Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PASTO
Febrero de 2012
INTRODUCCIN
En la actualidad el uso de recursos informticos y nuevas tecnologas para los
procesos de procesamiento de informacin, hacen que el campo de la seguridad
en la informacin cobre ms vigencia y es por eso que las organizaciones han
venido implementando planes de seguridad informtica y Sistemas de Gestin de
la Informacin (SGSI) que permitan brindar un sistema de control acorde a las
nuevas circunstancias.
En este sentido uno de los procesos ms importantes para la deteccin de
vulnerabilidades, riesgos, amenazas y fallas es el anlisis de riesgos, que no solo
busca sus causas, sino tambin trata de encontrar las posibles soluciones que
minimicen al mximo las causas que la originan. Para realizar este proceso se
hace necesario conocer los estndares internacionales ms usados, dentro de los
cuales se tratar el estndar COSO que es usado para el anlisis de riesgos en
los procesos, el MAGERIT que es usado para el anlisis de riesgos informticos y
el COBIT que es el ms completo para determinar riesgos y objetivos de control
para el manejo de tecnologa de la informacin (TI).
Posteriormente se conocer ms internamente como esta dividido el estndar
COBIT y cmo se seleccionan los diferentes dominios, procesos y objetivos de
control, para evaluar los riesgos dentro del proceso de auditoria informtica y de
sistemas.
Finalmente se buscar conocer algunos de los procedimientos para cada uno de
los objetivos de control, tanto para centros de cmputo como para el proceso de
desarrollo de software y el producto software. Los procedimientos contribuyen al
entendimiento de los activos que se deben proteger, adems de establecer a que
apuntan cada uno de los objetivos de control.
JUSTIFICACIN
La importancia del curso de Riesgos y Control Informtico radica en el
conocimiento y comprensin de los procesos que se llevan a cabo para llegar a
establecer planes, polticas, estrategias, y procedimientos que permitan construir
mejores condiciones de seguridad para los activos informticos, llmense estos
redes, equipos de cmputo, personal, instalaciones e infraestructura tecnolgica o
la informacin misma.
El curso esta dirigido principalmente a los ingenieros de sistemas, industriales y
administradores interesados en conocer ms profundamente los sistemas de
control interno informtico y que trabajen como desarrolladores de productos
software, como administradores de centros de cmputo o reas de informtica, o
simplemente que quieran profundizar un poco ms en los temas de seguridad
informtica.
El curso proporciona los conocimientos tericos para llevar a cabo procesos de
anlisis y evaluacin de riesgos informticos en las organizaciones que les ayude
a establecer planes de contingencia, planes de seguridad fsica y lgica, polticas
de seguridad, estrategias y procedimientos que permitan establecer mejores
condiciones para el manejo y administracin de recursos informticos, dentro de
una organizacin.
INTENCIONALIDADES FORMATIVAS
PROPSITO
Fundamentalmente, el curso pretende desarrollar las capacidades, habilidades y
destrezas de los estudiantes para conocer, comprender y aplicar procesos de
anlisis y evaluacin de riesgos informticos y establecer polticas, estrategias,
planes y procedimientos para asegurar los activos informticos
Adems el curso permite conocer los estndares de anlisis de riesgos que le
permitan establecer las vulnerabilidades, riesgos y amenazas de acuerdo a los
nuevos avances tecnolgicos y establecer los controles que permitan mitigar las
causas que los ocasionan en una organizacin.
OBJETIVOS
- Identificar las vulnerabilidades, riesgos y amenazas ms frecuentes en entornos
informticos y que pueden afectar el buen funcionamiento de los procesos de
manejo de la informacin
- Conocer los estndares internacionales ms aplicados para procesos de anlisis
de riesgos para procesos de manejo de informacin, de tecnologa e informticos.
- Conocer ms profundamente el estndar COBIT que sirve como base para
realizar procesos de anlisis de riesgos informticos, de tecnologa de informacin
y de sistemas, aplicndolo a casos especficos que permitan definir controles
adecuados para proteccin de activos informticos e informacin.
- Conocer algunos de los procedimientos y objetivos de control para auditoria
informtica y de sistemas, que permitan establecer planes de seguridad.
METAS
El estudiante estar capacitado para:
- Identificar los conceptos de Vulnerabilidad, Riesgo y Amenaza
- Conocer los estndares de anlisis de riesgos usados a nivel internacional.
- Conocer los mtodos de evaluacin de riesgos informticos.
- Identificar los dominios, procesos y objetivos de control COBIT
- Conocer sistema de control informtico y los procedimientos de auditoria que
permitan evidenciarlos.
COMPETENCIAS
- El estudiante identifica, aprende, y comprende los diferentes conceptos sobre
riesgos y control informticos que le permitan establecer mejores condiciones de
seguridad en entornos informticos.
- El estudiante est en capacidad de identificar los diferentes tipos de riesgos
informticos, y realizar el proceso de anlisis y evaluacin de los mismos para
establecer los controles que permitan minimizar la causa que los originan.
- El estudiantes est en la capacidad de realizar los procesos de anlisis y
evaluacin de riesgos para llegar a establecer los mapas y matrices de riesgos a
que se ve abocada la organizacin.
- El estudiante est en capacidad de definir controles efectivos frente a posibles
escenarios de riesgo a que se ve expuesta la organizacin y establecer los
procedimientos para identifiacr la causa origen de los mismos.
- El estudiante est en capacidad de establecer planes de seguridad que permitan
mejorar la seguridad informtica en las organizaciones.
NDICE DE CONTENIDO
TEMA
ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO
INTRODUCCIN
JUSTIFICACION
INTENCIONALIDADES FORMATIVAS
PROPOSITOS
OBJETIVOS
METAS
COMPETENCIAS
PAG.
2
3
4
5
5
5
5
6
12
14
15
19
20
24
25
30
30
32
35
38
61
62
65
66
70
75
81
83
45
84
89
90
91
7
93
97
98
105
117
122
133
138
139
142
145
147
172
183
188
LISTADO DE TABLAS
TEMA
Tabla 1. Escala de valoracin control
Tabla 2. Clculo de riesgos residuales
Tabla 3. Marco general de referencia COBIT
Tabla 4. Plantilla de anlisis DOFA 1
Tabla 5. Plantilla de anlisis DOFA 2
Tabla 6. Impacto y Reacciones
Tabla 7. Distribucin de los dominios y procesos de COBIT
Tabla 8. PO1 - Objetivos de control de alto nivel
Tabla 9. PO1 Tipos de recursos
Tabla 10. PO2 Objetivos de Control de alto nivel
Tabla 11. PO2 Recursos que afecta
Tabla 12. PO3 Objetivos de control de alto nivel
Tabla 13. PO3 Recursos que afecta
Tabla 14. PO4 Objetivos de control de alto nivel
Tabla 15. PO4 Recursos que afecta
Tabla 16. PO5 Objetivos de control de alto nivel
Tabla 17. PO5 Recursos que afecta
Tabla 18. PO6 Objetivos de control de alto nivel
Tabla 19. PO6 Recursos que afecta
Tabla 20. PO7 Objetivos de control de alto nivel
Tabla 21. PO7 Recursos que afecta
Tabla 22. PO8 Objetivos de control de alto nivel
Tabla 23. PO8 Recursos que afecta
Tabla 24. PO9 Objetivos de control de alto nivel
Tabla 25. PO9 Recursos que afecta
Tabla 26. PO10 Objetivos de control de alto nivel
Tabla 27. PO10 Recursos que afecta
Tabla 28. PO11 Objetivos de control de alto nivel
Tabla 29. PO11 Recursos que afecta
Tabla 30. AI1 Objetivos de control de alto nivel
Tabla 31. AI1 Recursos que afecta
Tabla 32. AI2 Objetivos de control de alto nivel
Tabla 33. AI2 Recursos que afecta
Tabla 34. AI3 Objetivos de control de alto nivel
Tabla 35. AI3 Recursos que afecta
Tabla 36. AI4 Objetivos de control de alto nivel
Tabla 37. AI4 Recursos que afecta
Tabla 38. AI5 Objetivos de control de alto nivel
Tabla 39. AI5 Recursos que afecta
Tabla 40. AI6 Objetivos de control de alto nivel
Tabla 41. AI6 Recursos que afecta
Tabla 42. DS1 Objetivos de control de alto nivel
PAG.
28
28
44
48
49
60
99
108
108
108
109
109
110
110
111
111
112
112
112
113
113
114
114
115
115
115
116
116
117
117
118
118
119
119
120
120
120
121
121
121
122
122
9
123
123
124
124
125
125
126
126
127
127
127
128
128
128
129
129
130
130
131
131
132
132
132
133
133
134
134
135
135
135
136
136
137
145
148
151
153
157
160
162
169
172
178
10
PAG.
27
37
51
53
57
90
11
UNIDAD 1
Nombre de la Unidad
Introduccin
RIESGOS INFORMTICOS
Esta unidad esta dedicada principalmente a la
conceptualizacin de vulnerabilidades, riesgos y
amenazas, asi como, los procesos de anlisis, evaluacin
y gestin de los mismos. Especficamente se abordar los
temas anteriores, aplicados a la seguridad informtica y
de los sistemas de informacin. Adems se trata de que
los estudiantes conozcan, aprendan y comprendan los
estndares y mtodos para el anlisis y la evaluacin de
los riesgos informticos y cmo aplicarlos a situaciones
dentro de una organizacin.
Justificacin
Intencionalidades
Formativas
Denominacin de
captulo
Denominacin de
Lecciones
Denominacin de
captulo
Denominacin de
Lecciones
Denominacin de
captulo
Denominacin de
Lecciones
13
14
15
Harold F. Tipton, Micki Krause (eds.), Information Security Management Handbook, 5th Ed., CRC Press, 2006
22
Jean Killmeyer Tudor (ed.), Information Security Architecture: An Integrated Approach to Security in the Organization, CRC
Press, 2006.
3
Thomas R. Peltier, Information Security Risk Analysis, CRC Press, 2005.
4
Alan Calder, Steve Watkins, IT Governance: A Managers Guide to Data Security& BS 7799/ISO 17799, 2nd Ed., Kogan
Page Ltd., London, 2003.
23
Karen D. Loch, Houston H. Carr, Merrill E. Warkentin, Threats to InformationSystems: Todays Reality, Yesterdays
Understanding,vol. 16, no. 2, 1992, pp. 173-186.
24
25
Fuente:
http://www.google.com.co/imgres?q=matriz+de+riesgos+informaticos&hl=es&biw=1280
&bih=699&gbv=2&tbm=isch&tbnid=_qmfSbEv7Po9NM:&imgrefurl=http://redindustria.b
logspot.com/2010/05/matriz-de-riesgos.html/
Una vez valorados los riesgos, se procede a evaluar la geston de los mismos,
aplicando una escala de valoracin definida por un estndar o definida dentro de
la organizacin para medicin de controles, con el fin de determinar la efieciencia,
eficacia y efectividad de los controles establecidos para mitigar los riesgos
identificados. En la medida que los controles sean ms eficientes y la gestin de
27
Efectividad
1
2
3
4
5
Actividad 1
Nivel
de
Riesgo
Calidad de Gestin
Tipo
de Efectividad Promedio
Medidas
(*)
de Control
Riesgo
5
Control 1
3
3,6
Inherente 1
Control 2
4
Control 3
4
Riesgo
4
Control 1
5
4,25
Inherente 2
Control 2
5
Control 3
4
Riesgo
4
Control 1
3
3,6
Inherente 3
Control 2
4
Control 3
4
Riesgo
3
Control 1
5
3,5
Inherente 4
Control 2
2
Perfil de Riesgo (Riesgo Residual Total) (***)
Riesgo
Residual
(**)
1,38
0,95
1,11
0,85
1,07
29
www.securityforum.org
Citicus ONE es un software comercial (disponible en varios idiomas, pero no en
espaol) de gestin de riesgos de seguridad de la informacin, basado en la
metodologa FIRM.
www.citicus.com/oursoftware_softwarecapabilities.asp
Gua en ingls de evaluacin de riesgos de la Polica de Canad. Tambin
versin en francs.
www.rcmp-grc.gc.ca/ts-st/pubs/tra-emr/index-eng.htm
Introduccin a la metodologa FAIR (Factor Analysis of Information Risk).
www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf
Estndar de gestin del riesgo de IRM, AIRMIC y ALARM (en espaol).
www.theirm.org/
Security Risk Management Guide de Microsoft.
technet.microsoft.com/en-us/library/cc163143.aspx
@RISK, de Palisade, es un software general de anlisis de riesgos basado en
la simulacin de Monte Carlo. Existe versin en espaol y tiene coste.
www.palisade-lta.com/risk
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -no
gratuito- de evaluacin del riesgo de C&A Systems Security Ltd..
www.riskworld.net
RA2 Art of Risk. Software de anlisis de riesgos y soporte de SGSI. No es
gratuito.
www.aexis.de
Ejemplo de anlisis de impacto en el negocio realizado por Gartner.
www.njcu.edu/assoc/njcuitma/documents/addendums/
Whitepaper de SANS de alineacin de gestin de riesgos con BS7799-3.
www.sans.org/reading_room/whitepapers/auditing/1664.php
Whitepaper de SANS sobre gestin del riesgo.
www.sans.org/reading_room/whitepapers/auditing/1204.php
Introduccin al anlisis y modelado de amenazas.
metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf
Gua de evaluacin de riesgos de seguridad de ASIS.
www.asisonline.org/guidelines/guidelinesgsra.pdf
Directrices para la gestin del riesgo por uso de aplicaciones de software libre.
www.fdic.gov/news/news/financial/2004/FIL11404a.html
CERO es una aplicacin web que le permite tener una visin global de los
riesgos a los que se expone su compaa, Operativos y de LA/FT.
establece
cinco
componentes
que
estn
ntimamente
Ladino Enrique. Control interno: informe Coso. Biblioteca virtual Elibro - UNAD
34
El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y
para gestionar su mitigacin. Es una presentacin netamente conceptual.
El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y
gestin de riesgos, entendiendo que no basta con tener los conceptos claros,
sino que es conveniente reglamentar roles, actividades, hitos y documentacin
para que la realizacin del proyecto de anlisis y gestin de riesgos, est bajo
control en todo momento.
El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de
informacin, en el entendimiento que los proyectos de desarrollo de sistemas
deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a
36
que estn expuestos, como los riesgos que las propias aplicaciones introducen
en el sistema.
En el captulo 5 desagrega una serie de aspectos prcticos, derivados de la
experiencia acumulada en el tiempo para la realizacin de un anlisis y una
gestin realmente efectivos.
Figura 2: Procesos para gestin de riesgos
Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que CObIT hace referencia como requerimientos de negocio
para la informacin. CObIT combina los principios contenidos en los modelos ya
existentes y conocidos tales como los requerimientos de calidad (calidad, costo y
entrega), los requerimientos Fiduciarios de COSO (efectividad & eficiencia de
operaciones, confiabilidad de la informacin y cumplimiento de las leyes &
regulaciones), y requerimientos de seguridad (confidencialidad, disponibilidad e
integridad). A partir de ellos se extrajeron siete categoras distintas, ciertamente
superpuestas, a continuacin se muestran las definiciones de trabajo de CObIT:
La efectividad que se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
La eficiencia se refiere a la provisin de informacin a travs de la utilizacin
ptima (ms productiva y econmica) de recursos.
La confidencialidad se refiere a la proteccin de informacin sensible contra
divulgacin no autorizada.
La integridad se refiere a la precisin y suficiencia de la informacin, as como a
su validez de acuerdo con los valores y expectativas del negocio.
La disponibilidad se refiere a la disponibilidad de la informacin cuando sta es
requerida por el proceso de negocio ahora y en el futuro. Tambin hace referencia
a la salvaguarda de los recursos necesarios y capacidades asociadas.
El cumplimiento se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo,
criterios de negocio impuestos externamente.
La confiabilidad de la informacin. Se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para ejercer sus
responsabilidades de reportes financieros y de cumplimiento.
En cuanto a los recursos de TI identificados en CobIT pueden definirse como se
muestra a continuacin:
Los datos, los elementos de datos en su ms amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, grficos, sonido, etc.
Las aplicaciones, se entienden como sistemas de aplicacin la suma de
procedimientos manuales y programados.
La tecnologa cubre hardware, software, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc.
Las instalaciones, recursos para alojar y dar soporte a los sistemas de
informacin.
Y el personal, las habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y monitorear
servicios y sistemas de informacin.
El marco referencial cuenta de Objetivos de Control de TI de alto nivel y de una
estructura general para su clasificacin y presentacin. En esencia existen tres
niveles de actividades de TI al considerar la administracin de sus recursos.
41
43
Planeacin y Organizacin
PO1
Definir un Plan Estratgico de TI
PO2
Definir la Arquitectura de Informacin
PO3
Determinar la direccin tecnolgica
PO4
Definir la Organizacin y Relaciones de TI
PO5
Manejar la Inversin en TI
PO6
Comunicar las directrices gerenciales
PO7
Administrar Recursos Humanos
Asegurar el cumplir Requerimientos
PO8
Externos
PO9
Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
Adquisicin e Implementacin
AI1
Identificar Soluciones
Adquisicin y Mantener Software de
AI2
Aplicacin
AI3
Adquirir y Mantener Arquitectura de TI
Desarrollar y Mantener Procedimientos
AI4
relacionados con TI
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
Servicios y Soporte
DS1
Definir niveles de servicio
DS2
Administrar Servicios de Terceros
DS3
Administrar Desempeo y Capacidad
DS4
Asegurar Servicio Continuo
DS5
Garantizar la Seguridad de Sistemas
Recursos
de TI
Recursos
Sistemas
Humanos
Informacin
Tecnologa
Instalaciones
Datos
Proceso
Criterios
de
Informacin
Efectividad
Eficiencia
Confidencialid
ad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Dominio
P
P
P
P
P
P
P
S
S S S
S
S
P
S
S
P S
S S P P P S S
P P
P P
P
S
P S
P P
P P
P P
P
P P
S S
P P
P
P
P
P
S S
S S
S
P S S S S S
P S S S S S
P
S
S
P
P P S S S
44
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Monitoreo
M1
Monitorear los procesos
M2
Evaluar lo adecuado del control Interno
M3
Obtener aseguramiento independiente
M4
Proveer auditora independiente
P
P S
P
P
P P
S
S
S
P
P P
P
P P
S S
P
P
P
P
S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
El anlisis DOFA debe enfocarse solamente hacia los factores claves para el xito
de la empresa. Debe resaltar las fortalezas y las debilidades diferenciales internas
al compararlo, de manera objetiva y realista, con la competencia y con las
oportunidades y amenazas claves del entorno.
Lo anterior significa que el anlisis DOFA consta de dos partes: una interna y otra
externa, a continuacin se describe cada una de ellas: la parte interna tiene que
ver con las fortalezas y las debilidades del negocio, aspectos sobre los cuales se
tienen algn grado de control, y la parte externa: mira las oportunidades que
ofrece el mercado y las amenazas que se debe enfrentar en el mercado
seleccionado. Aqu es necesario desarrollar toda nuestra capacidad y habilidad
para aprovechar las oportunidades y para minimizar o anular esas amenazas,
circunstancias sobre las cuales se tiene poco o ningn control directo.
Las Fortalezas y debilidades consideran las siguientes reas:
Analisis de recursos, que incluye el capital, recursos humanos, sistemas
de informacin, activos fijos, activos no tangibles.
Anlisis de Riesgos, con relacin a los recursos y a las actividades de la
empresa
Anlsis de Portafolio, que es la conribucin consolidada de todas las
diferentes actividades de la organizacin
Al hacer la evaluacin de las fortalezas de la organizacin, hay que tener en
cuenta su clasificacin, a continuacin se muestra:
Las Fortalezas Organizacionales Comunes, se define como una fortaleza que
es poseda por un gran nmero de empresas competidoras. La paridad
competitiva se da cuando un gran nmero de empresas competidoras estn en
capacidad de implementar la misma estrategia.
Las Fortalezas Distintivas, que se define como aquella que es poseda
solamente por un reducido nmero de empresas competidoras. Las empresas que
saben explotar su fortaleza distintiva generalmente logran una ventaja competitiva
y obtienen utilidades econmicas por encima del promedio de su industria. Las
fortalezas distintivas no pueden imitarse cuando su adquisicin o desarrollo
dependen de una circunstancia histrica nica que otras empresas no pueden
copiar, y su naturaleza y carcter no puede ser conocido o comprendido por las
empresas competidoras tales como la cultura empresarial o el trabajo en equipo.
Las fortalezas de Limitacin de las Fortalezas Distintivas, que se define como
la capacidad de copiar la fortaleza distintiva de otra empresa y de convertirla en
una estrategia que genere utilidad econmica. La ventaja ser temporalmente
sostenible, cuando subsiste despus que cesan todos los intentos de imitacin
estratgica por parte de la competencia.
46
Al evaluar las debilidades de la organizacin, hay que tener en cuenta que se est
refiriendo a aquellas que le impiden a la empresa seleccionar e implementar
estrategias que le permitan desarrollar su misin. Una empresa tiene una
desventaja competitiva cuando no est implementando estrategias que generen
valor mientras otras firmas competidoras si lo estn haciendo.
Las Oportunidades y las Amenazas, donde las oportunidades organizacionales se
encuentran en aquellas reas que podran generar muy altos desempeos y las
Amenazas organizacionales estn en aquellas reas donde la empresa encuentra
dificultad para alcanzar altos niveles de desempeo.
Dentro de ellas se pueden considerar las siguientes:
Anlisis del Entorno Prximo, que es la estructura de la industria tales como
proveedores, canales de distribucin, clientes, mercados, competidores.
Los Grupos de Inters, tales como el gobierno, instituciones pblicas, sindicatos,
gremios, accionistas, comunidad.
El Entorno Amplio, tales como los aspectos demogrficos, polticos, legislativos,
entre otros.
Anlisis de la matriz DOFA
El anlisis DOFA es una evaluacin subjetiva de datos organizados en el formato
DOFA, que los coloca en un orden lgico que ayuda a comprender, presentar,
discutir y tomar decisiones. Puede ser utilizado en cualquier tipo de toma de
decisiones, ya que la plantilla estimula a pensar pro-activamente, en lugar de las
comunes reacciones instintivas.
El uso de matriz DOFA es diverso, algunos de los aspectos que se puede trabajar
con la matriz son los siguientes: una empresa (su posicin en el mercado,
viabilidad comercial, etc.), un mtodo de distribucin de ventas, un producto o
marca, una opcin estratgica (cmo entrar en un nuevo mercado o lanzar un
nuevo producto), Una oportunidad para realizar una adquisicin, Evaluar un
cambio de proveedor, decidir la tercerizacin (outsourcing) de un servicio,
actividad o recurso, analizar una oportunidad de inversin, entre otros.
La plantilla del anlisis DOFA es generalmente presentada como una matriz de
cuatro secciones, una para cada uno de los elementos: Debilidades,
Oportunidades, Fortalezas y Amenazas. El ejemplo de abajo incluye preguntas de
ejemplo, cuyas respuestas deben ser insertadas en la seccin correspondiente.
Las preguntas son slo ejemplos, o puntos de discusin, que pueden ser
obviamente modificados segn el tema del anlisis. Es importante identificar y
describir claramente el tema analizado mediante DOFA, de forma que las
personas que participen entiendan el propsito y sus implicaciones.
47
FORTALEZAS internas
DEBILIDADES internas
recursos
tecnolgicos
los
cambios
Ventajas en costes.
Flexibilidad organizativa.
Etc.
OPORTUNIDADES externas
AMENAZAS externas
Efectos polticos
Integracin vertical.
en
48
DEBILIDADES internas
Desventajas de la propuesta?
Brechas en la capacidad?
Falta de fuerza competitiva?
Reputacin, presencia y alcance?
Aspectos Financieros?
Vulnerabilidades propias conocidas?
tienen
la
acreditacin
49
de
entrega
necesita
Procesos y sistemas.
El equipo gerencial es insuficiente.
OPORTUNIDADES externas
AMENAZAS externas
Impacto de la legislacin
50
Posibles
Realizables
Deseables
Tendenciales
Referencial
(Escenario mas
probable)
Contrastados
(Anticipativo)
(Imaginativo)
(Normativo)
52
Elaboracin de un escenario
Pasar al perodo siguiente
Descomponer el sistema en
subsistemas
Escenario completo
Los objetivos del anlisis de escenarios son los siguientes: el primero es descubrir
cuales son los puntos de estudios prioritarios (variables claves), vinculando, a
travs de un anlisis explicativo global lo mas exhaustivo posible.
MTODO DELPHI
El primer estudio Delphi fue realizado en 1950 por la Rand Corporation para la
fuerza area de EE.UU. y se le dio el nombre de "Proyecto Delphi". El objetivo de
este estudio fue obtener el mayor consenso posible en la opinin de un grupo de
expertos por medio de una serie de cuestionados intensivos, a los cuales se les
intercalaba una retroalimentacin controlada. El propsito de este estudio fue la
aplicacin de la opinin de expertos a la seleccin de un sistema industrial
norteamericano ptimo y la estimacin del nmero de "Bombas A" requeridas para
reducir la produccin de municiones hasta un cierto monto. Es importante recalcar
que los mtodos alternativos de manejar este problema habra involucrado un
proceso prcticamente prohibitivo, en trminos de costo y de tiempo, de
recoleccin y procesamiento de la informacin.
La tcnica Delphi se ha convertido en una herramienta fundamental en el rea de
las proyecciones tecnolgicas, incluso en el rea de la Administracin clsica y
operaciones de investigacin. Existe una creciente necesidad de incorporar
53
suponga una prdida de imagen; el experto puede defender sus argumentos con
la tranquilidad que da saber que en caso de que sean errneos, su equivocacin
no va a ser conocida por los otros expertos.
La Iteracin y realimentacin controlada, la iteracin se consigue al presentar
varias veces el mismo cuestionario. Adems, se van presentando los resultados
obtenidos con los cuestionarios anteriores, se consigue que los expertos vayan
conociendo los distintos puntos de vista y puedan ir modificando su opinin si los
argumentos presentados les parecen ms apropiados que los suyos.
Respuesta del grupo en forma estadstica, la informacin que se presenta a los
expertos no es slo el punto de vista de la mayora, sino que se presentan todas
las opiniones indicando el grado de acuerdo que se ha obtenido.
Como en toda metdologa, para realizar un Delphi aparece una terminologa
especfica con una definicin a cada uno de los conceptos y su aplicacin:
Circulacin: es cada uno de los sucesivos cuestionarios que se presenta al grupo
de expertos.
Cuestionario: el cuestionario es el documento que se enva a los expertos. No es
slo un documento que contiene una lista de preguntas, sino que es el documento
con el que se consigue que los expertos interacten, ya que en l se presentarn
los resultados de anteriores circulaciones.
Panel: es el conjunto de expertos que toma parte en el Delphi.
Moderador: es la persona responsable de recoger las respuestas del panel y
preparar los cuestionarios.
Fases del Delphi
En un Delphi clsico se pueden distinguir cuatro circulaciones o fases:
mediana (ao en que hay un 50% de expertos que piensan que va a suceder
en ese ao o antes), el primer cuartil o cuartil inferior (en el que se produce lo
mismo para el 25% de los expertos) y tercer cuartil o cuartil superior (para el
75%). El moderador confecciona el cuestionario de la tercera circulacin que
comprende la lista de eventos y los estadsticos calculados para cada evento.
56
GRUPO DE TRABAJO
Definicin de los
sucesos.
Seleccin del Panel de
Expertos.
Conclusiones.
EQUIPO TCNICO
PANEL DE EXPERTOS
Respuesta al 1er.
Cuestionario.
Anlisis estadstico de
las respuestas del grupo.
Adicin del anlisis
estadstico al 2do.
cuestionario y envo.
Lectura de las
respuestas del grupo y
comparacin con las
propias emitidas en la
1era. Circulacin.
Respuestas del 2do.
cuestionario.
Los pasos que se deben llevar a cabo para garantizar la calidad de los resultados,
para lanzar y analizar la Delphi son los siguientes:
Fase 1: Formulacin del Problema: en un mtodo de expertos, la importancia de
definir con precisin el campo de investigacin es muy grande, por cuanto que es
preciso estar muy seguros de que los expertos reclutados y consultados poseen
todos la misma nocin de este campo. La elaboracin del cuestionario debe ser
llevada a cabo segn ciertas reglas: las preguntas deben ser precisas,
cuantificables e independientes.
Fase 2: Eleccin de Expertos: con independencia de sus ttulos, su funcin o su
nivel jerrquico, el experto ser elegido por su capacidad de encarar el futuro y
posea conocimientos sobre el tema consultado. La falta de independencia de los
expertos puede constituir un inconveniente; por esta razn los expertos son
aislados y sus opiniones son recogidas por va postal o electrnica y de forma
annima; as pues se obtiene la opinin real de cada experto y no la opinin ms o
menos falseada por un proceso de grupo.
57
59
I
Indefensa
II
Peligrosa
Baja
III
Vulnerable
IV
Preparada
60
61
redundancia.
Informacin / Negocio, estos procesos estn diseados para asegurar que
existe un plan adecuado que asegure que la tecnologa informtica estar
disponible a los usuarios cuando ellos la necesitan.
Riesgos de seguridad general: los estndar 7IEC 950 proporcionan los
requisitos de diseo para lograr una seguridad general disminuyendo este
tipo de riesgos asociados a la seguridad general, algunos de estos riesgos
son:
Riesgos de choque de elctrico, relacionados con el manejo de niveles
altos de voltaje.
Riesgos de incendio, causados por la Inflamabilidad de materiales.
Riesgos de niveles inadecuados de energa elctrica, relacionados con
altas y bajas de voltajes o intencidad.
Riesgos de radiaciones, tales como ondas de ruido, de lser y
ultrasnicas.
Riesgos mecnicos, en el caso de inestabilidad de las piezas elctricas.
Estndar de la Comisin Electrnica Internacional (IEC)- en ingls, l cual es utilizado para tecnologa
informtica y equipos elctricos.
65
A esto hay que sumar los sitios web donde estos grupos terroristas dan a conocer
su historia, postulados, objetivos. Algunos de estos grupos son: KKK en Estados
Unidos, ETA en Espaa, grupos neonazis de Blgica y Holanda y Verdad
Suprema en Japn.
En la red de Internet se han gestado 3 formas de ciberterrorismo: la primera, los
escenarios abiertos a millones de potenciales usuarios, desde el cual se practica
la publicidad y propaganda. La segunda, el ejercicio de la violencia, donde la
informacin se convierte en objetivo deseado ya que permanecen vulnerables
para este tipo de atentados y, la tercera la coordinacin de la operacin y logstica
de ataques terroristas.
Dentro de los objetivos ms comunes de los ciber ataques estn: las redes de
Gobierno y FFAA, los Servidores de nodos de comunicacin, los Servidores DNS
locales, las Centrales telefnicas digitales, las Estaciones de radio y televisin, los
Centros satelitales, las Represas, centrales elctricas, centrales nucleares.
Dentro de los tipos ms comunes de ataques estn: la Siembra de virus y
gusanos, DNS (Cambio en las direcciones de dominio), las Intrusiones no
autorizadas, DDoS (Distributed Denial of Service), la Saturacin de correos, el
Bloqueo de servicios pblicos, el Blind radars (bloquear trfico areo), la
Interferencia electrnica de comunicaciones.
67
Falsificaciones informticas:
Como objeto, cuando se alteran datos de los documentos almacenados en forma
computarizada.
Como instrumentos, cuando los computadores se utilizan para efectuar
falsificaciones de documentos de uso comercial. Cuando empez a disponerse de
fotocopiadoras computarizadas en color a base de rayos lser, surgi una nueva
generacin de falsificaciones o alteraciones fraudulentas ya que stas pueden
hacer copias de alta resolucin, pueden modificar documentos e incluso pueden
crear documentos falsos sin tener que recurrir a un original, y los documentos que
producen son de tal calidad que slo un experto puede diferenciarlos de los
documentos autnticos.
Daos o modificaciones de programas o datos computarizados:
Sabotaje Informtico, que es el acto de borrar, suprimir o modificar sin
autorizacin funciones o datos de computadora con intencin de obstaculizar el
funcionamiento normal del sistema. Algunas de las tcnicas que permiten cometer
estos ilcitos son:
Los Virus que son una serie de pequeos programas o rutinas que pueden
adherirse a los programas legtimos y propagarse a otros programas del sistema
informtico.
Los Gusanos que son fabricados de manera anloga al virus con miras a
infiltrarlo en programas legtimos para modificar o destruir los datos, pero es
diferente del virus porque no puede regenerarse. Las consecuencias del ataque de
un gusano pueden ser tan graves como las del ataque de un virus.
La Bomba lgica o cronolgica que exige conocimientos especializados ya que
requiere la programacin de la destruccin o modificacin de datos en un
momento dado del futuro, son difciles de detectar antes de que exploten y es por
eso que son las que poseen el mximo potencial de dao, su detonacin puede
programarse para que cause el mximo de dao y para que tenga lugar mucho
tiempo despus de que se haya marchado el delincuente.
El Acceso no autorizado a servicios y sistemas informticos que es uno de
los delitos frecuentes que se da por motivos diversos tales como la simple
curiosidad, como en el caso de muchos piratas informticos (hackers) hasta el
sabotaje o espionaje informtico.
Piratas informticos o hackers donde el acceso se efecta desde un lugar
externo a la organizacin, situado en la red de telecomunicaciones, recurriendo a
uno de los diversos medios tales como el aprovechamiento de la falta de rigor en
69
71
Segn Cohen afirma que la delincuencia subcultural aparece como una dinmica
disocial, donde el grupo tiene su sistema de valores, sus propias normas sus
formas de Status, sus reglas de prestigio. Se dira que los miembros de grupo
tienen sus propios impulsos, sus modelos y refuerzos, modo de satisfacerlos y
gozan de la aprobacin del grupo, ello refuerza su conducta.
Dentro de estas subculturas existen sujetos y denominaciones diferentes de
acurso al nivel y caractersticas de los delitos informticos que suelen cometer,
todos ellos son los sujetos activos dentro del delito. Algunos de los ms
reconocidos de acuerdo a los delitos son los siguientes:
Los Hacker, son personas interesadas en el funcionamiento de los sistemas
operativos, les gusta husmear por todas partes, para llegar a conocer el
funcionamiento de un sistema informtico mejor que quienes lo inventaron, su
nombre en ingles hace referencia al delicuente silencioso o tecnolgico. Los
hackers tienen la capacidad de crear sus propios programas de software para
entrar a los sistemas, toma su actividad como un reto intelectual, pero no
pretende hacer daos e incluso se apoya en un cdigo tico.
Los hackers se caracterizan por ser verdaderos expertos en el uso de
computadores y por lo general rechazan hacer un uso delictivo de sus
conocimientos, aunque no tienen reparo en intentar acceder a cualquier mquina
conectada a la red, o incluso penetrar a una Intranet privada, siempre con el
declarado fin de investigar las defensas de estos sistemas, sus lados dbiles;
cabe anotarse el mrito de haber logrado burlar a sus administradores. En la
mayora de casos ellos dan a conocer a sus vctimas los huecos de seguridad
encontrados e incluso sugieren cmo corregirlos, otros llegan a publicar sus
hallazgos en revistas o pginas Web de poder hacerlo.
Los Cracker: Son personas que se introducen en sistemas remotos con la
intencin de destruir datos, denegar el servicio a usuarios legtimos, y en general a
causar problemas. Se clasifican en dos tipos: el que penetra en un sistema
informtico y roba informacin o se produce destrozos en el mismo o el que se
dedica a desproteger todo tipo de programas, tanto de versiones shareware para
hacerlas plenamente operativas como de programas completos comerciales que
presentan protecciones anti-copia. El Cracker es aquel Hacker fascinado por su
capacidad de romper sistemas y Software y que se dedica nica y exclusivamente
a Crackear sistemas.
Crack es sinnimo de rotura y por lo tanto cubre buena parte de la programacin
de Software y Hardware. As es fcil comprender que un Cracker debe conocer
perfectamente las dos caras de la tecnologa, esto es la parte de programacin y
la parte fsica de la electrnica. Como su nombre indica se dedican a romper, por
supuesto las protecciones y otros elementos de seguridad de los programas
comerciales, en su mayora con el fin confeso de sacar provecho de los mismos
del mercado negro. Estos crean cdigos para utilizarlos en la copia de archivos.
72
El sujeto pasivo seguir siendo la vctima del delito, el propietario legtimo del bien
jurdico protegido, sobre quien recae la conducta de accin u omisin que realiza
el sujeto activo. En el caso de estos delitos los sujetos pueden ser persona natural
o jurdica que usan sistemas automatizados de informacin, generalmente
conectados a otros. Mediante el sujeto pasivo se puede conocer los diferentes
ilcitos que cometen los delincuentes informticos, aunque estos generalmente no
son descubiertos o no son denunciados a las autoridades responsables, ya que en
muchos casos la falta de preparacin por parte de las autoridades para
comprender, investigar y aplicar el tratamiento jurdico adecuado a esta
problemtica.
FUENTES DOCUMENTALES
Bibliografa de referencia:
Beck, K.. .Extreme Programming Explained. Embrace Change., Pearson
Education, 1999. Traducido al espaol como: .Una explicacin de la programacin
extrema. Aceptar el cambio., Addison Wesley, 2000.
CETTICO, Centro Transferencia tecnolgica en Informtica y Comuicaciones.,
Enciclopedia de Informtica y Computacin, Ingeniera de software e Inteligencia
artificial. Universidad Politcnica de Madrid 1999.
De Domingo, J. y Arranz, A., Calidad y mejora continua, Ed Donostiarra. 1997.
Piatini, Mario y col. Analisis y Diseo de Aplicaciones Informticas de Gestin, Una
Perspectiva de Ingeniera de Software, Alfaomega 2004. Pginas 109 164.
BRAUDE. Ingeniera de software, una perspectiva orientada a objetos. Mxico.
2003. Alfaomega grupo editor. S.A.
HUMPHREY, Watts S. Introduccin al proceso de software personal. Pearson
Addison wesley. 2001.
NORRIS. Ingeniera de software explicada. Grupo Noriega editores de Colombia.
PIATTINI, Mario. VILLALBA, Jose y otros. Mantenimiento del software: modelos,
tcnicas y mtodos para la gestin del cambio. Editorial Alfaomega-Rama.
PRESSMAN, Roger S. Ingeniera del Software. Un enfoque prctico. Quinta
edicin. Espaa. 2002. Editorial McGraw Hill.
SOMMERVILLE, Ian. Ingeniera de software. 6. Edicin. Pearson Addison
Wesley. 2001
Direcciones Electronicas (webgrafa)
http://www.pressman5.com
http://www.wiley.com/college/braude
http://www.comp.lancs.ac.uk/computing/resources/IanS/SE6/PDF/SEGlossary.pdf
http://www.itver.edu.mx/comunidad/material/ing-software/unidad5.ppt
http://www.angelfire.com/scifi/jzavalar/apuntes/IngSoftware.html
http://www.sistemas.unam.mx/software.html
79
Bibliografa
UNIDAD 2
Nombre de la Unidad
Introduccin
Justificacin
Intencionalidades
Formativas
CONTROL INFORMTICO
En este captulo se trata los temas que son el fundamento
de la calidad del software y su evaluacin, entre ellas
estn los modelos y estndares actuales de calidad, que
detallan las caractersticas mediante las cuales se hace la
evaluacin, las mtricas de calidad y las mtricas tcnicas
de calidad del software que son los indicadores, las
escalas de medicin cualitativa o cuantitaiva y las pruebas
del software que se ejecutan para verificacin de la
calidad del producto o proceso.
Esta unidad es quiza una de las ms importantes para la
evaluacin del software, ya que se identifica en ella los
tipos de evaluacin esttica y dinmica mediante el uso
de las mtricas y las pruebas del software. Los estndares
son los que permiten referencias cuales caractersticas se
evaluar y que mtricas y pruebas se asocian a ellas.
- El estudiante conoce los estndares y modelos utilizados
para la evaluacin de la calidad del software
- El estudiante reconoce las caractersticas internas,
externas y de usabilidad dentro de los estndares
- El estudiante asocia cada una de las caractersticas con
las mtricas y las pruebas a realizar en cada caso
Denominacin de
captulos
Denominacin de
lecciones
Denominacin de
captulos
Denominacin de
lecciones
Denominacin de
captulos
Denominacin de
lecciones
Entrega y Soporte DS
Leccin 25. Dominio, Procesos y Objetivos de Control
Monitoreo M
CAPITULO 6:
PROCEDIMIENTOS DE AUDITORIA
INFORMTICA Y DE SISTEMAS
Leccin 26. Tcnicas de Auditoria para Recoleccin de
Informacin
Leccin 27. Fases de Auditoria Informtica y de Sistemas
Leccin 28. Aspectos de auditoria Para un Centro de
Cmputo o rea de Informtica
Leccin 29. Procedimientos de Control para Auditoria al
rea de Informtica
Leccin 30. Procedimientos de Control para seguridad y
Planes de Contingencia
82
TAMYO ALZATE, Alonzo. Auditora de Sistemas Una visin prctica. Manizales. Centro de
publicaciones Universidad Nacional de Manizales. 2002. pag.14.
CONGRESO DE COLOMBIA. LEY 87 DEL 29 DE NVIEMBRE DE 1993. (en lnea).UNIVERSIDAD
DEL VALLE. Consultada el 17 de Agosto del 2011. Disponible en la direccin electrnica:
http://controlinterno.univalle.edu.co/doc/ley_87_1993.pdf.
84
La integridad
Los valores ticos y la competencia de la gente de la entidad
La filosofa y el estilo de la administracin
La manera como la administracin asigna autoridad y responsabiliza
Cmo organiza y desarrolla a su gente; y
La atencin y direccin proporcionada por la junta directiva.
Aprobaciones,
Autorizaciones,
Verificaciones,
Conciliaciones,
Revisiones de desempeo operacional,
Seguridad de activos y
Segregacin de funciones.
85
86
Conocer los objetivos del sistema del control interno resulta importante para poder
controlar el funcionamiento de esta. Los objetivos de control ms importantes del
control interno son: la proteccin de los activos del patrimonio, la obtencin de
informacin adecuada, la promocin de la eficiencia operativa y estimular la
adhesin a las polticas de la direccin.
El objetivo de un sistema de control interno es prever una razonable seguridad, de
que el patrimonio est resguardado contra posibles prdidas o disminuciones
asignadas por los usos y disposiciones no autorizadas, y que las operaciones o
transacciones estn debidamente autorizadas y adecuadas o apropiadamente
registradas, a fin de permitir o asegurar la preparacin de los estados contables de
acuerdo a normas contables y los reportes o informes de gestin de realidad
aceptable.
El Control Interno de la empresa.
Cuando finaliza el siglo XIX, especialmente en la poca en que se inicia la gran
transformacin en la forma de encarar la produccin, como consecuencia del
creciente desarrollo industrial, comenz a notarse o percibirse la necesidad de
efectuar un control sobre la gestin de los negocios, ya que la evolucin en la fase
de produccin y comercializacin se desarrollo en forma ms acelerada que en las
fases administrativas u organizativas. Pero con el transcurso del tiempo, se le fue
dando mayor importancia a estos dos ltimos conceptos y se reconoci la
necesidad de generar e implantar sistemas de control, como consecuencia del
importante crecimiento operado dentro de las empresas.
Debido a este desarrollo industrial y econmico, los comerciantes o industriales
propietarios no pudieron continuar atendiendo en forma personal los problemas
productivos, comerciales y administrativos y se vieron obligados por la propia
necesidad a subdividir o delegar funciones dentro de la organizacin y la
respectiva responsabilidad de los hechos operativos o de gestin.
Pero dicha delegacin de funciones y responsabilidades no estuvo sola en el
proceso, ya que en forma paralela se debieron establecer sistemas o
procedimientos que previeran o aminoraran fraudes o errores, que protegieran el
patrimonio, que dieran informaciones coherentes y que permitieran una gestin
adecuada, correcta y eficiente. As nace el control como una funcin gerencial,
para asegurar y constatar que los planes y polticas preestablecidas se cumplan
tal como fueron fijadas.
Lo que se quiere realizar o efectuar es: la medicin, evaluacin, verificacin y
correccin de las funciones operativas de los individuos dependientes o
subordinados, tendientes a determinar, en fecha fehaciente, que las actividades
que ejecuta contribuyen en carcter efectivo y verdadero al logro de los objetivos
prefijados por la direccin superior.
87
88
Controles
Generales
Controles
Operativos
Controles
Tcnicos
Preventivo
Detectivo
Correctivo
Tecnologa de la informacin.
Controles de operacin de hardware, seguridad e
integracin de los sistemas de informacin, reporte de
fallas, control de usuarios, etc.
90
91
93
96
97
de
aplicacin
la
suma
de
Niveles de Cobit: la estructura del estndar Cobit se divide en dominios que son
agrupaciones de procesos que corresponden a una responsabilidad personal,
procesos que son una serie de actividades unidas con delimitacin o cortes de
control y objetivos de control o actividades requeridas para lograr un resultado
medible.
Tabla 7. Distribucin de los dominios y procesos de COBIT
DOMINIOS
PROCESOS
PO1 Definir un Plan Estratgico de TI.
PO2 Definir la Arquitectura de Informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir la Organizacin y Relaciones de TI.
PO5 Manejar la Inversin en TI.
PLANEACIN
Y
PO6 Comunicar las directrices gerenciales.
ORGANIZACIN (PO)
PO7 Administrar Recursos Humanos.
PO8 Asegurar el cumplir Requerimientos Externos.
PO9 Evaluar Riesgos.
PO10 Administrar proyectos.
PO11 Administrar Calidad.
AI1 Identificar Soluciones.
AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
ADQUISICIN
E
AI4
Desarrollar
y
Mantener
Procedimientos
IMPLEMENTACIN (AI)
relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
DS1 Definir niveles de servicio.
DS2 Administrar Servicios de Terceros.
DS3 Administrar Desempeo y Calidad.
DS4 Asegurar Servicio Continuo.
DS5 Garantizar la Seguridad de Sistemas.
DS6 Identificar y Asignar Costos.
SERVICIOS
Y
DS7 Capacitar Usuarios.
SOPORTE (DS)
DS8 Asistir a los Clientes de TI.
DS9 Administrar la Configuracin.
DS10 Administrar Problemas e Incidentes.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
DS13 Administrar Operaciones
M1 Monitorear los procesos.
M2 Evaluar lo adecuado del control Interno.
MONITOREO (M)
M3 Obtener aseguramiento independiente.
M4 Proveer auditora independiente.
99
Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se
describen a continuacin junto con sus procesos y una descripcin general de las
actividades de cada uno:
DOMINIO DE PLANIFICACIN Y ORGANIZACIN
Cubre la estrategia y las tcticas, se refiere a la identificacin de la forma en que la
tecnologa informacin puede contribuir de la mejor manera al logro de los
objetivos de la organizacin. La consecucin de la visin estratgica debe ser
planeada, comunicada y administrada desde diferentes perspectivas y debe
establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Procesos:
PO1 Definicin de un plan Estratgico: el objetivo es lograr un balance ptimo
entre las oportunidades de tecnologa de informacin y los requerimientos de TI de
negocio, para asegurar sus logros futuros.
PO2 Definicin de la arquitectura de Informacin: el objetivo es satisfacer los
requerimientos de la organizacin, en cuanto al manejo y gestin de los sistemas
de informacin, a travs de la creacin y mantenimiento de un modelo de
informacin de la organizacin.
PO3 Determinacin de la direccin tecnolgica: el objetivo es aprovechar al
mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los
requerimientos de la organizacin, a travs de la creacin y mantenimiento de un
plan de infraestructura tecnolgica.
PO4 Definicin de la organizacin y de las relaciones de TI: el objetivo es la
prestacin de servicios de TI, por medio de una organizacin conveniente en
nmero y habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5 Manejo de la inversin: el objetivo es la satisfaccin de los requerimientos
de la organizacin, asegurando el financiamiento y el control de desembolsos de
recursos financieros.
PO6 Comunicacin de la direccin y aspiraciones de la gerencia: el objetivo
es asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones
de la gerencia, a travs de polticas establecidas y transmitidas a la comunidad de
usuarios, necesitndose para esto estndares para traducir las opciones
estratgicas en reglas de usuario prcticas y utilizables.
100
DOMINIO DE DE MONITOREO
Todos los procesos de una organizacin necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad.
Procesos:
M1 Monitoreo del Proceso: el objetivo es asegurar el logro de los objetivos
establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la
gerencia reportes e indicadores de desempeo gerenciales y la implementacin de
sistemas de soporte as como la atencin regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: el objetivo es asegurar el logro de
los objetivos de control interno establecidos para los procesos de TI.
M3 Obtencin de Aseguramiento Independiente: el objetivo es incrementar los
niveles de confianza entre la organizacin, clientes y proveedores externos. Este
proceso se lleva a cabo a intervalos regulares de tiempo.
M4 Proveer Auditoria Independiente: el objetivo es incrementar los niveles de
confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditoras independientes
desarrolladas a intervalos regulares de tiempo.
104
ESTANDAR COSO
Es un estndar de control interno para la gestin del riesgo, que hace
recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de
control. Fue emitido en 1991 por el Comit de Organizaciones Sponsor (Integrated
Framework del Committe of Sponsoring Organizations of the Treadway
Commission) y ampliado posteriormente en 2004.
El informe COSO, tiene dos objetivos fundamentales:
establece
cinco
componentes
que
estn
ntimamente
Ladino Enrique. Control interno: informe Coso. Biblioteca virtual Elibro - UNAD
106
Adicin de tareas
Controles de los sistemas de informacin, dentro de los cuales se tiene:
o Controles generales (acceso, desarrollo de software y sistemas)
o Controles de las aplicaciones (detectan, previenen y corrigen
errores del sistema actual)
De acuerdo al objetivo de la organizacin, los controles se pueden agrupar en:
Las operaciones
La confiabilidad de la informacin financiera
El cumplimiento de leyes y reglamentos
Otra categorizacin de los controles es:
Preventivo / correctivo
Manuales / automatizados o informticos
Gerenciales o directivos
4. Informacin y comunicacin: los sistemas de informacin que se manejen
influyen de manera decisiva en la toma de decisiones en toda organizacin, por
lo tanto es indispensable que sea oportuna, exacta, actualizada y accesible
para evitar riesgos. En razn de lo anterior, es necesario establecer canales
de comunicacin estratgicos que permita identificar, capturar y reportar la
informacin financiera y operativa necesaria para controlar las actividades de la
organizacin. Los canales de comunicacin deben ser eficientes para lograr
que el personal, de acuerdo al rol que desempea, reciba la informacin
adecuada, la procese de acuerdo a las responsabilidades impartidas por
control interno y si encuentra problemas, comunicarlos a los niveles que
corresponden en la organizacin. Las entidades y personal ajeno a la
organizacin, pero que tiene vnculos con ella deben conocer que la empresa
no tolerar acciones inapropiadas.
5. Monitoreo o Supervisin: busca asegurar que el control interno funcione
correctamente, para lo cual la gerencia examina los sistemas de control en:
Actividades regulares: tiene que ver con el control de las actividades
cotidiana, propias a la gestin de la organizacin, como ejemplos se
pueden mencionar el comparar activos fsicos con informacin registrada,
seminarios de entrenamiento y exmenes que realizan auditores internos y
externos. Las anomalas que se encuentren se reportan al supervisor
encargado.
Evaluaciones especiales: se programan y realizan atendiendo las
necesidades que se presenten, puede variar su frecuencia y cobertura. Si
los resultados arrojan deficiencias, generalmente se informa a los altos
niveles de la gerencia.
Objetivos de Control de alto nivel
107
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
108
S
S
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
109
X
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
110
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
111
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
112
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
113
P
S
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
114
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
115
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
116
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
117
X
X
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
AI3: ADQUISICIN
TECNOLGICA
MANTENIMIENTO
DE
LA
INFRAESTRUCTURA
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
120
S
S
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
121
P
P
P
S
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
122
S
S
Conformidad
Confiabilidad
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Control sobre el proceso de TI de: gestionar los servicios prestados por terceros
123
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
124
X
X
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
125
P
P
S
S
S
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
126
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
127
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Efectividad
128
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
problema
Facilitado por: una fcil ayuda que suministre soporte de primer orden y consejo
Toma en consideracin: las cuestiones del cliente y respuestas al problema,
monitorizacin de cuestiones y aclaraciones, anlisis de tendencias e informacin
Afecta los recursos de:
Tabla 57. DS8 Recursos que afecta
X
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
S
S
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
129
X
X
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
P
P
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
133
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
134
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
135
S
S
S
Disponibilidad
Conformidad
Confiabilidad
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
136
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
137
Introduccin
Una de las caractersticas tpicas del desarrollo de software basado en el ciclo de
vida es la realizacin de controles peridicos, normalmente coincidiendo con la
terminacin de cada una de las etapas, del producto o los documentos. Estos
controles pretenden una evaluacin de la calidad de los productos generados para
poder detectar posibles defectos cuanto antes. Sin embargo, todo sistema o
aplicacin, independientemente de estas revisiones, debe ser probado mediante
su ejecucin controlada antes de ser entregado al cliente. Estas ejecuciones o
ensayos de funcionamiento, posteriores a la terminacin del cdigo del software,
se denominan habitualmente pruebas.
Cuando se desarrolla software, dentro del ciclo de vida se ha establecido
formalmente que la prueba es una actividad fundamental dentro de cada una de
las etapas del proceso de desarrollo de software. A partir de la prueba se puede
determinar la calidad de los productos implementados.
Desde hace mucho tiempo, la prueba ha sido un tema muy importante en la
ingeniera de software, a partir de cual se han generado un gran nmero de
trabajos. En este captulo se presenta una revisin tcnica sobre la prueba de
software, abordndose fundamentalmente los enfoques de prueba propuestos
para probar software construido bajo un enfoque funcional, orientado a objetos y
basado en componentes.
Las pruebas constituyen un mtodo ms para poder verificar y validar el software
cuando ya est en forma de cdigo ejecutable. La verificacin es el proceso de
evaluacin de un sistema o de uno de sus componentes para determinar si los
productos satisfacen las condiciones impuestas al comienzo de dicha fase, y la
validacin hace referencia al proceso de evaluacin de un sistema o de uno de
sus componentes durante o al final del proceso de desarrollo para determinar si
satisface los requisitos especificados. As, validar una aplicacin implica
comprobar si satisface los requisitos marcados por el usuario.
138
141
Los objetivos especficos, que son los fines individuales que se pretenden para
el logro del objetivo general, donde se seala especficamente los sistemas,
componentes o elementos concretos que deben ser evaluados.
Determinar los puntos que sern evaluados: una vez determinados los
objetivos de la auditora se debe relacionar los aspectos que sern evaluados, y
para esto se debe considerar aspectos especficos del rea informtica y de los
sistemas computacionales tales como: la gestin administrativa del rea
informtica y el centro de cmputo, el cumplimiento de las funciones del personal
informtico y usuarios de los sistemas, los sistemas en desarrollo, la operacin de
los sistemas en produccin, los programas de capacitacin para el personal del
rea y usuarios de los sistemas, proteccin de las bases de datos, datos
confidenciales y accesos a las mismas, proteccin de las copias de seguridad y la
restauracin de la informacin, entre otros aspectos.
Elaborar planes, programas y presupuestos para realizar la auditora: para
realizar la planeacin formal de la auditora informtica y de sistemas, en la cual
se concretan los planes, programas y presupuestos para llevarla a cabo se debe
elaborar los documentos formales para el desarrollo de la auditora, donde se
delimiten las etapas, eventos y actividades y los tiempos de ejecucin para el
cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos
que se utilizarn para llevarla a cabo.
Algunos de los aspectos a tener en cuenta sern: las actividades que se van a
realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el
flujo de eventos que sirven de gua; la estimacin de los recursos humanos,
materiales e informticos que sern utilizados; los tiempos estimados para las
actividades y para la auditora; los auditores responsables y participantes de las
actividades; otras especificaciones del programa de auditora.
Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora: en ste se determina la
documentacin y medios necesarios para llevar a cabo la revisin y evaluacin en
la empresa, seleccionando o diseando los mtodos, procedimientos,
143
Planeacin de
la Auditoria de
Sistemas
Ejecucin de la
Auditoria de
Sistemas
Dictamen de la
Auditoria de
Sistemas
PASOS A REALIZAR
Identificar el origen de la auditora.
Realizar una visita preliminar al rea que ser evaluada.
Establecer los objetivos de la auditora.
Determinar los puntos que sern evaluados en la auditora.
Elaborar planes, programas y presupuestos para realizar la auditora.
Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora.
7. Asignar los recursos y sistemas computacionales para la auditora.
1.
2.
3.
4.
5.
6.
cuenta cada uno de los tems a evaluar, los objetivos de control de la auditora y el
procedimiento que se debe llevar a cabo, as como se muestra a continuacin.
El rea de informtica debe tener planes a corto, mediano y largo plazo, con el fin
de asegurar su contribucin al xito en el logro de los objetivos de la organizacin.
Dichos planes deben estar en acuerdo con los planes generales de la
organizacin para lograr sus propios objetivos.
Tabla 77. Planeacin rea de Informtica
tem a
Evaluar
Planificacin a
largo plazo de
la
organizacin
El comit de
Planificacin
del rea de
informtica.
Objetivo de Control de la
Auditora
Los planes a largo plazo del
rea informtica deben cubrir
aspectos relacionados con su
contribucin al logro de los
objetivos a largo plazo de la
organizacin. La participacin
de la gerencia debe asegurar
que
el
plan
del
rea
informtica est integrado al
plan
general
de
la
organizacin. Deben evaluarse
la eficiencia y eficacia de la
contribucin
del
rea
informtica.
La gerencia de la organizacin
debe designar un comit de
planeacin o de direccin que
supervise las actividades del
rea de informtica. Entre los
miembros
deben
estar
representantes de la gerencia,
del rea informtica y de la
direccin
de
los
departamentos usuarios. Debe
verificarse la existencia de un
comit de planificacin o de
direccin
del
rea
de
informtica y debe revisarse
Procedimiento
1. Revisar el proceso de planeacin de la
organizacin para determinar el nivel de
implicacin de la gerencia en el mismo,
tambin se debe revisar las actas de
reuniones del consejo directivo o de
administracin para identificar los objetivos
a largo plazo de la organizacin
documentados y los objetivos del rea
informtica
para
determinar
su
compatibilidad con los objetivos generales
de la organizacin.
2. Entrevistar a los directivos para determinar
la fijacin de las polticas de la organizacin
e identificar las estrategias a largo plazo
relacionadas con los objetivos del rea
informtica. Adems se debe entrevistar a
las principales unidades usuarias para
determinar la consistencia de las estrategias
a largo plazo de la organizacin y del
usuario, en lo que se refiere a los objetivos
del rea de informtica.
3. Determinar la eficiencia y eficacia del plan a
largo plazo del rea de informtica.
1. Determinar la existencia de un comit de
planeacin o de direccin del rea
informtica y revisar sus estatutos.
2.
3.
4.
148
documentados,
para
determinar
la
naturaleza y la extensin de su papel en el
proceso de planificacin del rea de
informtica.
5.
Planeacin a
largo plazo del
rea
Informtica
8.
Identificar
avances
tecnolgicos
especficos y determinar si han sido
incorporados a los planes a largo plazo del
rea informtica.
9.
149
Planeacin a
corto plazo de
la
organizacin y
del rea
informtica
Revisin de la
planeacin de
la
organizacin y
del rea de
informtica
150
Objetivo de Control de
la Auditora
Procedimiento
Polticas
1. Evaluar
el
proceso
de
desarrollo,
aprobacin, distribucin y actualizacin de
los estndares aplicables al rea de
informtica.
Estndares
151
Deben
establecerse,
coordinarse, mantenerse y
comunicarse a todos los
departamentos
los
procedimientos que describan
la
forma
y
las
responsabilidades para regular
las relaciones entre el rea
informtica
y
los
departamentos
usuarios.
Deben
revisarse
los
procedimientos
operativos
relativos
a
las
responsabilidades
en
las
relaciones
entre
departamentos usuarios y el
rea de informtica.
152
Descripcin
de
responsabilida
des dentro del
rea
informtica
Separacin de
Funciones
Objetivo de Control de la
Auditora
La gerencia debe ubicar al
rea informtica lo bastante
alto
en
la
estructura
organizacional para asegurar
su independencia de los
departamentos
usuarios.
Evaluar la ubicacin del rea
informtica en la estructura de
la organizacin y evaluar el
grado de independencia del
rea con respecto a los
departamentos usuarios.
Deben estar descritas las
principales unidades
organizativas que constituyen
el rea informtica, con sus
perfiles y que estn
debidamente documentadas
sus responsabilidades.
Revisar las descripciones de
las principales unidades
organizativas que constituyen
el rea informtica y evaluar la
adecuacin de dicha
documentacin.
Procedimiento
Revisar la ubicacin del rea informtica en la
jerarqua de la organizacin y apreciar su
independencia
de
os
departamentos
usuarios.
2. Entrevistar al director del rea informtica
para determinar su apreciacin de la
independencia del rea con respecto a los
departamentos usuarios.
1. Identificar
las
principales
unidades
organizativas que constituyen el rea
informtica examinando los organigramas.
2. Revisar los manuales de procedimientos
para determinar que las responsabilidades
asignadas a cada una de las principales
unidades
organizativas,
y
que
los
procedimientos de evaluacin de su
ejecutoria
estn
adecuadamente
presentados.
153
Descripcin
de Puestos de
Trabajo en el
rea
Informtica
Seleccin
Personal
de
154
Procedimiento
s de Baja de
Personal
Deben establecerse
procedimientos pertinentes
para la baja del personal del
rea informtica y para
asegurar la proteccin de los
recursos constituidos por los
computadores y los archivos
de la organizacin. Debe
revisarse los procedimientos
de baja del personal del rea
informtica para asegurar la
proteccin de los recursos
constituidos por los
computadores y archivos de la
organizacin.
Formacin de
Personal
155
Evaluacin de
desempeo
Debe
evaluarse
peridicamente, el desempeo
del empleado en comparacin
con
los
estndares
establecidos
y
con
responsabilidades especficas
del puesto. Deben revisarse
los mtodos de evaluacin del
desempeo de los empelados
del rea informtica.
Objetivo de Control de la
Auditora
La responsabilidad de llevar a
cabo la funcin de gestin de
calidad debe asignarse a
empleados del rea
informtica. Debe establecerse
un grupo independiente de
gestin de calidad dentro del
rea y su nica
responsabilidad debe ser el
realizar funciones de
garantizar de calidad.
Procedimiento
1. Evaluar el nivel general de satisfaccin de
los usuarios con el servicio brindado por el
rea informtica.
2. Revisar los registros existentes de
problemas, peticiones de programas,
sistemas y servicios, pendientes de
cumplimiento. Determinar los tiempos de
respuesta del rea a estos requerimientos.
3. Determinar si las necesidades de los
departamentos usuarios se han satisfecho
de forma general, mediante la introduccin
de nuevos equipos, comunicaciones, y
programas de aplicacin en los ltimos
aos.
4. Determinar si se cumple con los estndares
y procedimientos del rea informtica.
157
las
Cualificacin
del personal
de gestin de
calidad
Plan
de
revisin de la
gestin
de
Calidad
Deben desarrollarse,
mantenerse y estandarizarse
planes generales de gestin
de calidad, calendarios y
procedimientos, dentro del
rea informtica, y fijar
criterios para el trabajo del
personal de gestin de calidad
del rea. Debe evaluarse lo
apropiado de los planes de
revisin de gestin de calidad
en el rea informtica.
158
Revisin por
personal de
Gestin de
Calidad, del
Cumplimiento
de los
Estndares y
Procedimiento
s del rea
informtica
Revisin por
gestin de
calidad de los
controles de
sistemas
Revisin por
gestin de
calidad de
otros aspectos
de otros
aspectos de
las funciones
del rea
informtica.
Las responsabilidades
asignadas al personal de
gestin de calidad deben
incluir una revisin del
cumplimiento general de los
estndares y procedimientos
del rea. Debe revisarse la
documentacin relacionada
con la revisin por el personal
de gestin de calidad, del
cumplimiento general de los
estndares y procedimientos
del rea.
Las responsabilidades
asignadas al personal de
gestin de calidad deben
incluir una revisin de los
controles generales del
sistema. Debe revisarse la
documentacin relacionada
con el anlisis de los controles
generales del sistema por el
personal de gestin de
calidad.
Las
responsabilidades
asignadas al personal de
gestin de calidad deben
incluir una revisin de otros
aspectos de las funciones del
rea que merezcan la atencin
de
la
direccin.
Deben
revisarse
las
directivas
relativas
a
las
responsabilidades del personal
de gestin de calidad en la
159
Informes
de
las revisiones
de gestin de
calidad
Deben elaborarse y
presentarse a la direccin de
los usuarios y del rea
informtica, informes de las
revisiones de gestin de
calidad. Debe evaluarse la
calidad y utilidad de los
informes preparados por el
personal de gestin de calidad
del rea informtica.
Objetivo de Control de la
Auditora
La
Gerencia
de
la
organizacin debe establecer
un
presupuesto
operativo
anual del rea de informtica.
Debe
revisarse
si
el
presupuesto operativo anual
para el rea informtica es
adecuado.
Procedimiento
1. Determinar si el proceso para la preparacin
del presupuesto operativo del rea de
informtica es participativo, y que para su
preparacin se involucran las principales
unidades del rea, tales como desarrollo de
sistemas software, explotacin de sistemas,
mantenimiento, redes y transmisin de
datos, apoyo a usuarios, entre otros.
2. Determinar que el presupuesto operativo del
rea informtica ha sido revisado y
160
Plan de
Adquisicin de
Equipos
161
EXPLOTACIN
Objetivo de Control de la
Auditora
Debe haber un calendario de
todas las tareas de
procesamiento de datos por el
rea de informtica, para
asegurar el uso eficiente de
sus instalaciones y satisfacer
las especificaciones de sus
usuarios. Debe revisarse el
procedimiento de confeccin
de calendarios de carga de
trabajo seguido por el rea de
informtica, con el fin de
determinar si todas las tareas
de procesamiento de datos
estn siendo entregados de
forma oportuna y eficiente.
Procedimiento
1. Obtener una lista de todas las aplicaciones
de procesamiento de datos cuya explotacin
est programada regularmente junto con
sus fechas de vencimiento de entrada,
tiempos de preparacin de datos, tiempo
estimado de tratamiento, y fechas de
entrega de las mismas.
2. Determinar si los usuarios de aplicaciones
de procesamiento de datos participan en la
preparacin del calendario en lo que
respecta a la entrada de documentos fuente
y la salida de informes, verificar que los
resultados de esta participacin se reflejan
en un acuerdo escrito sobre nivel de
servicio.
3. Examinar el calendario de explotacin para
familiarizarse con la distribucin de la carga
de trabajo. Determinar cuando tienen lugar
altas demandas de proceso.
4. Determinar si la capacidad de equipos
disponibles es suficiente para satisfacer las
demandas altas de tratamiento y para seguir
brindando un nivel adecuado de servicio a
los usuarios.
5. Cerciorarse si el rea de informtica genera
informes para identificar el trabajo que fue
procesado despus de cuando estaba
programada hacerse. Analizar las razones
por las cuales dicho trabajo no est siendo
acabado en el plazo pactado.
6. Determinar si el rea de informtica ha
establecido prioridades de procesamiento
de datos para cada sistema software.
7. Determinar si se han asignado suficientes
recursos de equipo para realizar pruebas de
aceptacin, asegurando que las actividades
de prueba se completan oportunamente en
162
Programacin
del Personal
163
Mantenimient
o Preventivo
del Hardware
164
Gestin
de
Problemas
Debe revisarse
peridicamente el
funcionamiento del rea de
informtica en cuanto al logro
de sus compromisos de
suministrar un nivel
programado de servicio de
procesamiento de datos, para
asegurar que todos los
problemas surgidos durante la
explotacin se registran,
analizan y resuelven de
manera oportuna en el tiempo.
Deben reunirse y evaluarse
pruebas de las revisiones
peridicas del funcionamiento
del servicio programado del
procesamiento de datos. Debe
evaluarse lo adecuado de la
elaboracin y seguimiento de
los calendarios de los recursos
de cmputo empleados para el
procesamiento en lnea,
evaluando la eficacia del
procedimiento empleado para
registrar, evaluar y resolver
cualquier problema operativo o
de tratamiento que haya
surgido.
165
Gestin
Cambios
de
El impacto de cambios en el
hardware y software debe
reflejarse en el calendario de
explotacin y todos los
cambios deben ser aprobados
antes de ser implantados.
Debe evaluarse el impacto de
los cambios en hardware y
software sobre la
programacin de la
explotacin de aplicaciones
informticas.
166
Responsabilid
ades
de
Gestin de la
biblioteca de
Soportes
Magnticos
Las responsabilidades de
gestin de la biblioteca de
soportes magnticos debe ser
asignada a miembros
especficos del rea
informtica y el departamento
usuario deben establecer
procedimientos de gestin
interna para proteger los
contenidos de la biblioteca de
soportes. Debe revisarse la
asignacin de
responsabilidades de gestin
de la biblioteca de soportes y
debe evaluarse la adecuacin
de los procedimientos para
proteger los recursos.
Sistema
de
Gestin de la
Biblioteca de
Soportes
167
Identificacin
Externa
y
Control
de
Soportes
Magnticos
168
Procedimiento
s de
Explotacin
Objetivo de Control de la
Auditora
El rea de informtica debe
seguir un procedimiento
estndar para identificar todos
los programas de software de
sistema potenciales que
satisfacen sus
especificaciones operativas.
Debe revisarse el
procedimiento seguido para
identificar y seleccionar todos
los programas de software de
sistema potenciales que
satisfacen sus
especificaciones operativas.
Procedimiento
1. Determinar si el rea de informtica ha
formulado una arquitectura tcnica global y
cerciorarse que sta contempla los planes
de negocios a largo plazo de la organizacin
y las innovaciones en las tcnicas
informticas.
2. Obtener un inventario del software y la
documentacin del proveedor que cubre
todas las capacidades de tales productos,
identifica las posibles debilidades de control
asociadas con su uso y describe las
opciones de control ofrecidas por tales
productos.
169
Anlisis de
Costo
Beneficio del
Software de
Sistema
Instalacin de
Cambios en el
Software de
Sistema
Mantenimiento
del Software
de Sistema
170
Control
de
Cambios en el
Software
de
Sistema
Gestin
de
Problemas
con
el
Software
de
Sistema
Seguridad del
Software de
Sistema
El software de sistema
instalado por el rea de
informtica no debe poner en
peligro la integridad de los
datos y programas
almacenados en el
computador. Debe revisarse el
impacto del software de
sistema sobre la seguridad de
171
Objetivo de Control de la
Auditora
La responsabilidad de la
seguridad, tanto lgica como
fsica, de los activos de
informacin de la organizacin
debe estar asignada a un
administrador de seguridad de
la informacin, dependiente de
la gerencia de la organizacin.
Dicha persona no debe tener
responsabilidad alguna de
programacin, operacin de
equipos, o entrada de datos a
ser procesados por el rea de
informtica. Deben revisarse
los
procedimientos
para
asegurar la seguridad, tanto
lgica como fsica, de sus
activos de informacin.
Procedimiento
1. Revisar el organigrama de la organizacin
para determinar si se ha nombrado un
administrador
de
seguridad
de
la
informacin y si dicha persona depende de
la gerencia de la organizacin.
2. Revisar las polticas de seguridad de la
informacin de la organizacin para
determinar se define claramente las
responsabilidades, en los temas de
seguridad tanto de usuarios, direccin y
administradores.
3. Entrevistar al administrador de seguridad
de la informacin, y a otros empleados a
quienes
se
hayan
asignado
responsabilidades de seguridad de la
informacin,
para
determinar
su
comprensin de las tareas asignadas es
acorde con las polticas de seguridad de la
informacin de la organizacin.
172
5. Revisar
Acceso a las
Instalaciones
de
Computadore
s
173
Acompaamie
nto de Visitas
Administraci
n de Claves
de Acceso
1.
2.
3.
4.
5.
174
6.
Determinar
si
los
procedimientos
restringen a los usuarios a terminales,
horarios, y das de la semana especficos,
cuando el riesgo justifica controles
adicionales de acceso.
7.
8.
9.
Determinar
si
los
procedimientos
establecen la rpida cancelacin de
cdigos de identificacin y claves de
usuario cuando ha terminado el contrato
de la persona a quien se haya asignado.
10. Determinar
Informes de
Violaciones y
actividad de
Seguridad
Restricciones
de Acceso
Lgico
Los procedimientos de
seguridad de la informacin
deben asegurar que se revisan
peridicamente los informes
de violaciones y actividad de
seguridad para identificar y
resolver incidentes relativos a
actividad no autorizada. Deben
revisarse la adecuacin y
eficacia de los procedimientos
del rea de informtica para
revisar y resolver los informes
sobre violaciones de seguridad
y actividades asociadas.
Revisar los procedimientos
para revisar y resolver los
informes sobre violaciones de
seguridad y verificar que estn
cumplindose.
El rea de informtica debe
establecer reglas automticas
que regularan el acceso a sus
si
los
procedimientos
establecen la suspensin de cdigos de
identificacin de usuario o la desactivacin
de la terminal, computador o dispositivo de
entrada de datos despus de un cierto
nmero de violaciones de seguridad.
1. Determinar si se vienen registrando
cambios en los registros de violaciones de
seguridad y si dichos cambios son
revisados por una persona independiente y
verificar
que
existen
documentos
autorizando tales cambios en archivos.
2. Determinar si los registros de violaciones
de seguridad del rea de informtica estn
protegidos contra destruccin accidental o
intencional.
175
Seguridad del
Acceso a
Datos en
Lnea
Identificacin
Limitada del
centro de
Cmputo
Proteccin
Contra el
Fuego
En un entorno en lnea de
procesamiento de datos, los
procedimientos deben brindar
controles de seguridad de los
accesos basados en la
necesidad probada del usuario
de ver, aadir, cambiar o
borrar datos. Deben revisarse
los procedimientos para
autorizar acceso a un entorno
de tratamiento en lnea.
176
Formacin y
Concientizaci
n en
Procedimiento
s de
Seguridad
PLANEACIN DE CONTINGENCIAS
177
Objetivo de Control de la
Auditora
El plan de recuperacin de
desastres del rea de
informtica debe incluir
procedimientos de emergencia
para asegurar la seguridad de
los miembros del personal y
stos deben recibir formacin
peridica sobre el uso de
dichos procedimientos. Deben
revisarse los procedimientos
incluidos en el plan de
recuperacin de desastres
para asegurar la seguridad de
todos los miembros del
personal y la formacin que
reciben en el uso de dichos
procedimientos.
Procedimiento
1.
2.
3.
Seguridad del
Personal
y
Formacin en
Procedimiento
s
de
Emergencia
Aplicaciones
Crticas de
Tratamiento
de Datos
178
Recursos de
Computador
Crticos
naturaleza y extensin de un
posible desastre as como el
tiempo razonable esperado
para la restauracin de la
explotacin normal, las
prdidas potenciales para la
organizacin si no se restaura
los servicios a tiempo y el
punto en que las operaciones
de tratamiento normal cclico
pueden ser interrumpidas.
El plan de recuperacin de
desastres debe identificar
programas de aplicacin,
sistemas operativos y archivos
de datos crticos necesarios
para la recuperacin una vez
sucedido un desastre. Debe
revisarse la lista de recursos
de computador crticos
identificados en el plan de
recuperacin de desastres.
Restauracin
de Servicios
de
Telecomunica
ciones
El plan de recuperacin de
desastres debe incluir
procedimientos para
restablecer los servicios de
telecomunicaciones usados
por la organizacin. Deben
revisarse los procedimientos
para restablecer, tras una
interrupcin, los servicios de
telecomunicaciones usados
por la organizacin.
179
Respaldo del
Centro de
Cmputo y de
los Equipos
El plan de recuperacin de
desastres del rea de
informtica debe establecer
disposiciones para el centro de
cmputo de respaldo y los
equipos de respaldo
necesarios para restaurar la
explotacin del rea una vez
sucedido un desastre. Deben
revisarse las disposiciones del
rea de informtica en cuanto
a un centro de cmputo de
respaldo y a computadores de
respaldo a ser utilizados para
restaurar su explotacin una
vez sucedido un desastre.
Personal de
Programacin
para
Operaciones
de Respaldo
El plan de recuperacin de
desastres debe disponer que
el personal de programacin
lleve a cabo la explotacin de
respaldo del rea informtica.
Deben revisarse las polticas y
procedimientos del plan de
recuperacin de desastres que
se refieren a la aportacin de
personal de programacin
para que lleve la explotacin
de respaldo del rea.
180
Procedimiento
s de
Recuperacin
de Archivos
Insumos para
Recuperacin
de Desastres
Pruebas
de
Plan
de
Recuperacin
de Desastres
El plan de recuperacin de
desastres debe establecer
ms de una fuente de insumos
para ser usados en la
restauracin de la explotacin
una vez sucedido un desastre.
Deben revisarse las
disposiciones del plan de
recuperacin de desastres en
cuanto a la existencia de
insumos para ser usados en la
restauracin de la explotacin
del rea una vez sucedido el
desastre.
La adecuacin y eficacia del
plan de recuperacin de
desastres debe probarse
peridicamente. Debe
evaluarse la prueba peridica
de la adecuacin y eficacia del
181
Reconstrucci
n del Centro
de Cmputo
del rea de
Informtica
Procedimiento
s de Respaldo
Manual de los
Departamento
s Usuarios
El plan de recuperacin de
desastres del rea de
informtica debe contener
procedimientos para la
reconstruccin del centro de
cmputo del rea, una vez
sucedido un desastre. Deben
revisarse los procedimientos
del plan de recuperacin de
desastres para cualquier
reconstruccin del centro de
cmputo del rea, una vez
sucedido un desastre.
Los departamentos usuarios
deben establecer
procedimientos alternativos
manuales de procesamiento
de datos que puedan ser
empleados hasta que el rea
de informtica sea capaz de
restaurar su explotacin
despus sucedido un
desastre. Deben revisarse los
procedimientos manuales de
tratamiento de datos
desarrollados por
departamentos usuarios para
ser empleados hasta que se
restaure su explotacin
despus de sucedido un
desastre.
182
GLOSARIO DE TRMINOS
Activos informticos
Se entiende por activo informtico todos aquellos activos que de una u otra forma
estn relacionados (almacenamiento y manipulacin) a la informacin en la
empresa.
Amenaza informtica
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin
que puede producir un dao (material o inmaterial) sobre los elementos de un
sistema.
Anlisis de riesgos
Metodologa que sirve para identificar y evaluar probables daos y prdidas a
consecuencia del impacto de una amenaza sobre un sistema
Arquitectura de Informacin
La Arquitectura de Informacin se encarga de efectuar la planificacin estratgica
previa a la creacin de un website.
Ataque informtico
Intento organizado e intencionado propiciado por una o ms personas para causar
dao o problemas a un sistema informtico o red.
Automatizacin
Es el uso de sistemas o elementos computarizados y electromecnicos para
controlar maquinarias y/o procesos industriales sustituyendo a operadores
humanos.
Backup
Copia de Respaldo o Seguridad. Accin de copiar archivos o datos de forma que
estn disponibles en caso de que un fallo produzca la perdida de los originales.
Esta sencilla accin evita numerosos, y a veces irremediables, problemas si se
realiza de forma habitual y peridica.
Base de datos
Conjunto de datos que pertenecen al mismo contexto almacenados
sistemticamente. En una base de datos, la informacin se organiza en campos y
registros. Los datos pueden aparecer en forma de texto, nmeros, grficos, sonido
o vdeo.
Bug
Es un error o un defecto en el software o hardware que hace que un programa
funcione incorrectamente. A menudo los bugs son causados por conflictos del
software cuando las aplicaciones intentan funcionar en tndem
183
Ciberterrorismo
Es la accin violenta que infunde terror realizada por una o ms personas en
Internet o a travs del uso indebido de tecnologas de comunicaciones.
Ciclo de Vida
El ciclo de vida de software es la descripcin de las distintas formas de desarrollo
de un proyecto informtico.
COSO
Es un estndar de control interno para la gestin del riesgo, que hace
recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de
control.
Cracker
Persona que trata de introducirse a un sistema sin autorizacin y con la intencin
de realizar algn tipo de dao u obtener un beneficio.
Delito informtico
El delito informtico implica cualquier actividad ilegal que encuadra en figuras
tradicionales ya conocidas como robo, hurto, fraude, falsificacin, perjucio, estafa y
sabotaje, pero siempre que involucre la informtica de por medio para cometer la
ilegalidad.
DNS
Servidor de Nombres de Dominio. Servidor automatizado utilizado en el internet
cuya tares es convertir nombres fciles de entender (como www.panamacom.com)
a direcciones numricas de IP.
Dominio
Sistema de denominacin de hosts en Internet el cual est formado por un
conjunto de caracteres el cual identifica un sitio de la red accesible por un usuario.
Estndar:
Es la definicin clara de un modelo, criterio, regla de medida o de los requisitos
mnimos aceptables para la operacin de procesos especficos, con el fin asegurar
la calidad en la prestacin de los servicios
Freeware
Programas de Dominio Pblico. Aplicaciones que pueden obtenerse directamente
de Internet con la caracterstica de que no es necesario pagar por su utilizacin.
GUI
Interfaz Grfica de Usuario, componente de una aplicacin informtica que el
usuario visualiza grficamente, y a travs de la cual opera con ella. Est formada
por ventanas, botones, mens e iconos, entre otros elementos.
184
Gusano
Programa informtico que se autoduplica y autopropaga. En contraste con los
virus, los gusanos suelen estar especialmente escritos para redes. Los gusanos
de redes fueron definidos por primera vez por Shoch & Hupp, de Xerox, en la
revista ACM Communications (Marzo 1982). El primer gusano famoso de Internet
apareci en Noviembre de 1988 y se propag por s solo a ms de 6.000 sistemas
a lo largo de Internet.
Hacker
Persona que tiene un conocimiento profundo acerca del funcionamiento de redes
de forma que puede advertir los errores y fallas de seguridad del mismo. Al igual
que un cracker busca acceder por diversas vas a los sistemas informticos pero
con fines de protagonismo.
Hardware
Maquinaria. Componentes fsicos de una computadora o de una red (a diferencia
de los programas o elementos lgicos que los hacen funcionar).
Integridad
La integridad de datos en general, hace referencia a que todas las caractersticas
de los datos (reglas, definiciones, fechas, etc) deben ser correctos para que los
datos estn completos.
Intercepcin
Cuando una persona, programa o proceso logra el acceso a una parte del sistema
a la que no est autorizada. Por ejemplo la escucha de una lnea de datos, o las
copias de programas o archivos de datos no autorizados. Estas son ms difciles
de detectar ya que en la mayora de los casos no alteran la informacin o el
sistema.
Interface
Se denomina as a la zona de contacto o conexin entre dos elementos de
hardware, lo mismo se ocupa para dos aplicaciones o entre un usuario con una
aplicacin.
Interrupcin
Se trata de la interrupcin mediante el uso de algn mtodo el funcionamiento del
sistema. Por ejemplo: la saturacin de la memoria o el mximo de procesos en el
sistema operativo o la destruccin de algn dispositivo hardware de manera
malintencionada o accidental.
ISP
Internet Service Provider. Proveedor de Servicio Internet. Empresa que provee la
conexin de computadoras a Internet, ya sea por lneas dedicadas broadband o
dial-up.
185
ISO/IEC 27001
Es un estndar internacional para los sistemas de gestin de la seguridad
informtica, que est estrechamente relacionado al estndar de controles
recomendados de seguridad informtica ISO/IEC 17799.
Magerit
Se trata de la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin (Magerit) elaborada por el Consejo Superior de Administracin
Electrnica en 1997.
Mapa de riesgos
Consiste en una representacin grfica a travs de smbolos de uso general o
adoptados, indicando el nivel de exposicin ya sea bajo, mediano o alto, de
acuerdo a la informacin recopilada en archivos y los resultados de las mediciones
de los factores de riesgos presentes, con el cual se facilita el control y seguimiento
de los mismos, mediante la implantacin de programas de prevencin.
Modificacin
Este tipo de amenaza se trata no slo de acceder a una parte del sistema a la que
no se tiene autorizacin, sino tambin de cambiar su contenido o modo de
funcionamiento. Por ejemplo: el cambiar el contenido de una base de datos, o
cambiar lneas de cdigo en un programa.
Monitoreo
Es una herramienta de gestin y de supervisin para controlar el avance de los
proyectos, programas o planes en ejecucin, el cual proporciona informacin
sistemtica, uniforme y fiable, permitiendo comparar los resultados con lo que se
planific.
Networking
Trmino utilizado para referirse a las redes de telecomunicaciones en general.
Password
Cdigo utilizado para accesar un sistema restringido. Pueden contener caracteres
alfanumricos e incluso algunos otros smbolos. Se destaca que la contrasea no
es visible en la pantalla al momento de ser tecleada con el propsito de que slo
pueda ser conocida por el usuario.
Red
Sistema de comunicacin de datos que conecta entre s sistemas informticos
situados en lugares ms o menos prximos. Puede estar compuesta por diferentes
combinaciones de diversos tipos de redes. En ingls se le conoce como Network.
El internet est compuesto de miles de redes, por lo tanto al internet tambin se le
conoce como "la red".
186
Red de Acceso
Conjunto de elementos que permiten conectar a cada abonado con la central local
de la que es dependiente.
Riesgo informtico
La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente
en un activo o grupos de activos, generndose as prdidas o daos
Salvaguardas
Medidas que se toman para disminuir un riesgo
Usuario
Persona que tiene una cuenta en una determinada computadora por medio de la
cual puede acceder a los recursos y servicios que ofrece una red. Puede ser tanto
usuario de correo electrnico como de acceso al servidor en modo terminal. Un
usuario que reside en una determinada computadora tiene una direccin nica de
correo electrnico.
Virtual
Trmino de frecuente utilizacin en el mundo de las tecnologas de la informacin
y de las comunicaciones el cual designa dispositivos o funciones simulados.
Virus
Programa que se duplica a s mismo en un sistema informtico incorporndose a
otros programas que son utilizados por varios sistemas.
Vulnerabilidad
Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la
confidencialidad, integridad, disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.
187
BIBLIOGRAFA
COOK J.W., WINKLE G.M. Auditoria. Editorial Interamericana 1987, 615 p.
DUEAS GMEZ, Luis ngel, Controles y auditoria de sistemas de informacin.
Mxico. Alfaomega. 2008, 692 p.
ECHENIQUE, Jos Antonio. Auditora en Informtica. Mxico DC. Editorial Mc
Graw Hll. 2001, 158 p.
FINE, Leonard H. Seguridad en centros de cmputo. Editorial Trillas. 1990, 201 p.
Gua Internacional de Auditora No. 16 Auditoria en un ambiente de procesamiento
electrn co de datos (PED) prrafo No. 23.
HERNANDEZ, HERNANDEZ, Enrique. Auditora en informtica. Editorial CECSA.
2000, 322 p.
I Simposio Internacional y VI Colombiano de controles, seguridad y auditoria de
sistemas. ACC, S.
PINILLA FORERO, Jos Dagoberto.
operacional. Editorial Ecoe 1992, 252 p.
Auditoria
Informtica.
Un
enfoque
188