obtener la informacion de Objetivos y alcances de la auditor ‘* La informacién deberd ser suficiente, compe! odos los asuntos relacionados con los lente, relevant es sdlidas en relacidn con los hallazgos y recomendaciones de la auditoria. La informacién suficiente significa que est basada en chos, que es adecuada y convincente, de tal forma gue una per e y util para que proporcione bi ona pruden las mismas conclusiones que el auditor. La ica que es confiable y puede obtenerse de la informacion competente s} mejor manera, usando las téenieas de auditoria apropiadas. La informacién relevante apoya les hallazgos y recomendaciones de auditoria y es consis tente con los objetivos de ésta. La informacion util ayuda a la organizacion a lograr sus metas, + Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadistico, deberdn ser elegidos con ant: rioridad, cuando esto sea posible, y ampliarse 0 modificarse cuando las ci cunstancias lo requierar * El proceso de recabar, analizar, interpretar y documentar la informacion deberd supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditoria se cum plieron * Los documentos de trabajo de la auditoria deberén ser preparados por los auditores y revisados por la gerencia de auditoria, Estos documentos deb rn registrar la informacidn obtenida y el andlisis realizado, y deben apoyar las bases de los hallazgos de auditoria y las recomendaciones que se Los auditores deberén reportar los resultedos del trabajo de auditoria. El wuditor deberd discutir las cor Ta administracin beran ser objetivos, claros, c usiones y recomendaciones en Jos nivel ites de emitir su informe final. Los informes de piados ¢ constructivos y oporiunos, Los informes \ce y resultados de la auditoria y, cuando se con in la opinién del auditor. wir recomendaciones para mejoras potenciales y reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vista ¢ los audiitados respecto a las conclusiones y recomendaciones luidos en el informe de auditoria presentarén el propésite sidere apropiado, contend: Los informes pueden Los auditores internos rea zavén el seguimiento de les recomendacion para asegurarse que se tomaron las accianes apropiaclas sobre los hallazgos de auditoria reportados. El dir + Selece © Entre todos + Eval El trak la ad. El dir ner un pro eee Lasup cabo conti Jas normas Las 10 auditoriar ra que cual Para e practicars Prue El objetivo controles in determinar jan confiabl Adema cuentement asistidas pont para qu sdacione’ da en he apruden- aditor. La erse de I formaciss -de que la Jos por los nto debe- eben apo: nes que se ditoria. EL informes lo se con- den ser in llazges de Eldirector de auditoria en informatica deberé establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar Descripciones de puestos por cada nivel de auditoria en informatica Seleccién de individuos calificados y competente Entrenamiento y oportunidad de capacitacion profesional continua para todos y cada uno de los auditores. Fvaluacién del trabajo de cada uno de los auditores porlomenos una vez al Asesoria a los auditores en lo referente a su trabajo y a su desarrollo profe- El trabajo de auditoria interna y externa debera coordinarse para asegura Ja adecuada cobertura y para minimizar la duplicidad de esfuerzo: El director de auditoria interna en informatica debers establecer y mante ner un programa de control de calidad para evaluar las operaciones de! depa: tamento de auditoria interna. El propésito de este programa es proporcionar tuna seguridad razonable de que el trabajo de auditoria esté de acuerdo con las normes aplicables, Un programa de control de calidad deberd incluir los siguientes elementos: Revisiones internas Revisiones extemas, a supervision del trabajo de los auditores en informatica debera llevarse a bo continuamente para asegurarse de que estén trabajando de acuerdo con as normas, peliticas y programas de auditoria en informatica as revisiones internas deberan cealizarse periGdicamente por el personal del departamento de auditoria interna para evaluar la calidad del trabajo de raque cualquier otra auditoria Para evaluar la calidad del trabajo de auditoria en informética debern Pruceas DE CONSENTIMIENTO El objetivo de la fase de prueba de consentimiento es e] de determinar si los ontroles intemos operan coma fueron disefiados para operar. F] auditor debe determinar si los controles deciarados en realidad existen y si realmente traba ian confiablemente. Ademis de las técnicas manuales de recoleccidn de evidencias, muy frecuentemente el auditor debe recurrir a técnicas de recoleccién de informacién asisticas por computadora, para determiner la existencia y confiabilidad de los ELA AUDITORIA Programa de coniral de calidad36 Tipos de pruebas controles. Por ejemplo, par aluar la existencia y confiabilidad de los controies de un sistema en red, se requeriré el entrar a la red y evaluar directamente al sistema, Pruesas DE CONTROLES DEL USUARIO {dir el no confiar en los controles int uaditor p dentro de las instalaciones informsticas, porque el usuario ejerce cantroles que ompensan cualquier debilidad dentro de los controles internos de informatica stas pruebas que compensan las deficiencias de los controles intemos se pue den realizar ‘ediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios Pruesas SUSTANTIVAS Elobjetivo de la fase de pruedas sustantivas es obtener eviciencia suficiente que permita al auditor emitir su jricio en las conclusiones acerca de cuando pueden ocurrir pérdidas materia jurante el procesamiento de la informacién. El au itor extemo expresaré este juicio en forma de opinién sobre cuéndo puede xxistir un proceso equivocado o dentificar ocho diferentes pru: Ita de control de la informacién. Se pueden mantanivas: ‘Pruebas para identificar errores en el procesamiento o de falta de seguridad 0 confidenc alidad de los dato: Pruebas para identificar la inconsistencia de los datos. >ruebas para comparar con los datos 0 contadores fisicos, Prucbas para asegurar Confirmacién de datos con fuentes externa Pruebas para confirmar la adecuada comunicacisn Pruebas para determinar falta de seguridad. Prucbas para determinar problemas de legalidad. Debemos cuestionamos el beneficio de tener un excesivo control o bien evaluar el beneficio marginal de tener mayor control contra el costo que representa Sste. Para ello es necesario evaluar el costo por falla del sistema, y sus reperca- siones para determinar el grado de riesgo y confianza necesarios contra el costo de implantacién de controles y el costo de recuperacion de la informacion o eliminacién de las repercusiones - Flau * Dura + Dura © Dura Enge pendenci nar esto: Aume © Asign poster + Crear audite © Obten Realiz lograr los subsistem: ‘cas de cad subsisteme evaluacién sin olvidar La sum sistema, Los pas Mos que se investigacic de cémo es que son pr controles in To, el auditc troles ques dimientos.} 50s el audit der con pas Durante ciles, Cada ¢ quiere de ev cias obtenidEl auditor debe participar en tres estades del sistema: + Durante la fase de diseno del si + Durante la fase de operacién + Durante la fase posterior a la auditoria, En general, la opinién del gerente de informética y de la alta gerencia con: sideran que el que el auditor participe en la fase de diseno disminuye la inde endencia del auditor, pero existen varias formas en las cuales so puede elimi: + Aumentando los conocimientos en informatica del auditor. + Asignar diferentes auditores a la fase de disefio al trabajo de auditoria y al rior a la auditori Crear una seccién de auditoria en informatica dentro del departamento de auditoria interno, especializado en auditoria en informatica + Obtener mayor soporte de la alta gerenci Realizar una auditoria en informatica es un trabajo complejo, Por ello, par los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una waluacién global sobre la confianza total del siste vidar el postulado de investigaci6n de operaciones, que 10 se debers realizar nos sefiala que La suma de los éptimos parciales de los subsistemas no es igual al 6ptimo de jstema, pero nos da una buena aproximacisr que involucran una auditoria en informatica son similares a aque Lospa los que se realizan para auditar un sistema manual, Primero se realiza un: acién preliminar del érea de informatica, para lograr un entendimiento sndo administrada la instalacién y de los principales sistemas fiar en lo: de cémo es que son procesados. En segundo lugar, si el auditor determina ec controles internos del sistema, se realiza una investigacidn detallada. En terce- rp, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos con. tuoles que son criticos. En cuarto, se realizan pruebas sustantivas de los proce dimientos, Finalmente, el auditor debe dar una opinion. Después de estos pa ide si debe pros | auditor evaltia los controles internos del sistema y di con pasos alternativos, Durante la auditoria en informatica deber ciles. Cada evalitacién sobre la confianza de los sistemas de control interno re tomarse muchas decisiones diff: re de evaluaciones complejas realizadas en forma conjunta con las eviden:1 38 Ineimp10 Ejemplo Evatuacion DE LOS SISTEMAS DE ACUERDO AL RIESGO evaluar la importance! Una de las forn que puede tener para la organiza- cién un determinado sistema, es considerar el riesgo q implica el que no sea 2 informacién o bien el que sea usado utilizado adecuadamente, la pérdida di Por personal ajeno a la organizacién. Para evaluar el riesgo de un sistema con mayor detalle véase el apartado "Plan de co ingencia y procedimientos de respaldo para casos de desastre”, en el cap Algunos sistemas de aplicaciones son de més alto riesgo que otros debidoa que + Son susceptibles a diferentes tipos de pérdida ¢ Fraudes y desfeleas entre los cuales estén lo El auditor debe de poner especial atencién a aquellos sistemas que requii ran de un adecuado control financiero. Flujo de cala, inversiones cuentas por pagar y cobrar, nomine. 13 fallas pueden impactar grandemente a la organizacién. Una tala en el procesamiento de la némina puede tener como consecuencia fl que se tenga una huelga + Interfieren con otros sistemas, y los errores generados permean a otros sis + Potencialmente, alto riesgo debido a dafios en la competencia. Algunos sis femas le dan ala organiza mercadc jon un nivel competitivo muy alto dentro de un Sistema de planeacion esiratégica. Patentes, derechos de autor, ales son las mayores fuentes de recursos de la organizacion. Otros a través de los cuales su pérdida puede destruir la imagen de la organizacion + Sistemas de tecnologia de punta o avanzada. Si los sistemas utilizan tecnologia avanzada o de punta. Sistemas de bases de dal somunicadion, tecnologia sobre la cual la organizacién tanga muy poca experiencia o respaldo, 'a cual es mas probable que sea una fuente de problemas de contro. * Sistemas de alto ost, Sistemas que son muy costosos de desarrollar, los ales son frecu mente sistemas complejos que pueden prese nas de control. hos probl live Es ne que F rapid Lain trol gerer troles ger practicas de la inst: Ios contre dos sobre aplicacior Se del mento po document programa Se det dentro de ria y Ia fee En el cién prelin pos de es har se deb reas, basa Administr, departame de docume Laefici objetivos e: adapta a lo Esta ad usuarios de direccién y dicho sisten cutivos y us Asimisr que el perso dos que see trol, inicam Lethe SprInvestigacion PRELIMINAR que permita una prime sbal. El objeto de este primer contacto es percib idamente las estruct n ales y diferencias principales entre el no a auditar y otras organizaciones que se hayan investigado, a inv in preliminar debe incorporar fases de evaluacién del cor trol gerencial y del control de las aplicaciones. Durante la revisiGn de los controles gerenciales el auditor debe entender a la organizacisn y las politicas y pricticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquia de la instalacion en que se encuentran las computadoras. Durante la revision de los controles de las aplicaciones, el auditor debe entender los controles ejerc dos sobre el mayor tipo de transacciones que fluyen a través de los sistemas de aplicaciones mas significativos dentro de la instalacién de computadoras, Se debe recopilar informaci6n para obtener una visién general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, asf como el programa detallado de la investigacis Se deberd observar el estado general del ituacin nntro de la organizacién, si existe la informacién solicitada, si es o no neces: ria y la fecha de su tiltima actualizacién n el caso de la auditoria en informstica debemos comenzar la investiga én preliminar con una visita al orgenismo, al érea de informética y a los equipos de computo, y solicitar una serie de documentos. La investigacion prelimi- xr se debe hacer solicitando y revisando la informacién de cada una de las paséndose en los siguientes punto: Administracién. Se recopila la informacién para obtener una visién general del mento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento, a eficiencia en el departamento de informatica sélo se puede lograr si sus bjetivos estin integrados con los de la institucidn y si permanentemente se adapta a los posibles cambios de éstos. ista adaptaciOn tinicamente puede ser posible si los altos ejecutivos y los asuarios de los sistemas toman parte activa en. cisiones referentes a la Jireccién y utilizacién de los sistemas de informacién, y si el responsable de Jicho sistema constantemente consulta y pide asesoria y cooperacién a los eje- Asimismo el control de la direceién de informatica no es posible, a menos ue el personal responsable aplique la misma disciplina de trabajo y los méto- dos que se exigen normalmente a los usuarios. Podemas hablar de tener el con- rol, tinicamente cuando se contemplaron los objetives, se establecié un presu40 caprruo 2 DE LA AUDITORIA EN INFORMATICA Requerimientos de una auditoria puesto y se registraron correctamente los costos en el desarrollo de la aplica- Gién, y cuando ésta contempla el nivel de ses tiempos minimos de entrega de resultados de calidad y vieio en términos d a operacidn del computador. El éxito de la direccién de informatica dentro de una organizacién depende finalmente de que todas las personas responsables adopt va respecto a su trabajo y evaltien constantemente la eficiencia en su propio trabajo, asi como el desarrollado en su drea, estableciendo metas y estandares, tuna actitud posit .ductividad La direccién de informatica, seguin las diferentes dreas de la organizaci6n, es evaluada desde diferentes p Los usuarios a nivel operativo generalmente la tos de vista, > una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccién de informatica es una funcién de servicio. Cada grupo de usuarios tiene su propia po y nivel de servicio, sin considerar el costo del mismo y expectativa del normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios, Los altos ejecutivos consideran a la direccién di versién importante, que tiene Ia funcién de participar activamente en el cumplimiento de los objetivos de la organizacién, Por ello, esperan an maximo del retorno de su inversion; esperan que los recursos destinados a la direccién de informatica proporcionen tn beneficio m iximo a la organizacién y que ésta participe en la aciministraciGn eficiente y en la minimizaciGn de los costos mediante informacién que permita una adecuada toma de decisiones. Los directi- vos, con toda Ia raz6n, consideran que la organizacién cada dia depende mas del rea de informé ca y consecuentemente esperan que se deba administrar lo més eficiente y eficaz posible. 'sencialmente, la meta principal de los administradores de la direccién di informética es la misma que inspira cualquier departamento de serv binar un servicio adecuado con una operacién econémica. : El problema estriba en balance el nivel de servicio a los usuarios, que jempre puede ser incrementado a costa de un incremento del factor econémico Para poder analizar y dimensionar la estructura a auditar se debe solicita A nivel organizacién total Objetivos a corto y largo plazos, Manual de Antecedentes historia del organismo. Politicas generales. A nivel del drea de informatica * Objetivos a corto y largo plazos. Manual de organizacién del drea que incluya puestos, funciones, nivele jerérquicos y tramos de mando. * Manual de politicas, reglamentos internos y lineamientos generales rsonas y puestos en el dea, © Nuimero d Presi Recu solic local Esta Fechi Cont Cont Conv Conf Cons locali Plane Ubica Polit Politi Politic extern Sister Deseti larse,« Manu: Manus Deseti Diagra Fecha Proyee Bases ¢ Proced Sistem: Enela cion, deben No No Se tiene Noaplica- calidad y 1depende posit propio stindares excién de su propia nelc iximo del e ésta is directi- ande mas ristrar lo solicita Procedimientos administrativos del dre Presupuestos y costos del area INVESTIGACION {ELININAR Recursos materiales y técnicos: Solicitar documentos sobre los equipos, asi como el mimero de ellos, localizacién y sus caracteristicas (de los equipos instalados, por instalar programados). Estudios de viabilidad. Fechas de instalacién de los equipos y planes de instalacién. Contratos vigentes de compra, renta y servicio de mantenimiento, Contratos de seguros. Convenios que se tienen con otras instalaciones Configuracién de los equipos y capacidades actuales y méximas, Configuracién de equipos de comunicacién (redes internas y externa: localizacion de los equipes. Planes de expansién Ubicacién general de los equipo Politicas de operacidn. Politicas de uso de los equipos. Politicas de seguridad fisica y prevencin contea contingencias interna: Sistemas: Descripeién general de los sistemas instalados y de los que estén por ins rse, que contengan voltimenes de informacién Manual de formas. Manual de procedimientos de los sistema: Descripcién genérica Diagramas de entrada, archivos, salida. Fecha de instalacién de los sistemas. Proyecto de instalacién de nuevos sistemas. Bases de datos, propietarios de la informacion y usuarios de la misn Procedimientos y politicas en casos de desastre Sistemas propios, rentados y adquiridos. En el momento de hacer la planeaci6n de la auditoria o bien en su reali ign, debemos evaluar que pueden presentarse las siguientes situaciones. + Se solicita la informacin y se ve que: No se tiene y se necesita, Nose tiene y no se necesita ne la informacién pero: Es incompleta.42 capiruto 2 PLANEACION LAAUDTTORIA Uso do informacién No ests actualizada No es la adecuada. Se usa, esté actualizad is la adecuada y esta completa Enel caso de que no se disponga de la informacién y se considere necesita, se debe evaluar la causa por la que no es necesaria, ya que se pl estar solicitando un tipo de informacién que debido a las caracteristicas de organismo no se requii .0 nos dard un parémetro muy impor hacer una adecuada planeacion de la auditoria, Enel caso de queno se tenga la informacién pero que sea necesaria, se debe ante para recomendar que se elabore de acuerdo con las necesidades y con el uso que se vaa dar En el caso de que se ter a la informacién pero que no se utilice, se debe analizar por qué no se usa. El motivo puede ser que esté incompleta, que no est actualizada, que no sea la adecuada, etc. Hay que analizar y definir las ara seialar alternativas de solucién, lo que nos lleva a la utilizacién de la in- En caso de que se actualizada, si es la ‘enga la informacién, se debe analizar si se usa, si e decuada y si est completa; de ser asi, se considerard den- ‘ode las conclusiones de la evaluacidn, ya que como ¢e dijo la auditoria no sélo debe considerar errores, sino también sefalar los aciertos. Antes de concluir esta etapa no se olvide que el éxito del anélisis criti depende de las con ideraciones siguiente + Estudiar hechos y no opiniones (no se toma informacin sin fundamento). Investigar la: + Atender razones, no excusas. * No confiar en la memoria, preguatar constantemente * Criticar objetivamente y a fondo todos los informes y los datos recabado: 1usas, no los efecto: Persona PARTICIPANTE Una de las partes més importantes en la planeacién de la auditoria en inforn ca es el personal que debers participar En este punto no veremos el niimero de personas que debe ya queesto depende de las dimensiones de la organizacidn, de los sistemas y de los equipos; lo que se deberd considerar son las caracteristicas del personal que iabrd de participar en la auditoria Uno de los esquemas generalmente aceptados para tener un adecuado cot trol es que el personal que intervenga esté debidamente capacitado, que tenga nn alto sentido de moralidad, al cual se le exija la optimizacién de recursos ficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la practica sional y la eapacitacién que debe tener el personal que intervendré en la auditoria En primer zacién, que de la auditoria, p Jas reuniones Este es ur direcci6n, nie tuna o varias p cién en el mor También s en el moment de comprobac do, y complen sloel punto d del sistema Para comp de la auditoria ‘Técnico en Conocimie Experienci: Experienci: Conocimie ‘Conocimies + Conocimie Enel casod mientos y expe: eaciones, etcste Lo anterior y experiencias + ‘con las caracter Una vez pla bilidad de prese de auditores ext La carta con Su confirmacin auditoria, las lin dad y lo: fore Una vez que do en Ia figura 2 Este formato de ‘euado control de de formulacion, | dad, el niimero ¢ minaci6n, el ninEn primer lugar, debemos pensar que hay personal asignado por la orgar ucién. que deba tener el suficiente nivel para poder coordinar el desarrollo de Ibauditoria, proporcionarnos toda la informacin que se solicite y programar les reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direcci6n, ni contar con un grupo muultidisciplinario en el cual estén presentes o varias personas del area a auditar, sera casi imposible obtener informa- in en el momento caracteristicas deseadas. ambién se debe contar con personas a por los usuarios para que eel momento que se solicite informacién, o bien se efecttie alguna entrevista de comprobacién de hipétesis, nos proporcionen aquello que se esta solicitan do, y complementen el grupo multidisciplinario, ya que debemos analizar no séloel punto de vista de la direccién de informética, sino tambien el del usuario el sistema Para complementar el grapo, como colaboradores directos en la realiz auditorfa, se deben tener personas con las siguientes caracte + Técnico en informatica Conocimientos de administracién, contaduria y finanza: Experiencia en el érea de informétic xperiencia en operacin y anélisis de sistemas. Conocimientos y experiencia en psicologia industrial Conocimiento de los sistemas operativos, bases de datos, redes y comuni wiones, dependiendo del drea y caracteristicas a auditar ‘onocimientos de los sistemas mas importantes, Enel caso de sistemas complejos se deberd contar con personal con conoci mientos y experiencia en reas especificas como base de datos, redes, comuni- cciones, etcétera. o anterior no significa que una sola persona deba tener los conocimientos sxperiencias sefialadas, pero s{ que deben intervenir una o varias personas can las caracteristicas aj a vez planeada la forma de llevar a cabo la auditoria, estaremos en po: biidad de presentar la carta—convenio de servicios profesionales (en el caso de auditores externos)—y el plan de trabajo. a carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacién de aceptacicn. En ella se especifican el objetivo y aleance de la itoria, las limitaciones y la colaboracién necesaria, el grado de responsabil os informes que se han de entregar que se ha hecho la planeacién, se puede utilizar el formato senal. do en la figura 2.1, el cual servird para resumir el plan de trabajo de la auditoria Este formato de programa de auditoria nos servird de base para llevar un adi cuado control del desarrollo de la misma. En él figuran el organismo, la fecha de formulacisn, las fases y suibfases que comprenden la descripcién de Ia activi- sd, el mimero de personas participantes, las fe timadas de inicio y ter i6n, el ntimero de dias habiles y el nuim dias-hombre estimados. Caracteristicas el personal Programa de auditoriaaa El control del avai de la figura 2.2, ‘urarnos que el trabajo se esta llevando a cabo de acuerdo con el program de auditoria, con los -e de la auditoria lo podemos llevar mediante el formal tual nos permite cumplir con los procedimientos de « de conter con la informacién del avance permite que el taba elaborado pueda ser revisado por cualquiera de nuestros asistentes. 2 en informatica, véase la figura Como ejemplo de propuesta de auditor 2 somo ejemplo de contrato de auditoria en informética consiltesiecontro Iprograma planeacién, figura 24. Figura 2.1. Programa de auditoria en informatica48 capiruLo 2 ANEAGIGA Figura 2.2. Avance del cumplimiento del programa de auditoria en informatica ANTECE (Anotar los at OBJETIV (Anotar el obj ALCANC Elalcance de Evaluacié ‘Su on Funcit Objet? Estrue Recur Norme ‘Capac Planes Contro Estanc Condi Situaci Evaluacion Evalua mientos prograr los usu Evaluae con eld mas. Segurid Derech« los utiiz Evaiuaa Evaluacion ¢ Adquisic Estanda Controle Nuevos Almacer Comunejemplo de propuesta de servicios de auditoria en informatica ENTES, nlecedentes especiiicos del proyecto de auditorfa.) (0S DE LA AUDITORIA EN INFORMATICA jativo especifico de la aucitoria.) :S DEL PROYECTO s| proyecto comprende. bn Ge la direccion de informatica en lo que corresponce a: ‘ganizacién iones. 08. ctura. 60s humanos. las y politicas. Gitacion. 18 do trabajo. ‘les. dares. jones do trabajo. ci6n presupuesal y financiera. m de los sistemas: \acién de los diferentes sistemas en operacién (flujo, proced- 8, documontaci6n, organizacién de archivos, estandares do amacién, controles, utlizacién de ios sistemas, opiniones de suarios). acién de avances de los sistemas en desarrollo y congruencia | disefio general, control de proyectos, modulavidad de los siste- a ee ee ee ekAndlisis de la seguridad ldgica y confidencialidad. Evaluacion de los proyectos en desarrollo, prioridades y personal | PERSON asignado. ill Evaluacion de la participacién de auditoria interna, Evaluacion de controles. Evaluacién de las licencias, la obtencién de derechos de autor y de la confidencialidad de la informacién Entrevistas con usuarios de los sistemas. Evaluacién directa de la informacién obtenida contra las necesidades y requerimientos de los usuarios. Analisis objetivo de la estructuracion y flujo de los programas. Analisis y evaluacién de Ia informacién compilada. Elaboracién de informe. Para la evaluacién de los equipes se llavardn a cabo las siguientes act Videdes: Solicitud de los estudios de viabilidad, costolbeneficio y caracteristicas de los equipos actuales, proyectos sobre adquisicién o amplia- clon de equipo y su actualizacion. Solicitud de contratos de compra o renta de los equipos Solicitud de contratos de mantenimionto do los equipos. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguros. Bitécoras do loc equipos. on Elaboracion de un cuestionario sobre la utilzacion de equipos, archi- fists. vos, unidades de entrada/salida, equipos periféricos, y su seguridad. dota Visita a las instalacionos y a los lugares do almaconamionto do ar. chivos magnéticos. Visita técnica de comprobacién de seguridad fisica y 16 instalaciones. Evaluacion técnica del sistema eléctrico y ambiental de los equipos, del local utilizado y en general de las instalacion: Evaluacion de los sistemas de seguridad de acceso. Evaluaci6n de la informacion recopilada, obtencién de gréficas, por centales de utlizacion de los equipes y su justificacion. hyen Elaboracién de informe. uales Elaboracion del informe final, presentacion y discusion del mismo, y pre- sentacién de conclusiones y racomendaciones. TIEMPO Y COSTO (Poner el tiempo en que se realizard el proyecto, de preferencia indicando el | tempo de cada una de las etapas; el costo del mismo, que incluya el personal parficipante en la auditoria y sus caracteristicas, y la forma de pago.EN INFORMATICA Figura 2.4. Ejomplo de contrato de auditoria en informatica Contrato de prestacién de servicios profesionales de auditoria en informatica que celebran por una parle representado por en su caracter de yqueen lo suce- sivo se denominard “el cliente’, por otra parle representada por a quien se denominara “el auditor’, de conformidad con las declaraciones y clausulas siguientes: DECLARACIONES L. Elcliente dectara: a) Queesuna ) Queesté representado para este acto por yquetiono come eudomicilio ©) Que requiere obtener servicios de auditoria en informatica, por lo que ha decidido coniratar los servicios dal auditor I. Declara el auditor: ) Que es una sociedad anénima, constituida y existonte do acvorde con las leyes y que dentro de sus objetivos primordiales esta el de prestar auditoria en informatica b) Que esta consiituida legalmento segin escritura nmero de fecha ante el notario pulico num del Lie, ©) Quesefiala como su domiciio Ill, Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionaco, lo formalizan otorgando el presente contrato que se contiene en las siguientes: CLAUSULAS Primera. Objeto auditor se obliga 2 prestar al cliente los servicios de auditoria en informd- fica para llevar a cabo la ovaluecién de la direccién de informatica del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las pat- » ° tes, forma parte integrante del contrato. Segund: El alcanc contrato 2) Eval oi aes i ee Se‘Segunda. Alcance del trabajo Bb Elalcance de los trabajos que llevaré a cabo el auditor intemo dentro de este natica contrato son: Evaluaciones de la direccién de informatica en lo que corresponde a: eo Su organizacién 4 Funcio Estructura. Cumplimiento de los objetivos. Recursos humanes. Normas y politcas. Capacitacion Planes de trabajo. Controles. Estandares Condiciones de trabajo. Sltuacion presupuestal y financiera ines y Frio Evaluacién de los sistemas: Evaluacin de los diferentes sistemas en operacién ({lujo, procedimientos, documentacion, organizacion de archivos, estandares de programacién, controles, utiizacién de los sistemas). we Opiniones de los usuarios. Bide | Evaluacion de avances de los sistemas en desarrollo y congruencia con el disefio general, control de proyectos, modularidad de los sis temas. ae Evaluacion de prioridades y recursos asignados (humanos y equipos de cémputo) Seguridad légica de los sistemas, confidencialidad y respaldos. hos de autor y secrets industiiales, de los sistemas propios y tiizados por fa organizacion Evaluacién de las bases do datos. Evaluacion de los equipos: Adquisicién, estudios de viabilidad y costo-beneficio. Capacidades. Utilizacion, Estan¢ Controles. Nuevos proyectos de adquisicio Almacenamiento, Comunicacién Redes. Equipos adici do. lo forma: lento, spar52 Contratcs de compra, renta o renta con opcién a compra. Planes y proyecciones de adquisicion de nuevos equipos. + Mantenimientos. ) Evaluacién de la seguridad: * Seguridad léaica y confidencialidad + Seguridad on ol personal + Seguridad fisica * Seguridad contra virus. + Seguros. Seguridad en la utlizacién de los equipos. Seguridad en la restauracin de los equipos y de los sistemas. Plan de contingencia y procedimientos en caso de desastre 2) Elaboracién de informes que contengan conclusiones y recomendacio: nes por cada uno de los trabajos sefialados en los incisos a. 6, c, dde esta cléusula, Tercera. Programa de trabajo Elciiente y el auditor convienen en desarrollar en forma conjunta un progra ma de trabajo en el que se determinen con precisién las actividades a reali zar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realizacién. Cuarta. Supervision Eloliente 0 quien designe tendra derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrata y a dar par escrito las, instrucciones que estime converientes. Quinta. Coordinacién de los trabajos El cliente designard por parte de la organizacién @ un coordinador del proyecto, quien sera el responsable de coordinar la recopilacién de la informa ion que solicite el auditor, y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. Sexta. Horarlo de trabajo Personal del auditor dedicar4 el tiempo necesario para cumplir satisfacto: Mente con los trabajos matoria do la colebracién do este contrato, de acusr de al programa de trabajo convenido por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no tard sujeto a horarios y jomadas daterminadas. ‘Septima. Personal asignado El auditor designard para el desarrollo de los trabajos objeto de este contrato 1 socios del despecho, quienes, cuando consideren necesario, incorporaran personal técnico capacitado de que dispone la firma, en el numero que se requieran y de acuerdo a los trabajos a realizar. Octava. F EI person queda ex; que ol auc pecto all p se deriver cualquier Novena. | El auditor de este co cumplimie Por las par del cliente ‘cual deber el program Décima. H Eiclente p norarios pc cl impuect siguiente: a) _— Bd wat 2 a inte Undécima, El importe dos, honore auditoria, pi Duodecima En caso de cién, domor table al cl so y se sen Decimoterc De ser nece contrato, las[Octava. Relacion laboral El personal del aucstor no tondrd ninguna relacién laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atencion a que el auditor en ringtin momento se considera intermediatio del liante res- pocto al porsonal que ocupe para der cumplimiento de las obligaciones que se deriven de las relaciones entre él y su personal, y que exime al cllenie de ‘ualquier responsabilidad que a este respecio existere. Novena. Plazo de trabajo Elauditor se obliga a terminar los trabajos sevialados en la cléusula segunda de este contrato en dias habiles después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo «slimado para la terminacion de los trabajos esta con relacion a la oportuni- cad con que el cliente entrague los documentos requeridos por al auditor y al cumplimiento de las fechas estipuladas en el programa de irabajo aprobado porlas partes, porlo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutird en el plazo estipulado, el cual deberd incrementarse de acuardo a las nueves fechas establecidas en € programa de trabajo, sin perjuicio alguno para el auditor Décima. Honorarios EI clente pageré al auditor por los trabajos objeto del presente contrato, horarios por la cantidad de mas el impuesio al valor agregada correspondiente. La forma da pago serd la siguiente: % alla firma del contrato. % alos dias hébiles después de iniciados los. trabajos. S % a la terminacion de los trabajos y presentacién del informe final Undécima. Alcance de los honorarios El importe safialado en la clusula décima compensara al auditor por suol- dos, honorarios, organizacién y direccién técnica propia de los servicios de auditoria, prestaciones sociales y laborales de su personal Duodécima. incremento de honorarios En caso de que se tenga un retraso debido a la falta de entrega de informa: cién, demora 0 cancelacién de las reuniones, o cualquier otra causa impu- table al cliente, este contrato se incrementera en forma proporcional al retra 50 y se sefialaré el incremento de comin acuerdo. Decimotercera. Trabajos adicionales De ser necesaria alguna acicién a los alcances 0 productos del presente contrato, las partes celebraran por separado un convenio que formara parte54 capiruto 2 PLANEACION DE LA AUDITORIA NFORMATIC integrante de este instrumento y en forma conjunta se acordara el nuevo costo. Decimocuarta. Viaticos y pasajes El importe de los vidticos y pasajes en que incurra el auditor en el traslade, hospedaje y alimentacién que requieran durante su permanencia en la ciu dad de Como con: ‘sacuencia de los trabajos objeto de este contrato, serd por cuenta del cliente, Decimoquinta. Gastos generales Los gastos de fotocopiado y dibujo que se produzcan con motive de este contrato correrdn por cuenta del dliente. Decimosexta. Causas de rescision Soran causa de rescisién del presente contrato la violacién o incumplimiente de cualquiera de las cléusulas de este contrato, Decimoséptima. Jurisdiccién Todo lo no previsto en este contralo se regira por las disposiciones relalivas, contenidas en el Codigo Civil del y, en caso de contro: versia para su interpratacién y cum»plimiento, las partes se someten a la juris diccién de los tribunales federales, renunciando al fuero que les pueda co- responder en razon de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, le rubrican y firman de conformidad, en original y tres copias, en la ciuded de el dia “EL CLIENTE EL AUDITOR ; Oxy Al finalizeAuditoria de la funcion de informatica CAPITULO Ossetivos Miele oy ousted |. Explicara la importancia de a recoleccion de informacion sobre la organiza- ion que se va a auditar. 2. Deseribird los pas 9 a realizar una adecuada evaluacién de la estructura organ jon a auditar. Definird los elementos a tomer en cuenta en la evaluacién del personal de una organizacién. Manejaré una guia para entrevistar adecuadamente al personal de informé- tica, 5. Conocerd la importancia de evaluar los recursos financieros y materiales de una organizaciéncaprruto 3 Recopivacion DE LA INFORMACION ORGANIZACIONAL Una vez elaborada la planeacién de la auditorfa, 1a cual serviré como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoria, cederd a efectuar la revisién sistematizada del drea, a través de los siguientes, elementos: debe empezar la recoleccién de la informacién. Para ello se pro A) Revisisn de la estructura orgénica + Jorarquias (definicién de la autoridad lineal, fancional y de asesoria ®) + Estructura orgénica + Funciones * Objetivos B) Se deberd revisar la situacién de los recursos humanos. C) Entrevistas con el personal de procesos electrénicas: Jefatura, Analisis. Programadores Operadores Personal de bases de datos. Personal de comunicacin y redes. Personal de mantenimiento. Personal administrativo. Responsable de comunicaciones, Responsable de Internet e Intranet. Responsable de redes locales 0 nacionales. Responsable de sala de t Responsable de capacitacién. D) Se deberd conocer la situacién en cuanto a: + Presupuesto. * Recursos financieros. * Recursos materiales, + Mobiliario y equipo. + Costos E) Se hard un levantamiento del censo de recursos humanos y anélisis de si: tuacion en cuanto 2: er on + ¢ 20 € oF onl fi leon + tt oP Por ti admit - 0 Le te + sil < sy qu - Si + Si atl * Sil © SisNiimero de personas y distribucion por éreas. Denorninacion de puestos y personal de confianza y de base (sindicaliza- y no sindicalizado). Salario y conformacidn del mismo (prestaciones y adiciones), Movimientos salariales. pacitacisn (actual y programa de capacitacién) Escolaridad. Experiencia profesional Antigiiedad (en la organizacién, en el puesto y en puestos similares fuera de la organizaciGn), Historial de trabajo. Indice de rotacién del persona Programa de capacitacion (vigente y capacitacin otorgada en el tlt iltimo, se deberd revisar el grado de cumplimiento de los documentos Normas y politicas, Planes de trabajo Controles Estdndares. Procedimient La informacion nos servird para determinar. ades en la organizacion estan definidas adecuada. Si la estructura organizacional ests adecuada a las necesidade Siel control organizacional es el adecuadc Sisse tienen los objetivos y politicas adecuadas, si se encuentran vigen tes y si estin bien definida Siexiste la documentacidn de las actividades, funciones y responsabili dades. Silos puestos se encuentran definidos y seftaladas sus responsabilidades Siel andlisis y descripcién de puestes estd de acuerdo con el personal que los ocupa Si se cumplen los lineamientos organizacionales. Si el nivel de salarios est de acuerdo con el mercado de trabajo. Sise tiene un programa de capacitacion adecuado y sise cumple con él Si los planes de trabajo concuerdan con los objetivos de la empresa. Si se cuenta con los recursos humanos necesarios que garanticen la continttidad de la operacicn o si se cuenta con los “indispensables Si se evaltian los planes y se determinan las desviaciones. Si se cumple con los procedimientos y controles admin:capruto 3 AUDITORIA DE. LAFUNCION DE INFORMATICA Funciones de la gerencia La onganizacién debe estar estructurada de tal forma que permita lograr cficiente y eficazmente los objetives, y que esto se logre a través de una adecua da toma de decisiones. Una forma de evaluar la forma en que la in de l gerencia de informitica se esta desempefiando es mediante la evaluac funciones que la alta gerencia debe realizar: Planeacién. Determinar los objetivos del drea y la forma en que se van a lograr estos objetivos. cién. Proveer de las facilidades, estructura, divisién del trabajo, responsabilidades, actividades de grupo y persona las metas. * Recursos humanos. Seleccionando, capacitando y entrenando al personal requerido para realizar las metas, Direccidn. Coordinando las actividades, proveyendo liderazgo y guia, y motivando al personal + Control. Compa necesario para realiza indo lo real contra lo plane: .do, como base para realizat PrinciPaLes PLANES QUE SE REQUIEREN DENTRO DE LA ORGANIZACION DE INFORMATICA Estudio de viabilidad Investiga los costos y beneficios de los uses a largo plazo de las computadoras, yrecomienda cuando debe ono usarse. En caso de requerirse el uso de la compu- tacidn, sirve para definir el tipo de hardware, el software el equipo periférico y de comunicacién necesarios para lograr los objetiv de la organizacién El estudio de viabilidad consiste en la evaluacién para determinar, prime- 10, sila computadora puede resolver o mejorar un determinado procedimiento, y; segundo, cudl es la mejor alternativa, Para lograr esto se deben de contestar una serie de preguntas, entre las cuales estan las siguientes: + GLa computadora resolvera o mejorar los procedimientos, funciones o ac tividades que se realizan? gla computadora mejoraré la informacién para lograr una adecuada toma de decisiones? Ene + (cua + iCud Sed 0 bia ques * Sed cuaci Se di Sed Qué Qué Cua 2Cual 2Cual cual 2Cual Despu cificacione asesores, ¢ y como gu Planeacic modifica: Especifica| y modificac do la organ hardware, « Alguna © Espeaif periféri Evaluac Planeac Pruebas Envioe Particip Disefiorita lograr a gerencia personal tutador lacompu- periférico star ada toma El costo de la informitica proporcionaré una adecuada tasa de retorno? {Eneste caso, uno de los mayeres problemases el de evaluar los intangibles.) {Cul es el periodo de recuperacién de la inversion? {Cual es la relacién costo-beneficio que se obtendrs? 0 bien hacer cambios al sistema actual o actualizar el sistema de cmputo {Se debe comprar o elaborar internamente los nuevos sistemas 0 las ade- {Se deben comprar los equipos, rentar o rentar con opcién a compra? cremento en las capacidades de procesamiento? Qué prioridad tiene el proyecto y para cuxindo debe ser realizado? {Qué caracterieticas tiene el sistema actual? {Cuales son las areas potenciales en que se usard el nuevo sistema? iCuéles son las fortalezas y debilidades del sistema actual? {Cusles son los recursos adicionales que se requeriran? ‘Cual es el impacto a informatica a largo plazo? Cusles son las restricciones que se deben considerar? {Cual es el proyecto (PERT) que se tiene para su implementacién? Después de contestar estas preguntas, se debe elaborar un manual de espe- sificaciones para ser distribuido al personal de informatica, a los vendedores asesores, para que les sirva de base para la contratacién, elaboracion o comp ycomo guia de referencia y control del proyecto. Planeacion de cambios, modificaciones y actualizacion Especifica las metas y actividades que se deben realizar para lograr los cambios ymodificaciones, su independencia, tiempos, responsables y restricciones, cuando la organizacién toma la decision de hacer cambios sustanciales de software, hardware, comunicacién 0 equipos periféricos. Algunas de las actividades tipicas en este plan son: Pruebas finales de aceptacién. Bris «ital, Disefio de la estructura organizacional en caso de que se vea afectada60 Plan maestro EI plan maestro o plan estratégico de una instalacién informatica define los objetivos a largo plazo y las metas necesarias para lograrlo. Una de las principales obligaciones del dea de gerencia en informatica es la construcci ‘vos, metas y actividades generales a realizar durante los siguientes aftos, inciu yendo los nuevos sistemas que se pretenden implemen un periodo coro o largo, dependiendo de las eazacteristicas y necesidades de la organizaci6n, y de lo cambiante de los sistemas. Una organizacion consolidada posiblemente requiera un plan maestro a mas largo plazo que una organizacién de un plan maestro, El plan maestro debe contener los objet: 7. Puede comprender de reciente creacién. EI plan maestro puede compren der cuatro subplanes: A) Elplanestratégico de organizadién. Incluye los objetivos de la organizacisn a largo plazo, el medio ambiente, los factores organizacionales que serén afectados, asf como sus prioridades, el personal requerido, su actualiza- cin, desarrollo y capacitacién. B) El plan estratégico de sistemas de informacion. Se debe elaborar el plan estratégico y los abjetivos planteadosa largo plazo dentro de un plan estra tégico de informacién, y las implicaciones que tendré dentro de Ia org: zacion en general y en la organizacion de informatica ©) Ep! objetivos planteados de requerimientos. Define la arquitectura necesaria para lograr los D) Elplan de aplicaciones de sistemas de informacién. Define los sistemas de aplicaciones que se desarrollardn, asociados con las prioridades y con et periodo en que seran implantados: + Adguisicidn o desarrollo de sistemas y su programa de trabajo. + Planeacin de desarrollo y capacitacidn del personal necesario, o bien su contratacién, + Recursos financieros que se necesitarsn + Requerimiento de facilidaces * Requerimientos de cambios en la organizacicn. Plan de proyectos Consiste en el plan basico para desarrollar determinado sistema y para asegurarse que cl proyectoes consistente con las metas y objetivos de la organizacién y con aquellos sefalados en el plan maestro. Es importante que este plan no solo contemple Jos sistemas, sino tambien las prioridades y el momento en el cual se desarrollarén los sistemas. Un pla grar un det cadas dent Identif Ident Detern Detern Detern Detern Plan de s continge en caso. Una instal razones: h deben tent de recupe encuentro to para la Eva Para logra de organi Organ Funci Odjeti Anais ‘ManuUn plan de proyectos debe contener las actividades bisicas para poder lo: gar un determinado proyecto. Las principales tareas que deben estar especifi- gyy alas dentro de un plan de proyecto son: LA ESTRUCTURA identificar las tareas a realizar identificar las relaciones entre tareas. Determinar las restricciones de tiempo de cada tarea del proyecto. Determinar los recursos necesarios para cada tarea. Determinar cualquier otra restriccién que se tenga. Determinar la secuencia de actividades. Plan de seguridad: seguros, contingencias y recuperacién en caso de siniestro Una instalacion de informatica esta expuesta a sufrir un desastre por muchas tazones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, proble mas del equipo. Se debe tener un plan que permita eliminar en lo posible la ocurrencia de un desastre o de pérdida por causas internas 0 externas a la orga: nizacisn, Se debe contar con una adecuada planeacién sobre los seguros que se deben tener en caso de que ocurra un desastre. También se debe tener un plan de recuperacidn para que en caso de que ocurra un desastre la instalacién se encuentre en funcionamiento.en el menor tiempo posible y con el menor impac to para la organizacién Evatuacion DE LA ESTRUCTURA ORGANICA la evaluacién de la estructura orgénica se deberd solicitar el manual anizacién de la direccién, el cual debera comprender, como minimo: Organigrama con jerarquias, Dbjetives y politicas, Analisis, descripcidn y evaluacion de puestos. Manual de procedimientos Manual de normas, Instructivos de trabajo o guias de actividad62 Direccion de informatica También se deben solicitar = Objetivos de la direecién, * Politicas y normas de la direccién. © Planeacidn, El director de informatica y aquellas personas que tengan un cargo direc vo deben llenar los cuestionarios sobre estructura orgénica, funciones, objet vos y politi Basicamente, el departamento de informética puede estar dentro de alguno de estos tipos de dependencia: A) Depende de alguna direccién o gerencia, Ia cual, normalmente, es la direcciGn de finanzas. Esto se debe a que inicialmente informatica, 0 departamento de procesamiento electrénico de datos, nombre can que se le conocia, procesaba principalmente sistemas de tipo contable, financiero o administrati vo; por ejemplo, la contabilidad, la némina, ventas o facturacisn. El que informatica dependa del usuario principal, normalmente se presenta cen estructuras pequefias 0 bien que inician en el dtea de informatica. La ventaja gue tiene es que no se crea una para el rea de informética y permite que el usuario principal tenga un mayor control sobre sus sistemas. La desventaja principal es que los atros usuarios son considerados camo secundarios y normalmente no se les da la importancia y prioridad requerida. Otra desventaja es que, como la informacion es poder, a veces hace que un area tenga un mayor poder. También, en ocasion del 4 sucede que el gerente o director a usuaria del cual depende informatica tiene muy poco conocimiento de informatica; ello ocasiona que el jefe de informatica cree una isla dentro de la gerencia y que acuerde directamente con otras gerencias usua lugar a problemas con las Iineas de autoridad. Este tipo de organizacién se usa ias, lo que da ba cuando comenzé el érea de informética, y en Ta actualidad s6lo es recomen: dable para instalaciones muy pequefias B) La segunda posibilidad es que la direccidn de informatica dependa de la gerencia general; esto puede ser en li La ventaja de alguna de estas organizaciones es que el director de informa tica pode toner un nivel adecuada dentro de la organizacién, lo cual Ie permi. tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo con los lineamientos dados por la gerencia general ao bien en forma de asesorfa La desventaja es que aumentan los niveles de la organizacién, lo que eleva r4 el costo de la utilizacidn de los sistemas de cémputo. C) La tercera posibilidad es para estructuras muy grandes, en las que hay bases de datos, redes o bien equipos en diferentes lugares. En esta estructura se considera la administracién coxporativa. La direcci6n de informatica depende de la gerencia general, y existen departamentos de informitica dentro de las demas gerencias, las cuales reciben todas las normas, politicas, procedimientos y esténdares de la direccién de informatica, aunque funcionalmente dependan de la gerencia a la cual estan adscritas. La direccién de informatica es la responsable de las politicas, normatividad y controles Las fi perfectan lugares d en un lug otro luga tener bien La ve centralize, se debe ter departame 208 ola dt Enlaa cidn de rec utilizadas muy claro es el respo zacién del Dent de tener ur los sistema te la creaci pero con la La resp yen qué tralizada o¥ minicompu el desarroll tener politic cién de equi sicién de e cual hace ne mas y platal DjLlaa pendiente q) Estru Uno de losel Un personal repercute dircargo direct jones, objeti- t1o de alguno Imente, es la aod see conocia, administrati ese presenta a La ventaja aformitica y ‘stemas, requerida, que un drea tec director imiento de dentro de la lo que da ecomen- penda dela de intorms- He pormi ° y, por lo de acuerdo que eleva as que hay ‘direccion tos de in- a, aunque {direcaién ttroles Las funciones, organizacién y politicas de los departamentos deben estar porfociamente definidas para evitar la duplicidad de mando y el que en do: lugares diferentes se estén desarrollando los mismos sistemas, o bien que sélo ex un lugar se programe y no se permita usar los equipos para programar er dirolugar que no sea la direccidn de informatica. Esto se puede dar en instala Cdones que tengan equipo en varias ciudades o lugares, y para evitarlo se deber tener bien definidas las politicas y funciones de todas las areas. La vontaja principal de esta organizacién consiste on quo se puede toner eenizalizada la informacién (base de datos) y descentralizades los equipos; perc se debe tener una adecuada coordinacion entre la direccion de informatica y los departamentos de informatica de las éreas usuarias para evitar duplicar eshuer 2350 a duplicidad de mando Ena actualidad, con la proliferacion de computadoras personales y la crea cién de redes tanto internas como externas, asi como de bases de datos que son Uilizadas por diferentes asuarios a diversas profundidades, este tipo de orga. hizacién se puede considerar como la més recomendable. Lo que hay que tene muy claro es que en este tipo de organizacion el departamento de informitice el responsable de las normas y politicas de adquisicién de equipo y de utili zacién del mismo. Dentro de esta misma forma de organizacion se debe evaluar la posibilidad do tener una estructura por proyectos, lo cual permitirs que los disenadores de tela creacion de una fuerza de trabajo independiente, con todos los recursos, pero con la obligacién de cumplir con los objetivos y metas sefialados para un Sistema deatzo de los diferentes planes Larespuesta a si un tipo de organizacién corporativa es la mas conveniente yenqué grado esté en funcién de la decisién sobre tener una organizacién cen trlizada o descentralizada. La descentralizacién del procesamiento de la infor- macién ocurre en la actualidad como algo natural, debido al incremento de las minicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar eldesarrollo, implementacién y adquisicién de equipes y de software, se deben tenes politicas de descentcalizacién muy bien definidas, para evita le prolifera ibn de equipo y de software que impida la adecuada comunicacién y la adqui- Sicién de equipo no compatible, y que dificulte la integridad de los datos, lo cual hace necesario que el personal sea entrenado en diferentes equ mas y plataformas, D) La cuarta forma de organizacién es la creacién de una compaiiia pendiente que dé servicio de informatica a la organizacién Estructura ORGANICA Uno de los elementos mas criticos es el relativo al personal y au organizacién. Un personal calificado, motivado, entrenado y con la adecuada remuneracién, repercute directamente en el buen desempefio del rea de informética IRGANICA64 Bases juridicas (principalmente writes en el sector publico) A continuacién oftecemos unos cuestionarios que serviran pa 2 evaluar la structura orgénica y las bases juridicas: Se ajusta la estructura orgénica actual a k disposiciones juridices vigentes? No, zpor qué razén? {Cuales son los ordenamientos legales en que se sustenta la direccion? OBJETIVO DE LA ESTRUCTURA La estructura actual esta encaminada a la consecucion de los objetvos del rea? Explique en qué forma. ePermite fa estructura actual que s+ e leven a cabo con eficiencia * Las atribuciones encomendadas? * Las funciones esiablecidas? + La distribucién det trabajo? El control interno? Si alguna de las respuestas es negativa, explique cud NIVELES JERARQUICOS Es conveniente conocer los niveles jerérquicos para poder evaluar si son los nacesarios y si estin bien datinidos. {Los niveles jerarqul i208 establecidos actualmente son necesarios y suficientes para el dese arrollo de las actividades del area? zCudles y por qué son sus recomendaciones? Permiten los niveles jerérquicos actuales que se desarrolle adecuadamente la = Operacién? + Suporvisién? + Control? ePermit oa 7 & * To Si algun eConsics + Ma + Me Por qué Se cons! dida actu: No, por eElareay No, 2aus Se debe te to, ya que dan ales p eLos puest llevar a cat No, zpor a. EI nimero fon les fune Solicit et m + Andis + Progra{Perniten los niveles aciuales que se tenga una Agi: + Comunisacién ascendente? + Gomunicacién descendente? si * Toma de decisiones? si ND Sialguna de las respuesias es negativa, explique cudl es la razén [boas vigentes? sw {Wonsidera que algunes éroee deberian tener + Mayor jererquia? + Menor jerarcula? No Hreceon? éPor qué razén? DEPARTAMENTALIZACION Ps cbjetivos vel ¢Se consideran adecuados los departamentos, areas y cficinas en que esté divi ida actualmente la esiructura de la direccion? sin No, gpor qué razén? area y sus subareas tienen delimitadas con claridad sus responsablidaces? si) mo No, Lqué efectos provoca esia situacién? PUESTOS ‘Se debe tener culdado de que estén bien definidas las funciones de cada pues- to, ya que desafortunadamente existe mucha confusion en los nombres que se dan a los puestos dentro del medio de la informatica fuer si son tos {Los puestes actuales son adecuados a las necesidades que tiene el érea para leva: @ cabo sus furcions No, ipor qué razén? LEI nimero de empieados que trabaja actualmente os adecuaco para cumplir f0n las funciones encomendada: adamente ta: Solicte el manual de descripcion de puestos de: si x0 + Analisis. + Programacién66 Técnicos. Operacion Capture Adminis cartruto 3 rador de bases de datos. Comunicacién y redes. Direccién, ‘Administrativos. Otros. Pida la plantita det personal, Se debe especi el numero de personas que feporten a las personas que a su vez reportan a cada puesto, ya sea: Director. Subdireotor. Jetes de departemento. Jetes de seccion, Jefes de area. {EI numero de personas es el adecuade en cada uno de los pue USI? gPor qué? No, zeudles el ntimero de personal que consideraria adecuado? Sefale el puesto © los puestos. EXPECTATIVAS Dentio de las expectativas se pueden detectar, en algunas ocasiones, defice cies y frustraciones de las personas. {Consider que debe revisarse la estructura actual, a fin de ha lente {Por qué. razé0? {Cudl ee la estructura que pon: F una modificaeién a la estructura, ,cuéndo cor jera que dabaria uSe encuen No, por que Su autorida No, por qué LEN su érea SI, explique ¢ UExiste en el Fu CIO Las funciones € designen con ¢ tuna organized nuacion un cue: Se han estat {Por qué no? {Las funciones Por qué ro et LEstan por esc zCual es Ia cat {Cual es la forAUTORIDAD é&e encuentra definida adecuadamente la linea de autoridad? si {¢No, por qué raz6n? (Su autoridad va de acuerdo a su responsabilidad? {UNo, por qué raz6n? UEn su rea se han presentado contlictos por el ejercicio de la autoridad? Si, expique en qué casos. {Existe en el drea algdn sistema de sugerencias y quejas por parte del personal? Funciones Las funciones en informatica pueden diferir de un organismo a otro, aunque se designen con el mismo nombre; por ejemplo, la funcién del programador en una organizacién puede ser diferente en otra organizaciGn. Ofrecemos a conti quaci6n un cuestionario para evaluar las funciones. EXISTENCIA {Se han establecido funciones del area? Por qué no? {Las funciones estén de acuerdo con las atribuciones legales? {Por qué no estén de acuerdo? Estén por esorto en algiin documento las funciones del Area? {Qudl es la causa de que no estén por escrito? LOudl es la forma de darlas @ conocer?{Quién olabors las funciones? eParticipd el érea on su Por qué causas no particip6? Quien las autorz6 0 aprobs? COINCIDENCIAS ‘Se debe tener cuidado en que se conozcan las funciones del Area éLes funciones estan encemis ‘a la consecucién de los abjetives institucione: les e internos? aon No, zpor qué? 2Les tunciones del area estan ac des al regamento interior? sino No, zen qué considera que differen? eConocen otra las funciones del area? d No No, épor qué? {Consicera que se deben dar a conocer? sw No, gpor qué? ADECUADAS Dobomes tener cuidado, ya que en esta area podemos detectar malestares de| personal, debido a que si las funciones no son adecuadas a las necesdades pueden ex'stir problemas de definicion de funciones o bien de cargas de traoglo, 2Son adecuadas a la realidad las {unciones? vo En caso negativo, ,por qué no son adecuadas? ‘eSon adecuad En caso negati ‘4Cuales son st Son adecuad: Epicton contlc De que tipo? éSe tiene conte (No, por qué? 406mo afecta 4Qué funciones éParticipo la ar No, zpor qué? Esta seccién no dol personal 2Estan delimitad {A nival de daoi GA nivel de pul No, zpor qué? Las actividad asignadas?{Sen adecuadas a las necesidades 2 En caso negativo, gpor qué no? {Cidles son sus principales limitaciones? a las cargas do trabajo? len confictos por las cargas de trabajo desequilioradas’ @De qué tipo? tisne contamplada la desconcentr .Cémo afeota la desconeentracién a las funciones? eQu6 fur @Patisips a dirocoién do informatica on su olaboracién? }, :por qué? (CUMPLIMIENTO secoion nos sirve para evaluar el grado de cumpimiento de las tunciones sn deliritadas las funciones? ZA nivel de departamento? nivel de puesto? No, zpor que? {Las aciividades que realiza el personal son acordes a las funciones que tiene asignadas? si No70 capiruco 3 No, Zqué tipo de actividades ignadas? liza que no estan acordes a las funciones {Quien las ordena? Las actividades que realiza actualmente cumplen en su totalidad con Giones conforidas? No, Zoual es su grado de cumpiimiento? La fata de cumplimiento de sus funciones as por + Falta de personal otk + Personal no capacitado. sin + Gargas de tranajo excesivas. * Porque realiza otras actividades, La forma en que las ordena, Cudlos furcionos realiza on forma: + Perogica? + Eventual? + Sistomatica’ + Owes? eTienen programas y tareas encomenda No, epor qué? ¢Permiten cumplir con los programas y tareas encomendadas (necesidades de Operaciér)? sion No, gpor qué causas? Quien es el responsable de ordenar que se ejecuten las actividades?” En caso de realizar otras actividades. :quién las ordena y autoriza? En caso de no encontrarse el jefe inmediato, zquién lo puede realizar? ePara cum De que tip £Cuél es ol £8e lo prop No, .que le No, zoomo éCon que fr Para curpli Si, que tip: eA cuantas : eCuédles son ZExiste dupli Si, cqué cont EExiste duplc St, gcuales y Qué conflict La cuplcidac SI, ccudl esl No, Zcual esAPOYOS Para cumpir con sus tunciones requiere de apoyos de otras areas? {De qué tpo? {Cu es al Area que proporeiona al {Se lo proporcionan con oportunidad? No, eque le ocasiona? No, goémo resuelve esa falta de apoyo? {0 on qué frecuencia lo solicita? Para cumplir con sus funciones, zproporciona apoyes a otras areas? Si, zqué tipo de apoyo proporciona? sAcudntas area ‘Cudles on? DUPLICIDAD UBxiste dupicidad de funciones en la misma érea? Si, zqué conflictos ocasiona y cules funciones? ¢Existe dupicidad de funciones en otras éreas? Si, goudles y donde? {Qué contlictos ocasiona? 212 duplicidad de funciones s0 debe a que ol area no puede realizarlas’ Si, coudl es fa razén? No, Zoual es su opinion al respecto?72 ‘Se pusden eliminar funciones? si No AUBTORADE Sf, gouales? Se pueden transfer funciones? ro SI, gouales y aconde? ¢Permite la dupicidad que se dé el control interno? No No, epor qué? Osuetivos Uno de los posibles problemas o descontentos q desi une falta de definicién de los objetivos; esto provoca que no se pueda tener un: ;nacimiento de los abjetivos de la organizacién, lo cual puede deberse Ofrecemos un cuestionario que sirve para evaluar los objetivos. EXISTENCIA, Se han esiablecido objetivos para el are {Quien los establecio? {Cuil fue | método para el establecimiento de los objetivos? iParticipé el area en su establecimiento? si {Cuales ‘ueron las princpales razones de la seleccion de lcs objetivos? Los objetivos establecidos son congruentes con + Los do ja aireccion? a) + Los de ia subdireccicn? 3} ND + Los del departamento/ofici si 80 ‘+ Los de otros departamentos/oficinas? o LPor qué no se han establecido cbjetivos para el Area? Nadie le exige establecerte 2 Considera importante que se establezcan. N Es responsabilidad de otra area establecer los objetivos. si 80 ecuai? eDe qui Como Se har 2En qué ePor que 2Qué pr éSe han 2A quien eQuienn Qué mé ePor qué podieras utlizar en contabildad inde lo pride Evavuacion DEL DESARROLLO DEL SISTEMA dad, el Print En esta etapa del sistema se deberén auditar los programas, su disefo, el len- guaje utilizado, la interconexi6n entre los programas y las caracteristicas del »exista hardware empleado (total o parcial) para el desarrollo del sistema, ee Al evaluar un sistema de informacién se tendré presente que todo sistema dida de debe proporcionar informacién para planear, organizar y controlar de manera reso de eficaz y oportuna, asi como para reducir la duplicidad de datos y de reportes, y tener una mayor seguridad en la forma mas econdmica posible. De ese medo se contaré con los mejores elementos para una adecuada toma de decisiones.comsos SISTEMAS pistriBuIDos, INTERNET, ~~ COMUNICACION ENTRE OFICINAS Los sistemas distribuidos se 1 definir como el sistema en el cu WAN, PBX, LAN, Intern 2 implementar un sistema distribuide son: Mejora del tiempo de respuesta. Reduccidn de costos, etitud en la actuali uuna sola computadora :n crecimiento planeado. En lugar de grandes equipos qit mas faciles de adm remento de confianz ya que si falla el equipo principal no significa falle todo el sistema Compartir recursos Aumenta la satisfacc 5, ya quelas computadoras y el des rrollo pueden estar ma En bases de datos ar al evaluat un sistema distribuido s al calificado en todos los puntos del sis Consistencia de los datos. Mantenimiento del sistema. to de la informaci acidn de Ia ubicacidn planead réfico esperado en las lineas de comunich Es importante considerar las variables que af os (susceptibles de modificarse). + Tra rent © Este actu * Inte, lacie + Acc = Nec © Con = Opo * Fun * Esté = Mod * Jerat © Sege = Unic En» ma que } aislados, Se di gta nos Co Debido a frecuente ‘una persc ridades & de inforn de una ac la técnica iQué del presu del mism menteop porque & esta cualit porcionar Para | elanalista el cual se plan debe para eveltTransportables (que puedan ser usados en diferentes maquinas y en dife rentes plataformas), Cai Estructurados (las interacciones de sus componentes 0 subsistemas deben Ge PROVECTOS sctuar como un todo) Integrados (un solo objetivo). En él habrd sistemas que puedan ser Interre lacionados y no programas aislados. csibles (que estén disponibles}. el cual las Necesarios (que se pruebe su utilizacisn) ios progra- Comprensibles (que contengan todos los atributos) 1 Internet. Oportunos (que ests la informacién en el momento que se requier Funcionales (que proporcionen la informacién adecuada a cada nivel Estandar (que la informacion tenga la misma interpretacin en los distintos riveles} Medulares (facilidad para ser expandidos o reducidos). : Jerérquicos (por niveles funcionales). a Seguros (que sélo las personas autorizadas tengan acceso). Unicos (que no dupliquen informacisn quipos que @ play Rae cd En relaci6n con otros sistemas deben de estar interconectados de tal for- pong ma que permitan un sistema integral, y no una serie de programas o sistemas Se deben de tener sistemas que tengan la necesaria redundancia, pero que Sta no sea tan grande que provoque que el sistema sea lento o ineficiente, gnifica que syeldesa- Controt DE PROYECTOS duido son: Debido a las caracteristicas proplas del andlisis y de la programaciGn es muy recuente que la implantacién de los sistemas se retrase, y llega a suceder que ana persona trabaje varios afios en un sistema o bien que se presenten irregula- ridaces en las que los programadores realizan actividades ajenas a la direccién de informatica. Para poder controlar el avance de los sistemas, ya que se trata de una actividad intelectual de dificil evaluacién, se recomienda que se utilice fa técnica de administracién por proyectos para su adecuado contre Qué significa que un sistema sea liberado en el plazo establecido y dentro alin 2| prestipitesto? Pues sencillamente que el grado de control en el desarrollo de! mismo es el adecuado 0 tal vez el éptimo. Pero esto no se consigue gratuita mente o porque la experiencia o calidad del personal de desarrollo sea alta, sino porque existe un grado de control durante su desarrollo que permite obtener Sistemas nde apli minales, Fecunica: esta cualidad. Cabe preguntar aqui: ¢quién es cl elemento adecuado para proporcionar este grado de control? Bicaciécy Para poder tener una buena administraci6n por proyectos se requiere que cl analista 0 el programador y su jefe inmediato elaboren un plan de trabajo en elcual se especifiquen actividades, metas, personal participante y tiempos. Este n debe ser revisado periddicamente (semanal, mensual o bimestralmente) ra evaluar el avance respecto a lo programado.118 La estructura estiindar de la planeacién de proyectos debers incluir lidad de asignar fechas predefinidas de terminacién de cada tarea. Entre ests fechas debe estar el calendario de reuniones de revisién, las cuales tendrén d ferentes nivel de detalle. sarias las reunicnes a nivel téenico conll participacidn del personal especializada de 1a direccién de informatica, part definir la factibilidad de la solucién y los resultados planeados, Son muy im portantes las reuniones con los usuarios finales, para verificar la validez de as esultados esperados. La evaluacién de proyectos y su control puede realizarse de acuerdo am diferentes autores, A manera de ajemplo presentamos el 1. GExste una lisia de proyectos de sistema de procesamiento de informa: Cion y fechas programadas de implantacicn que puedan ser consideracos como plan maestro? 2. 2Esié relacionacio el plan maestro con un plan ger dopendencia? 3. {Ofrece el plan masstro la atencién de solicitudes urgentes de los usua Flos? 4, ¢Asigna el pian maestro un porcentaje del tiemao total de produscen al Feproceso 0 tallas de equipo? de desarrolo dela = Poner la lista de proyectos a corto y a largo plazos. ‘+ Poner una lista de sistemas en proceso de periodicidad y de usuarios 4Quién autoriza los proyectos? zCémo £0 asignan los recursos? 6 7. ECémo se estimen los tiempos de duracién? 8. ZQuién interviene en ja planeacion de los proyectos? 0. 7Cémo se calcula el presupuesto del proyecto? 2 Qué técnicas se usan en el control de los proyacios? {Quién asigna las prioridades? 2Cémo se asignan las prioridades? {Cémo se conivola el avance del proyecto? {Con qué pericdicidad se revisa el reporte de avant 4.Cémo se estima el rendimiento del personal? {Con qué frecuenca se estiman los costes del proyecto para compat ‘con lo prosupucstado? 17. 4Qué aociones correctivas se tomn en caso de desviaciones? 18. LQué pasos y tecnicas se siguen en la planeacion y control de las p tos? Enumérelos secuencialmente, del proyé Detorminacién de los abjotives. SeNelamiento de las polticas, Designacion del funcionario responsable det proyecto Intearacién del arupo de trabaio. Intagracién de un comté do dé Doserrollo do la irvestgacién Documentacién de la investigacion. Factiolidad de los sistemas. Analisis y valuacién de propuestas, Seleccién de equipos. (2 (a () O) 0) O) ( 19, ,Selle De andisis De program: ‘Observacior Incluir el que el depart ia, segin la s Como ejei calendario de sables del sist figura 4.12; de los informes d avance de pro Se deberd tran en proce cumple const Contr Y PROGI Elobjetivo de Gificaciones fu para su mane Las revisi gramacisn, y Etapa de andl objetivo del s las especifica Btapa de estu rrollando el n incluyendo e Etapa de dis l6gico; evalu omisiones, a que el costo que se detect el costo que: nar la descrip vista del usu l6gica de cacir la faci. ttre estas xdrén di 0 con la. ica, para ezde los tionario: fom {Se llevan a cabo revisiones periécicas de los sistemas para determinar si atin cumplen con los objetives para los cuales fueron disefiados? De andisis ©) no () De programacon O) n() ir el plazo estimado de acuerdo con los proyectos que se ti ue el departamento de informatica satisfaga las necesidades de la de fa segiin la situacién actual Como ejemplo de formato de control de proyectos véase la figura 48; del alendario de actividades véase las figuras 49 y 4.10; del reporte de los res} tables del sistema, véase la figura 4.11; del control de programadores, véase la igura 4.12; de planeacién de la programacién, véase las figuras 4.13 y 4.14; de bsinformes de avance de la programacién, véase la figura 4.15; de control de nce de programacién véase figuras 4.16 y 4.17. Se deberdn revisar tanto los proyectos terminados como los que se encue en proceso, para verificar si se ha cumplido con el plan de trabajo o si umple con su funcidn de medio de control. Controw DE DISENO DE SISTEMAS Y PROGRAMACION bjetivo de esto es asegurarse de que el sistema funcione conformea las espe ficaciones funcionales, a fin de que el usuario tenga la suficiente informacién para su manejo, operacién y aceplacién. Las revisiones se efecttian en forma paralela, desde el andlisis hasta la pro- Hapa de anilisis y definicién del problema. Identificar con claridad cudl es el bjetivo del sistema, eliminando inexactitudes, ambigiiedades y omisiones en Bapa de estudio de factibilidad. Elaborar el costo/ beneticio del sistema, desa rollando el modelo logico, hasta llegar a la decisiGn de elaborarlo o rechazarlo, incluyendo el estudio de factibilidad tSenico y las recomendaciones Etapa de disefio. Desarrollar los objetivos del sistema; desarrollar el modelo \égico; evaluar diferentes opciones de diseo, y descubrir errores, debilidades, omisiones, antes de iniciar la codificacién. Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento en, ue se detectan: si se descubren en el momento de programacion seré més alto el costo que si se detectan en la etapa de andlisis. El andlisis debers proporcionar la descripcién del funcionamiento del sistema funcional desde e! punto de vista del ustiario, indicando todas las interacciones del sistema, la descripcién ligica de cada dato, las estructuras que é&tos forman, el flujo de informacién120 | Figura 4.8. Control de proyectos ‘COORDINADOA © NOM,Figi — es ura 4.9. Calendario de actividades ANALISIS Y PROGRAMACIONFigura 4.10. Control de actividades del programador DIAGRAMA 7. COMPILACION 10, PRUEBAS VERIF, PRUEBAFigura 4.11 Reporte semanal de los responsables de sistemas METAS FUADAS | METAS ALCANZADAS| COMENTARIOS. RECURSOS HBS. PROGRAM, | HAS, ANALISIS a HAS. PRUEBAFigura 4.13. Planeacién de programacion PROGAAMADORsus AAO Figura 4.14. PROGRAMADOR — 1GRAMA_ Hoja de planeacién de actividades FECHA w. | prop | ona. | acru. FECH PROG NOM. Fa NUM. FasFigura 4.15. informe de avance de programacionFigura 4.16. Control de avance de programacion PROGRAMADO! PROGRAM! PROGRAM Lave ‘ACT viDADFigura 4.17. Hoja de planeacién de actividades y control de avance130 que ticne lug: | sistema. Asimismo, se capiroa como entrada 08 que serén realizados, las salidas que deberé Zu scapimne * porcionar, los contfoles que se efectuaran para cada variable y 1os proc 7 eves sistas —mientos aba Etapa de programacién. Buscar la clatidad, modalidad y verificar con base 5] Jas especificaciones. 4. Elapade implementacién y pruebas del sistema. Desarvollar la implementaci del sistema con datos de prueba y la carga de datos definitives, evaluandod 5. in 's especificaciones funcionales, verificando datos estadisticos, transicd los, programas y sistema tota . Esta funci6n tiene una gran importancia en el ciclo de evaluacidn de apl . ple las especificaciones del usuario, que se haya desarrollado dentro de lo . supuestado, que tenga los controles necesarios y que efectivamente cump! : Un cambio hecho a un sistema existente, como la creacién de uno nue 5 presupane necesariamente cambios en la forma de obtener la informacién yi i operaciones; se debe comprobar si mejora la exactitud de la informacicn : rada, sila obtencién de los roportes efectivamente reduce el tiempo d : osies mas completa. Se debe determinar cudnto afecta las actividades del p i sonal usuario o si aumenta o disminuye el personal de la organizaciGn, as{com . los cambios entre las interacciones entre los miembros de la organizacici ello, afin de saber si aumenta o disminuye el esfuerzo realizado y su reli 6.20 costo /beneficio para generar la informacion destinada a la toma de de¢ sistema Esm Como ejemplo de cuestionario para la evaluacién del disefo y prueba indole: s sistemas presentamos el siguiente amistad ¢ tema, res) “ grave da 1. Quiénes intervienen al dsefar un sistema? nn | (Qué * Usuario. FP ésteno he * Analista. J einstalad * Gerente de departamento, nes o nue + Administradores de bases de datos. Enel * Personal de comuri de sus roc * Aucitores internos. Elma + Asesores del desart Boe bles y técrizando médus aplica~ ddel bade {Que longuaje o lenguajes conocen os analistas? {Culntos analistas hay y qué experiencia tionen? 2Cémo se controla el trabajo de los analistas? Indique qué pasos se siguen en el desarrollo de un sistema: Definicidn del problema Desarrollo de objetivos del studio de factiblidad Estudio costovbeneticio Estudio de factiblidad técnico Definicion de tiempos y costo del proyecto Desarrallo dal modale Iégico Propuesta de diferentes alternatives Especiticaciones para el sistema fisico Especiticaciones de programas Disefio de impiementacién Disofio do carga de datos Coxificacién Programa de entrenamiento Estudio de la definicion Diseusién con el usuario Elaborar datoe de prueba Revision de resultados Documentacion ‘Someter resultados de prueba {Qué documentacién acompaia al programa cuando se entroga? Es muy frecuente que no se libere un sistema, esto es, que alguien continie déndole mantenimiento y que sea el tinico que lo conozca. Ello pu mistad con el usuario, falta de documentaciSn, mal andlisispreliminar del si tema, resistencia a cambiar a otro proyecto, o bien a una situacién que es muy grave dentro del érea de informatica: la aplicacién de “indispensables”, que 2Qué sucede respecto al mantenimiento omodificacién de un sistema cuando éste1no ha sido bien desarrollado (analizado, diseftado, programado, probado) einstalado? La respuesta es sencilla: necesitard cambios frecuentes por omisio- En el caso de sistemas, muchas organizaciones estan gastando cerca de 80 de sus recurses de cdmputo en mantenimientc El mantenimiento excesivo es consecuencia de falta de planeacién y control el ollo de sistemas; la planeacion debe contemplar los recursos dispori bles y técnicos apropiados para el desarrolle Diseno del sistemaPor su parte, el control debe tener como s nto deni del desarrollo de un sistema. Estas normas no pueden estar aisladas, prinel del contexto particular de la direccién de informatica (ambiente) y, segunda fl los lineamientos generales de la organizacién, para lo cual es necesacio cml con personal en desarrollo que posea suficiente experiencia en el establecini to de normas de desarrollo de sistemas. Estas mismas caracteristicas deben ei cen el personal de auditoria de sistema Es poco probable que un proyecto llegue a un final feliz cuandose he inal do sin éxito. Dificilmente estaremos controlando realmente el flujo de la informacidadl un sistema que desde su inicio ha sido mal analizado, mal disefiado, mal pi gramado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente es ocasionado pl un mal desarrollo, Esto se inicia desde que el usuario establece sus req mientos (en ocasiones sin saber qué desea) hasta la instalacién del sistema que se haya establecido un plan de prueba de éste para medir su gradadl confiabilidad en la operacién que se efectuaré Para verificar si existe esta situacion, se debe pedir a los analistas las at dades que estén desarrollando en el momento de la auditoria y evaluar sei efectuando actividades de mantenimiento 0 si se estén realizando nue yectos. En ambos casos se deberd evaluar el tiempo que llevan dentro deli mo sistema, la prioridad que se le asign6 y cémo esté el tiempo real en reac con el tiempo estimado en el plan maestro. EI que los analistas, los programadores, 0 unos y otros, ten todo momento a los sistemas en operacién puede ser un grave jonar fallas de seguridad, Instructivos DE OPERACION Debemos evaluar los instructivos de operacion de los sistemas para evitar qu los programadores tengan acceso a los sistemas en operacién. El contenido Jc los instructivos de operacién debers comp! agrama de flujo por cada programa. Diagrama particular de entrada-salida. Mensaje y su explicacin. Pardmetros y su explicacién Disofio de impresién de resultado: Cifras de control Formulas de verificacion, Observaciones. Instrucciones en caso de error. Calendario de proceso y resultados. Form, La finalidac cién de un ‘aceptacién sma. Para ell 1. Indicar Pro inicialn renciac forma} gar las En el ce de inci puestos Tambie debe cc Eour Laselecciss de numero dimiento ¢ sistema op) quete de pt cin de ini equipos (bi relaciGn co Enrtr Lasentrevi Ta situaciéna Forma DE IMPLANTACION ndo, de les ecctiee Sdn ee lt L la opera ciin de un sistema; esto comprende: prueba integral del sistema, adecuacién, dad es la de evaluar los trabajos que se realizan para ini contar Seti ‘axeptacién por parte del usuario, entrenamiento de los responsables del sistema, Para ello deben de considerarse los siguientes aspectos indicar cudles puntos se toman en cuenta para la prueba de un si cién de Prueba particular de cada p ial pro- Prueba por fase, validacién, actualizacién. ido por Pru Pruebas de seguridad y confidencialidad Otros (especificar), a en sistema paralelo, ado de n la implantaci6n se debe de analizar la forma en que se van a ctivi inicialmente los datos del sistema, locual puede ser por captura o por transfe- siestén rencia de informacién. Estos datos pueden ser de todo el sistema, 0 bien er fa nis gar las cifras de control © bien los datos acumulados. orma parcial. Lo que es necesario evaluar es la for acién 190 de una némina, los dias trabajados por los empleados 2 la focha Ejemplo: de iniciacién do! sistema, 0 bien sus acumulados en percapciones y en im: a 108 retenidos. También se debe de hacer un plan de trabajo para la implantacién, el cual debe contener las fechas en que se realizaran cada uno de los procesos, Eautro Y FACILIDADES DE PROGRAMACION én de unsiste a interaccisn aseleccién dela configu cSmputo incluy ae Toe numerosas y complejas decisiones de cardcter técnico. El impacto en el ren- miento de un sistema de computo debido a cambios trascendentales en e sistema o po, puede ser determinado por medio de un paquete de pruckas (b que haya sido elaborado para este fin en la direc cin de informatica. Es conveniente solicitar pruebas y comparaciones entre equipos (benchamark) para evaluar la situacién del equipo y del software er relacién con otros que se encuentran en el mercado. tivo o en el eq) Entrevistas A USUARIOS as entrevistas se d orn llevar a cabo para comparar los dates proporcionados y lasituacién de la direccién de informatica desde el punto de vista de los usuariosSu objeto es conocer la opinién que tienen los usuarios sobre los capiruco 4 Proporcionados, asi como la difusisn de las aplicaciones de la compu de los sistemas en operacién Las entrevistas se deberdn hacer, en caso de ser posible, a todos lai rios, o bien en forma aleatoria a algunos de ellos, tanto a los més impat como a los de menor importancia en cuanto al uso del equipo. Enrrevistas Aunque la entrevista es una de las fuentes de informacién més imporantyl saber cémo opera un sistema, no siempre tiene la efectividad que se de que en ocasiones las personas entrevistadas pueden ser presionadas x analistas de sistemas, 0 piensan que si se hacen algunos cambios, étcs pol afectar su trabajo. El gezente debe de hacer del conocimiento de los ent dos el propésito del estudio Una guia para la entrevista puede ser la siguiente: Prepérese para la entrevista estudiando los puestes de las person van a ser entrevistadas y sus funciones dentro de la organizacin. Preséntese y dé un panorama del motivo de la entrevista Comience con preguntas generales sobre las funciones, la org los métodos de trabaj Haga preguntas especificas sobre los procedimientos que puedan data No excet resultado el sefialamiento de mejoras. Ser facil Siga los temas tratados en la entrevista Ser confi ‘+ Limite el tomar notas a lo més relovante, para evitar distractores . Poderlos + Al final de la entrevista, ofrezca un resumen de la informacisn obteil Ser amig pregunte cémo se le podra dar seguimiento. Para que ‘una comunit Cc ma. En ella! io, las nece: UESTIONARIO sien dee En este que sera prc may la forn cuados, esta ‘quien tiene Identificar el grupo que va a ser evaluado, Esta eta El disefto de un cuestionario debe tener una adecuada preparacién, eau cidn, preevaluacién y evaluacién. Algunas guias generales son Escribir una introduccién clara, para quo el investigada conazca los eopecialista vos del estudio y el uso que se le dara a la informacion ogrs una a Determine que datos deben ser recopilados. trol satisfaci Flabore las preguntas con toda precisiGn (no haga preguntas en negali Para ve de tal forma que la persona que las responda lo pueda hacer con toda requeridos dad. Estructure las preguntas en forma logica y secuencial de tal forma ql Sera PFECISOnputadora y les ustia= importantes ante para desea, ya das por los 0s podrian entrovistay onas que : dar como sbrenida y , labora: jos objeti- oda clari- arma que ol iempo de respuesta y ce escritura seabreve (aunque se deben dejar abier- as las observaciones). Elimine todas aquellas preguntas que no tengan un sbetivo claro, 0 que sean improcedentes. Limite el numero de preguntas para evitar que sea demasiado el tiempo de contestacién y que se pierdla el interés de la persona implemente in cuestionario piloto, para evaluar quc todas las preguntas sean claras y que las respuestas sean las esperadas, Disefie e implemente un plan de recoleccién de datos Determine el métado de anslisis que sera usado. Distribuya los cuestionarios y déles seguimiento para obtener las respues: as deseadas; asimismo, analice los resultados. Procure que su cuestionario responda a las siguientes preguntas: (Qué dreas pueden ser mejoradas? + (Que informacion necesita que actualmente no tiene que es dificil de ‘obtener? Qué cucllos de botella ocurren durante el dia? ;Cémo se pueden li {Como se puede cambiar e! procedimiento para eliminarlos? cExiste un procedimiento que sea redundante 0 repetitive? ¢Cémo se podria climinar esta repeticién? Desde el punto de vista del usuario los sistemas deben: Cumplir con los requerimientos totales del usuario, Cubrir todos los controles necesarios, No exceder las estimaciones del presupuesto inicial, en tiempo y costo. Ser fécilmente modificables. Ser confiables y sepuros. Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible. Ser amigables. Para que un sistema cumpla con Ios requerimientos del ustrario se necesita ana comunicacién completa entre éste y el responsable del desarrollo del siste ma, En ella se deben definir claramente los elementos con que cuenta el usua- ‘io as necesidades del proceso de informacién y los requerimientos de infor: matin de salida, almacenada o improsa En esta misma etapa debié haberse definido la calidad de la informacién que serd procesada por la computadore, estableciéndose los riesgos de la mis- nay la forma de minimizarlos. Para ello se debieron definir los controles ade rads, estableciéndose ademés los niveles de acceso a la informacidn, es decir quién tiene privilegio de consultar, modificar o incluso borrar informectén. Esta etapa habra de ser cutidadosamente verificada por el auditor interno cialista en sistemas y por el auditor en informatica, para comprobar que se gr una adecuada comprensién de los requerimientos del usuario y un con ro) satisfactorio de informacisn Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y que se estén proporcionando en forma adecuads, cuando menos ENTREVISTAS ‘AUSUARIOS Requerimientos dol usuarioDescripcién de los servicios prestados. Criterios que utilizan los usuarios para evaluar el nivel del servicio pres capiuto 4 R ee Reparte periddico del uso y concepto del usuario sobre el servicio 58 SSTENAS Registro de Ios requerimientos planteados por el usuario. Tiempo de uso, Con esta informacién se puede comenzar a realizar Ia entrevista para minar si los servicios proporcionados y planeados por la direceién de in tica cubren las necesidades de informacién de la organizaci A continuacion se presenta una guia de cuestionario para aplican la entrevista con el usuari uo ta ai ° uitados esporadie A. Deficiente aPor qué? {Cubre sus necesidades de procesamiento? A. No las cubro 8. Parcialmente C. La mayor Por qué? nO considera la calidad del procesamiento que se le proporciona? Deficiente B. Aceptabo. s D. Excelente aPor qué? Hay dsponibilidad de pr is requerimiantos? A. Goneralmento no existe Ceasionalmente larmente D. Siempre viclos proporcionados? costo cel servicio proporcionade por el depariamento de pt B. Minimo C. Regular D. Adecuado E. No lo conoeti estado. He por a direc- bro de pro. 137 {Son entiegados con puntuaiidad los tr A. Nunca B. Rara ©. Ocasionaimenie USUARIOS D. Generaimente _E. Siempre aPor qué? de la presentacinn de los trabajos s A. Deficiente B. Aceptable C. Satistactoia __D. Excelente {Por qué? 10. {Qué piensa de la atencién brindada por el sonal de procesos electr6- A. Insatictactoria B, Satisfactoria C. Excelente ePor que? 2Qué piensa de la asesoria que so imparte sobre informatica? porciona 8. Es insufciente C. Satisfacto D. Excelente {Qué piensa de la seguridad en el manejo para su procesamiento? @ la informacion proporcionada A. Nule B. Riosgosa S D. Excelente E Lo ePor qué? de informac 30 ulliza los roportes quo le proporcionan {Cudles no u16. De aquellos que no utiliza, {por qué razon los recibe? 17, Qué eugorencias hace on cuanto a la oliminacién de reportes: modifeasill fusién, division de reporte? 18. 2Se cuenta con un manual del usuatio por sistema? 19. 2Es claro y objetivo e! manual del usuario? 20. ZQué opinién tiene sobre e! manual? nora: Pida ol manual dol usuario para evaluat. 21, gDe su departamento, quién Interviene en el aiseno de sistemas? 22. ¢fEn qué sistemas tiene actualmente su servicio de computacién? 23, {Qué sistemas desearia que se incluyeran? 24, Observaciones. Derechos DE AUTOR Y SECRETOS INDUSTRIALES En relaci6n con las disposiciones juridices adecuadas para la actividad inf matica, la Camara de Diputados y el Instituto Nacional de Estadistica, Geo fia e Informatica (INEGI) organizaron un fore de consulta sobre derecho et formatica. Como resultado, se recopilaron opiniones, propuestas y ex cias relacionadas con diversos aspectos, en parala informa dica de datos de los que destacan: las garankal n personal almacenada en bases de datos y la protecciénju récter estratégico; la tipificacién de delitos informéticos valor probatorio del documento electrdnico, y la proteccién de derechos dea tor para quienes desartollan programas para computadora. Dentro del concepto de propiedad intelectual, uno de los aspectos mis: portantes es el que se refiere a los derechos de autor, el cual involucra la p més importante del desarrollo intelectual de las personas, ya que se refiere al ramas literaria, cientifica, técnica, juridica, musical, pictdrica, escult6riea, a En primer vecho desu tr del publi “son, en cierto En segunc se vers esti literatura, elt ypais. Nadie d mismo modo yenalaelabo ‘mente remun En tercen ccesarias, por! faciles de obt En cuarte del pensamic derecho a dec yy derecho a¢ En quint ‘obras de los ‘mejor sus co ppatrimonio ¢ El progr en francés co dor, es unco ble por méq miento dela dos determi Cada ve obras acreec Ailtimas adic porar entre Ariiculo todo cre privilegi La legis catélogo dealas rqui- grifica, nematogratica, televisiva, asf como los programasde cimpu- bases de datos y los medios de comunicacisn, entre las mas importante: Enlamayoria de los paises existen leyes protectoras de las obras intelectuales que producen los poetas, los navelistas, los compositores, los pintores, los Y SECRETOS ‘ecultores, y de manera reciente se han protegido los programas de compu-_'NOUSTRIALES tadora y las bases de datos. Pero ademas de su legislacién domestica, las nacio celebran compromisos unas con otras para dar una proteccién intemacional jos autores. En general, se admite que son cinco las razone proteccidn. sn primer lugar, por una razcn de justica social: el autor debe obtener pro- echo desu trabajo, Los ingresos que perciba, deben estar en funcibn de la aco- Programa de gida del publico a sus obras y de sus condiciones de explotacién: las “regalias! computacién Sen, en cierto modo, los salarios de los trabajaclores intelectuales. En segundo, por una razén de desarrollo cultural; siesta protegido, el autor se verd estimulado para crear nuevas obras, enriqueciendo de esta manera la literatura, el teatro, la meisica, los programas de computacién elaborados en su pais. Nadie debe realizar un trabajo sin que sea debidamente remunerado; de! mismo modo, los que, por su trabajo, su inteligencia, su experiencia, contribu: yena la claboracisn de programas y sistemas de cémputo, deben de ser debida mente remunerades. in tercero, por una raz6n de orden econdmico; las inversiones que son ne cesarias, por ejemplo, para la elaboracién de un sistema de cémputo serin més féciles de obtener si existe una proteccidn efectiva Encuarto, por una razén de orden moral; al ser la obra la expresicn persona del pensamiento del autor, éste debe tener derecho a que se respete, es decir, derecho a dedidirsi puede ser reproducida o ejecutada.en puiblico, cuando y eémo, y derecho a oponerse a toda deformaciGn o mutilacin cuando se utiliza la obra. fn quinto lugar, por una razén de prestigio nacional: el conjunto de las obras de los autores de un pats refleja el alma de la nacién y permite conocer mejor sus costumbres, Sus Uusos, sus aspiraciones. Si la proteccion no existe, el patrimonio cultural serd escaso y no se desarrollaran las artes, programa de computacién, conocido en inglés como rogram y en francés como programe d ordinateur, y también llamado programa de ordena: dor, es un conjunto de instracciones que, cuando se incorpora a un soporte legi- ble por méquina, puede hacer que una maquina con capacidad para el trata miento de la informacién indique, realice o consiga una {uncidn, tarea o resulla- dos determinados. Cada vez se acepta con mayor frecuencia que los programas originales son bras acreedoras a la proteccién gue otorga el derecho de autor. Una de las tilimas adiciones de que fue objeto la precedente ley autoral, consistié en incor porar entre las obras protegidas a los programas de computacién Artie derecho de autor es el reconocimiento que hace el Estado a favor d jodo creador de obras literarias y artisticas provistas en ol articulo 13 de esta Le virtud del cual otorga su protecciéa para que cl autor gove de prerrogativa privilegios exclusives de caracter personal y petrimonial a legislacidn actual, ademas de conservar dichos programas en un similas catélogo de las obras para las que se reconocen los derechos de autor (art.140 LFDA), les dedica un capitulo es scial (capitulo IV del titulo IV) con re 1 ; : ; 1 ta Xi rojrom de ing | demas ob: por analo uedan considerarse obras literarias 0 a 83. Salvo pacto en contrario, la persona fisica 0 moral que comisione “a i fn Ley prc de computac wu docamentacién, cuando hayan sido cread u 10s empleados en el eercicio de sus funciones o siguiendo las instruct nes del empleador, corresponden a ést Como ina lo previsto por el articulo 33 de la presente Ley, el pla ‘Como excepcién a lo previsto en el articulo 27 base de dates conservara, aun después de la venta de efemplares de los mismos, mala ferecho de autorizar o prohitir el arrendamiento de dichos ejemplares. Este p a en si mismo un objeto esencial de la licencia de uso. cent 1 105. El usuario logitimo de un programa de computacién podré real sicion nero de copias que le autorice la ee jerechos de autor, o una sola copia de dicho programa siempre y cuxduccidn permanente 0 prov de se quedarsn p const proteccis exceptuados de daptacién. r Derechos de autor pe[. Comunicar 0 utilizar piblicamente una obra protegida por cualquier nd y de cualquier forma, sin la autorizacién previa y expresa del autor, de sus al on mos herederos o de! titular del derecho patmonial de autor; ous IL, Utilizar la imagen de tuna persona sin su autorizacion o la de sus casi biente IIL Produc, reproducit, almacenar, distribuir, transportar o comerciil videogramas o libros, protegidos por lo» -opias de obras, fonograma auitor © por los derechos conexos, sin la autorizacisn de los n erechud los términos de esta L TV. Ofrecer en venta, almacenar, transportar o poner en circulacisn obras tegidas por esta Ley que hayan sido det torizacion del titular del derecho de autor, V. Importar, vender, arrendar o realizar cualqui proteccién de un programa de computacién, VL Retransmnitis, jar, rep madas, modificadas o mutiladas sna acto que permita tenes oducir y difundir al pablico emisiones deo mos de radiodifusion y sin la autorizacin debida, y Vil. Usar, reproducir o explotar una reserva de derechos protegida o un grama de cmputo sin el consentimiento del ttula Articulo 232. Las infracciones en materia de comercio previstos en la prs Ley serdn sancionadas por el Instituto Mexicano dela Propiedad Industrial I. De cinco mil hasta di mil dias de salario minimo en los caso las fracciones I, IL, 1V, V, VIL, VII y IX del articulo anterio TI, De mil hasta cinco mil dias de salario minimo e fracciones Il y VI del articulo anterior, y ILL De quinientos hasta mil dias de sal refiere la fraccién X del articulo anterior. Se aplicars multa adicional de ral vigente por dia a quion persista Tos casos previsios jo minimo en los demés casosa sta quiinientos dfas de salario minima Ia infracci6n culo 233, Si cl infractor frese un editor, on quiet persona fisica o moral que Incrementarse hasta en anismo de radiodifusién, oc xxplote obras a escala comercial, la mula p un cincuenta por ciento respecto de as cantidades pre tas en el articulo anterior INTERNET El Internet, considerado como una coleccisn de redes interconectadas 0 com un conjunto de computadoras unidas entre si, no ha sido tomado en cuen entre las disposiciones que se acaban de mencionar. Para obtener acceso a Internet se requiere un equipo que ests al aleancedd publico en general, por lo que cualquier persona puede entrar a la red de res de comunicacion si contrata los servicios de un proveedor de acceso. Recientemente han surgido empresas proveedoras de servicios dedic a ofrecer en renta conexiones a Internet, ya sea de manera directa, indi parcial, siendo las propias empresas las que proporcionan el equipo necesii jener acceso. Los proveedores de servicios son los responsables de la informacién qu ponen al servicio de sus usuarios, ya que dichas compaiifas son encargadas d divulgar y controlar la informaciéa transmitida por Internet. Son mt Mlevadas a infracciGn + ‘ma de com ral de mod obra bajo « violacione: Tesen form dbblica de a utiliza la pt tes, por cu: nes que pa sobre tela artista pre! El deb polémicas trumento Internet. E disco duro Internet. E suna 0 vari ‘Cuand atribuye gt pués extra ‘cookies’, ¢ Esto p visitantes ) entre vari que permi electronic anunciant El coc todo en ¢ Iinea, la ce tode paga grabando Teéric wun service Las te ines han al verdadere ciGn de de do su nav den borra programa La sit determi de Internemedio, s legiti- ausaha- ciolizar chive dil as pro icos de rganis inpro- que se pod wenta e del edes Ieiadas a cabo en Internet para determinar cuales pucieran constituir alguna nractién a los derechos de autor. No abstante, se puede pensar que este siste- mnade comunicacién puede originar las siguientes violaciones: al derecho mo hl de modificar la obra; al derecho moral de inédito; al derecho de publicar la tbr bajo el propio nombre o de manera an6nima. También pueden producirse tilaciones a los derechos patrimoniales cuando se transmiten obras intelectua lisen forma de archives por medio de Internet, ya que se realiza una uiilizaciGn publica de una obra sin la remuneraci6n parael autor de la creacién intelectual También puede ser facilmente violado el derecho de autor cuando la ted Uiizala propia imagen, dela queson titulareslos artistas, intérpretes y ejecutary tes por cuanto que en Internet es posible encontrar un gran ntimero de image- ssque pueden ser reproducidas imprimiéndolas sobre papel, como carteles, 0 sobre tela para obtener prendas de vestir (como playeras con la imagen del atista preferido} El debate sobre la proteccién de los datos personales en Internet reabre la polémica sobre el papel desemperiado por los cookie, que sirven mas como ins- tumento de mercadoteenia que como medio para espiar a los usuarios de Intecnet, EI término cookie se aplica a un simple archivo de datos situado en el disco duro del computador de una persona 0 compaiia que ofrece servicios de Intemet. Fl cookie y su contenido son creados por wn servidor que almacena nao varias péginas Internet. ando un visitante accede a una pagina web por primera vez, elservidor le atribuye generalmente un ruimero de identificaci6n con atributos, el cookie. Des: pués extrae su nombre deun ficheroempleado en las plataformas Unix, los “magic cookies’, con lo que el visitante serd identificado en sus visitas ulteriores. Esto permite al propietario de la pagina analizar el comportamiento de sus vistantes y personalizar sus visitas, El desplazamiento delos usuarios de Internet entre varias paginas de una direceién se puede identificar a la perf gue permite “tomar nota” del recorrido utilizado mas a menudo. La direccion ekectténica podra ser modificada para satisfacer a la vez al visitante y a los anunciantes, que pueden colocar su publicidad en el lugar mas adectiado, I cookie sirve también pera grabar lo que ocurre en estas visitas, sobre todo en caso de compra. Si se elige, por ejemplo, un libro en una libreria en ine, la compra queda grabada en un cookie, antes de reaparecer en el momen c Civil tal como lo prescribe el articulo 1910 del Cc Consideraciones legales sobre el empleo de nombres de dominio frente al régimen de marcas Las posibilidades dela comunicacién via Internet son inagotables, comprendign dose dentro de ellas la posibilidad de ofertar productos y p enorme mercado potencial que acude a Jos sitios en la red, mediante la obten- Sn de un nombre de dominio que refiera a los usuarios de la red a un sitio isivo destinado a promover sus bienes y/o servicios. Los nombres de dominio son denominaciones tinicas asignadas a personas net un domicilio que pueda ser visitado por usuarios en la red. Fl estar servicios al gueder sistema de dominio interpreta los nombres como ntimeros y cada computadora conectada a la red cuenta con un ntimero tinico. La concesién de nombres de dominio es coordinada por un organismo llamado Network Solutions Inc, a través de InterNIC, quien trabaja en conjunto con administradores de dominio, coordinadores de redes y proveedores de servicio Je Intomet. Los nombres de dominio son registrados a través de una forma de solicitud estindar disponible en la red y el tinico criterio seguido para sion es el de verificar que no exista un nombre de dominio, idéntico, previamente asignado. Lo anterior, resulta necesario desde el punto de vista técnico, ya que no .c60 idnticas de sitios distintos en la red pueden enistir dos rutas d E] comercio de bienes y servicios a través de la red ha propiciado la con frontacién de los intereses de titulares de marcas registradas con duefios de sitios en la red que adoptan marcas propiedad de terceros como nombres de dominio, Desde fines de 1995 los gobiernos de los estados y listintas organizaciones internacionales han encaminado sus esfuerzos a balancear de manera adecua- por un lado, la necesidad de proteger los derechos de propiedad intelectual y, por otto, las innegables ventajas del acceso a ia informacién vfa Internet DEAUTOR YSECRETOS 149Mantiene el liderazgo de dicha empresa Network Solutions, Inc (NSI), que es cariuo a 720 operativo de la US National Science Foundation, autoridad que regula EVALUASION asignacién de dominios en Internet 3 sisten En el décimo Congreso de las Naciones Unidas sobre previsién del deli tratamiento de delincuentes celebrado en Viena del 10 al 17 de octubre del 208 1 llegda la conclusién sobre los delitos relacionados con las redes informétic Para combatir eficazmente los delitos cibernéticos es necesario un enfoque & ternacional coordinado a diferentes niveles. A nivel nacional, la investiga de esos delitos requiere personal, conocimientos especializados y procedimiag tos adecuados. Se alienta a los Estados a que consideren la posibilidad de cra mecanismos que permitan obtener de manera oportuna datos exactos de li sistemas y redes informaticas cuando estos datos se requieran como prucbaal los procedimientes judiciales. A nivel internacional, la investiga los delitos cibernéticos requiere una adecuacién oportuna, facilitada por la @ ordinacién entre los organismos nacionales de aplicacién de la ley y la insti cin de la autoridad legal pertinente.” ‘Como ejemplo de legislaciones relacionadas con informatica en Latinoamé ca tenemos el caso de Colombia: Poder Paiblico - Rama Legislative LEY 527 DE 1999 (agosto 18) por medio de la cual se define y reglamenta datos, del comercio electronico y de las firmas di des de certficacién y se dictan otras disposiciones. PARTET PARTE GENERAL CAPITULO 1. Disposiciones generales 4) Mensaje de datos, La informacisn generada, enviada, recibida, almacenadio comunicada por medios electrénicos, dpticos o similares, como pudieran entre otros, el Intercambio Electrénico de Datos (EDD, Internet. el correo els tri egrama, el tox oel telefax b) Comercio electrénico, Abarca las cuestiones suscltadas por toda relackin de indole comercial, sea 9 no contractual, estructurada a partir de la utiliza de uno o mas mensajes de datos o de cualquier otro medio similar. Las reladoe res de indole comercial comprenden, sin limitarse a ellas, las siguientes ope: raciones: toda operacién comercial de suministro o intorcambio de bien 0 servicios, todo acuerdo de distribucidn, toda operacién de representacisa 8 pandato comercial; todo tip clones financieras, bursétiles y de epi ros; de construccis b ultoria; de ingenieria; de concesion d licencias; todo acuerd cesién o explotacién de un servicio publ Je empresa conjunta y otras formas de cooperacisn industrial o comercial de transporte de mercancias o de pasajeros por via aérea, maritima y férrea, 0 parquees el regula la I delito y del 2006, foque in- stigacion de crea eficaz de or Ja co» 2 institu noaméri- nasjes de de segu piblico, Firma digital. Se entender como un valor numérico que se adhiere a an men saje de datos y que, wtilizando un procedimiento matemstico conocido, vince DERECHOS DE AUTOR. valor se ha obtenido exclusivamente con la clave del iniciador y que el mensa- 08 je inicial no ha sido moditicado después de efectuada la transformacisn; lado a la clave del iniciador y al texto del mensaje permite determinar que este Entidad de cortificacién. Es aquella persona que, autorizada conforme a la presente ley, esté facultade pata emitir certficados en relacién con las firmas igitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronoldgico de la transmisién y recepcisn de mensajes de datos, asi como umplir otras funciones relativas a las comunicaciones basadas en las firmas digitales, Intercambio ElectrOnico de Datos (EDN. La transmisién electrnica de dates de una computadora a otra, que esté estructurada bajo normas téenicas conve nidas al efecto Sistema de informacién. Se entenderé todo sistema ulilizado pata gener iar, recibir, archivar o procesar de alguna otra forma mensajes de datos, CAPITULO II. Aplicacién de los requisitos juridicos de los mensajes de datos tHculo 80, Integridad de un mensaje de datos, wulo 10. Admisibilidad y fuerza probatona de los mensajes de datos. ulo 11. Criterio para valorar probatoriamente un mensaje de datos 2. Conservacién de los mensajes de datos y documentos. CAPITULO IIL. Comunicacién de los mensajes de datos 17. Presuncién del origen de un mensaje de datos rticulo 18. Concordancia del mensaje de datos enviado con el mensaje de recibido, Articulo 19. Mensajes de dates duplicados. slo 20. Acuse de recibo. fculo 21. Presuncién de recepcién, de un mensaje de datos. PARTE IL COMERCIO ELECTRONICO EN MATERIA DE TRANSPORTE DE MERCANCIAS PARTE Ill FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION CAPITULO I. Firmas digitales Artieulo 28. Atributos jaridices de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquélla tenia la intencisn de acrecitar ese mensaje de datos y de ser vinculado con el contenido del Pa de una firma digital tendré la misma fuerza y efectos que el uso de una firma manuscrita, si aquélia incorpora los siguientes atributos:captruto 4 DE LOS SISTENAS Es tinica a la persona que la usa. 2 Es susceptible de ser verificada Esta bajo el control exclusivo de la persona que la usa Esta ligada a la informacién o mensaje, de tal manera que si éstes son ca dos, la firma digital es invalidada. Esta conforme a las reglamentaciones adoptadas por el Gobierno Na 10, CAPITULO II. Entidades de certificacién CAPITULO IIL, Certificados CAPETULO IV. Suscriptores de firmas digitales CAPITULO V. Superintendencia de Industria y Comercio DECRETO NUMERO 1747 DE 2000 ft 4 septiembre 11) i or e! cual se regiamenta parcialmente la Ley 527 de 1999, en lo relacionad A s de ceriificacién, los certificados y las firmas digitales. CAPITULO I. Aspectos generales loo, Definiciones. Para ef eto see os del presente Iniciador: persona que actuando por su cuenta, 9 en cu e de dates, Suscriptor: persona a cuyo nombre se expide un certificado. Repositorio: sistema de informacién utilizado para almacenary re tifieados y otra informacién relacionada con los mismor Clave privada: valor o valores numéricos que, utilizados conjuntamente oll tun procedimiento matematico conocido, sirven para generar la firma digi de un mensaje de dat Clave pablics: valor 0 al numéricos que son utilizados para veriicall sda del iniciade Certificado en relacién con las fi tales: mensaje de datos fir por la entidad de certficacicin que identifica, tanto ala entidad de cerificac swam lpcexriide cosmo, suser ex, ¥.coenienge le dave pabiies de dats Estampado cronolégico: mensaje de datos firmado por una entidad cacién que sirve para verificar que otro mensaje de datos no ha cambiad tun periodo que comienza en la fecha y hora en que se presta el servici termina en la fecha n que prestador firma del mensaje d: rampade, pierde va datos dee dez Entidad de certificacién cerrada: entidad que ofrece ser entidades de cortificacién sélo para e crip . ios propios intercambio de mensajes entre la ad y¢ semuneraci6n por elloEntidad de certificacidn abierta: la que ofrece servicios propios de las des de certficacisn, tales que: n) Su uso no se limita al intercamibio de mensaies entre la entidad y el st Eka b) Recibe remuneracién por 6 onal Declaracién de Practicas de Certificackén (DPC): menifestacién de la entidad de certficacion sobre las politicas y procedimventos que aplica para la presta- de sus servicios CAPITULO IL. De las entidades de certificacién Y certificados digitales Seccidn I. De las entidades de certificaciin cervadé Seccidin IK, De las en de corificaciin aber Ariiculo 60. Declaracién de Préctcas de Certifcacidn (DPC). La Superintendencia de industria y Comercio definiré el cantenido de la Declaraci6n de Practicas de Cert ficacién, DPC, la cual debers incluir, al menos lo siguiente: Identificacion de la entidad de cerificacisn, Politica de mangjo de los certificados. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben cbservar los terceros, Manejo de a informacién stministrada por los suscriptores, Garantias que ofrece para el cumplimiento de las obligaciones que se deri de sus actividades, Limites de responsabilidad por el ejercicio de su actividad arifas de expedicién y revocacidn de cettificados. Procedlimientos de seguridad para e! manejo de los siguientes eventos: ) Cuando la seguridad de la clave privada de Ia entidad de certificacién se ha visto comprometida b) Cuando al sistema de seguridad de la entidad de certificacion ha sido vul ) Cuando se presenten fallas en el sistema de la entidad de cectficacién que comp! n la prestacidn del servicio; #) Cuando los sistemas de cifrado pierclan vigencia por no ofrecer el nivel di eifcar seguridad contratados por el suscriptor 9, El plan de contingencia encaminado a garantizar la continuidad del servicio rmado ). Modelos y minutas de los contratas que utilizaran con Tos usuario .cién i Politica de manejo de ottos servicios que fuere a prestar, detallando sus condi- aa slo 11. Informe de Auditoxia, lo 12, Requisitos de las firmas auditoras jlo 14, Certificaciones resiprocas. El reconocimiento de los certificados di ado en por el ‘nmas digitales emitidos por entiledes de cerlficacicn extranjeras, realizado por intidades de certificacién autorizadas para tal efecto en Colombia, se hard consta in un certificado expedido por estas tiltimas. ‘culo 15. Uso dol cectticado digitalSeccén ID Berd lever un registro de pbc, eos que contenge todos ls celcados en CAPITULO IIL Facultades de la Superintendencia de Industria y Comercio Articulo 27. Estindares. La Superintendencia de Industria y Comercio determina os estindares admisibles con respecto a les cuales las entidades de cert deberdn acreditar el cumplimiento do los requisites relativas a! a generacién de pares de claves. [a generacin de firma: Los certificades. Los sistemas de ciftado, Las comuni < La seguridad de los sistemas de informacion y de las instalaciones, o Cualquier otro aspecto que redunde en la contiabilidad y seguridad d cettificados, o de la informacién que repose en la entidad de certificacién rminacin de los estindares admisibles, Ia euperintendencia debe ellos que tengan carécler internacional y que esién vigentes tecnol gicamente o los desarrollados por el organismo nacional de normalizacén o ue sean ampliamente reconocidos para los propésitos perseguides. En todo cas deberd tener en cuenta su aplicabilidad a la luz de la legislacisn vigeEvaluacion del proceso “ist W geitute, Ge datos y de los equipos ens de coémputo Osuetivos Al finalizar este capitulo, usted: = Explicara por qué los datos de las organizaciones son valiosos recursos y or qué es necesario tener esirictos controles sobre ellos, Conocera los distintos tipos de control que deben ejercerse sobre los d 1 de los de las organizaciones. 3 . Desonbiré las reglas relativas al orden y cuidado que deben odservarse en el centro de cémputo. |. Explicard la importancia de evaluar el grado de eficiencia del sistema opera tivo para salisfacer las necesidades de una instalacion. |. Conocerd les puntos principales que deberdn ser evaluados en los equipos de cémputo de una organizacién, tos adebe- exnolé- no losControues son intangibk los demés inventarios de la organizaci6n, por lo cual se debe tener presente: de los recursos més valiosos de las organizaciones, y, aungie dog ,,necesitan ser controlades y auditados con el mismo cui + La responsabilidad de los datos es compartida conjuntamente por algut ‘ancion determinada de la organizacion y Ja direcci6a de informatica * Un problema que se debe considerar es el que se origina por la duplicidié dc los datos, el cual consiste en poser determi 40s posibles (principalmente en el caso de redes y banco de datos) yle lidad de su actualizacién y consistencia. bern ten los propietarios 0 usu responsa © Losda wna clasificacién estandar y un mecanismo de der ificacién que permita detectar duplicidad y redundancia dentro de unt plicacién y de todas las aplicaciones en general. © Sed jonar los elementos de los datos con las bases de datos done estan almacenados, asi como los reportes y grupos de procesos donde sm En todo permitan la mejor operacién de los sistemas. Estas politicas son evaluadas de ante el transcurso de la auditorfa, por lo que s6lo son mencionadas en et seccién, pero se encuentran estudiadas en detalle en diferentes capitulos nntro de informatica se debe contar con una serie de poli Entre las politicas de operacién del computadorseene rntran las siguients Politicas de respaldos a informacién deber nal o diarigy los siguientes puntos: | Los respaldos de salizarse mensual, sem se deben observ + Contar con politicas formales por escrito para efectuar los respaldos man suales, semanales y diarios de la informaci6n. * Todos los medios magnéticos de respaldo no deben estar almacensdsa un mismo lugar, sunque se te lie porle usd uber umn con pencia grave (neendio, wandoclll no se tendria el riesgo de perder parte 0 la totalidad de la informacicn J que se cuenta en otto lug, sapere | + Debe tenerse acceso restringido al érea cn donde se tienen almace | edios magnétices, tanto de operacién como de respaldo. * Se deben tener idlentificadas las cintas por fecha, conce tae lbeinian a nido de los datos de registro y los responsables de efectuarlos. es conveniente elaborar y actualizar una relacis © Sedebe contar con una politica que indique los procedimientos a seguiret ‘cuanto al almacenamiento de las cintas de respaldo en un lugar diferent y I punt dos | caso form dad. elab. gue mest bas, dos } lacio cont dels I que | resp. acce: act Poli Las debi traci versyeaungque: uidado que resente: por alguna’ uplicidad fos 0 usua- datos) y la wdeiden- tro de una xos donde donde son) dos men- nados en indacién) tivo, conte erente al de la ubicacién del site, en donde se pueda tener acceso las 24 horas del dia ydonde se designen responsables de mantener actualizada la informacion Vital de la organizacién. H hecho de no contar con estas politicas de respaldo que contemplen Ios puntos anteriores puede provocar que no se sigan los procedimientos adecuados para realizar los respaldos, que haya riesgo de pérdida de informacién en caso de alguna contingencie y no tener una disponibilidad inmediata de la in- jomaciGn de respaldo para recuperar la informacisn y conseguir una continui- Se debe elaborar por escrito una serie de politicas y procedimientos para la elabocacién de los respaldos, contemplando los pasos a seguir, la informacion ue debe de ser respaldada, segtin el periodo correspondiente (mensual, se astral o anual), asi como al personal asignado para cada caso. También se debe especificar la forma de etiquetacion, nomenclatura, pruebas, rotacién de cintas, los nombres de los responsables de efectiar los respaldos y las cintas que serén designadas para ser reaguardedas fuera de las insta lacones. También se debe tener una relacién por escrito de la ubicacion y el ontenido de las cintas, que debe ser entregada al responsable de la seguridad del site, asf como al gerente del érea de informatica Dentro de las politicas de respaldo, se debe contar con un punto que indique los procedimientos a seguir en cuanto al almacenamiento de las cintas de rspaldo en un lugar diferente al de la ubicacién del site, donde se pueda ten cso las 24 horas del dia y donde se designen responsabilidades de mantener ictualizada la informaci6n vital de la onganizacion. Politicas y procedimientos las politicas existentes deben estar actualizadas en todas las actividades, estar ebidamente documentadas y sor dal conocimiento del personal No contar con politicas y procedimientos actualizados que rijan la adminis tacidn del area de sistemas podria ocasionar + Administracién inadecuada de la operacién. + Relajamiento en el cumplimiento de las obligaciones del personal. + Inadecuada divisién de labores. Las politicas y procedimientos deben incluir los siguientes puntos: Seguridad de la informacion (fisica y Iigica’ Adquisicién de hardware y software Operacién de centro de eémputo, Es recomendable que se documenten todos los procedimientos de las diversas actividades. Estes, al igual que las normas y politicas, se manifestaran porescrito en mantiales de operacicn Politicas para el computadorAA proceder deesta manera, e obtendrian ls siguientes ventas legaby: sinraae por pag DEL PROCE supervision, y se fomenta la eficiencia del personal en sus funciones. provee: voeuoe eauroe " Drccedimientos originales crtados = * * Se precisa la responsabilidad individual de los participantes en una oper Beane Ademés, dichas politi conocimiento del personal Sy procedimientos a desarrollar, debersn ser ° Act que ws ‘ est Politica de revisién de bitacora * En (soporte técnico) del Deben existir bitécoras de operacién en las que se registren los procesos realizs ¢ a 0s resultados de su ejecucisn, la concurrencia de errores, los procesos fe ‘ jos en el equipo y la manera en que concluyeron. tie No contar con una politica de revisién de las biticoras de operacién delas 2 Carecer de bases para el rastreo de errores de procesamiento. fe! Falta de parémetros de evaluacién respecto al funcionamionto del equipoy dol departamento d + Ausencia de controles en cuanto a registro de seguimiento de prob * Falta de pardmetros para determinar las causas de una falla significativaen el sistom sistemas, Politic y dar seguimiento a su correccién, + Dependencia del personal para solucién de errores. aa * Loserrores pueden presentarse en forma recurrente y no ser detectados li een cual causa pérdidas de tiempo en la correccién Y Proce * Puede presentarse una perdida de tiempo al no programarse adecuedatrn eben te las funciones, lo que tiene como consecuencia una confusién en el éea Bos Es necesario establecer una politica de revisiGn de las bitécores de opera * Ele cin, asignando responsables por proceso funcion, Jo que traeria como benef un Para la adquisiciGn, mantenimiento y desarrollo de sistemas se deben con. tar siderar: Sec tad + De Control de las licencias del software ey tan Todas las organizaciones deben de tener un inventario de las licencias dels * No ware actualizado, que asegure que toda la paqueteria y software en generalsonsulta y_ Yuna opera del ign de los clequipoy blemas. ificativa en stados, lo cuadamen- en dl drea realizar de opera- mo benefi leben con. 1s del soft ‘eneral sea legal y esté amparada por una licencia, para evitar posibles problemas legales porpago de derechos de uso y explotacién del software Al no contar con las licencias correspondientes, no se le puede pooveedorel servicio de soporte o actualizacién de software, ya que par nimero de serie instelado dentro de la licencia, el cual se encuentra clasificade er una base de datos dentro de los equipos del proveedor. Por tal motivo es muy ficil detectar si la licencia es pirata 0 ya vencic Por ello, es muy importante + Actualizar el inventario de hardware y software, sefialando los paquetes que se tienen instalados por méquina y verificando que cada uno de éstos sté amparado por una licencia in caso de no contar con las licencias, es necesario contactar al proveedor dol software o del paquete en cuestién para actualizarlas o adquirielas lo mas pronto posible laborar un plan verificador de software, para revisar que no se instale paqueteria pirat Designar a una persona responsable del drea de informatica para guardar y tener actualizadas las licencias. omover un plan de concientizacién entre el personal con el fin de que nc instale paqueteria pirata en las maquinas propiedad de la empresa, y aplicar sanciones al personal que no acate estas medidas. Politicas de seguridad fisica del site stalaciones del site deben ser las adecuadas para asegurar el buen funcic into y la continuidad necesaria en las operaciones. Deben existir politicas que describan los aspectos de seguridad fisica minimos que ddeben de regir dentro del departamento de sistemas. Por tal motivo, durante la visita a las instalaciones se deben observar los * El acceso al site debe estar restringido por una puerta, la cual contara cor una chapa adecuada de s ad, 0 con un dispositivo electrénico de con trol de acceso. Se deben tener dispositivos adecuados de deteccién de humo, si como aspersores de calor para la extincion de incendios, ademas de cor ar con extintores icbe tener proteceién en los servidores para que no puedan ser desconec tados accidental o intencionalmente y provocar asi serios dafios al equipo. Deben existir documentos o carteles que indiquen las normas de seguridad minima que deben de observarse al estar en el site El personal operativo no debe permitir el acceso a personal ajeno al depar tamento. No debe tenerse papel para impresién dentro del site, el cual es un objete potencial de algiin desastre conTRoLEs: Cuidado del sitecartruto 5 (os equipos que se utilizan para la limpieza dentro del site no deben estar directamente conectados a la toma de corriente on la que esta tados los equipos de cémputo y los serv Los equipos eléctricos, interruptores o de comunicacidn, no deben e ance de cualquier persona Tay que elaborar politicas formales de seguridad y disefiar las caracterié as para el site, por lo que se recomienda lo siguiente Seguridad fisica del centro de cémputo. Disefiar un lugar exclusive ado para los equipos centrales. Implementar dispositivos adecuados la prevencién y extinciGn de incendios que garanticen la salvaguard: equipo e informacién que se encuentre dentro del sit Acceso al centro de cémputo, El acceso al centro de cémputo deb restringido por llaves electrénicas, chapas magnéticas, etc.; ademés, es ‘que se implemente algiin procedimiento de control de acceso pa al no autorizado a las instal mismo, se debe de real una distribucién correcta de las politicas y procedimientos de segurid fisica, con el objetivo de que el personal conozca las responsabilida: acciones que les corresponde, y con el fin de promover el cumplimien Jos objetivos y metas Plan de contingencias. Debe existir un plan de contingencias que permita g los sistema igan funcionando en caso dealgtin siniestro en caso de algun: huelga. Debe verificarse que se cumplan con todas las caracteristicas que u ncias pued asegurar que se est preparado para enfrentar imprevistos y desast documento de esta importancia requiere. Un plan de conti cualquier indole, asegurando una continuidad en la operacién de los mas de eémputo, Fjemplos de contingencias pueden ser: incendios, torme tas, inundaciones y actos vandalicos, los cuales pueden ocasionar una dist nucién en el aprovechamiento de la computadora por un periodo considers: ble. Con la importancia y dependencia que se tiene de la computadora, u perdida de informacion © la imposibilidad potencial para procesarla orig da por tuna contingencia puede ser muy significativa. Se sugiere la revisi 1n de contingencias para que contenga los siguientes controle: .cidn de funciones y entrenamiento de personal. tividades a seguir en caso de contingencias. Estudio detallado de mas probabilidad de ocurrir y los impacto: Jas que, de acuerdo con la zona geogréfica, tiene jue cada una de éstas ado d radio de tiempo e restablecimiento de op de consecuencias potenciales que se desprenderian por la inope tom identificar la aplicaciones y archivos de datos criticos para la ope cién de los servicios computacionales, asi como determinar las pra dades de restablecimiento de éstos. Se deben incluir especificacior de hardware y software, tiempo de procesamiento, programa, archi documentacin de programas y operacién. Pore de lo: dato) E gund tas, y se pu cribir tura ¢ (capt rio, p: dad ¢no debon de ben estar al ‘scaracteristi jusivo y ade- pciados para aguarda del debe estar dede realizar nridad sebilidades y tplimiento de de ss permita que Jealguna isticas que un ncas puede Uesastres de. Ade los siste- ¢o considera- yutadora, una sarlaorigina- réfica, tienen de &tas oca- o de opera mo un estti= tla inoperati- tar las priori eificaciones ima, archivos Proveer los lineamientos necesarios para el restablecimiento de ope: clones a partir de los respaldos de informacién, Desarrollo de pruebas periédicas del plan de contingencia, asi como el establecimiento de niveles de autoridad y responsabi jidades pa -2 ga rantizar el buen resultado de la prueba. Establecer procedimientos y responsabilidades para mantener el plan de contingencias. Procedi una co} nientos 0 planes ngencia, Establecimiento de pr ara la reconstruccién de los site después de -edimientos manuales de operacién por parte de los usuarios para restablecer operaciones mientra ¢ recuperan lo: Lineamientos para garantizar que dicho plan sea probado y actualizado periédicamente El plan de contingencias, revisado y aprobado, debe ser distribuido a cada una de las dreas de la divisién de informstica de la empresa y sexs dado a cono- era todo el personal que labora en ellas. Controt DE DATOS FUENTE Y MANEJO DE CIFRAS DE CONTROL a mayorfa de los delitos por computadora son cometidos por modificaciones de datos fuente al Suprimir u omitir datos + Alterar datos, Duplicar procesos Esto es de suma importancia en el caso de sistemas en linea, en los que los usuarios son los responsables de la captura y modificacién de Ia informacién. Por ello, se debe tener un adecuado control con fialamiento de responsables delos datos (uno de los usuarios debe ser el tinico responsable de determinade daio), con claves de acceso de acuerdo a niveles. Hl primer nive es en el que se pueden hacer tinicamente consultas; el se gundo nivel es aquel en el que se puede hacer cap el tercer nivel es aquel en el que se puede hace se pueden realizar bajas, 13, modificaciones y consul: todo lo anterior y ademas Nota: Debido a que se denomina de diferentes formas la actividad de trans: cribir la informacién del dato fuente tur o captacién, por consideraria co la computadora, sugerimos lam iiderandola como sinénimo de dig capturista, digitalizadora), anteriormente la re a de info la cap- jtalizar sponsabilidad de captura era del \ente responsabilidad de! usta rrores y consecuentemente la necesi sus controles. Ahora existen diversas forma: matica; en la actualidad es principal i, pero esto no elimina la posibilidad di d de audit de captura de la 161ponsable del control deesta informacion y aseguirese que es confiable y oporta ( primero que debemos evaluar es la entrada de la informacién 1 Io cual se puede utilizar el siguiente cuestionario, el cual esté di ra en el area de informatica, independientemente de la captura {Existen normas que definan el contenido de los instructivos de cap datos? 2. Indique el porcentaje de datos que se reciten en el drea de castactin y We que si contiene su insttuctivo correspondiente, En caso de que el u sea el responsable de la captura, debe existr un manual del usuaro, 0 ayuda (holp) dentro del sistoma, Indique el contenido de la orden de trabajo que se recibe en e! drea de cap. iacién de datos del area de Informatica Numero de folio. (_ ) Fecha y nora de entrega de Fecha y hora de recepcion, documentos y registros Nombre del documento. (_ ) captades. Volumen aproximado de (_ ) Clave del capturista registros. ( } Namero(s) de formato(s) Clave de cargo (niimero de Nombre, departamento, usuario cuonta), (| Nombre’ det responsabio. Numero de registros (_ | Fecha estmada de ent indique cual(es) control(es) interno(s) existe(n) en el rea de caplacién oe datos: Firmas de autorizacién, ( } Verifcacion de cifras de Recepcién de trabajos. ( ) control de entrada con las Revisién del documento fuente de salida lidad, veriicacién de Control de trabajos strasados. fl mmpleioe, ot.) (_ ) Avance de trabajos. Proridados de captaciin (_ ) Vesificacién Produccién de trabejo. (_ } Errores por trabajo. Cesto mensual por frabejo. (_) Gorreccion de errores. Enirega de trabajos, LExiste un programa de trabajo ce captacién de datos? 9 alabora ese programa para cada tumo? Diariamonto ( Mensuaimente ( La elaboracion del programa de trabajo se hace: lnternamente ( Se les sefiala a los usuatios las prioridades ( Se les sefiala a ios usuatios la posible fecha de entrega ( 11. Se 12. Se 13. 188 14. 1S 15. Pai©) GE programa de trabajo es congruente con el calendario de producci6n? si() n0() ConTROLES D) Indique el contenido del programa de trabajo de capiacién. Nombre de usvario. (_ ) Hora programada de entrega. ( ) Cave de trabajo. (.) Youmen estimado de Fecha programada de rogisiros por trabajo. O) recepcién. (__) Fecha programada de Hora programada de recepcién. (_) enirege. a) ) £.QU8 accion(es) se toma(n) sel trabajo programado no se reche a tierrpo? Cuando Ie carga de trabajo supera la capacicad instalada se requiere: Tiempo extra. ( ) Se subcontrata. ( ) eQuién controla las entradas de documentos fuerte? En qué forma las controla? Qué cifras de control se obtianen? Sistema Cifras que se Observaciones, obtienen {Qué documentos de entrada se tenen? Sistemas Documentos Depto. que Periodicidad —_Observaciones proporciona ‘el documento So anota qué persone recibe Ia informacién y ou volumen’ Se anota a qué capturista se entreca la informacién, ol volumen y ia hora? Se vetiica ta calidad de la informacion recibida para su captura? si 80 2Se revisan las elfras de control antes de enviarlas a captura? éPara aquetios procesos que no traigan ciftas de control se han establecido Citerios a fin de asegurar que la informacicn es completa y valida?164 ito que indique cémo tratar la informaciéa invd 16. ;Existe un procedimiento ‘orresponden las eras de contol ida? (Sin firma, ilegible, no 17. En caso de resguardo de informacion de entrada en sistemas, ,s° custodian en un lugar seguro? No 18. Si se queda en el departamento de sistemas, zpor cudnto tiempo se guard? 19. ,Exiate un regietro de anemaliae en la informacién dobido 2 mala cod! 20. ,Existe una relacién completa ve distibucion de listados, 2n la cual se ing Quen personas, secuencia y sistemas a los que pertenecen? s ‘cuerden con los documer as de las validaciones 24, {Se aprovecha adecuadamente el papel de Ios listados inservibles? | 25. i Existe un registro de los documentos que entran a captura? 26. So hace un reporte diario, semanal o mensual de captura? hace un reporte datio, semanal ¢ menaual de anomal cidn de entrada? No 28. 1Se lleva un control de la produccicn por person 29. .Quién revisa este control? jones esoritas para capturar cada aplicacién o, en su defec ion de programas? sno 80. ;Existen instruc Vease en la figura 5.1 un ejemplo del formato de mesa de con redes y comunicacién son evaluados en Ia seccicin 1 sistemas en line sistemas, y esta evaluacién debe ser confirmada con el usuario. Conrtrot DE OPERACION 2 eficiencia y el costo de la operacién de un sistema de cémputo se ven fu menteafectados por la calidad e integridad de la documentacion requerida para,tempo se gi fn a cual se indi 3s documen: Idos fos listados? tewvibtes? & informa. 0, en su defec- Figura 5.1. Mesa de control 165capiruco s DEL PROCESO Sistemas en lote el proceso en la computadora. Los instructivos de operacién proporcio normales y anormales del procesamiento, y sila documentacién es in o inadecuada lo obliga a improvisar o suspender los procesos mientrasini ga lo conducente, generando probablemente errores, reprocesos, despets datos, Debemos de considerar la operacidn de los sistemas en linea, deben de estar residentes en todo momento, con su correspondiente sist comunicacién, mientras que en cuanto a los sistemas en lote (batcl) 3 planear y programar su operacion. Para lograr esto existen instalaciones tienen equipos de computacién y comunicacién dedicados exclusi (batch), El objetivo del siguiente ejemplo de cuestionario es sefialar los procedin tos e instructivos formales de operacién de sistemas en lote (batch estandarizacién y evaluar el cumplimiento de los mismos. 1. EExisten procedimiontos formales para la eperacién dal te? 2Es0s procedimiontos describen detalladamente tanto la organizacién dell Sala de maquinas como la operacién dal sistema de cémputo? LEstén actualizados los procedimiertos? s Indique la periodicidad de le actualizacién de los procecimientos: Semestial O) Anval a) Cada vez que haya cambio de equipo () Observe la forma en que esté operando la maquina, zcémo se distrby les trabajos en lotes? {Cudl es el limite de trabajos en lotes y si se tiene ur ‘adecuado orden y control en los procesos por lotes? so Indique el contenido de los instructivos de operacién para cada apicecién Identifcacién del sistema, Periodicidad y duracin de la corrida Especificacion de formas especiales. Etiquetas de archivos de salida, nombre del archivo légico y fechas de creacion y expiracién. Inetrustivo sobre materiales de entrada y ealida Altos programados y las acciones requeridas. Instructivos especiticos para los operadores en caso de falla del equipo. Puntos de reinicio, procedimientos de recuperacisn para praceso de gran duracién 0 criterios.‘oporcionan all en situaciones entras investi vsamiento de ea, los cuales wee sistema de procedimien- de eémou acion de ta fistrbuyon Hentiticacion de todos los dispostivos de am la maquina a ser usados. () — contaoces Especificaciones de resultados (cifras de control, recistros de salide por archivo, etc.) a) Insiructives de plan de contingencia, O) Insiructives de procedimientos de recuperactén. ( 7, “Existen érdenes de proceso para cada corrida en computadora (incluyendo pruetas, compilaciones y produccion)? si! 10 Son suficientemente claras para los operadores estas 6rdenes? 9. “Existe una estandarizacién de las érdenes de proceso? sin 10. {Existe un control que asegure la justiicacon de los procesos en el computador? (Que los procesos que se estén trabaiando estén autotizados ten: ‘gan una razin de ser procesados, si 10 1 éC5mo programan los operadores los trabajo dentro de la sala de méqui Primero que entra, primero que sale. ) Se respetan las prioridades. Cy Otra (espacifique). 12. gLos retrasos o incumplimiento del programa de operacién diarla, se revisa y analiza? si 10 13, ,Quién revisa este reporte en su caso? 14, «Como controtan los operadores las versiones correcias y cémo se ident Can las que son de prusba? 15. Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de maquinas, tomando on cuonta equipo y oporador, mediante una inspeccién visual, y describa sus observaciones. 16. ZExisten procedimientos escritos para la recuperacién del sistema en caso de falas? si Ho 17, {Como se actiia en cas0 de erroros? 18. LExisten instrucciones especiticas para cada proceso, con las indicaciones Pertinentes? si 10 19. {Se tienen procedimiontos especificos que indiquen al operador qué hacer cuando un programa intertumpe su ejecucién u otras dificultades en pro: eso? sl 10cartrutos 0. ,Puede el oparador mocificar los datos de entrada? @Se prohibe a analistas y otro personal ajeno al area la operacion de la ma Se prohibe al operador modificar informacion de archivos o bibfoteca de programas? ° 2EI operador realiza funciones de mantenimriento diario en dispositivos que asi lo requieran? as No zLas intervencionas da los operadores Son muy numerosas? Se limitan a los mensajes ese Oras? (especitique) ’Se tiene un conto! adecuado eobre los sitemas que estén en oper {Coma se controlan los trabajos dentro de a sala de maqui {Se rota al personal del control de informacién con los operadores, proc fando un entrenamiento cnuzado y evitando la manipulacién traudulonta de {Cuantan los operadores con una bitécora para mantener registros de cua jules evento y accién tomada por ellos? Por maqui rita manualmente eNetifcan que exssta un regis re el tiempo de paros y mantenimienio o instelaciones de softwar ft 0. zExisten procedimientos para evitar las corridas de programas no autor: sie un plan definido para el cambio de tumno de operacion que evie el descontrol y discontinuidad de ta operacion’ aw LNerifican que sea razonable el plan para coordiner el cambio de tuo? Se hacen inspecciones periédicas de muestre0? Enuncie los procedimientos mencionados en el inciso anterior.5. 4Se contiola estriclamente el acceso a la documentacn de aplicaciones mutinarias? eCbmo? eVentican que los privilegios del operador se restrinjan a aquellos que le son asignados 2 la clasificacion de seguridad de operador? {Existon procodiriontes formalise que 99 deben observar antes de que se hayan acepiado en operacién, sistemas nuevos ¢ modificaciones a les ris mos? si f. {Estos procedimientos incluyen corridas an paralela da los sistemas modii= cados con las versiones antorioros? no 8. ;Durante cuanto tempo? {Qué precauciones se toman durante el periods de impiantacién? Quien da la eprobacién formal cuando las corridas de prueba de un sist nodilicado © nuevo estén acordes con los instructivos de operacién? Mencione qué instructivos se proporcionan @ las personas que intervienen fen fa operacicn rutinaria de un sistema. Indique qué tipo de cortroles se tieneh sobre los archivos magnétices de los archivos de datos, que aseguren la utlizacion de los datos precisos en los procesos correspcndieni @Existe un lugar para archivar las bitdcoras del sistema del equipo de cSmpu: Indique cémo esta organizedo este Por fecha Por fecha y hora Por turno de operacion Otros la ullizacién sistométioa do las bitdooras? 7. zAdems de las mencionadas anteriormente, qué otras funciones 0 areas se encuentran en la sala de méquines actualmente?{Se verifica que se lleve un registro de utlizacion de! equipo diario, sistem cartruto s fn linea y Daten, de tal manera que se pueda medir la eficrencia del uso EVALUAGON ealed sw aencs €Se tiene un invertario actualizado dol total de los equips, de cu locals 4C5mo se controlan los procesos en linea? {Se tenen seguros sobre todos los equipos? ¢Con qué compania? Solictar pSlizas de seguros y verificar tipo de seguro y montos, 4C5mo se controlan las laves de acceso (password)? Se debe verificar que cl instructive 4 n contenga los siguinil datos: Diagramas Mensajes y su explicacisn. Pardmetros y su explicaci6n, Férmulas de veriticacién, Observaciones ¢ instrucciones en caso de error Calendario de proceso y de entrega de resultados, Controt DE SALIDA ofrece el siguiente cuestionario en relacién con el control de salida: So tonon copias de los archives magnéticos en otros locales? Donde se encuentran esos locales? Qué seguridad fisica so tiene en esos locales? {Qué contidencialidad se tiene en es0s locales?temas 189 del caliza- guientes 5, ,Quién entrege los documentos de salda de los procesos en lotes (batch)? CONTROLES 6. En qué forma se entregen? 7. 2Qué documentos? Sistema Documentos Aquién se Feriodicidad_Observaciones entregan 8. 2Qué controlas se tienen? Sistema Centro! Observaciones Comentarios 9. 2Se tiene un responsable (usuario) de la informacion de cada sistema en linea y en lotes (batch)? 3} NO 10. uCémo se alienden solicitudes de Informacién a ottos usuarios de! mismo sistema? 11. @8e dostruye la informacion no utiizada, o bien qué ge hace con alla? Destruye ( ) Vende { ) Tira ( ) Otro ( Controt DE ASIGNACION DE TRABAJO Esta parte se relaciona con la direccién de las operaciones de la computadora en terminos de la eficiencia y satisfacciOn de! usuario. Esta seccidn debe ser com- parada con la opinién del usuario, La funcisn clave del personal de cargas de méquina esta relacionada con el logro eficiente y efectivo de varios aspect + Satisfacer las necesidades de tiempo del usuaric Ser compatible con los programas de recepcién y transcripcién de datos Permitir niveles efectivos de utilizacidn de los equipos y sistemas de opera~ Volver la utilizacién de los equipos en linea. Entregar a tiempo y cozrectamente los procesos en lotes ({uteh) La experiencia muestra que los mejores resultadas se logran en organiza siones que utilizan sistemas formales de programacién de actividades, los cua kes intentan balancear los factores y medir resultados. Se deberan evaluar los procedimientos de programacién de cargasde méqui- na para determinar sie ha considerado atenuar les picos de los procesos generados por cierres mensuales, o bien los picos de los sistemas en linea, y poder6 de trabajo de lotes dades de procesos en linea, con su Opera la sala de méquinas sobre la base de programas de trabajo? s periodos que ebarcan los programas ds Indique el puesto o departamento responsable de la elaboracién de los pro gramas do trabajo. Se comunica oportunamente a los usuarios | las modificaciones a los prog mas de trabajo? : na de trabajo de la maquina, Fallas de la maquina? Soporte de os usuarios? recuencia se asigna la computad Porcentaje, para una cola api sspecifique los elementos que sirven para programar las a programacién di tisfaga en forma eficaz al usua Asimismo, se tendré cuidado con los controle Co DE! Los di compu podria tica bir de aln didn. (borra A‘ vos ps macis U eficics El magn 1\dad a cuestio. onal, que Conrrot DEMEDIOS DE ALMACENAMIENTO MASIVO Los dispositivos de almacenamiento representan, para cualquier centro de mputo, archivos extremadamente importantes, cuya pérdida parcial o total podria tener repercusiones muy serias, no sdlo en ia unidad de informati no en la dependencia en la cual se presta servicio. Una direccién de informé: administrada debe tener perfectamente protegidos estos dispositivos acenamiento, ademas de mantener registros sisteméticos de la utiliza: cidn de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacién), principalmente en el caso de las cintas, Ademas, se deben tener perfectamente identificados fisicamente los archi vos para reducir la posibilidad de utilizacién errdnea o destruccién de la infor- Un manejo adecuado de estos ‘4 una operacin mé eficiente y segura, mejorando ademas los tiempos de proce El siguiente cuestionario puede ser extensivo a todo tipo de almacenamiento magnético; como ejemplo de formato para el anillisis de archivos, véase fi 1. Los locales asignados a alm 10s magnéticos tienen: Aire acendicionado. ) Proteccién contra el fuego (Genalar qué tivo de proteccion) Ceradura especal Otro UTienen el almacén de archives pr ‘autemitica contra el fuego? (Sefialar qué tipo.) Qué inforrracion minima contiene et inventario de la cintoteca y la discoteca? Numero de setie 0 carrate Nombre o clave del usuario. Fecha de generacién del archivo. Fecha de oxpiracién del archivo Numero do volumen. Otras. 4, 2Se verifican con frecuencia la validez de los inventarios de los archivos5. En caso de exist discrepancia enire archivos y su contenido, se resualvel y explican salistactoiamente las discrepancias? {Qué tan frecuentes son estas discropancias? Se tienen procedimientos que permitan la reconstrucei6n de un archive et Cinta 0 disco, el cual fue inadvertidamente destruido? sno £60 tionon identificados los archivos con informacién confidencial y sec ta con claves de acceso 4como? {Existe un control estncto de las copies de estos archivos? si Qué medio se utliza para almacanarios?: Otto (especitique). Esie almacen esta stuado En el mismo edificio de la direceién de informatica En otro lugar. ‘Ambos, {82 borran los archivos de los disposttivos de almacenamiento, cuarde st desechan éstos? se eCudles? 2Se certfica la destruccién 0 baja de Ios archivos dafectuosos? SP registran como parte del inveniario los nuevos elementos magné que se reciben en la biblioteca? ss N £80 iene un responsable, por turno, de los erchivos magnéticos? 4S realizan auditorias periédicas a los medios de almacenamiento? Con qué perodiodaa?‘even cuen- to 17. ,Qué medidas se toman en el caso de extravio de algun dispositive de alma- is ‘enamienio? 18 [Se restringe el acceso a los lugares asignados para guardar los disposi vos de almacenamiento, a cargo ce personal autcrizado? © si_—No {Se tiene relacién del personal autorizado para firmar la salida de archivos confidenciales? a No 20. {Existe un procedimiento para registrar los archivos que se prestan y la fe cha en que se devolveran? 5 NO {Se lleva control sobre los archives prestados por la instalacién? En caso de préstamo, icon qué informacién se documentan? FORMATO PARA PRESTAMO Nombre de la institucién a quien se hace el préstamo. Fecha de recepcién Cy Fecha en que se debe devolver 0) Archivos que contiene Formatos. Cifras ce control Cédigo de grabacién Nombre del responsable que los presto Otros Indique qué procedimionto se sigue en el reemplazo de las eintas que con: tienen los archivos maestros. 4, El eintotecario controla la cinta maestia anterior proviondo eu uso incor to 0 su eliminacion prer ature? aM {La operacion de reemplazo es controlada por el cintotecerio? 26. {Se ulliza la poltica de conservacion de archivos hijo-padre-abuelo? 27. En los proc para recuperacion de archivos? ‘I 16 que mangjan archives en linea, Zexiston procedimiontos 28, :Estos procedimientos los concen los operadores? so 2Cémo mnsigue?29. {Con qué periodicidad so rovisan estos procecimiontos? Mensual ( Ani ( Semestral ( Ota ( 30. iExiste un responsable en caso de falla? 31. Exolique qué politicas se siguen para la obtencién de a 32, yExiste un procediriento para el manejo de la informacion de la cintotec 3. 4Lo conece ¥ lo sigue ol cintotecario? om {Se distrbuyen en forma periodica entre los jetes de sistemas intormes archivos para que liberen los dispositivos de almacenamiento? Con qué frecuer El objetivo del cuestionario es evaluar la forma como se administran il dispositivos de almacenamiento basico de la direccién. Al seftalar archi magnéticos nos referimos a cintas, discos, disquetes, CD, DVD y cualquier a medio de almacenamiento masivo de informacién Controt DE MANTENIMIENTO Existen basicamente tres tipos de contrato de mantenimiento. El contra mantenimiento total, que incluye el mantenimiento correctivo y preventiv cual a su vez puede dividirse en aquel que incluye las partes dentro del cont toy el que no las incluye. El contrato que incluye refacciones es propiamen como un seguro, ya que en caso de descompostura el proveedor debe prop cionar las partes sin costo alguno. Este tipo de contrato es normalmente el ma caro, pero se deja al proveedor la responsabilidad total del mantenimie excepcidn de daiios por negligencia en la utilizacién de los equipos. Estet de mantenimiento normalmente se emplea en equipos grandes.) I segundo tipo de mantenimiento es “por llamada”, en el cual se llama proveedor en caso de descompostura y éste cobra de acuerdo a una tarifayd tiempo que se requiera para componerla (casi todos los proveedores incluy en la cotizacién de compostura el tiempo de trasiado de su oficina a donde encuentre el equipo y viceversa), Este tipo de mantenimiento no incluye rela El tere: aquel en el una cotizac refacciones tadoras pet Aleval poseselqu con detalle fividad y a) tos que sea Para p control sob Para ev pueden uti 1. Espe dat c EK sister . e8e! |. CEM Silo: 2ay6 Solic pore ex autoan los jer otro to de 0, el contr amente sropor fento a ama al fa y al refac: aquel P qui tercer tipo de antenimiento es el que se conoce como “en b enelcual el cliente lleva a las oficinas del proveedor el equipo, y éste hace tizacidn de acuerdo con el tiempo necesario para su compostuira, mas las, jones (este tipo de mantenimiento puede set el adecuado para compu: tsloras personales), Alevaluar el manter niento debemos primero analizar cual de los tres ti talle que las cléusulas estén perfectamer haya penalizacién en caso de incump lefinidas, que no exista subje imiento, ps ‘a poder exigir el cumplimiento del contrato se debe tener un esiricto control sobre las fallas, la frecuencia y el tiempo de reparaci6n. control que se tiene sobre el mantenimiento y Tas fallas se » evaluat el “1 utilizar los siguientes cuestionario ue el tivo de contrato de mantenimiento que se tiene (scliciter copia to) 2Existe un programa de mantenimiento preventivo para cada dispositive del Sistema de cémputo? Ss MO Se lleva a cabo tal programa? 2Existen tiempos de respuesta y de compostura estipulados en los contratos? aN Silos tiempos de reparacién son superiores a los estioulados en el conirato. qué eecionas correctivas se toman para ajustarios a lo convenido? Solicite el plan de mantenimiento preventivo, que dabe ser proporcionado por el proveedor. {GExlsto algtin tipo do mantonimionto preventive que pueda dar el operador fautorizado por el proveedor? eer) ecual? {Céme se netiican las falias? 7Cémo se les da sequimiento? CONTROL DE FALLAS. 2Se mantionen registros actualizados de las fallas de los dispositivos del sistema de cémputo y servicios auxiiares (aire acondicionaco, sistema de fenergia inintertumpida, etoétora)? as No (oleitar los registros de los Litimos seis meses.) de mantenimiento dir los contratos y revisar a evitar contraFigura 5.2. Andlisis de archivos cariruto s FUNGION ostauiros || NOMBRE DEL ARCHIVO. r TIPO DE A DESCRIPCON. EN VIGOR DESDE 3 CLASFICADO POR DOCUMENTOS 0 INFORMES A 0 RECOPLO evs Eva PAGINA Pn, dad to pr laci que trolWUT tess) Es posible identiticar por medio de estos registros los problemas més fecurrentes 0 las fallas mayores que afectan en forma determinante el lurcionamiento de la sala de méquinas? st {0omo se identiican? Tiempo de respuesta promedio que se ha tenido con el contrato de manteni miento (tiempo de respuesta es el periodo entre la notficacién o aviso de la existencia de un problema y la llegada del personal técnico que realizé les reparaciones del equipo). {Cuéles son las actitudes de las ingenieros de servicio que mantienen sus oquipoc? \Cuél considera que es la competencia técnica de los ingenieros de servicio ‘que dan manterimiento a sus equipes? Por qué? {.Cuél es e1 tiempo promedio que toma investigar y resover el problema? {.Cuél es la disporibilidad de retaccionas necesarias para dar manterimrion to a sus equipos? {Cua ¢s la efectividad del proveedor para resolver sus problemas de mante himiento? 8. gOuales son las mecidas de mantenimiento prevento realzadas al dar ser- Vicio a su equipo? {.0ul es on goneral la calidas de los servicios ofrecidos bajo su “Contrato de mantenimiento"? Evaluacién del mantenimiento Cuando se evaltia la capacidad de los equipos, no se debe olvidar que la capac ividades de mantenimien- insta- dad bruta disponible se debera disminuir por las a 0 preventivo, fallas internas y externas no previstas, y mantenimiento ¢ nnta a evaluar, mediante los controles El enfog ta seccién se ori n del sistema de cémputo. Un con- que se tengan en la direccién, la utilizaci ol adecuado permitird sustentar sélidamente cualquier solicitud de expan sién de la configuracién presente. Se debe tener control de las fallas y del100 mantenimicnto no sélo del equipo central, sino del total de los equipoail DecoMuTS —_ 1. Indique los registros que se llevan de la utlizacién del sistema de cémputé (especificando la pariodici Tiempo de prueba de programas, Tiempo dedicado a produccién. Tiempo dedicado a mantenimionto correctivo del sistema operativo. ( } Tiempo dedicado a mantenimiento preventivo. Tiempo de falla de los dispositivos del sistema de cémputo. Tiempo de uso do cada unidad de cinta Tiompo ocioso. Tiempo de uso de impresora. Tiempo de reproceso, Tiempo de la computadora utiizado en demostraciones. Tiempo de falla por servicios auxiiares 2. Anote los siguiontes datos: Tiempo promedio de operaciones por dia. hs = 5 Tiempo promedio de respuesta para programas de produccion Numero promedio al dia que se consideran como heras de produccién. Numero promedio de trabajos en cola de espera de ejecucion en nor. 6 Nimero promadio de trabajos an cola de espera de impresién en horas pico Numero promedio de trabajos de ejecucién en horas pico. Evaltie la relacién de usc de imprasoras respecto a la mezcla de trabajo Determine si se debe: u + Incrementar el nimero de impresoras. t * Restaurar las cargas de trabajo. ( * Utilizar otro tipo de salidas (diferentes a impresoras). ( a * Utlizar impresora de mayor velocidad r + ZEs excesiva el volumen de impresion?. 8 10 En caso de contestar si, sefiale las causes: Reportes muy largos. i 9 Reportes no utlizados. Procesos en lote que deben est Otros (ospocificar cusles)pos, in- cin y + Espocificar el existen procasos que debon cambiarse de hatch a linea 0 4. Eval le utlizacion del sistema de computo a través de las siguientes rela: Siel tiempo ocioso excede el 35%, El equipo insialado puede estar sobrado de cepacidad para la carga de t bio actual Siel tiempo de martenimiento al equipo sobrepasa el 5% So doherd exigi al proveedor que mejore la calidad de soporte de manteni miente ‘cl tiempo do falla dol sietoma do odmputo os mayor al 5%. Se lo deberd exigir la reparacién y dieminucién do los tiempos do falla al proveedar Nora: Estos son solamente ejemplos de factores que pueden obtenerse, los ‘cuales pueden ser ampliacos, y los porcentajes dependeran det ipo de equ po y la experiencia que se tenga. (Esta seccién esta orientada a revisar las acciones que tealiza la dreccén de informatica para evaluer, martener y auditar los sistemas implantados.) Indiquo qué tipo de evaluscisn s9 realiza a los sistemas implantados: Ninguna, ) De otjetivos. ) Econémica. ) De oportunidad. ) De beneficios ) De opetacién, i Otros (espactticar). ( ) 6. Indique qué instruciivos se elaboran: Interno del sistema (help). ( ) De captacion Dol usuario. () De operacién. Otros (especiticer). () 2QUé porcentaje del personal de programacion se dedica a dar manteni- Tmiento a los sistemas existentas? ZEl responsable del Area de produccin formula las estadisticas de utiiza- Sién de equivos, mostranda la frecuencia de fallas de los mismos y las esta isticas de produccién por eplcacisn? (Espocfique cémo se realiza y dé un ejemplo.) ai (NO. En que porcentaje se cumplen los calendarios de produccicn? Existen:rogramadores que utilizan el equipo o el tiempo para aplicacionesiig ana: a la organizacién EVALUAGION Personal que utiliza la computadora para trabajos personales, trabsjo EL Phoceso autorizados o juegos. Programas que, por estar mal elaborados (generalmente cuando set grandes archivos), degradan la maquina, Degradacién del equipo por allas en equipos periféricos. La computadal puede considerarse como un proceso en linea el cual, al fallaralguna dell unidades principales (memoria, unidad central), no permite la utilizacié del resto del equipo. Pero existen unidades secundarias (cintas, impresoras terminales, discos) que al fallar provocan que se vea reducida la posibii dad de utilizacién del equipo L Eiempio Si tenemes una moresora y s2 descompone, un alto porcentaje de utiizacion Gel equipo se ve aismruida, aunque é! proveador eonsidere que solo una unidad secuncara fue la dafade, Lo m’smo sucece s\ se tienen dos unidades Ge disco y se descompore una (en caso de tener sélo una unidad de discos, fa fala os total). Para controlar este tipo de degradadién se puede tener un reporte que Dispositivo que integra la configuracién del equipo (por ejemplo, cinta disco, impresora). Niimero del dispositivo; si tenemos por ejemplo 2 cintas, se anota 1 y2, dependiendo de cual fue la que fall6. Tipo de falla. Se anotaré una buena descripciOn del tipo de falla, paralo cual se puede elaborar un catélogo. Porcentaje de degradacién, Este dato deberd ser anotade por lo ponsables de la direccion de informatica basdndose en la experiencia y en las implicaciones que tenga en el sistema total (por ejemplo, sis tienen 2 unidades de disco la degradacién es del 50%, si se descompo: nen las doses el 100% y si se tiene slo una, también el 100%; en el caso de la impresora si se tiene s6lo una puede ser el 66.5%, ete. Nuimero de horas que duré la falla, desde el momento de la descom: postura hasta el momento en que la entregue reparada el proveedor Orpen EN EL CENTRO DE COMPUTO Una direcci6n de informatica bien administrada debe tener y observar reglas relativas al orden y cuidado de la sala de maquinas. Los dispositivos del sis ma de cémputo y los archivos magnéticos pueden ser dafiados si se manejanen orma inadecuada, lo que puede traducirse en pérdidas irreparables de infor maci6n 0 en costos muy elevados en la reconstruccién de archivos. Por ello, se deben revisar las disposiciones y reglamentos que coadyuven al mantenimien: Cuidado de ta to del orden dentro de la sala de miquinas sala de méquinas EI siguiente cuestionario ayuda a evaluar el orden que existe en Ia sala de méquinas.b wade las lizacién posibili tes para lo los res compo- relcaso 183 Indique la periodicidad con que se hace la impieza de la sala de méquinas y de la cdmara de aire que co encuentra absjo del piso falsoy los ductos de aire: EVALUACION Semanaimente ) —— Quinconaimente ) 7 Mensualmente. ) Bimestralmente. ) No hay programa, ) Otro (especifique). ) Existe un lugar asignade a las cintas y discos magneéticos? sino 4Se tiene asignado un lugar especifico para papeleria y utensiios de trabajo? si NO Son funcionales los muebles asignados para la cintoteca y discoteca? si ND 5. 2Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de su uso, las cintas, los discos magnéticos, la papeleria, tes. tora? tN Inaque fa periocicidad con que se limpian las unidades de cinta Al cambio de tuo ) Cada semana i ( o) tra (especticar. (_) 2Existen prohibiciones para tumar, tomar alimentos y refrescos en la sala de maquinas? sD ¢Se cuenta con earteles en lugares visiblee que reauerdon dicha prohibicién? 9, {Se tiene restringida la operacién del sistema de cémputo unicamente al | personal especializado de la direcoi6n de informética? si ND 10. Mencione los casos on que personal ajeno al departamento de operacién opera el sisiema de computo, 11. Evalie los niveles de iluminacién y nuido y sefale cuando estén fuera del rango estipulade on los estindares. Evavuacion DE LA CONFIGURACION DEL SISTEMA DE COMPUTO Los objetivos son evaluar la configuracisn actual, tomando en consideracién las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el tivo satisface las necesidades de la instalaciGn y revisar las cual el sistema oppoliticas seguidas por la unidad de informatica en la conservacién desu pre Esta seccidn estd orientada a Evaluar posibles cambios en el hardware a fin de nivelar el sistema de jl cémputo (computadoras, unidadles periféricas, redes, sistemas de comuti: jl caci6n) con la carga de trabajo actual, o de comparar la capacidad instalad con los planes de desarrollo a mediano y largo plazos. Evaluar las posibilidades de modificar el equipo para reducir ¢ ien el tiempo de proceso Evaluar la utilizacién de los diferentes dispositivos periféricos. Ofrecemos el siguiente cuestionario, que sirve para hacer esas evaluacione 1. De acuerdo con ios tiempos de utiizacién de cada dspositivo del sister compute, Zexiste equipo: Con poco uso? Ocioso? Capacicad eupetior a la n Desciiba cual es: ZEI equipo mencionado en el inc'so anterior puede reemplazarse por oto mas rapido y de menor costo? si 4EI sisterra de cémputo tiene capacidad de red? So utiliza la capacicad de rod? 5. En caso negativo, exponga los motives por los cuales no se utiliza la red. Especifique qué sistema de comunicacién se tiene, {Cudntas terminales, computadoras personales, periéricas, se tianan ectadas al sistema de cémputo? Cantidad Tipo £Se ha investigado si el tempo de respuesta satisface a los us Indique si existen politicas para aplicaciones soportadas en red Tamaio maximo de programas Namero de archives. Tamafio maximo para cada archivo. Nivel de acceso, 2Elalmacenamiento maximo del sistema de cmputo es suficiente para der el proceso por lotes y en linea?progra- P 185 2. Vertigo @ oxsincia de un pronto de cagas 0 rabaes quo $e elect tan cart el fo, cone objeto de quo se prevean os pcos en las cavans cones de abajo yee puedan dstibuadecuadarione exes Sons ado 2,480 tone un pregiama de taboo aio? {Semona? Arua? predcin? 6, Vertque quo so contomplon dentro de planes de producin peodon do 6. Ventique que se dsponga de espaco y tiempo para realizar cortidas especiales, corridas de prueba de sistemas en desarrolio y corridas que deben ropetirse. Verifique que se tengan definides el espacio y el tiempo para of respaldo de la informecién. &, Vernifique at equipo de comunicacion, caracteristicas, numero de usuarios y tiempo de respuasta que se cbtiene en un proceso normal, 9. {Se tiene una programacién de| mantenimiento previo? si ko 10. {Se tiene un plan definido de respakle de la informacion? sino 11, £Se revisa el cumplimiento de los programas de produccién establecidas? 12. Verfique que se tenga conocimionto do los préximos sistemas que entr {en produccién, con abjeto de que se programe su incorporacién. 18. .Quién revisa estos planes? 14. {Se cumplen generaimonto ostos planos? Si no, oxplique por qué 15, :Se repiten con frecuencia corridas por anomalias? si Noaa 16. Indique los estandares de produccion que se tienen en 1a direccion o& CAPITULO s Iniormatica, /ALUAGIC Por tipo de equipo ( ) Por plataforma ( ) ZExisten indices de error aceptab les para cada tipo de 18. gCuindo fue la titima revisién de eacs esténdares? 19. ZI personal de captacion conoce esos estandares? 20. Indique Jos medios utiizados para medi’ la eficiencia de los operadores de captacién. Estadisticas Estadisticas mensuales de produccién por trabajo y por operador. menéualos do error por trabajo y por cpereder. Estadisticas mensuales de produccién por trabajo. Estadisticas mensuales de error por tabalo Estadisticas de procuccisn por trabajo y operador por hora. ( Otros (espectican, 21. Indique qué medida(s) se toma(n) cuando el randimianto para un trabejo oslt abajo del estandar: Se coneulta @ los operadores sobre les problemas observados nel trabajo, Se capacitan los operadores sobre el manejo del equipo. fe Imparten platicas sobre el trabajo. ) Otros. ) 22. 2Se tienen i esténdar? ntivos para el personal que tenga un rendimiento superior al 23. ,Cada cudndo se imparton curses de capacitacién sobre la operacién ds equipo? 24. 2Se registran los tiempos de respuesta a las solicitudes? sino 25. ,Cual es el tiempo de respuesta promedio? Puntos A EVALUAR EN LOS EQUIPOS | | equipo que se adqui esquet dentro de una organ ia de adquisicidn de toda la oF -quiipes zacién debe de cumplir con nizacién. En lo posible, se deben ton -Andares dentro de la orgai izacién, a menos que por requerimient especificos se necesite un equipo con caracteristicas distintas. Estono implicaque los equipos tengan que ser del mismo proveedor, aunque si deben tener la misma filos« gan prob cada lose: requt tador equi tado: facto 1 de di: requi tes p’ L eval equi depe talen tador E publi con F vents E costo: tador pode: estar nefici actua Rent Las a pra, 0 jas y espec superclon de bres do Bio esta sion del dlir con el ‘ben tener vrimientos rplica que plica qi lamisma flosoffa. Las compras por impulso u oportunistas pueden provocar que se tengan diferentes equipos, modelos, estructuras y filosofias. Esto puede provocar Fr Je compatibilic Sino se tienen politicas y esténdares de compra de equipos de cémputo, mento o empleado puede decidir el adquirir diferentes equipos, hos cuales pueden no ser compatibles, o bien el conocimiento y entrenamiento Jemas de falta én y de confianza expan: ada depar nquerira de mayor tiempo y costo, La conexién de un tipo de terminal o comput tadora personal a una computadora principal (i equipo o de software adicional. Los sistemas elaborados F ) puede requerir de ara un tipo de compu- tudora pueden no servir en otro tipo de maquina. El mantenimiento es otro factor que puede incrementarse en caso deno tener compatibilidad de equipos, Tener diferentes plataformas de programacisn, sistemas operatives, base de datos, equipos de comunicacién y lenguajes propietarios, provoca que se incrementen los costos, que se haga mas problematico el mantenimiento, que se requiera personal con diferente preparacién técnica, y que se necesiten diteren- tes programas de capacitacir La posibilidad de que se pueda expandir un equipo es otro de los factores a evaluar. Al crecer una organizacién, es muy probable que se requie 's répidos. Esto es de mayor impor equipos también crezcan y sean n dependiendo del tamafo de las computadoras, ya que es un factor fundamen- talen los grandes equipos y de relativamente poca importancia en las compu: tadoras personales, debido a que no es tan alto su costo de reer se cambia 0 se compra una computadora por el factor En muchas ocasior publicitario, sin que se tenga la evaluacidn real de los equipos, o bien se adquie- ren equipos (principalmente computadoras personales) que son ensamblado: con partes de diferentes proveedores a costos muy bajos. Se deberd evaluar la ventaja de adquirir lo ultimo en tecnologia, contra el costo que esto representa, asi como el tener equipos muy baratos pero con baja confianza en el proveedor. En la actualidad cada dia las computadoras son més poderosas y menos costosas, y las organizaciones también cada dia dependen més de las computadoras, asi es que existe la tendencia de comprar cada dia computadoras mas poderosas, sin considerar que en el futuro existiran computadoras mas podero- La dacisién de adquirir o cambiar una computadora debers estar basada en un estudio muy detallado que demuestre el incremento de beneficios en relaci6n con su costo, y en la relacién costo /beneficio de los equipos actuales. Renta, renta con opcién a compra o compra Las computadoras y el software pueden rentarse, rentarse con opcién a compra, comprarse, ¥ ¢ > del software, producirse. Cada una tiene sus venta jas y desventajas, y es funcién del auditor el eveluar en cada instalacién en especifico por qué se escogié una opcién, y si las ventajas que se obtienen son superiores a sus desventaja: El auditor deberé evaluar {Existe un comité de compra de equipo? © (Quien participa en el comiteé? + GExisten politicas de adquisicidn de eq 187 Adquisicién de equips¢Cémose determina el proveedor del equipo? {Cémo se evaltian las propuestas de instalacién, mantenimiento y enlrei 2Cémo se evaltia el costo de operacién y el medio ambiente requerido pa cada equipo? {Se evaltian las opciones de compra, renta y renta con opcién a compra Ventajas © Renta Compromiso Menor riesgo de obsolescencia. No requiere de inversién inicial. * Renta con opeién a compra: Menor riesg No requiere de inversién inicial. Se puede ejercer la opcién de compra. Los pagos normalmente incluyen servicios. Menor costo que renta. © Compra! Se puede tener valor de recuperacién Normalmente es menor su costo que el de compra a largo plazo. Desventajas + Renta: © Mas caro que compra o renta con opeién a compra El equipo puede ser usado. Algunos vendedores de equipo no lo rentan, ‘+ Renta con opcién a compra Fs més No ti valor de recuperacién para el comprador. + Compra: Requiere de inversion inicial 0 de préstamo. Amarra al comprador a su decision El comprador debe conseguir u obtener servicio de mantenimiento, Centralizacion vs. descentralizacion El tener equipes en forma centralizada o descentralizada puede tener ven y desventa indiendo del tipo de organizaciSn. El auditor debers evalu a Ia organ organizac este punte computad Centraliz, Descentr Vent1 organizacidn y la justificacién que se tiene para que en una determinada 189 trena. izacién se tengan equipos en forma centralizada o descentralizada. En unto se evalian las grandes computadoras ¢ instalaciones, eliminando las ara computadoras personales, ya que éstas deberan estar descentralizadas para cada Centralizacién + Ventajas: Economia de escala Acceso a grandes capacidades. Operaciones y administracién mas profesionales. Accesos muiltiples a datos comunes. Seguridad, control y proteccién de los datos Un mejor reclutamiento y entrenamiento del personal especializado, Una mejor planeacién de la carrera profesional del personal de infor Control astos de informa Estandarizacién de equipos y de software + Desventajas: Falta de control de los usuarios sobre el desarrollo y operacién de los La responsabilidad del desarrollo de los proyectos esté limitada a un selecto personal Posible frustracién dentro de la organizacién por desconocimiento de los cambios en los servicios de informitic Descentralizacién de procesamiento de datos * Ver ! Autonomia local y control por parte d Mayor responsabilidad ante Reduccién de los costos de telecomunicacin. Acceso inmediato a las bases de datos descentralizadas Los analistas de sistemas locales tienen mayor atencién a las necesida: des de los usuarios. Oportunidad de crear una carrera profesional dentro de las dreas fun ionales de los usuarios, Consistente con la descentralizacién establecida dentro de una estru tura corporativa © Desventajas: Pérdida de control gerencial central Posibilidad de incompatibilidad de datos, equipos y softwar Posibles errores para seguir los estandares de sistemas dentro de las ajas practicas de desarrollo,Evaluacion de la seguridad CAPITULO. Osuetivos Al finalizar este capitulo, usted: 1. Conoceré la importancia de salvaguardar la integridad de la inforr se almacena en una computadora, 2. Explicaré por qué es importante conservar la integrided, disponibilidad 3. Entenderd que un buen centro de cémputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal. 4. Desoribird las politicas, procedimientos y praclicas necesarios ner la seguridad fisica de un centro de computo. 5. Conocera los distintos tipos de dafios que provocan los virus on las computadoras, y las manera: 6. Definira las caracteristicas de los seguros exis gos relacionados con los equipos de cémputo. 7. Explicara qué elementos deberdn considerarse para tener uni jon que nfidencialidad y Je los sisiemas de informa lentes para er rentar los ries guridad en el uso de los equipos y sistemas, asi como en su restauracién,Delitos Por computadora as computedoras son un instrumento que estructura gran cantidad dein macion, la cual puede ser confidencial para individuos, empresas o inst nes, y puedeser mal utilizada odivulgada. También pueden ocurrit robo al des 0 sabotsjes que provoquen la destraccién total o parcial de la ac sta informacién puede ser de suma importancia, y no tenerla en ela prec provocar retrasos sumamente costosos. Ante ests cién, en el transcurso de este siglo el mundo ha sido testigo de la transfoms cidn de algunos aspectos de seguridad y derechc esia organizacion estuviese nuevamente en operacion? El centro de comp puede ser el activo mas valioso y al mismo tiempo el mas vulnerable n la situaci6n actual de eriminclogia, en los delites de “cuello blance'd acluye la modalidad de los delitos hechos mediante la computadora oles s mas de informacisn, de los cuales 95% de los detectades han sido descubiatl por accidente, y la gran mayoria no han sido divulgados para evitar darida circunstancias tradicionales del crimen, Muestra de ello son los fraudes caciones y venta de informacién hechos a las computadoras © por medidl éstas. Existen diferontes estimaciones sobre el costo de los delitos de cucllo bi co, las cuales dependeran de la fuente que haga estas estima, q todos los casos se considera que los delitos de cuello blanco en Estados Uni superan los miles de millones de délare Durante mucho tiempo se consider que los procedimientos de audio seguridad eran responsabilidad de la persona que elabora los siste siderar que son responsabilidad del area de informitica en cuanto cidn de los sistemas, del usuario en cuanto a le utilizacién que si nformacion y a la forma de accesarla, y del departamento de auditoria int en cuanto a la supervisiGn y disefio de los controles necesarios. a seguridad del drea de informatica tiene como objetivo: Proteger la integridad, exactitud y confidencialidad de la informaci Proteger los activos ante desastres provocados por la mano del hombal de actos hostiles Proteger a la organizacién contra situaciones externas como desastres i ales y sabotajes nn caso de desastre, contar con los planes y politicas de contingencis pil lograr una pronta recuperacién Contar con los seguros necesarios que cubran las pérdidas econdmicat caso de desastre Los motivos de los delitos por computadora normalmente son por Beneficio personal. Obtener un beneficio, ya sea econdmico, politico sll 0 de poder, dentro de la organizacion. Beneficios para la organizacién, Se considera que al cometer algtin dello omputadora se ayudar al desempeno de la organizacién e rrabaja, sin evaluar sus repercusiones.1 de infor: institucior 0s, frau actividad) en el mor esta situa ansforma- cSmputo nlossiste. scabiertos jarideasa ficado las os, falsifi- medio de uelloblan o¢ Unidos, uditoria y bo ledéa la ‘a interna hombre y stres natu nicias para tico social + Sindrome de Robin Hood (por beneficiar a otras personas). Se estén hacien~ do copias ilegales por considerar que al infectar a las computadoras, 0 bien alalterar la informacién, se ayudaré a otras personas. Jugando a jugar. Como diversidn o pasatiempo. Ficil de desfalca B individuo tiene problema La computadora no tiene sentimientos. La compatadora es una herramienta que es facil de desfalcar, y es un reto poder hacerlo. + El departamento es deshonesto, * Odio a la organizacion (revancha). Se considera que el depastamento o la organizacién es deshonesta, ya que no ha proporcionado todos los beneficios a los que se tiene derecho. + Equivocacion de ego (deseo de sobreselir er + Mentalidad turbada. Existen individuos con D3 que ponen su nom reconocimiento. Iguna forma) roblemas de personalidad que us un reto y una superacién, los cuales llegan a ser ven en elabor tan ci y direccién en el virus, para lograr ese adad En la actualided, principalmente en las computadoras personales otro factor que hay que considerar: el amado “virus” de la: cual, aunque tiene diferentes intenciones, se encuentra principalm quetes que son copiados sin autorizacién (“piratas”) y borra toda la inform: cidn que oe tiene en tun disco Se trata de pequenas subrutinas escondidas en los programas que se ecti- van cuando se cumple alguna condici6n, por ejemplo, haber obtenido una co- sha o situacién predetermin: puesto por los diseRiadores de algtin tipo de pro- Jar” aquienes lo roban 0 Cop anza en contra de la organizacion. (En la actua a detectar lo ) Existen varios tipos de virus pero casi todos acttian como “ceballos de ‘ova’, es decir, se encuentran dentro de un programa y acttian con determina: indicacién Un ej fa USPA & IRA de Forth Worth. Cuando despidieron a un programador en 1985, éste dejé incidente provocé el primer juicio en Estados Unidos contra una persona por sabotaje @ una computadora ‘Al auditar los sistemas, se debe tener cuidado q ratas” o bien que, al conectamos en ted con otras posibilidad de transmisién del virus, También se toma como pretexto el virus y se producen e nto de una falla de la computad primero que se piensa es que estan infectados. inte en pa- pia en forma ilegal, y puede ejectitarse en una di. El virws normalmente grama (software) para “castig bien por alguna actitud de ver lidad existen varios productos p jan sin autorizaclono mplo e3 la destruccién de la informacién de la compa un, nente a informacidn de las ventas. Este brutina que destru je no se tengan copias “pi- omputadoras, no exista la jebe cuidar que eno sctos psicolgicos en los usuarios, ya que en el mom considera que hay cinco factores que han permitido el incremento en los crimenes por computadora’ + Elaumento del ntimero de personas que se encuentran estudiando compu- tacion. 193 Los virus,E] aumento del mimero de empleados que tienen acceso a los equips facilidad en el uso de los equipos de cémputc incremento en laconcentracién del mimero deaplicaciones y, consecutil mente, de la informacion. lincremento de redes y de facilidades para utilizar las computador il cualquier lugar y tiempo uyen une posibilidad de uso con fines delictive so inadecuado de la computadora comienza desde la utilizacion deta je mSquina para usos ajenas al de la organizacién, Ia copia de progeanl 50 por via telefénica a bases de datos a fin de modificar la informaciin am >ropésitos fraudulentos, Estos delitos pueden ser cometidos por persorasail En la actualidad las compafiias cuentan con grandes dispositives pal seguridad fisica de las computadoras, y se tiene la idea que los sist s0 de la seguridad ante incendio 0 robo, que “eso no me puede suceder ail plejos que nadie fuera de su organizacidn los va aentender y noles van ase Pero en la actualidad existe un gran niimero de personas que puede capi asar la informaciGn que contiene un sistema y considerar que hacer estos cn n segundo ingreso. También se ha detectado que el mayor ntimero de fraud destruccién de informacion o uso ilegal de ésta, provienen del personal inte Je una organizacién, También se debe considerar que gran parte de los fraud hechos por computadora o el mal uso de ésta son realizados por personal del En forma paralela al aumento de los fraudes hechos a los sistema computarizados, se han perfeccionado los sistemas de seguridad tanto isi como l6gica; la gran desventaja del aumento en la seguridad l6gica es que equiere consumir un ntimero mayor de recursos de eémputo para lograr mi sna id6nea seguridad, lo ideal es encontrar un sistema de acceso adecuadoill el de seguridad requerido por el sistema con el menor costo posible. Enlig Jesfaleos por computadora (desde un punto de vista técnica), hay que len cuidado con les “caballos de Troya” que son programas a los que se les encaja ‘utinas que seran activadas con una senal especifica. Securivap LOGICA Y CONFIDENCIALIDAD a seguridad légica se encarga de los controles de acceso que estan para Salvaguardar la integridad de la informacion almacenada ee2Q ROR oe auiipos, \secuente= adoras en: nde tiem= tael ace icin. con, ' para la temas no mo en el tera mio aptar y raudes, llinterno sfraudes mal de Ja ae ) asi como de controlar el mal uso de la informacién. Estos controles re den el riesgo de caer en situaciones adversas Se p lacementa el potencial de la org; fu ésta sea utilizada en forma inadecuada fisminuida su defensa ante competidores, el crimen organizade, personal des- je decir entonces que un inadecuade control de acceso légico izacin para perder informacién, o bien para asimismo, esto hace que se vea kel violaciones accidentales. La seguridad légica se encarga de controlar y salvaguardar la informacién femerada por los sistemas, por el software de desarrollo y por los programas.en iplicacicn; identifica individualmente a cada usuario y sus actividades en el stema, y restringe el acceso a datos, a los programas de uso general, de uso epecifico, de las redes y termninales. La falta de seguridad logica o su violacién puede traer las siguient tuencias a la organizacién: ada a la computadora. + Cambio de los datos antes o cuando se le da * Copias de programas y/o informacion. + Cécigo oculto en un programa. + Entrada de virus. stros, y seguridad ldgica puede evitar una afectacién de pérdida de re ayuda a conocer el momento en que se produce un cambio 0 fraude en los sistemas, tipo de seguridad puede comenzar desde la simple Tlave de acceso (con- tmsefia 0 password) hasta los sistemas més complicados, pero se debe evaluar que cuanto més complicados sean los dispositivos de seguridad més costosos resultan. Por lo tanto, se debe mantener tina adecuada relacién de seguridad cesto en los sistemas de informacién (os sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. La in- troduccién de informacién confidencial a la computadora puede provocar que la en manos de unas cuantas personas, por lo que existe éta esté concentra ncia en caso de pérdida de los registros. El mas comuin de una alta depend estos delitos se presenta en el momento de la programacién, en el cual medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al momento de programar un sistema de némina se puede incluir una rutina que verifique si se tiene dentro del archivo de empleados el registro federal de causantes del programador. En caso de existir, contintia el proceso normal nador que elabors el sistema renun- mente; si no existe significa que el progr cié 0 fue despedido y en ese momento pudo borrar todos los archives. Esta rutina, aunque es facil de detectar, puede provocar muchos problemas, caso de que no se tenga los programas fuente o bien que no se encuentren debidamente documentados. También en el caso de programadores honestos, en forma no intencional, se pueden tener falas o negligencia en los sistemas, La dependencia de ciertos individuos clave, algunos de los cua: les tienen un alto nivel técnico, comtinmente pone a la organizaciGn en manos de unas cuantas personas, las cuales suelen ser las tinicas que conocen lo sistemas debido a que no los docume 195 SEGURIDAD LOGICA Y CONFIDENCIALIDADControt de acceso Tipos de usuarios Un método eficaz para proteger sistemas de computacién es el soil control de acceso, Dicho de manera simple, los paquetes de control dea protegen contra el acceso no autorizado, pues piden al usuario una conti antes de permiticle el ‘a informacidn confidencial. Dichos paquets sido populares desde hace muchos afies en el mundo de las computedorasga des, y los principales proveedores ponen a disposicién de los clientes algun estos paquietes, Sin embargo, los paquetes de control de acceso basados nai tuaselias pueden ser eludidos por delincuentessofisticados en computacinpil lo que noes conveniente depender de esos paquetes por si solos para tenet seguridad adecuada. integral de seguridad debe comprende: Flomentos administratives Definicién de una politica de seguridad. Organizacion y divisién de responsabilidades. Securipap LOGICA Uno de los puntos més importantes a considerar para poder definir la sg dad de un sistema es el grado de actuacién que puede tener un usuario den de tn sistema, ya sea que la informacién se encuentre en un archivo nor ‘en una base de datos, o bien ques posea una minicomputadora, o unsiteal en red (interna o externa). Para esto podemos definir los siguientes tipaslt Propietario, Es, como su nombre lo indica, el duefo de la informaci responsable de ésta, y puede realizar cualquier funcién (consultar, modi car, actualizar, dar autorizaciSn de entrada a otro usuario). Es respons de la seguridad Idgica, en cuanto puede realizar cualquier accién y pul autorizar a otros usuarios de acuerdo con el nivel que desee cartes, Administrador. Sdlo puede actualizar 0 modificar el software con la debi autorizacién, pero no puede modificar la informacién. Es responsable dell seguridad l6gica y de la integridad de los datos. Usuario principal. Esta autorizado por el propietario para hacer modifi ciones, cambios, lectura y utilizacidn de los datos, pero no puede dar aul rizaci6n para que otros usuarios entren Usuario de consulta. Sélo puede leer la informacién pero no puede moti carla Usuario de explotacién. Puede leer la informacién y utilizarla para expla cin de la misma, principalmente para hacer reportes de diferente indal los cuales, por ejemplo, pueden sor contables o estadisticos, Usuario de audilorfe, Puede utilizar la informacién y rastrearla dentro dd sistema para fines de auditoria.software de ‘Ide acceso scontrasena, aquetes han dora salguno de dos en con- ttacién, por tener una la sogari io dentro normal tipos de acion, el modifi- Ponsable y puede adebida ble de Ia modifi niro del Los usuarios pueden ser muilti esultado de Ls usuarios resultado de la combi ne ae ines sefalados. Serecomienda que existas6lo un usuario pro ¥ que el administrador sea una ps formatica es, y pueden ser sona designada por la gerencia de in- Para conservar la integridad, confidencialidad y disponibilidad de los sis mas dle informacidn se debe tomar en cuenta lo siguiente: * Laintegridad es responsabilidad do los individuos autosiad sus responsabilidades normale de trabajo (asvario noponcabia’ pels pad) consultar (usuario de consulta) 0 para bajar archivos importantes pa ra microcomputadoras (usuario de explotacién), onibilidad es responsabilidad de individuos autorizados para alterar ardmetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecom nicaciones (usuario administrador). | control implantado para minimizar estos riesgos debe considerar los siguientes Factores: * El valor de los datos siendo procesados. + La probabilidad de que ocurra un acceso no autarizado. + Las consecuencias para la orgenizacisn si ocurre un acceso no autorizado + Elriesgo y repercusiones en caso de que un usuario no autorizado utilice la informacién, L sguridad I6gica abarca las siguientes reas * Rutas de acceso + Claves de acceso. * Software de control de acceso. © Encriptamiento. Rutas de acceso El acceso a la computadora no significa tener una entrada sin restricciones. I miter el acceso sdio a los niveles apropiados puede proporcionar una mayor seguridad. El objetivo de la seguridad de los sistemas de informacién es control las operaciones y su ambiente mediante el monitoreo del acceso a la informacién y a los programas, para poder darle un seguimiento y determinar la causa proba- algiin tipo de software es conveniente al util ble de desviaciones. Por el dentro de un sistema, contar con una ruta de acceso. wt SEGURDAD LEGICA Y CONFIDENCIALDAD Control de accesoCada uno de los sistemas de informacién tiene una ruta de acceso aul puede definirse como la trayectoria seguida en el momento de acceso ase fema ‘Como se ha sefialado, un usuario puede pasar por uno o miitiples ai de seguridad antes de obtener el acceso a los programas y datos. Los test Sélo lectura Sélo consulta Lectura y consulta Lectura y escritura, para crear, actualizar, bortar, ejecutar o copiar El eaquema identifica a los usuarios del sistema, los tipos de disposi por los cuales se accesa al sistema, el software usado para el acceso al sistem Jos recursos que pueden ser accesados y los sistemas donde residen esto sos. Los sistemas pueden cer en linea, fuera de linea, en batch, y rutas de tdecs E| esquema de las rutas de acceso sirve para identificar todos los puntsté control que pueden ser usados para proteger los datos en el sistema. £l aut debe conocer las rutas de acceso para la evaluacisn de los puntos de conta apropiados. Claves de acceso Un area importante en la seguridad légica es el control de las claves de acco de los usuarios. Existen diferentes métodos de identificacién para el ususti Un password © esdigo. Una credencial con banda magnética Algo especifico del usuario (caracteristicas propias) La identificacion es definida como el proceso de distincién de un usua de otros. La identificacién de entrada proporcionard un reconocimiento indi dual; cada usuario debe tener una identificacién de entrada tinica que debese reconocida por el sistema Password, eédigo o laves de acceso. La identificacién de los individuos & usualmente conocida y estd asociada con un password o clave de acceso. La claves de acceso pueden ser usadas para controlar el acceso a la computador, a suis recursos, asi como definir nivel de acceso 0 funciones espectficas Las Haves de acceso deben tener las siguientes caracteristicas: Fl sistema debe verificar primero que el usuario tenga una lave de access vélida, La llave de acceso debe ser de una longitud adecuada para ser un secreta La llave de acceso no debe ser desplegada cuando es tecleada. que e: pias. 1: L L 1 Leso, la cual ceso al sige sles niveles 2s tipos de ar. spositivos I sistema, tos recur. de teleco- juntos de’ auditor e control >indivi febe ser 0. Las tadora, # Lis llaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de que alguien obienga la llave de acceso de otras personas. ‘sina Las llaves de acceso deben de prohibir el uso de nombres, palabras o cade nas de caracteres dificiles de retener, ademas el password no debe ser cam. biado por un valor pasado. Se recomienda Ia combinacidn de caracteres alfabsticos y numéricos. No debe ser particularmente identificable con e usuario, como su nombre, apellido o fecha de nacimiento Identificacién Grdenciales con banda magnética, La banda magnética de las credenciales ¢ del usuario fiecuentemente usada para la entradla al sistema. Esta credencial es como una bincaria, pero se recomienda que tenga fotografia y firma a ventaja més importante de la credencial es prevenir la entrada de im pstores al sistema. Una credencial ordinaria es facil de falsificar, por lo que Se debe elaborar de una manera especial, que no permita que sea reprodu- cia, Validacién por caracteristicas. Es un método para la identificacion del usuario, que es implantado con tecnologia biométrica. Consiste en la verificacién y reconocimiento de la identidad de las personas, basdindose en caracteristicas propias. Algunos de los dispositives biométricos son: Las huellas dactilare: + Laretina * La geometria de la mano. La firma La voz, Software de control de acceso ste puede ser definide como el software disefiado para permitir el manejo y ‘control del acceso a los siguientes recursos: + Programas de librerias, + Archivos de datos, + Programas en aplicacién. + Médulos de funciones. + Utilerias. + Diccionario de datos. + Archivos. + Programas, + Comunicacién. Controla el acceso a la informacién, grabando e investigando los eventos ealizados y el acceso a los recursos, pot medio de la identificacién del usuario, El software de control de acceso, tiene las siguientes funcionecaptruto s Paquetes de seguridad [Eiemplo_ Definicién de usuario: + Definicién de las funciones del usuario después de accesar el sistem + Establecimiento de auditoria a través del uso del sistema I software de seguridad protege los recursos mediante la identi Jos usuarios autorizados con las llaves de acceso, que son archivadas y gui par este software, sto F efectuado a través de la creacién de archivos 0 tablis seguridad. Los paquetes de seguridad frecu ncluyen facili encriptar estas tablas e archives. A cada usuario se le deb acceso y por cada re un grado de proteccién, r s puedan ser protegidos de acceso no autorizado Algunos paquetes de seguridad pueden ser usados para restrin a programas, librerias y archivos de datos; otros pueden ademas limitar d ug de terminales o restringir el acceso a bases de datos, y existen otros més pi confirmar y evaluar Ja autorizacién de la terminal remota para utilizar dete nada informacién. Estos pueden variar en el nivel de la seguridad brindadad los archivos de datos. La seguridad puede estar basada en el tipo de acces usuarios autorizados para agregar registros a un archivo o los que tnicameti leen registro: a mayor ventaja del software de seguridad es la capacidad para protege los recursos de accesos no autorizados, incluyendo los siguientes: Procesos en espera de modificacién por un programa de apl Accesos por les editores en lint + Accesos por utilerias de software * Accesos.a archivos de las bases de datos, a través de un manejador debs de datos (DBMS). Acceso de terminales o estaciones no autorizadas Estos paquetes pueden restringir el acceso a los recursos (archivos de é ciendo asi el riesgo de los no autorizad nel caso de terminales de compra de boletos de pronésticos, se puede rastringir la entrada a terminales no autorizadas 0 an tiempo no autorizado Otra caracteristica de estos paquetes es que se pueden detectar la de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse Desplegar mensajes de error scribir los registros para la auditoria a bitécora puede consistir en registrar los aczes0s no exitosos, $00 10s in tentos, un registro de todos los. as validos y los recursos protegidostema, icacidn de guarda- tablas de ades paral la recurso) los de un) clacceso tar el uso mas para determi- indada a e acceso: icamente r de base s de da- uode do. violacio- dos, Aigunos paquetes conticnen date: 1a ce auditor. pecitices pars ear incluidos on la bitéco 201 Cada bitacora debe incluir la identificacién del ustrario: siel acceso es exito- a 49, deben consignarse los recursos accesados, dia, hora, terminal y un dato es prifco de lo que fue modificado durar 250 no fue exitoso la muyor informacidn posible sobre dia, hora, ter ‘es de intento usadas. 1 Otros tipos de software de control de acceso Algunos tipos de software son disefiados con caracterist que pueden ser an software asadas para proveerles seguridad. Sin emba: par un software especifico, software, explicaremos las caracteristicas 1, es preferible 2 asegurar el ambiente total y completar las caracterts: Jecontiol de ac ices de segurid Como existen diferentes tipos de de seguridad de los siguientes: + Sistemas operativo: + Manejadores de bases de datos, + Software de consolas o terminales maestras, Software de librexias. Software de utilerias. Telecomunicaciones A) Sistemas operativos se trata de una serie de programas que se © perativos, los cuales manejan los ret lentran dentro de los sistemas ursos de las computadoras y sirven como interfase entre el software de aplicaciones y ol hardware. Estos programas proporcionan segusidad ya que, intemamente, dentro Ge los sistemas operativos manejan y controlan la ejecucién de program; de aplicacidn y proven Ins servic ns que estos programas requieren, dope diendo del usuario y del sistema que se esté trabajando. Cada servicio debe incluir un calendario de trabajo (Job Schedule), manejador de equipos periferi- »8, un contador de trabajo y tin compilador de programas, pruebas y debug (depuraciones). El grado de proteccién sobre estos servicios depende de los nas operativos. Loselementos de seguridad de los sistemas operativos incluyen losiguiente + Control de salidas de los programas al modificarse eédigos. ator usual Jementos ms importantes del sistema, y sus actividades deben ser monitoreadas. mente tienen accesos a los el * Los sistemas operatives usan claves de acceso (passwords, ID) para prevenir Elementos :suarios no autorizados a funciones y utilerias del sistema operative. Mi de seguridad 25, estas claves de acceso estan definidas en una tabla del sistema = chas vque es activada cuando un sistema es utilizado, Las claves de acceso debe ser cambiadas inmediatamente por las nuevas claves de acceso. nos sistemas operativos proven una caracteristica que pucd el mimero de accesos no autorizados y autorizar usuarios a los protegidos, si este mimero es excedido, el usuario no autorizado es pr nido para el nuevo acceso a estos recurso: Los sistemas operativos permiten una instalacién para la implementacil opcional de caracteristicas de seguridad cuando el sistemas instalad {gunos sistemas operativos contienen sus propias caracteristicas de dad y muchas veces éstas no son adecuadas; en este caso es acons integrar al sistema operativo un software de seguridad para protege recursos. El valor de éstos es un factor determinante cuando se decide qi tanta proteccién es necesaria, Los sistemas operativos tienen un completo control sobre las actividades de todas las aplicaciones que estin corriendo en el sistema. Si un usuario autorizado puede lograr accesar a los recursos del sistema operativo, pi de hacer modificaciones que alteren el proceso normal del flujo del El sistema operativo tiene autoridad para dar facilidades de segurid para accesar recursos confidenciales, Esto implica que en algunas ocasions se requerird del uso de algun producto de seguridad adicional. El softwar de funciones de control del sistema operativo debe prover una bitScorade auditoria Tanto el administrador del sistema o el administrador de le datos establecen sus privilegios a través del sistema operativo. Indi mente, con estos privilegios tienen completo control sobre el sistema o tivo y su ambiente; ellos pueden otorgar la autoridad para modificarus rios y accesar secciones, alterar la generacion de procedimientos del si ma y modificar las prioridades de trabajos (jobs) que corten dentro de trol del sistema. Debe existir una bitacora de las actividades del adminis dor del sistema o del administrador de la seguridad de datos. Los sistemas operativos permiten la definicién de consolas o termin maestras desde las cuales los operadores pueden introducir com sistema operativo. Las consolas no requieren una sefal en proceso pé emisién de comandos. Por Io tanto, el acceso a Areas fisicas en don: las consolas debe ser restringido. Ademés, las caracteristicas del sist que permiten a una terminal ser asignada con el estatus de consola ser guardadas a prueba de accesos no autorizados. B) Software manejador de base de datos Es un software cuya finalidad es la de controlar, organizar y manipular los. tos. Provee multiples caminos para accesar los datos en una base de dato neja la integridad de datos entre operaciones, funciones y tareas de | ‘Cuando un usuario inicialmente requiere del uso del sistema de adminiy tracion de bases de datos (Data Base Managentent System, DBMS) se establece identificador para el usuario y la sesién. Inmediatamente, el usuario puede se identificado por el ID-usuario, ID-terminal, y por una aplicacién o fu dita unn rid ©: El sc prog term date defi ela func acce D) Els ejec enc softdeben imitar 0. AL 2guri- ejable er los e qué jades iono pue- tema, ad y rade wdde jual- ‘stan ida Ma. En espera del modo de modificaciones, €] usuario podré ser identificado | | porel trabajo (job), por la aplicacién o por la funcion, usuario seré us: ra rastrear todos los accesos a los schivos de datos a través del administrador de la base de datos (DBMS). Las caracteristicas de seguridad del software DBMS pueden ser usadas para neringir el acceso a tun usuario especifico, a un cierto archivo oa vistas légicas, ls accesos a procedimientos, funciones o software en aplicaciones limitado a isuarios autorizados con el proposito de ejecutar sus tareas asignadas. Las vis- asde datos légicos estan colocadas en archivos para usuarios particulares, fun: jones 0 aplicaciones, y puede ser representado todo o parte del archivo de {aos fisicos 0 una combinacion de campos de muiltiples archivos de datos fisi- (os. Fstas caracteristicas son usadas para controlar funciones inicas en el admi: ristrador de la base de datos (DBMS). asutilerias de la base de datos proven funciones demantenimiento, como spaldos y restauracién de la base de datos, reorganizacién de datos, reportes, etadiaticos de las bases de datos y sus relaciones. Estos pueden ser usa ‘demas para adicionar o borrar datos y prover seguridad El diccionario de dates (DD) es un software que guia y provee un método a documentar elementos de la base de datos, asi como un método de seguri ad de dates en un administrador de bases de datos (DBMS). Todas las modificaciones al directorio de datos (DD) deben producir una itécora de auditorfa, como un registro automstico de todos los cambios y 1 medio de recuperacién después de alguna interrupcién que hubiese ocu- ido. ©) Software de consolas o terminales maestras H software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proven soporte y servicio para que las ramas en aplicacidn. {dad para restringirel acceso a los terminales en linea accesen a los prog Las consolas incluyen funciones d seg datos, via programas en aplicacién. Estas funciones frecuentemente estén basadas en una serie de tablas que definen a los usuarios autorizados, asi como los recursos y programas en apli ‘olas pueden sélo limitar acién que ellos pueden accesar. Generalmente la el acceso al usuario para entrar a un programa en aplicacién, no para el uso de funciones especificas de un programa. La mayor parte de las consolas mantienen un registro de uso de llaves de acceso (password) diario validas no validas. D) Software de librerias EI software de librerias consta de datos y programas especificos escritos para ejecutar una funcién en la organizacién. Los programas en aplicacién (librerias) pueder in archivos er guardado en el sistema, y el acceso a estos programas puede ser controlado por medio de software (software de control de acceso general) usado para controlar el accesocapiruto 6 El software de manejo de librerias puede ser usado para mantener y prte ger los recursos de programas de librerias, la ejecucién de instancias, los archivos de datos pueden ser utilizados por jobs, y en algunaill Estas librerias deben ser sopor | adas por un adecuado control de cambiosy procedimientos de documentacién. | Una importante funci6n del software controlador de librerias es control describir los cambios de programas en una bitéeora. El software de libres provee diferentes niveles de seguridad, los cuales se reflejan en las bitacor P auditoria Los controles de cambios de emergencia deben estar e alanaturaleza de este * Accesos de emergencia. Pueden set concedidos con el propésito de resolve cl problema, y ser inmediatamente revocados despu elto, s de que el problem * Todas las acciones realizadas durante la emengencia debe er autométicn mente registradas. Cuando se instala el software ¢ 108 niveles de pi librerias se definen las librerias y sus tips de acceso ata libreria pueden ser restringidos durante la ist cin. Por ejemplo, un programador deb un pr E) Software de utilerias Existen dos tipos de software de utilerfas, El primero es tusado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y lo editorese nea son los ejemplos de este tipa de software. El segundo es usado ir en el manejo de operaciones de la computadora. Monitoreos, calen darios de trabajo, sistema manejador de disco y cinta son ejemplos de este tipo le software El software de utilerfas tiene privilegios de acceso todo el tiempo, algtin tiempo o nunea. Los accesos privilegiados se otorgan a programadores oa ts rios que e pacan la seguridad normal Entre los ejemplos de utilerias de software estén: scutan funciones que sobre Utilerias de monitores. Sistemas manejadores de cinta Sistemas manejadores de disco Calendarios de Editores en line Ds Scanner de viru Software de telecomunicaciones. Ciertos tipos de software de telecomunicaciones pued so a las redes y a aplicaciones especiticas localizad ss en la red, | alsin lugar debe bios frecuentemente son realizades fuera de her de trabajo normal, son cortos, no se comunican) imr inel Los realry prote Elsoftware de telecomunicaciones provee la interfase entre las terminales y n algunas las redes y tiene la capacidad para: mbios y . ‘ontrolar la invocacién de los programas de aplicacis ificar que todas las transacciones estén completas y's transmitidas. n correctamente ontrolar y- Restringir feoras de © Restringir el a saris para actuar en funciones seleccionadas. 0 al sistema a ciertos individuos, ardebido Riescos Y CONTROLES A AUDITAR s resolver problema Los controles de software de seguridad general y de software especifico pue- lomal den ser implantados para minimizar cl riesgo de la eguridad ligica, By ae J rasy funciones. Los controles son ustalmente a través delTD (idetifenor) P . nord Procedimientos del respaldo en el evento de interrupcién. das por un grupo fuera del ambiente de desarrollo.Bitacoras de auditoria. Las bitacoras de auditoria son usadas para monitor carne los accesos permitidos y negados. Fl software debe contener tna biticorade EVALUAGION auditoria del uso de las funciones que el software ejecuta, particularmertes :GURIOAD ambian las funciones 0 se modifican datos. Esta bitacora de auditoria pos blemente sea mantenida en un archivo separado, y puede ser manejad las actividades del sistema, o tal vez sea una parte del registro. El tipo & bitécoras de auditoria varia gradualmente de acuerdo al software y al vende dor: por ejemplo, un software puede guardar antes y después imagenes los cambios, mientras que otros solamente tienen una técnica de re cidn que puede ser usada para seguridad en casos necesanios. rativo 0 con el software de control de acceso, Estas bitécoras de auditoria registran las actividades y opcionalmente mus ran el registro de los cambios hechos en el archivo 0 programa. Son importa es para el seguimiento de los cambios. Controles de software especifico. A continuacién prosentamos algunos de controles usados por los diferentes tipos de software especifico: * Elacceso al sistema debe ser restringido para individuos no autorizados + Sedebe controlar el acceso a los procesos y a las aplicaciones permitiendoa los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso. * Las tablas de acceso 0 descripciones deberdn ser establecidas de manera que se restrinja a los usuarios ejecutar funciones incompatibles o més a de sus responsabilidades. fe deberd contar con procedimientos para que los programadores de af aciones tengan prohibido realizar cambios no autorizados a los p: nitard tanto a usuarios como a programadores de aplicaciones a ipo especifico de acceso de datos (por ejemplo: lectura y modificacién * Para asegurar las rutas de acceso debers restringirse el acceso a secciones tablas de seguridad, mismas que deberén ser encriptadas Las bitacoras de auditoria deberan ser protegidas de modificaciones autorizadas Deberdn restringirse las modificaciones 0 cambios al software de control de acceso, y éstos deberén ser realizados de acuerdo a procedimientos autor * Software de sistemas operativos. Entre los controles se incluyen los s Los password e identificadores deberdn ser confidenciales. Los usuarios no autorizados que logran accesar al sistema pueden causar modifi ones no autorizadas. El acceso al software de sistema operativo deberd ser restringido.itécora de urmente si oria posi= jada por El tipo de al vende- igones de recupera- I sistema fe mules: nportan- os de los j2ados. tienddo a ndoque mds alla de apli- os pro- cones 0 ntrol de Ios si- ndifica- Los aciministradores de la seguridad dleberan ser los tnicos con autor dad para modificar funciones del sistema, incluyendo procedimientos y tablas de usuarios. El acceso a util Las instalaciones de sistemas y las reinstalaciones deben ser monitoreadas porque Ia realizacién no autor lida El uso de todas las funciones del software (editores de linea, consolas) es restringido a individuos autorizados. Deberén revisarse las biticoras de audlitoria para determinar si ocurre un acceso no autorizado o si se realizan modificaciones, fas del sistema operative serd restringide vada puede resultar inva: Software manejador de base de datos. Los controles incluyen lo siguiente: © Blacceso a los archivos de datos deberd ser restringido en una vista de datos ldgica, a nivel de tipo de campo. La seguridad en el campo sera dada de acuerdo al contenido del campo (validaciéa de campos). Debera controlarse el acceso al diccionario de datos. La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DSMS, itécora de auditoria debe reportar los accesos al diccionario de datos. Las modificaciones de capacidades desde el DBMS par: datos deberdn limitarse al personal apropiad. las bases de Software de consolas o terminales maesteas. Estos controles incluyen lo siguiente, © Los cambios realizados al software de consolas o terminales maestras deberén ser protegidos y controlados Software de librerias. Los controles incluyen los siguientes: © Elsoftiware de librerfas mantiene una bitaécora de auditorfa de todas las actividades realizadas. La informacién provista en la bitécora incluye el nombre del programa, el niimero de la versidn, los cambios especifi cos realizados, la fecha de mantenimiento y la identifieacién del programador. © Elsoftware de librerias tiene la facilidad de comparar dos versiones de programas en eédigo fuente y reportar | © Deben limitarse el acceso a programas o datos almacenados por el software de librer * Debers impedirse el acceso a p viduos no autorizados, © Los cambios realizados al software de librerias tendrén que ser protegidos y controlados. Las versiones correctas de los programas de produccidn deben corres ponder a los programas objeto. diferencias. word 0 ebdigos de autorizacién a indi- 207 SEGURIDAD La!* Software de utilerias. Los controles incluyen lo siguient VALUAOEM Deberé restringirse el acceso a archivos de utileria: Algunas utilerias establecen niveles de utilizacin por cada fun: verifican cada nivel de autorizaciGn del usuario antes de darle ao utilizando password para prever accesos no autorizados El software de utilerfas genera una bitécora de auditorfa de usosy a vidades. Algunas proveen bitacoras detalladas de actividades conde tos protegidos, librerias y otros recursos. Estas bitécoras de audi proveen informacién de cada identificador (ID), fecha y hore dea recursos accesados y tipo de acces Esta bitdcora sirve como un registro de eventos, incluyendo v seguridad y accesos no autorizados. Cada paque puede tener diferentes capacidades de control. Tomar precauciones para asegurar la manipulacién de d orrar, etc.), los protege de un uso no autorizado Asegurar que tinicamente personal autorizado tenga acceso aplicaciones. Las utilerias no deben ser mantenidas en e] ambiente de produccién: debe asegurar que tinicamente usuarios autorizados ten, Las bitacoras de auditoria producidas por utilerias deben samente revisadas para identificar alguna viclacién a la * Software de telecomunicaciones. Los controles incluyen lo siguient Controlar el acceso a datos sensibles y recursos dela red forma Verificacién de login de aplicaciones — Control de las conexiones entre sistemas de telecomunicac terminale Restriecidn al uso de aplicaciones de la red. — ProtecciGn de datos sensibles durante la transmisiGn, terminand sesién automaticamente Los comandos del operador que pueden dar slioutdown a los com rnentes de la red slo pueden ser usados por usuarios autorizados. El acceso diario al sistema debe ser monitoreado y protegido, Asegurar que los datos no sean accesados 0 modificados por rio no autorizado, ya sea durante la transmisiGn o mientras est macenamiento tempor Consideraciones al auditar Cuando se realiza una revisiGn de seguridad l6gica, el auditor intemo deberd eve Iuar y probar los siguientes tres controles implantados para minimizar riesgo gun apr los< Inst eny acti- n da: titorfa ente programas y a la informacién. 209 + Control de acce El acceso a funciones, datos y programas asociados con el software debe estar ingido a individuos autorizados y debe ser consistente con doc: + Todos los cambios del softy acuerdo ¢ nanejo del plan de trabajo y con la autorizacién del usuario. + Se debe de mantener una bitécora de auditoria de todas las actividade cativa Una auditoria suridad légica puede ser realizada de diferentes for radi se en areas de s jue son ap! del software eguridad det soft nn debe tomarse en cuenta las caracteristicas d are, incluyendo el control de ai autentificacién del usuario, «je el software Ent las consideraciones especificas al auditar esta + Software de control de acceso. + Software de telecomunicacione + Software manejador de bases de datos, + Software de utilerias. + Software de sistema operative. ante el ciclo de vida del software deben ser evaluadas su instalacién, Ciclo de vida del sofware tenimiento y operacién. Se debe utilizar la auditoria para at giin hecho al software no comprometa la integridad, confi provechamiento de los datos o recursos del sistema El software de auditoria especializado puede ser usado para tev rarse que son ejecutados de acuerdo con los p prob. Instalacion y mantenimiento. Es la primer fase del ciclo de vida del software nla cual el auditor debe revisar lo siguiente cedimientos p end existente, pruebas de funciones, documentacién de cambios, notific ‘esponsable, ejecucién de pru nal respaldo de software de cambios, revisién y redencidn de pruebas de salida y aprobacidn de prio- jes para la implementaciénProcedimientos para iniciacisn, decumentacién, pruebas y aprobaciinde modificaciones al software Procedimientos para la generacién y modificacién al softy Procedimientos usados para ejecutar software y mantenimiento del dic nario de datos para un mayor grado de modificaci6n. Procedimientos de emergencia usados para dar solucién a un problem pecitico de software Mantenimiento y contenido de las bitécoras de auditoria de todos los DBM odificaciones del diccionario de datos. Bitacoras a los pardmetros del software y de las centencias del lengua aplicaciones en ejecucion Acceso a librerias de programas Operacién. En la segunda fase del ciclo de vida del software deberan revisus + Controles de acceso para los programas, librerias, parémetros, seccionest archivos de software asociados. Procedimientos disefiados para asegurar que el sistema no es instalaclo (car inicial del programa) sin el software original, creando asf un procecimeni de seguridad. Disponibilidad y control de acceso a los comandos que pueden ser usadis para desactivar el so ‘Areas de responsabilidad para el control del software, operacién y conde tencia de capacidad de acceso. Horas durante las cuales el software est disponible. Procedimientos pars la iniciacién y terminacién del uso del software. Control de acceso sobre consolas y terminales maestras. Procedimientos para registrar terminacién anormal o errores, los cuals pueden indicar problemas en la integridad del software y documenta hs resultados en programas de seguridad, Controles de acceso sobre escritura de programas y lenguajes de lib de aplicaciones en ejecucisn Bitdcares de auditoria sobce las actividades del softrare Dependencia de otro software para continuar la operacisn, operaciones automatizadas o dependencia del calendario de actividades. Software de control de acceso. Entre las consideraciones de auditoria paradl software de control de acceso estan: Diseio y administracién. Procedimientos de identificacidn del usuario. Procedimientos de autentificacién del usuario. Recursos para controlar el acceso. Reportes y vigilancia del software de control de acceso reportando y vig lando. El software de control de acceso ustialmente provee utilerfas que pueden ser usadas en la ejecuciGn de una auditoria. Los eventos pueden ser registrados en un archivo de auditoria (cambios en el sistema, ast como la ocurrencia de otras lacior sade Dcién de diccio- ema es- s DBMS, uaje de visarse: > (carga miento usados cuales atar los, para el pueden strado: otras numerosas actividades: login, archivos de acceso, recursos de acceso, vio- reporteadores y otras utilerias pueden ser cones y cambios de acceso) Jas para presentar esta informacién continuamente + Disofio y administracidn. En estos aspectos los auditores internas deben Localizacién de archives de seguridad J para asegurar que loe protegidos archivo: del software de control de acceso est Uso de recursos 0 controles de acceso a nivel del usuario para asegura que el software de control de acceso protege datos y recursos en un nivel correcte archivos de seguridad o encriptacién de tablas usadas para prohibirla vista de tablas individuales aridad que contienen des: Limitaciones de acceso para archi words. cripciones y p Limitaciones de acceso a archivos de seguridad a través de la adminis: tracién de comandos de seguridad en linea 0 utileria La jerarquia de seguridad, fados de la administracién de la seguridad pued; tener gran capacidad para cierto software ridad 0 modificacién Métodos y limitaciones sobre archivos de seg tabl Responsabilidades del usuario para la adm dad, particularmente en un ambiente descentralizado, pa que las capacidades definidas son consistentes con las responsabili nistracién de la segu dade: Definicién de parémetros de seguridad, como los recursos definidos, reglas de password, default de niveles de acceso y opciones de login con je proteccién para aprobacién de la gerencia, considerando pruebas accesar recursos protegidos, « Procedimientos de identificacién del usuario. Los auditores deberdn revisar y aprobar los métodos usados para definir usuarios para el software Las siguientes situaciones deberdn ser revisadas por un apropiado nit vel de direccis Las identificaciones del usuario para corroborar que sean individ y no compartida: Probar la revocaci6n de usuarios inactivos. EI despliegue de la tiltima fecha y hora en que algin ID especifico fue >, Esta informacién podré ayudar para identificar actividade sconexidn de identificaciones del usuario siguier Este control puede tamb tar actividades ilicitas. El uso de comienzo y fin de fechas para ID de usuario de empleado: contratados.° El uso de grupos de usuarios para el recurso de acceso a los archivts mamioe Los usuarios deberan ser asignados a los grupos apropiados. EVALUAGION Propictarios de dates y recursos para asegurar que ellos con los resp ELA SECURIT sables apropiados. + Procedimientos de autentificacién del usuario, Los auditores internos rel sarin lo siguiente © Debers ser evaluiade el uso de passwords o informacién personal duram te la sesién Debera ser identificada la disponibilidad de automatizar funciones und ‘vez identificado el usuario, asicomo la autenticacidn de procedimients cst protegido cuando es usado por el usuaric La miscara del passvord para as res son tecleados no se desplieguen Ta sintaxis del pessuord. Algiin software de control de acceso pd EImantenimionto de a historia del password. Este puede serusado fa procesos bate + Los recursos para controlar el acceso. Los auditores internos debersin ev sar lo siguiente: © Posibles niveles de acceso. © Niveles de acceso por default, particularmente para usuarios 0 jobs que no tienen un ID de usuario. El acceso del usuario a archivos de seguridad Que la seguridad sea implantada en el nivel correcto, ‘rocedimientos para asegurar la proteccién automatica Procedimientos para la proteccién de recursos, Uso de rutas répidas o funciones aceleradas a través de controles Controles de acceso sobre aplicaciones locales 0 remotas. Restricciones de acceso sobre recursos criticos del sistema, tales coma istemas, programas y aplicaciones en ejecucién, librerias del lengua), catdlogos del sistema y directorios, diccionarios de datos, logs y archic vos de password, tablas de definicin de privilegios, algoritmos ée encriptacién y tablas de datos. + Reportes y vigilancia del software de control de accesos. El auditor interna ificacion del acceso autorizado al sistema y el uso de reha te Las identificaciones de acceso no autorizado 213 ntificacion de archivos de seguridad, n comandos sensibles, antenimiento a tabla y el sequnpap u ados y sus actividades rchivos de s bitacoras de auditoria del control de a EI login de usuarios privile as restricciones de acceso del sistema. Estos archivos Sistema operativo o software de control de acceso existente. Las violaciones a la seguridad Los archivos de seguridad y la generacién de reportes de las actividade notificados asuario para asegurar que los propietarios de datos y recursos son je los eventos de seguridad en un periodo determinado, debera revisar, evaluar y probar el uso y proce femas operativos. El audito F que gobiernan programas, usuarios y funciones ¢ Siento 1 sistema operati especialmente los siguientes privileg asfacilidades del sistema operativo, como son la supervisi6n 10 sobre tablas que definen privilegios de usuarios, pro ® Controles de ace amas y funciones. + Controles de acceso sobre consolas o terminales maestras y privilegios aso + Bitécoras de auditoria, + Posibilidad y uso del control de acceso sobre los default de inicio de ID de Comandos desoftware o funciones que son consideradas importantes, como turidad al archivo de descripciones. F mantenimiento de s: ria dentro de los programas para disminuir o limitar las posibilidades En muchas ocasionesel mayor riesgo de fraude o mal uso de la informacién est dentro del mismo personal, y la mayor seguridad est en contar con perso: al leal, honesto y con ética, Para lograr esto se debe contar con personal capa- itado, motivado y con remuneraciones adecuadas. Pero también se debe pre- la posibilidad de personal mal intencionado, para lo cual se debe tener los ontroles de seguridad sefalados, los cuales deben de ser observados princi palmente por el personal del drea de informstica. El auditor debe de estar cons. jente que los primeros que deben implantar y observar los controles son los d personal de informatica estabi- Intece: gue Securipap FISICA fico y El objetivo es establecer politicas, procedimientes y précticas para evitar la tesub- interrupciones prolongadas del servicio de procesamiento de informacién, de nar no bido a contingencias como incendio, inundacién, huelgas, disturbios, sabotaje, ilidad terremotos, huracanes etc, y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.220 corms Unicacion y construccion DEL CENTRO DE COMPUTO En el pasado se acostumbraba colocar los equipos de cémputo en un lig ndes ventanales, ya que constitufan el orgullo de la organi i6n y se consideraba necesario estuviesen a la vista del puiblico, inclusoha gran cantidad de invitados para conocerlc visible, con Esto ha cambiado de modo al, principalmente por el riesgo de terrorismo o sabotaje persona que desea perjudicar a forma iénsese que ul a organizacién querré daar el centro dei Sn, por Jo queen Ia actualidad se considera extremadamente pega so tener e] centro de eémputo en las reas de alto tréfico de in lugar cercano a la calle 0 con un alto num ‘0 de invitados, ademis@ excesivo flujo de personal interfiere con la eficiencia en el trabajo y disn la seguridad Otros elementos referentes al material y construccién del edificio del en Je cémputo con los que se debe tener precaucién son los materiales altameai inflamables, que despiden humos sumamente t6xicos, © las pai dan periectamente selladas y despiden polvo (por e a menos que tenga sellador), los cuales debs En lo posible también se debe tor smplo, el tirol planchad ser evitados. n del centro de cémputo (por ejemplo, lugares sumamente calurosos al que todo el dia les est dando el sol), y se debe evitar, en lo posible, lo Las dimensiones minimas del centro de cmputo deben determinarse del sistema, el espacio requerido para cada tt dad, para su mantenimiento, el érea de operacidn. P les removibles pueden ser utilizados pa general, aunque los equipos de cémpute la cantidad de compone ello, las paredes y pane ilitar ampliaciones futurts -e han reducido en tamaio, se dl sicerar el incremento en el ntimero de éstos y en equipos periféricos Ademés, en el centro de cmputo se debe prever espacio para lo sigue Formatos y papel para impresora Mesas de trabajo y muebles Area y mobiliario para mantenimiento, Equipo de telecomunicaciones Consolas del operador Area de recepcién Microcomputadoras. Fuentes de poder Boveda de seg dad. Los archivos maestros y /o registros deberan ser gua dados n-una béveda antiincendio bajo maxima proteccién Piso OCAN En la anti pisos elev de cémpu tadoras, p ‘con pisos cuente co Unac ¥y protecc Ademés, cerca de! rejillas de Un pi do con la: dad de sc Se rec que la su cAmara p terminad poder sei sistema y Av: El equips tipo de < cual sen ma, asic Los Jas princ Las frecuent ductos. to exteri indique superio:mun lugar 0 habia modo radi- se que una intro de in- ite peligro- nas, o bien ad disminuye: nds, el centro. saltamente que no que- planchado, la orienta- ttosos a Ios los grandes pueden ser teada uni- des y pane- pam ioturas. En fo, se debe siguiente: Piso ELEVADO O CAMARA PLENA Enla antigtiedad era un requerimiento en todos los centros de cémpute tener pisos elevados o pisos falsos. En la actualidad, con los cambios de los sistemas eable para macrocompu: decémputo, este requerimiento sélo es necesario o de tadoras, por lo que habra que verificar con el proveedor la necesidad de contar on pisos elevados, o bien la conveniencia de tener una mejor instalacion que quente con el cableado dentro del piso elevado. Una de las ventajas de los pisos felsos es que p y proteccién del cableado del sistema, y facilitan el reacomodo del sistema Ademas, proven de un excelente método para llevar el aire acondicionado rel tendido cerca de las unidades del sistema, permitiendo la adicién o recolocacié rejllas de aire cuando son agregadas o recolocadas maquinas en la sala. so elevado debe ser capaz. de soportar una carga uniforme, de acuer- Jel proveedor; también debe considerarse la capaci do con las especificaciones: Jad de soportar unidades adicionales segtin el potencial de crecimiento. Se recomienda que el acabado del piso sea hecho con plistico antiestatico ienga 45 cm de alto, cuando es usado como “Amara plena de aire acondicionado, La altura del terminado, debe ser de 2.4 m. Asimismo, los panel poder ser removidos facilmente para permitir la instalacion del cableado del ser de facil limpieza con trapo huimedo o aspiradora. piso elev que la superficie d in, desde el pi del piso elevado deben sist Are ACONDICIONADO Elequipo de aire acondicionado es otro de los dispositivos que dependeran del tipo de computadora que se utilice y del lugar donde esta instaledo, dor la temperatura minima y maxi > deberdn trabajar los equipos. ara lo cual se recomienda verificar con el prove ma, asf como la humedad relativa en la q Los ductos de aire acondicionado deben estar limpios, ya que son una de las principales causas de poivo. Las instalaciones del aire acondicionado son una fuente de incendio muy jalmente a través de los frecuente, son susceptibles de ataques fisicos, esp instalar redes de proteccién en todo el sistema de ductos, to exteriores coma interiores, y deberd de contarse con detectores de humo que indiquen la posible presencia de fuego. ‘Se recomienda que la presidn de aire en la sala de odmputo sea ligeramente superior a la de las areas adyacentes, para reducir asi la entrada de polvo y ductos. Se del wuciedad,CAPITULO 6 UACION EGURIOA Protecelén det sisteme eléctrico InsTALACION ELECTRICA Y SUMINISTRO DE ENERGIA Uno de los dispositives que deben de ser evaluados y controlados con may uidado es la instalaciOn eléctrica, ya que no solamente puede provocar fala Je energia que pueden producir pérdidas de informacién y de trabajo, sina que 5 uno de los principales provocadores de incendio: El auditor debe auxiliarse de un especialista para evaluar el adecuado fut cionamiento del sistema eléctrico y el suministro de energia, Los cables del sistema eléctrico deben estar perfectamente identificads (positivos, negatives y tierra fisica); lo mas frecuente es identificarlos por mes dio de colores (positivo, rojo). Deben de existir conexiones independientes los equipos de eémputo; este cuidado se debe tener en las oficinas donde ba conectadas terminales o microcomputadoras, y ademés deben estar identifi das, contar con tierra fisica, lo cual protegerd a los equipos contra un cortod cuito en caso de una descarga, Se debe revisai jue se cuente con los plans instalaci6n eléctrica debidamente actualizados. Es comtin en las oficinas que, al no tener identificados los contactos paralas computadoras, éstos sean utilizados para equipos que pueden producir picts ya que utilizan grandes cergas de corriente, como fotocopiadoras o aires ac dicionados. Las variaciones de energia en una linea pueden ser causados por el encin dido 0 apagado de maquinas cléctricas, tales como motores, ascensores, €y pos de soldadura, sistemas de aire acondicionado, etc. El flujo de corrientede un sistema de iluminacién puede producir “picos de ruidos” que podrien ee ceder el nivel de energia aceptable para alguna unidad de! sistema. Por logs altamente recomendado que el sistema eléctrico utilizado en los equipos de informética cuente con tierra fisica, y de ser posible sistemas de corriente cor tinua (10-break) y estén aislados con contactos independientes y perfectamen te identificados. En zonas grandes con cargas eléctricas industriales 0 con diciones de entrada de potencia marginales puede ser necesario un aislamien to adicional para prevenir interrupciones de energia en el sistema, La tierra fisica debe estar perfectamente instalada de acuerdo con la cificaciones del proveedor, dependiendo de la zona en que esté inst equipo y de las caracteristicas de éste. Se debe tener una protecciGn contra roedores o fauna nociva en los cable de sistema eléctrico y de comunicaciones. Es comtin que los roedores se coman el plstico de los cables, por lo que se debe tener cuidado de combatir esta fauna nociva, y tener la precauciGn de que el veneno o el fumigante que se use p combatirla no provoque problemas al personal, Los reguladores son dispositivos eléctricos que reducen el riesgo de tener un accidente por los cambios de corriente. Dichos protectores son comtinme construidos dentro de un sistema de corriente ininterrumpico UPS (Uninterup bile Power Supply System L equir lador rifica carga car q: quee comp fax, y televi no pr ‘capac y con T velm ladis: eleva una b poco: ticam U gaso: rrumy nivele pido. U sea de tivo di falla e rump perice de ho} macié E zonaé intern mayor archiv presor do se |tado fun- thificado: por me- nies para onde hay lentifica- Janos de para las it picos, equi lente de relloes ipos de ate con- lamien: espe lado el scables afsuna e tener mente rrupti- eguladores que existen en el mercado pueden funcionar para varios 223 | equipos, o bien estar limitados para un reducido namero (parecidos a los regu- cin de informatica (incluyendo terminales y microcomputadoras), se debe ve- nificar y controlar que el mimero de equipos conectados sean acordes con las cargas y 1 se debe verifi- Reguiadores néimero de equipos conectados, ya gulador. Si son equig B car que el ques muy frecuente en las oficinas que se conecteal regulador no solamente la compatadora personal, sino otros dispositivos periféricos. como impresora 0 fax, y que se llegue hasta conectar otro tipo de equipo eléctrico como radios 0 ] televisores. Esto puede provocar dos problemas: el primero es que el regulador € todos los equipos, ya que el requerimiento eléctrico sobrepasa sus capacidades, y el otro es que se puede provocar una sobrecarga.en los conta no prote) Consecuentemente una posibilidad de incendio. Ta vel m4ximoy un minimo, ya que existen algunos queen caso de una sobrecarg bién se debe tener cuidado en adquirir reguladores que tengan un ni- a disminuyen hasta el nivel aceptable, pero si existe una baja de corriente no la elevan a niveles minimos aceptables. En ocasiones perjudica més a un equipo na baja de energia prolongada, que no es detectada y provaca que el equi- continie prendido enun nivel bajo, que una sobrecarga, que hace que auton, icamente el regulador © equipo se apague Una forma para asegurarnos de que un regulador actuars en una sobrecar © en bajos niveles, es contar con un regulador que tenga un sistema no inte rrumpido (no-break), ya que en caso de que exista una variacion que pase los, niveles minimos y maximos, automaticamente entrard el sistema no interrum: Un sistema de energia no interrumpido (UPS) consiste en un generador, ya sea de bateria o de gas, que hace interfase entre la ener tivo de entrada de energia eléctrica a la computa e funcion a en e] abastecimiento ¢ a eléctrica y el disposi- Dar una consistencia a la corriente eléctrica que hai a la computadora en caso de haber una gia eléctrica. El sistema de energia no int a eléetrica a la comp! reriodo; dependiendo de lo sofisticado que sea, la corriente de horas o de algunos minutos, de tal forma que permita respaldar la infor- tumpible (UPS) provee de ener tadora por un cierto éetrica puede ser Es conveniente evaluer la probabilidad de que no se tenga corriente en zona en la que se trabaja, para determinar el int mpo que necesita el sistema no rumpido, También se deben evaluar los problemas que provocar y necesidades que se tienen. En la contar con electricidad y las prioridad mayoria de los casos se necesita un determinado periodo para res archivos de computadoras personales, y se puede esperar para utilizar la im- aldar lo En el caso de sistemas de alto riesgo 0 costosos, come por ejemplo un sistema bancario, no solamente se debe contar con sistemas de reguladores y eléctri mbién con plantas de | do se pierda la enengfa eléctrica por un periodo prolongado. En algtin momento tal vez exista la necesidad de apagar la computadora y cos no interrumpidos, sinc 2 de emergencia, paracuan 1s dispositivos periféricos en caso de que el centro de cémputo donde se encaptruto 6 cuentre Ia computadora se incendie o si hubiera una evacuacién, Los switch dt emergencia sirven para este propésito: uno en el cuarto de maquinas y ¢l ai cerca, pero afuera del cuarto. Estos deben ser claramente identificades con Uk letrero, accesibles e inclusive estar a salvo de gente que no tiene autorizadin para utilizarlos. Los switch deben estar bien protegidos de una activacién sc dental Los incendios a causa de la electricidad son siempre un riesgo. Para red cirlo, los cables deben ser puestos en paneles y canales resistentes al fuego. Ee tos canalesy paneles generalmente se encuentran en el piso del centro de cSmpy to. Los cables deben estar adecuadamente aislados y fuera de los lugares é paso del personal, Se debe cuidar no sdlo que los cables estén aislados sino también que los cables no se encuentren por toda la oficina, Los os ramificados para la tluminacién y los sistemas de aire no ¢= berdn estar conectados a los tableros de potencia utilizados por el sistema El proveedor debe proporcionar un tablero de distribucién, el que deberd contar con interruptor general, voltimetro, ampesimetro, frecuentimetro e inte rruptor individual por cada una de las unidades que configuren en el sistema El tablero debe ubicarse en un lugar accesible y cada interruptor debe estar debidamente rotulado para su facil localizeciéi Securipan CONTRA DESASTRES PROVOCADOS POR AGUA Los centros de cémputo no deben colocarse en sétanos 0 en éreas de plana baja, sino de preferencia en las partes altas de una estructura de varios piso, aunque hay que cuidar que en zonas sismicas no queden en lugares donde peso ocasionado por equipos a papel pueda provacar problemas, Se debe evaluar la mejor opcién, dependiendo de la sepuridad de acceso centro de cOmputo, cuando en la zona existen problemas de inundaciones ost, sismicas, En caso de ser zona de inundaciones o con problemas de drengje mejor opcién es colocar el centro de cSmputo en areas donde el riesgo de inun dacién no sea evidente Algunas causas de esto pueden ser la ruptura de caferias o el bloqueo de drenaje, por lo tanto, la ubicacidn de las cafierias en un centro de cémputo una decisién importante, asf como considerar el nivel del manto fredtico. Debe considerarse el riesgo que representa el drenaje cuando el centro é€ cémputo se localiza en un sétano. Deben instalarse, si es el caso, detectores de agua o inundacién, asi como bombas de emergencia para resolver inundaci nes inesperadas. Otro de los cuidados que se deben tener para evitar dafios por agua es ph seer aspersores contra incendio especiales que no sean de agua. Se Esimy al dia,bsswitch de fas y el otro dos con un jutorizacion {Para redu- Hfuego. E. bde cimpu- dle compu res de que deberd hretroe inte- Fdebe estar fs de planta aris pisos, bi {cimputo es Bitico oquieo del Plectores de Finundacio- lagua es po- Securipap DE AUTORIZACION DE ACCESOS osean este todo -arse que los controles de ace lia, y que éstos incluyan a todo el p arante los descansos y cambios de turno El personal de informatica, asi come debe identificar antes de entrar a ésta. E sonal de la organizacién, en especial aalquier otro ajeno ala instalacién, se riesgo que proviene de } organizacién es tan grande como el de cualquier otto visitante. Solamente el personal autorizado por medio de una Ilave de acceso o por la gerencia debe ngresar a dichas instalaciones. En los centros de cémputo se pueden utilizar los siguientes os + Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe er dificil de duplicar. cidn. En este sistema se usa una combinacién ria de combi cceso. La combinaciGn debe ser cambiada re ros para permitire ‘© cuando el empleado sea transferido o termine su funcién laboral dentro de ese centro de cémputo. Esto reduce el riesgo de que la combinacién sea ‘onocida por gente no autori + Pu tico magnética como llave de entrada, Un cddigo especial interno en la tar ta electrénica. El sistema mas comtin es el que usa una tarjeta de plés- jeta es leido por un sensor activando el seguro de la puerta. + Puortas sensoriales, Son activadas por los propios individuos con alguna arte de su cuerpo, como puede ser la huella dactilar, voz, retina, g tefa de la mano o bien por la firma + Registros de entrada. Todos los visitantes deben firmar el registro de visi tantes indicando su nombre, st compaiiia, la razén para la visita, la persona a la que visita. El registro se encuentra en la recepcié o de cSmputo. Es importante que el visitante proporcione una id foto (licencia de manejo 0 credencial), ya que de otra forma podria inventar deben de portar | no se tendria seguridad. Los emplead credencial de la empresa con foto, la cual ademés de servir de identifica ion, se utilizar para senalar las areas de informatica a las cuales tiene autorizacién de entrar deben + Videocsmaras. Estas deben ser colocadas guardados para su se pueda monitorear el centro. Los caset posible andlisis. + Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompafiados por un empleado responsable. Se consideran visitan- + Puertas dobles. Este equipo es recomendable para lugares de alta segur! dad: se trata de dos puertas, donde la segunda solo se pueda abrir cuando Ia primera esté corrada os fist + Alarmas. Todas las éreas deben estar p cos no autorizados. Las alarmas contra robo deben se sea posible en forma discreta, de manera que nose atra este dispositive de alta seguridad. Tales medidas no slo se deben aplicar protegidas contra robo © ac isadas hasta donde a la atencién hacia enel centro de cémputo sino también en reas adyacente: 205 Puertas de seguridadDetectores de humo Equipos contra ineendio Deteccién pe Humo Y FUEGO, EXTINTORES Los detectores de frego y humo se deben colocar tomando en cuenta lair calor 0 el humo y no permitir que se active el detector. El que se eliia deberd ser capaz de detectar los distintos tipos de gas desprenden los cuerpos en combustién. Algunos no detcctan el humo od por que proviene del plastico quemado que se usa como aislante en eld dad, y en consecuencia los incendios ocasionados por un cortocirc no scan detectado: Los detectores de humo y calor se deben instalar en el centro de «impli en las dreas de ofcina, incluyendo el depdsito de papeler Las alarmas contra incendios deben estar conectadas con la La organizacién se debe cerciorar que los controles de seguridad cml incendios satisfegan los estandares minimos del depariamento de bonbet La documentacién sobre los sistemas, Ia programacisn y las opera do especific en el plan de contingencias. Se deben establecer procedimiel de respaldo que garanticen la actualizacién de toda la documentacicn demi rarutinaria; las copias de seguridad ce deben almaconar en un lugar camo las copias de seguridad de los programas y los archivos, los cuales dl estar debidamente actualizades, documentados y fechados, para cuando sl Debe existir un sistema de deteccién de humo por ionizacién para ail anticipado. Este sistema debe hacer sonar una alarma ¢ indicar la situaciéindl detector activado. El sistema de deteccidn no debe interrumpir la coment energia elécirica al equipo de eémputo. Se debe contar con un dispostivoai de emergencia para cortar el sistema eléctrico y el aire acondicionay en instalarse en cada salida del centro de cémputo. locar en lugares estratégicos del centro de cémputo extn de CO (recomendable para equipo eléctrico). El equipo pera pl respirar debe estar ala mano, tanto en el rea de cémputo como para cl us (es conveniente que este sefialamiento se encuentre en la parte inferior, cra al piso, ya que en caso de humo sélo podrén ser visibles en la parte infra facil acceso, pesos y tipo de producto que utilizan. Es muy frecu tengan extintores, pero puede suceder que no se encuentren recai que sean de tan dificil acceso 0 de un peso tal que sea dificil utilizarl extintores deben estar a la altura o tener un peso proporcional al de un: ara que pueda utilizarlos, Se det gases Sxi ‘Tamb dio y si he das de er falso, rep: control cc de 0a 60 boquilles permitir | que elma Jos equip Es ne en caso ¢ mente pr de su usc deben ha Las< debe con Esta sala propio e en arma dos hora Ten Alguno: persona sistema base en Dis ma Mo eat Per cal, lai\difundir el legases qu en electrici- cuito tal vez imetro fisicc dad contra bomberos, rade respal- cedimientos inde mane- alejado, asi suales deben cuando sean 8 para aviso situacién del iGiriente de positive ma icionado y to extintores >para poder arael uso de i capacidad uente que se iados o bien ilzarlos, Le de una mujer Se debe cuidar que los de extintores no sean inadecuados, que put vocar mayor perjuicio a las maquinas (extintores liquidos) 0 que pr Jan pro- oduz 108 t6xicos. También se debe evaluar si el personal sabe usar los equipos contra incendio y si ha habido practicas en cuanto a su empleo; que existan suficientes sali para evitar robo: osos son las cintas magnéticas que, al quemarse, das de emergencia, debidamente controlada Los materiales mas pelig producen gases téxicos, y el papel carbén, que es altamente inflamab Los detectores de ionizacién del aire deben colocarse en el techo y en el piso falso, repartirse de manera uniforme y estar conectados al tablero del equipo de control contra incendio. En este tablero se localiza un reloj que puede calibrarse de 0 a 60 segundos; para provocar un disparo de gas debe jalarse a través de boquillas de aspersién estratégicamente colocadas en el techo de la sala, para permitir la evacuacién del personal y desconectar el sistema. Se debe verificar queel material utilizado para extinguir los incendios no provoque problemas a los equipes electrénicos, Es necesario definir y documentar los procedimientos que se deben seguir en caso de incendio. Los planes de evacuacién del centro deben estar plena- mente probados y documentados. Ademés, se debe entrenar al personal acerca de su uso, ya qué con frecuencia muchos empleados no saben exactamente qué deben hacer en caso de incendio. Las cintas y discos magnéticos deben almacenarse en una sala aparte y se debe contar con un acceso al area en donde se localiza el equipo de comput. Esta sala debe contar con todas las condiciones ambientales y de seguridad no- cesarias, ya que la informacién almacenada ahi tiene mas importancia que el P en armarios con paredes fabricadas especialmente para resistir por lo menos opio equipo de cémputo. Las cintas y discos magnéticos deben almacenarse dos horas de fuego. Temperatura Y HUMEDAD Algunos equipos grandes de cémputo (mainframes), 0 bien las computadoras personales que son usadas en zonas muy célidas o desérticas, necesitan de un, sistema de aire acondicionado disentado para estar en operacion constante, con base en los siguientes parémetros: * Disipacion térmica (BTU), La disipacidn térmica de cada unidad de siste- ‘mas es mostrada en tinidades térmicas britdnicas por hora. ‘+ Movimiento de aire (CFM). Los movimientos de aire se muestran en pies cibicos por minuto. + Pérdidas por transferencia de calor. Existen pérdidas por transferencia de chos, 0 por calor, por las siguientes curvas: a) A través de paredes, pisos y t Ia iluminacion; b) diferencias en temperatura entre la sala de cémputo y reas adyacentes, y c) ventanas expuestas a los rayos del sol. 227Los cambios de temperatura durante la operacién del computador dl ser disminuidos. La variaciGn ciclica de temperatura sobre el rango compl de operacién no debe realizarse en menos de ocho horas Ladisipacién térmica, el movimiento de aire, as{ come los minimos caPtHULo 6 mos de temperatura y humedad permitidos deben ser espec eedor del equipo, aunque le temperatura ideal recomendad mente la huimedad debe ser agregada, ya quo al enfriar el aire s a mayoria del vapor de agua por condensocisr Se recomienda quese instalen instrumentos registradores de temper humedad. Dichos instrumentos son necesarias para prover un contin i tro de las condiciones embientales en el érea del equipo Los ductos del aire acondicionado deben estar limpics, ya que son wall las principales causas de polvo, y se habra de contar con detectores de que indiquen la posible presencia de Fuego. ‘omando en cuenta lo anterior, en ei siguiente cuestionario se consign las caracteristicas necesarias para evaluar una adecuada seguridad UBICACION Y CONSTRUCCION DEL CENTRO DE COMPUTO 1. (E! edilcio donde se encuentra la computadora esta situado a salvo de Inundacién’ _ erremato? ) Fusgo? ) Sabotaje? ) 2E| cantro de cémputo da al exterior? (musdies, silas, etc.) cel centro, {Tene el cusrte de méquiias una instalacién da eecaperato y, ci e9 abl pueden ser rotos los vidrios con factidac? si JESta el centro de computo en un lugar de alto trafico de personas? 6. {Se tiene materiales 0 paredes inllamabies dentro del centre ce cémpuls? 182 tiene paredes que despiden polvo? 4Se fiene paredes que ne estén adecuadamente selledas? Se tiene grandes ventanales orientados a la entrada o salida del sol? éExiste luger suticiente para los equipos?uindor deben ng completo. Qs por el pro- de 22°C. Gee emperatura y jeson una de res de humo. Ad fsica TO lo de: referencia } equipo 229 Esta sobrasaturada la instalacién? i v0 {Se tiene lugar previsto? Este os el adecuado para: sic, + Almacenamiento de equipos magnetico: as 10 + Formatos y papel para impresora. Ss 10 + Mesas de trabajo y muebles. No + Area y motiliario para martenimionto. sno + Equigo de tolocomunicacicnes. a + Area de progiameciér + Consolas dst operador. Fy + Area de recepcion. + Microcomputadoras. + Fuentes de poder + Béveda do seguridad (b5vada antiincondio bajo maxima proteccién). PISO ELEVADO O CAMARA PLENA 2Se tiene piso elevado? sw ca20 alirmativo: 2Esta impia la camara plena? Fl 2ES de facl limoieza? si {ZEI piso es antestation? s] AIRE ACONDICIONADO a temperatura en la que trabajan los equlpos es la rec proveedor ada por el 00 re acondicionada cuentan con alarmas contra intrusos? 2Los ductos del 2 ZLOs ductos de aire acondicionado estén limpios? Wo 2Se controla la humedad de acuerdo con las espectticaciones del proveedor? NO De qué forma? {Con qué periodicidad? INSTALACION ELECTRICA V SUNINISTRO DE ENERGIA Se cuenta con terra ffsica? 0 2a tierra fisica cumple con las disposiciones del proveedor de equipos de edmputo? a NO. LEI cableado so encuentra debidamente instalado? a 0{Los cables se encuentran debidamente identiicados (posiivo, negatvo list cariruto 6 tisica)? si Los contactos do equipo do cémputo estan debidamente ientificadce? ZEn los contactos, esté identiticado ol positivo, negativo y tierra tisic Se cuenta con los planos de instalacion eléctiica actualizados? £80 tone conectado a jos contactos de equipo de cémputo otro equips é 2Se tiena instalacién eléctrica de equipo de eSmputa independiente de aba ingtalaciones eléctricae? 3 ¢Se tlene precaucién contra fauna nociva? 8 2EI equipo contra fauna nosiva esté debidamente protegido y culdade pal No producir problemas al personal? 4Se utiiza material antiestético? Se tienen regulacores para los equipos de eémputo? Se verifica la regulacién de las cargas méximas y minimas? En caso positive, zcon qué periodicidad? 4Se tiene equipo ininterrumpible? Dura el tiempo suficiente pare respaldar los archivos o pare continua a proceso? so éSe tiene generadores de corriente inintarrumpida? En caso positive, ede qué tipo? éSe prueba su funcionamiento? En case positive, goon qué periodcidad? éSe tiene switch de apagado en caso de emergencia an lugar visible? Los cables estén dentro de panetes y canales eléctricos? éEaiston tabloros de distribucién elécttioa?os ca? no war aa 46, 53. 54. 55. 56 ‘SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA ii 2Se cuenta con alarmas contra inuncacionos? aw ica SEGURIDAD DE AUTORIZACION DE ACCESOS 2Se han adoptado medidas de segurided en la direcoién de informatica? 2Existe una persona responsable de la seguridad? ad 0 2Existe peisonal de vigilancia en la instituclén? d 1% 2Se investiga @ les vigilantes cuando eon contratados dirsctamonto? 2Se controja el trabajo fuera de horario? <0 Se ragistran las acciones de los operadores para evita’ que realicen alguna quo pueda dafar el sistema? 1% Se identifica a la persona que ingresa? d De qué forma? {Como se controla el acceso? * Vigilante, + Recepcionista + Tarjeta de control de acceso. + Puerta de combinacén, + Puerta con cerradura. * Pustta electronica. + Puerta sensorial + Registro de ontradas. + Puertas dobles. * Escotta controtada. + Alarmas, + Tarjetas magnéticas + Contro! biométrice, * Idontficacién pereonal. ( LExiste vigiancia en el cuarto de maquinas las 24 horas? =| No 1Se ha instruido @ estas personas sobre qué medidas temar.en caso de que alguion protenda enirar sin autorizacién? se 1 Son contioladas las visitas y demostractones en el centro de computo? ss NO 1.Cémo son controladas?280 al cuarto de personas ajanas a la diet DETECCION DE HUMO Y FUEGO. EXTINTORES GExiste alarma para’ ‘= Detectar fuego (calor 0 hurro) en forma automatica? + Avisar en forma manual la presencia del fuego? + Detectar una fuga de agua? * Detectar magnets? + No existe? {Estas alarmas estén: En el cuaito de méquinas? En acintoteca y dscotaca? En las bodegas? En otros lados? 2Existe alarma pata detestar condiciones anormalos dol ambiente: * Enel cuarto de maquinas? * Enlacintoteca y discote + Enla bodega? = Enotvos lados? ( O eCuales ? gla alarma es perfectmente aucible? da alerma esté conectada: Al puesto de guarcias? A Ia estacién de bomberos? ‘Aalgin otro Oto. 3. iExisten extintores de fuego: + Manuals? + Automaéticos? + No existen 1Se ha adiestrado e! personal en el manejo de los extintores? si Los extintores, menualee © automdttoos, funcionan a base dede infor ¢Se revisa de acuerdo con el proveedor el tuncionamiento de los exiiiores? a (wora: Veritique el niimero de extitores y su estado) Si es que existen extiniores automdticos, {son activados por los detectores automaticos de fuego? si No Si loe extintores automatioos con a base de agua, ¢se han temaco medidas para evitar que el agua cause més cafio que el fuego” st Ne Si los extintores autométicas son a base de ges, 2se han tomado medidas para avtar que el gas causa més dao que el fuego? si NO onen los extintores 70. ¢Existe un lapso de tiempo suficiente, ‘autonaticos, para que el personal: artes de que func + Corte la accién de los extintores por tratarse de falsa alarma? ‘= Pueda cortar la energla eléctica? ‘+ Pueda abandonar el local sin peligro de intoxicacion? + Es inmediata su accién? 71. gLos interruptores de energia estin debidamente protegidos, stiquetad: ‘Sin obstdculos para alcanzarlos? si No 72, «Saben qué hacer los operadores del cuarto de maquinas en caso de que ‘ocurra una emetgencia oeasionada por fuego? ss 73. LEI personal ajeno a operacicn sabe qué hacer en el caso de una emergen- E cia (incendio)? si ND 74, ¢Exiete ealida de omergensia? «ow aésta puerta solo es posible abnira: ‘+ Desde el interior? ) + Desde el exterior? ) * Por ames lados? ) 76. 40 roviea frecuentemente que no e esta puerta y de las té abioria 0 descompuesta la carras rrtanas, ai es cue existen? Se ha adiestrado a todo el personel en la forma en que se deden desalojar las instalaciones en ceso de emergencia? a e 76, uSe han tomado medidas para minimizer la posibilided de fuego: ‘+ Evitando articulos infiamables en el cuarto de méquinas? ( ) + Prohibiende fumar? ) Vigilando y manteniendo el sistema eléctrico? ) + No se ha previsio, )480 tienen identificadas y sefialadas las salidas de emergencia? Se encuentran las sefalizaciones en la parte inferior y superior oe is pa Sillos? s Se cuenta con mascaras contia gases o sistemas portdtlas de oxigana? 4Se tiene boveda contra Incendio? SEGURIDAD EN GENERAL Se controla el préstamo de: + Elementos magnéticos? + Equipo? + Sotware? Explique ‘a forma en que se ha clasificado la informacién: vital, esencial no esencial, etcétera {480 cuerta con copias de los archivos en un lugar distinto al de la compu tadora? 3 Explique la forma en que estén protegidas fisicamente estes copias (bi cajas de seguridad. etc.) para garantizar su integridad en caso de incendo, inundacién, terremato, elcétera Se tienen establecidos procedimientes de actualzacion para estas coplas? 8. Indique ol numero de copias que se tienen, de acuerdo con la forma en que se clasifica la informacion, Existe dopartamento de auciterfa intorna on la inetitucién? 9) LEste departamento de auditoria Intema conoce todos los aspectos de las sistemas? _ {Qué tipes de controles ha propuasto? Se cumplen? 3. ,Se audlan los sistemas en operacion? {Con qué frecuencia?: + Cada sale meses. + Cada ao + Otra (especifique)95, 96, 97. al, no 98. fompu- 2 2oveda, 100. lcerdio, . 101 enque 102, do tos 103, 104, 235 {Cuéndo se efectiian modificaciones a los programas, ainiciatva de quién?: + Usuario. CA * Director de informatica = Vole de anal + Programader. + Otras (especitique) () 0) O) ) O) La solicitud de modifcaciones 2 las programas se hacen en forma: + Oral a) + Escrta fn [En caso de cor escrita solicte formatos.) Una vez efectuadas las modificaciones, se presentan jas pruebas a los interesados? sf 2Existe control estricto en las modificaciones? no Se revisa que tengan la fecha de las modificaciones cundo 86 hayan electuado? at No Se verifica identificacién: + De la terminal? ) + Dal uaustio? () + No se pide identificacion ) 4Se ha establecido el nivel de usuario de la informacion? Se ha establecide un niimero maximo de violaciones en sucesién para que la mpuiadora cierre esa terminal y se dé avico al responsable de lia? si N 2Se registra cada violacién a los procedimientos con el fin de llevar estadisticas y fronar las tendencias mayores? no {Existen controles y medidas de seguridad sobre las siguientes opera clones? si NO ‘eCudles sor? * ecepcién de documentos. * Informacién confidencial + Captacién de documentos. + Cémputo slecténico. + Programa: * Discotecas y ciniotecas. * Documentos de saiida, + Archivos magnétices.caput 6 Danos de virus Operacién del equipo de computacién, En cuanto al acceso de personal Idontfigacién del personal Palicia, Seguros contra robo ¢ incengio, Cajas de seguridad. Otras (especticue). Securipap EN CONTRA DE VIRUS Un virus de computadora es un programa o serie de instrucciones que al init tar otros programas provoca que se modifiquen sus instrucciones, o bien quel infectar los dates y la informecién provoque variaciones en los resultados i clalmente previstos. Su comportamiento y consecuencias pueden evolucon mediante un ntimero finito de instancias. Los dafios que puede provocar un virus son de muy diversa indole, pel uno de los principaleses el psicolégico, ya que muchos usuarios, cuando tiene quier tipo de problema, lo primero que piensan es que es un virus, sine on o siel sistema tiene problemas (bugs), lo primeroengle se piensa es en un virus. Los dafios mda comunes son los siguientes: Suplantacion de datos. Eliminacién aleatoria Destruccidn de la produccién ModiticaciGn de los cédigos de proteccién Bloqueo de redes. Cambios de informacién entre usuarios, Por medio de un canal encubierto, cambiar, accesar 0 difund! segurid. Modificacién de informaci6n de salida o de pantallas. uraci6n, reduccién de disponibilidad o cambio de pardmetr Combinacién de los anteriore: En.un principio los virusinfectaban la parte protegida de la memoria dol programas; despuds, se extendieron, en el sentido de que no sélo infectabin dl ario, sino a otros posibles usuarios de la informacién. Esto se presentaba pi Gipalmente en las redes y en las bases de datos, pero en la actualidad tambien tiene el problema de persistencia, ya que el virus puede estar encapsulado, hast que suceda un evento (fecha), 0 bien tenga posibilidades de infectar al sistema, Para evitar que los virus se diseminen por todo el sistema computarizalodl por las redes se debs © Ufilizar paquetes y programas originales. + Limitar la utilizacién en comin. Solo permitir el acceso a la parte del de ma 0 del programa autorizado para cada usuario,

Imagen Del Libro Auditoria Informatica de Echenique

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Imagen Del Libro Auditoria Informatica de Echenique

Cargado por

Copyright:

Formatos disponibles

También podría gustarte