Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria en Informatica Jose Antonio Echenique Garcia 2da Edicion PDF
Auditoria en Informatica Jose Antonio Echenique Garcia 2da Edicion PDF
AUDITORIA
EN INFORMÁTICA
Segunda edición
McGrawoHill
MÉXICO o BUENOS AIRES o CARACAS • GUATEMALA • LISBOA • MADRID
NUEVA YORK· SAN JUAN· SANTAFÉ DE BOGOTA ·SANTIAGO • SAO PAULO
AUCKLAND ·LONDRES· MILÁN o MONTREAL o NUEVA DELHI ·SAN FRANCISCO
SINGAPUR • ST. LOUIS • SIDNEY • TORONTO
CoNTENIDO
AGRADECIMIENTOS ............................................................................................ ix
INTRODUCCIÓN .................................................................................................... xi
Al flnali~
ormá-
IIJiaño
ténde
Concepto de auditoría
lte. El
y pro-
tware CAPÍTULO
en informática
sea la y diversos tipos
de auditorías
OBJETIVOS
Al finalizar este capítulo, usted:
Lo~ .Juditoria no es una ach\ adad meraml'nte mecjni('J que implique la aplic.1uun
L.11BI ta~
c.lt.• C:Í\.'ttos pmti.'dinliento-.. t.·uyt..., r~ulti'~do-t, una ve1: lh~vJdos a c.l\xl, son de car~k
c. l «.Itu.•, .aunlJ~
h.'r indudabh.• 1~1 .1uditorí.1 rt't)uicrt' el t.·wrcicio dl' un 1uido pmÍ\.-sional, c;.ólido v
m4duro, par.J ru;~ar l()'o. prcx'-•c.hrmcntO!t "1ue d~n ".h• wgu1~ v t~hmar lo-. n?Sul~
t.1Joc obten dO&
r..
i\'utt"' Ou.tt¡IJMrt•' ,,,111ol !M•J'C'II•'
Mtm.
" rnus y t'rottd 11u~ntos tk •udtt<'tJJJ, lnst1tuto \1"-•).icano dt- Con!.ddort"5 1\ihlanK.
(
nJ dl be evaluar para mejorar lo c'ic;ll'Otl', corrl'gir errores y proponer alterna· 3
11\ J de ,u)uci6n.
CONCEPTO DE
AUDITOAIAY
Informática. El concepto d~ mform.itll".l l'S m.is amplio que el simple uso d<• CONCEPTO DE
INFORMÁTICA
rqu1~'t>~ d~ cómputo o bit'n dl• pro<.-l''n"" t•ll•drünicn~. Veamos lo que se dijo l'lllll
onfncnoa presentada deiS ,\)9 de doc1cmbre de 1983 en el Centro de Jnform,i ·
11ca dt•la Facultad de Contaduría v Administr,•ción (CIFCA) de la Universidad
)I'J"CCtamcn- ?\aonnal Autónoma de México:•
'Ctar erro re-~
ría .. romo N existe u.n.a sola conc:epa6n acerca dt. qut.• es lnformabca: etimol~""lcam4..,-.h.•, la
las) por ll> palal>ra miormátJca dem a dd Irdn<"l'S rnfi,mn11411t Este """l~mo prov1me dt•
.amplio; no la con¡unctón de JnfornutlWII (mlorm.lCJÓn) y oulom:rtu¡UL (autom.ihca). Su crea.~6n
e e\·aluar la fU<' e-stimulada por la mtenLlÓn d,• dar un.t alh:m.lh\ a rtlf'ru.~ te(n()(r.lh<a) mí"OOS
mec-aruo~ta al concepto d~ •·pnX,"Sc.l dt- d.ltl)$'"'
tinar curs<-)">
ljeh\"OS pro-
En 1%6, la Academ1,1 Fr.mc•..,,, n·wn<x•o este nuevo concepto y lo ddm1o
dd modo 'l!(Ulcnte:
e "auditor",
·de cuenta> ( u:m.:1.1 dd tratamiento sistem.HH.:o y ~o'h<\lZ, rt>~thzado especialmente medJtH'ItC
~de~ est~r nhu¡tun;¡s automáticas, de lol u,(orm.lt'u)n (OntcmpJ;¡da como vehículo dd s.1bcr
:ia y ~ficaci a humano y de la comunic~1ci6n ('1'1 los ,\mbitos ttocnico, económico v ~ial.
::ursos .11tcr·
errore~, t•n t l.ll.ld principios de los setl•nt,, v ..t \'r,ul clar-.1' 1-.h limitacione~ de estLl dl'fini 4
la llplicacu)n L,liBI tamb1én dio en esa ép<ll·' un,, dc,aipmín del concepto de inform.íti •
son de CMtli.'· Ci tJU~, aunque no constituye unJ dcfinic:idn form,1l, resulta muy dcscriptivil·
)naJ, sólido v
mar lo~ rcsul 4
1
Bclctrn Jd Ct'ntro d( lrrjímPfllllcfl dt la HA 1Ü l1• lJ,\A \1, num qq, vo1. 11. mayo dt> l~iH
DIVE~
4 También es común confundir el concepto de dato con el de información. La
CAPiTULO 1
información es una serie de datos clasificados y ordenados con un objetivo co-
CONCEPTO DE mún. El dato se refiere únicamente a un símbolo, signo o a una serie de letras o
AUDITORiA
EN INFORMÁTICA
números, sin un objetivo que dé un significado a esa serie de símbolos, signos,
letras o números.
YSU R
Y DIVERSOS TIPOS
oe AUOITOAfAS -..!' La info1mació., está orientada a reducir la incertidumbre del receptor y tie- EN INFj
¡ ne la característic,, de poder duplicarse prácticamente sin costo, no se gasta.
, Además no exist~ por sí misma, sino que debe expresarse en algún objeto (pa-
i ; ¡.. pel, cinta, etc.); de otra manera puede desaparecer o deformarse, como sucede
, / • con la comunicacián oral, lo cual hace que la información deba ser controlada
( / '-.!.''-[// debida mente por medio de adecuados sistemas de seguridad, confidencialidad
Auon
Y
..... :1 r y respaldo.
Y AUDI
· La información puede comunicarse, y para ello hay que lograr que los me-
dios de seguridad sean llevados a cabo después de un adecuado examen de la
forma de transmisión, de la eficiencia de los canales de comunicación(;l trans- El Boletí11 E·
misor, el receptor, el contenid o de la comunicación, la redundancia y el ruid<iJ interno:
Niveles ( La uúormación ha sido dividida en V"!ios nJvel!S. ª-Primero es el nivcl
de información ~meo, que ron_s•d~a los aspectos de eficiencia y capacidad_sle los canales de El estud
l
la norm,
transmisión; el segundo es el nivel semántico, que se ocupa de la información
J desde elpunto de vista de su significado; el tercero es el prapnático, ~ C':!_al
~studio ~
para det
(::<? ._ =-e""'""', considera al rt·ceptor en un contexto dado, y el cuarto mvel analiza_Et infor"!.a- permita1
ción de~de clj'unt<> dev is!-ª_normativo y d~ la parte ética, Q sejl considera cuán: procedi~
1 "' '_._,...(\L dO, dónde.x_a 'JUIPn se destina la informaciÓn 0 )~que se Jedé. Fl o
--\-" ,.,, ,.,.~-"'~ .Y - La inform, tica debe abarcar los cuatro niveleSiJerñ¡¡)rmación~ En el cuarto proredir
.....-( "-"' \ 1 , ~~,.., nivel tenemos una serie de aspectos inlporta.nt.es, como la :;,arte legal del uso de guardar
- rr la información, !os estud io1_g_ue se han hecho sg__bJ:e la §r_ jur¡;Q, <:l_e la infor- finandcr
~~ ·• ~ rñáticuJa cre1ció11 de la ética _en üúo~ática, que no sólo debe incluir a los licas pr
~ E!Ofesiona les t. :n i~O.? y eSE<!cialistas en informática, sino también a los usua-
rios tanto de gr Uldes c?mputadoras_como de computadoras personal~ Objetivos b
La informa< ión tradicional (oral y escrita) se ve afectada dentro de la infor- tro objetivo!
mática cuando ·.e introduce el manejo de medios electrónico¡;, lo cual la hace
fácilmente mod·ficable y adaptable a las características de cada receptor. La • La prole
üúormación ta.mbi~n tiene la capacidad de manejarse en forma rápida y engran- • La obter
des volúmenes, lo cual permite generar, localizar, duplicar y distribuir la infor- • La prorr
mación de modu sorprendente, a través de métodos, técnicas y herramientas • Lograre
como microcomputadoras, procesos distribuidos, redes de comunicación, ba- blecidas
ses de datos, etcJtera.
La nueva teo1ología permite que el usuario d isponga de la información Se ha es1
en cualquier momento, ya sea para su acceso, actualización, cambio o explo- troles intem•
tación o para que pueda distribuirse e intercambiarse entre tantos usuarios nistrativos.
como se desee. Aunque al mismo tiempo se plantea un gran problema en cuanto
al cuarto nivel de la información, que es su parte ética y el estud io de las Objetivos g1
posibilidades del buen o mal uso de la información por parte de personas no de el plan dE
autorizadas. protección d,
La pla.neación y control de la información nos ofrece nuevos aspectos im-
portantes a considerar, entre los que están la teoría de sistemas, las bases de
datos, los sistema, de comunicación y los sistemas de información, que van a 1
Boletín B
complementar el co11cepto de informática y su campo de acción. Público:..
Lla 5
,,·e
IC(}-
aSO
DIVERSOS TIPOS DE AUDITORÍA ?
"> .,t'
f DIVERSOS TIPOS DE
AUDITORÍA V SU
nos, Y SU RELACIÓN CON LA AUDITORÍA ' ;..¡ RELACIÓN CON
LA AUDITOAIA EN
\Sta. (..
/
(pa-
J
:ede
lada AuDITORíA INTERNA/EXTERNA
dad
me-
Y AUDITORÍA CONTABLE/FINANCIERA
le la
ans- El Boletín E-02 del Instituto Mexicano de Contadores' señala respecto al control
idi) interno:
ove.!
El estudio y e\·aluación del control int~rno se efectúa con el objeto de cumplir con
sde
la norma de ejecución del trabajo que requiere qu~: el auditor debe efectuar un
dón
estudio y evaluación adecuados del control interno t>xistente, que le sirvan de base
cual para determinar el grado de confianza que va a depositar en ~1. así mismo, que le
ma- permitan determinar la naturaleza, extensión y oportumdad que \'a a dar a los
tán.: procedimientos de auditoría.
El control intemo comprende el plan de organización y todos Jos métodos y J Definición y
arto procedjmientos que en forma coordinada ~e adoptan CJ"' un J"'cgocio para salva- 1 objetivos del
o de guardar sus activos, verificar la razonabilidad y confiabilidad de su información control Interno
¡f¡or- financiera~ promover la eficiencia operacional y provocar la adherencia a las polí-.J
, los ticas prescritas por la administración.
;.u a-
Objetivos básicos del control interno. De lo anterior se desprende que los cua-
Jor- tro objetivos básicos del control interno son:
lace
. La • La protección de los activos de la empresa. " \ (.
ran- • La obtención de información financiera veraz, co1úiable y oportuna. v .-
1or- • La promoción de la eficiencia en la operación del negocio. \ <.?. >.·'. / " '
ntas • Lograr que en la ejecución de las operacione~ se cumplan las políticas esta·
ba- blecidas por los administradores de la empresa.
:ión Se ha establecido que los dos primeros objetivos abarcan el aspecto de con-
plo- troles internos contables y los dos últimos se refieren a controles internos admi-
rios nistrativos.
mto
las Objetivos generales del control in terno- El control interno contable compren-
; no de el plan de organización y los procedimientos y registros que se refieren a la
protección de los activos y a la con1iabilidad de los registros financieros. Por lo
AuDITORíA ADMINISTRATIVA/OPERACIONAL
la tecnología en información está afectando la forma en que lds 0rp,.mizacíones
están estructuradas, administradas y operadas. En alg<mos caso;, los cambios
son dramáticos. Cuando existe la necesidad de un nuevo diseiio de sistemas
administrativos para lograr una efectiva administración y contrd financiero, la
planeación administrativa y el proceso de diseño y los requt'rimientos de con-
trol interno deberán cambiar o necesariamente se modificarán con los cambios
de la tecnología de información. El incremento de la tecnología de in formación
está soportado por una reestructuración organizacional alredt!d<>r de esta tec-
nología.
William P. Leonard' define la auditoría administrativa com<•:
Pérdidas y deficiencias.
• Mejores métodos.
• Mejores formas de control.
• Operaciones m.ás eficientes.
• Mejor uso de los recursos físicos y' humanos.
para
AuDITORíA coN INFORMÁTICA • Utll .lCI~
~.' del f.tl:
d., snftw4
Concepto de auditoría con informática • ,c. Sup\ r\'
• udltona ·
• "'Utih aoói
Lo, prowdimientos de .tuditon.t con informállra ,,uian dt• at·uerdo con l<1 filo- l'c.jUipO, t]CI
sofía y técnic.t d.- cdda organuadón v dep.trtamento de auditoría en particul.tr. t. doro m•
Sin embMgo, existen cierta' ténucas y 1o proc.•dimicntos que son comp.ttibh·s
en la mavori,l de ros ,lmbientes de lnform,Hiccl. EstllS tccn•cas (aen en do~ catl'- l'n.du-.ln
gori,h m~todos manualt'S y metod05 dMstido, por romputadora. tll c.:r blll,, t!Stn
cumentaootL r
adentás dt.•los
En J<)Uell.u
Utilización de las técnicas de auditorías gados, los p~
asistidas por computadora ñ ' d • p roti'\""CJ
Ja..o.; ín..,truccionf
d,·,dt• la l:>1bh •
En gent•ral. d .tuditor dcbe u tilizar la com put.tdor.t en la <'j<'Cución d<' la a u di torí.t. obJCto de ha
ya que e:.t.t herram1enta f"'rmitir,i amplia r la cot>..•rtura dt•l l!xamen, reduci..,ndu fin1r sus propói
el tiempo 'costo dt• Lb prud><h v proct>din\ientos de muestnx>. que d., otra mant>- Cuando los
ra tt>ndrfan qu¡• d<'ctuarsc manualmente. Fxi,tcn paquct<"> d¡• computadora (soft- m ternos d «"be"l
warl') que per miten el,tborM aud 1tori,1s a SIStemas fin.mcierO> y contabi<'S que se troles adt'CUa.Jo
l'11CUcntran en med1os informático-. Adem.is, d cmplt'Odc la computadora port•l
auditor le permite f~miliari;o.l,..,.. con la <>peraci6n del equipo en l'l et·ntn> de cómpu-
to d••la Institución. Un.t computador.t p uede ser ~mpleada por 1'1auditor en:
• Mantl·ner
gad os en el
• Ob<cnar dt
• Ot•sa rroll.tr
• ·¡ ransm isión dt• informac-ión de la contabilidad dl' la organi7aci6n a la
s..HtUt•nto d~
comput,tdora del aud 1tor, par.1 ser tr.lbaj.lda por <'>te, o b1en acceso,,¡ shte-
ma '" n.'d para que el.tud•tor clabon- Ja, prul't>as.
• Ma ntener el
ta~.. Ión \ corr
Verificación de cifras totales y cálcu los para comprobar la exactitud de los 11
reportes de salida producidos por el departamento de informática, de la DIVERSOS TIPOS OE
información enviada por medios de comunicación y de la infom1ación al· AUOfTORIA Y SU
macenada. RELACION CON
LA AUOITORiA EN
• Pruebas de Jos registros de los archivos para ve•ificar la consistencia lógica, INFORMATICA
la validación de condiciones y la razonabilidad de los montos de las opera-
ciones.
Clasificación de datos y análisis de la ejecución de procedi mientos.
• Selección e impresión de datos mediante téaúcas de muestreo y confirma-
ciones.
• Llevar a cabo en forma independiente una simu lación del proceso de tran-
sacciones para verificar la conexión y consistencia de los programas de
computadora.
• '!l.Utilización
de paquetes para auditoría; por ejemplo, p,1quetes provenien-
1es del fabricante de equipos, firmas de contadores púbücos o compal''iías
de software.
• ltSupervisar la elaboración de programas que permitan el desarrollo de la
auditoría interna. '
J,._ .... -Ir., .......... \. .......... ,. ..
...u ~J
J.+,., oP'
Procesamiento manual. Generalmente, los documentos de las transacciones con· Uno o más J
tienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones a las transac
computarizadas, el proceso se efectúa electrónicamente dentro de la memoria ción y proccs
del computador mediante procedimientos programados y siguiendo reglas pre· den ser inclu'
dt'tenn.inadas.
Revisión de
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabi· tninar su razt
lidad de error. En las aplicaciones computarizadas, el proceso puede ser extre· nes computa¡
madamente complejo debido a la velocidad y exactitud del computador. Por mente media
ejemplo, una compañía puede utilizar su computadora para calcular la efectivi· difícil para la
dad de cientos de posibles horarios o cédulas de producción d fin de seleccionar tacionales est
el más adecuado, mientras que en los métodos manuales esto sería casi impo· acorta; al misJ
sible. dón es may01
,~ méto- l'lt.n uttliltlr...t.? programas extractivo., p.u·,, t\.'COhrJr l~1 información de taltos ml'
le segu- d l'IS, los f1.J.llec.. c.;.on normalmentC' muv r.lpid<"s v exactos, por ..:jemplo, en el ca!-iu
d~ bas..~ de datos.
da\'e o
oente un Uso d~ documentos impresos para con,truir d proce<o. En llh proet.'''" ma-
rdonde UJ!es 6tos documentos contienen intllrm~",on tucntl' f1rm~s de autoriz~1ción,
Dlétodos de proce:,o y resultados de s,llida Est~ tnfurmadun usualmentt' es
$\lhC'I~nh' r~u,l construir la transacción\ ra..... trc,lrl,l haci~t totales de control o, ~l
ersonas, ~hr tlt_~l''-'lln> ha~ta el documento hlt'nh.•. Fn 1.1"' .lplit:.Kionco.; computarizadil'>,
rtamen- p~St.l-. de ~1uditoría pueden verse fr.l~m"·nt.l\.ld.'>, ((lffiU frecuentemt."nte t.>c:u·
taphca- """"un ambiente de base de datos. Adl·nM<, gr,m p.1rte de la mformación qu~
e. La ín- ~n m ..1 d~ pistil dt! auditoria puedt• <.•st.u JlmJrl'll..ldJ t•n medios computarizil-
nces en- do:"'. 1·\ls pist,ls de nuditoría coJnputc1riZLld.ls J menudo t·equieren entender las
mregis- r.·gl.l' tlt•l prnreo;o dd sistt•ma y no sit•mprc es obvio cu,íh:s pasos del proceso se
fJ<'<:Ut.lron. om cspt'cial cuando el pmn·so l'(lmput.lcinnalt•s complejo.
es nece 4
Como evaluador, t•l auditor de informJtica debe ser capaz de distinguir en-
~incluir 11'1' los procesos de evaluación de si•temas y las aproximaciones que son apro-
]vida des piadas para encau7Jr los propósitos específicos de evaluación relevante para el
área de trabajo. En c•tc sentido, el auditor en informática debe tener los conoci-
!escomo mientos de lo. pasos requeridos para aplicar tma evaluación particular en d
inar este contexto de la tecnología de la información. Debe poseer estándares relevantes
)'prácticas que gobiernen la conducción de una evaluación particular. Su con-
!entro de tribución potencial a una evaluación particular puede ser hecha en un contexto
indepen- específico.
oortcs. Las habi lidad!.'S t~cnicas requeridas por el auditor en informática son las de
adopero implantar, ejecutar y comunicar los re~ultados de la eva luación en el contexto
iado por de la tecnología dl' información, de acuerdo con estándares profesionales que
ionados, gobiemcn el objl•tivo de la auditoría.
izado tí-
sarioque
el rastro
onesque
i>en per- DEFINICIÓN DE AUDITORÍA EN INFORMÁTICA
lecializa-
rrollo de
daóones
CoNCEPTO DE AUDITORÍA EN INFORMÁTICA
Kióndel Oespu~ de analizar lo:. conceptos de auditoría y de informática, Jos diferentes
tidasson tipos de auditoña, a'í como su interrelación con la infonnática, debemos res-
omopara ponder las siguientes preguntas: ¿Qué es auditoría en informática? ¿Cuál es su
radar la campo de acción?
,flujo de Esta es la defmición de Ron Weber en Auditlng Conct'plual Foundations and
Practict o;obre auditoría infonnática:
ín de un
•idencia Es una funcu.)n que ha ~ido des.Jrmllada para asegurar la salvaguarda de los acti-
orlo para vos de los "'tema' de romputadora~. mantener la integridad de los datos y lograr
ridad de los objetivos de la organi<.1ción en forma eficaz y eficiente.
Jr no ne-
Mientras qul' la dl'finición de M a ir William es la siguiente:
mraeva-
•cumpla Auditoría en informática es la v.:rificación de los controles en las siguientes tres
áreas de la organi1ación (informática):
18 ApUcaCI<'Il<" tpro¡;yama de produ<aón). qul.' mJnq.¡
Desam,llo de <r>J!ott."lll~ aquellas qu
CAPITULO 1
CONCI'PTO DE In~tal.lc.:•on del centro de prt.k:C54.l.
FlconD
AUDITOAIA
EN INFOAMATICA
bid o J lo iru
V DIVERSOS IIPOS Por tanto, podt.•mos decir qut.• ~luttitoríJ en inform..itic..1 (!S 1.1 revisión y C'vtl .. inad<•cu.ldo
DE AUDITORIAS luación de los controles, sistem.ls v procedimientos de la informática; dt• 1<" mas, debid<
l'<¡UÍJ'OS de c<ímputo, 'U utiliz.1<1án, t•fk~t•ncia y ..eguridad; di.' la organuautin na, y :oóloJ¡
que participa (•n ('1 pro.:é:'oamJento di.''" rnformaoón. a fin di.' que por mro1o dd a la mfonru
!'<'ñalamicnto d,• cursos alternativos <e logre un.1 uhli/.acu>n más l.'fioentc, El abuSI
confiable v '''~r~ de la inform.tdón que servirá pa. • und adecuada toma de informátu:a
decisione~. nización~~
La in formaci(>n contenid a d<•¡wnd<' de la hab il idad de red ucir la incL•rti de in form,H
dumbre alrcdL·dor de las decis iom·'· El ,.,,lor de la reducción de la inct>rtidum ción del t'<Jt
bre depcnd,• d<•l pago a<;OCiado con la dt•cisión qu e><' r.•ahL..l. infornlat.:Hlr
los factmL'S qu" pul.'den influtr ''"una organiz.1dón a traws del conm•l ' robos h<ll1JI
1
1uditoría l,.n antorllklhca son. tamb1msor
L:t audil
Influencia • ;-.;ece,,dad di.' controlar el u<o l.'voluc•onado d(' las n>mputadoras. t"quipos dl' e
de la auditorfa • Controlilr t.•l usn de la comput,.H:Iur~l, que cada día se vu~lvc más import.lntc más hJbrc.t c.
y costos.1. das, pro~t1d
• Los aJto!-t nhtús qut• p rodun•n los Prrores en una orgc.miztlción . (desarrollad
• Abu..o en l.h computadoras . ben incllllr 1
• Posibt.:idad de ~rdida de capaCidad<"> de proct"Saml('Oto de datos . ncruna lnfo
• Pesibthdad de dec"ione. mrorn'<ta' cómpu to de
• \"alor dd hard\\are 'llftwar,• \ JX'N>nal. y el pcn;ona
• Necesidad de mantener la pm·,Ktd.Jd rndividual. Ademá.s
• Posibilidad de p<!rdida de inlorm.1ción o de m .ll oso de 1,1 m tsma. son rccu rsos.
• Tom ad'-' dt•ci siones incorrect,t~. version<.•~.t pr,
• Necesidad de mantener la privacidad de la organizacicín. seguro adt'Cl
daño~ CüJ\5"
la informact6n '"' =
recui'>O nccesano para 1.1 organtzaoon y para la am-
hnuidad de las operaciones, ya que pmwe de una imab"<.'Jl de su ambtente ac-
inversión •m
la o rgaruzad
tual su p.bado} su futuro. Si la tma~en de la organiz.ll' ·n es apropiad> <-;t.¡ recobrado S
crecerá adapt.\ndo~ a los cambio~ dt' c;u entorno. dencial a la t
En e l pro<.:t'Ml de 1..1 informa<.:iü n ~e deben detectar sus errores u omisione~. y pérdid,JS ••n ¡
evitar su destrucción por causas nt'ltllftl lcs (tcmblon•s, inundaciones) o C.:Utll· pre un rt C\ll"'
1
y eva· madecuado uso del hempo de las computadoras, o copias ilegales de progra-
de los mas, debido a que las leyes no consideran a las computadoras como una perso-
ización Jld, y sólo las personas pu~>den ser declaradas como culpables, o bien considerar
dio del J la información como un bien tangible y un determinado costo.
.cien te, El abuso tiene una importante influencia en e l desarrollo de la aud itorfa en
Jma de.- informática, ya que en la mayoría de las ocasiones el propio personal de la orga-
nización es el principa l factor que puede provocar las pérdidas dentro del área
inccrti de informática. Los abusos más frecuentes por parte del personal son la utiliza·
tidum- oón del equipo en trabaJOS distintos a los de la organiLación, la obtención de
•nf<><mación para fin!$ P<'I"JJnales (Internet), lo.. ¡uegos o pasatiempos, y lo•
mtrol v robos hormiga, además de lo.. delitos informJhco:. que en muchas ocasiones
también son Uevadt>:. a cabo por el propio personal de la organización.
la auditoría en informJtica deberá comprender no sólo la evaluación de lo~
l'<JUipos de cómputo o de ull SIStema o procedimiento específico, sino que adc·
orlan te más habrá de evaluar lo> sistemas de información ('n general desde sus entra·
das, procedimiento&, comu11icación, controles, archivos, seguridad, perso•1al
(desarrollador, operador, usuarios) y obtención d(• información. En esto se de-
ben incluir los equipo& de cómputo, por ser la herramienta que permite obte·
ner una información .1decuada y una organización específica (departamento de
computo, departamento de informática, gerencia de procesos electrónicos, etc.),
y el personal que har.1 posible el uso de los equipos de cómputo.
Además de lo.. datos, el hardware de computadora, el software y personal Pérdida
"'" recursos críticos de las organizaciones. Algunas organizaciones tienen in- de información
version.,.; en equipo de hardware con w1 valor multimillonario. Aun con un
'eguro adecuado, las pérdidas intencionales o no intencionales pueden causar
daños considerables. En forma similar, el softw.1re muchas veces consti tuye u11a
la con- inversión importante. Si el software es corrompido o destruido, es posible que
?nte ac· la organización no pueda continuar con sus operaciones, si no es prontamente
:Ja, ésta rC<:obrado. Si el software es robado, se puede proporcionar información confi·
dcncial a la competencia, y si el software es de su propiedad, pueden tener..e
iones. y pérdidas en g.mancias o bien en juicios legales. Fmalmente, el personal es siem·
o cual- pre un recurso valioso, sobre todo ante la falta de per>Onal de informática bum
r-;trenado.
•pordn- Las computadoras cj~>cutan automáticamente muchas funciones críticas en
ue afee- nuestra sociedad. Consecuentemente, las pérdida& pueden ser muy altas y pu<'·
den ir desde pérdidas multimillonarias en lo económico, hasta pérdidas de li·
dentro bertad o de la vida en el caso de errores en laboratorios médicos o en hospitales.
compu· Además de los a>p<><:tos constitu<"ionales y leg~lcs, muchos países han con·
1la lec- siderado la privacidad como parte de los derechos humanos. Consideran que
pérdida es responsabilidad de 1Js personas que están con las computadoras y con '"'
vblema •cde:. de comunicación, ~segurar que el uso de la inform.•ción sea recolectada,
ización. integrada y entregada rápidamente y con la pnvacidad y confidencialidad l't'-
.>les. ta· queridas. Existe una rc,pt>n'>abilidad adicional ~n el -.entido de asegurarse de
control que la informaaón sea uo¡ada solamente para los propós1tos que fue elaborada.
20 En este caso se encuentran las bases de datos, las cuales pueden ser usadas para B) Evaluo
CAPiTULO 1
fines ajenos para los que fueron diseñadas o bien entrar en la privacidad de las setien
CONCEPTO DE personas.
AUOITOAiA La tecnología es neutral, no es buena ni mala. El uso de la tecnología es lo • Ev
EN INFOAMÁTICA
Y DIVERSOS TIPOS que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- • E"
OE AUDITORiAS gía en Internet no es problema de la tecnología, sino de la forma y característi- • Ev
cas sobre las cuales se usa esa tecnología. Es una función del gobierno, de las • Fa,
asociaciones profesionales y de los grupos de presión evaluar el uso de la tecno- • Co
logía; pero es bien aceptado el que las organizaciones en Jo individual tengan • Co
una conciencia social_ que incluya el uso de la tecnología en informática. • Ins
Deberá de existir una legislación más estricta en el uso de la tecnología, en • F01
la que se considere el análisis y la investigación para evitar e l mal uso de Internet • Se~
y otras tecnologías, para evitar situaciones como el suicidio colectivo de sectas • Co1
religiosas, como sucedió en Estados Unidos. También se requiere de una ética • Co•
por parte de las o rganizaciones y de los individuos que tienen en sus manos • Uti
todo tipo de tecnología, no sólo la de informática. • Pre
cup
• Pro
• Der
CAMPO DE LA AUDITORÍA EN INFORMÁTICA C) Evaluac
prende:
Campo El campo de acción de la auditoría en informática es:
de la auditoría • Con
• La evaluación administrativa del área de informática. • Con
• La evaluación de los sistemas y procedimientos, y de la eficiencia que se • Con
tiene en el uso de la ilúormación. La evaluación de la eficiencia y eficacia • Con
con la que se trabaja. • Con
• La evaluación del proceso de datos, de los sistemas y de los equipos de • Con
cómputo (software, hardware, redes, bases de datos, comunicaciones). • COill
• Seguridad y confidencialidad de la información. • Ordt
• Aspectos legales de los sistemas y de la información. D) Segurid~
D) Seguridad:
AuDITORíA DE PROGRAMAS
La auditoría de programas es la evaluación de la eficiencia técnica, del uso de
diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra-
mas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organización.
La auditoría de pwgramas tiene un mayor grado de pwfundidad y de de-
talle que la auditoría en informática, ya que analiza y evalúa la parte central del
'Ü\'OS de la u...o de las computadoras, que"" el programa, aunque se puede considerar como 23
parir de la auditoria en mformat1ca
JreS recur- Para lograr qut.> la auditoría de programas sea eficiente, las personas que la
reahccn h.>n de ~r ronoc1m1entos profundos sobre sistemas operati\'OS, sis-
temas de admmistraoón de b.15e de datos, lenguaJCS de programación. u literías,
¡,....,.de datos. mt-dio- d<.' comunicación y acerca del equipo en que fue escrito
olízar tam· el programa Asimismo, se deberá comenzar con la re\isión de la documenta-
;tema) tie- Ción del m"mo. Para poder llevar a cabo una auditoría adecuada de los progra·
·los usua- necc~ita qul) lth -.,istl'ma-., est~n trabajando correctamente, y que se ob-
m.t.-. se
aceptan y l<'ngan los rt.'Sultados rt.'qUCridos. ya que al cambiar el proceso del sistema en
general •e cambiar.in posiblemente los programas. Sería absurdo intentar
y los difc- optimizar un pn>grama dt• un sistema que no está funcionando correctamente.
nática son Par.> optimizar los programas se deberá tener pleno conocimiento y acepta-
ditoría de ción del sistcm.1 o shtcmas que usan l'SC programa, y disponer de toda la docu-
Xlo con la mentación dctall,¡d,\ dl'l sistem.> total.
anización
on auxilio
toría con-
¡ tipos de
zación de
.s y la efi-
1Ón de la
ie de fac-
tadora5 o
,. indi\'1·
153bilida-
' much<b
temo.
;ión de la
1ode co-
:a. y debe
ebee5tar
•1 uso de
• progra-
·aluar el
ydedc-
ntral del
Planeación
CAPÍTULO
de la auditoría
en informática
OBJETIVOS
Al finalizar este capitulo, usted:
jetivame nte, ya q ue sin <'Sta indt•pendcncia no se pueden obtener Jos resultados El depar
d()~ados.
• Subutilización de instalaciones. En cJ ca
• Trabajo no productivo. pUl'' IMbrJ (
• Procl'<l imiento& que no justifican su costo.
• Exceso o in;,uficicncia de personal. • llvaluaci
• Uso indebido de las instalaciones. • F.,·aluaci
• Evaluaci
Los audotorl's deberán revisar las operaciones o programas para cerciorar· • Fvaluadt
~M los rL">ultados Mlll consistentes con los objetivos y metas establecido-. y" lo (sofh,
la., operaaoncs o programas se llevan a cabo como se planearon. • !X-gund¡
• Aspt-ctol>
Par.1lngr
tnturm,loón 1
PLANEACIÓN DE LA AUDITORÍA evaluar Para
!re' ostas PI'(''
EN INFORMÁTICA ddwr.i induu
soh<,l.tr o fon
!'ara harer una adecuada planeación de la auditoría en informática hay qur 1!1pro>Cl'SC
seguir un.1 scrie de pasos previos que permitirán dimensionar el tamaño y ca·
ractl.'rí~tic.lS del área dentro del organismo a auditar, sus sistemas, organt.ta· • Mct,1.,.
coón y l'qutpo. Con ello podremos determinar el número y caracterblicas del • Programa
pcl"oonal de auditoría, las herr,lffiientas necesarias, el tiempo y costo, así como • Plant·~ de
defintr lo. alcances de la auditoría para, en caso necesario, poder elaborar el • lnform~ (
contrato de servicios.
Dentro de la auditorra en general, la planeación es uno de los pasos mñ~ 1 ·'S md,\$
tmportantes, ya que una inadecuada planeación provocará una serie de proble- plunll'nto, sobi
ntes tipos mas que pueden im¡x-dir que se cumpla con la auditoría o bien hacer que no se 31
,;a les. a<í etedúe con el profc--•onalismo qut> debe tener cualquier auditor. FASES
litera. B trabaJO dt> auditoría d.,berá inclUir la planeaóón de la auditoría, el exa- DE V. AUOITORIA
mm y la C\ aluación de la informaoón, la comunicación de los resultados y el
'ealiza en ~imi~'TltO.
la plancación debera ser documentada e incluirá:
!ción para
;internos • El estableóm•ento de lo, objetivos y el alcance del trabajo.
• la obtención de mformación de apoyo sobre las actividades que se auditarán.
La determin.lción de lo' r.>curo;o, n~>ccsarios para realizar la auditoría.
trecursos Fl ~stablccimicnto de la comurucación nccesaria con todos los que estarán
mvolucrados en la auditoría.
r se cum- • La realización, en la form,l m.is aprop•ada, de una inspección física para
familiarizarM.' con las .1ctiv•dadcs y controles a auditar, así como identifica-
lizanyse ción de las ,ircas en la, que se deberJ hacer énfasis al realizar la auditoría y
ti vas. promover comentarios y la promoción de los auditados.
La preparación por c~crito del p rogra ma de auditoría.
• La determinación de cómo, cuándo y a quién se le comunicarán los resulta-
;recursos dos de la auditorí,l.
• La obtención de 1,1 aprobación del p lan de trabajo de la auditoría .
Objetivos
• Evaluación administrativa del .irea de procesos electrónicos.
de la planeaclón
• Evaluacitln de lo' s•stt•mas y procedimientos.
• Evaluación de lo, equipos de cómputo.
:erciorar- Evaluación del proce<o d~ datos, de los sistemas y de los equipos de cómpu-
jdos y si to (software, hardware, redes, ba""" de datos, comunicaciones).
Seguridad y confidcnciahd,ld de la información.
• A'pt.'Ctos legales de le><. ~"temas y dl' la •nformaóón.
l50S más Las met.1S se deberán c,t,lbk'Cer de tal manera que se pueda lograr su cum-
e problc- plimiento, sobrt.' la bas(' de los planes cspcóficos de operación y de los presu-
32 puestos, los que hasta donde S('a posible deberán ser cuantificables. Deberán La revü
CApjTULO 2
acompañarse de los criterios para med irlas y de fechas límite pa ra su logro. zada por ur
PLANEACIÓN Los programas de trabajo de auditoría deberán incluir: las actividades que no normaln
OE LA AUOITORIA se van a auditar, cuándo •~•·án aud itadas, el tiempo estimado reque•·ido, to· parle geren.
EN INFORMÁTICA
mando en consideración el alcance del trabajo de auditoría planeado y la natu· famil iarizad
raleza y extensión del trabajo de auditoría realizado por otros. Los programas causas de la
de trabajo deber,m ser lo su ficientemente ílexibles para cubrir demandas im· nes; el audi
previstas. consideraá<
los planes de contratación de empleados y los presuput!Stos financieros si el auditor
-incluyendo el número de auditores, su conocimiento, su experiencia y las gar de proc
disciplinas requeridas para realizar su trabajo-, deberán contemplar.e al ela· con la fased
borar los programas de trabaJO de auditoría, así como las actividades adminis· controles inl
trativas, la escolaridad y el adii.'Stramiento requeridos, la investigación sobre
auditoría y los esfuerzos de desarrollo.
Rev1s
ReviSióN PRELIMINAR Los objetivo
para que el ,
El primer paso en el desarrollo de la auditoría, después de la plancación, es la dentro del á'
revisión preliminar del área de in formática. El objetivo de la revisión preli mi· El audite
nares el de obtener la información necesaria para que el auditor pueda tomar la timic nto, cot
decisión de cómo proet.'<lcr en la auditoría. Al terminar la revisión preliminar el de con troJ in
auditor puede proceder en uno de los tres caminos siguientes. bas compem
puede, desp
• Diseño de la auditoría. Puede haber problemas debido a la falta de compe- internos 5(' b
alternos de a
tencia técnica para realizar la auditoría.
• Realizar una revi~ión detallada de los controles internos de los ~i.,tema~ con En la fas.
las causas do
la esperanza de que se deposite la confianza en los controles de los sistemas
y de que una serie de prueba' sustantivas puedan reducir las consccuen· para reducir
sión detallad
cias.
• Decid ir el no confiar en los controles internos del sistema. Existen dos raw· dos reducen
nes posibles para esta decisión. Primero, puede ser más eficiente desde el tención de in
usados en la
punto de vista de costo-beneficio el realizar pruebas sustru1tivas directa·
mente. Segundo, los controles del área de informática pu eden d uplicar los con que se ot
controles existentes en el área del usuario. El auditor puede decidir que se Como en
de log rar los
obtendrá un mayor costo-beneficio al dar una mayor confianza a los con-
troles de compensación y revisar y probar mejor estos controles. auditor inten
ciencia y efic.
suficientes pa
La revisión preliminar significa la recolección de evidendas por medio de interno debe
entre,·istas con el personal de la instalación, la observación de las actividades sobrecontroL
en la instalación y la revisión de la documentación preliminar. Las e\•idencias nos controles
se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de controles in te
entrevistas, o con documentación narrativa. Debemos considerar que ésta será tamente a rev
sólo una información inicial que nos permitirá elaborar el plan de trabajo, la proced imient
cual se profundizará en el desa rrollo de la audito ría. de los sistcnu
Deberán La revisión prt•liminar elaborada por un auditor interno difiere de la reali- 33~---'
ogro. zada por un auditor externo en tres aspectos. En primer lugar, el auditor inter-
odes que no normalml·nte reqmere de men<h revi>ione. y trabajos, especialmente en la
rido, to- parte gerencoal y de organiz.lCJÓn, ya que él e.. parte de la organización y está
la natu- familiarizado con la misma. En wgundo, el auditor externo se enfoca más en las
wamas C!U!\olS de las pérdidas y en los controles necesarios para justificar sus decisio- Tipos
odas im- nes; el auditor interno hene una amplia perspectiva, la cual incorpora en sus de revisiones
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
anderos SI el auditor onterno supone '>Crias debilidades en los controles internos, en lu-
ja y las gar de prOCl'<ler direct.lmcnte ron las pruebas sustantivas, deberá continuar
.e alela- con la fase de revisión detallada para ~ñalar recomendaciones para mejorar los
tdminis- cuntroles internos.
>n sobre
REVISIÓN DETALLADA
los objetivos de la fa¡,e detallada son los de obtener la información necesaria
para que e l aud itor tenga un profundo entend imiento de los controles usados
)n, esla dentro del área de informática.
prelimi- El auditor debe decidir s i debe de continuar elaborando pruebas de consen-
:omar la timiento, con la espcran>.a de obtener mayor confianza por medio del sistema
ninarel de control interno, o proceder directamente a la revisión con los usuarios (prue-
bas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor
puede, d<>spués de hacer un análisis detallado, decidir que con los controles
rompe- ontemo.. se li<>n<> sufic1ente confianza, y en otros casos que los procedimientos
alternos de auditoría purol'n ser más apropiados.
:nas con En la fase de evaluación dl'tallada es importante para el auditor identificar
jo;;temas las causas de las pérdidas existentes dentro de la instalación y los controles
.secuen- para reducir las pt'rdidas y los efectos causados por éstas. Al terminar la revi-
:o~ón detallada el auditor debe evaluar en qué momento los controles estableci-
O>razo-
dO!. reducen las pérd1das esperadas a un nivel aceptable. Los métodos de ob-
lesde el tención de mforn1ación al momento de la cvaluadón detallada son los mismos
directa- usados en la Investigación prelim1nar, y lo único que difiere es la profundidad
licar los con que se obtiene la inforn1ación y se evalúa.
rque se Como en el ca'<l de la investigación preliminar, se tienen diferentes forn1as
los con- de lograr los ob¡etivos desde el punto de vista del auditor interno o externo. El
auditor interno debe considerar las causas de las pérdidas que afectan la efi-
ciencia y eficacia, además de evaluar por qué los controles escogidos son o no
suficientes p.1ra rroucir las pérdidas esperadas a un nivel aceptable. El auditor
edio de
interno debe evaluar si los controles escogido.. son óptimos, si provocan un
vidades
sobrecontrol, o bien si '><' logra un satisfactorio nivel de control usando me-
dencias
nos controles o controles menos costosos. Si e l auditor interno considera que los
ediode
controles internos dl'l sistema no son satisfactorios, en lugar de proceder direc-
sta será
tament<> a revisar, a probJr control¡;s a lternos o a realizar pruebas sustantivas y
bajo, la
procroimientos, debe seí'íalar las recomendaciones para mejorar los controles
de los sistemas.
34 El dirE
selecciona
CAPiTUL0 2
PlANEACION
ExAMEN v EVALUACióN
DE lA AUOITOAIA
DE LA INFORMACIÓN • Descri
EN INFORMÁTICA • Selecc
• Entrer
Los auditores internos deberán obtener, analizar, interpretar y documentar la todos
mformación para apoyar los resultados de la auditoría. • Eva]u¡
J::l proceso de examen y evaluación de la in formación es e l siguiente: año.
• St• debe obtener la información d e tod os los asun tos relacionados con los
• Aseso:
sionaJ.
objetivos y alcances de la auditoría.
• La información deberá ser suficiente, competente, relev,1ntc y Litil para que El trab
proporcione bases sólid,,. en relación con los hallazgos y rt'Comendaciones la adecuad
de la auditoría. La información suficiente significa que está basada en he- El diJE
chO>., que es adecuada y convincente, de tal forma que una pcr;ona pruden- ner un pro
te e mformada pueda llegar a las mismas conclusion~>;, que el auditor. La lamento do
información competen!(' significa que es confiable y puede obtenerse de la u na seguri
mejor manera, usando las técnicas de auditoría apropiadas. La información normas ap
relevante apoya los hallazgos y recomend aciones de aud itoría y es consis- Unpr<
tclltC co11 los objetivos de ésto. l.a información útil ayud a a la o rgan ización
a lograr s us metas. • Supen.
• Los p rocedimientos de auditoría, incluyendo el empleo de las técrLicas de • Revisi<
pruebas selectivas y el muestreo estadístico, deberán ser elegidos con ante- • Rcvisic
rioridad, cuando esto sea posible, y ampliarse o modific,use cuando las cir-
cunst,,ncias lo requieran. La supo
• El proceso de recabar, anahzar, mterpretar y documentar la mformación ca lx) contir
deberá supervisarse para proporcionar una seguridad ra1onable de que la las normas
objetividad del auditor se mantuvo y q ue las metas de auditoría se cum- Las re'
p lieron. d e l de paru
• Los d ocu me ntos de trabajo de lo aud itoría d ebe rán ,;er preparados por los l1uditoría rE:
au d itores y revisados por la gerencia de auclitoría. Estos d ocumentos debe- r.1 qu e cual
r,in registra r la información obtenida y el análisis realitado, y deben apo- Para e\
yar las bases de los hallazgos de aud itoría y las recomendaciones q ue se pr,\c::ticarse
harán.
.para que El trabajo de auditoría interna y e•tema deberá coordinarse para asegurar
1dacioncs l.t adecuada cobertura y para minimizar la duplicidad de esfuerzos.
da en he- El director de auditoría interna en informática deberá establecer y mante- Programa
.apruden- ner un programa de control de calidad para evaluar las operaciones del dcpar· de control
odttor. La t.lml'nto de auditoría interna. El propósito de este programa es proporcionar de calidad
terse de la una seguridad razonable de que el trabajo de auditoría está de acuerdo con las
:Onnación
normas aplicables.
es consis- Un programa de control de ca lidad deberá incluir los siguientes elementos:
;anizadón
• Supervisión.
k nicas de • Revisiones internas.
:con ante- • Revisiones externas.
tdo las cir-
l..1 supervisión del trabajo de los auditores en informática deberá llevarse a
formación cabo continuamente para asegura~ de que están trabajando de acuerdo con
•de que la las normas, políticas y programas de auditoría en informática.
ía se cum- Las re,isiones internas deberán realizarse periódicamente por el personal
del departamento de auditoría interna para evaluar la calidad del trabajo de
los por los auditoría realizado. Estas revisiones deberán llevarse a cabo de la misma mane-
ntosdebe- ra que cualquier otra auditoría.
leben apo- Para evaluar la calidad del trabajo de auditoría en informática deberán
nes que se prc1cticars.e revisiones externas.
•ditorla. El
velesapro·
formes de-
s informes PRUEBAS DE CONSENTIMIENTO
tdose con-
~enáales y
El objetivo de la fase de prueba de consentimiento es el de determinar si los
"OS de vista
controles internos operan como fueron diseñados para operar. El auditor debe
<len ser in· determinar si los controles declarados en realidad existen y si realmente traba·
jan confíablemente.
51dacioncs, Además de las térnicas manuale:. de recolección de evidenóas, muy fre-
¡¡J]azgos de cuentemente el auditor debe recurrir a técnicas de recolección de información
asistidas por computadora, para deternünar la existencia y confiabilidad de los
36 controles. Por ejemplo, para evaluar la existencia y con fiabilidad de los contro- Elau
CAPITULO 2 1('5 de un sistema en red, se requerirá el entrar a la red y evaluar directamente al
PI.ANEACION sistema.
OE LA AUDITOAJA
EN INFORMATlCA
• Dura
• Dura
• Dura
Realiz
PRUEBAS SUSTANTIVAS lograr los
..,ubsistem,
c,1s de cad
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que subsistem
permita al auditor emitir ~u juicio en la• conclusiones acerca de cuándo pueden evaluación
ocurrir pérdidas materiales durante el procesamiento de la información. El a u· sin ol\·idar
ditor e\temo expresará L.,.te juicio en forma de opinión <obre cuándo puede
ex•shr un proceso equivocado o falta de control de la información. Se pueden
la SUil\
identificar ocho diferentes pruebas sustantivas:
sistem
i!gUri· Lo' pasos que involucran una auditor~,¡ en mformática son similares a aquc-
lllh que ~ realizan para auditar un sistcm,l manual. Primero se realiza unil
mvt..,llg.,ción preliminar del área d•• inform.itic.l, P•"•' lograr un entendimiento
d~ ct\mo o.'stá siendo administrada la in,t,1lación y de los principales sistema'
que son procesados. En segundo lug.u, si el auditor determina confiar en los
controles internos del sistema, se re« liza una inw,llgación detallada. En tercc·
ro, ••1 auditor, de acuerdo con su juicio, prueba la confianLa sobre aquellos con-
trolt•, qut' son críticos. En cuarto, se rt.'ah-.ln pruebas sustantivas de los procl'
d1m1cntos. Finalmente, el auditor debe d.u u11.1 opmilln. Después de estos p.l·
~" •·1 auditor evalúa los control<" int,•m•" dt•l ,i,tt>ma y decide si debe proce-
leva- der con pasos alternativas.
senta Durante la aud.itoña en mformatica d<·bcn tomarse muchas decisiones difi·
~rcu·
o k"> Cada evaluación sobre la confianza de lo> >bh!ma> de control in temo l't'·
costo qui•·re de evaluaciones complejas re.1luadas en forma conjunta con las e\iden-
ión o ''·" obtenidas.
-~-38
CAPITULO 2
PLANEACIÓN
OE LA AUOITORIA
EvALUACióN DE LOS SISTEMAS INVE
EN INFORMATICA DE ACUERDO AL RIESGO
Es n~
quer
Una de las formas de evaluar la importancia que pu ede tener par~ la organiza- rápid
ción un determinado sistema, es considerar el riesgo que implica el que no sea msmc
utilizado adecuadam('ntt', la pérdida de la información o bien el que -.ea usado
por personal ajeno a la orgaiÚLlción. Para evaluar el riesgo de un sistema con La 1n
mayor detalle véa'>C ('] apartado "Plan de contingencia y pr()C('(jimientos de troJ gcrer
respaldo para casos de d~tre", en el capítulo 6. troles ger
Algunos sistemas de aplicacionc:> son de más alto riesgo que om¡, dt-b1do a prácticas
que: de la inst.
los contrr
• Son susceptibles a diferentes tipos de pérdida económica. dos sobre
aplicacior
1 Ejemplo Fraudes y desfalcos entre los cuales está n los sistemas financieros. Sede\
mento po
El auditor debe de poner L'Special a tención a aquellos sistemas que requie- documenl
ran de un adecuado control financie ro. p rograma
Sede~
1 Ejemplo Flujo de caja, inversiones cuentas por pagar y cobrar, nóm1na. dentro de
ria y la fec
• Las faUas pueden impactar grandemente a la organización. En el e
ción prdin
1 Ejemplo Una falla en el procesam•ento de la nóm111a puede tener como consecuencsa
pos de eón
el que se tenga una huelga.
nar se deb
áreas, ba.J
• Interfieren con otr~ >blcmas, y los errores generados permean a otros sis-
temas.
Admini$lr,
• Potencialmente, alto riL>sgo debido a daños en la competencia. Algunos sis-
departam
temas le dan a la orgamz.tción un nivel competitivo muy alto dentro de un
me rcado. dedocume
La efici
1 Ejemplo Sistema de planeación estratégica. Patentes, derechos de autor, los cuales objetivos e
son tas mayores fuentes de recursos de la organización. Otros a través de los adapta a lo
cuales su pérdida puede destruir la imagen de la organización. Est,t ad
usuarios d
• Sistemas de tecnología de punta o avanzada. Si los ~istemas utiliLan tecno- dirl•cción v
logía avanzada o de punta. dicho s~Sten
cutivos y u~
1 Ejemplo Sistemas de bases de datos, sistemas d•stnbuidos o de comunicacl6n, teooo- Asimisr.1
logía sobre la cual la OfV81\IZ3ción tenga muy poca expenencsa o respaldo. la que el pen.t
cual es más probable que sea una fuente de problemas de control. dos que <;e e
troJ. únrcam
• Sistemas de alto costo. Si~temas que son muy costosos de dt'Silrrollar, '"'
cuales son frecuentemente sistemas complejos que pueden pre:<entar mu-
chos p roblemas de control. 'Thc Sp
INVESTIGACIÓN PRELIMINAR
E.< ne<•..,.no iniciar el traba,o d~ obtención dt> dato. con un contacto preliminar
que J"'nnota una pnmt>ra odea giOO..I El ~o dt> este primer contacto es percibir
;.miza- rápidamente las "'tructuras fundamentales y di!erencias principales entre el orga-
no sea ru ..mo a audltar y otras org.ltULloone que se hayan in\·estigado. 1
usado
na con L.1 investigación preliminar debe incorporar fases de evaluación del con-
tos de trol gerencial y del control de las aplicaciones. Durante la revisión de los con-
troles gerenciales e l audotor debe entender a la organización y las políticas y
.¡,ido a prácticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquía
de la instalación en que se encuentran las computadoras. Durante la revisión de
los <Xlntroles de las aplicacione~, el auditor deb<: enten der los controles ejerci-
dos sobre e l mayor tipo de transacciones que fluyen a través de los sistemas de
aplicaciones más significativos dentro de la instalación de computadoras.
Se debe recopilar información pMa obtener una visión general del departa-
mento por medio de observaciones, e ntre vistas preliminares y solicitudes de
equic- documentos; la finalidad es d efinir el objeti vo y alca nce del estudio, así como el
programa deta llado de la investigación.
Se deb<:rá observM el estado general del depa rtamento o área, s u situación
dentro de la organinción, si exisle la información solicitada, si es o no necesa-
ria y la fecha de ;u última actuali¡ación.
En el caso de la auditoría en ilúormática debemos comenzar la investiga-
ción preliminar con una visita al organismo, al área de informática y a los equi-
pos de cómputo, y solicitar una serie de documentos. La ilwestigación prelimi-
nar se debe hacer solicitando y revisando la ilúormación de cada una de las
áreas, basándose en los siguientt!>. puntos:
JS sis-
Admin istración. Se r<'COpíla la información para obtener una visión general del
lS sis-
departamento por medio de ob:icrvacioncs, entrevistas preliminares y solicitud
deun
de documentO'> para poder definir el ob¡etivo y alcances del departamento.
La eficiencia en el departamento de ilúormática sólo se puede lograr si sus
lS
objetivo, ~tán integrados con los de la mstitución y si permanentemente se
lS
adapta a los posibles cambios de éstos.
Esta adaptación tinicamente puede ser posible si los altos ejecutivos y los
usuanos de los 5istemas toman parte activa en las decisiones referentes a la
ecno- dirección y utili7ación de loo; sistemas de ÍIÚormación, y si el responsable de
dicho sistema constantemente consulta y pide asesoría y cooperación a los eje-
cutivos y usuarios.
)- Asimismo el control de la dirección de informática no es posible, a menos
a que el personal responsable aplique la misma disciplina de trabajo y Los méto-
dos que se exigen normalmente a los usuarios. Podemos habla r de tener el con-
trol, únicamente cuando se contemplaron los objetivos, se estableció un presu-
tr~ los
r mu-
'"Tht.• Spn•o~ding Dar.,;er u( Ctlmputl'r Cnme... l'n 8J4sme.;s W«k. 20 de abril de 1981
40 puesto y se registraron correctamente los costos en el desarrollo de la aplica- • Proc
CAPiTULO 2 ción_ y cuando ésta contempla el nivel de servicio en términos de calidad y • Pres1
PLANEACIÓN tiempos mínimos de entrega de resultados de la operación del computador.
OE LA AUOITORiA El éxito de la dirección de informática dentro de una organización depende Recu
EN INFORMÁTICA
finalmente de que todas las personas responsables adoptan una actitud positi-
va respecto a su trabajo y evalúen constantemente la eficiencia en su propio • Solic
trabajo, así como el desarrollado en su área, estableciendo metas y estándares local.
que incrementen su productividad. prog:
La dirección de informática, según las diferentes áreas de la organización, • Es tu<
es evaluada desde diferentes puntos de vista. • Fech1
Los usuarios a nivel operativo generalmente la ven como una herramienta • Conb
para incrementar su eficiencia en el trabajo. Para estos usuarios, la dirección de • Cont1
informática es una función de servicio. Cada grupo de usuarios tiene su propia • Conv
expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y • Con6
normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios. • Confi
Los altos ejecutivos consideran a la dirección de informática como una in- locali.
versión importante, que tiene la función de participar activamente en el cum- • Plane
plimiento de los objetivos de la organización. Por eUo, esperan un máximo del • Ubica
retomo de su inversión; esperan que los recursos destinados a la dirección de • Políti<
informática proporcionen un beneficio máximo a la organización y que ésta • Políti<
participe en la administración eficiente y en la minimización de los costos me- • Polític
diante información que permita una adecuada toma de decisiones. Los directi- extem
vos, con toda la razón, consideran que la organización cada día depende más
del área de uúormática y consecuentemente esperan que se deba administrar lo Sisterr
más eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la dirección de • Descri
informática es la misma que inspira cualquier departamento de servicio: com- larse, e
binar un servicio adecuado con una operación económica. • Manu~
ección de • 0.,-.cnpción general de lo- sistemas in~talados y de los que estén por in~ta
cio: com- lan.e, que contengan volúmenes di' información.
\lanual de formas.
rios, que • Manual de procedimientos de lo, sistemas.
:onómico • [k,.cripción genérica.
• ()¡agramas de entrada, archi\'OS, 'Mllida.
• F~ocha de instalación de los si;tcmas.
solicitar:
• Proyecto de instalación de nuevos s•stcmilS.
Bases de datos, propietarios de la información y usuarios de la misma.
• Procedimientos y políticas en casos de desastre.
• Sbtcmas propios, rentados y adquiridos.
No se tiene y se necesita.
'lo se tiene y no se nC<.'CSita
, nil eles
• Se tiene la información pero:
o :-lo se usa.
o
Es incompleta.
o
42 No está actualizada. En prime~
o No es la adecuada. zación, que dE
CAPfruLO 2
o
PLANEACIÓN Se usa_ está actualizada, es la adecuada y está completa. la auditoría,
DE LA AUDITORfA las reuniones
EN INFORMÁTICA
En el caso de que no se disponga d e la información y se considere que no se Éste es UD
necesita, se debe eva luar la causa por la q ue no es necesaria, ya que se puede di rccción, ni
Uso estar solicitando un tipo de información que debid o a las características del una o varias
de infonnación organismo no se requiera. Eso nos dará un parámetro muy importante para ción en el mo
hacer una adecuada planeación de la audito ría. También s
En el caso de que no se tenga la información pero que sea necesaria, se debe en el moment
recomendar q ue se elabore de acuerdo con las necesidades y con el uso que se le de comproba
va a dar. do, y complen
En el caso de que se tenga la información pero que no se utilice, se debe sólo el punto
analizar por qué no se usa. El motivo p uede ser que esté incompleta, que no esté del sistema.
actualizada, que no sea la adecuada_ etc. Hay que analizar y definir las causas Paracomp
para señala r alterna tivas de solución, lo q ue nos lleva a la utilización de la in- de la auditoría
formación.
En caso de que se tenga la información, se debe analizar si se usa, si está
actualizada, si es la adecuada y si está completa; de ser así, se considerará den-
• Técnico e
tro de las conclusiones d e la evaluación, ya que como se d ijo la aud itoría no sólo
• Conocimie
debe considerar errores, sino también señalar los aciertos.
• ExperiencH
Antes de conclu ir esta etapa no se olvide que el éxito del análisis critico
• Experienci
• Conocimiet
depende de las consideraciones siguientes: • Conocimi
caciones, d
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la • Conocimiet
información sin ftmd arnento). Investigar las causas, no los efectos.
• Ate nder razones, no excusas.
• No confiar en la memoria, pregunta r constantemente. En el caso1
mientes y expe1
• Criticar objetivamente y a fondo todos los informes y los datos recabados.
caciones, etcét<.>
Lo anterior
y experiencias !
con las caracte
PeRSONAL PARTICIPANTE Una vez pla
bilidad de pre
de auditores ext
Una de las partes más importantes e n la pla neación de la aud itoría en informá- La carta con
tica es el personal que deberá participar. su confirmació"
En este pu nto no veremos el nú mero d e personas q ue deberán participar, auditoría, las lin
ya que esto depende de las dimensiones d e la organización, de los sistemas y de dad y los inforrr
los equipos; lo que se deberá considerar son las ca racterísticas del personal que
habrá de participar en la a uditoría. Una vez que
Uno de los esquemas generalmente aceptados para tener un adecuado con- do en la figura 2.
trol es q ue el personal q ue intervenga esté debidamente capacitado, que tenga Este formato de
un alto sentido d e moralidad, al cual se le exija la o ptimización de recursos cuado control d i
(eficiencia) y se le retribuya o compense justamente por su trabajo. de formulación, 1
Con estas bases debemos considerar los conocinúentos, la práctica p rofe- dad, el número <
sional y la capacitación que debe tener el personal que intervendrá en la auditoria. mutación, el nÚf1
En primer lugar, debemos pensar que hay personal asignado por la organi- 43
z~on, que deba tener el suficiente nivel para poder coordinar el desarrollo de
PERSONAL
la aud1toria, proporcionamos toda la inforrnación que se solicite y programar PARTICIPANTE
la> reuniones y entrevistas requeridas.
! nOse ~ste es un punto muy importante ya que, de no tener e l apoyo de la a lta
ouede dirección, ni contar con un grupo mu ltidisciplinorio e n d cual estén presentes
!Sdel una o varias personas del área a auditar, será casi imposible obtener inforrna-
~para aon en el momento y con las características deseadas.
Tambuin se debe contar con personas a;ignadas por los usuarios para que
!debe e1 el momento que se solicite inforrnación, o bien se efectúe alguna entrevista
ese le de comprobación de hipótesis, nos proporcionen aquello que se está solicitan-
do, 1· ((Implementen el grupo multidisciplinario, ya que debemos analizar no
debe sólo el punto de vista de la dirección de inforrnática, smo también el del usuario
oesté Jet "stema.
ausas Para complementar el grupo, como colaboradotl-s directos en la realización
la in- de la auditoría. se deben tener personas con las siguientes características:
rl
PARTICIPANTE
laneación.
trabajo
1 figura 2.3,
figura 2.4.
Agura 2.1. Programa de audltorla en Informática
FECHA DE F<:JRtA~LACION
1.
ORGANISMO
-- NúM. HOJA NUf\L OE - - -
•
PEfUOOO OUE REPORTA •
•
•
SITUACIÓN DE LA AUOITOAIA PERkXIO REAl DE lA AVDITORtA
OlAS GRADO olAs
H<)M. EXPLICAOÓH OE LAS VA.RI~
•
REALES OE
FASE UTIUZA· AVAN· BRE NES EN RElACIÓN CON' LO •
NO INICIADA EN PROCESC TERM NADA INtCIAOA TERI¡IINAOA
oos CE EST PAOOIWAAOO •
•
•
•
•
•
2.
•
3
11
1!
1'
jemplo de propuesta de servicios de auditarla en Informática
:DENTES
·ganización.
iones.
tivos.
ctura.
rsos humanos.
1as y políticas .
.citación.
!S de trabajo.
·oles.
1dares.
iciones de trabajo.
ción presupuesta! y financiera.
m de los sistemas:
V. TlEMPO Y COSTO
representada por _ _ a
• ~
e) Evaluc
111. Declaran ambas partes:
• A~
a) Que habiendo llegado a un acuerdo sobre lo anles mencionado, lo
• Ci
formalizan otorgando el presente contrato que se contiene en las
siguientes:
• Ut
• Es
• e~
CLÁUSULAS
• Nu
Primera. Objeto
• A Ir
El auditor se obliga a preslar al cliente los servicios de auditarla en informá· • Co
toca para llevar a cabo la evaluacoón de la dirección de onformática del cliente.
• Re
que se detallan en la propuesta de servicios anexa que, formada por las par·
• Eq
tes, forma parte integrante del contrato.
• Re
Segunda. Alcance del trabajo 51
8 alcance de los trabajos que llevará a cabo el aud1tor 1ntemo dentro de este PERSONAL
contrato son PARTICIPANTE
nabca
Cuarta. Supervisión
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le
han encomendado al auditor dentro de este contrato y a dar por escrito las
instrucciones que estime convenientes.
Decimoséptima. Jurisdicción
OeJ
Todo lo no prev1sto en este contrato se regirá por las disposiciones relativas,
contenidas en el Código Civil del y, en caso de contro· Al finaliza
versia para su interpretación y cumplimiento, las partes se someten a la juns·
dicción de los tribunales federales. renunciando al fuero que les pueda co·
rresponder en razón de su domicilio presente o futuro.
Enteradas las partes del contenodo y alcance legal de este contrato. lo
rubncan y firman de conform1dad. en original y tres copias. en la ciudad de
• eldla
EL CLIENTE EL AUDITOR
)
Auditoría
CAPÍTULO
de la función
de informática
OBJETIVOS
Al finalizar este capitulo, usted:
• Organización.
• N<Jrma'> y políticas.
• Plan"' de traba¡o.
• Controle'
• E.'t.indarcs.
• l'rOC<.>dimit•ntos.
Despu
PRINCIPALES PLANES cificac1one
QUE SE REQUIEREN a sesores, r
ycomogu
DENTRO DE LA ORGANIZACIÓN
DE INFORMÁTICA
Planeacic
modifica<
Estudio de viabilidad
Investiga Jos costos y beneficios de los usos a largo plazo de las computadoras, Especifica l.
y recomienda cuándo dl'be o no usarse. En caso de requerirse el uso de¡,, compu· ymodificac
!ación, sirve para definir el tipo de hardware, el software y e l equipo periférico do la organ
y de comunicación ncct'Sarios para lograr los objetivos de la organi~ación. hardware, (
El estudio de viabilidad consiste en la evaluación para determinar, prime- Alguna
ro, si la computadora puede resolver o mejorar un determinado prOCL'<iu:nienlo,
y, segundo, cuál es la m¡,jor alternativa. Para lograr esto se deben de contL><;Iar • Espccif
una serie de pregunta~. entre la~ cuales están las siguiente-;: pcrífén
• Evaluac
• Planeac
• ¿la computadora r(";()lvcrJ o mejorará los procedimientos, funciones o ac· • Prueba<
tividades que se rcali.tan? • Envío e
• ¿La computadora mcjorarJ la información para lograr una adecuada toma • Particip
de decisiones? • Diseño o
níta lograr • ¿El costo de la infonn.itica proporcionará una adecuada tasa de retomo? 59
na adecua- (En este caso, uno de los mayores problemas es el de evaluar Jos intangibles.)
• ,Cuál es elJ"'nodo di' recuperación de la imersión?
lea se está • ,Cuál es la relación costo-beneficio que se obtendrá?
a gerencia • ¿Se debe d•.,.,rrollar un nuevo s•~tema o adquirir una nueva computadora.
o b1en hacer cambiOS al &~stema actual o actualizar el sistema de cómputo
que se tiene?
• ¿Se debe comprar o elaborar mtemamente los nuevos sistemas o las ade-
e se van a cuaciones?
¿Se deben comprar Jos equ1po>, rentar o rentar ron opción a compra?
el trabajo, ¿Se delx>n hacer camb•os estructurales en la organización para lograr el in-
ra reai.Uar cremento en las capacidades de proa.>samiento?
¿Qué pnorid,ld tiene el proyecto y para cuándo debe ser realizado?
1personal • ¿Qué caracteri~ticas tiene el sistema actual?
¿Cuáles son las ,ireas potenciales en que se usará el nuevo sistema?
y guía, y ¿Cuáles son las fortale,as y debilidades del sistema actual?
¿Cuáles son los recursos adicionales que se requerirán?
ra realizar • ¿Cuál es el impacto a informática a largo plazo?
• ¿Cuáles son las restricciones que se deben considerar?
• ¿Cuál es el proyecto (PERT) que se tiene para su implementación?
Planeaclón de cambios,
modificaciones y actualización
01tadora>, Espeafica las metas y actividades que se deben realizar para lograr los cambi~
y modificacioneo;, su indeJ"'ndencia, tiempos, responsables y restricciones, ruan-
Jacompu-
do la orgam1.ación toma la deci~ión de hacer cambios sustanciales de software,
perilériro
hardware, comuntcación o eqwpo:> periféricos.
>Ción.
Algunas de la~ act1vidades tip•cas en este plan son:
lt, prime-
dimiento,
contestar Es~cificación completa de hardware, software, comunicación, equipos
periférico,.
• Evaluación y selección.
• Planeación física y preparación del lugar.
)nes o ac- • Prueba~ finales de aceptación.
• Envío e instalación .
ada toma • Participación del aud itor intemo y de los usuarios.
Diseño de 1.1 estructura organizadonal en caso de que se vea afectada.
60 Unpla'
Plan maestro gra r un det
CAPITULO 3
AUOITORfA OE cadas d entr
LA FUNCION OE
IN FORM ÁTICA
El p lan maestro o pla n cstr~tégico de una instalación informática define los
objetivos a la rgo pJa¿o y las me tas necesarias para logra rlo.
Una de las p rincipaii'S obligaciones del área de ge rencia en informática es
la construcción d e ul\ p lal\ maestro. El plan maestro debe contener los objeti- • ldentif
vos, metas y actividades genera le~ a realizar d urante Jos siguielltcs ailos, incl u- • ldentif
yendo los nuevos sistemas que se pretenden implementar. Puede comprellder • De tem
un periodo corto o largo, dependiel\do de las características y necesidades de la • Detem
organización, y de Jo cambiante de los sistemas. Una organiLación consolidada • Dele m
posiblemente requiera un plan maestro a más largo plazo que una organinción • Detern
de reciente creación.
El plan maestro puede comprender cuatro subplanes:
Plan de!
A) El p lan estratégico de organización. incluye los objetivos de la organización continge
a largo p lazo, el med io ambiente, los factores organizacionalcs que serán
afectados, así como sus priorid ades, el person al reqt •crido, su actualiza- en caso•
ción, d esarrollo y capacitación.
Una insta!.
B) El plan estratégico de sistemas de illformación. Se debe elaboro ,· el plan
razones: hr
estratégico y Jos objetivos planteados a largo p lazo dentro de un plan estra-
tégico de información, y las implicaciones que tendrá dentro de la organi- mas d el ec
ocurre ncia
zación en general y en la organización de informática.
ni2ación. S
d eben lenE
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los
d e recupcr
objetivos planteados.
en cuentre~
•
Pla neación de desarrollo y capacitación de l personal llecesario, o bien
su contratación.
Recursos financieros que se necesita rán.
EvAL
• Reque rimiento de (acilidades.
• Requerimientos de cambios en la o rganización. Para logra
d e organi2
ica es
>bjeti- Identificar las tareas a realizar.
ndu- Identificar las relaciones entre tareas.
!'llder Oo!terminar las restricciones de tiempo de cada tarea del proyecto.
de la • 0\,terminar los recursos necesarios para cada tarea.
.dada • 0\,terminar cualquier otra restricción que ..e tenga .
ación • ~terminar la secuencia de actividades.
bien
EvALUACióN DE LA ESTRUCTURA ORGÁNICA
!mente, es la
En la actualidad, con la proliferación de computadoras personales y la crea-
oón de redes tanto internas como externas, así como de bases de datos que son
:a, o departa- utilit.ndns por diferentes usuarios a diversas profundidades, este tipo de orga-
;e le conocía,
niución se puede considerar romo la más recomendable. Lo que hay que tener
administra ti- muy claro es que en eMe tipo de organización el departamento de informática
"'el responsable de las normas y políticas de adquisición de equipo y de utili-
e se presenta zación del mismo.
a. La ventaja
Dentro de esta misma forma de organiz.ación se debe evalua r la posibilidad
nformática y
de tener uM estructura por proyectos, lo cual permitirá que los diseñadores de
listemas.
los sistemas estén más n•rca de las drcas usuarias. Esto se puede lograr median-
~rados como
~~ la creación de una fuerza de trabajo independiente, con todos los recursos,
d requerida.
f"'rO con la obligación de cumplir con los objetivos y metas señalados para un
que un área •ist~ma dentro de los diferentes planes.
te o director
la nespuesta a si un tipo de organización corporativa es la más conveniente
>ámiento de
¡·en qu~ grado está en función de la decisión sobre tener una organización cen-
dentro de la
tralizada o descentralizada, La descentralización del procesamiento de la infor-
s, lo que da
mación ocurre cm la actuaüdad romo algo natural, debido al incremento de las
teión se usa- mmicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar
es recomen-
d dí.'Sarrollo, implementación y adquisición de equipos y de software, se deben
tener politicas de descentralización muy bien definidas, para evitar la prolifera-
penda de la
aon de equipo y de o;oftware que impida la adecuada comunicación y la adqui-
la.
'ICIÓn de equipo no compatible, y que dificulte la integridad de los datos, lo
demformá-
cual hace necesario que el personal sea entrenado en diferentes equipos, si,;te-
alle pemú- m.lS y plataformas.
;)5 y, por lo
O) La cuarta forma de organi7.ación es la creación de una compañía inde-
de acuerdo
pendiente que dé servicio de mlorm.ítica a la organización-
•que ele,·a-
as que hay
a dirección
EsTRUCTURA ORGÁNICA
ntos de in-
as normas,
l..no de los elementos mós críticos e:, e l relativo al personal y a su o rgani<ación,
:a, aunque
Un personal calificado, motivado, entrenado y con la adecuada remuneración,
1 dirección
repercute directamente en el buen desempeño del área de informática.
•troles.
64 Bases jurídícas {principalmente ¿Permil
CAPiTULO 3 en el sector público)
AUOITORIA DE C<
LA FUNCIÓN D E • C<
INFORMÁTICA
• To
A continuación ofrecemos unos cuestionarios que servirán para evaluar la
orgánica y las bases jurídicas:
estructura Si algun¡
OBJETIVO DE LA ESTRUCTURA
¿La estructura actual está encaminada a la consecución de los objetivos del ¿Se consi
área? Explique en qué forma. dida actu<
No, ¿por e
Se debe te
NIVELES JERÁRQUICOS
to, ya que
dan a los p
Es conveniente conocer los niveles jerárquicos para poder evaluar si son los
necesarios y si están bien definidos. ¿Los pues•
llevar a cab
¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del área? SI NO No, ¿porqc
¿El número
con las fun(
¿Permften los niveles jerárquicos actuales que se desarrolle adecuadamente la:
Solicile el m
• Operación? sr NO
• Supervisión? sr NO • Anáh~
• Control? sr NO Progra
¿Permiten los niveles actuales que se tenga una ágil: 65
EVALUACIÓN DE
Comunicación ascendente? sJ NO LA ESTRUCTURA
Comunicación descendente? sJ NO ORGÁNICA
Toma de decisiones? sJ NO
V19entes?
NO
.Considera que algunas áreas deberían tener:
Mayor jerarquía? sJ NO
Menor ¡erarqula? sJ NO
DEPAATAMENTALIZACIÓN
ob¡etiVos del ¿Se cons1deran adecuados los departamentos, áreas y oficmas en que está d1v1·
d1da actualmente la estructura de la dirección? si NO
PUESTOS
Se debe tener cuidado de que estén bien definidas las funciones de cada pues·
to ya que desafortunadamente ex1ste mucha confus1ón en los nombres que se
dan a los puestos dentro del med10 de la Informática.
s1 son tos
¿Los puestos actuales son adecuados a las necesidades que tiene el área para
llevar a cabo sus funciones? si NO
y suliclentes
SI NO No. ¿por qué razón?
• D~rector
• Subdirector.
• Jefes de depanamento. So exp que
• Jefes de seccoón.
• Jetes de área.
EXPECTATIVAS
¿COnsidera qua debe revisarse fa estructura actual. a f n de hacerla más efi- Por qué no?
Ciente? s1 NO
¿Por qué no
---
,su autondad va de acuerdo a su responsabilidad?
SI HO
,No, por qué razón?
Que
¿Existe en el área algún sistema de sugerencias y quejas por parte dol personal?
• HO
FuNCIONEs
ISIO
L 'funciones en infonn.itica puedl'n diferir de un organismo a otro, aunque <oe
dr"gnen con d mismo nombre; por ejemplo, la función del programador en
~a organización puede <oer diferente en otra organización. Ofrecemos a conti·
nuJdón un cuestionario para eva luar las funciones.
EXISTENCIA
--------
68
¿Ou•án elaboró las funcoones? Sonada<~
CAPfT\11.0 3
AUDITORIA DE
LA F\JioiCIÓN DE En caso
tN.OAMATICA ¿PartiCipó el área en su lormulación?
e
¿Por qué causas no partiCipó?
COINCIDENCIAS
¿Cómo afecta
¿Las funciones del área están acordes al reglamento interior? SI NO
No ¿por qué?
¿Conocen otras áreas las funciones del área? S NO
ADECUADAS
Debemos tener cuídado. ya que en esta área podemos detectar malestares ele\
personal, debido a que SI las funciones no son adecuadas a las necesidades
pueden ex1sttr problemas de deftnición de funCiones o bien de cargas de traba¡o.
No. ¿por qué?
¿Son adecuadas a la realidad las funciones? SI NO
--
¿Cómo afecta la desconcentraclón a las funcoones?
----
,Oué func:íones se van a desconcentrar?
-------- - -
¿Partocopó la direccion de onformátoca en su elaboración?
SI NO
CUMPLIMIENTO
Esta sección nos sirve para evaluar el grado de cumplimiento de las funciones
de! personal.
¿A Miel de departamento?
Si NO
¿A novel de puesto?
si NO
-
No. ¿porqué?
----
¿Las actovodades que realiza el personal son acordes a las runcoones que llene
asignadas? SI NO
70 No, ¿qué t1po de act1v1dades realiza que no están acordes a las func1ones
CAPITULO 3 asignadas?
AUOITOAIA CE
LA FUNCIÓN DE ¿Para cum
INFORMATICA
¿Cuál es la causa?
¿De qué l1p
¿Las actividades que realiza actualmente cumplen en su totalidad con las fun· ¿Se lo prop
aones confendas? 81 HO
No, ¿que le
No, ¿cuál es su grado de cumpllffilento?
No. ¿cómo1
La falta de cumphm1ento de sus funciOnes es por.
Periód1ca?
¿A cuántas 1
• Eventual?
¿Cuáles son
SIStemátiCa?
Otras?
¿ Ex1ste dupt
¿Tienen programas y tareas encomendadas? SI NO
Si, ¿qué conl
No, ¿porqué?
¿Existe duphc
¿Permiten cumplir con los programas y tareas encomendadas (necesidades de
operación)? • NO Si, ¿cuáles y
-- --
¿la duplicidad de funciones se debe a quo el área no puede realozanas?
1<0
Si, ¿cuál es la razón?
¿En q.,.
¿Por qu1
OBJETIVOS
¿Qué pn
Uno de los posibles problcmds o descontentos que puede tener el peroon.1 l es l'l
desconocimiento de los objetivos de la organización, lo C\IOI puede deberse a
una falta de definición de los objetivos; esto provoca que no se pueda tener una
planeación adecuada.
Ofrecemos un cuc;honario que sirve para evaluar los ObJetivos. ¿Se han
EXISTENCIA ¿A quoén
¿Qué m6
¿Cuál fue el métOdo para el estabfec1moento de los obJetovos?
<-Qué asp
Nadie le ex1ge establecerlos &1 NO
FORMALES
--~----~--
¿Cómo afecta a la operaclón del área el hecho de que los ob¡etivos no se hayan
oado a conocer o que su COilOClmtento sea parcial?
ADECUADOS
¿Son realistas?
SJ NO
74 ¿Se pueden alcanzar? SI NO ¿Quién re~
CAPITuL03
AUOITORIA OE ¿Por qué?
lA fUNCI()tl OE ¿De qué
INFORMATOCA
¿Están de acuerdo con las funciOnes del área? SI NO
¿Part1C1pa
¿Se~alan cuáles son las realizaciones esperadas? si NO
¿Cuándo
¿Son congruentes con los obJeUvos Institucionales? si NO
CUMPLIMIENTO
¿Qué sugerencias tiene para que la actualización de los objetivos sea más eficaz?
ANÁLISIS DE ORGANIZACIONES
Entre ldS diferentes formas de la estructura organizacional de la dirección de
mfonnática no existe una evaluación concreta y aceptada de las funciones de
esta. Las funciones que en una organización son consideradas como de progra·
mador, en otra pueden ser de analista o de analista programador, y en algunas
se han d ividido ciertas funciones con diferentes niveles, por ejemplo, progra·
mador 1, programador 11, et~tcra.
Esto ha dado por resu ltado que, al no existir una definición clara de los
niveles, funciones y conocímicntos, las personas se designen con el titulo que
ellos consideran pertinente; por ejemplo, ingeniero en sistemas (sin haber obte·
nido el grado), analista de si<. temas, o bien que en algunos países existan escue-
las que confieran grados académicos que no son reconocidos oficialmente. Al
111alinr las organizaciones debemos tener muy en cuenta si están definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
niveles de la organización.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el Elaboración
actual plan de organización, ya que esto facilita el estud io y proporciona una del organigrama
imagen general de la organización.
Criterios para analizar o rganigramas:
¿Es freC<Jel
No, anote r
El desarrollo del personal implica:
• Establecer p romociones y oportunidades de desarrollo. En general,
• Educación y capacitación. Estas actividades mantienen la moral y las habi- cidos?
lidades de los empleados en w1 nivel adecuado para cumplir con los objeti-
vos y metas encomendadas, y les permitirá tener mayor motivación y mejo· No, ¿por qu
res rcmw1eracioncs. En el área d e informática es muy importante la capaci-
tación para tener actualizado a nuestro personal en una disciplina en la que
¿Alguna de
puede quedarse rezagado muy rápidamente, aunque, por o tro lado, debido trabajo?
a la presión de tiempo con la que se trabaja, en muchas ocasiones no se le da
al personal la oportunidad para capacitarse. Si, ¿qué se
Se deberá obtener información sobre la situación del personal del área, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyección ¿Respeta el
de recursos humanos. A continuación tm ejemp lo de cuestionario para obtener
información sobre los siguientes aspectos: No, ¿porqu•
• Desempeño y comportamiento.
• Condiciones de ambiente de trabajo. ¿Existe coo~
• Organ ización en el trabajo.
• Desarrollo y motivación.
No, ¿por qué
• Capacitación y supervisión.
--~
¿Es suficiente el número de personal para el desarrollo de las funciones del ¿Presenta el
área? si NO
¿Se de¡a de realizar alguna actividad por falta de personal? si n
10.
EVAlUACIÓN DE
a. ¿Está capac1tado el personal para realizar con eficacia sus funciones? lOS RECURSOS
veles Si NO HUMANOS
No. ¿porqué?
¿Exoste cooperaciÓn por parte del personal para la realización del trabajo?
SI NO
Uno de los puntos que se deben evaluar con más detalle dentro del area de
mformática es la capaotación; esto se debe al proceso cambiante y al desarrolo
~Por qué
de nuevas tecnologlas en el área.
¿Se han ldenbhcado las necesidades actUales y futuras de capaotacrón del per»
nal del área? Sj NO
No, ¿porqué?
LIMITANTES
¿Cuáles son los princtpales factores externos que limrtan el desempeño del perso-
nal del área?
S ¿cómo se SOiucoonan?
•
¿Otras áreas externas presentan que¡as sobre la capacidad y/o atención del •
personal del área? SI NO
SI, 1
Sí, ¿qué tratamiento se les da?
No,
¿Cómo se otorgan los ascensos, promociones y aumentos salariales?
Co
¿Cómo se controlan las fallas y ausenllsmos? 2ac~
CONDICIONES DE TRABAJO
¿El¡
Para poder traba¡ar se reqUiere que se tenga una adecuada área de trabaJO. con
mayor razón en un área en la que se debe hacer un trabaJO de 1nvest1gac1ón e No,,
intelectual.
¿So
¿Cómo son las relacoones labOrales del área con el su\chcato?
•
•
¿Se presentan problemas con frecuencia? •
SI. ¿en qué aspectos? •
•
•
¿Cómo se resuelven?
REMUNERACIONES 81
EVAlUACIÓN DE
LOS RECURSOS
Nonnalmente las personas estAr> onc:onformes con su remuneraCión. Es impor· HUMANOS
el ·ante evaluar que tan coerta es esta onconformidad o so está dada por otros ma·
lestares aunque sean señalados como inconformodad en las remuneraciones, o
t>en puede deberse a que se desconoce cómo se evalúa a la persona para
poder darle una me¡or remuneracoón.
Trabajo desempe~ado?
• Puestos simolares en otras organozacoones?
Puestos slmolares en otras áreas?
el
Conseguir información sobre tos sueldos de tos mismos niveles en otras organi·
zac1ones.
AMBIENTE
• C.1paci
En calidad? SI NO • Ob>-crv
No. ¿por qué?
Ofrt•cc•
¿Eslá prevista la sustitución del personal clave? SI NO
1 No
DESARROLLO Y MOTIVACIÓN 2 Pue
3 Put
¿Cómo se lleva a cabo la Introducción y el desarrollo del personal del área? 4. Pue
5. Nur
En caso de no realiZarse. ¿por qué no se realiza? 6. 0..
7 A~
8 Acd
¿Cómo se realiza la mo~vación del personal del área? 9 ¿C<
10 ¿CO
11 Scll
¿Cómo se esbmuta y se recompensa al personal del área? 12 En
CS11
¿Ex•sta oportunidad de ascensos y promociones? sj NO
13 ¿C6
14 ,C6
¿Qué pollttCB hay al respecto? 15 ¿Có
16 ,eo
\7 ¿Sd
t8 Metl
allo
t9 ¿Cól
ENTREVISTAS CON EL PERSONAL 20 Obsi
DE INFORMÁTICA NOTA En e
lnlormát.ca
5<- d~bt>r,in Cfl'Ctuar entrevistas con el personal de informática, para lo cual puf.'de lnlc•ales E
entrevistarse a un grupo de personas elegidas, sin dejar de señalar que quienes nas y com
84 6. ¿
p
CAPf'ruLO 3
AUDITORiAOE
SITUACIÓN PRESUPUESTAL y FINANCIERA
LA FUNCIÓN DE t)
INFORMÁTICA
S
e
A
G
In
PRESUPUESTOS S
o
Se obtendrá información presupuesta) y financiera del departamento, así como
del nümero de equ ipos y características para hacer un análisis de su situación 7. ¿1
desde un punto de vista económico. Entre esta itúormación se encuentra: e
A1
• Costos del departamento, desglosado por áreas y controles. Al
• Presupuesto del departamento, desglosado por áreas. Ro
• Características de los equipos, nümero de ellos y contratos. MI
01
NOTA: Se deberán pedir los costos, presupuestos y ca racterísticas de los equi-
pos señalados en los puntos anteriores, además de contestar el cuestionario, del 8. ¿(
cual se ofrece un ejemplo a continuación:
Ce
RE
1. ¿Cual es el gasto total anual del área de informática incluyendo renta del El¡
M¡
equipo y administración del centro de cómputo (gastos directos o indirectos)?
Ot
A continua
5. Cite a los principales proveedores de su dirección en materia de:
recursos fu
Proveedor Vol umen anual
Mobiliario en general
Consumibles ¿Quién ir
Equipo
Software
Mantenimiento ¿Se respo
Equipo auxiliar
Papelería No, ¿en q
Cintas, discos, etcétera
6. ¿Cuáles cargos adicionales se mane¡an por separado fuera del contrato? 85
A Ponga una X en ellos. SITUACION
PRESUPUESTAL
Utilización del equipo. ( ) V FINANCIERA
Servicio de mantenimiento. ( )
Capacitación del personal. ( )
Asesoría en sistemas de cómputo. ( )
Gastos de instalación del equipo. ( )
Impuestos federales, estatales, munocopales y especiales. ( )
Seguros de transporte y compra de equipo. ( )
Otros (especifíquelos). ( )
así romo
situación 7 ¿Cuál es la situación jurídiCa del equopo (especoflcar por equipo)?
otra;
Compra del equipo. ( )
Renta del equipo. ( )
Renta con opción a compra. ( )
Renta de tiempo máquina. ( )
Maquila. ( )
Otro, ¿cuál?
loscqui-
1ario, del 8. ¿Cuál es la situación jurídica del software (especlhcar por software)?
Compra. (
Renta. (
del Elaborado internamente. (
rectos)? Maquila. (
Olro, ¿cuál?
FORMULACIÓN
¿Qué 1
No, ¿qué efectos se han tenido en el área al no contar con suficientes recursos
financieros?
¿Se cu
RECURSOS MATERIALES desarrc
(.POr q
PROGRAMACIÓN
¿ConO(
ADECUACIÓN
(.Qué r
¿Los recursos matenales que se le proporcionan al área, son sui!Cientes para
cumplir con las funciones encomendadas? 81 NO
¿Exista
No, ¿en qué no son sufiCientes?
(.EXIste
¿Los recursos malenates se proporcionan oportunamente? 81 NO
¿Cuate
¿Cuáles son las pnnclpeles hm1tac1ones que tiene el área en cuanto a los recur·
sos materiales?
MOBILIARIO Y EQUIPO
S•
et serviCIO de manten1m1onto del equipo?
Sí NO
S NO
¿Se recogen op1n1ones y sugerencias que nos permitan establecer las medidas
oorrectivas con las cuales lograr un mojor funiCionamiento de estos recursos?
Evaluación
CAPÍTULO
de los sistemas
OBJETIVOS
Al finalizar este capítulo, usted:
1. Evaluará si las organi~aciones que se van a audilar cuentan con los slste·
mas necesarios para cumplir con sus funciones.
2. Explicará la importancia de la evaluación del disei'lo lógico de un sistema y
de su desarrollo.
3. Dehmrá las características pnncipales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocerá el contenido mínimo que deben tener los instructivos de operación
de los sistemas.
5. Describirá cuáles son los trabajos que se deben realizar para iniciar la opera-
ción de un sistema.
6. Explicará la importancia de las entrevistas a los usuanos para comparar los
datos con los proporcionados por la dirección de Informática.
7. Conocerá los seííalamientos pnncipales relacionados con los derechos de
autor y la informática.
90
CAPITUL04
EVALUACION E vALUACióN DE SISTEMAS bien p u
paquetes
DE LOS SISTEMAS
Por ~'ll'mll
Existen dtversas formas por medio de las cuales las organizacione<; puedm cont.: disenadoE
con el 5oftware necesario para cumplir con sus requerimientO!>; entre ella. se tes llldl
encuenltan: pul.'d,• tt!n
paqul'lc
Elaborado por el usuario, o bien un software comercial. El que el usuario ela- por dos d
bore un determmado software tiene las siguientes ventajas: normalmente e; cu.11 p ued
desarrollado para cubrir todas las necesidades del usuario; puede ser modifia~ '.vare <¡ue
do de acuerdo a las necesidades de la organilaáón; contiene si~temas de segu- mandos y
ridad propios. Aunque tiene estas desventa¡as: es m.is costoso; su tiempo df usar paqú
implementación es más largo, su m;mtenim iento y actua lizaciÓI'\, normalmente tt!ner _,¡ ir
no se hacen sobre una base periódica. nli(~ntos d
Ald
Softwar~ compartido o regalado. Normalmente se trata de un 5oftware ;ena- de adquui
Uo elaborado para computadoras personales, que puede ser conseguido o bajo zación "'C
costo vía Internet. El peligro de .,.;te tipo de <.Oftware es que puede no cumplir
con todas nuestras necesidades, además de que se debe tener cuidado con los pero rcqu
programas pirata o con virus.
L.1 cla
Se debe considerar la librería de programas de aplicación. Sin importar la llc, pa ra 1
forma de desarrollo, los prograrn<b siempre !>Dn escntos para correr en un de- mas hasta
terminado sistema operativo. Un elemento importante del sistema operativo ..
la cantidad y d iversidad de programds de aplicación que son escritas en él, lo • Existe
cual se conoce como la librería de programas de aplicación. Es 1mportante 1t> gram~
mar en cuenta el Sistema operativo utilizado, ya que puede ser un tipo de <IS!e-
ma operativo conocido como "propietario", e l cual sólo puede ser usado en
• b."te
('htiln
máquinas de un determinado prove~.>dor. \ (_}o.;._
lebe definir • E.<tud10 detallado del -.stema actual, mcluyendo Jos procedimientos, Evaluación
d1agramas de flujo, métodos de trabajo, organización y controL de los sistemas
• Desarrollo del modelo l6g1co del sistema actual.
s jerárqui-
• Modificacionl>s y adecuaciones.
• IMtalación.
evaluar • Carga de d.ltos.
:ánico o
H) Soporte cotidiano, cambios y mejoras al sistema. Después de esto, se vuelve
nuevamente a 1 ciclo inicial, el cual a su vez debe comenzar con el estudio de
factibilidad.
puesto.
el estu- También se debe evaluar que un error o corrección en el momento del dise-
ño lógico es de fácil solución y bajo costo, pero que los errores o modificaciones
94 entre más adelantado esté el dcsaxrollo del sistema son más costosos y de más • Deficie1
1 CAPITULO 4
difícil implementación. Hay ocasiones en que un sistema en su fase de imple- • Nueva
EVALUACIÓN mentación tiene tantas modificaciones, que es preferible hacer uno nuevo, en • Inexpet
DE LOS SISTEMAS lugar de usar el diseñado con demasiadas modificaciones. • Diseño
La primera etapa a evaluar en el sistema es el estudio de factibilidad, el cual • Proyecc
debe analizar si el sistema es susceptible de realizarse, cuál es su relación bene- • Control
ficio-costo y si es conductualmente favorable. sobre el
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que • Problen
se encuentren en operación, así como de los qu~ estén en la fase de análisis para 01ento (
evaluar: • Inadect
• Falta de
• La disponibilidad y características del equipo. gramas
• Los sistemas operativos y los lenguajes disponibles. • Docwn•
• Las necesidades de los usuarios. • Dificult
• Las formas de utilización de los sistemas . doCUJTIE
• El costo y los beneficios que reportará el sistema. tna.
• El efecto que producirá en quienes lo usarán . • Problen
• El efecto que éstos tendrán sobre el sistema. • Procedí
• La congruencia de los diferentes sistemas .
• La congruencia entre los sistemas y la organización.
• Si están definidos los procesos administrativos, la normatividad y las polí-
ticas para la utili:¡:ación de los sistemas.
• Su seguridad y confidencialidad.
EvALU
En el caso de los sistemas que estén funcionando, se deberá comprobar si
existe el estudio de factibilidad con los puntos señalados, y comparar con la
realidad lo especificado en el estudio de factibilidad . En esta etap
Por ejemplo, en un sistema que el estudio de factibilidad señaló determina- para llevar ¡
do costo y una serie de beneficios de acuerdo con las necesidades del usuario, Sedebe1
debemos comparar cuál fue su costo real y evaluar si se satisficieron las necesi- cuatro fuent
dades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud • La planE
razonable, el costo de los programas, el uso de los equipos (compilaciones, pro- nadoser
gramas, pruebas, paralelos), el tiempo, el personal y la operación. En la prácti- prender
ca, debemos de considerar los costos directos, indirectos y de operación invo- ción. in<
lucrados en un sistema.. para poderlos comparar con los beneficios obtenidos. justifica<
Los beneficios que justifican el desarrollo de un sistema pueden ser el aho- • Los reqc
rro en los costos de operación, la reducción del tiempo de proceso de un siste- • El in ven
ma, una mayor exactitud, un mejor servicio, una mejoría en los procedimientos bios que
de control, una mayor con fiabilidad y seguridad, una mejor comunicación y en • Los requ
forma más eficiente.
Entre los problemas más comunes en los sistemas están los siguientes: La situac
• Falta de estándares en el desarrollo, en el análisis y en la programación .
• Falta de participación y de revisión por parte de la alta gerencia . • Planead<
• En desar
• Falta de participación de los usuarios.
• Inadecuada especificación del sistema al momento de hacer el diseño deta- • En proce
llado. • En proce
de más Deficiente análisis co~lo-beneficio. 95
imple· Nueva tecnología no u~ada o usada incorrectanwnt<'. EVALUACIÓN
?VO, ('1) Inexperiencia por parte del personal de an.ilisi' v del de programación. DEL ANAUSIS
D<Seño deficiente.
el cual Proyección pobre de la forma en que se realiLar.i el ~1stema.
, bene- • Control débil o falta de control sobre las f.1scs de t>laboraoón del SIStema y
sobre el sistema en si.
••s que • Problemas de auditoría (poca participación d<' auditoría mterna en el mo·
is para mento del diseño del sistema).
• Inadecuados procedim ien tos de seguridad, de r<•cuperación y de archivos .
Falta de integración de los sistemas (elaboración de sistemas aislados o pro-
gramas que no cst.ín unidos como sistemas).
Documentación 1nndccu.1da o inexistente.
Dificultad de dar mantenimiento al sistema, princopalmente por falta de
documentación o por exce,;ivos camb1os y mod1hcac1ones hechos al s"te·
ma.
Problemas en la convcrswn e implementación.
Procedimientos incorrectos o no autorizados.
s polí·
ctitud • La planeadón cstratl1gira: agrupando las apl ic;u:iont~h el'l conjuntos reJado ..
;, pro- nados entre sí y no como programas aislado,. las aplicaciones deben com
,rácti- prender todos los ,;,temas que puedan ser d<',arrollados en la organi7a·
in\•o-
ción, independientemente de los recursos que impliquen su desarrollo r
idos. ¡ustificación en <'1 momento de la planeacíón.
laho- l.os requerimientos de Jo, usuarios.
siste- El inventario de sistemas en proceso al recopilar 1.1 información de los ca m·
en tos bios que han sido solocit,>dos. sin importar si se clectu.lTOn o se registraron.
1yen Los requerim i ento~ de l~1 organización y d(' los usucuios.
;;
La situación d(' unil JplicJci<ln puede ser algunil de l,1s siguientes:
5n.
• Pl,uleada para "l'r d<"H!rrollada en el futun>.
• En desarrollo.
deta· • En proceso, pero cun modificaciones en dl">.lrrollo.
• En proceso con problemas d<•tectados.
96 • En proceso sin p roblemas. • ¿Se di
CAPITULO 4
• En proceso esporádicamente. • ¿Se ti!
EVALUACIÓN • ¿Está
DE LOS SISTEMAS NOTA: Se deberá documentar detalladamente la fuente que generó la necesidad • ¿Se d •
de la aplicación. l a p rimera parte será eva luar la forma en que se encuentran tos)?
especificadas las políticas, los procedi.mientos y los estándares de análisis, si es • ¿Los i
que se cumplen y si son los adecuados para la organización. • ¿las f
Es importante revisar la situación en que se encuentran Jos manuales de
análisis y ver si están acordes con las necesidades de la organización. En algu-
nas ocasiones se tiene w1a microcornputadora con sistemas sumamente senci·
llos y se solicita que se lleve a cabo una serie de análisis que después hay que
plasmar en documentos señalados en los estándares, lo cual hace que esta fase
sea muy compleja y costosa. los sistemas y su documentación deben estar acor-
des con las características y necesidades de una organización especifica; no se El mayor•
deberá tener la misma docwnentación para tUl sistema que se va a usar en mientose>
computadoras personales, e l cu al debe de ser d ocumen tado en forma más sen- turado cm
cilla (el usuario no necesariamente debe de saber de computación) que un siste- análisis dE
ma en red. También deben de existir diferentes niveles de documentación (do- error que•
cumentación para usuarios, para responsables de la información técn ica). tras que e1
Se debe evaluar la obtención de datos sobre la operación, el flujo, el nivel, la pru ebas d•
jerarquía de la información que se tendrá a través del sistema, así como sus sistemasd
límites e interfases con otros sistemas. Se han de comparar los objetivos de los que loserr
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la los sistem<
ejecución deseada corresponde al actual. da osimpl
la auditoría en informática debe evaluar los documentos y registros usa- m.ientras q
dos en la elaboración del sistema, así como todas las salid as (pantallas, las cua· sob re proc
les deben tener una estructura "amigable") y reportes, la descripción de las d ecisiones
actividades de flujo de la información y de proccdi.mientos, Jos archivos alma· u sando he
cenados, las bases de datos, su uso y su relación con otros archivos y sistemas, El dia¡
su frecuencia de acceso, su conservación, su seguridad y control, la documenta· requerimiE
ción propuesta, las entradas y salidas del sistema y los documentos fuente a gráfico del
usarse. sarrollar Jo
Dentro del estudio de los sistemas en uso se deberá solicitar: Las m•
de informa
• Manual del usuario. rias para lo
• Descripción de flujo de información. son descrit
• Descripción y distribución d e información. del nuevo:
• Manua 1de formas. El diag
• Manual de reportes. la base par
• Lista de archivos y especificación. nuevosiste
• Definición de bases de datos. tado ra pri
• Definición de redes. computadc
soporte est.
Con la información obtenida podremos dar respuesta a las sigttientes pre- tes de prog
guntas: sus caracte
COlllCnzar (
• ¿Se está ejecutando en forma correcta y diciente el proceso de información? involucra e
• ¿Puede ser simplificado para mejorar su aprovechamiento? vos y los pt
• ¿Se dl't•c tl•ner una mayor intNace~ón con otros "~temas? 97
. ___ _
• ¿~ hene propuesto u.n adecuado control y '<!gundad sobre el sistema? EVALUACION
• ¿Está l'n e l análisis la documentación .1dt'cu.1da? DEL ANALISIS
cesidad • ¿Se debe usar o tro tipo de técnicas o de dispm.iti vos {redes, bases de da-
uent1·an tos)?
; is, si es • ¿Los informes de salida son cmúiables y adecuados?
• ¿L." pantallas y el sistema son amigables?
1ales de
.n algu-
e scnd-
tay que
Sta fase
ANÁLISIS y DISEÑO ESTRUCTURADO
uacor-
l; no se El mavor obJeti,·o del análisis y diseño ~'Structur.ldO "'determinar los requero-
lSar en moento,., e'acto,, de tal forma que.,., di.,.,ño• o•l sisto•m.l rorr<>cto. El diseño estruc-
lás wn- turado <'mpl<'a una <erie de herrarruentas ¡;rafoc.1s y técnocas que pernuten el
n st~t<..... an.ili<ís de tal forma que sea posoble conoco•r errores antes de que ocurran. Un
5n (do- error que cJCurre durante la operación puedo• tcn<'r un costo de 30 a 90%, mien·
•). tras que en la rase de aceptación pued~ teno•r un costo de 5 a 10%, en la fase de
t..iveJ, Ja pru¡•b,ls d¡•l disei\o, de 4 a 7%, e n la de codificnción, d e 5%, e 11 la de diseño de
no s us sisten1.1s dl' 3 a 6%, y en la d e análisis de 1 ,, 4%, por lc1 cual es muy conveniente
.de los qw lo-. errores sean detectados y elim i11.1dOs e11 las fases iniciales. En el caso de
o de la k" <cstcma' tradtcionales la información pu~de c't"' mcompleta, no actuahza-
dd o 'impl<•mente imprecisa, y esto" problema< put>do• qu<.> no sean detectados,
>s usa- m•cntras qu<' en la programación estrudur.lda el an.lhsta recolecta informaCión
lS cua- sobre pro>ccdímiento> actuales, flujo- de mformaw\n, procesos de toma de
dc las dt'Cl"ones v reportes, y así construye un modelo lo>goco de la situación actuaL
.alma- ""'ndo ht•rramienta, conocidas como d1agrama-. lógico- de flujo de datos.
temas, El diagrama de flujo es muy útil porque dctect.l los procesos lógicos, los Diagrama
nenia- rrqucrimícnto, de mforrnación, el fluj<> dt• tnformación, y provee un modl'lo de llu)o de datos
ente a gr.ifiro do>l sistema actuaL que puede "l'r utoli7ado para detectar mejoras y de-
•,uroll.lr los ob¡etivos del nuevo sistema.
!.a' modificaciones mayores en lo-. pr<lCedomíentos actuales, necesidades
de información y de los procesos de tomad~ decisiones, las cuales son necesa-
nas pora lograr los objetivos, son constntid,h den tro del nuevo modelo lógico y
•on dc;crit.lS gr.íficamente dentro de 1.1 propuesta del d iagrama lógico de flujo
dt 1nt.H'vo 'tistcma.
1
BAsEs
PROGRAMAS DE DESARROLLO
El banco de d.
Los programas de de<>.1rrollo mduyen software que sólo puede '-Cr U'iildo por t'l temática indq
personal que ha ten1d0 entrenamiento y experiencia; este software mcluye: La cantid,
grande, del or
A) Lenguajes de programación: Se consid•
vos de datos
• Lenguaje de máquina . están relacion
• Ensambladores. cirse que una
• De tercera generación. estructurado'
• De cuarta generación: EIDBMS
de datos) es u
o 4GI.S. base de datos
o Query languagt>s
o Generadon.'S de "'portes. El ronjunt<
o Lengua¡,.., naturales. m.ación de
o Generadores de aphc.lCiones.
BASES DE DATOS
El banco de datos es el conjunto de datos que guardan entre sí una coherencia
por el tem.ihca mdependiente del medio de almacenamiento.
ye: La cantidad de información que contiene un banco de datos suele ser muy
grande, del orden de millones de datos.
Se considera que una base de datos es la organización sistemática de archi-
vos de datos para faciütar su acceso, recuperación y actualización, los cuales
Base de datos 1
I?Stán relacionados unos con otros y son trntados como una entidad. Puede de-
cirse que una base de datos es un banco de datos organizado como tm tipo
I?Structurado de datos.
El OBMS (data base management system • sistema de administración de bases
de datos) es Wl conjunto de programas que permite manejar cómodamente una
ba..e de datos, o sea:
1'1 con1unto de facilidades y herramiru>tas de actuahz.lCión y recuperación de infor-
mación de una base de datos.'
1
Anton10 Vaqu('ro y Luis Jopnes, InformátiCa: glO:~ilriO dt tlrmin05 y siglas, McGraw-Hill.
100 En las bo~s de datos se debe evaluar: ruy,1b funciones:
CAPITULO 4
tl.u t-oporle a lo~
EVALUACIÓN • La independencia de los da tos. Muchos de los p rogramas elaborados inter· Dentro de la
DE LOS SISTEMAS na men te eran dependientes de los archivos creados por e llos mismos, o sea 1,, a1ta adnúnistl
que carecían de independencia. La falla de independencia significa que cada cion~s, los usua:
vez que un archivo es cambiado, todo programa que acc~~ a ese archivo Los modelo
debe ser cambiado.
• Redundancia de los datos. Se deben evitar las redundancia~ en las bases de
datos. • jer.lrquicos.
• De redes.
1 Ejemplo SI tuv1ésemos el nombre completo de los alumnos en cada una de las bases • Relaciona le
de datos en las que se accese. la cantidad de datos redundantes seria muy • Orientados
alta.
• Consistencia de los datos. El problema de redundancia en los datos no sólo Entre las \'(
provoca que se ocupe demasiado espacio en los discos, sino que también
puede causar el problema de inconsistencia en los datos, ya que se puede
cambiar en un archivo pero omitirse en algún otro de los archivos. • Compartir
• Reducción
Un sistema de bases de datos es un conJunto de programas que: • Mejora de 1
• lndcpende1
• Almacena los datos en forma uniforme y de manera consistente. • Incrementa
• Organiza los datos en archivos en forma uniforme y consistente. • Mejora el e
• Permite el acceso a la información en forma wüforme y consistente. • l ncreJnentc
• Elimina la redundancia innecesaria en los archivos. cia de la in
Los componentes a evaluar dentro de una base de dato~ son:
;es de
• jerárquicos.
Dt- redes.
• Relacionales.
• Orientados a objetos.
Cuando va rios usuarios utilizan una base de datos, pueden existir problemas si
no fue diseñada para usuarios múltiples. Uno de estos p roblemas surge cuando
no existe un control sobre la actualización inmediata. Esto significa que dos o
.query más usuarios pueden estar elaborando cambios a l mismo archivo en el mismo
momento, y no exis te control sobre la actua li zación inmediata de los archi·
vos. Este tipo de problemas existe principaln11mte eJt las bases de datos de
computadoras personales, ya que Jos grandes sist~mas tienen control sobre las
actualU..ciones inmediatas.
También pueden existir problemas en el uso de recursos excesivos de c6mpu·
lo, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases
de datos.
Problemas de seguridad. Las bases de dat~ deben de tener suficiente ron·
trol para que se asegure que sólo personal autorizado pueda acceder datos, y se
debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o
:miza~ Jcccder datos dependiendo de su llave de entrada, así como el usuario propie-
datos, tario de la base de datos.
102 Los
CAPITULO 4
EVALUACIÓN CoMUNICACióN • Con
DE LOS SISTEMAS
ción
Se debe evaluar el modo de comunicación y el código empleado. Los diferentes • Tier
modos de comunicación varían dependiendo del tipo de información que trans- que
mitimos y el costo del med io empleado. oca~
INFORMES
Cuando se analiza un sistema de informática es muy común pensar exclusiva-
mente en la parte relacionada con la informática, olvid;\ndonos de que un siste-
104 ma comprend~ d~e el momento en que se genera un dato, así como su proc•• tnform.
<amiento, retroalimentación y salida. Es muy comúro que solamente se evalúerl gr,ltía r
CAPITulO •
EVALU~CIÓN proce!.am1ento de la información y su almacenamiento dejando fuera la evalua· \ t~rifiCI
DE LOS SISTEMAS ción de aquello que es el inicio del sistema. el seguimiento admintstrativo y la ~•tuada
obtención de los reportes y salidas de información.
Lo que debemos determinar en el sistema es: Rayad!
u~l cor
• En el prOCL"<iamiento:
ln stru1
¿Quaén hace la función. cuándo y cómo? a u tOlO$
• ¿Qué formas se utilizan en el sistema? qul'el)
¿Son n~rias, se usan. están duplicadas? De no:
• ¿El número de copias es el adecuado? p.~rd "e
• ¿Exi~t•'n puntos de control o faltan? CXCl"'l \'
s ltln yt
• En la grJfica de nujo de información:
Firmas.
o ¿Es f.lcil de usar? d,lml•nl
o ¿Es lógica? c.:omo u
o ¿Se encontraron lagunas? fi rm,H'I<
o ¿Hay fa lta• de control?
No mbr
• En las formas de diseño: cJuo en
o ¿Cómo est.i usada la forma en el sistema? rot.>ri<ll
o ¿Qu<' tan bien se ajusta la forma al procedimiellto? Encabe
o ¿Cuál es el propósito, por qué se usa?
qué firn
o ¿Se usa y es necesaria?
o ¿El número de copias es el adecuado? Rótulo!
o ¿Quién lo usa? ,\dl'CU,l(
uhacJci(
Entre los elementos a revisar en el diseño de formas están:
Firmas. ¿Existe suficiente espacio para una firma legible? ¿Está el espacio debi-
damente identificado rl!l>pecto a la fuma que se solicita? ¿La firma se utiliza
como un mero trámite o realmente controla la persona que ftrma lo que se e;,tá
rirmando?
Nombres. ¿Se usan Jos nombres de los puestos en lugar del nombre de l indivi-
duo en la forma? No es conveniente itnprimir nombres de personas debido a la
rotación de persona1.
Encabezados ambiguos. ¿Se indica con exactitud qué fechas, qué números o
qué firmas se requieren? Se deben evitar encabez.1dos dudosos o ambiguos.
n? ¿Está Ubicación de los rótulos. ¿Están los rótulos o encabe¿ados debajo de la lí.nca en
tS numt!-
donde se debe mecanografiar? Esto causa pérdida de tiempo, porque la meca-
nógrafa tiene que mover el carro para ver el rótulo y acomodarlo nuevamente
para escribir la información deseada.
t?
Casilleros. ¿Se usan pequeños espacios enmarcados ()para con una sola indi-
ara escri- cación reducir escritos largos o repetitivos? ¿Los espacios son suficientes o ex-
Jenará a cesivos?
Tipo de papel. ¿Son el peso y calidad d el papel apro piados para esa forma?
llenarla Use papel más pesado y de mejor ca lidad pa t·a aquellas formas que requieren
'uladón un manejo excesivo. Use papel de menor peso con formas que se usen poco,
•ariencia para reducir costo y espacio en los archivos.
1 SISTEMA
OUiéN LO FORMULA
PERIODICIDAD
·-
VOLUMEN EN HOJAS
EN VIGOR
ORIGINAL
1a.
2&.
3a.
4a
jANALIZÓ PÁG. DE
107.__ __J
1Figura 4.2. Análisis de Informes
D 11 FUNCIÓN 1 EVALUACION DEL
DISEÑO LÓGICO
DEl SISTEMA
>O.I8AE DEL INFORME
PIIOPOSITO DEl jf.¡fORMf!
CIUtN LO FORMUL.A
OU( LO ()RIGjNA
VOWUEN DE HOJAS O REGISmOS
FOAW. oe HACERt.O
P!lj00PAL USUAAIO
FECHA TliORICA OE PRESENTAaóN PERIOOtCIOAO
FECHA DE PRESENTAaóN PERKXltCIOAD
NIVEL 0E INFOOMACION
EN 'IIGOR OESOE
UOOIFICACtONES
-
OTROS GATOS ~-
TANTOS CO~OR
1-
1 -·
·- f-
o PÁGINA DE
109
Figura 4.4. Evaluación de formas 1FECHA EVALUACION DEl
DISENo lóGICO
DEl SISTEMA
UTILIZACIÓN PREPARAC.ON
IW:A8EZAOOS EN ORDEN CRONOLóGICO SI NO RENGLONES OE DATOS EN ORDEN SI NO
CRONOLóGICO SEGUN FLUJO
~MATOS ESTANOAR SI NO DATOS CONSTANTeS PREIMPRESO$ SI NO
OESCR Sé CLARAMENTE El SI NO ESPACIOS SUFICIENTES SEGUN si NO
USUARIO MANH4A DE PREPARACION
CCAAS FAQ¡. DE IOENTIACAR si NO COPIA$ FACI. DE SEPARARSE SI NO
CCPIAS C<AAAS PARA UN BUe< si NO TA811• A00N U~FORME SI NO
A(QISTAO
o REPf'OOUCIR
TlflllOS Y ENCABEZADOS BIEN
~ALANCEADOS
SI NO CALIDAD DE PAPEl APROPIADO SI NO
NO CONTROL
-" '
ANALIZAOO POR
110
Figura 4.5. Evaluación de formas
CAPfruLO•
EVAI.UACIOH A ¿OONOCE LA PEASONAOUE FORMULA
DE LOS SISTEMAS EL DOCUMENTO. EL 08JE1l\IO Si _ _ NO _ _
Y LA IMPOfi'TANCIA DEL MISMO? Sl
O ¿EXISTE RETRASO EN SU
FORMULACIÓN? si _ _ NO
MOTIVO
ta. COPIA
O OP NION GENERAL
2a. COPIA
3o COPIA
4a COPIA
FECHA - - - - - - - - - - -
AUDITOR
111.__~-
Figura 4.6. Descripción de formas EVAlUACIÓN OEL
10 _ _ DISEÑO L0Goco
DEL SISTEMA
SSTEMA
FOR'AA
EW!ORADA NOM8RE
PUESTO
AUTORIZADA NOMBRE
o
¡·~·~'"~"-
1
OOJETlVO
-· - -
)
) __ DESTINO
1-
ORDEN DESTINO uso
-
ORKliHAL 1
la COPIA
¡
:U COPIA
Ja. COPIA
1----
4a.COPIA
~COPIA
6a COPIA
. .
7a. COPIA
112 no es de
CAP[TUL04
Figura 4.7. Descripción de formas de papelería estándar.
EVALUACIÓN
DE LOS SISTEMAS C olot. ¿Pe
1SISTEMA 1FECHA mas encole
«l"-, son di.((
NOMBRE
sión (.ne~rc)
cuid ado tar
OBJETIVO _ _ _ _ _ __ FRECUENCIA - - - - - - - estar ident'
VOLUMEN MENSUAL _ _ _ __
QUIEN FORMULA - - - - - - - - -- - - - Como
FORMA DE LLENARLA - - - - - -- - - EN VIGOR OESOE - - - - -
d escri pciót
OU~ LA ORIGINA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
ANÁL
A QUÉ DA ORIGEN
Una vez q•
in (ormesp;
la encuesta
RECOMENDACIONES AL IMPRIMIR
se la figura
c ribir el cor
COPIA NÚM. COLOR PROCEDIMIENTO, USO V DESTINO DE CADA COPIA FIRMA NECESAR A ción.
ORIGINAL
Ru10c
En la audito
que tie ne ce
En prin
La trans
prcnda.2
OBSERVACIONES El ruidc
solamente le
Koontz/O'I
CualquiE
za la con
ANALIZÓ PÁGINA DE
2
Kooot...: :
no es de tamaño estándar es considerablemente mayor que el de tamaño 113
est.indar.
EVAlUACIÓN DEL
DISEÑO LóGICO
Color. ¿Pemutc el contraste del color del papel una lectura eficiente? las for· DEL SISTEMA
mas en colore., como el anaranjado, el verdc, cl azul, el gris, etc., en tonos OSCU·
ros. son difínlcs de leer porquc no ofrecen suficiente contraste entre la impre-
<.lón (negro) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener
cuidado tanto en el color del papel como en el color de la tinta. Las copias deben
"'t..r identificada, de acuerdo con el color.
Como ejemplo de análisis de formas véase las figuras 4.3, 4.4 y 4.5; para la
descripción de formas véase las figuras 4.6 y 4.7.
ANÁLISIS DE INFORMES
Una vez que se han esnod iado los forma tos d e entrada debem os analizar los
informes para pobteriormcnte evaluarlos con la información p ro po rcionada por
la encuesta a los usuarios. Como ejemplo de la descripción de los informes véa·
se la figura 4.1, y para el a nálisis de los informes la figura 4.2. Des pués de des·
cribir e l contenido de los informes se debe tener el análisis de d atos e informa·
rión.
Función de la La redundancia puede ser conveniente en el caso de que haya que cercie>-
EvAL
redundancia rarsc de que la información se recibe correctamente. Esto estará en función de lo
delicada que sea la información y del riesgo que se corre en caso de una pérdida
total o parcial de la misma.
Un ejemplo de redundancia dentro de las máquinas es el BIT de paridnd, el
cual permite que en caso de pérdida de un BIT, se pueda recuperar la informa· En esta et.
ción que contiene el byte. guaje utili
La redw1dancia es una forma de control que permite que, aunque exista hardware
ruido, la comunicación pueda llevarse a cabo en forma eficiente; deberá haber Aleva
mayor redundancia entre más arriesgada, costosa o peligrosa sea la pérdida de debe propo
información, aunque, a la vez, debemos estar conscientes de que el exceso de eficazyop
redundancia puede provocar ruido. obtener un
se contará
1 Ejemplo Es el caso de un profesor que por desear ser muy claro, se dedica a dar
demasiados ejemplos; puede provocar ruido en el sentido que llega a confun-
dir o a aburrir a sus alumnos y que el número excesivo de ejemplos impida
3
una adecuada comunicación. Nuevo'
cesaria- En la auditoría se debe considerar que todo sistema ha de ofrecer un núme- 115
·a como ro adecuado de redundancia, según su nivel de importancia, de modo que per- EVALUACION DEL
mita una buena comunicación, aun en el caso de que exis ta ruido, pero s in ser la DESARROU.O
1\?dundancia de tal magnitud que a su vez provoqU(' ruido. DEL SISTEMA
na pan-
•le o t<n También debemos considerar que con un mayor control y redundancia se
¡eimpi - incr~mcn ta también el costo de los sistema •. llay qu(' tene r un adecuado nivel
?mas se dr control y redundancia, que no sea de tal magnitud que provoque ruido o
ca: b1en que no sea demasiado costoso en relación con e l nivel de segurid ad que
r.quiere el sistema.
'Úorma- Entropía
05 o re-
d diccionario la defme como:
cercio-
5nde lo
:>érdida
EvALUACióN DEL DESARROLLO DEL SISTEMA
idad, el
úorma- En esta etapa del s istema se deberán aud itar los programas, su diseño, e l len-
guaje utili1ado, la interconexión entre los programas y las caracterís ticas del
e exista hardwilrc empleado (total o parcial) para el desarrollo del sistema.
á haber Al evaluar un sistema de información se tendrá presente que todo sistema
dida de debe proporcionar información para p lanear, organi>ar y controlar de manera
ceso de mea.< y oportuna, así como para reducir la duplicidad de datos y de reportes, y
obtener una mayor seguridad en la forma mjs económica posible. De ese modo
!<!contará con los mejores elementos para una adecuada toma de decisiones.
dar
'un-
)ida
' Nr•t'A'I di«ionario e.spoñol iltc.Sirado SoptmA.
116
CAPiTuLO 4
•
EVALliACION SISTEMAS DISTRIBUIDOS, INTERNET,
DE LOS SISTEMAS •
COMUNICACIÓN ENTRE OFICINAS •
Struct ured
CoNTROL DE PROYECTos
)uido son:
Debido a las características propias del análisis y de la programación es muy
frecuente que la implantación de los sistemas se retrase, y Ucga a suceder que
una persona trabaje varios años en un sistema o bien que se presenten irregula-
ridades en las que los programadores realizan actividades ajenas a la d i(ección
de informática. Para poder controlar el avance de los sistemas, ya que se trata
de una actividad intelectual de difícil evaluación, se recomienda que se utilice
la técnica de administración por proyectos para su adecuado control.
¿Qué significa que un sistema sea liberado en el plaw establecido y dentro
ddel mo- del presupuesto? Pues sencillamente que el grado de control en el desarrollo
:sistemas del mismo es el adecuado o tal vez el óptimo. Pero esto no se consigue gratuita-
nde apli- mente o porque la experiencia o calidad del personal de desarroUo sea alta, sino
rminales, porque existe lUl grado de control durante su desarrollo que permite obtener
omunica- esta cualidad. Cabe preguntar aquí: ¿qwén es el elemento adecuado para pro-
porcionar este grado de control?
Jbicación Para poder tener una buena administración por proyectos se requ iere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en
el cual se especifiquen actividades, metas, personal participante y tiempos. Este
plan debe ser revisado periódicamente (semanal, mensual o bimestralmente)
para evaluar el avance respecto a lo programado.
118 La cslruclura estándar de la plancación de proyectos deberá incluir la faci·
lidad de osignar fechas predefinidas de terminación de cada tarea. Entre esla~ t 9.
CAPÍTUL04
EVALUACIÓN fechas debe estar el calendario de reuniones de revisión, las cuales tendrán dJ.
DE LOS SISTE..AS ferentes niveles de detalle. Son nere&arias las reuniones a nivel técnico con la De análisis
participación del personal especializado de la dirección de informática, para De programE
definir la factibilidad de la solución y los resultados planeados. Son muy Íll' Observac•o
portantes las reuniones con los usuarios finales, para verificar la validez de lo!
result•dos esperados.
L.l evaluación de proyectos y su control puede realizar'!(! de acuerdo con lllduir el 1
d iferentes autores. A manera de ejemplo presentamos el siguiente cueslionaria <Jll<' el departa
'"~i .1, s~gun la si
1. ¿Existe una lista de proyectos de sistema de procesamiento de infolllla· Como ejer
ción y fechas programadas de implantación que puedan ser considerados r.ll<'ndilrio de
como plan maestro? s,ü>ll'' del sistf
2. ¿Está relacionado el plan maestro con un plan general de desarrollo de la ftgura 4.12; de
dependencia? los m formes d
3. ¿Ofrece el plan maestro la atenciÓn de solicitudes urgentes de los usua- avanc<:> de pro
rios? ~dcbcráJ
4. ¿Asigna el plan maestro un porcentaje del tiempo total de produ«ión aJ tran en procc:
reproceso o fallas de equipo? <Umple con s~
erdo con Incluir el pla.<o estimado de acuerdo con los proyectos que se tienen para
tionano: t¡t~t eldepartamento de informática s.ltí§faga las necesidades de la dependen-
CI.I, S<'glin la situación actual.
foona. Como ejemplo de formato de control de proyectos véase la figura 4.8; del
!rados altndano de actividades véase las figuras 4.9 y 4 10; del reporte de Jos respon·
l.lbb del §istema, véase la figura 4.11; del control de programadores, véase la
!Cie la figura 4 12; de planeación de la programación, véase las figuras 4.13 y 4.14; de
los tnformes de avance de la programación, véa<.e la figura 4.15; de control de
usua- l\ólnct' de programación véase figur¡" 4 16 y 4 17.
Se deberán revisar tanto los proyecto> terminados como Jos que se encuen·
:tón al lun en proceso, para verificar si se ha cumplido con el plan de trabajo o si
cumple con su función de medio de control.
¡arios.
CoNTROL DE DISEÑO DE SISTEMAS
YPROGRAMACIÓN
OO,.,tivo de esto es asegurarse de que el §istema funcione conforme a las espe-
oñcacione. funcionales, a fin de que el usuario tenga la suficiente información
para <u manejo, operación y aceptación.
las revisiones se efectúan en forma paralela, desde el análisis hasta la pro-
gramación, y sus objetivos son los stgutent<>s:
...... ACTIW>ADES Rt~!J.A8lf ENEROI FEB. MARZO- MA'1'0 JUNIO JUU0 1 N:Jil SCPT OCT.
""' OIC
....
"'
"'"
- -
1 • - -
- -
- r
121.___ _
ANÁLISIS Y PROGRAMACIÓN
1= ....E AVJ>HOE
1
...,..
HOJA O<
-
..
NuM
"''
DUC,_~II>t o
' 1 3 .. 5 G 1 1
ooo ooo oo o o
'
......,.,
MES
•
-
E
f---
• ..
E T
• 11
E
1
• l
•
•
1 j •
1~ • 1
E
•
• 1
1--
•
E
1- 1-
'--
•
[ . dt-.wlO A•f'EAl
.____ 1. 22
Figura 4.10. Control de actividades del programador
SISTEMA _ _ _ _ _ _ - - - - - - - - - - -
PROGRAMA----
PROGRAMAOOR _ _
PLANEADO REAL 1
ACTIVIDAD
r-~,N~00~~~11t~RW~NO~~O~F~t-~IN~OO~~~T~RM~NO--r-~-F~ CNF
~---------1--
1 AHAUSrS
2. DIAGRAMA I.OoiCO
3 CREAC DE PRUEBAS
5 ~FICACION
6. CAPTURA
7 COMPlLACION
8 GENER PRUEBAS
9 DEPURACfON
10 PRUEBAS
11 VERIF PRUEBAS
12 CORRECCIONES
13 DOCUMENTACtON
FINAL
ESPECIFICAR El NUMERO
DE COMPILACIONES REAI.IZAOAS - - -- - - - - - -- -------
PRUEBAS REAI.IZAO::A:s_ _ _
OOSERVACIONES
-===================-1
Figura 4.11. Reporte semanal de los responsables de sistemas 123
,-.
1 r--;STEMAS METAS FIJADAS METAS ALCANZADAS COMENTARIOS
lf
lf= 1
RECURSOS
n 1
u 1
1 -.
Figura 4.12. Control de programadores
SISTEMA
125_~
1
PR:XiR••••OOA
BASE
!
OURAC. FECHA DE ENmEGA 1
PRIORI. EN
11 PROGRAMA DtAS OAJGI. ACT\JA. REAL
..
•
-,
11 '
1• --· 1
1 1
126 Figura 4.14. Hoja de planeaclón de actividades
1 SISTEMA
FECHJ
SISTE'
USUARIO
RESP~
PRO~
PROGRAMADOR - - - - - - - - - - - -- - - - -- - -
PROGRAMA _ _ _ _ __ FASE 1
NÚM. FA~
CLAVE
ACTl- AClMOADES
FECHAS REAlES MJI• FECHA 0E ENTREGA
1
V!DAO INIC. TERM PROO ORlO ACT\1 REAl
HOJA DE
Figura 4.15. Informe de avance de programación
1 ,,¡ FECiiA
S STEMA
HOJA DE
1 1 RESI'ONSABl.E
!'-
L__ PROGRAMAS TERMINADOS A LA FECHA
PRDO CON DESVIAC10N O CANCELACION
--
!NTFlEGP.
IAAtFASE,NÚMPAOG FECHA ENTREGA NU1oL FASE f NUM PROO. HUEVA FEC>iA
1-,._
¡, REAl.
11
1•
1~
l
f
'
1
r
1i
IT
l--- 1
11
1
-- - -
~- ,,
rf 11 ------ NUEVOS PROGRAMAS A INClUIR EN El PLAN
--r---
OURACION
NUM. FASE NUM. PROG.I FECHA El'lTREGA
DESCRIPCION
1
-
-
¡
1
~
1
128 Figura 4.16. Control de avance de programación
PROGRAMADOR _ _ _ _ _ __ _ _ _ ___
11 SISTEt.IA
1 [ CU~NTE j
¡,..--
PIIOGRAMAOOA
PAOGRAW. FASE
lf---
CV.VE FECHAS REN..ES NUM. FECHA DE ENTREGA
ACT~
V10AD ACTIVIDADES INIC. T~RM. PROO OAIG. ACTU. REAL
1-
r- 1--·~
1
1
1
•
\ 1
FECHA HOJA DE
130 que tiene lugar en el si,tema. Asimismo, ..e indicará Jo que el sistema
CAPiruL04 romo entradas, los proet.'WS que serán realizado,, las salidas que deber.i 2
EVALUACIÓN porcionar, los controles que se efectuar.in para cada variable y los
OE LOS SISTEt.IAS míen tos.
3
Etapa de programación. Buscar la claridad, modalidad y verificar con
1,1s especificaciones.
4
base en
4 ¿Cómo se controla el trabajo de tos analistas?
ntación
mdo el 5 lnd1que qué pasos se siguen en et desarrollo de un s1stema:
s usua-
¡ui~itos • DehnlCión del problema ( )
saccio- Desarrollo de objetivos del SIStema ( )
• EStudiO de facbbWdad ( )
•zando
• EstudiO costoJbenefiCio ( )
módu-
• Estudio de lactibilídad técnoco ( )
• Oehrncoon de bempos y costo del proyecto ( )
aplica- Desarrollo del modelo lógiCO ( )
ncum- Propuesta de diferentes altemat1vas ( )
lo pre- Especaf1cacoones para el s1stema fls1co ( )
>la con EspecilicaCJones de programas ( )
• 01seño de implementación ( )
1uevo, • Diseño de carga de datos ( )
ny un • Codilicación ( )
Programa de entrenamiento ( )
an las • EstudiO de la detinoción ( )
Discusión con el usuario ( )
gene-
• Elaborar datos de prueba ( )
>trega • Rellislón de resultados ( )
~1 per- • Documentación ( )
como Someter resultados de prueba ( )
Todo
lación 6 ¿Oué documentación acompaña al programa cuando se entrega?
wnes,
1ddel
Es muy frecuente que no se libere un sistema, esto es, que alguien continúe
ba de dJndole mantenimiento y que sea el único que lo conozca. Ello puede deberse a
am•stad con el usuario, falta de documentación, mal análisis preliminar del sis-
h~mél, resistencia a cambiar a otro proyecto, o bien a una situación que es muy
gr.wc dentro del área de informática: la aplicación de "indispensables", que
son lo~ únicos que tienen la información y, por lo tanto, son inamovibles.
¿Qué sucede respecto al manterúmiento o modificación de un sistema cuando
éste no ha sido bien desarrollado (anali1.ado, di~ñado, programado, probado)
~ 1n<,talado? La respuesta es sencilla: nccc,itará cambios frecuentes por omisio-
nl" o nuevos requerimientos.
En el caso de sistemas, muchas organl'.aCJOne!o están gastando rerca de 80% Diseño
de <us recursos de cómputo en mantt'111m1ento. del sistema
El manterúrrúento excesivo es con.secuencia de falta de planeación y control
del des.>rrollo de sistemas; la planeación debe contemplar los recursos disponi-
bil>s y técnicos apropiados para el de<;arrollo.
.___ 132 Por <u part~. ~1 wntrol debe tener como soporte el ~tabloom•ento de
CAPÍTUL04 mas de desarrollo que han de <er verificadas continuamente en todas laS&;::•
EVALUACION del desarrollo de un sistl'ma. Estas normas no pueden estar 3JSI,ldas,
OE lOS SISTEMAS del contexto particul,lr de la dirección de informática (ambientt•) y, ~unJ
los lineamientos generales de la organización, para lo cual es nccesano
con personal en desJrrollo que posea suficiente experiencia en t•l csl:able<lJ-1
to de normas de desarn>llo de sistemas. Estas mismas características ae;DI!~'e"cl
en el personal de aud llorla de sistemas.
Es poco probable que un proyecto llegue a un final feliz cu.mdos.? ha 1111
do sin éxito.
Difícilmente estaremos controlando realmente el flujo de la inllonma,mín,J!<.I
un sistema quc dcsdc su inioo ha sido mal analizado, mal diM'ñado, JThll
gramado e mcluso mal documentado.
El cxresivo manh:mmiento de los sistemas generalmente,., OC<l>i<>NdoJlZI
un mal desarrollo. Esto o;e inicia de:>rle que el usuario establt'CC sus ~
mientos (en ocasiones sm saber qué desea) hasta la instalaoón del s~.>tem~,
que se haya establecido un plan de prueba de éste para med~r su
conñabilidad en la oper.1ción que se efectuará. 2 En J.-.
Para verificar si existe esta situación, se debe pedir a los anal"tas1,,...,
dades que est.ín desarrollando en el momento de la audJtori.J y evaluM '' rcnc•a
efectuando actividades de mantenimiento o si se están realiz.1ndo nuevo< forma
yectos. En ambos casos se deberá evaluar el tiempo que llevan dentro deiJnJ
mo sistema, la prioridad que se le asignó y cómo está el tiempo real en rd,lO"<
con el tiempo estin1.1do en e l p lan maestro.
El que los analistas, los programadores, o unos y otros, tengan ae<~<. .l
todo momento a los si>temas en operación puede ser un grave probl<•m• 1 OC>
sionar fallas di' seguridad.
3
ENTREVISTAS A USUARIOS
l,a,. entrevj,tas se deberán llevar a cabo para comparar los datos proporcionados y
la situaoón de la dirección de inform.ihca desde el punto de vista de los usuarios.
134 Su objeto es conocer la opinión que tienen los usuarios sobre !0<
CAPITuLO• proporcionados, así como la difusión de las aplicaciones de la ro•np,ult:!::
EVALUACION de lo- si,temas en operación.
DE lOS SISTEMAS Las entrev•~tas se deberán hacer, en caso de ser posible, a tode»
ri~, o bien en forma aleatoria a algunos de ellos, tanto a los más
como a los de menor importancia en cuanto al uso del equipo.
ENTREVISTAS
Aunque la entrevista es una de las fuentes de información más importan!<
~aber cómo opera un sistema, no siempre tiene la efectividad que sed
que en ocasiones las personas entrevistadas pueden ser presionndas r
ana listas de sistemas, o piensan que si se hacen a lgunos cambios, 6tos
afectar su trabajo. El gerente debe de hacer del conocimiento de 1<><> entre1
dos el propósito del cstudjo.
Una gura para la entrevista puede ser la siguiente:
CuESTIONARIO
El diseño de un cuestionario debe tener W1a adea.ada preparación,.
c•ón, preevaluación y evaluación. Algunas guías generales son:
mización y Requerimientos
Cumplir con los requerimientos totales del usuario. del usuario
2. Cubrir todos los controles necesarios.
1darcomo 3. No exceder las estimaciones del presupuesto inicial, en tiempo y costo.
~ Ser fácilmente modificables.
; Ser confiables y seguros.
;. 6. Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible.
.lbtenida y 7. Ser amigables.
Para que un sistema cumpla con los requerimientos del usuario se necesita
unn comunicación completa entre éste y e l responsable del desarrollo del siste-
m~. En ella se deben definir claramente los e lementos con que cuenta el usua-
rio, las necesidades del proceso de información y los reque rim ientos de üúor-
m~ción d e salida, a lmacenada o impresa.
En esta misma etapa debió haberse definido la calidad de la üúormación
que será p rocesada por la computadora, estableciéndose los riesgos de la mis-
4 elabora-
ma y la forma de minimizarlos. Para eUo se debieron definir los controles ade-
cuados, estableciénd ose además los ni veles de acceso a la información, es decir,
quién tiene privilegio de consultar, modificar o incluso borrar información.
E.\ta etapa habrá de ser cuidadosamente verificada por el auditor interno
los objeti- .,pecialista en sistemas y por el auditor en informática, para comprobar que se
logró una adecuada comprensión de los requerimientos del usuario y un con-
trol "'tisfactorio de información.
-.egativo), Para verificar si los servicios que se proporcionan a los usuarios son los
odaclari- rl>queridos y que se están proporcionando en forma adecuada, cuando menos
ormaquc serJ preciso considerar la siguiente información:
136 • Descripción de los servicios prestad os.
8.
CAPiTULO •
• C1iterios que utilizan los usuarios para evaluar el nivel del servicio prcst.>l
EVALUACIÓN • Reporte periódico del uso )' concepto del usuario sobre el servicio .
0E LOS SISTEMAS • Registro de los requerimientos planteados por el usuario .
• Tiempo de uso .
A
5. ¿Hay disponibilidad de procesamiento para sus requerimientos?
¿Por qué?
13
6. ¿Conoce los costos de los serv~cios proporcionados? Si NO
7. ¿Qué opina det costo del servicio proporcionado por el departamento de pro-
cesos electrónicos?
14
A. Excesivo B. Mlnimo C. Regular O. Adecuado E. No lo conoce
¿Por qué? 15
8 <Son entregados con puntuarodad los trabajOs?
137
A. Nunca 8 Rara vez ENTREVISTA$
C. Ocas1ona1mente A USUARIOS
O. Generalmente E. S1empre
para deter-
de informá-
---
9 ¿Qué piensa de la presentación de los trabajos solicitados?
A. Defociente B. Aceptable C. Satisfactoria D. Excelente
¿Por qué?
------
-----
10. ¿Qué p1ensa de fa ateooón brondada por el personal de procesos electró·
nocos?
-------
12. <Qué poensa de la segundad en el maneJO de la infO<maelón proporcionada
para su procesamiento?
¿Cuáles?
24. Observaciones.
mejor sus e
patrimonio
DeRECHOS DE AUTOR El prog
pn francés e
dor, es un co
Y SECRETOS INDUSTRIALES blc por má'l
m•cntodela
En relación con las disposiciones jurídicas adecuadas para la actividad info:· dos determ·
mática, la Cámara de Diputados y el instituto Nacional de Estadística, Geogr Cadav
fía e Informática (TNEG!) organizaron un foro de consulta sobre derecho e.,. obras acree(
formática. Como resultado, se recopilaron opiniones, propuestas y experier· últimas adiq
cias re lacionadas con diversos aspectos, entre los que destacan: las garantias parar entre
para la información personal almacenada en bases de datos y la protección juri-
d ica de datos de carácter estratégico; la tipificación de deUtos informáticO>; Articul(,
valor probatorio del documento electrónico, y la protección de derechos de~"· todo cr i
parte
a las La legislaCIÓn actual, además de conservar dichos programas en un similar
rqui- cat.1logo de las obras para las que se reconoc~n lo; derechos de autor (art. 13,
140 LFDA), les ded ica un capítulo especial (capítulo IV <.1 ~1 tftulo IV) con reg\ 1
CAPITULO 4 particu la res tam bién sobl"(' prOll'cdón. 1
EVALUACIÓN
marr
OE LOS SISTE~S de r<
Artículo 13. Los dl... tl>thtl' dt.• autor a que~ refien.• t."Sta Ll'y M.- rt!("()nocen re>·r«>il
de las obras de la~ 'Jguu.•nt~~ ramas: el P'
[...[
XI. Program.- <.1~ <ómpuh>; p ren
1--1 por
Las dcm.is obra-. qut• por analogía puedan C\)n.,lder.u..,..• obras literaria!~ o u-
tísticas se incluirán {In 1.1 r~1ma qu~ les sea más afio a su n.t~turaleza.
pro¡
Artículo 83. Salvo patto en contrario, la personn fíc:ict"l o moral que comi·•iolllf :1
la producción d(' un.l Hbr.l o que Ja prod.u:tca con 1.1 c.:oltlbor.lción remunerada incl
o trcls, gozará de )¡1 titulnridad de los derechos patrimon~tllt.>s sobre la misma y 1.:
correl:iponderán facultadt~ rt:'l.1tlvas a la divulgnci~n. mt~gridad d e la obra y dt ma
colección sobtl' c...t~ hpo dt• cl\'acion,;s.
La per:c;ona qut> partkape ttn la realización de la obra. en forma remunerad4.
ma<
h·ndrá el derecho a que ~ le mencione expresamente "'U cahdad de autor, artiq4. ni <.k
mtérprete o qecutant~ "-.t>re la p.>rte o parte> m ruva Cl\'aoón haya participado. Did
Artt(u!o 8-1 Cuando se tr.ltl' de una obra reahz.1da como C()l"b«'Uencia de UN
relación laboral e.tabll'\:ld.i a trav~ de un contrato mdav1du~l de trabajo que CON-
te por escrito, a f.llt,l tll• p.1rto ~n contrario, se prt.~umu.l c.ru~ los dt>rechos patnm&-
nialcs se dividen por part('s igu.lle:; entre empleador y l'mplt.•ado. n.as
El empleador podr.t davulga.r la obra sin autori7;¡caón del empleado, pero 1\1 pub
.11 contrario. A falta dr ro•, tr.Ho ind ividual de t rabHjo poi' (':;Crito, los derech os pa- dieh
tri monia les oo rre~po n llt• r,,n al timp lead o.
C..pltulo IV
den
Artrculo JO!. Se <>nhcnd<• por programa de romput.h oón l.t ~'pre-.ión original m ha><
nMiquier forma. lt.•nguall" o códago, en un conjunto de.~ in.~trucaones que, con uN
o;.ecuencia, estructura y OrX,lOilación detennmada, tu.•nl' (('lmO propósitO que \.111-1 dio
computadora o di-.pc.)..,ltivo rt.·.l1ite una tarea o función t.~J'l-dllct"t.
Artfcrllo 102. L<h pros;r~lmJs de compu tación se prolt.·~t.·n '-'" los mismos t~rmi·
nos que las obras htrrMiols. Dichcl protección S<' <'xtit•ndt• t.:~nto a los programa·
operativos como a lo!-. prngrMnas 4plicativ~.. ya <.A•a en forma de código fuentt.> o
de código objeto. Se e'et·pluan aquellos programa> d<• cómputo que tengan 1"" las e
ob,eto causar efectos nocav~ a ot ro~ programa.; o t.-quipo~.
ArUcu/o lO.l. 5.11\'tl P·''" h> l'n contrario~ J(.)oo. dl·rt>chO!i p.atnmoniaJes sobre w: m en
programa de computa,ión y 'u dorumenLldón. ruando h.ty•n <ido creados por Ley
uno o varios empl,•.!dos '"" t.~ll"J''rcicio de SU!t funci<'llt"S o Mgult:ndo las instn1C"C»
nt..~ del empleador~ Ct,rr\~pon~l>n a éste. Z.JO(
Como e.xcepción a lo prc\ l~to por el artículo 33 dl• l.:a pn.>scntc Ley, el plaLO dr tl.m
la cesión de dercch()!'. t.•n m.Jh.·ria de programas dt.• rtlmput.a(rón no está SUJdV 11 ele(t
limitación algunit. l<» e
Artículo UN. Como ('\ccpción a lo previ~to en l'l .utkulo 27 fracción IV, ti
titular de los dcrcc:hos dl• au tor c;obrc u n program,l dt~ computdción o sobre una dcct
ba~~ de datos cort~l'n',trot, tHrn d4.:'~pués de la venta dt.~ l~,~.~mplar!!s de los mismos, cl y l~l J
derecho de autori1.ar o proh1b1r e l arrendamiento d<' d1cho,. c¡emplarcs. Este p~
cepto no se aplicar.:i cuando elt·Jc-mpJar del program.1 dt• cumputacil)n no coo ..titu- onda'
va f'n o;i mismo un obtt·to t·""·n<i.a1 de- la licencia dt.• u~l. centt
Artimlo 105. El usu.UI\> k•gohmo de un programa de computación podcá ,....t;. 51001
.ur el número dt" copu.s qut• lt• autorice la littnda cona•'"hda por el titular dt" b
derecho; de autor, O una 'Ola ropoa de dJcho progtdm.l Slt'mpre }' ru<mdo: cond
eglas 1 ~a UldlSpensable para la uhhzaoón dd P"''t••rna. o 141
IJ_ Sl-.a dt~tinad.J exdusi,·amente cvmo ''-*"'SU"rdo p.trd ...ustituir la copia h:gitl-
m.unente adqwnda, cuando é:.ta no put-d~ utohL>....., por daño o pérdida. La rupoa DERECHOS
de r.'5paldo deberá ser destruida cuando ex~ el derecho del usuario para uhlizar DE AIJTOfl
V SECRET06
t"l progr.1ma de computación. INDUSTRIALES
1\rth.ulo 106. El derecho patrimon~tll "ubn.• un ptograma de computación com ·
prend~,~" ltl facultad de autorizar o proh1bu.
l. La reproducción pcrmancntC' o provi~o,ionJI del p rogra ma en todo o e n parte, Derechos
ror cu.tlquicr medio y forma; de autor
o ar- 11 L1 traducción, la adaptación, e-l Mn·~lu o t.·u.llqui~r otra modificación d(" un
programa y la reproducción del programa rt..ultant~;
sione
Jll. Cualquier forma de distribución drl programa o de una copia del mo'mo,
la de
mduldo el alquiler. r
1 y le
1\ Li d~mpilación, los ph"K'eSollS p.sra f\'\ .:rhr la angeruería de un progra-
r dt... m.l dt• n...,mputación }' el descn!oo.lmblaw.
Artocu/p 107. Las bases dt> dalt'> o dt• lltros matt·nal"' legibles por medoo de
rada,
m.iqu.na .. o m otra forma, que- por razone5 til· 'f.'lt."C.·"·um ) dispo-.ición de ..u oonte-
11sla,
rudo constituyan creaciones mtelectuales. qut-dar.in prutl-gidcb romo compilaci\.)~.
ado. O.ch.J protección no se e.-x1enderá a los dJtPS y mah:naleo en &i mismos.
!una
Nlfcu/o 111.~ Las ba,es de dat"" q~ "'' e< M ""ll'""Jeo; quedan. sin embargo, pro-
rons- k'gld.JS ...n .,u u -.o t:\dusivo por quien Lls h..l\ o1 d.•l,or.ki(\, durante un lapso de 5 años.
-uno- A.riJckltl 109. El acceso a informa~.:1ón dt• \:drd"ll'r pn\·ctdo relativa a las pt..f'O-o
~\ C\'IOlcmda en las bases de datos a qut~ .,..~ 1\.'(u..'r\' d a.rhculo anterior, a..,1 como la
ro no pubhc.uión, reproducción, divulg,lción, '-"'<'~munic.lcit~n pública y tran~misión de
• pa- dichol información, requerir.\ la autoriJ.l,ión previ._1 de l._ts personas de que M' tr4.1tt•.
Qulodan exceptuados de lo <mtcrior 1.1s inV(.'StigndO•"'I(.'S d~ las autoridades cncar·
Jo;old.t~o, dt• 1.1 procuración e impartición de ju~hda, dt• Jcucrdo 0011 la legislación n..--spcc·
hva., .t..,í L:Omo el a~ a ard'liv~ públiet\lo. J"'("'r 1~1s f'114:rson..s autori:tadas por la lí"y,
'":mpf\" que la consuJta sea realil'ada amfpmw a Jos proa..>dirruent~ respectiv~.
A.rtftu/(J 110. El titular del den.·chl\ p.1tnmc:wu.ll 'obrl~ una base de datos kndrá
dt"n.'Cho t•\.dusi\'o,. respecto de la forma de t'\presi'm dt" la ~tructura de d1cha
oJ en N'('~ dt' Autorizar o prohibir:
•una J. "u n'productión penn•ncnte o temporaL total o p•rcial, por cualquier me-
·una do<> ' de cuolqwer forma;
11 Su tr.1ducoón.- adaptación. reordt.·naoún ) cudlqu1er otn modificación;
hrru- 111 1 .1 dic;;tribución del original o cupttlS t.h... 1.1 bd~ d..-. d.1t~;
am"-' 1\ . La romunicación al pübliC\) y
nte o \' La n'producción. distnbucoon o comunocactón pubhca M los resultados de
1por las operadon~ mt!nclonada~ (·n la tramón n dd pn•··<nte articulo.
ArlréUio 111. Los programas ek<tuadtJs dedromcamente que contengan ele·
.,. un mt.'nt~ \ 1suales, ~noros" tndimefb1on.1h.·... o .JOimold'~ quedan protegidos, por ~-.t"
; por l.t•y t•n lo.., t•IC'mentos primigenios qut• ctmtt.•ngdn.
CCIO- Artfrulo l 12. Queda prohibida la 1mport.tc1ün, f~.lbnc4lc;:aón, distribución y utili·
..-.lCIÓil dl' ~tp,u~tt os o la prestación dl' . . . . . rvido~ dl'Stil'hld05 d eliminar la protección
tode fli.ulica de los programas de cómputo, <.h• ),\\ trnnsmic;.ioncs n través del espe<tro
eto a l.'lt~lrf•m.lgnético y de redes de tclecomunicaciunt•s y dt.' )()S programas de elemen·
t(,.. l'll"(trtlnicoc; o;.cñalados en el artículo anhmor
\,el Artu 11let 113 l...a!t obras e inh?rpf\1,1~o.-lnr'k'S o ".,..._"l"Ue&one transmitidas por mcdi~
una ekctr6níro> a través del espectro elt-..in>mas~toco y de red'"' de telecomunícaci<>n....,
"" el \ d "'"ull.ldo que se obtenga de t·,la trammoOK>n ,.,taran protl'!)lda:. por,...,. l.c1'
pre- J\rtocu/o 114. La transmosoon de obra:. protegodas por e.'ta l.c1 mediante cat>le,
;btu- ondas r.ldJC:~Jt.:""'""tn~o.a-. . satélite v otras !'lmalAn...... dl>ht: rJn .ldt"CUarse, en lo condu·
n-ntc, a lc11l~laoún me:xicaná y n~pt.-t.ar en todo cao;o y en todo tiempo la~ dic;;-po-
SlCJOI'\C."S ~re la materia.
1\.rtatUlo 231 Constituven mfra<o<mc.--s t"ll matt"na de comercio la:, ~iguí(>nh.~
rondu~.~ta .. ~.""'liando sean reáhzadas con hnes d .... lul"ro dtrt:-..:hl o mdirecto:
142 l. Comunicar o utilizar públicamente una obra protegida por cualquier me1
y de cualquier forma, sin la autorización previa y expresa del autor.. de sus~
CAPiTUL04
EVALUACIÓN
mos herederos o del titular del derecho patrimonial de autor;
DE LOS SISTEMAS JI. Utilizar la lmagen de una persona sin su autorización o la de sus cau~
bientes;
In. Produci r, reproducir, almacenar, d istribuir, transportar o oomerciali
copias de obras.. fonogramas, videogramas o libros, p rotegidos por los derechos
autor o p<>r los derechos conexos, sin la autorización de los respectivos titulares
los términos de esta Ley;
IV. Ofrecer en venta, almacenar, transportar o poner en circulación obraspr
tegidas por esta Ley que hayan sido deformadas, modificadas o mutiladas sin"
tori?.ación del titular del derecho de autor;
V. Importar, vender, arrendar o realizar cualquier acto que permita tener
d ispositivo o sistema cuya finalidad sea desactivar Jos dispositivos electróniro;~
protección de un programa de computación;
VI. Retransmitir, fijar, reproducir y difundir al público emisiones de organi:-
mos de radiodjfusión y sin la autorización debida, y
VII. Usar, reproducir o explotar una reserva de derechos protegida o un pro
grama de cómputo sin el consentimiento del titular. polémicas
Artículo 232. Las infracciones en materia de comercio previstos en la preserm trumento
Ley serán sancionadas por el rnstituto Mcxic.lnode la Propiedad Industrial conm11!!.. Internet. S
l. De cinco mil hasta diez mil días de salario mínimo en los casos previstos ea disco duro
las fracciones 1, III, IV, V, vn, VIJI y IX del artículo anterior; In ternet. E
n. De mil hasta cinco m il días de salario mínimo en los casos previs tosenb una ova
fracciones 11 y VI del artículo anterior, y Cuand
nr. De quinientos hasta mil días de salario mínimo en los demás casos a qutw
refiere la fracción X del artículo anterior. atribuye g1
Se aplicará multa adicional de hasta q uinientos días de salario mínimo gene- pués,extra
ral v igente por día a quicl':. persista en la infracción. cookiesu, e
Artículo 233. Si el infractor fuese un editor, organismo de radiodifusión. o Clll!- Estop
q uier persona física o moral que explote obras a escala comercial, la multa podrJ visitantes J
incrcmentatSC hasta en un cincuenta por ciento respecto de las cantidades pre\1,- entre vari1
tasen el artículo anterior. que permi
electrónic•
anuncianb
El e~
INTERNET todo en e<
línea, la ce
todepaga
El Internet, considerado como tma colección de red es interconectadas o como grabando
un conjunto de computad oras u nidas e ntre sí, no ha sido tomado en cuentl Teóri<
entre las disposiciones que se acaban de mencionar. un servid~
Pa ra obtener acceso a Internet se requ ie re u n equipo q ue está al a lcance de! Las re
público en general, por lo que cualquier persona puede entrar a la red de redes nes han al
de comunicación si contrata los servicios de un p roveedor de acceso. verdader•
Recientemente h an surgido empresas proveedoras de servicios dedicados ción de d <
a ofrecer en renta conexiones a Inte rnet, ya sea de manera d irecta, indirecta o do su nav
parcial, siendo las propias empresas las que proporcionan el equipo necesario den borra
para tener acceso. programa
Los proveedores de servidos son los responsables de la información que La sit
ponen al servido de sus usuarios, ya que dichas comp aí\ias son encargadas de determim
d ivulgar y contro la r la información transmitida por Internet. de Intern<
:med io, Son muy complejos los aspectos técnicos que implica conocer las acciones 143
IS legíti llevadas a cabo en Internet para determinar cuó lcs pudieran constituir alguna DERECHOS
mfr,1cción a los derechos de autor. No obstante, se pt1ede pensar que este siste- DE AUTOR
ausaha- I!IJ de comunicación puede originar las siguientes violaciones: al derecho mo- Y SECRETOS
INDUSTRIALES
ral de modificar la obra; al derecho moral de inédito; al derecho de publicar la
tiali.t:ar
obra bajo el propio nombre o de manera anónima. Tamb1én pueden producirse
c:hos de
lares en olaciones a los derechos patrimoniales cuando se transmiten obras intelectua·
!..;en forma de archivos por medio de Internet, ya que se realiza una utilización
:as pro- pública de una obra sin la remuneración para el autor de la creación intelectual.
sin au- También puede ser fáci lmente violado el derecho de autor cuando la red
utiliza la propia imagen, de la que son titulares Jos artistas, intérp retes y ejecutan·
:mer un tes, por cuanto que en Internet es posible e ncontrar un gran número de imáge·
.icosde
nesque pueden ser reproducidas imprimiéndolas sobre papel, como carteles, o
rganis-
sobre tela para obtener prendas de vestir (como playeras con la imagen del
artista preferido).
m pro- El debate sobre la protección de Jos datos personales en Internet reabre la
POlémica sobre el papel desempeñado por los cookie, que sirven más como ins-
resente lnlmento de mercadotecnia que como medio para espiar a los usuario> de
multa: Internet. El término cookie <;e aplica a un simple archivo de datos situado en el
;tos en d1sco duro del computador de una persona o compañía que ofrece servicios de
Internet. El cookie y su contenido son creados por un servidor que almacena
en la~
una o va rias pági na~ ln tcmct.
que se Cuando un visitante accede a una página web por primera vez, e l servidor le
•tribuye generalmente un número de identificación con atributos, e l cookie. Des-
gene- pués, extrae su nombre de un fichero empleado en las plataformas Unix, los "magic
rookies", con lo que el visitante será identificado en sus visitas ulteriores.
>cual- Esto permite al propietario de la página analizar el comportamiento de sus
podrá 1isitantes y personalizar sus visitas. El desplazamiento de los usuarios de Internet
•te\"ÍS-
entre varias páginas de una dirección se puede identificar a la perfección, lo
que permite "tomar not.1" del recorrido utililado más a menudo. La dirección
electrónica podrá ser modificada para satisfacer a la vez al visitante y a los
anunciantes, que pueden colocar su publicidad en el lugar más adecuado.
fll cookie sirve también para g rabar lo que ocurre en estas visitas, sobré
todo en caso de compra. Si se elige, por ejemplo, un libro en una librería en
linea, la compra queda grabada en un cookie, antes de reaparecer en el mom~n
to de pagar la factura en la caja virtual. la visita también puede ser personalizada
:omo grabando en el archivo cookie las informac;iones fac;ilitadas por el usuario.
Jenta Teóricamente la seguriddd de estas inform.1ciones está garantizada, ya que
un servidor sólo puede obtener la información del cookie que ha producido.
"edel Las redes de publicidad en línea sí tienen esta capacidad. Estas innovacio-
-edes ll!'S han alarmado a algunas asociaciones, para quienes este sistema supone w1a
•·erdadcra intrusión en la vida privada de los usuarios de Internet. Esta capta-
ados ción de datos se realiza s in que el usuario Jo sepa, a menos que haya configura-
cta o do su navegador para ser advertido. Los que no disponen de este sist~ma pue·
sario den borrar periódicamente el fichero cookie de su disco duro o recurrir a un
programa especial.
que la situac:ión de los cookie debe ser evaluada dentro de la auditoría, para
ISde determinar si se considera como una intromisión la pnvacidad de los usuarios
de Internet de una compañía.
144
CAPiTULO 4
EVALUACIÓN
PROTECCIÓN DE LOS DERECHOS DE AUTOR
DE LOS SISTEMAS
Las obras protegidas por la ley deberán ostentar la expresión "Derechos Reo
dos" o su abreviatura D.R., seguida por el símbolo e dentro de un círculo:
embargo, la omisión de estos requisitos no implica la pérdida de los dercdl
autor, aw1que sujeta al responsable a las sanciones establecidas en la 1~
La reserva de los derechos de autor es la facultad para usar y
forma exclusiva títulos, nombres, denominaciones, características 11su:as '"
cológicas distintivas o características de operación originales. Ahora
proteger los derechos de autor se han establecido diversos procedimien!
primero relacionado con los delitos que pueden cometerse al invadirse
cho de autor, por lo cual se estableció el artículo 215 de la Ley de
Autor, que corresponde conocer a los tribunales de la Federación, sobre
titos relacionados con el derecho de autor, los cuales deberán estar pre·<Jslr"
el Código Penal para el Distrito Federal, que regula los delitos en maten•'~
fuero común y para toda la República en materia del fuero federal.
Independientemente de solicitar el ejercicio de la acción penaL la
afectada por Wl derecho protegido por la Ley de Derechos de Autor,
optar entre hacer va ler las acciones judiciales que le correspondan o sujeta"'
procedimiento de avenencia.
El procedimiento de avenencia tiene por objeto dirimir de manera am>
ble un conflicto surgido con motivo de la interpretación o aplicación de la t..
se inicia con la queja, que se presenta directamente ante el Instituto NaO"'
del Derecho de Autor.
Mediante la aplicación del artículo 2o. de la Ley de Derechos de Au
corresponde al Instituto Nacional del Derecho de Autor su aplicación adm
trativa, y en los casos previstos por dicha ley al Instituto Mexicano de la Pro¡o
dad Industrial.
Mediante el arbitraje las partes podrán resolver todas las controversias ~]U<
hayan surgido en materia de derechos de autor, y podrán someterse por roed
de cláusula compromisoria o compromiso arbitral.
Es de señalar que el artículo 223 de la Ley de Derechos de Autor señalaq
para ser árbitro se requiere el ser licenciado en derecho, pero no es requisilo
ser especialista en el área en que se va a arbitrar, como sería el ser experto e
programación, informática o bases de datos.
Las penalidades en caso de delitos se han incrementado notablemente d.
acuerdo con lo señalado en el:
te de
SecRETos INDUSTRIALES
tres
Arl 82. Se con<idera secreto industrial a toda inf<>nnación de aplicación industrial
que o comercial que guarde una persona física o moral con carácter ronfidendal, queJe
¡,ignifique obtener o mantener una ventaja competitiva o económica frente a tercc·
146 I"'!t en la relo1ción de actividades económicas y respecto de la cual h•~·a
loo;, medios o c;,1stemas suficientes para presen·ar su confidencialidad y el
CAPITVlO •
~tnngido a la misma.
EVALUACION
la información de un secreto industrial necesariamente deberá"'"''"'!::
DE lOS SISTEMAS
lo1
a natural~7a, caractt"ri~hcas o finalidades de los productQS; ao II~O<~;:::ii
a.~ de producción; o a los medios o formas de distribución o o
productO> o prestación de servicios.
No o;,e oon~idcrar..i secreto industrial aquella información que sea
pubhro la que resulte evidente para un téotico en la materia. con ba,.. m
coón pro.>n.uncnte dJsportible o la que deba ser divulgada por ·
por orden judocial. No se considerará que entra al dominio público o~
gada por <fuJ'OO>iOón legal aqueUa información que sea proporcionada • aLI!;:':II
autoridad por una persona que la posea como secn>to ondu<tríal. cuando
porc1ón l..., para el efl'd:o de obtener licencias, permi~. autOriL41ciOne.., wgioc::f
cuah..">Squ.•ersl otros act~ de autoridad.
Se ronsidera S«reto industrial "toda información de aplicación '"""""q
comercild". En principio, respecto de la aclaración de que la informacíón
de cMáct~r industrial o comercial, la cua~ aun y cuando pi'! rece ele,m<·nt.l'l (!j
lugar a que en ciertos casos la voluntad del legislador pretendier.t intt•rpl\'l!
un b4.!ntido r~strictívo, limitando la protección exclusivamente a 1.1 mform
f:Strictamentc de carácter industriaL
Por otro lado, t>SpeciaJ peso debe concederse al término "aplicación" q
duy~ d pn><:epto al referirse a los secretos industriales. ya que 1,1 inform.'"'
berá s.jltisf.lcer ese pa rticular requisito. De hed1o, en este punto podcmO!t Pnnm:
una relativa equiva14mcia con e l requisito que al efedo se esta bl('ce ('n matlr
p.ltcn tcs~ consistente en que las invenciones sean susceptibl('s de aphcacü)n n
tria l.
Es cJaro que la expresión "aplicable", en este particular contexto, dcbl\
terpretad.1 en su (orm.l más amplia,. ya que pudiera presentarse el ca~
Cierta información que aun y cuando en la práctica aún no hubiese sido
practica., sus posibilidades de ser implementada le ubiquen como onfc>rm1o<f;j
mere"-<dora de la tutela de este régimen.
fn ara. de que e) régimen tutelar de Jos secretOS ondu<triales VCirda,d tt,= ::!
ronM1tuya un medio de protección de información confidencial que !'ecshm•,a:c;]
bien l"CCn6micamente \'alioso, la limitación que (') precepto reali1a del
formación que cAlifica como constitutiva de secretos indu<triale<, ín<'"l""'
labra "referida a·. ron lo que el legislador parece establecer ba<ta
marión guarde cit>rta liga o esté asociada alas actividades fuo,d;smenttalc,.d~•O::::!
t."CCnómiro o h1en una \·entaja competitiva para poder "'t"r con,.iderad• ...,""~...,
p.u• ron.c..htuir un c;ecrcto indu..~triat lo cual puede ser ruestion01blfo,
toda> la' copoas. por <'JI'mplo, de programas, tienen una finalidad de .,_,,do<ioé~
nómico o una ''"-~ruaj.a competitiva.
Entre la informaoón típicamente considerada como conshtuto'"a dt
ondu<tríale<> se cuenta la relativa a listas de clientes y pro,·eedore<. formuLlcl~
prOC\"<» ondustríal.,, e:;trategias de mercado, laruamiento de prc:od<octc.,,
do' de estudiO'< comerciales y de mercado, sueldos, proct'SOo. lega le< l"t"' cltllltl
cil". ba"-'S de datos. y en general, cualquier información sensoble
un valor econónuro para la empresa. este tipo de información la pocteono><<mlilol
ror Wtl'Ctamente bgada con bases de datos.
Respecto de la condioón de que el secreto industrial sea guardado por
persona física o moral con carácter confidencial, puede consideraro.,e qu~ ~1n
constituye l'st.l el núcleo fundamental que imprime a este topo de informaci<lo
car.lCtt!rCstica. que le califica corno sec'.reto industrial.
adoptado Es importante considerar que el precepto no e-tob)('((' condición alguna res- 147_ _
el acceso J'tf'do del origen de la información que guarda su poseedor, es decir, no se establc--
DERECHOS
ct romo rondición el que la información hubiKl' sido generada por su poseedor, o DE Al/TOA
.r referida bien, que la misma hubiese sido obtenido por algún títu lo legal romo p ueda ser su Y SECRETOS
los o pro- trJnsmísión por parte de u n tercero, por lo que la información conten.id a en una INDUSTRIALES
.zación d~ hJ.,(\ de datos, es cons iderada como u n sc<:n.•to industrio l. s in importar si ésta fue o
no crcadt'l por la persona q ue la poM!C y q ue In pueden difund ir.
ldominio Obviamente se abre aqu( el planteami~nto de si In información que eventual·
informa- m('nte ha sido obtenida de manera ilegal, en caw de seguir cumpliendo las condi-
;n legal o ciones d~ confidencialidad extgtdas por el precepto, debe ser merecedora de '"
es divul- protección conferida a Jos secretos mdustraales. Seria el caso. por ejemplo.. de infor·
rualquier mJrión que indebidamente revele un l~x empll't~do d su nuevo patrón,. y que éste
lo la pro- pn:h_. ,da conservar y proteger como St.~reto indus-trial propio, o bien ropias de
gistros, o program..lS que posea un empleado y que Ll) proporc1one a su nuevo empleador.
En términos del tercer párrafo de t··~tt• mi'->mo artículo, se establece que no se
lustrial o ron,tdera que entra al dommio púbhro o que'"' divulgada por disposición legal
;,uede ser aquella información que sea proporcionada a cualquier autoridad por una persona
.tal, daba que la posea como secreto industrial cuando -,e proporcione para el objeto de obte-
-etarse en ner licC'ncias, permisos, autorizaciones, regi!)lrO:-t, o cuale-squiera otros actos de au·
)rmadón toridad.
las bases de datos que son del dominio público, pero que son modificadas,
.. que in- l'tWjoradas o ampliadas, para lo cuJI se emple~n tiC'mpo y recursos, se convierten
ación de- en propiedad industrial. Es d caso, por ejemplo, de mú ltiples bases de datos que
:noontrar hon obtcnldas a partir de información accc~ib ll' pMn el público, pero que al impri-
ateria de min;c unn dosis significativa de recu rsos, til•mpo y talento, la información es trata-
ln indus- da y depurada hasta el grado de convertirla Cl"' un producto nuevo y diferente, que
por ese solo hecho merece la protecc1ón t.JUC la legislación confiere a los secretos
Jeser in- mdustriales, Siempre que, desde luego, Sol' ttah~fdgan las otras condiciones exigtdas
' de que para esta figura.
ouesta en E.~te mismo criterio puede aplican;e a ciertos programas de computadón que
·nnación p.or• >U ronformaáón han requerido dé la part~<ipación di' especialistas que han
onwrtido en la inwstigación cantidad<> notabk., de e<fueno y erudición, de ma-
Tamente ""'" que el resultado puede ser considerado romo S<"creto industrial.
na como Un aspecto que es convcnicnt(' d~tat"ar l>s que en este punto la disposición
>O de in- p.t«""' apartarse del texto del Tratado dt• 1 ibrt> Comercio entre México, Estados
Ia lapa- Unidos y Canadá, en su articulo 1711, úmcamente requiere que quien posee el
Ja infor- secreto hubiere tomado ''medidas a &u alc~nce... El punto parece mínimo, pero es
cl~ro qu<' l'xiste una gran distancia entre hober tomado "medidas al a lcance" que
?lagente
mo apta hnber tomado ulas medidas necesarias", t\\1oomo la Ley de Propiedad Industrial lo
que n o detcnnina.
ido eco- Resulta imprescindible para las empn:qas n"'OdC'Tnfl<:; contar con un reglamen-
to int<'rno de trabajo, en el que se espec1f1qucn )(1-S poHlicas de la empresa en mah..""'
secretos rinde información confidencial. Dicho r\•glamento debe ser conocido por todos len;
aciones, l'mplendos }' funcionarios de la empres-.1, y su pu("<)ta (Ion práctka debe ser un asun-
resulta... to prkoritario para cumplir con los rt"CJUCrimicntos que la ley determina para la
constitución y preservación del S{I'C'ft!to industrial. Entre las políticas que deben
·dé pre-
observarse como mínimas en mateua dt> ..,ecretos industriales se cuentan
>resente
enunciati,tame-nte las consistentes en la 1dentificación de los materiales considera·
:onside-
do' romo <ec<eto de negoci<>'-, la prolubletón de la duphcaáón de documentos
~·n'->ib1~ sin autonzadón, el control de mgn..'M) a la~ areas en que la infonnadón ~
por una ronf1:ntra~ la utilización de sistemas de seguridad y control~ la implementación de-
in duda
cl.lv~ de a~ a las computadoras, la hrm.l de com·enios de confidencialidad
ación la
ron empleados y proveedores, etc E.'tos punto.. -.on tratados ron mayor amplitud
t•n L•l tema relacionado a la segurídad.
148 Entn> otras diSpo>iciones aplicables se rocurotran la> de la l..t-.r~),,:~;::i]
Re-ponsabilidad<'S d~ los Servidores Públicos, que en su artículo 47 d
CAP1TUL04
EVAt.UACION lodo '5Crvidor público tendrá la obligación de custodiar)' cu1dar la docul,,.,.,¿:;:
DE LOS SISTEMAS e mformacaón que por razón de su empleo. argo o comi(;ión, ron.wn ..-
CUid.ldO o a la cual tenga acceso, impidiendo o e-itando el uo,o, la su';tr~tt,l
dL..,Iruroon, oc:ullanuenlo o inutilización indebida de la mi>ma
En relaoón ron el llamado "know how", cabe también h.lccr la dt>llft<iátt~;
que no toda la miormación de este tipo es necesariamente ronfidenciat )O
rono.>pto >e drrige a rekrir aquel conjunto de ronocimiroto. }' habihdad<..
miiL·n a una persona o grupo de personas desarrollar, producir, di<lnbuir
caah1Au un bien o un ti(>n-·icio ron ventajas frente a Otrc)t; competadon..... pt'I'O OMI,I
c~lrJdembca de que d•cha información bien puede estar en el domanao
'U c..\!10 !oOn elementos como la experiencia y la destreza lo que penn':1~1e~~:'~~:~
venta¡a M es<' "saber hacer'". Es decir, en el caso del "know how" p
rar que un.a de sus diferencias b.isicas con los ~tos indu<.Jtrialcs es que no
ri<1mentc es lnformación que deba considerarse como confidencial
L.• definición de la "Uniform Trade Secrets Act", legbladón que l'n
Unidos habla wbre los se<:retos industriales es la siguiente:
"Un S<"<' reto industrial podrá consistir en cualquier fórmula, patrón, d~-tp
vo o compill.lción de i nformación que se usen en una cmp~a y que den al cmp~
sario 1 ~1 oportunidad de obtener una ventaja sobre los competidores qut..• no l\,
nocl'n o no lo us-~1. Puede ser la fórmula de un compuesto químiro, un prod '
manufactura, de tf<\tamiento o de conservación de materiales, C'l patrón par.l UJ
máquina u o tro dispositivo, o una lista de clie ntes."
Art, 83. La información a que se refiere el artículo anterior, debt.•rá ron,t.u
documentos, med1os electrónicos o magn~ticos, discos ópticos, microhlmr,,
las u o tros i nstrumentos similares.
l..l~ ro
Es importante considerar que este precepto adiciona u•"' ciC'mc•,to mde;,)' dn~l' ~
hl"Cho de que la información respectiva debe lonstar en un soporte maten.al l~nnr"'
problt>mtl que se tiene está en que para que Jos documentos que rontlenL'n c.1nn 9
lo indu,lrial sean registrados a nte el Registro Nacional de Oc~X'<:ho do cxdu
pendi~nl<' del ln,llluto Nacional del Derecho de Autor, d~ben ~r Pf1"-•nt•d••·lt ¡ 1
un soporte matenal, y al tratarse de un regastro público la informaotln ~ hiCI que d (
acres1ble a terceros perdiendo, precisamente por ese hl'Cho, cualqu1er tipo d<• 1'11>
•~h·
ll'<:Ción legal que como secreto industrial le hubiere correspondido
A.rl. 8-1. La pet'iOna qu~ guarde un secreto induc>ttial podrá tran~mthrloo cont.:
1
j
tonzar su uso a un tercero. El usuario autorizado tendr.i la obhgadón de no dt
gar el M-"Creto mdu11otnal por ningún medio. do N
En ¡.,. conwruo. por los que se transmitan ronocimiroto l<~mro. ..;,~~coa 1 adm•t
t<'cmca. provt<1on de 1ngerueria básica o de detalle, se podran ,..,tabl<'«'r d.l....!» dL' lnl
de ronf•denciahdad para proteger los secretos industriales que contemplen. ~>hat
cuaJe; deber.in precisar los aspectos que comprenden como ronfidenoak-.,.. s1óne
Art. 85. Toda aquella persona que, ron motivo de su trabaJO, emplro, ~
~
pul~lo, dl"S(.•mpcño de ~u profesión o relación de negocios. t('ng~ .1cn~ a un ltOt"
pu<·.J
lo mdustnal del cual "" haya prevenido sobre su confidencialidad. dob.•ra •bs::
neN." de revel,ulo sin causa justificada y sin consentimiento de la person.1 1
gu,ude dicho M"Cn"to, o de su usuario autorizado. tmnll
Tod.ac; hl'., (X"tson,.,s mencionadas en el precepto pare(('n cubrir l:~t> dtvt1'f.IS SltH.lS
opciones de quienes pueden tener legal acceso a los secretos indu ..trlalt"'i dt' dom•
~or, e:.to es, traba¡adores, empleados, asesores, y en general. cualqull·n qut
h.>ng.J t'IC'C~SO _. los s«retos por virtud de sostener una relación de m•goci<)'; l'"\ll1 d
e
tntl·rl
•1uc guarda el 'ecreto. De acuerdo con las fracciones 111, IV y V d~l.trlfculo 223d< d,\,
¡,, ley de Propiedad Industrial, no sólo la revelación del secreto <'SI.i vedada ~""
t.lmb1Cn su utiHz...1ción y aprovechamiento. y, r
Ley Federal clt• Arl. 86. La persona física o moral (lliC C'ontrdte a un trabaJador que est~ labo~ 149
'determina que rando o haya laborado o a un pro(esi<H'Iista. Jscsor o consultor que prestl> o hay~
DERECHOS
documentación prestado sus servicios pa ra o tra pt."l'bOna, con el fi n de obtener secre tos industrini('S DE AUTOR
mserve bajo bU de 6$tn, será responsable del pago de duños y perjuicios que le ocasione a dichn V SECRETOS
la sustracción~ ~r>onn. I NOUSTRIA~ES
También será responsable del pago de da1\o• y perjuicios la persona física o
la distindón dC' moral qu~ por cualquier med io ilícito obteng.1 información que contemple u n se..
~aL ya que est(' creto industrial.
idades que per- El artículo 223 de la l.ey de Propiedad lndu>lrial define y sanciona los conduc·
libuir o rom~r las delictivas en relación ron <;('(Tt'tO. industriales. Al propio tiempo, ~1 articulo
f't'S.. pero ron ltl incurre en otra intrascendencia por obvit'dad, al señalar que quien reciba S<'Cl'Ct<X
io público, y en industriales de terceros por vía de contrtlt.u a sus empleados o ex empleados, ac;e~
te consolidar la SOt'CS o ex asesores, será responsable de l<b dañ~ )' perjuicios que oca5lone, siendo
:lemos considc- que dicha obligación deviene de rualqu1cr h,'Cho ilícito que lesione a una persona,
que no ot'C<.'S.l· tal como lo prescribe el artículo 1910 del Código Civil.
JUe en Estado~
por medio de 1,, cual se define y reglamenta el acceso y uso de los m<,ns.>..s do
l
dat~. del comercio electrónico y de las firma~ digitales, y -.e estable('(.>n las
d"' de certificación y .e dictan <>tras dispoo.1ciones.
PARTEI
PARTE GENERAL
Artículo 1o. Definiciones. Para efectos del pres.•ntc d<•creto se entenderá por:
1. Jnitiador. pt.'l"ttnJ qué actuando por su cuenta, o en cuyo nombre st: 1\J
actuado, envlc o gcncrt' un mensaje de dJt~.
S. Clave pública· valor o valores numéricos que son utilizados para verificar
que una firma dig1tal fue generada con la dan• priv.lda del iniciador
ernunar.l
tilkación
OBJETIVOS
Al finalizar este capitulo, usted:
1. Explrcará por qué los datos de las organizac100es son valiosos recursos y
por qué es necesario tener estrictos controles sobre ellos.
1de los 2. Conocerá los distintos tipos de control que deben ejercerse sobre los datos
:ión. de las organizaciones.
3. Describirá las reglas relativas al orden y cuidado que deben observarse en el
a debc- cenrro de cómputo.
ecnoló- 4. Explicará la importancia de evaluar el grado de eficiencia del sistema opera-
no los tivo para satisfacer las necestdades de una instalacíón.
loca~,
5. Conocerá los puntos principales que deberán ser evaluados en los equipos
de cómputo de una organizactón.
156 d
CAPITULO 5
EVALUACIÓN
CoNTROLES y
V
DEL PROCESO
OE DATOS
Y DE LOS EOUIPOS Los datos son uno de los rCOJ rsos más valiosos de las organizaciones, y, aunque E
DE CÓMPUTO son int.1 ngibles, nccc,itan ser controlados y aud itados con el mismo cuidado qlli punb
los demás inventMios de la organización, por lo cual se debe te ner presente: dos~
caso
• La responsabilidad de los d atos es compartida conjuntamente por algum form
función determinada de la organización y la dirección de informática. dad •
• Un problema que se debe considerar es el que se origina por la duplicidaé S
de los datos, el cual consiste en poder determinar los propietarios o usua- elab~
nos posibles (principalmente en el caso de ~des y banco de datos) y~ que •
resport'labilid,ld de su actualización y consistencia. mest
• Los datos deber.in tener una clasificación estándar y un mt.>canismo de id... 1
tificación que permita detectar duplicidad y redundancia dentro de un,¡ bas;
aplicación y de todas las aplicaciones en general. dos j
• Se d eben relacionar los elementos de los datos con las bases de datos donde lacio
están a lmacenados,,,.¡ como los reportes y grupos de procesos donde son cont
generados. d ei s
r
En todo cen tro de informática se debe contar con una serie de políticas que que r
pcrmi tan la mejor operación de los sistemas. Estas políticas son evaluadas du- resp•
rante el transcurso de la aud itoria, por lo que sólo son mencio~>adas en es~ a ce
sección, pero se encuentran estudiadas en detalle en diferentes capítulos. actu
Entre las políticas de operación del computador se encuentran las siguientrs
Polí
Políticas de respaldos
Lds 1
Los respaldos di! la información deben realizarse mensual, semanal o diario. T debil
se deben observan los siguientes puntos:
tracit
• Contor con políticas formales por escrito para efech.1ar los respaldos mm·
sua les, semana les y diarios de la información . • 1
• Todos los med ios magnéticos de respaldo no deben estar a lmacenados en • 1
un mismo luga r, aunque se tengan los medios magnéticos de operacióner •
el sile, por lo que si hubiera una contingencia grave (incend io, inundación•
no se tendría el riesgo de perder parte o la tola lidad de la uúonnación, Y•
que se cuenta en otro lugar con los respaldos.
• Debe tenerse acceso restringido al área en donde se tienen almacenados k. •
medios magnéticos, tanto de operación como de respaldo. •
• Se d!!ben tener identificadas las cintas por fecha, concepto y consecutivo, •
es convemente !!laborar y actualizar una relación sobro:! las cintas, el cooiP-
nido de los datos de registro y los responsables de efectuarlos.
• Se debe contar con una política que indique los procedimientos a seguir e: vers
cuanto a l almacenamiento de las cintas de respaldo en un lugar diferente por
de la ubicación del site, en donde se pued a tener acceso las 24 horas del d ía 157
y donde se designen responsables de mantener actualizada la información CONTROLES
vital de la organización.
;,y, aunque El hecho de no contar con estas políticas de respaldo que contemplen los
uidado que puntos anteriores puede p rovocar que no se sigan los procedimientos adecua-
resente: dos para realizar los respaldos, que haya riesgo de pérdida de información en
caso de alguna contingencia y no tener una d ispon ibilidad inmediata de la in-
por algun a formación de respaldo para recuperar la itúormación y conseguir lma continui-
nática. dad en la organización.
duplicidad Se debe elaborar por escrito lma serie de políticas y procedimientos para la
ioso usua- elaboración de los respaldos, contempla ndo los pasos a segu ir, la información
datos) y la que debe de ser respaldada.. según el periodo correspondiente (mensual, se-
mestral o anual), así como al personal asignado para cada caso.
no de iden- También se debe especificar la forma de etiquetació n, nomenclatura, prue-
tro de una bas, rotación de cintas, los nombres de Jos responsables de efectuar los respal-
dos y las cintas que serán designadas para ser resguardadas fuera de las insta-
llosdonde ladones. Tamb ién se debe tener una relación por escrito de la ubicación y el
donde son contenido de las cintas, que debe ser entregada al responsable de la segu ridad
del site, así como al gerente del área de informática.
Dentro de las políticas de resp aldo, se debe con tar con un punto que ind i- Políticas para el
•líticas q u e que los procedimientos a seguir en cuanto al almacenamiento de las citüas de computador
uadas d u - respaldo en u n lugar d iferente al de la ubicación de l site, donde se p ueda tener
as en esta aa:eso las 24 horas del dia y donde se designen responsabilidades de mantener
ulos. actualizada la informacit\n vital de la o rganización.
>iguientes:
Políticas y procedimientos
las políticas existentes deben estar actua lizadas en todas las actividades, estar
>diario, y debidamente documentadas y ser d el conocimiento del personal.
No contar con políticas y p rocedimientos actua lizados que rijan la adminis-
tración del área de sistemas podría ocasionar:
dosmen-
Administración inadecuada de la operación.
•nados en • Relajamiento en el cumplimiento de las obligaciones del personal.
ración e n Inadecuada división de labores.
mdación)
ación, ya Las políticas y procedimientos deben incluir los siguientes puntos:
J.a, mstalaciones del site deben ser '·" .><ll>cu.ldas para asegurar el buen functo-
teclados, lo '1.lmtcnto y la continuidad necesaria en 1,1\ opcr.1ciones. Deben existir políhca~
\ proct>dimientos que describan los aspectos de seguridad física mínimos que
ruada men- deben de regir dentro del departam¡•nto dc ~istcmas.
en el área Por tal motivo, durante la visit,l a las inMalaciones se deben observar los
'1 realizar. <iguientes puntos:
, de opera- El acce:;o al site debe estar restrlllgido por una puerta, la cual contará con Cuidado del s ite 1
roo benefi- una chapa adecuada de segurid,ld, o con un di~posi tivo electrónico de con-
oder tomar trol de acce:;o. Se deben tener dispositivos .1dccuadosde detección de humo,
así como aspersores de calor para la C\hnción de incendios, además de con-
febencon- lar con extintores.
Se debe tener protección en lo. ..._•rvidt>rl., para que no puedan ser de-.ronec-
tados accidental o intencionalmente y provocar a>.Í serios daños al equipo.
Deben existir documentos o cartel~ que indiquen las normas de seguridad
mm1ma que deben de obse!'\a.-;c alt"tar en el >~1<.
• El personal operativo no debe pcnn1hr el accl'SO a personal a¡eno al depar·
lamento.
lS del soft- • No debe tenerse papel para •mprestón dentro del site, el cual es un objeto
;eneral sea potencial de algún desastre.
160 • Los equipos que se utilizan para la limpieza dentro del si le no deben do o
CAPITULO 5
estar directamente conectados a la toma de corriente en la que están COIIK'
EVALUACIÓN tados Jos equipos de cómputo y Jos servidores. o
DEL PROCESO • Los equipos eléctricos, interruptores o de comunicación, no deben estara
DE DATOS
Y DE LOS EQUIPOS
alcance de cualquie r persona.
DE CÓMPUTO o
Hay que elaborar polfticas formales de segu rid ad y d iseñar las caracterís~
cas para el sile, por Jo que se recomienda lo siguiente: o
El
2. lnd.que el po<centate de datos que se recoben en el área de captacoón y -
!.que si cont•- su 1nstruc!JVo correspond•ente. En caso de que el usun
sea el responsable de la captura. debe eXJsbr un manual det usuano. o bie!l
ayuda (help) dentro del Sistema.
Número de follo. ( )
Fecha y hora de entrega de
Fecha y hora de recepc1ón. ( )
documentos y reg1stros
Nombre del documento. ( )
captados. ( )
Volumen aproximado de ( Clave del capturlsta
) ( 1
registros. ( )
Número(s) de formato(s). ( )
Clave de cargo (número de Nombre, departamento, usuario. ( )
cuenta). ( ) Nombre del responsable ( )
Número de reg1stros ( ) Fecha est1mada de entrega ( )
T•empo extra. ( )
Se subcontrata. ( )
)
¡ 8. ¿En qué forma las controla?
)
) 9. ¿Qué edras de control se obtienen?
15. ¿Para aquellos procesos que no tra¡gan cofras de contro4 se han establecodo
cntenos a Ion de asegurar que la mlO<lli8Ción es completa y váfoda?
si NO
164 16 ¿Exlste un proced1m1ento escrito que 1nd1que cómo tratar la 1nfonnac16n 1nvá·
CAPiTuLO 5 llda? (S1n flnna. deg•ble, no corresponden las edras de control.)
EVALUACION
si NO
DEL PROCESO
DE DATOS 17 En caso de resguardo de infonnaoon de entrada en sistemas, ,se custod.an
Y OE LOS EOUIPOS en un lugar seguro? st NO
DE Cót.<PUTO
18. S1 se queda en el departamento de sistemas. ¿por cuánto tiempo se guarda?
21. ¿Se verifica que las Cifras de las valldac1ones concuerden con los documen-
tos de entrada? SI NO
22. ¿Se hace una relación de cuándo y a qu•én lueron distribwdos los listados?
si NO
CoNTROL DE OPERACióN
La eficiencia y el costo de la operación de un s is tema de cómputo ~e ven fuert~
mente afectados por la calidad e integridad de la documentación requerida par•
la información invá- 165
>nttot.) Fig ura 5.1 - Mesa de control CONTROLES
SI NO
tiempo se guarda?
!DOREOCIÓN FORMULÓ
1
ido a mata codifi-
SI NO RECEPCIÓN
NUt.C. DOCUMENTOS FUEHTE ORIGEN FRECUENCIA HORA liMITE
en la cual se indi-
ln? Si NO
Jes?
Si NO
leM bies?
OPEAAQON~ REVISAR CAPTURAR. PAOCESAA_ ETC. TIEMPO PERSONAL HOAA SAL
Si NO
11
SI NO
SI NO
INSPECCIÓN DE 'REVISIÓN
ts en la informa-
Si NO
SI NO
o, en su defec-
SI NO
control.
. en la sección de
i=tEPORTE FIE.POf\TE REPORTE
1 Sistemas en lot e ~ .
1. ¿Existen procedimientos formales para la operación del sistema de córnPIJ-
Otr
sala de máquinas como la operación del sistema de cómputo?
• ..:>
12.¿L
3. ¿Están actualizados los procedimientos? SI ..:> an
Semestral (
Anual (
Cada vez que haya cambio de equipo (
usivamentc a
9. ¿Existe una estandarización de las órdenes de proceso? si NO
xeso 1'11 lotes
10. ¿Exoste un control que asegure la justolicac16n de los procesos en el compu·
procedimien- tador? (Que los procesos que se están traba¡ando estén autonzados y ten·
1}. anali:.car su gan una razón de ser procesados. Si NO
14. ¿Cómo controlan los operadores las versiones correctas y cómo se ldent•l•·
can las que son de prueba?
i•stnbuyen
le tiene un 15. Analice la eloclencia con que se ejecutan los lrabajos dentro de la sala de
máquinas, tomando en cuenta equ1po y operador, mediante una InSpección
"" visual, y descnba sus obseiVaciones.
pliCaO<)n:
16. ¿EXIsten procedom1entos escrttos para la recuperación del sistema en caso
de fallas? SJ NO
19. ¿Se t1enen procedimientos específiCOs que 1nd¡quen al operador qué hacer
cuando un programa onterrumpe su e¡ecución u otras dificultades en pro-
ceso? Si NO
168 20. ¿Puede el operadOr mod1hcar los datos de entrada? 35.oS
11 NO
CAI'tTULO $ rut
EVALUACIÓN 21. ¿Se prohibe a analistas y otro personal a¡eno al área la operación de la má·
DEL PROCESO
quina? si NO
DE DATOS
Y DE LOS EQUIPOS
OE CÓMPl/TO 22. ¿Se prohibe al operador modif1car información de archivos o biblioteca de
programas? si NO
SI 43 1
Por máqu1na ( ) 811
Escnta manualmente ( ) prc
NO
45.
30. ¿Existen procedimientos para evitar las corridas de programas no auton·
zados? sl NO
Po
31. ¿Existe un plan defln1d0 para el cambio de tumo de operación que av1te el Po
descontrol y dlsconllnuidad de la operación? 111 NO o
32. ¿Venf~<:an que sea razonable el plan para coord~nar el cambio de turno?
Gf NO
~de
36. ¿Verifican que los privilegios del operador so restrinjan a aquellos que le son
asignados a la clasificación de seguridad de operador? si NO
que
37 ¿Existen procedimientos formales que se deban obseNar antes de que se
hayan aceptado en operac1ón. sistemas nuevos o modificaciones a los mis-
mos? si NO
43 lnd1que qué tipo de controles se tienen sobre los archivos magnéticos de los
archivos de datos, que aseguren la ubhzac.ón de los datos precisos en los
procesos correspondientes.
PO 44 ¿Ex1ste un lugar para archivar las bitácoras del Sistema del eqUipo de cómpu·
to? sr NO
• Diagramas.
• Mensajes y su explicación.
• Parámetros y su explícación.
• Fórmulas de verificación.
• Observaciones e instrucciones en caso de error.
• Calendario de proceso y de entrega de resultados.
CoNTROL DE SALIDA
•
Se o&ece el siguiente cuestionario en relación con el control de salida: •
•
1. ¿Se tienen cop1as de los archivos magnéticos en otros lOcales? •
2. ¿Dónde se encuentran esos locales?
si kO
•
done~
3. ¿Qué seguridad ffslca se tiene en esos locales?
les int
1guientes 11. ¿Se destruye la información no utilizada, o bien qué se hace con ella?
¿Cómo se comunican?
• Demandas 1nesperadas? ( )
• Fallas de la máquina? ( ) 2
Soporte de los usuanos? ( )
Mantenimiento prevenhvo?
. Otras? (espeof¡que).
(
(
)
)
9 . Esp8Cif¡que los elementos que s1rven como base para programar las cargas
de rnáqulllB.
Aore acondocoonado. (
Protección contra el fuego
(soilalar qué tipo do protección).
Cerradura especial.
Otro
¿Cómo?
~~
11. Este almacén esté situado: A
Fo¡
En el mismo edrliclo de la dirección de informática. Ci
En otro lugar. d
Ambos. N
o
12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan éstos? SI NO
23 1
ti
¿Cuáles?
24. ~
13 . ¿Se cerllfica la destrucción o baja de los archivos defectuosos? lO
SI
25. ¿
14. ¿Se registran como parte del inventario los nuevos elementos magnétiCO$
que se reciben en la biblioteca? sr NO
26.¿
15. ¿Se tiene un responsable, por tumo, de los archivos magnéticos?
SI NO
18 ¿Se restñnge el acceso a los lugares asignados para guardar los dispositi-
vo. de almacenaml&nto. a cargo de personal autonzado? SI NO
,.,
wen
19. ¿Se tiene relación del personal autorizado para firmar la salida de archivos
confidenciales? Si NO
,.,
cuan-
20 ¿EJUSte un proced1<Tl1Gnto para rGglstrar los archiVos que se prestan y la fe-
cha en que se devolverán? SI NO
21. ¿Se lleva control sobre los archivos prestados por la Instalación?
SI NO
Fecha de recepción ( )
Fecha en que se debe devolver ( )
Archivos que cont~e~~e ( )
Formatos ( )
Cifras de control ( )
Código de grabación ( )
Nombre del responsable que los prestó ( )
~ros ( )
;lose
23. Indique qué procedimiento se sigue en el reemplazo de las cintas que con·
o
t1enen los archivos maestros.
24. ¿El cintotecano controla la cinta maestra anteñor prev1endo su uso 1noorrec·
lo o su elim1nación prematura? SI NO
3 <.Se
El objetivo del cuestionario l'S evaluar la forma como se administran 4 ¿Ex
dlSpo~itivos de almacenamumto b.bico de la dirección Al ;eñalar arch11
magnéticos nos referí m~ a cmtas, discos, disquetes, CD, OVO y cualquier 5 St
me<tio de almacenamiento ma,ivo de información. c.GU
6 Soto
por
CoNTROL DE MANTENIMIENTO
7 ¿Ex
aut
Existen básicamente tres tipos de contrato de mantenimiento. El contrato de
mant~nimiento total. qul' incluye el mantenimil'nto com-ctivo y pre,·enti\0. ¿C
cual a su vez puede dtnd•r.e en aquel que incluye las park>s dentro del rono-
to y d que no las incluye. El contrato que incluye refacc•ones es propiao-
c.Có
como un seguro, ya que en caso de descompostura el proveedor debe PCOf""·
donar las partes sin costo alguno. Este tipo de contrato es normalmente el m
caro, pero se d eja al proveedor la responsabilidad tola! d el mantenimiento• ¿C
excepción de daños por negligencia en la utilización d e los equipos. (Este hp<
de manten imiento normalmente se emplea en equipos gr,lndcs.)
El segundo tipo de mantenimiento es "por llam~da", en el cual se llama
provt.'(.-dor en caso de descompostura y éste cobra de acuerdo a una tarifa y
¿Se
tiempo que se requiera para componerla (casi tod~ Jo, proveedores incluo,
SIStt
en la cotización de compostur.l el tiempo de traslado de su oficina a donde~
encuentre el equipo y viccwl'>.l). Este tipo de mantenomiento no incluye ref •
don~-,.
~~
El tercer tipo de mantertimiento es el que se conoce como #en banco", y es
"']IICI en el cual el cliente lleva a las oficinas del proveedor el eqlúpo, y éste hace CONTROLES
unJ cotización de acuerdo con el tiempo necesario para su compostura, más las
refacciones (este tipo de mantenim iento puede ser el adecuado para compu- Tipos
~tdoras personales). de mentenlmlento
Al evaluar el man tenim iento debemos primero analizar cuál de los tres ti·
pos es el que más nos conviene, y en segundo lugar ¡x>dir los contratos y revisar
con delallc que las cláusu las estén perfectamente deíinidas, que no exis ta subje·
bvidad y que haya penalización en caso de incumplimiento, para evitar contra·
paldo. 10< que sca11 parciales hacia el proveedor.
Para poder exigir el cumplimiento del contrato se debe tener un estricto
rontrol sobre las fallas, la frecuencia y el tiempo de reparación.
Para evaluar el control que se tiene sobre el manterúmiento y las fallas se
pueden utili7ar los siguientes cuestionarios:
NO
2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del
sistema de cómputo? si NO
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
L
O
C
A
L
I
~
O
N
VOLUMENDEAACHNOS~--------------------~~~-----------
VOLUMEN DE ACTUALJL<CIOH _________________ FRECUENCIA-----
ENV~ORDE~--------------------------------------------
4
CLASIFICAOO POR------------------------------------------
OOCUMENTOS O INFORMES A OUE DA OAIGEN - - - - - - - - - - - - - -- - - - - - - - - - -
t Cua
d.ld
2 ¿Es posible odenllflear por medoo de estos registros tos problemas más
179 _ ___J
• ¿Cuales son las act•tudes de los ongenoeros de servicio que mantienen sus
equ1pos?
6
Número promedoo de trabajos en cola de espera de impresión en horas poco
NOTA !Ostos son solamente ejemplos de factores que pueden obtenerse, los
cuales pueden ser ampliados, y los porcenta¡es dependerán del tipo de equ•-
po y la experiencia que se tenga.
(Esta sección está orientada a revisar las acciones que realiza la dirección
de informática para evaluar, mantener y auditar los sistemas implantados.)
hrs.
5. IndiQue qué tipo de evaluación se realiza a los sistemas implantados:
hrs.
Ninguna. ( ) De objetivos. ( )
Económica. ( ) De oportunidad. ( )
De beneficios. ( ) De operación. ( )
Otros (especificar). ( )
ICO.
1)0.
7. ¿Qué porcentaje del personal de programación se dedica a dar manteni-
miento a los sistemas existentes?
tO Ex1sten:
182 • Programadores que utilizan el equipo o el tiempo para aplic;¡cicmesa~'"'
CAPiTuLO 5 a la organización.
EVALUACIÓN • Personal que utiliza la computadora para trabajos personales, trali>ajo;o
OEL PROCESO autorizados o juegos.
DE DATOS
Y DE LOS EOUIPO$ • Programas que, por estar mal elaborados (generalmente cuando se
DEOÓMPUTO grandes archivos), degradan la máquina.
• Degradación del equipo por fallas en equipos periféricos. La computa&..
puede considerarse como un proceso en línea el cual, al fallar alguna
unidades principales (memoria, urudad central), no permite la utilizaciór
del resto del equipo. Pero existen uJÚdades secundarias (cintas, impresora;
termina les, discos) que a l fallar provocan que se vea reducida la posibih·
dad de utilización del equipo.
>rte que 6. Indique la periodicidad con que se limpian las unidades de cinta:
lel caso
10. Mencoone los casos en que personal a¡eno al departamento de operación
opera el sostema de cómputo.
lescom-
eedor.
11 . Evalúe los niveles de iluminación y ruido y senate cuando estén fuera del
rango estipulado en los estándares.
r reglas
el sist('- EvALUACióN DE LA coNFIGURACióN
leJan en
emfor-
ello, se DEL SISTEMA DE CÓMPUTO
nlmien-
Los objetivos son evaluar la configuración actual, tomand o en consideración las
salad(' aplicaciones y el nivel de uso del s•Mema, evaluar el grado de eficiencia con ~1
cu al el sistema operativo satisface las necesidades de la instalación y revisar la•
184 políticas seguida~ por la unidad de informática en la conservación de su progr..
CAPiTuLO S
motee¡¡,
EVALUACIÓN
DEL PROCESO
OE DATOS
•
Esta sección l'Stá ori~ntada a:
5. En caso negatovo. exponga los motivos por los cuales no se ubtoza la red.
1O. ¿El afmacanamoento máximo del sistema de cOmputo es sufocoente para ateP.
der el proceso por lotes y en ffnea? SI NO
progra- 185 _ _
PRODUCTIVIDAD PAOOUCTlVIOAO
2'ma de
omuni- El ob¡ctivo del siguiente cuestionario es evaluar la eficiencia con que opera el
área de captación y producción.
stalada
1. Verifique que se cuente con una descripción completa de los trabajos que se
tosto o corren y la descripción de las caracterlstlcas de carga.
12. Venflque que se tenga conocimiento de los próximos sistemas que entrarán
on producción, con objeto de que se programe su incorporación.
Si NO
,,
Se consulta a los operadores sobre los problemas observados pubh
en el trabaJO. (
Se capac1tan los operadores sobre el maneto del equ.po. ( ronp
Se Imparten pláticas sobre el trabajo. velll
Otros ( )
( J así cQ
22. ¿Se llenen Incentivos para el personal que tenga un rendimiento superior al
n
cost
estándar? s1 NO
ta d or
23. ¿Cada cuándo se Imparten cursos de capacttaclón sobre fa operación det pOO<'
equipo? sasa
e star
11efici
24. ¿Se registran los tiempos de respuesta a fas solicitudes? SI ~ e tu a
NO
Renl
l.as <1
pra,a
PuNTos A EVALUAR EN Los EQUIPOS )"S)
espe ·
supe
El equipo que se adquiere dentro de una orgamzación debe de cumpltr con • E
esquema de adquisición de toda la organización. En lo posible, se deben tener
equipos estándares dentro de la organización. a menos que por requerimiento>
específicos se necestte un equipo con características distintas. Esto no impltca qut.
• ¿1
los equipos tengan que ser del mismo proveedor, aunque sí deben tener In misma
• .~
• ¿
c1ón de filosofía. Las compras por impulso u oportunistas pueden provocar que se ten- 187
gan diferentes equ ipos, modelos, estructuras y filosofías. Esto puede provocar PRODUCTIVIDAD
problemas de falta de compatibilidad, expansión y de confianza.
Si no se tienen políhcas y estándares d e compra de equ ipos de cómputo,
tada departamento o empleado puede decidir el adquirir diferentes equipos,
los cuales pueden no ser compatibles, o bien el conocimiento y entrenamiento
NO
requerirá de mayor tiempo y costo. La conexión de un tipo de terminal o compu-
tadora personal a una computadora principal (mniufrnme) puede requerir de
equipo o de software adicional. los sistemas elaborados para un tipo de compu-
NO tadora pueden no servir en otro tipo de máquina. El mantenimiento es otro
factor que puede incrementarse en caso de no tener compatibilidad de equipos.
ores de Tener diferentes plataformas de programación, sistemas operativos, bases Adquisición
de datos, equipos de comunicación y lenguajes propietarios, provoca que se da equipos
incrementen los costos, que se haga más problemático el mantenimiento, que se
( ) requiera personal con diferente preparación técnica, y que se necesiten diferen-
( ) tes programas de capacitación.
( ) La posibilidad de que se pueda expandir un equipo es otro de los factores a
( )
( ) evaluar. Al crecer una organización, es muy probable que se requiera que los
( ) equipos también crezcan y sean más rá pidos. Esto es de mayor importancia
dependiendo del tamaño de las computadoras, ya que es un factor fundamen-
tal en los grandes equipos y de relativamente poca importancia en las compu-
ajo está tadoras personales, debido a que no es tan alto su costo de reemplazo.
En muchas ocasiones se cambia o se compra una computadora por el factor
publicitario, sin que se tenga la evaluación real de los equipos, o bien se adquie-
( )
ren equipos (principalmente computadoras personales) que son ensamblados
( ) con partes de diferentes proveedores a costos muy bajos. Se deberá evaluar la
( ) ventaja de adquirir lo último en tecnología, contra el costo que esto representa,
( ) así como el tener equipos muy baratos pero con baja confianza en el proveedor.
En la actualidad cada día las computadoras son más poderosas y menos
>enor al costosas, y las organizaciones también cada día dependen más de las compu-
1«) tadoras, así es que existe la tendencia de comprar cada día computadoras más
poderosas, sin considerar que en el futuro existirán computadoras más podero-
Ción del sas a menor precio. La decisión de adquirir o cambiar w1a computadora deberá
estar basada en un estudio muy d etallado que demuestre el incremento de be-
neficios en relación con su costo, y en la relación costo/beneficio de los equipos
actuales.
Desventajas
• Renta: oe-cent
"
o M.ís caro que compra o renta con opción a compra. • v~n
o El equ ipo puede ser usado.
o Algunos vendedores de equipo no lo rentan. ~
)
• Renta con opción a compra 1
J
o Es más caro que compra. ~
o No tiene valor de recuperación para el comprador. <
• Compra:
o
o Requiere de inversión inicial o de préstamo.
Amarra al comprador a su decisión.
~
El comprador debe conseguir u obtener servido de manterúmiento.
• Dt~
• Economía de escala .
Acc.."<l a grandes capacidad,..,.
Operaciones y adnunistraoun más pror,....,onalc."'
Ac~"' múltiples a dato-. comurn-..
Sl'b>undad, control y prot<'CClon d,, lo- dato-..
• Un meJor reclutamiento y entn.'namwnto tfd pt.•f'tOnal especializado.
• lina mejor planeación de la carrt•r,\ prof<-.tonal del personal de tnfor·
m.ític¡J.
• Control de los gastos de tnform<~ll~.l
Estanu.tri.tación de equipos y de softw.uc.
[)('svt•ntcljas:
OBJETIVOS
Al finalizar este capítulo, usted:
tuditoría y
cuat aunque tiene difcr·cntes intenciones~ se encuentra p rincipalmente en pa-
quetes que son copiados sin autorización ("piratas") y borra toda la informa-
ción que se tiene en un disco.
Se trata de pequeñas subrutinas escondidas en los programas que se acli-
,-an cuando se cumple alguna condición, por ejemplo, haber obtenido una co-
=:JLos virus
ts.,sin con· pia en forma ilegal, y puede ejecutarse en una fecha o situación predetermina-
la elabora- da. El virus normalmente es puesto por Jos d•señado= de algún tipo de pro-
le dé a la grama (software) para "castigar" a quienes lo roban o copian sin autoriz,lción o
ría intern a bien por alguna actitud de venganza en contra de la organización. {En la actua-
lidad existen varios prod uctos para detectar los virus.)
Existen varios tipos de v irus pero casi todos actúan como "caba llos de
Troya", es decir, se encuentran dentro de un programa y actúan con determina-
1.ación. da incticación.
hombre y Un ejemplo es la destrucción de la información de la compañía USPA &
IRA de Forth Worlh. Cuando despidieron a un programador en 1985, éste dejó
.stres na tu- una subrutina que destruía mensualmente la información de las ''entas. li.'te
incidente provocó el primer juicio en Estados Unidos contra una persona por
:mdas para sabotaje a una computadora.
Al auditar los sistem,ls, se debe tener cuidado que no se tengan cop1as "p•
1ómicas en ratas" o bien que, ni conectarnos en red con otras computadoras, no exista lo
posibilidad de tra•1smisió•1 de l virus. También se d~be cuidar que e n ocasiones
se loma como pretexto el virus y se producen efectos psicológicos en los usua-
>Or: rios, ya que en e l momento de Wla falla de la computadora o del s istema, lo
primero que se piensa es que están infectados.
itico social Se considera que hay cinco factores que han permitido el incremento en los
crímenes por computadora:
<ndelito en
nlacual se • El aumento del número de personas que se encuentran estudiando compu-
tación.
194 • El aumento del número de empleados que tienen acceso a los equipos.
CAPiTULO 6 • La facilidad en el uso de los equipos de cómputo .
EVALUACIÓN • El incremento en la concentración del número de aplicaciones y, consecuente
DE LA SEGURIDAD mente, de la información.
• El incremento de redes y de facilidades para utilizar las cornp1uta,dcm~&;
cualqu ier lugar y tiempo.
• Elementos administrativos. •
• Definición de una política de seguridad.
• Organi7.ación y división de responsabilidades.
•
SEGURIDAD LÓGICA
guie
El control im plantado para minimizar estos riesgos debe considerar los si·
guientes factores:
la scguri- El valor de los datos srendo proce.ad<b.
to d~ntro La probabilidad de que ocurra un a(('(':¡() no autonzado.
o normal Las con!;Ceuencias par,l la organización si ocurre un acceso no autorizado.
nsistema El riesgo y repercusiones e n caso de que un usuario no autorizado utilice la
tipos de información.
o El sistema debe verificar primero que el usuario tenga una llave de ac:as>
válida.
• La llave de acceso debe ser de una longitud adecuada para ser un secreto. real
• la llave de acceso no debe ser d esplegada cuando es tecleada .
eso, la cual • Las llaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de 199
ceso al SJS- que alg uien obtenga la llave de acceso de otras personas.
SEOUAIOAD LÓGICA
• L1s llaves de acceso deben de prohibir el uso de nombres, palabras o cade- Y CONFIDENCIALIDAD
1les ni velt.•s nas de caracteres d ifíci les de retener, adem~s el pnssword no debe ser ca m
os tip os dL• bi.1do por un valor pasado. Se recomienda la combinación de ca racteres
alfabéticos y numéricos. No debe ser particularmente identificable con e l
usuario, como su nombre, apellido o fecha de nacimiento.
Paquetes Estos paquetes pueden restringir el acceso a los recursos (archivos de da-
de seguridad tos), reduciendo así el riesgo de los accesos no autorizados.
• Terminaciones de procesos. S
• Forzar a las terminales a apagarse.
• Desplegar mensajes de error.
• Escribir los registros para la auditoría. •
La bitácora de auditoría es seleccionada durante la implementación.
•
1 Ejemplo La bitácora puede consistir en registrar los accesos no ex~osos, sólo los in·
tentos, un registro de todos los accesos válidos y los recursos proteg1dos.
Algunos paquetes contienen datos especlflcos para ser 1nclu1dos en la bitáco- 201
tem a. 19 de aud1torra.
SEGURIDAD LóGICA
Y CONFIDENCIAliDAD
Cada bitácora debe incluir la identificación del usuario: s i el acceso es exito-
icación de so, deben consignarse los recursos accesados, dfa, hora, terminal y un dato es-
y guard,l - f'l'<ifico de lo que fue modificado durante el acceso; si el acceso no fue exitoso la
m.tyor ilúormación posible sobre día, hora, terminal y claves de intento usadas.
tablas de
adespar~
A) Sistemas operativos
JS de da- So! trata de una serie de programas que se encuentran dentro de los sistemas
opcr.\ti\'OS, los cuales manejan los recu!'S05 de la~ computadoras y sirven como
int~rla;,e entre el software de aplicaciones y el hardware.
Estos programas proporcionan seguridad ya que, internamente, dentro
uede de los sistemas operativos manejan y controlan la ejecución de p rogramas
odo. de aplicación y proveen los servicios que estos programas requieren, depen-
diendo del usuario y d el s istema que se est~ t1·obnjando. Cada serv icio debe
incluir un calendario de trabajo (Job Sdoerloole), manejador de equ ipo• pcriféri-
eos, un contador de trabajo y un compi lador de programas, pruebas y debugs
(d~puraciones). El grado de protecci611 sobre estos servicios depende de los
~istemas operativos.
Los elementos de seguridad de los si;,tcm~ operativos incluyen lo siguiente:
• Utilcrías de monitores.
• Sistemas manejadores de cinta.
• Sistem,lh manejadores de disco.
• Calendarios de JObs.
• Editores en línea.
• Debugers.
• Scanner de virus.
• Software de telecomunicaciones. imp
incl
Ciertos tipos de software de telecomunicaciones pueden restringir el acce- Los
so a las redl'S y a aplicaciones específicas localizadas en la red, real
~y prote- El software de telecomunicaciones provee la tnterfase entre las terminales y 205
n algunas las redes )' tiene la capacidad para: SEGURIDAD LOGICA
Y CONFIDENCIALIDAD
::ambios y Controlar la invocación de los programas de aplicación.
• Verificar que todas las transaccloncs estén completas y sean correctamentt!
ontrolar y transmitidas.
! librerías • Rt•string ir a los usuarios para actuar en funciones seleccionadas.
:ácoras de • Restring ir e l acceso al s is tema a ciertos ind ividuos.
ardebido
tdehoras
Consideraciones al auditar •
Cuando se realiza una revisión de seguridad lógica, el auditor intemo deberá eva-
luar y probar los siguientes tres controles implantados para minimizar riesgos:
Control d.- acceso a programas v a la ~nftlrm.KIÓn. 209
• Control de cambios. SEOUAIOAO LOOICA
• B1t.ícmas de audttoría. Y CONflOENCIAltOAO
ción y
tcceso, la ,.,·.lluación de todos los tipO'i d<• <;O(tw,lro deberá asegurar que los si-
gui<'nt<>s obj~tivos sean cumplidos:
y acti-
m da- !:1 .1cceso a funciones, datos y progr.>m," asociados con el software debe
litoría <'>IM re>tringido a individuos autor~-.>dos v debe <.er consistente con docu-
cceso. mentos esperados.
• Todos lo> cambio. del sofh, are deben '<'r r~?aluado> de acuerdo con el
m.>no¡o del plan de trabajo y con la autori7aoón del usuario.
Sto d<·be de mantener una bot.icora d,• audlloria d<• todas las acti,·idad<·>
'1gnahcattva"-.
ola Durant<• t'l ciclo de ,;da del software• d<'bcn ">Cr evaluadas su mstalación, Ciclo de vida
mantcnim1ento y operación. Se debe utili1ar 1,1 aud>toria para asegurar que al- del sotware
gún c.1mb1o hecho al software no comprometa la mtegridad, confidencialidad o
po- apmwcham11?nto de los datos o recu~os del sostema.
El '<Jftware de aud itoría especializ.ldu plll'dt• wr usado para revisar todos
lu, ramb•o. y asegurarse que son ejecutado, dt• acuerdo con los procedimientos
ua- aprobados por la gerencia.
a l-
Instalación y mantenimiento. E.~ la pnm,•r f,1o,e dd codo de vida del o;oftware,
en la l'Ual d audttor debe re,;sar lo soguwnte:
pecífico de software. o
• Mantenimiento y contenido d e las bitácoras de auditoría de todos los DBMS
y modificaciones del diccionario de da tos. o
• Bitácoras a los parámetros del software y de las sentencias dellcnguojedt
aplicaciones en ejecución.
• Acceso a librerías de programas.
Operación. En la ..egunda fase del ciclo de vida del software deberán revisa"'
• Controi<'S de acceso para lus programas, librerías, parámetros, ~
archivos de software ~ados.
• Procedimientos d•scñados para asegurar que el sistema no es instalado(c.uy
inicial del programa) sin el software original_ creando así un proccdimienro
de seguridad.
• Disponibilid,Jd y control de acceso a los comandos que pueden ~r usadcs
para desactivar el software.
• Áreas de rcsp011sabilidad para el control del software, operación y consís.
tencia de capacidad de acceso.
• Horas dura11tc las cuales el software <'Stá disponible.
• Procedimientos para la iniciación y terminación del uso del software.
• Control de acceso sobre consolas y terminales maestras.
• Proccdimicntos para registrar terminación anormal o errores, los cual"
pueden indicar problemas en la integridad del softwar<' y documentar lo;
resultados en programas de seguridad.
• Controles de acceso sobre escritura de programas y lcngua¡es de librerías y
de aplicaciones en ejecución.
• Bitácoras de auditoría sobre las actividades del software. •
• D<'pendcncia de otro software para continuar la operación, operac;iooo
automatizadas o dependencia del calendario de acti vidade&.
o
~ DBMS localización de archivos de seguridad y tablas para asegurar que los
archivos del software de control de acceso están protegidos.
o
;uaje d e Uso de recursos o controles de acceso a nivel del usuario para asegurar
que el software de control de acceso protege da tos y recursos en un
nivel correcto.
o
Archivos de seguridad o encriptación de tablas usadas para prohibir la
visa rse: vista de tablas individuales.
o
Limitaciones de acceso para archivos de seguridad que contienen des-
·iones o
cripciones y passwords.
o
Linútaciones de acceso a archivos de seguridad a través de la adminis-
a(carga tración de comandos de segu ridad en línea o uti lerías.
lmiento o La jerarquía de seguridad.
o
Los usuarios encargados de la administración de la seguridad pueden
usados tener g ran capacidad para cierto software.
o
Métodos y limi taciones sobre archivos de seguridad o modificación de
cons is - tablas.
o
Responsabilidades del usuario par~ la admin istración de la seguri-
dad, pa rticularmen te en un ambiente descentra li Lado, para asegurar
re. que las capacidades definidas son consistentes con las responsabili-
dades.
• cuales o Definición de parámetros de seguridad, como los recursos definidos,
ntar los reglas de password, defaull de niveles de acceso y o pciones de login con
aprobación de la gerencia, considerando pruebas de protección para
rerías y accesar recursos protegidos.
' •ttmas operativos. El auditor deberá revisar, evaluar y probar el uso y proce-
1\tos que gobiernan programas, usuarios y funciones del sistema operati-
• ·pt'Cialmente los siguientes:
Software del sistema manejador de bases de datos. En relación con las funcio-
""'del S()ftu>arr que restringen el acceso a dato• y recursos, y los procedimien-
tos qur gobiernan el uso de estas funciones, <'1 auditor dcbcr;í revisar, evaluar y
prob,H lo ; igu ien te:
Los reportes escritos pueden ser usados para reportar las actividades de la
guientes red, de logs de acceso a software de telecomunicaciones o bitácoras de auditoría.
aso fun- Éstos pueden además hacerlo con e l software de control de acceso.
Los reportes especiales de auditoría deberán contener Jo siguiente:
~~:~:!
de cada usuario que asegura a la persona que envía o autori?:a un documentu
receptor o terceras persona~ pueden verificar que el documento y la firma <.'M,
ponden a la persona que lo firma, y que el documento no ha sido alterado. se
La firma digital es usada para verificar que el mensaje re.1lmente ~-w • ·•
la persona que se señala como la que lo envía. También puede ser u<ad• ).,;
tier do- Aunque existen di versas formas para atacar la información encriptada, es
propia conveniente que el programador conozca las formas d e encriptarniento, sus
mto. El ventajas y desventajas, así como su costo, para determinar la mejor para cada
corres- uno de los sistemas, y que el auditor verifique la forma de encriptamiento y su
>. seguridad de acuerdo con los requerimientos de seguridad de cada sistema.
ene de Existen diferentes protocolos y estándares para la criptografía, entre los cua·
la para les están:
n tiem-
ttifican • DNSSEC (Domaiu Name Serucr Security). Éste es un protocolo para servicio
seguro de d istribución de nombres.
218 • GSSAPI (Geueric Security Services, APl). Provee una autentificación genén-
CAPITULO 6
ca, llaves de intercambio e interfases de encriptamiento para diferentes si~ gran
EVALUACIÓN temas y mé todos de autentificación. depe1
DE LA SEGURIDAD o SSL (Secure Socket Layer). Es uno de Jos dos protocolos para una conexión crea ti
segura de web. riesgt
• SHTIP (Secure Hypertext Transfer Protocol). Pro tocolo para dar más seguri· vaca~
dad a las transacciones de web. y evil
• E-Mail (Semrity nnd Related Seruices). <lO en
pue
o MSP (Messnge Security Protocol). zaci(~
T
• PKCS (Public Key Encryption Sta11dnrds). posib
• SSH2 (Protocol). b1a a
• Algoritmos de encriptam.iento: sabría
o
Esto •
DIFflE HELLMAN. aunq
o DSS (Digital Signnture Stnudnrd).
o
n1ite,
ELGAMAL. S<
o LUC. dono
lidad
• Symetricos. la mo
+ DES. así COl
• BLOWFlSH.
El
• IDEA (lnteruntiounl Dntn Eucryptiou Algorith).
ligro l
• RC4.
audit(
+ SAFER.
fraud1
• Varios algoritmos de llave pública, a lgunos con promisorio futuro; sin em· E1
bargo, el más popular es el RSA (Rivest Slrnmir Adelman). En algoritmos si- está d1
métricos el más famoso es el denominado DES y su variante OES-CBC. nallc1
pero el más reciente es RC4. citado
ver la
contro
palme
SEGURIDAD EN EL PERSONAL dente
perwr
Un buen centro de cómputo depende, en gran med ida, de la integridad, estabi·
Ji dad y lealtad del persona 1, por lo que al momento de reclutarlo es conveniente
hacerle exámenes psicológicos y médicos, y tener muy en cuenta sus ante<:e·
dentes de trabajo.
Se debe considerar sus valores sociales y, en genera l, su estabilidad, ya que
normalmente son personas que trabajan bajo presión y con mucho estrés, porlo
que importa mucho su actitud y comportamiento.
-
Caracterlstlcas El personal de informática debe tener desarrollado un alto sistema ético y El obj•
del personal de lealtad, pero la profesión en algunas ocasiones cuenta con personas que sub- intern
estiman los sistemas de control, por lo que el auditor tiene que examinar no bido a
solamente el trabajo del personal de informática, sino la veracidad y confiabilidad ter re m
de los programas de procesamiento. sea res
genéri- En los ~u •po~ de cómputo es normal que se trabajen horas extra, con 219
ntes sis- ¡ran pre:.ión, y que no haya una adecuada política de vacaciones debido a la SEGURIDAD
.ltpendencia que se tiene de algunas personas, lo cual va haciendo que se F1$1CA
;mexión .1tan "mdiSpen,.lble,·,que son muy difíciles de sustituir y que ponen en gran
!11.">80 a la organizaCión. Se debe verificar que existan adecuadas políticas de
segun- \'JQC~Ones (lo cual no~ P<'rmite evaluar la dependencia de algunas personas,
u•\ltar e:.ta de!'<'ndencia) y de reemplaLo. La adecuada política de reempla-
zo en caso de renuncia de alguna persona permitirá que, en caso necesario, se
pueda cambiar a una p<!rSOna sin arriesgar el funcionamiento de la organi-
ución.
Tarnb1<in se debe tener políticas de rotación de personal que disminuyan la
poo;ib1lidad de fraude. Si un <'mpl<'ado está cometiendo un fraude y se le cam-
bia a otra actividad al mcs, '>Cría muy arriesgado cometer un fraude porque
>o\bría que la nueva P<'r-.ona que esté en su lugar puede detectarlo fácilmente.
bto se debe hacer principalmente en función de un alto nivel de confianza,
aunque •mplique un alto costo. Este procedimiento de rotación de personal per-
mite, además, d<'tectar quiénes son indispensables y quiénes no.
Se deb<'r.i evaluar la motivación dd personal, ya que un empleado motiva-
do normalmente tiene un alto grado de lealtad, con lo que disminuirá la posibi-
lidad de ataques int('ncionndos a la organización. Una de las formas de lograr
la motivación e& darle al pt•rsonalla capacitación y actualización que requiere,
así como proporcionarle 1,,., retribuciones e incentivos justos.
El programador hom">to en oca5iones elabora programas que ponen en pe-
ligro la seguridad de la empresa, ya que no se considera un procedimiento de
~uditoría dentro de los programas para disminuir o limitar las posibilidades de
fraude.
;inem- En muchas ocasiones el m.1yor riesgo de fraude o mal uso de la información
mos si- c.tá dentro del mismo personal, y la mayor seguridad está en contar con perso-
5-CBC, nal leal, hone:.to y con <'tica. Para lograr esto se debe contar con personal capa-
cit.ldo, motivado y con rcmuneracione. adecuada~. Pero también se debe pre-
•·er la po-ibHidad dl' personal mal intencionado, para lo cual se debe tener los
rontroles de seguridad señalados. los cuales deben de ser observados princi-
palmente por el per<onal del .írea de informática. El auditor debe de estar cons-
ciente que los pnmeros que deben implantar y obsen•ar los controles son los del
personal de mform.ihca
estabi-
!niente
mtece-
OCÁMARA PLENA
~n un Jug..lr [n la antigüedad era un requerimiento en todos los centros de cómputo tener
la organi/,1 ptsoS elevados o pisos falsos. En la actualidad, COl\ los cambios de los sistrmas
1cluso habí..• de cómputo, este requerimiento sólo es ne-cesario o deseable para macrocompu-
modo rdd t ladoras, por lo que habrá que verificar con el provredor la 1\ecesidad de contar
~ qut! un..• ron pisos elevado~. o bien la conveniencia de tener una mejor instalación que
entro de in· ruente con el cableado dentro del piso elevado.
nte peligro· Una de las ventajas de los pisos falsos es que permiten organizar el tendido
)na5, o bit.~ ~- protección del c.1bleado del sistema, y facilitan el rcacomodo del sistema.
adem.is, d Además, proveen de un excelente método para llevar el aire acondicionado
dismmun• cerca de las unidad~ del sistema, permitiendo la adición o recolocación de la~
rejillas de aire cuando son agregadas o recolocada' máquinas en la sala.
o del centro Un piso elevado debe ser capaz de soportar una carga uniforme, de acuer-
s altamen ll' do con las especHicacio1les del proveedor; tambi~" debe considerarse la capaci-
que no que- dad de soportar u1lidades adicionales según el potencial de crecimiento.
planchado, Se recomienda que el acabado del piso sea hecho con p lástico antiest~tico y
que la superficie del piso elevado tenga 45 cm de alto, cuando es usado como
la orient.J. cámara plena de ;me acondicionado. La altura del plafón, desde el p150 falso
•rosos a lo... terminado, debo! ~r de 2.4 m. Asimismo, los paneles del piso elevado dcb.!n
los grandes poder ser removidos fácilmente para permitir 1,, mstalación del cableado del
pueden ser sistema y ser de fácil limpieza con trapo húmedo o asptradora.
1inarse por
1 cada uni
les y pan e·
'uturas. En ARE ACONDICIONADO
1o, se d~bc
iros.
><iguientc; El equipo de a m~ acondicionado es otro de los di,positivos que dependerJn del
tipo de computadora que se utilice y del lugar donde está instalado, para lo
cual se rccomumda verificar con el proveedor la temperatura mínima y máxi-
ma, así como la huml>dad relativa en la que dcb.!rán trabajar los cqui~.
Los duetos de aire acondicionado deben estar li mpios, ya que son una de
las principales causas de polvo.
Las instalaciones del aire acondicionado son una fuente de i1lcendio muy
frecuente, son su~ccptibles de ataques físicos, especialmente a través de los
duetos. Se deb.!n instalar redes de protección en todo el sistema de duetos, tan·
to exteriores como interiores, y deberá de contarse con detectores de humo que
indiquen la ~ible presencia de fuego.
Se recomienda que la presión de aire en la sala de cómputo sea ligeramente
nserguar· superior a la de las áreas adyacentes, pMa n.>ducir así la entrada de polvo v
suciedad.
222 ll
cquif
CAPITULO 8
EVALUACION INSTALACIÓN ELÉCTRICA l.1dor
DE lA SEGURIDAD oón (
nhca
Y SUMINISTRO DE ENERGÍA carga
car <p
qul! e
Uno de los disposihv~ que deben de ser evaluados y controlados ron m.JI'W comp
cuidado es la instalación ek~trica, ya que no solamente puede provocar falll! f,lx, y
de energía que pueden producir pérd idas de información y de trabajo, sinoqut
tci<.'vi
es uno de los principales provocadores de incelldios. no p n
El auditor debe au,iliar-.e de un especialista para t'valuar el adecuado fun.
<apac
cionamiento del sistema eléctrico y el suministro de energía.
Protección del v cor.
Los cables del sistema elt~ico deben t>star perfectamente identificados T.
sistema eléctrico (positivos, negati,·os y herra fís1ca); lo más frecuente es identificarlos por mt-
'.,¡ m.
dío de colores (positivo, ro¡o). !Ñben de existir conexiones indepen<lientes p.m la d1'i1
los equipos de cómputo; este cuidado se debe tener en las oficinas dond~ lvy
ele' ar
conL'ctadas terrninalt>s o m1croromputadoras, y adcm~s dt>ben estar idMbto una b
das, contar con tierra física~ lo cual protegerá a los equipos contra un cortoru
pocol
cu ito en caso de una descarga. Se debe revisar que se cuente ron los plan<>< d ttcamc
mstalación eléctrica debidamente actualizados.
u
Es común en las oficinas que, al no tener ide1llificados los contactos para 1 gas o !
computadoras, éstos sean utili7..ldos para equipos que pueden producir p1oo rrum (
ya que utilizan grandi'S cargas de corriente, como fotocop•adoras o aires am mvt'le
d1oonados.
p1d0.
Las variaciones de energía en una línea pueden ser causados por el enéftl-
dido o apagado de máquinas elt'ctricas, tales como motores, ascensores. eqm-
u
sea d e
pos de soldadura, sistemas de aire acondicionado, etc. El flujo de corriente tl\ o d•
un sistema de iluminación puede producir "picos de rwdos" que podriant l:Otrl
Cl.'der el nivel de energía aceptable para alguna unidad del sistema. Porellot t,,¡¡,, e
alt,>mc•llc recomendado que e l sistema eléctrico uti li/ado en los equipos d.
rrumF
informática cuente con tierra ffsica, y de ser posible sistemas de corriente coo- p<.•ri~
tinua (uo-break) y estén aislados con contactos independientes y perfectamen· de hol
te identificados. En zonas grandes con cargas eléctricas industriales o con ro" mi1ció
d1ciones de entrada de potencia marginales puede ser nece5ario un aislanu.
8
to adicional para prevl'nir interrupciones de energía l.'n el sistema.
zona ~
La tierra física debe t>star perfectamente in~talada de acuendo con las espe- lntern
cificaciones del proveedor, dependiendo de la zona en que esté mstalado el nocor
equipo y de las características de éste.
mayor
Se debe tent>r una protL'Ccíón contra roedori'S o fauna nociva en los cab!-s archiv
de sistema eléctrico y de comunicaciones. Es común que los roedores se com.1n presot
e l p lástico de los cables, por lo que se d ebe tener cuidado de combatir esta faun.1 Er
nociva, y tener la prt'Caución de que el veneno o e l fumigan te que se use para maba1
combatirla no provoque problemas al personal. l:OS00
Los reguladores son diSpositivos eléctricos que reducen el riesgo de tl'll!f do se 1
un accidente por los camb1os de corriente. D1chos protL'ctore. son romÚ!Uilt'IÚt E~
construidos dentro de un sistema de corriente ininterrumpido UPS (Uninltrrllpli- sus di•
blr PllUvtr Supply Sy>lmr).
Los reguladores que existen en el mercado pueden funcionar para vanos 223
equ1pos, o bien estar Jjnútados para un reducido número (parecidos a los regu- SEGURIDAD
ladores existentes para las casas). Si M.' til'ne un regulador para toda la instala- FISICA
ción de informática (incluyendo terminok'S y microcomputadoras), se de~ vc-
rificM y controlar que el número de equipos cont'Ctados sean acordes con las
cargas y especificaciones del regulador. Si son equipos pequeños se debe verifi- Reguladores
car que e l regulador sea suficiente para el número de equipos conectados, ya
)n mayor que es muy frecuente en las oficmas que se conecte al regulador no solamente la
computadora personal, sino otros dispositivos periféricos, como impresora o
..:ar fallas
fax, y que se llegue hasta conectar otro tipo de equipo eléctrico como radios o
sino que
tele\isores. Esto puede provocar dos problemas: el primero es que el regulador
oado fun- no proteJa a todos los <.'qUipos, ya que «.'1 R'quenm1ento eléctrico sobrepa"' sus
capaCidades, y el otro es que se puede provocar una sobrecarga en los contactos
) consecuentemente una posibilidad de mcend1o.
rtificados
; por me- También se debe tener cuidado en adqu1rir reguladores que tengan un ni-
vel m.ú<Jmo y un mínimo, ya que existen algunos que en caso de una sobrt'Carga
ntes para
),\ dismmuyen hasta el nivel acept.lblc, pero SI exiSte una baja de corriente no l,l
mde hay
lentifica- elevan a niveles mínimos aceptables. En ocas1ones perjudica más a un eqUipo
una baJa de energía prolongada, que no l'S detectada y provoca que el C<lUI-
cortocir-
po continúe prend ido en un nivel bajo, que un,l sobrecarga, que hace que autom.l·
!anos de
ticamente el regulador o equipo ~e ap.tgue.
Uno form a pa ra asegurarnos di' quC' u11 rt•gu lildor actuará en una sobr0car~
.para las
gas o en bajos niveles, es contar con un regu lador que tenga un s is tema no inte-
:ir picos,
rrumpido (t~o-break), ya que en caso de que exist.l una variación que pase los
'eS acon-
niveles mínimos y máximo~~ autom,Hicamentt.' t.tntrará el sistema no intt•rrum·
p1do.
•lencen-
Un sistema de energía no interrump1do (UI'S) consiste en un generador, ya
~. equi-
-.,a de batería o de gas, que hace interfa..e entre la energía eléctrica y el disposi-
iente de
tivo de entrada de energía eléctrica a la computadora. Dar una consistencia a la
rían ex-
corriente eléctrica que hace funCionar a l.> computadora en caso de haber un,t
rello es
falla en el abastecimiento de l'ncrgía l'll'ctnca. El sist!'ma de energía no mt<'-
úpos de
rrumpoble {UPS) pro,·ee de energía elt'ctrica a la computadora por un cierto
ntecon-
periodo; dependiendo de lo sofisticado que sea, la corriente eléctrica puede ser
:tamen-
de horas o de algunos minutos, de ta l forma que permita respalda r la infor-
·on con-
mación.
lamien·
Es conveniente evaluar la probabilid,ld de <JUC no se tenga corriente en la
ton,\ en la que se trabaja, para dctermin,lf e l tiempo que necesita el sistema no
lSespe-
interrumpido. También se deben t•va luar 1~ problemas que puede provocar el
uado el
no contar con electricidad y las prioridades y necesidades que se tienen. En la
mayoría de los casos se necesita un d(•tt•rminado periodo para respaldar los
; cables
archivos de computadoras per<;onalcs, y se puede esperar para utilizar la om·
coman
pr<'"lra.
a fauna
En el caso de sistemas de alto ne-.go o e<><. tOSO'-, como por eJemplo un siste-
se para ma banca no, no solamente se de~ contar con Sistemas de reguladores y d&:tri-
COs no mterrumpidos, sino también con planta.' de lw: de emergencia, para ruan-
e tener
do se pierda la energía eléctrica por un periodo prolongado.
unen te
En algún momento tal ve¿ exi,ta la nt'R'Sidad de apagar la computador,\ y
tmtpti-
""dispositivos periféricos en caso de qul' el centro de cómputo donde •e en-
224
CAPITULO
6
EVALUACIÓN
DE LA SEGURIDAD
cuentre la computadora se incend ie o si hubiera una evacuación. Los switch de
emergencia sirven para este propósito: uno en el cuarto de máquinas y el otro
cerca, pero afuera del cuarto. Éstos deben ser claramente identificados con Ull
letrero, accesibles e inclusive estar a salvo de gente que no tiene autorización
SE
para utilizarlos. Los switch deben estar bien protegidos de una activación aro.
dental. Es irnf
el día,
Los incendios a causa de la electricidad son siempre un riesgo. Para rcdu· d u ran
cirio, los cables deben ser puestos en paneles y canales resistentes al firego. Es-
El
tos canales y paneles generalmente se encuentran en el piso del centTo de cómpu· dcbei
to. Los cables deben estar adecuadamente aislados y fuera de los lugares de organ:
paso del personal. Se debe cuidar no sólo que los cables estén aislados sino perso1
también que los cables no se encuentren pnr toda la oficina. i ngre~
Los circuitos ramificados para la iluminación y los sistemas de aire no de- E
berán estar conectados a los tableros de potencia utilizados por el sistema.
El proveedor debe proporcionar un tablero de distribución, el que deberá • p
contar con interruptor general, vol ti metro, amperímetro, frecuentünetro e inte- SI
rruptor individual pnr cada una de las unidades que configuren en el sistema. • p
El tablero debe ubicarse en un lugar accesible y cada interruptor debe cs!.lr re
debidamente rohtlado para su fácillocaijzación. tE
d
Co
• p
ti o
je
SEGURIDAD CONTRA • p,
P'
DESASTRES PROVOCADOS tr.
• R•
POR AGUA ta
t\(
ce
Los centros de cómputo no deben colocarse en sótanos o en áreas de planta fe
baja, sino de preferencia en las partes altas de una estructura de varios piS<:<; el
aunque hay que cu idar que en zonas sísm icas no queden en lugares donde cl cr
peso ocasionado por equipos o papel pueda provocar problemas. ci
Se debe evaluar la mejor opción, dependiendo de la seguridad de acceso al m
centro de cómputo, cuando en la zona existen problemas de inundaciones oson • V
sísmicas. En caso de ser zona de inundaciones o con problemas de drenaje la SE
mejor opción es colocar el centro de cómputo en áreas donde el riesgo de inun- P'
dación no sea evidente. • E:
Algtmas causas de esto pueden ser la ruptura de cañerías o el bloqueo del bt
drenaje, por lo tanto, la ubicación de las cañerías en un centro de cómputo es te
• p-
wta decisión importante, así como considerar el nivel del manto freático.
Debe considerarse el riesgo que representa el drenaje cuando el centro de d
cómputo se localiza en un sótano. Deben insta larse, si es el caso, detectores de la
agua o inundación, así como bombas de emergencia para resolver inundacio- • A
C(
nes inesperadas. S<
Otro de los cuidados que se deben tener para evitar daños por agua es po·
e'
seer aspersores contra incendio especiales que no sean de agua. eJ
225
SeGURIDAD DE AUTORIZACióN DE Accesos SEGURIDAD
FiSICA
utorización
ación acci-
Es importante asegurarse que los controles de acceso sean estrictos durante todo
Para redu- el día. y que éstos incluyan a todo el personal de la organización, en especial
1fuego. Es- durante los descansos y cambios de turno.
decómpu- El personal de informática, así como cualquier otro ajeno a la instalación, se
debe identificar antes de entrar a ésta. El riesgo que prov iene de alguien de la
¡ lugares de organización es tan grande como el de cualquier otro visitante. Solamente el
slados sino personal autorizado por medio de una llave de acceso o por la gerencia debe
ingresar a dichas instalaciones.
aire no de- En los centros de cómputo se pueden utilizar los siguientes recursos:
•stema.
que deberá • Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe Puertas
netro e in te- ser difícil de duplicar. de seguridad
~ el sistema. • Puerta de combinación. En este sistema se usa una combinación de núme-
r debe estar ros para permitir el acceso. La combinación debe ser cambiada regularmen-
te o cuando el empleado sea transferido o termine su función laboral dentro
de ese centro de cómputo. Esto reduce el riesgo de que la combinación sea
conocida por gente no autorizada.
• Puerta electrónica. El sistema más común es el que usa una tarjeta de plás-
tico magnética como llave de entrada. Un código especial interno en la tax-
jeta es leído por un sensor activando el seguro de la puerta.
• Puertas sensoriales. Son activadas por los propios ind ividuos con alguna
parte de su cuerpo, como puede ser la huella dactilax, voz, retina, geome-
tría de la mano o bien por la firma.
• Registros de entrada. Todos los visitantes deben firmar el registro de visi-
tantes indicando su nombre, su compañía, la razón para la visita, la perso-
na a la que visita. El registro se encuentra en la recepción del centro de
cómputo. Es importante que el visitante proporcione una identificación con
foto (licencia de manejo o credencial), ya que de otra forma podría inventar
el nombre y no se tendría seguridad. Los empleados deben de portax la
credencial de la empresa con foto, la cual además de servir de identifica-
ción, se utilizaxá para señalax las áreas de informática a las cuales tiene
autorización de entrar.
Videocámaras. Éstas deben ser colocadas en puntos estratégicos para que
se pueda monitorear el centro. Los casetes deben ser guardados para su
posible anáHsis.
Escolta controladora para el acceso de visitantes. Todos los visitantes de-
ben ser acompañados por un empleado responsable. Se consideran visitan-
tes: amigos, prov~>edores, ingenieros de mantenimiento y auditores externos.
Puertas dobles. Este equipo es recomendable para lugares de alta seguri-
dad: se trata de dos puertas, donde la segtmda sólo se pueda abrir cuando
la primera está cerrada.
Alaxmas. Todas las áreas deben estar protegidas contra robo o accesos físi-
cos no autorizados. Las alarmas contra robo deben ser usadas hasta donde
sea posible en forma discreta, de manera que no se atraiga la atención hacia
este dispositivo de alta seguridad . Tales medidas no sólo se deben aplicar
en el centro de cómputo sino también en áreas adyacentes.
226 Sedeb
vocar ma.~
CAPiTULO&
EVALUACIÓN
DETECCIÓN DE HUMO gases tóx~
OE LA SEGURIDAD Tamo
Y FUEGO, EXTINTORES dio y si h<
das de err
Los detectores de fuego y humo se deben colocar tomando en cuenta la w.:• Los
o no con los aparatos de aire acondicionado, ya que éstos pueden difnnd11 produce!]
ca lor o el humo y no permitir que se active e l detector. Los ~
El que se elija deberá ser capaz de detectar los distintos tipos de g=q falso, rep;
desprenden los cuerpos en combustión. Algunos no detectan el humo o e! control e~
por que proviene del plástico quemado que se usa como aislante en electl' dt• O a 60
dad, y en consecuencia los incendios ocasionados por un cortocircuito tal 1 boquilla)
no sean detectados. permitir
Detectores Los de tectores de humo y calor se deben instalar en el centro de cómpu que el m
de humo en las áreas de oficina, incluyendo el depósito de papelería y el perímetrolí<i los equi
de las instalaciones. Es necesario colocar detectores de humo y de calor bajo Es ne
piso y en los conductos de aire acondicionado. en caso<:
Las alarmas contra incendios deben estar conectadas con la alarma C!!n mente p
del lugar, o bien directamente con el departamento de bomberos. de su u
La orgaruzación se debe cerciorar que los controles de seguridad cow d<.'bcn hJ
incendios satisfagan los estándares mínimos del departamento de bomben~ Las
La documentación sobre los sistemas, la programación y las operadoll!l debe co
necesitan una protección contra incendios y debe tenerse un sistema de ""P" Esta sal
do específico en el plan de contingencias. Se deben establecer procedimien'"- cesarías
de respaldo que garanticen la actualización de toda la documentación de marr propio
ra rutinaria; las copias de seguridad se deben almacenar en wl lugar alejado,¡¡ en arm
como las copias de segu ridad de los programas y los archivos, los cualesdellm dos hor
estar debidamente actualizados, documentados y fechados, para cuando !e
requeridos.
Debe existir un sistema de detección de humo por ionización para '"''
anticipado. Este sistema debe hacer sonar una alarma e indicar la situación !l..
detector activado. El sistema de detección no debe interrumpir la corriente~
energía eléctrica al equ ipo de cómpu to. Se debe contar con un dispositivo 11\l-
nual de emergencia para cortar el sistema eléctrico y el aire acondicionado
deben instalarse en cada salida del centro de cómputo.
Equipos contra Se deben colocar en lugares estratégicos del centro de cómputo extintO!<'
incendio portátiles de CO (recomendable para equipo eléctrico). El equipo para pooo
respirar debe estar a la mano, tanto en el área de cómputo como para elnsod<
los bomberos en caso de incendio. Se deben señalizar las salidas de emerger.:u
(es conveniente que este señalamiento se encuentre en la parte inferior, cerca~ •
al piso, ya que en caso de humo sólo podrán ser visibles en la parte inferior
En cuanto a los extintores, se debe revisar el número de éstos, su ca pacida. •
fácil acceso, pesos y tipo de producto que utilizan. Es muy frecuente qut~
tengan extintores, pero puede suceder que no se encuentren recargados o b.o •
que sean de tan dificil acceso o de Wl peso tal que sea difícil utilizarlos.l~
extintores deben estar a la altura o tener un peso proporcional al de una muj!J
para que pueda utilizarlos.
Se debe cuidar que los de extintores no sean inadecuados, q ue puedan pro- 227
\'OCa!l' mayor perjuicio a las máquinas (extintores líquidos) o que produzcan SEGURIDAD
gases tóxicos. FiSICA
También se debe evaluar si e l personal sabe usar Jos equipos contra incen-
dio y si ha habido prácticas en cuanto a su empleo; que existan suficientes sali-
das de emergencia, debidamente controladas para evitar robos.
ala cercanía Los materiales más peligrosos son las cintas magnéticas que, al quema!l'se,
t difundir el producen gases tóxicos, y el papel carbón, que es altamente inflamable.
Los detectores de ionización del aire deben colocarse en el techo y en el piso
le gases que falso, repartirse de manera uniforme y estar conectados al tablero del equipo de
Jrno o e l va· control contra incendio. En este tablero se localiza un reloj que puede calibrarse
en electrici- de Oa 60 segundos; para provocar un disparo de gas debe jalarse a través de
cuito tal vez boquillas de aspersión estratégicamente colocadas en el techo de la sala, para
permitir la evacuación d el personal y desconectar el sistema. Se debe verificar
~e cómputo, que el material utilizado para extinguir los incendios no provoque problemas a
ímetro físico los equipos electrónicos.
calor bajo el Es necesario definir y documentar los procedimientos que se deben seguir
en caso de incendio. Los planes de evacuación del centro d eben estar plena-
arma central mente probados y docu mentados. Además, se debe entrenar a l personal acerca
de su uso, ya que con frecuencia muchos empleados no saben exactamente qué
ridad contra deben hacer en caso de incendio.
bomberos. Las cintas y discos magnéticos deben a lmacenarse en una sala aparte y se
operaciones debe contar con un acceso al área en donde se localiza el equipo de cómputo.
1a de respal- Esta sala debe contar con todas las condiciones ambientales y de seguridad ne-
,cedimientos cesarias, ya que la información almacenada alú tiene más importancia que el
óndemane- propio equipo de cómputo. Las cintas y d iscos magnéticos deben almacenarse
11' alejado, así en armarios con pa!l'edes fabricadas especialmente para resistir por lo menos
:uales deben dos horas de fuego.
cuando sean
n para aviso
situación del
corriente de TEMPERATURA y HUMEDAD
positivo m a·
tdicionado y
Algunos equipos grandes de cómputo (mainframes), o bien las computadoras
lo extintores personales que son usadas en zonas muy cálidas o desérticas, necesitan de un
>para poder sistema de aire acondicionado d iseñado para estar en operación constante, con
ara el uso de base e n los sigu ientes parámetros:
e emergencia
~rior, cercano • Disipación térmica (6TU). La disipación térmica de cada unidad de siste-
te inferior). mas es mostrada en unidades térmicas británicas por hora.
ru capacidad, • Movimiento de aire (CFM). Los movimientos de aire se muestran en pies
uente que se cúbicos por minuto.
·gados o bien • Pérdidas por transferencia de calor. Existen pérdidas por transferencia de
ilizarlos. Los ca lor, por las siguientes curvas: n) A través de paredes, pisos y techos, o por
de una mujer la iluminación; b) diferencias en temperatura entre la sala de cómputo y
áreas adyacentes, y e) ventanas expuestas a los rayos del sol.
228 Los cambro~ de temperatura durante la operación del computador 11
CAPiTuLO
6
ser disminuidos. La variación cíclica de temperatura sobre el rango c,•m
EVALUACió~ de operación no debe n•a li7arsc en menos de ocho horas. 12.
DE LA SEGUAIOAD La di~ipación térmica, el movimiento de aire, así como los mínimos y"
mos de tempera tu m y humedad permitidos deben ser especificados por~p •
veedor del equipo, aunque la temperatu ra ideal rccome11dada es de 22"C.C.. •
neralmente la hum~d,ld debe ser agregada, ya que al enfriar el aire '('l<'mu..
•
la mayoría del vapor de agua por condensación.
•
•
Se recomiend.1 que se instalen instrumentos registradores de tempmhc •
humedad. Dichos instrumentos son necesarios para prove<)r un conhnuo •
tro de las condrcone:, ambientales en el área del eqUipo. •
Los duetos del aire acondicionado deben estar limpios, ya que son Ulll •
las prindp.1les caus.1s de polvo, y se habrá de contar con detecto"" de •
•
que indiquen la posible presencia de fuego.
Tomando en cuenta lo anterior, en el siguiente cuestionario se cort-.1
las caracteríMica• nect>sarias para evaluar una adecuada seguridad lísrca
13
UBICACIÓN Y CONSTRUCCIÓN DEL CENTRO DE CÓMPUTO
En
1. ¿El edificio donde se encuentra la computadora está situado a salvo de:
14.
Inundación? 15.
Terremoto? 16.
Fuego?
Sabotaje?
9. ¿Se bene grandes ventanales orientados a la entrada o saltda del sol? 2<
si NO
~tador
ngo completo
deben
11. ¿Está sobresaturada la instalación? Si NO
229
SEGURIDAD
12. ¿Se !lene lugar previsto? Éste es el adecuado para: FfSICA
l imos y máxi·
Jos por el pro- • Almacenamiento de equipos magnéticos. Si NO
1de 22"C. Gc- • Formatos y papel para impresora. si NO
re se remueve • Mesas de trabajo y muebles. Si NO
• Área y mobiliario para mantentmiento. si NO
• Equtpo de telecomunicac•ones. Si NO
lemperatura y
• Área de programación. Si NO
)ntinuoregís- • Consolas del operador. Si NO
• Área de recepción. SI NO
"'son una de • Mocrocomputadoras. SI ..o
)res de humo Fuentes de poder. Si ..o
• Bóveda de segundad (bóveda ant11ncendto ba¡o máxima protección).
se consignan si NO
td física:
PISO ELEVADO O CÁMARA PLENA
En caso afirmativo:
alvo de:
14. ¿Está limpia la cámara plena? SI NO
15. ¿Es de fácil limpieza? SI NO
16. ¿El piso es antiestático? SI NO
AIRE ACONDICIONADO
18. ¿Los duetos del a~re acondtetonado cuentan con alarmas contra tntrusos?
si NO
~
?
NO 2 1. ¿De qué forma?
mputo?
22 ¿Con qué periodicidad?
t.O
sol? 24. ¿La tierra fíSica cumple con las dtsposictones del proveedor de equipos de
'lO cómputo? Si NO
30. ¿Se llene conec!ado a los contactos de equopo de cómputo otro equipo ello
trón1co? s1 10
33. ¿El equ1po contra fauna nOCiva está deb1damente proteg1do y cu1dado p&.'l
no producir problemas al personal? si 10
38. ¿Dura el t1empo suficiente para respaldar tos arch1vos o para conbnua1 ti
proceso? si ..:>
NO 50. ¿Se registran las acciones de los operadores para evitar que realicen alguna
que pueda da~ar el sistema? si NO
do para
51. ¿Se identifica a la persona que Ingresa? SI
NO
• Vigilante. ( )
• Recepcionista. ( )
• Ta~eta de control de acceso. ( )
• Puerta de combinación. ( )
• Puerta con cerradura. ( )
• Puerta electrónica. ( )
1uar el • Puerta sensorial. ( )
NO • Registro de entradas. ( )
• Puertas dobles. ( )
NO • Escolta controlada. ( )
• Alarmas. ( )
Tarjetas magnéticas. ( )
• Control biométrico. ( )
NO • Identificación personal. ( )
> 55 ¿Se ha instruido a estas personas SObre qué medodas tomar en caso de que
alguien pretenda entrar son autonzación? si NO
• En el cuarto de máquinas? ( ) 71 ¿
• En la cintoteca y discoteca? ( ) si
En la bodega? ( )
• En otros lados? ( ) 72
¿Cuáles?
73 ¿
e
61. ¿La alarma es perfectamente audible? SI
74.
62. ¿La alarma está conectada:
75.
• Al puesto de guardias? (
• A la estación de bomberos? ( •
• A algun otro lado? ( •
• Otro. (
• Agua. ( l
• Gas. ( )
• Otros. ( )
de mfor- 66. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 233
'o SI NO SEGURIDAD
FISICA
(NOTA: Verifique el número de extintores y su estado.)
67. Si es que existen extintores automáticos, ¿son actovados por los detectores
automáticos de fuego? si NO
68. Silos extintores automáticos son a base de agua. ¿se han tomado medidas
para evitar que el agua cause más dallo que el luego? s1 NO
69. Si lOs extintores automáticos son a basa de gas, ¿se han tomado medidas
para evitar que el gas causa más daño que el fuego? SI NO
70. ¿Existe un lapso de tiempo sufociente. antes de que funcionen los extintores
automátiCOS, para que el personal:
72. ¿Saben qué hacer los operadores del cuarto de máquinas en caso de que
ocurra una emergencia ocas•onada por fuego? Si NO
73. ¿El personal ajeno a operación sabe qué hacer en el caso de una emergen-
c•a (IncendiO}? SI NO
• Desde el interior?
• Desde el exterior?
• Por ambos lados?
• Elementos magnéticos? ( )
• Equpo? ( )
• Software? ( )
84. Explique la forma en que se ha clas•hcado la información: v1tal. esencaa~ no
esenoal. etcétera.
85. ¿Se cuenta con copias de los archivos en un lugar distinlo al de la oo~u·
tadora? SI "
86. Explique la forma en que están protegidas ffsicamente estas cop1as (bóveoa.
cajas de seguridad, etc.) para garantizar su integndad en caso de lncendo,
.nundacióo, terremoto. etcétera.
90. ¿Este departamento de auditoría ~ntema conoce todos los aspectos de los
sistemas? sí NO
• Oral.
• Esenia.
97. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los
interesados? si NO
NO
98. ¿Exoste control estncto en las mod•fiC3CI009S?
99. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan
compu- efectuado? si NO
NO
100. ¿Se venf;ca ident,hcaCIÓ<I:
• De la tenm,nai? ( )
• Del usuario? ( )
• No se pide identificación. ( )
cop<as?
101 ¿Se ha estabfecodo el mvel de usuano de la tnfonmación? NO
NO
en que
102. ¿Se ha establecido un numero máx1mo de violaciones en sucesión para
que la computadora cierre esa lenminal y se dé aviso al responsable de
ella? •1 NO
103. ¿Se reg1stra cada VIOlación a los procedimientos con el fin de llevar esta·
; de los
NO
dísticas y frenar las tendenc1as mayores? SI NO
El problema de los virus en muchas ocasiones son los ciclos interminables; Analizadores
ya que se desinfecte u na parte del sistema o algunos usua rios, el virus puede de virus
seguir latente e infectar nuevamente a 1sistema. Esto sucede sobre todo cuando
el sistema se encuentra en operación. Para poder tener u na cura parcial se debe
di,•idir el sistema o los usuarios de tal forma que se pueda desinfectar una parte
sin suspe nder totalmente la operación del sistema. Por lo anterior se recomien-
da que a la primera posibilidad de virus se apague el sistema y se evalúe hasta
al infec- <er desinfectado, lo cual a su vez puede provocar también el problema psicoló-
n que a l gico de estar pensando que la primera falla que se tenga, se trate de un virus.
dos in i- Se debe tener vacunas contra virus; el problema es que generalmente estas
lucionar vacunas no cubren todos los virus, por lo que se requiere achta lizarlas constan-
temente.
•le, pero Otra forma de protegerse es a través de analizadores de virus. Estos pro·
o tiene n gramas detectan la existencia de un virus en el momento de la inicia lización
sin exa- (llootstrap) de las computadoras personales. Estos analizadores presentan p ro-
)enque blemas, ya que son costosos y poco efectivos para todos los diferentes virus,
aunque son actualmente muy populares en el mercado. Un analizador real-
mente efectivo debe detectar e l virus antes de que ataque.
Entre los problemas en la utilización de ana lizadores y de vacunas contra
virus están:
Desafortunadamente, las leyes contra los virus, principa 1mente los m.1ha
sos, no han evolucionado a l ritmo de la tecnologra (se consid era delito sólo cu.m
do la persona actuó en forma maliciosa e intenciona l), y la dctecdón del ori
de los virus es cada día mJs complicada.
Internet vulne
nogramas siones de DOS, y admitió que: "No podrán prometer q ue esto desaparezca a
po$ de las corto plazo."
putadoras La solución es la protección de todo ciberespacio contra programas depreda- La degeneración
3SCOmpu- dores q ue reclutan a decenas y hasta cientos de máqu inas inocentes para l ll1 del servicio DOS
ataque d e DOS. Los proveedores de servicio de Internet deberán instalar filtros
oadores y en los datos que transmiten, y los auditores deberán cu idar que sólo se utilicen
servicios de Internet con p roveedores que p roporcionen este servicio. Las agen-
~un siste- óas de seguridad deberán introducir agentes zombies que husmeen en b usca
rar a otro de información indeseada, o bien por medio de rompecabezas criptográficos
que abnt111en a las máquinas agresoras.
;ean debi- Los lwckers malévolos, que intentan obtener ganancias financieras, o los
hackers conocidos como de sombrero negro, que intentan d ivertirse al echarle a
fensa con- perder el día a un usuario de Internet, en la actualidad son combatidos por
'utadoras, medio de hackers de sombrero blanco, que trabajan en firmas d e segu ridad.
La misma conexión que hace a la red tan robusta, ta mbién la deja vulnera-
;o de que ble al efecto del eslabón débil de la cadena. La apertura y facilidad con que
;, y la for- millones de personas pueden compartir la información, también pone en peli-
imínalo y gro la intimidad. La mayorfa de los ataques no son diseñados para introd ucirse
no CERT en los sistemas, sino simplemente para hacerlos más lentos. Pero los allanamien-
encías de tos no son d ifíciles y pueden venir más problemas.
spuesta a Si los datos no se pro tegen apropiad amente, la información personal que se
u respon- transmite en línea deja a la Web vulnerable al robo de identidad. Los funciona-
rios estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de
de virus, vulnerar o penetrar las computadoras del gobie rno.•
tas, y ase- Con un número creciente de conexio nes pe rmanentes, tales como módem
e en caso de cable, los hackers malévolos podrían husmear digitalmente por las cerradu-
ras las vidas de las personas y la p rivacidad de las empresas.
>malido- Los hackers usan herramientas de software para merodear por el sistema, a
ólocuan- fin de encontrar debilidades que los ope rado res de redes no han enmendado.
lel origen Se está a merced de los administradores de sitios web y de provl>edores de
servicios de Internet para mantenemos a resguardo contra los defectos y reme-
dios de segu ridad. Lo más pelig roso es q ue los lwckers podrían obtener empleos
legítimos en cualquiera de las organizaciones que han sido afectadas por ellos.
Por lo anterio r, para que el auditor se asegure que la información no sea tan
vulnerable:
la; repre- • Se debe utilizar siempre software antivirus y actualizarlo con frecuencia
prenden- para alejar programas destructivos.
tes. Todo • No se debe permitir que comerciantes en línea almacenen información d e
os(OOS, la empresa o de las personas.
l\ero, un
".En un
tiento de • Nt".A.>SU!ttk, 23 de febrero de 2000.
240 • Se debe utilizar contraseñas difíciles que combinen numeros y letra<,¡
CAPíTuLO 1 deben cambiar con frecuencia. de¡,
EVALUACIÓN • Se deben utilizar diferentes contraseñas para sitios ~n la red y aplicacion
0E LA SEGURIDAD para despistar a posible~ lrnckers. rarl'
• Se debe utilizar la ver.1ón más actualizada dl'l na\'l'gador de red, sofu varn
de E-mail y olro' programas. ront
• Se deben enviar los números o informaoón confidencial solamente a ''bOl dest
seguros; se debe bu...:ar el icono de candado o llave en el navegador.
• Se debe confirmar que~ trata del sitio que se busc,l Hav que tener cwd lo p
al teclear. siste
• Se deben usar programas de seguridad para controlar los cookies quern pr.ic
vían datos de vuelta a los sitios wcb. 1
• Se debe instalar software para inspeccionar el trJfico si se usa DSL u cóm
módem de cabl<• para con<'Ctarse a la red.
• No se deben abnr agregados de E-mail a menos que se conozca la fuetllf •
del mensaje recibido.
• 1
SEGUROS
Los seguros de los equipos en a lgunas ocasiones se d<•jan en segundo términ"
aunque son de gran importancia. Se tiene poco conodmiento de los riesgosq
entraña la computación, ya que en ocasiones el ri<-.;go no l'S daro para lasCO"' •
pañías de seguros, deb1do a lo nuevo de la herramienta, a la poca e>penl'!>
existente sobre di'Sa,trl'S y al rápido avance de la ti'Cilología.
Como ejemplo di' lo anterior tenemos las pólins de S<'gUrDS contra d<'S»- •
tre-, ya que algunos conceptos son cubiertos por el pro\'eedor del seninod! • !
manterúmiento, lo cual hace que .e duplique el "11\lrtl, o bll'n que sobre\'engaa
dl>saStrcs que no son norm.llcs en cualquier otro tipo de ambiente. (
que una sola póliza no pueda cubrir todo el eqUipo con las diferentes caractl'l
licas (existe equipo que pu<>de ser transportado, como computadoras pcl'<l>N-
Capacidad
1<....,, y otras que no se pueden mo,·er, como unidadl.,. de di'>C'O duro), por lo que
tal vez con\'enga tener dt"- o más pólizas por <;eparado, cada una con las espeo-
ficaciones necesanas.
Se debe tomar en cuenta que existen riesgos que '-On difíciles de e\'alu •
o
del seguro de asegurar, como la negligencia. DE
El costo de los equ ipos puede variar, principa lmente en aquellos paíse.qu;:
tienen grandes tasas de inOación o de devaluación, por lo que los segurosdelll'n
t'Star a precio de compra (valor de adquisición de nuevo equipo con iguaks F.n la
características) y no a precio al momento de contratación del seguro. do a
El seguro debe cubnr tanto daños causados p.>r factores externos (terremo- ción
to, inundación, etc.) romo miemos (daños ocasionados por negligencia de b " en¡
operadores, daños deb•dos al a1re acondicionado. etc.!tt'ra). C'otlp
1s, y se También se debe asegurar contra la pérdida de Jos programas (software), 241
de la úúormación, de Jos equipos y el costo de recuperación de lo anterior. SEGUROS
ciones, En el caso de los programas se tendrá en cuenta en el momento de asegu-
rarlos el costo de elaboración de determinado equipo, el costo de crearlos nue-
•fhvare vamente y su valor comercial. En el caso del personal, se pueden tener fianzas
contra robo, negligencia, daños causados por el personal, sabotaje, acciones
a sitios deshonestas, etcétera.
r. Es importante que la dirección de informática esté preparada para evitar en
Jidado lo posible el daño físico al personal, oficinas, equipo de cómputo, así como al
sistema de operación. Además, deberá tener cu idado de que existan normas y
1ue en- prácticas eficaces.
Como ejemplo y en forma genérica, por lo común un seguro de equipo de
Lo un cómputo considera Jo siguiente:
fuente • Sienes que se pueden amparar. Cualquier tipo de equipo electrónico, como:
de cómputo, de comunicación, de transmisión de radio y televisión, etc.
Con excepción de los que formen parte de equipo especial en automóviles,
camiones, buques, aviones.
• Riesgos cubiertos. La cobertura básica cubre contra todo riesgo de pérdida
súbita, accidental e imprevista, con excepción de las exclusiones que se in-
dican en las condiciones generales de la póliza. Esta cobertura ampara ries-
rmino, gos como: incendio, rayo, explosión, únplosión, arcos voltaicos, cortocircui-
os que tos, sobretensiones, etcétera.
scom- • Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso,
riencia como son: terremoto y erupción volcánica; huracán. ciclón y tifón; equipos
móviles o portátiles; huelgas y motín; hurto.
desas- • Exclusiones. Las indicadas en las condiciones generales de cada seguro.
ido de • Suma asegurada. En todos los casos se tiene que reportar como suma ase-
•engan gurada el valor de reposición de los equipos a asegurar (a valor nuevo sin
descontar depreciación).
-de su- • Primas, cuotas y deducibles. Dependen del tipo de equipo.
ctuali- • Indemnización en caso de siniestro. Las pérdidas pa rcia les se indemnizan a
valor de reposición (valor nuevo) y las pérdidas totales a valor real (valor
obable nuevo menos depreciación).
ICterís-
rSona-
lo que
!Speci-
CoNDICIONEs GENERALES DEL sEGURO
tluar y
DE EQUIPO ELECTRÓNICO
es que
deben
guaJes En la póliza de seguro se certifica que, a reserva de que el asegurado haya paga-
do a los aseguradores la prima mencionada en la parte descriptiva, y con suje-
-remo- ción a los demás términos, exclusiones, disposiciones y condiciones contenidas
de los o endosadas, los aseguradores indemni7.arán en la iorma y hasta los límites
estipulados en póliza.
242 Una vez que la insta lación inicial y la puesta Cll marcho de los bienesaS<gu· pt'rdíd
CAPITULO 6 rodos haya finalizado satisfactoriamente, este seguro se aplica, ya sea quel t~~tar;..\ "
EVAI.UACION bienes estén opera!ldo o Cll reposo, o hayan s ido dcsmolltados con el propús1 no~ sí
DE LA SEGURIDAD de ser limpiados o reparados, o mientras sean trasladado;, dentro de los pmt..
el.tipulados, o mientras se e;,tén ejecutando las operaciones menóonac
durante el remontaje subsiguiente.
Cond
• l.a
Exclusiones generales eu
qu
Lo~ aseguradore~ no indcmllizarán a l asegurado •·espccto a pérdidas o dañ • El
directa o indirectamelllC causados o agravados por:
Condiciones generales
Cl
Daños materiales b
• o
Alcance de la cobertlora. Los aseguradores, en caso de que esté pagada la po.i· b
z.a, se encuentre vigente y que la pérdida o daño no se encuentren cspecíficamen
excluidos, indcmni2a 1·án al asegurado por tales pérdidas o daños, en efectivo, o L.
reparando o reem pla1..ándolos (a elección de los aseguradores) hasta una suma m en
que por cada anualidad de seguro no exceda de la suma asegurada a~ignad" das
cada bien asegurado en la pa rte descriptiva y de la cantidad total garantizada
por la pó liza. se en
•
Exclusiones especiales • f
•
Sin embargo, los a»eguradores no serán responsables, a menos que se estipwll •
lo contrario ~n las pólizas, de: •
•rado- • El deducible ~tipulado. 245
nden- • Pérdida' o daños cauo;.1dos dol'ffta o indil'fftamcnte por resultantes de te- SEGUROS
ISegU- rremoto, t<:mblor, gol~ de mar por maremoto y erupción volcánica, cidón
lOS. o huracan.
begu- • Pérdida' o daño~ cau,.1dtl' directa o indirectamente por hurto, robo con o
e una san voolc:-noa )' 1o ao;.1lto.
o si se • Pérdida'> o daoo- cau~dtl' por cualquier fallo o defecto existente al inicio
dores. del seguro, que sean conocidos por el asegurado o por sus representantes
<L>!>pon'>abl~ d~ los boenl'S a~gurados, sin tomar en cuenta que dichos fa-
!.ar to-- lltl' o dcfl>ctos fueran o no conocidos por los aseguradores.
~gura • Pérdida'> o daños cau•ados directa o indirectamente por fallo o interrup-
·com- ción en el aprovi.,ionamiento de comente eléctrica de la red pública, de gas
los en o agua.
ln de- • Pérdida; o daños que .can consecuencia directa del funcionamiento conti-
~nes o nuo (desgaste, cavilación, erosión, corrosión, incrustaciones) o deterioro gra-
ctos o dual debido a condiciones atmo>féricas.
le que • Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a
meno& que dicho& fallos fucrcn causados por pérdidas o daño indemnizable
suma ocurrido a los bienes aseguradas.
es di- • Cualquier ga;,to cro¡;ado rCS)X'CtO al manten imiento de los b ienes asegura-
escri- dos; tal exclusión se «plica 1,1mbién a las partes recambiadas en el curso de
dichas operacimws dc mantenimiento.
• Pérdidas o daí'ios cuya rcspons,1bilidad recaiga en e l fabricante o el provee-
dor de lo; bient'' asegurado~. ya sea legal o contractualmente.
ea las • Pérdidas o daños a equipos arrendados o alquilados, cuando la responsabi·
audu- lidad reca iga t•nel propietario, ya sea legalmente o según conveniodearren-
poyar damoento )·/o mantenimiento.
• Pérdida o re:.pon<abilidadl'S consccucnciales de cualquier tipo .
es y si • Pérdida' o daños a partes desgastables, tales como bulbos, válvulas, tubos,
bandas, fusibll'S, scllos, cintas, alambres, c.1denas, neumáticos, herramien-
tas recambiable>, lente,, rodillos, grabados, objetos de vidrio, porcelana o
cerámica a cualquier medio de operación (por ejemplo: lubricantes, com-
bustibl~, agentt>s químiCO»).
• Ddcclo>t'Stdoro.., tale:. como raspaduras de superficies pintadas, pulidas o
1póli- bami,ad,ls.
nente
ivo, o Los ascguradore<; ser.in empero rcspon~bles re:.pecto a pérdidas o daños
suma mencionados anterionnente, cuando las partes espeaficadas hayan sido afecta-
.adaa das por una pérdida o daño ondcmnizable ocurrido a los bienes asegurados.
izada Entre las exclusoon"' que pueden contratarse mediante convenio expreso
se encuentran:
Bases de la indemnización:
se!\irá para
lprograma,
en produc-
e no signifi-
Jador utilice
SeGURIDAD AL RESTAURAR EL EQUIPO
En un mundo que depende cada día m~> de los servicios proporcionados por
!manejo de las computado ras, es vital definir proccdimi~ntos en caso de una posible falla o
idencial por siniestro. Cuando ocurre una contingencia, es esencial que se conozca al detalle
1mpetidorcs e l motivo que la orig inó y e l daño causado, lo que permitirá recuperar en ('(
de papel, o menor tiempo posible el proc!'so perdido. rambién se debe analizar el impacto
de personal futuro en el funcionamiento de la organización y prevenir cualquier implica-
~te, toda la
ción negativa.
dos por me-
En todas las actividades relacionadas con las ciencias de la computación
Fdos que'><! ex1ste un riesgo aceptable; es ni'CCSarlo anali7.ar y entender estos factores para
¡o, pero que establecer los procedimientos qut' permitan eliminarlos al máximo, y en c., >O de
hsedebe:
que ocurran_ poder reparar el daño y reanudar la operación lo más rápidam!'n-
te po:.ible.
encial sin la En una situación ideal se deberían elaborar planes para manejar cualquier
contingencia que se presente.
¡onfidencial. Analizand o cada aplicación, se deben definir planes de recuperación y re-
t¡uellos pro- anudación, para asegurarse que los usuarios se vean a fectados lo menos posible
en caso de falla o siniestro. Las acciones de recuperación d is ponibles a nivel
1ación y del operativo pueden ser:
Lo~.·
o Cualquier proccdrmiento que se determine que es el adecuado pau
caso de emergencia deberá ser planeado y probado previamente.
gli
Este grupo de emergencia deberá tener un conocimiento de los proced1· o bl
rnientos que puede utili zar, además de un conocimiento de las característic, sib"
de las aplicaciones, tanto desde el pw1to técn ico como de su prioridad, nivel d< po.
servicio planeado e influjo en la operación de la organiración.
Además de los procedimientos de recuperación y reinicio de la inform;. tivo
dón, se deben considerar los procedimientos operativos de los recursos IL~ plat
como hardware y comumcacioncs, planeando la utilización de equipos que pe ble
nutan seguir operando en caso de falla de la corrient(' eléctrica, caminos alt.-rm~
de comunicación y utili?ación de instalaciones de cómputo similares. Éstd>' em
otras medidas de recuperación y reinicio deben de ser planeadas y probad nt~c
PLAN DE CONTINGENCIAS
~
de lasprin- en caso de desastre. PV.N DE
casode un En la elaboración del plan de contingencias deben de intervenir los niveles CONTINGENCIA
fortunada- ejecutivos de la organización y el personal usuario y técnico de los procesos. Y PROCEDIMIENTOS
Para la preparación del plan se seleccionará el personal que realice las acti· DE RESPALDO
PARA CASOS
tre personal \'Ídades clave de éste. El grupo de recuperación en caso de emergencia debe DE DESASTRE
runa copia estar integrado por personal de administración de la dirección de informática
(por ejemplo, los jefes de operación, de análisis y programación, y de auditoría
adoante los interna). Cada uno de ellos debe tener tareas específicas, como la operación del
rarán
según equipo de respaldo, la interfase administrativa y la de logística, por ejemplo, el
proporcionar los archivos necesarios para el funcionamiento adecuado. Cada
~empoy los miembro del grupo debe tener asignada una tarea y contar con una persona de
respaldo. Se deberá elaborar un directorio de emergencia con teléfonos particu-
que el pro-
lares que contenga además los nombres y direcciones. Éste deberá estar a !mace-
os procesos nado en un lugar seguro y accesible.
aquello que Entre los objetivos del plan de contingencia se encuentran:
anuales y • Minimizar el impacto del desastre en la organización. Objetivos
• Establecer ta reas para evaluar los procesos indispensables de la organi· del plan de
seconside- zación. contingencia
• Evaluar los procesos de la organización, con el apoyo y autorización res·
rorma inde- pectivos a través de una buena metodología.
ructura debe • Determinar el costo del plan de recuperación, incluyendo la capacitación y
la organización para restablecer los procesos críticos de la organización cuan·
do ocurra una interrupción de las operaciones.
mando en Las guías de análisis de las áreas de la organización deben ser usadas para
semana). asistir en la generación de discusione~ en d iferentes procesos críticos. Éstos in-
cluyen componentes esenciales sugeridos, dependencias críticas, recursos al·
o de recu- lernativos y probabilidad del impacto de destrucción para diferentes áreas.
Como la mayoría de los planes de contingencias en el pasado estaban enfo·
ón de luz, cados en las operaciones basadas en los sistemas automáticos, es necesario
mencionar en las entrevistas que el plan de contingencias debe cubrir todos los
.operacio- procesos de la organización. Algunos de los que no están basados en la compu-
tadora deben ser discutidos y debe llenarse el cuestionario de las funciones crí·
ticas.
·islas y los Deben realizarse entrevistas con los jefes de departamento para obtener
• clasifica- una revisión inicial de la organización y confirmar la naturaleza y sus procesos.
gerencia o Estas entrevistas deben incluir lo siguiente:
tcluyan en
críticos en • Antecedentes de la orgruúzación, como su naturaleza, líneas de productos, Elementos
transacciones anuales (compras y ventas), mercado y competidores. de las entrevistas
cuestiona- • Áreas de la organización y jefes de departamento.
r procesos • Información estratégica y decisiones de operación.
;anizadón. • Seguridad en el centro de cómputo y en las áreas más importantes de la
os cuestio- organización.
• Algunos riesgos específicos que pongan en peligro los procesos críticos de
la organización.
JOn usados • Conocimiento de los requerimientos legales (mu ltas, estánda res de la in-
dustria, requerimientos de auditoría en relación con el plan de contingen·
iones críti· cias).
• Algún plan de contingencias emprendido.
258 Los dite<:tiv~ deben conocer la información general para el manterumld!IO Cues
de la organización, pero tal V<>.< no tengan el conocimiento ~pecifiro de laJno
CAPITULO 6
EVALUACION formación. delil
OE LA SEGURIDAD La información requerida para el proyecto del p lan de contingencias putdt
existir en varias formac; en Ja organización. Las <.-1
Se deberá obtener la documentación existente que contenga antcct'd~nle; debet
de la organización. ~stos deben incluir: E
basar:
E
Recolección • O rganigrJmas. enge
de datos •
•
•
Descripción de procesos operativos.
Medidas de seguridad existentes contra desastre.
Seguros.
den t
dad
"
• Proc:edimientos de dcs.1stres existentes.
vista"
Además de las entrevistas generales, se requiere información más drula-
da sobre los sistemas automáticos. Durante las entrevista!> con el jefe de irfur·
mática y con especialistas se deberán revisar los s istemas y sus compoll!'ni<S
esenciales, como ~on:
ás detalla-
e de infor- CUESTIONARIO SOBRE EL IMPACTO
nponentes
1. ¿Cuáles áreas del negocio son de mayor responsabilidad?
Departamento-- - - -- - - - - - -- -
Oficina _ __ _
División-=============-:_
Teléfono_
Nombre de la función _,.._ __ _ _ _ _ __ _
De~ndelafunoón _ _ __ _ _ _ __ _ __ _ _ _ ____
COMENTARIO
Otra explicación:
mes?$
Pordfa? S ~~=====================
Por semana? S
Por
• 10omás.
6·9 .
• 3·5.
O, 0·2.
10
5. Localización de los sistemas:
• En un área especifica.
• En dos o tres áreas.
• Corre por múltiples departamentos.
262 dida.
6. De fác11 recuperaciÓn después de la interrupción: copia,
CAPIT\JLO 6
EVALUACIÓ~ • 3 o 4 días en sistemas críticos.
mentt
DE LA SEGURIDAD
• 12 o 24 horas en sistemas críticos. L•
• Sin problemas (recuperación inmediata).
l!
SeLECCióN oe LA ESTRATEGIA do. S.
esté e
E
Una vez que hemos definido el grado de riesgo, hay que e labora r una lista de laim
los s is temas con las medidas preventivas que se deben tomar, así como la< aplic,
correctivas en caso de desastre, señalándole a cada función su prioridad. part~
El siguiente paso es identificar y comentar procesos alternativos para pro- conOt
cesos identificados como críticos en la organización. Si existen otros procedl· J
mientos con recursos similares aprovechables, éstos podrán ser considerad '
como posibles procedimientos alternos. • E
En caso de desastre se procurará trabajar los sistemas de acuerdo con""
prioridades, ya que no M! podrá hacer en otra instalación en la misma formo
•
• -1
e
o Historia.
o Número de páginas.
Aprobación del documento.
o Control de cambios.
Distribución del documento.
)bado. Su
o Software.
ción pc.ua
o Ha rdware.
ando éste
o Recursos materiales.
o Personal.
le rontin-
o Consumibles.
!robada y
o Utilerías.
ciada con
o Sistemas de comunicación.
1portante Redes.
o Transporte.
:umentos Bases de datos.
>roo pér-
o Archivos (respaldos).
264 Para evaluar las medidas de seguridad, se debe especificar: •
CAPiTuLO 6 •
EVALUACIÓN • La aplicación, los programas y arclúvos. •
DE LA SEGURIDAD • Las medidas en caso de desastre, pérdida total, abuso y los planes nece-
sarios.
• Las prioridades que se deben tomar en cuanto a las acciones a corto y largo de~
plazos.
forr
El plan en caso de desastre debe incluir: dej<
H) Terminales. vari
si de
1) Equipo adocoonal.
• Electrocodad KVA.
• Temperatura requerida
• Humedad requelida.
RED DE COMUNICACIÓN
ción?
NO
!rativos.
¡ación.
(se de-
:ionado,
Interpretación
CAPÍTULO
de la información
OBJETIVOS
Al finalizar este capitulo, usted:
4. F
•
ANÁLISIS CRÍTICO DE LOS HECHOS •
•
•
Una de las primeras técrucas es el análisis crítico de los hechos. Esta técniG S. l\
sirve para discriminar y evaluar la información; es una herramienta muy valio·
sa para la evaluación y se ba'>a en la aplicación de las siguiente, pregunta' •
Pregunta
•
Finalidad que determina •
Qué El propós ito •
Dónde El lugar 6. d
Cudndo El orden y el momento, sucesión
Quién La persona •
Cómo Los medios •
Cuánto La cantidad •
•
La pregunta más 1mportante es qué, pues la respuesta permitirá ;aber'
puede ser:
•
•
•
Eliminada
Modificada o camb1ada
Simplificada.
M
Las respuestas que se obtengan deben ser sometidas a una nueva pre¡;unt.l EL
"Por qué", la cua l planteJrá un nu evo examen que habrá d e justificar la infor·
mación obtenida. Cada interrogante se debe descomponer dl• la siguiente ma· Para 1
nera: de m.
1. Propósito: • V
• 1)
• Qué se hace. • V
• Por qué se naC\', V
•
• Qué otra cosa podría hacerse.
• Qué debería hacerse. e
2. Lugar: [
li
• Dónde sc hace. 8
• Por qué se nace .1hí. R
• En qué otro lugar podría hacerse. 271 -----'
• Dónde deberla hacerse. TÉCHICAS
PARA LA
3. Sucesión: INTERPRETACIÓN
DE LA INFORMACIÓN
• Cu,lndo se hace.
• Por qué se hace entonces.
• Cuándo podría hacerse.
• Cuándo deberá hacerse.
4. Persona:
• QUJén lo hace.
• Por qué Jo hace esa persona .
• Que! otra persona podría hacerlo.
• Quién debería hacerlo.
5. Medios:
• Cómo w hace .
• Por qué se hace de ese modo .
• De qué otro modo podría hacerse.
• Cómo debería hacerse.
6. Cantidad:
• Cuánto se hace.
• Por qué se hace esa cantidad (volumen).
• CuJnto podría hacerse.
• Cuánto debería hacerse.
Uso de diagramas
Otra forma de an.1 li Lilr lo~ hechos es segu ir la ruta de la información desdes
origen hasta su destino, y disponer de este camino en una '><'Cllencia cronológia.
con el fin de clarificar dóndt> aparece, cómo avanz,1 .1 lo largo del siskma
cómo llega a su dcshno. E.sta hicnica ayuda a hacer un ,.,tudio objeti,·o de todos
los pasos por los cuales dt>berá pasar la información .
Ev
Se considera ncce,.uio agregar algunas caracterishc.-.s que definan aún ws Cl(
este estudio como frecucnci,,, tiempo, costo y diSt~ncia física de cada p.150
coadyuvando a una ev.1 lu~ción más objetiva del sistema. de
vit
ANÁLISIS
ni
Se debe evaluar la información obtenida en lo' sistemas para poder:
• Determinar el ob¡eto y compararlo con lo obtenido.
• Buscar la rnterrelación con otros sistemas.
uación.. se • Evaluar la secuencia y flujo de las interacciones. 273
!rcutirá en • Evaluar la satisfacción del usuario. EVALUACIÓN
DE LOS SISTEMAS
de sistema Entre las etapas del análisis están:
segu ir ha-
ar la técni- l. Análisis conceptual:
pport).
• Evaluar el sistema funcional.
ó seguirse • Evaluar la modularidad del sistema .
.m sistema
• Evaluar la segmentación del sistema .
. Si no está • Evalua r la fragmentación del sistema.
• Evaluar la madurez del sistema.
• Evaluar los objetivos particulares del sistema.
• Evaluar el flujo actual de información.
n • Definir el contenido de los reportes y compararlo con el objetivo.
Evalúe la interacción con otros sistemas. Se debió analizar la información del Tipos
sistema con el propósito de loca lizar sus interacciones y sus contactos con otros de evaluaciones
análisis de sistemas, a fin de determinar si existe un sistema integral de información, siste-
que se pla- mas aislados o simplemente programas, o si existe redundancia y ruido, así
como cuáles son los controles con que cuenta el sistema. Para evaluar todas las
entradas y salidas que tienen lugar en el sistema, esta parte de la auditoría de-
termina el flujo de operación y también todas las entradas y salidas que ocurren
internamente. La manera de desarrollar esta actividad es usar aquellos docu·
mentos de información que maneja el sistema, rastreando las fuentes y desti-
nos, elaborando o reservando la matriz de recepción 1distribución de los docu-
odcr: mentos, y la matriz de entradas/salidas.
Evalúe la segmentación dcl sistema. Este paso tiene por objeto subdividir los
módulos en funciones particulares, de tal manera que el conjunto de funciones
defina al módulo en cuestión. En esta parte deben evaluarse aquellas funcio-
nes que son realizadas para distintos módulos (interconexión modu lar); cada
función extraída del módulo debió ser consistente y validada con el usuario.
Evalúe el flujo de información del sistema funcional. Identi fique en cada do-
cumento su origen y su seguimiento a través de las diferentes entidades o de-
parlamentos por donde transita; a la vez vaya identificando sus adiciones y
supresiones de información. Por último, identifique cómo y dónde llega a su
destino. Se recomienda el uso de l d iagrama de flujo de información.
Una forma de analiza r los hechos es seguir la ruta de la información desde
su origen hasta su destino y disponer de este camino en una secuencia cronológica
con el fin de clarificar dó nde aparece, cómo avanza a lo largo del sistema y
cómo llega a su destino. Esta técnica ayuda a hacer un estudio objetivo de todos
los pasos por los cuales deberá pasar la información. Se considera necesario
agregar algw1as características que definan aún más este estudio, como frecuen-
cia, volumen, tiempo, costo y distancia física de cada paso, lo cual ayudará a un
mejor análisis y a una evaluación más objetiva del s is tema.
r
o
EvALUACióN DE Los SISTEMAS e
()
DE INFORMACIÓN
e
Esta función tiene una gran importancia en e l ciclo de evaluación de las aplica·
cioncs de sistemas de información por computadora. Ousca comprobar que la
aplicación cumpla la~ especificaciones requeridas por el usuario, que se haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla con líl>
objetivos y beneficios l'~perados.
Un camb1o a un sistema existente, como la cn:ación de uno nuevo, introdu·
ce necesariamente c.lmbios en la forma de obtener 1~ información r un ro-tu
adicional. Ambo>, deberán ser evaluados antes y despu.;, dt•l desarrollo.
Se debe evaluar el cambio (si Jo hay) de la forma en que las operaciones soo
ejecutadas, comprobar si mejora la exactitud de la información generada. <i la
obtención de lrn. reportes efectivamente reduce el tiempo dl' l'ntrega, SI es m.i>
completa, l'n qué tanto afecta las actividades del personal usuario, si aumenta~
dismmuye el personal de la organización. y los cambio~ de las interaccione;
entre los miembros de la organización. De ese modo .e !>Jbrá si auml'nta o d.,.
mmuye el esfuerzo por generar la información para la toma de decisiones, con
el objeto de estar en condiciones de determinar ¡,, productividad y calidad del
sistema.
El an.llis is deberá proporcionar: la descripción dd funcionamiento del sis-
tema desde e l punto de vista del usuario, mdicando todas las interacciones del
sistema, la dc;cripción lógica de cada dato, las estructuras que forman éstos yel
flujo de información que tiene lugar en el sistema; lo que el >istema tomari
como entradas, lo~ procesos que serán realizados, así como las salidas que de-
berá proporcion.u, los controles que se efectuarán para cada variable y los pro-
cedimient~.
De este modo se agruparán en cuatro grandes tem.ts:
• Evaluación en la ejecución.
• Evaluación l'n cl1mpacto.
• Evaluación económica. 277
• Evaluación subjetiva. EVALUACIÓN
DE LOS SISTEMAS
DE INFORMACIÓN
EvALUACióN EN LA EJECUCIÓN
EvALUACióN EN EL IMPACTO
Es la evaluación que se hace !K>bre la manera en que afecta a la gente que inter-
viene en la aplicación (usuarios) con el objeto de determinar cómo la impl anta-
ción y el uso del sistema de información afecta a la organización d istinguiendo
qué factores son directamen te atribu ibles al sistema. Las principa les áreas que
deben inten:sar son las que intervienen en la toma de dedsione& y en las activi-
dades de operación.
Esta evaluación se hace con el fin de detectar a la gente involucrada; las
actividades qu~ son ncccs.uias realizar, la calidad de la inform.tción, y el costo
de operación resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empe-
zar a diseñar el sistema ron el fin de que, cuando se instale, &e compruebe si Jos
resultados satisfacen plenamente lo planeado. Estos datos tamboén son ompor-
tantcs para guiar futuros proyectos.
Asimismo ;e debe evaluar el efecto que tiene sobre el ambiente del sistema
(personas, leyes, etc.). Para el lo contamos con varias técnicas que nos ayudan
en este propósito, las cuales son: bitácora de eventos, regi;tro de actitudes, con·
tribución, peso y análisis de sistemas.
Bitácora de eventos
Esta información se obtuvo en la sección de la opinión del usuario donde se
registraron losewnttlS relacionados ron la introducción de una aplicación. Cual·
quier evento que influya en el sistema y cualquier nuevo evento introducido
por él, es registrado en forma de notas, y al fmal se agrupan. Para un estudio
sistemático no ;e requiere equipo adicionaL y debe usarse cuando la medición
tiene lugar en periodos largos o cuando se desean medir varios tipos de impac·
280 económico del SIStema domtro de la organización en relación con lO> bcnefioa.
CAPITULO 7
obterudo.. por 6te sea
INTERPRETACION En el imp.lctO .,.. m1de cómo una aplicación de sistema> de mformaoón ha par.
DE LA INFORMAc10N contribuido o meJOrado 1.1 eficiencia en el área donde'><! usa. Asim1,mo la eva- ción
luación después di' su omplementación es crítica para conocer cómo el >istema y SÍI
opera y dónde pueden IWCesítarse cambios. del
La evaluación t•nmómica es importante puesto que el capita l de 1.1 organi-
zación no es gratuito, dt•biéndose cuantifica r los beneficios y los costos del sb- tierr
tema en términos monclanos para estar en condiciones de JUstificar o no su mi e
desarrollo e implantación. sus
Técnicas Cuando la aplicación ha sido realizada, se busca obtener o•! costo real contra la"
da la evaluación el beneficio real para comprobar o determinar el porqué de l.1 difel'\!naa con lo garí
presupuestado y 1o la calidad de la aplicación. ciór
Estas tecnícas nos ayudan a obtener los elemento.. necesarios par.1 evaluar
por medio de un an.ilisi• de costo/beneficio de la aplicación. !'>:os permite ade- val<
más evaluar sí fue dl'S.lrrollado en las condiciones económiC.ll> l"'peradas. por imr
lo que este análi~1s deber.i efectuarse antes y después del de...-.rrollo de la apli-
cación. La JUstificaci<Ín la omcontramos en el hecho de que cualquocr tipo de tro
organización busca ,,Jcan.tar sus objetivos con recursos económ1cos li m1tados. pro
El administrador de !>!!>lemas de información deberJ veroficM y cu1dar que de<
estas activ;dades se realicen en (orma sistemática y completa para evitar crear est~
sistemas que perjudiqu••n a la organización y minen su economía. Fstt· punto es can
de suma importancia dado ~1 momento actual en donde los recu rsos compu- vah
tacionales se ven afectados constantemente por las devaluaciones y l'l costo del
capital. Hay qu~ tratar do• obt~ner d mayor beneficio con el t>quipo d•sponíble e del•
invertir en equ•pos adicionales !O<IIo cuando esté plenament~ justificada la in· fícc
versión por los beneficio' que >.e obtendrán.
EvALUACióN suBJETIVA e
Partiendo de la premi'>il de que los usuario~ son lo.. principall., ak>ctados direc-
tamente por el sistema, sus puntos de vista y necesidades deberán ser conside-
rados para la eva 1uación.
Los que proccs.m los datos, el personal de sistemas y e l persona l de alta
dirección deberán t.lmbi~n participar en la determinación de los bt•neficios eco-
nómicos de la actividad particular a ser desarrollada. la
Un enfoque experimt.'ntal propone un mecanismo para obtener los factores, el u
además del ahorro de costos, que habrán de ser considerados t•n 1.1 o.>valuaci6n
del sistema de mformae~ón. •
Nect.'Sitamo.. mrorporar a nuestra contribución de beneficios los puntos de •
vista y opiniones de la g<"nlc que usará o será afectada por la aphc.leton del •
sistema de mformación . •
La justificación de evaluaaón subjetiva se centra en que la opm1<\n del gru- •
po usuario propomona un punto de vista más completo de la aphcaoón, ayu- •
dando a obtener aquellos factOrL'S que hubiéramos pasado por alto •
282 Los controles operativos comprenden cada uno de los s1stema~ en forma
CAPITULO 7
individual y constan de:
INTERPRETACIÓN
DE LA INFORMACIÓN
• Control de Aujo de la información. •
• Control de proyectos.
• Organización del proyecto.
• Reporte de avance.
• Revisiones del d iscilo del sistema.
• Técnicas:
o De usuario.
o De control.
o Requisición de cambio.
o Razón del cambio.
o Naturaleza del cambio.
o Persona que lo solicita.
o Persona que 1·evisa y autori za.
o Frecuencia de cambios.
o Persona asignada ul mantenimiento.
o Bitácora de cambios.
• Mantenimiento y documentación.
• Producción.
• Controles de documentación.
• Documentación:
o Del sistema.
o Del programa
o De entrada.
o Autorización de t.mtrada.
o Armado de lotes.
• Verificación de lotes.
• Control de programas.
• Reporte de control:
o Balanceo de lote;,.
o Reporte de errores.
o Reporte de excepción.
ten forma o Reporte de transacciones. 283
o Reporte de cambios en el arch1vo maestro. CONTROlES
• Validación d e entradas:
o Verificación d e secuencia.
o Campos omitidos.
o Totales de control.
o Transacciones válidas.
o Caracteres válidos.
o Campos válidos.
o Códigos válidos.
o Pruebas de razonabilidad .
• Dígito verificador.
o Etiquetado de archivos.
• Controles de entrada:
• Acceso a terminales.
o Acceso a programas, archivos, datos y a la computadora.
o Comunicaciones.
o Información confidencia l.
• Control de programa:
o Reportes de control.
o Validación de en trada.
• Corrección de errores.
• Puntos de verificación y reinicio.
• Controles de salida:
o Formatos de reporte.
• Formas de control de "<llida.
o Información confidencial.
284 Los controle, t~'nícos <IUC ~e deben evaluar son: R
C4PITULO 7
IN r ERPRETACIÓN • Controles de opcr,lCitSn y u>o de la computadora. • e
OE lA INFOAM4CIÓN • Supervisor.
• Cap tu ristas.
• E
• Bibliotecario. R
• Operadores.
• Controles de erurada y salida.
• Recepción de inform.lcrón.
• E
• L
• Detección y com>ccrón de errores. • \
• Distribución de la información .
• Calendarización.
• e
• Reporte de fallas ) mant.:nrmrento preventivo. (
• Controle, '-<>brt• archrv~.
• Recuper.lción de des,l\tres • S
• Controles de u ... u..ui<l.... • S
• De origen de dato,.
• S
• Origen de document.lCrón fuente. • S
• Autorización de documentación fuente. • S
• Recolección y prepnr.1ci.Sn d <• <•ntrada y d ocu mentación fuent<•.
• Manejo de e rror·es de docu mer1tació n fuente: e
o Tipos de errores que pueden aparecer. e
o Pasos a seguir pdra ~u corrección.
• F
Los métodos a utili>ar para r.'CUperar documento- fuente corregidos son: • 1
• ~
• Retención de documentos fuente
• Controles de entrada de dato-. (
• Conversión de datos\ c.1ptura .
• Validación de datos. 5
• Manejo de errort.., l'n d.ltos y captura. senta
• Controles de sa lrda de d.lto-. du~.;i¡
• Balanceo y conciliacitSn de s.11id.1;. cuan
• DistribucitSn de s.1lidas.
• Procedimientos documentados que describen los m<'todos de distribución. • ¡
• Calcndarización, rcvrsi<ln y d istribución de salida por part<• de los usua· • 1
rios.
• Bitácoras de rt'IX>rtl's.
•
•
Manejo y retención dt• rc•gistros de sa lida y documentos contabl<·s.
Formatos de salrda: p,
Frecuenc~a.
o \:úmero de copras
Lap
Controles técnico.: te fo
• Programática l.
• Aplicaciones.
• Sistemas.
RI'C'IUSOS de los programas por aplicación: 285
PRESENTACIÓN
• Calendario de programas.
• Errores y recuperación.
Registro contable:
• Equipo;.
• Unidad control de procesos.
• Memoria >CCUndaria.
• Dispositivos periféricos.
• Sistemas operativos.
• Sisto:>mas de ulilería.
• Sistemas de bibliott-cas.
• Sistemas de 'llantenim•ento de archivo.
• Sistemas de seguridad.
• Redundancia en la información.
• Inconsistencia de d atos.
• Seguridad
'
PRESENTACIÓN
L.1 presentación de las conclusiones de la auditoría podrá hacerse en la siguien-
te forma:
l. Una breve descripción de la situación actual c11la cual se reflejen los puntos
más importantes. (bta p resentacitín es para d nivel m.i~ alto de la organi-
zación.)
286 2. Una descripción detallada que comprende:
CAPITULO 7
INTERPRETACIÓN • Los problemas detectados.
OE LA INFORMACIÓN
• Posible> causas, problemas y fallas que originaron la situación presen-
tada.
• Repercusionc~ que pueden tener los problemas detectados.
• A lternativas de solución.
• Comentarios y observaciones de la dirección de informática y de los
usuario' sobre la'> wlucioncs propuestas.
ónpresen- ·-
1 ~n
-
ay de los
~!
~
~
Trusiones, ~
~ ~
jorará una
:¡
i!!!
11 ~
:l<lycuáles
·ª<VE ~g
utivos por
uá que se
)Visuales).
-..
~
o
.5
e:
~
• auditorfa
•!1!
~
o
~g~ ~
,
;'::!
~
•la audito-
..
:;J
,¡
,....
.!!!
..
e:
o
"'
o;
1
:;J
ü
e:
o
o
~
·-
..
,..;
~
:;J
tll
¡¡:
i
.
~
'
i
1
~!
~~ 2
f
Figura 7.2. Seguimiento de las recomendaciones de la auditorfa en Informática
......
ces OECOUEt<DACoOI<
fECHA
EST'MOA
OEIIUOL
FECHA
REAL DE
RESOL
MOTIVO POA: EL
CUAL NO HA SO:>
RfSUQ.To\
R(PI..AHT'EAM E~TO
OE LA SOL\JCIIOH
1
-.;RVAOC)H
-
FECHA
"""""
"ESPO"oi:S
-~
CELA
(")
Conclusiones
1
!orial Van
-A- Asegurado>. 241
icos. respon.abihdad de 106, 2-14
~.edito- Asignación de trabajo. control de. 171·172
Acceso Auditor(es). 16. 32, 239
Addison· dav.,. de, t 9S. t 99 independencia del. 37
control.,. de, 225 número de, 32
llaves de, 19s-199 particopación, 92
;Públicos. rutas de, 197·198 respon.o;abolidades de los, 29·30,
:harte red Actividadt...~ 187 188
calendario de, 121 Auditor interno, 8-9, 26, 34
control de, 122 conocimhmto y l'xpcriencia del, 27-29
:ional A u· hoja de plnn~nción de, 126 habilidades del, 16·17, 28
Adminü;trllción <.1~ la investigación objetividad de l, 27
1tice Ha ll, preliminar, 39 Audito ría
Agua, de;astn.'S por, 224 asistida por computfldora, 10
ntaciótJ en Aire conclusiones de la, 287
acondicionado. 221 dcfinidón, 2
duetos de, 228 de programas, 22·23
.S.
movimiento de (CFM), 227 personal de la, 43
984. Ala.rm.a contra .ncendio, 226 plancación de, 16, 30-31. 41-12
J. Alcance de la cobertura, 244 p.....mtación de la, 285-286
P.Gah'in. Al.mattnamiento procedimo<>ntO'ó de, 34
de documcnte>S de entrada, proceso y programa(s) d•. 11, 43-44
editorial .alida. 15 programa• de trabaJO de, 32
dispositivo. de. 173-177 report<>S e<p«ialcs, 215
'erence oC Alt.'l gerencia, 37 requerimil'fltos de una, 40-42:
Análisis seguimiento de la, 288
.arrombo, crítico de los hechos, 270·271 técnica't avnn7ndas de, 12-16
de informes, 107, 113 Auditoría adminislrativa, 9-10
de la situJción, 56 A udi toda con i nform:ític.1, 10
d e organizaciones, 75·76 Auditoría en inrormática, L7- l8
de sistemas, 279 campo de acción de la, 20
del impacto de la o rganización, 259 concepto, 17·18, 26
del sistema, 93 d irector de, 35
evaluación del, 95-97 elementos que debe evaluar la, 96-97
manuales de, 96 la, y los tipos de auditorio, 22
y d""'ño estructurado, 97 objetivos de la, 21-22
An.>liLldO""' de virus. 237 pasos de una. 37
Aplicaaón(es) planeaoón de la. 30-32
ciclo de evaluación de las, 276 Auditoría mtt."ma. 26
planeación de las, 95 norma~ de, 26
situación de una, 95-96 relipont>abtlidadcs del departamento
A5eguradon.-s, 244 de, 27
294 Autentificación de tra.nsacciones, 6
del usuario, 212 del riesgo, 254
INDICE AHALirtCO
en sentido digital, 216 Cobertura. alcance de la, 244
Au torización de accesos, bl'gurtdad de., 225 Componentes
de un sistema dC' comunlc,lció•'. 102
lógicos, 242
-B- Compu tadora
crímenes por, t93-191
Bases delitos por, 192, 193
de indemni,d<'ión, 246-247 vírus de, 193
jurídicas del depart.lm<'fllo de Comunicación, 102-103, 113
inform.itic~l. 64·67
sistema de, 102
Bases de datos, 99-100, 249 Condu.iones, 289
administrador de. 100-101 Confidencialidad, 197
componentes .1 eva1uu t."T\ una, 100 Configuración del <'qUipo, 265
modelos de, 101 Consideraciones al audator, 208-215
sistema de admini!:JtraC'ión de-, 99 autentificación dc-1 usuario, 212
software manl')oH.Ior de (DilMS), instalación y m,'lnten•micnto, 209-210
202-203 operación, 210
Batch, tJénsc Sistema¡; '-'" lote recursos para controlar el acre.o, 212
Bitáoora(s), 158 control dC' O<'C'~so, 196,
sofh•..rare c.le
de audilo d a, 200-201, 205, 206 199-205. 212-215
de eventos, 278-279 Consulta a los usuarios, 92
Boletí11 C. 2 Contingencia(s)
Bolefí11 E-{}2, 5 e tapas del proyt><to del plan de, 253
Bootstrap, 237 metodología del p lan de, 253
BTU. véast Dbipdción t~rmica plan de, 251, 252. 257, 263
Bugs. 236 Contratación de empl•ados, plan"' de, 32
Contribución y peso, 27'1
Control(es)
a auditar, 205-208
-C- de acceso, 225
de asignación de trabal''· 171-ln
CAD/CA.\i, '"""" Daser\o d~ m.mulactu- de avance, 129
ra por medio de J!!tÍ!-ttt.•ru'ia
. de avance de prosraml'ción, 128
computarizada de calidad, programa de, 35
Calendario de actividad<''· 121 de datos fuont~. t61-162
Calor, pérdidas por tr.ln>fcrcncia dr, 227 de diseño de sist<'mas, 119, 130·132
Cambios y mt>joras al siMl'ln.:l, 93 de mantenimiento, J77.. 179
CASE, véase Softwan• d<· ingcnlcdo de de medios de ,lhn~tecnnmiC'nto
asistencia computttrizoildil masivo, 173-177
Categoriz.1ción d<•l software, 90 de proyecto•. 117-119
Centralización, t88-189 de seguridad, 285
Centro de cómputo, 182-111-1 generales, 281
segundad de ac.:e.o. 22-'i mesa de, 16ol, 165
ubicación y construccitSn dl•l. 220, operativos, 282-283
228-230 salida, 170-171
CERT, <o6zs< Eqwpo de "''PU<.,.ta de técruoos, 28-1-2!15
emergencias de computc1dora Control interno, S
mi, tr6be Mo\'imirnto de aire objetivo(s)
Gclo de e-valuaciÓn d~ la ... aphc.1dOn("!,, 276 autoril.clción, 6
aa~ificadón básicos, 5
de desastres, 252 de salvaguardJ Hsic..·d, 7
de verificación y evaluacaón, 7 L>e...:ripción 295
generales, 5-6 de forrnas, 111
INDtCE ANAUnCO
procesamiento, 6 eJe formas de papelería, 112
utilidad de los objetivos clemcntal<':'t de informes, l 06
)n, 102 del, 29 Detección de humo y fuego, 226, 232-234
Cookie, 143 Diagrama(s)
Copias ''piratas", 193 de flujo, 97
Costo uso de, 272
de In operación, 164, 166 Oio;;cño
de un sistema. 94 de formas, 104- 113
del equipo de cómputo, xi, 240 de manufactura por medto de
Credl>nciales con banda magnética, 199 ~istencia computariz..1.da
Criptoanálisis, 217 (CAD/CAM). .ni
Criptografía, 217-218, 247 del 'btema. 93
Cul'>tionario(s). 134-138, 2.56 detallado, 93
15 de fundones críticas. 260 estructurado, análisis y, 97
12 de operación, 261-262 evaluación del, )3()..131
209-210 de seguridad física, 228-236 fonnas de, 104
para g uiar la entrevista, 259 general, 93
~so. 212 sobre el impacto de la orgamza.ciónl lógico del sistema, eva luación t.lel,
SO, 196, 259 98-103
y cmtrevistas.. 256 Di<ipación t~nn ica (BTU), 227
Cumplimiento de los documentos l) in..)('ción del autor en lntt>rnet. .tlt'
administrativos, 57 Dhponibilidad, 197
1e, 253 División de tareas entre los empleado~. 15
Dominio, nombres de, 149-154
-0- DSS, ll/ase Soporte en la toma de dec1~ionc-~
~de, 32
Datos, 156
DBMS, "~Si>tema de adnurustración de - E-
~ de datos
D-..>cisiones, soporte en la toma dt.~, 2n Jl)J, ·~· Intercambio electróruro de dato.
-172 0..-gradaaón del equipo, 182 Hiciencia de la operación. 164, 166
Delitos por computadora, 192 EFTS, rtia~ Sistema de transferencia
128 motivos, 192-193 electrónica de fondos
Departamento (o área) de in!ormJtico EIS, l'insf" Sistemas de infonnación p.uJ
ba<es jurídicas. 64-67 ejecutivos
('valuación administrativa del, 20 Elementos de las cnt~vistas, 257
funciones en el.. 67-72 EMS, t~nse Sislemas de rcunion<'S t"n
o obj~t i vos. 72-75 forma electrónica
~suridad del. 192-193 Encríptamie nto, 216-218
tipo> de dependencias del, 62-63 ~n t revista(s)
Derechos de autor, 138-142 a usuarios, 133-134
protección de los, 144-145 con el jefe de informática y con
Dcs..urollo especialistas, 258
del siStema, evaluación. 115 con el personal de inform.itica,
estrategia de, 91-92 82-83
tmplementación y, fisiro, 93 cuestionario para guiar la,. 2.59
programas de, 98-99 elementos de las, 257
))o.><;.1Stre(S) propósito de las, 257
clasificación de, 252-253 )'cuestionarios, 256, 259
plan en caso de, 264 Ent ropía, 115
por agua, 224 l•quipo(s)
296
configuradón del, 265
fNDICE AN ALITICO d e cómputo, scgu l'idad de, 241
-F-
de respuesta dt: ~mergcncicls de
comput.Jdora~ 238 Factibihdüd, estudio de, 92, 94
seguridad al n-;taurar el, 249 Firma d•gítal, 2lt>-217
Forma.c,
S<!guridad en l• uhli/adón del, 247
seguros de los, 240 de d•~ño, 104
Estrategia do;crlpción de, 111, 112
de desarrollo, 91-92 evaluación de, 108, 109, 110
de respaldo, 263 Forma' tradJC'ionaJes de evidenda
Estudio almacena miento de documC'ntos de
de factibilidad, 92, 94, 119 C'nlrndíl, proceso)' salidfl,. 15
de viabilidad, 58-59 división de tareas entre los
Etapas del proye<:to del p lan de cmpl(.\ados, 15
contingencias, 253-254 listado de los resultados del prO<\...,,
Evaluación 14 15
mantenimiento en manuales df?
adminístrativ• dt•l departamento de
información~ 14
informática, 21
manual~ de procedimjentos con
ciclo de, de las aplicaciones, 276
de formas, 103-110 lnfonnaCJón relativ~ 15
Pr'OCCS..lmiento manual, 14
de la configurac•ón del sistema de
cómputo, 183-189 prore.o de grandes cantidades de
dntos, 15-16
de la estn octura orgánica, 61-1\3 proc~tJO t;implificado, 14
de la gerencia de in(ormática, 58
rC'gislro manual de la información,
de la instalación en t~rminos de 13 t4
riesgo, 255-256
revisión de procesos, 15
de los recursos humanos, 76-82 revi.:.ión de transacciones por eJ
de los sistcm..,. d<' información, personal, 14
276-277
transacciones originadas por
de sistemas, 90-95, 272-276 per<on.><, 13
de acuerdo con l'l n~go, 38 transporte de documentos, 14
distribuidos, 116 uso de docum~ntos tmpresos, 15
y procedin\Jentos, 21 Fraude, 194, 195
de software, 99 Fuego y hwno, 226-227
de un sistema con datos d(l prueba. 12 deteccí<ln de, 226, 232-234
del desarrollo del sistc•m,,, 115 Funciones
del diseño, 130 críticas, cuestionarios de, 260
del diseño lógico del •btema, 98, 103 en informática_ 67-72
del mantenimiento, 179-182
del proceso de dato<., 21
detallada, 33 -G-
económica, 279-280
en el impacto, 278-279
en la ejecución, 277-278 Grado de madul'('z del $istema, 271
subjetiv'l, 280-281 Gráíica de Oujo de la infon nación, 104
Grupo de recuperación, 253
Exnrnen y evaluación de la in(omldción
pruebas de consentúJlÍ(.•nto, 35-36
pruebas de controles del usuario, 36 - H-
pn1ebas sustantivas, 36-37
E•tíntores (o extinguido..,.¡, 22t>-227,
232-234 Hockcrs, 239
Extranet*" :ri Hardware, 277
Hechos, anáJ,.,. crítico de los, 270
Humedad, temperatura y, 227·228 Mant~mie-nto 297
Humo, fuego y, 226·227 en manuales de información, 14
92,94 INDtCE ANALJnCO
detección de, 226, 232·234 evaluación deL 179-182
excesivo, 131-132
instalación y, 209-210
-1- tipos de contratos de, 177· '1 79
112 Mnnual(cs)
09,110 de análisis, 96
evidencia Implantación, 133
Implementación y desarrollo fbioo, 93 de o rganización, 26, 61
d<XUmentos de de procedimientos con información
lncendios, 224
y salida. 15 relativa., 15
Indemnización, bases de, 246
ll'l'los Memorias RAM y ROM. .t i
lnfonnación, 4
oonfiabilidad e integridad de la. 29 Meta>, 31-32
:los del proci.'SO, Metodología del plan de oontingencia-, 253
de niveles, 4
entrada de la, 162·164 Mo"imiento de aire (CFM). 227
lnuales de
~xamen y evaluación de la. 34·37
gráfica de flujo de la, 104
ruentos con -N-
jva, 15
manejo de la. 248
J, 14 pérdida de, 19·20
planeación y control de la, 4 Nombres de dominio, 149-154
.ntidades de
sistema de, 29
utilidad de la, 57·58
14
h>formática, 3, 8 -0-
irúonnnción~
departamento de, 20, 62·63
entrevistas oon el personal de, 82-83 Objctivo(s)
5
funciones en, 67· 72 de la auditoría en informátjcct,
""'por el gerencia de, 58 21-22
Informes, 103-113 de la ""guridad en el área de
tS por
análisis de, 107, 113 informática. 192
tos, 14 descripción de, 106 del departamento de mformátJca_
lntciahzación. 237 72·75
>resos, 15
Instalación eléctrica., 222-224 del libro, :riii
ln<tructivo(s) de operación. 132. 170 del plan de oontingencias, 253
Integridad, 197 Operación(es)
34
Intercambio electrónico de datos (EDI), xri consideraciones a auditar, 210
Internet, :r:i, 142-144. 238 de los sistemas en lote, 166-170
!, 260
dirección del au tor en, xiv en paralelo, 12
Investigación preliminar, 39-42 instructivos de, 132, 170
Organización(es)
análisis de, 75-76
-L- nnálisis del impacto de la_ 259
antecedentes de la, 258
~m manual de, 26
L<>nguajes de programación. 98
ción, 104 Lbtado de los resultados del pro«.'liO, plan de recuperación de la, 262
14-15 pr()('f)S()S críticos de una, 255-256
Llaves de acceso, 198-199
- P-
-M-
Pa>>11>ord, 198
Mninframe, xi, '227 Pérdida de la información, 19-20
170
Manojo de información, 248 Pérdidas por transferencia de calor, 227
298
Pt"rsonttl
11 ÍNDICE ANAlfncO de cargas de máquina, 171 Propósito d~ las cntrevi,ta ..., 257
de prucl~sos electrónicos, 56 Protección conlra VIrus, 237
part>opante, 42·->t Proyecto(S)
l'i'O elevado, 221 control de, 117·119, 120
!'Jan(~•)
del plan de contingellcia'. 252-25-1
de conhngencias, 251-263 Pruebas de COns('nlimiento. 35·36
de provectos, 60-61 Pruebas integrales, 12
de recu~racrón de la organización.
262. 264
de -eguridad, 61. 252 -R-
<'>lral~gico, 91-92
mdestro~ 60 RAM,xi
PJant"aoón Recuperación
de .lctividade,, hoja de, 126, 129 grupo de, 253
dt.• dUdrtoriit., 16 plan de, 265
dl' Cilmbros, 59 Recopilación de la inform,lción, 56-SH
d'-' J~1 .1uditori.o en informática, 30-32 Recursos financ1cros, 85-86
de programación. 125 Recursos h uma nos, 56-57
dl' srstem.ls, 92 RccunK>S materi:~les, 86-87
docunwnt~rdt\ 3 1 Red(es)
t.~str.t (Cgictt, 95
de computadoras, 249
pmce.,o de, J I puntos a revisar en lt~s, 103
Polltica(s) tipos)' topología, 102
de re>paldo•, 156-157 Redundancia, ll4-IJ5
de revisión Ue br t~cor.1, 158 Registro(s)
de :.eguridad fí•ka del si/e, 159-161 de actitudes, 279
y procedimjentos, 157 extendidos, 12
Póli,a de seguro, 241 Regu ladores, 222-223
Pre.&,upue.stos, 84~85 Relación precio/ memorin, XI
Pmbll'mas de Jos sistemas de Re nta, 187·188
admin.~tradón de bases Ue datos, 101 Repetición de procesos, 250
PrOt."edimient~ de rt>stduración., 250 Reportes, 212-213
PrCl<:'e~lll\if!nto manual, 14 especiales de audlloría, 215
Proa.">>(s) Respaldo(s)
críticos d..- una organizadón,. 255-256 de información, 156-157
de grand<'S canhdades de datos, 15-16 estrategia de, 263
<ef'<'hoón de, 250 Responsabilidad de los asegurados, 244
'Jmplificado, 14 Restauración.. Pro<'edirnientos d(>, 250
Productividad, 1~186 Resultados de cálculO> para
Programaoón comparaciones, 13
control de avance de, 128 Revisión(es)
facJ!idades de, 133 de acceso, 12
informe de avance de. 127 dep~,l5
plan,•ación de, 125 detaUada, 33
nesgo:. en la. 248 prelimin.lr, 32-33
Program,ldor(es) Ríesgo{s)
control d<•, 12~ cla.<ificación del, 2->t
control de actividades del, 122 en la programación, 2~8
Progrdm,u
evaJuactón de la instaritción l'n
copias de. 193, 194 térntinas de, 255-256
de des.1rrollo, 98-99 ROM, .ri
de trab,l¡o, 172 Ruido, 113
Rutas de acceso, 198
IÍSf,lS, 257
S, 237 -S- d isponibilidad de los, d~ i n (ormt~ción, 299
197
ÍNDICE ANAUTlCO
l, 120 Salida. control de, 170- L71 distribuidos, 116
Souetos mdl"lri"l''"'· 14S.149 en línea o en liempo r.,,,l, 249, 251
gmcia;, 252·2~
ento, 35-:16 Seguridad. 21 ·n lole (batch). 166-170
al n:-taurar el equopo, 249-250 ,.._tudio de los, 96
conlra dc-.."1""- por agua, 224, 231 evaluaaón de, 90-95, 2n-276
de autoraacaól'l de accesos, 225, \'Valuación del desarrollo dt•l, 115
231-232 evaluación del di~ño klgico dt•l, 98,
en contra dl\ vin1s, 236 103
en el l'''"onnl, 2 18-2 19 ¡;o-.>do de madu rez del, 27 1
en 1,> util ización del equipo, 247-249 inlc•grdl de segu ridl.ld, 196
ffsoc.t, 219, 228-236 integridad de los, d<.' i nformt~dón. 197
lógoca, 194·197 operJtivos, 201-202
obJetivn,o, de la, C'n el área de planeaaón de, 92
anformJtic.:d, 192 problema.~ más comu""' de la<, 9-1-95
plan d<•, 2.~2 procedimiento en el, 104
c;Jstcma mtt.-~ral de, 196 prucb.>s del, 93
Seguro(>) n.•porte semanal de lo~ n·.. rtms.abl~
condicione• 1\encralo.>s, 243-244 del, 123
49
de lO> e<]uipo<, 240, 241 Srlt•
las, 103
excl u s i om~s ('Speciales, 244-245 caractcrí~ticas del. 160
)2
exdu ... i on~.·~ gt•nerales, 242..243 ln<lalaciones del, 159-160
póli'a de, 24 1·242 5ihMci6n de los recursos humllnos, 56
Sclccdón Sultwdre
d(' dl'h!rminJdo tipo de transacciones, ,, Id medida de la oficín~1, 9l·9r;
13 categorización del, 90
de la l'Sir,ll<·gm, 262-267 comercial, 90
Somulación, 12 compartido o regalado, 90
Sislema(') rontrol de las licenc1as dt•l, 15S·159
cambl()~ y mrjora .. al. 93 de ingeniería de asic..h•ncJ.l
odo de vod.> de lo<, 92-93 rompularizada (CASE), .lli, 9!1
ia,215
componc 11h~.. ~nciilll'S, 258 de •eguridad, 200
confklt.•nd,\lidnd de los, de de seguridad gencr.l, 205
157
in formación, '1 97 t.'lnborado por el usuilrio, 90
crítin~~. 2fl0 t•"dilVO, 238
;egurado,, 244
de admmJ'itradán dii' bases de dJtll'o, '"'P''<Ífiro, 206
ntos de. 250 (OBMS). 99 e\·,1luadón de, 99. 209
u
pn>bl<·ma .. de lo:, 101 transportable, 90
deba"" d<• d.11"'. 100 un solo usuario o mulhu .. uano. 90
\it>nl,lJ.l"t de los, 101 Sollwarc de control de .u:ce<o, 196,
de cómputo, evaluación de la 199-205
conlogurnci<ln del, 183-189 consideraciones a audildr, 210-211
di_) COnlLJJliC\lciÓn, 102 rl'JlOrtes y vigilancia, 212-213
de cncr~r~, no i nterrumpido (UPS), s is tem as opera ti vos, 201·202, 206-207,
223 213
de información, 29 !'óOftware de collSolas o tl'nnil'l;li("C;
48
l'v,,luación de los, 276-277 maestras. 203, 207
]ación en
dt' informadun par,l ejecuti,-os (EIS). xu '><lflware de librerías. 203-204 207, 214
2ó6 de r..-umont.•(O en forma electrómc.J wftware de telecomun•c.lclont..~. 205,
(E\15)•.m 208,215
de lrani!-Íl't'•nna electrónica de fond\l.., roflw.>re de ulikri.-.>, 204-205, 20K,
(1 I·TS), .ni 214-215
300
software man~jador de bases de
fNDICE ANAL.Jnco datos, 202-203, 207, 213-214
-u-
Soporte
cotidiano, 93 IJPS, vi~ Sistema de energía no
<'n Ll toma de decisiones COSS1 2n interrumpido, 22.1
Subplan<>s del plan maestro, 60 Uso de documenlos imp,..,...,. para
construir el proceso, 15
Usuario(s)
-T- aceptación por p.1rte del, 93
aul(>ntificación de, 212
Témicas de auditoóa consulta a los. 92
ruesbonano para los, 211·212
an.ilisi> críbco de los hechos, 270-271
entrevistas a, 133-134
evaluación de un Sistema con datos de
prueba, 12 "'<fuelimientos del, 92. 135
tipos de, 196-197
grado de madurez, 271-272 Utilerías, 20-1
operaciones en paralelo, 12
prueba, integrales, 12 Utilización del <'quipo, seguridad en la, 247
reg•stros e>tendidos, 12
resultados de ciertos cálcu los para
comparaciones posteriores, 13
- V-
revisiones de acceso, l2
selección de detcrmjnado tipo de Vacunas contra virus, 237
lransaccioncs, 13 Va(idactón por características, 199
simulaci6n, 12 Virus
totales aleatorios de ciertos anaJi?'adores de, 237
programas, 12 daños por, 2.'!6
Tecnología de computadorn, 193, 236
de flujos (WORKFLOW), xii protección contra, 237-24()
neutral, 20 seguridad en contra de, 236-237
Tcleoomunkaciones, software, 205, 208 vacunas contra, 237
Temperatura y humedad_ 227
Tierra fl,ica, 222
Tipos y topología de n>des, 102 - W-
Tol~randa, 260
Tom.1 de decitJiont?s incorrectas, 18 WORl<Flow. re.._ T<'mología de flu¡o.
Totak'1, aleatorios de ciertos programas, 12
Tran_<acdón(<'S)
da~ificación de, 6 - Z-
oliginadas por personas, 13
regi$tro manual di?' la informadón
Zombies, 238-239
para oligmar Un.J. 13-14
revL•ión de, por el personal, 14
AUDITORÍA
EN INFORMÁTICA
La auditoría en informática es una práctica
administrativa por demás sana en empresas y
organizaciones, sobre todo en esta época donde
las características del software y del hardware
varían con el fin de satisfacer necesidades muy
diversas.