Documentos de Académico
Documentos de Profesional
Documentos de Cultura
252
Admn. y Auditora de
Centros de Datos
Manual
Febrero
Junio
2014
ADMINISTRACIN DE LOS
CENTROS DE CMPUTO
Misin de un CC, planeacin y Niveles de
Planeacin
INFORMTICA
CONTENIDO
Temas
UNIDAD I
UNIDAD II
2
L.I. Tere Surez Reyes
OBJETIVO GENERAL
3
L.I. Tere Surez Reyes
INTRODUCCIN
El presente material contiene informacin acerca de los centros de computo, del los
departamentos que pueden o deben componer un centro de computo, de las funciones que
cada uno de ellos debern realizar, as como del perfil profesional que debern tener las
personas que en determinado momento puedan ocupar esos puestos. Tambin contiene
informacin acerca de las normas que rigen las leyes de derechos de autor, garantas y
restricciones acerca del uso de el hardware y el software., as como la informacin acerca
de los principales problemas que se pudieran presentar en un centro de computo
4
L.I. Tere Surez Reyes
UNIDAD 1
Administracin del centro de cmputo o datos
Objetivo particular: Administrar los recursos materiales, humanos y financieros, as como
las actividades de un centro de cmputo o datos con base en la aplicacin de las fases de planeacin
y organizacin del proceso administrativo que conlleven a la operacin ptima del mismo.
Planeacin:
Algunas definiciones de la planeacin como parte de su significado pueden ser:
Proceso por el cul se obtiene una visin del futuro, en donde es posible determinar y lograr
los objetivos, mediante la eleccin de un curso de accin.
Es la funcin que tiene por objetivo fijar el curso concreto de accin que ha de seguirse,
estableciendo los principios que habrn de orientarlo, la secuencia de operaciones para
realizarlo y las determinaciones de tiempo y nmeros necesarios para su realizacin.
5
L.I. Tere Surez Reyes
"Hacer que ocurran cosas que de otro modo no habran ocurrido". Esto equivale a trazar los
planes para fijar dentro de ellos nuestra futura accin.
Niveles de Planeacin:
La planeacin considerada como uno de los principales elementos del proceso administrativo, es de
fundamental importancia dentro de la estructuracin de un Centro de Cmputo; como tal
considera los siguientes niveles:
Planeacin de recursos:
La planeacin de recursos en para un centro de cmputo es aquella que establece los objetivos y
determina un curso de accin a seguir, de los siguientes elementos:
6
L.I. Tere Surez Reyes
Planeacin operativa:
La planeacin operativa de un centro de cmputo consiste en realizar un detallado anlisis de
necesidades de la empresa y definir en base a estas necesidades una plataforma tecnolgica con
una infraestructura en hardware, software, personal operativo, etc. que soporte las operaciones de
la empresa y se utilice como el medio de procesamiento de informacin.
Fuerza:
El surgimiento y desarrollo de todo tipo de organismos as como la multiplicidad de relaciones
entre ello, han dado lugar a la existencia de diferentes tipos de administracin que a veces hacen
confusas su clasificacin. Sin embargo, la clasificacin mas comn es aquella, que atiende al sector
econmico
UNIDAD DE MANDO: Una sola persona debe de mandar a todos los Subordinados.
AUTORIDAD: Toda empresa debe de tener una persona que los dirija.
UNIDAD DE DIRECCIN: Un programa para cada actividad.
CENTRALIZACIN: Todas las actividades deben ser manejadas por una sola persona.
NOTA: Actualmente encontramos que debido a las estructuras esto no resulta muy funcional para
las empresas.
Eficiencia de Planes:
La eficiencia de un plan se mide por su contribucin al propsito y al los objetivos que se
persiguen, equilibrado por los costos y otros factores que se requieren para formularlo y operarlo.
Un plan puede facilitar la consecucin de los objetivos, pero a un costo excesivamente elevado. Los
planes son eficientes si logran su propsito a un costo razonable, cuando el costo se mide no slo en
7
L.I. Tere Surez Reyes
trminos del tiempo, dinero o produccin sino tambin por el grado de satisfaccin individual y de
grupo.
Flexibilidad en la planeacin:
Un programa de planificacin y control de utilidades (o de otro instrumento de la administracin)
no debe dominar a un negocio. Cuando se pongan en prctica los planes, debe existir una poltica
"suprema" y absoluta de la administracin de modo que no puedan imponrseles y que sean
aprovechadas todas las oportunidades favorables an cuando no estn incluidas en el presupuesto.
Un programa de planificacin y control de utilidades aplicado sobre una base bien informada
permite mayor libertad en todos los niveles de la administracin. Es posible este efecto porque
todos los niveles de la administracin son comprometidos en el proceso de toma de decisiones al
estar desarrollndose los planes.
Este plan coloca a la administracin en la posicin de poder evaluar, sobre una base ms objetiva.
En las reas de control la flexibilidad es particularmente importante. No deben interpretarse con
rigidez los presupuestos de gastos y costos. El presupuesto no debe coartar las decisiones
racionales que hayan de tomarse en relacin con los gastos simplemente porque no se previ un
desembolso.
Planeacin:
Para planear eficientemente es necesario tomar en cuenta los siguientes principios:
Factibilidad.- Lo que se planee debe ser realizable
Objetividad y cuantificacin.- Cuando se planea es necesario basarse en datos reales y nunca
en especulaciones u opiniones. La planeacin ser mas confiable en cuanto pueda ser cuantificada
o sea, expresa en tiempo, dinero, cantidades y especificaciones (porcentajes, unidades, volumen)
Flexibilidad.- Al elaborar un plan este debe de afrontar situaciones imprevistas, y que
proporcionen nuevos cursos de accin que se ajusten fcilmente a las condiciones
8
L.I. Tere Surez Reyes
Unidad.- Todos los planes especficos deben integrarse a un plan general y dirigirse a logros de los
propsitos y objetivos generales
Del cambio de estrategias.- Cuando un plan se extiende en relacin al tiempo, ser necesario
rehacerlo completamente
Etapas de la Planeacin:
Propsitos: Son las aspiraciones fundamentales o finalidades de tipo cualitativo que persiguen en
forma permanente o semipermanente, un grupo social. Son los fines a los que se quiere llegar.
Investigacin: Consiste en determinar todos los factores que influyen en el logro de los
propsitos, as de los medios ptimos para conseguirlos.
Premisas: Son suposiciones que se deben considerar ante aquellas circunstancias o condiciones
futuras que afectarn el curso en que va a desarrollarse el plan.
Objetivos: Presentan los resultados que el Centro de Cmputo espera obtener, son fines por
alcanzar, establecidos cuantitativamente y determinados para realizarse transcurrido un tiempo
especfico.
Estrategias: Son cursos de accin general o alternativas que muestran la direccin y el empleo
general de los recursos y esfuerzos, para lograr los objetivos en las condiciones ms ventajosas.
Polticas: Son guas para orientar la accin, son criterios, lineamientos generales a observar en la
toma de decisiones, sobre problemas que se repiten una y otra vez.
Programas: Es un esquema donde se establece la secuencia de actividades especficas que
habrn de realizarse para alcanzar los objetivos, y el tiempo requerido para efectuar cada una de
sus partes y todos aquellos eventos involucrados.
Presupuestos: Los presupuestos son un elemento indispensable al planear, ya que a travs de
ellos se proyectan, en forma cuantificada, los elementos que se necesitan para cumplir con los
objetivos.
9
L.I. Tere Surez Reyes
Un presupuesto es un esquema escrito de tipo general y/o especfico, que determina por
anticipado, en trmino cuantitativo (monetario y/o no monetario). Es un plan de todas o algunas
de las fases de actividades del Centro de Cmputo expresado en trminos econmicos.
Procedimientos: Establecen el orden cronolgico y la secuencia de actividades que deben
seguirse en la realizacin de un trabajo repetitivo.
10
L.I. Tere Surez Reyes
se debe analizar no slo el punto de vista de la direccin de informacin, sino tambin el del
usuario del sistema.
Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben
tener personas con las siguientes caractersticas:
Tcnico en informtica
Experiencia en el rea de informtica
Experiencia en operacin y anlisis de sistemas
Conocimientos de sistemas mas importantes
En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en
reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga
los conocimientos y experiencias sealadas, pero si debe intervenir una o varias personas con las
caractersticas apuntadas.
Descripcin de puesto:
Perfil de puesto:
Escolaridad (Nivel de estudios y grado de avance)
reas del conocimiento que maneja.
Experiencia laboral (empresa, tiempo de trabajo, puesto, funciones)
Condiciones de trabajo (ergonmicas, turno, horario, condiciones de estrs)
Capacidades gerenciales (visin estratgica, liderazgo, Orientacin a resultados, trabajo en
equipo, negociacin) nivel de dominio.
Capacidades tcnicas (Debern ser acordes al departamento donde se asigne el puesto)
11
L.I. Tere Surez Reyes
12
L.I. Tere Surez Reyes
13
L.I. Tere Surez Reyes
c) Al efectuarse los clculos de la instalacin elctrica al tablero del equipo, los conductores,
reguladores de tensin, interruptores termomagnticos, etc., se deben calcular teniendo en
cuenta la corriente de arranque de cada maquina, la cual generalmente es superior a la
nominal. Dicha corriente de arranque debe ser manejada sin inconvenientes, por todos los
elementos constructivos de la instalacin. Se debe considerar una expansin del 50% como
mnimo.
Estatica
5. Una de las fallas ms difciles de detectar en los equipos es ocasionada por la electricidad
esttica producida por la friccin entre dos materiales diferentes y la consiguiente descarga de
este potencial. Los materiales que son ms propensos a producir esttica son aquellos que estn
hechos de resina, plsticos, fibras sintticas. El simple hecho de arrastrar una silla sobre el piso
nos ocasionara que tanto la silla como la porcin del piso sobre el que se arrastro queden
cargados de electricidad esttica. Si aquella silla o esta persona son aproximadas a una mesa
metlica conectadas a tierra como los equipos de cmputo, ocasionara que se produzca una
descarga que puede ser o no sensible a una persona, pero si ser sensible a los equipos de
cmputo.
6. Para reducir el tamao al mnimo la esttica, se recomienda las siguientes medidas:
a) Conectar a tierra fsica tanto el piso falso como todos los equipos existentes.
b) El cable para la tierra fsica deber ser recubierto y del mismo calibre que el de las fases y el
neutro.
c) La humedad relativa deber estar entre 45%+-5% para que las cargas estticas sean menos
frecuentes.
d) Se recomienda usar cera antiesttica en el piso.
e) Si existieran sillas con ruedas, se recomienda que estas sean metlicas.
Piso Falso:
Se debe tener en cuenta la resistencia para soportar el peso del equipo y del personal.
Es mejor usar placas metlicas o de madera prensada para el piso falso con soportes y
amarres de aluminio.
Sellado hermtico
Nivelado topogrfico
14
L.I. Tere Surez Reyes
Se debe cubrir los cables de comunicacin entre la unidad central de proceso, los
dispositivos, las cajas de conexiones y cables de alimentacin elctrica.
Puertas de Acceso
Tener en cuenta las dimensiones mximas de los equipos si hay que atravesar puertas y
ventanas de otras dependencias.
Las puertas deben ser de doble hoja y con una anchura total de 1.40 a 1.60 cm. Este punto
ya no es tan importante ya que el equipo informtica est reduciendo su tamao y no es
necesario tener dos puertas para poder introducirlo)
15
L.I. Tere Surez Reyes
reas o departamentos:
Principales departamentos de un Centro de Cmputo
Dentro de una empresa, el centro de proceso de datos o centro de cmputo cumple diversas
funciones que justifican los puestos de trabajo establecidos que existen en l, los cules se engloban
a travs de los siguientes departamentos:
Explotacin de sistemas o aplicaciones. La explotacin u operacin de un sistema informtico o
aplicacin informtica o aplicacin informtica consiste en la utilizacin y aprovechamiento del
sistema desarrollado. Consta de previsin de fechas de realizacin de trabajos, operacin general
del sistema, control y manejo de soportes, seguridad del sistema, supervisin de trabajos, etc.
Soporte tcnico a usuarios. El soporte, tanto para los usuarios cono para el propio sistema, se
ocupa de seleccionar, instalar y mantener el sistema operativo adecuado del diseo y control de la
16
L.I. Tere Surez Reyes
Tanto la Produccin como el Control de Calidad de la misma, son parte de las funciones de este
Departamento. Funciones:
Construir equipos de trabajo con la participacin del usuario y del personal tcnico de
acuerdo a metodologas establecidas.
18
L.I. Tere Surez Reyes
analistas programadores que realizan tanto la funcin de analistas como la de programadores, esto
indica una doble responsabilidad.
Probar los productos y servicios a implementar antes de ser liberados al usuario final.
19
L.I. Tere Surez Reyes
Descripcin de Puestos.
Una de las partes ms importante dentro de cualquier organizacin es sin duda el tenerla
bien definida y saber perfectamente lo que cada persona, que forma dicha organizacin,
hace o debe de hacer dentro de ella, es por eso que se vuelve imprescindible trabajar con
descripciones de puestos. En un departamento de sistemas existe puestos genricos
definidos los cuales son tomados por la organizacin y adaptados segn sus necesidades. A
continuacin damos un ejemplo de dichos puestos genricos y posteriormente de cmo
stos fueron adaptados a nuestras necesidades y casos especficos.
20
L.I. Tere Surez Reyes
Profesin
Informtico Generalista
en
Desarrollo
de
Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de Proyectos
Amplia
experiencia
como
responsable
de
Buenos
conocimientos
de
explotacin
Experto
en
Software
Comunicacin
experiencia
Experto
en
en
Automatizacin
relaciones
de
trabajos.
humanas.
Buenos
21
L.I. Tere Surez Reyes
Dentro del departamento existen diferente puestos, a los cuales se les asignan diferentes
actividades y responsabilidades, a continuacin se describen las caractersticas de cada uno
de estos.
Se cuenta con:
1 Gerente
1 Encargado de desarrollo
1 Encargado de Soporte Tcnico
1 Encargado de desarrollo en Redes
1 Encargado de Redes y Comunicaciones
1 Operador e Instalador
1 Secretaria
22
L.I. Tere Surez Reyes
la
ampliacin
substitucin
de
las
instalaciones
existentes
Estandariza los mtodos y establece las normas de eficacia y los costos asegurndose que el
personal las conoce y acepte.
Se informa de los distintos problemas por medio de subordinados y da seguimiento para
aplicar soluciones rpidas y efectivas.
Establece la comunicacin entre el personal del departamento y fomenta las buenas
relaciones entre ellos.
Se asegurara que los responsables de los servicios a usuarios cumplan de tal manera, que
dicho usuario quede satisfecho.
23
L.I. Tere Surez Reyes
24
L.I. Tere Surez Reyes
25
L.I. Tere Surez Reyes
el
encargado
de
hacer
las
instalaciones
de
Hardware
Software
las
Pcs.
Analista
Generalmente se conoce el puesto como analista de desarrollo o analista programador. Su
descripcin del puesto es: Realizar el diseo tcnico de los nuevos proyectos y aplicaciones
pequeas y programar los mdulos complejos. Supervisar a los programadores que participan en el
proyecto. Sus funciones especficas son:
Analista de Desarrollo.
Realizar el diseo tcnico de los nuevos proyectos.
Preparar la documentacin para la programacin y pruebas de los sistemas.
Revisar la codificacin y pruebas de los sistemas.
Realizar estudios de viabilidad tcnica.
26
L.I. Tere Surez Reyes
Gerente de Procesos.
Encargado de dirigir y administrar el rea de Procesamiento de Datos, as como relacionarse con
las otras reas del centro de cmputo. Formula y administra todo el procesamiento de la
informacin que maneja el Centro de Cmputo.
Programador de Sistemas.
Aunque su funcin es muy similar a la de un analista programador, su descripcin del puesto es:
Programar y realizar la codificacin y documentacin de los programas o sistemas desarrollados.
Los programadores toman las especificaciones de los sistemas realizados por los analistas y las
transforman en programas eficientes y bien documentados para las computadoras.
Sus funciones especficas son:
Analizar la lgica de los programas a desarrollar.
Codificar y documentar los programas de acuerdo con las normas de calidad y seguridad
establecidas.
Programar.
27
L.I. Tere Surez Reyes
Supervisa las actividades de ingreso de datos de documentos. Elabora turnos de trabajo en base a la
carga de trabajo establecida.
Capturista.
Los capturistas de datos son los primeros en manejar y convertir los datos de su forma original a un
formato accesible para la computadora. Este tipo de personal puede operar diferentes dispositivos
de teclado para proporcionar los datos directamente a la computadora. No obstante la importancia
del trabajo de los preparadores de datos su educacin no requiere una formacin tcnica formal, un
mecangrafo competente puede adquirir en pocas horas de instruccin especializada las
habilidades necesarias para la preparacin de datos.
Dibujante.
Las funciones principales son: Realiza los diseos grficos asignados al rea de informtica. Realiza
diseos de portadas para informes finales. Elabora presentaciones, formatos de papelera,
logotipos
Adquisicin de hardware
Debemos considerar los siguientes puntos para la adquisicin de hardware:
Determinacin del tamao y requerimiento de capacidad
Evaluacin y medicin de la computadora.
Compatibilidad.
Factores financieros.
Mantenimiento y soporte tcnico.
Al realizar la compra debemos considerar lo siguiente:
Tamao interno de la memoria
28
L.I. Tere Surez Reyes
Velocidad de procesamiento
Nmero de canales para entrada/salida de datos y comunicaciones
Tipos u nmeros de dispositivos de almacenamiento
Software que se proporciona y sistemas desarrollados disponibles.
Evaluacin y medicin de la computadora
Es comn que se efecten comparaciones entre los diferentes sistemas de cmputo basados en el
desarrollo y desempeo real de los datos. Los datos de referencia son generados a travs del
empleo de programas sintticos (es un programa que imita la carga de trabajo esperada y
determina resultados), la cul permite comparar contra especificaciones tcnicas. Los programas
sintticos se pueden correr prcticamente en cualquier tipo de ambiente y generalmente se toma
como referencia:
Velocidad de procesamiento
Tiempo de respuesta para envo de datos desde las terminales
Compatibilidad
Ocasionalmente por cuestiones econmicas se considera factible la compra de equipo llamado
compatible. La ventaja de este equipo es un menor costo que el original, pero debe tenerse cuidado
con los siguientes puntos:
Nivel de calidad.
Desempeo igual al original
Garantas
Acuerdos de servicio
Factores financieros
Existen las siguientes posibilidades de adquirir equipo de cmputo
Por alquiler o renta
Las ventajas son el que tenemos un alto nivel de flexibilidad, no se requiere pagos altos y elevados,
y a corto plazo es mas econmico alquilar que comprar. Como desventaja podemos decir que a la
29
L.I. Tere Surez Reyes
larga puede resultar ms costoso que comprar el equipo y adems podemos tener limitaciones en
cuanto a uso.
Por compra
Tiene como ventaja que puede pagarse a crdito en pagos predeterminados en periodos fijos, no
necesariamente se tiene que efectuar pagos elevados y se puede disponer del equipo a la hora que
se quiera. Tiene como desventajas que es una decisin irrevocable, que se requiere capital mayor
que en el caso anterior y el riesgo a la obsolescencia.
Mantenimiento y soporte tcnico
Los puntos de mayor inters son:
Fuente de mantenimiento
Una vez que el sistema se ha entregado e instalado, existe un periodo de garanta en el cul la
unidad de ventas que efectu la operacin tiene la responsabilidad del mantenimiento, despus de
este tiempo el comprador puede adquirir mantenimiento de varias fuentes
Trminos de mantenimiento
El contrato puede redactarse de manera tal que cubra tanto la mano de obra como las piezas que se
hayan necesitado en el mantenimiento, o mano de obra y piezas por separado.
Servicio y respuestas
El apoyo de mantenimiento es til si se encuentra disponible cuando se requiere. Dos puntos de
inters son el tiempo de respuesta y las horas en las que se puede obtener el apoyo.
Adquisicin de software
Una vez que conozcamos los requerimientos de los sistemas que vamos a desarrollar, debemos
hacer una comparacin entre todos los paquetes que cumplen con las condiciones que requerimos
y as elegir el ms apto.
Preguntas que debo hacerme en cuanto a requerimientos de software:
Qu transacciones y que tipos de datos vamos a manejar?
30
L.I. Tere Surez Reyes
31
L.I. Tere Surez Reyes
32
L.I. Tere Surez Reyes
Beneficios
Son ms difciles de especificar en forma exacta que los costos. El valor de los beneficios es una
ventaja que se gana a travs de la utilizacin del sistema
Beneficios tangibles
Son aquellos que son cuantificables, (reduccin de gastos, menores tasas de error)
Beneficios intangibles
Son aquellos que no se pueden cuantificar (Mejores condiciones de trabajo, mejor servicio a
clientes, respuesta rpida a las solicitudes de los clientes)
Beneficios fijos
Son aquellos costos y beneficios de sistemas que son constantes y no cambian, sin importar cuanto
se utilice un sistema de informacin, ejemplo: si una compaa compra equipo de cmputo, el
costo no va a variar, ya sea que el equipo se utilice mucho o poco.
Beneficios variables
Son aquellos donde incurre en proporcin a la actividad o el tiempo
Costos variables
Ejemplo: Los costos se suministro de computadora varan en proporcin con el monto del proceso
que se lleva a cabo, ya que la impresin de mas pginas incrementa el costo del papel, por lo tanto,
variar como resultado de la cantidad de impresin, sin embargo se elimina si se cesa la
preparacin de informes.
33
L.I. Tere Surez Reyes
Indirectos
Son aquellos costos y beneficios que no estn especficamente asociados con el sistema de
informacin. Ejemplo: La calefaccin, aire acondicionado, seguros, el espacio, etc.
Beneficios directos
Son aquellos que se consiguen como productos del sistema (Reportes)
Beneficios indirectos
Se consiguen como un subproducto de otro sistema. (Un sistema que da seguimiento a las
solicitudes de ventas que realizan los clientes, proporciona informacin adicional de la
competencia)
Clasificacin del costo
Costo de equipo
Costos de operacin
Costos de personal
Costos de suministros y gastos varios
Costos de instalacin
Permisos y Licencias.
El uso de Software no autorizado o adquirido ilegalmente, se considera como PIRATA y una
violacin a los derechos de autor.
El uso de Hardware y de Software autorizado esta regulado por las siguientes normas:
Toda dependencia podr utilizar UNICAMENTE el hardware y el software que el
departamento de sistemas le haya instalado y oficializado mediante el "Acta de entrega
de equipos y/o software".
Tanto el hardware y software, como los datos, son propiedad de la empresa. su copia o
sustraccin o dao intencional o utilizacin para fines distintos a las labores propias de
la compaa, ser sancionada de acuerdo con las normas y reglamento interno de la
empresa.
34
L.I. Tere Surez Reyes
35
L.I. Tere Surez Reyes
UNIDAD 2
Auditora del centro de cmputo o datos.
36
L.I. Tere Surez Reyes
Auditora
La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas
independientes del sistema auditado. Aunque hay muchos tipos de auditora, la expresin se utiliza
generalmente para designar a la auditora externa de estados financieros que es una auditora
realizada por un profesional experto en contabilidad de los libros y registros contables de una
entidad para opinar sobre la razonabilidad de la informacin contenida en ellos y sobre el
cumplimiento de las normas contables. El origen etimolgico de la palabra es el verbo latino
Audire, que significa or. Esta denominacin proviene de su origen histrico, ya que los
primeros auditores ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a
su verificacin principalmente oyendo
Auditoria informtica
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en
una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos
37
L.I. Tere Surez Reyes
determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la
consecucin de los mismos.
Los objetivos de la auditora Informtica son:
El control de la funcin informtica
El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Gobierno corporativo
Proteccin y Seguridad
38
L.I. Tere Surez Reyes
Control Interno Informtico es una herramienta enfocada a la adecuada gestin de los Sistemas de
la Informacin.
Muchos de los problemas informticos se originan dentro de la misma empresa.
Por ello es cada vez ms necesario un completo anlisis del trfico de:
Funcin del Control.- Una definicin que es correcta y a la cual representa el valor de la Funcin
del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Tcnica
y/u Operacional a que no incurran en falta. Y es por ello que aqu el Control es Creativo Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin
de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la mxima
eficiencia de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.
El concepto de auditora es mucho ms que esto.
El Control de Sistemas e Informtica, consiste en examinar los recursos, las operaciones,
los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas
Informticos), de los Organismos sujetos a control, con al finalidad de evaluar la eficacia y
eficiencia Administrativa Tcnica y/u Operacional de los Organismos, en concordancia con los
principios, normas, tcnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas
(Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad, Respaldos y otros)
adoptados por la Organizacin para su dinmica de Gestin en salvaguarda de los Recursos del
Estado.
Existe otra definicin sobre el "control tcnico" en materia de Sistemas e Informtica, y esta se
orienta a la revisin del Diseo de los Planes, Diseos de los Sistemas, la demostracin de su
eficacia, la Supervisin compulsa de rendimientos, Pruebas de Productividad de la Gestin Demanda llamada "Pruebas intermedias", el anlisis de resultados, niveles y medios de
seguridad, respaldo, y el almacenamiento. As mismo medicin de la vida til del Sistema
Informtico adoptado por la Organizacin bajo control.
Objetivos de la Auditora y Control de Sistemas e Informtica.-
39
L.I. Tere Surez Reyes
De Sistema Operativo.
De Seguridad de Software.
De Seguridad de Comunicaciones.
De Seguridad de Proceso.
De Seguridad de Aplicaciones.
De Seguridad Fsica.
De Suministros y Reposiciones.
De Contingencias.
Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido
incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de
seguridad.
descripcin
del
software
que
se
utiliza
como
acceso
las
41
L.I. Tere Surez Reyes
Normas.
Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de calidad
relativos a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como
resultado de este trabajo.
Las normas de auditora se clasifican en:
a. Normas personales.
b. Normas de ejecucin del trabajo.
c. Normas de informacin.
Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un
sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser
imparcial a la hora de dar sus sugerencias.
42
L.I. Tere Surez Reyes
Sistemas Operativos:
43
L.I. Tere Surez Reyes
Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar
que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas
de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite
descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por
la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de
las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados
por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido facturados
aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de
que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al
Software desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste
no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos
de costes, por si hubiera alternativas ms econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para ste tambin.
Manejo de controles:
Controles administrativos en un ambiente de Procesamiento de Datos
La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los
siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
44
L.I. Tere Surez Reyes
Acciones a seguir:
45
L.I. Tere Surez Reyes
Disear un sistema
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operacin.
Acciones a seguir:
La unidad informtica debe estar al mas alto nivel de la pirmide administrativa de manera
que cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva.
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas
no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los
resultados del procesamiento.
Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo
sujetos a evaluacin y ajustes peridicos "Plan Maestro de Informtica"
Debe existir una participacin efectiva de directivos, usuarios y personal del PAD en la
planificacin y evaluacin del cumplimiento del plan.
46
L.I. Tere Surez Reyes
Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan
conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio
El personal de auditora interna/control debe formar parte del grupo de diseo para sugerir
y solicitar la implantacin de rutinas de control
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas
u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas
las excepciones posibles.
47
L.I. Tere Surez Reyes
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las
mejores condiciones.
Acciones a seguir:
Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y
sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para
garantizar la integridad de la informacin y el buen servicio a usuarios.
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del
PAD
48
L.I. Tere Surez Reyes
Acciones a seguir:
El acceso al centro de computo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado
Los operadores del equipo central deben estar entrenados para recuperar o restaurar
informacin en caso de destruccin de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bvedas de bancos.
Todas las actividades del Centro de Computo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as
como extintores de incendio, conexiones elctricas seguras, entre otras.
Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo
que se produzca por casos fortuitos o mala operacin.
49
L.I. Tere Surez Reyes
Revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la empresa.
50
L.I. Tere Surez Reyes
51
L.I. Tere Surez Reyes
Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso
de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas
financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de
informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los los clientes y,
como consecuencia, la empresa puede terminar en un fracaso total.
Cabe preguntarse "Por se necesita un plan de contingencia para desastres si existe una pliza de
seguro para esta eventualidad?" La respuesta es que si bien el seguro puede cubrir los costos
materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar
el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar
fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.
En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de
las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en
funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia
de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer.
Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un
periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una
organizacin.
Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana
o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del
sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si
Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse "Y ahora qu?" ya es
demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa
y totalmente probada para recuperarse de los efectos del mismo.
Qu es un desastre?
Se puede consider como un desastre la interrupcin prolongada de los recursos informticos y de
comunicacin de una organizacin, que no puede remediarse dentro de un periodo
predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperacin.
52
L.I. Tere Surez Reyes
Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las explosiones, los
actos de sabotaje, etctera.
Estadsticas
recientes
sobre
los
tipos
ms
53
L.I. Tere Surez Reyes
54
L.I. Tere Surez Reyes
La primera fase del plan de contingencia, el anlisis de riesgos, nos sita en el lugar de un asesor de
una compaa de seguros. En esta fase, la preocupacin est relacionada con tres simples
preguntas: qu est bajo riesgo?, qu puede ir mal? y cul es la probabilidad de que suceda?
1.1. Qu est bajo riesgo?
La primera de estas preguntas, qu est bajo riesgo?, necesita incorporar todos los componentes
del sistema susceptibles de ser daados, dando lugar a la prdida de conectividad, computadoras o
datos. Un diagrama de la arquitectura de todos los componentes del sistema facilitar la realizacin
de un inventario de los elementos que pueden necesitar ser restituidos tras un desastre. No hay que
olvidar que tambin el software necesita ser reemplazado, y que todos los productos software
relevantes han de ser identificados. Esto incluye cosas como las utilidades del sistema de archivos
empleados para facilitar las operaciones de red.
Un inventario completo de una red muestra de manera clara la complejidad de sta. Cualquiera que
realice inventarios de componentes para redes, comprende los problemas en el seguimiento del
hardware y software utilizado por los usuarios finales. Afortunadamente, existen algunos productos
disponibles, como los de las compaas Seagate Software, McAfee y otros, que facilitan la
construccin de un inventario de los sistemas.
Una omisin en el inventario fcilmente puede dar lugar a una recuperacin fallida tras un
desastre. El sistema de aplicacin puede no encontrarse preparado para su uso si alguno de sus
componentes no est disponible; en tal caso, es aconsejable estar constantemente a la expectativa
de los nuevos elementos que pueden haberse olvidado. Por ejemplo, una aplicacin para acceso
remoto no funcionara si los cables no estn disponibles para conectar los mdem.
Uno de los aspectos menos agradables a tener en cuenta, y que a menudo se pasa por alto, es que
las personas esenciales se vean afectadas por el desastre y sea necesario recurrir a otras para
realizar sus labores. Una formacin diversificada en los sistemas dentro de la organizacin pude
ayudar a reducir el impacto de la indisponibilidad de uno de los colaboradores. Al menos, los
manuales de las aplicaciones ms importantes para la empresa deberan encontrarse disponibles
en un sitio externo.
55
L.I. Tere Surez Reyes
2. Evaluacin de riesgos
Es el proceso de determinar el costo para la organizacin de sufrir un desastre que afecte su
actividad. Si una inundacin impidiera la actividad comercial durante cinco das, la compaa
perdera cinco das de ventas, adems del deterioro fsico de los edificios e inventario. En el caso de
los sistemas informticos, la preocupacin principal es comprender la cantidad de prdida
financiera que puede provocar la interrupcin de los servicios, incluyendo los que se basan en las
redes.
Por ejemplo, si la empresa se anuncia a travs o realiza negocios en Internet, cul es el costo de
tener el servidor web inhabilitado? Si la red a travs de la cual se produce la solicitud de pedidos
est cada, o si el sistema de control de inventario utiliza la red, cul es el impacto sobre la
productividad de la empresa?
Los costos de un desastre pueden clasificarse en las siguientes categoras:
Costos de reputacin.
El costo real de los equipos y el software es fcil de calcular, y depende de si se dispone de un buen
inventario de todos los componentes de la red necesarios.
Los costos de produccin pueden determinarse midiendo la produccin generada asociada a la red.
La empresa tiene una correcta valoracin de la cantidad de trabajo realizado diariamente y su valor
relativo. La prdida de produccin, debida a la interrupcin de la red, puede ser calculados
utilizando esta informacin.
Los costos por negocio perdido son los ingresos perdidos por las organizaciones de ventas y
marketing cuando la red no est disponible. Si el sistema de solicitud de pedidos no funciona y la
empresa slo es capaz de procesar el 25% del volumen diario habitual de ventas, entonces se ha
perdido el 75% de ese volumen de ventas.
56
L.I. Tere Surez Reyes
57
L.I. Tere Surez Reyes
58
L.I. Tere Surez Reyes
En ese instante, se debe volver a evaluar los sistemas de aplicacin y determinar cules son los ms
importantes para la organizacin. Las modificaciones a esta parte del plan causarn modificaciones
consecutivas a los procedimientos de recuperacin. Sin embargo, esto no debera verse como un
problema porque probablemente la seccin de procedimientos tenga que actualizarse de todas
formas debido a otros cambios. Si se han realizado modificaciones al sistema de copias de
seguridad, hay que cerciorarse de incluir la informacin sobre el funcionamiento del nuevo o
actualizado sistema.
59
L.I. Tere Surez Reyes
permanecer en un sistema mal diseado, ya que podra convenirse en un serio peligro para la
empresa.
- Existen grandes posibilidades de robo de secretos comerciales, informacin financiera,
administrativa,
la
transferencia
ilcita
de
tecnologa
dems
delitos
informticos.
- Mala imagen e insatisfaccin de los usuarios porque no reciben el soporte tcnico adecuado o no
se reparan los daos de hardware ni se resuelven los problemas en un lapso razonable, es decir, el
usuario percibir que est abandonado y desatendido permanentemente, esto dar una mala
imagen de la organizacin.
- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o
desviaciones presupuestarias significativas.
- Evaluacin de nivel de riesgos en lo que respecta a seguridad lgica, seguridad fsica y
confidencialidad.
- Mantener la continuidad del servicio, la elaboracin y la actualizacin de los planes de
contingencia para lograr este objetivo.
- El inadecuado uso de la computadora para usos ajenos a la organizacin que puede llegar a
producir problemas de infiltracin, borrado de informacin y un mal rendimiento.
- Las comunicaciones es el principal medio de negocio de las organizaciones, una dbil
administracin y seguridad podra lograr una mala imagen, retraso de negocios, falta de confianza
para los clientes y una mala expectativa para la produccin.
La Auditoria de la Seguridad Informtica en la informtica abarca el concepto de seguridad fsica y
lgica. La seguridad fsica se refiere a la proteccin de hardware y los soportes de datos, as
tambin como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo
contempla situaciones de incendios, inundaciones, sabotajes, robos, catstrofes naturales, etc.
Por su parte la seguridad lgica se refiere a la seguridad del uso de software, proteccin de la
informacin, procesos y programas, as como el acceso ordenado y autorizado de los usuarios a la
60
L.I. Tere Surez Reyes
informacin.
El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan
copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad
de transmisin de virus.
En la auditoria para aplicaciones de internet se produce una verificacin de los siguientes aspectos:
- Evaluacin de los riesgos de Internet (operativos, tecnolgicos y financieros) y as como su
probabilidad de ocurrencia.
- Evaluacin de vulnerabilidades y arquitectura de seguridad implementada.
- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como
consecuencia de ataques exitosos por parte de hackers.
Principios de auditoria administrativa
Es conveniente ahora tratar lo referente a los principios bsicos en las auditorias administrativas,
los cuales vienen a ser parte de la estructura terica de sta, por tanto debemos recalcar tres
principios fundamentales que son los siguientes:
Sentido de la evaluacin
La auditoria administrativa no intenta evaluar la capacidad tcnica de ingenieros, contadores,
abogados u otros especialistas, en la ejecucin de sus respectivos trabajos. Mas bien se ocupa de
llevara cabo un examen y evaluacin de la calidad tanto individual como colectiva, de los gerentes,
es decir, personas responsables de la administracin de funciones operacionales y ver si han
tomado modelos pertinentes que aseguren la implantacin de controles administrativos adecuados,
que asegures: que la calidad del trabajo sea de acuerdo con normas establecidas, que los planes y
objetivos se cumplan y que los recursos se apliquen en forma econmica.
61
L.I. Tere Surez Reyes
62
L.I. Tere Surez Reyes
Observacin
Realizacin de cuestionarios
Muestreo estadstico
Flujogramas
Listas de chequeo
Mapas conceptuales
Cuestionarios
Las auditoras informticas se materializan recabando informacin y documentacin de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor
consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo,
siempre amparado en hechos demostrables, llamados tambin evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios
preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
63
L.I. Tere Surez Reyes
1.
materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto
de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y
busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente
tcnicos o por las respuestas escritas a cuestionarios.
Checklist
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en
funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios
son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que
haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la
cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no
es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una
correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy
estudiadas que han de formularse flexiblemente.
64
L.I. Tere Surez Reyes
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
65
L.I. Tere Surez Reyes
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto
tal
circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El
equipo auditor describir brevemente las funciones de cada uno de ellos.
Flujos de Informacin:
66
L.I. Tere Surez Reyes
El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la
organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la
existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal
circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.
6)
Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organizacin.
Entorno Operacional
El equipo de auditoria informtica debe poseer una adecuada referencia del entorno en el que va
a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
a)
67
L.I. Tere Surez Reyes
c)
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y
lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control
local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde el
software bsico hasta los programas de utilidad adquiridos o desarrollados internamente.
Suele ser habitual clasificarlos en facturables y no facturables.
d) Comunicacin y Redes de Comunicacin:
En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas
principales de las lneas, as como de los accesos a la red pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de
los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo
siguiente:
a)
b)
c)
Documentacin
68
L.I. Tere Surez Reyes
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los
procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras
ocupadas, etc.
69
L.I. Tere Surez Reyes
Recursos Humanos:
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal
seleccionado dependen de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
Informtico Generalista
distintas.
en
Desarrollo
de
Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de Proyectos
Tcnico de Sistemas
Experto
en
Software
Comunicacin
70
L.I. Tere Surez Reyes
Tcnico de Organizacin
71
L.I. Tere Surez Reyes
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades
que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor
calidad.
Tcnicas de Trabajo:
72
L.I. Tere Surez Reyes
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual.
73
L.I. Tere Surez Reyes
2.
Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situacin.
3.
4.
La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
74
L.I. Tere Surez Reyes
75
L.I. Tere Surez Reyes
CONCLUSIN
El auditor es el proceso de acumular y evaluar evidencia, realizando por una persona
independiente y competente acerca de la informacin cuantificable de una entidad econmica
especifica, con el propsito de determinar e informar sobre el grado de correspondencia existente
entre la informacin cuantificable y los criterios establecidas.
Su importancia es reconocida desde los tiempos ms remotos, tenindose conocimientos de su
existencia ya en las lejanas pocas de la civilizacin sumeria.
El factor tiempo obliga a cambiar muchas cosas, la industria, el comercio, los servicios pblicos,
entre otros. Al crecer las empresas, la administracin se hace mas complicada, adoptando mayor
importancia la comprobacin y el control interno, debido a una mayor delegacin de autoridades y
responsabilidad de los funcionarios.
Debido a todos los problemas administrativos s han presentado con el avance del tiempo nuevas
dimensiones en el pensamiento administrativo. Una de estas dimensiones es la auditoria
administrativa la cual es un examen detallado de la administracin de un organismo social,
realizado por un profesional (auditor), es decir, es una nueva herramienta de control y evaluacin
considerada como un servicio profesional para examinar integralmente un organismo social con el
propsito de descubrir oportunidades para mejorar su administracin.
Tomando en consideracin todas las investigaciones realizadas, podemos concluir que la auditoria
es dinmica, la cual debe aplicarse formalmente toda empresa, independientemente de su
magnitud y objetivos; aun en empresas pequeas, en donde se llega a considerar inoperante, su
aplicacin debe ser secuencial constatada para lograr eficiencia.
76
L.I. Tere Surez Reyes
El anlisis de riesgo es un proceso sistemtico para estimar la magnitud de los riesgos a que est
expuesta una organizacin o empresa.
Es la identificacin de las amenazas que acechan a los distintos componentes pertenecientes o
relacionados con un sistema de informacin (activos) para determinar la vulnerabilidad del
sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad
insuficiente puede afectar a la organizacin.
Acorde al punto 5.4 de Magerit (Espaa) es importante crear escenarios de ataque, imaginar
amenazas a los activos, pensar cmo un atacante se enfrentara a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e imaginar qu hara con sus conocimientos y recursos. Es
importante plantear diferentes situaciones dependiendo del perfil tcnico del atacante o de sus
recursos tcnicos y humanos. Estos escenarios de ataque o dramatizaciones son importantes para
evaluar impactos y riesgos.
Consideraciones
Jams olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad lgica y
en la seguridad de sistemas de informacin.
Es fundamental la creacin de escenarios de conflicto en forma continua participando la gerencia
de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse
medidas para evitar eventos de seguridad.
Anticiparse a los hechos
Imagnese el peor escenario posible. Piense cmo evitarlo. Existen normas, procedimientos,
77
L.I. Tere Surez Reyes
protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus
procedimientos internos para alejar la posibilidad de riesgo.
Si su empresa opera a travs de internet o telecomunicaciones no olvide que es ms probable tener
una fuga de informacin o problema interno de seguridad con su personal a que un hacker intente
vulnerar sus sistemas, el fraude interno est a la orden del da.
Realice peridicamente perfiles socioeconmicos de su personal, tenga entrevistas con cada uno de
sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicologa
laboral con experiencia previa y capacitado en PNL (nunca est de ms que en estas entrevistas
participe un auditor en seguridad, el auditor debe ser capaz de percibir a un insider)
El siguiente glosario es un compendio de trminos tcnicos de auditoria en seguridad que le
permitir comprender diversos informes y graficar situaciones eventuales en que su empresa
podra verse comprometida.
Ataque:
Cualquier accin deliberada con el objetivo de violar los mecanismos de seguridad de un sistema de
informacin.
Auditoria de Seguridad:
Estudio y examen independiente de registros histricos y actividades de un sistema de informacin
con el objetivo de comprobar la solidez de los controles del sistema, alinear los controles con la
estructura de seguridad y procedimientos operativos establecidos a fin de detectar brechas en la
seguridad y recomendar modificaciones en los procedimientos, controles y estructuras de
seguridad.
Autenticidad:
Aseguramiento de la identidad u origen.
Certificacin:Confirmacin del resultado de una evaluacin y de que los criterios de la evaluacin
utilizados fueron correctamente aplicados.
78
L.I. Tere Surez Reyes
Confidencialidad:
Aseguramiento de que la informacin es accesible slo por aquellos autorizados a tener acceso.
Degradacin:
Prdida de valor de un activo como consecuencia de la materializacin de una amenaza
Disponibilidad:
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin
y a sus activos asociados.
Estado de riesgo:
Caracterizacin de activos por riesgo residual. Lo que puede pasar tomando en consideracin que
las salvaguardas han sido desplegadas.
Evento de seguridad:
Momento en que la amenaza existe y pone en riesgo activos, procedimientos o informacin.
Evaluacin de Medidas de Seguridad:
Evaluacin de las medidas de seguridad existentes con relacin al riesgo que enfrentan.
Frecuencia:
Tasa de ocurrencia de una amenaza
Gestin de riesgos:
Seleccin de implementacin de medidas de seguridad para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados. La gestin de riesgos se basa en resultados obtenidos en el
anlisis de riesgos.
Impacto:
Consecuencia que sobre un activo tiene la materializacin de una amenaza.
79
L.I. Tere Surez Reyes
Impacto residual:
Impacto remanente en el sistema tras la implantacin de las medidas de seguridad determinadas
en el plan de seguridad de la informacin.
Insider:
Empleado desleal quien por motivos de desinters, falta de capacidad intelectual y/o analtica,
problemas psicolgicos o psiquitricos, corrupcin, colusin u otros provoca daos en forma
deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y
procedimientos establecidos, robando o hurtando activos (fsicos o informacin) con objetivos
econmicos o simplemente de dao deliberado.
Integridad:
Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento.
Mapa de riesgos:
Relacin de las amenazas a que estn expuestos los activos.
Plan de seguridad:
Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de
riesgos.
Programa de seguridad:
Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupacin se debe a que en
singular las tareas careceran de eficacia ya que todas tienen un objetivo comn y porque competen
a una nica unidad de accin.
Proyecto de seguridad:
Programa de seguridad cuya envergadura es tal que requiere una planificacin especfica.
Riesgo:
Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos
causando daos y / o perjuicios a la Organizacin.
80
L.I. Tere Surez Reyes
Riesgo acumulado:
Toma en consideracin el valor propio de un activo y el valor de los activos que dependen de l.
Este valor se combina con la degradacin causada por una amenaza y la frecuencia estimada de la
misma.
Riesgo repercutido:
Se calcula tomando el valor propio de un activo y combinndolo con la degradacin causa por una
amenaza y la frecuencia estimada de la misma.
Medida de seguridad:
Procedimiento
mecanismo
tecnolgico
que
reduce
el
riesgo.
Seguridad:
Capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de
confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Sistema de informacin:
Computadoras y redes de comunicaciones electrnicas, datos electrnicos almacenados,
procesados, recuperados o transmitidos por los mismos para su operacin, uso, proteccin y
mantenimiento.
Conjunto de elementos fsicos, lgicos, elementos de comunicacin, datos y personal que permiten
el almacenamiento, transmisin y proceso de la informacin.
Trazabilidad:
Aseguramiento de que en todo momento se podr determinar quien hizo qu y en qu momento.
81
L.I. Tere Surez Reyes
Valor de un activo:
Estimacin
del
costo
inducido
por
la
materializacin
de
una
amenaza.
Valor acumulado:
Considera tanto el valor propio de un activo como el valor de los activos que dependen de l.
Vulnerabilidad:
Clculo o estimacin de la exposicin efectiva de un activo a una amenaza. Se determina por dos
medidas: frecuencia de ocurrencia y degradacin causada.
Bibliografa
Libros y Manuales:
Internet:
http://www.grupoatn.com/
http://www.utp.ac.pa/centroin/ccomputo.html
http://dgep.posgrado.unam.mx/~depfe/compinfo.htm
http://www.uam.mx/infraestructura/documentos/
http://www.arearh.com/rrhh/descripciondepuestos.htm
http://www.microsoft.com/spain/permission/copyrgt/whatis.htm
http://www.monografias.com/trabajos/evoadmin/evoadmin.shtml
http://www.monografias.com/trabajos7/ceproc/ceproc.shtml
82
L.I. Tere Surez Reyes