Manual

ADMINISTRACIN DE
LOS CENTROS DE
CMPUTO
Misin de un CC, planeacin y Niveles
de Planeacin
En este documento encontrars los conceptos
bsicos de administracin; mismos que podrs
aplicar a la administracin de centros de cmputo.
LI. Yadira Rojas Mata
Semestre 108 0!
CONAEP !"!

#ebrero $unio
!%&'
Admn. y Auditor(a
de Centros de )atos

Manual
L.I. Teresa Surez Reyes
* N#O+M,-* CA
CON-EN*)O
Temas
UNI DAD I Administracin del centro de cmputo
o datos
A. Planeacin de las actividades.
". )istribucin de instalaciones y ubicacin .(sica.
C. *denti/cacin del entorno de un centro de cmputo.
D. )escripcin de puestos
E. Adquisicin de 0o.t1are.
#. Adquisicin de 2ard1are
$. Obtencin de permisos y licencias.
UNI DAD I I Auditor(a del centro de cmputo o
datos.
A. *denti/cacin del entorno de auditor(a.
". Mane3o de controles
C. Evaluacin de plan de contin4encias in.ormticas.
D. *denti/cacin de revisiones de auditor(a.
E. 5so de 6erramientas para auditor(a in.ormtica.
#. Aplicacin de la metodolo4(a de auditor(a
7. Conclusin
'.8 9iblio4ra.(a
2
.*. -ere 0ure: +eyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
3
O9$E-*;O <ENE+A
Aplicar el proceso administrativo y auditor(a a centros de datos o
de cmputo mediante la planeacin de actividades, or4ani:acin de
recursos, y evaluacin de acciones para brindar un ptimo servicio
en los procesos automati:ados de in.ormacin de una entidad.
4
*N-+O)5CC*=N
El presente material contiene in.ormacin acerca de los centros de computo,
del los departamentos que pueden o deben componer un centro de computo,
de las .unciones que cada uno de ellos debern reali:ar, as( como del per/l
pro.esional que debern tener las personas que en determinado momento
puedan ocupar esos puestos. -ambi>n contiene in.ormacin acerca de las
normas que ri4en las leyes de derec6os de autor, 4arant(as y restricciones
acerca del uso de el 6ard1are y el so.t1are., as( como la in.ormacin acerca de
los principales problemas que se pudieran presentar en un centro de computo
5
5N*)A) &
Admi %i stra&i '% de( &e%tro de &'m)*to o datos
O+jeti,o )arti&*(ar- Administrar los recursos materiales, 6umanos y /nancieros,
as( como las actividades de un centro de cmputo o datos con base en la aplicacin de
las .ases de planeacin y or4ani:acin del proceso administrativo que conlleven a la
operacin ptima del mismo.
1.1.1 Rea(i.a *% )(a% de a&ti,idades de &e%tro de &'m)*to o
datos-
O+jeti,o es)e&/0&o- +eali:a la planeacin de las actividades del centro de
cmputo de acuerdo con las necesidades or4ani:acionales, estrate4ias a se4uir y
mane3o de in.ormacin.
ADMI NI STRACI N DE LOS CENTROS DE CMPUTO
Misi'% de *% &e%tro de &'m)*to-
a computadora como 6erramienta de solucin para problemas de clculo de
operaciones, investi4acin de procesos, ense?an:a, etc. establece las bases para
determinar el ob3etivo de un centro de cmputo, como es el de prestar servicios a
di.erentes reas de una or4ani:acin ya sea dentro de la misma empresa, o bien .uera
de ella, tales como@ produccin, control de operaciones, captura de datos,
pro4ramacin, dibu3o, biblioteca, etc. os diversos servicios que puede prestar un
centro de cmputo, pueden dividirse en departamentos a reas espec(/cas de traba3o.
P(a%ea&i'%-
Al4unas de/niciones de la planeacin como parte de su si4ni/cado pueden ser@
Proceso por el cul se obtiene una visin del .uturo, en donde es posible
determinar y lo4rar los ob3etivos, mediante la eleccin de un curso de accin.
Proceso que permite la identi/cacin de oportunidades de me3oramiento en la
operacin de la or4ani:acin con base en la t>cnica, as( como el
6
establecimiento .ormal de planes o proyectos para el aprovec6amiento inte4ral
de dic6as oportunidades.
Es la .uncin que tiene por ob3etivo /3ar el curso concreto de accin que 6a de
se4uirse, estableciendo los principios que 6abrn de orientarlo, la secuencia de
operaciones para reali:arlo y las determinaciones de tiempo y nAmeros
necesarios para su reali:acin.
B2acer que ocurran cosas que de otro modo no 6abr(an ocurridoB. Esto equivale
a tra:ar los planes para /3ar dentro de ellos nuestra .utura accin.
)eterminacin racional de adnde queremos ir y cmo lle4ar all
Ni,e(es de P(a%ea&i'%-
a planeacin considerada como uno de los principales elementos del proceso
administrativo, es de .undamental importancia dentro de la estructuracin de un
Centro de Cmputo; como tal considera los si4uientes niveles@
P(a%ea&i'% estrat12i&a.3 0e re/ere a las estrate4ias a se4uir en la
construccin del Centro de Cmputo. CPor que construirloD. Cuando se responde
a este cuestionamiento, pueden in.erirse los caminos a se4uir para la
construccin del mismo.
P(a%ea&i'% de re&*rsos.3 )entro de este mbito deben considerarse los
recursos econmicos que va a requerir la construccin del Centro de Cmputo.
CCuanto dinero se va a ocuparD
P(a%ea&i'% O)erati,a.3 CCmo va a .uncionar el Centro de CmputoD, CEu>
0o.t1are ser necesarioD. CEue cantidad de personal ser necesariaD, etc.
P(a%ea&i'% de )erso%a(.3 CEuienes van a operar al Centro de CmputoD,
CCules sern sus .uncionesD, CEu> cantidad de personal ser necesariaD, etc.
P(a%ea&i'% de i%sta(a&io%es 4/si&as.3 CEn donde estar ubicado el Centro de
CmputoD, CCuntas secciones ser necesario construirD, CEn donde se colocar
el centro de car4aD, CEn donde sern ubicados los servidores o la
macrocomputadoraD, CEue condiciones de ventilacin sern necesariasD, etc.
P(a%ea&i'% de re&*rsos-
7
a planeacin de recursos en para un centro de cmputo es aquella que establece los
ob3etivos y determina un curso de accin a se4uir, de los si4uientes elementos@
*nstalaciones@ Edi/cios y acondicionamiento del mismo, plantas de emer4encia,
dispositivos de se4uridad, etc.
Equipo@ Equipo de cmputo necesario para su .uncionamiento, peri.>ricos, etc.
Materiales de produccin@ Materias primas para su .uncionamiento, as( como
materiales directos e indirectos.
P(a%ea&i'% o)erati,a-
a planeacin operativa de un centro de cmputo consiste en reali:ar un detallado
anlisis de necesidades de la empresa y de/nir en base a estas necesidades una
plata.orma tecnol4ica con una in.raestructura en 6ard1are, so.t1are, personal
operativo, etc. que soporte las operaciones de la empresa y se utilice como el medio
de procesamiento de in.ormacin.
#*er.a-
El sur4imiento y desarrollo de todo tipo de or4anismos as( como la multiplicidad de
relaciones entre ello, 6an dado lu4ar a la eFistencia de di.erentes tipos de
administracin que a veces 6acen con.usas su clasi/cacin. 0in embar4o, la
clasi/cacin mas comAn es aquella, que atiende al sector econmico
UNIDAD DE MANDO: 5na sola persona debe de mandar a todos los 0ubordinados.
AUTORIDAD: -oda empresa debe de tener una persona que los diri3a.
UNIDAD DE DIRECCIN: 5n pro4rama para cada actividad.
CENTRALIZACIN: -odas las actividades deben ser mane3adas por una sola persona.
NO-A@ Actualmente encontramos que debido a las estructuras esto no resulta muy
.uncional para las empresas.
8
E0&ie%&ia de P(a%es-
a e/ciencia de un plan se mide por su contribucin al propsito y al los ob3etivos que
se persi4uen, equilibrado por los costos y otros .actores que se requieren para
.ormularlo y operarlo. 5n plan puede .acilitar la consecucin de los ob3etivos, pero a
un costo eFcesivamente elevado. os planes son e/cientes si lo4ran su propsito a un
costo ra:onable, cuando el costo se mide no slo en t>rminos del tiempo, dinero o
produccin sino tambi>n por el 4rado de satis.accin individual y de 4rupo.
#(e5i+i(idad e% (a )(a%ea&i'%-
5n pro4rama de plani/cacin y control de utilidades Go de otro instrumento de la
administracinH no debe dominar a un ne4ocio. Cuando se pon4an en prctica los
planes, debe eFistir una pol(tica BsupremaB y absoluta de la administracin de modo
que no puedan impon>rseles y que sean aprovec6adas todas las oportunidades
.avorables aAn cuando no est>n incluidas en el presupuesto.
5n pro4rama de plani/cacin y control de utilidades aplicado sobre una base bien
in.ormada permite mayor libertad en todos los niveles de la administracin. Es posible
este e.ecto porque todos los niveles de la administracin son comprometidos en el
proceso de toma de decisiones al estar desarrollndose los planes.
Este plan coloca a la administracin en la posicin de poder evaluar, sobre una base
ms ob3etiva. En las reas de control la IeFibilidad es particularmente importante. No
deben interpretarse con ri4ide: los presupuestos de 4astos y costos. El presupuesto
no debe coartar las decisiones racionales que 6ayan de tomarse en relacin con los
4astos simplemente porque no se previ un desembolso.
P(a%ea&i'%-
Para planear e/cientemente es necesario tomar en cuenta los si4uientes principios@
Factibilidad.- o que se planee debe ser reali:able
9
Objetividad y cuati!caci".- Cuando se planea es necesario basarse en datos
reales y nunca en especulaciones u opiniones. a planeacin ser mas con/able en
cuanto pueda ser cuanti/cada o sea, eFpresa en tiempo, dinero, cantidades y
especi/caciones Gporcenta3es, unidades, volumenH
Fle#ibilidad.- Al elaborar un plan este debe de a.rontar situaciones imprevistas, y
que proporcionen nuevos cursos de accin que se a3usten .cilmente a las condiciones
Uidad.- -odos los planes espec(/cos deben inte4rarse a un plan 4eneral y diri4irse a
lo4ros de los propsitos y ob3etivos 4enerales
Del ca$bi% de e&t'ate(ia&.- Cuando un plan se eFtiende en relacin al tiempo, ser
necesario re6acerlo completamente
Eta)as de (a P(a%ea&i'%-
)'%*"&it%&: 0on las aspiraciones .undamentales o /nalidades de tipo cualitativo que
persi4uen en .orma permanente o semipermanente, un 4rupo social. 0on los /nes a
los que se quiere lle4ar.
Ive&ti(aci": Consiste en determinar todos los .actores que inIuyen en el lo4ro de
los propsitos, as( de los medios ptimos para conse4uirlos.
)'e$i&a&: 0on suposiciones que se deben considerar ante aquellas circunstancias o
condiciones .uturas que a.ectarn el curso en que va a desarrollarse el plan.
Objetiv%&: Presentan los resultados que el Centro de Cmputo espera obtener, son
/nes por alcan:ar, establecidos cuantitativamente y determinados para reali:arse
transcurrido un tiempo espec(/co.
E&t'ate(ia&: 0on cursos de accin 4eneral o alternativas que muestran la direccin y
el empleo 4eneral de los recursos y es.uer:os, para lo4rar los ob3etivos en las
condiciones ms venta3osas.
10
)%l+tica&: 0on 4u(as para orientar la accin, son criterios, lineamientos 4enerales a
observar en la toma de decisiones, sobre problemas que se repiten una y otra ve:.
)'%('a$a&: Es un esquema donde se establece la secuencia de actividades
espec(/cas que 6abrn de reali:arse para alcan:ar los ob3etivos, y el tiempo requerido
para e.ectuar cada una de sus partes y todos aquellos eventos involucrados.
)'e&u*ue&t%&: os presupuestos son un elemento indispensable al planear, ya que a
trav>s de ellos se proyectan, en .orma cuanti/cada, los elementos que se necesitan
para cumplir con los ob3etivos.
5n presupuesto es un esquema escrito de tipo 4eneral yJo espec(/co, que determina
por anticipado, en t>rmino cuantitativo Gmonetario yJo no monetarioH. Es un plan de
todas o al4unas de las .ases de actividades del Centro de Cmputo eFpresado en
t>rminos econmicos.
)'%cedi$iet%&: Establecen el orden cronol4ico y la secuencia de actividades que
deben se4uirse en la reali:acin de un traba3o repetitivo.
P(a%ea&i'% de( )erso%a(-
En esta etapa de la planeacin, el administrador de centros de cmputo debe
seleccionar al personal que se requiere para la operacin del centro de sistemas de
acuerdo con su per/l pro.esional, su preparacin y su eFperiencia en el mbito laboral.
5na de las partes ms importantes dentro de la planeacin de la auditor(a en
in.ormtica es el personal que deber participar y sus caracter(sticas.
5nos de los esquemas 4eneralmente aceptados para tener un adecuado control es
que el personal que interven4a est> debidamente capacitado, con alto sentido de
moralidad, al cul se le eFi3a la optimi:acin de recursos Ge/cienciaH y se le retribuya o
compense 3ustamente por su traba3o.
Con estas bases se debe considerar las caracter(sticas de conocimientos, prctica
pro.esional y capacitacin que debe tener el personal que intervendr en la auditor(a.
11
En primer lu4ar se debe pensar que 6ay personal asi4nado por la or4ani:acin, con el
su/ciente nivel para poder coordinar el desarrollo de la auditor(a, proporcionar toda la
in.ormacin que se solicite y pro4ramar las reuniones y entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni
contar con un 4rupo multidisciplinario en el cul est>n presentes una o varias
personas del rea a auditor(a es casi imposible obtener in.ormacin en el momento y
con las caracter(sticas deseadas.
-ambi>n se debe contar con personas asi4nadas por los usuarios para que en el
momento que se solicite in.ormacin o bien se e.ectAe al4una entrevista de
comprobacin de 6iptesis, nos proporcionen aquello que se est solicitando, y
complementen el 4rupo multidisciplinario, ya que se debe anali:ar no slo el punto de
vista de la direccin de in.ormacin, sino tambi>n el del usuario del sistema.
Para completar el 4rupo, como colaboradores directos en la reali:acin de la auditor(a
se deben tener personas con las si4uientes caracter(sticas@
->cnico en in.ormtica
EFperiencia en el rea de in.ormtica
EFperiencia en operacin y anlisis de sistemas
Conocimientos de sistemas mas importantes
En caso de sistemas comple3os se deber contar con personal con conocimientos y
eFperiencia en reas espec(/cas como base de datos, redes, etc. o anterior no
si4ni/ca que una sola persona ten4a los conocimientos y eFperiencias se?aladas, pero
si debe intervenir una o varias personas con las caracter(sticas apuntadas.
De&c'i*ci" de *ue&t%:
Cdi4o del Puesto
Nombre del Puesto
Misin del Puesto
Ob3etivos espec(/cos
12
#unciones especi/cas por puesto
Entorno operativo Grelaciones con otros puestos ya sea dentro o .uera del
departamentoH
*n.ormacin que se 4enera
)e'!l de *ue&t%:
Escolaridad GNivel de estudios y 4rado de avanceH
,reas del conocimiento que mane3a.
EFperiencia laboral Gempresa, tiempo de traba3o, puesto, .uncionesH
Condiciones de traba3o Ger4onmicas, turno, 6orario, condiciones de estr>sH
Capacidades 4erenciales Gvisin estrat>4ica, lidera:4o, Orientacin a resultados,
traba3o en equipo, ne4ociacinH nivel de dominio.
Capacidades t>cnicas G)ebern ser acordes al departamento donde se asi4ne el
puestoH
P( a%ea&i '% de i %st a( a&i o%es 4 / si &as
Esta etapa de la planeacin se re/ere a todo lo que tiene que ver con el equipo que se
debe de utili:ar y debe de estar contenido en el centro de cmputo.
a ubicacin .(sica e instalacin de un Centro de Cmputo en una empresa depende
de muc6os .actores, entre los que podemos citar@ el tama?o de la empresa, el servicio
que se pretende obtener, las disponibilidades de espacio .(sico eFistente o proyectado,
etc.
<eneralmente, la instalacin .(sica de un Centro de Cmputo eFi4e tener en cuenta
por lo menos los si4uientes puntos@
Local fsico: )onde se anali:ar el espacio disponible, el acceso de equipos y personal,
instalaciones de suministro el>ctrico, acondicionamiento t>rmico y elementos de
se4uridad disponibles.
Espacio y movilidad: Caracter(sticas de las salas, altura, anc6ura, posicin de las
columnas, posibilidades de movilidad de los equipos, suelo mvil o .also suelo, etc.
13
Iluminacin: El sistema de iluminacin debe ser apropiado para evitar reIe3os en las
pantallas, .alta de lu: en determinados puntos, y se evitar la incidencia directa del
sol sobre los equipos.
Tratamiento acstico: os equipos ruidosos como las impresoras con impacto, equipos
de aire acondicionado o equipos su3etos a una 4ran vibracin, deben estar en :onas
donde tanto el ruido como la vibracin se encuentren amorti4uados.
Seuridad fsica del local@ 0e estudiar el sistema contra incendios, teniendo en
cuenta que los materiales sean incombustibles Gpintura de las paredes, suelo, tec6o,
mesas, estanter(as, etc.H. -ambi>n se estudiar la proteccin contra inundaciones y
otros peli4ros .(sicos que puedan a.ectar a la instalacin.
Suministro el!ctrico: El suministro el>ctrico a un Centro de Cmputo, y en particular la
alimentacin de los equipos, debe 6acerse con unas condiciones especiales, como la
utili:acin de una l(nea independiente del resto de la instalacin para evitar
inter.erencias, con elementos de proteccin y se4uridad espec(/cos y en muc6os
casos con sistemas de alimentacin ininterrumpida Gequipos electr4enos, instalacin
de bater(as, etc.H.
os principales requisitos de un centro de sistemas son@
ConeFin a tierra .(sica
No 9reaK G9ater(as o pilasH
+e4uladores de corriente
Aire acondicionado
EFtin4uidores
Mobiliario
Etc.
"onstruccin de la tierra fsica
14
&. 0> deber ele4ir un 3ard(n o lu4ar en donde eFista 6umedad, en caso contrario es
necesario colocar un ducto que aIore a la super/cie para poder 6umedecer el
.ondo.
!. 2acer un po:o de 7 metros de pro.undidad y L% cent(metros de dimetro.
7. En el .ondo se debe colocar una capa de '% cm. )e carbn mineral sobre la cual
descansara una varilla copper1el.
'. Encima del carbn se deber a4re4ar una capa de sal mineral de "cm. M otra de
padecer(a de aluminio y cobre de '% cm. Cubri>ndose despu>s con tierra 6asta
super/cie.
aH El tablero principal para el equipo del computador se debe proveer tri.sico y con
doble bus de tierra, G" 6ilosH, uno par el neutro el>ctrico y otro para proveer tierra
.(sica a las maquinas. Como una medida de se4uridad deber instalarse en un
lu4ar prFimo a la puerta un control para cortar la ener4(a a todo el equipo de
cmputo en cualquier situacin de emer4encia GEME+<ENCM PONE+ O##H. El
espacio prFimo al control de interruptores debe permanecer libre de obstculos
para su .cil operacin.
bH 0e deber tener tantos circuitos como maquinas est>n indicadas que deben llevar
conectivo, esto es@ la unidad central de proceso, impresoras, unidades de control
de discos, cintas comunicaciones, pantallas, etc., la proteccin de estos circuitos
debe ser interruptor termoma4n>tico. 0e deben tener circuitos eFtras para cubrir
ampliaciones con las caracter(sticas de los circuitos tri.sicos y mono.sicos. -odos
los conductores electrnicos 6acia el centro de car4a de la sala deben instalarse
ba3o tuber(a metlica r(4ida y de dimetro adecuado, debidamente conectadas a
tierra. os circuitos de la unidad central de proceso, impresoras, unidades de
control de discos, cintas, comunicaciones, se debe rematar con conectores tipo
industrial a prueba de a4ua y eFplosin +usell O 0toll o equivalente.
cH Al e.ectuarse los clculos de la instalacin el>ctrica al tablero del equipo, los
conductores, re4uladores de tensin, interruptores termoma4n>ticos, etc., se
deben calcular teniendo en cuenta la corriente de arranque de cada maquina, la
cual 4eneralmente es superior a la nominal. )ic6a corriente de arranque debe ser
mane3ada sin inconvenientes, por todos los elementos constructivos de la
instalacin. 0e debe considerar una eFpansin del "%P como m(nimo.
15
Estatica
". 5na de las .allas ms di.(ciles de detectar en los equipos es ocasionada por la
electricidad esttica producida por la .riccin entre dos materiales di.erentes y la
consi4uiente descar4a de este potencial. os materiales que son ms propensos a
producir esttica son aquellos que estn 6ec6os de resina, plsticos, /bras
sint>ticas. El simple 6ec6o de arrastrar una silla sobre el piso nos ocasionara que
tanto la silla como la porcin del piso sobre el que se arrastro queden car4ados de
electricidad esttica. 0i aquella silla o esta persona son aproFimadas a una mesa
metlica conectadas a tierra como los equipos de cmputo, ocasionara que se
produ:ca una descar4a que puede ser o no sensible a una persona, pero si ser
sensible a los equipos de cmputo.
Q. Para reducir el tama?o al m(nimo la esttica, se recomienda las si4uientes
medidas@
aH Conectar a tierra .(sica tanto el piso .also como todos los equipos eFistentes.
bH El cable para la tierra .(sica deber ser recubierto y del mismo calibre que el de las
.ases y el neutro.
cH a 6umedad relativa deber estar entre '"PR8"P para que las car4as estticas
sean menos .recuentes.
dH 0e recomienda usar cera antiest>tica en el piso.
eH 0i eFistieran sillas con ruedas, se recomienda que estas sean metlicas.
#iso $also:
0e debe tener en cuenta la resistencia para soportar el peso del equipo y del
personal.
Es me3or usar placas metlicas o de madera prensada para el piso .also con
soportes y amarres de aluminio.
0ellado 6erm>tico
Nivelado topo4r/co
Posibilidad de reali:ar cambios en la ubicacin de unidades
0e debe cubrir los cables de comunicacin entre la unidad central de proceso,
los dispositivos, las ca3as de coneFiones y cables de alimentacin el>ctrica.
16
a altura recomendable ser de &S a 7% cm. si el rea del centro de
procesamiento de datos es de &%% metros cuadrados o menos, con ob3eto de
que el aire acondicionado pueda Iuir adecuadamente.
#uertas de %cceso
-ener en cuenta las dimensiones mFimas de los equipos si 6ay que atravesar
puertas y ventanas de otras dependencias.
as puertas deben ser de doble 6o3a y con una anc6ura total de &.'% a &.Q% cm.
Este punto ya no es tan importante ya que el equipo in.ormtica est
reduciendo su tama?o y no es necesario tener dos puertas para poder
introducirloH
Crear rutas de salida en caso de emer4encia.
1.6.1Desarro((a *% ma%*a( de )ro&edimie%tos de (a o)era&i'% de
*% &e%tro de &'m)*to-
O+jeti,o Es)e&/0&o- Or4ani:a los recursos .(sicos y 6umanos de acuerdo con las
.unciones, reas del centro de cmputo y las actividades in.ormticas de la entidad.
I de%t i 0 &a&i '% de( e%t or %o de *% &e%t r o de &'m)*t o.
A veces cuando se pone en marc6a un ne4ocio o simplemente se traba3a para una
compa?(a o empresa, en el rea de cmputo, no tenemos presente sobre cuales son
nuestras responsabilidades al estar a car4o de un departamento de este tipo.
Es muy importante no perder de vista el ob3etivo de dic6o espacio, pues su correcto
.uncionamiento nos a6orrar un sin.(n de inconvenientes.
)e i4ual manera podemos conocer cuales son dic6as .unciones, como son@
Operar el sistema de computacin central y mantener el sistema disponible
para los usuarios.
E3ecutar los procesos asi4nados con.orme a los pro4ramas de produccin y
calendarios preestablecidos, de3ando el re4istro correspondiente en las
solicitudes de proceso.
17
+evisar los resultados de los procesos e incorporar acciones correctivas
con.orme a instrucciones de su superior inmediato.
+eali:ar las copias de respaldo GbacK8upH de la in.ormacin y procesos de
cmputo que se reali:an en la )ireccin, con.orme a parmetros
preestablecidos.
Marcar yJo se?ali:ar los productos de los procesos e3ecutados.
levar re4istros de .allas, problemas, soluciones, acciones desarrolladas,
respaldos, recuperaciones y traba3os reali:ados.
;elar porque el sistema computari:ado se manten4a .uncionando
apropiadamente y estar vi4ilante para detectar y corre4ir .allas en el mismo.
+eali:ar labores de mantenimiento y limpie:a de los equipos del centro de
cmputo.
Aplicar en .orma estricta las normas de se4uridad y control establecidas.
Mantener in.ormado al 3e.e inmediato sobre el .uncionamiento del centro de
cmputo.
Cumplir con las normas, re4lamentos y procedimientos establecidos por la
)ireccin o <erencia para el desarrollo de las .unciones asi4nadas.
Esto solo por citar al4unas, espero que esta in.ormacin les 6aya sido de
utilidad.
7reas o de)artame%tos-
)'ici*ale& de*a'ta$et%& de u Cet'% de C"$*ut%
)entro de una empresa, el centro de proceso de datos o centro de cmputo cumple
diversas .unciones que 3usti/can los puestos de traba3o establecidos que eFisten en >l,
los cules se en4loban a trav>s de los si4uientes departamentos@
E&plotacin de sistemas o aplicaciones. a eFplotacin u operacin de un sistema
in.ormtico o aplicacin in.ormtica o aplicacin in.ormtica consiste en la utili:acin y
aprovec6amiento del sistema desarrollado. Consta de previsin de .ec6as de
reali:acin de traba3os, operacin 4eneral del sistema, control y mane3o de soportes,
se4uridad del sistema, supervisin de traba3os, etc.
18
Soporte t!cnico a usuarios. El soporte, tanto para los usuarios cono para el propio
sistema, se ocupa de seleccionar, instalar y mantener el sistema operativo adecuado
del dise?o y control de la estructura de la base de datos, la 4estin de los equipos de
teleproceso, el estudio y evaluacin de las necesidades y rendimientos del sistema y,
por Altimo, la ayuda directa a usuarios.
'estin y administracin del propio centro de procesamiento de datos. as .unciones
de 4estin y administracin de un centro de procesamiento de datos en4loban
operaciones de supervisin, plani/cacin y control de proyectos, se4uridad y 4eneral
de las instalaciones y equipos, 4estin /nanciero y 4estin de los propios recursos
6umanos.
De)artame%to o 8rea de o)era&i'%-
Esta rea se encar4a de brindar los servicios requeridos para el proceso de datos,
como son el preparar los datos y suministros necesarios para la sala de cmputo.
Mane3ar los equipos peri.>ricos y vi4ilar que los elementos del sistema .uncionen
adecuadamente.
En esencia el personal del rea operativa se encar4a de alimentar datos a la
computadora, operar el B6ard1areB necesario y obtener la in.ormacin resultante del
proceso de datos.
O*e'ad%'e&
os operadores de computadoras preparan y limpian todo en equipo que se utili:a en
el proceso de datos, mantienen y vi4ilan las bitcoras e in.ormes de la computadora,
montan y desmontan discos y cintas durante los procesos y colocan las .ormas
continuas para la impresin.
-ambi>n documentan las actividades diarias, los suministros empleados y cualquier
condicin anormal que se presente.
19
El papel de los operadores es muy importante debido a la 4ran responsabilidad de
operar la unidad central de proceso y el equipo peri.>rico asociado en el centro de
cmputo.
5n operador de computadoras requiere de conocimientos t>cnicos para los que
eFisten pro4ramas de dos a?os de capacitacin terica, pero la prctica y la
eFperiencia es 4eneralmente lo que necesita para ocupar el puesto.
De)artame%to o 8rea de )rod*&&i'% 9 &o%tro(-
-anto la Produccin como el Control de Calidad de la misma, son parte de las
.unciones de este )epartamento. #unciones@
Construir soluciones inte4rales GaplicacionesH a las necesidades de in.ormacin
de los usuarios.
5sar las t>cnicas de construccin de sistemas de in.ormacin orientadas
netamente a la productividad del personal y a la satis.accin plena del usuario.
Construir equipos de traba3o con la participacin del usuario y del personal
t>cnico de acuerdo a metodolo4(as establecidas.
Mantener comunicados a los usuarios y a sus colaboradores de los avances,
atrasos y problemas que se presentan rutinariamente y cuando sea necesario a
trav>s de medios establecidos .ormalmente, como el uso de correo electrnico,
mensa3es relmpa4os o Ias6.
Mantener pro4ramas de capacitacin para el personal t>cnico y usuarios.
De)artame%to ' 8rea de a%8(isis de sistemas-
os analistas tienen la .uncin de establecer un Iu3o de in.ormacin e/ciente a trav>s
de toda la or4ani:acin. os proyectos asi4nados a los analistas no necesariamente
requieren de la computadora, mas bien necesitan el tiempo su/ciente para reali:ar el
estudio y la proposicin de soluciones de los problemas, planteando di.erentes
20
alternativas. a reali:acin de cualquiera de las soluciones puede durar varias
semanas o meses dependiendo de la comple3idad del problema.
os proyectos t(picos de sistemas pueden implicar el dise?o de reportes, la evaluacin
de los traba3os e.ectuados por el personal de los departamentos usuarios, la
supervisin de cambios de equipo la preparacin de presupuesto en el rea de
cmputo.
os analistas pueden ser e4resados de di.erentes carreras y bsicamente los
requisitos para estos son@ educacin pro.esional .ormal y eFperiencia prctica, esta
Altima solo se lo4ra despu>s de 6aber traba3ado en el rea de pro4ramacin.
EFisten di.erentes t(tulos de analistas@ Analista $unior, Aprendi: de 0istemas y Analista
0enior que indican di.erentes 4rados de eFperiencia, entrenamiento y educacin. A su
ve: estos pueden tener todav(a ms clasi/caciones dependiendo del tama?o de la
or4ani:acin, o bien puede 6aber analistas pro4ramadores que reali:an tanto la
.uncin de analistas como la de pro4ramadores, esto indica una doble responsabilidad.
De)artame%to o 8rea de )ro2rama&i'%-
El 4rupo de pro4ramacin es el que se encar4a de elaborar los pro4ramas que se
e3ecutan en las computadoras, modi/can los eFistentes y vi4ilan que todos los
procesos se e3ecuten correctamente. os pro4ramadores toman las especi/caciones
de los sistemas reali:ados por los analistas y las trans.orman en pro4ramas e/cientes
y bien documentados para las computadoras.As( como los analistas, los
pro4ramadores pueden clasi/carse en@ BPro4ramadores 3uniorB o BAprendices de
Pro4ramacinB que son personas reci>n 4raduadas, personal de operacin que
demuestra inter>s en la pro4ramacin o 4raduados de escuelas t>cnicas de
computacin, BPro4ramadores 0eniorB son los que ya tienen varios a?os de
eFperiencia en proyectos 4randes.
Es .recuente que en 4randes or4ani:aciones a4rupen los pro4ramadores y eFista un
pro4ramador principal o l(der de pro4ramacin que diri3a el traba3o de cada 4rupo
adems de establecer y reportar el traba3o del 4rupo.
21
os pro4ramadores de sistemas deben tener los conocimientos su/cientes del
6ard1are para poder optimi:ar la utili:acin del equipo. 0u .uncin es
eFtremadamente t>cnica y especiali:ada ya que deben seleccionar, modi/car y
mantener el comple3o so.t1are del sistema operativo.
De)artame%to o 8rea de im)(eme%ta&i'%-
Esta rea es la encar4ada de implantar nuevas aplicaciones 4aranti:ando tanto su
calidad como su adecuacin a las necesidades de los usuarios. Al4unas .unciones
principales 4enerales que reali:a esta rea son@
Coordinar con las reas de sistemas y usuarios la implantacin de las
aplicaciones.
)ise?ar los planes de calidad de las aplicaciones y 4aranti:ar su cumplimiento.
;alidar los nuevos procedimientos y pol(ticas a se4uir por las implementaciones
de los proyectos liberados.
Probar los productos y servicios a implementar antes de ser liberados al usuario
/nal.
Elaborar con3untamente con el rea de Pro4ramacin o )esarrollo, los planes de
capacitacin de los nuevos usuarios.
Coordinar la presentacin de las nuevas aplicaciones a los usuarios.
0upervisar el cumplimiento de los sistemas con la normatividad establecida.
De)artame%to o 8rea de so)orte t1&%i&o
,rea responsable de la 4estin del 6ard1are y del so.t1are dentro de las instalaciones
del Centro de Cmputo, entendiendo por 4estin@ estrate4ia, plani/cacin, instalacin
y mantenimiento.Al4unas .unciones principales 4enerales que reali:a esta rea son@
Plani/car la modi/cacin e instalacin de nuevo so.t1are y 6ard1are.
Evaluar los nuevos paquetes de so.t1are y nuevos productos de 6ard1are.
22
)ar el soporte t>cnico necesario para el desarrollo de nuevos proyectos,
evaluando el impacto de los nuevos proyectos en el sistema instalado.
Ase4urar la disponibilidad del sistema, y la coordinacin necesaria para la
resolucin de los problemas t>cnicos en su rea.
+eali:ar la coordinacin con los t>cnicos del proveedor con el /n de resolver los
problemas t>cnicos y 4aranti:ar la instalacin de los productos.
Proponer las notas t>cnicas y recomendaciones para el uso ptimo de los
sistemas instalados.
Participar en el dise?o de la Arquitectura de 0istemas.
Des&r i )&i '% de P*est os.
5na de las partes ms importante dentro de cualquier or4ani:acin es sin duda
el tenerla bien de/nida y saber per.ectamente lo que cada persona, que .orma
dic6a or4ani:acin, 6ace o debe de 6acer dentro de ella, es por eso que se
vuelve imprescindible traba3ar con descripciones de puestos. En un
departamento de sistemas eFiste puestos 4en>ricos de/nidos los cuales son
tomados por la or4ani:acin y adaptados se4An sus necesidades. A
continuacin damos un e3emplo de dic6os puestos 4en>ricos y posteriormente
de cmo >stos .ueron adaptados a nuestras necesidades y casos espec(/cos.
)'%,e&i" Actividade& y c%%ci$iet%& de&eable&
*n.ormtico <eneralista Con eFperiencia amplia en ramas distintas.
)eseable que su labor se 6aya desarrollado
en EFplotacin y en )esarrollo de Proyectos.
Conocedor de 0istemas.
EFperto en )esarrollo de
Proyectos
Amplia eFperiencia como responsable de
proyectos. EFperto analista. Conocedor de las
metodolo4(as de )esarrollo ms importantes.
->cnico de 0istemas EFperto en 0istemas Operativos y 0o.t1are
9sico. Conocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de EFplotacin.
23
EFperto en 9ases de )atos y
Administracin de las mismas.
Con eFperiencia en el mantenimiento de
9ases de )atos. Conocimiento de productos
compatibles y equivalentes. 9uenos
conocimientos de eFplotacin
EFperto en 0o.t1are de
Comunicacin
Alta especiali:acin dentro de la t>cnica de
sistemas. Conocimientos pro.undos de redes.
Muy eFperto en 0ubsistemas de teleproceso.
EFperto en EFplotacin y
<estin de CP)T0
+esponsable de al4An Centro de Clculo.
Amplia eFperiencia en Automati:acin de
traba3os. EFperto en relaciones 6umanas.
9uenos conocimientos de los sistemas.
->cnico de Or4ani:acin EFperto or4ani:ador y coordinador.
Especialista en el anlisis de Iu3os de
in.ormacin.
->cnico de evaluacin de Costes Economista con conocimiento de *n.ormtica.
<estin de costos.
)entro del departamento eFisten di.erente puestos, a los cuales se les asi4nan
di.erentes actividades y responsabilidades, a continuacin se describen las
caracter(sticas de cada uno de estos.
0e cuenta con@
& <erente
& Encar4ado de desarrollo
& Encar4ado de 0oporte ->cnico
& Encar4ado de desarrollo en +edes
& Encar4ado de +edes y Comunicaciones
& Operador e *nstalador
& 0ecretaria
(ES"RI#"I)* (EL #+EST)
24
Nombre................@ <ustavo 9oni.a: 0.
)epartamento.......@ 0istemas
Puesto...................@ <erente )el )epartamento de 0istemas
(e,nicin:
Es el responsable ante la direccin del establecimiento y .uncionamiento del
departamento, de manera que satis.a4a las necesidades de la empresa a corto y lar4o
pla:o.
Es el asesor de la 4erencia en cuanto a la utili:acin de las computadoras y es el
director t>cnico y administrativo de todas las actividades del procesamiento de datos.
Ayuda a la 4erencia a determinar las necesidades en lo re.erente a la
in.ormacin y equipo necesario para que se puedan alcan:ar los ob3etivos de la
empresa.
)e/ne y controla el presupuesto y medios necesarios para el departamento.
*nterpreta las necesidades de la empresa y con.ecciona y da a conocer el plan
de automati:acin.
Prepara los proyectos con los usuarios vi4ilando que los traba3os se inte4ren de
un modo apropiado y sean 3usti/cados y aprobados.
Elabora estudios para la eleccin y adquisicin de equipo de cmputo y
accesorios.
0u4iere la ampliacin o substitucin de las instalaciones eFistentes
Estandari:a los m>todos y establece las normas de e/cacia y los costos
ase4urndose que el personal las conoce y acepte.
0e in.orma de los distintos problemas por medio de subordinados y da
se4uimiento para aplicar soluciones rpidas y e.ectivas.
Establece la comunicacin entre el personal del departamento y .omenta las
buenas relaciones entre ellos.
0e ase4urara que los responsables de los servicios a usuarios cumplan de tal
manera, que dic6o usuario quede satis.ec6o.
25
Nombre................@ *4nacio 9a?uelos.
)epartamento.......@ 0istemas.
Puesto...................@ Encar4ado de +edes y comunicaciones.
(e,nicin:
Es el responsable del establecimiento y .uncionamiento de las redes computacionales
del 4rupo.
Es el encar4ado del dise?o e implementacin de dic6as redes.
Es el responsable de la con/4uracin e instalacin del so.t1are necesario.
Es el responsable de los equipos de comunicacin.
Es el encar4ado de mantener comunicados los equipos de cmputo.
Es el encar4ado de investi4ar y proponer soluciones de redes y comunicacin.
Es el responsable de mantener y controlar el cableado.
Nombre................@ Ale3andro 0olares.
Puesto...................@ Encar4ado de desarrollo de so.t1are para +edes y Pcs.
(e,nicin:
Es el responsable de la elaboracin y mantenimiento de los sistemas que corren en la
red y las pcs.
Es el responsable de los paquetes instalados en la red y pcs.
*nterpreta las necesidades de los usuarios y con.ecciona las soluciones pertinentes.
Prepara los proyectos con los usuarios vi4ilando que los traba3os se inte4ren de un
modo apropiado.
Elabora estudios para la eleccin y adquisicin de so.t1are para redes y pcs.
Es el encar4ado de estandari:ar los paquetes y so.t1are que corre ba3o redes y pcs.
26
Es el encar4ado de investi4ar y probar nuevos productos para redes y pcs.
Es el responsable de la inte4ridad de la in.ormacin que se 4enera y manipula en las
redes y pcs.
Nombre................@ +odol.o 0e4ura.
Puesto...................@ Encar4ado de desarrollo de so.t1are
(e,nicin:
Es el responsable de la elaboracin y mantenimiento de los sistemas.
Es el responsable de los paquetes instalados.
*nterpreta las necesidades de los usuarios y con.ecciona las soluciones pertinentes.
Prepara los proyectos con los usuarios vi4ilando que los traba3os se inte4ren de un
modo apropiado.
Elabora estudios para la eleccin y adquisicin de so.t1are
Es el encar4ado de estandari:ar los paquetes y so.t1are
Es el encar4ado de investi4ar y probar nuevos productos
Es el responsable de la inte4ridad de la in.ormacin que se 4enera
Nombre................@ $uan $os> #i4ueroa.
Puesto...................@ Encar4ado de 0oporte t>cnico AsJ'%%.
(e,nicin:
Es el responsable de la instalacin y mantenimiento del sistema operativo
Es el responsable de la con/4uracin de la
Es el encar4ado de detectar .allas y de su correccin.
Es el encar4ado del buen rendimiento del equipo.
Elabora estudios para la eleccin y adquisicin de so.t1are para
27
Es el encar4ado de instalar y con/4urar el so.t1are de emulacin y comunicacin
Es el encar4ado de investi4ar y probar nuevos productos para
Nombre................@ Araceli 0ilva.
Puesto...................@ 0ecretaria.
(e,nicin:
Es la encar4ada de auFiliar en los procesos administrativos del departamento.
Es la encar4ada de controlar las operaciones de mensa3er(a.
Es la encar4ada de elaborar y recibir pedidos, correspondencia, memorndums, .aFes
y documentos en 4eneral.
Es la encar4ada de recibir y contestar llamadas tele.nicas.
Es la encar4ada de or4ani:ar y mantener en ptimas condiciones el arc6ivo.
Es la encar4ada de la ca3a c6ica.
)E0C+*PC*ON )E P5E0-O
Nombre................@ MaFimiano Perales.
Puesto...................@ Operador e *nstalador.
(e,nicin:
Es el encar4ado de e3ecutar y controlar todos los respaldos de la in.ormacin de los
distintos equipos.
Es el encar4ado de controlar el inventario de equipo, y accesorios as( como de los
paquetes de so.t1are para Pc.
Es el encar4ado de elaborar pedidos de consumibles G)isKettes, Cintas, -onners,
Cartuc6os para respaldos, Etc.H.
28
Es el encar4ado de dar mantenimiento preventivo a las PCs.
Es el encar4ado de 6acer las instalaciones de 2ard1are y 0o.t1are a las Pcs.
Es el encar4ado de 6acer revisiones y reparaciones menores a las Pcs.
Aali&ta
<eneralmente se conoce el puesto como analista de desarrollo o analista
pro4ramador. 0u descripcin del puesto es@ +eali:ar el dise?o t>cnico de los nuevos
proyectos y aplicaciones peque?as y pro4ramar los mdulos comple3os. 0upervisar a
los pro4ramadores que participan en el proyecto. 0us .unciones espec(/cas son@
%nalista de (esarrollo.
+eali:ar el dise?o t>cnico de los nuevos proyectos.
Preparar la documentacin para la pro4ramacin y pruebas de los sistemas.
+evisar la codi/cacin y pruebas de los sistemas.
+eali:ar estudios de viabilidad t>cnica.
Participar en el dise?o .uncional de los nuevos proyectos.
)iri4ir proyectos peque?os.
%nalista proramador.
Estudiar los requerimientos de los nuevos usuarios en cuanto a nuevos
productos o servicios.
Estructurar la l4ica de los pro4ramas.
Pro4ramar.
levar a e.ecto pruebas de los sistemas desarrollados.
)ocumentar los pro4ramas de acuerdo a los estndares establecidos.
Rea(i.ar e( a%8(isis de (as a)(i&a&io%es se%&i((as.
'erente de #rocesos.
29
Encar4ado de diri4ir y administrar el rea de Procesamiento de )atos, as( como
relacionarse con las otras reas del centro de cmputo. #ormula y administra todo el
procesamiento de la in.ormacin que mane3a el Centro de Cmputo.
#roramador de Sistemas.
Aunque su .uncin es muy similar a la de un analista pro4ramador, su descripcin del
puesto es@ Pro4ramar y reali:ar la codi/cacin y documentacin de los pro4ramas o
sistemas desarrollados. os pro4ramadores toman las especi/caciones de los sistemas
reali:ados por los analistas y las trans.orman en pro4ramas e/cientes y bien
documentados para las computadoras.
Sus funciones espec,cas son:
Anali:ar la l4ica de los pro4ramas a desarrollar.
Codi/car y documentar los pro4ramas de acuerdo con las normas de calidad y
se4uridad establecidas.
Pro4ramar.
Probar los pro4ramas reali:ados.
Supervisor de "apturista.
0upervisa las actividades de in4reso de datos de documentos. Elabora turnos de
traba3o en base a la car4a de traba3o establecida.
"apturista.
os capturistas de datos son los primeros en mane3ar y convertir los datos de su .orma
ori4inal a un .ormato accesible para la computadora. Este tipo de personal puede
operar di.erentes dispositivos de teclado para proporcionar los datos directamente a la
computadora. No obstante la importancia del traba3o de los preparadores de datos su
educacin no requiere una .ormacin t>cnica .ormal, un mecan4ra.o competente
puede adquirir en pocas 6oras de instruccin especiali:ada las 6abilidades necesarias
para la preparacin de datos.
(i-u.ante.
30
as .unciones principales son@ +eali:a los dise?os 4r/cos asi4nados al rea de
in.ormtica. +eali:a dise?os de portadas para in.ormes /nales. Elabora
presentaciones, .ormatos de papeler(a, lo4otipos
Ad:*i si &i '% de( ;ar d<ar e 9 so4 t <ar e
Es muy comAn que se 6a4an compras de equipo por costumbre o porque recibe
al4una recomendacin, esto sucede porque no se tiene el conocimiento de las
pre4untas que debemos 6acernos para poder ele4ir adecuadamente un equipo, ya sea
el so.t1are o el 6ard1are.
Ad:*i si &i '% de ;ar d<ar e
)ebemos considerar los si4uientes puntos para la adquisicin de 6ard1are@
)eterminacin del tama?o y requerimiento de capacidad
Evaluacin y medicin de la computadora.
Compatibilidad.
#actores /nancieros.
Mantenimiento y soporte t>cnico.
Al reali:ar la compra debemos considerar lo si4uiente@
-ama?o interno de la memoria
;elocidad de procesamiento
NAmero de canales para entradaJsalida de datos y comunicaciones
-ipos u nAmeros de dispositivos de almacenamiento
0o.t1are que se proporciona y sistemas desarrollados disponibles.
Evaluacin y medicin de la computadora
Es comAn que se e.ectAen comparaciones entre los di.erentes sistemas de cmputo
basados en el desarrollo y desempe?o real de los datos. os datos de re.erencia son
4enerados a trav>s del empleo de pro4ramas sint>ticos Ges un pro4rama que imita la
car4a de traba3o esperada y determina resultadosH, la cul permite comparar contra
31
especi/caciones t>cnicas. os pro4ramas sint>ticos se pueden correr prcticamente
en cualquier tipo de ambiente y 4eneralmente se toma como re.erencia@
;elocidad de procesamiento
-iempo de respuesta para env(o de datos desde las terminales
"ompati-ilidad
Ocasionalmente por cuestiones econmicas se considera .actible la compra de equipo
llamado compatible. a venta3a de este equipo es un menor costo que el ori4inal, pero
debe tenerse cuidado con los si4uientes puntos@
Nivel de calidad.
)esempe?o i4ual al ori4inal
<arant(as
Acuerdos de servicio
Fact%'e& !acie'%&
EFisten las si4uientes posibilidades de adquirir equipo de cmputo
#or al/uiler o renta
as venta3as son el que tenemos un alto nivel de IeFibilidad, no se requiere pa4os
altos y elevados, y a corto pla:o es mas econmico alquilar que comprar. Como
desventa3a podemos decir que a la lar4a puede resultar ms costoso que comprar el
equipo y adems podemos tener limitaciones en cuanto a uso.
#or compra
-iene como venta3a que puede pa4arse a cr>dito en pa4os predeterminados en
periodos /3os, no necesariamente se tiene que e.ectuar pa4os elevados y se puede
disponer del equipo a la 6ora que se quiera. -iene como desventa3as que es una
decisin irrevocable, que se requiere capital mayor que en el caso anterior y el ries4o
a la obsolescencia.
Matei$iet% y &%*%'te t-cic%
32
Los puntos de mayor inter!s son:
$uente de mantenimiento
5na ve: que el sistema se 6a entre4ado e instalado, eFiste un periodo de 4arant(a en
el cul la unidad de ventas que e.ectu la operacin tiene la responsabilidad del
mantenimiento, despu>s de este tiempo el comprador puede adquirir mantenimiento
de varias .uentes
T!rminos de mantenimiento
El contrato puede redactarse de manera tal que cubra tanto la mano de obra como las
pie:as que se 6ayan necesitado en el mantenimiento, o mano de obra y pie:as por
separado.
Servicio y respuestas
El apoyo de mantenimiento es Atil si se encuentra disponible cuando se requiere. )os
puntos de inter>s son el tiempo de respuesta y las 6oras en las que se puede obtener
el apoyo.
Ad:*i si &i '% de so4 t <ar e
5na ve: que cono:camos los requerimientos de los sistemas que vamos a desarrollar,
debemos 6acer una comparacin entre todos los paquetes que cumplen con las
condiciones que requerimos y as( ele4ir el ms apto.
)'e(uta& .ue deb% /ace'$e e cuat% a 'e.ue'i$iet%& de &%,t0a'e:
CEu> transacciones y que tipos de datos vamos a mane3arD
CEu> reportes o salidas debe producir el sistemaD
CEu> arc6ivos y bases de datos se mane3an en el sistemaD
CCul es el volumen de datos a almacenarD
CCul es el volumen de operacionesD
CEu> 6ard1are y caracter(sticas de comunicaciones se requiereD
CCunto cuestaD
33
as caracter(sticas a considerar en la adquisicin de so.t1are son@ IeFibilidad,
capacidades, previsin de auditor(as, con/abilidad, contratos de so.t1are y apoyos del
proveedor.
as reas donde la IeFibilidad es deseable son@
En el almacenamiento de datos
En la produccin de in.ormes.
En la entrada de datos
En la de/nicin de parmetros
"apacidad
El tama?o de cada re4istro medido en bytes
El tama?o de cada arc6ivo medido en bytes
El nAmero de arc6ivos que pueden estar activos simultneamente
NAmero de arc6ivos que pueden traba3ar
#revisin de auditora y con,a-ilidad
0e4uir las transacciones para eFaminar datos intermedios
*mprimir de manera selectiva al4unos re4istros para veri/car si cumplen los
criterios.
Producir un re4istro diario de las operaciones y su e.ecto en los datos
%poyos del proveedor
#recuencia del mantenimiento
0ervicios que se incluyen en el pa4o
0aber si se incrementa el costo del mantenimiento
2orarios disponibles de servicio
0aber si tiene servicio de emer4encia
"ontratos de soft0are
1ay dos tipos de contratos:
34
Alquilar un paquete y so.t1are y asi4nacin de pro4ramacin al cliente
)entro del contrato se estipula la propiedad y mantenimiento del so.t1are
Para determinar qu> equipo es el ms conveniente de adquirir 6abr que de/nir con
claridad la capacidad y los requerimientos t>cnicos de todos los mecanismos como
son@ velocidad, capacidad de almacenamiento, dispositivos auFiliares Gmouse,
impresora, monitor, etc.H
0e debe estudiar muy bien, cuando se surten a los proveedores de todos los sistemas
mostrados, antes de esco4er al4uno de ellos.
C%&t%
*nversin que se 6ace para producir bienes o servicios, para adquirir mercanc(as para
la venta. GEro4acin o adquisicin de un bienH
1a&t%&
0on las salidas o p>rdidas, resultantes del desarrollo y del uso de sistemas Gun 4asto,
re4ularmente no estaba contempladoH.
2ee!ci%
0on cada una de las venta3as que se obtiene de la instalacin y uso del mismo
C%&t%& ta(ible&
0on las salidas en e.ectivo, lo que si4ni/ca que se conoce y se puede estimar Gprecio
de un monitor, Bel salario de un empleadoBH
C%&t%& ita(ible&
0e saben que eFisten al4unos costos cuyo monto aproFimado no se puede determinar
con eFactitud, Gel perder un cliente, BEl descenso de la compa?(aBH
2ee!ci%&
0on ms di.(ciles de especi/car en .orma eFacta que los costos. El valor de los
bene/cios es una venta3a que se 4ana a trav>s de la utili:acin del sistema
35
2ee!ci%& ta(ible&
0on aquellos que son cuanti/cables, Greduccin de 4astos, menores tasas de errorH
2ee!ci%& ita(ible&
0on aquellos que no se pueden cuanti/car GMe3ores condiciones de traba3o, me3or
servicio a clientes, respuesta rpida a las solicitudes de los clientesH
2ee!ci%& !j%&
0on aquellos costos y bene/cios de sistemas que son constantes y no cambian, sin
importar cuanto se utilice un sistema de in.ormacin, e3emplo@ si una compa?(a
compra equipo de cmputo, el costo no va a variar, ya sea que el equipo se utilice
muc6o o poco.
2ee!ci%& va'iable&
0on aquellos donde incurre en proporcin a la actividad o el tiempo
C%&t%& va'iable&
E3emplo@ os costos se suministro de computadora var(an en proporcin con el monto
del proceso que se lleva a cabo, ya que la impresin de mas p4inas incrementa el
costo del papel, por lo tanto, variar como resultado de la cantidad de impresin, sin
embar4o se elimina si se cesa la preparacin de in.ormes.
Costos 9 +e%e0&ios dire&tos o i%dire&tos
Di'ect%&
0on atribuibles a un sistema de ne4ocio, un sistema de in.ormacin. En otras palabras
el utili:ar el sistema produce costos y bene/cios directos. E3emplo@ la utili:acin del
papel, suministro de cintas, etc.
Idi'ect%&
36
0on aquellos costos y bene/cios que no estn espec(/camente asociados con el
sistema de in.ormacin. E3emplo@ a cale.accin, aire acondicionado, se4uros, el
espacio, etc.
2ee!ci%& di'ect%&
0on aquellos que se consi4uen como productos del sistema G+eportesH
2ee!ci%& idi'ect%&
0e consi4uen como un subproducto de otro sistema. G5n sistema que da se4uimiento
a las solicitudes de ventas que reali:an los clientes, proporciona in.ormacin adicional
de la competenciaH
Cla&i!caci" del c%&t%
Costo de equipo
Costos de operacin
Costos de personal
Costos de suministros y 4astos varios
Costos de instalacin
Per mi sos 9 Li &e%&i as.
El uso de 0o.t1are no autori:ado o adquirido ile4almente, se considera como P*+A-A y
una violacin a los derec6os de autor.
El uso de 2ard1are y de 0o.t1are autori:ado esta re4ulado por las si4uientes normas@
-oda dependencia podr utili:ar 5N*CAMEN-E el 6ard1are y el so.t1are que
el departamento de sistemas le 6aya instalado y o/ciali:ado mediante el
BActa de entre4a de equipos yJo so.t1areB.
-anto el 6ard1are y so.t1are, como los datos, son propiedad de la empresa.
su copia o sustraccin o da?o intencional o utili:acin para /nes distintos a
las labores propias de la compa?(a, ser sancionada de acuerdo con las
normas y re4lamento interno de la empresa.
37
El departamento de sistemas llevara el control del 6ard1are y el so.t1are
instalado, basndose en el nAmero de serie que contiene cada uno.
Peridicamente, el departamento de sistemas e.ectuar visitas para veri/car
el so.t1are utili:ado en cada dependencia. Por lo tanto, el detectar so.t1are
no instalado por esta dependencia, ser considerado como una violacin a
las normas internas de la empresa.
-oda necesidad de 6ard1are yJo so.t1are adicional debe ser solicitada por
escrito al departamento de sistemas, quien 3usti/car o no dic6o
requerimiento, mediante un estudio evaluativo.
El departamento de sistemas instalar el so.t1are en cada computador y
entre4ar al rea usuaria los manuales pertinentes los cuales quedaran ba3o
la responsabilidad del $e.e del departamento respectivo.
os disKettes que contienen el so.t1are ori4inal de cada paquete sern
administrados y almacenados por el departamento de sistemas.
El departamento de sistemas proveer el personal y una copia del so.t1are
ori4inal en caso de requerirse la reinstalacin de un paquete determinado.
os trmites para la compra de los equipos aprobados por el departamento
de sistemas, as( como la adecuacin .(sica de las instalaciones sern
reali:adas por la dependencia respectiva.
a prueba, instalacin y puesta en marc6a de los equipos yJo dispositivos,
sern reali:ada por el departamento de sistemas, quien una ve: compruebe
el correcto .uncionamiento, o/ciali:ara su entre4a al rea respectiva
mediante el BActa de Entre4a de Equipos yJo 0o.t1areB.
5na ve: entre4ados los equipos de computacin yJo el so.t1are por el
departamento de sistemas, estos sern car4ados a la cuenta de activos /3os
del rea respectiva y por lo tanto, quedaran ba3o su responsabilidad.
As( mismo, el departamento de sistemas mantendr actuali:ada la relacin
de los equipos de computacin de la compa?(a, en cuanto a numero de serie
y ubicacin, con el /n que este mismo departamento veri/que, por lo menos
una ve: al a?o su correcta destinacin.
El departamento de sistemas actuali:ar el so.t1are comprado cada ve: que
una nueva versin sal4a al mercado, a /n de aprovec6ar las me3oras
38
reali:adas a los pro4ramas, siempre y cuando se 3usti/que esta
actuali:acin.
Dere&;os de a*tor 9 (i&e%&ia de *so de so4t<are.
El Copyri46t, o los derec6os de autor, son el sistema de proteccin 3ur(dica concebido
para titular las obras ori4inales de autor(a determinada eFpresadas a trav>s de
cualquier medio tan4ible o intan4ible.
as obras literarias Gincluidos los pro4ramas in.ormticosH, musicales, dramticas,
plsticas, 4r/cas y escultricas, cinemato4r/cas y dems obras audiovisuales, as(
como las .ono4ramas, estn prote4idos por las leyes de derec6os de autor.
El titular de los derec6os de autor tiene el derec6o eFclusivo para e.ectuar y autori:ar
las si4uientes acciones@
+eali:ar copias o reproducciones de las obras.
Preparar obras derivadas basadas en la obra prote4ida por las leyes de
derec6os de autor.
)istribuir entre el pAblico copias de la obra prote4ida por las leyes de
derec6os de autor mediante la venta u otra cesin de la propiedad, o bien
mediante alquiler, arrendamiento /nanciero o pr>stamo.
+eali:ar o mostrar la publicidad de la obra prote4ida por las leyes de
derec6os de autor.
*mportar el traba3o, y reali:ar actos de comunicacin pAblica de las obras
prote4idas.
39
5N*)A) !
A*di tor/ a de( &e%tro de &'m)*to o datos.
O+jeti,o )arti&*(ar- +eali:ar auditor(a in.ormtica a un centro de cmputo o
datos evaluando el desarrollo de acciones de 4arant(a de se4uridad, as( como el plan
de contin4encias, mediante instrumentos y metodolo4(a de auditor(a que conlleven a
la preservacin e inte4ridad de las instalaciones, equipos e in.ormacin.
6.1.1E(a+ora *%a (ista de &;e:*eo )ara e,a(*ar (a se2*ridad 9 e(
&*m)(imie%to %ormati,o e% *% &e%tro de &'m)*to o datos de *%a
e%tidad
O+jeti,o es)e&/0&o- ;eri/ca las acciones de se4uridad y el cumplimiento
normativo con base en metodol4ica de auditor(a y empleo de 6erramientas,
instrumentos.
I DENTI #I CACI N DEL ENTORNO DE AUDI TOR= A
A*ditor/a
a auditor(a es el eFamen cr(tico y sistemtico que reali:a una persona o 4rupo de
personas independientes del sistema auditado. Aunque 6ay muc6os tipos de auditor(a,
la eFpresin se utili:a 4eneralmente para desi4nar a la auditor(a eFterna de estados
/nancieros que es una auditor(a reali:ada por un pro.esional eFperto en contabilidad
de los libros y re4istros contables de una entidad para opinar sobre la ra:onabilidad de
la in.ormacin contenida en ellos y sobre el cumplimiento de las normas contables. El
ori4en etimol4ico de la palabra es el verbo latino UAudireV, que si4ni/ca Uo(rV. Esta
denominacin proviene de su ori4en 6istrico, ya que los primeros auditores e3erc(an
su .uncin 3u:4ando la verdad o .alsedad de lo que les era sometido a su veri/cacin
principalmente oyendo
A*ditoria i%4orm8ti&a
40
a auditor(a in.ormtica es el proceso de reco4er, a4rupar y evaluar evidencias para
determinar si un 0istema de *n.ormacin salva4uarda el activo empresarial, mantiene
la inte4ridad de los datos, lleva a cabo e/ca:mente los /nes de la or4ani:acin y
utili:a e/cientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u or4ani:acin, determinando si los mismos son
adecuados y cumplen unos determinados ob3etivos o estrate4ias, estableciendo los
cambios que se deber(an reali:ar para la consecucin de los mismos.
L%& %bjetiv%& de la audit%'+a I,%'$3tica &%:
El control de la .uncin in.ormtica
El anlisis de la e/ciencia de los 0istemas *n.ormticos
a veri/cacin del cumplimiento de la Normativa en este mbito
a revisin de la e/ca: 4estin de los recursos in.ormticos.
a auditor(a in.ormtica sirve para me3orar ciertas caracter(sticas en la empresa como@
E/ciencia
E/cacia
+entabilidad
0e4uridad
<eneralmente se puede desarrollar en al4una o combinacin de las si4uientes reas@
<obierno corporativo
Administracin del Ciclo de vida de los sistemas
0ervicios de Entre4a y 0oporte
Proteccin y 0e4uridad
Planes de continuidad y +ecuperacin de desastres
41
a necesidad de contar con lineamientos y 6erramientas estndar para el e3ercicio de
la auditor(a in.ormtica 6a promovido la creacin y desarrollo de me3ores prcticas
como CO9*-, *0O, CO0O e *-*.
Actualmente la certi/cacin de *0ACA para ser C*0A Certi/ed *n.ormation 0ystems
Auditor es una de las mas reconocidas y avaladas por los estndares internacionales
ya que el proceso de seleccin consta de un eFamen inicial bastante eFtenso y la
necesidad de mantenerse actuali:ado acumulando 6oras GpuntosH para no perder la
certi/cacin.
C%t'%l ite'%:
Control *nterno *n.ormtico es una 6erramienta en.ocada a la adecuada 4estin de los
0istemas de la *n.ormacin.
Muc6os de los problemas in.ormticos se ori4inan dentro de la misma empresa.
Por ello es cada ve: ms necesario un completo anlisis del tr/co de@
os correos electrnicos corporativos.
as p4inas 1eb que se visitan desde los ordenadores de la empresa.
$uncin del "ontrol.2 5na de/nicin que es correcta y a la cual representa el valor de
la #uncin del Control es la de ayudar a los #uncionarios que tienen responsabilidad
Administrativa, ->cnica yJu Operacional a que no incurran en .alta. M es por ello que
aqu( el Control es Creativo 8 *nteli4ente, y Constructivo de asesoramiento oportuno a
todas las )irecciones o <erencias a /n de que la -oma de )ecisiones sea acertada,
se4ura y se lo4ren los ob3etivos, con la mFima e/ciencia de que, en dic6a entidad,
antes de reali:arse la auditor(a, ya se 6ab(an detectado .allas. El concepto de
auditor(a es muc6o ms que esto.
El C%t'%l de 4i&te$a& e I,%'$3tica5 consiste en eFaminar los recursos, las
operaciones, los bene/cios y los 4astos de las producciones Gservicios yJo productos
de los 0istemas *n.ormticosH, de los Or4anismos su3etos a control, con al /nalidad
de evaluar la e/cacia y e/ciencia Administrativa ->cnica yJu Operacional de los
42
Or4anismos, en concordancia con los principios, normas, t>cnicas y procedimientos
normalmente aceptados. Asimismo de los 0istemas GPlanes, Pro4ramas y
Presupuestos, )ise?o, 0o.t1are, 2ard1are, 0e4uridad, +espaldos y otrosH adoptados
por la Or4ani:acin para su dinmica de <estin en salva4uarda de los +ecursos del
Estado.
EFiste otra de/nicin sobre el Bcontrol t>cnicoB en materia de 0istemas e *n.ormtica,
y esta se orienta a la revisin del )ise?o de los Planes, )ise?os de los 0istemas, la
demostracin de su e/cacia, la 0upervisin compulsa de rendimientos, Pruebas de
Productividad de la <estin 8 )emanda llamada BPruebas intermediasB, el anlisis de
resultados, niveles y medios de se4uridad, respaldo, y el almacenamiento. As( mismo
medicin de la vida Atil del 0istema *n.ormtico adoptado por la Or4ani:acin ba3o
control.
Objetiv%& de la Audit%'+a y C%t'%l de 4i&te$a& e I,%'$3tica.-
os principales ob3etivos que constituyen a la auditor(a *n.ormtica son@
El control de la .uncin in.ormtica G0istema de *n.ormacin 8 0* y la -ecnolo4(a
de la *n.ormacin 8-*H.
El anlisis de la e/ciencia de los 0* y la -*.
a veri/cacin del cumplimiento de la Normativa <eneral de la Or4ani:acin.
a veri/cacin de los Planes, Pro4ramas y Presupuestos de los 0istemas
*n.ormticos.
a revisin de la e/ca: 4estin de los recursos materiales y 6umanos
in.ormticos.
a revisin y veri/cacin de Controles ->cnicos <enerales y Espec(/cos de
Operatividad.
a revisin y veri/cacin de las 0e4uridades.
)e Cumplimiento de normas y estndares.
)e 0istema Operativo.
)e 0e4uridad de 0o.t1are.
)e 0e4uridad de Comunicaciones.
43
)e 0e4uridad de 9ase de )atos.
)e 0e4uridad de Proceso.
)e 0e4uridad de Aplicaciones.
)e 0e4uridad #(sica.
)e 0uministros y +eposiciones.
)e Contin4encias.
El anlisis del control de resultados.
El anlisis de veri/cacin y de eFposicin de debilidades y dis.unciones.
El auditor informtico.2 Es el pro.esional que 6a de cuidar y velar por la correcta
utili:acin de los diversos recursos que la or4ani:acin y debe comprobar que se
este llevando acabo un e/ciente y e/ca: 0istema de *n.ormacin y la -ecnolo4(a de
la *n.ormacin. Pues estas dos puntos en la actualidad soporta la Auditor(a y Control
de los 0istemas e *n.ormtica en la <estin moderna.
De0%i&i'% 9 ti)o de &o%tro(es i%ter%os
0e puede de/nir el control interno como Bcualquier actividad o accin reali:ada
manual yJo automticamente para prevenir, corre4ir errores o irre4ularidades que
puedan a.ectar al .uncionamiento de un sistema para lo4rar o conse4uir sus ob3etivos.
os controles internos se clasi/can en los si4uientes@
"ontroles preventivos: Para tratar de evitar el 6ec6o, como un so.t1are de
se4uridad que impida los accesos no autori:ados al sistema.
"ontroles detectivos: Cuando .allan los preventivos para tratar de conocer
cuanto antes el evento. Por e3emplo, el re4istro de intentos de acceso no
autori:ados, el re4istro de la actividad diaria para detectar errores u
omisiones.etc.
"ontroles correctivos: #acilitan la suelta a la normalidad cuando se 6an
producido incidencias. Por e3emplo, la recuperacin de un /c6ero da?ado a
partir de las copias de se4uridad.
44

Im)(a%ta&i'% de *% sistema de &o%tro(es i%ter%os
i%4orm8ti&os
Para lle4ar a conocer la con/4uracin del sistema es necesario documentar los
detalles de la red, as( como los distintos niveles de control y elementos relacionados@
Entorno de red: esquema de la red, descripcin de la con/4uracin 6ard1are de
comunicaciones, descripcin del so.t1are que se utili:a como acceso a las
telecomunicaciones, control de red, situacin 4eneral de los ordenadores de
entornos de base que soportan aplicaciones cr(ticas y consideraciones relativas
a la se4uridad de la red.
"on,uracin del ordenador -ase: Con/4uracin del soporte .(sico, en torno del
sistema operativo, so.t1are con particiones, entornos Gpruebas y realH,
bibliotecas de pro4ramas y con3unto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de 4estin de
base de datos y entornos de procesos distribuidos.
#roductos y 3erramientas: 0o.t1are para desarrollo de pro4ramas, so.t1are de
4estin de bibliotecas y para operaciones automticas.
Seuridad del ordenador -ase: *denti/car y veri/car usuarios, control de acceso,
re4istro e in.ormacin, inte4ridad del sistema, controles de supervisin, etc.
Para la implantacin de un sistema de controles internos in.ormticos 6abr que
de/nir@
'estin de sistema de informacin: pol(ticas, pautas y normas t>cnicas que
sirvan de base para el dise?o y la implantacin de los sistemas de in.ormacin y
de los controles correspondientes.
%dministracin de sistemas: Controles sobre la actividad de los centros de datos
y otras .unciones de apoyo al sistema, incluyendo la administracin de las
redes.
45
Seuridad: incluye las tres clases de controles .undamentales implantados en el
so.t1are del sistema, inte4ridad del sistema, con/dencialidad Gcontrol de
accesoH y disponibilidad.
'estin del cam-io: separacin de las pruebas y la produccin a nivel del
so.t1are y controles de procedimientos para la mi4racin de pro4ramas
so.t1are aprobados y probados.
Normas.
0e4An se describe en Wbib8imcpX, las normas de auditor(a son los requisitos m(nimos
de calidad relativos a la personalidad del auditor, al traba3o que desempe?a ya la
in.ormacin que rinde como resultado de este traba3o.
as normas de auditor(a se clasi/can en@
a. Normas personales.
b. Normas de e3ecucin del traba3o.
c. Normas de in.ormacin.
*ormas personales
son cualidades que el auditor debe tener para e3ercer sin dolo una auditor(a,
basados en un sus conocimientos pro.esionales as( como en un entrenamiento
t>cnico, que le permita ser imparcial a la 6ora de dar sus su4erencias.
*ormas de e.ecucin del tra-a.o
0on la plani/cacin de los m>todos y procedimientos, tanto como papeles de
traba3o a aplicar dentro de la auditor(a.
*ormas de informacin
0on el resultado que el auditor debe entre4ar a los interesados para que se den
cuenta de su traba3o, tambi>n es conocido como in.orme o dictamen.
Normati,idad re(ati,a a I%4orm8ti&a e% M15i&o
46
a re4ulacin de actividades, productos, servicios, etc. se reali:a en M>Fico a trav>s
de la re4lamentacin diversa que las diversas entidades u or4anismo o/ciales emiten.
Esto toca elementos desde la misma Constitucin Pol(tica, pasando por leyes,
re4lamentos, acuerdos, manuales, nomas, etc. -ocante al tema tecnol4ico que nos
ata?e GComputacin y en particular la Auditor(a *n.ormticaH esta normatividad se
encuentra en leyes, re4lamentos y las normas NOM y NMY. En los casos en que no
eFiste una ley espec(/ca, la 0ecretar(a de Econom(a Gre4uladora de las NOM y NMYH
mane3a la normatividad *0O. A continuacin se enlistan una serie de normas que de
una .orma u otra tocan aspectos espec(/cos o 4enerales de esta actividad.
En cuanto a las normas internacionales, se mane3a como UadecuadoV el cumplir con
las normas *0O, en particular la *0O &%%&& G*0O &Z%&& [ !%%!H para los temas de
U<u(as de auditor(a a los sistemas de calidadV, UCriterios de cali/cacin y seleccin de
auditoresV y UAdministracin de un pro4rama de auditor(aV.
7reas de A*ditor/a I%4orm8ti&a de Sistemas-
0e ocupa de anali:ar la actividad que se conoce como ->cnica de 0istemas en todas
sus .acetas. 2oy, la importancia creciente de las telecomunicaciones 6a propiciado
que las Comunicaciones, (neas y +edes de las instalaciones in.ormticas, se auditen
por separado, aunque .ormen parte del entorno 4eneral de 0istemas.
Sistemas )perativos:
En4loba los 0ubsistemas de -eleproceso, EntradaJ0al(da, etc. )ebe veri/carse en
primer lu4ar que los 0istemas estn actuali:ados con las Altimas versiones del
.abricante, inda4ando las causas de las omisiones si las 6ubiera. El anlisis de las
versiones de los 0istemas Operativos permite descubrir las posibles
incompatibilidades entre otros productos de 0o.t1are 9sico adquiridos por la
instalacin y determinadas versiones de aquellas. )eben revisarse los parmetros
47
variables de las ibrer(as ms importantes de los 0istemas, por si di/eren de los
valores 6abituales aconse3ados por el constructor.
Soft0are 4sico:
Es .undamental para el auditor conocer los productos de so.t1are bsico que 6an
sido .acturados aparte de la propia computadora. Esto, por ra:ones econmicas y por
ra:ones de comprobacin de que la computadora podr(a .uncionar sin el producto
adquirido por el cliente. En cuanto al 0o.t1are desarrollado por el personal in.ormtico
de la empresa, el auditor debe veri/car que >ste no a4reda ni condiciona al 0istema.
*4ualmente, debe considerar el es.uer:o reali:ado en t>rminos de costes, por si
6ubiera alternativas ms econmicas.
Soft0are de Teleproceso 5Tiempo Real6:
No se incluye en 0o.t1are 9sico por su especialidad e importancia. as
consideraciones anteriores son vlidas para >ste tambi>n.
Ma%ej o de &o%t r o( es-
Controles administrativos en un ambiente de Procesamiento de )atos
a mFima autoridad del ,rea de *n.ormtica de una empresa o institucin debe
implantar los si4uientes controles que se a4ruparan de la si4uiente .orma@
&.8 Controles de Preinstalacin
!.8 Controles de Or4ani:acin y Plani/cacin
7.8 Controles de 0istemas en )esarrollo y Produccin
'.8 Controles de Procesamiento
".8 Controles de Operacin
Q.8 Controles de uso de Microcomputadores
7.2 "ontroles de #reinstalacin
48
2acen re.erencia a procesos y actividades previas a la adquisicin e instalacin de un
equipo de computacin y obviamente a la automati:acin de los sistemas eFistentes.
Ob3etivos@
<aranti:ar que el 6ard1are y so.t1are se adquieran siempre y cuando ten4an la
se4uridad de que los sistemas computari:ados proporcionaran mayores
bene/cios que cualquier otra alternativa.
<aranti:ar la seleccin adecuada de equipos y sistemas de computacin
Ase4urar la elaboracin de un plan de actividades previo a la instalacin
Acciones a se4uir@
Elaboracin de un in.orme t>cnico en el que se 3usti/que la adquisicin del
equipo, so.t1are y servicios de computacin, incluyendo un estudio costo8
bene/cio.
#ormacin de un comit> que coordine y se responsabilice de todo el proceso de
adquisicin e instalacin
Elaborar un plan de instalacin de equipo y so.t1are G.ec6as, actividades,
responsablesH el mismo que debe contar con la aprobacin de los proveedores
del equipo.
Elaborar un instructivo con procedimientos a se4uir para la seleccin y
adquisicin de equipos, pro4ramas y servicios computacionales. Este proceso
debe enmarcarse en normas y disposiciones le4ales.
E.ectuar las acciones necesarias para una mayor participacin de proveedores.
Ase4urar respaldo de mantenimiento y asistencia t>cnica.
8.2 "ontroles de oranizacin y #lani,cacin
0e re/ere a la de/nicin clara de .unciones, l(nea de autoridad y responsabilidad de
las di.erentes unidades del rea PA), en labores tales como@
)ise?ar un sistema
Elaborar los pro4ramas
49
Operar el sistema
Control de calidad
0e debe evitar que una misma persona ten4a el control de toda una operacin.
Acciones a se4uir@
a unidad in.ormtica debe estar al mas alto nivel de la pirmide administrativa
de manera que cumpla con sus ob3etivos, cuente con el apoyo necesario y la
direccin e.ectiva.
as .unciones de operacin, pro4ramacin y dise?o de sistemas deben estar
claramente delimitadas.
)eben eFistir mecanismos necesarios a /n de ase4urar que los pro4ramadores
y analistas no ten4an acceso a la operacin del computador y los operadores a
su ve: no cono:can la documentacin de pro4ramas y sistemas.
)ebe eFistir una unidad de control de calidad, tanto de datos de entrada como
de los resultados del procesamiento.
El mane3o y custodia de dispositivos y arc6ivos ma4n>ticos deben estar
eFpresamente de/nidos por escrito.
as actividades del PA) deben obedecer a plani/caciones a corto, mediano y
lar4o pla:o su3etos a evaluacin y a3ustes peridicos BPlan Maestro de
*n.ormticaB
)ebe eFistir una participacin e.ectiva de directivos, usuarios y personal del
PA) en la plani/cacin y evaluacin del cumplimiento del plan.
as instrucciones deben impartirse por escrito.
9.2 "ontroles de Sistema en (esarrollo y #roduccin
0e debe 3usti/car que los sistemas 6an sido la me3or opcin para la empresa, ba3o una
relacin costo8bene/cio que proporcionen oportuna y e.ectiva in.ormacin, que los
sistemas se 6an desarrollado ba3o un proceso plani/cado y se encuentren
debidamente documentados.
Acciones a se4uir@
50
os usuarios deben participar en el dise?o e implantacin de los sistemas pues
aportan conocimiento y eFperiencia de su rea y esta actividad .acilita el proceso de
cambio
El personal de auditor(a internaJcontrol debe .ormar parte del 4rupo de dise?o
para su4erir y solicitar la implantacin de rutinas de control
El desarrollo, dise?o y mantenimiento de sistemas obedece a planes
espec(/cos, metodolo4(as estndares, procedimientos y en 4eneral a
normatividad escrita y aprobada.
Cada .ase concluida debe ser aprobada documentadamente por los usuarios
mediante actas u otros mecanismos a /n de evitar reclamos posteriores.
os pro4ramas antes de pasar a Produccin deben ser probados con datos que
a4oten todas las eFcepciones posibles.
-odos los sistemas deben estar debidamente documentados y actuali:ados. a
documentacin deber contener@
8*n.orme de .actibilidad
8 )ia4rama de bloque
8 )ia4rama de l4ica del pro4rama
8 Ob3etivos del pro4rama
8 istado ori4inal del pro4rama y versiones que incluyan los cambios e.ectuados
con antecedentes de pedido y aprobacin de modi/caciones
8 #ormatos de salida
8 +esultados de pruebas reali:adas
*mplantar procedimientos de solicitud, aprobacin y e3ecucin de cambios a
pro4ramas, .ormatos de los sistemas en desarrollo.
El sistema concluido ser entre4ado al usuario previo entrenamiento y
elaboracin de los manuales de operacin respectivos.
:.2 "ontroles de #rocesamiento
os controles de procesamiento se re/eren al ciclo que si4ue la in.ormacin desde la
51
entrada 6asta la salida de la in.ormacin, lo que conlleva al establecimiento de una
serie de se4uridades para@
Ase4urar que todos los datos sean procesados.
<aranti:ar la eFactitud de los datos procesados.
<aranti:ar que se 4rabe un arc6ivo para uso de la 4erencia y con /nes de
auditor(a
Ase4urar que los resultados sean entre4ados a los usuarios en .orma oportuna y
en las me3ores condiciones.
Acciones a se4uir@
;alidacin de datos de entrada previo procesamiento debe ser reali:ada en
.orma automtica@ clave, d(4ito autoveri/cador, totales de lotes, etc.
Preparacin de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su correccin.
+ecepcin de datos de entrada y distribucin de in.ormacin de salida debe
obedecer a un 6orario elaborado en coordinacin con el usuario, reali:ando un
debido control de calidad.
Adoptar acciones necesarias para correcciones de errores.
Anali:ar conveniencia costo8bene/cio de estandari:acin de .ormularios, .uente
para a4ilitar la captura de datos y minimi:ar errores.
os procesos interactivos deben 4aranti:ar una adecuada interrelacin entre
usuario y sistema.
Plani/car el mantenimiento del 6ard1are y so.t1are, tomando todas las
se4uridades para 4aranti:ar la inte4ridad de la in.ormacin y el buen servicio a
usuarios.
;.2 "ontroles de )peracin
Abarcan todo el ambiente de la operacin del equipo central de computacin y
dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de
terminales y equipos de comunicacin por parte de los usuarios de sistemas on line.
52
os controles tienen como /n@
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de
Cmputo durante un proceso
Evitar o detectar el mane3o de datos con /nes .raudulentos por parte de
.uncionarios del PA)
<aranti:ar la inte4ridad de los recursos in.ormticos.
Ase4urar la utili:acin adecuada de equipos acorde a planes y ob3etivos.
Acciones a se4uir@
El acceso al centro de computo debe contar con las se4uridades necesarias
para reservar el in4reso al personal autori:ado
*mplantar claves o pass1ord para 4aranti:ar operacin de consola y equipo
central Gmain.rameH, a personal autori:ado.
#ormular pol(ticas respecto a se4uridad, privacidad y proteccin de las
.acilidades de procesamiento ante eventos como@ incendio, vandalismo, robo y
uso indebido, intentos de violacin y como responder ante esos eventos.
Mantener un re4istro permanente GbitcoraH de todos los procesos reali:ados,
de3ando constancia de suspensiones o cancelaciones de procesos.
os operadores del equipo central deben estar entrenados para recuperar o
restaurar in.ormacin en caso de destruccin de arc6ivos.
os bacKups no deben ser menores de dos Gpadres e 6i3osH y deben 4uardarse
en lu4ares se4uros y adecuados, pre.erentemente en bvedas de bancos.
0e deben implantar calendarios de operacin a /n de establecer prioridades de
proceso.
-odas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, re4lamentos, etc.
El proveedor de 6ard1are y so.t1are deber proporcionar lo si4uiente@
8 Manual de operacin de equipos
8 Manual de len4ua3e de pro4ramacin
53
8 Manual de utilitarios disponibles
8 Manual de 0istemas operativos
as instalaciones deben contar con sistema de alarma por presencia de .ue4o,
6umo, as( como eFtintores de incendio, coneFiones el>ctricas se4uras, entre
otras.
*nstalar equipos que prote3an la in.ormacin y los dispositivos en caso de
variacin de volta3e como@ re4uladores de volta3e, supresores pico, 5P0,
4eneradores de ener4(a.
Contratar pli:as de se4uros para prote4er la in.ormacin, equipos, personal y
todo ries4o que se produ:ca por casos .ortuitos o mala operacin.
<.2 "ontroles en el uso del =icrocomputador
Es la tarea ms di.(cil pues son equipos mas vulnerables, de .cil acceso, de .cil
eFplotacin pero los controles que se implanten ayudaran a 4aranti:ar la inte4ridad y
con/dencialidad de la in.ormacin.
Acciones a se4uir@
Adquisicin de equipos de proteccin como supresores de pico, re4uladores de
volta3e y de ser posible 5P0 previo a la adquisicin del equipo
;encida la 4arant(a de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
Establecer procedimientos para obtencin de bacKups de paquetes y de
arc6ivos de datos.
+evisin peridica y sorpresiva del contenido del disco para veri/car la
instalacin de aplicaciones no relacionadas a la 4estin de la empresa.
Mantener pro4ramas y procedimientos de deteccin e inmuni:acin de virus en
copias no autori:adas o datos procesados en otros equipos.
Propender a la estandari:acin del 0istema Operativo, so.t1are utili:ado como
procesadores de palabras, 6o3as electrnicas, mane3adores de base de datos y
mantener actuali:adas las versiones y la capacitacin sobre modi/caciones
incluidas.
Revi&i" de Cet'%& de C"$*ut%
54
Consiste en revisar los controles en las operaciones del centro de procesamiento de
in.ormacin en los si4uientes aspectos@
7.2 Revisin de controles en el e/uipo
0e 6ace para veri/car si eFisten .ormas adecuadas de detectar errores de
procesamiento, prevenir accesos no autori:ados y mantener un re4istro detallado de
todas las actividades del computador que debe ser anali:ado peridicamente.
8.2 Revisin de proramas de operacin
0e veri/ca que el crono4rama de actividades para procesar la in.ormacin ase4ure la
utili:acin e.ectiva del computador.
9.2 Revisin de controles am-ientales
0e 6ace para veri/car si los equipos tienen un cuidado adecuado, es decir si se cuenta
con des6umidi/cadores, aire acondicionado, .uentes de ener4(a continua, eFtintores
de incendios, etc.
:.2 Revisin del plan de mantenimiento
Aqu( se veri/ca que todos los equipos principales ten4an un adecuado mantenimiento
que 4arantice su .uncionamiento continuo.
;.2 Revisin del sistema de administracin de arc3ivos
0e 6ace para veri/car que eFistan .ormas adecuadas de or4ani:ar los arc6ivos en el
computador, que est>n respaldados, as( como ase4urar que el uso que le dan es el
autori:ado.
<.2 Revisin del plan de continencias
55
Aqu( se veri/ca si es adecuado el plan de recupero en caso de desastre, el cual se
detalla mas adelante.
E,a( *a&i '% de( )( a% de &o%t i %2e%&i as i %4 or m8t i &as-
6)%' .u- &e ece&ita u )la de C%ti(ecia7
A medida que las empresas se 6an vuelto cada ve: ms dependientes de las
computadoras y las redes para mane3ar sus actividades, la disponibilidad de los
sistemas in.ormticos se 6a vuelto crucial. Actualmente, la mayor(a de las empresas
necesitan un nivel alto de disponibilidad y al4unas requiren incluso un nivel continuo
de disponibilidad, ya que les resultar(a eFtremadamente di.(cil .uncionar sin los
recursos in.ormticos.
os procedimientos manuales, si es que eFisten, slo ser(an prcticos por un corto
periodo. En caso de un desastre, la interrupcin prolon4ada de los servicios de
computacin puede llevar a p>rdidas /nancieras si4ni/cativas, sobre todo si est
implicada la responsabilidad de la 4erencia de in.ormtica. o ms 4rave es que se
puede perder la credibilidad del pAblico o los los clientes y, como consecuencia, la
empresa puede terminar en un .racaso total.
Cabe pre4untarse BCPor se necesita un plan de contin4encia para desastres si eFiste
una pli:a de se4uro para esta eventualidadDB a respuesta es que si bien el se4uro
puede cubrir los costos materiales de los activos de una or4ani:acin en caso de una
calamidad, no servir para recuperar el ne4ocio. No ayudar a conservar a los clientes
y, en la mayor(a de los casos, no proporcionar .ondos por adelantado para mantener
.uncionando el ne4ocio 6asta que se 6aya recuperado.
En un estudio reali:ado por la 5niversidad de Minnesota, se 6a demostrado que ms
del Q%P de las empresas que su.ren un desastre y que no tienen un plan de
recuperacin ya en .uncionamiento, saldrn del ne4ocio en dos o tres a?os. Mientras
vaya en aumento la dependencia de la disponibilidad de los recursos in.ormticos,
este porcenta3e se4uramente crecer.
56
Por lo tanto, la capacidad para recuperarse eFitosamente de los e.ectos de un
desastre dentro de un periodo predeterminado debe ser un elemento crucial en un
plan estrat>4ico de se4uridad para una or4ani:acin.
*ma4(nese una situacin que interrumpa las operaciones de las computadoras durante
una semana o un mes; ima4ine la p>rdida de todos los datos de la empresa, todas las
unidades de respaldo del sitio y la destruccin de equipos vitales del sistema CCmo
se mane3ar(a seme3ante catstro.eD 0i 5d. se ve en esta situacin y lo Anico que
puede 6acer es pre4untarse BCM a6ora qu>DB \ya es demasiado tarde] a Anica manera
e.ectiva de a.rontar un desastre es tener una solucin completa y totalmente probada
para recuperarse de los e.ectos del mismo.
68u- e& u de&a&t'e7
0e puede consider como un desastre la interrupcin prolon4ada de los recursos
in.ormticos y de comunicacin de una or4ani:acin, que no puede remediarse dentro
de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo
alterno para su recuperacin.
E3emplos obvios son los 4randes incendios, las inundaciones, los terremotos, las
eFplosiones, los actos de sabota3e, etc>tera.
Estad(sticas recientes sobre los tipos ms
comunes de desastres que ocurren
muestran que el terrorismo, los incendios y
los 6uracanes son las causas ms comunes
en muc6os pa(ses.
a alta 4erencia tiene que decidir el
periodo predeterminado que lleva una interrupcin de servicio de la situacin de
BproblemaB a la de BdesastreB. a mayor(a de las or4ani:aciones lo4ran esto llevando a
cabo un anlisis de impacto en el ne4ocio para determinar el mFimo tiempo de
interrupcin permisible en .unciones vitales de sus actividades.
57
)la de c%ti(ecia
a reanudacin de las actividades ante una calamidad puede ser una de las
situaciones ms di.(ciles con las que una or4ani:acin deba en.rentarse. -ras un
desastre, es probable que no 6aya posibilidades de re4resar al lu4ar de traba3o o que
no se dispon4a de nin4una de los recursos acostumbrados. *ncluso, es posible que no
se pueda contar con todo el personal. a preparacin es la clave del >Fito para
en.rentar los problemas.
No eFiste nin4una manera costeable para prote4erse completamente contra todo tipo
de ries4os, particularmente amena:as naturales a 4ran escala que pueden arrasar
:onas eFtensas. Como consecuencia, siempre se tiene que tolerar al4An ries4o
residual. a decisin sobre el alcance del desastre para el que 6abr de prepararse
debe tomarse en los ms altos niveles de la empresa. Por e3emplo, la mayor parte de
las empresas implementan una estrate4ia que prote3a contra desastres locales, pero
pocas cubren desastres a nivel nacional o incluso internacional.
Asimismo, las or4ani:aciones que cuentan dos o ms sitios, pueden tener una
estrate4ia de recuperacin que .uncione en caso de que un sitio sea destruido o
da?ado, pero no si varios sitios son destruidos o da?ados al mismo tiempo.
5n plan de contin4encia es el proceso de determinar qu> 6acer si una catstro.e se
abate sobre la empresa y es necesario recuperar la red y los sistemas.
Met odo( o2/ a )ar a e( )( a% de &o%t i %2e%&i a
El dise?ar e implementar un plan de contin4encia para recuperacin de desastres no
es una tarea .cil; puede implicar es.uer:os y 4astos considerables, sobre todo si se
est partiendo de cero. 5na solucin comprende las si4uientes actividades@
&. )ebe ser dise?ada y elaborada de acuerdo con las necesidades de la empresa.
!. Puede requerir la construccin o adaptacin de un sitio para los equipos
computacionales.
7. +equerir del desarrollo y prueba de muc6os procedimientos nuevos, y >stos
deben ser compatibles con las operaciones eFistentes. 0e 6ar participar a
58
personal de muc6os departamentos di.erentes, el cual debe traba3ar en
con3unto cuando se desarrolle e implemente la solucin.
'. *mplicar un compromiso entre costo, velocidad de recuperacin, medida de la
recuperacin y alcance de los desastres cubiertos.
Como con cualquier proyecto de dise?o, un m>todo estructurado ayuda a ase4urar de
que se toman en cuenta todos estos .actores y de que se les trata adecuadamente.
A continuacin se muestran las principales actividades requeridas para la plani/cacin
e implementacin de una capacidad de recuperacin de desastres.
&. *denti/cacin de ries4os
!. Evaluacin de ries4os
7. Asi4nacin de prioridades a las aplicaciones
'. Establecimiento de los requerimientos de recuperacin
". Elaboracin de la documentacin
Q. ;eri/cacin e implementacin del plan
L. )istribucin y mantenimiento del plan
7. Identi,cacin de riesos
a primera .ase del plan de contin4encia, el anlisis de ries4os, nos sitAa en el lu4ar
de un asesor de una compa?(a de se4uros. En esta .ase, la preocupacin est
relacionada con tres simples pre4untas@ Cqu> est ba3o ries4oD, Cqu> puede ir malD y
Ccul es la probabilidad de que sucedaD
7.7. >?u! est -a.o rieso@
a primera de estas pre4untas, Cqu> est ba3o ries4oD, necesita incorporar todos los
componentes del sistema susceptibles de ser da?ados, dando lu4ar a la p>rdida de
conectividad, computadoras o datos. 5n dia4rama de la arquitectura de todos los
componentes del sistema .acilitar la reali:acin de un inventario de los elementos
que pueden necesitar ser restituidos tras un desastre. No 6ay que olvidar que tambi>n
el so.t1are necesita ser reempla:ado, y que todos los productos so.t1are relevantes
59
6an de ser identi/cados. Esto incluye cosas como las utilidades del sistema de
arc6ivos empleados para .acilitar las operaciones de red.
5n inventario completo de una red muestra de manera clara la comple3idad de >sta.
Cualquiera que realice inventarios de componentes para redes, comprende los
problemas en el se4uimiento del 6ard1are y so.t1are utili:ado por los usuarios /nales.
A.ortunadamente, eFisten al4unos productos disponibles, como los de las compa?(as
0ea4ate 0o.t1are, McA.ee y otros, que .acilitan la construccin de un inventario de los
sistemas.
5na omisin en el inventario .cilmente puede dar lu4ar a una recuperacin .allida
tras un desastre. El sistema de aplicacin puede no encontrarse preparado para su
uso si al4uno de sus componentes no est disponible; en tal caso, es aconse3able estar
constantemente a la eFpectativa de los nuevos elementos que pueden 6aberse
olvidado. Por e3emplo, una aplicacin para acceso remoto no .uncionar(a si los cables
no estn disponibles para conectar los mdem.
5no de los aspectos menos a4radables a tener en cuenta, y que a menudo se pasa por
alto, es que las personas esenciales se vean a.ectadas por el desastre y sea necesario
recurrir a otras para reali:ar sus labores. 5na .ormacin diversi/cada en los sistemas
dentro de la or4ani:acin pude ayudar a reducir el impacto de la indisponibilidad de
uno de los colaboradores. Al menos, los manuales de las aplicaciones ms importantes
para la empresa deber(an encontrarse disponibles en un sitio eFterno.
8. Evaluacin de riesos
Es el proceso de determinar el costo para la or4ani:acin de su.rir un desastre que
a.ecte su actividad. 0i una inundacin impidiera la actividad comercial durante cinco
d(as, la compa?(a perder(a cinco d(as de ventas, adems del deterioro .(sico de los
edi/cios e inventario. En el caso de los sistemas in.ormticos, la preocupacin
principal es comprender la cantidad de p>rdida /nanciera que puede provocar la
interrupcin de los servicios, incluyendo los que se basan en las redes.
60
Por e3emplo, si la empresa se anuncia a trav>s o reali:a ne4ocios en *nternet, Ccul es
el costo de tener el servidor 1eb in6abilitadoD 0i la red a trav>s de la cual se produce
la solicitud de pedidos est ca(da, o si el sistema de control de inventario utili:a la red,
Ccul es el impacto sobre la productividad de la empresaD
os costos de un desastre pueden clasi/carse en las si4uientes cate4or(as@
Costos reales de reempla:ar el sistema in.ormtico
Costos por .alta de produccin.
Costos por ne4ocio perdido
Costos de reputacin.
El costo real de los equipos y el so.t1are es .cil de calcular, y depende de si se
dispone de un buen inventario de todos los componentes de la red necesarios.
os costos de produccin pueden determinarse midiendo la produccin 4enerada
asociada a la red. a empresa tiene una correcta valoracin de la cantidad de traba3o
reali:ado diariamente y su valor relativo. a p>rdida de produccin, debida a la
interrupcin de la red, puede ser calculados utili:ando esta in.ormacin.
os costos por ne4ocio perdido son los in4resos perdidos por las or4ani:aciones de
ventas y marKetin4 cuando la red no est disponible. 0i el sistema de solicitud de
pedidos no .unciona y la empresa slo es capa: de procesar el !"P del volumen diario
6abitual de ventas, entonces se 6a perdido el L"P de ese volumen de ventas.
9. %sinacin de prioridades en las aplicaciones
)espu>s de que aconte:ca un desastre y se inicie la recuperacin de los sistemas,
debe conocerse qu> aplicaciones recuperar en primer lu4ar. No 6ay que perder el
tiempo restaurando los datos y sistemas equivocados cuando la actividad empresarial
necesita primero sus aplicaciones esenciales.
Esto implica la necesidad de determinar por anticipado cules son las aplicaciones
.undamentales del ne4ocio. 0i la empresa es como la mayor(a, se tendrn aplicaciones
Bmuy importantesB dependiendo de a qui>n se le pre4unte.
61
El departamento de recursos 6umanos a/rmar que el sistema de nminas es el ms
importante, el departamento de ventas dir que es su sistema de entrada de pedidos,
el departamento de produccin insistir en su control de inventario y el departamento
de compras asi4nar el papel de ms importante a su sistema de .acturacin.
)es4raciadamente, no todos estos sistemas pueden ser el ms importante; por lo
tanto, es .undamental que la direccin ayude a determinar el orden en que los
sistemas sern recuperados.
:. Esta-lecimiento de re/uisitos de recuperacin
a clave de esta .ase del proceso de elaboracin del plan de mi4racin es de/nir un
periodo de tiempo aceptable y viable para lo4rar que la red est> de nuevo activa. -al y
como se 6a planteado en la seccin anterior, la preocupacin bsica deber(a ser
disponer de las aplicaciones ms importantes en primer lu4ar. El personal directivo de
la or4ani:acin desear saber cundo estarn sus aplicaciones .uncionando para
plani/car las actividades de la compa?(a.
;. Ela-oracin de la documentacin
Crear un documento que muc6a 4ente pueda tener como re.erencia es qui:s lo ms
di.(cil del plan de contin4encia. No 6ay que en4a?arse@ implicar un es.uer:o
si4ni/cativo para al4unas personas, pero ayudar a aprender cosas sobre el sistema y
puede que al4An d(a salve la empresa.
os recursos necesarios para escribir y mantener un plan de contin4encia representan
ms de lo que puede reali:arse en ratos libres y despu>s de 6oras de o/cina. a
direccin de la or4ani:acin debe apoyar la iniciativa para que sea un >Fito. 5no de los
problemas del plan de contin4encia en un entorno de comunicaciones es que la
tecnolo4(a de redes cambia tan rpidamente que resulta di.(cil permanecer al d(a. Esto
incluye nuevos dispositivos, as( como nuevos sistemas de aplicacin que introducen su
propio nivel de comple3idad en este campo.
;.7. "ontenido del plan de continencia
El plan de contin4encia debe intentar de/nir las cinco reas si4uientes@
&. istas de noti/cacin, nAmeros de tel>.ono, mapas y direcciones
62
!. Prioridades, responsabilidades, relaciones y procedimientos
7. *n.ormacin sobre adquisiciones y compras
'. )ia4ramas de las instalaciones
". 0istemas, con/4uraciones y copias de se4uridad en cinta
2ay que cerciorarse de que se sabe a qui>n noti/car en primer lu4ar cundo ocurre un
desastre. Por e3emplo, si 6ay un incendio, llamar primero a los bomberos y lue4o al
director 4eneral. Pueden eFistir otras personas o or4ani:aciones identi/cadas con
caracter(sticas o conocimientos especiales que puedan ayudar a minimi:ar el da?o. 0i
no se dispone de nAmeros de tel>.ono o direcciones actuali:ados, se puede pasar muy
mal contactando con las personas a.ectadas.

<. Aeri,cacin e implementacin del plan
5na ve: redactado el plan, 6ay que probarlo. 2ay que estar se4uro de que el plan va a
.uncionar. Para ello, se debe ser esc>ptico sobre el propio traba3o, de manera que
pueda uno probarse a s( mismo que .unciona. Psicol4icamente, esto no es .cil
porque con toda probabilidad se 6a invertido una 4ran cantidad de tiempo y ener4(a
personal en este proceso, aunque lo me3or ser(a, si es posible, situarse de manera
imparcial ante la con/abilidad del plan. Por consi4uiente, 6an de reali:arse las pruebas
para encontrar problemas, no para veri/car que el plan .unciona.
0i eFisten errores en la in.ormacin, tmese nota de ellos y corr(3ase el plan.
B. (istri-ucin y mantenimiento del plan
Por Altimo, cuando se dispon4a de un plan de/nitivo ya veri/cado, es necesario
distribuirlo a las personas que necesitan tenerlo. *nt>ntese controlar las versiones del
plan, de manera que no eFista con.usin con mAltiples versiones. As( mismo, es
necesario ase4urar la disponibilidad de copias eFtra del plan para su depsito en la
instalacin eFterior a en cualquier otro lu4ar adems del lu4ar de traba3o. Mant>n4ase
una lista de todas las personas y ubicaciones que tienen una copia del plan. Cuando
se actualice el plan, sustituya todas las copias y reco3a las versiones previas.
El mantenimiento del plan es un proceso sencillo. 0e comien:a con una revisin del
plan eFistente y se eFamina en su totalidad, reali:ando cambios a cualquier
63
in.ormacin que pueda 6aber variado. En ese instante, se debe volver a evaluar los
sistemas de aplicacin y determinar cules son los ms importantes para la
or4ani:acin. as modi/caciones a esta parte del plan causarn modi/caciones
consecutivas a los procedimientos de recuperacin. 0in embar4o, esto no deber(a
verse como un problema porque probablemente la seccin de procedimientos ten4a
que actuali:arse de todas .ormas debido a otros cambios. 0i se 6an reali:ado
modi/caciones al sistema de copias de se4uridad, 6ay que cerciorarse de incluir la
in.ormacin sobre el .uncionamiento del nuevo o actuali:ado sistema.
6.6.6 E(a+ora *% i%4orme de *%a a*ditor/a ;i)ot1ti&a e% *% &e%tro de
&'m)*to
O+jeti,o )arti&*(ar- +evisa la e/ciencia de la in.ormacin y la e/ca: 4estin de los
recursos in.ormticos con base en metodol4ica de auditor(a y empleo de
6erramientas, instrumentos.
I de%t i 0 &a&i '% de r e,i si o%es de a*di t or / a.
a in.ormacin es el activo mas importante para las empresas, lo cual se puede
con/rmar si consideramos el 6ec6o de la perdida de in.ormacin critica, y la post
recuperacin con la cual la entidad podr(a retomar sus operaciones normales en un
menor tiempo, que si ocurre lo contrario. Por este motivo la in.ormacin adquiere una
4ran importancia para la empresa moderna debido a su poder estrat>4ico y a que se
invierten 4randes cantidades de dinero en tiempo de proporcionar un buen sistema de
in.ormacin para tener una mayor productividad.
La im)orta%&ia e% :*e radi&a a*ditoria de sistemas e%
(as or2a%i.a&io%es so%-
8 0e puede di.undir y utili:ar resultados o in.ormacin errnea si los datos son
ineFactos o los mismos son manipulados, lo cual abre la posibilidad de que a.ecte
seriamente las operaciones, tomas de decisiones o la ima4en de la empresa.
64
8 as computa, servidores y centros de base de datos se 6an convertido en blanco
para .raudes, espiona3e, delincuencia y terrorismo in.ormtico.
8 a continuidad de las operacin, administracin y or4ani:acin de la empresa no
debe permanecer en un sistema mal dise?ado, ya que podr(a convenirse en un serio
peli4ro para la empresa.
8 EFisten 4randes posibilidades de robo de secretos comerciales, in.ormacin
/nanciera, administrativa, la trans.erencia il(cita de tecnolo4(a y dems delitos
in.ormticos.
8 Mala ima4en e insatis.accin de los usuarios porque no reciben el soporte t>cnico
adecuado o no se reparan los da?os de 6ard1are ni se resuelven los problemas en un
lapso ra:onable, es decir, el usuario percibir que est abandonado y desatendido
permanentemente, esto dar una mala ima4en de la or4ani:acin.
8 En el )epartamento de 0istemas se observa un incremento de costos, inversiones
in3usti/cadas o desviaciones presupuestarias si4ni/cativas.
8 Evaluacin de nivel de ries4os en lo que respecta a se4uridad l4ica, se4uridad .(sica
y con/dencialidad.
8 Mantener la continuidad del servicio, la elaboracin y la actuali:acin de los planes
de contin4encia para lo4rar este ob3etivo.
8 El inadecuado uso de la computadora para usos a3enos a la or4ani:acin que puede
lle4ar a producir problemas de in/ltracin, borrado de in.ormacin y un mal
rendimiento.
8 as comunicaciones es el principal medio de ne4ocio de las or4ani:aciones, una d>bil
administracin y se4uridad podr(a lo4rar una mala ima4en, retraso de ne4ocios, .alta
de con/an:a para los clientes y una mala eFpectativa para la produccin.
65
a Auditoria de la 0e4uridad *n.ormtica en la in.ormtica abarca el concepto de
se4uridad .(sica y l4ica. a se4uridad .(sica se re/ere a la proteccin de 6ard1are y
los soportes de datos, as( tambi>n como la se4uridad del los edi/cios y las
instalaciones que lo alber4an. Esto mismo contempla situaciones de incendios,
inundaciones, sabota3es, robos, catstro.es naturales, etc.
Por su parte la se4uridad l4ica se re/ere a la se4uridad del uso de so.t1are,
proteccin de la in.ormacin, procesos y pro4ramas, as( como el acceso ordenado y
autori:ado de los usuarios a la in.ormacin.
El auditar la se4uridad de los sistemas, tambi>n implica que se debe tener cuidado
que no eFistan copias piratas, o bien que, al conectarnos en red con otras
computadoras, no eFista la posibilidad de transmisin de virus.
En la auditoria para aplicaciones de internet se produce una veri/cacin de los
si4uientes aspectos@
8 Evaluacin de los ries4os de *nternet Goperativos, tecnol4icos y /nancierosH y as(
como su probabilidad de ocurrencia.
8 Evaluacin de vulnerabilidades y arquitectura de se4uridad implementada.
8 ;eri/car la con/dencialidad e inte4ridad de las aplicaciones y la publicidad ne4ativa
como consecuencia de ataques eFitosos por parte de 6acKers.
)'ici*i%& de audit%'ia ad$ii&t'ativa
Es conveniente a6ora tratar lo re.erente a los principios bsicos en las auditorias
administrativas, los cuales vienen a ser parte de la estructura terica de >sta, por
tanto debemos recalcar tres principios .undamentales que son los si4uientes@
Sentido de la evaluacin
a auditoria administrativa no intenta evaluar la capacidad t>cnica de in4enieros,
66
contadores, abo4ados u otros especialistas, en la e3ecucin de sus respectivos
traba3os. Mas bien se ocupa de llevara cabo un eFamen y evaluacin de la calidad
tanto individual como colectiva, de los 4erentes, es decir, personas responsables de la
administracin de .unciones operacionales y ver si 6an tomado modelos pertinentes
que ase4uren la implantacin de controles administrativos adecuados, que ase4ures@
que la calidad del traba3o sea de acuerdo con normas establecidas, que los planes y
ob3etivos se cumplan y que los recursos se apliquen en .orma econmica.
Importancia del proceso de veri,cacin
5na responsabilidad de la auditoria administrativa es determinar que es lo que s> esta
6aciendo realmente en los niveles directivos, administrativos y operativos; la practica
nos indica que ello no siempre est de acuerdo con lo que >l responsable del rea o el
supervisor piensan que esta ocurriendo. os procedimientos de auditoria
administrativa respaldan t>cnicamente la comprobacin en la observacin directa, la
veri/cacin de in.ormacin de terrenos, y el anlisis y con/rmacin de datos, los
cuales son necesarios e imprescindibles.
1a-ilidad para pensar en t!rminos administrativos
El auditor administrativo, deber ubicarse en la posicin de una administrador a quien
se le responsabilice de una .uncin operacional y pensar como este lo 6ace Go deber(a
6acerloH. En s(, se trata de pensar en sentido administrativo, el cual es un atributo
muy importante para el auditor administrativo.
Importancia del proceso de veri,cacin
5na responsabilidad de la auditoria administrativa es determinar que es lo que s> esta
6aciendo realmente en los niveles directivos, administrativos y operativos; la practica
nos indica que ello no siempre est de acuerdo con lo que >l responsable del rea o el
supervisor piensan que esta ocurriendo. os procedimientos de auditoria
67
administrativa respaldan t>cnicamente la comprobacin en la observacin directa, la
veri/cacin de in.ormacin de terrenos, y el anlisis y con/rmacin de datos, los
cuales son necesarios e imprescindibles.
+so de 3erramientas para auditora informtica.
En la reali:acin de una auditor(a in.ormtica el auditor puede reali:ar las si4uientes
pruebas@
#rue-as sustantivas: ;eri/can el 4rado de con/abilidad del 0* del or4anismo. 0e
suelen obtener mediante observacin, clculos, muestreos, entrevistas,
t>cnicas de eFamen anal(tico, revisiones y conciliaciones. ;eri/can asimismo la
eFactitud, inte4ridad y valide: de la in.ormacin.
#rue-as de cumplimiento: ;eri/can el 4rado de cumplimiento de lo revelado
mediante el anlisis de la muestra. Proporciona evidencias de que los controles
claves eFisten y que son aplicables e.ectiva y uni.ormemente.
as principales 6erramientas de las que dispone un auditor in.ormtico son@
Observacin
+eali:acin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estad(stico
#lu3o4ramas
istas de c6equeo
Mapas conceptuales
Cue&ti%a'i%&
as auditor(as in.ormticas se materiali:an recabando in.ormacin y
documentacin de todo tipo. os in.ormes /nales de los auditores dependen de sus
capacidades para anali:ar las situaciones de debilidad o .ortale:a de los di.erentes
entornos. El traba3o de campo del auditor consiste en lo4rar toda la in.ormacin
68
necesaria para la emisin de un 3uicio 4lobal ob3etivo, siempre amparado en 6ec6os
demostrables, llamados tambi>n evidencias.
Para esto, suele ser lo 6abitual comen:ar solicitando la cumplimentacin de
cuestionarios preimpresos que se env(an a las personas concretas que el auditor cree
adecuadas, sin que sea obli4atorio que dic6as personas sean las responsables
o/ciales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,
sino di.erentes y muy espec(/cos para cada situacin, y muy cuidados en su .ondo y
su .orma.
Et'evi&ta&
El auditor comien:a a continuacin las relaciones personales con el auditado. o
6ace de tres .ormas@
&. Mediante la peticin de documentacin concreta sobre al4una materia de su
responsabilidad.
!. Mediante BentrevistasB en las que no se si4ue un plan predeterminado ni un
m>todo estricto de sometimiento a un cuestionario.
7. Por medio de entrevistas en las que el auditor si4ue un m>todo preestablecido
de antemano y busca unas /nalidades concretas.
a entrevista es una de las actividades personales ms importante del auditor; en
ellas, >ste reco4e ms in.ormacin, y me3or mati:ada, que la proporcionada por
medios propios puramente t>cnicos o por las respuestas escritas a cuestionarios.
C/ec9li&t
El auditor pro.esional y eFperto es aqu>l que reelabora muc6as veces sus
cuestionarios en .uncin de los escenarios auditados. -iene claro lo que necesita
saber, y por qu>. 0us cuestionarios son vitales para el traba3o de anlisis, cru:amiento
y s(ntesis posterior, lo cual no quiere decir que 6aya de someter al auditado a unas
pre4untas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
69
conversar y 6ar pre4untas BnormalesB, que en realidad servirn para la
cumplimentacin sistemtica de sus Cuestionarios, de sus C6ecKlists.
2ay opiniones que descali/can el uso de los C6ecKlists, ya que consideran que
leerle una pila de pre4untas recitadas de memoria o le(das en vo: alta descali/ca al
auditor in.ormtico. Pero esto no es usar C6ecKlists, es una evidente .alta de
pro.esionalismo. El pro.esionalismo pasa por un procesamiento interno de in.ormacin
a /n de obtener respuestas co6erentes que permitan una correcta descripcin de
puntos d>biles y .uertes. El pro.esionalismo pasa por poseer pre4untas muy
estudiadas que 6an de .ormularse IeFiblemente.
Met odo( o2/ a de Tr a+aj o de A*di t or / a I %4 or m8t i &a

E( m1todo de tra+ajo de( a*ditor )asa )or (as si2*ie%tes
eta)as-

Alcance y Ob3etivos de la Auditor(a *n.ormtica.
Estudio inicial del entorno auditable.
)eterminacin de los recursos necesarios para reali:ar la auditor(a.
Elaboracin del plan y de los Pro4ramas de -raba3o.
Actividades propiamente dic6as de la auditor(a.
Con.eccin y redaccin del *n.orme #inal.
+edaccin de la Carta de *ntroduccin o Carta de Presentacin del *n.orme /nal.
De0%i&i'% de A(&a%&e 9 O+jeti,os

El alcance de la auditor(a eFpresa los l(mites de la misma. )ebe eFistir un acuerdo
muy preciso entre auditores y clientes sobre las .unciones, las materias y las
or4ani:aciones a auditar.
A los e.ectos de acotar el traba3o, resulta muy bene/cioso para ambas partes eFpresar
las eFcepciones de alcance de la auditor(a, es decir cuales materias, .unciones u
or4ani:aciones no van a ser auditadas.
-anto los alcances como las eFcepciones deben /4urar al comien:o del *n.orme #inal.
70
as personas que reali:an la auditor(a 6an de conocer con la mayor eFactitud posible
los ob3etivos a los que su tarea debe lle4ar. )eben comprender los deseos y
pretensiones del cliente, de .orma que las metas /3adas puedan ser cumplidas.
5na ve: de/nidos los ob3etivos Gob3etivos espec(/cosH, >stos se a?adirn a los
ob3etivos 4enerales y comunes de a toda auditor(a *n.ormtica@ a operatividad de los
0istemas y los Controles <enerales de <estin *n.ormtica.

E&tudi% Iicial

Para reali:ar dic6o estudio 6a de eFaminarse las .unciones y actividades 4enerales
de la in.ormtica.
Para su reali:acin el auditor debe conocer lo si4uiente@

O'(ai:aci":
Para el equipo auditor, el conocimiento de qui>n ordena, qui>n dise?a y qui>n
e3ecuta es .undamental. Para reali:ar esto en auditor deber /3arse en@

&H )ranirama:
El or4ani4rama eFpresa la estructura o/cial de la or4ani:acin a auditar.
0i se descubriera que eFiste un or4ani4rama .ctico di.erente al o/cial, se pondr
de mani/esto tal circunstancia.
6> De*a'ta$et%&:
0e entiende como departamento a los r4anos que si4uen inmediatamente a la
)ireccin. El equipo auditor describir brevemente las .unciones de cada uno de
ellos.

7H Relaciones Cerr/uicas y funcionales entre ranos de la )ranizacin:
71
El equipo auditor veri/car si se cumplen las relaciones .uncionales y $errquicas
previstas por el or4ani4rama, o por el contrario detectar, por e3emplo, si al4An
empleado tiene dos 3e.es.
as de $erarqu(a implican la correspondiente subordinacin. as .uncionales por el
contrario, indican relaciones no estrictamente subordinables.
:6 $lu.os de Informacin:
Adems de las corrientes verticales intradepartamentales, la estructura
or4ani:ativa cualquiera que sea, produce corrientes de in.ormacin 6ori:ontales y
oblicuas eFtradepartamentales.
os Iu3os de in.ormacin entre los 4rupos de una or4ani:acin son necesarios para
su e/ciente 4estin, siempre y cuando tales corrientes no distorsionen el propio
or4ani4rama.
En ocasiones, las or4ani:aciones crean espontneamente canales alternativos de
in.ormacin, sin los cuales las .unciones no podr(an e3ercerse con e/cacia; estos
canales alternativos se producen porque 6ay peque?os o 4randes .allos en la
estructura y en el or4ani4rama que los representa.
Otras veces, la aparicin de Iu3os de in.ormacin no previstos obedece a
a/nidades personales o simple comodidad. Estos Iu3os de in.ormacin son
indeseables y producen 4raves perturbaciones en la or4ani:acin.

;6 *mero de #uestos de tra-a.o
El equipo auditor comprobar que los nombres de los Puesto de los Puestos de
-raba3o de la or4ani:acin corresponden a las .unciones reales distintas.
Es .recuente que ba3o nombres di.erentes se realicen .unciones id>nticas, lo cual
indica la eFistencia de .unciones operativas redundantes.
Esta situacin pone de mani/esto de/ciencias estructurales; los auditores darn a
conocer tal circunstancia y eFpresarn el nAmero de puestos de traba3o
verdaderamente di.erentes.
72

<6 *mero de personas por #uesto de Tra-a.o
Es un parmetro que los auditores in.ormticos deben considerar. a inadecuacin
del personal determina que el nAmero de personas que reali:an las mismas
.unciones rara ve: coincida con la estructura o/cial de la or4ani:acin.

Et%'% O*e'aci%al
El equipo de auditoria in.ormtica debe poseer una adecuada re.erencia del entorno
en el que va a desenvolverse.
Este conocimiento previo se lo4ra determinando, .undamentalmente, los si4uientes
eFtremos@
a6 Situacin eor,ca de los Sistemas:
0e determinar la ubicacin 4eo4r/ca de los distintos Centros de Proceso de
)atos en la empresa. A continuacin, se veri/car la eFistencia de
responsables en cada unos de ellos, as( como el uso de los mismos estndares
de traba3o.

-6 %r/uitectura y con,uracin de 1ard0are y Soft0are:
Cuando eFisten varios equipos, es .undamental la con/4uracin ele4ida para
cada uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. a con/4uracin de los sistemas esta muy li4ada a las
pol(ticas de se4uridad l4ica de las compa?(as.
os auditores, en su estudio inicial, deben tener en su poder la distribucin e
interconeFin de los equipos.

c6 Inventario de 1ard0are y Soft0are:
El auditor recabar in.ormacin escrita, en donde /4uren todos los elementos
.(sicos y l4icos de la instalacin. En cuanto a 2ard1are /4urarn las CP5s,
unidades de control local y remotas, peri.>ricos de todo tipo, etc.
73
El inventario de so.t1are debe contener todos los productos l4icos del
0istema, desde el so.t1are bsico 6asta los pro4ramas de utilidad adquiridos o
desarrollados internamente. 0uele ser 6abitual clasi/carlos en .acturables y no
.acturables.

d6 "omunicacin y Redes de "omunicacin:
En el estudio inicial los auditores dispondrn del nAmero, situacin y
caracter(sticas principales de las l(neas, as( como de los accesos a la red
pAblica de comunicaciones.
*4ualmente, poseern in.ormacin de las +edes ocales de la Empresa.

A*licaci%e& ba&e& de dat%& y !c/e'%&
El estudio inicial que 6an de reali:ar los auditores se cierra y culmina con una idea
4eneral de los procesos in.ormticos reali:ados en la empresa auditada. Para ello
debern conocer lo si4uiente@
a6 AolumenD antiEedad y comple.idad de las %plicaciones

-6 =etodoloa del (iseFo
0e clasi/car 4lobalmente la eFistencia total o parcial de metodolo4(a en el
desarrollo de las aplicaciones. 0i se 6an utili:ados varias a lo lar4o del tiempo
se pondr de mani/esto.

c6 (ocumentacin
a eFistencia de una adecuada documentacin de las aplicaciones proporciona
bene/cios tan4ibles e inmediatos muy importantes.
a documentacin de pro4ramas disminuye 4ravemente el mantenimiento de
los mismos.

d6 "antidad y comple.idad de 4ases de (atos y $ic3eros.
74
El auditor recabar in.ormacin de tama?o y caracter(sticas de las 9ases de
)atos, clasi/cndolas en relacin y 3erarqu(as. 2allar un promedio de nAmero
de accesos a ellas por 6ora o d(as. Esta operacin se repetir con los /c6eros,
as( como la .recuencia de actuali:aciones de los mismos.
Estos datos proporcionan una visin aceptable de las caracter(sticas de la
car4a in.ormtica.

Dete'$iaci" de 'ecu'&%& de la audit%'ia I,%'$3tica
Mediante los resultados del estudio inicial reali:ado se procede a determinar los
recursos 6umanos y materiales que 6an de emplearse en la auditoria.

Recursos materiales
Es muy importante su determinacin, por cuanto la mayor(a de ellos son
proporcionados por el cliente. as 6erramientas so.t1are propias del equipo van a
utili:arse i4ualmente en el sistema auditado, por lo que 6an de convenirse en lo
posible las .ec6as y 6oras de uso entre el auditor y cliente.
os recursos materiales del auditor son de dos tipos@

a6 Recursos materiales Soft0are
Pro4ramas propios de la auditoria@ 0on muy potentes y #leFibles.
2abitualmente se a?aden a las e3ecuciones de los procesos del cliente para
veri/carlos.
Monitores@ 0e utili:an en .uncin del 4rado de desarrollo observado en la
actividad de ->cnica de 0istemas del auditado y de la cantidad y calidad de los
datos ya eFistentes.

-6 Recursos materiales 1ard0are
os recursos 6ard1are que el auditor necesita son proporcionados por el
cliente. os procesos de control deben e.ectuarse necesariamente en las
Computadoras del auditado.
75
Para lo cul 6abr de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.

Recu'&%& ;u$a%&:
a cantidad de recursos depende del volumen auditable. as caracter(sticas y
per/les del personal seleccionado dependen de la materia auditable.
Es i4ualmente rese?able que la auditor(a en 4eneral suele ser e3ercida por
pro.esionales universitarios y por otras personas de probada eFperiencia
multidisciplinaria.
)e'!le& )'%,e&i%ale& de l%& audit%'e& i,%'$3tic%&
Pro.esin Actividades y conocimientos deseables
*n.ormtico <eneralista Con eFperiencia amplia en ramas distintas.
)eseable que su labor se 6aya desarrollado
en EFplotacin y en )esarrollo de Proyectos.
Conocedor de 0istemas.
EFperto en )esarrollo de
Proyectos
Amplia eFperiencia como responsable de
proyectos. EFperto analista. Conocedor de
las metodolo4(as de )esarrollo ms
importantes.
->cnico de 0istemas EFperto en 0istemas Operativos y 0o.t1are
9sico. Conocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de EFplotacin.
EFperto en 9ases de )atos y
Administracin de las mismas.
Con eFperiencia en el mantenimiento de
9ases de )atos. Conocimiento de productos
compatibles y equivalentes. 9uenos
conocimientos de eFplotacin
EFperto en 0o.t1are de
Comunicacin
Alta especiali:acin dentro de la t>cnica de
sistemas. Conocimientos pro.undos de
redes. Muy eFperto en 0ubsistemas de
76
teleproceso.
EFperto en EFplotacin y
<estin de CP)T0
+esponsable de al4An Centro de Clculo.
Amplia eFperiencia en Automati:acin de
traba3os. EFperto en relaciones 6umanas.
9uenos conocimientos de los sistemas.
->cnico de Or4ani:acin EFperto or4ani:ador y coordinador.
Especialista en el anlisis de Iu3os de
in.ormacin.
->cnico de evaluacin de
Costes
Economista con conocimiento de
*n.ormtica. <estin de costes.

Elab%'aci" del )la y de l%& *'%('a$a& de t'abaj%

5na ve: asi4nados los recursos, el responsable de la auditor(a y sus colaboradores
establecen un plan de traba3o. )ecidido >ste, se procede a la pro4ramacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los si4uientes@

aH 0i la +evisin debe reali:arse por reas 4enerales o reas espec(/cas. En el primer
caso, la elaboracin es ms comple3a y costosa.
bH 0i la auditor(a es 4lobal, de toda la *n.ormtica, o parcial. El volumen determina no
solamente el nAmero de auditores necesarios, sino las especialidades necesarias del
personal.

En el plan no se consideran calendarios, porque se mane3an recursos 4en>ricos
y no espec(/cos.
En el Plan se establecen los recursos y es.uer:os 4lobales que van a ser
necesarios.
En el Plan se establecen las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
El Plan establece disponibilidad .utura de los recursos durante la revisin.
El Plan estructura las tareas a reali:ar por cada inte4rante del 4rupo.
77
En el Plan se eFpresan todas las ayudas que el auditor 6a de recibir del
auditado.
5na ve: elaborado el Plan, se procede a la Pro4ramacin de actividades. Esta 6a de
ser lo su/cientemente como para permitir modi/caciones a lo lar4o del proyecto.

Actividade& de la Audit%'+a I,%'$3tica
Auditor(a por temas 4enerales o por reas espec(/cas@
a auditor(a *n.ormtica 4eneral se reali:a por reas 4enerales o por reas
espec(/cas. 0i se eFamina por 4randes temas, resulta evidente la mayor calidad y el
empleo de ms tiempo total y mayores recursos.
Cuando la auditor(a se reali:a por reas espec(/cas, se abarcan de una ve: todas las
peculiaridades que a.ectan a la misma, de .orma que el resultado se obtiene ms
rpidamente y con menor calidad.

T!cnicas de Tra-a.o:

8 Anlisis de la in.ormacin recabada del auditado.
8 Anlisis de la in.ormacin propia.
8 Cru:amiento de las in.ormaciones anteriores.
8 Entrevistas.
8 0imulacin.
8 Muestreos.

1erramientas:

8 Cuestionario 4eneral inicial.
8 Cuestionario C6ecKlist.
8 Estndares.
8 Monitores.
8 0imuladores G<eneradores de datosH.
8 Paquetes de auditor(a G<eneradores de Pro4ramasH.
8 Matrices de ries4o.
78

I,%'$e Fial

a .uncin de la auditor(a se materiali:a eFclusivamente por escrito. Por lo tanto la
elaboracin /nal es el eFponente de su calidad.
+esulta evidente la necesidad de redactar borradores e in.ormes parciales previos al
in.orme /nal, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir .allos de apreciacin en el auditor.

Estructura del informe ,nal:
El in.orme comien:a con la .ec6a de comien:o de la auditor(a y la .ec6a de redaccin
del mismo. 0e incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicacin de la 3e.atura, responsabilidad y puesto de
traba3o que ostente.

De!ici" de %bjetiv%& y alcace de la audit%'+a.

Enumeracin de temas considerados:
Antes de tratarlos con pro.undidad, se enumerarn lo ms eF6austivamente posible
todos los temas ob3eto de la auditor(a.

"uerpo e&positivo:
Para cada tema, se se4uir el si4uiente orden a saber@
aH Situacin actual. Cuando se trate de una revisin peridica, en la que se anali:a
no solamente una situacin sino adems su evolucin en el tiempo, se eFpondr la
situacin prevista y la situacin real
bH Tendencias. 0e tratarn de 6allar parmetros que permitan establecer tendencias
.uturas.
cH #untos d!-iles y amenazas.
79
dH Recomendaciones y planes de accin. Constituyen 3unto con la eFposicin de
puntos d>biles, el verdadero ob3etivo de la auditor(a in.ormtica.
eH +edaccin posterior de la Carta de *ntroduccin o Presentacin.

M%del% c%ce*tual de la e#*%&ici" del i,%'$e !al:
8 El in.orme debe incluir solamente 6ec6os importantes.
a inclusin de 6ec6os poco relevantes o accesorios desv(a la atencin del lector.
8 El *n.orme debe consolidar los 6ec6os que se describen en el mismo.
El t>rmino de U6ec6os consolidadosV adquiere un especial si4ni/cado de veri/cacin
ob3etiva y de estar documentalmente probados y soportados. a consolidacin de
los 6ec6os debe satis.acer, al menos los si4uientes criterios@
&. El 6ec6o debe poder ser sometido a cambios.
!. as venta3as del cambio deben superar los inconvenientes derivados de
mantener la situacin.
7. No deben eFistir alternativas viables que superen al cambio propuesto.
'. a recomendacin del auditor sobre el 6ec6o debe mantener o me3orar
las normas y estndares eFistentes en la instalacin.

a aparicin de un 6ec6o en un in.orme de auditor(a implica necesariamente la
eFistencia de una debilidad que 6a de ser corre4ida.

#lu3o del 6ec6o o debilidad@
7 G 1ec3o encontrado.
8 2a de ser relevante para el auditor y pera el cliente.
8 2a de ser eFacto, y adems convincente.
8 No deben eFistir 6ec6os repetidos.

8 G "onsecuencias del 3ec3o
8 as consecuencias deben redactarse de modo que sean directamente
deducibles del 6ec6o.
80

9 G Repercusin del 3ec3o
8 0e redactar las inIuencias directas que el 6ec6o pueda tener sobre otros
aspectos in.ormticos u otros mbitos de la empresa.

: G "onclusin del 3ec3o
8 No deben redactarse conclusiones ms que en los casos en que la eFposicin
6aya sido muy eFtensa o comple3a.

; G Recomendacin del auditor informtico
8 )eber entenderse por s( sola, por simple lectura.
8 )eber estar su/cientemente soportada en el propio teFto.
8 )eber ser concreta y eFacta en el tiempo, para que pueda ser veri/cada su
implementacin.
8 a recomendacin se redactar de .orma que vaya diri4ida eFpresamente a
la persona o personas que puedan implementarla.

Ca'ta de it'%ducci" % *'e&etaci" del i,%'$e !al:
a carta de introduccin tiene especial importancia porque en ella 6a de resumirse
la auditor(a reali:ada. 0e destina eFclusivamente al responsable mFimo de la
empresa, o a la persona concreta que encar4o o contrato la auditor(a.
As( como pueden eFistir tantas copias del in.orme #inal como solicite el cliente, la
auditor(a no 6ar copias de la citada carta de *ntroduccin.
a carta de introduccin poseer los si4uientes atributos@
8 -endr como mFimo ' .olios.
8 *ncluir .ec6a, naturale:a, ob3etivos y alcance.
8 Cuanti/car la importancia de las reas anali:adas.
81
8 Proporcionar una conclusin 4eneral, concretando las reas de 4ran
debilidad.
8 Presentar las debilidades en orden de importancia y 4ravedad.
8 En la carta de *ntroduccin no se escribirn nunca recomendaciones.
CONC50*=N
El auditor es el proceso de acumular y evaluar evidencia, reali:ando por una persona
independiente y competente acerca de la in.ormacin cuanti/cable de una entidad
econmica especi/ca, con el propsito de determinar e in.ormar sobre el 4rado de
correspondencia eFistente entre la in.ormacin cuanti/cable y los criterios
establecidas.
0u importancia es reconocida desde los tiempos ms remotos, teni>ndose
conocimientos de su eFistencia ya en las le3anas >pocas de la civili:acin sumeria.
El .actor tiempo obli4a a cambiar muc6as cosas, la industria, el comercio, los servicios
pAblicos, entre otros. Al crecer las empresas, la administracin se 6ace mas
complicada, adoptando mayor importancia la comprobacin y el control interno,
debido a una mayor dele4acin de autoridades y responsabilidad de los .uncionarios.
)ebido a todos los problemas administrativos s> 6an presentado con el avance del
tiempo nuevas dimensiones en el pensamiento administrativo. 5na de estas
dimensiones es la auditoria administrativa la cual es un eFamen detallado de la
administracin de un or4anismo social, reali:ado por un pro.esional GauditorH, es decir,
es una nueva 6erramienta de control y evaluacin considerada como un servicio
pro.esional para eFaminar inte4ralmente un or4anismo social con el propsito de
descubrir oportunidades para me3orar su administracin.
-omando en consideracin todas las investi4aciones reali:adas, podemos concluir que
la auditoria es dinmica, la cual debe aplicarse .ormalmente toda empresa,
independientemente de su ma4nitud y ob3etivos; aun en empresas peque?as, en
donde se lle4a a considerar inoperante, su aplicacin debe ser secuencial constatada
para lo4rar e/ciencia.
82
<losario de t>rminos t>cnicos de auditoria en se4uridad
El anlisis de ries4o es un proceso sistemtico para estimar la ma4nitud de los ries4os
a que est eFpuesta una or4ani:acin o empresa.
Es la identi/cacin de las amena:as que acec6an a los distintos componentes
pertenecientes o relacionados con un sistema de in.ormacin GactivosH para
determinar la vulnerabilidad del sistema ante esas amena:as y para estimar el
impacto o 4rado de per3uicio que una se4uridad insu/ciente puede a.ectar a la
or4ani:acin.
Acorde al punto ".' de Ma4erit GEspa?aH es importante crear escenarios de ataque,
ima4inar amena:as a los activos, pensar cmo un atacante se en.rentar(a a nuestros
sistemas o activos.
2ay que ponerse en la piel del atacante e ima4inar qu> 6ar(a con sus conocimientos y
recursos. Es importante plantear di.erentes situaciones dependiendo del per/l t>cnico
del atacante o de sus recursos t>cnicos y 6umanos. Estos escenarios de ataque o
dramati:aciones son importantes para evaluar impactos y ries4os.
83
"onsideraciones
$ams olvide que en las empresas la se4uridad comien:a por dentro. Capacitando al
personal, creando normas basadas en standards, anali:ando brec6as y puntos cie4os
en la se4uridad l4ica y en la se4uridad de sistemas de in.ormacin.
Es .undamental la creacin de escenarios de conIicto en .orma continua participando
la 4erencia de la empresa 3unto con un auditor en se4uridad, a partir de estos
escenarios pueden lo4rarse medidas para evitar eventos de se4uridad.
%nticiparse a los 3ec3os
*ma4(nese el peor escenario posible. Piense cmo evitarlo. EFisten normas,
procedimientos, protocolos de se4uridad eFistentes que pueden ayudar a crear y
basar Gval4a la redundanciaH sus procedimientos internos para ale3ar la posibilidad de
ries4o.
0i su empresa opera a trav>s de internet o telecomunicaciones no olvide que es ms
probable tener una .u4a de in.ormacin o problema interno de se4uridad con su
personal a que un 6acKer intente vulnerar sus sistemas, el .raude interno est a la
orden del d(a.
+ealice peridicamente per/les socioeconmicos de su personal, ten4a entrevistas
con cada uno de sus empleados con una .recuencia trimestral contando con apoyo de
un pro.esional en psicolo4(a laboral con eFperiencia previa y capacitado en PN Gnunca
est de ms que en estas entrevistas participe un auditor en se4uridad, el auditor
debe ser capa: de percibir a un UinsiderVH
El si4uiente 4losario es un compendio de t>rminos t>cnicos de auditoria en se4uridad
que le permitir comprender diversos in.ormes y 4ra/car situaciones eventuales en
que su empresa podr(a verse comprometida.
%ta/ue:
84
Cualquier accin deliberada con el ob3etivo de violar los mecanismos de se4uridad de
un sistema de in.ormacin.
%uditoria de Seuridad:
Estudio y eFamen independiente de re4istros 6istricos y actividades de un sistema de
in.ormacin con el ob3etivo de comprobar la solide: de los controles del sistema,
alinear los controles con la estructura de se4uridad y procedimientos operativos
establecidos a /n de detectar brec6as en la se4uridad y recomendar modi/caciones
en los procedimientos, controles y estructuras de se4uridad.
%utenticidad:
Ase4uramiento de la identidad u ori4en.
Certi/cacin@Con/rmacin del resultado de una evaluacin y de que los criterios de la
evaluacin utili:ados .ueron correctamente aplicados.
"on,dencialidad:
Ase4uramiento de que la in.ormacin es accesible slo por aquellos autori:ados a
tener acceso.
(eradacin:
P>rdida de valor de un activo como consecuencia de la materiali:acin de una
amena:a
(isponi-ilidad:
Ase4uramiento de que los usuarios autori:ados tienen acceso cuando lo requieran a la
in.ormacin y a sus activos asociados.
Estado de rieso:
Caracteri:acin de activos por ries4o residual. Uo que puede pasar tomando en
consideracin que las salva4uardas 6an sido desple4adasV.
85
Evento de seuridad:
Momento en que la amena:a eFiste y pone en ries4o activos, procedimientos o
in.ormacin.
Evaluacin de =edidas de Seuridad:
Evaluacin de las medidas de se4uridad eFistentes con relacin al ries4o que
en.rentan.
$recuencia:
-asa de ocurrencia de una amena:a
'estin de riesos:
0eleccin de implementacin de medidas de se4uridad para conocer, prevenir,
impedir, reducir o controlar los ries4os identi/cados. a 4estin de ries4os se basa en
resultados obtenidos en el anlisis de ries4os.
Impacto:
Consecuencia que sobre un activo tiene la materiali:acin de una amena:a.
Impacto residual:
*mpacto remanente en el sistema tras la implantacin de las medidas de se4uridad
determinadas en el plan de se4uridad de la in.ormacin.
Insider:
Empleado desleal quien por motivos de desinter>s, .alta de capacidad intelectual yJo
anal(tica, problemas psicol4icos o psiquitricos, corrupcin, colusin u otros provoca
da?os en .orma deliberada en la empresa en que traba3a, incumpliendo
concientemente con normas y procedimientos establecidos, robando o 6urtando
activos G.(sicos o in.ormacinH con ob3etivos econmicos o simplemente de da?o
deliberado.
86
Interidad:
<arant(a de la eFactitud y completitud de la in.ormacin y los m>todos de su
procesamiento.
=apa de riesos:
+elacin de las amena:as a que estn eFpuestos los activos.
#lan de seuridad:
Con3unto de pro4ramas de se4uridad que permiten materiali:ar las decisiones de
4estin de ries4os.
#rorama de seuridad:
Con3unto de tareas orientadas a a.rontar el ries4o del sistema. Esta a4rupacin se
debe a que en sin4ular las tareas carecer(an de e/cacia ya que todas tienen un
ob3etivo comAn y porque competen a una Anica unidad de accin.
#royecto de seuridad:
Pro4rama de se4uridad cuya enver4adura es tal que requiere una plani/cacin
espec(/ca.
Rieso:
Estimacin del 4rado de eFposicin a que una amena:a se materialice sobre uno o
ms activos causando da?os y J o per3uicios a la Or4ani:acin.
Rieso acumulado:
-oma en consideracin el valor propio de un activo y el valor de los activos que
dependen de >l. Este valor se combina con la de4radacin causada por una amena:a
y la .recuencia estimada de la misma.
Rieso repercutido:
87
0e calcula tomando el valor propio de un activo y combinndolo con la de4radacin
causa por una amena:a y la .recuencia estimada de la misma.
=edida de seuridad:
Procedimiento o mecanismo tecnol4ico que reduce el ries4o.
Seuridad:
Capacidad de las redes o de los sistemas de in.ormacin de resistir, con un
determinado nivel de con/an:a, los accidentes o acciones il(citas o malintencionadas
que comprometan la disponibilidad, autenticidad, inte4ridad y con/dencialidad de los
datos almacenados o transmitidos y de los servicios que dic6as redes y sistemas
o.recen o 6acen accesibles.
Sistema de informacin:
Computadoras y redes de comunicaciones electrnicas, datos electrnicos
almacenados, procesados, recuperados o transmitidos por los mismos para su
operacin, uso, proteccin y mantenimiento.
Con3unto de elementos .(sicos, l4icos, elementos de comunicacin, datos y personal
que permiten el almacenamiento, transmisin y proceso de la in.ormacin.
Traza-ilidad:
Ase4uramiento de que en todo momento se podr determinar quien 6i:o qu> y en qu>
momento.
Aalor de un activo:
Estimacin del costo inducido por la materiali:acin de una amena:a.
Aalor acumulado:
88
Considera tanto el valor propio de un activo como el valor de los activos que
dependen de >l.
Aulnera-ilidad:
Clculo o estimacin de la eFposicin e.ectiva de un activo a una amena:a. 0e
determina por dos medidas@ .recuencia de ocurrencia y de4radacin causada.
9iblio4ra.(a
Li-ros y =anuales:
Planeacin y Or4ani:acin de Empresas J <uillermo <me: Ce3a J Mc<ra12ill.
Administracin de la .uncin in.ormtica J +icardo 2ernnde: $im>ne: J -rillas.
Administracin de centros de cmputo J +icardo 2ernnde: $im>ne: J -rillas.
Manual de Or4ani:acin de la )ireccin <eneral Ad3unta de 0istemas y
Procedimientos de <rupo #inanciero 9ancrecer.
Internet:
6ttp@JJ111.4rupoatn.comJ
6ttp@JJ111.utp.ac.paJcentroinJccomputo.6tml
6ttp@JJd4ep.pos4rado.unam.mFJ^dep.eJcompin.o.6tm
6ttp@JJ111.uam.mFJin.raestructuraJdocumentosJ
6ttp@JJ111.arear6.comJrr66Jdescripciondepuestos.6tm
6ttp@JJ111.microso.t.comJspainJpermissionJcopyr4tJ16atis.6tm
6ttp@JJ111.mono4ra/as.comJtraba3osJevoadminJevoadmin.s6tml
6ttp@JJ111.mono4ra/as.comJtraba3osLJceprocJceproc.s6tml
89

Manual

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual

Cargado por

Copyright:

Formatos disponibles

ADMINISTRACIN DE

También podría gustarte