ControlesdelasTecnologasdeInformacin

Indice
1.Introduccin
2.Lossietecontrolesprimariosdetecnologiainformatica
3.Controlesdeimplementacion
4.Controlessobreelmantenimiento
5.Controlessobrelaoperaciondelcomputador
6.Controlessobrelaseguridaddeprogramas
7.Controlessobrelaseguridaddearchivosdedatos
8.Controlessobreelsoftvvaredesistemas
9.Controlessobrelaconversiondearchivos

1.Introduccin
LoscontrolesdeTIsonlosprocedimientosdentrodeldepartamentodeSistemasdeInformacin,que
aseguran que los programas operan apropiadamente y que se impidan cambios no autorizados.
Incluyencontrolessobreeldiseo,Implementacin,Seguridad,yusodeProgramasyArchivosdel
computador. Estos controles consisten en una combinacin de procedimientos manuales y
programados.
LoscontrolesdeTIsonsimilaresaloscontrolesdeAplicacin,aunquedeberanotarselassiguientes
diferencias:
LoscontrolesdeTIsoncontrolessobreelmedioambientedePEDensutotalidad.
LoscontrolesdeAplicacinsoncontrolessobreaplicacionesespecficas;loscontrolesdeTI
cubrentodaslasaplicaciones.
LoscontrolesdeAplicacinestncompuestosdeprocedimientosmanualesyprocedimientos
programados.
LoscontrolesdeTiregulanelmedioambientedePEDparaasegurarquelosprocedimientos
programadoscontinenfuncionandoapropiadamente.
SiexistendebilidadesenloscontrolesdeTI,nohayseguridaddequelosprocedimientos
programadoscontinentrabajandoapropiadamente,ancuandonohayansidocambiados.

Un ambiente de PED controlado en forma inapropiada, puede ocasionar la interrupcin de las

operacionesdelaorganizacinporlavade:
Mltiplesreejecucionesdelasaplicacionesparacorregirerrores,causandoretrasos.
AfectarlainformacinusadaporlaAdministracinparaoperarelnegocio.
Permitir la ocurrencia de fraudes, tal como la alteracin no autorizada de los registros
electrnicos.
Permitirladivulgacindesecretoscomerciales.

2.Lossietecontrolesprimariosdetecnologiainformatica

LoscontrolesdeTIpuedenserdivididosenlassiguientessietereas:

Controlesdelmplementacin, diseadosparaasegurarquelosprocedimientosprogramados
sonpropiadosycorrectamenteimplantadosenlosprogramascomputacionales.
Controles sobre el mantenimiento, diseados para asegurar que los cambios a los
procedimientos programados son diseados, probados, aprobados e implementados
apropiadamente.
Controlessobreoperacindelcomputador, diseadosparaasegurarquelosprocedimientos
programados son aplicados consistentemente durante todo el procesamiento de la
informacinyqueseutilizanlasversionescorrectasdelosarchivos.
Controles sobre la seguridad de programas, diseados para asegurar que cambios no
autorizadosnopuedenserhechosaprocedimientosprogramados.
Controlessobrelaseguridaddearchivos,diseadosparaasegurarquecambiosnoautorizados
nopuedenserefectuadosaarchivosdedatos.
Controlessobreelsoftwaredesistemas,diseadosparaasegurarqueelsoftwaredesistemases
implantadocorrectamenteyprotegidocontracambiosnoautorizados.
Controles sobre la conversin de archivos, diseados para asegurar que los datos, son
convertidosenformatotalyexactadesdeunsistemaantiguoaunonuevo.

3.CONTROLESDEIMPLEMENTACION

Los controles de implementacin ayudan a evitar los errores en aplicaciones nuevas.Incluyen

controlessobreeldiseodenuevasaplicacionescomputacionales,lapruebadelosprogramasde
aplicacin, y los procedimientos para traspasar los programas aprobados a produccin. Estos
controles se aplican tanto a sistemas desarrollados internamente como a aquellos adquiridos a
proveedoresexternos.
Eltrabajorealizadoporunaorganizacin,entreelmomentoenquecompletaelestudiodefactibilidad
paraunsistemadeaplicacinpropuestoyelmomentoenqueesesistemaseimplantaexitosamente,
es muy significativo. La traduccin de los requerimientos de los usuarios partiendo de ideas
generales,paraarribaraunaseriedeprogramasdeproduccindetalladoseinstruccionesespecficas,
tantoparaelcomputadorcomoparalosdepartamentosusuarios,puedesignificarunacantidadde
tiempoconsiderable.
Losprocedimientosrelacionadosconeldesarrollodenuevossistemassonlossiguientes:

Administracindeldesarrollodelsistema
Diseodesistemaypreparacindeprogramas
Pruebadeprogramasysistemas
Catalogacin.

3.1Administracindeldesarrollodelsistema

Generalmente,losrequerimientosparanuevasaplicacionessonsubmitidoselDepartamentodePED
por los dueos de las aplicaciones. Los informes de estudio de factibilidad, diseo general del
sistema,plandepruebasyresultados,sonrevisadosyaprobadosusualmenteporlosusuariosyporlas
funcionesdePEDquesevernafectadasporlanuevaaplicacin(porejemplo:losadministradoresde
laBasedeDatosydelaReddeComunicaciones),porelgrupodesoportetcnico(enrelacinala
compatibilidadconelSoftwaredeSistemasexistente), y .lajefatura,deprogramacin(paradarla
conformidaddelosprogramasrespectodelasespecificaciones,ydelacompatibilidadconlasotras
aplicaciones).Amenudo,lasfuncionesdecontroldecalidady/oauditorainternaestninvolucradas
enesteproceso.
Tambinesnecesariocontrolarlaplanificacindelaimplementacindelosnuevossistemasatravs
delusodecartasdeadministracindeproyectosuotromtodoqueregistreelestadodeavancedel
proyecto. Normalmente, se efecta el control del avance del proyecto en relacin a grupos de
programasomdulos.
3.2DiseodelSistemayPreparacindeProgramas
Tpicamente,losrequerimientosdenuevasaplicacionessoniniciadosporlosusuarios,basadosen
necesidades,cambiosenlalegislacinoporeldeseodeincrementarlaeficienciadelprocesamiento.
LosusuariosypersonaldePEDefectanelestudiodefactibilidad,incluyendoanlisisdecosto
beneficio, anlisis tcnico para determinar los efectos sobre el hardware y software existente y
anlisisoperacionalparamedirelimpactodelaaplicacinsobrelasoperacionesdelaorganizacin.
Sedocumentaeldiseogeneral,incluyendolosprocedimientosmanualesyprogramados.Sedefinen
lospuntosdecontrolylasinterfasesconotrossistemasyconelsoftwaredesistemas.Losprototipos
pueden ayudar a los usuarios a refinar sus especificaciones para la nueva aplicacin. La
administracin de cadaunidad nvolucrada enelflujo dedatos revisael plan paraasegurar que
entiendenyestndeacuerdoconlantesdequecontineeldesarrollo.
Se realiza la aprobacin del estudio de factibilidad, el diseo general del sistema y las
especificacionesdetalladas.Tpicamente,lasespecificacionesdetalladasparalasnuevasaplicaciones
incluyennarrativasy/oflujogramasdeactividades,diagramasdeflujodelarecopilacindedatos,
procesos de ingreso y emisin de informes para conciliacin y fechas esperadas de trmino e
implementacin.
3.3PruebadeProgramasySistemas
Normalmente, las polticas de PED requieren el desarrollo de planes de prueba para todas las
aplicaciones nuevas. Esaspolticas especificanelniveldedetalledeladocumentacindelplan,
partesaserinvolucradosenelprocesodedesarrollodelplan,ylasaprobacionesquedebenobtenerse.
La documentacin delplan incluye la descripcin delas pruebas,los datos a serutilizados o la
metodologaparagenerarestosdatos, y losresultadosesperadosdelas pruebas. Generalmente,el
plandepruebasesunesfuerzoconjuntoentrelosusuariosylaadministracindePED.
Lapruebadeprogramasysistemassehacenormalmenteentresetapasdiferentes:

(1) pruebadeprograma,
(2) pruebadesistema,y
(3) pruebaparalela.
1.

Lapruebadeprograma consisteenverificarlalgicadeprogramasindividuales. Losmtodos

principales utilizados son la prueba de escritorio y datos de prueba. La prueba de escritorio
consisteenanalizarlalgicadeunprogramayconfirmarqueelcdigodelprogramarenelas
especificacionesdedichoprograma. Cuandofueraposible,lapruebadeescritoriodeberaser
realizadaporunprogramadordiferenteelquediseoyescribielprograma.Esprobablequeel
programador original piense que su lgica es correcta y trate de probar que lo es, entes que
realmenteverificarqueassea.Lapruebadeescritorioserealizanormalmenteenconjuncincon
lautilizacindedatosdeprueba.Losdatosdepruebasondatosficticios,preparadosdeacuerdo
conlasespecificacionesdelsistemaparaserprocesadosporelmismoydebenserdiseadospara
cubrir todas las alternativos de proceso o condiciones de error. Se deben establecer
procedimientosformalesparaidentificarycorregircualquiererrordescubiertodurantelaprueba.
Todoslosresultadosobtenidosconlosdatosdepruebadebernserdocumentadosyretenidos
comoevidenciadequedichaspruebasfueronrealizadas.Losmismosdatospuedentambinser
utilizadosparaprobarcambiosfuturosalsistema.

2.

Laprueba de sistema consisteenverificarquelalgicadevariosprogramasindividualeses

consistente y que pueden encadenarse para formar un sistema completo que rena los
requerimientosdelasespecificacionesdetalladasdelsistema.latcnicaprincipalutilizadaesla
dedatosdeprueba.Losresultadosdelapruebadebensercuidadosamenterevisados.Losdatos
depruebadebenserreprocesadosyrediseados,sifueranecesario,hastaquetodosloserrores
delgicaseandetectados.Enadicinasituacionescomunesqueelsistemaestdiseadopara
manejar,laspruebasdeberantambintratarelefectodecircunstanciasinusualesenelsistema.
Cuandofueraposible,lapruebadelsistemadeberaserrealizada overificada porpersonal
diferentedeaqulquefueresponsabledehacerlaprogramacindetallada.

3.

Lapruebaparalela significaoperarelnuevosistemaalmismotiempo,oenparalelocon,el
sistemaexistente.Losresultadosobtenidosdeesteprocesodual,puedenserverificadospara
identificare investigarcualquierdiferencia. Corridasenparaleloopilotoesunamanerade
probar la operacin de un sistema completo, incluyendo todos los procedimientos de los
usuarios.Adiferenciadelapruebadesistema,elpropsitodelapruebaenparaleloopilotoes
probarlahabilidaddelsistemaparamanejardatosreales,nodeprueba,yprocesargrandes
volmenesdeinformacin,envezdetransaccionesindividuales.Elnuevosistemanodebera
seraceptadoensutotalidadporeldepartamentousuariocorrespondiente,nitampocodebera
serabandonadohastaque,enlamedidaqueseaprctico,elciclocompletodeproceso,haya
sidoexitosamenteejecutadoenelnuevosistema. Enadicinaello,losprocedimientosde
recuperacinlahabilidaddelsistemapararecuperarsedeunaterminacinanormaldeberan
serprobadosydocumentados.Losresultadosdeberanserrevisados,siestofueraposible,por
personaldiferentealresponsabledelaprogramacindetallada,.

3.4Catalogacin

Lacatalogacineselconjuntodeprocedimientosnecesariosparatransferiraproduccinaquellos
programas ya probados. Los procedimientos ms importantes son aquellos que aseguran que la
pruebayladocumentacinhasidosatisfactoriamentecompletadosantesquelosprogramasentrenen
produccin,yquelosprocedimientosmanualesparaelsistemanuevo,oelsistemaqueestsiendo
cambiado,estnfuncionando,tantoeneldepartamentousuariocomoeneldepartamentodePED.
Esto incluye la preparacin de instrucciones escritas de operacin y de usuarios, revisadas y
aprobadas por personal responsable de los departamentos involucrados. Debera haber un
procedimiento para transferir a produccin programas nuevos o cambiados, segn sea el caso,
incluyendoinstruccionesalpersonalsobrelosnuevosprocedimientos.Cuandoestosprogramasestn
enlnea,latransferenciadeprogramasaprobadosqueresidenenbibliotecasdepruebaabibliotecas
deproduccinuoperacionales,esunprocedimientodelsistemaoperativo.
Losprocedimientosdecatalogacindebernincluirpuntosdecontrolparaasegurarquetodoslos
cambiosrequeridos,ysolamenteellos,hansidohechosalosprogramas.Naturalmente,laversin
ejecutabledeunprogramaeslaprobadayutilizadaparaproduccin.Laversinfuentetambindebe
serguardada,puestoquecualquiercambioautorizadosubsecuentesehacesobreestaversin.Con
todasestasversionesdisponibles,esimportanteverificarqueelprogramafuenteretenidocoincide
conlaversinejecutableresidenteenlabibliotecadeproduccin. Existenpaquetesdemanejode
bibliotecasquepuedenayudaracontrolarlasversionesyloscambiosrealizados.
Otrabuenaprcticaesrecompilarprogramasantesdelapruebafinaldeaceptacin.Estoesesencial
sisedeseaconfiarenlacomparacindeversionesfuentedescriptaanteriormente;existenprogramas
disponiblesparaverificarqueunprogramarecompiladoesidnticoalaversinejecutabledelmismo
programa.

4.CONTROLESSOBREELMANTENIMIENTO
Loscontrolessobreelmantenimiento,estndiseadosparaasegurarquelasmodificacionesalos
procedimientosprogramadosestndiseadaseimplementadasenformaefectiva.Cubrenlasmismas
reasqueloscontrolesdeimplementacin,peroserelacionanconloscambiosdeprogramasmsque
connuevasaplicaciones.Estoscontrolesdeberanasegurarqueloscambiossondiseados,probados,
aprobados, incorporados yactualizados apropiadamente, yquelosrequerimientos decambio son
manejadosapropiadamente.Losprocedimientosrelacionadosconlamantencindesistemasson:

Administracindeloscambiosasistemas
Pruebadeprogramas
Catalogacin.

4.1Administracindeloscambiosasistemas
Losusuarios y laadministracindePEDsiguenprocedimientosespecficospararequerircambios.
Porejemplo,unindividuoencadadepartamentopuedeprepararrequerimientosoreunirseconlos
propietariosdelaaplicacinyconpersonaldePEDparadiscutirlanecesidaddeloscambiosylos
mtodosmedianteloscualesdeberanserefectuados.Uncontroldecambiosmanualoautomatizado,

aseguraquetodoslosrequerimientossonatendidosyquesellevaunregistrodelestadodeavancede
ellos.
Los cambios a los programas deberan ser documentados tan acabadamente como los sistemas
nuevos.Ladocumentacindelsistema,delosprogramas,deoperacinydelosusuariosdeberaser
actualizadaparareflejartodosloscambios.Unadocumentacininadecuadapuederesultarenerrores
desistema,tiempoexcesivodemantencinyunadependenciadesmedidaenpersonaltcnico.Para
asegurarqueladocumentacinhasidoactualizadasatisfactoriamente,estaesrevisadayaprobadapor
la funcin de control de calidad o por los usuarios responsables de la aplicacin y por la
administracindePED.
4.2Pruebadeprogramas
Unaorganizacinbiencontrolada,tienepolticasquerequiereneldesarrollodeunplandepruebas
paracadaprogramasometidoacambios,yqueespecificaelniveldedetalle,laaprobacinnecesaria
delplan,yquienesdeberanefectuardichaspruebas.Ladocumentacindelplandepruebasdebera
incluirlaspruebasaserejecutadas,losresultadosesperados,ycmodesarrollarlosdatosdeprueba.
Normalmente,elplandepruebasesrevisadoyaprobadoporlosusuariosyporlaadministracinde
PED.
Dependiendodelacomplejidaddeloscambiosysuimpactosobreelsistemadeaplicacin,elusuario
enconjuntoconlaadministracindePEDdeberandeterminarlatcnicadepruebaapropiada:(1)
prueba de programa; (2) prueba de sistema: y/o (3) prueba paralela. la mayora de los cambios
requierendelapruebadeprogramasylapruebadesistemas.
4.3Catalogacin
Generalmente, la transferencia de programas probados es la misma para la implementacin de
sistemasnuevoscomoparalassubsecuentesmantenciones.
5.CONTROLESSOBRELAOPERACIONDELCOMPUTADOR
Los controles sobrelaoperacin delcomputador estndiseados paraasegurarquelossistemas
continanfuncionandoconsistentemente,deacuerdoconloplaneado. Incluyencontrolessobreel
usodelosdatosapropiados,programasyotrosrecursos,ylaejecucinapropiadadeestafuncinpor
partedelosoperadores,particularmentecuandoocurreunproblema.
Usualmente,eldepartamentodeoperacionesdelcomputadorcontrolaelfuncionamientodelhardware
ysoftwareeneldaada.Enmuchasorganizaciones,estoesasistidoporundepartamentodecontrol
de la produccin. Operaciones del computador es responsable por la ejecucin fsica de las
aplicaciones (montarcintas, imprimir losinformes ytomardecisiones acerca delhardware, tales
comodiscontinuarelusodeundispositivocuandopresentaunafalla).Controlde18produccines
responsableporlapreparacindetrabajosylaplanificacindelacarga.
Loscontrolessobrelaoperacindelcomputadorestndescritosenlassiguientessecciones:

Planificacindelacarga
PreparacinyejecucindeTrabajos
Usocorrectodelosarchivosdedatos
Monitoreodeactividades
ProcedimientosdeRespaldoyRecuperacin.

5.1Planificacin
Laplanificacinvinculalostrabajosaserejecutadosconlosarchivosdedatosaserutilizados.En
muchasinstalaciones,seutilizasoftwaredeplanificacinparasubmitirlosprocesossobreunabase
predeterminada(porejemplo:todoslosdasalastresdelatarde,olosdas15yltimodecadames).
Otrasinstalacionesusanunesquemadeplanificacinmanual.Encualquieradeestoscasos,
laplanificacindelosprocesosesaprobadaporlosusuariosyporlajefaturadeoperaciones,cuando
seimplementaunsistema.
Normalmente,controldelaproduccinolajefaturadeoperacionesrequieredeaprobacionesescritas
delosusuariosparaejecutartrabajosenunasecuenciadistintaalaplanificada.Losusuariosdeben
entregarrequerimientosescritosparalaplanificacindetrabajosquenoestnconsideradosenla
planificacinnormal,talescomoactualizacionesperidicasaciertosarchivos,oprocedimientosde
findeao.
LaadministracindePEDutilizabitcoras(manualesoautomticas)paramonitorearlaadherencia
delosoperadoresalaplanificacinaprobada. Esasbitcorasinformanlostrabajosejecutados,los
tiemposdeinicioyfindeltrabajoycualquiercondicinanormalocurridadurantelaejecucindel
trabajo.Cuandoocurreunacondicinanormal,eloperadorpreparaunformulariodedescripcinde
problemasparala.posteriorinvestigacinylaautorizacindelareejecucin.
Silasaplicacionesenoperacinsonenlnea,laplanificacinsloesrelevanteparaaquellosproceso
detipobatch,talescomolosprocesosdefindeda,derespaldoydeiniciodeactividadesdelda.
Lasconsideracionesdecontrolseasocianaquesilostrabajosseejecutenenelpunto,tiempoy
secuenciaapropiada.
5.2PreparacindeTrabajos
Preparacindetrabajoseselnombrenormalmentedadoalapreparacindeunaaplicacinparasu
proceso.Sedebendefinirycargarlosprogramasyarchivosdedatosdelsistema,sedebeespecificar
la secuencia de eventos, y los dispositivos deben ser asignados. la preparacin de trabajos es
importanteparaloscontrolessobreoperacindelcomputador,debidoaqueayudaaasegurarqueel
lenguajedecontroldetrabajosysusparmetrosestnapropiadamentepreparadosyquelosarchivos
correctosseanutilizados.
Lamaneramscomndeasegurarqueellenguajedecontroldetrabajosylosparmetrosqueestn
siendo utilizados son los apropiados, es mantener instrucciones escritas previamente aprobadas.
Existe tambin la necesidad de verificar que los comandos y los parmetros utilizados se
corresponden con dichas instrucciones. Esto debera ser revisado y aprobado por personal
responsable.Lasinstruccionesdepreparacindetrabajosdeberancubrirtodaslasaplicacionesyel

sistemaoperativo. Ellosdeberanincluir,dondefueraapropiado,elflujodelproceso,informacin
relacionada conlapreparacin deequipos perifricos yarchivos,lenguaje decontroldetrabajos
(JCL)yparmetrosdeejecucin.
En muchos casos, los controles de actualizacin y mantenimiento, descritos como controles de
aplicacin, aseguran que los archivos correctos estn siendo utilizados. Sin embargo, controles
especficossobrelautilizacindelosarchivoscorrectosansonnecesarios.Estoesparticularmente
verdadero,paraaquellosarchivosquecontienentablasquesonutilizadasduranteunproceso(por
ejemplo,lalistadenmeroscuandoseutilizachequeosdesecuencia).
Puedehabercontrolesmanualessobrelosarchivosdedatos,desdeelmomentoenquesonretirados
delabibliotecafsicahastalapreparacindeltrabajo.Elsistemaoperativopuedetambinasegurar
quelosarchivoscorrectosestnsiendoutilizados.Cuandoelsistemaoperativo,estutilizadocomo
una tcnica de control, cada archivo asignado a un dispositivo incluye un registro, cabecera
conteniendo informacin tal como el nombre del archivo yel nmero de la versin del mismo.
Cuandoelarchivoespreparadoparaelproceso,losdetallesdedichoregistrosonverificados.
Cualquierintervencinporpartedeloperadorsobreestoscontrolesdeberaserrevisadayaprobada.
5.3Usocorrectodelosarchivosdedatos
En muchos casos,los controles sobrela actualizacin ysobreel mantenimiento, descritos como
controlesdeaplicacin,aseguranqueseutilizalosarchivosdedatoscorrectos.Sinembargo,anson
necesarioscontrolesespecficossobreelusodedatoscorrectos. Estoesparticularmenteciertoen
archivos que contienen tablas que son requeridas en el procesamiento (por ejemplo: la lista de
nmeroscuandoseutilizachequeodelasecuencianumrica).
Tpicamente,loscontrolessobrelosarchivosdedatosrequierenquestostenganunlabel.interno
nico,queesledoporelsoftwaredesistemasychequeadoporelcomputadorcontralainformacin
contenidaenelJCLoenunsistemadecontroldecintas.Loscorrespondienteslabelexternosson
puestosalosdispositivosdealmacenamientoremovibles,paraqueseanledosporloscincotecariosy
operadoresenelmomentodeasignardichosarchivosalprocesamiento.Cuandounarchivoesdetipo
multivolumen,elsoftwaredesistemaschequesellabelinternodecadaunodelosvolmenes,para
asegurarlacorrectasecuenciadeellos.
Cuandounarchivorequeridoporuntrabajoesterrneo,normalmenteelsistemaoperativo oel
operadordeberncancelareltrabajo. Controldelaproduccindeterminalacausadelproblemay
tomalasaccionescorrectivasnecesarias.Estasaccionessonrevisadasyaprobadasporcontroldela
produccinyporlosusuarios,cuandoesnecesario.
5.4Monitoreodeactividades
El funcionamiento del computador y sus operaciones, est normalmente controlado por
procedimientosmanualesyprogramados. Ensistemasmsavanzados,dichosprocedimientosson
mayormentellevadosacaboporprogramasespeciales.Lasfuncionesmanualesestnnormalmente
restringidasalasaccionesrequeridasosolicitadaspordichosprogramasespeciales.Laconsideracin
principal de control en este caso es que el sistema operativo utilizado es confiable y que los

procedimientosmanualesnoloson,puestoqueporerroroporotrasrazones,sepuedeinterferircono
afectarelprocesonormaldelcomputador.
5.5ProcedimientosdeRecuperacinyRespaldo
Deberanexistirprocedimientosderespaldo.Eneleventodeunafalladelcomputador,elprocesode
recuperacindeprogramasdeproduccin,sistemaoperativooarchivos,nodeberaintroducirningn
cambioerrneodentrodelsistema.Algunasdelasprincipalestcnicasquepuedenserutilizadasson:
La facilidad para recomenzar en un estado intermedio del proceso. Esto es aplicable a los
programascanceladosantesdesutrminonormalyevitalanecesidaddereprocesartodoel
trabajo.
Unsistemaparacopiaryalmacenarindependientementearchivosmaestrosylastransacciones
respectivas. Esto hace posible recuperar cualquier archivo perdido o daado durante la
interrupcindeltrabajo.
Procedimientos similares al anterior, para asegurar que las copias de las instrucciones de
operacin,ejecucin,yotrosdocumentosclavesestndisponiblesencasoquelosoriginalesse
pierdan.
Instrucciones formales escritas para la recuperacin del proceso o su transferencia a otra
instalacin.
6.CONTROLESSOBRELASEGURIDADDEPROGRAMAS
Los controles sobre seguridad de programas estn diseados para asegurar que cambios no
autorizadosnopuedenserhechosaprogramasdeproduccin. Dichoscontrolesaseguranquelos
nicos cambios son aquellos hechos a travs de los procedimientos normales de cambios de
programas.Laseguridaddeprogramasespreocupacinespecialparaelauditorcuandouncambiono
autorizado en un programa particular podra beneficiar a la persona que realiza el cambio (por
ejemplo,uncambiohechoenunsistemaqueprocesasalariosypagosenefectivopodraresultaren
queserealicenpagosnoautorizados).
Losprocedimientosrelacionadosconlaseguridadsobrelosprogramasson:

Softwaredecontroldeacceso
Controlessobreelaccesofsico
Segregacindefunciones.

6.1Softwaredecontroldeacceso
Una organizacin puedeusarsoftwaredesistemas (porejemplo: opciones delsistema operativo,
paquetes de seguridad, paquetes de administracin de bibliotecas de programas, software de
comunicaciones)pararestringirelaccesoalasbibliotecasdeprogramasoaprogramasespecficosen
bibliotecasdeproduccin.Generalmente,lastcnicasdecontrolusadasincluyen:
Cdigosdeidentificacindeusuariosypasswords

 Opcionesdemenrestringidos
Nivelesdeaccesorestringidoalosusuarios(accesoslodelectura)
Capacidadesdelosmediosdeinput/outputrestringidas.
Enlossistemascomputacionalesdehoyenda,losprogramaspuedenseraccedidosyalteradosen
unagranvariedaddeformas.Lamayoradelasorganizacionesusansoftwaredecontroldeacceso
pararestringirtantoelaccesoaprocesosenlneacomoalosprocesosenbatch.Elaccesonosloes
'restringidoaprogramasespecficoso8bibliotecas,sinotambina:

Bibliotecasdeprocedimientos(JCL)

Archivosdelsoftwaredecontroldeacceso

Bibliotecasdelsoftwaredesistemas

Archivosdebitcoras.
UnaseguridaddeaccesoCompleta,requierequetodoslosusuariosestnregistradosporelsistemay
queseanmonitoreadosporlafuncindeadministracindelaSeguridad,demodoindependiente.
Losproblemas(porejemplo:desactivacindeusuariosodenegarelacceso)sonidentificadosyse
efecta unseguimientooportuno. Lasacciones privilegiadas (porejemplo:definicinde nuevos
usuarios,cambiosalosprivilegiosdelosusuarios,cambiosenladefinicindelosrecursosyalas
reglasdeaccesoysobrepasarlaseguridad)tambinsonregistradaseinvestigadasenformaoportuna
poreladministradordelaseguridad.Espreferiblelasrevisionesdiariasosemanalesdelosregistros,
perolasrevisionesmensualespuedenseradecuadasparaunvolumenbajodeactividades.
Tpicamente,lasfuncionesdeladministradordelaseguridadson:
Mantenercontrolesapropiadossobreeldiseoymantencindelasidentificacionesdelos
usuarios(userID)ysuspasswords,yasegurarquelasuserID'sypasswordsnopuedenser
obtenidasporpersonalnoautorizado
Mantenerydefinirlasreglasdeaccesodelosusuariosautorizados
Controlar,distribuirycorregirlastablasdepassword
RevocarinmediatamentelasuserID'sypasswordsdelosusuariosquedejandepertenecerala
organizacinoquehansidotrasladados.
Todosloscontrolesdeaccesonecesitanusuariosconprivilegiosespecialesparalaadministraciny
otrastareasimportantes,talescomo:

EstablecerycambiarlasuserID's
Resetearlaspasswordsuotroscdigossecretos
Sobrepasarloscontrolesdeacceso(atributosdeaccesoirrestricto)
Cambiarelestadodelsistemadeseguridadylasopcionesdelsoftwaredecontroldeacceso.

6.2Controlessobreelaccesofsico
Elcontrolfsico,juntoconelsoftwaredecontroldeacceso,proveencontrolextensosobrelos
programas.Losprocedimientosdecontroldeintersincluyen:

 Restriccindeaccesofsicoalosterminalesoelaccesoprivilegiadoaterminalesyusuarios
especficos.Porejemplo,enunabodega,restringiendoalaccesoalterminalpararegistrar
elstockfsicoyreforzarlalimitacindetiempoparaelusodelaterminal
Restriccindeaccesoalasaladelcomputador(vatarjetasmagnticasoclavesdenmeros
enlapuerta)
Restriccinalaccesodeloslistadosdelosprogramas
Controlyrestriccinalaccesodelosrespaldosdelosprogramasysudocumentacin.
6.3Segregacindefunciones
Conlasuficientecapacidadtcnicayelconocimientodetalladodesucontenido,losusuariospodran
sobrepasarlaseguridadyhacercambiosaprogramasenproduccin.Laproteccincontraesta
posibilidad,normalmenteseincrementoconunaapropiadasegregacindefunciones.Cuandolas
funcionessonseparadas,losusuariosnopuedenobtenerunconocimientodetalladodelosprogramas;
porotrolado,aquellosresponsablesdeldesarrolloymantenimientodelosprogramas,nopueden
teneraccesoirrestrictoalosprogramasdeproduccin.Esimportantemantenerestasegregacinde
funcionesentodomomento,anfueradelashorasnormalesdetrabajo.
7.CONTROLESSOBRELASEGURIDADDEARCHIVOSDEDATOS
Los controles sobre la seguridad de archivos aseguran que no se pueden efectuar cambios no
autorizadossobrelosarchivosdedatos.Lanecesidaddecontrolesdeseguridadsobrearchivosde
datosesnormalmentemayorparaarchivosmaestrosqueparaarchivosdetransacciones.Estoesas,
porque no todos los campos de datos crticos de los archivos maestros estn sujetos a los
procedimientosregularesdeverificacinyreconciliacin.Cualquierverificacincclicadearchivos
dedatospodranoserhechalosuficientementeamenudoparaproveerlaoportunaidentificacinde
cambiosnoautorizados.
Loscontrolessobrearchivosdedatossontambinimportantedesdeunpuntodevistaoperativo.
Consideracionesoperativasincluyenprotegerlosdatosdeserborradosodestruidos,yaseaaccidental
ointencionalmente,ycontrarobosyusonoautorizado.
7.1SoftwaredeControlesdeAcceso
Una amenaza particular para los datos es el acceso irrestricto, que permite que los datos sean
cambiados sin autorizacin previa. En sistemas en lote, donde los archivos de datos han sido
cargadosparalaejecucindeunprogramaespecfico,elproblemaestlimitadoacontrolarlaaccin
delosoperadoresduranteesaejecucinenparticular.Lossistemasenlneaytiemporealrequieren
una: combinacin detcnicas de control, incluyendo la restriccin alos caminos de acceso de u
sistemayalrangodeactividadespermitidasalosusuarios. Lossistemasdeconexintelefnica
requierenaltosnivelesdeseguridaddebidoalospeligrosdeaccesoporpersonalnoautorizado.El
nivel apropiado de los controles de acceso est determinado por la sensibilidad de los datos, la
divisindefuncionesdelosusuarios,ylosrecursosdisponibles.

Accesoporlosusuarios. Losprocedimientosdacontroldiseadosparaprotegerarchivosdedatos
contraaccesosnoautorizadosporpartedeusuariosdecsistema,sonsimilaresaaquellosyadescritos
para programas. Estos procedimientos, que normalmente pueden ser llevados a cabo al mismo
tiempo que aquellos para los programas, incluyen funciones del Sistema operativo tales como
paquetesdecontroldebibliotecas,programasdeseguridaddel sistemaoperativo,palabrasclaves,
programasdecomunicacionesysistemasdemanejodebasededatos.
7.2AccesoaDatosenlnea
Ensituacionesdondelosdatossoncapturadosatravsdeunterminal,comoeselcasodesistemasen
lnea y tiempo real, es esencial proteger contra la captura de informacin no autorizada, que se
utilizarposteriormenteenelprocesodeactualizacin.
Lacapturadedatosinvlidospuedeserhechaparaarchivosdetransaccionesoarchivosmaestros.
Normalmentetransaccionescondatosinvlidossonintroducidasalsistemaparaalterarelefectode
unatransaccinqueyaseencuentraenelarchivo.Porejemplo,unanotadecrditoficticiaqueest
apareadaaunafacturadentrodelarchivo,alteraraelestadodedichafactura.Datosinvlidosdentro
deunarchivomaestropuedenconsistirdeunregistrocompleto,talcomolacuentadeunproveedor
ficticio,ouncampodedatos,talcomolatasadepagoolatasadeinters.
Cuandolosarchivosdedatosestnenlnea,deberahaberunacombinacinapropiadadeopciones
delsistemaoperativo,quepermitarestringirtermnalesaciertosprogramas,transacciones,oarchivos.
Solamentepersonalautorizadodeberateneraccesoaarchivos,yaseaparaobtenerinformacino
introducircambios.
7.3Accesoporlosprogramasenproduccin
En adicin a los controles de acceso de usuarios y de termnales, deberan establecerse
procedimientospararestringirelaccesoalosdatospordiversosprogramas. Elaccesoalosdatos
puedeserrestringidopormediodepaquetesdeseguridad,atravsdeloscualessepuededefinirqu
datos pueden ser procesados y con qu opciones, ya sea de lectura o actualizacin. Es posible
producir informes, generado por dicho paquete, de todos los accesos permitidos a los diferentes
programas.Dichosinformesdeberanserrevisadoseinvestigadossifueranecesario.
7.4ArchivosFueradeLnea
Losarchivosresidentesfueradelneaestnprotegidoscontracambiosmientrasnoestncargadosen
elcomputador,peropuedenserremovidos,posiblementeconpropsitosnoautorizados.Estopuede
ocurrircuandolosarchivosnoestnfsicamenteprotegidosy/osumanejonoestapropiadamente
controlado. Las caractersticas de control deberan proteger contra el traslado no autorizado o
destruccindearchivos,incluyendoaquellosalmacenadosensitiosremotosparautilizacinencaso
dedesastre.
7.5SeguridadFsica

Para proteger archivos fuera de lnea contra accesos no autorizados, debera existir un rea de
almacenamientobajollave.Deberaestaralejadadedonderesideelcomputadory,preferiblemente,
supervisado por un bibliotecario responsable de la entrega, recepcin y seguridad de todos los
archivos.Losaccesosdedichabibliotecadeberanserrestringidossolamenteapersonalautorizado
pararetirarodevolverarchivos.
Esnecesarioqueexistanprocedimientosparaasegurarquelosarchivosseanutilizadossolamente
para procesos autorizados. Esto significa que se deberan preparar calendarios de proceso que
especifiquenendetallelosarchivosquesonrequeridosparaelproceso.Dichoscalendariosdeberan
prepararseparatodaslasaplicacionesyseraprobadosporpersonalresponsable.Deberarequerirse
autorizacinespecficapararemoverarchivosasitiosremotosoaotrocomputador.
8.CONTROLESSOBREELSOFTVVAREDESISTEMAS
Loscontrolessobreelsoftwaredesistemasaseguraqueelsoftwaredesistemasesimplementado,
mantenidoyprotegidodecambiosnoautorizadosenformaapropiada.losprogramasdelsistema
operativo sonimportantes paraelauditorpuestoqueayudanacontrolartantolosprogramasque
procesaninformacincomolosarchivosdedatos. MuchosdeloscontrolesdeTI,talescomola
seguridaddearchivosdedatosyprogramas,dependendelsoftwaredesistemas.
Elsoftwaredesistemasquepuedeserrelevanteparacontrolarincluyeprogramasrelacionadoscon:
Catalogacin
Informedetrabajosprocesados
Manejodearchivos
Comunicacionesdedatos
Informedeoperaciones
Preparacindearchivos
Seguridaddeacceso
Registrodebibliotecas
Basededatos
Loscontrolessobreelsoftwaredesistemassondiscutidosenlassiguientessecciones.
8.1Implementacin
Loscontrolesrequeridosparalaimplantacinexitosadelsoftwaredesistemassonesencialmente
similaresaaquellosrequeridosparalaimplantacindeprogramasdeaplicacin,exceptoqueeste
trabajoesefectuadoporpersonaldesoportetcnicoyconporlosprogramadoresdeaplicacin.

Todosoftwaredesistemasprovistoporunproveedordeberaestarsujetoalarevisinyaprobacin
porunapersonaconelconocimientosuficienteparadeterminarelimpactodedichosprogramasen
los sistemas existentes y los procedimientos en operacin. Dicha persona debera ser capaz de
determinarsidichosprogramassatisfacenlasnecesidadesyobjetivosdelacompaa.Estarevisin
deberaabarcartantoelsistemaoperativobsico,comolasdiferentesopcionesdisponibles.
Cuandoelnuevosoftwaredesistemastieneunainterfasedirectaconprogramasdeaplicacines
imperativoquelosnuevosprogramasseanprobadosconprogramasdeaplicacinyaestables.As,si
ocurrenanomalas,ellaspuedenseridentificadascomoresultantesdelnuevosoftwaredesistemas.
Lasinstruccionesyotradocumentacindelsoftwaredesistemasylasdistintasopcionesprovistas
deberanserrevisadasporpersonaltcnicamentecompetente.Dichopersonaldeberaasegurarseque
la documentacin describe apropiadamente los procedimientos necesarios para utilizar y operar
correctamenteelsoftwaredesistemas.
Elusodeprogramasdelsoftwaredesistemas deberaserrestringidoausuariosautorizados.Por
ejemplo,elgrupodesoportetcnicopuedenecesitaralgunosprogramasdeservicioquenodeberan
estardisponiblesaoperadoresoausuarios.
8.2Mantenimiento
El software de sistemas es modificado peridicamente por el vendedor quien introduce nuevos
programas o mejoras a los programas existentes. Estas mejoras o nuevos programas deben ser
probadosparaasegurarquesteoperadeacuerdoconelambientedelaorganizacin.
Enmuchasorganizaciones,nohayexperienciatcnicaniherramientasparaefectuarcorreccionesal
softwaredesistemas.Enesascircunstancias,elriesgodemodificacionesnoautorizadasesmnimo.
En el caso de que exista experiencia tcnica y herramientas, la organizacin debera establecer
controlessimilaresaaquellossobrelosprogramasdeaplicacin.Normalmente,lasorganizaciones
aplican segregacin de funciones, para prevenir que personal de soporte tcnico obtenga un
entendimientodetalladodelasaplicacionesprocesadasydeloscontrolessobrelosarchivosclavesy
sobre las transacciones de aquellas aplicaciones. Finalmente, el trabajo del personal de soporte
tcnicodeberasersupervisadoenformamuycercanaporlajefaturadesoportetcnico.
9.CONTROLESSOBRELACONVERSIONDEARCHIVOS
Loscontrolessobrelaconversindearchivosapuntanalaconversindelosarchivosexistentesalos
nuevosarchivosdedatosdeunaaplicacinnueva.Ellosestndiseadosparaasegurarqueelproceso
deconversinnocausoerroresenlosarchivosdedatos.