,

AUDITORIA
EN INFORMÁTICA
Segunda edición

JOSÉ ANTONIO ECHENIQUE GARCfA

Universidad Nacional Autónoma de México
Universidad Autónoma Metropolitana

McGrawoHill
MÉXICO o BUENOS AIRES o CARACAS • GUATEMALA • LISBOA • MADRID
NUEVA YORK· SAN JUAN· SANTAFÉ DE BOGOTA ·SANTIAGO • SAO PAULO
AUCKLAND ·LONDRES· MILÁN o MONTREAL o NUEVA DELHI ·SAN FRANCISCO
SINGAPUR • ST. LOUIS • SIDNEY • TORONTO
CoNTENIDO

AGRADECIMIENTOS ............................................................................................ ix
INTRODUCCIÓN .................................................................................................... xi

CAPÍTULO 1: Concepto d e aud itoría en informática

y dive rsos ti pos de auditorías .......................................................................... 1
Concepto de auditoríu y concepto de informática ................................................. 2
Diversos tipos de auditori,l y 'u n·lación con la auditoría en inform.itica ......... 5
Auditoría intemu/cxtem,, v .lUditoría contable/financiera ......................... 5
Auditoría adminbtrati,·a/ ÓJ'<'racional ............................................................. 9
Auditoría con informátoca ................................................................................ 1O
Defuúáón de auditoría l'n informáhca ................................................................. 17
Concep to de auditoría en informática ............................................................ 17
Campo de la auditoría en inform,ítica ............................................................ 20
Au ditoría de programas .......................................................................................... 22

CAPÍTULO 2: Planeación de la auditoría en informática ............................... 25

Fases de la a ud itorio ................................................................................................. 26
Planeación de la aud itoría en informática ..................................................... 30
Revisión prelintinar ........................................................................................... 32
Revisión det,lllada ............................................................................................. 33
Examen y evalu,lcíón de la mformadón ........................................................ .3-1
Pruebas de consentimiento ............................................................................. 35
Pruebas de controle!> del usuario .................................................................... 36
Pruebas sustantivas ........................................................................................... 36
Evaluación .de los sist<?ma> d<" acuerdo al riesgo .................................................. 38
lnvestigaoon prclimmar ......................................................................................... 39
Personal participante ................................................................................................ 42

CAPÍTULO 3: Auditoría de la función de informática .................................... 55

Recopilación de la información organ izaciona l ................................................... 56
Principales planes que se r"qu ieren dentro de la organiz• ción
de informá tica .................................... ......................................................... 58
Evaluación de la estructur,, <>rgánica ..................................................................... 61
Estructura o rgánica ........................................................................................... 63
Funciones ............................................................................................................ 67
Objetivos ............................................................................................................. 72
Análisis de organizaciones ...... ..................................................................... 75
Evaluación de los reclll'S&.> humanos ..................................................................... 76
Entrevistas con el personal de informática ........................................................... 82
Situación presupuesta) y financi<"ra ....................................................................... 84
vi Prc.' Supucstos ............................................ .. ........................................................ 84 Seguri,
CONTENIDO
Recursos financieros .......................................................................................... 85 Riesgo.
Recursos materiales ........................................................................................... 86 Encrip·
Seguridad
CAPÍTULO 4: Evaluación de los sistemas .......................................................... 89 Seguridad
Evaluación de sistemas ............................................................................................ 90 Ubicae
Piso eh
Evaluación del análisis ............................................................................................. 95
Aire ac
A11álisis y diseño estructurado ........................................................................ 97
Evaluación del diseño lógico del sistema .............................................................. 98 Instala•
Programas de desarrollo ................................................................................... 98 Seguric
Bases d e datos .................................................................................................... 99 Seguric
El adm inistrador de bases de datos .............................................................. 100 Octecci
Comunicación .................................................................................................. ·102 Tempe1
Informes ............................................................................................................ 103 Seguridad¡
Análisis de informes ........................................................................................ 113 Protecc
Ruido, redundancia, entropía ........................................................................ 113 Seguros .....
Evaluación del desarrollo del sistema ................................................................. 115 Con die
Sistemas distribuidos, Internet, comunicación entre oficinas ................... 116 Seguridad E
Control de proyectos .............................................................................................. 117 Seguridad<
Control de diseño de sistemas y programación ................................................. 119 Plan de con
lnstructivos de operación ...................................................................................... 132 de desa
Forma de implantación .......................................................................................... 133 Plan de
Equipo y facilidades de programación ................................................................ 133 &lecció
Entrevistas a usuarios ............................................................................................ 133
CAPITulO
Entrevistas ....................................................................................................... 134
Cuestionario ..................................................................................................... 134 Técnicas pru
Derechos de autor y secretos industnales ........................................................... 138 Análisis
Internet .............................................................................................................. 142 Me todo'
Protección de los derechos de autor ............................................................. 144 Evaluación •
Secretos industriales ........................................................................................ 145 Análisis
Evaluación'
CAPÍTULO 5: Evaluación del proceso de datos Evaluad
y de los equipos de cómputo ........................................................................ 155 Evaluad
Controles .................................................................................................................. 156 Evaluad
Control de datos fuente y manejo de cifras de control ............................... 161 E\·aluaci
Control de operación ....................................................................................... 164 Controles ....
Control de salida .............................................................................................. 170 Presentación
Control de asignación de trabajo ................................................................... 171
Control de medios de almacenamiento masivo .......................................... 173 Conclusione
Control de mantenimiento ............................................................................. 176
Orden en el centro de cómputo ............................................................................ 182 Bibliografía
Evaluación de la configuración del sistema de cómputo .................................. 183
Productividad .......................................................................................................... 185
Puntos a evaluar en los equipos .................................................................... 186 fndice analít

CAPÍTULO 6: Evaluación de la seguridad ....................................................... 191

Seguridad lógica y confidencialidad .................................................................... 194
84 Seguridad lógica ............................................................................................. 196 vii
85 Riesgos y controles a auditar ........................................................................ 205 CONTENIDO
86 Encrip tam iento ................................................................................................ 216
Seguridad en el personal ...................................................................................... 218
89 Seguridad física ....................................................................................................... 219
Ubicación y construcción del centro de cómputo ....................................... 220
90
Piso elevado o cámara plena ......................................................................... 221
95 Aire acondicionado ......................................................................................... 221
97
Instalación e léctrica y suministro de energfa .............................................. 222
98 Seguridad contra desastres provocados por agua ...................................... 224
98 Seguridad de autorización de accesos .......................................................... 225
, 99
Detección de humo y fuego, extintores ........................................................ 226
100 Temperatura y humedad ................................................................................ 227
102
Seguridad en contra de virus ................................................................................ 236
103
Protecciones contra virus y elementos a audita r ......................................... 237
113 Seguros ..................................................................................................................... 240
113
Condiciones generales del seguro de equipo electrónico .......................... 241
115
Seguridad en la utilización del equ ipo ................................................................ 247
116
Seguridad al restaurar el equipo ......................................................................... 249
117
Plan de contingencia y procedimientos de respaldo para casos
119
de desastre ........................................................................................................ 251
132
Plan de contingencias ...................................................................................... 252
133
Selección de la estrategia ................................................................................ 262
133
133 CAPÍTULO 7: Interpretación de la información ............................................. 269
134
134 Técnicas para la interpretación de la información ............................................. 270
138 Análisis crítico de los hechos ......................................................................... 270
142 Metodología para obtener e l grado de madurez del s istema .................... 271
144 Evaluación de los sistemas .................................................................................... 272
145 Análisis .............................................................................................................. 272
Evaluación de los sistemas de información ........................................................ 276
Evaluación en la ejecución ............................................................................. 277
155 Evaluación en el impacto ................................................................................ 278
Evaluación económica .................................................................................... 279
156
Evaluación subjetiva ................................................................................ ....... 280
161
Controles .................................................................................................................. 281
164
Presentación ............................................................................................................ 285
170
171
Conclusiones .......................................................................................................... 289
173
176
182 Bibliografía ............................................................................................................. 291
183
185 Índice analítico ....................................................................................................... 293
186
191
194
INTRODUCCIÓN

En la actualidad el costo de los equipos de cómputo ha disminuido considera-

blemente, mientras que sus capacidades y posibilidades de utilización han au-
mentado en forma inversa a la reducción de sus costos. Aunque los costos uni-
tarios han disminuido {el de una computadora personal, "microcomputadora"),
los costos totales de la computación (de equipos, sistemas, paquetes, recursos
humanos, consumibles, etc.) se han incrementado considerablemente. Ello se
debe a que, si bien la relación precio/ memoria es menor, el tamaño de la me-
moria de los equipos y sus capacidades son mucho mayores, con procesadores
y dispositivos que pemüten acceso de más datos en mucho menos tiempo y que
procesan la información en forma más rápida {memorias RAM y ROM, discos
fijos, cte.). Esto hace que, aunque se han reducido los costos, al aumentar sus
capacidades y facilidades se ha incrementado el costo total, lo que ha tenido
como consecuencia que los costos totales del uso no hayan disminuido en todos
los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comu-
•licación, bases de datos, multimedia, etc.) hacen que también se pueda tener
acceso a mayor información, aunque el costo total de los sistemas, así como la
confiabilidad y seguridad con que se debe trabajar, sean muy altos.
En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se
tiene poca productividad en relación con la información y uso que se da a éstas.
También se tiene poco control sobre la utilización de los equipos, existe un de-
ficiente sistema de seguridad tanto física como lógica y se presenta una falta de
confidencialidad de la información. Lo que se debe incrementar es la producti-
vidad, el control, la seguridad y la confidencialidad, para tener la información
necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores
decisiones.
Los siguientes puntos de la tecnología de información son particularmente
notables:

• Una gran disponibilidad de hardware de computadoras muy poderosos y

baratos, incluyendo la incorporación, a través de la miniaturización de po-
derosas capacidades, en diferentes dispositivos diseñados para usos perso-
nales y profesionales.
• Una gran disponibilidad de software poderoso, barato y relativamente ac-
cesible, con interfases de uso gráfico.
• A la medida del diente, cambio de sistemas a ;oftware preempacado.
• Cambio de computadoras principales (mnitiframe) a computadoras de uso
individual o aumentadas como parte de redes dedicadas a compartir infor-
mación, así como computadoras corporativas con los correspondientes cam-
xii bios en 1.1 Mtura leza, o rgani7ación y loc,1 1ización de actividades de los sis- n1a de organizar
INTRODUCCIÓN
temas de inftwmilción, como el cambio a computadoras de u:;uílrio fina l. control y adminis
• Incremento en 1,1 habilidad de las comput.1doras para acccsardatos en tiempo En muchos ce
real o d~morado, ambos en forma loc.>l o a través de acceso ,, facilidades pico de herramier
remot,ls, incluyendo vía Internet. puc•tu.•. finanzas
• Captura de nuevos datos y el lidcr.ugo en tecnología en almacenamiento rcpercutC.' en una i
máximo para incrementar la computari7<lCÍÓn, datos/ información en tex- nes ron la~ caract•
tO!>, gr.ificas )' ndeo, con énfasis en la administración, prcscntaaón y comu- hace que no se cu<
nicación de información, utilizando aproximaciones de multim<.>dia.
desví<•n de los obj
• La cobertura de información y las tcrnologíos de comunicación ~fectan la L,, proliferacío
forma en que se trabaja y se compra. mando de control
• Jncrctncnto del uso de Internet para un ir individuos, intraorgan izilcioncs, a
vacid,ld de la info1
través dl• sistemas tales como com~o e lectrónico (E.-mai l), Internet, inclu- Además, hay una 1
yendo world y widc web.
dad de la continuio
• El incrt'mcnto en el uso de Internet p.1ra conducir comunicación entre orga-
sistt!mc.lS ~caigan
IÚZ<Icioncs e individuos, a través de bi~temas de comercio el~róníco, tales
incompatibii'S v el
como mtcrc,lmbio electrónico de dato~ (E DI) y sistema de transferencia elec-
Los «oistcm~ ti•
trónica de fondos (EFI'S).
de 1.15 herramienl:.l
• Mercadeo mastvo y distribución de productos de t('rnología de informa-
Para pod<•r evaluar
ción y Sl.'rvicios, tales como computadoras, software precmpac.1do, servicio
larlo dcsd(' su inici
de recuperación de datos en linea, correo electrónico y servicios fin~ncicros.
el<·ctr<ln ico, o bim
• Reducción de barreras de uso di.' sistemas, estimulando una g¡·an penetra-
resp"lldos, ,l.l<'gurida
ción de bistcmas de información dentro de organizaciones de tod<>s los ta-
maiio:;, de lucro o no lucrativas, part~ contadores y consejos de ,ldministra- No bc.htJ, pues, con
ción, y p.~ra propósitos ('Stratégie<h e incremento de papele, del usuario po' de c<lmputo, qu
final de computadoras. ma tot.ll de infol'lllJ
L.l mform.ítica 1
• Una amplia penetr.1ción de tecnolog'a de información. tal como disci\o de
manufactura por medio de asistencia comput<lriZ<lda (CAD/ CAM), siste- mos añ~ . fn una g
ma de imágenes por computadora, sistema> de información para ejecuti\'OS pr<'ndt<l hace algun
(EIS) )' sistemas de reuniones en f~>rma electrónica (EMS). creación del horno ,
• 1\:uevas técnicas de desarrollo de sistemas, basados en tecnologíM de infor- década hemos visto
mación, ta iC.'s como softwdfe dt' ingeniería de asistencia computarizada era "ligo comtín lcl ta·
(CASE), programación orientada a objetos y tecnología de flujos (WOR K- rt•n1oto, y considerar
FLOW). r.,des. Esto ha provo•
• Desarrollo continuo de soporte de sistemas inteligentes, incorpor~ndo sis- mátic,l. Ya no pode1r
t('mas t>xpertos, redes neuronales, agentes inteligentes y otras ayudas de con microcomputadc
solución de problemas. conocJa en d('talle so
• Acu><;O a reingeniería de nuevos negocios, basado en la integración efectiva d<• tener t•speciahstM
de t('Cnología de información y pi'()C('SOS de n~ocios. inform,itíca, ven ella
rentt!s ft!ncionc~ que
Uno de lo<> problemas más frecuentes en los centros de inform,ítica es la de la mtormJtica v dt
falta de una adecuada organización, que permita avanzar al ritmo de las exi- f'l principa l objet
gencias de las organizaciones. A esto hoy que agregar la situación que p resen- los siguicntt.'S puntos
tan los nuevos equipos en cuanto "' l uso de bases d(' d atos, redes y sistemas de
información. Lo anterior, combinado con lt~ necesidad de Wla eliden te plc:mcación • l .1 p..ute ~u.iminist
estratégiCa y corporativa de las organi>Jcioncs, y con una descentralit.acíón de • Los r~cu r.:;os. mdte
equipos y centralización de la información, ha provocado que la complejidad • 1 os si'>tcmllS y pro
d(' las deci;ion('S, )' las dim('nSiones de los problemas en cuanto a la mejor for- nece<.id.ldt.., de la
ssis- ma de organizar el área de cómputo, requieran aplicar técnicas modernas de xiii
lal. control y adnúnistración. INTRODUCCIÓN
•mpo En muchos centros de informática también se desconoce el adecuado cm·
ades pleo de herramientas administrativas, contables/ financieras, tales como presu-
puestos, finanzas, costos, recursos humanos, organización, control, etc. Esto
iento repercute en una inadecuada área de informática que no permite tomar decisio-
1 tex- nes con las características que deben tener las organizaciones actuales, lo cual
>mu- hace que no se cuente con los controles para asegurar que esas decisiones no se
desvíen de los objetivos.
an la La proliferación de la tecnología de información ha incrementado la de-
manda de control de los sistemas de itúormación, como el control sobre la pri·
tes, a vacidad de la información y su integridad, y sobre los cambios de los sistemas.
ndu- Además, hay una preocupación sobre la caída de los sistemas y sobre la seguri-
dad de la continuidad del procesam iento de la información, en caso de que los
>rga- sistemas se caigan. Otra área de preocupación es la proliferación de subsistemas
tales incompatibles y el ineficiente uso de los recursos de sistemas.
clec- Los sistemas tienen difcren tes etapas, y una de ellas puede ser la utilización
de las herramientas que nos proporcionan los mismos sistemas electrónicos.
rma· Para poder evaluar un sistema de información es necesario conocerlo y contro-
vid o larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecánico,
eros. electrónico, o bien la combinación de éstos, hasta llegar a su almacenamiento,
etra- respaldos, seguridad y eficiencia en el uso de la información que proporcionan.
>S la-
No basta, pues, conocer una parte o fase del sistema, como pueden ser los equi-
stra-
pos de cómputo, que tan sólo vienen a ser una herramienta dentro de un siste-
Jario
ma total de información.
La informática ha sido un área que ha cambiado drásticamente en los tUti-
10de mos años. En tma generación, la tecnología ha cambiado tanto que lo que sor-
;iste·
prendió hace algtmos años, como la llegada del hombre a la Luna, o bien la
ti vos
creación del horno de microondas, hoy nos parece algo muy familiar. En una
década hemos visto el cambio en la organización de la informática: s i hace poco
-úor-
era algo común la tarjeta perforada, hoy la vemos como algo de un pasado muy
Uida
remoto, y consideramos como algo normal el uso de microcomputadoras y de
lRK·
redes. Esto ha provocado que se tengan especialistas dentro del área de la infor·
) sis· mática. Ya no podemos pensar en el personal de informática que podía trabajar
s de con microcomputadores y con grandes computadoras, o bien en la persona que
conocía en detalle sobre bases de datos y de comunicaciones. Ahora se deben
:tiva de tener especialistas en cada una de las áreas. Una de éstas es la auditoría en
informática, y en ella debemos de tener especialistas para cada una de las dife-
rentes funciones que se realizarán. Esto sin duda depende del tamaño del área
es la de la informática y de la organización.
exi· El principal objetivo del libro es evaluar la función de la informática desde
·sen- los sigtticntcs puntos de vista:
IS de
dón • La parte administrativa del departamento de informática.
n de • Los recursos materiales y técnicos del área de informática.
idad • Los sistemas y proccdimi<'ntos, y la eficiencia de su uso y su relación con las
for- necesidades de la organiLaci6n.
xlv Es conveniente precisar y aclarar que la función de la auditoría en informá·
INTRODUCCIÓN tica se ubica dentro del contexto de la organización, dependiendo de su tamai\o
y características. La profundidad con la que se realice, dependerá también de
las características y del número de equipos de cómputo con que se cuente. El
presente libro sena la un panorama general, pero habrá que adecuar éste y pro·
fundizar de acuerdo a la organi.tación de que se trate y de los equipos, software CAPÍTU
y comurúcación que se auditen.
Para cualquier comentario sobre esta obra, los lectores pueden dirigirse a la
dirección del autor en Internet: jaeg@correo.uam.mx

Al flnali~
ormá-
IIJiaño
ténde
Concepto de auditoría
lte. El
y pro-
tware CAPÍTULO
en informática
sea la y diversos tipos
de auditorías

OBJETIVOS
Al finalizar este capítulo, usted:

1. Analizará los conceptos de auditoría e informática.

2. Conocerá los diversos tipos de auditoría y su relación con la auditoría en
informática.
3. Expondrá cuáles son las técnicas avanzadas que se utilizan en ta auditoría
con ínfonnátíca.
4. Describirá las habilidades fundamentales que debe tener todo audttor de in-
fonnática.
5. Definirá cuál es el campo de la auditoría en tnfonnátJCa.
6. Explicará cuáles son los principales objetivos de ta audttoría en tnfonnátJCa.
2
CAPn'ULO 1
CONCfPTO DE CoNCEPTO DE AUDITORíA
AUOITORIA
EN INfOI>MATlCA
Y DIVERSOS TIPOS Y CONCEPTO DE INFORMÁTICA
DE AUOITOAIAS

Auditoria. Con frecuencia la palabra auditoria se ha empleado mcorrectamt.'n-

te ~ "'le ha conSJderado como una evalu.,aón cuyo único fin es dt•tectar ermrt·>
y s•..n.1lar fallas. Por eso St.' ha llegado a u'ar la fr.L'it' "tiene .1udlloria" como
sintln•mo de qu<', desde .mt~s de realil.lr'l', ya se l'ncontraron {,,nas y por lo
tanto"' está hacu:ndo la aud•toría. El concepto de auditoría es mJs amplit>; no
sólo dctt'Cta errort-,: «$un e\ amen critico que se realiza con ob¡do de evaluar la
eficiencia y efico~cia de una ~ción o de un orgaru,mo, y dl.'tcrminar cursos
altetn,ltiVOS de <KCIÓn para mi.'JOrar la or¡;,uúzación, }'lograr los objetivos pro-
put·.,tos.
Definiciones 1 a palabra .1uditoría \'ICnt.' del latín au,liforius, v de ésta pmvi<"ne "auditt>r",
el qu~ llene la \ 1rtud de oír: el diroonano lo dcfint• como "Tl'\'l<or de cuenta'
cole¡;o.1do" 1 El .1uditor tit•nt• 1.1 ,;rtud de oír y revis.~r cuentas, pero debe estar
encammado a un objetivo específico, que es el de evaluar la eficiencia y cficaci.l
con que se está opcrando pMa que, por me-dio del <t•l1alamiento de cursos altl'r·
nativo' de accitln. w tomt-n deci .. ione-- que permit,ln rorregh J~ erron~ en
ca <;o d~ que e\ist,m, o b1en mc¡orar la fom1a de actu,ldón.
S1 consultamos nuevamente el diccion,uioencontrJmos qU<.' t•hc:,lda es: "vir-
tud, ,octividad, fuerza, para poder obrar";' mientras t¡ue eficiencia es: "virtud y
facult.1d para lo¡:rar un efecto df.'terminado", es dec r. es el poder lograr lo pla-
neado con lo- mt•nores rl'<:UN" po-ibles. mientr,,, que eficac1a es lograr 1"'
ObJl'tlVl>S.
r:1 Bolelí11 C de normas dt> ,lllditoría' del Instituto Mexicano d<' Contadorc'
no... dic.::

Lo~ .Juditoria no es una ach\ adad meraml'nte mecjni('J que implique la aplic.1uun
L.11BI ta~
c.lt.• C:Í\.'ttos pmti.'dinliento-.. t.·uyt..., r~ulti'~do-t, una ve1: lh~vJdos a c.l\xl, son de car~k­
c. l «.Itu.•, .aunlJ~
h.'r indudabh.• 1~1 .1uditorí.1 rt't)uicrt' el t.·wrcicio dl' un 1uido pmÍ\.-sional, c;.ólido v
m4duro, par.J ru;~ar l()'o. prcx'-•c.hrmcntO!t "1ue d~n ".h• wgu1~ v t~hmar lo-. n?Sul~
t.1Joc obten dO&

A.,, como existen normas y procedimientos espt'l:íficos para la realización En

~ 1\!xican.l d
de audotorías contables, debe haber tambicn normas v procedimientos para la
reali?.lción de auditorías en inform.itica como part•• de una prok... •ón. t•tas
put~('n c... tar ba.,"ldtl~ en IJ' experiencia ... dt' otras proft~1ones~ pero con algun t'i
car.Ktcristicas propias y siempre guiJndtN! por el concepto de que la auditnr1a
debe ~r más amplia que la simple detección de errort''• y que además la audito·

r..
i\'utt"' Ou.tt¡IJMrt•' ,,,111ol !M•J'C'II•'
Mtm.
" rnus y t'rottd 11u~ntos tk •udtt<'tJJJ, lnst1tuto \1"-•).icano dt- Con!.ddort"5 1\ihlanK.
(
 nJ dl be evaluar para mejorar lo c'ic;ll'Otl', corrl'gir errores y proponer alterna· 3
11\ J de ,u)uci6n.
CONCEPTO DE
AUDITOAIAY
Informática. El concepto d~ mform.itll".l l'S m.is amplio que el simple uso d<• CONCEPTO DE
INFORMÁTICA
rqu1~'t>~ d~ cómputo o bit'n dl• pro<.-l''n"" t•ll•drünicn~. Veamos lo que se dijo l'lllll
onfncnoa presentada deiS ,\)9 de doc1cmbre de 1983 en el Centro de Jnform,i ·
11ca dt•la Facultad de Contaduría v Administr,•ción (CIFCA) de la Universidad
)I'J"CCtamcn- ?\aonnal Autónoma de México:•
'Ctar erro re-~
ría .. romo N existe u.n.a sola conc:epa6n acerca dt. qut.• es lnformabca: etimol~""lcam4..,-.h.•, la
las) por ll> palal>ra miormátJca dem a dd Irdn<"l'S rnfi,mn11411t Este """l~mo prov1me dt•
.amplio; no la con¡unctón de JnfornutlWII (mlorm.lCJÓn) y oulom:rtu¡UL (autom.ihca). Su crea.~6n
e e\·aluar la fU<' e-stimulada por la mtenLlÓn d,• dar un.t alh:m.lh\ a rtlf'ru.~ te(n()(r.lh<a) mí"OOS
mec-aruo~ta al concepto d~ •·pnX,"Sc.l dt- d.ltl)$'"'
tinar curs<-)">
ljeh\"OS pro-
En 1%6, la Academ1,1 Fr.mc•..,,, n·wn<x•o este nuevo concepto y lo ddm1o
dd modo 'l!(Ulcnte:
e "auditor",
·de cuenta> ( u:m.:1.1 dd tratamiento sistem.HH.:o y ~o'h<\lZ, rt>~thzado especialmente medJtH'ItC
~de~ est~r nhu¡tun;¡s automáticas, de lol u,(orm.lt'u)n (OntcmpJ;¡da como vehículo dd s.1bcr
:ia y ~ficaci a humano y de la comunic~1ci6n ('1'1 los ,\mbitos ttocnico, económico v ~ial.
::ursos .11tcr·
errore~, t•n t l.ll.ld principios de los setl•nt,, v ..t \'r,ul clar-.1' 1-.h limitacione~ de estLl dl'fini 4

sobre todo por el hmcapie en l'i u'o •k la< m.íquinas. El principalcslu<·oo

acia es: .. vir· por redefinir el concepto de informjtoca In realizó en esa época la Ot•cma
!S:"\'irtud ' 1 t rgul>ernamental de lnformáhca (1 Bl ), en aquel tiempo órgano asociado a la
marlopla· ll\ES< O. Este organismo, a Ira\,:, de los comité' expertos com·ocado' para
"'lograr los lo fonnuló en 1975 "''" dehnidón.
Contador."' A lCaClÓn raoonal. c.,i_~tem.ahca Jt• 1.-. m(unn.."'dón para el desarrollo l"(Onórruco.
soc 1 y político.

la llplicacu)n L,liBI tamb1én dio en esa ép<ll·' un,, dc,aipmín del concepto de inform.íti •
son de CMtli.'· Ci tJU~, aunque no constituye unJ dcfinic:idn form,1l, resulta muy dcscriptivil·
)naJ, sólido v
mar lo~ rcsul 4

(il·nt:Ja de la política de la inforn,;1lWn

fn 1977, con la intención de .\Ctu.lli-.u y ,,finar el concepto, la Acad<•mia

1 realización
~~.~"'"""de Informática propu'i<> la sigull'ntl' dt>finición:
ntos para la
~IÚO. É~tih
(Jenna de lo~ sistemas lnh:hgt.•nh."!<. dl• mh'~rm.1c16n.
con algunas
Lt auditon,, En algunas ocas1on~., >e han empludo como smónimos los conreptos de
.isla audito- proceso dtrtTónico, computadora ,. mform.itic.l. El concepto de inform.itu:a e'
mpho, va que con.<idera eltot,ll dl•l ,¡,tcm.l v el manejo de la informac1ón,
1• cual pul-de us.1r los equopo, <•lt'<:lfllllll"<" como una de sus herramil•nta'

1
Bclctrn Jd Ct'ntro d( lrrjímPfllllcfl dt la HA 1Ü l1• lJ,\A \1, num qq, vo1. 11. mayo dt> l~iH
 DIVE~
4 También es común confundir el concepto de dato con el de información. La
CAPiTULO 1
información es una serie de datos clasificados y ordenados con un objetivo co-
CONCEPTO DE mún. El dato se refiere únicamente a un símbolo, signo o a una serie de letras o
AUDITORiA
EN INFORMÁTICA
números, sin un objetivo que dé un significado a esa serie de símbolos, signos,
letras o números.
YSU R
Y DIVERSOS TIPOS
oe AUOITOAfAS -..!' La info1mació., está orientada a reducir la incertidumbre del receptor y tie- EN INFj
¡ ne la característic,, de poder duplicarse prácticamente sin costo, no se gasta.
, Además no exist~ por sí misma, sino que debe expresarse en algún objeto (pa-
i ; ¡.. pel, cinta, etc.); de otra manera puede desaparecer o deformarse, como sucede
, / • con la comunicacián oral, lo cual hace que la información deba ser controlada
( / '-.!.''-[// debida mente por medio de adecuados sistemas de seguridad, confidencialidad
Auon
Y
..... :1 r y respaldo.
Y AUDI
· La información puede comunicarse, y para ello hay que lograr que los me-
dios de seguridad sean llevados a cabo después de un adecuado examen de la
forma de transmisión, de la eficiencia de los canales de comunicación(;l trans- El Boletí11 E·
misor, el receptor, el contenid o de la comunicación, la redundancia y el ruid<iJ interno:
Niveles ( La uúormación ha sido dividida en V"!ios nJvel!S. ª-Primero es el nivcl
de información ~meo, que ron_s•d~a los aspectos de eficiencia y capacidad_sle los canales de El estud

l
J desde elpunto de vista de su significado; el tercero es el prapnático, ~ C':!_al
(::<? ._ =-e""'""',
1 "' '_._,...(\L
--\-" ,.,, ,.,.~-"'~ .Y
.....-( "-"' \ 1 , ~~,..,
- rr
~~ ·• ~
~ E!Ofesiona les t. :n i~O.? y eSE<!cialistas en informática, sino también a los usua-
la norm,
transmisión; el segundo es el nivel semántico, que se ocupa de la información
~studio ~
para det
considera al rt·ceptor en un contexto dado, y el cuarto mvel analiza_Et infor"!.a- permita1
ción de~de clj'unt<> dev is!-ª_normativo y d~ la parte ética, Q sejl considera cuán: procedi~
dO, dónde.x_a 'JUIPn se destina la informaciÓn 0 )~que se Jedé. Fl o
- La inform, tica debe abarcar los cuatro niveleSiJerñ¡¡)rmación~ En el cuarto proredir
nivel tenemos una serie de aspectos inlporta.nt.es, como la :;,arte legal del uso de guardar
la información, !os estud io1_g_ue se han hecho sg__bJ:e la §r_ jur¡;Q, <:l_e la infor- finandcr
rñáticuJa cre1ció11 de la ética _en üúo~ática, que no sólo debe incluir a los licas pr
rios tanto de gr Uldes c?mputadoras_como de computadoras personal~ Objetivos b
La informa< ión tradicional (oral y escrita) se ve afectada dentro de la infor- tro objetivo!
mática cuando ·.e introduce el manejo de medios electrónico¡;, lo cual la hace
fácilmente mod·ficable y adaptable a las características de cada receptor. La • La prole
üúormación ta.mbi~n tiene la capacidad de manejarse en forma rápida y engran- • La obter
des volúmenes, lo cual permite generar, localizar, duplicar y distribuir la infor- • La prorr
mación de modu sorprendente, a través de métodos, técnicas y herramientas • Lograre
como microcomputadoras, procesos distribuidos, redes de comunicación, ba- blecidas
ses de datos, etcJtera.
La nueva teo1ología permite que el usuario d isponga de la información Se ha es1
en cualquier momento, ya sea para su acceso, actualización, cambio o explo- troles intem•
tación o para que pueda distribuirse e intercambiarse entre tantos usuarios nistrativos.
como se desee. Aunque al mismo tiempo se plantea un gran problema en cuanto
al cuarto nivel de la información, que es su parte ética y el estud io de las Objetivos g1
posibilidades del buen o mal uso de la información por parte de personas no de el plan dE
autorizadas. protección d,
La pla.neación y control de la información nos ofrece nuevos aspectos im-
portantes a considerar, entre los que están la teoría de sistemas, las bases de
datos, los sistema, de comunicación y los sistemas de información, que van a 1
Boletín B
complementar el co11cepto de informática y su campo de acción. Público:..
Lla 5
,,·e
IC(}-
aSO
DIVERSOS TIPOS DE AUDITORÍA ?
"> .,t'
f DIVERSOS TIPOS DE
AUDITORÍA V SU
nos, Y SU RELACIÓN CON LA AUDITORÍA ' ;..¡ RELACIÓN CON
LA AUDITOAIA EN

tie- EN INFORMÁTICA ,....JJ INFORMA.TICA

\Sta. (..
/
(pa-
J
:ede
lada AuDITORíA INTERNA/EXTERNA
dad

me-
Y AUDITORÍA CONTABLE/FINANCIERA
le la
ans- El Boletín E-02 del Instituto Mexicano de Contadores' señala respecto al control
idi) interno:
ove.!
El estudio y e\·aluación del control int~rno se efectúa con el objeto de cumplir con
sde
la norma de ejecución del trabajo que requiere qu~: el auditor debe efectuar un
dón
estudio y evaluación adecuados del control interno t>xistente, que le sirvan de base
cual para determinar el grado de confianza que va a depositar en ~1. así mismo, que le
ma- permitan determinar la naturaleza, extensión y oportumdad que \'a a dar a los
tán.: procedimientos de auditoría.
El control intemo comprende el plan de organización y todos Jos métodos y J Definición y
arto procedjmientos que en forma coordinada ~e adoptan CJ"' un J"'cgocio para salva- 1 objetivos del
o de guardar sus activos, verificar la razonabilidad y confiabilidad de su información control Interno
¡f¡or- financiera~ promover la eficiencia operacional y provocar la adherencia a las polí-.J
, los ticas prescritas por la administración.
;.u a-
Objetivos básicos del control interno. De lo anterior se desprende que los cua-
Jor- tro objetivos básicos del control interno son:
lace
. La • La protección de los activos de la empresa. " \ (.
ran- • La obtención de información financiera veraz, co1úiable y oportuna. v .-
1or- • La promoción de la eficiencia en la operación del negocio. \ <.?. >.·'. / " '
ntas • Lograr que en la ejecución de las operacione~ se cumplan las políticas esta·
ba- blecidas por los administradores de la empresa.

:ión Se ha establecido que los dos primeros objetivos abarcan el aspecto de con-
plo- troles internos contables y los dos últimos se refieren a controles internos admi-
rios nistrativos.
mto
las Objetivos generales del control in terno- El control interno contable compren-
; no de el plan de organización y los procedimientos y registros que se refieren a la
protección de los activos y a la con1iabilidad de los registros financieros. Por lo

" Boletín E-02. Normas y proetdimit'ntos de JJuditorín, Instituto Mexicano de Contadores

Públicos.
6 tanto, está diseñado en función de los objetivos de la organización para ofrecer Objetivt
C APITULO 1
seguridad razonable de que las operaciones se realizan de acuerdo con las nor-
CONCEPTO DE mas y políticas señaladas po r la ad ministración.
AUOITORIA Cuando hablamos de los objetivos de los controles contables internos pode- El acceso
EN INFOA.t.tATICA
Y DIVERSOS TIPOS
mos identificar dos niveles: adminish
0€ AUOITOAiAS
A) Objetivos generales de control interno aplicables a todos los sistemas
B) Objetivos de control in terno aplicables a ciclos de transacciones
Objetive
(i\Los objetivos generales de control aplicables a todos los sistemas se desa-
rrOllan a partir de Jos objetivos básicos enumerados anteriormente, y son más Los datos
específicos, para faci li tar su aplicación. Los objetivos de control de ciclos se de- se con los
sarroUa.n a partir de los objetivos generales de control de sistemas, para que se das aprop
apliquen a las diferentes clases de transacciones agrupadas en Wl ciclo. Asimi
G)Los objetivos generales de control interno de sistemas pueden resum irse a per iódica
continuación.
objetivo ce
Estos
todos lose
Objetivos de autorización cas de cor
d esarrolla¡
q ue sean a
Todas las operaciones deben rcaliz.arsc de acuerdo con autorizaciones genera- El área
les o especificaciones de la ad mirustración. no. La prin
Las autori/.aciones deben estar de acuerdo con criterios establecidos por el interno, r 1
nivel apropiado de la administración. informátic(
Las transacciones deben ser válidas para conocerse y ser sometidas oportu- En el p
namente a su aceptación. Todas aquellas que reúnan los requ isitos establecidos una organi
por la admirustración deben reconocerse como tales y procesarse a tiempo. en el log ro
Los resu ltados del procesamiento de transacciones deben comunicarse auditoría. l
oportunamente y estar respaldados por archivos adecuado>. mática. En
d ecir, come
adecuadam
se o btenga
Objetivos del procesamiento mejore laef
y clasificación de transacciones y para que
políticas est,
control intet
Todas las operaciones deben registrarse para permitir la preparación de esta- Al estue
dos financieros en conformidad con los principios de con tabilidad general- que, aunqUl
mente aceptados, o con cualquier otro criterio aplicable a los estados y para tener en cue
mantener en archivos apropiados los da tos relati vos a los activos sujetos a clo de trans¡
custodia. La audit
Las transacciones deben cla~i ficar>e en forma tal que permitan la prepara- ción, proccst
ción de estad os financieros en conformidad con los principios de contabilidad da física, ver
generalmente aceptados según el cri terio de la administración. rcnch1 entre
Las transacciones deben q uedar registradas en el mismo periodo con table, financie ro es
cuidando de manera especifica que se registren aquellas que afectan más de un zación medié
ciclo. ti vos del com
 irecer Objetivo de salvaguarda física 7
s nor-
OIVI:RSOS TIPOS DE
AUOITORtA V SU
EI.Kce-.> ,, los actí,·os sólo debe ¡x'mlltlr><' d~ acu~rdo con autorizacione' de la RE!.ACI()N CON
adm1n1~truuun. LA AUMORIA EN
INFORMATICA

Objetivo de verificación y evaluación

dt>sa•
nma~
los d.uus n~g¡ ...trados relath os .1Ju~ actl\ os SUJctns c1 custodia deben comparar-
'<'de-
se ron los activos e"\btentes a mlt'r\ alos raznnabil'S,) se deben tomar la, nwd1 ·
¡ue-.c das aprnp>adas ""J'l'CtO a las dilcrt'flcms <JU<' ''"st.m.
A'•m• .. mo, deben existir cuntrolt.."S rd.Jh\ c.,... a la 'crificación y evaluación
ursea
penódic,, de los saldos que se incluyen l'n los ,.,t,ldos financieros, ya que e-.t<'
objdi\l> complementa en forma impt>rtant<' los m<•ncionados anteriormente.
Estos objetivO'> general"' dd control mtcrno dl' Sistemas son aphcabl ..., a
todos 10" Cldos :\o se trat.l dl' que se US<'ll dm·d.>mentc para evaluar la' t<'CO> •
c:ts dt.• t.ontrol interno de un4J organi7lll"1c.m. pt•ro rt•pre-,ent.ln una b.,,c p ..tr.l
d••s.1rrullar objetivos específicos de control inkrnn pt>r ciclos de transaccionc>
que'~·"' olplicables a una empresa individt>.ll.
El .ír~.l de informática puede intcr.><tu.>r d•• do> m~neras en e l control in ter·}
no. L.l primera cs servir de herramicnttl p._u'-lllt•v._u a cabo un adecuado control
por el inl<'rno, y],, segunda es tener un control int,•rnn dl'i <ir<.'•' y del dcpartamt•nto dt•
mfnrm.ít1Ca.
portu· r., el primer caso se lle\a el control interno 1"" m<.sdio de la evaluación d••
eado. una or¡;amución, utilizando la computadora como ht•rramienta que auxiliar,\
po. ,..., el lo~ro de l<h objetivo, lo rual s.: put'<ll' h.1cer pllr medio de paqud<."> de
ucar">C aud1toria. Esto debe ser con,id..,rado mmo partc• <ll'l control interno con infor·
m.iti<.l. fn d wgundo caso"' lleva a mbt> l'l wntwl mt..,mo de inform.ítica. E'
J,,,r, n)mo ,.. señala en lo, objt'ti\l>S dd control interno, ..e deben proteger
adc'CUadolm..,nte los actÍ\'<h d<' la organ>/.4C1on por m<.sdio del control. para qu••
se obt,•n)la la m formación en forma 'l'raz. oportuna y confiable, para que "'
me¡ort! lo1 dit:iencia de la oper.1ción de l.t urganll.l<i<ln mediante la informJtic.l,
v par,, t.lU~ ~n 141 ejecución de las opt·r,lciont.•., d1.• mformátka se cumpi~Jn la~
ruJitir.IS estabk•cidas por la ad ministr,ICitin· t<lllu l'lio dt•be ser COnSiderado como
~:onlrol 1nterno de informática.
le esta· Al estudiar los objetivos del control intcrno podemos ver en primer lugar
rnrral· qul', Junyu~ en <1uditor-ía en inform,ltk4l t.•l c.)b)l'tivn t!'!-t más amplio, ~e deben
~ para tener en cuenta los objetivo; generaJc., tld wntrol mterno aplicables,, todo ci·
to~ a do de tr,ln"-c.1Cdones.
1 a aud1toria en informática debe t<'ll<'r prl'S<'llks k" ob¡etivos de autorua-
repara· uón, prlw:t"~mit:'nto y dasificactlln de tran.....l,aon("-. a!o.Í como los de sah aguar-
bil>dad da tf,k,l 'cnficaáón y evaluaaón dt•los <'<JU>pos' de la información La di te~
rtn<>a <'lllr<> 10'> t>bjetivo> de control mt.-mn d•'Sd•• un punto de ,·ista contable
mtable hnancil'ro es que, mientras éstos l.,tan •·nfo.:ado' a lo1 C\'aluación de una organ•
sdeun zac1on ml'<hantc la rc,isión contable fino1not'r.1' de otras operaciones, los obJe-
h\OS del Ct.lntrol intemo t!n inform.ítit..:a t."St.ln or1t.!'nlJdu~ a todo~ los ~~~•~mas en
8 general, al equipo de cómputo y al departamento de informática, para lo cual El auditor
CAPITULO 1 se requ ieren conocimientos de contabilidad, finanzas, recursos humanos, ad· p lanes a la rgo 1
CONCEPTO DE mWstración, etc., así como de experiencia y un saber profundo en informá- d e ta 1 manera <
AUOITORIA tica. dad sean incor
EN INFORMÁTICA
Y DIVERSOS TIPOS La a uditoría interna debe estar presente en todas y cad a una de las pa1·tcs
DE AUOITORIAS de la organización. Ahora bien, 1,, pregunta que normalmente se p lantea es:
¿cuál debe ser su participación dentro del área de informática?
La informática es en prime¡- lugar una herramjcnta muy valiosa que debe
tener un adecuado control y <'S un auxiliar de la auditoría interna. !'ero, ~egún
~te concepto, la auditoría interna puede considerarse como un usuario dc:'l .in.'J
Auo1ro
de informática.
Se ha estudiado que los objehvo~ generales del control interno son. La tecnología e
e stán estructur
• Autorización. son dramátiCO!
• Procesamiento y cla~ificación de las transacciones. administrativo
• Salvaguarda física. p lan eación adr
• Verificación y evaluación. troJ interno del
de la tecnologí.
Con base en los objetivos y rc!oponsabilidades del control interno p<>demo> está soportado
hacer o tras dos pregunta~: ¿De• qud mJnera puede participar el personal de con- nología.
trol interno en e l d iseño de los sistemas? ¿Qué conocimientos debe t<'nN el per· William !'.
sonaJ de control interno para poder c-umplir adecuadamente sus funciones den·
tro del área de informática? El examen 1
Las respuestas a estas preguntas dependerán del nivel que tenga el control ción, una 4oC
interno dentro de la organiución. Sin embargo, en el diseño general y detalla· planes y ob
d~ humdn,
do de los sistemas se detx- mcluir a personal de la contraloría interna, que habr~
de tener conocimientos de informJtica, aunque no se requerirá que sean l"-J'l"
cialistas, ya que sólo intervendr,in en el diseño general del sistema, en <'1 di"""' Se lleva a e
de controles, en los sistemas de "l'guridad, en el respaldo y confidencialidad del presa con el fir
sistema y en los sistemas de verificación. Se habrán de comprobar las fónnulas
de obtención del impuesto sobre el producto del trabajo, el cálculo del pago del • Pérd idas y
seguro social, etc., pero no dctx-r,in intervenir en la elaboración de los sistema,, • Mejores m·
bases de datos o programación. Tendrán que comprobar que lo señ,1lar.lo en el • Mejores fo
d iseño general sea igua l a lo obtenido en el momento de implantación, para que • Operacion•
puedan dar su autorización a la corrida en paralelo. • Mejor uso
El aud itor interno, en d monwnto en que se están elaborando los sistemas,
debe participar en estas etapas: La a uditor
del á rea de inf<
• Asegurarse de verificar que los requerimientos de seguridad y de auuitoría auditoría en inJ
sean incorporado~. y participar en la revisión de puntos de verificación. aplicarlos al ár
• Revisar la aplicación de los sistemas)' de control tanto con el usuario como El departa'
en el centro de informática.
• Verificar que las políticas de seguridad y los procedimientos ~t~n incorpo- • Objetiv.,.,
rados al plan en caso de desa~tre. • Organizad
• Incorporar técnicas avannda!o de auditoría en los sistemas de cómputo. • Estructura
• Fundon~
Los sistemas de segt1ridad no pueden llevarse a cabo a menos que existan
procedimientos de control y un adecuado plan en caso de desastre, dab<>rados
{ desde el momento en el que se diseño l'i sistema. 6
\'\'iJljam r. 1
 El auditor interno desempeña una importante función al participar en los 9
planes a largo plazo y en el diseño det,lllado de los sistemas} su implantación, DIVERSOS TIPOS DE
de tal manera que se asegure que los procedimientos de aud•toría y de seguri- AUDITOR lA Y SU
dad sean incorporados a todas y cada una de las fases del sistema. RELACIÓN CON
LA AUOITORIA EN
INFOAMATICA

AuDITORíA ADMINISTRATIVA/OPERACIONAL
la tecnología en información está afectando la forma en que lds 0rp,.mizacíones
están estructuradas, administradas y operadas. En alg<mos caso;, los cambios
son dramáticos. Cuando existe la necesidad de un nuevo diseiio de sistemas
administrativos para lograr una efectiva administración y contrd financiero, la
planeación administrativa y el proceso de diseño y los requt'rimientos de con-
trol interno deberán cambiar o necesariamente se modificarán con los cambios
de la tecnología de información. El incremento de la tecnología de in formación
está soportado por una reestructuración organizacional alredt!d<>r de esta tec-
nología.
William P. Leonard' define la auditoría administrativa com<•:

El examen global y constructivo de la t>Structura de una empn sa de una institu·

ción,. una sección del gobierno o cualquier parte de un organh mo, t'n cuanto a sus
planes y objetivos, sus métodos y controles, su forma de ope1adón y sus facilida-
des humanas y fislca.

Se lleva a cabo una revisión y consideración de la organ >aLÍlín de una cm-

presa con el fin de precisar:

Pérdidas y deficiencias.
• Mejores métodos.
• Mejores formas de control.
• Operaciones m.ás eficientes.
• Mejor uso de los recursos físicos y' humanos.

La auditoría administrativa debe llevarse a cabo como pa• te de la auditoría

del área de informática; se ha de considerar dentro del pwgr.. ma de trabajo de
auditoría en informá tica, tomando principios de la auditorí.1 administrativa para
aplicarlos al área de informática.
El departamento de informática se deberá evaluar de acuerdo con:

• Objetivos, metas, planes, políticas y procedimientos.

• Organi7aci6n.
• Estructura orgánica.
• Funciones y niveles de autoridad y responsabil idad.

• Willi.1m P. LE.'()nard, AuditQría admmistratwa, editoriill Diana

10
~dcm.is, "' •m¡x>rt,tnte tener en CUI!nta los '•gtuentt'S lacto...,.
CAPm.ILO 1 •
CONcEPTO DE • Elcm<'nlo humano.
AU'OrTOArA
EN INF<lfltAATICA
• Orgam?.ación (mJnl~otl dt· organ l-<aetón). intorm.1~
Y DIVERSOS TIPOS • lntt-gr.lcion . macen ~
DE AUOITORIAS • Di rccción . • Pru ba 1
• Su pervisidn. la validJ(
• Comunicación } coordinadon . ClOnt.~ .
• Oeit>gación . • C1a •ficd(
• Recursos JnateriaiC's. • Selección
• tt'CJ1I(OS.
R!X"lll>OS cioncs .
• Recurso~ finan<ieros. • Llevar o
• Control !;.lO IOIICS

para
AuDITORíA coN INFORMÁTICA • Utll .lCI~
~.' del f.tl:
d., snftw4
Concepto de auditoría con informática • ,c. Sup\ r\'
• udltona ·
• "'Utih aoói
Lo, prowdimientos de .tuditon.t con informállra ,,uian dt• at·uerdo con l<1 filo- l'c.jUipO, t]CI
sofía y técnic.t d.- cdda organuadón v dep.trtamento de auditoría en particul.tr. t. doro m•
Sin embMgo, existen cierta' ténucas y 1o proc.•dimicntos que son comp.ttibh·s
en la mavori,l de ros ,lmbientes de lnform,Hiccl. EstllS tccn•cas (aen en do~ catl'- l'n.du-.ln
gori,h m~todos manualt'S y metod05 dMstido, por romputadora. tll c.:r blll,, t!Stn
cumentaootL r
adentás dt.•los
En J<)Uell.u
Utilización de las técnicas de auditorías gados, los p~
asistidas por computadora ñ ' d • p roti'\""CJ
Ja..o.; ín..,truccionf
d,·,dt• la l:>1bh •
En gent•ral. d .tuditor dcbe u tilizar la com put.tdor.t en la <'j<'Cución d<' la a u di torí.t. obJCto de ha
ya que e:.t.t herram1enta f"'rmitir,i amplia r la cot>..•rtura dt•l l!xamen, reduci..,ndu fin1r sus propói
el tiempo 'costo dt• Lb prud><h v proct>din\ientos de muestnx>. que d., otra mant>- Cuando los
ra tt>ndrfan qu¡• d<'ctuarsc manualmente. Fxi,tcn paquct<"> d¡• computadora (soft- m ternos d «"be"l
warl') que per miten el,tborM aud 1tori,1s a SIStemas fin.mcierO> y contabi<'S que se troles adt'CUa.Jo
l'11CUcntran en med1os informático-. Adem.is, d cmplt'Odc la computadora port•l
auditor le permite f~miliari;o.l,..,.. con la <>peraci6n del equipo en l'l et·ntn> de cómpu-
to d••la Institución. Un.t computador.t p uede ser ~mpleada por 1'1auditor en:
• Mantl·ner
gad os en el
• Ob<cnar dt
• Ot•sa rroll.tr
• ·¡ ransm isión dt• informac-ión de la contabilidad dl' la organi7aci6n a la
s..HtUt•nto d~
comput,tdora del aud 1tor, par.1 ser tr.lbaj.lda por <'>te, o b1en acceso,,¡ shte-
ma '" n.'d para que el.tud•tor clabon- Ja, prul't>as.
• Ma ntener el
ta~.. Ión \ corr
 Verificación de cifras totales y cálcu los para comprobar la exactitud de los 11
reportes de salida producidos por el departamento de informática, de la DIVERSOS TIPOS OE
información enviada por medios de comunicación y de la infom1ación al· AUOfTORIA Y SU
macenada. RELACION CON
LA AUOITORiA EN
• Pruebas de Jos registros de los archivos para ve•ificar la consistencia lógica, INFORMATICA
la validación de condiciones y la razonabilidad de los montos de las opera-
ciones.
Clasificación de datos y análisis de la ejecución de procedi mientos.
• Selección e impresión de datos mediante téaúcas de muestreo y confirma-
ciones.
• Llevar a cabo en forma independiente una simu lación del proceso de tran-
sacciones para verificar la conexión y consistencia de los programas de
computadora.

Con fines de auditoría, el auditor intemo puede emplear la computadora

para:

• '!l.Utilización
de paquetes para auditoría; por ejemplo, p,1quetes provenien-
1es del fabricante de equipos, firmas de contadores púbücos o compal''iías
de software.
• ltSupervisar la elaboración de programas que permitan el desarrollo de la
auditoría interna. '
J,._ .... -Ir., .......... \. .......... ,. ..

...u ~J
J.+,., oP'

• -;.Utilización de programas de auditoría desarrollados por proveedores de

equipo, que básicamente verifican la eficiencia en el empleo del compu·
la filo· tador o miden la eficiencia de los programas, su operación o ambas cosas.
icular.
¡tibies Todos los programas o paquetes empleados en la auditoría deben perma-
s cate- necer bajo estricto control del departamento de auditoría. Por esto, toda la do-
cumentación, materia l de pruebas, listados fuente, programas fuente y objeto,
además de los cambios que se les hagan. serán responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibüotecas de programas catalo·
gados, los programas de a ud itoría pueden ser guardados utiliLando contrase-
ñas de protección, situación que sería aceptable en t.u1to se tenga el control de
las instrucciones necesarias para la recuperación y ejecución de los programas
desde la biblioteca donde están almacenados. Los programas desarrollados con
objeto de hacer auditoría deben estar cuidadosamente documentados para de-
itoría,
finir sus propósitos y objetivos y asegurar una ejecución continua.
iendo Cuando los programas de auditoría estén siendo procesados, los auditores
nane-
internos deberán asegurarse de la integridad del procesamien to mediante con-
(soft- troles adecuados como:
¡ue se
por el
mpu- • Mantener el control básico sobre los programas que se encuentren catalo-
n: gados en el sistema y lleva r a cabo protecciones apropiadas.
• Observar directamente el procesamiento de la aplicación de auditoría .
• Desarrollar progra mas independientes de control que rnonitor~>en el proce-
a la samiento del programa de auditoría.
;iste- • Mantener el control sobre las especificaciones de los programas, documen-
tación y comandos de control.
12 • Controlar la integridad de los archivos que se están procesando y las sali- Selección de d
CAPITuLO 1
das generadas. de un archivo 1
CONCEPTO DE parcial el arcni
AUDITORIA
car en forma te
EN INFOAMÁTICA
Y DIVERSOS TIPOS Técnicas avanzadas
DE AUDITOAIAS Resultados de
de auditoría con informática demos compar.

Cuando en una instalación se encuentren operando sistemas avanzados de Las técnica

computación, como procesamiento en línea, bases de datos y procesamiento una mctodolog
distribuido, se podría evaluar el sistema empleando técnicas avanzadas de ción, empleand
auditoría. Estos métodos requieren un experto y, por Jo tanto, pueden no ser actualmente se
apropiados si el departamento de auditoría no cuenta con el entrenamiento ade- nan los probler
cuado. Otra limitan te, incluyendo el costo, puede ser la sobrecarga del sistema venir en las act
y la degradación en el tiempo de respuesta. Sin embargo, cuando se usan apro- al departament
piadamente, estos métodos superan la utilización en una auditoría tradi- dencia al audit·
cional. auditor puede t
redes de comw
Pruebas integrales. Consisten en el procesamiento de datos de un departamen- El empleo'
to [icticio, comparando estos resultados con resultados predeterminados. En mienta que faci
otras palabras, las transacciones iniciadas por el auditor son independientes de
la aplicación normal, pero son procesadas al mismo tiempo. Se debe tener espe- • Trasladar le
cial cuidado con las particiones que se están utilizando en el sistema para prue- • Llevar a cal
ba de la contabilidad o balances, a fin de evitar situaciones anormales. • Verificar la
• Visualizacit
Simulación. Consiste en desarrollar programas de aplicación para determina- • Ordenamie
da prueba y comparar los resultados de la simulación con la aplicación real.
El auditor i
Revisiones de acceso. Se conserva un registro computa rizado de todos los ac- sistemas, con e
cesos a determinados archivos; por ejemplo, información de la identificación con las política!
tanto de la terminal como del usuario. A continua
dencia que exis
Operaciones en paralelo. Consiste en verificar la exactitud de la información puede cambiar.
sobre los resultados que produce un sistema nuevo que sustituye a uno ya
auditado. Transacciones
ceso. En las apl
Evaluación de un sistema con datos de prueba. Esta verificación consiste en Por ejemplo, el
probar Jos resultados producidos en la aplicación con datos de prueba contra cuando el inve:
los resultados que fueron obtenidos inicialmente en las pruebas del programa computadora s
(solamente aplicable cuando se nacen modificaciones a un sistema). orden de repos
blecido.
Registros extendidos. Consisten en agregar Wl campo de control a un registro
determinado, como un campo especial a un registro extra_ que pueda incluir El registro man
datos de todos los programas de aplicación que forman parte del procesamien- En las apiicacio1
to de determinada transacción, como en los sigtúentes casos. do la informad
nómina puede 1
Totales aleatorios de ciertos programas. Se consiguen totales en algunas par- través de la red
tes del sistema para ir verificando su exactitud en forma parcial. tener una clave
lo y las salí· Selección de determinado tipo de transacciones como auxiliar en el análisis
de un orchivo histórico. Por medio de .,te método podemos anali7.ar en forma lltVERSOS nPOS DE
ramal el archi\'O histórico de un 'istema, el cual sería casi imposible de verifi- AUOO'ORIA Y SU
c:u '"" forma tota 1 RElACIOH CON
lA AUOO'ORIA EN
INFORMATOCA
Resultados de ciertos c~lculos para comparaciones posteriores. Con ellos po-
demo-. comparar cm el futuro los totales en diferentes fechas.

anzados de Las técnicas antenormente descritas ayudan al auditor interno a establecer

.cesamiento una metodolo~ia para la rev"oón de lO» sistemas de aplicación de una institu·
anzadas de coon, emple,lndo como herramll'nt.l el mbmo equipo de cómputo. Sin embargo,
eden no ser actualmente se han des.uroll,ldo programas y sistemas de auditoría que elimi-
mientoade- nan los problemas de n.•,ponsabilidad del departamento de auditoría, al inter-
delsistema wnor en las actividades e información cuyo control corresponde estrictamente
•usan apro- .11 departamento de informática, lo cual proporciona una verdadera indepen-
toría tradi· dencia al auditor en la rcvosión de los datos del sistema. En la actualidad, el
auditor puede e>tar desarrollando algunas de sus funciones al intervenir en las
rrdes de con'\unicadón intcrnc.1.
epartamen- El empk'<> de la microcomputadora en la auditoría constituye una herra·
ünados. En mienta que facilita la realización de actividades de revisión como:
ndientes de
tener espe- • Traslad.tr los d,llos dl'l sbtL'm<l a un ambiente de control del auditor.
'para pruc· llevar a cabo la selección de datos.
les. Verificar la exactitud d(' los cálculos: muestreo estadístico.
Visualizaci(\n de datos.
determina· • OrdcMmocnto de la m formación. Producción de reportes e histogramas.
ción real.
El auditor ontemo debt• participar en el di<eño general y específico de los
)dos los ac· 'istcmas, con el fin de ,,<.egurar que se tengan todos los controles de acuerdo
~ntiñcación con las politocas internas antl'S de que se comience la programación del sistema.
A continuación se muL..,tran ejl'mplos de la~ formas tradicionales de evi·
dmcia que existen en un pi'OC\'so manual y las maneras en que la computadora
1formación puede camboarlas:
e a uno ya
Transacciones originadas por personas y accesadas a un sistema para su pro-
ceso. En la' aplicacoonl'' comput.mzadas, pueden generarse automátican1ente.
CO!biste en Por ejemplo, el ,;,tema puL>de emitir automaticamente una orden de repo'iición
reba contra cuando el onventario '"té a un nivel por deba¡o del punto de reorden. Sin la
1programa computadora "' rt.'qUL'roa quL' una persona l>stuviera re,~sando y elaborara la
orden di' repo-oción cuando el Lnwntario estuviera abajo del mínimo ya esta-
bll'Cido.
un registro
eda incluor El registro manual de la información necesaria para originar una transacción.
ocesamicn· En las aplicacionl'S computari.tada' no se producen documentos impresos cuan-
do la información es accc~1da. Por e¡emplo, un cambio hecho a las tarifas de
nómin,l puede "il'r iiCrP"iado ..1 un archivo maestro de nóminas computarizado a
gunas par· través de la red ontern,l, sin dejar registro impreso del cambio, aunque se debe
tener una clave de seguridad para poder acccsarlo y llevar un registro histórico
14 en el que se tenga la información sobre la persona y terminal en la que se accesó retcmda de
la i1úormación. rton acción.
CAPrTULO 1
CONCEPTO DE
AUDITORÍA La revisión de transacciones por el personal, que deja constancia con sus
EN INFORMÁTICA
Y DIVERSOS TIPOS
firmas, iniciales o sellos en Jos documentos para indicar la autorización del
DE AUDITORÍAS proceso. En las aplicaciones computarizadas la autorización puede ser automá·
tica. Por ejemplo, una venta a crédito puede ser automáticamente aprobada si
el límite de crédito previamente determinado no está excedido. Otros méto· ben uti!lizar4
dos de autorización electrónica incluyen el acceso mediante claves de segu· dios, 10'' Cl"ai
ridad . d<' bases de
Anteriormente se tenían firmas en donde ahora sólo se tiene una clave o
llave de acceso, que es equivalente a la autorización, dejando únicamente un Uso de doc
registro (en el mejor de los casos) de la llave de acceso utiliz.ada, el lugar donde nuales esto~
se tuvo acceso y la hora y dia en que fue autorizada. métodos de
suficiente p
El transporte de documentos de una estación de trabajo a otra por personas, partir de éste
correo o servicios similares de un Jugar del negocio a otro sitio completamcn· lctS pistas d
te distinto. Por estos medios se moviliza un documento físicamente. En aplica· rreen un a
ciones computarizadas, los datos pueden ser enviados electrónicamente. La in· serviría de pl
formación es transcrita, codificada, frecuentemente condensada y entonces en· dos. Las pisb
viada electrónicamente por líneas de comunicaciones, y al final queda wl regis· reglas del pr
tro de cuándo recibió la información el receptor. e¡ecutaron e¡

Procesamiento manual. Generalmente, los documentos de las transacciones con· Uno o más J
tienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones a las transac
computarizadas, el proceso se efectúa electrónicamente dentro de la memoria ción y proccs
del computador mediante procedimientos programados y siguiendo reglas pre· den ser inclu'
dt'tenn.inadas.
Revisión de
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabi· tninar su razt
lidad de error. En las aplicaciones computarizadas, el proceso puede ser extre· nes computa¡
madamente complejo debido a la velocidad y exactitud del computador. Por mente media
ejemplo, una compañía puede utilizar su computadora para calcular la efectivi· difícil para la
dad de cientos de posibles horarios o cédulas de producción d fin de seleccionar tacionales est
el más adecuado, mientras que en los métodos manuales esto sería casi impo· acorta; al misJ
sible. dón es may01

Mantenimiento en manuales de información de naturaleza fija que es nece- La división d~

saria para el proceso, como tarifas de nóminas o precios de productos. En las la distribució1
aplicaciones computarizadas, esta información se almacena en medios pleados, sino t
computariLados o bien por medio de catálogos; en los métodos manuales es zado. Por eje11
difícil tener catálogos muy amplios y con actu,ilización inmediata. partes de una
tengan sistem;
Listado de Jos resultados del proceso en documentos impresos, como che· en el caso de J,
ques y reportes. Frecuentemente, estos documentos contienen resultados de
procesos intermedios. En las aplicaciones computarizadas el proceso puede no Proceso de gr;
dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser cruzamiento d
transferidos electrónicamente. En algunos sistemas, la infom1ación rutmaria es difícil y costoSI
 n1emda dl• rnJnera que sólo se l'l'Obt> notlu.l <l<• ,llJU~IIas partidas que r"quil'- 15
r~.:n ,,~.,~tdn.
DIVERSOS TIPOS DE
AUOITORIA V SU
con sus ·\lmacenamiento de documentos d~ entr.1da, proceso y salida en registro de RELACIÓN CON
LA AUOITOHIA EN
ción del .uchivo o similares. Cuando 1,1 infnrm,Kión ._.., twn•.,,lri,l, pu(.~e loca1izilr"'(' y INFORMÁTICA
autom.í- rc-u,t'lrM"'l' OMnttalmente del cirea de :dmtllt.-'I'IMlÚl'lllU ft\ico. En las aplic..lciones
obada si tt'mput,lril'..ld.ls, la mayoría dl• los ilrchivo~ l•.,l,ln en nwdio& n1agnélicos. 0(1 4

,~ méto- l'lt.n uttliltlr...t.? programas extractivo., p.u·,, t\.'COhrJr l~1 información de taltos ml'
le segu- d l'IS, los f1.J.llec.. c.;.on normalmentC' muv r.lpid<"s v exactos, por ..:jemplo, en el ca!-iu
d~ bas..~ de datos.
da\'e o
oente un Uso d~ documentos impresos para con,truir d proce<o. En llh proet.'''" ma-
rdonde UJ!es 6tos documentos contienen intllrm~",on tucntl' f1rm~s de autoriz~1ción,
Dlétodos de proce:,o y resultados de s,llida Est~ tnfurmadun usualmentt' es
$\lhC'I~nh' r~u,l construir la transacción\ ra..... trc,lrl,l haci~t totales de control o, ~l
ersonas, ~hr tlt_~l''-'lln> ha~ta el documento hlt'nh.•. Fn 1.1"' .lplit:.Kionco.; computarizadil'>,
rtamen- p~St.l-. de ~1uditoría pueden verse fr.l~m"·nt.l\.ld.'>, ((lffiU frecuentemt."nte t.>c:u·
taphca- """"un ambiente de base de datos. Adl·nM<, gr,m p.1rte de la mformación qu~
e. La ín- ~n m ..1 d~ pistil dt! auditoria puedt• <.•st.u JlmJrl'll..ldJ t•n medios computarizil-
nces en- do:"'. 1·\ls pist,ls de nuditoría coJnputc1riZLld.ls J menudo t·equieren entender las
mregis- r.·gl.l' tlt•l prnreo;o dd sistt•ma y no sit•mprc es obvio cu,íh:s pasos del proceso se
fJ<'<:Ut.lron. om cspt'cial cuando el pmn·so l'(lmput.lcinnalt•s complejo.

nesron- ~no o m~s manuales de procedimiento~ que contienen información relativa

:aoont.-~ •lb transacciones del sistema. Estt" manu.llt•s glllan a la gente en la orcula-
Ck'lllOria oon v proceso d<' las transacciones. En las aplicac1one' computarizada.>, pue-
;las pr~4 den s.. r mduidos en los sistemas mediante avudas (htl¡>).

Rt>i>ión de procesos por personas, gener•lmente <upervi•ores, para deter-

orob~bi­ m1ur >U razonabilidad, exactitud, totalidad y autorización. En las aphcacio-
•rextre- lll""'S computdnzadas, gran p..1rtt' de c't\· m(lfllhltC(l l'' ejecutitdo automática·
jor. Por mt nl\.' mcdt,lnt(' una lógica de progr,lm~l pr('dctcrminada. Celda vez e~ m.t~
efcctivi- thf~<il p.lr.l l.l ~~~nte monítore,lf los proct'sos. conforme los sistemas compu·
~cdon,lr taciun.ll~"' e..,t,in m.ls integrados y son m,1c.. ..:umpk·jo~o; v el ciclo del proceso se
~~ 1mpo- dtlltt.l; .11 m"mo tiempo. el numero de usuMit" v rcspons,,ble, de la inform.l-
cion '-1 '-~ maynr.

es nece 4

la división de tareas entre los empleados. Cn 1." ,,plicJciones computarizadas,

;. En las la tl"tr~buc~t\n de dcber<>s implica no st\lo la d"·"ión de tareas entre los em-
medio!'t plt.\1do~, smu tantbién la división de t.lr\.'Cl!'t \.'l'ltr..· lu~ p ..ho"' del pru~so automJti·
iJa]..., l'S rado Por tymplo,los programas computart,adc" put•dcn procesar d1fercnll'S
partes de una tran...,.,cción en diwr.,os lugan$, y en oc,,,,on~-,,., reqUiere que
tengan "'temas de o;eguridad de ac~> a ni\ d s¡stcma. dato o programa, mmo
no che- en< l<"'aSl> de los sistemas bancarios
ldos de
uedeno Proce•o de grandes cantidades de datos que pueden requerir la repetición o
tlé'!l ser cruzamiento de diversos elementos de la información. Esto es frecuentemenlt•
nana e:; dihctl} co..tu-.o en un sistema manual y '>ulo se re..11i¿.a cuando es necesario. En
16 las aplicaciones compu ta rizadas, grandes cantidades de datos pueden ser a~
CAPiTULO 1 macenadas en w1a base de datos. La velocidad y capacidades de proceso del
CONCEPTO DE computador hacen que esta información esté disponible en el formato deseado.
AUDITORiA En un ambiente computarizado, son posibles los más complejos análisis y los
EN INFORMÁTICA
Y DIVERSOS TIPOS
usos secundarios de los datos.
DE AUDITORIAS •
•
•
Planeación de los procedimientos •
de auditoría con informática •

El propósito principal de la planeación de las medidas de auditoría es incluir

dentro de las aplicaciones las facilidades que permitan realizar las actividades
de aud itoría de la manera más flu ida.
La planeación de los servicios establece las facilidades tanto actuales como
futuras que ofrece la dirección de informática. El auditor debe examinar este
plan para establecer los requerimientos de auditoría necesa rios.
Para el funcionamiento de dimos procedimientos se requieren dentro de
los programas rutinas que permitan accesar la información y sistemas indepen·
dientes para la selección, sumarización, comparación y emisión de reportes. Las h,lll>lll<l
El poder planear y realizar estas tareas implica un trabajo complicado pero implantar,
que es necesario hacer. La computarización de las organizaciones ha dado por de la teCIIlOI<021
resultado una concentración de datos y funciones, que son seleccionados.
correlacionados, resumidos y diseminados. En un ambiente computarizado tí-
pico, normalmente Wl dato puede actualizar muellos archivos. Es necesario que
el aud itor cuente con las herramientas adecuadas para poder seguir el rastro
del mismo y también verificar que el sistema esté realizando las funciones que
supuestamente debe ejecutar; estas herramientas computarizadas le deben per·
mitir detectar los errores y corregirlos posteriormente.
Es comprensible pensar que el auditor no es un programador especializa-
do, por lo que es obligación de este grupo de proceso planear el desarrollo de
estas herramientas de cómputo, atend iendo las solicitudes y recomendaciones
de los auditores y aportando su propia experiencia.
También debe participar en las pruebas en paralelo y en la inlplantación del Después de
sistema, para asegurarse de que todos los procedimientos, entradas y salidas son tipos de audi
los solicitados por el usuario en el momento del d iseño detallado, así como para ponder las
evaluar que los cálculos realizados sean los correctos y, en generaL para dar la campo de
aprobación del sistema una vez verificado que cumpla con los objetivos, flujo de Ésta es la
información, controles y políticas del usuario y de la orga1tización.
La participación del auditor interno en el diseño e inlplementación de un
sistema es de suma inlportancia. Por ejemplo, la clasificación de la evidencia
q ue se venía utilizando trad icionalmente, como la fi rma del fWlcionario para
autorizar una transacción, se ve reemplazada por Wla clave de seguridad de
acceso o la firma electrónica, aunque la introducción de un compu tador no ne-
cesariamente cambia las formas de la evidencia de aud itoría. Mientras
Habilidades
del auditor El auditor interno debe estar presente en el desarroUo del sistema para eva·
Auditoría en
lua r que la información requerida por el usuario quede cu bierta y se cumpla
áreas de la 0 1
!n ser al- coo el grado de control que n~>cesita la infonnación procesada por el sistema, de
xeso del acuerdo con lo:. objd1v0<> y políticas de la orgarúz.lción. D€AN1CION oe
deseado. E"'ten cierta' hab1lidad~., fundamental._ que deben ser consideradas como AUOITORIA EN
:JSis y los ' 'mímmas que todo auditor de infonn.ítica debe tener INFOIWATICA

Habilidad para maneJar paquet._ de procesadores de texto.

• Habilídadl., para man<:Jo de hoJaS de cálculo.
• Hab1hdad para el uso del E-ma1l y conocimiento de Internet_
• Habilidad p.lra maneJO de ba!>CS de datos.
• Habilidad para el uso de al meno• un paquete básico de contabilidad.

Como evaluador, t•l auditor de informJtica debe ser capaz de distinguir en-
~incluir 11'1' los procesos de evaluación de si•temas y las aproximaciones que son apro-
]vida des piadas para encau7Jr los propósitos específicos de evaluación relevante para el
área de trabajo. En c•tc sentido, el auditor en informática debe tener los conoci-
!escomo mientos de lo. pasos requeridos para aplicar tma evaluación particular en d
inar este contexto de la tecnología de la información. Debe poseer estándares relevantes
)'prácticas que gobiernen la conducción de una evaluación particular. Su con-
!entro de tribución potencial a una evaluación particular puede ser hecha en un contexto
indepen- específico.
oortcs. Las habi lidad!.'S t~cnicas requeridas por el auditor en informática son las de
adopero implantar, ejecutar y comunicar los re~ultados de la eva luación en el contexto
iado por de la tecnología dl' información, de acuerdo con estándares profesionales que
ionados, gobiemcn el objl•tivo de la auditoría.
izado tí-
sarioque
el rastro
onesque
i>en per- DEFINICIÓN DE AUDITORÍA EN INFORMÁTICA
lecializa-
rrollo de
daóones
CoNCEPTO DE AUDITORÍA EN INFORMÁTICA
Kióndel Oespu~ de analizar lo:. conceptos de auditoría y de informática, Jos diferentes
tidasson tipos de auditoña, a'í como su interrelación con la infonnática, debemos res-
omopara ponder las siguientes preguntas: ¿Qué es auditoría en informática? ¿Cuál es su
radar la campo de acción?
,flujo de Esta es la defmición de Ron Weber en Auditlng Conct'plual Foundations and
Practict o;obre auditoría infonnática:
ín de un
•idencia Es una funcu.)n que ha ~ido des.Jrmllada para asegurar la salvaguarda de los acti-
orlo para vos de los "'tema' de romputadora~. mantener la integridad de los datos y lograr
ridad de los objetivos de la organi<.1ción en forma eficaz y eficiente.
Jr no ne-
Mientras qul' la dl'finición de M a ir William es la siguiente:
mraeva-
•cumpla Auditoría en informática es la v.:rificación de los controles en las siguientes tres
áreas de la organi1ación (informática):
18 ApUcaCI<'Il<" tpro¡;yama de produ<aón). qul.' mJnq.¡
Desam,llo de <r>J!ott."lll~ aquellas qu
CAPITULO 1
CONCI'PTO DE In~tal.lc.:•on del centro de prt.k:C54.l.
FlconD
AUDITOAIA
EN INFOAMATICA
bid o J lo iru
V DIVERSOS IIPOS Por tanto, podt.•mos decir qut.• ~luttitoríJ en inform..itic..1 (!S 1.1 revisión y C'vtl .. inad<•cu.ldo
DE AUDITORIAS luación de los controles, sistem.ls v procedimientos de la informática; dt• 1<" mas, debid<
l'<¡UÍJ'OS de c<ímputo, 'U utiliz.1<1án, t•fk~t•ncia y ..eguridad; di.' la organuautin na, y :oóloJ¡
que participa (•n ('1 pro.:é:'oamJento di.''" rnformaoón. a fin di.' que por mro1o dd a la mfonru
!'<'ñalamicnto d,• cursos alternativos <e logre un.1 uhli/.acu>n más l.'fioentc, El abuSI
confiable v '''~r~ de la inform.tdón que servirá pa. • und adecuada toma de informátu:a
decisione~. nización~~
La in formaci(>n contenid a d<•¡wnd<' de la hab il idad de red ucir la incL•rti de in form,H
dumbre alrcdL·dor de las decis iom·'· El ,.,,lor de la reducción de la inct>rtidum ción del t'<Jt
bre depcnd,• d<•l pago a<;OCiado con la dt•cisión qu e><' r.•ahL..l. infornlat.:Hlr
los factmL'S qu" pul.'den influtr ''"una organiz.1dón a traws del conm•l ' robos h<ll1JI
1
1uditoría l,.n antorllklhca son. tamb1msor
L:t audil
Influencia • ;-.;ece,,dad di.' controlar el u<o l.'voluc•onado d(' las n>mputadoras. t"quipos dl' e
de la auditorfa • Controlilr t.•l usn de la comput,.H:Iur~l, que cada día se vu~lvc más import.lntc más hJbrc.t c.
y costos.1. das, pro~t1d
• Los aJto!-t nhtús qut• p rodun•n los Prrores en una orgc.miztlción . (desarrollad
• Abu..o en l.h computadoras . ben incllllr 1
• Posibt.:idad de ~rdida de capaCidad<"> de proct"Saml('Oto de datos . ncruna lnfo
• Pesibthdad de dec"ione. mrorn'<ta' cómpu to de
• \"alor dd hard\\are 'llftwar,• \ JX'N>nal. y el pcn;ona
• Necesidad de mantener la pm·,Ktd.Jd rndividual. Ademá.s
• Posibilidad de p<!rdida de inlorm.1ción o de m .ll oso de 1,1 m tsma. son rccu rsos.
• Tom ad'-' dt•ci siones incorrect,t~. version<.•~.t pr,
• Necesidad de mantener la privacidad de la organizacicín. seguro adt'Cl
daño~ CüJ\5"
la informact6n '"' =
recui'>O nccesano para 1.1 organtzaoon y para la am-
hnuidad de las operaciones, ya que pmwe de una imab"<.'Jl de su ambtente ac-
inversión •m
la o rgaruzad
tual su p.bado} su futuro. Si la tma~en de la organiz.ll' ·n es apropiad> <-;t.¡ recobrado S
crecerá adapt.\ndo~ a los cambio~ dt' c;u entorno. dencial a la t
En e l pro<.:t'Ml de 1..1 informa<.:iü n ~e deben detectar sus errores u omisione~. y pérdid,JS ••n ¡
evitar su destrucción por causas nt'ltllftl lcs (tcmblon•s, inundaciones) o C.:Utll· pre un rt C\ll"'
1

quier contingt•nc1a que pud iera susc1t.1rse. ('Strenado.

la toma di.' dl-.:istones incorn>cla,, producto de dato, erronL'Os proJ><•rc1o- La'corn¡
nados por los Sistema' trae como ron,...."Uenda efedO>o ''¡;ntficab' os. qul.' afec- nuestr.t sooe
tan directam..,nte a la organización den ir desde
El mavor ""t1mulo para el d'"''""'llo de la auditori.l <'n Informática dentro berta d o dt• 11
dt' la o rganizc.1onn nurma lmentt:est,l dJdo por el abuso en el uso de las compu Adcm\is
!adoras. El abuso ~:n com potador.1s es cua lquier in cid<•n tt• J sociad o con 1.1 tec- siderado 1.1 r
nología en conlpu tJci<ln, e n e l cual la victima sufra o put•d ..l suf rir una pérd idtl es respons.tb
\ un daño hL"<:ho, rnt~l\oonalmente o p.tra obtener una j\anancia. El probl<·ma redes d e rorr
más c;.erio e-.tá t.T\ lo.. -.:rrores u omiSh'~nt.-s que cau..;an pt~rdidas a la organiz.aoón. integrada y E
En -.egwda ~'St.1 el dt-,.htre de la> computadoras debtdo a Ol115as naturales, ta- quendas. E.J
1('5 como fue¡;L>, agu.t o fallas en el '"llmlru,tro de en('rgía 1~" técnica> de control que la mfol"lll
 qu~ manejan estos dos tipos de problemas han sido mejor desarrolladas que 19
aquellas que se relacionan con el abuso en las computadoras. OEFINICION DE
El control en el abu<O de las computadoras es normalmente más difícil de- AUOfTORIA EN
bido a lo inadecuado de las leyes. Es más difícil condenar a alguien que hizo un INFOAt.lAncA

y eva· madecuado uso del hempo de las computadoras, o copias ilegales de progra-
de los mas, debido a que las leyes no consideran a las computadoras como una perso-
ización Jld, y sólo las personas pu~>den ser declaradas como culpables, o bien considerar
dio del J la información como un bien tangible y un determinado costo.
.cien te, El abuso tiene una importante influencia en e l desarrollo de la aud itorfa en
Jma de.- informática, ya que en la mayoría de las ocasiones el propio personal de la orga-
nización es el principa l factor que puede provocar las pérdidas dentro del área
inccrti de informática. Los abusos más frecuentes por parte del personal son la utiliza·
tidum- oón del equipo en trabaJOS distintos a los de la organiLación, la obtención de
•nf<><mación para fin!$ P<'I"JJnales (Internet), lo.. ¡uegos o pasatiempos, y lo•
mtrol v robos hormiga, además de lo.. delitos informJhco:. que en muchas ocasiones
también son Uevadt>:. a cabo por el propio personal de la organización.
la auditoría en informJtica deberá comprender no sólo la evaluación de lo~
l'<JUipos de cómputo o de ull SIStema o procedimiento específico, sino que adc·
orlan te más habrá de evaluar lo> sistemas de información ('n general desde sus entra·
das, procedimiento&, comu11icación, controles, archivos, seguridad, perso•1al
(desarrollador, operador, usuarios) y obtención d(• información. En esto se de-
ben incluir los equipo& de cómputo, por ser la herramienta que permite obte·
ner una información .1decuada y una organización específica (departamento de
computo, departamento de informática, gerencia de procesos electrónicos, etc.),
y el personal que har.1 posible el uso de los equipos de cómputo.
Además de lo.. datos, el hardware de computadora, el software y personal Pérdida
"'" recursos críticos de las organizaciones. Algunas organizaciones tienen in- de información
version.,.; en equipo de hardware con w1 valor multimillonario. Aun con un
'eguro adecuado, las pérdidas intencionales o no intencionales pueden causar
daños considerables. En forma similar, el softw.1re muchas veces consti tuye u11a
la con- inversión importante. Si el software es corrompido o destruido, es posible que
?nte ac· la organización no pueda continuar con sus operaciones, si no es prontamente
:Ja, ésta rC<:obrado. Si el software es robado, se puede proporcionar información confi·
dcncial a la competencia, y si el software es de su propiedad, pueden tener..e
iones. y pérdidas en g.mancias o bien en juicios legales. Fmalmente, el personal es siem·
o cual- pre un recurso valioso, sobre todo ante la falta de per>Onal de informática bum
r-;trenado.
•pordn- Las computadoras cj~>cutan automáticamente muchas funciones críticas en
ue afee- nuestra sociedad. Consecuentemente, las pérdida& pueden ser muy altas y pu<'·
den ir desde pérdidas multimillonarias en lo económico, hasta pérdidas de li·
dentro bertad o de la vida en el caso de errores en laboratorios médicos o en hospitales.
compu· Además de los a>p<><:tos constitu<"ionales y leg~lcs, muchos países han con·
1la lec- siderado la privacidad como parte de los derechos humanos. Consideran que
pérdida es responsabilidad de 1Js personas que están con las computadoras y con '"'
vblema •cde:. de comunicación, ~segurar que el uso de la inform.•ción sea recolectada,
ización. integrada y entregada rápidamente y con la pnvacidad y confidencialidad l't'-
.>les. ta· queridas. Existe una rc,pt>n'>abilidad adicional ~n el -.entido de asegurarse de
control que la informaaón sea uo¡ada solamente para los propós1tos que fue elaborada.
20 En este caso se encuentran las bases de datos, las cuales pueden ser usadas para B) Evaluo
CAPiTULO 1
fines ajenos para los que fueron diseñadas o bien entrar en la privacidad de las setien
CONCEPTO DE personas.
AUOITOAiA La tecnología es neutral, no es buena ni mala. El uso de la tecnología es lo • Ev
EN INFOAMÁTICA
Y DIVERSOS TIPOS que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- • E"
OE AUDITORiAS gía en Internet no es problema de la tecnología, sino de la forma y característi- • Ev
cas sobre las cuales se usa esa tecnología. Es una función del gobierno, de las • Fa,
asociaciones profesionales y de los grupos de presión evaluar el uso de la tecno- • Co
logía; pero es bien aceptado el que las organizaciones en Jo individual tengan • Co
una conciencia social_ que incluya el uso de la tecnología en informática. • Ins
Deberá de existir una legislación más estricta en el uso de la tecnología, en • F01
la que se considere el análisis y la investigación para evitar e l mal uso de Internet • Se~
y otras tecnologías, para evitar situaciones como el suicidio colectivo de sectas • Co1
religiosas, como sucedió en Estados Unidos. También se requiere de una ética • Co•
por parte de las o rganizaciones y de los individuos que tienen en sus manos • Uti
todo tipo de tecnología, no sólo la de informática. • Pre
cup
• Pro
• Der
CAMPO DE LA AUDITORÍA EN INFORMÁTICA C) Evaluac
prende:
Campo El campo de acción de la auditoría en informática es:
de la auditoría • Con
• La evaluación administrativa del área de informática. • Con
• La evaluación de los sistemas y procedimientos, y de la eficiencia que se • Con
tiene en el uso de la ilúormación. La evaluación de la eficiencia y eficacia • Con
con la que se trabaja. • Con
• La evaluación del proceso de datos, de los sistemas y de los equipos de • Con
cómputo (software, hardware, redes, bases de datos, comunicaciones). • COill
• Seguridad y confidencialidad de la información. • Ordt
• Aspectos legales de los sistemas y de la información. D) Segurid~

Para lograr los puntos antes señalados se necesita: • Segu

• Conf
A) Evaluación administrativa del departamento de informática. Esto compren- • Rcsp
de la evaluación de:
• Segu
• SeguJ
• Los objetivos del departamento, dirección o gerencia . • Segu¡
• Metas, planes, políticas y procedimientos de procesos electrónicos está.n - • Plan
dares. sastrE
• Organi.<ación del área y s u estrueh1ra orgánica . • Resta
• Funciones y niveles de autoridad y responsabilidad del área de proce-
sos electrónicos. Los princ
• Integración de los recursos materiales y técnicos.
• Dirección. • Salva¡
• Costos y controles presupuestales. ware
• Controles administrativos del área de procesos electrónicos. • Integn
adas para 81 Evaluación de los sistema~ y procedimientos, y de la eficiencia y eficacia que
lad de la~ se t1enen en el uso de la información. lo cual comprende:
DEFINICIÓN OE
AUOITORI.A EN
ogía es lo • Evaluación de l análisis de lo~ sistem as y sus dif~rentes etapas. INFORMATICA
1 tecnolo· • Evaluación del diseño lógico del sistema.
racterísli- • Evaluación del desarrollo físico del sistema.
'10, de las • Facilidades para la elaboración de los sistemas.
•la tecno- • Control de proyectos.
al tengan • Control de sistemas y programación.
ica. • Instructivos y documentación.
>logia, en • l'ormas de implantación.
f Internet • Scgu ridad física y lógica de los sistemas.
de sectas • Confidencialidad de los bistemas.
una ética • Controles de mantenimiento y forma de respaldo de los sistemas.
J.S man~ • Uhliz.-.ción de los sistl'mas .
• Prevención de factores que puedan causar contingencias; seguros y re-
cupcración en caso de desastre.
• Productividad .
• Derechos de autor y secretos industriales .
~A C) Evaluación del proceso de datos y de los equipos de cómputo que com·
prcnd!':

• Controles de los datos fuente y manejo de cifras de control.

• Control de operación.
ia que se • Control de salida .
( eficacia • Control de asignación de trabajo .
• Control de medios de a lmacenamiento masivos .
uipos de • Control de otros elemento;, de cómputo .
lllCS~
• Control de medios de comunicación
• Orden en el centro de cómputo .

D) Seguridad:

• Segu ridad física y lógica.

• Confidencialidad.
'Ompren· • R(.'Spaldos.
• Seguridad del per;onal
• Seguros.
• Seguridad en la utilu.ación de los equi¡>O'o.
'OS están·
• Plan de contingencia y procedimiento de respaldo para casos de dc-
Sii'Jtre.
• Restauración de equipo y de sistemas.
le pro~-
Los principales objetivos de 1~ auditoña en informática son los siguientes:

• S...h·aguardar los acti\'lh Se refiere a la prott'CCión del hardware, soft-

ware y recursos humano:..
• Integridad de datos. Los datos deben mantener consll>tcncia y no dupliGlroe.
22 • Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la
CAPITULO 1
organización.
CONCEPTO DE • Eficiencia de sistemas. Que se cumplan los objetivos con los menores recur-
AUOJTORiA sos.
EN INFORMÁTICA
Y DIVERSOS TIPOS • Seguridad y confidencialidad .
DE AUDITORIAS
Para que sea eficiente la auditoría en informática, ésta se debe realizar tam-
bién durante el proceso de diseño del sistema. Los diseñadores de sistemas tie-
nen la difícil tarea de asegurarse que interpretan las necesidades de los usua- m ..,~ se
rios, que diseñan los controles requeridos por los auditores y que aceptan y tl!ngan lo'
entienden los diseños propuestos. general se
La interrelación que debe existir entre la auditoría en informática y los dife- optimizar un
rentes tipos de auditoría es la siguiente: el núcleo o centro de la informática son Para
los programas, los cuales pueden ser auditados por medio de la auditoría de CIOndel .
programas. Estos programas se usan en las computadoras de acuerdo con la mentacitln
organización del centro de cómputo (personal).
La auditoría en informática debe evaluar todo (informática, organización
del centro de cómputo, computadoras, comunicación y programas), con auxilio
de los principios de auditoría administrativa, auditoría interna, auditoría con-
table/financiera y, a su vez, puede proporcionar información a esos tipos de
aud itoría. Las computadoras deben ser una herramienta para la realización de
cualquiera de las auditorías.
La adecuada salvaguarda de los activos, la u1tegridad de los datos y la efi-
ciencia de los sistemas solamente se pueden lograr si la administración de la
organización desarrolla un adecuado sistema de control interno.
El tipo y características del control u1terno dependerán de una serie de fac-
tores, por ejemplo, si se trata de un medio ambiente de minicomputadoras o
macrocomputadoras, si están conectadas en serie o trabajan en forma indivi-
dua l, si se tiene Internet y Extranet. Sin embargo, la división de responsabilida-
des y la delegación de autoridad es cada vez más difícil debido a que mucho'
usuarios comparten recursos, lo que dificulta el proceso de control interno.
Como se ve, la evaluación que se debe desarrollar para la realización de la
auditoría en informática debe ser hecha por personas con un alto grado de co-
nocimiento en informática y con mucha experiencia en el área.
La información pwporcionada debe ser confiable, oportuna, verídica, y debe
manejarse en forma segura y con la suficiente confidencialidad, pero debe estar
contenida dentro de parámetros legales y éticos.

AuDITORíA DE PROGRAMAS
La auditoría de programas es la evaluación de la eficiencia técnica, del uso de
diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra-
mas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organización.
La auditoría de pwgramas tiene un mayor grado de pwfundidad y de de-
talle que la auditoría en informática, ya que analiza y evalúa la parte central del
'Ü\'OS de la u...o de las computadoras, que"" el programa, aunque se puede considerar como 23
parir de la auditoria en mformat1ca
JreS recur- Para lograr qut.> la auditoría de programas sea eficiente, las personas que la
reahccn h.>n de ~r ronoc1m1entos profundos sobre sistemas operati\'OS, sis-
temas de admmistraoón de b.15e de datos, lenguaJCS de programación. u literías,
¡,....,.de datos. mt-dio- d<.' comunicación y acerca del equipo en que fue escrito
olízar tam· el programa Asimismo, se deberá comenzar con la re\isión de la documenta-
;tema) tie- Ción del m"mo. Para poder llevar a cabo una auditoría adecuada de los progra·
·los usua- necc~ita qul) lth -.,istl'ma-., est~n trabajando correctamente, y que se ob-
m.t.-. se
aceptan y l<'ngan los rt.'Sultados rt.'qUCridos. ya que al cambiar el proceso del sistema en
general •e cambiar.in posiblemente los programas. Sería absurdo intentar
y los difc- optimizar un pn>grama dt• un sistema que no está funcionando correctamente.
nática son Par.> optimizar los programas se deberá tener pleno conocimiento y acepta-
ditoría de ción del sistcm.1 o shtcmas que usan l'SC programa, y disponer de toda la docu-
Xlo con la mentación dctall,¡d,\ dl'l sistem.> total.

anización
on auxilio
toría con-
¡ tipos de
zación de

.s y la efi-
1Ón de la

ie de fac-
tadora5 o
,. indi\'1·
153bilida-
' much<b
temo.
;ión de la
1ode co-

:a. y debe
ebee5tar

•1 uso de
• progra-
·aluar el

ydedc-
ntral del
 Planeación
CAPÍTULO
de la auditoría
en informática

OBJETIVOS
Al finalizar este capitulo, usted:

1. Conocerá las distintas fases que comprende la auditorla en informática.

2. Comprenderá la importancia en el trabajo de auditorfa de la planeación, el
examen y la evaluación de la información, la comunicación de los resultados
y el seguimiento.
3. Explicará el valor de la evaluación de los sistemas de acuerdo al riesgo.
4. Oescnbirá las fases que deben seguirse para realizar una adecuada investt·
gación preliminar.
5. Definirá cuáles son las principales caracterfsticas que requiere el personal
que habrá de participar en una aud~oría.
6. Conocerá cómo se elabora una carta-convenio de servicios profesionales de
auditoría.
26
dalt•s para
CAPITU~O 2
PlANEA<:ION FASES DE LA AUDITORÍA un.l -.ldecu•
0( LA AUOHORIA l.a ob
EN INFORMÁTICA mh.'rr'los de
la auditoría en informJlíca es el pl'OC\.':>0 de recolección y evaluación de evidl'fl- df.'b<-n subo
cias para determinar cuándo son s.11v,¡guard,ldos los activos de los sistemas La ob,e
compu tarizados, de qué man~ra se m.mtiene la integridad d<' los datos y ctlmo de t.11 man~
"' logran los ob¡ctivo. de la organi2.1ción ef1c.12mente y se u"3n lo, recur.o, c.:¡uc no hay
consumidos eficientemente. !.a .1ud itorr,, en informática sigue los obíctivos tra- ~1udatorcs lf
dicionale-s de la auditoría: aquellos que son de la audi toría <'xterna, de salva- po'Jhihtad~
guarda de los activos y la integndad de datos, y los objetivo, gerenciales, aque- 1 os res¡
llos prop1os d e la aud itoría int1•ma que no sólo logr.ln los objdivos sei\alados el rcspcctivl
'ino también los de eficiencia y eficacia. de qut• el tr¡
Auditoría interna lliJUdit
la auditori.l interna l'S una función tndependientc de la evaluac1ón qu<'"'
establece dentro de un,t urganihlción p,'lra CXiU11inar y eva luar sus l1Ctividadcs. ndus} con
El objetivo de la auditoría interna consiste en apoyar a los mil'mbros de la orga- 11 depal
niLación en el dl''Cmpeño de sus responsabilidades. Para ello, proporciona an.i- llas f"'tsOna
lisis, evaluacionQs, recomendaciones, U'ieSOr ía ~información concerniente a l..1s disciplina n,
aetividadl'S rev•..-.das. herí hegu
Los auditot<•s miemos son responsables de proporcionar mform,Kión acer- dii l ... St:an
ca de la adecuación y cfl'Cti,•idad del si,ll'ma d•• control interno de la organi7a· 1\o,;imis~
ción y de la cahd.1d de la geshón. des r>erial
El m.mual d!' o rgani>ación deberá establecer claramente los propósitos del L. dep.u
departamento de .1uditoría interna, especificar que el alcance del trabajo no d<•be míen los, ex
tener re.tricciont., y señal.lT que los auditores internos no tendr.ín autoridad y/o hihdadesde
responsabilidad respecto de las .1cti vidades que aud it.ln. tores ,alific•
El auditor interno debe ser independiente de las actividades que audita. las n•sponsa
E'ta independencia perm1te que el auditor interno reahce su trabajo hbre y ob- nu~nto no n~

jetivame nte, ya q ue sin <'Sta indt•pendcncia no se pueden obtener Jos resultados El depar
d()~ados.

Las normas dc aud itoría interna comprenden: • Que'·" 1

t.'S un pr
• las aclí\idades auditadas y la objdividad de los audilOTl'S internos. trabajo d
• El conocimiento técmco, la c.1pacidad y el cuidado profesional de los audi· • Que los•
tores interno, con los que deb<-n ejercer su función. En el caso de la auditoría tructivos
en informática es de suma importancia el que el audttor cuente ron los ro • Quese 9
nocimicntos tC:cnicos nctua)i¿ados y con la experiencia necesa ria en el área. • Que la a
• El alcance d<•l trabajo de aud1toría interna l'n el át<'.l de informáhca . dt•nda u
• El dcs.urollo de las ""'pon,abilidadl., asignadas a los auditores internos • Que los ~
responsables de la auditoría ,, informática. • Que los ~
d1sciplin
los a ud itores mternos deb<-n ser independ1entl., de las actividades que
auditan, y deben de tener un amplio criterio para no tomar dccisione- subjeti- Cada au
vas basadas en preferencias pel'<;()nales <;obre determinado equipo o software,
sin .1nalizar a profundidad las opiniones. Los aud itOr\'' internos son mdepen· • 54.• requie
du!ntes cuando pul-den d<'Sempeñar su trabajo ron libertad y objetividad. La ca, de au1
independencia permite a lo> auditores internos rendir ju1cios imparciak'S, esen- pericia la
 cial"' para la ad('('Uada conducCIÓn de las auditorías; esto se logra a través de
una adecuada obl<!tividad y c-rit~rio. FASES
La ob¡dindad '" una actitud de independencia mental que los auditores DE LA AUOITORIA
mkm<h dd:":n mantf.'ncr al n.•.lhzar las auditorías. Los auditores internos no
,;den- deben <ubordmar 'u~ IUiCIO'> l'fl matena de auditoría al de otros.
La obl"t" tdad R>quterl! <¡ue los audito,-e, internos realicen sus auditorías
.temas d• tal man~ra que tl.'ngan una honc:.ta conf1anza en el producto de su trabajo y
cómo
que no ha, an creado compromt..OS ~ignificatwos en cuanto a la calidad. Los
cursos
audttores miemos no deben colocar..e en stluaciones en las que se sientan im·
os Ira-
¡>lhibilitad<» para hacer jutCIOS profcstonales ob¡etivos.
salva-
Lo, rl'Sult.ldos dt•l traba¡o de auditoría deben ser re,isados antes de emitir
aquc- d rt'Specii\O mformf.' de auditorí.l, par.l proporcionar una razonable seguridad
llldos de que el traba¡o se realizó ob¡ctivamente.
El auditor en inform.ítica debe contar con los conocimientos téaúcos requc-
~uese
ndos y con capacidad profi.'Sional.
lades.
El departamento de auditoría interna deberá asignar a cada auditoría a aque-
orga· llas person.1~ que t•n su conjunto poscan los conocinlicntos, la experiencia y la
a aná-
dtsciplina neccsMios p.1ra conducir apropiadamente la au d itoría. También de-
ea las ber¡} asegurilrsc qu(' la experiencia técnica y la formación académica de los au-
ditores se.ln las apropiadas para realinr las auditorías en informática.
1acer-
Asimismo, se deberá obtener una razonable segurid ad sobre las capacida-
l!ÚZa· des y pericias de cad a prospecto para auditor en informática.
El dcpartam~nto de auditoría interna deberá contar u obtener los conoci-
os del mientos, cxperienci.h y disciplin,ls nt>cesarias para lleva r a cabo sus responsa-
•debe bilidades de auditoría en ill!ormática. Deberá tener personal o emplear consul-
dy/o
tores calificados en las dbciplinas de informática necesarias para cumplir con
las r!'sponsabilidades de auditoría; sin embargo, cada miembro del departa-
udita.
mento no nl'Cl'sita estar calificado en todas las disciplinas.
yob-
El departaml.'nto de auditoría interna deberá asegurarse:
tados

Que las auditorías ~an supervi<.adas en forma apropiada. La supervisión

es un proceso continuo que comtenza con la planeación y termina ron el
trabajo de auditoría.
audi- Que JQ<. informt'S de audttoría sean prooSO<>, objetivos, claros, conciSO>, cons-
tructivo> y oportuno>.
ltoria
)S (O-
Que se cumplan lo:. ob¡cllvO!> de la auditoría.
área.
• Que la auditoría sea dt•bidamente documentada y que se conserve la evi-
dencia aprophlda de 1.1 supervistón.
emos • Que lo> auditores cumplan con las normas profesionales de conducta.
• Que los auditor~.., en informática P<"'!•ln 105 conocimientos, experiencias y
disciplinas t>scnci.lles p.ua realizar sus auditorías.
; que
bjeti- Cada auditor interno reqUiere de ciertos conocinlientos y experiencias:
ware,
!pen· • Se r<'<)uicrl.' pericia en !.1 apltcación de las normas, procedimientos y técni- Habilidades
d. La cas de auditoría interna par.l el d('sarrollo de las revisiones. Se entiende por de los auditores
esen- pericia la habilidad para aplicar los conocimientos que se poseen a las si-
28 tuaciones que posiblemente se encuentren. ocupándose de ellas sin tener •
CAPiTuLO 2
que recurrir en exceso a ayudas o investigaciones técnicas. •
PLANEACION • Tener habilidad para: aplicar amplios conocimientos a situaciones que po-
DE LA AUDITORiA siblemente se vayan encontrando, reconocer las desviaciones significativas
EN INFORMÁTICA
y poder llevar a cabo las investigaciones necesarias para a lcanzar solucio-
nes razonables.

Entre las habilidades que deben tener los auctitores están:

revisar la a
• Habilidad para comwúcarse efectivamente y dar un trato adecuado a las sistema esta
personas. Los auditores internos deben tener habilid ad para comwúcarse y metas de !¡
tanto de manera oral como escrita, de tal manera que puedan transmitir
Los obje¡
clara y efectivamente asuntos como: los objetivos d e la auditoría, las eva-
luaciones, las conclusiones y las recomendaciones.
• Los auditores en informática son responsables de continuar su desarrollo • La confi
profesional para poder mantener su pericia profesional. Deberán mantt'- sar la co
nerse informados acerca de las mejoras y desarrollos recientes. dos par
• Los auditores en informática deben ejercer el debido cuidado profesional al • Elcump
realizar sus auctitoñas. El cuidado profesional, deberá estar de acuerdo con tos.
la complejidad de la auditoría q ue se realiza. Los a uditores deben estar • La salva
atentos a la posibilid ad de errores intencionales, de errores omisiones, de la • El uso e
ineficiencia, del desperd icio, de la inefectividad y del conflicto de intereses. • Ellogrod
También deberán estar alertas ante aquellas concticiones y actividades en mas.
donde es más probable que existan irregularidades. Además, deberán de
identificar los controles inadecuados y emitir recomendaciones para pro- El sistem,
mover el cumplimiento con procedimientos y prácticas aceptables. control y el Cl
deben examin
El debido cuidado im plica una razonable capacidad, no infalibilidad ni ac-
ciones extraordinarias. Requiere que e l auctitor realice exámenes y verificacio- • Quelo<re
nes con un alcance razonable, pero no requiere auditorías detalladas de todas tuna, com
las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguri- • Que los ce
dad de que no existan incumplimientos o irregularidades. Sin embargo, la posi-
bilidad de que existan irregularidades materiales o que no se cumplan las dis-
posiciones debe ser considerada siempre que el auctitor emprende una auditoría. Los audite
Cuando el aud itor detecte una irregularidad que va en contra de lo establecido cumplimiento
deberá informarlo a las autoridades ad ecuadas de la organización. El a uditor que pueden te
puede recomendar cualquier investigación que considere necesaria en esas cir- ben determin<
cunstancias. Posteriormente, el auditor deberá efectuar su seguimiento para veri- La gerenci
ficar que se ha cumplido con lo señalado. mas diseñado
El ejercicio del debido cu idado profesional significa e l uso razonable de las políticas, plan•
experiencias y juicios en el desarrollo de la auditoría. res son respor
Para este fin el auditor deberá considerar: y si las activid
piados.
Cuidado • El alcance del trabajo de auctitoría necesario para lograr los objetivos de la Los auctitc
profesional auditoría.
• La materialidad o importancia relativa de los asuntos a los que se aplican • La correcc
los procedimientos de la auctitoría. existencia
s sin tener • l.a adecuación y efectividad de los controles internos. 29
• El costo de la auditoría en relación con los posibles beneficios. FASES
tes quepo- DE LA AUDITOAIA
;nificativas mcuidado profesional incluye la evJ iuación de los estándares establecidos,
" ' solu do- determinando en consecuencia si tales estánda res son aceptables y si son cum-
plido•. Cuando éstos son vagos deberán solicitJ rse interpretaciones autorizadas.
El alcance de la auditoría debe abarcar el exa me n y evaluación de lo ade-
cuación y efectividad del sistema de control interno de la organización y la ca-
lidad en el cumplimiento de las responsabi lidades asignadas. El propósito de
r~visar la adecuación del sistema de control interno es el de cerciorarse si e l
:uado a las si$tema establecido proporciona una razonable seguridad de que los objetivos
lmunicarse v metas de la organización se cumplirán eficiente y económicamente.
. transmitir Los objetivos elementales del control interno son para asegurar:
í.a. las eva·

1 desarrollo • La confiabilidad e integridad de la información. Los auditores deben revi-

rán mantc- sar la conñabilidad e integridad de la información y los métodos emplea-
dos para identificar, medir, clasificar y reportar dicha información
ofesional al El cumplimiento de las políticas, planes, procedimientos, leyes y r<:>glamen-
tcuerdocon tos.
~eben estar 141 salvaguarda de los activos.
;iones, de la • El uso eficiente y económico de los recursos.
le intereses. • El logro de los objetivos y metas (.,;tablecidos para las operaciones o progra-
i,;dades en mas.
deberán de
$para pro- El sistema de información proporciona datos para la toma de decisiones, el
'les. control y el cumplimiento con requerimientos externos. Por ello, los auditores
deben examinar los sistemas de información y cuando sea apropiado asegurarse:
ilidad ni ac-
verificado- • Que los registros e informes contengan información precisa, confiable, opor-
las de todas tuna, completa y útil.
>luta seguri- • Que los controles sobre los registros e informes sean adecuados y efectivos .
.rgo, la posi-
plan las dis-
>a auditoría. los auditores deben revisar los sistemas establecidos para asegurarse del
•cst<tbleddo rumplimiento de las políticas, p lanes y procedi mientos, leyes y reglamentos
1. El auditor
t¡ue pueden tener un impacto significativo en las operaciones e húormcs, y de-
'en esas cir- ben determinar si la organización cum ple con e llos.
•to para veri- La gerencia de informática es responsable del establccintiento de los siste-
mas diseñados para asegurar el cumplimiento de requerimientos tales como
.nable de las políticas, planes, procedimientos y leyes y reglamentos aplicables. Los audito-
res son responsables de determinar si los sistemas son adecuados y efectivos
)'si las actividades auditadas están cumpliendo con los requerimientos apro-
piados.
ojetivos de la Los auditores deberán revisar:

'"se aplican • La corrección de los métodos de salvaguarda de los activos y verificar la

existencia de estos activos.
30 • Los métodos empleados para salvaguardar los activos de diferente<~ hpo~ m.lSqul.'p
CAPmJL02 de rit•'g<h tales romo: robo, incendio.., actividades impropias o ilegale.., así cf<'CtU<.' COl
Pl.ANEACI()N como de elementos naturales como terremotos, inundaciones, etcétera. fl trat
OE LA AUOOOOIA mcn' la e
EN INI'OAMATlCA
Los audito,-.,, deber.in evaluar si el empleo de los recursos -;e ,-.,alin en ~Ulllllt.'l'l
forma t'<'Onoimoca y eficiente. L1 pla1
Uso eficiente La adminístr.1ción es n.-sponsable de establc.:er estándares de operación para
de recursos medtr la t•fioencia y economía en el uso de los recursos. Los auditores tntcmo-. • EIL"1.11
-.on n..,ponsables de determinar si: • l..1 obtc
• La delt
• Lo> c~t.indare> para medir la economía y eficiencia en el uso de lo, rt'<:ttr>O> • El est.ll
-.on los adecuados. onvolu<
• Los l'St,\ndarc• de oper.lción e&tablecidos han sido entendidos y se cum· • w real
plen. famol~ar
• Las dcsvoacioncs a los estándares de operación se identifican, anali;¡:an y se cttln dl'
comunican a los responsables para que tomen las medidas correctivas. pro mm
• Se toman las medidas correctivas. • 1 a pr"p
• L,¡ dt•t"'
J.as .1uditorCas relacionadas con el uso económico y diciente de lo& recursos dos de 1
deberán identificar situaciones tales como: • L.1 obtcr

• Subutilización de instalaciones. En cJ ca
• Trabajo no productivo. pUl'' IMbrJ (
• Procl'<l imiento& que no justifican su costo.
• Exceso o in;,uficicncia de personal. • llvaluaci
• Uso indebido de las instalaciones. • F.,·aluaci
• Evaluaci
Los audotorl's deberán revisar las operaciones o programas para cerciorar· • Fvaluadt
~M los rL">ultados Mlll consistentes con los objetivos y metas establecido-. y" lo (sofh,
la., operaaoncs o programas se llevan a cabo como se planearon. • !X-gund¡
• Aspt-ctol>

Par.1lngr
tnturm,loón 1
PLANEACIÓN DE LA AUDITORÍA evaluar Para
!re' ostas PI'(''
EN INFORMÁTICA ddwr.i induu
soh<,l.tr o fon
!'ara harer una adecuada planeación de la auditoría en informática hay qur 1!1pro>Cl'SC
seguir un.1 scrie de pasos previos que permitirán dimensionar el tamaño y ca·
ractl.'rí~tic.lS del área dentro del organismo a auditar, sus sistemas, organt.ta· • Mct,1.,.
coón y l'qutpo. Con ello podremos determinar el número y caracterblicas del • Programa
pcl"oonal de auditoría, las herr,lffiientas necesarias, el tiempo y costo, así como • Plant·~ de
defintr lo. alcances de la auditoría para, en caso necesario, poder elaborar el • lnform~ (
contrato de servicios.
Dentro de la auditorra en general, la planeación es uno de los pasos mñ~ 1 ·'S md,\$
tmportantes, ya que una inadecuada planeación provocará una serie de proble- plunll'nto, sobi
ntes tipos mas que pueden im¡x-dir que se cumpla con la auditoría o bien hacer que no se 31
,;a les. a<í etedúe con el profc--•onalismo qut> debe tener cualquier auditor. FASES
litera. B trabaJO dt> auditoría d.,berá inclUir la planeaóón de la auditoría, el exa- DE V. AUOITORIA
mm y la C\ aluación de la informaoón, la comunicación de los resultados y el
'ealiza en ~imi~'TltO.
la plancación debera ser documentada e incluirá:
!ción para
;internos • El estableóm•ento de lo, objetivos y el alcance del trabajo.
• la obtención de mformación de apoyo sobre las actividades que se auditarán.
La determin.lción de lo' r.>curo;o, n~>ccsarios para realizar la auditoría.
trecursos Fl ~stablccimicnto de la comurucación nccesaria con todos los que estarán
mvolucrados en la auditoría.
r se cum- • La realización, en la form,l m.is aprop•ada, de una inspección física para
familiarizarM.' con las .1ctiv•dadcs y controles a auditar, así como identifica-
lizanyse ción de las ,ircas en la, que se deberJ hacer énfasis al realizar la auditoría y
ti vas. promover comentarios y la promoción de los auditados.
La preparación por c~crito del p rogra ma de auditoría.
• La determinación de cómo, cuándo y a quién se le comunicarán los resulta-
;recursos dos de la auditorí,l.
• La obtención de 1,1 aprobación del p lan de trabajo de la auditoría .

En t•l caso de la auditorí,l en informática, la planeación es fundamental,

pues habr.í que hacerla desde el punto de vibta de varios objetivos:

Objetivos
• Evaluación administrativa del .irea de procesos electrónicos.
de la planeaclón
• Evaluacitln de lo' s•stt•mas y procedimientos.
• Evaluación de lo, equipos de cómputo.
:erciorar- Evaluación del proce<o d~ datos, de los sistemas y de los equipos de cómpu-
jdos y si to (software, hardware, redes, ba""" de datos, comunicaciones).
Seguridad y confidcnciahd,ld de la información.
• A'pt.'Ctos legales de le><. ~"temas y dl' la •nformaóón.

Para lograr una adt"CUada planl'ación, lo primero que se requiere es obtener

información general sobre la org.mizaoón y sobre la función de informática a
evaluar Para ello es preo>O ha"'r una investigación preliminar y algunas en-
~ JSta' prevías, y con base en esto planear el programa de trabajo, el cual
deberá inclUir hempos, costos, personal nccesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la auditoría.
hay que El proc..-so de planc.lcion comprende el establecer;
mo )'ca-
'rganiza- • Metils.
;ticas del • Programas de trabarll de auditllria.
así como • Planes de contrat,lción de pcr>nnal y presupuesto financiero.
1borar el • Informes de '"tividadc'>.

l50S más Las met.1S se deberán c,t,lbk'Cer de tal manera que se pueda lograr su cum-
e problc- plimiento, sobrt.' la bas(' de los planes cspcóficos de operación y de los presu-
32 puestos, los que hasta donde S('a posible deberán ser cuantificables. Deberán La revü
CApjTULO 2
acompañarse de los criterios para med irlas y de fechas límite pa ra su logro. zada por ur
PLANEACIÓN Los programas de trabajo de auditoría deberán incluir: las actividades que no normaln
OE LA AUOITORIA se van a auditar, cuándo •~•·án aud itadas, el tiempo estimado reque•·ido, to· parle geren.
EN INFORMÁTICA
mando en consideración el alcance del trabajo de auditoría planeado y la natu· famil iarizad
raleza y extensión del trabajo de auditoría realizado por otros. Los programas causas de la
de trabajo deber,m ser lo su ficientemente ílexibles para cubrir demandas im· nes; el audi
previstas. consideraá<
los planes de contratación de empleados y los presuput!Stos financieros si el auditor
-incluyendo el número de auditores, su conocimiento, su experiencia y las gar de proc
disciplinas requeridas para realizar su trabajo-, deberán contemplar.e al ela· con la fased
borar los programas de trabaJO de auditoría, así como las actividades adminis· controles inl
trativas, la escolaridad y el adii.'Stramiento requeridos, la investigación sobre
auditoría y los esfuerzos de desarrollo.

Rev1s
ReviSióN PRELIMINAR Los objetivo
para que el ,
El primer paso en el desarrollo de la auditoría, después de la plancación, es la dentro del á'
revisión preliminar del área de in formática. El objetivo de la revisión preli mi· El audite
nares el de obtener la información necesaria para que el auditor pueda tomar la timic nto, cot
decisión de cómo proet.'<lcr en la auditoría. Al terminar la revisión preliminar el de con troJ in
auditor puede proceder en uno de los tres caminos siguientes. bas compem
puede, desp
• Diseño de la auditoría. Puede haber problemas debido a la falta de compe- internos 5(' b
alternos de a
tencia técnica para realizar la auditoría.
• Realizar una revi~ión detallada de los controles internos de los ~i.,tema~ con En la fas.
las causas do
la esperanza de que se deposite la confianza en los controles de los sistemas
y de que una serie de prueba' sustantivas puedan reducir las consccuen· para reducir
sión detallad
cias.
• Decid ir el no confiar en los controles internos del sistema. Existen dos raw· dos reducen
nes posibles para esta decisión. Primero, puede ser más eficiente desde el tención de in
usados en la
punto de vista de costo-beneficio el realizar pruebas sustru1tivas directa·
mente. Segundo, los controles del área de informática pu eden d uplicar los con que se ot
controles existentes en el área del usuario. El auditor puede decidir que se Como en
de log rar los
obtendrá un mayor costo-beneficio al dar una mayor confianza a los con-
troles de compensación y revisar y probar mejor estos controles. auditor inten
ciencia y efic.
suficientes pa
La revisión preliminar significa la recolección de evidendas por medio de interno debe
entre,·istas con el personal de la instalación, la observación de las actividades sobrecontroL
en la instalación y la revisión de la documentación preliminar. Las e\•idencias nos controles
se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de controles in te
entrevistas, o con documentación narrativa. Debemos considerar que ésta será tamente a rev
sólo una información inicial que nos permitirá elaborar el plan de trabajo, la proced imient
cual se profundizará en el desa rrollo de la audito ría. de los sistcnu
Deberán La revisión prt•liminar elaborada por un auditor interno difiere de la reali- 33~---'
ogro. zada por un auditor externo en tres aspectos. En primer lugar, el auditor inter-
odes que no normalml·nte reqmere de men<h revi>ione. y trabajos, especialmente en la
rido, to- parte gerencoal y de organiz.lCJÓn, ya que él e.. parte de la organización y está
la natu- familiarizado con la misma. En wgundo, el auditor externo se enfoca más en las
wamas C!U!\olS de las pérdidas y en los controles necesarios para justificar sus decisio- Tipos
odas im- nes; el auditor interno hene una amplia perspectiva, la cual incorpora en sus de revisiones
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
anderos SI el auditor onterno supone '>Crias debilidades en los controles internos, en lu-
ja y las gar de prOCl'<ler direct.lmcnte ron las pruebas sustantivas, deberá continuar
.e alela- con la fase de revisión detallada para ~ñalar recomendaciones para mejorar los
tdminis- cuntroles internos.
>n sobre

REVISIÓN DETALLADA
los objetivos de la fa¡,e detallada son los de obtener la información necesaria
para que e l aud itor tenga un profundo entend imiento de los controles usados
)n, esla dentro del área de informática.
prelimi- El auditor debe decidir s i debe de continuar elaborando pruebas de consen-
:omar la timiento, con la espcran>.a de obtener mayor confianza por medio del sistema
ninarel de control interno, o proceder directamente a la revisión con los usuarios (prue-
bas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor
puede, d<>spués de hacer un análisis detallado, decidir que con los controles
rompe- ontemo.. se li<>n<> sufic1ente confianza, y en otros casos que los procedimientos
alternos de auditoría purol'n ser más apropiados.
:nas con En la fase de evaluación dl'tallada es importante para el auditor identificar
jo;;temas las causas de las pérdidas existentes dentro de la instalación y los controles
.secuen- para reducir las pt'rdidas y los efectos causados por éstas. Al terminar la revi-
:o~ón detallada el auditor debe evaluar en qué momento los controles estableci-

O>razo-
dO!. reducen las pérd1das esperadas a un nivel aceptable. Los métodos de ob-
lesde el tención de mforn1ación al momento de la cvaluadón detallada son los mismos
directa- usados en la Investigación prelim1nar, y lo único que difiere es la profundidad
licar los con que se obtiene la inforn1ación y se evalúa.
rque se Como en el ca'<l de la investigación preliminar, se tienen diferentes forn1as
los con- de lograr los ob¡etivos desde el punto de vista del auditor interno o externo. El
auditor interno debe considerar las causas de las pérdidas que afectan la efi-
ciencia y eficacia, además de evaluar por qué los controles escogidos son o no
suficientes p.1ra rroucir las pérdidas esperadas a un nivel aceptable. El auditor
edio de
interno debe evaluar si los controles escogido.. son óptimos, si provocan un
vidades
sobrecontrol, o bien si '><' logra un satisfactorio nivel de control usando me-
dencias
nos controles o controles menos costosos. Si e l auditor interno considera que los
ediode
controles internos dl'l sistema no son satisfactorios, en lugar de proceder direc-
sta será
tament<> a revisar, a probJr control¡;s a lternos o a realizar pruebas sustantivas y
bajo, la
procroimientos, debe seí'íalar las recomendaciones para mejorar los controles
de los sistemas.
34 El dirE
selecciona
CAPiTUL0 2
PlANEACION
ExAMEN v EVALUACióN
DE lA AUOITOAIA
DE LA INFORMACIÓN • Descri
EN INFORMÁTICA • Selecc
• Entrer
Los auditores internos deberán obtener, analizar, interpretar y documentar la todos
mformación para apoyar los resultados de la auditoría. • Eva]u¡
J::l proceso de examen y evaluación de la in formación es e l siguiente: año.

• St• debe obtener la información d e tod os los asun tos relacionados con los
• Aseso:
sionaJ.
objetivos y alcances de la auditoría.
• La información deberá ser suficiente, competente, relev,1ntc y Litil para que El trab
proporcione bases sólid,,. en relación con los hallazgos y rt'Comendaciones la adecuad
de la auditoría. La información suficiente significa que está basada en he- El diJE
chO>., que es adecuada y convincente, de tal forma que una pcr;ona pruden- ner un pro
te e mformada pueda llegar a las mismas conclusion~>;, que el auditor. La lamento do
información competen!(' significa que es confiable y puede obtenerse de la u na seguri
mejor manera, usando las técnicas de auditoría apropiadas. La información normas ap
relevante apoya los hallazgos y recomend aciones de aud itoría y es consis- Unpr<
tclltC co11 los objetivos de ésto. l.a información útil ayud a a la o rgan ización
a lograr s us metas. • Supen.
• Los p rocedimientos de auditoría, incluyendo el empleo de las técrLicas de • Revisi<
pruebas selectivas y el muestreo estadístico, deberán ser elegidos con ante- • Rcvisic
rioridad, cuando esto sea posible, y ampliarse o modific,use cuando las cir-
cunst,,ncias lo requieran. La supo
• El proceso de recabar, anahzar, mterpretar y documentar la mformación ca lx) contir
deberá supervisarse para proporcionar una seguridad ra1onable de que la las normas
objetividad del auditor se mantuvo y q ue las metas de auditoría se cum- Las re'
p lieron. d e l de paru
• Los d ocu me ntos de trabajo de lo aud itoría d ebe rán ,;er preparados por los l1uditoría rE:
au d itores y revisados por la gerencia de auclitoría. Estos d ocumentos debe- r.1 qu e cual
r,in registra r la información obtenida y el análisis realitado, y deben apo- Para e\
yar las bases de los hallazgos de aud itoría y las recomendaciones q ue se pr,\c::ticarse
harán.

Lo' auditores deberán reportar los resultados del traba¡o de auditoría. El

audttor deberá discutir las conclusiones y recomendacione; en los niveles apro-
ptado> de la administración antl'S de emitir su iJúorme final. Los informes de-
berán ser objetivos, claros, concisos, constru ctivos y oportunos. Los informes PRUEI
prcsentar.ln el propósito, alcance y resultados de la auditoría y, cuando se con-
sidere a propiado, conte ndrán la opin ión de l aud itor.
Los informes pueden iJ1cluir recomendaciones para mejoras potenciales y El objt•tivo
reconocer el trabajo sati; factorio y la> medidas correctivas. Los puntos de vista c-ontroles in
de lo> auditados respecto a las conclu•iones y recomendactones pueden ser in- d e te rminar
¡.m confiablo
cluidos en el informe de auditoría.
Lo' i\Uclitores internos re,1li.t.lrán el seguimiento de las r~'COmendaciones, Adcmá!
cut!ntemenl·
para a-egurarse que se tomaron las acciones apropiadas '>Obre los hallazgos de
,mditoría reportados. asistidas po
 El director de auditoría en informática deberá establecer un programa para 35
seleccionar y desarrollar los recursos, el cual debe contemplar: FASES
DE LA AUDITORÍA
• Descripciones de puestos por cada nivel de auditoría en informática.
• Selección de individuos calificados y competentes.
• Entrena miento y oportwü dod de capacitación profesional continua para
mentar la todos y cad a uno de los auditor~s.
• Evaluación del trabajo de cada uno de los aud itores por lo menos una vez al
nte: año.
Asesoría a los auditores en lo referente a su trabajo y a su desarrollo profe-
>s con los sional.

.para que El trabajo de auditoría interna y e•tema deberá coordinarse para asegurar
1dacioncs l.t adecuada cobertura y para minimizar la duplicidad de esfuerzos.
da en he- El director de auditoría interna en informática deberá establecer y mante- Programa
.apruden- ner un programa de control de calidad para evaluar las operaciones del dcpar· de control
odttor. La t.lml'nto de auditoría interna. El propósito de este programa es proporcionar de calidad
terse de la una seguridad razonable de que el trabajo de auditoría está de acuerdo con las
:Onnación
normas aplicables.
es consis- Un programa de control de ca lidad deberá incluir los siguientes elementos:
;anizadón
• Supervisión.
k nicas de • Revisiones internas.
:con ante- • Revisiones externas.
tdo las cir-
l..1 supervisión del trabajo de los auditores en informática deberá llevarse a
formación cabo continuamente para asegura~ de que están trabajando de acuerdo con
•de que la las normas, políticas y programas de auditoría en informática.
ía se cum- Las re,isiones internas deberán realizarse periódicamente por el personal
del departamento de auditoría interna para evaluar la calidad del trabajo de
los por los auditoría realizado. Estas revisiones deberán llevarse a cabo de la misma mane-
ntosdebe- ra que cualquier otra auditoría.
leben apo- Para evaluar la calidad del trabajo de auditoría en informática deberán
nes que se prc1cticars.e revisiones externas.

•ditorla. El
velesapro·
formes de-
s informes PRUEBAS DE CONSENTIMIENTO
tdose con-

~enáales y
El objetivo de la fase de prueba de consentimiento es el de determinar si los
"OS de vista
controles internos operan como fueron diseñados para operar. El auditor debe
<len ser in· determinar si los controles declarados en realidad existen y si realmente traba·
jan confíablemente.
51dacioncs, Además de las térnicas manuale:. de recolección de evidenóas, muy fre-
¡¡J]azgos de cuentemente el auditor debe recurrir a técnicas de recolección de información
asistidas por computadora, para deternünar la existencia y confiabilidad de los
 36 controles. Por ejemplo, para evaluar la existencia y con fiabilidad de los contro- Elau
CAPITULO 2 1('5 de un sistema en red, se requerirá el entrar a la red y evaluar directamente al
PI.ANEACION sistema.
OE LA AUDITOAJA
EN INFORMATlCA
• Dura
• Dura
• Dura

PRUEBAS DE CONTROLES DEL USUARIO En ge

sidcran q
pendenci,
1 Tipos de pruebas En algunos casos el auditor puede decidir el no confi~r en 1<» controle, internos nar esto:
dentro de las instalaciones informáhc,,s, porque el usuario ejerce controles que
compensan cualquier debi lidad dentro de los controles in ternos de informMica. • Aum1
Estas pruebas que corn pcnsan las deficiencias de los controles internos se pue- • Asign
den realizar median!«.' CUt'Stionarios, t'ntrevistas, ''istas y evaluaciones lu'Chas postl't
directamente con los u'uarios • Crear
audite
• Obten

Realiz
PRUEBAS SUSTANTIVAS lograr los
..,ubsistem,
c,1s de cad
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que subsistem
permita al auditor emitir ~u juicio en la• conclusiones acerca de cuándo pueden evaluación
ocurrir pérdidas materiales durante el procesamiento de la información. El a u· sin ol\·idar
ditor e\temo expresará L.,.te juicio en forma de opinión <obre cuándo puede
ex•shr un proceso equivocado o falta de control de la información. Se pueden
la SUil\
identificar ocho diferentes pruebas sustantivas:
sistem

• Pruebas para identificar errores en el procesamiento o de falta de seguri- Lospa•

dad o confidencialidad.
llo, que se
• Pruebas para asegurar la calidad de lo. datos . m vestigaci(
• Pruebas para identificar la inconsistencia de los datos. dt• cómo es
• Pruebas para comparar con los datO> o contadores físicos. llUe son pr(
• Confirmación de datos con fuentes externas. e-cm troles in
• Pruebas para confirmar la adecuada comunicación. rol ~~audite
• Pruebas para determinar falta de -eguridad .
troles que"'
• Pruebas para determinar problem,ls de legalidad . dimicntos. 1
,_.,, el audito
Debemos cuestion,, rnos el beneficio de tener un excesivo control o bien eva- dt:r con pas;
luar t•l beneficio marginal de tener mayo,· control contra e l costo que representa DurantE
éste. Para ello es necesario evaluar el costo por falla del !.i&tema, y sus repercu- cilcs. Cada
siones para determinar el grado de ri('Sgo y confianza necesarios contra el costo quu~re de ev
de implantación de controles y el coo;to de recuperación de la información o eta' obtenid
elimmadón de las repercusiones.
·ontro- El aud1tor debe partiopar en tr<>s ~t.1do-. del "'tema:
enteal
FASES
Dur.ntc la fase de diseño del sistcm.l DE LA AUOITOfliA
• [)ur.lnt<' !,1 fase de operacilln.
• Dur.mte la fase posterior a 1.1 auditoría.

En general, la opiruón del gcrmte dt• informática y de la alta gerenci,, con·

'idt·ran que el que el auditor participe t•n la tao,e dt' d1seño disminuye la mdc-
pcnd.,ncia del auditor, pero existen vari,,_ formas l'n las cuales se puede clinll·
nar t"to:
temo'
es que
nática. • Aumentando lo:. conocimientO'> en informJtica del auditor.
epue- • ,\s1gnar diferentes auditores a 1.1 fase de d1-cño, al trabajo de auditoría y al
'oeehas po-.tt•nor a la auditoría.
(~ar una ..ección de auditOrÍa en infurm,lhC.l dentro del departamento dt'
,tud1toría interno~ especializado l'n Judltoriil ~n informática.
• Obtt.)ncr mayor soporte de 1~ alta g(•rtmck•

Rea!J¿ar una auditoría en inform.ltic,, es un trabajo complejo. Por ello, para

logr.~r lob objetivos, el auditor necesita dividir los si&lemas en una serie dt•
~oub-.1"tt.1 n·hlS, identificando los cump<mt.'ntt.)s qu~ n•Jii/._ln las actividades bjsi-
ca' de cada bubsistema, evaluar la etmfl,m¿a de c.1da componente, )' la de lo'
te que •ub"'tt.'mas, y en forma agregada eval u M c,,d,l subsiStema hasta llegar a una
•eden rl'aluaCJón global sobre la confian7a tot.1l dt>l ,btema. Esto se deberá realiur
El au- $111 oh·1dar el postulado de investigación de operaaones, que nos señala que:
,......,¡e
•eden l.a suma de los óptimos parcaalc--. de h)S .. ub,ao;tl'm~ no ~ agual al óptimo dd
..l .. tl'md. pero nos da una buena apnl,am.luón

i!gUri· Lo' pasos que involucran una auditor~,¡ en mformática son similares a aquc-
lllh que ~ realizan para auditar un sistcm,l manual. Primero se realiza unil
mvt..,llg.,ción preliminar del área d•• inform.itic.l, P•"•' lograr un entendimiento
d~ ct\mo o.'stá siendo administrada la in,t,1lación y de los principales sistema'
que son procesados. En segundo lug.u, si el auditor determina confiar en los
controles internos del sistema, se re« liza una inw,llgación detallada. En tercc·
ro, ••1 auditor, de acuerdo con su juicio, prueba la confianLa sobre aquellos con-
trolt•, qut' son críticos. En cuarto, se rt.'ah-.ln pruebas sustantivas de los procl'
d1m1cntos. Finalmente, el auditor debe d.u u11.1 opmilln. Después de estos p.l·
~" •·1 auditor evalúa los control<" int,•m•" dt•l ,i,tt>ma y decide si debe proce-
leva- der con pasos alternativas.
senta Durante la aud.itoña en mformatica d<·bcn tomarse muchas decisiones difi·
~rcu·
o k"> Cada evaluación sobre la confianza de lo> >bh!ma> de control in temo l't'·
costo qui•·re de evaluaciones complejas re.1luadas en forma conjunta con las e\iden-
ión o ''·" obtenidas.
-~-38
CAPITULO 2
PLANEACIÓN
OE LA AUOITORIA
EvALUACióN DE LOS SISTEMAS INVE
EN INFORMATICA DE ACUERDO AL RIESGO
Es n~
quer
Una de las formas de evaluar la importancia que pu ede tener par~ la organiza- rápid
ción un determinado sistema, es considerar el riesgo que implica el que no sea msmc
utilizado adecuadam('ntt', la pérdida de la información o bien el que -.ea usado
por personal ajeno a la orgaiÚLlción. Para evaluar el riesgo de un sistema con La 1n
mayor detalle véa'>C ('] apartado "Plan de contingencia y pr()C('(jimientos de troJ gcrer
respaldo para casos de d~tre", en el capítulo 6. troles ger
Algunos sistemas de aplicacionc:> son de más alto riesgo que om¡, dt-b1do a prácticas
que: de la inst.
los contrr
• Son susceptibles a diferentes tipos de pérdida económica. dos sobre
aplicacior
1 Ejemplo Fraudes y desfalcos entre los cuales está n los sistemas financieros. Sede\
mento po
El auditor debe de poner L'Special a tención a aquellos sistemas que requie- documenl
ran de un adecuado control financie ro. p rograma
Sede~
1 Ejemplo Flujo de caja, inversiones cuentas por pagar y cobrar, nóm1na. dentro de
ria y la fec
• Las faUas pueden impactar grandemente a la organización. En el e
ción prdin
1 Ejemplo Una falla en el procesam•ento de la nóm111a puede tener como consecuencsa
pos de eón
el que se tenga una huelga.
nar se deb
áreas, ba.J
• Interfieren con otr~ >blcmas, y los errores generados permean a otros sis-
temas.
Admini$lr,
• Potencialmente, alto riL>sgo debido a daños en la competencia. Algunos sis-
departam
temas le dan a la orgamz.tción un nivel competitivo muy alto dentro de un
me rcado. dedocume
La efici
1 Ejemplo Sistema de planeación estratégica. Patentes, derechos de autor, los cuales objetivos e
son tas mayores fuentes de recursos de la organización. Otros a través de los adapta a lo
cuales su pérdida puede destruir la imagen de la organización. Est,t ad
usuarios d
• Sistemas de tecnología de punta o avanzada. Si los ~istemas utiliLan tecno- dirl•cción v
logía avanzada o de punta. dicho s~Sten
cutivos y u~
1 Ejemplo Sistemas de bases de datos, sistemas d•stnbuidos o de comunicacl6n, teooo- Asimisr.1
logía sobre la cual la OfV81\IZ3ción tenga muy poca expenencsa o respaldo. la que el pen.t
cual es más probable que sea una fuente de problemas de control. dos que <;e e
troJ. únrcam
• Sistemas de alto costo. Si~temas que son muy costosos de dt'Silrrollar, '"'
cuales son frecuentemente sistemas complejos que pueden pre:<entar mu-
chos p roblemas de control. 'Thc Sp
 INVESTIGACIÓN PRELIMINAR
E.< ne<•..,.no iniciar el traba,o d~ obtención dt> dato. con un contacto preliminar
que J"'nnota una pnmt>ra odea giOO..I El ~o dt> este primer contacto es percibir
;.miza- rápidamente las "'tructuras fundamentales y di!erencias principales entre el orga-
no sea ru ..mo a audltar y otras org.ltULloone que se hayan in\·estigado. 1
usado
na con L.1 investigación preliminar debe incorporar fases de evaluación del con-
tos de trol gerencial y del control de las aplicaciones. Durante la revisión de los con-
troles gerenciales e l audotor debe entender a la organización y las políticas y
.¡,ido a prácticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquía
de la instalación en que se encuentran las computadoras. Durante la revisión de
los <Xlntroles de las aplicacione~, el auditor deb<: enten der los controles ejerci-
dos sobre e l mayor tipo de transacciones que fluyen a través de los sistemas de
aplicaciones más significativos dentro de la instalación de computadoras.
Se debe recopilar información pMa obtener una visión general del departa-
mento por medio de observaciones, e ntre vistas preliminares y solicitudes de
equic- documentos; la finalidad es d efinir el objeti vo y alca nce del estudio, así como el
programa deta llado de la investigación.
Se deb<:rá observM el estado general del depa rtamento o área, s u situación
dentro de la organinción, si exisle la información solicitada, si es o no necesa-
ria y la fecha de ;u última actuali¡ación.
En el caso de la auditoría en ilúormática debemos comenzar la investiga-
ción preliminar con una visita al organismo, al área de informática y a los equi-
pos de cómputo, y solicitar una serie de documentos. La ilwestigación prelimi-
nar se debe hacer solicitando y revisando la ilúormación de cada una de las
áreas, basándose en los siguientt!>. puntos:
JS sis-

Admin istración. Se r<'COpíla la información para obtener una visión general del
lS sis-
departamento por medio de ob:icrvacioncs, entrevistas preliminares y solicitud
deun
de documentO'> para poder definir el ob¡etivo y alcances del departamento.
La eficiencia en el departamento de ilúormática sólo se puede lograr si sus
lS
objetivo, ~tán integrados con los de la mstitución y si permanentemente se
lS
adapta a los posibles cambios de éstos.
Esta adaptación tinicamente puede ser posible si los altos ejecutivos y los
usuanos de los 5istemas toman parte activa en las decisiones referentes a la
ecno- dirección y utili7ación de loo; sistemas de ÍIÚormación, y si el responsable de
dicho sistema constantemente consulta y pide asesoría y cooperación a los eje-
cutivos y usuarios.
)- Asimismo el control de la dirección de informática no es posible, a menos
a que el personal responsable aplique la misma disciplina de trabajo y Los méto-
dos que se exigen normalmente a los usuarios. Podemos habla r de tener el con-
trol, únicamente cuando se contemplaron los objetivos, se estableció un presu-
tr~ los
r mu-
'"Tht.• Spn•o~ding Dar.,;er u( Ctlmputl'r Cnme... l'n 8J4sme.;s W«k. 20 de abril de 1981
40 puesto y se registraron correctamente los costos en el desarrollo de la aplica- • Proc
CAPiTULO 2 ción_ y cuando ésta contempla el nivel de servicio en términos de calidad y • Pres1
PLANEACIÓN tiempos mínimos de entrega de resultados de la operación del computador.
OE LA AUOITORiA El éxito de la dirección de informática dentro de una organización depende Recu
EN INFORMÁTICA
finalmente de que todas las personas responsables adoptan una actitud positi-
va respecto a su trabajo y evalúen constantemente la eficiencia en su propio • Solic
trabajo, así como el desarrollado en su área, estableciendo metas y estándares local.
que incrementen su productividad. prog:
La dirección de informática, según las diferentes áreas de la organización, • Es tu<
es evaluada desde diferentes puntos de vista. • Fech1
Los usuarios a nivel operativo generalmente la ven como una herramienta • Conb
para incrementar su eficiencia en el trabajo. Para estos usuarios, la dirección de • Cont1
informática es una función de servicio. Cada grupo de usuarios tiene su propia • Conv
expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y • Con6
normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios. • Confi
Los altos ejecutivos consideran a la dirección de informática como una in- locali.
versión importante, que tiene la función de participar activamente en el cum- • Plane
plimiento de los objetivos de la organización. Por eUo, esperan un máximo del • Ubica
retomo de su inversión; esperan que los recursos destinados a la dirección de • Políti<
informática proporcionen un beneficio máximo a la organización y que ésta • Políti<
participe en la administración eficiente y en la minimización de los costos me- • Polític
diante información que permita una adecuada toma de decisiones. Los directi- extem
vos, con toda la razón, consideran que la organización cada día depende más
del área de uúormática y consecuentemente esperan que se deba administrar lo Sisterr
más eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la dirección de • Descri
informática es la misma que inspira cualquier departamento de servicio: com- larse, e
binar un servicio adecuado con una operación económica. • Manu~

El problema estriba en balancear el nivel de servicio a los usuarios, que • Manw

siempre puede ser incrementado a costa de un incremento del factor económico • Descri
o \'iceversa. • Diagra
Para poder analizar y dimensionar la estructura a auditar se debe solicitar: • Fecha •
• Proyec
A nivel organización total:
• Bases<
• Proced
• Sistem.
• Objetivos a corto y largo plazos.
• Manual de la organización. En el rr
• Antecedentes o historia del organismo. ción, deben
• Políticas generales.
• Se solic
A rúvel del área de informática: o
No
o
No
Requerimientos • Objetivos a corto y largo plazos.
de una auditarla • Manual de organización del área que incluya puestos, funciones, niveles
jerárquicos y tramos de mando.
• Se tiene
• Manual de políticas, reglamentos internos y lineamientos generales. o No
• Número de personas y puestos en el área. o Es i
 la aplica- Procedimientos administrativos dl'l .>ro.>a .
calidad y Presupuestos y costos del área. INVESTIGACION
utador. PRELIMINAR
1depende Ro.>cursos materiales y técnicos:
ud positi-
su propio Solicitar documentos sobre los equipos, así como el número de l'llos, MI
stándares localización y sus características (de los equipos instalados, por instalar y
programados).
lllización, • E.~tudios de viabilidad.
Fechas de instalación de los equipos y planes dl' instalación.
rramienta Contratos vigentes de compra, n.>nta y <.ervic10 de mantenimiento.
-ección de • Contratos de seguros.
su propia • Convenios que se tienen ron otras mstalaoon~-,.
mismo y • Configuración de los equipos y capacidad~ actuales y máximas.
usuarios. • Configuración de equipos de romuntcación (redes internas y externas) y
10 una in- Joc.1lización de Jos equipos.
nel cum- • Pl.1ncs de expansión.
íxímo del • Ub1cación general de los equ•p<».
ección de • Politicas de operación.
que ésta • Políticas de uso de los equipos.
~stos me- • Políticas de seguridad física y prevención contra contingencias internas y
lS directi- externas.
ende más
nistrar lo Sistemas:

ección de • 0.,-.cnpción general de lo- sistemas in~talados y de los que estén por in~ta­
cio: com- lan.e, que contengan volúmenes di' información.
\lanual de formas.
rios, que • Manual de procedimientos de lo, sistemas.
:onómico • [k,.cripción genérica.
• ()¡agramas de entrada, archi\'OS, 'Mllida.
• F~ocha de instalación de los si;tcmas.
solicitar:
• Proyecto de instalación de nuevos s•stcmilS.
Bases de datos, propietarios de la información y usuarios de la misma.
• Procedimientos y políticas en casos de desastre.
• Sbtcmas propios, rentados y adquiridos.

En el momento de hacer la planeación de la auditoría o bien en su realiza-

ción, debemos evaluar que pueden pri'SI'ntan;c las siguientes situaciones.

• Se solicita la información y se VI' que:

No se tiene y se necesita.
'lo se tiene y no se nC<.'CSita
, nil eles
• Se tiene la información pero:
o :-lo se usa.
o
Es incompleta.
 o
42 No está actualizada. En prime~
o No es la adecuada. zación, que dE
CAPfruLO 2
o
PLANEACIÓN Se usa_ está actualizada, es la adecuada y está completa. la auditoría,
DE LA AUDITORfA las reuniones
EN INFORMÁTICA
En el caso de que no se disponga d e la información y se considere que no se Éste es UD
necesita, se debe eva luar la causa por la q ue no es necesaria, ya que se puede di rccción, ni
Uso estar solicitando un tipo de información que debid o a las características del una o varias
de infonnación organismo no se requiera. Eso nos dará un parámetro muy importante para ción en el mo
hacer una adecuada planeación de la audito ría. También s
En el caso de que no se tenga la información pero que sea necesaria, se debe en el moment
recomendar q ue se elabore de acuerdo con las necesidades y con el uso que se le de comproba
va a dar. do, y complen
En el caso de que se tenga la información pero que no se utilice, se debe sólo el punto
analizar por qué no se usa. El motivo p uede ser que esté incompleta, que no esté del sistema.
actualizada, que no sea la adecuada_ etc. Hay que analizar y definir las causas Paracomp
para señala r alterna tivas de solución, lo q ue nos lleva a la utilización de la in- de la auditoría
formación.
En caso de que se tenga la información, se debe analizar si se usa, si está
actualizada, si es la adecuada y si está completa; de ser así, se considerará den-
• Técnico e
tro de las conclusiones d e la evaluación, ya que como se d ijo la aud itoría no sólo
• Conocimie
debe considerar errores, sino también señalar los aciertos.
• ExperiencH
Antes de conclu ir esta etapa no se olvide que el éxito del análisis critico
• Experienci
• Conocimiet
depende de las consideraciones siguientes: • Conocimi
caciones, d
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la • Conocimiet
información sin ftmd arnento). Investigar las causas, no los efectos.
• Ate nder razones, no excusas.
• No confiar en la memoria, pregunta r constantemente. En el caso1
mientes y expe1
• Criticar objetivamente y a fondo todos los informes y los datos recabados.
caciones, etcét<.>
Lo anterior
y experiencias !
con las caracte
PeRSONAL PARTICIPANTE Una vez pla
bilidad de pre
de auditores ext
Una de las partes más importantes e n la pla neación de la aud itoría en informá- La carta con
tica es el personal que deberá participar. su confirmació"
En este pu nto no veremos el nú mero d e personas q ue deberán participar, auditoría, las lin
ya que esto depende de las dimensiones d e la organización, de los sistemas y de dad y los inforrr
los equipos; lo que se deberá considerar son las ca racterísticas del personal que
habrá de participar en la a uditoría. Una vez que
Uno de los esquemas generalmente aceptados para tener un adecuado con- do en la figura 2.
trol es q ue el personal q ue intervenga esté debidamente capacitado, que tenga Este formato de
un alto sentido d e moralidad, al cual se le exija la o ptimización de recursos cuado control d i
(eficiencia) y se le retribuya o compense justamente por su trabajo. de formulación, 1
Con estas bases debemos considerar los conocinúentos, la práctica p rofe- dad, el número <
sional y la capacitación que debe tener el personal que intervendrá en la auditoria. mutación, el nÚf1
 En primer lugar, debemos pensar que hay personal asignado por la organi- 43
z~on, que deba tener el suficiente nivel para poder coordinar el desarrollo de
PERSONAL
la aud1toria, proporcionamos toda la inforrnación que se solicite y programar PARTICIPANTE
la> reuniones y entrevistas requeridas.
! nOse ~ste es un punto muy importante ya que, de no tener e l apoyo de la a lta
ouede dirección, ni contar con un grupo mu ltidisciplinorio e n d cual estén presentes
!Sdel una o varias personas del área a auditar, será casi imposible obtener inforrna-
~para aon en el momento y con las características deseadas.
Tambuin se debe contar con personas a;ignadas por los usuarios para que
!debe e1 el momento que se solicite inforrnación, o bien se efectúe alguna entrevista
ese le de comprobación de hipótesis, nos proporcionen aquello que se está solicitan-
do, 1· ((Implementen el grupo multidisciplinario, ya que debemos analizar no
debe sólo el punto de vista de la dirección de inforrnática, smo también el del usuario
oesté Jet "stema.
ausas Para complementar el grupo, como colaboradotl-s directos en la realización
la in- de la auditoría. se deben tener personas con las siguientes características:

i está •Técnico en informática. Carac:terfslic:as

den-
•Conociffilentos de administración, contaduría y finanzas. del personal
)SÓ)o
•Experiencia en el área de informática.
•Experiencia en operación y análisis d(• s is temas.
rítico
•Conocimientos y experiencia en psicologfa induotrial.
•Conocimiento de los sistemas operativo~, baS('S de datos, redes y comuni-
caCiones, dependiendo del área y características a auditar.
ni la
• Conocimientos de los sistemas más 1mportantes.

En el caso de sistemas complejos se deberá contar con personal con conoci-

!dOS. uurntos y experiencia en áreas especifica'> como bao,e de datos, redes, comuni-
caoo~~ e-tcétera.
lo anterior no significa que una ~la persona deba tener los conocimientos
y tx]X'rienaas señaladas, pero sí que deben intervenir una o varias personas
con lao características apuntadas
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posi-
bdidad de presentar la carta -convenio de servicios profesionales (en el caso
de auditores externos}- y el plan de trabajo.
1rmá- La carta convenio es un compromiso que e l auditor dirige a su cliente para
su confirmación de aceptación. En ella se ('Sp<.ocifican el obj~tivo y alcance de la
:ipar, auditoría, las limitaciones y la colaboración necesaria, el grado de responsabili-
.y de dad y loo informes que se han de entregar.
lque
üna n•z que se ha hecho la planeaeión, se puede utilizar el formato señala- Programa
ron- do<'ll la figura 2.1, el cual servirá para resumir el plan de trabajo de la auditoría. de auditoría
enga E•te forrnato de programa de auditoría no:. servir.i de base para llevar un ade-
lr.;()S nudu ctmtrol del desarrollo de la misma. En él figuran el organismo, la fecha
<k formulación. las fases y subfases que comprenden la descripción de la acti\' i-
rofe- dJ.l, el número de personas participantes. las fechas estimadas de inicio y tcr-
oría. mmaclón, el número de días haoiles y el número de días-hombre estimados.
44 El control del avance de la auditorio lo podemos llevar m~diante el form•>
CAPITuLO 2 de la figura 2.2. el cual nos permite cumplir con los procedimientos de control
PlAHEACION ase¡;uramo-. que el trabajo<;(' está Jle,·ando a cabo de acuerdo con el program.
DE LA ÁUOrTOOIÁ
EN INFORMÁTICÁ de auditoría, con 10!. ~cursos estimados yen el tiempo~>eñalado en la planeaci6n.
El hecho de contar con la información del avance permite que el trab
elaborado pueda ser revisado por cualquiera de nuestros asistentes.
Como ejemplo de propu~-sta de auditorfa en informática, véase la figura ~
y como ejemplo de contrato de auditoría en informática consúltese la figura 24
Flgur11 2.
el formato 45
e control y
PERSOt4Al
programa

rl
PARTICIPANTE
laneación.
trabajo

1 figura 2.3,
figura 2.4.
Agura 2.1. Programa de audltorla en Informática

OACN."'SMO HOJA MJIL; DE

FECHA DE F<:JRtA~LACION

NÚM. DEL PERIODO FSTIMADO OlAS olAs

FA&l DESCRIPCt()N ACTIVIDAD PERSONAL HAO HO..
PARTICIPANTE I~ICIO TtA..,.INO EST EST
-· -- -- --
46
CAPITULO 2
PLANEACIÓN
OE LA AUDITOA[A
EN INFORMÁTICA

Figura 2.2. Avance del cumplimiento del programa de auditoría en Informática

1.
ORGANISMO
-- NúM. HOJA NUf\L OE - - -
•
PEfUOOO OUE REPORTA •
•
•
SITUACIÓN DE LA AUOITOAIA PERkXIO REAl DE lA AVDITORtA
OlAS GRADO olAs
H<)M. EXPLICAOÓH OE LAS VA.RI~
•
REALES OE
FASE UTIUZA· AVAN· BRE NES EN RElACIÓN CON' LO •
NO INICIADA EN PROCESC TERM NADA INtCIAOA TERI¡IINAOA
oos CE EST PAOOIWAAOO •
•
•
•
•
•
2.
•

3
11

1!
1'
jemplo de propuesta de servicios de auditarla en Informática

:DENTES

ntecedentes específicos del proyecto de auditoría.)

fOS DE LA AUDITORÍA EN INFORMÁTICA

jetivo específico de la auditoría.)

:es DEL PROYECTO

!l proyecto comprende:

ín de la dirección de informática en lo que corresponde a:

·ganización.
iones.
tivos.
ctura.
rsos humanos.
1as y políticas .
.citación.
!S de trabajo.
·oles.
1dares.
iciones de trabajo.
ción presupuesta! y financiera.

m de los sistemas:

18Ción de los dilerentes sistemas en operación (flujo, procedí-

os, documentación, organización de archivos, estándares de
amación, controles, utilización de los sistemas, opiniones de
;u arios).
ación de avances de los sistemas en desarrollo y congruencia
1diseño general, control de proyectos, modularidad de los siste-
 Análisis de la segundad lógiCa y confidencialidad.
49 _ _..J
• Evaluación de los proyectos en desarrollo, prioridades y personal PERSONAl.
as1gnado. PAATlCIPNITE

• Evaluación de la partJc1pac1ón de auditoría interna.

• Evaluación de controles .
• Evaluac1ón de las liCencias. la obtención de derechos de autor y de
la confidenc1ahdad de la mfomnac1ón.
• Entrevistas con usuanos de los sistemas.
• Evaluación directa de la mfomnación obtemda contra las necesida·
des y requenm1entos de los usuanos.
• Análisis objetivo de la estructuración y flujo de los programas .
• Anáhsis y evaluación de la infomnación compilada.
• Elaboración de infomne.

3 Para la evaluación de los equipos se llevarán a cabo las siguientes acti·

vidades:
oonti·
Solicitud de los estudios de viabilidad, costo/beneficio y característi·
cas de los equipos actuales, proyectos sobre adquisición o amplia·
o las ción de equipo y su actualización.
Solicitud de contratos de compra o renta de los equipos.
• Solicilud de contratos de mantenimiento de los equipos .
ones, • Solicitud de contratos y convenios de respaldo.
Solicitud de contratos de seguros.
Bitácoras de los equipos.
• Elaboración de un cuestionarlo sobre la utilización de equipos, archi·
vos, unidades de entrada/salida, equipos periféricos, y su seguridad.
Vis1ta a las 1nstalac1ones y a los lugares de almacenamiento de ar-
chivos magnéticos .
Vis1ta técnica de comprobac1ón de segundad física y lógica de las
Instalaciones.
Evaluación técn1ca del s1stema eléctrico y ambiental de los equipos,
del local utilizado y en general de las instalaciones.
Evaluación de los SIStemas de seguridad de acceso.
• Evaluación de la 1nlomnación recopilada, obtención de gráficas, por·
centa¡es de utll1.2:ación de los equipos y su justificación.
yen • Elaboración de 1nfomne.

4. Elaborac1ón del infomne final, presentación y discusión del mismo, y pre·

sentac16n de conclusiones y recomendaciones.

V. TlEMPO Y COSTO

(Poner el tiempo en que se realizará et proyecto, de preferencia indicando el

bempo de cada una de las etapas: el costo del mismo, que incluya el perso·
nal participanle en la aud1toría y sus características, y la forma de pago.)
50 Figura 2.4. Ejemplo de contrato de audltorfa en Informática Segund~
CA PITULO 2 El alcanc
PLANEACOON Contrato de prestación de servocios profesionales de auditarla en informática contrato
DE LA AUDITORIA
EN ONFORMATICA que celebran por una parte
. representado por _ _ B) Eva
en su carácter de y que en lo suce-
sovo se denominará "el chente", por otra parte , • Q
~

representada por _ _ a
• ~

quien se denominará "el auditor", de conformidad con las declaraciones y • E

cláusulas siguientes: • ~
• F
•
DECLARACIONES
•
•
d
p
l. El cliente declara:
• o
a) Queesuna • ~
b) Que está representado para este acto por • e
y que tiene como su domicilio • S

e) Que requiere obtener servicios de auditoría en informática, por lo b)

q ue ha decidido contratar los servicios del auditor.
•
Ir
11. Declara el auditor:

a) Que es una socoedad anónima, constituida y existente de acuerdo

•
•
con las leyes y que dentro de sus objetivos primordiales está el de
prestar auditoría en onforrnática
te
b) Que está constituida legalmente según escrilura número de • E
fecha _ _ anle el notario público núm. P<
del • S!
Lic. • ~
e) Que señala como su domicilio _ _ __ 101
• E

e) Evaluc
111. Declaran ambas partes:
• A~
a) Que habiendo llegado a un acuerdo sobre lo anles mencionado, lo
• Ci
formalizan otorgando el presente contrato que se contiene en las
siguientes:
• Ut
• Es
• e~
CLÁUSULAS
• Nu
Primera. Objeto
• A Ir
El auditor se obliga a preslar al cliente los servicios de auditarla en informá· • Co
toca para llevar a cabo la evaluacoón de la dirección de onformática del cliente.
• Re
que se detallan en la propuesta de servicios anexa que, formada por las par·
• Eq
tes, forma parte integrante del contrato.
• Re
 Segunda. Alcance del trabajo 51
8 alcance de los trabajos que llevará a cabo el aud1tor 1ntemo dentro de este PERSONAL
contrato son PARTICIPANTE
nabca

a) Evaluaciones de la dirección de inlormátíca en lo que corresponde a:

[SUC8·
• Su organización .
a • Funciones.
lleSY • Estnuctura•
• Cumphm1ento de los obretiVOS
• Recursos humanos
• Normas y políticas .
• Capacitación .
• Planes de trabajo .
• Controles .
• Estándares .
• CondiCiones de trabaJO .
• S1tuación presupuestar y financiera .

por lo b) Evaluación de los sistemas

• Evaluación de los diferentes sistemas en operación (flujo, procedí·

mientos. documentación, organización de archivos, estándares de
programación, controles. Ulllizaeión de los SIStemas).
oordo • Op1mones de los usuanos
el de • EvaluaCión de avances de los sistemas en desarrollo y congrueooa
con el d1seño general. control de proyectos. modularidad de tos SIS·
temas.
de • Evaluación de prioridades y recursos asignados (humanos y equl-
núm. pos de cómputo).
• Seguridad lógica de los sistemas, confidencialidad y respaldos .
• Derechos de autor y secretos Industriales. de los Sistemas propios y
los ut•flzados por la orgamzación.
• Evaluación de las bases de datos.

e) Evaluación de los equipos:

o, lo • Adquisición, estudios de viabilidad y costo-beneficio .

• Capac1dades .
en las
• U!lhzac16n.
• Estandarización .
• Controles .
• Nuevos proyectos de adqUISICión .
• Almacenamiento .
• Comunicación .
~rmá-
lente, • Redes .
par- • Equipos adicionales .
• Respaldos de equipos .
52 • Contratos de compra, renta o renta con opción a compra. Octava. 1
CAPíTULO 2 • Planes y proyecciones de adquisición de nuevos equipos. El person
PLANEACIÓN
DE LA AUDITORIA
• Mantenimientos. queda ex¡
EN INFOAMÁTICA que el au
d) Evaluación de la seguridad: pecto al p
se derive
• Seguridad lógica y confidencialidad. cualquier
• Seguridad en el personal.
• Seguridad física. Novena.!
• Seguridad contra virus. El auditor
• Seguros. de este co
• Seguridad en la utilización de los equipos. se firnne ~
• Seguridad en la restauración de los equipos y de los sistemas. estimado 1
• Plan de contingencia y procedimientos en caso de desastre. dad con q1
cumplimieJ
e) Elaboración de informes que contengan conclusiones y recomendacio- por las pat
nes por cada uno de los trabajos señalados en los incisos a, b, e, d de del cliente
esta cláusula. cual deber
el program
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un progra- Décima. H
ma de trabajo en el que se determinen con precisión las actividades a reali· El cliente p
zar por cada una de las partes, los responsables de llevarlas a cabo y las
fechas de realización.

Cuarta. Supervisión
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le
han encomendado al auditor dentro de este contrato y a dar por escrito las
instrucciones que estime convenientes.

Quinta. Coordinación de los trabajos

inf
El cliente designará por parte de la organización a un coordinador del pro-
yecto, quien será el responsable de coordinar la recopilación de la informa·
Undécima.
ción que solicite el auditor, y de que las reuniones y entrevistas establecidas
El importe!
en el programa de trabajo se lleven a cabo en las fechas establecidas.
dos, hono,
auditoría, p
Sexta. Horario de trabajo
El personal del auditor dedicará el tiempo necesario para cumplir satisfacto-
Duodécim
riamente con los trabajos materia de la celebración de este contrato, de acuer·
En caso de
do al programa de trabajo convenido por ambas partes, y gozará de libertad
ción, demor
fuera del tiempo destinado al cumplimiento de las actividades, por lo que no
table al clie
estará sujeto a horarios y jornadas determinadas.
so y se señ!
Séptima. Personal asignado
El auditor designará para el desarrollo de los trabajos objeto de este contrato Decimoterc
a socios del despacho, quienes. cuando consideren necesario, incorporarán De ser nec~
contrato, la~
personal técnico capacitado de que dispone la firnna, en el número que se
requieran y de acuerdo a los trabajos a realizar.
 Octava. Relación laboral
53
El personal del auditor no tendrá ninguna relación laboral con el cliente y PERSONAL
PARTICIPANT E
queda expresamente estipulado que este contrato se suscribe en atención a
que el auditor en ningún momento se considera Intermediario del cliente res·
pecio al personal que ocupe para dar cumplimiento de las obligaciones que
se deriven de las retacoones entre él y su personal, y que exime al cliente de
cualquier responsabilidad que a este respecto exostiere.

Novena. Plazo de trabajo

El auditor se obliga a terminar los trabajos seflatados en la cláusula segunda
de este contrato en d ías hábiles después de la fecha en que
se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo
estimado para la terminación de los trabajos está con relación a la oportuni·
dad oon que el cliente entregue los documentos requeridos por el auditor y al
cumplimiento de las fechas estipuladas en el programa de trabajo aprobado
:laao- por las partes, por lo que cualquier retraso ocasiOnado por parte del personal
• dde del cliente o de usuarios de tos sistemas repercutirá en el plazo estipulado, el
cual deberá incrementarse de acuerdo a las nuevas fechas establecidas en
el programa de trabajo, sin perjuicio alguno para el auditor.

·ogra- Décima. Honorarios

reali· El cliente pagará al auditor por tos trabajos objeto del presente contrato, ho·
y las norarios por la cantidad de más
el impuesto al valor agregado correspondiente. La forma de pago será la
sogUiente:

se te a) % a la firma del contrato.

lo las b) % a los __ días hábiles después de iniciados los
trabajos.
e) % a la terminación de los trabajos y presentación del
informe final.
pro-
orma-
Undécima. Alcance de tos honorarios
:idas
El importe señalado en la cláusula décima compensará al auditor por suel-
dos, honorarios, organización y dirección técnica propia de los servicios de
auditoría, prestaciones sociales y laborales de su personal.
liC!o-
Duodécima. Incremento de honorarios
::uer·
En caso de que se tenga un retraso debido a la falla de entrega de informa·
311ad
ción, demora o cancelación de las reuniones, o cualquier otra causa impu·
e no
tabte al c liente, este contrato se incrementará en forma proporcional al retra·
so y se señalará el incremento de común acuerdo.

trato Decimotercera. Trabajos adicionales

arán De ser necesaria alguna adición a los alcances o productos del presente
ese contrato, las partes celebrarán por separado un convenio que formará parte
54
integrante de este instrumento y en forma conjunta se acordará el nuevo
CAPITuLO 2 costo.
PLANEACIÓN
DE LA AUDIT OR lA
EN INFOAMATICA Decimocuarta. VIáticos y pasajes
El importe de los viáticos y pasajes en que incurra el auditor en el traslado,
hospedaje y alimentación que requieran durante su permanencia en la ciu·
dad de , como oon·
secuencia de los trabajos objeto de este contrato, será por cuenta del cliente

Decimoquinta. Gastos generales

Los gastos de fotocopiado y d•bu10 que se produzcan con motovo de este
contrato correrán por cuenta del cloente

Decimosexta. Causas de rescisión

Serán causa de resc1sión del presente contrato la violación o 1ncumphmoento
de cualquiera de las cláusulas de este contrato.

Decimoséptima. Jurisdicción
OeJ
Todo lo no prev1sto en este contrato se regirá por las disposiciones relativas,
contenidas en el Código Civil del y, en caso de contro· Al finaliza
versia para su interpretación y cumplimiento, las partes se someten a la juns·
dicción de los tribunales federales. renunciando al fuero que les pueda co·
rresponder en razón de su domicilio presente o futuro.
Enteradas las partes del contenodo y alcance legal de este contrato. lo
rubncan y firman de conform1dad. en original y tres copias. en la ciudad de
• eldla

EL CLIENTE EL AUDITOR
)

Auditoría
CAPÍTULO
de la función
de informática

OBJETIVOS
Al finalizar este capitulo, usted:

1. Explicará la Importancia de la recolección de informacoón sobre la organiza-

ción que se va a aud1tar.
2. Describirá los pasos a seguir para realizar una adecuada evaluación de la
estructura orgánica de la organización a auditar.
3. Definirá los elementos a tomar en cuenta en la evaluación del personal de
una organizaCión.
4. Manejará una guía para entrevistar adecuadamente al personal de informá-
tica.
5. Conocerá la importancia de evaluar los recursos financieros y materiales de
una organización.
56 • r
• [
CAPiTuLO 3
AU04TORIA DE RecoPILACióN DE LA INFORMACióN e
LA Fuo.coOif DE • ~
INI'OAMÁTlCA
ORGANIZACIONAL • ~
• e
• e
• F
Una ve7 elaborada la planeación de la auditoría, la cual servirá como plan • E
•
mae~tro de lo~ tiempos, costos y prioridades, y como medio de control de la
auditarla, se debe empezar la recolección de la información. Para ello se pro-
•
"¡..
(¡

ceder.l a efectuar la revisión sistematizada del área, a través de los siguiente.

elementos: • lt
• p
A) Revisión de la estructura orgánica:
,.
• Jerarquías (definición de la autoridad lineal, funcional y de asesorta). F) Porú'
• Estructura orgánica. admlt
• Funciones .
• Objetivos . • o
• N
8) Se deberá revisar la situación de los recursos humanos. • PI
C) Entrevistas con e l personal de procesos electrónicos: • c.
• F.s
• Jefatura . • Pr
• AnJiisis.
• Programadores .
lA
• Operadores .
• Personal de bases de datos.
• Personal de comunicación y redes. • s•
• Per<onal de mantenimiento. m•
• Personal administrativo. • <;,
• Responsable de comunicaciones . • s•
• Responsable de Internet e Intranet. • s•
tl~
• Responsable de redes locales o nacionales.
• Responsable de sala de usuarios. • s•.
• Responsable de capacitación. da
• Sil
D) Se deberá conocer la situación en cuanto a: • s..
qu.
• P~upuesto. • Si•
• Recursos financieros . • Si t
• Recursos materiales. • Sts
• Mobiliario y equipo . • Sd
• Costos. • SI!
cor
E) Se hará un levantamiento del censo de recursos humanos y análisis de si- • Sis
tuadón en cuanto a: • Sis
 • Número de personas y distribución por árt'as. 57
• [Ñnomin,lción de puestos y personal d<' ron fianza y de base (sindica liza· RECOPILACION OE
do v no 'indicalizado). LA INFOf!W.CION
• S.1lario y roníormadón del mismo (prest.1dones y adiciones). ORGANilACIONAL
• Movimientos salariales.
• C.1p.1dtación (actual y programa de capacitación).
• Con(')cimientos.
• E-colaridad.
n • hpencnoa profesional.
a • '.nhguedad (en la organización. en el put-.to 1' t'n puestos sinulares
)o fuera de la organización).
'S • H.-tonal de trabajo.
• fndore de rotación del personal.
• Programa de capacitación (vigente y capaotacoón otorg.lda en el <ílti-
mo .1no).

F) Por ultomt>, se deberá revisar el grado de cumplomoento de los documentos

Jdm.nistriltivos:

• Organización.
• N<Jrma'> y políticas.
• Plan"' de traba¡o.
• Controle'
• E.'t.indarcs.
• l'rOC<.>dimit•ntos.

1..1 información nos sernrá para detcrmonar·

• So la.' responsabilidades en la org.m"aoón t>st.m defirudas adecuada-

m~nt(".

• S1 lil ~Mructu ra organizaciona1 est,l ac.h.•cul~U,l J 1,1s necesidades.

• So t'l control organizacional es el adecuado.
• So '" tienen los objetivos y polític," adt•cuad,l'>, >i "' cnetoentran vigen-
te;, y si están bien deHnidas.
• Si ••xish.' la documentación de las actividade,, funciones y responsabili·
d.ldE!b.
• Si los puestos se encuentran definido'> y <,t•ñalada"us responsabilidades.
• Si el an,ílisis y descripción de pue-tos cst.i de acuerdo ron el personal
que lo' ocupa.
• e;, "'cumplen los lineamiento, organi>acitmale-.
• So d ruwl de salarios está de acuerdo con d mercado de trabajo.
• e;, "'tiene un programa de capacitación adl'l'Uado y 'i se cumple ron él.
• Si los planes de trabajo concuerdan ron los ob¡clovos de la empres.1.
• S1 "-4_) cuc-nta con los recurSO!!t humano"t nt..'tt_l~o~.lrios que garanticen la
continuidad de la operación o si se cucnt.l con lo:, "indispensables".
• S• ~o,(' ~v,1lúan los planes y se dctcrmanan la' dt.'!-.Vl.lClOnes.
• So "'cumple con los procedimiento' y controlE!'> admtnistrativos.
58 la organización df.'be estar l"'lructurada de tal forma que permita lograr • ¿El o
C4PfTULO 3 eficiente y eficazmente los objetivos, y que esto se logre a través de una adecua- (Ene
AUOITOAfA OE da toma de decisiones. • ¿Cuá
lA FUNCION DE
INFORMÁTICA
Una forma de evaluar la form.1 en que la gerencia de informática se está • ¿Cuá
desempeñando I'S median te la !'valuación de las funciones que la alta gerencia • ¿Sed
debe rea liza r: o biea
que So
• ¿Sed
Funciones • Planeación. Determinar los objetivos del área y la forma en que ;e van a cuaci(
de la gerencia lograr estos objetivos. • ¿Sed(
O~ción. Pron-er de las facilidades, estructura, división del trabaJO, • ¿Sed(
responsabilidades, act1v1dades de grupo y personal necesario para realizar creme
las metas. • ¿Qut!
Recursos humanos. Selcooonando, capacitando y entrenando al personal • ¿Qué
requerido para realizur las metas. • ¿Cu.í~
• Dirección. Coord1nando las actividades, proveyendo lidcraLgo y guía, y • ¿Cuálo
motivando al personal. • ¿Cuál•
• Control. Comparando lo real contra lo planeado, como base para real1zar • ¿Cuál
los ajustes necesarios. • ¿Cuálo
• ¿Cuál

Despu
PRINCIPALES PLANES cificac1one
QUE SE REQUIEREN a sesores, r
ycomogu
DENTRO DE LA ORGANIZACIÓN
DE INFORMÁTICA
Planeacic
modifica<
Estudio de viabilidad

Investiga Jos costos y beneficios de los usos a largo plazo de las computadoras, Especifica l.
y recomienda cuándo dl'be o no usarse. En caso de requerirse el uso de¡,, compu· ymodificac
!ación, sirve para definir el tipo de hardware, el software y e l equipo periférico do la organ
y de comunicación ncct'Sarios para lograr los objetivos de la organi~ación. hardware, (
El estudio de viabilidad consiste en la evaluación para determinar, prime- Alguna
ro, si la computadora puede resolver o mejorar un determinado prOCL'<iu:nienlo,
y, segundo, cuál es la m¡,jor alternativa. Para lograr esto se deben de contL><;Iar • Espccif
una serie de pregunta~. entre la~ cuales están las siguiente-;: pcrífén
• Evaluac
• Planeac
• ¿la computadora r(";()lvcrJ o mejorará los procedimientos, funciones o ac· • Prueba<
tividades que se rcali.tan? • Envío e
• ¿La computadora mcjorarJ la información para lograr una adecuada toma • Particip
de decisiones? • Diseño o
níta lograr • ¿El costo de la infonn.itica proporcionará una adecuada tasa de retomo? 59
na adecua- (En este caso, uno de los mayores problemas es el de evaluar Jos intangibles.)
• ,Cuál es elJ"'nodo di' recuperación de la imersión?
lea se está • ,Cuál es la relación costo-beneficio que se obtendrá?
a gerencia • ¿Se debe d•.,.,rrollar un nuevo s•~tema o adquirir una nueva computadora.
o b1en hacer cambiOS al &~stema actual o actualizar el sistema de cómputo
que se tiene?
• ¿Se debe comprar o elaborar mtemamente los nuevos sistemas o las ade-
e se van a cuaciones?
¿Se deben comprar Jos equ1po>, rentar o rentar ron opción a compra?
el trabajo, ¿Se delx>n hacer camb•os estructurales en la organización para lograr el in-
ra reai.Uar cremento en las capacidades de proa.>samiento?
¿Qué pnorid,ld tiene el proyecto y para cuándo debe ser realizado?
1personal • ¿Qué caracteri~ticas tiene el sistema actual?
¿Cuáles son las ,ireas potenciales en que se usará el nuevo sistema?
y guía, y ¿Cuáles son las fortale,as y debilidades del sistema actual?
¿Cuáles son los recursos adicionales que se requerirán?
ra realizar • ¿Cuál es el impacto a informática a largo plazo?
• ¿Cuáles son las restricciones que se deben considerar?
• ¿Cuál es el proyecto (PERT) que se tiene para su implementación?

Después de contestar estas preguntas, se debe elabora r un manual de espe-

cificaciones para ser distribuido al personal de informática, a los vendedores o
asesores, para que les ~ltva de base para la contratació11, elaboración o compra,
l' como guía de referencia y control del proyecto.

Planeaclón de cambios,
modificaciones y actualización

01tadora>, Espeafica las metas y actividades que se deben realizar para lograr los cambi~
y modificacioneo;, su indeJ"'ndencia, tiempos, responsables y restricciones, ruan-
Jacompu-
do la orgam1.ación toma la deci~ión de hacer cambios sustanciales de software,
perilériro
hardware, comuntcación o eqwpo:> periféricos.
>Ción.
Algunas de la~ act1vidades tip•cas en este plan son:
lt, prime-
dimiento,
contestar Es~cificación completa de hardware, software, comunicación, equipos
periférico,.
• Evaluación y selección.
• Planeación física y preparación del lugar.
)nes o ac- • Prueba~ finales de aceptación.
• Envío e instalación .
ada toma • Participación del aud itor intemo y de los usuarios.
Diseño de 1.1 estructura organizadonal en caso de que se vea afectada.
60 Unpla'
Plan maestro gra r un det
CAPITULO 3
AUOITORfA OE cadas d entr
LA FUNCION OE
IN FORM ÁTICA
El p lan maestro o pla n cstr~tégico de una instalación informática define los
objetivos a la rgo pJa¿o y las me tas necesarias para logra rlo.
Una de las p rincipaii'S obligaciones del área de ge rencia en informática es
la construcción d e ul\ p lal\ maestro. El plan maestro debe contener los objeti- • ldentif
vos, metas y actividades genera le~ a realizar d urante Jos siguielltcs ailos, incl u- • ldentif
yendo los nuevos sistemas que se pretenden implementar. Puede comprellder • De tem
un periodo corto o largo, dependiel\do de las características y necesidades de la • Detem
organización, y de Jo cambiante de los sistemas. Una organiLación consolidada • Dele m
posiblemente requiera un plan maestro a más largo plazo que una organinción • Detern
de reciente creación.
El plan maestro puede comprender cuatro subplanes:
Plan de!
A) El p lan estratégico de organización. incluye los objetivos de la organización continge
a largo p lazo, el med io ambiente, los factores organizacionalcs que serán
afectados, así como sus priorid ades, el person al reqt •crido, su actualiza- en caso•
ción, d esarrollo y capacitación.
Una insta!.
B) El plan estratégico de sistemas de illformación. Se debe elaboro ,· el plan
razones: hr
estratégico y Jos objetivos planteados a largo p lazo dentro de un plan estra-
tégico de información, y las implicaciones que tendrá dentro de la organi- mas d el ec
ocurre ncia
zación en general y en la organización de informática.
ni2ación. S
d eben lenE
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los
d e recupcr
objetivos planteados.
en cuentre~

D) El plan de aplicaciones de sistemas de información. Define los sistemas de

topara la•
aplicaciones que se desarrollarán, asociados con las prioridades y con el
periodo en que serán implantados:

• Adquisición o desarrollo de sistemas y su programa de trabajo.

•

•
Pla neación de desarrollo y capacitación de l personal llecesario, o bien
su contratación.
Recursos financieros que se necesita rán.
EvAL
• Reque rimiento de (acilidades.
• Requerimientos de cambios en la o rganización. Para logra
d e organi2

Plan de proyectos • O rgan

• Funcic
Consiste en el plan básico para desarrollar determinado sistema y para asegu- • Objeti
rarse que el proyecto es consistente con las metas y objetivos de la organización • Análi~
y con aquellos señalados en el plan maestro. Es importante que este p lan no • Manu;
sólo contemple los sistemas, sino también las prioridades y el momento en el • Manu.
cual se desarrollarán los sistemas. • lnstru
 Un plan de proyectos debe contener l,ls actividades básicas para poder lo- 61
grar un determinado proyecto. Las principale& tareas que deben estar especifi- EVALUACION DE
cadas dentro de un p lan de proyecto son: LA ESTRUCT\JAA
1e Jos ORGÁNICA

ica es
>bjeti- Identificar las tareas a realizar.
ndu- Identificar las relaciones entre tareas.
!'llder Oo!terminar las restricciones de tiempo de cada tarea del proyecto.
de la • 0\,terminar los recursos necesarios para cada tarea.
.dada • 0\,terminar cualquier otra restricción que ..e tenga .
ación • ~terminar la secuencia de actividades.

Plan de seguridad: seguros,

ación contingencias y recuperación
;erán
iliza- en caso de siniestro

plan Una instalación de informática está expuesta a s ufrir un desastre po r muchas

!Stra- razones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, probl<'-
mas del L'quipo. Se debe tener un plan que permita eliminar en lo posible la
gani-
ocurrencia de un desastre o de pérdida por caus.1S m temas o externas a la orga-
nización. Se debe contar con una adecuada planeación sobre los seguros que se
~rlos
deb.:n tener en caso de que ocurra un desastre. Tamb•én se debe tener un plan
de rcruperación para que en caso de que ocurra un desastre la instalación se
enCUL'Iltre en funcionamiento en el menor tiempo p<>">ible y con el menor impac-
to para la organización.
lSde
on el

bien
EvALUACióN DE LA ESTRUCTURA ORGÁNICA

Para lograr la evaluación de la estructura o rgánica se deberá solicitar el manua l

de organización de la dirección. el cual deberá comprender, como mínimo:

Organigrama con jerarquías.

Funciones.
egu- • {)b¡<!tivos y políticas.
Kión • An.ilisJs, descripción y evaluación de pue:.tos.
n no • Manual de procedimientos.
en el • Manua 1de normas.
Instructivos de trabajo o guías de actividad.
 Las n
62 También se deben solicitar:
perfectarr
CAPfruLO 3 lugares d·
AUOITOAiA OE • Objetivos de la dirección. e n un lug
LA FUNCIÓN DE
INFORMÁTICA
• Políticas y normas de la dirección. otro lugar
• Planeación. cio nesqu<
tener bien
El director de informática y aquellas personas que tengan un cargo directi- La ve.
vo deben llenar los cuestionarios sobre estructura orgánica, funciones, objeti- centraliza•
vos y polfticas. se debe te1
Básicamente, el departamento de informática puede estar dentro de a lguno dcpartam<
de estos tipos de dependencia: zos o la dl
En la a
A) Depende de alguna dirección o gerencia, la cual, normalmente, es la
dónde re<
d irección de finanzas. Esto se debe a que inicialmente informática, o departa- uti lizadas
mento de procesamiento electrónico de datos, nombre con que se le conocía, nizacións<
procesaba p rincipalmente sistemas de tipo contable, financiero o administrati- muy claro
vo; por ejemplo, la contabilidad, la nómina, ventas o facturación. es el respo
El que informática dependa del usuario principal, normalmente se presenta zación del
en estructuras pequeñas o bien que inician en e l área de informática. La ventaja Dentro
que tiene es q ue no se crea una estructura adicional para e l área de informática y d e tener m
permite que el usuario p rincipal tenga un mayor control sobre sus sistemas. los sistema
La desventaja principal es q ue Jos otros usuarios son considerados como te la creado
secundarios y normalmente no se les da la importancia y prioridad requerida. pero con la
Otra desventaja es que, como la información es poder, a veces hace que un área sistema der
tenga un mayor poder. También, en ocasiones, sucede q ue el gerente o director Laresp
d el área usuaria del cual depende informática tiene muy poco conocimiento d e y en qué gr•
uúormática; ello ocasiona que el jefe de informática cree una isla dentro de la tralizada o'
gerencia y que acuerde directamente con otras gerencias usuarias, lo que da ntación ocu
lugar a problemas con las lfneas de autoridad. Este tipo de organización se usa- minicompu
ba cuando comenzó el área de informática, y en la actualidad sólo es recomen - e l desarrolle
d able para instalaciones muy pequeñas. tener polític
B) La segunda posibi lidad es que la dirección de informática dependa de la ción deequi
gerencia general; esto puede ser en lfnea o bien en forma de asesoría. sición de e<;
Dirección La ventaja de alguna de estas o rganizaciones es que el director de informá- cual hace nE
de informática tica podrá tener wl nivel adecuado dentro de la organización, lo cual le permi- mas y plata!
tirá lograr una mejor comunicación con los departamentos usuarios y, por lo D) La Cl
tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo pend iente <[1
con Jos lineamientos dados por la gerencia general.
La desventaja es que aumentan los niveles de la organización, lo que eleva-
rá e l costo de la utilización de los sistemas de cómputo.
C) La tercera posibilidad es para estructuras m uy grandes, en las que hay
bases de datos, redes o bien equipos en diferentes lugares.
En esta estructura se considera la administración corporativa. La dirección
EsrRu
de informática depende de la gerencia general, y existen departamentos de in-
formática dentro de las demás gerencias, las cuales reciben todas las normas,
Un o de los el
polfticas, proced imientos y estánda res de la d irección de informática, aunque
Un personal
funcionalmente dependan de la gerencia a la cual están adscritas. La dirección
repercute dir
de informátíca es la responsable de las políticas, normatividad y controles.
 Las funciones, organuación y poüticas de los departamentos deben estar 63
f"'rl.clamente definida., para evitar la duplicidad de mando y el que en dos
lugares d1ferentes se ~hin desarrollando los mismos sistemas, o bien que sólo
en un lugar se programe y no se permita usar los equipos para programar en
otro lugar que no sea la dirección de informática. Esto se puede dar en instala-
aonéS que tengan equ•po en varias ciudades o lugares, y para evitarlo se deben
ten<r b•en definidas las políticas y funciones de todas las áreas.
cargo directi- La venta¡a pnncipal de esta organización consiste en que se puede tener
jones, objeti-
<~trali1ada la información (base de datos) y descentralizados los equipos; pero
;.>debe tener una adecuada coordinación entre la dirección de informática y los
1m de alguno
J~artamcnt~ de inform.ítica de bs áreas usuarias para evitar duplicar esfuer-
105 o la duplicidad de mando.

!mente, es la
En la actualidad, con la proliferación de computadoras personales y la crea-
oón de redes tanto internas como externas, así como de bases de datos que son
:a, o departa- utilit.ndns por diferentes usuarios a diversas profundidades, este tipo de orga-
;e le conocía,
niución se puede considerar romo la más recomendable. Lo que hay que tener
administra ti- muy claro es que en eMe tipo de organización el departamento de informática
"'el responsable de las normas y políticas de adquisición de equipo y de utili-
e se presenta zación del mismo.
a. La ventaja
Dentro de esta misma forma de organiz.ación se debe evalua r la posibilidad
nformática y
de tener uM estructura por proyectos, lo cual permitirá que los diseñadores de
listemas.
los sistemas estén más n•rca de las drcas usuarias. Esto se puede lograr median-
~rados como
~~ la creación de una fuerza de trabajo independiente, con todos los recursos,
d requerida.
f"'rO con la obligación de cumplir con los objetivos y metas señalados para un
que un área •ist~ma dentro de los diferentes planes.
te o director
la nespuesta a si un tipo de organización corporativa es la más conveniente
>ámiento de
¡·en qu~ grado está en función de la decisión sobre tener una organización cen-
dentro de la
tralizada o descentralizada, La descentralización del procesamiento de la infor-
s, lo que da
mación ocurre cm la actuaüdad romo algo natural, debido al incremento de las
teión se usa- mmicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar
es recomen-
d dí.'Sarrollo, implementación y adquisición de equipos y de software, se deben
tener politicas de descentralización muy bien definidas, para evitar la prolifera-
penda de la
aon de equipo y de o;oftware que impida la adecuada comunicación y la adqui-
la.
'ICIÓn de equipo no compatible, y que dificulte la integridad de los datos, lo
demformá-
cual hace necesario que el personal sea entrenado en diferentes equipos, si,;te-
alle pemú- m.lS y plataformas.
;)5 y, por lo
O) La cuarta forma de organi7.ación es la creación de una compañía inde-
de acuerdo
pendiente que dé servicio de mlorm.ítica a la organización-
•que ele,·a-

as que hay

a dirección
EsTRUCTURA ORGÁNICA
ntos de in-
as normas,
l..no de los elementos mós críticos e:, e l relativo al personal y a su o rgani<ación,
:a, aunque
Un personal calificado, motivado, entrenado y con la adecuada remuneración,
1 dirección
repercute directamente en el buen desempeño del área de informática.
•troles.
64 Bases jurídícas {principalmente ¿Permil
CAPiTULO 3 en el sector público)
AUOITORIA DE C<
LA FUNCIÓN D E • C<
INFORMÁTICA
• To
A continuación ofrecemos unos cuestionarios que servirán para evaluar la
orgánica y las bases jurídicas:
estructura Si algun¡

¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigenles?

sí NO
No, ¿por qué razón?
• Ma
• Me
¿Cuáles son tos ordenamientos legales en que se sustenta la dirección? ¿Por qué

OBJETIVO DE LA ESTRUCTURA

¿La estructura actual está encaminada a la consecución de los objetivos del ¿Se consi
área? Explique en qué forma. dida actu<

No, ¿por e

¿Permite la estructura actual que se lleven a cabo con eficiencia:

• Les atribuciones encomendadas? SÍ NO ¿El área y

Las funciones establecidas? si NO
• Le distribución del lrabajo? si NO
• El control inlerno? si NO No, ¿qué •

Si alguna de las respuestas es negativa, explique cuál es la razón.

Se debe te
NIVELES JERÁRQUICOS
to, ya que
dan a los p
Es conveniente conocer los niveles jerárquicos para poder evaluar si son los
necesarios y si están bien definidos. ¿Los pues•
llevar a cab
¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del área? SI NO No, ¿porqc

¿Cuáles y por qué son sus recomendaciones?

¿El número
con las fun(
¿Permften los niveles jerárquicos actuales que se desarrolle adecuadamente la:
Solicile el m
• Operación? sr NO
• Supervisión? sr NO • Anáh~
• Control? sr NO Progra
 ¿Permiten los niveles actuales que se tenga una ágil: 65
EVALUACIÓN DE
Comunicación ascendente? sJ NO LA ESTRUCTURA
Comunicación descendente? sJ NO ORGÁNICA
Toma de decisiones? sJ NO

Si alguna de las respuestas es negativa, explique cuál es la razón.

V19entes?
NO
.Considera que algunas áreas deberían tener:

Mayor jerarquía? sJ NO
Menor ¡erarqula? sJ NO

DEPAATAMENTALIZACIÓN

ob¡etiVos del ¿Se cons1deran adecuados los departamentos, áreas y oficmas en que está d1v1·
d1da actualmente la estructura de la dirección? si NO

No, ¿por qué razón?

0 EI área y sus subáreas llenen delimitadas con clandad sus responsabilidades?

si NO

No ¿qué efectos provoca esta s•tuaCIC)n?

PUESTOS

Se debe tener cuidado de que estén bien definidas las funciones de cada pues·
to ya que desafortunadamente ex1ste mucha confus1ón en los nombres que se
dan a los puestos dentro del med10 de la Informática.
s1 son tos
¿Los puestos actuales son adecuados a las necesidades que tiene el área para
llevar a cabo sus funciones? si NO
y suliclentes
SI NO No. ¿por qué razón?

¿El número de empleados que traba¡a actualmente es adecuado para cumplir

con las funciones encomerldadas? SI NO

Sol10te et manual de descnpCIC)n de puestos de:

SI NO
si NO • Análisis.
si NO Programación.
66
• Técnocos.
CAPITULO 3 Operación.
AUDITOAAA DE
LA FUNCIO>I DE
• Captura.
INFORMÁTICA • Admonostrador de bases de datos.
Comunicación y redes.
• Ooreccoón
• Admintstrativos.
Otros.

Poda la planlolla del personal. Se debe especolocar el numero de personas que

reportan a las personas que a su vez reportan a cada puesto, ya sea:

• D~rector
• Subdirector.
• Jefes de depanamento. So exp que
• Jefes de seccoón.
• Jetes de área.

¿El número de personas es el adecuadO en cada uno de los puestos?

SI NO

¿Sí? ¿Por qué?

----- -- ---- FuNel

No. ¿cuál es el número de personal que consideraría adecuado? Señale el puesto
o los puestos La fu ncwnes t
d g nt'tl con

EXPECTATIVAS

Dentro de las expectatovas se po oeden detectar. en algunas ocasiones, detooer>-

coas y frustracoones de las personas.
¿Se han es

¿COnsidera qua debe revisarse fa estructura actual. a f n de hacerla más efi- Por qué no?
Ciente? s1 NO

¿Sí? ¿Por qué razón? (,Las fu•nr~vd

¿Por qué no

¿Cuál es la estructura que propondría?

, Están por e
-------
De reahznr una modificación a la estructura, ¿cuándo considera que debería
hacerse?
cua es 1a
 AUTORIDAD 67
,Se encuentra definoda adecuadamente la linea de autondad? SI HO EVAI.UACION OC
,No por qué razón? LA ESTRUCTURA
ORGÁNICA

---
,su autondad va de acuerdo a su responsabilidad?
SI HO
,No, por qué razón?
Que

¿En su área se han presentado conflictos por el ejercicio de la aulondad?

SI HO

S e•pl>que en qué casos.

¿Existe en el área algún sistema de sugerencias y quejas por parte dol personal?
• HO

FuNCIONEs
ISIO
L 'funciones en infonn.itica puedl'n diferir de un organismo a otro, aunque <oe
dr"gnen con d mismo nombre; por ejemplo, la función del programador en
~a organización puede <oer diferente en otra organización. Ofrecemos a conti·
nuJdón un cuestionario para eva luar las funciones.

EXISTENCIA

¿Se han establecido funciones del area?

SI HO
,,. ¿Porqué no?

,Les tunc.ones eslán de acuerdo con las atribuciones legales?

SI HO
¿Por Qué no eslán de acuerdo?

¿Están por escnto en algun documento las runciOiles del área? s•

,Cuál es la causa de que no estén por escnto?

• ---
¿Cuál os la forma de darlas a conocer?

--------
68
¿Ou•án elaboró las funcoones? Sonada<~
CAPfT\11.0 3
AUDITORIA DE
LA F\JioiCIÓN DE En caso
tN.OAMATICA ¿PartiCipó el área en su lormulación?

e
¿Por qué causas no partiCipó?

¿Quién las autonzó o aprobó?

COINCIDENCIAS

Se debe tener CUidado en que se conozcan las funciones del área.

¿Las funciones están encam1nadas a la consecución de los objetivos lnshtuaona·

les e internos? s1 NO No ¿por qué?
No. ¿por qué?

¿Cómo afecta
¿Las funciones del área están acordes al reglamento interior? SI NO

No, ¿en qué considera que difieren?

¿A qué n1vel se conocen las funciones del área?

No ¿por qué?
¿Conocen otras áreas las funciones del área? S NO

No. ¿por qué?

¿Consoelera que se deben dar a conocer? SI NO

No. ¿por qué?

ADECUADAS

Debemos tener cuídado. ya que en esta área podemos detectar malestares ele\
personal, debido a que SI las funciones no son adecuadas a las necesidades
pueden ex1sttr problemas de deftnición de funCiones o bien de cargas de traba¡o.
No. ¿por qué?
¿Son adecuadas a la realidad las funciones? SI NO

En caso negativo, ¿por qué no son adecuadas?

¿Las aCttVtd8~
astgnadas?
 ,Soo adecuadas a las necesidades actuales? SI 69
NO

En caso negatovo, ¿por qué no? EVALUACIÓN DE

lA ESTFIUCTURA
---------- ORGANICA

,CtJáles son sus principales limitaciones?

¿Soo adecuadas a las cargas de traba¡o?

Sl NO

¿Ex sten conflictos por las cargas de traba¡o desequilibradas? SI NO

,De qué bpo?

---- ------
•na· ,Se toene contemplada la desconcentracoón? SI NO
No, ¿por Qué?

--
¿Cómo afecta la desconcentraclón a las funcoones?

----
,Oué func:íones se van a desconcentrar?
-------- - -
¿Partocopó la direccion de onformátoca en su elaboración?
SI NO

No. ¿por qué?

CUMPLIMIENTO

Esta sección nos sirve para evaluar el grado de cumplimiento de las funciones
de! personal.

¿Están delimitadas fas funcoones?

¿A Miel de departamento?
Si NO

¿A novel de puesto?
si NO

-
No. ¿porqué?

----
¿Las actovodades que realiza el personal son acordes a las runcoones que llene
asignadas? SI NO
70 No, ¿qué t1po de act1v1dades realiza que no están acordes a las func1ones
CAPITULO 3 asignadas?
AUOITOAIA CE
LA FUNCIÓN DE ¿Para cum
INFORMATICA
¿Cuál es la causa?
¿De qué l1p

¿Quién las ordena?

¿Cuál es el

¿Las actividades que realiza actualmente cumplen en su totalidad con las fun· ¿Se lo prop
aones confendas? 81 HO
No, ¿que le
No, ¿cuál es su grado de cumpllffilento?

No. ¿cómo1
La falta de cumphm1ento de sus funciOnes es por.

• Fatta de personal SI HO ¿Con qué fn

• Personal no capecltado. SI HO
• Cargas de trabajo excesivas. si HO
• Porque realiza otras actividades. SI HO Para cumplh
• La forma en que las ordena SI HO

¿Cuáles funciones realiza en forma: Si, ¿qué tiPQ

Periód1ca?
¿A cuántas 1
• Eventual?
¿Cuáles son
SIStemátiCa?

Otras?

¿ Ex1ste dupt
¿Tienen programas y tareas encomendadas? SI NO
Si, ¿qué conl
No, ¿porqué?

¿Existe duphc
¿Permiten cumplir con los programas y tareas encomendadas (necesidades de
operación)? • NO Si, ¿cuáles y

No, ¿por qué causas?

¿Qué conllic1i

¿OUJen es el responsable de ordenar que se e¡ecuten las act11ndades?

¿La dupf!Cidae

En caso de realizar otras actJvidades. ¿qwén las ordena y autonza?

Sí, ¿cuál es la

En caso de no encontrarse el jefe 1nmed1ato, ¿qu.én lo puede realizar? No, ¿cuál es s

es
APOYOS 71
¿Para cumpl~r con sus funciones requiere de apoyos de otras áreas?
EVALUACIÓN DE
lA ESTRUCTURA
¿De qué topo? SI 1<0 OllGN<OCA

¿Cuál es el área que proporciona el apoyo?

---
n-
¿Sa lo proporcionan con oportunidad?
si NO

No. ¿que le ocasoona?

No. ¿como resuelve esa falta de apoyo?

-------
¿Con qué frecuencoa lo soliCita?
-----
Para cumplir con sus tunciooes, ¿proporaona apoyos a ollaS areas?
SI 1<0
So ¿que bpo de apoyo proporciona?
-------
¿A cuántas áreas?
-----
¿Cuáles son?
-------------
DUPUCIDAD
¿Exoste duplicidad de !unciones en la misma área? S{ t-0

Sí, ¿qué conlhctos ocasiona y cuáles tuncoones?

¿EXIste dupl•e>dad de funaones en otras areas? SI 1<0

Si. ¿cuáles y dónde?

¿Qué oonlloctos ocasJona?

-- --
¿la duplicidad de funciones se debe a quo el área no puede realozanas?
1<0
Si, ¿cuál es la razón?

No, ¿cuál es su opinión al respecto?

- - - - - -- - -
72 ¿Se pueden eliminar func1ones? ¿Cuál?
CAPITULO 3
AUDITORiA DE Si, ¿cuáles?
LA FUNCION DE
INFORMÁTICA
¿De qul
¿Se pueden transferir funcionas? SI NO
¿Cómo
Si, ¿cuáles y adónde?

¿Permite la dupliCidad que se dé el control 1ntemo?

No, ¿por qué? ¿Se har

¿En q.,.
¿Por qu1
OBJETIVOS
¿Qué pn
Uno de los posibles problcmds o descontentos que puede tener el peroon.1 l es l'l
desconocimiento de los objetivos de la organización, lo C\IOI puede deberse a
una falta de definición de los objetivos; esto provoca que no se pueda tener una
planeación adecuada.
Ofrecemos un cuc;honario que sirve para evaluar los ObJetivos. ¿Se han

EXISTENCIA ¿A quoén

¿Se han establecido objetovos para et área? 111 NO

t.Ou én q
¿Quien tos estableció?

¿Qué m6
¿Cuál fue el métOdo para el estabfec1moento de los obJetovos?

¿Participó el área en su establecomiento? ¿Por que

NO

¿Cuáles fueron las principales ralones de la selección de tos objetovos?

¿Constde
¿Los objetivos establecidos son congruentes con: ¿Cómo al
• Los de la dirección? SI NO dado a ce
• Los de la subdirección? SI NO
• Los det departamento/ohc1na? SI NO
• Los de otros departamentos/ofoconas? &1 NO

¿Por qué no se han establecido obJebvos para el área? ¿Abarcan

<-Qué asp
Nadie le ex1ge establecerlos &1 NO

Consodera Importante que Se establelcan. ¿Los ob¡e

Es responsabilidad de otra área establecer los objetivos SI NO ¿Son real
 73
EVALUACION DE
LA ESTRUCTURA
,De qué manera planea el trabajO del area? ClAGÁI<ICA

¿Cómo afecta la operactón del área el no tener establectdos los ob¡ettvos?

FORMALES

,se han deltnido por escnto los ob¡ettvos del área? sj NO

¿En qué documentos? (Recabartos.)

--~----~--

¿Por qué no están defintdos por escnto?

- -- -- -- -- -- -- -- --
les el ¿Oué problemas se han derivado de asta situación?
~rse a ----------- -----
runa
CONOCIMIENTO

¿Se han dado a conocer los ob¡etivos?

SI r-.'0
,A qutén se han dado a con~r?

¿Outén mas deberla conocerlos?

¿Qué método se ha utilltado para dar a conocer los objetivos?

¿Por qué no se han dado a conocer los ob¡etlvos?

----------
, Considera tmportante que los conozca el personal?

¿Cómo afecta a la operaclón del área el hecho de que los ob¡etivos no se hayan
oado a conocer o que su COilOClmtento sea parcial?

ADECUADOS

¿Abarcan los objet•vos toda la operact6n del área?

SI NO

, Oué aspectos no se cubren?

----
¿Los objetivos son Claros y preosos?
SI NO

¿Son realistas?
SJ NO
74 ¿Se pueden alcanzar? SI NO ¿Quién re~

CAPITuL03
AUOITORIA OE ¿Por qué?
lA fUNCI()tl OE ¿De qué
INFORMATOCA
¿Están de acuerdo con las funciOnes del área? SI NO
¿Part1C1pa
¿Se~alan cuáles son las realizaciones esperadas? si NO
¿Cuándo
¿Son congruentes con los obJeUvos Institucionales? si NO

¿Sirven de guía al personal? SI NO ¿De qué

¿Sirven para motivar al personal? SI NO

¿Por que
¿Se han estableCido para el corto, med.ano y largo plazos?

¿Qué adecuaciones puede sugenr para los objetivos actuales? ¿Qués

CUMPLIMIENTO

¿En qué grado se cumplen los obJetivos?

¿Existen mecan1smos para conocer el grado de cumpl1m1ento de los objetivos?

ANÁL
si NO
l'ntr~ las d
SI, ¿cuáles?
mformátic;
61,1. Las fu
No, ¿de qué manera se establece el grado de cumplimiento? m~1dor, en
M' han di
m,1dor l, pi
¿Se elabora algún reporte sobre el grado de avanoe en el cumplimiento de los
ob¡ehvos? s; NO
F.sto h
nivL•Ies, fll
¿Para qu1én y con qué frecuenCia? (Recabar datos.) ellos consi•
mdu el gra
l.ls que COl
¿Qwén elabom este reporte? analizar la
funciones
¿Qué se hace en caso de desv1ación en el cumplim1ento de los ob¡etiVos? niv<'ll.'s de
S1 no 1
,,ctuol plaj
¿Qué sugerencia puede hacer para lograr el cumplimiento lotal de los objetivos? 1m,1gen gt
Criter
ACTUALIZACIÓN
• Agrul
¿Se reVIsan los objetiVOS? si NO • Agru)
• Local
¿Por s1stema? • Local
realíz
 ¿Quién revisa los objetivos? 75
EVALUACtON DE
LA ESTRUCTURA
,De qué manera se lleva a cabo la revisión? ORGÁNICA

.Pat1Jcipa el área en la actualización de los ob¡etivos? Sl NO

,Cuándo se hizo la úillma revisión de los objetivos?

¿Oe qué manera se Incorporan las modificaciones denvadas de las revisiones?

,Por qué no se revtsan los ob¡etivos?

¿Qué sugerencias tiene para que la actualización de los objetivos sea más eficaz?

ANÁLISIS DE ORGANIZACIONES
Entre ldS diferentes formas de la estructura organizacional de la dirección de
mfonnática no existe una evaluación concreta y aceptada de las funciones de
esta. Las funciones que en una organización son consideradas como de progra·
mador, en otra pueden ser de analista o de analista programador, y en algunas
se han d ividido ciertas funciones con diferentes niveles, por ejemplo, progra·
mador 1, programador 11, et~tcra.
Esto ha dado por resu ltado que, al no existir una definición clara de los
niveles, funciones y conocímicntos, las personas se designen con el titulo que
ellos consideran pertinente; por ejemplo, ingeniero en sistemas (sin haber obte·
nido el grado), analista de si<. temas, o bien que en algunos países existan escue-
las que confieran grados académicos que no son reconocidos oficialmente. Al
111alinr las organizaciones debemos tener muy en cuenta si están definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
niveles de la organización.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el Elaboración
actual plan de organización, ya que esto facilita el estud io y proporciona una del organigrama
imagen general de la organización.
Criterios para analizar o rganigramas:

• Agrupar funciones similan.'S y relacionarlas entre sí.

• Agrupar funciones que sean compatibles.
• Localizar la actividad cerca de la función a la que sirva.
• Localizar la actividad cerca o dentro de la función meJOr preparada para
realizarla.
76 • No asignar la misma función a dos personas o entidades di ferentes. ¿Se deja •
CAPiTULO 3 • Separar las funciones de control y aquellas que serán objeto del mismo .
AUDITORIA DE • Ningún puesto debe tener dos o más líneas de dependencia jerárquica. ¿Está cap
LA FUNCION DE
INFORMÁTICA
• El tramo de control no debe ser exagerado, ni muy nu merosos los niveles
jerá rquicos.
No, ¿por e
Cuando se estudia la estru ctura o rgánica es importante hacer algunas anota-
ciones sobre las tareas asignad as a cada puesto y responder las siguientes pre-
guntas: ¿Es eficaz

• ¿Existen líneas de autorid ad jus ti ficadas? No, ¿por q

• ¿Hay una extra li mitación de funciones?
• ¿Hay demasiada supervisión de funcionarios?
¿Es adecu
• ¿Es excesiva la supervis ión en general?
• ¿Hay agrupamientos ilógicos en las unid ades? No, ¿por q1
• ¿Hay uniformidad en las asignaciones?

¿Es freC<Jel

EvALUACióN DE Los RECURsos HUMANOS ¿El persoo

No, anote r
El desarrollo del personal implica:
• Establecer p romociones y oportunidades de desarrollo. En general,
• Educación y capacitación. Estas actividades mantienen la moral y las habi- cidos?
lidades de los empleados en w1 nivel adecuado para cumplir con los objeti-
vos y metas encomendadas, y les permitirá tener mayor motivación y mejo· No, ¿por qu
res rcmw1eracioncs. En el área d e informática es muy importante la capaci-
tación para tener actualizado a nuestro personal en una disciplina en la que
¿Alguna de
puede quedarse rezagado muy rápidamente, aunque, por o tro lado, debido trabajo?
a la presión de tiempo con la que se trabaja, en muchas ocasiones no se le da
al personal la oportunidad para capacitarse. Si, ¿qué se

Se deberá obtener información sobre la situación del personal del área, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyección ¿Respeta el
de recursos humanos. A continuación tm ejemp lo de cuestionario para obtener
información sobre los siguientes aspectos: No, ¿porqu•

• Desempeño y comportamiento.
• Condiciones de ambiente de trabajo. ¿Existe coo~
• Organ ización en el trabajo.
• Desarrollo y motivación.
No, ¿por qué
• Capacitación y supervisión.
--~

DESEMPEÑO Y CUMPLIMIENTO ¿El personal

¿Es suficiente el número de personal para el desarrollo de las funciones del ¿Presenta el
área? si NO
 ¿Se de¡a de realizar alguna actividad por falta de personal? si n
10.
EVAlUACIÓN DE
a. ¿Está capac1tado el personal para realizar con eficacia sus funciones? lOS RECURSOS
veles Si NO HUMANOS

No, ¿por qué?

nota-
pr!'-
¿Es ehcaz en el cumplimiento de sus funciOnes?

No, ¿por qué?

¿Es adecuada la calidad del trabaJO del personal? s/ NO

No. ¿porqué?

¿Es frecuente la repetiCión de los traba¡os encomendados? SI NO

¿El personal es d1screto en el manejo de lnformac1ón confldenc1al?

Si NO

No, anote repercusiones.

En general, ¿acala el personal las poht1cas, s1stemas y procedimientos estable-

bi- Cidos? • NO
~ti-
;o- No, ¿porqué?
ci-
ue
do ¿Alguna de las sotuac.ones antenores provoca un desequd1bno de las cargas de
~ba~ • NO
da
$1, ¿qué se hace al respecto?
ra
ín ¿Respeta el personal la autoridad eslableclda? SI NO
er
No, ¿por qué?

¿Exoste cooperaciÓn por parte del personal para la realización del trabajo?
SI NO

No, ,por qué?

¿El personal bene atan de superaCIÓn? Sl NO

¿Presenta el personal sugerencias para me¡orar el desempel\o actual?

SI NO
.___78 ¿Cómo cons1dera las sugerencias?
CAPITULO 3
AUOOORIAOE ~Cómo
LA FUNCIÓN DE
¿Qué tratamiento se les da?
INFORMATICA

¿Se toman en cuenta las sugerencias de los empleados?

¿En qué forma?

¿Cómo se les da respuesta a las sugerencias? ¿Porqué

CAPACITA CIÓN ~Cómo

Uno de los puntos que se deben evaluar con más detalle dentro del area de
mformática es la capaotación; esto se debe al proceso cambiante y al desarrolo
~Por qué
de nuevas tecnologlas en el área.

Los programas de capacrtación Incluyen al personal de:

,cual es
Drrección. ( )
• Análisis . ( )
• Programación• ( )
• Operación . ( )
Administración. ( )
• Admimstrador de bases de datos. ( )
• Comunlcac1onos redes. ( )
• Captura. ( )
• Otros (espeCJftque). ( )

¿Se han ldenbhcado las necesidades actUales y futuras de capaotacrón del per»
nal del área? Sj NO

No, ¿por qué?

¿Se desarrollan programas de capacitación para el personal del área

SI NO

No, ¿porqué?

¿Apoya la supenondad la realización de estos programas? si NO

¿Se evalúan los resultados de los programas de capacrlaCJón? SI NO

No, ¿por qué?

SoriCrte el plan de capacrtación para el presente año. ¿Cua es

 SUPERVISIÓN
f VAlUACION De
,Cómo se lleva a cabo la supervisión del personal? LOS RECURSOS
HUMANOS

En caso de no realizarse, ¿por qué no se realiza?

Cómo se controlan el ausenbsm() y los relardos del personal?

,Por qué no se llevan controles?

,Como se evalua el desempeño del personal?

:le
lo
,P., qué no se evalúa?
¿Cuál es la ftnahdad de la evaluación del personal?

LIMITANTES

¿Cuáles son los princtpales factores externos que limrtan el desempeño del perso-
nal del área?

¿Cual es et •nctoc:e de ro1ación de personal en.

AnáfiSIS? ( )
Operactón? ( )
Admtntstraclón? ( )
Captura? ( )
Programación? ( )
Dirección? ( )
• Adm n straCtón de bases de datos? ( )
ComuntC&CIOnes redes? ( )
Tecnocos? ( )
Otros? (espectftque). ( )

En términos generales. ¿se adapta el personal al mejoramiento administrativo

(resistencia al cambio)? SI NO

¿Cuál es et grado de d scíplina del personal?

80 ¿Cuál es el grado de asistencia y puntualidad del personal?
CAPíTULO 3
AUOITORIA DE
LA FUNCION DE Nor
INFORMÁTICA
¿Existe una pollt1ca uniforme y consistente para sancionar la Indisciplina del tant
personal? SI NO test
bier
¿Se lleva a efecto esta política? SI NO pod

¿Puede el personal presentar que¡as y/o problemas? 8i NO ¿Es

S ¿cómo se SOiucoonan?
•
¿Otras áreas externas presentan que¡as sobre la capacidad y/o atención del •
personal del área? SI NO
SI, 1
Sí, ¿qué tratamiento se les da?

No,
¿Cómo se otorgan los ascensos, promociones y aumentos salariales?

Co
¿Cómo se controlan las fallas y ausenllsmos? 2ac~

¿Cuáles son las pnncopales causas de faltas y ausentismo?

Elar
1mpo

CONDICIONES DE TRABAJO
¿El¡
Para poder traba¡ar se reqUiere que se tenga una adecuada área de trabaJO. con
mayor razón en un área en la que se debe hacer un trabaJO de 1nvest1gac1ón e No,,
intelectual.

¿Conoce el reglamento lnteroor de trabajo el personal del área? SI NO ¿Cu

¿Se apoyan en él para solucionar los conflictos laborales? si NO

¿Cól
No, ¿por qué?

¿So
¿Cómo son las relacoones labOrales del área con el su\chcato?
•
•
¿Se presentan problemas con frecuencia? •
SI. ¿en qué aspectos? •
•
•
¿Cómo se resuelven?
 REMUNERACIONES 81
EVAlUACIÓN DE
LOS RECURSOS
Nonnalmente las personas estAr> onc:onformes con su remuneraCión. Es impor· HUMANOS
el ·ante evaluar que tan coerta es esta onconformidad o so está dada por otros ma·
lestares aunque sean señalados como inconformodad en las remuneraciones, o
t>en puede deberse a que se desconoce cómo se evalúa a la persona para
poder darle una me¡or remuneracoón.

,Está el personal adecuadamente remunerado con respecto a:

Trabajo desempe~ado?
• Puestos simolares en otras organozacoones?
Puestos slmolares en otras áreas?
el

SI. ¿cómo repereuto?

No, ¿cómo repercute?

Conseguir información sobre tos sueldos de tos mismos niveles en otras organi·
zac1ones.
AMBIENTE

El ambiente en el área de informática, principalmente en programación, es muy

importante para lograr un adecuado desarrollo.

¿El personal esté Integrado como grupo de trabajo? SI NO

n
No, ¿por qué?
e

¿Cuál es et grado de convovencia del personal?

¿Cómo se aprovecha esto para mejorar el ambiente de trabajo?

,Son adecuadas las condocoones amboentales con respecto a:

Espacio del área? si NO

• llumonación? si NO
• Ventolación? si NO
• Equipo de oficina? SI NO
• Moblllaroo? si NO
Ruodo? si NO
Limpieza y/o aseo? si NO
Instalaciones sanotarlas? si NO
• Instalaciones de comunicación? si NO
82 ORGANIZACIÓN DEL TRABAJO dl>S<·~:n ext
CAPIT\II.O 3 nado.... Ene
AUOITOAlA OE ¿Par1K:Ipa en la se18CCI6n del personal? poder haet
LA FUNCION OE
IN"ORMATICA qm• la' op1
No. ¿por qué? b .. to nc

¿Qué repercus100es llene?

• Gr.1do

¿Se prevén las neces1dades de personal con antenondad:

• Gr,ldo
h\OS.

En cant1dad? sj NO • ~..lh ... ta•

• C.1paci
En calidad? SI NO • Ob>-crv
No. ¿por qué?

Ofrt•cc•
¿Eslá prevista la sustitución del personal clave? SI NO

No, ¿por qué?

1 No
DESARROLLO Y MOTIVACIÓN 2 Pue
3 Put
¿Cómo se lleva a cabo la Introducción y el desarrollo del personal del área? 4. Pue
5. Nur
En caso de no realiZarse. ¿por qué no se realiza? 6. 0..
7 A~
8 Acd
¿Cómo se realiza la mo~vación del personal del área? 9 ¿C<
10 ¿CO
11 Scll
¿Cómo se esbmuta y se recompensa al personal del área? 12 En
CS11
¿Ex•sta oportunidad de ascensos y promociones? sj NO
13 ¿C6
14 ,C6
¿Qué pollttCB hay al respecto? 15 ¿Có
16 ,eo
\7 ¿Sd
t8 Metl
allo
t9 ¿Cól
ENTREVISTAS CON EL PERSONAL 20 Obsi

DE INFORMÁTICA NOTA En e
lnlormát.ca
5<- d~bt>r,in Cfl'Ctuar entrevistas con el personal de informática, para lo cual puf.'de lnlc•ales E
entrevistarse a un grupo de personas elegidas, sin dejar de señalar que quienes nas y com
84 6. ¿
p
CAPf'ruLO 3
AUDITORiAOE
SITUACIÓN PRESUPUESTAL y FINANCIERA
LA FUNCIÓN DE t)
INFORMÁTICA
S
e
A
G
In
PRESUPUESTOS S
o
Se obtendrá información presupuesta) y financiera del departamento, así como
del nümero de equ ipos y características para hacer un análisis de su situación 7. ¿1
desde un punto de vista económico. Entre esta itúormación se encuentra: e
A1
• Costos del departamento, desglosado por áreas y controles. Al
• Presupuesto del departamento, desglosado por áreas. Ro
• Características de los equipos, nümero de ellos y contratos. MI
01
NOTA: Se deberán pedir los costos, presupuestos y ca racterísticas de los equi-
pos señalados en los puntos anteriores, además de contestar el cuestionario, del 8. ¿(
cual se ofrece un ejemplo a continuación:
Ce
RE
1. ¿Cual es el gasto total anual del área de informática incluyendo renta del El¡
M¡
equipo y administración del centro de cómputo (gastos directos o indirectos)?
Ot

2. ¿Existe un sistema de contabilidad de costos por: Pueden

este caSI
• Usuario?
• Por aplicación?

3. ¿Conocen los usuarios los costos de sus aplicaciones? sr NO

4. ¿Los reportes de costo permiten la comparación de lo gastado en la direc-

ción de informática contra lo presupuestado? SI NO

A continua
5. Cite a los principales proveedores de su dirección en materia de:
recursos fu
Proveedor Vol umen anual

Mobiliario en general
Consumibles ¿Quién ir
Equipo
Software
Mantenimiento ¿Se respo
Equipo auxiliar
Papelería No, ¿en q
Cintas, discos, etcétera
 6. ¿Cuáles cargos adicionales se mane¡an por separado fuera del contrato? 85
A Ponga una X en ellos. SITUACION
PRESUPUESTAL
Utilización del equipo. ( ) V FINANCIERA
Servicio de mantenimiento. ( )
Capacitación del personal. ( )
Asesoría en sistemas de cómputo. ( )
Gastos de instalación del equipo. ( )
Impuestos federales, estatales, munocopales y especiales. ( )
Seguros de transporte y compra de equipo. ( )
Otros (especifíquelos). ( )

así romo
situación 7 ¿Cuál es la situación jurídiCa del equopo (especoflcar por equipo)?
otra;
Compra del equipo. ( )
Renta del equipo. ( )
Renta con opción a compra. ( )
Renta de tiempo máquina. ( )
Maquila. ( )
Otro, ¿cuál?
loscqui-
1ario, del 8. ¿Cuál es la situación jurídica del software (especlhcar por software)?

Compra. (
Renta. (
del Elaborado internamente. (
rectos)? Maquila. (
Olro, ¿cuál?

Pueden exosbr drterentes situaciones juridocas de los equopos y del software; en

este caso se debe especifocar la situación de cada uno.

Jire<:· RECURSOS FINANCIEROS

}

A oontio1uación, se ofrecen algunas preguntas útiles para abordar e l tema de los

recu o·sos financieros.

FORMULACIÓN

¿Ouoén ontervoene en la lormutación del presupuesto del área?

,Se respetan los planteamientos presupuestales del área? SI NO

No. ¿en qué partidas no se ha respetado y en qué monto?

.___ 86
ADECUACIÓN En cas
CAPITuLO 3
AUOITORiA DE
defic1e1
¿Los recursos hnanc1eros con que cuenta el área, son suf•c•enres para alcanzar
LA F\JNCIÓN DE
INFORMÁnCA
los objet1vos y metas establec•dos? •• NO

¿Qué 1
No, ¿qué efectos se han tenido en el área al no contar con suficientes recursos
financieros?

¿Se cu
RECURSOS MATERIALES desarrc

(.POr q
PROGRAMACIÓN

¿Existe un programa sobre los requenmientos del area? SI NO

¿Qué personas del área 1nterv1enen en su elaborac1ón?

¿Actua
equ1po
¿Se respetan los planteamientos del área? SI NO
¿Qué s
No, ¿en qué aspectos no se respetan?

¿ConO(

ADECUACIÓN
(.Qué r
¿Los recursos matenales que se le proporcionan al área, son sui!Cientes para
cumplir con las funciones encomendadas? 81 NO
¿Exista
No, ¿en qué no son sufiCientes?

(.EXIste
¿Los recursos malenates se proporcionan oportunamente? 81 NO
¿Cuate
¿Cuáles son las pnnclpeles hm1tac1ones que tiene el área en cuanto a los recur·
sos materiales?

¿Qué sugerencias harlan para superar las limitaciones actuales?

¿Que s
SERVICIOS GENERALES
¿Sobre
¿Ex1ste un programa sobre los servicios generales que requiere el área?
81 NO
¿Con
¿Considera los S81'111C108 generales que se propo<coooan al área

• Adecuados? (.Se rae

• Suficientes? correctl
Oportunos?
 SITUACIÓN
s para aJcanz• PRESUPUESTAI..
SI NO YANANCIERA
IUgl<ei1CI8S hanan para superar las Imitaciones actuales?

MOBILIARIO Y EQUIPO

r:~= coo el equ po y mob llano adecuados y en cantidad sufiCiente ¡>ara

f su traba¡o? si NO

SI NO adecuadamente d1st"buldos en el área de trabajo?

menle se están dejando de realizar actividades por falta de material y

1 ~ ~
SI NO
se hace para solucionar este problema?

oce esta SituaCión el jefe de la unidad?

S•
et serviCIO de manten1m1onto del equipo?

Sí NO
S NO

,Oué se hace con el equ1po en desuso?

,Sobre quién recae la responsabilidad del equipo?

?
10

¿Con qué frecuen1C1a se renuevan el equipo y mobiliario?

¿Se recogen op1n1ones y sugerencias que nos permitan establecer las medidas
oorrectivas con las cuales lograr un mojor funiCionamiento de estos recursos?
 Evaluación
CAPÍTULO
de los sistemas

OBJETIVOS
Al finalizar este capítulo, usted:

1. Evaluará si las organi~aciones que se van a audilar cuentan con los slste·
mas necesarios para cumplir con sus funciones.
2. Explicará la importancia de la evaluación del disei'lo lógico de un sistema y
de su desarrollo.
3. Dehmrá las características pnncipales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocerá el contenido mínimo que deben tener los instructivos de operación
de los sistemas.
5. Describirá cuáles son los trabajos que se deben realizar para iniciar la opera-
ción de un sistema.
6. Explicará la importancia de las entrevistas a los usuanos para comparar los
datos con los proporcionados por la dirección de Informática.
7. Conocerá los seííalamientos pnncipales relacionados con los derechos de
autor y la informática.
90
CAPITUL04
EVALUACION E vALUACióN DE SISTEMAS bien p u
paquetes
DE LOS SISTEMAS
Por ~'ll'mll
Existen dtversas formas por medio de las cuales las organizacione<; puedm cont.: disenadoE
con el 5oftware necesario para cumplir con sus requerimientO!>; entre ella. se tes llldl
encuenltan: pul.'d,• tt!n
paqul'lc
Elaborado por el usuario, o bien un software comercial. El que el usuario ela- por dos d
bore un determmado software tiene las siguientes ventajas: normalmente e; cu.11 p ued
desarrollado para cubrir todas las necesidades del usuario; puede ser modifia~­ '.vare <¡ue
do de acuerdo a las necesidades de la organilaáón; contiene si~temas de segu- mandos y
ridad propios. Aunque tiene estas desventa¡as: es m.is costoso; su tiempo df usar paqú
implementación es más largo, su m;mtenim iento y actua lizaciÓI'\, normalmente tt!ner _,¡ ir
no se hacen sobre una base periódica. nli(~ntos d
Ald
Softwar~ compartido o regalado. Normalmente se trata de un 5oftware ;ena- de adquui
Uo elaborado para computadoras personales, que puede ser conseguido o bajo zación "'C
costo vía Internet. El peligro de .,.;te tipo de <.Oftware es que puede no cumplir
con todas nuestras necesidades, además de que se debe tener cuidado con los pero rcqu
programas pirata o con virus.
L.1 cla
Se debe considerar la librería de programas de aplicación. Sin importar la llc, pa ra 1
forma de desarrollo, los prograrn<b siempre !>Dn escntos para correr en un de- mas hasta
terminado sistema operativo. Un elemento importante del sistema operativo ..
la cantidad y d iversidad de programds de aplicación que son escritas en él, lo • Existe
cual se conoce como la librería de programas de aplicación. Es 1mportante 1t> gram~
mar en cuenta el Sistema operativo utilizado, ya que puede ser un tipo de <IS!e-
ma operativo conocido como "propietario", e l cual sólo puede ser usado en
• b."te
('htiln
máquinas de un determinado prove~.>dor. \ (_}o.;._

Software transportable (portability). Se cons1dcra que un software es portableo • lo,;n

t.~flcier
transportable cuando 1) tiene d ifc•·cntes versiones para diferentes sistemas
operativO!>, cuando 2) puede cambiarse entre dos o más sistema~ operativo-.,
cuando 3) puede 5er fácilmente convertido de un sistema operatJvo a otro. t:r El pla
software que es transportable permite, aparentemente, usar el mismo progra· fu turo, co
ma de aplicación sin importar e l sistema computacional. Se puede usar en una
gran computadora (mainframe) o en una minicomputador<~, o cambiar entre di· • ,Cuá)
ferentes tipos de m1nicomputadoras. Una organización que obtiene un software • ,Cuár
que tiene diferentes versiones, pero que en esencia es el mismo, lo cual signifia~ • ¿Qué
que es transportable, ahorra tiempo en entrenamiento y en personal, y permite • ¿Cuá~
el que fácilmente se mueva de un trabajo a otro o bien en diferentes Jugare..
1.1 cst
Un solo usuario o multiusuario. Como en el caso de los sistemas operativo,;, cursos q uo
los programas de aplicación pueden 5er para un solo usuario o para una vari~ .,;tar<>n fu
dad de usuarios.
• ¿Qué
Categoriución del software de aplicación por us11ario. El software puede o;cr • ¿Qué
catalogado como: de propó>otos generales, de funciOne!> específicas o especifico • ,Qué
de la industria. • ¿Qué
 Softwu~ a la medida de la oficina. El software comercial puede ser vendido, o 91 _ __)
l>i<!n puede -er elaborado Internamente como paquetes individuales o como EVALUACION
paquetes mtegrales v compatible~ que son diSeñados para trabajar en conjunto. DE SaSTEJ.IAS
Poretl'mplo, un paqu~tl' <>laborado en Cobol. o una hoja de cálculo, pueden ser
dbtñados para traba¡ar !o6lo con un determinado sistema operativo. Los paque-
llllar
res indi•iduales pueden oca~íonar muchos problemas, ya que por ejemplo se
ISse
puede te.wr un magnifico paquete de presupuest~ que sea incompatible con el
paquete de contabahdad Sa dos paquetes son diseñados en forma indi,idual
ela- por dO!i difcrent•"' compañías, es muy probable que no sean compatibles, lo
-e es cual puede repercutir en aumento de llempo, costo y entrenamiento. Un soft-
fica- ware que es compatibl~ e integrado permite que sus menús, apuntadores, co-
'8"- mandos)' ayudas sean aguak>s y que las salidas del sistema sean compatibles. El
>de u:.ar paquetes de software compatib le, tiene grandes beneficios, aunque puede
~nte tener el inconvenacnte de que no lodO!> los paquetes cumplan con los requeri-
mientos de Jos usuJrios.
Al de•arrollar un dctcrmmado sistema se debe cuidar si habrá necesidad
nci· de adquirir sistt.>mas o lenguajes proptedad de una compañía, que para su utm-
>ajo zación se requ ie ra de una licencia específica, lo cu al p uede ser muy costoso, o
plir bien "casarnos" con un determinado proveedor, lo cual puede ser conveniente
los pero requiere de una evaluación muy deta llad a.
La elaboración o adquisición de sistemas debe evaluarse con mucho deta-
rla lle, para lo cua l se debe revisar desde la planeación y elaboración de los siste-
de- mas hasta su desarrollo e implementación. Se d eberá evaluar sí:
> es
, lo Existen realmente sistemas entrelazados como un todo o bien si exist-en pro-
to- gramas aislado..
.te- • Existe un plan e"tratt'gico para la elaboración de los sistemas o b ien si se
en están elaborando Stn el adecuado !.eñalamaento de prioridades y de objeti-
vos.
• Los recursos son los adl>cuados y sa se están utilizando en forma eficaz y
eo eficiente.
aas
,o
El plan estratégaco debcr.i establecer los servidos que se prestarán en un
Jn tuturo, conte.tando pr.'gUnla~ romo la.~ saguaentes:
na
Ji-
•
•
¿Cuales <en,oos se tmplementar.in?
¿Cuándo se pondrán a das~ición de los usuarios?
El plan est111téglco 1
!fe
• ¿Qué características te-ndrán?
ca • ¿Cu.intos recur-os se requenran?
t-e
La estTatcgia de de,.,rrollo debcr.i e,tablecer las nuevas aplicaciones y re-
cursos que proporcionar,¡ la darección de uúormática y la arquitectura en que
estarán fundamentados:

¿Qué aplicaciones o;cr,\n dc«arrolladas y cuándo?

¿Qué tapo de archavos se des.urollar.ín y cuándo?
:o ¿Qué bases de datos serii n desarrolladas y cuándo?
¿Qué lenguajes se uti li zarán y en qut! software?
92 • ¿Qué tecnología será utilir.ada y cuándo se implementará? • tl
CAPÍTUL04 • ¿Cuántos recursos se requerirán aproximadamente? d
EVALUACI0tl • ¿Cuál es aproximadamente el monto de la inversión en hardware y soft
.
OE LOS SISTEMAS ware? () Di se

En Jo referente a la consulta a los usuarios, el plan estratégico debe delirio • E

los requerimientos de información de la organizadón: d
• ll
• ¿Qué estudios van a ser realizados al respecto?
• ¿Qué metodología :,e utilizará para d ichos estud ios? O) Disd
• ¿Quién administrará y rea liza rá estos estudios?
• ¡;
En el área de auditoría interna debe evaluarse cuál ha sido la participaci6r • ll
del auditor y Jos controles e~tablecidos. e
Por último, el plan cstr.ltégico determina la planeadón de los recursos. ~
• I
• ¿Contempla el plan estr.ltégico las ventajas de la nueva tecnología? • [
• ¿Cuáles serán los conocimientos requeridos por los recursos humanos pb·
neados? •
• ¿Se contemplan en la estructura organizacional los nuevos niveles jerárqui· f) Dio;e,
ros requeridos por d plan estratégico?
• ¿Cuál es la inversión requerida en servicios, dcsanollo y consulta a los usu•· • (
rios? e
• ll
El proceso de planeación de sistemas deberá asegurarse de que todos lo! • ~
recursos requeridos estén claramente identificados en el plan de desarrollo <le
aplicaciones y datos.
Estos recursos (hardware, software y comunicaciones) deberán ser compa- f) lm¡
tibles con la estrategia de la arquitectura de la temología con que se cuenta
actualmente. •
Pa ra identificar Jos problemas de los sistemas primero debemos detectar •
Jos sin tomas, los cuales son un reflejo del área problemátim; después de anali- •
zar Jos sfntomas podremos definir y detectar las causas, parte medular de la
aud itoría. •
Se deben reunir todos los síntomas y distinguirlos antes de señalar las cau-
sas, evitando tomar los ~in tomas como causas y dejando fuera todo lo que sean G) Pn
rumores sin fundamento. COl
los sistemas deben !-<!r C\•aluados de acuerdo con el ciclo de vida que nor·
malmente siguen. Para ello, se recomiendan los siguientes pasos: •
•
A) Definición del problema y •-equerimientos del usuario. Examinar y evaluar •
los problemas y características del sistema actual, sea manual, mecánico o
electrónico, así como los requerimientos po r pa rte del usuario. H) So¡
B) Estudio de factibilidad: nu•
fae
• Desarrollo de los objetivos y del modelo lógico del sistema propuesto.
• Análisis preliminar de las diferentes alternativas, incluyendo el estu- Ta·
dio de factibilidad técnico y económico de cada alternativa. ñológi
 • Desarrollo de recomendaciones para el proyecto de sistema, incluyen- 93
do)()!; tiemp<» y co:>tos del proyecto. EVALUACIÓN
•·are y soft- OE SISlEMAS
C) Diseño general y análi~is del ~lStema:

lebe definir • E.<tud10 detallado del -.stema actual, mcluyendo Jos procedimientos, Evaluación
d1agramas de flujo, métodos de trabajo, organización y controL de los sistemas
• Desarrollo del modelo l6g1co del sistema actual.

• Des.umllo de los ob¡ehvos para el sistema p ropuesto .

rtidpación • Desarrollo del modelo lógico del sistema propuesto, incluyendo la de-
finición lógica de los procesos, diccionario lógico de datos y diseño ló-
cursos. gico de las base~ de datos.
• Evaluación dt:> la< d ifer~n tcs opciones de diseño.
ía? • Desarrollo del análisb costo-beneficio para evaluar las implicaciones
oanos pla- ~conómicilS de cndJ oltcrnoHva.

s jerárqui-

¡los us uo- • Dt:>sarrollo de las cspcciíicacion~s para el sistema físico, incluyendo el

diseño de reportes, archivos, e ntradas, pantallas y formas.
• Diseño de las especificaciones del p rograma.
todos Jos • Diseño de la implementación y e l tiempo y forma de Uevar a cabo las
urollo de pruebas.

rcompa- F) Implementación y desarrollo físico:

.e cuenta
• Codificación y documentación del programa.
detectar • Evaluación y selección del cqwpo de cómputo.
de anali- • Desarrollo dt:> sistemas de auditoría, control y seguridad, y desarrollo
lar de la de los proce<hmientos de prueba.
• Desarrollo dt:> los programas de entrenamiento.
·las cau-
l'Jo.>sean G) Pruebas del sistema, e\'aluación y aceptación por parte del usuario y de
contraloria interna:

• Modificacionl>s y adecuaciones.
• IMtalación.
evaluar • Carga de d.ltos.
:ánico o
H) Soporte cotidiano, cambios y mejoras al sistema. Después de esto, se vuelve
nuevamente a 1 ciclo inicial, el cual a su vez debe comenzar con el estudio de
factibilidad.
puesto.
el estu- También se debe evaluar que un error o corrección en el momento del dise-
ño lógico es de fácil solución y bajo costo, pero que los errores o modificaciones
 94 entre más adelantado esté el dcsaxrollo del sistema son más costosos y de más • Deficie1
1 CAPITULO 4
difícil implementación. Hay ocasiones en que un sistema en su fase de imple- • Nueva
EVALUACIÓN mentación tiene tantas modificaciones, que es preferible hacer uno nuevo, en • Inexpet
DE LOS SISTEMAS lugar de usar el diseñado con demasiadas modificaciones. • Diseño
La primera etapa a evaluar en el sistema es el estudio de factibilidad, el cual • Proyecc
debe analizar si el sistema es susceptible de realizarse, cuál es su relación bene- • Control
ficio-costo y si es conductualmente favorable. sobre el
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que • Problen
se encuentren en operación, así como de los qu~ estén en la fase de análisis para 01ento (
evaluar: • Inadect
• Falta de
• La disponibilidad y características del equipo. gramas
• Los sistemas operativos y los lenguajes disponibles. • Docwn•
• Las necesidades de los usuarios. • Dificult
• Las formas de utilización de los sistemas . doCUJTIE
• El costo y los beneficios que reportará el sistema. tna.
• El efecto que producirá en quienes lo usarán . • Problen
• El efecto que éstos tendrán sobre el sistema. • Procedí
• La congruencia de los diferentes sistemas .
• La congruencia entre los sistemas y la organización.
• Si están definidos los procesos administrativos, la normatividad y las polí-
ticas para la utili:¡:ación de los sistemas.
• Su seguridad y confidencialidad.
EvALU
En el caso de los sistemas que estén funcionando, se deberá comprobar si
existe el estudio de factibilidad con los puntos señalados, y comparar con la
realidad lo especificado en el estudio de factibilidad . En esta etap
Por ejemplo, en un sistema que el estudio de factibilidad señaló determina- para llevar ¡
do costo y una serie de beneficios de acuerdo con las necesidades del usuario, Sedebe1
debemos comparar cuál fue su costo real y evaluar si se satisficieron las necesi- cuatro fuent
dades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud • La planE
razonable, el costo de los programas, el uso de los equipos (compilaciones, pro- nadoser
gramas, pruebas, paralelos), el tiempo, el personal y la operación. En la prácti- prender
ca, debemos de considerar los costos directos, indirectos y de operación invo- ción. in<
lucrados en un sistema.. para poderlos comparar con los beneficios obtenidos. justifica<
Los beneficios que justifican el desarrollo de un sistema pueden ser el aho- • Los reqc
rro en los costos de operación, la reducción del tiempo de proceso de un siste- • El in ven
ma, una mayor exactitud, un mejor servicio, una mejoría en los procedimientos bios que
de control, una mayor con fiabilidad y seguridad, una mejor comunicación y en • Los requ
forma más eficiente.
Entre los problemas más comunes en los sistemas están los siguientes: La situac
• Falta de estándares en el desarrollo, en el análisis y en la programación .
• Falta de participación y de revisión por parte de la alta gerencia . • Planead<
• En desar
• Falta de participación de los usuarios.
• Inadecuada especificación del sistema al momento de hacer el diseño deta- • En proce
llado. • En proce
 de más Deficiente análisis co~lo-beneficio. 95
imple· Nueva tecnología no u~ada o usada incorrectanwnt<'. EVALUACIÓN
?VO, ('1) Inexperiencia por parte del personal de an.ilisi' v del de programación. DEL ANAUSIS
D<Seño deficiente.
el cual Proyección pobre de la forma en que se realiLar.i el ~1stema.
, bene- • Control débil o falta de control sobre las f.1scs de t>laboraoón del SIStema y
sobre el sistema en si.
••s que • Problemas de auditoría (poca participación d<' auditoría mterna en el mo·
is para mento del diseño del sistema).
• Inadecuados procedim ien tos de seguridad, de r<•cuperación y de archivos .
Falta de integración de los sistemas (elaboración de sistemas aislados o pro-
gramas que no cst.ín unidos como sistemas).
Documentación 1nndccu.1da o inexistente.
Dificultad de dar mantenimiento al sistema, princopalmente por falta de
documentación o por exce,;ivos camb1os y mod1hcac1ones hechos al s"te·
ma.
Problemas en la convcrswn e implementación.
Procedimientos incorrectos o no autorizados.

s polí·

EvALUACióN DEL ANÁLISIS

>bar si
ron la
En l'Sta etapa se evaluar.in ),,s políticas, procedimiento' v normas que se tienen
mina- pJra llevar a cabo el an.ilísís.
uario, Se deberá evalu.1r 1,1 planeación de las aplicacionc-; que pueden provenir de
.eccsi- cuatro fuentes pri ncípa l<•s:

ctitud • La planeadón cstratl1gira: agrupando las apl ic;u:iont~h el'l conjuntos reJado ..
;, pro- nados entre sí y no como programas aislado,. las aplicaciones deben com
,rácti- prender todos los ,;,temas que puedan ser d<',arrollados en la organi7a·
in\•o-
ción, independientemente de los recursos que impliquen su desarrollo r
idos. ¡ustificación en <'1 momento de la planeacíón.
laho- l.os requerimientos de Jo, usuarios.
siste- El inventario de sistemas en proceso al recopilar 1.1 información de los ca m·
en tos bios que han sido solocit,>dos. sin importar si se clectu.lTOn o se registraron.
1yen Los requerim i ento~ de l~1 organización y d(' los usucuios.
;;
La situación d(' unil JplicJci<ln puede ser algunil de l,1s siguientes:
5n.
• Pl,uleada para "l'r d<"H!rrollada en el futun>.
• En desarrollo.
deta· • En proceso, pero cun modificaciones en dl">.lrrollo.
• En proceso con problemas d<•tectados.
96 • En proceso sin p roblemas. • ¿Se di
CAPITULO 4
• En proceso esporádicamente. • ¿Se ti!
EVALUACIÓN • ¿Está
DE LOS SISTEMAS NOTA: Se deberá documentar detalladamente la fuente que generó la necesidad • ¿Se d •
de la aplicación. l a p rimera parte será eva luar la forma en que se encuentran tos)?
especificadas las políticas, los procedi.mientos y los estándares de análisis, si es • ¿Los i
que se cumplen y si son los adecuados para la organización. • ¿las f
Es importante revisar la situación en que se encuentran Jos manuales de
análisis y ver si están acordes con las necesidades de la organización. En algu-
nas ocasiones se tiene w1a microcornputadora con sistemas sumamente senci·
llos y se solicita que se lleve a cabo una serie de análisis que después hay que
plasmar en documentos señalados en los estándares, lo cual hace que esta fase
sea muy compleja y costosa. los sistemas y su documentación deben estar acor-
des con las características y necesidades de una organización especifica; no se El mayor•
deberá tener la misma docwnentación para tUl sistema que se va a usar en mientose>
computadoras personales, e l cu al debe de ser d ocumen tado en forma más sen- turado cm
cilla (el usuario no necesariamente debe de saber de computación) que un siste- análisis dE
ma en red. También deben de existir diferentes niveles de documentación (do- error que•
cumentación para usuarios, para responsables de la información técn ica). tras que e1
Se debe evaluar la obtención de datos sobre la operación, el flujo, el nivel, la pru ebas d•
jerarquía de la información que se tendrá a través del sistema, así como sus sistemasd
límites e interfases con otros sistemas. Se han de comparar los objetivos de los que loserr
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la los sistem<
ejecución deseada corresponde al actual. da osimpl
la auditoría en informática debe evaluar los documentos y registros usa- m.ientras q
dos en la elaboración del sistema, así como todas las salid as (pantallas, las cua· sob re proc
les deben tener una estructura "amigable") y reportes, la descripción de las d ecisiones
actividades de flujo de la información y de proccdi.mientos, Jos archivos alma· u sando he
cenados, las bases de datos, su uso y su relación con otros archivos y sistemas, El dia¡
su frecuencia de acceso, su conservación, su seguridad y control, la documenta· requerimiE
ción propuesta, las entradas y salidas del sistema y los documentos fuente a gráfico del
usarse. sarrollar Jo
Dentro del estudio de los sistemas en uso se deberá solicitar: Las m•
de informa
• Manual del usuario. rias para lo
• Descripción de flujo de información. son descrit
• Descripción y distribución d e información. del nuevo:
• Manua 1de formas. El diag
• Manual de reportes. la base par
• Lista de archivos y especificación. nuevosiste
• Definición de bases de datos. tado ra pri
• Definición de redes. computadc
soporte est.
Con la información obtenida podremos dar respuesta a las sigttientes pre- tes de prog
guntas: sus caracte
COlllCnzar (
• ¿Se está ejecutando en forma correcta y diciente el proceso de información? involucra e
• ¿Puede ser simplificado para mejorar su aprovechamiento? vos y los pt
 • ¿Se dl't•c tl•ner una mayor intNace~ón con otros "~temas? 97
. ___ _
• ¿~ hene propuesto u.n adecuado control y '<!gundad sobre el sistema? EVALUACION
• ¿Está l'n e l análisis la documentación .1dt'cu.1da? DEL ANALISIS
cesidad • ¿Se debe usar o tro tipo de técnicas o de dispm.iti vos {redes, bases de da-
uent1·an tos)?
; is, si es • ¿Los informes de salida son cmúiables y adecuados?
• ¿L." pantallas y el sistema son amigables?
1ales de
.n algu-
e scnd-
tay que
Sta fase
ANÁLISIS y DISEÑO ESTRUCTURADO
uacor-
l; no se El mavor obJeti,·o del análisis y diseño ~'Structur.ldO "'determinar los requero-
lSar en moento,., e'acto,, de tal forma que.,., di.,.,ño• o•l sisto•m.l rorr<>cto. El diseño estruc-
lás wn- turado <'mpl<'a una <erie de herrarruentas ¡;rafoc.1s y técnocas que pernuten el
n st~t<..... an.ili<ís de tal forma que sea posoble conoco•r errores antes de que ocurran. Un
5n (do- error que cJCurre durante la operación puedo• tcn<'r un costo de 30 a 90%, mien·
•). tras que en la rase de aceptación pued~ teno•r un costo de 5 a 10%, en la fase de
t..iveJ, Ja pru¡•b,ls d¡•l disei\o, de 4 a 7%, e n la de codificnción, d e 5%, e 11 la de diseño de
no s us sisten1.1s dl' 3 a 6%, y en la d e análisis de 1 ,, 4%, por lc1 cual es muy conveniente
.de los qw lo-. errores sean detectados y elim i11.1dOs e11 las fases iniciales. En el caso de
o de la k" <cstcma' tradtcionales la información pu~de c't"' mcompleta, no actuahza-
dd o 'impl<•mente imprecisa, y esto" problema< put>do• qu<.> no sean detectados,
>s usa- m•cntras qu<' en la programación estrudur.lda el an.lhsta recolecta informaCión
lS cua- sobre pro>ccdímiento> actuales, flujo- de mformaw\n, procesos de toma de
dc las dt'Cl"ones v reportes, y así construye un modelo lo>goco de la situación actuaL
.alma- ""'ndo ht•rramienta, conocidas como d1agrama-. lógico- de flujo de datos.
temas, El diagrama de flujo es muy útil porque dctect.l los procesos lógicos, los Diagrama
nenia- rrqucrimícnto, de mforrnación, el fluj<> dt• tnformación, y provee un modl'lo de llu)o de datos
ente a gr.ifiro do>l sistema actuaL que puede "l'r utoli7ado para detectar mejoras y de-
•,uroll.lr los ob¡etivos del nuevo sistema.
!.a' modificaciones mayores en lo-. pr<lCedomíentos actuales, necesidades
de información y de los procesos de tomad~ decisiones, las cuales son necesa-
nas pora lograr los objetivos, son constntid,h den tro del nuevo modelo lógico y
•on dc;crit.lS gr.íficamente dentro de 1.1 propuesta del d iagrama lógico de flujo
dt 1nt.H'vo 'tistcma.
1

El diagr.lma lógico de flujo de datos dd sistcm.l propuesto se convierte en

la ba"l' para des.>rrollar y evaluar las diftm•ntc.. alternativas de diseño para el
nuevo ,¡,tema Las alternativas de diSeño puc'llcn mclmr las bases para la compu-
tadora proncipal (batclo), para el sistcm.l en lin<'a o distribuido, para las
romputador.ls dedicadas o rrunícomputadt>r.h, \ para el rango de software que
<Oportc l"tas configuraciones, incluyendo t•l dc..arrollo de software, los paque-
'S pre- t,.., de programas, usando lenguaJes de cu.uta gcncr.lción, las bases de datos y
'-U~ carach:rí'tticao;. Una \·ez que son wleccumada' f.•..,tac;; alternativas se puede
"'mt•n>.u <'1 diSeño detallado y la m1plcmcntación del sistema. Este proct'SO
tdón? '"' olu<ra el dí'<!ño de las salidas y de las entrada,, 1<" requerimientos de archo-
vos v los procedimtentos de control.
98 Al utilizar
CAPITULO •
EVALUACIÓN
EvALUACióN DEL DISEÑO • Interfases<
OE LOS SISTEMAS dables y vi
LÓGICO DEL SISTEMA • Enlace de
determina
procesado'
En esta etapa se deberán anali1.Jr las especificaciones del sistema:
un prograr
• ¿Qué deberá hacer? • Capacidad
• ¿Cómo lo deberá hacer? • Capacidad
• ¿Cuál es la ¡ushficación para que se haga de la manera senalada? • Licencias.
• ¿Cuál es la secuencia y ocurrenaa de los datos? múltiple, e
• La definición del pr<><<"'<>. • T ransport.
• Los archivos y ba~ de datos utiliz.ldos. • Compatibl
• Las salidas y reportes. • Compab"bl
• Fácil de u•
Una vez que hemos anal"ado L>stas partes se deberá estud1ar la pMhapa- • Grado de'
ción que tuvo el usuario en la 1dentihcación del nuevo sistema, la partiCipacitín • Capacida¿
de auditoría interna en el d,,.,,;o de los controles y la determmación de los • De fácil in
procedimientos de operacitín y decbión. • Demanda
Al tener el anális is del disc1io lógico del sistema debemos compararlo con • Requerimi
lo que realmente se cst.í obtenk'ndo: como en el caso de la administración, en la • Costo.
cual debemos evalu.1r lo planeado, cómo fue planeado y lo que rea 1mente se • Seguridad
está obteniendo (lo real).

BAsEs
PROGRAMAS DE DESARROLLO
El banco de d.
Los programas de de<>.1rrollo mduyen software que sólo puede '-Cr U'iildo por t'l temática indq
personal que ha ten1d0 entrenamiento y experiencia; este software mcluye: La cantid,
grande, del or
A) Lenguajes de programación: Se consid•
vos de datos
• Lenguaje de máquina . están relacion
• Ensambladores. cirse que una
• De tercera generación. estructurado'
• De cuarta generación: EIDBMS
de datos) es u
o 4GI.S. base de datos
o Query languagt>s
o Generadon.'S de "'portes. El ronjunt<
o Lengua¡,.., naturales. m.ación de
o Generadores de aphc.lCiones.

B) CASE (computa mdt<l ~ftware rt1¡¡mrr·ri11g).

C) Programación ont'nt.ld.l ~ ob¡ctos. 1 Antonio V
 AluWizar un determinado software se debe evaluar lo siguiente: 99
EVA~UACIÓN DEL
• Interfases de usuario gráfico, para poder diseñar pantallas y reportes agra- DISE~O ~OGICO
dables y vi su a les. DE~ SISTEMA

Enlace de objetos en los sistemas de información. Esto nos permite unir

determinados o bjetos dentro de un documento, por ejem plo, unir un
procesador de palabra con tma hoja de cálculo, o bien wúr información de
un programa o sistema a otro programa o &i>tema.
• Capacidad de trabajar <.>n multiplataformns.
• Capacidad de trabajar en redes.
U~ncias. Verificar el tipo de licencia que se puede contratar (individual,
múltiple, corporativa).
• Transportable.
• Compatible con otro software.
• Compatible con periféricos.
Fáal de usar.
1icipa- • Grado de sofisticación.
pación • Capacidad de utilización en red.
de Jos De fácil instalación.
• Demanda de hardware.
·Jo con Requerimientos de memoria.
,, en Ja Costo.
!nte se • Seguridad y confidencialidad.

BASES DE DATOS
El banco de datos es el conjunto de datos que guardan entre sí una coherencia
por el tem.ihca mdependiente del medio de almacenamiento.
ye: La cantidad de información que contiene un banco de datos suele ser muy
grande, del orden de millones de datos.
Se considera que una base de datos es la organización sistemática de archi-
vos de datos para faciütar su acceso, recuperación y actualización, los cuales
Base de datos 1
I?Stán relacionados unos con otros y son trntados como una entidad. Puede de-
cirse que una base de datos es un banco de datos organizado como tm tipo
I?Structurado de datos.
El OBMS (data base management system • sistema de administración de bases
de datos) es Wl conjunto de programas que permite manejar cómodamente una
ba..e de datos, o sea:
1'1 con1unto de facilidades y herramiru>tas de actuahz.lCión y recuperación de infor-
mación de una base de datos.'

1
Anton10 Vaqu('ro y Luis Jopnes, InformátiCa: glO:~ilriO dt tlrmin05 y siglas, McGraw-Hill.
 100 En las bo~s de datos se debe evaluar: ruy,1b funciones:
CAPITULO 4
tl.u t-oporle a lo~
EVALUACIÓN • La independencia de los da tos. Muchos de los p rogramas elaborados inter· Dentro de la
DE LOS SISTEMAS na men te eran dependientes de los archivos creados por e llos mismos, o sea 1,, a1ta adnúnistl
que carecían de independencia. La falla de independencia significa que cada cion~s, los usua:
vez que un archivo es cambiado, todo programa que acc~~ a ese archivo Los modelo
debe ser cambiado.
• Redundancia de los datos. Se deben evitar las redundancia~ en las bases de
datos. • jer.lrquicos.
• De redes.
1 Ejemplo SI tuv1ésemos el nombre completo de los alumnos en cada una de las bases • Relaciona le
de datos en las que se accese. la cantidad de datos redundantes seria muy • Orientados
alta.

• Consistencia de los datos. El problema de redundancia en los datos no sólo Entre las \'(
provoca que se ocupe demasiado espacio en los discos, sino que también
puede causar el problema de inconsistencia en los datos, ya que se puede
cambiar en un archivo pero omitirse en algún otro de los archivos. • Compartir
• Reducción
Un sistema de bases de datos es un conJunto de programas que: • Mejora de 1
• lndcpende1
• Almacena los datos en forma uniforme y de manera consistente. • Incrementa
• Organiza los datos en archivos en forma uniforme y consistente. • Mejora el e
• Permite el acceso a la información en forma wüforme y consistente. • l ncreJnentc
• Elimina la redundancia innecesaria en los archivos. cia de la in
Los componentes a evaluar dentro de una base de dato~ son:

• Diccionario/ directorio de datos .

• Lenguajes de datos (lenguajcs dc descripción de datos: DDL; lenguajes de Problemas e
manipu lación de datos: DML). de administl
• Monitorco de teleproceso .
• r le rramientas de d esa rrollo de aplicaciones.
Cuando varios:
• Software de seguridad .
• Sistemas de almacenamiento, respaldo y recuperación . no fue diseñad
• Rcportcadores . no existe un Ct
• Query lnr1guages (structured query lauguage: SQL; natura/lauguage queries, query m.is usuarios 1
by rxample: QBE). momento, y n
• BaS(':, de datos de multiplataformas. vos. Este tipo
• Web server software (u>Orld witle tueb: "ww). computadoras
cotCtualizacione
TambiénF
to, lo cual se a

EL ADMINISTRADOR DE BASES DE DATOS de datos.

Problema
trol para que!
dl'be definir E
El desarrollo de las bases de datos ha creado la necesidad dentro de la organiza· acceder datos
ción de contar con un organismo encargado de administrar las bases de datos, tario de la~
 cuya; funciones son las de planear, d iseñar, organizar, operar, entreruu, así como 101
d.~r soporte a los usuarios, seguridad y mantenimiento. EVALUACIÓN DEL
in ter- Dentro de las funciones d e este organismo están las de tener relaciones con DISE~O LóGICO
osea la nlta adminis tración, Jos analistas de sistemas, los p rogramadores de aplica· DEL SISTEMA
~cada ciones, los usuarios y los programadores de s is temas.
·chivo Los modelos de bases de datos pueden ser:

;es de
• jerárquicos.
Dt- redes.
• Relacionales.
• Orientados a objetos.

osólo Entre 1,1s ventajas del sistema de bases de da too. se encuentran:

nbién
Juede
Compartir datos.
Reducción de redundan cia de datos.
Mejora de la consis tencia de los d atos.
Independencia de datos.
Incrementa la productividad del programador de aplicaciones y de usuarios.
Mejora el control y la administración de los datos.
Incrementa el énfasis de Jos datos como un recurso. Aumenta la importan·
cia de la información como parte fundamental de la administración.

jes de Problemas de los sistemas

de administración de bases de datos

Cuando va rios usuarios utilizan una base de datos, pueden existir problemas si
no fue diseñada para usuarios múltiples. Uno de estos p roblemas surge cuando
no existe un control sobre la actualización inmediata. Esto significa que dos o
.query más usuarios pueden estar elaborando cambios a l mismo archivo en el mismo
momento, y no exis te control sobre la actua li zación inmediata de los archi·
vos. Este tipo de problemas existe principaln11mte eJt las bases de datos de
computadoras personales, ya que Jos grandes sist~mas tienen control sobre las
actualU..ciones inmediatas.
También pueden existir problemas en el uso de recursos excesivos de c6mpu·
lo, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases
de datos.
Problemas de seguridad. Las bases de dat~ deben de tener suficiente ron·
trol para que se asegure que sólo personal autorizado pueda acceder datos, y se
debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o
:miza~ Jcccder datos dependiendo de su llave de entrada, así como el usuario propie-
datos, tario de la base de datos.
102 Los
CAPITULO 4
EVALUACIÓN CoMUNICACióN • Con
DE LOS SISTEMAS
ción
Se debe evaluar el modo de comunicación y el código empleado. Los diferentes • Tier
modos de comunicación varían dependiendo del tipo de información que trans- que
mitimos y el costo del med io empleado. oca~

El medio de comunicación es también un factor importante a evaluar, y éste o

dependerá de la velocidad y capacidad de transmisión, lo cual está directamen- o
te relacionado con el costo (cables trenzados, cable coaxial, fibra óptica, microon- o
das, ondas de radio, infrarrojas).
o
Los componentes más comunes dentro de lln sistema de comunicación son:
• Servidor y huésped.
• Cost
• Terminal o estación de trabajo.
• Corr
• Convertidores de protocolo. • Segt
• Módem.
• Equipo de conexión de terminales. Los ¡
• Modo de comunicación.
• Medio de comunicación. • Entr
• Topología de las redes: • Salic
• Proc
o De punto a punto o estrella y topología jerárquica. • Espe
o Mutidrop o bus y ring. • Espe
o Mesh. • Métc
o Sin cables (wireless ). • Ope•
• Man
• Tipo de redes: tos).
• Proo
o Local. • ldent
o Wide area networks (WAN). • Proo
o Enterprise. • Frea
o Internacional. • Siste1
En general las redes pueden ser caras y pueden crear complicaciones en el • Siste1
sistema de información, pero pueden ser justificables por alguna o varias de las • Resp
siguientes razones: la inf
• Núm
• Compartir periféricos. • Softv
• Compartir arclúvos. • Base!
• Compartir aplicaciones. • Enci
• Reducir costos de adquisición, instalación y manten imiento de software.
• Conexión con otras redes.
• Caphua de datos en lugares que son de infom1ación.
•
•
Aumentar productividad.
Permitir expansión.
INFOI
• Disminuir tiempo de comunicación.
• Aumentar control. Cuandos
• Seguridad. mente en
 1M> pw1tos a revisar en las redes son: 103
• Confiabilidad de las redes. Un sistema con redes que estén constantemente EVALUACIÓN DEL
DISEAO LOOICO
"caldas", o que no sea confiable, provoca muchos problemas a la organiza- DEL SISTEMA
ción y cuestiona su funcionamiento.
~ren tes • Tiempo de respuesta. Una red que sea lenta en sus operaciones, provoca
~ trans- que los usuarios la eviten o no la utilicen. Entre los problemas que puede
ocasionar esta lentitud están:
, y éste
tamen-
0
La distancia que tiene que recorrer y la forma en que se transmite.
o La cantidad de tráfico en la red.
icroon-
0
La capacidad de los canales de comunicación.
:Snson: • Factores externos a la red, como puede ser la estructura de las bases de
datos.
• Costo de la red.
• Compatibilidad con otras redes.
• Seguridad en las redes.
Los puntos a evaluar en el d iseño lógico del sistema son:
• Enh·adas.
• Salidas.
• P1·ocesos.
• Espcclficaciones de datos.
• Especificaciones de proceso.
• Métodos de acceso.
• Operaciones.
\<lanipulaciones de datos (antes y después del proceso electrónico de da-
tos).
Proceso lógico (necesario para producir informes).
• ldcntíficadón de archivos, tamaño de los campos y registros.
P~ en lfnea o lote y su justificación.
Frecuencia y volúmenes de operación.
• Sistemas de seguridad.
~en el
• Sistemas de control.
.de las Responsables (tipos de usuarios, identificando los usuarios p ropietarios de
In información).
• Número de usuarios.
• Software necesario.
• Bases de datos requeridos.
En ca&o de redes determinar su tipo y características.
vare.

INFORMES
Cuando se analiza un sistema de informática es muy común pensar exclusiva-
mente en la parte relacionada con la informática, olvid;\ndonos de que un siste-
104 ma comprend~ d~e el momento en que se genera un dato, así como su proc•• tnform.
<amiento, retroalimentación y salida. Es muy comúro que solamente se evalúerl gr,ltía r
CAPITulO •
EVALU~CIÓN proce!.am1ento de la información y su almacenamiento dejando fuera la evalua· \ t~rifiCI
DE LOS SISTEMAS ción de aquello que es el inicio del sistema. el seguimiento admintstrativo y la ~•tuada
obtención de los reportes y salidas de información.
Lo que debemos determinar en el sistema es: Rayad!
u~l cor

• En el prOCL"<iamiento:
ln stru1
¿Quaén hace la función. cuándo y cómo? a u tOlO$
• ¿Qué formas se utilizan en el sistema? qul'el)
¿Son n~rias, se usan. están duplicadas? De no:
• ¿El número de copias es el adecuado? p.~rd "e
• ¿Exi~t•'n puntos de control o faltan? CXCl"'l \'
s ltln yt
• En la grJfica de nujo de información:
Firmas.
o ¿Es f.lcil de usar? d,lml•nl
o ¿Es lógica? c.:omo u
o ¿Se encontraron lagunas? fi rm,H'I<
o ¿Hay fa lta• de control?
No mbr
• En las formas de diseño: cJuo en
o ¿Cómo est.i usada la forma en el sistema? rot.>ri<ll
o ¿Qu<' tan bien se ajusta la forma al procedimiellto? Encabe
o ¿Cuál es el propósito, por qué se usa?
qué firn
o ¿Se usa y es necesaria?
o ¿El número de copias es el adecuado? Rótulo!
o ¿Quién lo usa? ,\dl'CU,l(
uhacJci(
Entre los elementos a revisar en el diseño de formas están:

Numeración. ¿E~t.i numerada la forma? ¿Es necesaria su numeración? ¿E,tJ Ubícaci

situada en un solo lugar fácil de encontrar? ¿Cómo se controlan las hoJaS numt• dondt.'
radas y 'u utili7.ación? nó,;rafa
p..u,1 C'S(
Título. ¿Da el título de la forma una idea clara sobre su función b.isica?
Casiller
Espacio. Si la forma va ser mecanografiada. ¿hay suficiente espacio para escn· c,lCIÓn r
bir a m~quina rJpidamente, con exactitud y eficiencia? Si la forma se llenará a ce..,IVOS~
mano, ¿hay despacio adecuado para que se escriba en forma legible?
Tipo dt
Tabulación. Si la forma va ser mecanografiada, ¿permite su tabulación llenarla U"-' P•F
umformemente? ¿Es la tabulación la mínima posible? Una excesiva tabulación un man
dtsmanuye la velocidad y eficiencia para llenarla. Además le da una aparienc1a p..lr..l fl'\
desigual y confu~.1.
Tamañc
Zonas. ¿Est.ln juntos los datos relacionados entre sí? Si los datos similares están ,,justa ,\
agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La jo, tit_lmJ
su proce- información s imilar reunida por zonas hace más fácil su referencia, se mecano- 105
evalúe el grafía más e ficientemente y se revisa con más rapid~?.. Posteriormente, se debe EVALUACION DEL
aevalua- verificar que las zonas de las formas que sean utilizadas para captura estén DISEÑO LóGICO
situadas de manera congruente con el diseño de las pantallas de captura. DEL SISTEMA
ativo y la
Rayado. ¿Da la forma una apariencia desordenada y difícil de entender por el
uso confuso y excesivo de líneas delgadas, gruesas o de doble raya?

Instrucciones. ¿Se le dice al usuario cómo debe llenar la forma? Formas

autoinstructivas o que suministran la itúormación de cómo llenarlas permiten
que el personal nuevo y los otros trabajen con superv is ión y errores mínimos.
De no ser así, existe un manual de llenado de rormas, el cual se debe revisar
para ver si las instrucciones son claras, si son congruentes con la forma y si son
excesivas, ya que un diseño excesivo de instrucciones puede provocar confu-
sión y hacer que éstas sean poco claras.

Firmas. ¿Existe suficiente espacio para una firma legible? ¿Está el espacio debi-
damente identificado rl!l>pecto a la fuma que se solicita? ¿La firma se utiliza
como un mero trámite o realmente controla la persona que ftrma lo que se e;,tá
rirmando?

Nombres. ¿Se usan Jos nombres de los puestos en lugar del nombre de l indivi-
duo en la forma? No es conveniente itnprimir nombres de personas debido a la
rotación de persona1.

Encabezados ambiguos. ¿Se indica con exactitud qué fechas, qué números o
qué firmas se requieren? Se deben evitar encabez.1dos dudosos o ambiguos.

Rótulos. ¿Son demasiados llamativos? ¿Son demasiado discretos? ¿Existe un

adecuado contraste entre los rótulos y los textos respecto a su tamatio, color y
ubicación, para que los datos solicitados sea11 identi ficados fácilmente?

n? ¿Está Ubicación de los rótulos. ¿Están los rótulos o encabe¿ados debajo de la lí.nca en
tS numt!-
donde se debe mecanografiar? Esto causa pérdida de tiempo, porque la meca-
nógrafa tiene que mover el carro para ver el rótulo y acomodarlo nuevamente
para escribir la información deseada.
t?
Casilleros. ¿Se usan pequeños espacios enmarcados ()para con una sola indi-
ara escri- cación reducir escritos largos o repetitivos? ¿Los espacios son suficientes o ex-
Jenará a cesivos?

Tipo de papel. ¿Son el peso y calidad d el papel apro piados para esa forma?
llenarla Use papel más pesado y de mejor ca lidad pa t·a aquellas formas que requieren
'uladón un manejo excesivo. Use papel de menor peso con formas que se usen poco,
•ariencia para reducir costo y espacio en los archivos.

Tamaños estándar.¿Tiene la forma un tamaño estándar? El tamaño estándar <e

-es están ajusta a sobres) archivos estándar. Además redure existencias de papel, mane-
mpo. La jo, tiempo y costo de impresión. Se debe considerar que el costo del papel que
106
CAPITuLO 4 1Figura 4.1. Descripción de informes 1 FECHA
EVALUACióN
DE LOS SISTEMAS

1 SISTEMA

NOMBRE DEL INFORME

1--
PROPÓSITO
CLAVE

OUiéN LO FORMULA
PERIODICIDAD
·-
VOLUMEN EN HOJAS
EN VIGOR

FECHA EN OUE DEBE PRESENTARSE

DESDE _ _
--
OPORTUNIDAD CONFIABILIDAD COMPLETO
NÚM. COPIAS
--
COPIA USUARIO uso

ORIGINAL

1a.

2&.

3a.

4a

NUM. DESCRIPCIÓN DEL PROCEDIMIENTO

'ANEXAR COPIA FOTOSTÁTICA DEL INFORME Y DEL DIAGRAMA OE FLUJO

jANALIZÓ PÁG. DE
 107.__ __J
1Figura 4.2. Análisis de Informes
D 11 FUNCIÓN 1 EVALUACION DEL
DISEÑO LÓGICO
DEl SISTEMA
>O.I8AE DEL INFORME
PIIOPOSITO DEl jf.¡fORMf!
CIUtN LO FORMUL.A
OU( LO ()RIGjNA
VOWUEN DE HOJAS O REGISmOS
FOAW. oe HACERt.O
P!lj00PAL USUAAIO
FECHA TliORICA OE PRESENTAaóN PERIOOtCIOAO
FECHA DE PRESENTAaóN PERKXltCIOAD
NIVEL 0E INFOOMACION
EN 'IIGOR OESOE
UOOIFICACtONES
-
OTROS GATOS ~-

TANTOS CO~OR

1-

D"TOS QUE CONTIENE ORDEN DE LOS D"TOS

1 -·
·- f-

FECHA RECOPILÓ REVISÓ iN DICE

o PÁGINA DE
 109
Figura 4.4. Evaluación de formas 1FECHA EVALUACION DEl
DISENo lóGICO
DEl SISTEMA
UTILIZACIÓN PREPARAC.ON
IW:A8EZAOOS EN ORDEN CRONOLóGICO SI NO RENGLONES OE DATOS EN ORDEN SI NO
CRONOLóGICO SEGUN FLUJO
~MATOS ESTANOAR SI NO DATOS CONSTANTeS PREIMPRESO$ SI NO
OESCR Sé CLARAMENTE El SI NO ESPACIOS SUFICIENTES SEGUN si NO
USUARIO MANH4A DE PREPARACION
CCAAS FAQ¡. DE IOENTIACAR si NO COPIA$ FACI. DE SEPARARSE SI NO
CCPIAS C<AAAS PARA UN BUe< si NO TA811• A00N U~FORME SI NO
A(QISTAO

SUfatNTe CAliDAD DEL PAPEl. SI NO ENCABE ZAOOS AAAI8A DE LAS si NO

PAAA. LA VWlA DE LA FORMA AAL4S PARA llEI<AR
F.ICIL DE ....,.EJAA V AACHVAA si NO 4.I!'IUZ.A ESPAOOS ENW.ACAOOS si NO
FACILDE t.t~MAO si NO MEOtDA ESTÁNDAR DE PAPEL SI NO

o REPf'OOUCIR
TlflllOS Y ENCABEZADOS BIEN
~ALANCEADOS
SI NO CALIDAD DE PAPEl APROPIADO SI NO

ES CONGRUENTE CON LAS si NO

PANTALlAS OE CAPTURA
'1()

NO CONTROL

'1() NUMERO 0E CLAVE st NO RfOUIERr: NU""EAO OE CONTAOL SI NO

SECUENCiAL
PlOU LRE AUtORIZACIÓN PARA si NO
RE'IMffi M ASE

-" '

ANALIZAOO POR
110
Figura 4.5. Evaluación de formas
CAPfruLO•
EVAI.UACIOH A ¿OONOCE LA PEASONAOUE FORMULA
DE LOS SISTEMAS EL DOCUMENTO. EL 08JE1l\IO Si _ _ NO _ _
Y LA IMPOfi'TANCIA DEL MISMO? Sl

B ¿OUE OPINIOH TIENE

EL EMPI.V4)() DEL MANEJO
DE ESTE OOCUMENTO'I

C ¿OUe PROBLEMAS EXISTEN AUTOAIZAI

EN SU ELABORACION?

O ¿EXISTE RETRASO EN SU
FORMULACIÓN? si _ _ NO

MOTIVO

E. SE USA LA FORMA NO PARCIAL· EN FORMA EN FORMA 08JETIV(

MENTE INCORRECTA CORRECTA

¿El USO QUE SE DA A LA FORMA

EN LOS DIFEREN res LUGARES ES EL ADECUADO? SI _ _ NO

¿EN oue cASO v POR aue?

1·3

f ¿CONSIDERA OUE SE PUEDEN

HACER CAMBIOS A LA FORMA
PARA S MPUFICAR TRABAJO
Y PFIOCEDIIAIENTO'I SI _ _ NO _ _
DESTINO
¿CUÁLES SON POR oue Y CUALES
SERIAN LOS BENEFICIOS?

ta. COPIA
O OP NION GENERAL
2a. COPIA

3o COPIA

4a COPIA

FECHA - - - - - - - - - - -
AUDITOR
 111.__~-
Figura 4.6. Descripción de formas EVAlUACIÓN OEL
10 _ _ DISEÑO L0Goco
DEL SISTEMA
SSTEMA

FOR'AA

EW!ORADA NOM8RE

PUESTO

AUTORIZADA NOMBRE

o
¡·~·~'"~"-
1

OOJETlVO
-· - -
)

) __ DESTINO
1-
ORDEN DESTINO uso
-
ORKliHAL 1
la COPIA
¡
:U COPIA

Ja. COPIA
1----
4a.COPIA

~COPIA

6a COPIA
. .

7a. COPIA
112 no es de
CAP[TUL04
Figura 4.7. Descripción de formas de papelería estándar.
EVALUACIÓN
DE LOS SISTEMAS C olot. ¿Pe
1SISTEMA 1FECHA mas encole
«l"-, son di.((
NOMBRE
sión (.ne~rc)
cuid ado tar
OBJETIVO _ _ _ _ _ __ FRECUENCIA - - - - - - - estar ident'
VOLUMEN MENSUAL _ _ _ __
QUIEN FORMULA - - - - - - - - -- - - - Como
FORMA DE LLENARLA - - - - - -- - - EN VIGOR OESOE - - - - -
d escri pciót

FOLIO IMPFIESO sr NO NÚM. DE COPIA$ - - - - - -

OU~ LA ORIGINA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __

ANÁL
A QUÉ DA ORIGEN
Una vez q•
in (ormesp;
la encuesta
RECOMENDACIONES AL IMPRIMIR
se la figura
c ribir el cor
COPIA NÚM. COLOR PROCEDIMIENTO, USO V DESTINO DE CADA COPIA FIRMA NECESAR A ción.

ORIGINAL

Ru10c
En la audito
que tie ne ce
En prin

La trans
prcnda.2

OBSERVACIONES El ruidc
solamente le
Koontz/O'I

CualquiE
za la con

ANALIZÓ PÁGINA DE
2
Kooot...: :
no es de tamaño estándar es considerablemente mayor que el de tamaño 113
est.indar.
EVAlUACIÓN DEL
DISEÑO LóGICO
Color. ¿Pemutc el contraste del color del papel una lectura eficiente? las for· DEL SISTEMA
mas en colore., como el anaranjado, el verdc, cl azul, el gris, etc., en tonos OSCU·
ros. son difínlcs de leer porquc no ofrecen suficiente contraste entre la impre-
<.lón (negro) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener
cuidado tanto en el color del papel como en el color de la tinta. Las copias deben
"'t..r identificada, de acuerdo con el color.

Como ejemplo de análisis de formas véase las figuras 4.3, 4.4 y 4.5; para la
descripción de formas véase las figuras 4.6 y 4.7.

ANÁLISIS DE INFORMES
Una vez que se han esnod iado los forma tos d e entrada debem os analizar los
informes para pobteriormcnte evaluarlos con la información p ro po rcionada por
la encuesta a los usuarios. Como ejemplo de la descripción de los informes véa·
se la figura 4.1, y para el a nálisis de los informes la figura 4.2. Des pués de des·
cribir e l contenido de los informes se debe tener el análisis de d atos e informa·
rión.

Ru10o, REDUNDANCIA, ENTROPíA

En la auditoría de sistemas hay que estudiar la redundancia, el ruido y la entropía
que tiene cada uno de los sistemas.
En primer lugar, debemos considerar como comunicación:

la tr.anc;f~nmcia de mforrn..1dón del emisor al receptor de manera que éste la com·

prenda.1

El ruido es todo aquello que interfiere en una adecuada comunicación; no

solamente los sonidos sino todo aquello que 1mpida la adecuada comunicaóón.
Koontz/O'Donnel definen el ruido como:

Cualquier COs.l (sea m el embor, en la transmito:ión o en el receptor) que obstaculi-

za la comunicación.

l Koont:t y O'Donncl, AdmimstrRr..dtr, McCraw-JBll.

 114 Así, por ejemplo, si una persona se encuentra jugando, sin hacer necesaria- En l.
CAPITULO mente algún sonido, en el momento que otra esté hablando, se considera como ro adeCll
4
EVALUACióN tipo de ruido para el sistema. mita un~
DE LOS SISTEMAS En el caso de un sistema computarizado, el error en una captura, una pan· redunda
talla de la terminal demasiado llena de información y poco entend ible o un Tam
reporte inadecuado se deben considerar como ruido en el sistema, ya que impi· increme1
den una buena comunicación de la información. En el caso de los sistemas se de contr
debe evaluar lo que se conoce como "sistema amigable", lo cual significa: bien que
requiere
• Que tenga las ayudas necesarias para el caso de alguna duda (help).
• Que contenga los catálogos necesarios para el caso de referencias.
• Que tenga las ligas automáticas con otros sistemas para obtener informa- Entropi
ción o para consulta (conexiones automáticas a otras bases de datos o re-
des). El dicciot
• Que la información sea solicitada en forma secuencial y lógica.
• Que sea de fácil lectura y, en su caso, escritura. Can ti
• Que sea rápido, ágil, y que contenga una limpieza que permita una fádl
visualización. Laer
el cual es
La redundancia es toda aquella duplicidad que tiene el sistema con la fina- del sisteo
lidad de que, en caso de que exista ruido, permita que la información llegue al
receptor en forma adecuada. En la
entra
Podemos enviar un mensaje de la forma siguiente:
En ut
1 Ejemplo Llegó por avión el día martes 3 1 de octubre de 2000 del presente año, a las
entropía,
16:00 hrs. de la tarde a la ciudad de Cancún, Quintana Roo, México.
En el mensaje anterior tenemos excesiva redundancia debido a que el31 nera quet
de octubre de 2000 es martes y si estamos en 2000 es del presente año. Las otro sistet
16:00 hrs. siempre serán de la tarde y la ciudad de Cancún está sólo en el
estado de Quintana Roo, México. En cambio puede ser incompleta, ya que no Al cap
se especifica la línea aérea ni el vuelo en que llegará. de infc

Función de la La redundancia puede ser conveniente en el caso de que haya que cercie>-

EvAL
redundancia rarsc de que la información se recibe correctamente. Esto estará en función de lo
delicada que sea la información y del riesgo que se corre en caso de una pérdida
total o parcial de la misma.
Un ejemplo de redundancia dentro de las máquinas es el BIT de paridnd, el
cual permite que en caso de pérdida de un BIT, se pueda recuperar la informa· En esta et.
ción que contiene el byte. guaje utili
La redw1dancia es una forma de control que permite que, aunque exista hardware
ruido, la comunicación pueda llevarse a cabo en forma eficiente; deberá haber Aleva
mayor redundancia entre más arriesgada, costosa o peligrosa sea la pérdida de debe propo
información, aunque, a la vez, debemos estar conscientes de que el exceso de eficazyop
redundancia puede provocar ruido. obtener un
se contará
1 Ejemplo Es el caso de un profesor que por desear ser muy claro, se dedica a dar
demasiados ejemplos; puede provocar ruido en el sentido que llega a confun-
dir o a aburrir a sus alumnos y que el número excesivo de ejemplos impida
3
una adecuada comunicación. Nuevo'
cesaria- En la auditoría se debe considerar que todo sistema ha de ofrecer un núme- 115
·a como ro adecuado de redundancia, según su nivel de importancia, de modo que per- EVALUACION DEL
mita una buena comunicación, aun en el caso de que exis ta ruido, pero s in ser la DESARROU.O
1\?dundancia de tal magnitud que a su vez provoqU(' ruido. DEL SISTEMA
na pan-
•le o t<n También debemos considerar que con un mayor control y redundancia se
¡eimpi - incr~mcn ta también el costo de los sistema •. llay qu(' tene r un adecuado nivel
?mas se dr control y redundancia, que no sea de tal magnitud que provoque ruido o
ca: b1en que no sea demasiado costoso en relación con e l nivel de segurid ad que
r.quiere el sistema.

'Úorma- Entropía
05 o re-
d diccionario la defme como:

Canhdad de energía que por su degradación no puede aprove<harse.'

na fácil
1a entropía en un s is tema, por ejemplo de un motor, es el calor que genera,
•1 cual es energía que por sus características no puede aprovecharse. En el caso
la fina- del sistema llamado motor se utiliza esta entropía.
egue a l
En la calefacción del automóvil o bien para calentar el aire y la gasolina que Ejemplo 1
entra at motor (en el caso de motores turbo).

En un sistema computarizado debemrn. procurar reducir al máximo esta

las
entropía, y una de las formas de reducirla e:. interconectar sistemas, de tal ma-
131 ntra qu~ esa cantidad de energía no u !.<Ida en un &i~tema pueda ser utilizada en
las «ro sistema.
nel
HIO
Al capturar el catálogo de clientes para el s•stema de cobmnzas, con un poco Ejemplo,
de Información adicional lo podemos utilizar en contabilidad.

cercio-
5nde lo
:>érdida
EvALUACióN DEL DESARROLLO DEL SISTEMA
idad, el
úorma- En esta etapa del s istema se deberán aud itar los programas, su diseño, e l len-
guaje utili1ado, la interconexión entre los programas y las caracterís ticas del
e exista hardwilrc empleado (total o parcial) para el desarrollo del sistema.
á haber Al evaluar un sistema de información se tendrá presente que todo sistema
dida de debe proporcionar información para p lanear, organi>ar y controlar de manera
ceso de mea.< y oportuna, así como para reducir la duplicidad de datos y de reportes, y
obtener una mayor seguridad en la forma mjs económica posible. De ese modo
!<!contará con los mejores elementos para una adecuada toma de decisiones.
dar
'un-
)ida
' Nr•t'A'I di«ionario e.spoñol iltc.Sirado SoptmA.
 116
CAPiTuLO 4
•
EVALliACION SISTEMAS DISTRIBUIDOS, INTERNET,
DE LOS SISTEMAS •
COMUNICACIÓN ENTRE OFICINAS •

Los sistemas d1stribuido~ se pueden definir como el sistema en el cual Ir

•
computadoras y los dato.. están en más de un lugar (sllt'), asi como Jo, p~
•
mas de aplicación. Ejemplos de esto son las redes W AN, PBX, LAN, 1ntemet.
• Com
Las razones pa ra implementar un sistema cüstribuido son: • Opq
• run
• Mejora del hempo de respuesta. • 1S
• Reducción de costos. 11 1 V~
• Mejora de exactitud en la actual iLación. • Mo
• Reducción del costo de la computadora principal (mainframt) y la depe~> • J<'ra
dencia a una sola computador,,, • S...'g
• Puede tener<;e un cr~cimicnto planeado. En lugar de grandes equipos que • U ni
dificultan su administración, organización, y que requieren de espacio- m
amplios, se tienen equipos d~-.centrali7.1dos que son más fácil('S de adm¡. ln
nis trar y de controlar su crecimiento.
• Incremento de confian..a, ya que si falla l'l equipo principal no significa que
falle todo el sistema.
• Compartir r~'CUrsos. ést.l no"'
• Aumenta la satisfacción de los usuarios, Y•' que las computadoras y el desa-
rrollo pueden estar más cerca del usuario.
En bases d~ datos se puede usar el concepto clumte/serv1dor y Str•rt•
Co~
•
Qm·ry La11guage (SQL).
Los puntos que se deben co~iderar al evaluar un ~istema di!>tribuido"-"'
• Falla de personal calificado en todos los puntos dl'l sis tema. Deb1do ~
• Estandari7...ad6n. f reCUllJlt
• Documentación. una pe
• Pérd1da de datos. nd.1dese
• Seguridad. d e into
• Co~istencia de los datos. de un,1 a
• Mantenimiento del SIStema. la técmc~
,Que
Al tener un proceso d i~tribuido es preci~o consid(•rar la seguridad del m<• de l pr~s
vimiento de la información entn> nodos. El proceso de planeación de <i'tl~ del m1s
debe definir la red óptima de comurucacion~, recordando que el plan de •p¡. menteup
caciones proporciona información de la ubicación p lanead a de las terminales. porqu" e
los tipos de mensajes requeridos, el tráfico ~perado en las línea., de comuruc.~ e.-ta , u.11'
ción y otros factores que afl'Ctan el diseño. poroonar
Es importante considerar las variables que afectan a un sistema: ubiC.lCion l'.ua l
en los niveles de la organir-<lción, tamaño y recursos que utili?a. t.~ l an,llist
Evaluacion Las características que deben evaluarse en los sistemas son: el cu. l o;e
de sistemas
plan .¡,.
• Dinámicos (susceptibles de modificarse).
para t:•val
 • Transportables (que puedan ser usados en diferentes máquinas y en dife- 117
rentes plataformas). CONTROl.
• Estructurados (las interacciones de sus componentes o subsistemas deben DE PROYECTOS
actuar como un todo).
• ú1tegrados (un solo objetivo). En él habrá sistemas que puedan ser interre-
lacionados y no programas aislados.
• Accesibles (que estén disponibles).
t el cual las • Necesarios (que se pruebe su utilización).
los progra- • Comprensibles (que contengan todos los atributos).
1, Internet. • Oporhmos (que esté la información en el momento que se requiere).
• Funcionales (que proporcionen la información adecuada a cada nivel).
• Estándar (que la información tenga la misma interpretación en los distintos
niveles).
• Modulares (facilidad para ser expandidos o reducidos).
• Jerárquicos (por niveles funcionales).
y la depen-
• Seguros (que sólo las personas autorizadas tengan acceso).
Únicos (que no dupliquen información).
quipos que
oadosmuy En relación con otros sistemas deben de estar interconectados de tal for-
s de adnú-
ma que permitan un sistema integral, y no una serie de programas o sistemas
aislados.
gnifica que
Se deben de tener sistemas que tengan la necesaria redundancia, pero que
ésta no sea tan grande que provoque que el sistema sea lento o ineficiente.
syel desa-

Struct ured
CoNTROL DE PROYECTos
)uido son:
Debido a las características propias del análisis y de la programación es muy
frecuente que la implantación de los sistemas se retrase, y Ucga a suceder que
una persona trabaje varios años en un sistema o bien que se presenten irregula-
ridades en las que los programadores realizan actividades ajenas a la d i(ección
de informática. Para poder controlar el avance de los sistemas, ya que se trata
de una actividad intelectual de difícil evaluación, se recomienda que se utilice
la técnica de administración por proyectos para su adecuado control.
¿Qué significa que un sistema sea liberado en el plaw establecido y dentro
ddel mo- del presupuesto? Pues sencillamente que el grado de control en el desarrollo
:sistemas del mismo es el adecuado o tal vez el óptimo. Pero esto no se consigue gratuita-
nde apli- mente o porque la experiencia o calidad del personal de desarroUo sea alta, sino
rminales, porque existe lUl grado de control durante su desarrollo que permite obtener
omunica- esta cualidad. Cabe preguntar aquí: ¿qwén es el elemento adecuado para pro-
porcionar este grado de control?
Jbicación Para poder tener una buena administración por proyectos se requ iere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en
el cual se especifiquen actividades, metas, personal participante y tiempos. Este
plan debe ser revisado periódicamente (semanal, mensual o bimestralmente)
para evaluar el avance respecto a lo programado.
118 La cslruclura estándar de la plancación de proyectos deberá incluir la faci·
lidad de osignar fechas predefinidas de terminación de cada tarea. Entre esla~ t 9.
CAPÍTUL04
EVALUACIÓN fechas debe estar el calendario de reuniones de revisión, las cuales tendrán dJ.
DE LOS SISTE..AS ferentes niveles de detalle. Son nere&arias las reuniones a nivel técnico con la De análisis
participación del personal especializado de la dirección de informática, para De programE
definir la factibilidad de la solución y los resultados planeados. Son muy Íll' Observac•o
portantes las reuniones con los usuarios finales, para verificar la validez de lo!
result•dos esperados.
L.l evaluación de proyectos y su control puede realizar'!(! de acuerdo con lllduir el 1
d iferentes autores. A manera de ejemplo presentamos el siguiente cueslionaria <Jll<' el departa
'"~i .1, s~gun la si
1. ¿Existe una lista de proyectos de sistema de procesamiento de infolllla· Como ejer
ción y fechas programadas de implantación que puedan ser considerados r.ll<'ndilrio de
como plan maestro? s,ü>ll'' del sistf
2. ¿Está relacionado el plan maestro con un plan general de desarrollo de la ftgura 4.12; de
dependencia? los m formes d
3. ¿Ofrece el plan maestro la atenciÓn de solicitudes urgentes de los usua- avanc<:> de pro
rios? ~dcbcráJ
4. ¿Asigna el plan maestro un porcentaje del tiempo total de produ«ión aJ tran en procc:
reproceso o fallas de equipo? <Umple con s~

• Poner la lista de proyectos a corto y a largo plazos.

Poner una lista de sistemas en proceso de periodicidad y de usuanos.

5. ¿QUién autoriza los proyectos? CoNTR

6. ¿Cómo se asignan los recursos?
7
8.
¿Cómo se estiman los toempos de duracoón?
¿Quien interviene en la planeación de los proyectos?
V PROGf
9. ¿Cómo se calcula el presupuesto del pnoyecto?
10. ¿Qué técnicas se usan en el control de los proyectos? 1 1ol>Jctivo de
11 ¿QUién asigna las prlorídades? ctfa4.:.JC'iune~ fu
12. ¿Cómo se asignan las prioridades? p~lr,"' su mane:_

13. ¿Cómo se controla el avance del proyecto? Lc.l::; rcv-isi

14. ¿Con qué periodicidad se revtsa el reporte de avance del proyecto? ~r~.unación, y
15. ¿Cómo se estima el rendimiento del personal?
16. ¿Con qué frecuencia so estiman los costos del proyecto para compararlo Etapa de anál
con lo presupuestado? ob)l.'livo del s
17 ¿Qué acciones correcttvas se toman en caso de desviaciones? 1.1~ ..·~pt?dficat
18. ¿Qué pasos y técrucas se siguen en la planeación y control de los proyec·
los? Enumérelos secuencialmente. F. tapa de estu
rroll,lndo el rr
( ) Determinación de los objetivos. mduy~:ndo el
( ) Se~alamiento de las poliUcas.
( ) Designación del funcionario responsable del proyecto. (tapa de dis•
( ) Integración del grupo de trabajo. lógico; cva.luc:
( ) Integración de un comité do decisiones. omisiones/ an
( ) Desarrollo do la investigación. qu<' t'l costo 1
( ) Documentación do la •nvest•gación. qtu.' st' detectt
( ) Factibilidad de los sistemas. t•l costo que s
( ) Análisis y valuación de propuestas. nar la d ..scriF
( ) Selección de eqwpos Vtsla del USut
lógic.l de cad
irla fao- 119 _ _..J
ltre estas 19 ¿Se llevan a cabo rev•s10nes periódocas de los SIStemas para determ1nar SI
aun cumplen con los ob¡et1vos para los cuales fueron dtseñados? CONTROl OE DISEÑO
1drán d t- OE SISTEMAS
ro con la SI (
Y PROGRAM!.CIÓN
0e 1náhSIS NO (
ica, pa ra De programación si ( NO (
muy im · OOservaclones
ez de los

erdo con Incluir el pla.<o estimado de acuerdo con los proyectos que se tienen para
tionano: t¡t~t eldepartamento de informática s.ltí§faga las necesidades de la dependen-
CI.I, S<'glin la situación actual.
foona. Como ejemplo de formato de control de proyectos véase la figura 4.8; del
!rados altndano de actividades véase las figuras 4.9 y 4 10; del reporte de Jos respon·
l.lbb del §istema, véase la figura 4.11; del control de programadores, véase la
!Cie la figura 4 12; de planeación de la programación, véase las figuras 4.13 y 4.14; de
los tnformes de avance de la programación, véa<.e la figura 4.15; de control de
usua- l\ólnct' de programación véase figur¡" 4 16 y 4 17.
Se deberán revisar tanto los proyecto> terminados como Jos que se encuen·
:tón al lun en proceso, para verificar si se ha cumplido con el plan de trabajo o si
cumple con su función de medio de control.

¡arios.
CoNTROL DE DISEÑO DE SISTEMAS
YPROGRAMACIÓN
OO,.,tivo de esto es asegurarse de que el §istema funcione conforme a las espe-
oñcacione. funcionales, a fin de que el usuario tenga la suficiente información
para <u manejo, operación y aceptación.
las revisiones se efectúan en forma paralela, desde el análisis hasta la pro-
gramación, y sus objetivos son los stgutent<>s:

Etapa de análisis y definición del problema. Identificar con claridad cuál es el

obJetivo del sistema, eliminando inexactitudes, ambigüedades y omisiones en
las e,pecificaciones.
oyec-
Etapa de estudio de factibilidad. Elabo rar el costo/ beneficio del sistema, desa·
rrollando el modelo lógico, hasta llegar a la decisión de elaborarlo o rechazarlo,
incluyendo el estudio de factibilidad técnico y las recomendaciones.

Et.lpa de diseño. Desarrollar los ob,cltvo<; del sistema; des.1rrollar el modelo

ogtco, evaluar diferentes opciones de dt~ño, y descubrir errores, debilidad~-,,
omisione>, antes de iniciar la codificación. E.~ta actividad es muy importante ya
que el co>to de corregir errores es directamt>nte proporcional al momento en
que se detectan: si se descubren en el momento de programación será más alto
el costo que si se detectan en la etapa de análisis. El análisis deberá proporcio-
nar la descripción del funcionamiento del sistema funcional desde el punto de
'i<ta del usuario, indicando todas las interacciones del sistema, la descripción
16¡pca de cada dato, las estructuras que éstos forman, el flujo de información
 Figura 4.8. Control de proyectos

NOMBRE DEL PROVECTO PROVECTO NÚM - -

COOAOINAOOA FECHA
(anotar t n la primera linea las fe<:has e-&1mBdas y en lo. Ségunda las reales)

...... ACTIW>ADES Rt~!J.A8lf ENEROI FEB. MARZO- MA'1'0 JUNIO JUU0 1 N:Jil SCPT OCT.
""' OIC
....
"'
"'"

- -
1 • - -

- -
- r
 121.___ _

Figura 4.9. Calendario de actívldades

ANÁLISIS Y PROGRAMACIÓN

1= ....E AVJ>HOE
1
...,..
HOJA O<

-
..
NuM

"''
DUC,_~II>t o
' 1 3 .. 5 G 1 1
ooo ooo oo o o
'
......,.,
MES

........ SE""""") ........ • llUA~ t

•
-
E
f---
• ..
E T

• 11
E
1
• l
•
•
1 j •
1~ • 1
E

•
• 1
1--
•
E

1- 1-
'--
•
[ . dt-.wlO A•f'EAl
.____ 1. 22
Figura 4.10. Control de actividades del programador

SISTEMA _ _ _ _ _ _ - - - - - - - - - - -

PROGRAMA----

PROGRAMAOOR _ _

PLANEADO REAL 1
ACTIVIDAD
r-~,N~00~~~11t~RW~NO~~O~F~t-~IN~OO~~~T~RM~NO--r-~-F~ CNF
~---------1--
1 AHAUSrS

2. DIAGRAMA I.OoiCO

3 CREAC DE PRUEBAS

4 PRUEB ESCR TORIO

5 ~FICACION

6. CAPTURA

7 COMPlLACION

8 GENER PRUEBAS

9 DEPURACfON

10 PRUEBAS

11 VERIF PRUEBAS

12 CORRECCIONES

13 DOCUMENTACtON

FINAL

ESPECIFICAR El NUMERO
DE COMPILACIONES REAI.IZAOAS - - -- - - - - - -- -------

PRUEBAS REAI.IZAO::A:s_ _ _
OOSERVACIONES
-===================-1
 Figura 4.11. Reporte semanal de los responsables de sistemas 123

,-.
1 r--;STEMAS METAS FIJADAS METAS ALCANZADAS COMENTARIOS
lf

lf= 1

RECURSOS

SISTEMAS HAS. PROGRAM. HRS. ANÁLISIS HAS. PRUEBA

- ,__
.----
f.--

n 1

u 1

1 -.
 Figura 4.12. Control de programadores

OtAGRA.MA CODIFICACIÓ"f CAPTURA Pf:IU(aAS IMPLANTACIÓN OPERACION

PAOGRAMA NOM~
A OEL
REALIZAR RESPONSAatf FECHA FECHA FECHA FECHA FECfiA FECHA rCCiiA FECH A FECHA F=EatA FECWI. FECHA
INIC FINAL INIC ~NAt. INIC FINAL INIC FINAL INIC. FIHAL INIC FINAL
rTrr Figura 4.13. Planeaclón de programación

SISTEMA
125_~

1
PR:XiR••••OOA

BASE
!
OURAC. FECHA DE ENmEGA 1
PRIORI. EN
11 PROGRAMA DtAS OAJGI. ACT\JA. REAL

I~MJM DESCRIPCION PRODUCTO A OOTENEA

..

•
-,
11 '
1• --· 1

1 1
126 Figura 4.14. Hoja de planeaclón de actividades

1 SISTEMA
FECHJ

SISTE'
USUARIO
RESP~

PRO~
PROGRAMADOR - - - - - - - - - - - -- - - - -- - -

PROGRAMA _ _ _ _ __ FASE 1
NÚM. FA~

CLAVE
ACTl- AClMOADES
FECHAS REAlES MJI• FECHA 0E ENTREGA
1
V!DAO INIC. TERM PROO ORlO ACT\1 REAl

HOJA DE
 Figura 4.15. Informe de avance de programación

1 ,,¡ FECiiA

S STEMA
HOJA DE

1 1 RESI'ONSABl.E
!'-
L__ PROGRAMAS TERMINADOS A LA FECHA
PRDO CON DESVIAC10N O CANCELACION

--
!NTFlEGP.
IAAtFASE,NÚMPAOG FECHA ENTREGA NU1oL FASE f NUM PROO. HUEVA FEC>iA
1-,._
¡, REAl.
11
1•

1~
l
f

'
1
r
1i
IT
l--- 1
11
1
-- - -
~- ,,
rf 11 ------ NUEVOS PROGRAMAS A INClUIR EN El PLAN
--r---
OURACION
NUM. FASE NUM. PROG.I FECHA El'lTREGA
DESCRIPCION
1

il OlAS DEL PROGRAMA

--·-
f--·

-
-

¡
1
~
1
128 Figura 4.16. Control de avance de programación

SISTEMA------------ FECHA _ _ _ __ SISTEMA

PROGRAMADOR _ _ _ _ _ __ _ _ _ ___

FECHA. REAl ov.s NOt.l N)l

OE O<
INICIO TEAM. COMPIL PRl.
CLAVE
ACTI·
VI DAD

COOIGO DE ACTIVIDADES OBSERVACIONES - - - - - - - - - - - - - - - - - --ti,

A IHTERPAETACION
8 OlAORAUACION l OGICA
C CfiEACION 0€ PAUEBAS
O PRUEB.AS DE
E COOIFJCACK>N
F CAPTURA
O COMf>ti.ACIÓN
H CREACI()N EN P.-,RALElO
1 DEPURACióN
J PRUEBAS EN PAAAI.fl.O
K VERIFIC. DE PRUE8AS
l CORFIECOONES
M OOCVMEf<ITACIÓH
HOJA DE
í
Figura 4.17. Hoja de planeaclón de actividades y control de avance

11 SISTEt.IA
1 [ CU~NTE j
¡,..--
PIIOGRAMAOOA

PAOGRAW. FASE

lf---
CV.VE FECHAS REN..ES NUM. FECHA DE ENTREGA
ACT~
V10AD ACTIVIDADES INIC. T~RM. PROO OAIG. ACTU. REAL
1-

r- 1--·~

1
1
1

•
\ 1

FECHA HOJA DE
130 que tiene lugar en el si,tema. Asimismo, ..e indicará Jo que el sistema
CAPiruL04 romo entradas, los proet.'WS que serán realizado,, las salidas que deber.i 2
EVALUACIÓN porcionar, los controles que se efectuar.in para cada variable y los
OE LOS SISTEt.IAS míen tos.
3
Etapa de programación. Buscar la claridad, modalidad y verificar con
1,1s especificaciones.
4

Etapa de implementación y pruebas del sistema. D.!sarrollar la implement<ll

del sistema con datos de prueba y la carga de datos definitivos, evaluando 5
SIStema, su seguridad y confidencialidad y dando entrenamiento a los u
nos. L,ls prueb.h del sistema trat.ln de garantizar que se cumplan lo. requ• •
de las t">pecificaciones funcionales, verificando datos est<~dísticos, transac, •
nes, reportes, archivos, anotando las fallas que pudieran ocurrir y •
Jo, ajust('s nece<.arios. Lo. niveles de prueba pueden ser agrupados en •
los, programas y sistem.1 total. •
Esta función tiene una gran importancia en el ciclo de evaluación aeao.uc..1 •
eiones de los si.~temas de información y bu-<a comprobar que la aplicación e •
pie las especificaciones dl'l usua río, que se haya desarrollado dentro de lo
•
"upuestado, que tenga los controles necesarios y que efectivamente cumpla o •
105 objetivos y beneficios esperado,. •
Un cambio hecho a un sistema existente, romo la creación de uno nu, •
presupone necesariamente cambios en la forma dl' obtener la información 1"' •
~to ad1aonal. Ambos d<-berán ser e,·aluados. •
Se debe evaluar el CJmbio (SI lo hay) de la forma en que S<' l'Jl'CUtan •
operaciones; se dl'be comprobar si mejora la exactitud de la información g~ •
rada, si la obtención de Jo, reportl., efecti, amente reduce el tiempo de en •
o ~i es mJs completa. Se debe determinar cuánto afecta las actividades del pr.- •
~onal usuario o si aumenta o disminuye el personal de la organización. así •
lo, camb1os entre las interacciolll'S entre lo-. miembr05 de la organú.aoón. Ji
ello, a fin de sa~r si aumt>nta o d1sminuyl' el esfucr.to re.11izado y su 6
costo/~neficio para generar la información destinada a la toma de dccisio
ron objeto de est<~r l"n rondicionl'S de determinar la producti\'idad y calidad
SIStema.
Como ejemplo de cuestionario para la evaluación del diseño y prueba Esm1
Jo, sistemas presentamo-. el siguiente; dándoll' 1
amtstad (
h·ma, n•
1. ¿Ou1énes 1nterv1enen al disellar un sistema? grave de1
son los lU
¿Que
• Usuario.
"~te no lu
• Ana Sta
e rn•talad
• Gerente de departamento.
nes o nue
Adm.nistradores de bases de datos
• Personal de comunlcaCIOOes y redes. En t•l !
• Audrtores Internos de sus rl'C
• Asesores. flma
• Otros. c.id de~,ur
hles y h.'t.·r
tomará 2 , Oué lengua¡e o lengua¡es conocen los analistas? 131
!rá pro-
COHmOI. DE DISENO
>rocedi- DE SISTEMAS
3. ¿Cuántos analistas hay y qué expenencla llenen? Y PAOGAAMACION

base en
4 ¿Cómo se controla el trabajo de tos analistas?

ntación
mdo el 5 lnd1que qué pasos se siguen en et desarrollo de un s1stema:
s usua-
¡ui~itos • DehnlCión del problema ( )
saccio- Desarrollo de objetivos del SIStema ( )
• EStudiO de facbbWdad ( )
•zando
• EstudiO costoJbenefiCio ( )
módu-
• Estudio de lactibilídad técnoco ( )
• Oehrncoon de bempos y costo del proyecto ( )
aplica- Desarrollo del modelo lógiCO ( )
ncum- Propuesta de diferentes altemat1vas ( )
lo pre- Especaf1cacoones para el s1stema fls1co ( )
>la con EspecilicaCJones de programas ( )
• 01seño de implementación ( )
1uevo, • Diseño de carga de datos ( )
ny un • Codilicación ( )
Programa de entrenamiento ( )
an las • EstudiO de la detinoción ( )
Discusión con el usuario ( )
gene-
• Elaborar datos de prueba ( )
>trega • Rellislón de resultados ( )
~1 per- • Documentación ( )
como Someter resultados de prueba ( )
Todo
lación 6 ¿Oué documentación acompaña al programa cuando se entrega?
wnes,
1ddel
Es muy frecuente que no se libere un sistema, esto es, que alguien continúe
ba de dJndole mantenimiento y que sea el único que lo conozca. Ello puede deberse a
am•stad con el usuario, falta de documentación, mal análisis preliminar del sis-
h~mél, resistencia a cambiar a otro proyecto, o bien a una situación que es muy
gr.wc dentro del área de informática: la aplicación de "indispensables", que
son lo~ únicos que tienen la información y, por lo tanto, son inamovibles.
¿Qué sucede respecto al manterúmiento o modificación de un sistema cuando
éste no ha sido bien desarrollado (anali1.ado, di~ñado, programado, probado)
~ 1n<,talado? La respuesta es sencilla: nccc,itará cambios frecuentes por omisio-
nl" o nuevos requerimientos.
En el caso de sistemas, muchas organl'.aCJOne!o están gastando rerca de 80% Diseño
de <us recursos de cómputo en mantt'111m1ento. del sistema
El manterúrrúento excesivo es con.secuencia de falta de planeación y control
del des.>rrollo de sistemas; la planeación debe contemplar los recursos disponi-
bil>s y técnicos apropiados para el de<;arrollo.
.___ 132 Por <u part~. ~1 wntrol debe tener como soporte el ~tabloom•ento de
CAPÍTUL04 mas de desarrollo que han de <er verificadas continuamente en todas laS&;::•
EVALUACION del desarrollo de un sistl'ma. Estas normas no pueden estar 3JSI,ldas,
OE lOS SISTEMAS del contexto particul,lr de la dirección de informática (ambientt•) y, ~unJ
los lineamientos generales de la organización, para lo cual es nccesano
con personal en desJrrollo que posea suficiente experiencia en t•l csl:able<lJ-1
to de normas de desarn>llo de sistemas. Estas mismas características ae;DI!~'e"cl
en el personal de aud llorla de sistemas.
Es poco probable que un proyecto llegue a un final feliz cu.mdos.? ha 1111
do sin éxito.
Difícilmente estaremos controlando realmente el flujo de la inllonma,mín,J!<.I
un sistema quc dcsdc su inioo ha sido mal analizado, mal diM'ñado, JThll
gramado e mcluso mal documentado.
El cxresivo manh:mmiento de los sistemas generalmente,., OC<l>i<>NdoJlZI
un mal desarrollo. Esto o;e inicia de:>rle que el usuario establt'CC sus ~
mientos (en ocasiones sm saber qué desea) hasta la instalaoón del s~.>tem~,
que se haya establecido un plan de prueba de éste para med~r su
conñabilidad en la oper.1ción que se efectuará. 2 En J.-.
Para verificar si existe esta situación, se debe pedir a los anal"tas1,,...,
dades que est.ín desarrollando en el momento de la audJtori.J y evaluM '' rcnc•a
efectuando actividades de mantenimiento o si se están realiz.1ndo nuevo< forma
yectos. En ambos casos se deberá evaluar el tiempo que llevan dentro deiJnJ
mo sistema, la prioridad que se le asignó y cómo está el tiempo real en rd,lO"<
con el tiempo estin1.1do en e l p lan maestro.
El que los analistas, los programadores, o unos y otros, tengan ae<~<. .l
todo momento a los si>temas en operación puede ser un grave probl<•m• 1 OC>
sionar fallas di' seguridad.
3

INSTRUCTIVOS DE OPERACIÓN Eau1

L1 ..,,,.,.,,...
Debemos evaluar los in5tructivos de operación de los sistemas para evit.uq
de num1•ni
los programadores tengan acceso a los sistemas en operación. F.l contenido m
ni m o de los instructivos de operación deberá comprender: si!'ttt•ma
qul'tc de
• Diagrama de flujo por cada programa. cion de
• Diagrama particular de entrada-salida. equipos
• Mensaje y su explicación. ret1ción
• Parámetro~)' su t'Xplicitción.
• Diseño de •mprc"ón de resultados.
• Cifras de control.
• Fórmulas de verificación.
• Observaciones.
• Instrucciones en caso de error.
• Calendario de proreso y resultados.
de nor- 133
•etapas
rimero, FoRMA DE IMPLANTACióN ENTREVISTAS
A USUARIOS
ndo, de
• contar l.l finalidad es la de evaluar los trabajos que se realizan para iniciar la opera-
cimicn· CIÓn de un sistema; esto comprende: pru<•ba integra l del sistema, adecuación,
accpt.1ción por pa rte de l usuario, cn lrenamÍ{'11IO de los responsables del sis te-
1 existir
ma. Para ello deben de conside rarse los siguientes aspectos:
1 inicia-
l. Indicar cuáles puntos se toman en cuenta para la prueba de un sistema:
ción de • Prueba particular de cada programa.
.al pro- • Prueba por fase, validación, actuah1ación .
• Prueba integral del paralelo .
tdopor • Prueba en sistema paralelo.
equeri- • Pruebas de seguridad y confidencialíd.1d .
ma, sin • Otros (especificar).
ado de
2. En 1.1 Implantación se debe de anah7M l,t forma en que se van a cargar
¡ activ-i· Jni(Jalmente los datos del sistema, lo cual ptll•de ser por captura o por transfe-
¡j están rencia de información. Estos datos pul>den ser de todo el sistema, o bien en
os pro- forn1a parcial. Lo que es necesario evaluar ~5 la forma en que se van a car·
el mis- gn r las cifras de control o bien los datos acumu lados.
elación
En et caso de una nómina. tos dfas trabajados por los empleados a la fecha Ejemplo 1
:eso en de Iniciación del sistema, o bien sus acumulados en percepciones y en im·
puestos retenidos.
1yoca-
3. Tamb1én se debe de hacer un plan de trabajo para la implantación, el cual
debe contener las fechas en que se reali1.ar.in c~da uno de los procesos.

EauiPO v FACILIDADES DE PROGRAMACióN

tarque !..1 sell'Cción de la configuración de un sistema de cómputo incluye la interacción
do mí- de numerosas y complejas decisiones de car~ctcr técnico. El impacto en e l ren-
dimiento de w1 sistema de cómputo debido a cambios trascendentales en el
si't~ma opera tivo o en e l equ ipo, p uede M'r dct('l'minado por medio de u n pa-
quete de pruebas (bet~chamark) que haya sido elaborado pa ra este fin en la direc-
ción de informática. Es conveniente solicitar pruebas y comparaciones entre
equipos (l>rltchamark) para evaluar la situación del equipo y del software en
relación con otros que se encuentran en el mercado.

ENTREVISTAS A USUARIOS
l,a,. entrevj,tas se deberán llevar a cabo para comparar los datos proporcionados y
la situaoón de la dirección de inform.ihca desde el punto de vista de los usuarios.
134 Su objeto es conocer la opinión que tienen los usuarios sobre !0<
CAPITuLO• proporcionados, así como la difusión de las aplicaciones de la ro•np,ult:!::
EVALUACION de lo- si,temas en operación.
DE lOS SISTEMAS Las entrev•~tas se deberán hacer, en caso de ser posible, a tode»
ri~, o bien en forma aleatoria a algunos de ellos, tanto a los más
como a los de menor importancia en cuanto al uso del equipo.

ENTREVISTAS
Aunque la entrevista es una de las fuentes de información más importan!<
~aber cómo opera un sistema, no siempre tiene la efectividad que sed
que en ocasiones las personas entrevistadas pueden ser presionndas r
ana listas de sistemas, o piensan que si se hacen a lgunos cambios, 6tos
afectar su trabajo. El gerente debe de hacer del conocimiento de 1<><> entre1
dos el propósito del cstudjo.
Una gura para la entrevista puede ser la siguiente:

• Prepárese para la entrevista estudiando los puestos de las per'>Onill

van a ser entrevistadas y sus funciones dentro de la organización.
• Preséntese y dé un panorama del motivo de la entrevista .
• Comience ron preguntas generales sobre las funciones, la or¡garti~d&:l
los métodos de trabajo.
• Haga pregw1tas especificas sobre los procedimientos que puedan
resultado el señalamiento de mejoras.
• Siga los temas tratados en la entrevista .
• Limite el tomar notas a lo más relevante, para evitar distractores.
• Al final de la entrevista, ofrezca un resumen de la información obtmd:.:l
pregunte cómo se le podrá dar seguimiento.

CuESTIONARIO
El diseño de un cuestionario debe tener W1a adea.ada preparación,.
c•ón, preevaluación y evaluación. Algunas guías generales son:

l. Identificar el grupo que va a ser evaluado.

2. Escribir una introducción clara, para que el investigado conozca los
vos del estudio y el uso que se le dará a la información.
3. Determine qué datos deben ser recopilados.
4. Elabore las preguntas con toda precisión (no haga preguntas en ncgallv
de tal forma que 1,1 persona que las responda lo pueda hacer con toda el
dad. Estructu re las preguntas en forma lógica y secuencial de tal formaq
los servicios el tiempo de respuesta y de escritura sea breve (aunque se deben dejar abier- 135
nputadora y tas las observaciones). Elimine todas aquellas preguntas que no tengan un ENTREVISTAS
objetivo claro, o que sean improcedentes. A USUARIOS
OS Jos USUtl• Limite el númem de preguntas para evitar que sea demasiado el tiempo de
importante.; contestación y que se pierda e l interés de la persona.
6. Implemente un cuestionario p iloto, p,lTa cv~luar que todas las p regu11tas
sean claras y gue las respuestas sean J,¡s esperadas.
7. Diseñe e implemente un p lan de recolección de datos.
b Determine e l método de análisis que será usado.
9. Distribuya los cuestionarios y déles seguimiento para obtener las respues-
tas deseadas; asimismo, analice los resultados.
Procure que su cuestionario responda a las siguientes preguntas:
>rtante para • ¿Qué áreas pueden ser mejoradas?
;e desea, ya • ¿Qué información ne.:esita que actualmente no tiene o que es difícil de
das por los obtener?
tos podría11 • ¿Qué cuellos de botella ocurren durante el día? ¿Cómo se pueden di-
entrevista- minar?
• ¿Cómo se p uede cambiar el procedim ien to para eliminarlos?
• ¿Existe un proced imiento que sea redundante o repetitivo?
• ¿Cómo se podría eliminar esta repetición?
rsonas que
in. Desde el punto de vista del usuario los sistemas deben:

mización y Requerimientos
Cumplir con los requerimientos totales del usuario. del usuario
2. Cubrir todos los controles necesarios.
1darcomo 3. No exceder las estimaciones del presupuesto inicial, en tiempo y costo.
~ Ser fácilmente modificables.
; Ser confiables y seguros.
;. 6. Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible.
.lbtenida y 7. Ser amigables.

Para que un sistema cumpla con los requerimientos del usuario se necesita
unn comunicación completa entre éste y e l responsable del desarrollo del siste-
m~. En ella se deben definir claramente los e lementos con que cuenta el usua-
rio, las necesidades del proceso de información y los reque rim ientos de üúor-
m~ción d e salida, a lmacenada o impresa.
En esta misma etapa debió haberse definido la calidad de la üúormación
que será p rocesada por la computadora, estableciéndose los riesgos de la mis-
4 elabora-
ma y la forma de minimizarlos. Para eUo se debieron definir los controles ade-
cuados, estableciénd ose además los ni veles de acceso a la información, es decir,
quién tiene privilegio de consultar, modificar o incluso borrar información.
E.\ta etapa habrá de ser cuidadosamente verificada por el auditor interno
los objeti- .,pecialista en sistemas y por el auditor en informática, para comprobar que se
logró una adecuada comprensión de los requerimientos del usuario y un con-
trol "'tisfactorio de información.
-.egativo), Para verificar si los servicios que se proporcionan a los usuarios son los
odaclari- rl>queridos y que se están proporcionando en forma adecuada, cuando menos
ormaquc serJ preciso considerar la siguiente información:
136 • Descripción de los servicios prestad os.
8.
CAPiTULO •
• C1iterios que utilizan los usuarios para evaluar el nivel del servicio prcst.>l
EVALUACIÓN • Reporte periódico del uso )' concepto del usuario sobre el servicio .
0E LOS SISTEMAS • Registro de los requerimientos planteados por el usuario .
• Tiempo de uso .

Con esta información «> puede comenzar a reali7ar la entrevista para dt

minar si los servicio, proporcionados y planeado, por la dirección de infor
tica cubren las necesidadl"i de información de la organinción.
A continuación se prNenta una guía de cuestionario para aplicarse dur 9
la entrevista con el usuario.

1. ¿Considera que la dirección de informática le da los resultados esperados'

sr t.o
¿Por qué?

2. ¿Cómo considera usted, en general, el servicio proporcionado por la dro 10

ción de infonnática?

A. Defictente B. Aceptable C. Satisfactono O. Excelente

¿Por qué?

3. ¿Cubre sus neces1dades de procesamiento? 11

A No las cubre B. Parcialmente C. La mayor parte D. Todas
A
¿Porqué?
e
4. ¿Cómo cons•dera la cattdad del procesamiento que se le proporciona?

A. Deficiente B. Aceptable C. Sahsfactono D. Excelente

12
¿Por qué?

A
5. ¿Hay disponibilidad de procesamiento para sus requerimientos?

A. Generalmente no ex•ste B. Ocasoonalmente o.

C. Regularmente D. Siempre

¿Por qué?
13
6. ¿Conoce los costos de los serv~cios proporcionados? Si NO

7. ¿Qué opina det costo del servicio proporcionado por el departamento de pro-
cesos electrónicos?
14
A. Excesivo B. Mlnimo C. Regular O. Adecuado E. No lo conoce

¿Por qué? 15
 8 <Son entregados con puntuarodad los trabajOs?
137
A. Nunca 8 Rara vez ENTREVISTA$
C. Ocas1ona1mente A USUARIOS
O. Generalmente E. S1empre
para deter-
de informá-

---
9 ¿Qué piensa de la presentación de los trabajos solicitados?
A. Defociente B. Aceptable C. Satisfactoria D. Excelente
¿Por qué?
------
-----
10. ¿Qué p1ensa de fa ateooón brondada por el personal de procesos electró·
nocos?

A Insatisfactoria B. Satisfactoria C. Excelente

¿Por qué?

11. ¿Que p1ensa de la asesorla que se Imparte sobre 1nformát1ca?

o Todas
A. No se proporc1ona
B. Es insuficiente
C. SatiSfactoria
D. Excelente
¿Por qué?

-------
12. <Qué poensa de la segundad en el maneJO de la infO<maelón proporcionada
para su procesamiento?

A. Nula B Aiesgosa C Satisfactoria

D. Excelente E. lo desconoce
¿Porqué?

13. <.EXISten fallas de exact1tud en los procesos de 1ntormae>óo? SI NO

¿Cuáles?

conoce 14 ¿Cómo ut iza los reportes que se le proporcjonan?

15. ¿Cuales no Ut1l1za?

138
16. De aquellos que no utiliza, ¿por qué razón los recibe?
CAPITULO 4
EVALUACIÓN
OE LOS SISTEMAS
17. ¿Qué sugerencias hace en cuanto a la eliminaCión de reportes: modifi<:a001
fusión, división de reporte?

18. ¿Se cuenta con un manual del usuario por sistema? SI

19. ¿Es claro y objetivo el manual del usuario?

20. ¿Qué opinión tiene sobre el manual?

NOTA: Pida el manual del usuario para evaluarlo.

21. ¿De su departamento, quién interviene en el diseño de sistemas?

22. ¿En qué sistemas tiene actualmente s u servicio de computación?

23. ¿Qué sistemas desearía que se incluyeran?

24. Observaciones.

mejor sus e
patrimonio
DeRECHOS DE AUTOR El prog
pn francés e
dor, es un co
Y SECRETOS INDUSTRIALES blc por má'l
m•cntodela
En relación con las disposiciones jurídicas adecuadas para la actividad info:· dos determ·
mática, la Cámara de Diputados y el instituto Nacional de Estadística, Geogr Cadav
fía e Informática (TNEG!) organizaron un foro de consulta sobre derecho e.,. obras acree(
formática. Como resultado, se recopilaron opiniones, propuestas y experier· últimas adiq
cias re lacionadas con diversos aspectos, entre los que destacan: las garantias parar entre
para la información personal almacenada en bases de datos y la protección juri-
d ica de datos de carácter estratégico; la tipificación de deUtos informáticO>; Articul(,
valor probatorio del documento electrónico, y la protección de derechos de~"· todo cr i

tor para quienes desarrollan programas para computadora. en virtut

Dentro del concepto de propiedad inte lech1aL uno de los aspectos más im· privileg
portantes es el que se refiere a los derechos de autor, el cual involucra la p.m.
más importante del desarrollo intelectual de las personas, ya que se refiere a la; La legi
ramas Utcraria, científica, técnica. jurídica, musical, pictórica, escultórica, arqm catálogo de
 tectómca, fotográfica, cinematográfica, televisiv,l, a5í como los programas de cómpu· 139
lo, la, baS<'S de datos ylos medios de comunicacitln, entre la.~ más importantes. DERECHOS
Fn la m.1yorfa de los países existen leyes protector,ls de las obras intelectua· DE AUTOR
h que producen los poetas, los novelistas, los compositores, los pintores, los Y SECRETOS
~n. INDUSTRIALES
tSC\IIiOI'es, y de manera reciente se hon protegido los p rogramas de compu-
Mdora y las bases de datos. J>cro además d(• M I ll'gh;lc:lción doméstica~ las nado·
nrs~ltJbrJn compromisos unas con otras pélrn dJr una protección internacional
a los autores. En general, se admite qut> Wll cinco las rawnes de la protección.
En pnmer lugar, por una razón de justicia social: el autor debe obtener pro·
100>0 de su trabajo. Los ingresos que perciba, d~>ben e~tar en función de la aco· Programa de
g.da del público a sus obras y de sus cond1cion,.., de explotación: las "regalías" computación
l(ln. en cit.'rlo modo, los salarios de los trab.11adores intelectuales.
En ...gundo, por una razón de des.urollo cultural; 'i ""tá protegido, el autor
"A' \·cr~ estimulado para crear nuevas obras, enriqueciendo de esta manera la

reraturd, el teatro, la música, los programas de computación elaborados en su

pafs. Nad1e debe realizar un trabajo sin que sea debidamente remunerado; del
m1!tmo modo, los que, por su trabajo, 'jU int{•ligtmci.l, hU experiencia, contribu·
)~na la elaboración de programas y sistemas de cómputo, deben de ser debida-
mente remunerados.
En tercero, por una raz6n de orden económico; las inversiones que son ne-
cesarias, por ejemplo, para la elaboración de un sistema de cómputo será n más
fácilr~ de obtener si existe una protecció11 efectiva.
En cuarto, por w1a razón de orden moral; a l ~er la obra la expresión personal
MI pr11samie•Uo del autor, éste debe tener del'('cho a que se respete, es decir,
defl'Cho a decidir s1 puede ser reproducida o (*'CUlada en público, cuándo y cómo,
ydefl'<'ho a oponerse a toda deformacióll o mutilación cuando se utiliza la obra.
En qumto lugar, por una razón de prc>lig•o nacional: el conjunto de las
obra' de los autore. de un país refle¡a el alma de 1.1 nación y permite conocer
~r ous costumbres, sus usos, sus a'piracion'"'· S• la protección no existe, el
p.>lnmonio cultural será escaso y no se desarroiiMan la' artes.
El program,l de computación, conocido en ~nglés como computer progmm y
en franco!' como program~ d 'ordinal~ur, y tambi(on llamado programa de ordena·
dor, es un conjunto de instrucciones que, cuando se incorpora a un soporte legi·
ble por m,íquina, puede hacer que una m.iqu111a con capacidad para el trata·
mic1110 de la información ind ique, realice o consiga lUla función, ta rea o resu lta·
nfor- dos determinados.
::>gra- Cada vez se acepta con mayor frecuencia que los programas originales son
e in- obras acreedoras a la protección que otorga el derecho de autor. Una de las
rien- últimas adiciones de que fue objeto la precedente ley a u toral, consistió en incor·
ntias porar entre las obras protegidas a los programas de computación.
juri-
::>S; el ArtiC14IO ll El derecho de autor es el reronocimlt.-nto que.• hace el Estado a favor de
eau· tc.ldo <'f\'ador de obras literarias y artísticas. pn.•v1"ttd.., ('n t.~l artículo 13 de esta Ley,
,.., \'ortud del cual otorga su protección para qw d aut<>r goce de prerrogab\'as y
; im- privllegit~ exclusivos de carácter peff.Onal y patrimonial

parte
a las La legislaCIÓn actual, además de conservar dichos programas en un similar
rqui- cat.1logo de las obras para las que se reconoc~n lo; derechos de autor (art. 13,
140 LFDA), les ded ica un capítulo especial (capítulo IV <.1 ~1 tftulo IV) con reg\ 1
CAPITULO 4 particu la res tam bién sobl"(' prOll'cdón. 1
EVALUACIÓN
marr
OE LOS SISTE~S de r<
Artículo 13. Los dl... tl>thtl' dt.• autor a que~ refien.• t."Sta Ll'y M.- rt!("()nocen re>·r«>il
de las obras de la~ 'Jguu.•nt~~ ramas: el P'
[...[
XI. Program.- <.1~ <ómpuh>; p ren
1--1 por
Las dcm.is obra-. qut• por analogía puedan C\)n.,lder.u..,..• obras literaria!~ o u-
tísticas se incluirán {In 1.1 r~1ma qu~ les sea más afio a su n.t~turaleza.
pro¡
Artículo 83. Salvo patto en contrario, la personn fíc:ict"l o moral que comi·•iolllf :1
la producción d(' un.l Hbr.l o que Ja prod.u:tca con 1.1 c.:oltlbor.lción remunerada incl
o trcls, gozará de )¡1 titulnridad de los derechos patrimon~tllt.>s sobre la misma y 1.:
correl:iponderán facultadt~ rt:'l.1tlvas a la divulgnci~n. mt~gridad d e la obra y dt ma
colección sobtl' c...t~ hpo dt• cl\'acion,;s.
La per:c;ona qut> partkape ttn la realización de la obra. en forma remunerad4.
ma<
h·ndrá el derecho a que ~ le mencione expresamente "'U cahdad de autor, artiq4. ni <.k
mtérprete o qecutant~ "-.t>re la p.>rte o parte> m ruva Cl\'aoón haya participado. Did
Artt(u!o 8-1 Cuando se tr.ltl' de una obra reahz.1da como C()l"b«'Uencia de UN
relación laboral e.tabll'\:ld.i a trav~ de un contrato mdav1du~l de trabajo que CON-
te por escrito, a f.llt,l tll• p.1rto ~n contrario, se prt.~umu.l c.ru~ los dt>rechos patnm&-
nialcs se dividen por part('s igu.lle:; entre empleador y l'mplt.•ado. n.as
El empleador podr.t davulga.r la obra sin autori7;¡caón del empleado, pero 1\1 pub
.11 contrario. A falta dr ro•, tr.Ho ind ividual de t rabHjo poi' (':;Crito, los derech os pa- dieh
tri monia les oo rre~po n llt• r,,n al timp lead o.

C..pltulo IV

den
Artrculo JO!. Se <>nhcnd<• por programa de romput.h oón l.t ~'pre-.ión original m ha><
nMiquier forma. lt.•nguall" o códago, en un conjunto de.~ in.~trucaones que, con uN
o;.ecuencia, estructura y OrX,lOilación detennmada, tu.•nl' (('lmO propósitO que \.111-1 dio
computadora o di-.pc.)..,ltivo rt.·.l1ite una tarea o función t.~J'l-dllct"t.
Artfcrllo 102. L<h pros;r~lmJs de compu tación se prolt.·~t.·n '-'" los mismos t~rmi·
nos que las obras htrrMiols. Dichcl protección S<' <'xtit•ndt• t.:~nto a los programa·
operativos como a lo!-. prngrMnas 4plicativ~.. ya <.A•a en forma de código fuentt.> o
de código objeto. Se e'et·pluan aquellos programa> d<• cómputo que tengan 1"" las e
ob,eto causar efectos nocav~ a ot ro~ programa.; o t.-quipo~.
ArUcu/o lO.l. 5.11\'tl P·''" h> l'n contrario~ J(.)oo. dl·rt>chO!i p.atnmoniaJes sobre w: m en
programa de computa,ión y 'u dorumenLldón. ruando h.ty•n <ido creados por Ley
uno o varios empl,•.!dos '"" t.~ll"J''rcicio de SU!t funci<'llt"S o Mgult:ndo las instn1C"C»
nt..~ del empleador~ Ct,rr\~pon~l>n a éste. Z.JO(
Como e.xcepción a lo prc\ l~to por el artículo 33 dl• l.:a pn.>scntc Ley, el plaLO dr tl.m
la cesión de dercch()!'. t.•n m.Jh.·ria de programas dt.• rtlmput.a(rón no está SUJdV 11 ele(t
limitación algunit. l<» e
Artículo UN. Como ('\ccpción a lo previ~to en l'l .utkulo 27 fracción IV, ti
titular de los dcrcc:hos dl• au tor c;obrc u n program,l dt~ computdción o sobre una dcct
ba~~ de datos cort~l'n',trot, tHrn d4.:'~pués de la venta dt.~ l~,~.~mplar!!s de los mismos, cl y l~l J
derecho de autori1.ar o proh1b1r e l arrendamiento d<' d1cho,. c¡emplarcs. Este p~
cepto no se aplicar.:i cuando elt·Jc-mpJar del program.1 dt• cumputacil)n no coo ..titu- onda'
va f'n o;i mismo un obtt·to t·""·n<i.a1 de- la licencia dt.• u~l. centt
Artimlo 105. El usu.UI\> k•gohmo de un programa de computación podcá ,....t;. 51001
.ur el número dt" copu.s qut• lt• autorice la littnda cona•'"hda por el titular dt" b
derecho; de autor, O una 'Ola ropoa de dJcho progtdm.l Slt'mpre }' ru<mdo: cond
 eglas 1 ~a UldlSpensable para la uhhzaoón dd P"''t••rna. o 141
IJ_ Sl-.a dt~tinad.J exdusi,·amente cvmo ''-*"'SU"rdo p.trd ...ustituir la copia h:gitl-
m.unente adqwnda, cuando é:.ta no put-d~ utohL>....., por daño o pérdida. La rupoa DERECHOS
de r.'5paldo deberá ser destruida cuando ex~ el derecho del usuario para uhlizar DE AIJTOfl
V SECRET06
t"l progr.1ma de computación. INDUSTRIALES
1\rth.ulo 106. El derecho patrimon~tll "ubn.• un ptograma de computación com ·
prend~,~" ltl facultad de autorizar o proh1bu.
l. La reproducción pcrmancntC' o provi~o,ionJI del p rogra ma en todo o e n parte, Derechos
ror cu.tlquicr medio y forma; de autor
o ar- 11 L1 traducción, la adaptación, e-l Mn·~lu o t.·u.llqui~r otra modificación d(" un
programa y la reproducción del programa rt..ultant~;
sione
Jll. Cualquier forma de distribución drl programa o de una copia del mo'mo,
la de
mduldo el alquiler. r
1 y le
1\ Li d~mpilación, los ph"K'eSollS p.sra f\'\ .:rhr la angeruería de un progra-
r dt... m.l dt• n...,mputación }' el descn!oo.lmblaw.
Artocu/p 107. Las bases dt> dalt'> o dt• lltros matt·nal"' legibles por medoo de
rada,
m.iqu.na .. o m otra forma, que- por razone5 til· 'f.'lt."C.·"·um ) dispo-.ición de ..u oonte-
11sla,
rudo constituyan creaciones mtelectuales. qut-dar.in prutl-gidcb romo compilaci\.)~.
ado. O.ch.J protección no se e.-x1enderá a los dJtPS y mah:naleo en &i mismos.
!una
Nlfcu/o 111.~ Las ba,es de dat"" q~ "'' e< M ""ll'""Jeo; quedan. sin embargo, pro-
rons- k'gld.JS ...n .,u u -.o t:\dusivo por quien Lls h..l\ o1 d.•l,or.ki(\, durante un lapso de 5 años.
-uno- A.riJckltl 109. El acceso a informa~.:1ón dt• \:drd"ll'r pn\·ctdo relativa a las pt..f'O-o
~\ C\'IOlcmda en las bases de datos a qut~ .,..~ 1\.'(u..'r\' d a.rhculo anterior, a..,1 como la
ro no pubhc.uión, reproducción, divulg,lción, '-"'<'~munic.lcit~n pública y tran~misión de
• pa- dichol información, requerir.\ la autoriJ.l,ión previ._1 de l._ts personas de que M' tr4.1tt•.
Qulodan exceptuados de lo <mtcrior 1.1s inV(.'StigndO•"'I(.'S d~ las autoridades cncar·
Jo;old.t~o, dt• 1.1 procuración e impartición de ju~hda, dt• Jcucrdo 0011 la legislación n..--spcc·
hva., .t..,í L:Omo el a~ a ard'liv~ públiet\lo. J"'("'r 1~1s f'114:rson..s autori:tadas por la lí"y,
'":mpf\" que la consuJta sea realil'ada amfpmw a Jos proa..>dirruent~ respectiv~.
A.rtftu/(J 110. El titular del den.·chl\ p.1tnmc:wu.ll 'obrl~ una base de datos kndrá
dt"n.'Cho t•\.dusi\'o,. respecto de la forma de t'\presi'm dt" la ~tructura de d1cha
oJ en N'('~ dt' Autorizar o prohibir:
•una J. "u n'productión penn•ncnte o temporaL total o p•rcial, por cualquier me-
·una do<> ' de cuolqwer forma;
11 Su tr.1ducoón.- adaptación. reordt.·naoún ) cudlqu1er otn modificación;
hrru- 111 1 .1 dic;;tribución del original o cupttlS t.h... 1.1 bd~ d..-. d.1t~;
am"-' 1\ . La romunicación al pübliC\) y
nte o \' La n'producción. distnbucoon o comunocactón pubhca M los resultados de
1por las operadon~ mt!nclonada~ (·n la tramón n dd pn•··<nte articulo.
ArlréUio 111. Los programas ek<tuadtJs dedromcamente que contengan ele·
.,. un mt.'nt~ \ 1suales, ~noros" tndimefb1on.1h.·... o .JOimold'~ quedan protegidos, por ~-.t"
; por l.t•y t•n lo.., t•IC'mentos primigenios qut• ctmtt.•ngdn.
CCIO- Artfrulo l 12. Queda prohibida la 1mport.tc1ün, f~.lbnc4lc;:aón, distribución y utili·
..-.lCIÓil dl' ~tp,u~tt os o la prestación dl' . . . . . rvido~ dl'Stil'hld05 d eliminar la protección
tode fli.ulica de los programas de cómputo, <.h• ),\\ trnnsmic;.ioncs n través del espe<tro
eto a l.'lt~lrf•m.lgnético y de redes de tclecomunicaciunt•s y dt.' )()S programas de elemen·
t(,.. l'll"(trtlnicoc; o;.cñalados en el artículo anhmor
\,el Artu 11let 113 l...a!t obras e inh?rpf\1,1~o.-lnr'k'S o ".,..._"l"Ue&one transmitidas por mcdi~
una ekctr6níro> a través del espectro elt-..in>mas~toco y de red'"' de telecomunícaci<>n....,
"" el \ d "'"ull.ldo que se obtenga de t·,la trammoOK>n ,.,taran protl'!)lda:. por,...,. l.c1'
pre- J\rtocu/o 114. La transmosoon de obra:. protegodas por e.'ta l.c1 mediante cat>le,
;btu- ondas r.ldJC:~Jt.:""'""tn~o.a-. . satélite v otras !'lmalAn...... dl>ht: rJn .ldt"CUarse, en lo condu·
n-ntc, a lc11l~laoún me:xicaná y n~pt.-t.ar en todo cao;o y en todo tiempo la~ dic;;-po-
SlCJOI'\C."S ~re la materia.
1\.rtatUlo 231 Constituven mfra<o<mc.--s t"ll matt"na de comercio la:, ~iguí(>nh.~
rondu~.~ta .. ~.""'liando sean reáhzadas con hnes d .... lul"ro dtrt:-..:hl o mdirecto:
142 l. Comunicar o utilizar públicamente una obra protegida por cualquier me1
y de cualquier forma, sin la autorización previa y expresa del autor.. de sus~
CAPiTUL04
EVALUACIÓN
mos herederos o del titular del derecho patrimonial de autor;
DE LOS SISTEMAS JI. Utilizar la lmagen de una persona sin su autorización o la de sus cau~
bientes;
In. Produci r, reproducir, almacenar, d istribuir, transportar o oomerciali
copias de obras.. fonogramas, videogramas o libros, p rotegidos por los derechos
autor o p<>r los derechos conexos, sin la autorización de los respectivos titulares
los términos de esta Ley;
IV. Ofrecer en venta, almacenar, transportar o poner en circulación obraspr
tegidas por esta Ley que hayan sido deformadas, modificadas o mutiladas sin"
tori?.ación del titular del derecho de autor;
V. Importar, vender, arrendar o realizar cualquier acto que permita tener
d ispositivo o sistema cuya finalidad sea desactivar Jos dispositivos electróniro;~
protección de un programa de computación;
VI. Retransmitir, fijar, reproducir y difundir al público emisiones de organi:-
mos de radiodjfusión y sin la autorización debida, y
VII. Usar, reproducir o explotar una reserva de derechos protegida o un pro
grama de cómputo sin el consentimiento del titular. polémicas
Artículo 232. Las infracciones en materia de comercio previstos en la preserm trumento
Ley serán sancionadas por el rnstituto Mcxic.lnode la Propiedad Industrial conm11!!.. Internet. S
l. De cinco mil hasta diez mil días de salario mínimo en los casos previstos ea disco duro
las fracciones 1, III, IV, V, vn, VIJI y IX del artículo anterior; In ternet. E
n. De mil hasta cinco m il días de salario mínimo en los casos previs tosenb una ova
fracciones 11 y VI del artículo anterior, y Cuand
nr. De quinientos hasta mil días de salario mínimo en los demás casos a qutw
refiere la fracción X del artículo anterior. atribuye g1
Se aplicará multa adicional de hasta q uinientos días de salario mínimo gene- pués,extra
ral v igente por día a quicl':. persista en la infracción. cookiesu, e
Artículo 233. Si el infractor fuese un editor, organismo de radiodifusión. o Clll!- Estop
q uier persona física o moral que explote obras a escala comercial, la multa podrJ visitantes J
incrcmentatSC hasta en un cincuenta por ciento respecto de las cantidades pre\1,- entre vari1
tasen el artículo anterior. que permi
electrónic•
anuncianb
El e~
INTERNET todo en e<
línea, la ce
todepaga
El Internet, considerado como tma colección de red es interconectadas o como grabando
un conjunto de computad oras u nidas e ntre sí, no ha sido tomado en cuentl Teóri<
entre las disposiciones que se acaban de mencionar. un servid~
Pa ra obtener acceso a Internet se requ ie re u n equipo q ue está al a lcance de! Las re
público en general, por lo que cualquier persona puede entrar a la red de redes nes han al
de comunicación si contrata los servicios de un p roveedor de acceso. verdader•
Recientemente h an surgido empresas proveedoras de servicios dedicados ción de d <
a ofrecer en renta conexiones a Inte rnet, ya sea de manera d irecta, indirecta o do su nav
parcial, siendo las propias empresas las que proporcionan el equipo necesario den borra
para tener acceso. programa
Los proveedores de servidos son los responsables de la información que La sit
ponen al servido de sus usuarios, ya que dichas comp aí\ias son encargadas de determim
d ivulgar y contro la r la información transmitida por Internet. de Intern<
:med io, Son muy complejos los aspectos técnicos que implica conocer las acciones 143
IS legíti llevadas a cabo en Internet para determinar cuó lcs pudieran constituir alguna DERECHOS
mfr,1cción a los derechos de autor. No obstante, se pt1ede pensar que este siste- DE AUTOR
ausaha- I!IJ de comunicación puede originar las siguientes violaciones: al derecho mo- Y SECRETOS
INDUSTRIALES
ral de modificar la obra; al derecho moral de inédito; al derecho de publicar la
tiali.t:ar
obra bajo el propio nombre o de manera anónima. Tamb1én pueden producirse
c:hos de
lares en olaciones a los derechos patrimoniales cuando se transmiten obras intelectua·
!..;en forma de archivos por medio de Internet, ya que se realiza una utilización
:as pro- pública de una obra sin la remuneración para el autor de la creación intelectual.
sin au- También puede ser fáci lmente violado el derecho de autor cuando la red
utiliza la propia imagen, de la que son titulares Jos artistas, intérp retes y ejecutan·
:mer un tes, por cuanto que en Internet es posible e ncontrar un gran número de imáge·
.icosde
nesque pueden ser reproducidas imprimiéndolas sobre papel, como carteles, o
rganis-
sobre tela para obtener prendas de vestir (como playeras con la imagen del
artista preferido).
m pro- El debate sobre la protección de Jos datos personales en Internet reabre la
POlémica sobre el papel desempeñado por los cookie, que sirven más como ins-
resente lnlmento de mercadotecnia que como medio para espiar a los usuario> de
multa: Internet. El término cookie <;e aplica a un simple archivo de datos situado en el
;tos en d1sco duro del computador de una persona o compañía que ofrece servicios de
Internet. El cookie y su contenido son creados por un servidor que almacena
en la~
una o va rias pági na~ ln tcmct.
que se Cuando un visitante accede a una página web por primera vez, e l servidor le
•tribuye generalmente un número de identificación con atributos, e l cookie. Des-
gene- pués, extrae su nombre de un fichero empleado en las plataformas Unix, los "magic
rookies", con lo que el visitante será identificado en sus visitas ulteriores.
>cual- Esto permite al propietario de la página analizar el comportamiento de sus
podrá 1isitantes y personalizar sus visitas. El desplazamiento de los usuarios de Internet
•te\"ÍS-
entre varias páginas de una dirección se puede identificar a la perfección, lo
que permite "tomar not.1" del recorrido utililado más a menudo. La dirección
electrónica podrá ser modificada para satisfacer a la vez al visitante y a los
anunciantes, que pueden colocar su publicidad en el lugar más adecuado.
fll cookie sirve también para g rabar lo que ocurre en estas visitas, sobré
todo en caso de compra. Si se elige, por ejemplo, un libro en una librería en
linea, la compra queda grabada en un cookie, antes de reaparecer en el mom~n­
to de pagar la factura en la caja virtual. la visita también puede ser personalizada
:omo grabando en el archivo cookie las informac;iones fac;ilitadas por el usuario.
Jenta Teóricamente la seguriddd de estas inform.1ciones está garantizada, ya que
un servidor sólo puede obtener la información del cookie que ha producido.
"edel Las redes de publicidad en línea sí tienen esta capacidad. Estas innovacio-
-edes ll!'S han alarmado a algunas asociaciones, para quienes este sistema supone w1a
•·erdadcra intrusión en la vida privada de los usuarios de Internet. Esta capta-
ados ción de datos se realiza s in que el usuario Jo sepa, a menos que haya configura-
cta o do su navegador para ser advertido. Los que no disponen de este sist~ma pue·
sario den borrar periódicamente el fichero cookie de su disco duro o recurrir a un
programa especial.
que la situac:ión de los cookie debe ser evaluada dentro de la auditoría, para
ISde determinar si se considera como una intromisión la pnvacidad de los usuarios
de Internet de una compañía.
144
CAPiTULO 4
EVALUACIÓN
PROTECCIÓN DE LOS DERECHOS DE AUTOR
DE LOS SISTEMAS

Las obras protegidas por la ley deberán ostentar la expresión "Derechos Reo
dos" o su abreviatura D.R., seguida por el símbolo e dentro de un círculo:
embargo, la omisión de estos requisitos no implica la pérdida de los dercdl
autor, aw1que sujeta al responsable a las sanciones establecidas en la 1~
La reserva de los derechos de autor es la facultad para usar y
forma exclusiva títulos, nombres, denominaciones, características 11su:as '"
cológicas distintivas o características de operación originales. Ahora
proteger los derechos de autor se han establecido diversos procedimien!
primero relacionado con los delitos que pueden cometerse al invadirse
cho de autor, por lo cual se estableció el artículo 215 de la Ley de
Autor, que corresponde conocer a los tribunales de la Federación, sobre
titos relacionados con el derecho de autor, los cuales deberán estar pre·<Jslr"
el Código Penal para el Distrito Federal, que regula los delitos en maten•'~
fuero común y para toda la República en materia del fuero federal.
Independientemente de solicitar el ejercicio de la acción penaL la
afectada por Wl derecho protegido por la Ley de Derechos de Autor,
optar entre hacer va ler las acciones judiciales que le correspondan o sujeta"'
procedimiento de avenencia.
El procedimiento de avenencia tiene por objeto dirimir de manera am>
ble un conflicto surgido con motivo de la interpretación o aplicación de la t..
se inicia con la queja, que se presenta directamente ante el Instituto NaO"'
del Derecho de Autor.
Mediante la aplicación del artículo 2o. de la Ley de Derechos de Au
corresponde al Instituto Nacional del Derecho de Autor su aplicación adm
trativa, y en los casos previstos por dicha ley al Instituto Mexicano de la Pro¡o
dad Industrial.
Mediante el arbitraje las partes podrán resolver todas las controversias ~]U<
hayan surgido en materia de derechos de autor, y podrán someterse por roed
de cláusula compromisoria o compromiso arbitral.
Es de señalar que el artículo 223 de la Ley de Derechos de Autor señalaq
para ser árbitro se requiere el ser licenciado en derecho, pero no es requisilo
ser especialista en el área en que se va a arbitrar, como sería el ser experto e
programación, informática o bases de datos.
Las penalidades en caso de delitos se han incrementado notablemente d.
acuerdo con lo señalado en el:

CÓDIGO PENAL PARA EL DISTRITO FEDERAL EN MATERIA

DE FUERO COMÚN Y PARA TODA LA REPÚBLICA EN
MATERIA DE FUERO FEDERAL Artículos
"TÍTULO VIGÉSIMO SEXTO" en Materi
DE LOS DEUTOS EN MATERIA DE DERECHOS DE AUTOR
Artfcrtlo 424. Se impondrá prisión de seis meses a seis años y de trescientos a tre;
A rt. 82.
mil días de multa:
ocomcra
J. Al que especule en cualquier forma con los libros de texto gratuitos~
~ i gnifique
distribuye la Secretaría de Educación Pública;
 11 Al t.'ditor, productor o grabador que a S3btenda~ produzca más n úmeros de 145_ __,
r¡<mplar~• de una obra protegida por la Ley Federal del Dcre.:ho de Autor, que los
R autMI/;ldo~ por el titular de los derechos;
DERECHOS
DE AUTOR
IJI. A quien produzca, reproduzca~ unport~, nlm<lcene, tra nsporte, distrib uya, Y SECRETOS
n-ndl'l o a rl'iendc copias de obras, fonogramcls, vid~ogramas o libros, protegidos INDUSTRIALES
-:serva- por 1.1 Ley Fcd('raJ del Derecho de Autor, ~n forma dolosa; a escala comercial y sin
©. Sin la autoril..nción q ue e n los tém1inos de la ciL.1di1 ley deba o torgar el titular de los
hosde dt.•rcchos de autor o de los derechos conex(Y.ol;
fV.las mismas sanciones se impondrán a qUien use en forma dolosa, a escala
,taren oomC'rcial y sin la autorización correspondiente. obras protegidas por la mendona-
y psi- dal<•y;)
t. para V. A qmen fabrique con fines de luc-ro un d1spo!'ilivo o c;istema cuya finalidad
tos, el ~-..tdt....lchvar los dispositi\'OS elOO:rórúcos de protección de un programa de compu-
t dere- b<ión.
'105 de Articulo 425. Se impondrá prisión de """ me<e< a dos años o d~ trescientos a
os de- ti\., mil días multa, al que a sabiendas y sm dercdlo ~'plote ron fines de lucro una
tosen mterpret.lción o una ejecución.
A.rtit,fo 416. Se impondrá prisión de S('iS llH'M"Ct a cuatro años y de trescientos
;a del
a ti'C!. mil días multa, en los casos siguicnlí._"s:
1 A quien f4'brique, importe, venda o arri{ll,d(' un d ispositivo o sistema para
·rsona
desclfrnr una señal de satélite cifrada, portadora de p rog ra mas. sin autorización
podrá del d i<l l'ibuidor legítimo de díd'u scl'ial, y
use al
11. A qui~ n realice con fines d e lucro cualquic1· acto con la finalidad de desci-
trar u nn señal de satélite cifrad a, portadora de progr:unns, sin autorización del
miga- dbtríbuidor legítimo d e dicha señal.
ley, y Arllcu/o 427. Se impondrá prisión d~ seis mcs.cs a seis años y de trescientos a
jonal tre~ mil dfas multa, a quien publique a sab1endas una obra su~tituyendo el nombre
del autor por otro nombre.
t.UtOr, Arlic~tlo 428. Las sanciones pecuru.1ria.li pre\'ista-; ~n t'l presente título se apli·
ninis- c.aran sm ~rjuicio de la reparadón del daño, cuyo monto no podrá ser menor .11
opie- cuarmta por ciento del precio de \'cnt.l al publico de cada producto o de la presta-
eón dl~ wrvídos que impliquen violación a alguno o algunos de los derechos
sque tuteladO> por la Ley Federal del Dcnx-ho de Autor.
1edio Artlmlo 429. Los delitos previstos m ..,.te titulo se perseguirán por querella de
parte ofendida, salvo el caso previsto en el artículo 424, fracción 1, que será perse-
lque guido de oficio.
;to el
toen

te de
SecRETos INDUSTRIALES

Artículos de la Ley de la Propiedad Industrial

en Materia de Secretos Industriales

tres
Arl 82. Se con<idera secreto industrial a toda inf<>nnación de aplicación industrial
que o comercial que guarde una persona física o moral con carácter ronfidendal, queJe
¡,ignifique obtener o mantener una ventaja competitiva o económica frente a tercc·
146 I"'!t en la relo1ción de actividades económicas y respecto de la cual h•~·a
loo;, medios o c;,1stemas suficientes para presen·ar su confidencialidad y el
CAPITVlO •
~tnngido a la misma.
EVALUACION
la información de un secreto industrial necesariamente deberá"'"''"'!::
DE lOS SISTEMAS
lo1
a natural~7a, caractt"ri~hcas o finalidades de los productQS; ao II~O<~;:::ii
a.~ de producción; o a los medios o formas de distribución o o
productO> o prestación de servicios.
No o;,e oon~idcrar..i secreto industrial aquella información que sea
pubhro la que resulte evidente para un téotico en la materia. con ba,.. m
coón pro.>n.uncnte dJsportible o la que deba ser divulgada por ·
por orden judocial. No se considerará que entra al dominio público o~
gada por <fuJ'OO>iOón legal aqueUa información que sea proporcionada • aLI!;:':II
autoridad por una persona que la posea como secn>to ondu<tríal. cuando
porc1ón l..., para el efl'd:o de obtener licencias, permi~. autOriL41ciOne.., wgioc::f
cuah..">Squ.•ersl otros act~ de autoridad.
Se ronsidera S«reto industrial "toda información de aplicación '"""""q
comercild". En principio, respecto de la aclaración de que la informacíón
de cMáct~r industrial o comercial, la cua~ aun y cuando pi'! rece ele,m<·nt.l'l (!j
lugar a que en ciertos casos la voluntad del legislador pretendier.t intt•rpl\'l!
un b4.!ntido r~strictívo, limitando la protección exclusivamente a 1.1 mform
f:Strictamentc de carácter industriaL
Por otro lado, t>SpeciaJ peso debe concederse al término "aplicación" q
duy~ d pn><:epto al referirse a los secretos industriales. ya que 1,1 inform.'"'
berá s.jltisf.lcer ese pa rticular requisito. De hed1o, en este punto podcmO!t Pnnm:
una relativa equiva14mcia con e l requisito que al efedo se esta bl('ce ('n matlr
p.ltcn tcs~ consistente en que las invenciones sean susceptibl('s de aphcacü)n n
tria l.
Es cJaro que la expresión "aplicable", en este particular contexto, dcbl\
terpretad.1 en su (orm.l más amplia,. ya que pudiera presentarse el ca~
Cierta información que aun y cuando en la práctica aún no hubiese sido
practica., sus posibilidades de ser implementada le ubiquen como onfc>rm1o<f;j
mere"-<dora de la tutela de este régimen.
fn ara. de que e) régimen tutelar de Jos secretOS ondu<triales VCirda,d tt,= ::!
ronM1tuya un medio de protección de información confidencial que !'ecshm•,a:c;]
bien l"CCn6micamente \'alioso, la limitación que (') precepto reali1a del
formación que cAlifica como constitutiva de secretos indu<triale<, ín<'"l""'
labra "referida a·. ron lo que el legislador parece establecer ba<ta
marión guarde cit>rta liga o esté asociada alas actividades fuo,d;smenttalc,.d~•O::::!
t."CCnómiro o h1en una \·entaja competitiva para poder "'t"r con,.iderad• ...,""~...,
p.u• ron.c..htuir un c;ecrcto indu..~triat lo cual puede ser ruestion01blfo,
toda> la' copoas. por <'JI'mplo, de programas, tienen una finalidad de .,_,,do<ioé~
nómico o una ''"-~ruaj.a competitiva.
Entre la informaoón típicamente considerada como conshtuto'"a dt
ondu<tríale<> se cuenta la relativa a listas de clientes y pro,·eedore<. formuLlcl~
prOC\"<» ondustríal.,, e:;trategias de mercado, laruamiento de prc:od<octc.,,
do' de estudiO'< comerciales y de mercado, sueldos, proct'SOo. lega le< l"t"' cltllltl
cil". ba"-'S de datos. y en general, cualquier información sensoble
un valor econónuro para la empresa. este tipo de información la pocteono><<mlilol
ror Wtl'Ctamente bgada con bases de datos.
Respecto de la condioón de que el secreto industrial sea guardado por
persona física o moral con carácter confidencial, puede consideraro.,e qu~ ~1n
constituye l'st.l el núcleo fundamental que imprime a este topo de informaci<lo
car.lCtt!rCstica. que le califica corno sec'.reto industrial.
adoptado Es importante considerar que el precepto no e-tob)('((' condición alguna res- 147_ _
el acceso J'tf'do del origen de la información que guarda su poseedor, es decir, no se establc--
DERECHOS
ct romo rondición el que la información hubiKl' sido generada por su poseedor, o DE Al/TOA
.r referida bien, que la misma hubiese sido obtenido por algún títu lo legal romo p ueda ser su Y SECRETOS
los o pro- trJnsmísión por parte de u n tercero, por lo que la información conten.id a en una INDUSTRIALES
.zación d~ hJ.,(\ de datos, es cons iderada como u n sc<:n.•to industrio l. s in importar si ésta fue o
no crcadt'l por la persona q ue la poM!C y q ue In pueden difund ir.
ldominio Obviamente se abre aqu( el planteami~nto de si In información que eventual·
informa- m('nte ha sido obtenida de manera ilegal, en caw de seguir cumpliendo las condi-
;n legal o ciones d~ confidencialidad extgtdas por el precepto, debe ser merecedora de '"
es divul- protección conferida a Jos secretos mdustraales. Seria el caso. por ejemplo.. de infor·
rualquier mJrión que indebidamente revele un l~x empll't~do d su nuevo patrón,. y que éste
lo la pro- pn:h_. ,da conservar y proteger como St.~reto indus-trial propio, o bien ropias de
gistros, o program..lS que posea un empleado y que Ll) proporc1one a su nuevo empleador.
En términos del tercer párrafo de t··~tt• mi'->mo artículo, se establece que no se
lustrial o ron,tdera que entra al dommio púbhro o que'"' divulgada por disposición legal
;,uede ser aquella información que sea proporcionada a cualquier autoridad por una persona
.tal, daba que la posea como secreto industrial cuando -,e proporcione para el objeto de obte-
-etarse en ner licC'ncias, permisos, autorizaciones, regi!)lrO:-t, o cuale-squiera otros actos de au·
)rmadón toridad.
las bases de datos que son del dominio público, pero que son modificadas,
.. que in- l'tWjoradas o ampliadas, para lo cuJI se emple~n tiC'mpo y recursos, se convierten
ación de- en propiedad industrial. Es d caso, por ejemplo, de mú ltiples bases de datos que
:noontrar hon obtcnldas a partir de información accc~ib ll' pMn el público, pero que al impri-
ateria de min;c unn dosis significativa de recu rsos, til•mpo y talento, la información es trata-
ln indus- da y depurada hasta el grado de convertirla Cl"' un producto nuevo y diferente, que
por ese solo hecho merece la protecc1ón t.JUC la legislación confiere a los secretos
Jeser in- mdustriales, Siempre que, desde luego, Sol' ttah~fdgan las otras condiciones exigtdas
' de que para esta figura.
ouesta en E.~te mismo criterio puede aplican;e a ciertos programas de computadón que
·nnación p.or• >U ronformaáón han requerido dé la part~<ipación di' especialistas que han
onwrtido en la inwstigación cantidad<> notabk., de e<fueno y erudición, de ma-
Tamente ""'" que el resultado puede ser considerado romo S<"creto industrial.
na como Un aspecto que es convcnicnt(' d~tat"ar l>s que en este punto la disposición
>O de in- p.t«""' apartarse del texto del Tratado dt• 1 ibrt> Comercio entre México, Estados
Ia lapa- Unidos y Canadá, en su articulo 1711, úmcamente requiere que quien posee el
Ja infor- secreto hubiere tomado ''medidas a &u alc~nce... El punto parece mínimo, pero es
cl~ro qu<' l'xiste una gran distancia entre hober tomado "medidas al a lcance" que
?lagente
mo apta hnber tomado ulas medidas necesarias", t\\1oomo la Ley de Propiedad Industrial lo
que n o detcnnina.
ido eco- Resulta imprescindible para las empn:qas n"'OdC'Tnfl<:; contar con un reglamen-
to int<'rno de trabajo, en el que se espec1f1qucn )(1-S poHlicas de la empresa en mah..""'
secretos rinde información confidencial. Dicho r\•glamento debe ser conocido por todos len;
aciones, l'mplendos }' funcionarios de la empres-.1, y su pu("<)ta (Ion práctka debe ser un asun-
resulta... to prkoritario para cumplir con los rt"CJUCrimicntos que la ley determina para la
constitución y preservación del S{I'C'ft!to industrial. Entre las políticas que deben
·dé pre-
observarse como mínimas en mateua dt> ..,ecretos industriales se cuentan
>resente
enunciati,tame-nte las consistentes en la 1dentificación de los materiales considera·
:onside-
do' romo <ec<eto de negoci<>'-, la prolubletón de la duphcaáón de documentos
~·n'->ib1~ sin autonzadón, el control de mgn..'M) a la~ areas en que la infonnadón ~
por una ronf1:ntra~ la utilización de sistemas de seguridad y control~ la implementación de-
in duda
cl.lv~ de a~ a las computadoras, la hrm.l de com·enios de confidencialidad
ación la
ron empleados y proveedores, etc E.'tos punto.. -.on tratados ron mayor amplitud
t•n L•l tema relacionado a la segurídad.
148 Entn> otras diSpo>iciones aplicables se rocurotran la> de la l..t-.r~),,:~;::i]
Re-ponsabilidad<'S d~ los Servidores Públicos, que en su artículo 47 d
CAP1TUL04
EVAt.UACION lodo '5Crvidor público tendrá la obligación de custodiar)' cu1dar la docul,,.,.,¿:;:
DE LOS SISTEMAS e mformacaón que por razón de su empleo. argo o comi(;ión, ron.wn ..-
CUid.ldO o a la cual tenga acceso, impidiendo o e-itando el uo,o, la su';tr~tt,l
dL..,Iruroon, oc:ullanuenlo o inutilización indebida de la mi>ma
En relaoón ron el llamado "know how", cabe también h.lccr la dt>llft<iátt~;
que no toda la miormación de este tipo es necesariamente ronfidenciat )O
rono.>pto >e drrige a rekrir aquel conjunto de ronocimiroto. }' habihdad<..
miiL·n a una persona o grupo de personas desarrollar, producir, di<lnbuir
caah1Au un bien o un ti(>n-·icio ron ventajas frente a Otrc)t; competadon..... pt'I'O OMI,I
c~lrJdembca de que d•cha información bien puede estar en el domanao
'U c..\!10 !oOn elementos como la experiencia y la destreza lo que penn':1~1e~~:'~~:~
venta¡a M es<' "saber hacer'". Es decir, en el caso del "know how" p
rar que un.a de sus diferencias b.isicas con los ~tos indu<.Jtrialcs es que no
ri<1mentc es lnformación que deba considerarse como confidencial
L.• definición de la "Uniform Trade Secrets Act", legbladón que l'n
Unidos habla wbre los se<:retos industriales es la siguiente:
"Un S<"<' reto industrial podrá consistir en cualquier fórmula, patrón, d~-tp
vo o compill.lción de i nformación que se usen en una cmp~a y que den al cmp~
sario 1 ~1 oportunidad de obtener una ventaja sobre los competidores qut..• no l\,
nocl'n o no lo us-~1. Puede ser la fórmula de un compuesto químiro, un prod '
manufactura, de tf<\tamiento o de conservación de materiales, C'l patrón par.l UJ
máquina u o tro dispositivo, o una lista de clie ntes."
Art, 83. La información a que se refiere el artículo anterior, debt.•rá ron,t.u
documentos, med1os electrónicos o magn~ticos, discos ópticos, microhlmr,,
las u o tros i nstrumentos similares.
l..l~ ro
Es importante considerar que este precepto adiciona u•"' ciC'mc•,to mde;,)' dn~l' ~
hl"Cho de que la información respectiva debe lonstar en un soporte maten.al l~nnr"'
problt>mtl que se tiene está en que para que Jos documentos que rontlenL'n c.1nn 9
lo indu,lrial sean registrados a nte el Registro Nacional de Oc~X'<:ho do cxdu
pendi~nl<' del ln,llluto Nacional del Derecho de Autor, d~ben ~r Pf1"-•nt•d••·lt ¡ 1
un soporte matenal, y al tratarse de un regastro público la informaotln ~ hiCI que d (
acres1ble a terceros perdiendo, precisamente por ese hl'Cho, cualqu1er tipo d<• 1'11>
•~h·
ll'<:Ción legal que como secreto industrial le hubiere correspondido
A.rl. 8-1. La pet'iOna qu~ guarde un secreto induc>ttial podrá tran~mthrloo cont.:
1
j
tonzar su uso a un tercero. El usuario autorizado tendr.i la obhgadón de no dt
gar el M-"Creto mdu11otnal por ningún medio. do N
En ¡.,. conwruo. por los que se transmitan ronocimiroto l<~mro. ..;,~~coa 1 adm•t
t<'cmca. provt<1on de 1ngerueria básica o de detalle, se podran ,..,tabl<'«'r d.l....!» dL' lnl
de ronf•denciahdad para proteger los secretos industriales que contemplen. ~>hat
cuaJe; deber.in precisar los aspectos que comprenden como ronfidenoak-.,.. s1óne
Art. 85. Toda aquella persona que, ron motivo de su trabaJO, emplro, ~
~
pul~lo, dl"S(.•mpcño de ~u profesión o relación de negocios. t('ng~ .1cn~ a un ltOt"
pu<·.J
lo mdustnal del cual "" haya prevenido sobre su confidencialidad. dob.•ra •bs::
neN." de revel,ulo sin causa justificada y sin consentimiento de la person.1 1
gu,ude dicho M"Cn"to, o de su usuario autorizado. tmnll
Tod.ac; hl'., (X"tson,.,s mencionadas en el precepto pare(('n cubrir l:~t> dtvt1'f.IS SltH.lS
opciones de quienes pueden tener legal acceso a los secretos indu ..trlalt"'i dt' dom•
~or, e:.to es, traba¡adores, empleados, asesores, y en general. cualqull·n qut
h.>ng.J t'IC'C~SO _. los s«retos por virtud de sostener una relación de m•goci<)'; l'"\ll1 d
e
tntl·rl
•1uc guarda el 'ecreto. De acuerdo con las fracciones 111, IV y V d~l.trlfculo 223d< d,\,
¡,, ley de Propiedad Industrial, no sólo la revelación del secreto <'SI.i vedada ~""
t.lmb1Cn su utiHz...1ción y aprovechamiento. y, r
 Ley Federal clt• Arl. 86. La persona física o moral (lliC C'ontrdte a un trabaJador que est~ labo~ 149
'determina que rando o haya laborado o a un pro(esi<H'Iista. Jscsor o consultor que prestl> o hay~
DERECHOS
documentación prestado sus servicios pa ra o tra pt."l'bOna, con el fi n de obtener secre tos industrini('S DE AUTOR
mserve bajo bU de 6$tn, será responsable del pago de duños y perjuicios que le ocasione a dichn V SECRETOS
la sustracción~ ~r>onn. I NOUSTRIA~ES
También será responsable del pago de da1\o• y perjuicios la persona física o
la distindón dC' moral qu~ por cualquier med io ilícito obteng.1 información que contemple u n se..
~aL ya que est(' creto industrial.
idades que per- El artículo 223 de la l.ey de Propiedad lndu>lrial define y sanciona los conduc·
libuir o rom~r­ las delictivas en relación ron <;('(Tt'tO. industriales. Al propio tiempo, ~1 articulo
f't'S.. pero ron ltl incurre en otra intrascendencia por obvit'dad, al señalar que quien reciba S<'Cl'Ct<X
io público, y en industriales de terceros por vía de contrtlt.u a sus empleados o ex empleados, ac;e~
te consolidar la SOt'CS o ex asesores, será responsable de l<b dañ~ )' perjuicios que oca5lone, siendo
:lemos considc- que dicha obligación deviene de rualqu1cr h,'Cho ilícito que lesione a una persona,
que no ot'C<.'S.l· tal como lo prescribe el artículo 1910 del Código Civil.
JUe en Estado~

trón, disposi tí-

den al empn..""- Consideraciones legales sobre
i que no lo co·
un proceso de el empleo de nombres de dominio
•trón para una frente al régimen de marcas
erá constar en
•filmes, pelícu-
Las posibilidades de la comunicación vía Internet son inagotables, comprcndién·
to más,)' es el do;,e dentro de ellas la posibilidad de ofertar productos y prestar servicios al
'nutenal. Un enonne mercado potencial que acude a los sitios en la red, mediante la obten·
ienen el secr<'- ción de un nombre de dominio que refiera a los usuarios de la red a un sitio
de Autor, de- t•clusivo destinado a promover sus bienes y 1o .ervicios.
l'fSentado;, en Los nombres de dominio son denominaciones únicas asignadas a personas
aaón se hace
que de:,ean tener un domicilio que pueda ser visitado por usuarios en la red. El
" tipo de pro
sistema de dominio interpreta los nombre,¡ como números y cada computadora
smitirlo o a u- conectada a la red cuenta con un número único.
, de no divul La concesión de nombres de dominio es coordinada por un organismo llama-
do Network Solutions lnc, a través de lnterNIC, quien trabaja en conjunto con
:os, asistcr'lcia administradores de dominio, coordinadores de redes y proveedores de servicio
:><:er dáusu l a~ de lnternet. Los nombres de dom inio son registrados a través de una forma de
1templer\~ Jos solicitud estándar disponible en la red y el único criterio seguido para su concc-
1dales.
sióll es el de verificar que no exista un nombre de dominio, idéntico, previamente
-upleo, cargo,
so a un se-cre- asignado. Lo anterior, resulta necesario desde el punto de vista técnico, ya que no
deberá abste- pueden existir dos rutas de acceso idénticas de sitios distintos en la red.
persona que El comercio de bienes y servicios a lravés de la red ha propiciado la con·
frontación de los intereses de titulares de marcas registradas con dueños de
· las di•·ersas <~tíos en la red que adopt.ln marcas propiedad de terceros como nombres de
:triales de su dominio.
taJquiera que Desde fines de 19951os gobiernos de los estados y distintas organizaciones
go<ios con el internacionales han encaminado sus esfuerzos a balancear de manera adecua-
tículo 223 de
vedada, sino
da, por un lado, la necesidad de proteger los derechos de propiedad intelectual
y, por otro, las innegables ventajas del acceso a la in formación vía Internet.
150 Mantiene ellideraLgo de dicha empresa NNwork Soluhons, lnc (NSI), que a rJ f
CAPITULO • brazo operativo de 1,1 US National Scíencc Foundation, au toridad que reguLl ~
EVALUACIÓN asignación de dominios en Internet. ~
DE LOS SISTEt.IAS
En el décimo Congreso de las :-.Jaciont>s Unidas sobre previ~ión del deli •
tratamumto de delincuentes celebrado en Viena del lO al17 de octubre del2f ~
se llegó a la conclusión sobre lus delitos rt'lacionados con las redt-, informátic
"Para combatir eficazmente lo~ delitos cibernéticos es necesario un enfoque·
temacional coordinado a difen·nll'S nivcJ,.,_ A ni'·el nac1onal. la JO\"l'Stiga<>
d)
•t
(
de eso:. delitos requiere person.ll, conocimientos especializados y procedimJ.
tos adl'C\Jados. Se ahcnta a los EMados a que consideren la posibilidad de ere
e
(
mecanlsmos que permitan obtener de manera oportuna datos exactos de 1 d
~istemas y redes informáticas ruando estos datos se requieran como pruebo
los prOC\'<hmientos JUdiciales. A nivel internacional. la mvestigao6n eficaz d 1
los delitos cibeméhcos reqUiere un.l adecthlCión oportuna, facilitad,, por la a <
ord inación entre los organismos nacionales de aplicación de la ley y la institu- r
ción de la autoridad legal pertinente."
/1 !
(
Como ejemplo de legislaciont>s relacionadas con mformática en lalinoami!:
ca tenemos el caso de Colomb1a:

Poder PúbJjco · Rama legisi;~Hva

LEY 527 DE 199'1 l•gosto 18)

por medio de 1,, cual se define y reglamenta el acceso y uso de los m<,ns.>..s do
l
dat~. del comercio electrónico y de las firma~ digitales, y -.e estable('(.>n las
d"' de certificación y .e dictan <>tras dispoo.1ciones.

PARTEI
PARTE GENERAL

CAPÍTULO L Disposiciones gonor..Jes

datOI
Art1.r1/<l 2o. Odm1cíones. Para 1., efectO> de la presente ley .e entender• por.

a) Mensaje de datos. La in(urmaci6n g<'nt.·rada~ envi~'d41. rt."'C'ibida. almacenada

comunicada por medi~ dt"Ctróni~, ópticos o coimilart.""-. como pud .....,.-.m
entre otros. el Intercambio Electrónico de Datos (EOJ~ Internet, ~1 corroo elo:
tróruco, el telegrama. el telex o el telefa•;

b) Comercio el~ctr6nico Ab.uca Las cue~o,tiones suscitadds por tod.1 rt>l.tción

indole con,..mal. >ea o n<> contractual. <>-tructurada a partir de la utiliz.acD
de uno o m." meru.aje> de dato. o de cu.1lqu1er otro m<-dJO similar. la> rel.ldo- fiiU
nt.-s de índolt• l..'t.lmerda.l comprenden.''" hm.itafSl> a ellas, las s•gu•t..-nte:;opr-
raciones: toda operación comercial d<' suministro o mtercambio d(• bien('(; o
~rvicios; todo acuerdo d~ dLstribución; toda operación de rcprt.'"'l'nlaciM
mmdato comt·rciaJ. todo hpo de operac1ones finan-..'~t.·ra.... buNI•It-s y de segc- .t\riU:
f'U"t, de constn1coón de obrd~; de con!'tultoria; de ingl'ruería; de t.:on~1ón dt s1do
li«!ncias; todo dcuerdo dt' concesión o expJotadón de un sel'\·acao públi anten
dl! tmpresa conjunta y otra~ formas de ('()()peradón industrial o oon1ercial; de m asn.
transporte de> m{l'rcanáas o de pasajeroc, por vía aén.'a, marítima y férrea, opa:
c11rrctera:
usoc
.que es el e) Firma digital. Se entenderá romo un valor num~riro que se adhiere a un men· 151
regula la saje de datos y que.. utilizando un procedimiento matemático conocido, vincu-
DERECHOS
lado a Ja clave del iniciador y al texto del mC'n~a;c permite determinar que este OE AUTOR
!l delito y valor se ha obtenido exclusivamente oon In clave del iniciador y que el mensa- Y SECRETOS
del2000, je inicial no ha sido modificado después de ef~ctuada la transforn1ación; INDUSTRIALES
rmáticas:
foque in- d) Entidad de certificación. Es .-.quclla persona que, autorizada conforme a la
presente ley, está facultada para emitir certificados e n relación con las firmas
stigació n
digitales de las personas, ofreo!r o tncihtar los servicios de registro y estampa·
:edimlen- do cronológico de la transm151ón y recepción de mensajes de datos, asf romo
l de crea r cumplir otras funciones relativas a la!; comunicaciones basadas en las fuma.s
os de los digitales;
•rueba en
eficaz de t) lntercombio Electrónico de Datos (EDI). la transmisión electrónica de dato:.
X>r la co- dt.' una computadora a otr~ que ~IJ t~tructurada bajo normas técnicas con,·e-
a institu- nidas al efecto;

/) Sistema de información. Se t!nt~ndert\ todo ~isrema utilizado para generar,

noaméri- enviar, recibir, archivar o procesar de nlglma o tra forma mensajes de datos.

CAPÍTULO U. Aplicación de los requisitos jurfdicos

de los mensajes de datos

ArUculo 9o. Integridad de un mcns.ajco d<! d.,tos.

Arltculo 10. Admisibilidad y fuer/o probatoria de los mensajes de datos.
11sajes de ArUculo 11. Criterio para valorar probotoriom~nte un mensaje de datos.
lsentida-
Articulo 12. Conservación de los mcnsaj~ de datos y documentos.

CAPÍTULO UJ. Comunicación de los mensajes de datos

Arti<ulo 17. Presunción del ongen de un mensaje de datos.

Artícul<> 18. Concordancia del mensa¡e de datos en,•iado con el mensaje de
datM recibido.
Artírulo 19. Mensajes de datos duplicadM.
por:
Arttculo 20. Acuse de recibo.
Arttculo 21. Presunció n de recepción de un mensaje de datos.
cenada o
ieran ser..
!'ARTE 11
rreoeJec·
COMERCIO ELECTRÓNICO EN MATERIA DE TRANSPORTE
DE MERCANCfAS
lación d~
tilización PARTE 111
$celado- fiRMAS DIGITALES, CERTIFICADOS Y ENTrDADES DE CERTifiCACIÓN
'~ ope-
bienes o CAPITULO l. Fínnas digitales
ltación o
desegu- Artínllo 28. Atributos jurídicos de una firma d1gital Cuando una fuma digital haya
'eSIÓn d~ sido fijada en un mensaje de datos!><' presume que el suscriptor de aquélla tenía la
público; tntenoón de acreditar ese mensaje de datos y de ser vinculado ron el conterudo del
>1tial; de MISMO.
e.l,Opor Parágrafo. El uso de una fuma digJtaltcndr.i la misma fuerza)' efectos que el
uso d~ una firma manuscrita, si aquélla incorpora lo~ siguie ntes atributos:
152 l. Es únicii ~ la perwnil que la usa.
2. Es susccphblc di.' ~r verificada.
CAPiTUlO 4
EVAlUACION 3. Está bajo d control ~·•elusivo de la perwna que la ""''·
DE LOS SISTEMAS 4. Está hgadn c1la información o mensaje, dí" tal mon~r.1 que si éstos son
dos, la finna digital es invalidada.
5. Está conforme a la• reglamentaciones adnptada• por el Gobierno Noc.

CAPITuLO IL Entid•des dt ctrtific•óón

CAPÍTULO 111. Ctrtifiudos

CAPÍTULO IV. Suscriptorts dt fírm•s digitales

CAPfTULO V. Superintendencia de Industria y Comercio

Arl1'culo 42. Sancinn....,.

DECRETO NÚMERO 1747 DE 2000

(septiembre 1 H

por el cual M" reglamo:ntap.lroalmente la Le¡ 527 d~ 1999. en lo rel.acion.ad,><onlll

entidades de rertoficaoó11. los certificados y la' lonn,,_ dogitale>.

CAPÍTUlO l. Aspectos generales

Artículo 1o. Definiciones. Para efectos del pres.•ntc d<•creto se entenderá por:

1. Jnitiador. pt.'l"ttnJ qué actuando por su cuenta, o en cuyo nombre st: 1\J
actuado, envlc o gcncrt' un mensaje de dJt~.

2. Suscriptor p<.'r.ona a cuyo nombre se expide un certificado.

3. Repositorio; .,,..,h,.•m..J de información utibzado para almacenar y recupem

tificad<K y otr.l .nfotm.ación reladonada con 1~ m•~mos.

4. Clave privad.1: Vdlor o valores numéricos que, util•~:ados conjuntamente

un procedimk•nto m.ltemático conocido, sirven para generar la firma dig1
de un mcn<taj(' dt.) datos.

S. Clave pública· valor o valores numéricos que son utilizados para verificar
que una firma dig1tal fue generada con la dan• priv.lda del iniciador

6. C.rtificodo tn rtloción ron los fumas digitoi<S: mensa~C de dat(>S fo~

por la entidad d~ Ct'rtificación que odenhfoc.l, tanto a la entidad de certohcm
que lo expide. e<>mu al •uscriptor y ronhene la da. e pública de éste.

7. Estampado cronológico: mensaje de dato; firmado pur una entidad dea.rtif>

cación que si rvt.• r.ua verificar que otro mcn~ooaJe de datos no ha camb1ado
un periodo CJlH.' comienza en la fecha y hora en que se presta el <tcrvicif!)
termina rn 1{'1 fecha l'n que la firma del mensaje de datos generado por
prestador d~l ""rvido, de estampado, pierde v,lhdez.

8. Entidad de certifico~ci6n cerrada: entidad qut- ofrece ~rvidos propios de las

entidades dt.) ~:rhficación sólo para el intct'C'amb•o de mensajes entre la mbo
dad y el <u<enptor. ''"exigir remuneración por ello.
 9. Entid.1d de certificación abierta: la que ofre~ servicios propios de las entida· 153
des de certificadón, tales q ue;
DER.CHOS
u) Su uso no se ümita al intercambio de mcns.1¡.s entre la entidad y el suscriptor, o DE AliTOR
·ambia- b) Rec1be remuneración por éstos. Y SECRETOS
INDUSTRIAlES
ional. 'lO. Declaración de Prácticas de Certificación (OPC): manifestación de la entidad
de certificación sob re las políticas)' p roccdimitm tos que aplica para la p restn-
ción de sus servicios.

CAPÍTULO 11. De las entidades de certificación

y certificados dig.ita.les

Se<:ción 11. lÑ l.fls tntidadt~ dt• cntifícnción tdriertas

Articulo 6<>. Declaración d• Prácticas de Ccrt¡fi.-41ciéll (DPCJ. La Superintendencia de

Industria v Comercio definirá el conten1do de¡,, Declaración de Prácticas de Ccrti·
con las flcadón.. ÓPC, la cual deberá inclu ir, al m1mos lo o,iguiente:

1. ld~ ntificación de la e ntidad de ~rtificdcit.~n.

2. I'oütica de manejo de los certific;~dos.
3. ObligaciOMS de la e ntidad y de los suscriptores del certificado y p recauciones
que deben observar los terceros.
r:
4 Mant>jO de la información suminis.lrtuJtl por J<nt ~uscriptores.
5. Garantfas que ofrece para el cun1plimicnto de las obligaciones que se deriven
:e haya
dt.~ c;us actividades.
ó. Limite.. de responsabilidad por el <'jercicio de su actividad.
7. Tarifas de expedición y revocación de ccrtificado•-
8. P~imientos de seguridad para el manqo de los siguientes e\'entos:
rar cer- a) Cuando la seguridad de la cia.-e privada de la entidad de certificaáón&e ha
\·isto comprometida;
b) Cuando el sistema de seguridad de la entid•d de ~rtificaáón ha sido .-ul-
1te con ncrado;
d igital e) Cuando se presenten fallas en el sitttcma de Id t!ntidad de certificadón q ue
comprometan la prestación del servido;
d) Cuando los sistemas de cifrado p ie rdan vigt>ncia por no ofre~r el nivel de
crifica r seguridad contratados por el suscrip tor.
9. El p lan de contingencia e ncaminado a go ra ntiza1· La contin uidad del servicio
de certificación.
ím1ado lO. Modelos y minutas de los contratos q ue u li li1:u.in con Jos usuarios.
icación 11. Polftica de manejo de otros servicios qu\! fut:re n prestar, detaUando sus condi ..
dones.
certifi- J\rlfculo 11. Informe de Auditoría.
adoen Arlículo 12. Requisitos de las firmas aud1tOr.1s.
'\1dO y
Artículo 14. Certificaciones reciproca< El n.'<'ónocimíento de los certificados de
por el
f~rma.s dtg1tales emitidos por entidades d~ c~rtificaáón extranjeras, realizado por
entidades de certificación autorizadas ~ua tal dt."Cto en Colombia, se hará constar
de las en un certificado expedido por estas lÍlhm:.o,
la enti- Artículo 15. Uso del certificado d1gítal.
Articulo 16. Unicidad de la firma digital.
...__ _154 Sección 111. De la decrsión V las rtspvnsabilidad,·,
CAPiTULO 4
EVALUACIÓN Sección IV. De los Ct'rtifirados digital..,
DE LOS SISTEMAS
Artículo 14. Regtstro de c.>rti/•cados. Toda enhdad de certificación autorizada d.-.
berá llevar un registro de publiro, acceso que contt•nga todos lo.. certificados etru·
tidos y sus ft..'t'has de emisión. explradón o rt"vOc.:..,lción.
Art;(•do 25. lnformac16n. Las entidades de «-rtificad6n estar.in ob1igada~ a
respetar IM condiciones de confidencialidad y M"guridad, de acuerdo con las nor·
mas vigentc."'t respectivas.
Salvo la información rontC'nida en el certificado, Ja sumini\trada por IO<o
suscripto...,. a las entidades dt• certificación ""consoderará privada )' confidencial

CAP(TULO m. Facultades de la Superintendencia de Industria

y Comercio

Artlculo 27. Estándares. La Superintendencia de Industria y Comercio determinar.\

los estándarr~ admisibles con respecto a los cuall~ las entidades de certificación
deberán am~1t.tr el cumplimiento de los requ1c.,itos relativos a·

J. la g...neraóón de pares de claves.

2. La generación de firma~.
3. los ccrtllicudos.
4. Los sistemas de cifrado.
5. Las comunicaciones.
6. la ""Suridad de los si>temas de informaaón ' de las instalaaones. o
7. Cualqu•cr otro aspecto que redunde en la confiabilidad y -.q¡undad de loo
certificados, o de la inform,lción que repose en la entidad de ccrtafícación.

Para la determinación de lo., estándares admisibles, la supcrint~ndencia debe-

rá adoptar aquellos que tengon carácter internacional y que estén vigt•ntcs tecnoló-
gicamente o los des.arrolladl.,.., ror el organi~mo nadona1 de normaliución o b.
que sean amphamente reconoodos para los propó<•tos perseguido.. tn todo ca:.o.
deberá tener en cuenta su aplicabilidad a la lu• de la legislación ngen!(>.
 Evaluación del proceso
rizada de-
:ado~ emi·
CAPfTULO de datos y de los equipos
)ligJdas ~1
., las nor· de cómputo
a por lo<
tfid,.,cial.

ernunar.l
tilkación
OBJETIVOS
Al finalizar este capitulo, usted:

1. Explrcará por qué los datos de las organizac100es son valiosos recursos y
por qué es necesario tener estrictos controles sobre ellos.
1de los 2. Conocerá los distintos tipos de control que deben ejercerse sobre los datos
:ión. de las organizaciones.
3. Describirá las reglas relativas al orden y cuidado que deben observarse en el
a debc- cenrro de cómputo.
ecnoló- 4. Explicará la importancia de evaluar el grado de eficiencia del sistema opera-
no los tivo para satisfacer las necestdades de una instalacíón.
loca~,
5. Conocerá los puntos principales que deberán ser evaluados en los equipos
de cómputo de una organizactón.
156 d
CAPITULO 5
EVALUACIÓN
CoNTROLES y
V
DEL PROCESO
OE DATOS
Y DE LOS EOUIPOS Los datos son uno de los rCOJ rsos más valiosos de las organizaciones, y, aunque E
DE CÓMPUTO son int.1 ngibles, nccc,itan ser controlados y aud itados con el mismo cuidado qlli punb
los demás inventMios de la organización, por lo cual se debe te ner presente: dos~
caso
• La responsabilidad de los d atos es compartida conjuntamente por algum form
función determinada de la organización y la dirección de informática. dad •
• Un problema que se debe considerar es el que se origina por la duplicidaé S
de los datos, el cual consiste en poder determinar los propietarios o usua- elab~
nos posibles (principalmente en el caso de ~des y banco de datos) y~ que •
resport'labilid,ld de su actualización y consistencia. mest
• Los datos deber.in tener una clasificación estándar y un mt.>canismo de id... 1
tificación que permita detectar duplicidad y redundancia dentro de un,¡ bas;
aplicación y de todas las aplicaciones en general. dos j
• Se d eben relacionar los elementos de los datos con las bases de datos donde lacio
están a lmacenados,,,.¡ como los reportes y grupos de procesos donde son cont
generados. d ei s
r
En todo cen tro de informática se debe contar con una serie de políticas que que r
pcrmi tan la mejor operación de los sistemas. Estas políticas son evaluadas du- resp•
rante el transcurso de la aud itoria, por lo que sólo son mencio~>adas en es~ a ce
sección, pero se encuentran estudiadas en detalle en diferentes capítulos. actu
Entre las políticas de operación del computador se encuentran las siguientrs

Polí
Políticas de respaldos
Lds 1
Los respaldos di! la información deben realizarse mensual, semanal o diario. T debil
se deben observan los siguientes puntos:
tracit
• Contor con políticas formales por escrito para efech.1ar los respaldos mm·
sua les, semana les y diarios de la información . • 1
• Todos los med ios magnéticos de respaldo no deben estar a lmacenados en • 1
un mismo luga r, aunque se tengan los medios magnéticos de operacióner •
el sile, por lo que si hubiera una contingencia grave (incend io, inundación•
no se tendría el riesgo de perder parte o la tola lidad de la uúonnación, Y•
que se cuenta en otro lugar con los respaldos.
• Debe tenerse acceso restringido al área en donde se tienen almacenados k. •
medios magnéticos, tanto de operación como de respaldo. •
• Se d!!ben tener identificadas las cintas por fecha, concepto y consecutivo, •
es convemente !!laborar y actualizar una relación sobro:! las cintas, el cooiP-
nido de los datos de registro y los responsables de efectuarlos.
• Se debe contar con una política que indique los procedimientos a seguir e: vers
cuanto a l almacenamiento de las cintas de respaldo en un lugar diferente por
 de la ubicación del site, en donde se pued a tener acceso las 24 horas del d ía 157
y donde se designen responsables de mantener actualizada la información CONTROLES
vital de la organización.

;,y, aunque El hecho de no contar con estas políticas de respaldo que contemplen los
uidado que puntos anteriores puede p rovocar que no se sigan los procedimientos adecua-
resente: dos para realizar los respaldos, que haya riesgo de pérdida de información en
caso de alguna contingencia y no tener una d ispon ibilidad inmediata de la in-
por algun a formación de respaldo para recuperar la itúormación y conseguir lma continui-
nática. dad en la organización.
duplicidad Se debe elaborar por escrito lma serie de políticas y procedimientos para la
ioso usua- elaboración de los respaldos, contempla ndo los pasos a segu ir, la información
datos) y la que debe de ser respaldada.. según el periodo correspondiente (mensual, se-
mestral o anual), así como al personal asignado para cada caso.
no de iden- También se debe especificar la forma de etiquetació n, nomenclatura, prue-
tro de una bas, rotación de cintas, los nombres de Jos responsables de efectuar los respal-
dos y las cintas que serán designadas para ser resguardadas fuera de las insta-
llosdonde ladones. Tamb ién se debe tener una relación por escrito de la ubicación y el
donde son contenido de las cintas, que debe ser entregada al responsable de la segu ridad
del site, así como al gerente del área de informática.
Dentro de las políticas de resp aldo, se debe con tar con un punto que ind i- Políticas para el
•líticas q u e que los procedimientos a seguir en cuanto al almacenamiento de las citüas de computador
uadas d u - respaldo en u n lugar d iferente al de la ubicación de l site, donde se p ueda tener
as en esta aa:eso las 24 horas del dia y donde se designen responsabilidades de mantener
ulos. actualizada la informacit\n vital de la o rganización.
>iguientes:

Políticas y procedimientos
las políticas existentes deben estar actua lizadas en todas las actividades, estar
>diario, y debidamente documentadas y ser d el conocimiento del personal.
No contar con políticas y p rocedimientos actua lizados que rijan la adminis-
tración del área de sistemas podría ocasionar:
dosmen-
Administración inadecuada de la operación.
•nados en • Relajamiento en el cumplimiento de las obligaciones del personal.
ración e n Inadecuada división de labores.
mdación)
ación, ya Las políticas y procedimientos deben incluir los siguientes puntos:

nados los • Segu ridad de la ilúormación (física y lógica).

Adquisición de hardware y softwa re.
'CUtivo, y Operación de centro de cómputo.
el conte-
Es recomendable que se documenten todos los procedimientos de las d i-
>eguir en versas actividades. Éstos, al igual que las normas y políticas, se manifestarán
'ercnte al por escrito en manuales de operación.
158 Al proceder de esta manera, se obtendrian las siguientes ventajas: legal y
CAPITULO S
por pa
EVALUACIÓN • Se tiene una base uniforme, estable y forma l para capacitación, consulta Al
OEL PROCESO supervisión, y se fomenta la eficiencia del persona 1en sus funciones. provee
DE DATOS • Ante la rotación del personal, se evita el desvi •tuamicnto de las nn,rm<~<r" con tar
Y DE LOS EOUIPO$
DE COMPUTO procedim ientos originales creados. núnlerq
• Se precisa la rcspo11sabilidad ind ividual de los pa rticipantes en una opera· e n una
ción, en caso de e rrores y omisiones. muy fác
Por
Además, dichas políticas y proced imientos a desarrollar, deberán ser dd
conocimiento dt!l personal. • Ac~
que
es tl
Política de revisión de bitácora • fn 1
(soporte técnico) del
m~
Deben existir bitácora> de operación en las que se registren los procesos realiu· • Elal
dos, los resultados de su ejecución, la concurrencia de errores, los procesos er- paq
cutados en el equipo y la manera en que concluyeron. • Dcé
No contar con una política de revisión de las bitácoras de operación de lo! ten•
diferentes p rocesos puede ocasionar problemas como: • Pro
se i
• Ca recer de bases pa ra e l ra~treo de errores d e procesam ic11to . apll
• Falta de parámetros de evaluación respecto a l funcionam iento del equipo y
del departamento de sistemas.
• Ausencia de controles en cuanto a registro de seguimiento de problemas. Politio
• Falta de parámetros para determinar las causas de una falla signiñcativaer
el sistema y dar seguimiento a su corrección.
• Dependencia del personal para solución de errores. Las insl
• Los errores pueden presentarse en forma recurrente y no ser detectados. lo nanlicn
cual caul'a pérdidas de tiempo en la corrección. y p roct>
• Puede presentar..e una pérdida de tiempo al no programarse adecuadamen- deben e
te las funciones, lo que tiene como consecuencia una confu~ión en l'l área Por
respecto a los procesos que ya se han realizado y los que se deban reaJi¿ar. siguicn

Es necesario establecer una política de revisión de las bitdcoras de opera· • El ~

ción, asignando responsables por proceso y fw1ción, lo que traería como benefi· lUU
cio d etectar y corregir a buen tiempo los e rro res recurrentes y poder toma• !rol
medidas preventivas para q ue éstos ya no se presenten. así .
Pa ra la adquisición, ma ntenimiento y desarrollo de s istemas S<) deben con- tar
s iderar: • Se e
!cldo
• Dct
m ir
Control de las licencias del software • El ~
tam
Todas las orga~ú.uciones deben de tener un inventario de las licencias del son· • No
ware actuali7ado, que asegure que toda la paquetería y software en generalw poto
 "'1\•'1 y e>té amparada por una licencia, para evitar posibles problemas legales 159
pur p.tgo de derechos de uso y explotación del software. CONTROlES
1, consu Ita y Al no contar con las licencias correspondientes, no se le puede exigir al
:iones. pmvt'l.'<lor el servicio de soporte o actu.tli,aci6n de software, ya que para poder
ilS norn1as y c.>ntarcon estos servicios es necesano pre'lCntar las licencias de adquisición o el
numero de serie instalado dentro de la licencia, el cual se encuentra clasificado
tuna opera- en una base de datos dentro de los equipos del proveedor. Por tal motivo es
muv fácil detectar si la licencia'" ptrata o ya wnció.
l'or ~JI o, es muy importante:
?rán ser del
• Actuali:zar el inventario de hardwdrc y software, señalando 10'> paquch.><,
que se tienen instalados por máquina y venficando que cada uno de éstO'>
'"'té amparado por una licenci.1.
• En caso de no contar con las licencias, t'S nt'Ce!Huio contactar al proveedor
del soCtware o del paquete en cuestión para actualizarlas o adquirirla' lo
m.ls pronto posible.
"SOS realiza- • Elaborar un plan verificador de softwarl·, para revisar que no se instale
rocesos ej<.~· paquetería pirata.
• Designar a una persona responsable d~l án'a de informática par\1 gu¡¡rdar y
tción de los tener actualizadas las licencias.
rromover un plan de concicntüación <'ni re d personal con el fin de que no
'<' instale paquetería pirata en las mJqUJn.lS propiedad de la empre...,, y
aplicar sanciones al personal que no acate estas medidas.
el equipo y

roblemas. Políticas de seguridad física del site

ificati\•a en

J.a, mstalaciones del site deben ser '·" .><ll>cu.ldas para asegurar el buen functo-
teclados, lo '1.lmtcnto y la continuidad necesaria en 1,1\ opcr.1ciones. Deben existir políhca~
\ proct>dimientos que describan los aspectos de seguridad física mínimos que
ruada men- deben de regir dentro del departam¡•nto dc ~istcmas.
en el área Por tal motivo, durante la visit,l a las inMalaciones se deben observar los
'1 realizar. <iguientes puntos:

, de opera- El acce:;o al site debe estar restrlllgido por una puerta, la cual contará con Cuidado del s ite 1
roo benefi- una chapa adecuada de segurid,ld, o con un di~posi tivo electrónico de con-
oder tomar trol de acce:;o. Se deben tener dispositivos .1dccuadosde detección de humo,
así como aspersores de calor para la C\hnción de incendios, además de con-
febencon- lar con extintores.
Se debe tener protección en lo. ..._•rvidt>rl., para que no puedan ser de-.ronec-
tados accidental o intencionalmente y provocar a>.Í serios daños al equipo.
Deben existir documentos o cartel~ que indiquen las normas de seguridad
mm1ma que deben de obse!'\a.-;c alt"tar en el >~1<.
• El personal operativo no debe pcnn1hr el accl'SO a personal a¡eno al depar·
lamento.
lS del soft- • No debe tenerse papel para •mprestón dentro del site, el cual es un objeto
;eneral sea potencial de algún desastre.
160 • Los equipos que se utilizan para la limpieza dentro del si le no deben do o

CAPITULO 5
estar directamente conectados a la toma de corriente en la que están COIIK'
EVALUACIÓN tados Jos equipos de cómputo y Jos servidores. o
DEL PROCESO • Los equipos eléctricos, interruptores o de comunicación, no deben estara
DE DATOS
Y DE LOS EQUIPOS
alcance de cualquie r persona.
DE CÓMPUTO o
Hay que elaborar polfticas formales de segu rid ad y d iseñar las caracterís~
cas para el sile, por Jo que se recomienda lo siguiente: o

• Seguridad física del centro de cómputo. Diseñar un lugar exclusivo y adé o

ruado para los equipos centra les. Implementar dispositivos adecuados par
la prevención y extinción de incendios que garanticen la salvaguarda dil
equipo e información que se encuentre dentro de l site. o
• Acceso a l centro de cómputo. El acceso al centro de cóm puto debe est11
restringido po r llaves e lectrónicas, chapas magnéticas, e tc.; además, es""
cesario que se implemente algú n procedim iento de control de acceso pa.o
personal no autorizado a las instalaciones. Asimismo, se debe de realiu una d¡
una distribución correcta de las políticas y proced imientos de seguridad cera t
física, con el objetivo de que el personal conozca las responsabilidades!
acciones que les corresponde, y con el fin de promover el cum plimientod<
los objetivos y metas.
• Plan de contingencias. Debe existir un plan de contingencias que pe rmita que
los s istemas sigan funcionando en caso de algún siniestro o en caso de alguna
huelga. Debe verificarse que se cumplan con tod as las características que un
documento de esta importancia requiere. Un p lan de contingencias puedt
asegurar que se está preparado para enfrentar imprevistos y desastres de La m
cualquier indole, asegurando una continuidad en la operación de los siste- de d<
mas de cómputo. Ejemplos de contingencias pueden ser. incendios, tormer>
tas, inundaciones y actos vandálicos, Jos cuales p ueden ocasionar una dismi· • S
nución en el a provechamiento de la com putadora po r un periodo considera· • ¡,
ble. Con la importancia y dependencia que se tiene de la computadora, una
pérd ida de iJúormación o la iJnposibilidad potencial para procesarla origina- .• i'
[
da por una contingencia puede ser muy significativa. Se sugiere la revisióo
del plan de contingencias para que contenga los siguientes controles: E
usuar
o
Delegación de funciones y entrenamiento de personal. Por e.
o de lm
Resumen de actividades a seguir en caso d e contingencias.
o Estudio detallado d e las que, d e acuerdo con la zona geográfica, tieneo dato),
más probabilidad de ocurri r y Jos impactos q ue cada una de éstas oc" E
s ionaria. gund·
o Realizar un estudio de tiempo estimado de restablecimiento de opetr tas, y
dones de acuerdo a una determinada contingencia, así como un estu· se pu•
dio de consecuencias potenciales que se desprenderían por la inoperatr ,.
vidad de los sistemas. críbir
o Identificar las ap licaciones y archivos de datos críticos para la operr tura (:
ción de los servicios computacionales, así como determinar las prion- (captt
dades de restablecimiento de éstos. Se deben incluir especificadone; áread
de hardware y software, tiempo de procesamiento, programa_ archin> rio, JX
y documentación de programas y operación. dad d
 no deben de o Proveer los lineamientos necesarios para el restablecimiento de opera- 161
eestán conec- ciones a partir de los respaldos de información. CONTROLES
o
Desarrollo de pruebas periódicas del plan de contingencia, así como el
Jeben estar al establecimiento de niveles de autoridad y responsabilidades para ga-
rantizar el buen resultado de la prueba.
o
Establecer procedimientos y responsabilidades para mantener el plan
•S característi- de contingencias.
o
Procedimientos o planes para la reconstrucción de los site después de
una contingencia.
:lusivo y ade- o
Establecimiento de procedimientos manuales de operación por parte
lecuados para de los usuarios para restablecer operaciones mientras se recuperan los
vaguarda del sistemas.
o
Lineamientos para garantizar que clicho plan sea probado y actualiza-
to debe estar do periódicamente.
demás, es ne-
c acceso para El plan de contingencias, revisado y aprobado, debe ser distribuido a cada
:>e de realizar una de las áreas de la división de informática de la empresa y será dado a cono-
de seguridad cer a todo el personal que labora en ellas.
sabilidades y
1plimiento de

e permita que CoNTROL DE DATos FUENTE

aso de alguna
ísticas que un YMANEJO DE CIFRAS DE CONTROL
;encías puede
desastres de la mayoría de los delitos por computadora son cometidos por modificaciones
' de los siste- de datos fuente al:
dios, tormen-
.at una dismi- • Suprimir u omitir datos .
do considera- • Adicionar datos.
>utadora, una • Alterar datos.
'Safla origina- Duplicar procesos.
·re la revisión
<troles: Esto es de suma importancia en el caso de sistemas en línea, en los que los
usuarios son los responsables de la captura y modificación de la información.
Por ello, se debe tener un adecuado control con señalamiento de responsables
s. de los datos (uno de los usuarios debe ser el único responsable de determinado
;ráfica, tienen dato}, con claves de acceso de acuerdo a niveles.
de éstas oca- El primer nivel es en el que se pueden hacer únicamente consultas; el se-
gundo nivel es aquel en el que se puede hacer captura, modificaciones y consul-
nto de opera- tas, y el tercer nivel es aquel en el que se puede hacer todo lo anterior y además
omo un estu- se pueden realizar bajas.
r la inoperati- NCYfA: Debido a que se denonúna de diferentes formas la actividad de trans-
cribir la ilúormación del dato fuente a la computadora, sugerimos llamarla cap-
·ara la opera- tura o captación, por considerarla considerándola como sinónimo de digitalizar
larlas priori- (capturista, cligitalizadora), anteriormente la nesponsabilidad de captura era del
Jecificacioncs área de informática; en la actualidad es principalmente responsabilidad del usua-
1ma, archivos rio, pero esto no elimina la posibilidad de errores y consecuentemente la neccsi-
d.ld de auditar sus controles. Ahora existen diversas formas de captura de la
162 información, por e¡~mplo, SC<~nners, pero debe existir una pe"'<ma que <ea C)
CAPiTUlO 5 ponsable del contrul de esta mformación y asegúrese que es COI1fi<lbl•~ yo¡x>rtu:~l
EVAlUACIÓI'< Lo primero que debemos evaluar es la entrada de la in.,,.m,•rotln
DEl. PROCESO tengan las cifra~ de contro l necesarias para determinar lo ver01cidad
DE DATOS
D)
V DE lOS EQUIPOS
para lo cual S<' puede utili¿,u d siguiente cuestionario, el cunl está dir·igi<jo•il
DE CÓMPliTO captura en el área de informática, independientemente de la c.lptura qu~
responsabilidad del usuMio:

1. ¿Existen normas que definan el contenido de los instruct1vos de captaoón di

datos?

El
2. lnd.que el po<centate de datos que se recoben en el área de captacoón y -
!.que si cont•- su 1nstruc!JVo correspond•ente. En caso de que el usun
sea el responsable de la captura. debe eXJsbr un manual det usuano. o bie!l
ayuda (help) dentro del Sistema.

3. Indique el contenido de la orden de trabajo que se rec1be en el área de cap-

tación de datos def area de lnfoonátJca:

Número de follo. ( )
Fecha y hora de entrega de
Fecha y hora de recepc1ón. ( )
documentos y reg1stros
Nombre del documento. ( )
captados. ( )
Volumen aproximado de ( Clave del capturlsta
) ( 1
registros. ( )
Número(s) de formato(s). ( )
Clave de cargo (número de Nombre, departamento, usuario. ( )
cuenta). ( ) Nombre del responsable ( )
Número de reg1stros ( ) Fecha est1mada de entrega ( )

4. Indique cuál(es) controf(es) ~ntemo(s) existe(n) en et área de captacoón de

datos:

Firmas de autonzaci6n. ) VerifiCación de c1fras de

Recepcl6n de trabajOS. ( ) control de entrada con l8a 10 ¿O
R8VISi6n del documento fuente de salida (
(leg btlidad. venhcaCIOO de Control de trabajOS atrasados ( Ss
datos completos, etc.). ( ) Avance de traba¡os. 1
Pnondades de captación. ( ) Verificación. (
Producción de traba¡o. ( ) Errores por trabajo. ( l
Costo mensual por trabajo. ( ) Corrección de errores. ( l 11 . ¿Se
Entrega de trabajos. ( )

5. ¿Exista un programa de trabajo de captación de datos?

12 ¿Se

A) ¿Se elabora ese programa para cada tumo?

13.¿Se
Dianamente ( )
Semanalmente( )
Mensualmente ( ) 14 ¿Se

B) La etaboraCIOO del programa de trabaJO se hace:

15. ¿P~
Internamente
Se les señala a los usuanos las prioridades Cf•tel
Se les senala a los usuarios fa posible lecha de entrega
 rt.~
C) ¿El programa de traba¡o es congruente con el calendano de producc1ón?
163_ __¡

una. SI() NO() CONTROLES

te se
ésta, 0) Indique el contenido del programa de trabajo de captación.
•a la
S<>il Nombre de usuario. ) Hora programada de entrega. (
Clave de trabajo. ) Volumen estimado de
Fecha programada de registros por trabajo.
le recepción. ( ) Fecha programada de
Hora programada de recepción. ( ) entrega

E) ¿Qué acción(es) se toma(n) si el trabajo programado no se recibe a tiempo?

·-
lo

"' 6 Cuando la carga de trabajo supera la capaCidad 1nstaJada se requoere:

T•empo extra. ( )
Se subcontrata. ( )

7 ¿Qu•én controla las entradas de documentos fuente?

)
¡ 8. ¿En qué forma las controla?

)
) 9. ¿Qué edras de control se obtienen?

le S•stema Cotras que se Observaciones

obbenen

10. ¿Qué documentos de entrada se llenen?

S•stemas Documentos Oepto que Penod•cidad Observaciones

proporciona
1 el documen1o
)
J 11 ¿Sa ano1a qué persona recobe la 1nlormac•ón y su volumen?
)
SI NO

12. ¿Se anota a qué capturista se entrega la Información, el volumen y la hora?

sr No

13. ¿Se venfiCa la calidad de la información recibida para su captura?

SI NO

14. ¿Se rev•san las cUras de contro4 antes de enviarlas a captura?

SI NO

15. ¿Para aquellos procesos que no tra¡gan cofras de contro4 se han establecodo
cntenos a Ion de asegurar que la mlO<lli8Ción es completa y váfoda?
si NO
164 16 ¿Exlste un proced1m1ento escrito que 1nd1que cómo tratar la 1nfonnac16n 1nvá·
CAPiTuLO 5 llda? (S1n flnna. deg•ble, no corresponden las edras de control.)
EVALUACION
si NO
DEL PROCESO
DE DATOS 17 En caso de resguardo de infonnaoon de entrada en sistemas, ,se custod.an
Y OE LOS EOUIPOS en un lugar seguro? st NO
DE Cót.<PUTO
18. S1 se queda en el departamento de sistemas. ¿por cuánto tiempo se guarda?

19. ¿Ex1ste un registro de anomalfas en la Información debido a mala coofi·

C8C1ón? Si NO

20. ¿EXJste una relación oompleta de d•stnbuoón de fiStados, en la cual se.,..

quen personas. secuellCia y SIStemas a los que pertenecen? 81 NO

21. ¿Se verifica que las Cifras de las valldac1ones concuerden con los documen-
tos de entrada? SI NO

22. ¿Se hace una relación de cuándo y a qu•én lueron distribwdos los listados?
si NO

23. ¿Se controlan separadamente los documentos oonfidenoales?

Si NO

24. ¿Se aproveche adecuadamente el papel de los listados inserv•bles?

Sí NO

25. ¿Existe un regostro de los documentos que entran a captura?

26. ¿Se hace un reporte dl8no, semanal o mensual de captura? si NO

27. ¿Se hace un reporte diario, semanal o mensual de anomalías en la Informa-

ción de entrada? s1 NO

28. ¿Se lleva un control de la producción por persona? SI NO

29 ¿Quién reVisa este control?

30. ¿Exlsten instruroones escntas para capturar cada aplicaci6n o, en su defec-

to, existe una relac1ón de programas? 1 NO

Véase en la figura 5.1 un ejemplo del formato de mesa de controL

l.os sistemas en línea, redes y comunicación son evaluados en la sección de
sistemas, y esta evaluación debe ser confirmada con el usuario.

CoNTROL DE OPERACióN
La eficiencia y el costo de la operación de un s is tema de cómputo ~e ven fuert~
mente afectados por la calidad e integridad de la documentación requerida par•
la información invá- 165
>nttot.) Fig ura 5.1 - Mesa de control CONTROLES
SI NO

nas. ¿se custodian FECHA HOJA DE

SI NO
SISTEMA

tiempo se guarda?
!DOREOCIÓN FORMULÓ
1
ido a mata codifi-
SI NO RECEPCIÓN
NUt.C. DOCUMENTOS FUEHTE ORIGEN FRECUENCIA HORA liMITE
en la cual se indi-
ln? Si NO

con los documen-

Sl NO

1dos los listados?

SI NO

Jes?
Si NO

leM bies?
OPEAAQON~ REVISAR CAPTURAR. PAOCESAA_ ETC. TIEMPO PERSONAL HOAA SAL
Si NO

11
SI NO

SI NO

INSPECCIÓN DE 'REVISIÓN
ts en la informa-
Si NO

SI NO

o, en su defec-
SI NO

control.
. en la sección de
i=tEPORTE FIE.POf\TE REPORTE

OISTR18UC OlA_ HORA_ OtSTR18UC. Oi"- HORA_ OISTRJSUC. otA.,_ HOAA _

()se ven fuerte-

requerida para
 166 el proceso en la computadora. Los instructivos de operación proporci()flal'
CAPlTULO 5 operador información sobre los procedimientos que debe seguir en silttacilr--1
EVALUACIÓN
DEl PROCESO normales y anormales del procesamiento, y si la documentación es incomp
DE DATOS o inadecuada lo obliga a improvisar o suspender los procesos mientras inl'e!:
Y DE LOS EQUIPOS ga lo conducente, generando probablemente errores, reprocesos, desperdi.
DE CÓMPUTO
de tiempo de máquina; se incrementan, pues, los costos del procesamie!l!o'
datos.
Debemos de considerar la operación de los sistemas en línea, los cu;
deben de estar residentes en todo momento, con su correspondiente sistema
comunicación, mientras que en cuanto a los sistemas en lote (batch) se di
planear y programar su operación. Para lograr esto existen instalaciones<¡<
tienen equipos de computación y comunicación dedicados exdusivameolt
los sistemas en línea, y otros equipos dedicados únicamente a proceso en lol
(batch).
El objetivo del siguiente ejemplo de cuestionario es señalar los procedimk
tos e instructivos formales de operación de sistemas en lote (batch), analizar
estandarización y evaluar el cumplimiento de los mismos.

1 Sistemas en lot e ~ .
1. ¿Existen procedimientos formales para la operación del sistema de córnPIJ-

2. ¿Esos prooadimientos describen detalladamente tanto la organización de~

~

Otr
sala de máquinas como la operación del sistema de cómputo?
• ..:>
12.¿L
3. ¿Están actualizados los procedimientos? SI ..:> an

4. Indique la periodicidad de la actualización de los procedimientos:

Semestral (
Anual (
Cada vez que haya cambio de equipo (

S. Obsetve la forma en que está operando la máquina, ¿cómo se distnbuyon

los trabajos en lotes? ¿Cuál es el limite de trabajos en lotes y si se tiene un
adecuado orden y control en los procesos por lotes? si t10

6. Indique el contenido de los instructivos de operación para cada aplicaCIÓn:

Identificación del sistema. ( )

Periodicidad y duración de la corrida. ( )
Especificación de formas especiales. ( ) 17.
Etiquetas de archivos de salida, nombre del archivo
lógico y fechas de creación y expiración. ( )
Instructivo sobre materiales de entrada y salida. ( ) 18.
Allos programados y las aociones requeridas. ( )
Instructivos específicos para los operadores en caso de falla
del equipo. ( ) 19.
Puntos de reinicio, procedimientos de recuperación
para proceso de gran duración o criterios. ( )
·oporcionan ..11 Identificación de todos los dispositivos de 167
en situacion!'s la máquina a ser usados. CONTROLES
es incomplet,¡ Especificaciones de resuHados
entras investi (cifras de control, registros de salida por archivo, etc.). )
lnslruchvos de plan de contmgenc•a. )
s, desperdicio
lns11\Jct1V06 de prooed•moentos de recuperacoón. )
~ientode
7. ¿EXIslen óroenes de proceso para cade cornda en computadora (•ncluyendo
ea, los cu;\le~ pruebas. compilaciOnes y producoón)? SJ NO
tte sistema de
1atch) se debe 8. ¿Son suficientemente claras para los operadores estas órdenes?
alaciones qu!' SI NO

usivamentc a
9. ¿Existe una estandarización de las órdenes de proceso? si NO
xeso 1'11 lotes
10. ¿Exoste un control que asegure la justolicac16n de los procesos en el compu·
procedimien- tador? (Que los procesos que se están traba¡ando estén autonzados y ten·
1}. anali:.car su gan una razón de ser procesados. Si NO

11 ¿Cómo programan los operadores los trabajOS dentro de la sala de rnaquo-

nas?
de cómpu·

"" Pnmero que entra, pnmero que sale.

Se respetan las prioridades.
aCI6n de la Otra (especifique).

12. ¿Los retrasos o 1ncumphmiento del programa de operaciÓn diaria, se revisa y

analiza? si NO

13. ¿Quien r8V1sa este reporte en su caso?

14. ¿Cómo controlan los operadores las versiones correctas y cómo se ldent•l•·
can las que son de prueba?

i•stnbuyen
le tiene un 15. Analice la eloclencia con que se ejecutan los lrabajos dentro de la sala de
máquinas, tomando en cuenta equ1po y operador, mediante una InSpección
"" visual, y descnba sus obseiVaciones.
pliCaO<)n:
16. ¿EXIsten procedom1entos escrttos para la recuperación del sistema en caso
de fallas? SJ NO

17. ¿Cómo se ectua en caso de errores?

( )
( ) 18. ¿Ex1sten Instrucciones específicas para cada proceso, con las Indicaciones
( ) pertinentes? si NO

19. ¿Se t1enen procedimientos específiCOs que 1nd¡quen al operador qué hacer
cuando un programa onterrumpe su e¡ecución u otras dificultades en pro-
ceso? Si NO
168 20. ¿Puede el operadOr mod1hcar los datos de entrada? 35.oS
11 NO
CAI'tTULO $ rut
EVALUACIÓN 21. ¿Se prohibe a analistas y otro personal a¡eno al área la operación de la má·
DEL PROCESO
quina? si NO
DE DATOS
Y DE LOS EQUIPOS
OE CÓMPl/TO 22. ¿Se prohibe al operador modif1car información de archivos o biblioteca de
programas? si NO

23. ¿El operador realiza funciones de mantenimiento diano en dlspos111vos que

así lo requieran? s1 NO 37.¿E
h
24. ¿Las intervenciones de los operadores: m
Son muy numerosas? NO 38.¿E
Se r.mrtan a los mense¡es esenaales? NO cal
Otras? (espec~hque). NO
39. ¿O
25. ¿Se t1ene un control adecuado sobre los s1stemas que están en operacl6n?
SI NO
40 oO
26. ¿Cómo se controlan los trabajos dentro de la sala de máqUinas?
41 ¿O
27. ¿Se rola al personal del control de información con los operadores. procu· m
rando un entrenamiento cruzado y evitando la manipulación fraudulenta de
datos? ., NO
42 M
28. ¿Cuentan tos operadOres con una bitácora pera mantener reg1stros de cuaJo en
quier evento y acciÓn tomada por ellos?

SI 43 1
Por máqu1na ( ) 811
Escnta manualmente ( ) prc
NO

29. ¿Venf1can que ex1sta un reg1stro de func1onam1ento que muestre el bempo 44 ¿E

de paros y manten1m1ento o instalaciones de software? s NO to?

45.
30. ¿Existen procedimientos para evitar las corridas de programas no auton·
zados? sl NO
Po
31. ¿Existe un plan defln1d0 para el cambio de tumo de operación que av1te el Po
descontrol y dlsconllnuidad de la operación? 111 NO o
32. ¿Venf~<:an que sea razonable el plan para coord~nar el cambio de turno?
Gf NO

33. ¿Se hacen InspecciOneS penódiCaS de muestreo?

34. EnUllCl8 los procedutuentos menaonadOs en el 10caso antenor

 35. ¿Se controla estrictamente el acceso a la documentación de aplicaciones
169
ruManas? Si NO CONT~ES
má·
¿Cómo?

~de
36. ¿Verifican que los privilegios del operador so restrinjan a aquellos que le son
asignados a la clasificación de seguridad de operador? si NO
que
37 ¿Existen procedimientos formales que se deban obseNar antes de que se
hayan aceptado en operac1ón. sistemas nuevos o modificaciones a los mis-
mos? si NO

38. ¿Estos proced1m1entos ~ncluyen corndas en paralelo de los sistemas modifi-

cados con las versiones antenores? Sí NO

39. ¿Durante cuanto tiempo?

ón?
40. ¿Que precauciones se toman durante el penodo de ImplantaciÓn?

4t . ¿Quién da fa aprobación formal cuando las corridas de prueba de un sistema

oCU•
modificado o nuevo están acordes con los Instructivos de operación?
de

42 Mencione qué instructivos se proporcionan a las personas que intervienen

Jal- en la operación rutinaña de un sistema.

43 lnd1que qué tipo de controles se tienen sobre los archivos magnéticos de los
archivos de datos, que aseguren la ubhzac.ón de los datos precisos en los
procesos correspondientes.

PO 44 ¿Ex1ste un lugar para archivar las bitácoras del Sistema del eqUipo de cómpu·
to? sr NO

45. Indique cómo está organizado este archivo de bitácora.

•ti·
Por fecha
Por fecha y hora
el Por turno de operación
O Iros

46. ¿Cuál es la utilización sistemática de las b1tácoras?

47 ¿Además de las mencionadas anlenormenle. qué olras funaones o áreas se

encuentran en la sala de máquinas actualmente?
170 48. ¿Se verifica que se lleve un registro de utilización del equipo diario, siSten11
CAPiTULO 5 en línea y batch, de tal manera que se pueda medir la eficiencia del uso ce
EIIA~VACIÓN equipo? SI "'
Oa PROCESO
OE DATOS
Y OE LOS EOVIPOS 49. ¿Se tiene un 1nventano actualizado del total de tos equipos, de su localu
DE CÓMPUTO ción? Si 110

50. ¿Cómo se controlan tos procesos en línea?

51. ¿Se tienen seguros sobre todos los equipos? SI

¿Con qué companra?

Solicitar pólizas de seguros y verificar tipo de seguro y montos.

52. ¿Cómo se controlan las llaves de acceso (password)?

Se debe veri ficar que el instructivo de operación contenga l os siguienlt>

datos:

• Diagramas.
• Mensajes y su explicación.
• Parámetros y su explícación.
• Fórmulas de verificación.
• Observaciones e instrucciones en caso de error.
• Calendario de proceso y de entrega de resultados.

CoNTROL DE SALIDA
•
Se o&ece el siguiente cuestionario en relación con el control de salida: •
•
1. ¿Se tienen cop1as de los archivos magnéticos en otros lOcales? •
2. ¿Dónde se encuentran esos locales?
si kO
•

done~
3. ¿Qué seguridad ffslca se tiene en esos locales?
les int

4. ¿Qué confideroarJdad se t1ene en esos locales?

"''
rados
p~
 171
stemas 5. ¿Quién entrega los documentos óe salida de los procesos en lotes (batch)?
uso del CONTROLES
•o
6. ¿En qué forma se entregan?
leal iza-
NO
7. ¿Qué documentos?

S1stema Documentos A quién se Periodicidad Observaciones

entregan
NO
8. ¿Que controles se tienen?

S1stema Control Observaciones Comentarios

9. ¿Se tiene un responsable (usuano) de la información de cada s1stema en

lfnea y en lotes (batch)? SI NO

tO. ¿Cómo se atienden solicitudes de lnlormaclón a otros usuarios del mismo

sistema?

1guientes 11. ¿Se destruye la información no utilizada, o bien qué se hace con ella?

Destruye ( ) Vende ( ) Tira ( ) Otro ( )

CoNTROL DE ASIGNACIÓN DE TRABAJO

Esta parte se relaciona con la dirección de las operaciones de la computadora en
términos de la eficiencia y satisfacción del usuario. Esta sección debe ser com-
parada con la opinión del usuario. La función clave del personal de cargas de
m~quina está relacionada con el logro eficiente y efectivo de varios aspectos:

Satisfacer las necesidades de tiempo del usuario.

Ser compatible con los programas de recepción y transcripción de datos.
• Permilir rúveles efectivos de utili zación de los equipos y sistemas de opera·
ción.
• Volver la utilización de los equipos en línea.
• Entregar a tiempo y correctamente los procesos en lotes (batclr).

La experiencia muestra que los mejores resultados se logran en organiza·

ciones que utilizan sistemas formales de programación de actividades, los cua-
les intentan balancear los factores y medir resultados.
Se deberán evaluar los procedimientos de programación de cargas de máqui-
na para determinar si se ha considerado atenuar los picos de los procesos gene-
rados por cierres mensuales, o bien los picos de los sistemas en línea.. y poder
172 balanceM las cargas de• trabajo de Jotes (bntclr) y lfnea, dando priorid
CAPITULO S
EVAWACIÓN
DEL PROCESO
DE DATOS
los prtX't"SOS en línea, o contar con equipos qut- pt-rmitan en forma mdcpm..
le cumplir con las n~idad~ de procesos en linea. con su comunicadón.
proc..>SQS en lote.
Ca
Y DE LOS EOU POS
DE COMPUTO nario:
En relación ron 1~ programas de traba¡o proponemos el sigu1t-nte DE~
l.us d
1 ¿Opera la sala de máquinas sobre la base de programas de trabajo? c.<)Jnp
NO pudn
ono<S
2 lnd¡que los penodos que abarcan los programas de traba¡o.
tiC<! b
de ala
3. lnd1que el puesto o departamento responsable de la elaborac1ó0 de los pro-
gramas de trabajo.

4. ¿Se cambian frecuentemente tos programas de trabajo?

5. ¿Cuál es la causa pnnc pal?

6. ¿Se comumca oportunamente a los usuanos las modificaciones a los progra-

mas de trabajo? SI NO

¿Cómo se comunican?

7 Denlro del programa de traba¡o de fa rnaqu na, ¿se henen preVIStas

• Demandas 1nesperadas? ( )
• Fallas de la máquina? ( ) 2
Soporte de los usuanos? ( )
Mantenimiento prevenhvo?
. Otras? (espeof¡que).
(
(
)
)

8. ¿Con que frecuenc1a se as1gna fa computadora. en su totalidad o en un g~an

porcentaje, pera una sola aplicación (la de mayor utilización)?

9 . Esp8Cif¡que los elementos que s1rven como base para programar las cargas
de rnáqulllB.

Se deberJ procurar que la distribución fi,ica delL'qUipo sea func1onal, qu.

la programación de las cargas de máquina satisfaga en forma eficaz al usuario
Asimismo, se tendrá cuidado con los controles que se tengan para la utilizadóo
de equipo y que el mantenimrento satisfaga las nl'CeSidades.
 oridad a 173 _ ____,
'P"ndien- CONTROlES
IÓn, y con CoNTROL DE MEDIOS
ecuestio- DE ALMACENAMIENTO MASIVO
los dispo,itivos de almacenamiento representan, para cualquier centro de
cómputo, archivos extremadamt•nte importante;, cuya pérdida parcial o total
podria tener repercusiones muv serias, no sólo en la unidad de inform.itica,
sino en la dependencia en la cual -.e presta serviciO. Una dirección de informá-
tica b1en administrada debe tener perfectamente protegidos estos di~positivos
de almaC<'namicnto, adem,ls de mantener registros sistemáticos de la utili?.a·
cióndc estos archivos, de modo que sirvan de bas..• a los programas de limp ieza
0$ pro-
(borrado de información), principalmente en el c.1so de las cintas.
Adcm.\s, se deben tener perfectamente identificados fisicarnente lo, archi-
vos para r<-ducir la posibilidad de utilización errónea o destrucción de 1.. mfor-
HO mación
Un manejo adecuado de e;tos dispositivos permitirá una operación más
eficiente y segura, mejorando además los tiempos de proceso.
El sigtlicnte cuestionario puede ser extensivo a todo tipo de almacenamiento
magnético; como ejemplo de fonn.ttO para el análisis de archivos, véa"' figura 5.2.
progra·
NO 1. Los locales astgnados a almacenamientos magootJCOS toenen:

Aore acondocoonado. (
Protección contra el fuego
(soilalar qué tipo do protección).
Cerradura especial.
Otro

2. ¿ Tl<!nen el almacén do arch1vos proteccoón aulomatoca contra el fuego?

S> NO

(Sollalar qué tipo.)

3. ¿Qué Información mlnima contiene el inventarlo do la cintoteca y la disco·

Jl1 gran teca?

Numero de serie o carrete ( )

Nombre o clave del usuano ( )
car!jiiS Nombre del archiVO lógoco. ( )
Nombre del sistema que lo genera. ( )
Fecha de generacoón delarchovo. ( )
Fecha de expiracoón del archivo. ( )
Numero de volumen. ( )
onal, que Otras. ( )
1usuario.
tiliulción 4 ¿Se venhcan con frecuenc1a la vahdez de los Inventarios de los archovos
magnéllcos? s1 HO
174 5. En caso de exiSbr discrepancta entre archivos y su contenido. ¿se resuetveo 17. ¿
CAPiTuLO S y expltean satisfactonamente las discrepancias? s NO ce
EVALUACIÓN
DEL PROCESO
DE DATOS
6 . ¿Qué tan frecuentes son estas drscrepancias?
Y DE LOS EOUIPOS 18. ~~
DE CÓMPUTO
7 . ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en
cinta o disco, el cual fue inadvertidamente destruido? sf NO

8. ¿Se tienen identtflcados los archivos con información confidencial y se cuen·

ta con claves de acceso? si NO

¿Cómo?

9. ¿ExiSte un control estncto de las copías de estos archovos? 81

22.E
1O. ¿Qué mediO se ubhza para almacenarlos?:

Mueble con cerradura.

Bóveda. No
Otro (espectflque).

~~
11. Este almacén esté situado: A
Fo¡
En el mismo edrliclo de la dirección de informática. Ci
En otro lugar. d
Ambos. N
o
12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan éstos? SI NO
23 1
ti
¿Cuáles?

24. ~
13 . ¿Se cerllfica la destrucción o baja de los archivos defectuosos? lO
SI
25. ¿
14. ¿Se registran como parte del inventario los nuevos elementos magnétiCO$
que se reciben en la biblioteca? sr NO
26.¿
15. ¿Se tiene un responsable, por tumo, de los archivos magnéticos?
SI NO

16. ¿Se realizan audrtorlas periódicas a los medros de almacenamiento?

SI NO

¿Con qué periodocidad?

 175
·¡ ¿Qué medidas se lOman en el caso de extr8vi o de algun diSpositivo de alma-
cenamiento?

18 ¿Se restñnge el acceso a los lugares asignados para guardar los dispositi-
vo. de almacenaml&nto. a cargo de personal autonzado? SI NO

,.,
wen
19. ¿Se tiene relación del personal autorizado para firmar la salida de archivos
confidenciales? Si NO

,.,
cuan-
20 ¿EJUSte un proced1<Tl1Gnto para rGglstrar los archiVos que se prestan y la fe-
cha en que se devolverán? SI NO

21. ¿Se lleva control sobre los archivos prestados por la Instalación?
SI NO

22. En caso de préstamo. ¿oon qué inlormae~ón se documentan?

FORMATO PARA PR~STAMO

Nombre de la ll'lstJ!ución a qUI&n se hace el préstamo.

Fecha de recepción ( )
Fecha en que se debe devolver ( )
Archivos que cont~e~~e ( )
Formatos ( )
Cifras de control ( )
Código de grabación ( )
Nombre del responsable que los prestó ( )
~ros ( )
;lose
23. Indique qué procedimiento se sigue en el reemplazo de las cintas que con·
o
t1enen los archivos maestros.

24. ¿El cintotecano controla la cinta maestra anteñor prev1endo su uso 1noorrec·
lo o su elim1nación prematura? SI NO

25. ¿La operación de reemplazo es cootrolada por el oototecaño?

SI
ilcos
110
26. ¿Se utiliza la polltlca de conservación ele archivos hijo-padre-abuelo?
SI NO

27. En los procesos que mane¡an archiVOS en linea. ¿existen proced1m1entos

para recuperación de archrvos? SI NO

28. ¿Estos procedimientos los conocen los operadores? NO

¿Cómo los COOSIQUe?

176 1 1 tcrcl
29. ¿Con qué periodicidad se rev1san estos procedimientos?
CAPITULO! llflu.•lt•n el
EVALUACIÓN Mensual. ( ) un.1 l'otizcl
DEL PAOCESO ft.: f lli..IOO('
DE DATOS
Anual. ( )
Y DE LOS EOUif'OS Semesltal. ( ) t dora~ pcl
DECOW>IITO Otra. ( ) Al e\ al
p< ,.,. el qu
30. ¿Ex1ste un responsable en caso de falla? so um detalle
hv od.td r
31. Explique qué políticas se siguen para la obtenctón de archivos de respaloo.

32. ¿Existe un procedimiento para el manejo de la 1nlonnación de la cintoteca1

PL1rL1
SI ,.,
puedPn utj
33. ¿Lo conoce y lo sigue el contotecario?
1
34 ¿Se distribuyen en fonna periódoca entre tos ¡efes de SIStemas tnformes dt
arch1vos para que loberen los dosposrtivos de almacenamoento?
SI ,.,
2
¿Con qué frecuencia?

3 <.Se
El objetivo del cuestionario l'S evaluar la forma como se administran 4 ¿Ex
dlSpo~itivos de almacenamumto b.bico de la dirección Al ;eñalar arch11
magnéticos nos referí m~ a cmtas, discos, disquetes, CD, OVO y cualquier 5 St
me<tio de almacenamiento ma,ivo de información. c.GU

6 Soto
por
CoNTROL DE MANTENIMIENTO
7 ¿Ex
aut
Existen básicamente tres tipos de contrato de mantenimiento. El contrato de
mant~nimiento total. qul' incluye el mantenimil'nto com-ctivo y pre,·enti\0. ¿C
cual a su vez puede dtnd•r.e en aquel que incluye las park>s dentro del rono-
to y d que no las incluye. El contrato que incluye refacc•ones es propiao-
c.Có
como un seguro, ya que en caso de descompostura el proveedor debe PCOf""·
donar las partes sin costo alguno. Este tipo de contrato es normalmente el m
caro, pero se d eja al proveedor la responsabilidad tola! d el mantenimiento• ¿C
excepción de daños por negligencia en la utilización d e los equipos. (Este hp<
de manten imiento normalmente se emplea en equipos gr,lndcs.)
El segundo tipo de mantenimiento es "por llam~da", en el cual se llama
provt.'(.-dor en caso de descompostura y éste cobra de acuerdo a una tarifa y
¿Se
tiempo que se requiera para componerla (casi tod~ Jo, proveedores incluo,
SIStt
en la cotización de compostur.l el tiempo de traslado de su oficina a donde~
encuentre el equipo y viccwl'>.l). Este tipo de mantenomiento no incluye ref •
don~-,.
~~
 El tercer tipo de mantertimiento es el que se conoce como #en banco", y es
"']IICI en el cual el cliente lleva a las oficinas del proveedor el eqlúpo, y éste hace CONTROLES
unJ cotización de acuerdo con el tiempo necesario para su compostura, más las
refacciones (este tipo de mantenim iento puede ser el adecuado para compu- Tipos
~tdoras personales). de mentenlmlento
Al evaluar el man tenim iento debemos primero analizar cuál de los tres ti·
pos es el que más nos conviene, y en segundo lugar ¡x>dir los contratos y revisar
con delallc que las cláusu las estén perfectamente deíinidas, que no exis ta subje·
bvidad y que haya penalización en caso de incumplimiento, para evitar contra·
paldo. 10< que sca11 parciales hacia el proveedor.
Para poder exigir el cumplimiento del contrato se debe tener un estricto
rontrol sobre las fallas, la frecuencia y el tiempo de reparación.
Para evaluar el control que se tiene sobre el manterúmiento y las fallas se
pueden utili7ar los siguientes cuestionarios:

1. Específique el tipo de conlrato de mantenim1ento que se hene (solicitar copla

es de del contrato).

NO
2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del
sistema de cómputo? si NO

3. ¿Se lleva a cabo tal programa? SI NO

tran los 4. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos?

rchivos SI NO
ticr otro S. S1 los uempos de reparación son superiores a los estipulados en el contrato.
¿qué acciones correctivas se toman para ajustarlos a lo convenido?

6. SoliCite el plan de manten1miento prevenuvo. que debe ser proporcionado

por et proveedor.

7. ,Existe algún tipo de mantemmiento preventiVO que pueda dar el operador

autonzado por el proveedor? si NO
rato de
ttivo, el ¿Cuál?
contra-
amente ¿Cómo se notifican las fallas?
~ ropor­
·elmás
iento a ¿Cómo se les da seguimiento?
ste tipo

lama al CONTROL DE FALLAS

ifa y al
tduyen 1. ¿Se mantienen registros actualozados de las fallas de los dispositivos del
s1stema de cómputo y servicios auXIliares (aire acondicionado. SIStema de
mde se
energfa Ininterrumpida. etcétera)? SI NO
~ refac-
(Solicitar los registros de los últomos seis meses.)
178
Figura 5.2. Análisis de archivos 2
CAPITuLO 5
EVALUACIÓN
DEL PROCESO
DE OATOS NOMOAEOELARCHNO _________________________________________
Y DE LOS EOUIPOS
DE COt.tPIJTO TIPO DE
OESCR•PCIOH ARCHIVO'-------------------------------------------
_ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _ _ __ __
3

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
L
O
C
A
L
I
~
O
N
VOLUMENDEAACHNOS~--------------------~~~-----------
VOLUMEN DE ACTUALJL<CIOH _________________ FRECUENCIA-----
ENV~ORDE~--------------------------------------------
4
CLASIFICAOO POR------------------------------------------
OOCUMENTOS O INFORMES A OUE DA OAIGEN - - - - - - - - - - - - - -- - - - - - - - - - -

USUARIO usa FRECUENCIA

CONTENIDO DEl ARCHIVO

FECHA RECOPILO REVISO Eva

PÁGINA OE

t Cua
d.ld
 2 ¿Es posible odenllflear por medoo de estos registros tos problemas más
179 _ ___J

recurrentes o las tallas mayores que afectan en forma determinante el CONTI\Ot.ES

funcoonamoento de la sala de máquonas? s "'

3. Toempo de respuesta promedoo que se ha tenido oon el contrato de manteni-

moento (bempo de respuesta es el penOdO entre la notifocación o aviso de la
exostencoa de un problema y la llegada del personal técnoco que realizó las
reparaoones del equ1po)

• ¿Cuales son las act•tudes de los ongenoeros de servicio que mantienen sus
equ1pos?

5. ¿Cuál consodera que es la competencoa técnica de los ingenieros de servicoo

que dan manten1moento a sus equ1pos? ¿Por qué?

6. ¿Cuál es el t1empo promedoo que toma investigar y resolver el problema?

7 ¿Cuál es la disponibilidad de refacciones necesarias para dar mantenimien-

to a sus equopos?

8. ¿Cuál es la efectividad del proveedor para resolver sus problemas de mante-

nimiento?

9 ¿Cuáles son las medidas do mantenimiento preventovo reahzadas al dar ser-

vocoo a su equ1po?

10. ¿Cuál es en general fa calidad de los serviCIOS ofrecidos bajo su "Contrato de

mantenimiento"?

n Evaluación del mantenimiento

g Cuando se evalúa la capacidad de los equipos, no se debe olvidar que la capad-
dad bruta disponible se deberá disminuir por las actividades de mantenimien-
to preventivo, falla' interna .. y e~ temas no previstas, y mantenimiento e insta-
lación de nuevo:. si,tcma~
El enfoque de eMa ~ción se orienta a evaluar, mediante los controles
que se tengan en la dirección, la utili~.ación del sistema de cómputo. Un con·
trol adecuado permitirá sustentar sólidamente cualquier solicitud de expan-
sión dt> la configuración pre,ente. Se debe tener control de las fallas y del
180 mantenimiento no sólo del equipo central, sino del total de los t'quipos.
CAPITULO 5 cluyendo computadoras personales, impresoras, equipo de comunicao6a
EVAI.UACtON periférico~.
OELPA<laSO El Siguiente cuestionario sirve para evaluar el mantenimiento:
OEOATOS 4
Y oe LOS EOUIPOS
oe CO&APVTo 1. lndoque lOS reg1stros que se llevan de la Uhlozación del S<stema de cómpiJto
(especofocando la penocfocdad).

Toempo de prueba de programas. ( )

Tíempo dedoc:ado a producción. ( )
T1empo dedoc:ado a manten~tníento correctrvo del SIStema operatrvo. ( )
Toempo dedoc:ado a mantenimoento preventivo. ( )
Tiempo de lalla de los dospos1tivos del S<stema de cómputo. ( )
T1empo de uso de cada unidad de cinta. ( )
Tiempo oooso. ( )
Tiempo de uso de Impresora. ( )
Toempo de reproceso. ( )
Tiempo de la computadora uhlizado en demostraciones. ( )
Toempo de falla por servocios auxiliares. ( )

2. Anote los soguientes datos:

Tiempo promedio de operaciones por día. - - - - - - - - - - hrs

5
Tiempo promedio de respuesta para programas de producción. ___ hrs

Numero promedio al dia que se consideran como horas de producciÓn.

Número promedio de traba¡os en cola de espera de ejecución en horas ptCO

6
Número promedoo de trabajos en cola de espera de impresión en horas poco

Numero promediO de traba¡os de e¡ecucoón en horas pico.

3. Evalúe la relaCIÓn de uso de 1mpresoras respecto a la mezcla de lrabajo.

Determ&ne S< se debe 7,

• Incrementar el número de ltnpresoras. ( )

• Restaurar las cargas de trabajo. ( )
• Ublozar otro hpo de salídas (dderentes a impresorns). ( )
• Utolozar ompresora de mayor velocidad ( )
8
• ¿Es excesovo el volumen de 1mpres1ón?. SI NO

En caso de contestar sí, señale las causas'

Reportes muy largos. ( ) 9

Reportes no utilizados. ( )
Procesos en lote que deben estar en línea. ( )
Otros (especol1car cuáles). ( ) 10
ipos, in- 181
Especificar si existen procesos que deben cambiarse de batch a línea o
:actón y viceversa. CONTROLES

4. Evalúe la utilización del sistema de cómputo a través de las siguientes rela-

1puto ciones:

SI el tiempo ocioso excede el 35%.

El equipo instalado puede estar sobrado de capacidad para la carga de tra-
bajo actual.
Si el ttempo de mantenimiento al eqUipo sobrepasa el 5%.
Se deberá exigir al proveedor que metore la calidad de soporte de manteni-
miento.
S• el \lempo de falla del sistema de oómputo es mayor al 5%.
Se le deberá ex19ir la reparación y d•sm•nución de los tiempos de falla al
proveedor.

NOTA !Ostos son solamente ejemplos de factores que pueden obtenerse, los
cuales pueden ser ampliados, y los porcenta¡es dependerán del tipo de equ•-
po y la experiencia que se tenga.

(Esta sección está orientada a revisar las acciones que realiza la dirección
de informática para evaluar, mantener y auditar los sistemas implantados.)
hrs.
5. IndiQue qué tipo de evaluación se realiza a los sistemas implantados:
hrs.
Ninguna. ( ) De objetivos. ( )
Económica. ( ) De oportunidad. ( )
De beneficios. ( ) De operación. ( )
Otros (especificar). ( )
ICO.

6. lndoque qué instructivos se elaboran:

ico.
Interno del SIStema (help). ( De captación. )
Del usuariO. ( De operación. )
Otros (espec•hcar). (

1)0.
7. ¿Qué porcentaje del personal de programación se dedica a dar manteni-
miento a los sistemas existentes?

8. ¿El responsable del área de producción formula las estadísticas de utiliza·

clón de equipos, mostrando la frecuencia de fallas de los mismos y las esta·
dislocas de produocoón por aplicación? (Especifique cómo se realiza y dé un
o¡emplo.) Si NO

9 ¿En qué poroentaje se cumplen los calendariOs de producción?

tO Ex1sten:
 182 • Programadores que utilizan el equipo o el tiempo para aplic;¡cicmesa~'"'
CAPiTuLO 5 a la organización.
EVALUACIÓN • Personal que utiliza la computadora para trabajos personales, trali>ajo;o
OEL PROCESO autorizados o juegos.
DE DATOS
Y DE LOS EOUIPO$ • Programas que, por estar mal elaborados (generalmente cuando se
DEOÓMPUTO grandes archivos), degradan la máquina.
• Degradación del equipo por fallas en equipos periféricos. La computa&..
puede considerarse como un proceso en línea el cual, al fallar alguna
unidades principales (memoria, urudad central), no permite la utilizaciór
del resto del equipo. Pero existen uJÚdades secundarias (cintas, impresora;
termina les, discos) que a l fallar provocan que se vea reducida la posibih·
dad de utilización del equipo.

r ejemplo Si tenemos una impresora y se descompone, un alto porcentaje de utilización

del equipo se ve disminuida, aunque el proveedor considere que sólo una
unidad secundaria fue la dañada. Lo mismo sucede si se tienen dos unidades
de disco y se descompone una (en caso de tener sólo una unidad de discos,
la falla es total).

Para controlar este tipo de degradación se puede tener un reporte que

contenga:

• Dispositivo que integra la configuración del equipo (por ejemplo, cinta.

disco, impresora).
• Número del dispositivo; si tenemos por ejemplo 2 cintas, se anota 1 y 2,
dependiendo de cuál fue la que falló.
• Tipo de falla. Se anotará una buena descripción del tipo de falla, para lo
cual se puede elaborar un catálogo.
• Porcentaje de degradación. Este dato deberá ser anotado por los res·
pon sables de la dirección de informática basándose en la experiencia y
en las implicaciones que tenga en el sistema total (por ejemplo, si se
tienen 2 unidades de disco la degradación es del 50%, si se descampo·
nen las dos es el lOO% y si se tiene sólo una, también el lOO%; en el caso
de la impresora si se tiene sólo una puede ser el 66.6%, etc.).
o
Número de horas que duró la falla, desde el momento de la descom·
postura hasta el momento en que la entregue reparada el proveedor.

ORDEN EN EL CENTRO DE CÓMPUTO

Una dirección de informática bien administrada debe tener y observar reglas
relativas al orden y cuidado de la sala de máquinas. Los dispositivos del siste·
m a de cómputo y los archivos magnéticos pueden ser dañados si se manejan en
forma inadecuada, lo que puede traducirse en pérdidas irreparables de infor·
mación o en costos muy elevados en la reconstrucción de archivos. Por ello, se
deben revisar las disposiciones y reglamentos que coadyuven al mantcnimien·
Cuidado de la to del orden dentro de la sala de máquinas.
sala de máquinas El siguiente cuestionario ayuda a evaluar el orden que existe en la sala de
máquinas.
 !S ajenas
1. Indique la periodictdad con que se hace la hmp1eza de la sala de máqu1nas y
183
de la cámara de aire que se encuentra aba¡o del piso falso y los duetos de rure: EVALUACIÓN
bajos no DE LA CONFIGUR.ACION
DEL SISTEMA
Semanalmente. ( ) Oulncenalmente. ( ) DE CÓMPUTO
se usan Mensualmente. ( ) Bimestralmente. ( )
No hay programa. ( ) Otro (especifique). ( )
utadora
"'de las
2 ¿Ex1ste un lugar asignado a las c1n1as y d1scos magnétocos? si
lización
•resoras, 3 ¿Se t1ene asignado un lugar especifiCO para papelerfa y utensilios de tra·
posibili - bajo? si NO

4 ¿Son funcionales los muebles aSignados para la cintoteca y doscoteca?

SI NO

5. ¿Se t1enen disposiciones para que se acomoden en su lugar corresponden·

cos, te, después de su uso, las cintas, los discos magnéticos, ta papelería, etcé·
tara? SI NO

>rte que 6. Indique la periodicidad con que se limpian las unidades de cinta:

Al cambio de turno. ( ) Cada semana. ( )

o, cint.J, Cada día. ( ) Otra (especificar). ( )

ltal y 2, 7. ¿Ex1sten prohibiciones para lumar, tomar alomentos y refrescos en la sala de

máquinas? 51 NO
. para lo
8. ¿Se cuenta con carteles en lugares viSibles que recuerden dicha prohlboclón?
los R'S- si NO
•encia y
Jo, si se 9 ¿Se t1ene restringida la operacoon del SIStema de cómputo únocamente al
compo- personal especializado de la direcciÓn de Informática? si NO

lel caso
10. Mencoone los casos en que personal a¡eno al departamento de operación
opera el sostema de cómputo.
lescom-
eedor.
11 . Evalúe los niveles de iluminación y ruido y senate cuando estén fuera del
rango estipulado en los estándares.

r reglas
el sist('- EvALUACióN DE LA coNFIGURACióN
leJan en
emfor-
ello, se DEL SISTEMA DE CÓMPUTO
nlmien-
Los objetivos son evaluar la configuración actual, tomand o en consideración las
salad(' aplicaciones y el nivel de uso del s•Mema, evaluar el grado de eficiencia con ~1
cu al el sistema operativo satisface las necesidades de la instalación y revisar la•
184 políticas seguida~ por la unidad de informática en la conservación de su progr..
CAPiTuLO S
motee¡¡,
EVALUACIÓN
DEL PROCESO
OE DATOS
•
Esta sección l'Stá ori~ntada a:

Evaluar posibl~s ca mbios en el hardware a fin de nivelar e l sistema de

-
V OE LOS EOUIPDS El o
DE CÓMPUTO cómputo (computadoras, unidades periféricas, redes, sistemas de comuni-
._irea,
cación) con la carga de trabajo actual, o de comparar la capacidad instalada
con los planes de dl-sarroUo a mediano y largo plazos.
1
• Evaluar la~ posibilidades de modificar el equipo p.1ra reducir el costo
bien el tiempo de proceo.
• Evaluar la utilizaoón de los diferentes dispositivo:. periféricos 2

OfrecemO» el ~igmentc cuestionario, que sirve par.l h.1cer C'-.lS evaluaciones:

1. De acuerdo con los tiempos de utilización de cada dospoSIIIVO del sostema de

cOmputo, ¿exoste eQUipo:

Con poco uso? si NO 4

Ocioso? SI NO
Capacidad superior a la necesaria? SI NO

Describa cuál es: 5

2. ¿El equipo mencoonado en el inciso anterior puede reemplazarse por otro 6

más rápodo y de menor costo? SI NO

3. ¿El sostema de cOmputo llene capacidad de red? SI

4. ¿Se utlloza la capacidad de red? 81

5. En caso negatovo. exponga los motivos por los cuales no se ubtoza la red.

6. Especofoque qué sistema de comunocacoón se bene.

7. ¿Cuántas terminales. computadoras personales. penféncas. se toenen co- 1

nectadas al sistema de cómputo?
1 .
Cantidad
Tipo _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
1
8. ¿Se ha onvestlgado si el !lempo de respuesta satisface a los usuanos?
si NO

9. IndiQue si axostan poltllcas para aplicacoones soportadas en red. 1~

Tamai\o máxomo de programas. SI NO

Número de archovos SI NO
1
Tamai\o máxomo para cada archiVo. si NO
Novel de acceso. si NO

1O. ¿El afmacanamoento máximo del sistema de cOmputo es sufocoente para ateP.
der el proceso por lotes y en ffnea? SI NO
progra- 185 _ _

PRODUCTIVIDAD PAOOUCTlVIOAO

2'ma de
omuni- El ob¡ctivo del siguiente cuestionario es evaluar la eficiencia con que opera el
área de captación y producción.
stalada
1. Verifique que se cuente con una descripción completa de los trabajos que se
tosto o corren y la descripción de las caracterlstlcas de carga.

2. Verifique la extstencia de un pronóstico de cargas o trabajos que se efectua-

rán durante el año, con el objeto de que se prevean los picos en las cargas
dones: de traba¡o y se puedan dtstnbuir adecuadamente estas cargas.

a de 3. ¿Se tiene un programa de trabaJO dlllriO? ¿Semanal? ¿Anual?

Sl 1<0

,,, 4 En caso de que no se tenga la programación dtarlll, ¿cómo se realiza la

producctón?

5. Venfique que se contemplen dentro de los planes de producción periodos de

mantentmlento p reventivo.
otro
6. Venflque que se disponga de espacio y 1iompo para realizar corridas espe-
ciales, corridas de prueba de sistemas en desarrollo y corridas que deben
repetirse.

7. Venfique que se tengan dehnidos el espacio y el hempo para el respaldo de

la Información.
l.
8 Venf¡que el equipo de comunocación, características número de usuarios y
toempo de respuesta que se obhene en un proceso normal.

9. ¿Se tiene una programación del mantenomtento previo? SI 1<0

::0- 10. ¿Se tiene un plan defimdo de respaldo de ta lnformactón? SI NO

11. ¿Se revisa el cumplimtento de los programas do producción establecidas?

si NO

12. Venflque que se tenga conocimiento de los próximos sistemas que entrarán
on producción, con objeto de que se programe su incorporación.
Si NO

13. ¿Quién revisa estos planes?

14 ¿Se cumplen generalmente estos planes? St no, explique por qué.

SI NO

15. ¿Se repiten con frecuencia corndas por anomalías? SI 1<0

186
16. Indique los estándares de producción que se tienen en la d~rección di
CAPITULO S informáhca.
eVALUACIÓN gan
oeL PROCeso Por tipo de equ1po ( ) prob
oe DATOS Por plataforma ( ) <
Y Dl LOS eOUIPOS
oe CÓMPUTO 17. ¿Ex1sten 1nd1ces de error aceptables para ceda t1po de trabato? cad3
los Cl
SI NO
18. ¿Cuándo fue la ú"lma revi.~ de esos estándares? n•qui
l.ldt
equi l
19. ¿El personar de captación conoce esos estándares? SI tado1
tacto
20. lnd1que los med1os utilizados para madir la eficiencia de los operadores de
captación.
de d
Estadíst1ces mensuales de producción por traba¡o y por operador. ( ) 1ncrt•
Estadísticas mensuales de error por trabajo y por operador ( ) requl
Estadísticas mensuales de producoón por trabajo. ( ) I<"S pi
EstadísticaS mensuales de error por traba¡o.
Estadísticas de producción por trabajo y operador por hora.
( )
~
( ) t>val~
Otros (espec¡flcar). ( ) cqui¡
d e pe
tal e~
21. Indique qué med1da(s) se toma(n) cuando el rendimiento para un trabajo está
abato del estándar· tad01

,,
Se consulta a los operadores sobre los problemas observados pubh
en el trabaJO. (
Se capac1tan los operadores sobre el maneto del equ.po. ( ronp
Se Imparten pláticas sobre el trabajo. velll
Otros ( )
( J así cQ

22. ¿Se llenen Incentivos para el personal que tenga un rendimiento superior al
n
cost
estándar? s1 NO
ta d or
23. ¿Cada cuándo se Imparten cursos de capacttaclón sobre fa operación det pOO<'
equipo? sasa
e star
11efici
24. ¿Se registran los tiempos de respuesta a fas solicitudes? SI ~ e tu a
NO

25. ¿Cuál es el ttempo de respuesta promediO?

Renl
l.as <1
pra,a
PuNTos A EVALUAR EN Los EQUIPOS )"S)
espe ·
supe
El equipo que se adquiere dentro de una orgamzación debe de cumpltr con • E
esquema de adquisición de toda la organización. En lo posible, se deben tener
equipos estándares dentro de la organización. a menos que por requerimiento>
específicos se necestte un equipo con características distintas. Esto no impltca qut.
• ¿1
los equipos tengan que ser del mismo proveedor, aunque sí deben tener In misma
• .~
• ¿
 c1ón de filosofía. Las compras por impulso u oportunistas pueden provocar que se ten- 187
gan diferentes equ ipos, modelos, estructuras y filosofías. Esto puede provocar PRODUCTIVIDAD
problemas de falta de compatibilidad, expansión y de confianza.
Si no se tienen políhcas y estándares d e compra de equ ipos de cómputo,
tada departamento o empleado puede decidir el adquirir diferentes equipos,
los cuales pueden no ser compatibles, o bien el conocimiento y entrenamiento
NO
requerirá de mayor tiempo y costo. La conexión de un tipo de terminal o compu-
tadora personal a una computadora principal (mniufrnme) puede requerir de
equipo o de software adicional. los sistemas elaborados para un tipo de compu-
NO tadora pueden no servir en otro tipo de máquina. El mantenimiento es otro
factor que puede incrementarse en caso de no tener compatibilidad de equipos.
ores de Tener diferentes plataformas de programación, sistemas operativos, bases Adquisición
de datos, equipos de comunicación y lenguajes propietarios, provoca que se da equipos
incrementen los costos, que se haga más problemático el mantenimiento, que se
( ) requiera personal con diferente preparación técnica, y que se necesiten diferen-
( ) tes programas de capacitación.
( ) La posibilidad de que se pueda expandir un equipo es otro de los factores a
( )
( ) evaluar. Al crecer una organización, es muy probable que se requiera que los
( ) equipos también crezcan y sean más rá pidos. Esto es de mayor importancia
dependiendo del tamaño de las computadoras, ya que es un factor fundamen-
tal en los grandes equipos y de relativamente poca importancia en las compu-
ajo está tadoras personales, debido a que no es tan alto su costo de reemplazo.
En muchas ocasiones se cambia o se compra una computadora por el factor
publicitario, sin que se tenga la evaluación real de los equipos, o bien se adquie-
( )
ren equipos (principalmente computadoras personales) que son ensamblados
( ) con partes de diferentes proveedores a costos muy bajos. Se deberá evaluar la
( ) ventaja de adquirir lo último en tecnología, contra el costo que esto representa,
( ) así como el tener equipos muy baratos pero con baja confianza en el proveedor.
En la actualidad cada día las computadoras son más poderosas y menos
>enor al costosas, y las organizaciones también cada día dependen más de las compu-
1«) tadoras, así es que existe la tendencia de comprar cada día computadoras más
poderosas, sin considerar que en el futuro existirán computadoras más podero-
Ción del sas a menor precio. La decisión de adquirir o cambiar w1a computadora deberá
estar basada en un estudio muy d etallado que demuestre el incremento de be-
neficios en relación con su costo, y en la relación costo/beneficio de los equipos
actuales.

Renta, renta con opción a compra o compra

las computadoras y el software pueden rentarse, rentarse con opción a com-
pra, comprarse, y en el caso del software, producirse. Cada una tiene sus venta-
jas y desventajas, y es función del aud itor el evaluar en cada instalación en
específico por qué se escogió una o pción, y si las ventajas que se obtienen son
superiores a sus desventajas.
~ür con el El auditor deberá evaluar:
!ben tener
•rimientos • ¿Existe un comité de compra de equipo?
1plica que • ¿Quién participa en el comité?
rlamisma • ¿Existen políticas de adquisición de equipos?
 • ¿Cómo se determina el proveedor del equipo? a la orga11
188
• ¿Cómo :.e evalúan las propuestas de instalación, mantenimiento y tnt~ organiLold
CAPITULO 5 este punt<
miento?
EVALUACION
OEL PROCESO • ¿Cómo sc evalúa el costo de operación y el medio ambiente requeridor: computad
OE OATOS cada eqUipo? USUclrJ(),
V DE LOS EOUIPOS • ¿Se evalúan las opciones de compra, renta y renta con opción a compr•l
DE COMPUTO Centrali¿,
Los factores a considerar d~ntro de estas opciones ~on los siguientes:
•
Ventajas
• Rento: A
Compromiso a corto plazo. o
o
o
Menor riesgo de ob;olescencia.
No requiere de invel"!>ión inicial. "SI
• Renta con opción a cornpr;t: ~
o Menor riesgo de obsolescencia. o
d
ll
No requiere de invc.-ión inicial.
o Se puede ejercer la opción de compra.
o lo> p.1gos normalm<'nt<' incluyen servicio<..
\<tenor costo que renta.
•
0""'1
o 1
• Compra: S
o
o Se puede tener valor de recuperación. ~
o Normalmente es menor su costo que el de compra a largo plazo. p

Desventajas
• Renta: oe-cent
"
o M.ís caro que compra o renta con opción a compra. • v~n
o El equ ipo puede ser usado.
o Algunos vendedores de equipo no lo rentan. ~
)
• Renta con opción a compra 1
J
o Es más caro que compra. ~
o No tiene valor de recuperación para el comprador. <
• Compra:
o
o Requiere de inversión inicial o de préstamo.
Amarra al comprador a su decisión.
~
El comprador debe conseguir u obtener servido de manterúmiento.
• Dt~

Centralízación vs. descentralízación

o
El tener equipos en forma centralizada o descentra lizada puede tener venta¡a;
o
y desventajas, dependiendo del tipo de organi.tación. El auditor deberá evaluar
 ~la or¡;aniLaoón y la justificación que ,._. ti~n<' pM.\ que en una deterrnin.lda 189
Mgano.tacoón "~ tengan equipos •m forma C<•ntr,lli;ad,, o descentralizada En
PAOOUCTIVIDAD
"'t~ punto'<' evalúan las grandes comput,\uOr,\s e onstal,lciones, eliminando 1.1s
) par.1 (\'lmputlldor._l~ persona les, y~1 qul• ésta't dl'l1l'f,1n l1 St~l r dt.>sccntraliz(ldas paril cada
U"tllllrio.
>ra?
Ctntr•linción

• Economía de escala .
Acc.."<l a grandes capacidad,..,.
Operaciones y adnunistraoun más pror,....,onalc."'
Ac~"' múltiples a dato-. comurn-..
Sl'b>undad, control y prot<'CClon d,, lo- dato-..
• Un meJor reclutamiento y entn.'namwnto tfd pt.•f'tOnal especializado.
• lina mejor planeación de la carrt•r,\ prof<-.tonal del personal de tnfor·
m.ític¡J.
• Control de los gastos de tnform<~ll~.l­
Estanu.tri.tación de equipos y de softw.uc.

[)('svt•ntcljas:

1alta de control de los usuarios «1hrc d desarrollo v operación de los

..,,,t('mas.
• La responsabilidad del desarrollt> d.- l<>s proyectos está limitada a un
wlecto personal.
• l'osibh.• frustración dentro de la organuaoon p<'r desconocimiento de
1<-... cambtos en los sen·tcios d<• inf<>rrn.íllc.t

De.cen traliución de proces.>miento de datos

Autonomía local y control por p.1rte de lo-. usuarios.

o
Mayor responsabilidad ant<• las n<'n..,td,llics de los usuarios.
R<•ducción de los costos de telecomunic,\Ción.
Acceso inmediato a las bases de d.1tos d~sn•ntralizadas.
Los analistas de sistcmrls loc,1les titml'n l'nt'~'or ..1tcnción a las nccesida·
d<'S de los usuarios.
Oportunidad de crear una carrera profc,ll>nal dentro de las áreas fun·
Clonale~ de los usuanos.
C<>nsistente con la desccntralizam;n t•stahll'Cida dentro de una estruc·
tura corporativa.
'· • O..w,wnta¡.ls:

r ..rd•da de control gerencial c..•ntral.

• P<hibtlidad de incompahbihd,\d d<• d,lt<ls. l'(jWpo5 }' so!tware .
• l'ostbk'S errores para seguir los e-.tándMl'' de sistemas dentro de las
ajas pr.ícli~as de desarrollo.
luar • Duplicación de personal v de cs(u,•rLo .
 Evaluación
CAPÍTULO
de la seguridad

OBJETIVOS
Al finalizar este capítulo, usted:

1. Conocerá la importancia de salvaguardar la integridad de la información que

se almacena en una computadora.
2. Explicará por qué es importante conservar la 1ntegñdad, confidencialidad y
dispon1billdad de los sistemas de 1nformac1ón
3. Entenderá que un buen centro de cómputo depende, en gran medida. de la
1ntegndad. estabilidad y lealtad del personal.
4. Descnbirá las políticas. proced1m1entos y prácticas necesanos para mante-
ner la seguridad tísica de un centro de cómputo.
5. Conocerá los distintos tipos de daños q ue provocan los virus en las
computadoras. y las maneras de evita~os.
6. Defimrá las características de tos seguros ex1stentes para enfrentar los nes·
gos relaCIOnados con los eqUipos de cómputo
7. ExpliCará qué elementos deberán considerarse para tener una adecuada se-
gundad en el uso de los equ1pos y sistemas. así como en su restaurac16n.
192 L.l' computadoras son un instrumento que estructura gran canhdad d(
CAPIT\/Loe mación. la cual puede ser confidencial para individuos, empresas o Jns,htu¡j¡
EVALUACION n~>s. y puede ser mal utilizada o divulgada. También pueden ocurnr roo:q,u¡o¡
DE lA <;íOUfiiDAD d~.., o .abota,es que provoquen la destrucción total o parcial de la
com pu taciona l.
Esta información puede ser de suma importancia, y no tenerla en
mtmto preciso puede provocar retrasos sumamente CO'>tO'<h. Ante ,.,1.1
ción, en el transcurso de este siglo el mundo ha sido te<;tigo de la rran'll~
ción de algun05 aspectos de seguridad y derecho.
Imagínese que, por una u otra razón, el centro de cómputo o la,
;ean destrUidos o usados inapropiadamente, ¿cuánto tiempo pasaria parJ
c'ta organización estuviese nuevamente en operación? El centro de córnpc~l
puede ser el .1ctivo más valioso y al mismo tiempo el más vulnerablt>
Delitos En la situación actual de crimino logía, en los delitos de "cuello hl.tnr,·o
por computadora incluye la modalidad de los delitos hechos mediante In computadora o
m.ts de información, de los cuales 95% de los detectados han >ido Ol"OCUIW""'•
por accidente, y la gran mayoría no han sido divulgados p.tra evitar dar id,
personas mal intencionadas. Es así como la computadora ha modi(icado
ci rcun,tancias trad icionales del crimen. Muestra de ello son los fraudes, lal
caciones y venta de in(ormación hechos a las computadoras o por m!'dio
éstas. Existen di fcrcntcs estimaciones sobre el costo de los delitos de curllo b
co, las cuales dependerán de la fuente que haga estas estimaciones, peru
todos lo; casos se considera que los delitos de cuello blanco en Estado> Un
su pcran los miles de millones d e d ólares.
Durante mucho tiempo se consideró que los procedimientos de au'""'""l
seguridad eran responsabilidad de la persona que elabora los sistemas,""
;id~rar que son responsabilidad del á rea de in(ormática en cuanto a la elalxm-
ción d~ los s is temas, del usuario en cuanto a la utilización que .e le dé a
información y a la forma de accesarla, y del departamento de auditoría
en cuanto a la supervisión y diseño de los controles nece>ario,,
La ;eguridad del área de informática tiene como objetivos:

• Proteger la mtegridad, exactitud y confidencialidad de la 1nCormaoón.

• Proteger los activos ante desastres provocados por la mano del hombtt
de actos hostiles.
• Proteger a la organización contra situaciones externas como d•.,.>tll.'S
raJes y sabotaje:>.
• En ca '\O de desastre, contar con los planes y políticas de contingt>llCia$
lograr una pronta recuperación.
• Contar con los seguros necesarios que cubran las pérdidas e«>nÓimJCISC:
caso de desastre.

Los motivos de los delitos por computadora normalmente son por:

• Beneficio personal. Obtener un beneficio, ya sea económico, político

o de poder, dentro de la organización.
• B~ncficios para la organización. Se considera que a l cometN algúndeht
otra computadora se ayudará al desempeño de la organitación en l~cull t •
trabaja, s in evaluar sus repercusiones.
~de infnr- , Síndrome de Robín Hood (por beneficiar a otras personas). Se <'Stán haci~n- 193
institucin- do copias ilegales por considerar qu<' al infectar a las computadoras, o b1en EVALUACióN
:>bos, frau al alterar la información, se ayudará a otras plo'rsonas. DE LA SEGURIDAD
acth•idad • Jugando a jugar. Como diversión o pasatiempo.
• Fácil de desfalcar.
en el mo- • El individuo tiene problemas financieros. .
esta situ.J~ La computadora n(l tiene sentimientos. La computadora es una herramien-
ansformn-- ta que es fácil de desfalcar, y es un reto poder hacerlo.
E\ departamento es deshonesto.
s librerías • Odio a la or¡;ani-z.ación t(evancha). Se considera que el departamento o la
a para que organización es deshonesta, ya que no ha proporcionado todos los benefi-
'cómputo cios a \os que se tiene derecho .
• Equivocación de ego (deseo de sobresalir en alguna forma).
:>lanco" se • Mentalidad turbada. Existen individuos con problemas de personalidad que
olossiste- ven en elaborar un virus un reto y una superación, los cuales llegan a *r
scubiertos tan cínicos que ponen su nombre y dirección en el virus, para logr.u e,.;
lar ideas a reconocimiento.
ificado las
les, falsifi- En la actualidad, principalmente en las computador,ls personales, se ha dado
medio de otro factor que h ay que cons iderar: el llamado "virus" d e las computadoras, el
uello b lan-
s, pero en
os Unidos

tuditoría y
cuat aunque tiene difcr·cntes intenciones~ se encuentra p rincipalmente en pa-
quetes que son copiados sin autorización ("piratas") y borra toda la informa-
ción que se tiene en un disco.
Se trata de pequeñas subrutinas escondidas en los programas que se acli-
,-an cuando se cumple alguna condición, por ejemplo, haber obtenido una co-
=:JLos virus

ts.,sin con· pia en forma ilegal, y puede ejecutarse en una fecha o situación predetermina-
la elabora- da. El virus normalmente es puesto por Jos d•señado= de algún tipo de pro-
le dé a la grama (software) para "castigar" a quienes lo roban o copian sin autoriz,lción o
ría intern a bien por alguna actitud de venganza en contra de la organización. {En la actua-
lidad existen varios prod uctos para detectar los virus.)
Existen varios tipos de v irus pero casi todos actúan como "caba llos de
Troya", es decir, se encuentran dentro de un programa y actúan con determina-
1.ación. da incticación.
hombre y Un ejemplo es la destrucción de la información de la compañía USPA &
IRA de Forth Worlh. Cuando despidieron a un programador en 1985, éste dejó
.stres na tu- una subrutina que destruía mensualmente la información de las ''entas. li.'te
incidente provocó el primer juicio en Estados Unidos contra una persona por
:mdas para sabotaje a una computadora.
Al auditar los sistem,ls, se debe tener cuidado que no se tengan cop1as "p•
1ómicas en ratas" o bien que, ni conectarnos en red con otras computadoras, no exista lo
posibilidad de tra•1smisió•1 de l virus. También se d~be cuidar que e n ocasiones
se loma como pretexto el virus y se producen efectos psicológicos en los usua-
>Or: rios, ya que en e l momento de Wla falla de la computadora o del s istema, lo
primero que se piensa es que están infectados.
itico social Se considera que hay cinco factores que han permitido el incremento en los
crímenes por computadora:
<ndelito en
nlacual se • El aumento del número de personas que se encuentran estudiando compu-
tación.
194 • El aumento del número de empleados que tienen acceso a los equipos.
CAPiTULO 6 • La facilidad en el uso de los equipos de cómputo .
EVALUACIÓN • El incremento en la concentración del número de aplicaciones y, consecuente
DE LA SEGURIDAD mente, de la información.
• El incremento de redes y de facilidades para utilizar las cornp1uta,dcm~&;
cualqu ier lugar y tiempo.

Estos cinco factores, aunque son objetivos de todo centro de cómputo,ta"

bién constituyen una posibilidad de uso con fines delictivos.
El uso inadecuado de la computadora comienza desde la utilizaci6ndelleln-
po de máquina para usos ajenos al de la organización, la copia de progrillllif
para fines de comercialización sin reportar los derechos de autor, hasta elam-
so por vía telefónica a bases de datos a fm de modificar la información c:oo
propósitos fraudulentos. Estos delitos pueden ser cometidos por personasc¡-.
no desean causar un mal.
En la actualidad las compañías cuentan con grandes dispositivos para h
seguridad física de las computadoras, y se tiene la idea que los sistemas r
pueden ser violados si no se entra al centro de cómputo, olvidando que se pul-
den usar terminales y sistemas remotos de teleproceso. Se piensa, como en
caso de la seguridad ante incendio o robo, que "eso no me puede sucederallll
es poco probable que suceda aquí".
Algunos gerentes creen que las computadoras y sus programas son tan com-
plejos que nadie fuera de su organización los va a entender y no les van a senir
Pero en la actualidad existe un gran número de personas que puede captan
usar la información que contiene un sistema y considerar que hacer esto es comr
un segundo ingreso. También se ha detectado que el mayor mímero de fraude;,
destrucción de información o uso ilegal de ésta, provienen del personal intem
de una organización. También se debe considerar que gran parte de los fraude>
hechos por computadora o el mal uso de ésta son realizados por personal de la
misma organización.
En forma paralela al aumento de los fraudes hechos a los s istema
computarizados, se han perfeccionado los sistemas de seguridad tanto físia
como lógica; la gran desventaja del aumento en la seguridad lógica es que-<
requiere consumir un número mayor de recursos de cómputo para lograr tener
una idónea seguridad, lo ideal es encontrar un sistema de acceso adecuado~
nivel de seguridad requerido por el sistema con el menor costo posible. En lo!
desfalcos por computadora (desde un punto de vista técnico), hay que tener
cuidado con los "caballos de Troya" que son programas a los que se les enea¡..
rutinas que serán activadas con una señal específica.

SEGURIDAD LÓGICA y CONFIDENCIALIDAD

La seguridad lógica se encarga de los controles de acceso que están diseñados

para salvaguardar la integridad de la información almacenada de una compu· si
 uipos. !>dora, así como de controlar el mal uso de la información. Estos controles re- 195
ducen el riesgo de caer en situaciones adversas. SEGURIDAD LóGICA
1secuente- Se puede decir entonces que un inadecuado control de acceso lógico v coNFIDENCIAliDAD
JOCrementa el potencial de la organización para perder información, o bien para
adoras en '{UC ésta sea utilizada en forma inadecuada; asimismo, esto hace que se vea
disminuida su defensa ante competidores, el crimen organizado, personal des-
leal y violaciones accidentales.
)Uto, tam- La seguridad lógica se encarga de controlar y salvaguardar la información
gffierada por los sistemas, por el software de desarrollo y por los programas en
ndetiem- aplicación; identifica individualmente a cada usuario y sus actividades en el
rogramas sostema, y restringe el acceso a datos, a los programas de uso general, de uso
ta el acce- especifico, de las redes y terminales.
ación con La falta de seguridad lógica o su violación puede traer las siguientes conse-
lOnas que cuencias a la organización:

>s para la • Cambio de los datos antes o cuando se le da entrada a la computadora.

temas no • Copias de programas y 1o información.
•ese pue- • Código oculto en un programa.
omo en e l • Entrada de virus.
lera mí o
La seguridad lógica puede evitar una afectación de pérdida de registros, y
tancom- ayuda a conocer el momento en que se produce un cambio o fraude en los sis-
ta servir. temas.
captar y El tipo de seguridad puede comenzar desde la simple llave de acceso (con-
>escomo traseña o password) hasta los sistemas más complicados, pero se debe evaluar
'fraudes, que cuanto más complicados sean los dispositivos de seguridad más costosos
ti interno resultan. Por lo tanto, se debe mantener una adecuada relación de seguridad-
s fraudes costo en los sistemas de información.
onaldela Los sistemas de seguridad normalmente no consideran la posibilidad de
fraude cometida por los empleados en el desarrollo de sus funciones. La in·
;istemas lroducción de información confidencial a la computadora puede provocar que
1to física ésta esté concentrada en manos de unas cuantas personas, por lo que existe
!S que se una alta dependencia en caso de pérdida de los registros. El más común de
Tt1t tener estos delitos se presenta en el momento de la programación, en el cual por
cuado al medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al mo·
e. En los mento de programar un sistema de nómina se puede incluir w1a rutina que
¡ue tener verifique si se tiene dentro del archivo de empleados el registro federal de
;encajan causantes del programador. En caso de existir, continúa el proceso normal-
mente; si no existe significa que el programador que elaboró el sistema renun·
ció o fue despedido y en ese momento pudo borrar todos los archivos. Esta
rutina, aunque es fácil de detectar, puede provocar muchos problemas, en
caso de que no se tenga los programas fuente o bien que no se encuentren
debidamente documentados. También en el caso de programadores honestos,
) en ocasiones en forma no intencional, se pueden tener fallas o negligencia en
los sistemas. La dependencia de ciertos individuos clave, algunos de los cua·
les tienen un alto nivel técnico, comúnmente pone a la organización en manos
seña dos de unas cuantas personas, las cuales suelen ser las únicas que conocen los
compu- sistemas debido a que no los documentan.
 196 Un método efica1 para proteger sistemas de computación e!> el soh:~•~!t.
CAPiTuLO 6
control de acceso. Dicho de manera simple, los paquetes de control de
EVALUACIÓN protegen contra el .1cceso no autorizado, pues piden al usuario una corttm~:
OE LA SEGURIDAD antes de permitirle el acceso a información confidencial. Otchos paquet"
sido popularl'S desde hace muchos años en el mundo de las computadoras~
des, y los principales proveedores ponen a disposición de los cbcntcs
estos paquetes. Sin e mb.11-go, los paquetes de control de acceso basadooenc"
Control trasef\as pueden ser eludidos por delincuentes sofisticados en computaciÓI\ p •
de acceso lo que no es cotwe•liente depender de esos paque tes por sí solos para lenerw
seguridad adecuada.
El sistema integral de seguridad debe comprender:

• Elementos administrativos. •
• Definición de una política de seguridad.
• Organi7.ación y división de responsabilidades.
•

SEGURIDAD LÓGICA
guie

Uno de los puntos m ás importantes a considerar para poder ddinir la segun· •

dad de un sistema es el grado de actuación que puede tener un usuariod!'llm •
de un sistemn, yt~ sea que la información se encuentre Cll un archivo nonna •
o en una base de dJto&, o bien que se posea una minicompu la dora, o un sister: •
en red (intem3 o externa). Para esto podemos definir los sigu ientes tipo;
usuarios:

1 npos de usuarios • Prcr¡>idario. E.~, como su nombre lo indica, el dueño de la informa<i<ÍII,

responsable de ésta, y puede realizar cualquier función {consultar,~ •
car, actu~li1~r, dar autorización de entrada a otro u~uario). Es respons.l!i •
de la segundad lógica, en cuanto puede realizar cualquier acción y po;& •
autorizar a otros usuarios de acuerdo con e l nivel que desee darles. •
• Admimslrndor. Sólo puede actualizar o modificar el softwore con la debido
autorización, pero no puede modificar la información. Es responsable de u
seguridad lógica y de la integridad de los datos.
• Usuario priucipnl. Está ,lutorizado por el propietario para hacer modifir,¡. Ru
ciones, cambios, lectu ra y utilización de los datos, pero no p uede dar aul~
rización pcua qut? otros usuarios entren. El ~
• Usuario de rousultn. Sólo puede leer la información pero no puede modiJi· mi~
carla. ~cg

• Usuario de cxplotnrióu. Puede leer la información y utilizarla para exploo-

ción de la misma, principalmente para hacer reportes de diferente ínckle opt
los cuales, por e¡emplo, pueden ser contables o estadi~ticos. il 1~
• Usuario tlt nudoloría. Puede utilizar la información y rastrearla dentro M ble
sistema p~ra fines de auditoría. dt!l
>oftwnre de
'1 de acceso .~os usuarios pu~cn S<'r múltiples, y pueden ser el resultado de la combi·
í contr;~seña :::~\os ~n=a\ados. Se recomienda que exista sólo un usuario propie-
tquetí':i han ronr:ática~e e a trador sea una pero;ona design.tda por la g<'rencia de in- SEGURIDAD LOGicA
Y CONFIOENCIAUOAO
dor~sgran­
salguno de ! P";¡a ~nserva~ la integridad, confidencialidad y disponibilidad de los si •
emas e mformaaón se debe tomar en cuenta lo siguiente: s
do:, en con-
rt.lo<ín, por
• ~ _tnt~srillad es responc;abilidcld de Jos individuos ~1utorizados para mo·
a tl•ner una
clificar datos o programas (usuario administrador) o de los usuarios a
los que S<' otorgan clCC'<'SOS a aplicaciones de sistema o funciones fuera de
sus responsabilidadt·~ normales dt.•lr-lbajo (u~u.Jrio respon:,.lbl<• y prin-
cipal).
• La collfi•lttlrralidad es re:.ponsabilidad de los indrviduos autonL<OdOS para
coru.ultar (usuario de consulta) o para bajar archh•os importantes pa·
ra microcomputadoras (usuario de explotación).
• La dis¡xmrbilidnd es responsabilidad de individuos autorizados para alterar
los parámetros de control de acceso al sistema operativo, al sistema maneja-
dor de base de datos, al monitoreo de teleproceso o al software de telecomu·
nicadones (usuario admrnrstrador).

El control im plantado para minimizar estos riesgos debe considerar los si·
guientes factores:
la scguri- El valor de los datos srendo proce.ad<b.
to d~ntro La probabilidad de que ocurra un a(('(':¡() no autonzado.
o normal Las con!;Ceuencias par,l la organización si ocurre un acceso no autorizado.
nsistema El riesgo y repercusiones e n caso de que un usuario no autorizado utilice la
tipos de información.

La seguridad lógica abarca las sígurentes áreas:

tación, el
, modifi- Rutas de acceso.
pon~.tble Clave, de acceso.
y puede • Software de control de acceso.
S. • Encriptamiento.
a debida
blede la

lOdrfic.l· Rutas de acceso

lar auto-
El acceso a 1~ computadora no significa tener una entrada sin restricciones. Li·
modifi- mitar el acceso sólo a los niveles apropiados puede proporcionar una mayor
o;eguridad.
nplota· El ob¡ehvo de la seguridad de lo.> s~>temas de rnformación es controlar las Control
operadon~ y ~u ambiente mediante el monitoreo del acceso a la información y
de acceso
• índole,
a los programas, para poder darle un seguimiento y determinar la causa proba·
otro del ble de desviaciones. Por ello es conveniente al utilit.ar algún tipo de software
dentro de un sistema, contar con una ruta de acceso.
198 Cada u no de los sistemas de información tiene u na ruta de acceso, la od • Lit~
pued e d efini rse como la trayectoria seguida en e l momento de acxeso al .,. quf
CAPfl1JLO 6
EVALUACIÓN tema. • La~
DE LA SEGURIDAD Como se ha señalado, un u~ua rio puede pasar por uno o mú ltiples ni1e~ nas
d e segurid ad a ntes de obtener el acceso a los p rog ramas y datos. Los tipos& bi.,
restricciones de acceso son: al6
u s¡
o Sólo lectura.
o Sólo consulta. Crede•
o Lectura y consulta. frecue
o lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar. bancat
la
El esquema identifica a los usuarios del sistema, los tipos de dts¡>O<'im p o sto
por los cuales se accesa al sistema, el software usado para el acceso al se det:
los recursos que pueden ser accesados y los sistemas donde res1den estos nnr· cid a
sos. Los s istemas pueden ser en línea, fuera d e línea, en batclt, y rutas de tclecr
municación. Va lid¡
El esque ma de las ru tas d e acceso sirve para id entific,tr todos los puntosd1 que es
contro l que p ueden ser usados para p rotege r los d atos e n el s istema. mauditcr nocim
debe conocer los rutas de acceso para la eva luación de los p untos de contn:l pit'S. 1
apropiados.
• (J
• L
• L
Claves de acceso • L
• l
Un área importante en la seguridad lógica es el control de las claves de aro'!<
de los usuarios. Existen diferentes métodos de identificación par., el usuario:
Soft'
o Un ptiSSTL>ord o código.
o Una credencial con banda magnética.
o Algo especifico del usuario (caracterís ticas propias). Éste
contt
La iden tificación es d efinida como e l p roceso d e d istinción d e un usuario
de otros. la identificación d e entrada proporcionará un reconocimiento indili· • r
dual; cada us uario debe tener una identificación de en trado ún ica que debe SE! • 1
reconocida por e l s is tema. o J
• 1
Pnssword, código o llaves de acceso. La identificación de los individuos es
o 1
o
usualmente oonocida y est.l asociada con un password o clave de acceso. La;
claves de acceso pueden ser usadas p ara controlar el acceso a la computadora, •
o
a sus recursos, así como definir nivel de acceso o funciones específicas.
las llaves de acceso deben tener las siguientes características: •
o

o El sistema debe verificar primero que el usuario tenga una llave de ac:as>
válida.
• La llave de acceso debe ser de una longitud adecuada para ser un secreto. real
• la llave de acceso no debe ser d esplegada cuando es tecleada .
eso, la cual • Las llaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de 199
ceso al SJS- que alg uien obtenga la llave de acceso de otras personas.
SEOUAIOAD LÓGICA
• L1s llaves de acceso deben de prohibir el uso de nombres, palabras o cade- Y CONFIDENCIALIDAD
1les ni velt.•s nas de caracteres d ifíci les de retener, adem~s el pnssword no debe ser ca m
os tip os dL• bi.1do por un valor pasado. Se recomienda la combinación de ca racteres
alfabéticos y numéricos. No debe ser particularmente identificable con e l
usuario, como su nombre, apellido o fecha de nacimiento.

Crtdenciales con banda magnética. La banda magnética de las credenciales es Identificación

~L'Iltemcntc usada para la entrada al '>IStcma. Esta credencial es como una del usuario
ar. JC.lN, pero se recomienda que tenga fotografía y firma.
la ventaja más importante de la credencial es prevenir la entrada de •m-
;positivo.. l""lores al sistema. Una credencial ordmaria es f.ícil de falsificar, por lo que
dsistema lt' debe elaborar de una manera e'pecial, que no permita que sea reprodu-
~tosrecu r­ Cida
de teleco-
hlidación por características. Es un método para la identificación del usuario,
>untos de que e, implantado con tecnología biométrica. Consiste en la verificación y reco·
<!auditor nacimiento de la identidad de l~s personas, basándose en características pro-
e contro l pias. Algunos de los dis pos itivos b iométricos son :

• Las huellas dactilares.

La retina.
la geometría de la mano.
• la firma.
La voz.
e acceso
suario:

Software de control de acceso

~-~~ puede ser definido como el software diseñado para permitir el manejo y
control del acceso a los s iguientes recursos:
usuario
>ind ivi- • Programas de librerias.
lebc ser • Archivos de datos.
• fo/Js•
• Programas en ap licación .
duos es • Módulos de funciones.
!SO. La~ • Utilerías.
1tadora, • Diccionario de datos.
• Archivos.
• l'rogramas.
• Comunicación.

Controla el acceso a la información, grabando e investigando los eventos

ecreto. realizados y el acceso a los recursos, por medio de la identificación del usuario.
El software de control de acceso, tiene la~ Siguientes funciones:
 200 • Definición de usuarios.
CAPh1JLO 6
• Definición de las funciones del usuario después de accesar el sistema.
EVALUACIÓN • Establecimiento de auditoría a través del uso del sistema .
DE lA SEGURIDAD
El software de seguridad p rotege los recursos mediante la identificaciónd<
los usuarios autorizados con las llaves de acceso, que son archivadas y guard·
das por este software.
Esto puede ser efectuado a través de la creación de archivos o tablas de
seguridad. Los paquetes de seguridad frecuentemente incluyen facilidades paz.
encriptar estas tablas o archivos.
A cada usuario se le debe asignar w1 alcance en el acceso y por cada reruN
Wl grado de protección, para que los recursos puedan ser protegidos de un
acceso no autorizado.
Algunos paquetes de seguridad pueden ser usados para restringir el ami<
a programas, librerías y archivos de datos; otros pueden además limitar el u~
de terminales o restringir el acceso a bases de datos, y existen otros más p~•
confirmar y evaluar la au torización de la terminal remota para utilizardeterm>
nada irúormación. Éstos pueden variar en el nivel de la seguridad brindada '
los archivos de datos. La seguridad puede estar basada en e l tipo de acW<r
usuarios autorizados para agregar registros a un archivo o los que únicament.
leen registros.
La mayor ventaja del software de seguridad es la capacidad para prot~
los recursos de accesos no autorizados, incluyendo los siguientes:

• Procesos en espera de modificación por un programa de aplicación.

• Accesos por los editores en línea.
• Accesos por u tilerías de software.
• Accesos a archivos de las bases de datos, a través de un manejador de [)as(
de datos (DBMS).
• Acceso de terminales o estaciones no autorizadas.

Paquetes Estos paquetes pueden restringir el acceso a los recursos (archivos de da-
de seguridad tos), reduciendo así el riesgo de los accesos no autorizados.

1 Ejemplo En el caso de lerminales de compra de boletos de pronósticos, se puede

restringir la entrada a terminales no autorizadas o en tiempo no autorizado.

Otra característica de estos paquetes es que se pueden detectar las violacio-

nes de seguridad, tomando las siguientes medidas:

• Terminaciones de procesos. S
• Forzar a las terminales a apagarse.
• Desplegar mensajes de error.
• Escribir los registros para la auditoría. •
La bitácora de auditoría es seleccionada durante la implementación.
•
1 Ejemplo La bitácora puede consistir en registrar los accesos no ex~osos, sólo los in·
tentos, un registro de todos los accesos válidos y los recursos proteg1dos.
 Algunos paquetes contienen datos especlflcos para ser 1nclu1dos en la bitáco- 201
tem a. 19 de aud1torra.
SEGURIDAD LóGICA
Y CONFIDENCIAliDAD
Cada bitácora debe incluir la identificación del usuario: s i el acceso es exito-
icación de so, deben consignarse los recursos accesados, dfa, hora, terminal y un dato es-
y guard,l - f'l'<ifico de lo que fue modificado durante el acceso; si el acceso no fue exitoso la
m.tyor ilúormación posible sobre día, hora, terminal y claves de intento usadas.
tablas de
adespar~

la r<"CUrso Otros tipos de software

los dt> un
de control de acceso
-el acceso
tar el uso Algun<» tipos de software son diseñados con características que pueden ser
más par~l
u<,~das para proveerles seguridad. Sin emb.1rgo, es preferible usar un software
·determi- J< control de acceso para asegurar el ambiente total y completar las caractcrís·
'indada a locas de seguridad con un software específico.
le acceso:
Ucamcnte
Como existen diferentes tipos de software, explicaremos las características
de seguridad de los siguientes:
proteger
• Sbternas operativos.
• Manejadores de bases de datos.
5n. Software de consolas o termina les maestras.
• Software de librerías.
• Software de utilerías.
rde base • Tclecomwúcaciones.

A) Sistemas operativos
JS de da- So! trata de una serie de programas que se encuentran dentro de los sistemas
opcr.\ti\'OS, los cuales manejan los recu!'S05 de la~ computadoras y sirven como
int~rla;,e entre el software de aplicaciones y el hardware.
Estos programas proporcionan seguridad ya que, internamente, dentro
uede de los sistemas operativos manejan y controlan la ejecución de p rogramas
odo. de aplicación y proveen los servicios que estos programas requieren, depen-
diendo del usuario y d el s istema que se est~ t1·obnjando. Cada serv icio debe
incluir un calendario de trabajo (Job Sdoerloole), manejador de equ ipo• pcriféri-
eos, un contador de trabajo y un compi lador de programas, pruebas y debugs
(d~puraciones). El grado de protecci611 sobre estos servicios depende de los
~istemas operativos.
Los elementos de seguridad de los si;,tcm~ operativos incluyen lo siguiente:

Control de salidas de los programas al modificarse códigos. Éstos usual-

mente tienen accesos a los elementos m.is umport.mtes del sistema, y sus
·n. actividades deben ser monitorcadas.
• Los sistemas operativos usan claves de ac~o (passwords, ID) para prevenir Elementos
sin· uM1arios no autorizados a funciones y utilería;, del sistema operativo. Mu- de seguridad
dos. chas veces, estas claves de acceso están definidas en una tabla del sistema
202 que es activada cuando un sistema es utilizado. Las claves de acceso deber
CAPITuLO
6
ser cambiadas ínmediatamente por las nuevas claves de acceso. por
EVALUACióN • Algunos sistemas operativos proveen una característica que puede limit& 1
DE LA SEGURIDAD el número de accesos no autorizados y autorizar usuarios a los recursc. arel~
protegidos, si este número es excedido, el usuario no autorizado es prel\' 1
nido para el nuevo acceso a estos recursos. rest~
• Los sistemas o pe rativos permiten una instalación para la implementaÓÓI' los
opcional de características de seguridad cuando el sistema es instalado. Al-
gunos sistemas operativos contienen sus propias características de segun-
dad y muchas veces éstas no son adecuadas; en este caso es aconsejabll cio
integrar al sis tema operativo un software de seguridad para proteger k> datoj
recursos. El valor de éstos es un factor determinante cuando se decide'!"' cos. l
tanta protección es necesaria. nistr
• Los sistemas operativos tienen tm completo control sobre las actividades
de todas las aplicaciones que están corriendo en el sistema. Si un usuario no respl
autorizado puede lograr accesar a los recursos del sistema operativo, pu< esta<
de hacer modificaciones que alteren el proceso normal del flujo del sisteml adert
El sistema operativo tiene autoridad para dar facilidades de seguridad' 1
para accesar recursos confidenciales. Esto implica que en algunas ocasione; par~
se requerirá del uso de algún producto de seguridad adicional. El sofhvaN dad
de funciones de contro l del sistema operativo debe proveer una bitácoradt
auditoría. bitá
• Tanto e l administrador del sistema o el administrador de la seguridad dt un n
datos establecen sus privilegios a través del sistema operativo. Individual· rrid<
mente, con estos privilegios tienen completo control sobre el sistema opera-
tivo y su ambiente; ellos pueden otorgar la autoridad para mod ificar usua- C)i
rios y accesar secciones, alterar la generación de procedimientos del siste-
ma y modificar las prioridades de trabajos (jobs) que corren dentro del roo- El se
troJ del sistema. Debe existir una bitácora de las actividades del administrr pros
dor del sistema o del admin is trad or de la seguridad de datos. term
• Los sistemas operativos permiten la definición de consolas o terminales 1
maestras desde las cuales los operadores pueden introducir comandos • dato
sistema operativo. Las consolas no requieren wta señal en proceso para~
emisión de comandos. Por lo tanto, el acceso a áreas físicas en donde esta. defu
las consolas debe ser restringido. Además, las características del sistem< c-ad<
que permiten a una terminal ser asignada con el estatus de consola deben el ac
ser guardadas a p rueba de accesos no autorizad os. func

B) Software manejador de base de datos acce

Es un software cuya finalidad es la de controlar, orgarúzar y manipular los d.. 0)

tos. Provee múltiples caminos para accesar los datos en una base de datos. M.l-
neja la integridad de datos entre operaciones, funciones y tareas de la orgaru- El S•
zación. cjec-
Cuando un usuario inicialmente requie re del uso de l sistem a de admini~
!ración de bases de datos (Data Base Ma11agemerrt System, OBMS) se establece un ene
identificador para e l usuario y la sesión. Inmed iatamente, el usuario puedesa soft
identificado por ellO-usuario, ID-terminal, y por una aplicación o función. a es
deben En ~•pera del modo de modificaciones, el usuario podrá ser identificado 203. __-...J
¡x>r el trabajo (job), por la aplicación o por la función. SEGURIDAD LóGICA
imitar El identificador del usuario será usado para rastrear todos los accesos a los v CONFIDENCJAUDAD
:ursos trehtvos de datos a través del administrador de la base de datos (OBMS).
?reve- Lns características de segu ridad del soft warc DBMS pueden ser usadas para
n'tringir el acceso a un us uario espcdfico, a un cierto archivo o a vistas lógicas, __::jBMS
tación los acc~sos a procedimientos, funciones o softwar~ en aplicaciones lim itado a
o.AI- U>uarios autorizados ron el propósito de ejecutar sus tareas asignadas. Las vis·
~guri­ l.b de datos lógicos están colocadas en arch•vos para usuarios particulares, fun.
~able wnes o aplicaciones, y puede ser representado todo o parte del archivo de
er los JJtos físicos o una combinación de c.lmpos de múltiples archivos de datos físt·
e qué ro- Estas características son usadas para controlar funciones únicas en el admi·
ru-trador de la base de datos (OBMS).
1ade. Las utilerías de la base de datos proveen funciones de mantenimiento, como
;o no ""paldos y restauración de la base de datos, reorganización de datos, reportes
pue- "'tadísticos de las bases de datos y sus relaciones. Éstos pueden ser usados
tema. 'dcm.ís para adicionar o borrar datos y provl.'er seguridad.
lady El diccionario de datos (00) es un software que guía y provee un método
iones para documentar elementos de la base de datos, así como un método de scguri·
ware dnd de datos en un administrador de base~ de datos (DBMS).
ra de Todos las modifi cacio nes a l d irectorio de datos (DO) d eben produ cir una
bit~cora de auditoría, como un registro automático de todos los cam bios y
td de un medio de recuperación después de alguna interrupción que hubiese ocu·
:lual- rrido.
pera-
JSua- C) Software de consolas o terminales maestras
,iste-
ron- El software de consolas o terminales maestras puede ser definido como varios
istra- programas del sistema operati\'0 que pro,·een <;<>porte y sef\icio para que las
t~nntnales en linea accesen a los programa<. en aplicaoón.
la les Las consolas incluyen funcione. de seguridad para restringir el acceso a los
os al datos, vía programas en aplicación.
rala Estas funciones frecuentemente están basadas en una serie de tablas que
:stán definen a los usuarios autorizados, así como los recursos y programas en apli·
:ema ración que ellos pueden accesar. Generalmente las consolas pueden sólo limitar
eben el acceso al usuario para entrar a un programa en aplicación, no para el uso de
funciones específicas de un programa.
La mayor parte de las consolas mantienen un registro de uso de llaves de
acceso (password) diario válidas o no válidas.

;da- O) Software de librerías

Ma-
;ani- El <;<>Íiware de librerías consta de datos y programas específicos escritos para
c~t.'CUtaruna función en la organizaoón.
ÍIÚS- Los programas en aplicación (Librerías) pueden ser guardados en archivos
e un en el \tstcma, y el acceso a estos programas puede ser controlado por medio del
~ser software (software de control de acceso general) usado para controlar el acceso
a estos archivos.
204 El software de manejo de libn.'rías puede ser usado para mantener y prott- f
CAPiTULO 6 ger los recursos de programas de librerías, la ejecución de jobs, y en alguna! las rt
EVALUACIÓN instancia~, los archivos de datos pueden ser utilizados por éstas.
DE LA SEGURIDAD Estas librerías deben ser soportadas por un adecuado control de cambios y • (
procedim ientos de documentación. • \
Una importante función del soft ware controlador de ltbre,·ías es controlar y t
describir los cambios de programas en una bitácora. El software de librerías • 1·
provee d iferentes niveles de seguridad, los cuales se reflejJn en las bitácoras de • F
auditoría.
Los controles de cambios de emergencia deben estar en algún lugar debid
a la n.lturaJe¿,, de estos cambios (frecuentemente son reali¿ados fuera de hora<
de trabajo normal, son cortos, no se comunican):

• Accesos de emergencia. Pueden ser concedidos con el propósito de resol•-e

el problema, y S(>r inmediatamente revocados desput$ de que el problem1
es resuello. J OSI
• Todas lasacciom•s realizadas durante la emergencia debt>rán ser automátic.l- den t
mente registradas.
Conl
Cuando se instala el softwa re de librerías se definen las librerías y sus re;. segu
pectivos niveles de protección. dos :
Los tipos de acceso a la librería pueden ser restringidos durante la instala·
ción. Por ejemplo, un programador deberá ser autorizado para k'Cr o modificar • ,
un programa. •
•
E) Software de utilerías •
Existen dos tipos de '<>ftware de utilerías. El primero es usado en los stStem.b
de desarrollo para pro••e<>r productividad. El desarrollo de programas y L>,
editores en línea o;on los e¡emplos de este tipo de software. El segundo es u<iado
para asístir en t>l manejo de operaciones de la computldora. Monitoreos, call'l>·
darios de trabajo, ~istema manejador de disco y cinta son eJemplo• de t>ste tipo •
de software.
El software de utilcrías tiene privilegios de acceso todo el tiempo, algún
tiempo o nunca. Los aOO'sos privilegiados se otorgan a programadores o a usua·
rios que ejecutan funciones que sobrepasan la segUJidad norma l.
Entre los ejemplos de utilerías de software están:

• Utilcrías de monitores.
• Sistemas manejadores de cinta.
• Sistem,lh manejadores de disco.
• Calendarios de JObs.
• Editores en línea.
• Debugers.
• Scanner de virus.
• Software de telecomunicaciones. imp
incl
Ciertos tipos de software de telecomunicaciones pueden restringir el acce- Los
so a las redl'S y a aplicaciones específicas localizadas en la red, real
~y prote- El software de telecomunicaciones provee la tnterfase entre las terminales y 205
n algunas las redes )' tiene la capacidad para: SEGURIDAD LOGICA
Y CONFIDENCIALIDAD
::ambios y Controlar la invocación de los programas de aplicación.
• Verificar que todas las transaccloncs estén completas y sean correctamentt!
ontrolar y transmitidas.
! librerías • Rt•string ir a los usuarios para actuar en funciones seleccionadas.
:ácoras de • Restring ir e l acceso al s is tema a ciertos ind ividuos.

ardebido
tdehoras

RIESGOS y CONTROLES A AUDITAR

~resolver
problema
W, controles de software de segurid,ld general y de software específico pue-
tomática- d~n ser implantados para minimizar el riesgo de la seguridad lógica.

Controles del software de seguridad general. Los controles del software de

¡sus res- seguridad general aplican para todos los tipos de software y recursos re laciona-
dos y sirven para:
a instala-
nodificar • El control de acceso a p rogramas y a la información.
• Vigilar los cambios realizados.
• Las bitácoras d e aud itoría.
• Control de acceso a programas y datos. Este control de acceso se refiere a la
manera en que cada software del ststema tiene acceso a los datos, progra-
sistemas
mas y funciones. Los controles son u~ualmente a tra,·és del ID (identific,ldor)
lllS y los
es usado o del pa;sword para identificar a usuarios no autorizados y para controlar el
>S, calen-
acceso trucial al software.
este tipo • Cambios realizados. Deben ser prob.ldOS y revisados para ser autorizado>,
y una vez autorizados se asignan a los programas en aplicación y datos.
o, algún Dependiendo de la aplicación, el ambtcntc y el potencial del efecto de los
:>ausua- cambios, éste puede ser muy informal o extremadamente rígido. Los proce-
d imientos a seguir para Jos cambios 1-calizados pueden ser los sigu ientes:

o Diseño y código de m odificaciones.

• Coordinación con otros cambios.
o Asignación de responsabilidades.
• Revisión de estándares y aprobadón .
• Requerimientos mínimos de prueb,l
Procedimientos del respaldo en el evento de interrupción.

1..1 bit,kora de auditoría del><! rl.'gistrar cambio' en el software antes de (,,

implementación. Los procedimiento:, de cambios de software deb<!n además
incluir notificaciones escritas para 1.'1 departamento apropiado de c.1da cambio.
el acce- Los cambios realizados deben inclwr mdependtentemcnte una fase de pruebas
realizadas por un grupo fuera del ambiente de desarrollo.
206 • Bitácoras de auditoría. l.as bitácoras de auditoría son usadas para moniton, •
CAPíTULO 8 los accesos permitidos y negados. El software debe contener una bitáooradt
EVALUACION auditoría del uso dl• la~ funciones que el software ejecuta, particulann11111t
OE LA SEGURJDAD cambian las funcione, o se modifican datos. E.'b btt.icora de auditoría P' o
blemente sea mantentda ~n un archi"o separado, y puede ser manejada o
las acti•'idades del si.,tcm.1, o tal vez sea un.1 parte del registro. El tipo &
bitácoras de auditoría vana gradualmente de acuerdo al software y al·~
dor; por ejemplo, un software puede guardar ante. y después imágent~ !Ir o
los cambios, mientr.1s que otros solamente tienen una técnica de recuperr
ción que puede ser usada para seguridad en ca50' necesarios. •
Las bitácoras de auditoría generalmente están relacionadas con el sistel1'4
operativo o con el software de control de acceso. • Se
Estas bitácoras de auditoría registran las actividades y opcionalmente mu<
tran el registro de los cambios hechos en el archivo o programa. Son importar, •
tes para el seguimiento de lo:. cambios.

Controles de software especifico. A continuación pre.cntamos algunos de los •

controles usados por 1~ diferentes tipos de software ~spt'Cifico: •
• El acceso al sistema debe ser restringido para individuos no autorizados. •
• Se debe controlar el acceso a los procesos y a las apli caciones permitiendo a
los usuarios autorizado& ejecutar sus obligaciones asignadas y evitando qu• •
personas no autori7ada., logren el acceso.
• Las tablas de acn•so o d<N:ripciones deberán ser l'Stabloodas de manm
que se restrinja a lo:. ubuario:. ejecutar funcionL>s tncompatibles o más aiJJ • S
de sus responsabilidade-;. g
• Se deberá contar con procedunientos para que 11>'> programadore:, de apú-
caciones tengan prohibtdo realizar cambios no autorizados a los pro- •
gramas.
• Se limitará tanto a usuarios como a programador~& de aplicaciones a un
tipo específico de acc~ d~ datos (por ejemplo: lectura y modificación). • S
• Para asegurar las rutas de acceso deberá restringir~e el acceso a secciones o
tablas de seguridad, mi~mas que deberán ser !'ncriptadas. o
• Las bitácoras de auditoría deberán ser protegidas de modificaciones,-.
autorizadas.

Deberán restringirse las modificaciones o cambios al software de control dt

acceso, y éstos deberán ser rt!alizados de acuerdo a procedimientos auton· •
Lados:
•
• Software de sistemas operativos. Entre los controles se incluyen lo> si-
guientes: '
• Los pnssword e identificadores deberán ser confidenciales. Los usuarios
no autorizados que logran accesar al sistema pueden causar modific.
ciones no autorizada,,
El acceso al software de sistema operativo dcb<,r.i ser restringido.
1onitorear • Los administradores de la segundad de~rán ser los únicos con autori- 207
.jtácora de dad para modificar funciones del Sistema, incluyendo procedimientos SEGURIDAD LóGICA
:mnente si y tablas de usuarios. V COOFIDENCIALIDAD
toría posi El acceso a utileóas del sistema operativo será restringido.
\ejada por • Las instalaciones de s iste mas y las reins talaciones deben ser
El tipo dl' mo nitoreadas porque la realización no autorizada puede resultar invá-
al vende- lida .
~genes de o El uso de todas las funciones del software (editores de línea, consolas)
recupera· es restringido a individu os autori~ados.
o Deberán revisarse las bitácoras de auditoría para determinar si ocurre
un acceso no autorizado o si se reali.am modificaciones.
,1 sistema
Software manejador de base de datO'-. Los controles incluyen lo siguiente:
\temues-
1\portan- El acceso a los archivos de datos de~rá ser restringido en una vista de
datos lógica, a nivel de tipo de campo. La seguridad en el campo será
dada de acuerdo al contenido del campo (validación de campos).
os de los • De~rá controlarse el acceso al diccionario de datos.
o La base de datos debe ser segura y se usarán las facilidades de control
de acceso construidas dentro del software DSMS.
izados. o La bitácora de auditada debe r!'portar los accesos al diccionario de
itiendo a datos.
ondoquc o Las modificaciones de capacidades desde e l DBMS para las bases d e
datos deberán limitarse al persona l apropiado.
manera
más allá • Software de consolas o terminales maestras. Estos controles incluyen lo si-
guiente:
de apli-
los pro- • Los cambios realizados al software de consolas o terminales maestras
deberán ser protegidos y controlados.
JeS a un
áón). • Software de librerías. Los controles mcluyen los siguientes:
áoneso
El software de librerías mantiene una bitácora de auditoría de todas las
ones no actividades realiz.adas. La uúormación provista en la bitácora incluye
el nombre del programa, el número de la versión, los cambios específi-
cos realizados, la fecha de mantenimiento y la identificación del pro-
otro! de g ramador.
autori- o El software de librerías tiene la faci lid ad de comparar dos versiones de
p rogramas en código fuente y reportar las diferencias.
o Dc~n limitarse e l acceso a programas o datos almacenados por el soft-
• los si- ware de librerías.
• Deberá impedirse el acceso a password o códigos de autorización a indi-
viduos no autorizados.
suarios • Los cambios realizados al software de libreñas tendrán que ser protegi-
:xtifica- dos y controlados.
Las versiones correctas de los programas de producción deben corre!.-
o. ponder a los programas objeto.
208 • Software de utilerías. Los controles incluyen lo siguiente: •
CAPITULO 6 •
EVALUACIÓN
o
o
Deberá restringirse el acceso a archivos de utilerías. •
DE LA SEGURIDAD Algunas utilerías establecen niveles de utilización por cada función
verifican cada nivel de autorización del usuario antes de darle acce;c
utilizando password para prever accesos no autorizados. guie'
o
El software de utilerías genera una bitácora de auditoría de usos y a~.­
vidades. Algunas proveen bitácoras detalladas de actividades con d> •
tos protegidos, librerías y otros recursos. Estas bitácoras de auditor.
proveen información de cada identificador (fO), fecha y hora de aCCfS.'
recursos accesados y tipo de acceso. •
o
Esta bitácora sirve como un registro de eventos, incluyendo violaciooo
a la seguridad y accesos no autorizados. Cada paquete de softwatt •
puede tener diferentes capacidades de control.
o Tomar precauciones para asegurar la manipulación de datos (cop;a
borrar, etc.), los protege de un uso no autorizado.
o Asegurar que únicamente personal autorizado tenga acceso a oomr m as
aplicaciones. todo
o Las utilerias no deben ser mantenidas en e l ambiente de producción yst liza<
debe asegurar que únicamente usuarios autorizados tengan acceso aellas.
o
Las bitácoras de auditoría producidas por utilerías deben ser cuidado- warc
samente revisadas para identificar alguna violación a la seguridad. de a
• Software de telecomun icac;iones. Los controles incluyen lo siguiente:
o Controlar el acceso a datos sensibles y recursos de la red de la siguicntt •
forma: •
•
- Verificación de login de aplicaciones. •
- Control de las conexiones entre sistemas de telecomunicaciones r •
termina1cs. •
- Restricción al uso de aplicaciones de la red.
- Protección de datos sensibles durante la transmisión, terminando la
sesión automáticamente. mar
gún
o
Los comandos del operador que pueden dar shoutdown a los compo- apr<
nentes de la red sólo pueden ser usados por usuarios autorizados.
o
El acceso diario al sistema debe ser monitoreado y protegido. los<
o Asegurar que los datos no sea.n acccsados o modificados por un usua- apr<
rio no autorizado, ya sea durante la transmisión o mientras está en al-
macenamiento temporal. Inst
en 1.

Consideraciones al auditar •

Cuando se realiza una revisión de seguridad lógica, el auditor intemo deberá eva-
luar y probar los siguientes tres controles implantados para minimizar riesgos:
 Control d.- acceso a programas v a la ~nftlrm.KIÓn. 209
• Control de cambios. SEOUAIOAO LOOICA
• B1t.ícmas de audttoría. Y CONflOENCIAltOAO
ción y
tcceso, la ,.,·.lluación de todos los tipO'i d<• <;O(tw,lro deberá asegurar que los si-
gui<'nt<>s obj~tivos sean cumplidos:
y acti-
m da- !:1 .1cceso a funciones, datos y progr.>m," asociados con el software debe
litoría <'>IM re>tringido a individuos autor~-.>dos v debe <.er consistente con docu-
cceso. mentos esperados.
• Todos lo> cambio. del sofh, are deben '<'r r~?aluado> de acuerdo con el
m.>no¡o del plan de trabajo y con la autori7aoón del usuario.
Sto d<·be de mantener una bot.icora d,• audlloria d<• todas las acti,·idad<·>
'1gnahcattva"-.

(;na aud1toria de seguridad lógica pUN<' ,..r reali7.ada de diferente> for-

orrer
mas l..1 .1udotoria puede enfocar,.. en arca> de ..egundad que >On aphcables a
todo llpo de software y pueden cubnr 1,1 ln>l.>l.>coón, d rnantenmtiento y la uh·
1y S<'
h~c.l..:tón Uel ~oftware.
ellas.
ado- Tamboén debe tomarse en cuenta las caractcríshca~ de ~idad del soft-
wan•, ~ncluytmdo el control de acceso, la odentoficac1ón del usuario y el proceso
i.
de aull'ntificación del usuario, ejecutado por <'1 softw.ue.
Fntrt' las consideraáones esp<>dfica" al uuditJr e!-.t.in:

ente • Software de control de acceso.

• Software de telecomunicaciones
• Software manejador de librerías.
• 5oft" are manejador de bas..>s de datOs.
es y • Sofh, ar.-
de uWcrías.
• Sofh~are de sistema operativo.

ola Durant<• t'l ciclo de ,;da del software• d<'bcn ">Cr evaluadas su mstalación, Ciclo de vida
mantcnim1ento y operación. Se debe utili1ar 1,1 aud>toria para asegurar que al- del sotware
gún c.1mb1o hecho al software no comprometa la mtegridad, confidencialidad o
po- apmwcham11?nto de los datos o recu~os del sostema.
El '<Jftware de aud itoría especializ.ldu plll'dt• wr usado para revisar todos
lu, ramb•o. y asegurarse que son ejecutado, dt• acuerdo con los procedimientos
ua- aprobados por la gerencia.
a l-
Instalación y mantenimiento. E.~ la pnm,•r f,1o,e dd codo de vida del o;oftware,
en la l'Ual d audttor debe re,;sar lo soguwnte:

• I'rt>n-dimíentos para nuevas prueba' o modifocaaorH.>s al software, indu·

Hmdo al persorcal responsable, "lecum>n de pru!!ba.,, respaldo de softwan•
c"stcnte, pruebas de funciones, dO<-umt•nt.lCIÓn de cambios, notificación
•a-
de C.lmboo., re,~sión y redención de pruebas de "'!ida v aprobación de pno-
nd.-.dl!j, para la implementación.
 otra~ 1
210 • Procedimientos para 11\Jci,lción. documentación. pruebas y aprobación lit
modificaciones al software. lacion
CAPiTULO 6
EVALUACIÓN • Procedimientos para la generación y modificación al software. usada
DE LA SEGURIDAD • Procedimientos usado~ para ejecutar software y mantenimiento del di®
nario de datos para un mayor grado de modificación. • D
• Procedim ientos de emergencia usados para d ar solución a un problema"· f(

pecífico de software. o
• Mantenimiento y contenido d e las bitácoras de auditoría de todos los DBMS
y modificaciones del diccionario de da tos. o
• Bitácoras a los parámetros del software y de las sentencias dellcnguojedt
aplicaciones en ejecución.
• Acceso a librerías de programas.
Operación. En la ..egunda fase del ciclo de vida del software deberán revisa"'
• Controi<'S de acceso para lus programas, librerías, parámetros, ~
archivos de software ~ados.
• Procedimientos d•scñados para asegurar que el sistema no es instalado(c.uy
inicial del programa) sin el software original_ creando así un proccdimienro
de seguridad.
• Disponibilid,Jd y control de acceso a los comandos que pueden ~r usadcs
para desactivar el software.
• Áreas de rcsp011sabilidad para el control del software, operación y consís.
tencia de capacidad de acceso.
• Horas dura11tc las cuales el software <'Stá disponible.
• Procedimientos para la iniciación y terminación del uso del software.
• Control de acceso sobre consolas y terminales maestras.
• Proccdimicntos para registrar terminación anormal o errores, los cual"
pueden indicar problemas en la integridad del softwar<' y documentar lo;
resultados en programas de seguridad.
• Controles de acceso sobre escritura de programas y lcngua¡es de librerías y
de aplicaciones en ejecución.
• Bitácoras de auditoría sobre las actividades del software. •
• D<'pendcncia de otro software para continuar la operación, operac;iooo
automatizadas o dependencia del calendario de acti vidade&.

Software de control de acceso. Entre las consideraciones de auditoría para el

software de control de acceso están:

• Diseño y adm ir\istraci6n.

• Procedimientos de identificación del usuario.
• Proccdimicntos de autentificación del usuario.
• Recursos para controlar el acceso.
• Reportes )' ''igilancia del software de control de acceso reportando)' ,;g¡-
lando.

El software d(' control de acceso usualmente prov~ utilería~ que puedm

ser usadas en la ejecución de una auditoría. Los eventos pueden ser registrados
en un archivo de auditor!a (cambios en el sistema, así como la ocurrenaa de
 ción de otras numerosas actividades: logi11, archivos de acceso, recursos de acceso, vio- 211
Jaciones y cambios de acceso). los reporteadores y otras utilerías pueden ser SEGURIDAD LóGICA
usadas para presentar esta información continuamente. y CONFIDENCIALIDAD
diccio-
Diseño y ad ministración. En estos aspectos Jos auditores internos deben
ema es- revisar lo sigu iente:

o
~ DBMS localización de archivos de seguridad y tablas para asegurar que los
archivos del software de control de acceso están protegidos.
o
;uaje d e Uso de recursos o controles de acceso a nivel del usuario para asegurar
que el software de control de acceso protege da tos y recursos en un
nivel correcto.
o
Archivos de seguridad o encriptación de tablas usadas para prohibir la
visa rse: vista de tablas individuales.
o
Limitaciones de acceso para archivos de seguridad que contienen des-
·iones o
cripciones y passwords.
o
Linútaciones de acceso a archivos de seguridad a través de la adminis-
a(carga tración de comandos de segu ridad en línea o uti lerías.
lmiento o La jerarquía de seguridad.
o
Los usuarios encargados de la administración de la seguridad pueden
usados tener g ran capacidad para cierto software.
o
Métodos y limi taciones sobre archivos de seguridad o modificación de
cons is - tablas.
o
Responsabilidades del usuario par~ la admin istración de la seguri-
dad, pa rticularmen te en un ambiente descentra li Lado, para asegurar
re. que las capacidades definidas son consistentes con las responsabili-
dades.
• cuales o Definición de parámetros de seguridad, como los recursos definidos,
ntar los reglas de password, defaull de niveles de acceso y o pciones de login con
aprobación de la gerencia, considerando pruebas de protección para
rerías y accesar recursos protegidos.

• Procedimientos de identificación del llSUario. los auditores deberán revi-

aciones sar y aprobar los métodos usados para definir usuarios para el software.
Las siguientes situaciones deberán ser revisadas por un apropiado ni-
para el vel de dirección:
o Las identificaciones del usuario para corroborar gue sean individuales
y no compartidas.
o Probar la revocación de usuarios inactivos.
o El despliegue de la última fecha y hora en que algún ID específico fue
usado. Esta información podrá ayudar para identifica r actividades
y vigi- ilícitas.
o Revocación o desconexión de identificaciones del usuario siguiendo un
número especifico de acceso inválido. Este control puede también limi-
pueden tar actividades ilícitas.
o
strados El uso de comienzo y fin de fechas para ID de usuario de empleados
nda de contratados.
 o o
212 El uso de grupos d~ usuarios para el recurso de acceso a los archi•·os.
o
CAPITULO 8
Los usuarios de~rán ser asignados a los grupos apropiados.
EVALUACIÓN
o
Propietario:. de datos y recursos para asegurar que ellos son los res¡m
DE LA SEGUAlOAO o
sables apropiados.
o

• Procedimientos de autentificación del usuario. Los auditores intemOO\ "'' ·

sa rán lo sigu iente:
o
o o
Deberá ser eval u ado el uso de passwords o informacíón personal duran·
o
te la sesión.
o Deberá ser identificada la disponibilidad de automatizar funciones un~
vez identificado el usuario, así como la autenticación de procedimiento
o Deberá ser identificado el uso de password< por otro personal que"'
sean usuarios autorizados. Siste
o Los procedimientos para el uso de passwords para asegurarse que h.'.r dim~
está protegido cuando es usado por el usuario. vo, e
o La máscara del password para asegurarse que el área donde Jos car.Jdt-
o
res son tecleados no se desplieguen. •
La sintaxis del pnssword. Algún software de control de acceso pued<
restring ir e l uso de ciertas palabras o cadeo1as de caracteres. •
o
El mantmúmicnto de la historia del password. Éste puede ser usado 1"'"
prevenir a usuarios que reutilizan un pnssword por un periodo especifico •
o
Procedimientos para suplir identificaciones de usuarios y password> p>.
procesos batdt. •
•
• Los recursos para controlar el acceso. Los auditores internos deberán re•l
sar lo siguiente: •
o
o
Posibles n iveles de acceso. •
Niveles de acceso por defaollt, pa rticu la rmente para usuarios o jobsqu~
no tienen un ID de usuario.
o El acceso del usuario a archivos de seguridad. So:
o
Que la seguridad sea implantada en el nivel correcto. tlCf
o Procedimientos para asegurar la protección automática. tos
o
Procedimientos para la protección de recursos. pro
Uso de rutas rápidas o funciones aceleradas a través de controles.
o Controles de accew sobre aplicaciones loca les o remotas. •
o
Restricciones de acceso sobre recursos críticos del sistema, tales como
sistemas, programas y aplicaciones en ejecución, librerías del lenguaje. •
catálogos del sistema y directorios, diccionarios de datos, logs y archi·
vos de pnssword, tablas de definición dt• privi legios, a lgoritmos de
encriptaáón y tablas de datos. •
• Reportes y vigilancia del software de control de accesos. El auditor interno •
deberá revisar:
•
o Login, identificación del acceso autorizado .11 sistema y el uso de re-
cursos.
 lAs identificaciones de acceso no autori.<ado. 213
La identificación de archivos de seguridad, mantenimiento a tabla y el SEGURIDAD LÓGICA
USO de comandos sensibles. Y CONFIDENCI-'LIOAO
• Ellogi11 de usuarios p rivilegiados y sus actividades.
Las restricciones de acceso a archivos de /og del sistema. Estos archivos
frt'cucntcmente contienen las bitácoras de auditoría del control de ac-
ceso.
Ststcma operativo o software de control de acceso existente.
Las violaciones a la seguridad.
los archivos de seguridad y la generación de reportes de las actividades
del usuario para asegurar que los proptctari<l'o de datos y recursos son
notificados de los eventos de seguridad en un periodo determinado.

' •ttmas operativos. El auditor deberá revisar, evaluar y probar el uso y proce-
1\tos que gobiernan programas, usuarios y funciones del sistema operati-
• ·pt'Cialmente los siguientes:

, 1..1s facilidades del sistema operativo, como son In supervisión y privilegios

para programas y usuarios.
, Controles de acceso sobre tablas que definen privilegios de usuarios, pro-
gramas y funciones.
, Controles de acceso sobre consolas o terminales maestras y privilegios aso-
ciados
• Bitácoras de auditoría.
, Posibilidad y uso del control de acceso sobre los drfault de inicio de 10 de
u.._:uariO!'t y pn..-.words.
, Comandos de software o funciones que son con,ideradas importantes, como
mantenimiento de seguridad al archivo de descripciones.
, OaagnO>hro de utilerías del sistema operativo que pueden ser usados para
e lwr o almacenar áreas que contienen tnformación importante.

Software del sistema manejador de bases de datos. En relación con las funcio-
""'del S()ftu>arr que restringen el acceso a dato• y recursos, y los procedimien-
tos qur gobiernan el uso de estas funciones, <'1 auditor dcbcr;í revisar, evaluar y
prob,H lo ; igu ien te:

• Procedimientos usados por el software de control de acceso para restringir

el acceso a la base de datos y al diccionario de datos.
El diseño de una restricción de acceso en los archivos por niveles, incluyen-
do restricciones sobre archivos físicos y lógicos en el DBMS y en el diccio-
nario de datos.
• Seguridad de campos, uso de secciones de usuarios y fiOSSurords y restriccio-
n<., de acceo;o.
• Si el software ejecuta la furición de identificación del usuario y procedi-
mi<>ntos de autentificación.
• Comandos y funciones del diccionario de datos (utilerías del administra-
dor de la base de datos, comandos para modificar DSMS, archivos o defini-
CIOnes de archivo).
214 • Acct'SOS de los programadores, acce>.o a DBMS y comandos o fUJncie>ne;di
CAPiTulO 6 directorio de datos. f
EVAlUACIÓN • Bitácora~ de auditoría . d re¡
DE lA SEGURIDAD • El software de desarrollo que afecta a la seguridad del DBMS. trole
m o ni
El malle)ador de la baoe de datos y el diccionario de datos uS1"almentef<J'f
n-en utilerias para revL"'r e 1mprimir las capacidad"' de accew, ínlfon""":u.l Sofh
del u~ario y bit.koras de auditorías. es po
tl'led
Software del m anejo de librerías. L<ts funciones del software restringen el lo~ si
ce:,o a librería~ críticas; los procedlln.ient<>s que gobiernan el uso de~
nes deberán -.er revisado,, evaluados y probados. El auditor debcrJ • R
evaluar y probar lo siguiente: te
• 1'
• Documentación de librt•rías. o
• Programas fuentes y ei('CUtables. • F
• fobs en c¡ccuctón y lineamientos de control lí
• Parámetros de corrida. • r-
• Uso de software para restringir e l acn~so a librerías. p
• Restricción del acceso a librerías de producción. •
• Restricdont."> de funcioncs que pueden ser usadas para modificar el es!» • r.
de un programa (pruebas a producción). • R
• Acceso a ltbrcrías en prueba. • L
• Convenciones para dar nombre a librerías que son usadas para faolttarb
seguridad.
• e
• e
• Método' para clasificar y restringir el acceso a ltbrcrías por tipo (fue•
objeto, carga y control de job).
• e
• S
• Si el software ejecuta func1ones de Identificación de usuario y proct'<ÍÍII\JtC· • E
tos de a u tmtificación.
e'
• Procedimientos inusuall's de las librl'rías.
• Capacidades de la bitácora de auditoría.
• S¡
d
• Los númc.>ros de ver<;ión del software. p
•
Los reportes escritos pueden ser usados para organiar las actividad., d.
•
"'p,
las librerías de logs de acceso al software manejador de librerías o bitJcora>de Cl
auditoría.
L
Software de utilerías. El auditor deberá evaluar, revi"'r y probar los <ig..- red, d
procedimicnto, diseñados para linútar el.lcceso a comandos de utileri,lS o fun. 1-stos
ciones:
L,
• Funcione.. o comandos de utilerías.
• Los controlt'"i de acreso ..obre comandos o funcionC'- de u literías.
• Pe
Sl
• Seguridad de acceso a lo> programadores para la u titiLación de funciOill'S
comandos de utilerías. si
• Si el software ejecuta las funciones de identificación del usuario y prt>e~<t¡. • lci
mientos de autentificación. • Id
• Capacidad<'< de uso de uhlcría para cada grupo de usuarios. • u
• Bitácoras de auditorías ca
• Li
 iones del
El software de utilerías no provee bitácoras de auditoría, por ello debe usarse 215
el reporte escrito del software, para lo cual puede utilizarse el software de con- SEGURIDAD LÓGICA
troJ de acceso, si éste está integrado al software. Deberán usarse reportes para v CONFIOENCIALIDAO
monitorear el control de acceso.
ente pro-
)rmación Software de telecomunicaciones. El auditor deberá revisar, evaluar y probar si
es posible usar las funciones del software que restringe el acceso en las redes de
telecomunicaciones y los procedimientos que gobieman su uso, especialmente
;en el ac- los siguientes:
iS fundo-
¡ revisar, • Restricciones al acceso de la red basados en tiempo, día, usuario, lugar y
terminal.
• Apagado automático de terminales inactivas en un tiempo especifico (ter-
minales que pueden ser usadas}.
• Facilidad de acceso no autorizado basada en protocolos de transmisión y
líneas para la conexión rápida.
• Número de seguridad de entrada (revisar la posib ilidad de este número
para acceso local o tableros de boletín nacional.)
"Autorrespuesta", facilidad de uso sobre módem.
el estado • Horas durante las cuales la línea está disponible.
• Recursos y fw1eiones posibles a través del acceso de entrada.
• Uso de identificación de la terminal físicamente.
•cilitar la Controles de acceso sobre los recursos de la red.
• Controles de acceso sobre tablas de configuración de red.
(fuentes, Controles de acceso a funciones de la red.
• Seguridad física sobre líneas telefónicas y telecomunicaciones.
edimien- • El uso de red de área local y la conectividad para otras LAN, W AN o redes
en otro lugar.
• Si el soft-ware ejecuta las funciones de la identificación del usuario y proce-
dímientos de autentificación.
• Proced imientos para la protección de comunicaciones (desde las conexio-
nes hasta la recepción no autorizada).
Jades de Posibilidad y uso de encriptación de datos o mensajes técnicos de identifi-
icoras de cación.

Los reportes escritos pueden ser usados para reportar las actividades de la
guientes red, de logs de acceso a software de telecomunicaciones o bitácoras de auditoría.
aso fun- Éstos pueden además hacerlo con e l software de control de acceso.
Los reportes especiales de auditoría deberán contener Jo siguiente:

• Personal registrado por el sistema en el q ue no corresponde el password con

su identificador, o el que ha intentado más de dos veces entrar al sistema
lciones o
s in un password autorizado.
• Identificaciones de usuarios no usados hace seis meses.
procedí -
• Identificaciones de usuarios con privilegios especiales.
• Un reporte de referencias cruzadas que debe mostrar a los ID usuarios con
cada acceso a las aplicaciones.
• Listar todos los lO usuarios por grupos.
216
CAPITULO 6
EVALUACIÓN
ENCRIPTAMIENTO
DE LA SEGURIDAD

Encriptar es el a rte de p ro teger la información transformándola con undtia

Definición minado algoritmo den tro de un formato para que no pueda ser leída
mente. Só lo aque ll os usuarios que posean la clave de acceso
"d esencriptar" un texto para q ue p ueda ser leído. Las tecnologías moderna<
encriptamiento nacen casi imposible que una persona no autori<ada util!ol! vt•n
información. per-
Encriptar es 1.1 tran•formación de los datos a una forma en que no S<• f"' maa
ble leerla por cualqu1er persona, a menos que cuente con la lla,•c de
ción. Su propósito es a.-.egurar la privacidad y mantener la información
de personal no autorindo, aun de aquellos que la puedan ver en fonru
lada.
Debido a que Internet y otras formas de comunicación electrónica •
wnvcrtido en algo normal y rutinario, la seguridad se na convertido en
tor muy importantt:'. El t:'ncrip tamiento se usa para proteger meMajesde
e lectrónico (E-mail), firmas electrónicas, llaves de aCC\!SO, información 1
financiero e información confidencial. Existen en el mercado diferentes paqu. •
tes y formas para cncriptar la información.
Los sistemas de e ncripta miento pueden ser clasificados e11 sistemas del&
ve s imétrica, los cuales usan una llave común pa ra e l que N\VÍil informadén
para el que la recibe, y sistemas de llave pública, el cua1 u ti liza dos llav~ •
que es pública, conocida por todos, y otra que solamente conoce el recept•
Para generar una firma digita l, se usan algunos algoritmos públicos. u •
ma digital es un conjunto de datos que son creados u!><!ndo una lla\'e "-"'
aunque existe una lla\'e pública que es usada para verilicar que la fllllll
realmente generada usando la llave privada correspondiente. El alg;orílmoll<l>
do para generar la firma electrónica es de tal naturaleza, que si no se us.l~l:"
secreta no es po~ible us.u la firma electrónica.
L.a autentificación en sentido digital es el proceso por medio drl cual
emisor y 1o receptor de un mensaje digital confide11cial tiene una identifica
válida para enviar o recibir un me11saje. Los protocolos de autentificación>
den estar basados en sistemas convencionales de encriptamiento de llavl'\!< •
cretas, o en sistemas públicos de encriptamien to. En lo autenti ficación de si;!
mas d e llaves públicas se usan las fumas digitales.
Firma digital La firmo d igital tiene la misma función que la firma escrita en cualquin&
cumento. La firma digita l es un fragmento de información confidencial y pn'fl l:Oll~

~~:~:!
de cada usuario que asegura a la persona que envía o autori?:a un documentu
receptor o terceras persona~ pueden verificar que el documento y la firma <.'M,
ponden a la persona que lo firma, y que el documento no ha sido alterado. se
La firma digital es usada para verificar que el mensaje re.1lmente ~-w • ·•
la persona que se señala como la que lo envía. También puede ser u<ad• ).,;

certificar que una persona envió un documento o una autorización en

po determinado. E>.i~te una serie de fll'ffias digitales que identifican y """"'"' '• •
desde el usuario inicial hasta el último usuario.
 En el caso de envío de documentos pueden certificar la organización que Elemplo l
envía el documento, su departamenlo y la persona que lo manda o autoriza.

Un sistema seguro de firmas digitales debe com prender dos pa rtes: un

método para firmar el documento que sea de tal manera confiable que no pue·
deter- da ser usado por otras personas, y otro que verifique que la firma fue realmente
ormal- generada por el que ella representa, de tal forma que posteriormente no pueda
ser cuestionada.
odrá n
-nas d e El resultado de un conjunto de datos encriptados es la firma digi tal. Normal·
mente, junto con la información, la Uave pública que es usada para firmar. Para
mee la verificar la información, el receptor primero determina si la Uave pertenece a la
persona a la cual debe pertenecer, y después de desencriptarla verifica si la infor·
a posi· mación corresponde al mensaje; entonces la firma es aceptada como válida.
escrip·
Criptoanálisis es el arte de desencriptar comunicaciones sin conocer las lla· Criptoanálisis
alejada
ves apropiadas. Existen muchas técnicas para logra rlo, y entre las más comunes
encrip· están:
se han o Ataque a textos encriptados. Ésta es una situación en la cual el atacante no
un fac-
conoce nada acerca del contenido del mensaje, y debe de trabajar única·
correo mente en el contenido del mensaje. En la práctica es muy posible adivinar
je tipo el contenido de algún texto, ya que normalmente tienen encabezados fijos.
paque- o Ataque conociendo el texto original. El atacante conoce o puede adivínar el
contenido del texto debido a algunas partes del texto encriptado. El objeti·
de lla· vo es desencriptar el resto del texto usando esta üúormación. Esto también
1ci6n y puede ser hecho al determinar la llave usada para cncriptar.
es, tma o Ataque hecho por medio de escoger un texto encriptado. El atacante tiene
olor. el objetivo de determinar la llave con la cual se encriptó el texto.
La fir· o Atacar en la parte centra l. Este tipo de ataque es relevante para la comuni·
:ecreta, cación criptografiada y para los protocolos clave de intercambio. La idea es
ma fue que cuando dos personas están íntercambiando Uaves de seguridad para
10 usa- lograr la comunicación, el atacante se pone en medio d e la línea de comwti·
laUave cación. El atacante realiza un intercambio separado de llaves. Posterior-
mente, el atacante, con las llaves de acceso, puede realizar cualquier fun·
cual el ción. Una forma de prever este tipo de ataques es encriptar la Uavc de acce·
icaci<ln so al momento de enviar; asL una vez enviada_ el emisor y receptor verifi·
•n pue- can la firma digital para realizar las operaciones necesarias.
ves se- • Ataque en el tiempo. Éste es un nuevo tipo de ataque y está basado en la
e siste- med ición repetitiva de los tiempos exactos de ejecución .

tier do- Aunque existen di versas formas para atacar la información encriptada, es
propia conveniente que el programador conozca las formas d e encriptarniento, sus
mto. El ventajas y desventajas, así como su costo, para determinar la mejor para cada
corres- uno de los sistemas, y que el auditor verifique la forma de encriptamiento y su
>. seguridad de acuerdo con los requerimientos de seguridad de cada sistema.
ene de Existen diferentes protocolos y estándares para la criptografía, entre los cua·
la para les están:
n tiem-
ttifican • DNSSEC (Domaiu Name Serucr Security). Éste es un protocolo para servicio
seguro de d istribución de nombres.
218 • GSSAPI (Geueric Security Services, APl). Provee una autentificación genén-
CAPITULO 6
ca, llaves de intercambio e interfases de encriptamiento para diferentes si~ gran
EVALUACIÓN temas y mé todos de autentificación. depe1
DE LA SEGURIDAD o SSL (Secure Socket Layer). Es uno de Jos dos protocolos para una conexión crea ti
segura de web. riesgt
• SHTIP (Secure Hypertext Transfer Protocol). Pro tocolo para dar más seguri· vaca~
dad a las transacciones de web. y evil
• E-Mail (Semrity nnd Related Seruices). <lO en
pue
o MSP (Messnge Security Protocol). zaci(~
T
• PKCS (Public Key Encryption Sta11dnrds). posib
• SSH2 (Protocol). b1a a
• Algoritmos de encriptam.iento: sabría
o
Esto •
DIFflE HELLMAN. aunq
o DSS (Digital Signnture Stnudnrd).
o
n1ite,
ELGAMAL. S<
o LUC. dono
lidad
• Symetricos. la mo
+ DES. así COl
• BLOWFlSH.
El
• IDEA (lnteruntiounl Dntn Eucryptiou Algorith).
ligro l
• RC4.
audit(
+ SAFER.
fraud1
• Varios algoritmos de llave pública, a lgunos con promisorio futuro; sin em· E1
bargo, el más popular es el RSA (Rivest Slrnmir Adelman). En algoritmos si- está d1
métricos el más famoso es el denominado DES y su variante OES-CBC. nallc1
pero el más reciente es RC4. citado
ver la
contro
palme
SEGURIDAD EN EL PERSONAL dente
perwr
Un buen centro de cómputo depende, en gran med ida, de la integridad, estabi·
Ji dad y lealtad del persona 1, por lo que al momento de reclutarlo es conveniente
hacerle exámenes psicológicos y médicos, y tener muy en cuenta sus ante<:e·
dentes de trabajo.
Se debe considerar sus valores sociales y, en genera l, su estabilidad, ya que
normalmente son personas que trabajan bajo presión y con mucho estrés, porlo
que importa mucho su actitud y comportamiento.
-
Caracterlstlcas El personal de informática debe tener desarrollado un alto sistema ético y El obj•
del personal de lealtad, pero la profesión en algunas ocasiones cuenta con personas que sub- intern
estiman los sistemas de control, por lo que el auditor tiene que examinar no bido a
solamente el trabajo del personal de informática, sino la veracidad y confiabilidad ter re m
de los programas de procesamiento. sea res
 genéri- En los ~u •po~ de cómputo es normal que se trabajen horas extra, con 219
ntes sis- ¡ran pre:.ión, y que no haya una adecuada política de vacaciones debido a la SEGURIDAD
.ltpendencia que se tiene de algunas personas, lo cual va haciendo que se F1$1CA
;mexión .1tan "mdiSpen,.lble,·,que son muy difíciles de sustituir y que ponen en gran
!11.">80 a la organizaCión. Se debe verificar que existan adecuadas políticas de
segun- \'JQC~Ones (lo cual no~ P<'rmite evaluar la dependencia de algunas personas,
u•\ltar e:.ta de!'<'ndencia) y de reemplaLo. La adecuada política de reempla-
zo en caso de renuncia de alguna persona permitirá que, en caso necesario, se
pueda cambiar a una p<!rSOna sin arriesgar el funcionamiento de la organi-
ución.
Tarnb1<in se debe tener políticas de rotación de personal que disminuyan la
poo;ib1lidad de fraude. Si un <'mpl<'ado está cometiendo un fraude y se le cam-
bia a otra actividad al mcs, '>Cría muy arriesgado cometer un fraude porque
>o\bría que la nueva P<'r-.ona que esté en su lugar puede detectarlo fácilmente.
bto se debe hacer principalmente en función de un alto nivel de confianza,
aunque •mplique un alto costo. Este procedimiento de rotación de personal per-
mite, además, d<'tectar quiénes son indispensables y quiénes no.
Se deb<'r.i evaluar la motivación dd personal, ya que un empleado motiva-
do normalmente tiene un alto grado de lealtad, con lo que disminuirá la posibi-
lidad de ataques int('ncionndos a la organización. Una de las formas de lograr
la motivación e& darle al pt•rsonalla capacitación y actualización que requiere,
así como proporcionarle 1,,., retribuciones e incentivos justos.
El programador hom">to en oca5iones elabora programas que ponen en pe-
ligro la seguridad de la empresa, ya que no se considera un procedimiento de
~uditoría dentro de los programas para disminuir o limitar las posibilidades de
fraude.
;inem- En muchas ocasiones el m.1yor riesgo de fraude o mal uso de la información
mos si- c.tá dentro del mismo personal, y la mayor seguridad está en contar con perso-
5-CBC, nal leal, hone:.to y con <'tica. Para lograr esto se debe contar con personal capa-
cit.ldo, motivado y con rcmuneracione. adecuada~. Pero también se debe pre-
•·er la po-ibHidad dl' personal mal intencionado, para lo cual se debe tener los
rontroles de seguridad señalados. los cuales deben de ser observados princi-
palmente por el per<onal del .írea de informática. El auditor debe de estar cons-
ciente que los pnmeros que deben implantar y obsen•ar los controles son los del
personal de mform.ihca
estabi-
!niente
mtece-

ya que SEGURIDAD FÍSICA

por lo

ético y El objetivo es establecer políticas, procedimientos y prácticas para evitar las

•esub- interrupciones prolongadas del servicio de procesamiento de información, de-
,ar no bido a contingencias como incend1o, mundación, huelgas, disturbios, sabotaje,
1ilidad terremotos, hur.1cancs etc., y continuar en un medio de emergencia hasta que
sea restaurado el servicio completo.
220
CAPÍTUL08
EVALUACION
DE LA SEGURIDAD
UBICACIÓN y CONSTRUCCIÓN P1so
DEL CENTRO DE CÓMPUTO OCÁN
En el pasado se acostumbraba colocar los equipo> de cómputo en un [ n !.1 anti:
v1s.ble, con grande> ventanales, ya que constituían el orgullo de la orgar piSOS e le\'
ción y se consideraba necesario estuviesen a la vist., del público, inclusolutu dl• cón1pu
S'•'" cantidad de invitados par., conocerlos. Esto ha ca1nbiado de modora t.u.1or,1s, P.
ca l, principalmente por el riesgo de terrorismo o sabotaje. Piénsese que c.on plsos
per'>Ona que desea perjud1car a la organización qu<'rr.i dañar el centro ck t.lll'nlc COl
formación, por lo que en la actualidad se considera extremadamente peh,. Una e
'<> tener el centro de cómputo en las áreas de alto tráfico de personas, o y prot~>ec
en un lugar cercano a la calle o ron un alto número de ln\'ltados, adetN~, Además.
eXC....,I\'0 flujo de per;onalmtl'rf1ere con la eficiencia en el trabajo y disnunc:: cerca d e 1
la seguridad. rcpllas d e
Otros elementos referente' al m.1terial y construcción dell'(tifido del""'= Un p i
de cómputo con los que~ debe tener precaución o;on lo' materiales altam du con lcu
in na mables, que despiden humos sumamente tóxicos, o las paredes que noqt~. d.1d de s<:
dan perfectamente selladas y despiden polvo (por ejemplo, el tiro! planciMdl Se re<
a menos que tenga sellador), los cuales deben ser evitados. <Jll<' la su
En lo posible tambit'n se debe tomar precaucionl•s en cuanto a la orier. camara p
ción del centro de cómputo (por e¡emplo, lugares >um,lmente calurosos a terminad
que todo el día les está dando l'l sol), y se debe "'~lar, cn lo posible, los grande p<>der seJ
\'entanales, los cuales adem.is de que permiten la entrada del sol, pueden 1stema y
ri•w,go-os para la seguridad del centro de cómputo.
Las dimensiones mímmas del centro de cómputo deben determina"" pa
la c.1ntidad de componentes del sistema, el espacio requcndo para cada ur-
dad, para su mantenimiento, el .Srca de operación. Por t•llo, las paredes y 1"'"'
les removibles pueden ser uti lizados para faci litar ampliaciones futuras. [
general, au nque los equipos de cómp uto se han reducido en tamaño, se deJ>o
considerar el incremento en el número de éstos y en equ ipos periféricos.
Además, en el centn> dl' cómputo se debe prev('r «.>spacio para lo •igu El t>quíp<
tipo d e e
• Almacenamiento d(' <'qUI!'O' magnéticos. cual >.e n
• Formatos y papel para impre>ora. m.l~ ;~si e
• Mesas de trabajo y muebles. Los •
• Área y mobiliario par.> mantenimiento. las princ
• Equ ipo de telecomunicaciones. Las i
• Área de programación. tn•cucnb
• Consolas del operador. duetos.~
• Área de recepción. to t.•xtcri•
• Microcomputadoras. 1ndiquer
• Fuentes de poder. Sen
• Bóveda de seguridad . Los ardu ,.os maestros y 1o registro<. deberán ser gua: superior
dados en una bóveda antuncendio bajo máxima protecoón. uci•'<iac
 221

P1so ELEVADO SEGURIDAD

FISICA

OCÁMARA PLENA
~n un Jug..lr [n la antigüedad era un requerimiento en todos los centros de cómputo tener
la organi/,1 ptsoS elevados o pisos falsos. En la actualidad, COl\ los cambios de los sistrmas
1cluso habí..• de cómputo, este requerimiento sólo es ne-cesario o deseable para macrocompu-
modo rdd t ladoras, por lo que habrá que verificar con el provredor la 1\ecesidad de contar
~ qut! un..• ron pisos elevado~. o bien la conveniencia de tener una mejor instalación que
entro de in· ruente con el cableado dentro del piso elevado.
nte peligro· Una de las ventajas de los pisos falsos es que permiten organizar el tendido
)na5, o bit.~ ~- protección del c.1bleado del sistema, y facilitan el rcacomodo del sistema.
adem.is, d Además, proveen de un excelente método para llevar el aire acondicionado
dismmun• cerca de las unidad~ del sistema, permitiendo la adición o recolocación de la~
rejillas de aire cuando son agregadas o recolocada' máquinas en la sala.
o del centro Un piso elevado debe ser capaz de soportar una carga uniforme, de acuer-
s altamen ll' do con las especHicacio1les del proveedor; tambi~" debe considerarse la capaci-
que no que- dad de soportar u1lidades adicionales según el potencial de crecimiento.
planchado, Se recomienda que el acabado del piso sea hecho con p lástico antiest~tico y
que la superficie del piso elevado tenga 45 cm de alto, cuando es usado como
la orient.J. cámara plena de ;me acondicionado. La altura del plafón, desde el p150 falso
•rosos a lo... terminado, debo! ~r de 2.4 m. Asimismo, los paneles del piso elevado dcb.!n
los grandes poder ser removidos fácilmente para permitir 1,, mstalación del cableado del
pueden ser sistema y ser de fácil limpieza con trapo húmedo o asptradora.

1inarse por
1 cada uni
les y pan e·
'uturas. En ARE ACONDICIONADO
1o, se d~bc
iros.
><iguientc; El equipo de a m~ acondicionado es otro de los di,positivos que dependerJn del
tipo de computadora que se utilice y del lugar donde está instalado, para lo
cual se rccomumda verificar con el proveedor la temperatura mínima y máxi-
ma, así como la huml>dad relativa en la que dcb.!rán trabajar los cqui~.
Los duetos de aire acondicionado deben estar li mpios, ya que son una de
las principales causas de polvo.
Las instalaciones del aire acondicionado son una fuente de i1lcendio muy
frecuente, son su~ccptibles de ataques físicos, especialmente a través de los
duetos. Se deb.!n instalar redes de protección en todo el sistema de duetos, tan·
to exteriores como interiores, y deberá de contarse con detectores de humo que
indiquen la ~ible presencia de fuego.
Se recomienda que la presión de aire en la sala de cómputo sea ligeramente
nserguar· superior a la de las áreas adyacentes, pMa n.>ducir así la entrada de polvo v
suciedad.
222 ll
cquif
CAPITULO 8
EVALUACION INSTALACIÓN ELÉCTRICA l.1dor
DE lA SEGURIDAD oón (
nhca
Y SUMINISTRO DE ENERGÍA carga
car <p
qul! e
Uno de los disposihv~ que deben de ser evaluados y controlados ron m.JI'W comp
cuidado es la instalación ek~trica, ya que no solamente puede provocar falll! f,lx, y
de energía que pueden producir pérd idas de información y de trabajo, sinoqut
tci<.'vi
es uno de los principales provocadores de incelldios. no p n
El auditor debe au,iliar-.e de un especialista para t'valuar el adecuado fun.
<apac
cionamiento del sistema eléctrico y el suministro de energía.
Protección del v cor.
Los cables del sistema elt~ico deben t>star perfectamente identificados T.
sistema eléctrico (positivos, negati,·os y herra fís1ca); lo más frecuente es identificarlos por mt-
'.,¡ m.
dío de colores (positivo, ro¡o). !Ñben de existir conexiones indepen<lientes p.m la d1'i1
los equipos de cómputo; este cuidado se debe tener en las oficinas dond~ lvy
ele' ar
conL'ctadas terrninalt>s o m1croromputadoras, y adcm~s dt>ben estar idMbto una b
das, contar con tierra física~ lo cual protegerá a los equipos contra un cortoru
pocol
cu ito en caso de una descarga. Se debe revisar que se cuente ron los plan<>< d ttcamc
mstalación eléctrica debidamente actualizados.
u
Es común en las oficinas que, al no tener ide1llificados los contactos para 1 gas o !
computadoras, éstos sean utili7..ldos para equipos que pueden producir p1oo rrum (
ya que utilizan grandi'S cargas de corriente, como fotocop•adoras o aires am mvt'le
d1oonados.
p1d0.
Las variaciones de energía en una línea pueden ser causados por el enéftl-
dido o apagado de máquinas elt'ctricas, tales como motores, ascensores. eqm-
u
sea d e
pos de soldadura, sistemas de aire acondicionado, etc. El flujo de corriente tl\ o d•
un sistema de iluminación puede producir "picos de rwdos" que podriant l:Otrl
Cl.'der el nivel de energía aceptable para alguna unidad del sistema. Porellot t,,¡¡,, e
alt,>mc•llc recomendado que e l sistema eléctrico uti li/ado en los equipos d.
rrumF
informática cuente con tierra ffsica, y de ser posible sistemas de corriente coo- p<.•ri~
tinua (uo-break) y estén aislados con contactos independientes y perfectamen· de hol
te identificados. En zonas grandes con cargas eléctricas industriales o con ro" mi1ció
d1ciones de entrada de potencia marginales puede ser nece5ario un aislanu.
8
to adicional para prevl'nir interrupciones de energía l.'n el sistema.
zona ~
La tierra física debe t>star perfectamente in~talada de acuendo con las espe- lntern
cificaciones del proveedor, dependiendo de la zona en que esté mstalado el nocor
equipo y de las características de éste.
mayor
Se debe tent>r una protL'Ccíón contra roedori'S o fauna nociva en los cab!-s archiv
de sistema eléctrico y de comunicaciones. Es común que los roedores se com.1n presot
e l p lástico de los cables, por lo que se d ebe tener cuidado de combatir esta faun.1 Er
nociva, y tener la prt'Caución de que el veneno o e l fumigan te que se use para maba1
combatirla no provoque problemas al personal. l:OS00
Los reguladores son diSpositivos eléctricos que reducen el riesgo de tl'll!f do se 1
un accidente por los camb1os de corriente. D1chos protL'ctore. son romÚ!Uilt'IÚt E~
construidos dentro de un sistema de corriente ininterrumpido UPS (Uninltrrllpli- sus di•
blr PllUvtr Supply Sy>lmr).
 Los reguladores que existen en el mercado pueden funcionar para vanos 223
equ1pos, o bien estar Jjnútados para un reducido número (parecidos a los regu- SEGURIDAD
ladores existentes para las casas). Si M.' til'ne un regulador para toda la instala- FISICA
ción de informática (incluyendo terminok'S y microcomputadoras), se de~ vc-
rificM y controlar que el número de equipos cont'Ctados sean acordes con las
cargas y especificaciones del regulador. Si son equipos pequeños se debe verifi- Reguladores
car que e l regulador sea suficiente para el número de equipos conectados, ya
)n mayor que es muy frecuente en las oficmas que se conecte al regulador no solamente la
computadora personal, sino otros dispositivos periféricos, como impresora o
..:ar fallas
fax, y que se llegue hasta conectar otro tipo de equipo eléctrico como radios o
sino que
tele\isores. Esto puede provocar dos problemas: el primero es que el regulador
oado fun- no proteJa a todos los <.'qUipos, ya que «.'1 R'quenm1ento eléctrico sobrepa"' sus
capaCidades, y el otro es que se puede provocar una sobrecarga en los contactos
) consecuentemente una posibilidad de mcend1o.
rtificados
; por me- También se debe tener cuidado en adqu1rir reguladores que tengan un ni-
vel m.ú<Jmo y un mínimo, ya que existen algunos que en caso de una sobrt'Carga
ntes para
),\ dismmuyen hasta el nivel acept.lblc, pero SI exiSte una baja de corriente no l,l
mde hay
lentifica- elevan a niveles mínimos aceptables. En ocas1ones perjudica más a un eqUipo
una baJa de energía prolongada, que no l'S detectada y provoca que el C<lUI-
cortocir-
po continúe prend ido en un nivel bajo, que un,l sobrecarga, que hace que autom.l·
!anos de
ticamente el regulador o equipo ~e ap.tgue.
Uno form a pa ra asegurarnos di' quC' u11 rt•gu lildor actuará en una sobr0car~
.para las
gas o en bajos niveles, es contar con un regu lador que tenga un s is tema no inte-
:ir picos,
rrumpido (t~o-break), ya que en caso de que exist.l una variación que pase los
'eS acon-
niveles mínimos y máximo~~ autom,Hicamentt.' t.tntrará el sistema no intt•rrum·
p1do.
•lencen-
Un sistema de energía no interrump1do (UI'S) consiste en un generador, ya
~. equi-
-.,a de batería o de gas, que hace interfa..e entre la energía eléctrica y el disposi-
iente de
tivo de entrada de energía eléctrica a la computadora. Dar una consistencia a la
rían ex-
corriente eléctrica que hace funCionar a l.> computadora en caso de haber un,t
rello es
falla en el abastecimiento de l'ncrgía l'll'ctnca. El sist!'ma de energía no mt<'-
úpos de
rrumpoble {UPS) pro,·ee de energía elt'ctrica a la computadora por un cierto
ntecon-
periodo; dependiendo de lo sofisticado que sea, la corriente eléctrica puede ser
:tamen-
de horas o de algunos minutos, de ta l forma que permita respalda r la infor-
·on con-
mación.
lamien·
Es conveniente evaluar la probabilid,ld de <JUC no se tenga corriente en la
ton,\ en la que se trabaja, para dctermin,lf e l tiempo que necesita el sistema no
lSespe-
interrumpido. También se deben t•va luar 1~ problemas que puede provocar el
uado el
no contar con electricidad y las prioridades y necesidades que se tienen. En la
mayoría de los casos se necesita un d(•tt•rminado periodo para respaldar los
; cables
archivos de computadoras per<;onalcs, y se puede esperar para utilizar la om·
coman
pr<'"lra.
a fauna
En el caso de sistemas de alto ne-.go o e<><. tOSO'-, como por eJemplo un siste-
se para ma banca no, no solamente se de~ contar con Sistemas de reguladores y d&:tri-
COs no mterrumpidos, sino también con planta.' de lw: de emergencia, para ruan-
e tener
do se pierda la energía eléctrica por un periodo prolongado.
unen te
En algún momento tal ve¿ exi,ta la nt'R'Sidad de apagar la computador,\ y
tmtpti-
""dispositivos periféricos en caso de qul' el centro de cómputo donde •e en-
224
CAPITULO
6
EVALUACIÓN
DE LA SEGURIDAD
cuentre la computadora se incend ie o si hubiera una evacuación. Los switch de
emergencia sirven para este propósito: uno en el cuarto de máquinas y el otro
cerca, pero afuera del cuarto. Éstos deben ser claramente identificados con Ull
letrero, accesibles e inclusive estar a salvo de gente que no tiene autorización
SE
para utilizarlos. Los switch deben estar bien protegidos de una activación aro.
dental. Es irnf
el día,
Los incendios a causa de la electricidad son siempre un riesgo. Para rcdu· d u ran
cirio, los cables deben ser puestos en paneles y canales resistentes al firego. Es-
El
tos canales y paneles generalmente se encuentran en el piso del centTo de cómpu· dcbei
to. Los cables deben estar adecuadamente aislados y fuera de los lugares de organ:
paso del personal. Se debe cuidar no sólo que los cables estén aislados sino perso1
también que los cables no se encuentren pnr toda la oficina. i ngre~
Los circuitos ramificados para la iluminación y los sistemas de aire no de- E
berán estar conectados a los tableros de potencia utilizados por el sistema.
El proveedor debe proporcionar un tablero de distribución, el que deberá • p
contar con interruptor general, vol ti metro, amperímetro, frecuentünetro e inte- SI
rruptor individual pnr cada una de las unidades que configuren en el sistema. • p
El tablero debe ubicarse en un lugar accesible y cada interruptor debe cs!.lr re
debidamente rohtlado para su fácillocaijzación. tE
d
Co
• p
ti o
je
SEGURIDAD CONTRA • p,
P'
DESASTRES PROVOCADOS tr.
• R•
POR AGUA ta
t\(
ce
Los centros de cómputo no deben colocarse en sótanos o en áreas de planta fe
baja, sino de preferencia en las partes altas de una estructura de varios piS<:<; el
aunque hay que cu idar que en zonas sísm icas no queden en lugares donde cl cr
peso ocasionado por equipos o papel pueda provocar problemas. ci
Se debe evaluar la mejor opción, dependiendo de la seguridad de acceso al m
centro de cómputo, cuando en la zona existen problemas de inundaciones oson • V
sísmicas. En caso de ser zona de inundaciones o con problemas de drenaje la SE
mejor opción es colocar el centro de cómputo en áreas donde el riesgo de inun- P'
dación no sea evidente. • E:
Algtmas causas de esto pueden ser la ruptura de cañerías o el bloqueo del bt
drenaje, por lo tanto, la ubicación de las cañerías en un centro de cómputo es te
• p-
wta decisión importante, así como considerar el nivel del manto freático.
Debe considerarse el riesgo que representa el drenaje cuando el centro de d
cómputo se localiza en un sótano. Deben insta larse, si es el caso, detectores de la
agua o inundación, así como bombas de emergencia para resolver inundacio- • A
C(
nes inesperadas. S<
Otro de los cuidados que se deben tener para evitar daños por agua es po·
e'
seer aspersores contra incendio especiales que no sean de agua. eJ
 225
SeGURIDAD DE AUTORIZACióN DE Accesos SEGURIDAD
FiSICA
utorización
ación acci-
Es importante asegurarse que los controles de acceso sean estrictos durante todo
Para redu- el día. y que éstos incluyan a todo el personal de la organización, en especial
1fuego. Es- durante los descansos y cambios de turno.
decómpu- El personal de informática, así como cualquier otro ajeno a la instalación, se
debe identificar antes de entrar a ésta. El riesgo que prov iene de alguien de la
¡ lugares de organización es tan grande como el de cualquier otro visitante. Solamente el
slados sino personal autorizado por medio de una llave de acceso o por la gerencia debe
ingresar a dichas instalaciones.
aire no de- En los centros de cómputo se pueden utilizar los siguientes recursos:
•stema.
que deberá • Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe Puertas
netro e in te- ser difícil de duplicar. de seguridad
~ el sistema. • Puerta de combinación. En este sistema se usa una combinación de núme-
r debe estar ros para permitir el acceso. La combinación debe ser cambiada regularmen-
te o cuando el empleado sea transferido o termine su función laboral dentro
de ese centro de cómputo. Esto reduce el riesgo de que la combinación sea
conocida por gente no autorizada.
• Puerta electrónica. El sistema más común es el que usa una tarjeta de plás-
tico magnética como llave de entrada. Un código especial interno en la tax-
jeta es leído por un sensor activando el seguro de la puerta.
• Puertas sensoriales. Son activadas por los propios ind ividuos con alguna
parte de su cuerpo, como puede ser la huella dactilax, voz, retina, geome-
tría de la mano o bien por la firma.
• Registros de entrada. Todos los visitantes deben firmar el registro de visi-
tantes indicando su nombre, su compañía, la razón para la visita, la perso-
na a la que visita. El registro se encuentra en la recepción del centro de
cómputo. Es importante que el visitante proporcione una identificación con
foto (licencia de manejo o credencial), ya que de otra forma podría inventar
el nombre y no se tendría seguridad. Los empleados deben de portax la
credencial de la empresa con foto, la cual además de servir de identifica-
ción, se utilizaxá para señalax las áreas de informática a las cuales tiene
autorización de entrar.
Videocámaras. Éstas deben ser colocadas en puntos estratégicos para que
se pueda monitorear el centro. Los casetes deben ser guardados para su
posible anáHsis.
Escolta controladora para el acceso de visitantes. Todos los visitantes de-
ben ser acompañados por un empleado responsable. Se consideran visitan-
tes: amigos, prov~>edores, ingenieros de mantenimiento y auditores externos.
Puertas dobles. Este equipo es recomendable para lugares de alta seguri-
dad: se trata de dos puertas, donde la segtmda sólo se pueda abrir cuando
la primera está cerrada.
Alaxmas. Todas las áreas deben estar protegidas contra robo o accesos físi-
cos no autorizados. Las alarmas contra robo deben ser usadas hasta donde
sea posible en forma discreta, de manera que no se atraiga la atención hacia
este dispositivo de alta seguridad . Tales medidas no sólo se deben aplicar
en el centro de cómputo sino también en áreas adyacentes.
226 Sedeb
vocar ma.~
CAPiTULO&
EVALUACIÓN
DETECCIÓN DE HUMO gases tóx~
OE LA SEGURIDAD Tamo
Y FUEGO, EXTINTORES dio y si h<
das de err
Los detectores de fuego y humo se deben colocar tomando en cuenta la w.:• Los
o no con los aparatos de aire acondicionado, ya que éstos pueden difnnd11 produce!]
ca lor o el humo y no permitir que se active e l detector. Los ~
El que se elija deberá ser capaz de detectar los distintos tipos de g=q falso, rep;
desprenden los cuerpos en combustión. Algunos no detectan el humo o e! control e~
por que proviene del plástico quemado que se usa como aislante en electl' dt• O a 60
dad, y en consecuencia los incendios ocasionados por un cortocircuito tal 1 boquilla)
no sean detectados. permitir
Detectores Los de tectores de humo y calor se deben instalar en el centro de cómpu que el m
de humo en las áreas de oficina, incluyendo el depósito de papelería y el perímetrolí<i los equi
de las instalaciones. Es necesario colocar detectores de humo y de calor bajo Es ne
piso y en los conductos de aire acondicionado. en caso<:
Las alarmas contra incendios deben estar conectadas con la alarma C!!n mente p
del lugar, o bien directamente con el departamento de bomberos. de su u
La orgaruzación se debe cerciorar que los controles de seguridad cow d<.'bcn hJ
incendios satisfagan los estándares mínimos del departamento de bomben~ Las
La documentación sobre los sistemas, la programación y las operadoll!l debe co
necesitan una protección contra incendios y debe tenerse un sistema de ""P" Esta sal
do específico en el plan de contingencias. Se deben establecer procedimien'"- cesarías
de respaldo que garanticen la actualización de toda la documentación de marr propio
ra rutinaria; las copias de seguridad se deben almacenar en wl lugar alejado,¡¡ en arm
como las copias de segu ridad de los programas y los archivos, los cualesdellm dos hor
estar debidamente actualizados, documentados y fechados, para cuando !e
requeridos.
Debe existir un sistema de detección de humo por ionización para '"''
anticipado. Este sistema debe hacer sonar una alarma e indicar la situación !l..
detector activado. El sistema de detección no debe interrumpir la corriente~
energía eléctrica al equ ipo de cómpu to. Se debe contar con un dispositivo 11\l-
nual de emergencia para cortar el sistema eléctrico y el aire acondicionado
deben instalarse en cada salida del centro de cómputo.
Equipos contra Se deben colocar en lugares estratégicos del centro de cómputo extintO!<'
incendio portátiles de CO (recomendable para equipo eléctrico). El equipo para pooo
respirar debe estar a la mano, tanto en el área de cómputo como para elnsod<
los bomberos en caso de incendio. Se deben señalizar las salidas de emerger.:u
(es conveniente que este señalamiento se encuentre en la parte inferior, cerca~ •
al piso, ya que en caso de humo sólo podrán ser visibles en la parte inferior
En cuanto a los extintores, se debe revisar el número de éstos, su ca pacida. •
fácil acceso, pesos y tipo de producto que utilizan. Es muy frecuente qut~
tengan extintores, pero puede suceder que no se encuentren recargados o b.o •
que sean de tan dificil acceso o de Wl peso tal que sea difícil utilizarlos.l~
extintores deben estar a la altura o tener un peso proporcional al de una muj!J
para que pueda utilizarlos.
 Se debe cuidar que los de extintores no sean inadecuados, q ue puedan pro- 227
\'OCa!l' mayor perjuicio a las máquinas (extintores líquidos) o que produzcan SEGURIDAD
gases tóxicos. FiSICA
También se debe evaluar si e l personal sabe usar Jos equipos contra incen-
dio y si ha habido prácticas en cuanto a su empleo; que existan suficientes sali-
das de emergencia, debidamente controladas para evitar robos.
ala cercanía Los materiales más peligrosos son las cintas magnéticas que, al quema!l'se,
t difundir el producen gases tóxicos, y el papel carbón, que es altamente inflamable.
Los detectores de ionización del aire deben colocarse en el techo y en el piso
le gases que falso, repartirse de manera uniforme y estar conectados al tablero del equipo de
Jrno o e l va· control contra incendio. En este tablero se localiza un reloj que puede calibrarse
en electrici- de Oa 60 segundos; para provocar un disparo de gas debe jalarse a través de
cuito tal vez boquillas de aspersión estratégicamente colocadas en el techo de la sala, para
permitir la evacuación d el personal y desconectar el sistema. Se debe verificar
~e cómputo, que el material utilizado para extinguir los incendios no provoque problemas a
ímetro físico los equipos electrónicos.
calor bajo el Es necesario definir y documentar los procedimientos que se deben seguir
en caso de incendio. Los planes de evacuación del centro d eben estar plena-
arma central mente probados y docu mentados. Además, se debe entrenar a l personal acerca
de su uso, ya que con frecuencia muchos empleados no saben exactamente qué
ridad contra deben hacer en caso de incendio.
bomberos. Las cintas y discos magnéticos deben a lmacenarse en una sala aparte y se
operaciones debe contar con un acceso al área en donde se localiza el equipo de cómputo.
1a de respal- Esta sala debe contar con todas las condiciones ambientales y de seguridad ne-
,cedimientos cesarias, ya que la información almacenada alú tiene más importancia que el
óndemane- propio equipo de cómputo. Las cintas y d iscos magnéticos deben almacenarse
11' alejado, así en armarios con pa!l'edes fabricadas especialmente para resistir por lo menos
:uales deben dos horas de fuego.
cuando sean

n para aviso
situación del
corriente de TEMPERATURA y HUMEDAD
positivo m a·
tdicionado y
Algunos equipos grandes de cómputo (mainframes), o bien las computadoras
lo extintores personales que son usadas en zonas muy cálidas o desérticas, necesitan de un
>para poder sistema de aire acondicionado d iseñado para estar en operación constante, con
ara el uso de base e n los sigu ientes parámetros:
e emergencia
~rior, cercano • Disipación térmica (6TU). La disipación térmica de cada unidad de siste-
te inferior). mas es mostrada en unidades térmicas británicas por hora.
ru capacidad, • Movimiento de aire (CFM). Los movimientos de aire se muestran en pies
uente que se cúbicos por minuto.
·gados o bien • Pérdidas por transferencia de calor. Existen pérdidas por transferencia de
ilizarlos. Los ca lor, por las siguientes curvas: n) A través de paredes, pisos y techos, o por
de una mujer la iluminación; b) diferencias en temperatura entre la sala de cómputo y
áreas adyacentes, y e) ventanas expuestas a los rayos del sol.
228 Los cambro~ de temperatura durante la operación del computador 11
CAPiTuLO
6
ser disminuidos. La variación cíclica de temperatura sobre el rango c,•m
EVALUACió~ de operación no debe n•a li7arsc en menos de ocho horas. 12.
DE LA SEGUAIOAD La di~ipación térmica, el movimiento de aire, así como los mínimos y"
mos de tempera tu m y humedad permitidos deben ser especificados por~p •
veedor del equipo, aunque la temperatu ra ideal rccome11dada es de 22"C.C.. •
neralmente la hum~d,ld debe ser agregada, ya que al enfriar el aire '('l<'mu..
•
la mayoría del vapor de agua por condensación.
•
•
Se recomiend.1 que se instalen instrumentos registradores de tempmhc •
humedad. Dichos instrumentos son necesarios para prove<)r un conhnuo •
tro de las condrcone:, ambientales en el área del eqUipo. •
Los duetos del aire acondicionado deben estar limpios, ya que son Ulll •
las prindp.1les caus.1s de polvo, y se habrá de contar con detecto"" de •
•
que indiquen la posible presencia de fuego.
Tomando en cuenta lo anterior, en el siguiente cuestionario se cort-.1
las caracteríMica• nect>sarias para evaluar una adecuada seguridad lísrca

13
UBICACIÓN Y CONSTRUCCIÓN DEL CENTRO DE CÓMPUTO
En
1. ¿El edificio donde se encuentra la computadora está situado a salvo de:
14.
Inundación? 15.
Terremoto? 16.
Fuego?
Sabotaje?

2. ¿El centro de cómputo da al exterior? NO 17.

3. Describa brevemente la construcción del centro de cómputo; de preleret"Oa

tomando en cuenta el material con que fue constru•do. asl como et equco
(muebles, sollas, etc.) del centro.
19
4. ¿nene el cuarto de máqu~nas una instalación de escaparate y, si es as•.
pueden ser rotos los Vidrios con facilidad? s• •o 20

5. ¿Está el centro de cómputo en un lugar de alto tráfiCO de personas? 21

SI NO

6. ¿Se tiene materiales o paredes inflamables dentro del centro de cómputo? 22

SI NO

7. ¿Se Uene paredes que despiden polvo? SI NO

8. ¿Se bene paredes que no están adecuadamente se radas? SI NO

9. ¿Se bene grandes ventanales orientados a la entrada o saltda del sol? 2<
si NO

1O. ¿Ex1ste lugar sul!c1ente para los equipos? NO 2!

1

~tador
ngo completo
deben
11. ¿Está sobresaturada la instalación? Si NO
229
SEGURIDAD
12. ¿Se !lene lugar previsto? Éste es el adecuado para: FfSICA
l imos y máxi·
Jos por el pro- • Almacenamiento de equipos magnéticos. Si NO
1de 22"C. Gc- • Formatos y papel para impresora. si NO
re se remueve • Mesas de trabajo y muebles. Si NO
• Área y mobiliario para mantentmiento. si NO
• Equtpo de telecomunicac•ones. Si NO
lemperatura y
• Área de programación. Si NO
)ntinuoregís- • Consolas del operador. Si NO
• Área de recepción. SI NO
"'son una de • Mocrocomputadoras. SI ..o
)res de humo Fuentes de poder. Si ..o
• Bóveda de segundad (bóveda ant11ncendto ba¡o máxima protección).
se consignan si NO

td física:
PISO ELEVADO O CÁMARA PLENA

JTO 13. ¿Se tiene piso elevado? SI NO

En caso afirmativo:
alvo de:
14. ¿Está limpia la cámara plena? SI NO
15. ¿Es de fácil limpieza? SI NO
16. ¿El piso es antiestático? SI NO

AIRE ACONDICIONADO

17. ¿La temperatura en la que traba¡an los equipos es la recomendada por el

proveedor? SI NO

18. ¿Los duetos del a~re acondtetonado cuentan con alarmas contra tntrusos?
si NO

19. ¿Los duetos de aire acondicionado están ltmptos? NO

SI es asf,
NO 20. ¿Se controla la humedad de acuerdo con las especificaciones del proveedor?
SI NO

~
?
NO 2 1. ¿De qué forma?

mputo?
22 ¿Con qué periodicidad?
t.O

INSTALACIÓN ELÉCTRICA Y SUMINISTRO DE ENERGÍA

23. ¿Se cuenta con lterra fístca? $1 NO

sol? 24. ¿La tierra fíSica cumple con las dtsposictones del proveedor de equipos de
'lO cómputo? Si NO

NO 25. ¿Et cableado se encuentra debidamente instalado? NO

230
26. ¿los cables se encuentran debidamente identificados (positivo. negativo. be<rJ
CAPITULO 6
EVALUACIÓN
flslca)? si NO
OE LA SEGURIOA()
27. ¿los contactos ele eqwpo ele cómputo estan debidamente IdentifiCados?
SI NO

28 ¿En los contactos. está idenhfJCado el posotiVO, negatiVO y toerra fisiea'

Si HO

29. ¿Se cuenta con los planos de instalación eléctnca actualizados?

si N()

30. ¿Se llene conec!ado a los contactos de equopo de cómputo otro equipo ello
trón1co? s1 10

31 ¿Se tiene Instalación eléctrica de equ1po de cómputo Independiente de ot:u

InstalaCIOnes eléctncas? SI 110

32. ¿Se tiene precaución contra fauna nOCiva?

33. ¿El equ1po contra fauna nOCiva está deb1damente proteg1do y cu1dado p&.'l
no producir problemas al personal? si 10

34 ¿Se ub 1Za matenal anbestátoco?

35 ¿Se tienen reguladores para los equ1pos de cómputo? 110

36. ¿Se venf1ca la regulación de las cargas máximas y mfnimas? si NO

En caso positivo. ¿con qué periodocldad?

37. ¿Se tiene equipo inonterrumplble?

38. ¿Dura el t1empo suficiente para respaldar tos arch1vos o para conbnua1 ti
proceso? si ..:>

39. ¿Se tiene generadores de comente Ininterrumpida? SI

En caso poSitivo. ¿de qué topo?

40. ¿Se prueba su funcionamiento?

En caso pos1tovo, ¿con qué periodicidad?

41. ¿Se tiene switch de apagado en caso de emergencia en lugar visible?

si N()

42. ¿los cables están dentro de paneles y canales eléctricos? SI

43. ¿Exosten tableros de diSinboción eléclnca?

vo. tierra 231
SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA
NO SEGURIDAD
44. ¿Se cuenta con alarmas contra Inundaciones? Si NO FfSICA
Idos?
•'O SEGURIDAD DE AUTORIZACIÓN DE ACCESOS

ca? 45. ¿Se han adoptado medidas de seguridad en la dirección de informática?

NO si NO

•6. ¿Existe una persona responsable de la seguridad? NO

47 ¿Existe personal de vigilancia en la lnstotución? SI

po ele<:·
HO 48. ¿Se investiga a los vígolantes cuando son contratados dorectamente?
si NO
:le otras
NO 49. ¿Se controla el trabajo fuera de horario? si NO

NO 50. ¿Se registran las acciones de los operadores para evitar que realicen alguna
que pueda da~ar el sistema? si NO

do para
51. ¿Se identifica a la persona que Ingresa? SI
NO

52. ¿De qué forma?

53. ¿Cómo se controla el acceso?

• Vigilante. ( )
• Recepcionista. ( )
• Ta~eta de control de acceso. ( )
• Puerta de combinación. ( )
• Puerta con cerradura. ( )
• Puerta electrónica. ( )
1uar el • Puerta sensorial. ( )
NO • Registro de entradas. ( )
• Puertas dobles. ( )
NO • Escolta controlada. ( )
• Alarmas. ( )
Tarjetas magnéticas. ( )
• Control biométrico. ( )
NO • Identificación personal. ( )

54 ¿Existe vigilancia en el cuarto de máquinas las 24 horas? SI NO

> 55 ¿Se ha instruido a estas personas SObre qué medodas tomar en caso de que
alguien pretenda entrar son autonzación? si NO

t() 56 ¿ Son controladas las vosrtas y demostraciones en el centro de cómputo?

si NO
¿Cómo son controladas?
NO
232 57. ¿Se reg1stra el acceso al cuarto de personas ajenas a la direCCión de lllf 66.¿S
CAPITULO 6 maUca? S< >tJ
EVALUACIÓN
0E LA SEOt/AIOAO
DETECCIÓN DE HUMO Y FUEGO. EXTINTORES (NO
67 SI
58. ¿Existe alarma para: au

• Detectar fuego (calor o humo) en forma automáhca? ( l 68 SI

• AVIsar en forma manual la presencia del fuego? ( ) pa
• Detectar una fuga de agua? ( l
• Oetectar magnetos? ( ) 69 SI
• No existe? ( l pa

59. ¿Estas alarmas están: 70 ¿

au
• En el cuarto de máquinas? (
• En la cintoteca y discoteca? ( •
• En las bodegas? (
• En otros lados? (
•
60. ¿Ex1ste alarma para detectar condociones anormales del amb•ente:

• En el cuarto de máquinas? ( ) 71 ¿
• En la cintoteca y discoteca? ( ) si
En la bodega? ( )
• En otros lados? ( ) 72

¿Cuáles?
73 ¿
e
61. ¿La alarma es perfectamente audible? SI
74.
62. ¿La alarma está conectada:
75.
• Al puesto de guardias? (
• A la estación de bomberos? ( •
• A algun otro lado? ( •
• Otro. (

63. ¿Existen extintores de fuego:

76.
Manuales? (
• Automáticos? (
• No ex1ston. (
77

64. ¿Se ha ad•estrado el personal en e manejo de los eXhntores? s• NO

78
65. Los exhntores, manuales o automáticos, funcionan a base de:

• Agua. ( l
• Gas. ( )
• Otros. ( )
de mfor- 66. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 233
'o SI NO SEGURIDAD
FISICA
(NOTA: Verifique el número de extintores y su estado.)
67. Si es que existen extintores automáticos, ¿son actovados por los detectores
automáticos de fuego? si NO

68. Silos extintores automáticos son a base de agua. ¿se han tomado medidas
para evitar que el agua cause más dallo que el luego? s1 NO

69. Si lOs extintores automáticos son a basa de gas, ¿se han tomado medidas
para evitar que el gas causa más daño que el fuego? SI NO

70. ¿Existe un lapso de tiempo sufociente. antes de que funcionen los extintores
automátiCOS, para que el personal:

• Corte la acción de los extintores por tratarse de falsa alanna?

SI NO
• Pueda cortar la energia eléctrica? si NO
Pueda abandonar el local sin peligro de intoxicación? Si NO
• ¿Es inmediata su acción? si NO

71. ¿Los interruptores de energfa están debidamente protegidos, etiquetados y

sin obstáculos para alcanzarlos? Sl NO

72. ¿Saben qué hacer los operadores del cuarto de máquinas en caso de que
ocurra una emergencia ocas•onada por fuego? Si NO

73. ¿El personal ajeno a operación sabe qué hacer en el caso de una emergen-
c•a (IncendiO}? SI NO

74. ¿Ex•ste salida de emergencia? fl()

75. ¿Esta puerta sólo es posible abnrta:

• Desde el interior?
• Desde el exterior?
• Por ambos lados?

76. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura

de esta puerta y de las ventanas, si es que ex•sten? s1 NO

77. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalo¡ar

las instalaciones en caso de emergencia? Si NO

78. ¿Se han tomado medidas para nMiffiiZar la posibilidad de fuego:

• Ev1tando artículos inftamables en el cuarto de máquinas? }

• Proh•b•endo fumar? )
• V•g•lando y manteniendo el sistema eléctroco? )
• No se ha previsto. )
234 79. ¿Se tienen identificadas y señaladas las salidas de emergenc1a?
sA 11)
CAPITUlO 6
EVALUACIÓN
OE lA SEGURIDAD 80. ¿Se encuentran las sei\ahzaciones en la parte onfenor y supenor de los pa·
sillos? si ""

81 . ¿Se cuenta con máscaras contra gases o sistemas portátiles de oxigeno?

si ""
SI
82. ¿Se llene bóveda contra incendio?
""
SEGURIDAD EN GENERAL

83. ¿Se controla el préstamo de:

• Elementos magnéticos? ( )
• Equpo? ( )
• Software? ( )
84. Explique la forma en que se ha clas•hcado la información: v1tal. esencaa~ no
esenoal. etcétera.

85. ¿Se cuenta con copias de los archivos en un lugar distinlo al de la oo~u·
tadora? SI "

86. Explique la forma en que están protegidas ffsicamente estas cop1as (bóveoa.
cajas de seguridad, etc.) para garantizar su integndad en caso de lncendo,
.nundacióo, terremoto. etcétera.

87. ¿So tienen establecidos procedimientos de actualización para estas coplas?

SI »
88. lndoque el nurMro de copi8S que se llenen de dCUerdo con la forma en Cl
se aas1f1CB la 1nformac•6n

89. ¿Ex•ste departamento de aud•toría Interna en la ins!ltucl6n? SI 10

90. ¿Este departamento de auditoría ~ntema conoce todos los aspectos de los
sistemas? sí NO

91. ¿Qué llpos de controles ha propuesto?

92. ¿Se cumplen? SI NO

93. ¿Se audrtan los s1stemas en operaaón? 1<0

94. ¿Con qué frecuencia?:

• Cada se1s melles. ( )

• Cada ai\o. ( )
• Otra (especifique). ( )
 235
95. ¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién?:
SEGURIOAil
NO FISICA
( )
• usuano. )
(
los pa· • Dtrector de •nfonmábca. ( )
NO • Jefe de análisis.
( )
• Programador.
( )
~no? • Otras (especrt1que).
NO

NO 96. La sohc;tud de modificaciones a los programas se hacen en fonma:

• Oral.
• Esenia.

(En caso de ser esenia solic1te fonmatos.)

97. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los
interesados? si NO
NO
98. ¿Exoste control estncto en las mod•fiC3CI009S?

99. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan
compu- efectuado? si NO
NO
100. ¿Se venf;ca ident,hcaCIÓ<I:

• De la tenm,nai? ( )
• Del usuario? ( )
• No se pide identificación. ( )
cop<as?
101 ¿Se ha estabfecodo el mvel de usuano de la tnfonmación? NO
NO
en que
102. ¿Se ha establecido un numero máx1mo de violaciones en sucesión para
que la computadora cierre esa lenminal y se dé aviso al responsable de
ella? •1 NO

103. ¿Se reg1stra cada VIOlación a los procedimientos con el fin de llevar esta·
; de los
NO
dísticas y frenar las tendenc1as mayores? SI NO

104. ¿Ex1sten controles y med1das de seguñdad sobre las sigUientes opera-

caones? NO
¿Cuáles son?
NO
Recepción de documentos. ( )
NO ( )
• Información confidencial.
• Captación de documentos ( )
( )
• Cómputo electróniCO.
( )
• Programas.
• Discotecas y clntotecas. ( )
Documentos de salida. ( )
Archivos magnéticos. ( )
 236 • L
• Operacoón del equrpo de computación. )
CAPITuLO 6 • En cuanto al acceso de personal. )
EVALUACIÓN
• Identificación del personal. )
DE LA SEGURIDAD
• Pohcla . ( )
Seguros contra robo e incendio. ( )
Caías de seguridad. ( )
• Otras (especifique). ( )

SEGURIDAD EN CONTRA DE VIRUS

Un virus de computadora es un programa o serie de in•truccione. que al~
tar otros programas pro\'oca que se modifiquen sus mstruccion~. o bren qut
infectar los datos y la información provoque variaciones en 1<»> re:.ultados
cialmente previstos. Su comportamiento y consecuencias pueden evoluaca
mediante un número finito de instancias.
Los daños t¡uc puede provocar un virus son de muy diversa índole, por
uno de los principales e; el psicológico, ya que muchos usuarios, cuando ti•""
cualquier tipo de problema, lo primero que piensan es que es un virus, srneu-
minar si se equivocaron o s i el sistema tiene problemas (bugs), lo primero en que
se piensa es en un vi1·us.
Los daños más comunes son los siguientes:

1 Oal'los de virus • Suplantación de datos.

• Eliminación aleatoria.
• Destrucción de la producción.
• Modificación de lo; códigos de protección.
• Bloqueo de redes.
• Cambios d«.> mformación entre usuarios.
• Por medio de un canal encubierto, cambiar, acce<;.u o difundir cLm~sd!
seguridad.
• Modificación de información de salida o de pantallas.
• Saturación, reducción de disponibilidad o cambio de parámetros.
• Combinación dl' los anteriores.

En un principio los virus infectaban la parte protegido de la memoria o de lo·

p rogramas; dcspu6s, se extendieron, en el sentido de que no sólo infectdban al
usuario, sino o otros posibles usuarios de la info rmación. Esto se presentaba pri~>
cipalmente en l~s redes y en las bases de datos, pero en la actualidad también SE
tiene el problema de persistencia, ya que el virus puede estar encapsulado, has~
que suceda un evento (fecha), o bien tenga posibilidades de irúectar al 'i>tem•.
Para evitar que los virus se diseminen por todo el sistema computanzadv
por las redes se debe:

• Utilizar paquete!> y programas originales. Sed

• Limitar la utili?.lción en común. Sólo permitir el acceso,, la parte del''* el p
ma o del programa autorizado para cada usuario. clp
 • Limitar el tránsito. Evitar que todos los usuarios puedan navegar por todos 237
los sistemas. Restringir el tránsito entre usuarios o entre sistemas (lo cu al es SEGURIDAD
difícil y va en much os casos en contra de la filosofía de uso de la informa- ENCONffiADE
ción y de comunicación). VIRUS

• limitar la programación y controlarla adecuadamente.

El problema de los virus en muchas ocasiones son los ciclos interminables; Analizadores
ya que se desinfecte u na parte del sistema o algunos usua rios, el virus puede de virus
seguir latente e infectar nuevamente a 1sistema. Esto sucede sobre todo cuando
el sistema se encuentra en operación. Para poder tener u na cura parcial se debe
di,•idir el sistema o los usuarios de tal forma que se pueda desinfectar una parte
sin suspe nder totalmente la operación del sistema. Por lo anterior se recomien-
da que a la primera posibilidad de virus se apague el sistema y se evalúe hasta
al infec- <er desinfectado, lo cual a su vez puede provocar también el problema psicoló-
n que a l gico de estar pensando que la primera falla que se tenga, se trate de un virus.
dos in i- Se debe tener vacunas contra virus; el problema es que generalmente estas
lucionar vacunas no cubren todos los virus, por lo que se requiere achta lizarlas constan-
temente.
•le, pero Otra forma de protegerse es a través de analizadores de virus. Estos pro·
o tiene n gramas detectan la existencia de un virus en el momento de la inicia lización
sin exa- (llootstrap) de las computadoras personales. Estos analizadores presentan p ro-
)enque blemas, ya que son costosos y poco efectivos para todos los diferentes virus,
aunque son actualmente muy populares en el mercado. Un analizador real-
mente efectivo debe detectar e l virus antes de que ataque.
Entre los problemas en la utilización de ana lizadores y de vacunas contra
virus están:

• Son efectivos solamente contra virus conocidos o patrones de ataques cono·

cid os.
• Utilizan mu chos recursos y tiempo para de tecta r v irus e n red es pa ra anali·
zar un sistema en busca de los patrones conocidos.
aves de • En algunos de los casos, los ataques vienen del interior de la organización.
• Para que puedan seguir siendo efectivos se deben actualizar constantemente.
• Algunos no son efectivos para de tectar virus evolutivos, los cuales cada día
son más frecuentes.
• Algunos p roducen resultados positivos falsos, creando efectos psicológicos.
o de los • Las personas no utilizan los programas analizadores de manera confiable.
aban al
oa prin-
>bién se
o, hasta
;tema.
PRoTECCIONES coNTRA VIRUS
izado o
Y ELEMENTOS A AUDITAR
Se debe evaluar y auditar que todos los paquetes que se utilicen sean originales;
el siste- el problema está en descubrir qué elemento puede servir para determi nar que
el paquete es orig inal.
238 Para ello se tiene la f~ctura, el disquete o rigina l, t•l monu~ l. la hoja drg• sus'"'"
CAPITUl.O e tía, aunque en algunos casos se compra la au tori..~:ación corporativa (licero.
EVALUACIÓN para el uso de un número determinado de copias, lo cual d ificulta evalua
OE l.A SEGURIDAD todas las copias que se tienen sean autorizadas.
En Wl principio, los virus se encontraban principalmente en los progr
de juegos, por lo que se deben eliminar los juegos en todo• los equipo- ele
oficinas, ya que é<to,, en primt>r lugar, no tient>n por qué estar en rompu
para trabajo y, en segundo, esto disminuye la posib1hdad de mfectar las dore' (
tildoras. ataque
Se debe verificar que todas las computadoras tengan ana lizador« l n los

desinfectadores de vi rus instalados y actualizados.

Los sistemas deben estar debidamente aislados, de ta l forma que un <i
ma sólo p ueda accesar 1.1 in formación que requiera y no pueda entrar a
s istema o base de datos.
Se debe prohibí r la utilización de diquetes externos, a menos que sean
damente probados y desmfectados.
Se debe vigilar como parte esencial y primaria que exista una defen-..
Ira la introducción de algún v1rus, y en caso dcqut> se •nfl'Cicn las comput
tener un adecuado procedimiento para desinfcct.ul~~-
Deben de existir políticas y procedimientos de actuación en caso d
exista un virus, tanto para computadoras personalet. como para redes, y la
ma de desinfectarlos y restau rar el sis tema (política de e ncuéntralo, elimínalo
a léjate). En algunas portes se han creado los equ ipos conocidos como CER
(Computer Emergmcy Rr,,.orrsr Team: equipo de respu<>sta de emergencia
computadora), cuya función es preparar a la organi7ación para dar I"CSJ'U'
problemas relacionad"' con la computadora, lo' cuales tienen bajo su ""f"'>
sabilidad Jos planes de contingencia, emergencia y contra virus. no .. es
El equipo tiene la n.'SpollSilbilidad de detectar cualquier problema de' vulnc~
capacitar a los usuari(h, determinar las precaudo~ tl'cnicas necesanas. y Ce
gu rar que los sistemas técruco:. y humanos funcionen adecuadamente en de cab
de una emergencia. ra~ la

Desafortunadamente, las leyes contra los virus, principa 1mente los m.1ha
sos, no han evolucionado a l ritmo de la tecnologra (se consid era delito sólo cu.m
do la persona actuó en forma maliciosa e intenciona l), y la dctecdón del ori
de los virus es cada día mJs complicada.

Internet vulne

1nernet es Wla asombrosa creación q ue ha reforzado nuestra economía; rep •

scnta todavia un trabajo en m.1rcha, capaz de ser derrumbado con sorprend
te facilidad.lncluso los gig,1ntes del cibercomercio no son más resistentes. TOO: •
lo que se necesita es un bien dirigido ataque de degeneración de servicios (DOS
por sus siglas en inglés) para causa r daños, al menos temporalmente.
La degeneración dl'l servicio se hace por medio de plantar, primero,
software "esclavo• en computadoras de terceras partes o •zombies". En
momento, esos programas esclavos utilizan la capacidad de procesamientu dt
 odega(aJ1- sus anfit(iones para enviar una torre de me nsajes destructivos a los servido res 239
' (licencia) que son su verdadero blanco. SEGURIDAD
raluar que En 1998, el Equipo de Respuestas a Emergencias Informáticas (CERT) de EN COI'll'AA OE
Estados Unidos comenzó a prevenir a la comunid ad cibernética sobre las incur- VIRUS

nogramas siones de DOS, y admitió que: "No podrán prometer q ue esto desaparezca a
po$ de las corto plazo."
putadoras La solución es la protección de todo ciberespacio contra programas depreda- La degeneración
3SCOmpu- dores q ue reclutan a decenas y hasta cientos de máqu inas inocentes para l ll1 del servicio DOS
ataque d e DOS. Los proveedores de servicio de Internet deberán instalar filtros
oadores y en los datos que transmiten, y los auditores deberán cu idar que sólo se utilicen
servicios de Internet con p roveedores que p roporcionen este servicio. Las agen-
~un siste- óas de seguridad deberán introducir agentes zombies que husmeen en b usca
rar a otro de información indeseada, o bien por medio de rompecabezas criptográficos
que abnt111en a las máquinas agresoras.
;ean debi- Los lwckers malévolos, que intentan obtener ganancias financieras, o los
hackers conocidos como de sombrero negro, que intentan d ivertirse al echarle a
fensa con- perder el día a un usuario de Internet, en la actualidad son combatidos por
'utadoras, medio de hackers de sombrero blanco, que trabajan en firmas d e segu ridad.
La misma conexión que hace a la red tan robusta, ta mbién la deja vulnera-
;o de que ble al efecto del eslabón débil de la cadena. La apertura y facilidad con que
;, y la for- millones de personas pueden compartir la información, también pone en peli-
imínalo y gro la intimidad. La mayorfa de los ataques no son diseñados para introd ucirse
no CERT en los sistemas, sino simplemente para hacerlos más lentos. Pero los allanamien-
encías de tos no son d ifíciles y pueden venir más problemas.
spuesta a Si los datos no se pro tegen apropiad amente, la información personal que se
u respon- transmite en línea deja a la Web vulnerable al robo de identidad. Los funciona-
rios estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de
de virus, vulnerar o penetrar las computadoras del gobie rno.•
tas, y ase- Con un número creciente de conexio nes pe rmanentes, tales como módem
e en caso de cable, los hackers malévolos podrían husmear digitalmente por las cerradu-
ras las vidas de las personas y la p rivacidad de las empresas.
>malido- Los hackers usan herramientas de software para merodear por el sistema, a
ólocuan- fin de encontrar debilidades que los ope rado res de redes no han enmendado.
lel origen Se está a merced de los administradores de sitios web y de provl>edores de
servicios de Internet para mantenemos a resguardo contra los defectos y reme-
dios de segu ridad. Lo más pelig roso es q ue los lwckers podrían obtener empleos
legítimos en cualquiera de las organizaciones que han sido afectadas por ellos.
Por lo anterio r, para que el auditor se asegure que la información no sea tan
vulnerable:

la; repre- • Se debe utilizar siempre software antivirus y actualizarlo con frecuencia
prenden- para alejar programas destructivos.
tes. Todo • No se debe permitir que comerciantes en línea almacenen información d e
os(OOS, la empresa o de las personas.

l\ero, un
".En un
tiento de • Nt".A.>SU!ttk, 23 de febrero de 2000.
240 • Se debe utilizar contraseñas difíciles que combinen numeros y letra<,¡
CAPíTuLO 1 deben cambiar con frecuencia. de¡,
EVALUACIÓN • Se deben utilizar diferentes contraseñas para sitios ~n la red y aplicacion
0E LA SEGURIDAD para despistar a posible~ lrnckers. rarl'
• Se debe utilizar la ver.1ón más actualizada dl'l na\'l'gador de red, sofu varn
de E-mail y olro' programas. ront
• Se deben enviar los números o informaoón confidencial solamente a ''bOl dest
seguros; se debe bu...:ar el icono de candado o llave en el navegador.
• Se debe confirmar que~ trata del sitio que se busc,l Hav que tener cwd lo p
al teclear. siste
• Se deben usar programas de seguridad para controlar los cookies quern pr.ic
vían datos de vuelta a los sitios wcb. 1
• Se debe instalar software para inspeccionar el trJfico si se usa DSL u cóm
módem de cabl<• para con<'Ctarse a la red.
• No se deben abnr agregados de E-mail a menos que se conozca la fuetllf •
del mensaje recibido.

• 1
SEGUROS
Los seguros de los equipos en a lgunas ocasiones se d<•jan en segundo términ"
aunque son de gran importancia. Se tiene poco conodmiento de los riesgosq
entraña la computación, ya que en ocasiones el ri<-.;go no l'S daro para lasCO"' •
pañías de seguros, deb1do a lo nuevo de la herramienta, a la poca e>penl'!>
existente sobre di'Sa,trl'S y al rápido avance de la ti'Cilología.
Como ejemplo di' lo anterior tenemos las pólins de S<'gUrDS contra d<'S»- •
tre-, ya que algunos conceptos son cubiertos por el pro\'eedor del seninod! • !
manterúmiento, lo cual hace que .e duplique el "11\lrtl, o bll'n que sobre\'engaa
dl>saStrcs que no son norm.llcs en cualquier otro tipo de ambiente. (

Se deben verificar las fl'chas de vencimiento de las pólizas, pues puede,.. • 1

ceder que se tenga la póli/,1 adecuada pero vencida, y que se encuentre actual • 1
Lada con los nuevos equipos. 1
El seguro debe cubrir todo el equ ipo y su instalación, por lo que es prob.1blt 1

que una sola póliza no pueda cubrir todo el eqUipo con las diferentes caractl'l
licas (existe equipo que pu<>de ser transportado, como computadoras pcl'<l>N-

Capacidad
1<....,, y otras que no se pueden mo,·er, como unidadl.,. de di'>C'O duro), por lo que
tal vez con\'enga tener dt"- o más pólizas por <;eparado, cada una con las espeo-
ficaciones necesanas.
Se debe tomar en cuenta que existen riesgos que '-On difíciles de e\'alu •
o
del seguro de asegurar, como la negligencia. DE
El costo de los equ ipos puede variar, principa lmente en aquellos paíse.qu;:
tienen grandes tasas de inOación o de devaluación, por lo que los segurosdelll'n
t'Star a precio de compra (valor de adquisición de nuevo equipo con iguaks F.n la
características) y no a precio al momento de contratación del seguro. do a
El seguro debe cubnr tanto daños causados p.>r factores externos (terremo- ción
to, inundación, etc.) romo miemos (daños ocasionados por negligencia de b " en¡
operadores, daños deb•dos al a1re acondicionado. etc.!tt'ra). C'otlp
 1s, y se También se debe asegurar contra la pérdida de Jos programas (software), 241
de la úúormación, de Jos equipos y el costo de recuperación de lo anterior. SEGUROS
ciones, En el caso de los programas se tendrá en cuenta en el momento de asegu-
rarlos el costo de elaboración de determinado equipo, el costo de crearlos nue-
•fhvare vamente y su valor comercial. En el caso del personal, se pueden tener fianzas
contra robo, negligencia, daños causados por el personal, sabotaje, acciones
a sitios deshonestas, etcétera.
r. Es importante que la dirección de informática esté preparada para evitar en
Jidado lo posible el daño físico al personal, oficinas, equipo de cómputo, así como al
sistema de operación. Además, deberá tener cu idado de que existan normas y
1ue en- prácticas eficaces.
Como ejemplo y en forma genérica, por lo común un seguro de equipo de
Lo un cómputo considera Jo siguiente:

fuente • Sienes que se pueden amparar. Cualquier tipo de equipo electrónico, como:
de cómputo, de comunicación, de transmisión de radio y televisión, etc.
Con excepción de los que formen parte de equipo especial en automóviles,
camiones, buques, aviones.
• Riesgos cubiertos. La cobertura básica cubre contra todo riesgo de pérdida
súbita, accidental e imprevista, con excepción de las exclusiones que se in-
dican en las condiciones generales de la póliza. Esta cobertura ampara ries-
rmino, gos como: incendio, rayo, explosión, únplosión, arcos voltaicos, cortocircui-
os que tos, sobretensiones, etcétera.
scom- • Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso,
riencia como son: terremoto y erupción volcánica; huracán. ciclón y tifón; equipos
móviles o portátiles; huelgas y motín; hurto.
desas- • Exclusiones. Las indicadas en las condiciones generales de cada seguro.
ido de • Suma asegurada. En todos los casos se tiene que reportar como suma ase-
•engan gurada el valor de reposición de los equipos a asegurar (a valor nuevo sin
descontar depreciación).
-de su- • Primas, cuotas y deducibles. Dependen del tipo de equipo.
ctuali- • Indemnización en caso de siniestro. Las pérdidas pa rcia les se indemnizan a
valor de reposición (valor nuevo) y las pérdidas totales a valor real (valor
obable nuevo menos depreciación).
ICterís-
rSona-
lo que
!Speci-
CoNDICIONEs GENERALES DEL sEGURO
tluar y
DE EQUIPO ELECTRÓNICO
es que
deben
guaJes En la póliza de seguro se certifica que, a reserva de que el asegurado haya paga-
do a los aseguradores la prima mencionada en la parte descriptiva, y con suje-
-remo- ción a los demás términos, exclusiones, disposiciones y condiciones contenidas
de los o endosadas, los aseguradores indemni7.arán en la iorma y hasta los límites
estipulados en póliza.
242 Una vez que la insta lación inicial y la puesta Cll marcho de los bienesaS<gu· pt'rdíd
CAPITULO 6 rodos haya finalizado satisfactoriamente, este seguro se aplica, ya sea quel t~~tar;..\ "
EVAI.UACION bienes estén opera!ldo o Cll reposo, o hayan s ido dcsmolltados con el propús1 no~ sí
DE LA SEGURIDAD de ser limpiados o reparados, o mientras sean trasladado;, dentro de los pmt..
el.tipulados, o mientras se e;,tén ejecutando las operaciones menóonac
durante el remontaje subsiguiente.
Cond
• l.a
Exclusiones generales eu
qu
Lo~ aseguradore~ no indcmllizarán a l asegurado •·espccto a pérdidas o dañ • El
directa o indirectamelllC causados o agravados por:

• Guerra, invasión, actividades de enemigo extranjero, hostilidades (ro:

sin declaración de guerra, guerra civil, rebelión, revolución, ÍI1.SUrl'em.'ll •
motín, tumulto, huelga, paro decretado por el patrón, conmoóÓi'l ri\il.
der militar o usurpado, grupos de personas maliciosas o personas adu.
do a favor o en conexión con cualquier organización política, conspira<l. sa
confiscación, requisición, destrucción o daño por orden de cualquier~ • F.
bierno de jure o de fncto, o de cua lquie r autoridad pública. y
• Reacción nuclear, radiación nuclear o contaminación radiactiva. e
• Acto intenciona l o negligencia man ifiesta del asegurado o de sus reprtscr- P•
tantes.

La compañía aseguradora en ningún caso será responsable por: pérdidl

daños materiales, perjuiciO!> o gastos causados, directa o indirectamente. rx
falta de funcionamiento o por (all,ls, errores o deficiencias de cualquier d;,p • A
tivo, aparato, mecani5mo, equipo, instalación o sistema, sea o no propiedad del g
asegurado o que esté bajo control o simple posesión, como consecuencia d; ~
incapacidad de sus com ponentes físicos o lógicos.
Para efectos de esta clá usula, se entiende por componentes lógicos lossisll>-
mas operativos, prog ramas, bases de datos, líneas de código, aplicaciones v
demás elementos de computación electrónica, tamb ién denominados softwar~
y por componentes físicos, los dispositivos electró"icos o electromecánicos. .,.
les como procesadores, microprocesadores, tarjetas de circuitos impresos. dt.
co;., unidades lectoras, impn.>soras, reproductoras, conmutadores, equipos
control y demás elementos conocidos bajo la denominación genérica de hanl-
ware.
No obstante lo anterior, y única mente aplicable para los riesgos de inrn-
dio, rayo y 1o explosión, caída de aviones (u objetos caídos de ellos), vehícul<>
y humo, granizo, terremoto; erupción volcán ica e inundación, un daño diredo
ocurrido de forma accidental, súbita e imprevista, gc11cmdo consccuencialml'!llt
por las pérdidas o da1ios <:'xcluidos por la presente cláu~ula, gozará de coberlu noh
ra, s iempre y cuando se establezca como amparado en las condiciones del con· pu
trato de seguro.
En cualquier acción, litigio y otro procedimiento en el cual los asegurad""" rep
alegaran que, a causa de la~ di~posiciones de las exclusiones anteriores, alguru lo~
 lSasegu- pérdida, destrucción o daño no estuviera cubierto por este seguro, entonces 243
' que los estará a cargo del asegurado el probar que tales pérdidas, destrucciones o da- SEGUROS
1ropósito ños sí están cubiertos por este seguro.
;predios
nadas, o

Condiciones generales

• La responsabilidad de los aseguradores sólo procederá si se observan y

cumplen fielmente los términos de la póliza, en lo relativo a cualquier cosa
que debe hacer o que deba cumplir el asegurado.
o daños • El asegurado, por cuenta propia, tomará todas las precauciones razonables
y cumplirá con todas las recomendaciones hechas por los aseguradores,
con objeto de preven ir pérdidas o daños y cumplirá con los requerimientos
>s (con o legales y con las especilicaciones técnicas del fabricante.
:rección, • Los representantes de los aseguradores podrán en cualquier fecha razona-
:ivil po- ble inspeccionar y examinar el riesgo, y el asegurado suministrará a los
actuan- representantes de los aseguradores todos los detalles e itúormacioncs nece-
:>iradón, sarias para la apreciación del riesgo.
uier go- • El asegurado notificará inmediatamente a los aseguradores, por telegrama
y por carta, cualquier cambio material en el riesgo y tomará a su propio
costo todas las precauciones adiciona les que las circunstancias requieran
~presen- para garantizar un funcionamiento confiable de la maquinaria asegurada.
Si fuera necesario, se ajustarán el alcance de la cobertura y 1o la prima,
según las circunstancias. El asegurado no hará ni admitirá que se hagan
érdidas, cambios materiales que aumenten el riesgo, a menos que los aseguradores
nte, por le confirmen por escrito la continuación del seguro.
disposi- • Al ocurrir cualquier siniestro que pudiera dar lugar a una reclamación, se-
~ad del gún esta póliza, el ase¡,'Uiado deberá:
::ia de la
o Notificar inmediatamente a los aseguradores, por teléfono o telégrafo,
ossiste- y confirmarlo por carta certificada indicando la naturaleza y la exten-
:ioncs y sión de la pérdidas o daños.
oftware, o Tomar todas las medidas dentro de sus posibilidades para minimizar
licos, ta- la extensión de la pérdida o daño_
sos, dis- o
Conservar las partes dañadas y ponerlas a disposición de un represen-
lipos de tante o experto de los aseguradores para su inspección.
le hard- o
Suministrar toda aquella información y pruebas documentales que los
aseguradores le requieran.
e incen- o
Jrúormar a las autoridades judiciales respectivas, en caso de pérdidas o
!hículos daños debidos a robo con violencia, asalto y 1o hurto_
•directo
almente Los aseguradores no serán responsables por pérdidas o daños, de los cuales
:obertu- no hayan recibido notificación dentro de un determinado número de dias des-
del con- pués de su ocurrencia.
Una vez notificado a los aseguradores, podrá el asegurado llevar a cabo las
radorcs reparaciones o reemplazos de pérdidas de menor cuantía, debiendo en todos
alguna los demás casos dar a un representante de los aseguradores oportunidad de
244 inspeccionar la pérdida antes de que se efectúen las reparaciones o alteraoo- • El
CAPiTULO 6 nes. Si el r~present,lnte d~ los aseguradores no Uevara a cabo la inspecci<ín dfli • Pé
EVALUACIÓN tro de un lapso considerado como razonable bajo estas Circunstancias, el ast, m
OE LA SEGURIOAO rado estará autorizado a realizar las reparaciones o rccmp1i'170S respectiv~ ol
La responsabilidad de los asegurados con respecto a cualquier boen •lSe!!Y. • p~
rado bajo la póliza cesará; s i dicho bien continúa operando desputfs de un• sir
reclamación, sin habt.!r sido reparado a satisfacción de los asegu radores o soso: • p~
realizaran las r~paracioncs provisionales sin consentimiento de los aseguradore; de
re
• El asegurado, por cuenta de Jos aseguradores, ha o·á y permitirá reali<art~ llc
dos aque llos actos que puedan ser necesarios o requeridos por Jos aS<'gur • PE
dores para dcf~ndcr derechos o interponer recursos o para obtener ro. · ci·
pensaciones o indemnizaciones de terceros (que no están asegurado< o
esta póli7a), y respecto a Jos cuales los aseguradores tengan o tu\•ierao de- • p,
recho a subrogación en virtud del pago de dichas com¡x-nsaci011<! ni
indemni7aciones por cualquier pérdida o daño, ya sea que d1chos act01 di
cosas fueran o lleg.lsen a ser necesarias o requeridas antes o despué<; deqae • e
los aseguradores indemnizaran al asegurado. m
• Si en los términos de la póliza surgiera alguna di(cr~ncia rc.pccto a la <u:r. <M
a pagar (habiéndose por otro lado admitido la responsabilidad), tales do • e
vergencias serán sometidas a la decisión de un árbitro designado pore:.:n· dt
to por las partes en conflicto. di
• Los beneficios dcdvados de la póliza se perderán: • p,
d
o
Si la información proporcionada por e l asegurado no correspondealai • H
realidades existentes, si la reclamación fuera en alguna forma fraudu· li
l~nta, o si s~ hicieran o se emplearan declaraciones falsa~ para apo1·aJ d
la reclamación. • p
o
Si al harer una reclamación_ ésta es rechazada por los aseguradores y • p
no se iniciara acción o demanda.

Cl
Daños materiales b
• o
Alcance de la cobertlora. Los aseguradores, en caso de que esté pagada la po.i· b
z.a, se encuentre vigente y que la pérdida o daño no se encuentren cspecíficamen
excluidos, indcmni2a 1·án al asegurado por tales pérdidas o daños, en efectivo, o L.
reparando o reem pla1..ándolos (a elección de los aseguradores) hasta una suma m en
que por cada anualidad de seguro no exceda de la suma asegurada a~ignad" das
cada bien asegurado en la pa rte descriptiva y de la cantidad total garantizada
por la pó liza. se en

•
Exclusiones especiales • f
•
Sin embargo, los a»eguradores no serán responsables, a menos que se estipwll •
lo contrario ~n las pólizas, de: •
 •rado- • El deducible ~tipulado. 245
nden- • Pérdida' o daños cauo;.1dos dol'ffta o indil'fftamcnte por resultantes de te- SEGUROS
ISegU- rremoto, t<:mblor, gol~ de mar por maremoto y erupción volcánica, cidón
lOS. o huracan.
begu- • Pérdida' o daño~ cau,.1dtl' directa o indirectamente por hurto, robo con o
e una san voolc:-noa )' 1o ao;.1lto.
o si se • Pérdida'> o daoo- cau~dtl' por cualquier fallo o defecto existente al inicio
dores. del seguro, que sean conocidos por el asegurado o por sus representantes
<L>!>pon'>abl~ d~ los boenl'S a~gurados, sin tomar en cuenta que dichos fa-
!.ar to-- lltl' o dcfl>ctos fueran o no conocidos por los aseguradores.
~gura­ • Pérdida'> o daños cau•ados directa o indirectamente por fallo o interrup-
·com- ción en el aprovi.,ionamiento de comente eléctrica de la red pública, de gas
los en o agua.
ln de- • Pérdida; o daños que .can consecuencia directa del funcionamiento conti-
~nes o nuo (desgaste, cavilación, erosión, corrosión, incrustaciones) o deterioro gra-
ctos o dual debido a condiciones atmo>féricas.
le que • Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a
meno& que dicho& fallos fucrcn causados por pérdidas o daño indemnizable
suma ocurrido a los bienes aseguradas.
es di- • Cualquier ga;,to cro¡;ado rCS)X'CtO al manten imiento de los b ienes asegura-
escri- dos; tal exclusión se «plica 1,1mbién a las partes recambiadas en el curso de
dichas operacimws dc mantenimiento.
• Pérdidas o daí'ios cuya rcspons,1bilidad recaiga en e l fabricante o el provee-
dor de lo; bient'' asegurado~. ya sea legal o contractualmente.
ea las • Pérdidas o daños a equipos arrendados o alquilados, cuando la responsabi·
audu- lidad reca iga t•nel propietario, ya sea legalmente o según conveniodearren-
poyar damoento )·/o mantenimiento.
• Pérdida o re:.pon<abilidadl'S consccucnciales de cualquier tipo .
es y si • Pérdida' o daños a partes desgastables, tales como bulbos, válvulas, tubos,
bandas, fusibll'S, scllos, cintas, alambres, c.1denas, neumáticos, herramien-
tas recambiable>, lente,, rodillos, grabados, objetos de vidrio, porcelana o
cerámica a cualquier medio de operación (por ejemplo: lubricantes, com-
bustibl~, agentt>s químiCO»).
• Ddcclo>t'Stdoro.., tale:. como raspaduras de superficies pintadas, pulidas o
1póli- bami,ad,ls.
nente
ivo, o Los ascguradore<; ser.in empero rcspon~bles re:.pecto a pérdidas o daños
suma mencionados anterionnente, cuando las partes espeaficadas hayan sido afecta-
.adaa das por una pérdida o daño ondcmnizable ocurrido a los bienes asegurados.
izada Entre las exclusoon"' que pueden contratarse mediante convenio expreso
se encuentran:

• Terremoto y erupción volc.inoca.

• Huracán, ciclón y tifón.
• Huelgas y conmoción civil.
tipule • Hurto y 1o robo sin violencia.
• Robo con violencia y 1o asalto.
246 Disposiciones aplicables
CAPITULO 6
EVALUACIÓN
DE LA SEGURIDAD Es requisito indispensable del seguro que la suma asegurada sea igual al 1
de reposición del b ien asegurado por otro bien nuevo de la misma clasey "'i
cidad, incluyendo fletes, impuestos y derechos adu aneros, si los hubiese, YS"'
tos de montaje.
Si la suma asegurada es inferior al monto que debió asegurarse, los a,.,"
radores indemnizarán solamente aquella proporción que la suma asegu ·
guarde con el monto que debió asegurarse. Cada uno de los bienes estará su
a esta condición separadamente.

Bases de la indemnización:

a) En aquellos casos en que pudieran repararse los daños ocurridos a losbJeftES

asegurados, los aseguradores indemnizarán aquellos gastos que sean ne<N
rios erogar para dejar la unidad dañada en las condiciones existentes inmt'di>
tamente antes de ocurrir el daño.
Esta compensación también inclu irá los gastos de desmontaje y remont.;¡
incurridos con el objeto de llevar a cabo las reparaciones, así como tamb
fletes ordinarios al y del talle r de reparación; impuestos y derechos aduanen
si los hubiese, o siempre que tales gastos hubieran sido incluidos en la swr
asegurada. Si las reparaciones se llevaran a cabo en un taller propiedad d
asegurado, los aseguradores indemnizarán los costos de materiales y jo""""
No se hará reducción alguna en concepto de depreciación respecto a p.ut<!
repuestas, pero sí se tomará en cuenta el va lor de cua lquier salvamento que«
produzca.
Si el costo de reparación igualara o excediera e l valor actual que tenían kl!
bienes asegurados inmediatamente antes de ocu rrir el daño, se hará el a¡u.'te
sobre la base de lo estipulado en e l siguiente párrafo.
b) En caso de que el objeto asegu rado fuera totalmente dañado, robad
destruido, los aseguradores indemnizarán hasta el monto del valor actual qlk
tuviere el objeto inmed iatamente antes de ocurri r e l siniestro, incluyendoga.
tos por fletes ordinarios, montaje y derechos aduaneros, si los hubiera, y siem·
pre q ue tales gastos estuvieran incluidos en la suma asegurada. -l.
Se calculará el susodicho valor actual deduciendo del valor de reposict
del objeto una cantidad adecuada por concepto de depreciación. Los asegur.. 5.
dores también indemnizarán los gastos que normalmente se erogaran parad"'·
montar el objeto destruido, pero tomando en consideración el valor de sall·a- 6.
mento respectivo. El bien destruido ya no quedará cubierto por la pólila. de-
biéndose declarar todos los datos correspondientes al bien que los reemplace 7.
con el fin de incluirlo en la parte descriptiva de la póliza.
A partir de la fecha en que ocurra un siniestro indemnizable, la suma ase· 8.
gurada quedará reducida, por el resto de la vigencia, en la cantidad indemnJLa·
da, a menos que fuera restituida la suma asegurada. 9.
Cualquier gasto adicional erogado por concepto de tiempo extra, traba¡o
nocturno y trabajo en días festivos, fletes expreso, cte., sólo estará cubierto Jx.
el seguro si así se hubiera convenido por med io de un endoso. '1
 Según la póliza no serán recuperables los gastos por modificaciones, adi- 247
ciones, mejoramiento, mantenimiento y reacond icionamiento. SEGURIDAD
Los aseguradores responderán por el costo de cualquier reparación provi- EN LA UTILIZACIÓN
1al valor D EL EQUIPO
sionaL siempre que ésta forme parte de la reparación final, y que no aumente
e ycapa-
Jos gastos totales de reparación.
;e, y gas-
los aseguradores sólo responderán por daños después de haber recibido a
satisfacción las fach.tras y documentos comprobantes, de haberse reali:tado las
ISasegu-
reparaciones o efectuado los reemplazos, respectivamente.
egurada
rá sujeto

SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO

JS bienes
necesa- En la actualidad los programas y equipos son altamente sofis ticados y sólo al-
nmedia- gunas personas dentro del centro de cómputo conocen al detalle el diseño, lo
que puede provocar que puedan producir algún deterioro a los sistemas si no
montaje se toman las siguientes medidas:
también
Janeros, l. Se debe restringir e l acceso a los programas y a los archivos.
la suma 2. Los operadores deben trabajar con poca supervisión y sin la participación
dad del de los programadores, y no deben modificar los programas ni los archivos.
ornales. 3. Se debe asegurar en todo momento que los datos y archivos usados sean los
a partes adecuados, procurando no usar respaldos inadecuados. Como ejemplo de
o que se los problemas ocasionados por un mal uso de los respaldos está el de aque-
lla instalación en que al mismo tiempo que se capturaba información para
nían los el archivo maestro, el programador hacía pruebas y cambios a los progra-
:1 ajuste mas. El capturista capturaba el15 de enero y en ese momento el programa-
dor deseaba que pusie ran en e l mismo usuario que e l capturista la informa-
)bado o ción dcl13 de enero. El cap turista continuaba capturando pero ya no en los
:ual que archivos del 15 sino del día 13, y cuando volvían nuevamente a poner la
tdo gas- infonnación del día 15 descubrían que existía la información que habían
ysiem- capturado pero no la encontraba.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar
Josición las terminales.
•segura- 5. En los casos de información confidenciaL ésta debe usarse, de ser posible,
ara des- en forma codificada o criptografiada.
e salva- 6. Se debe realizar periódicamente una verificación física del uso de term ina-
iza, de- les y de los reportes obtenidos.
mplace, 7. Se debe monitorear periódicamente el uso que se les está dando a las termi-
nales.
ma ase- 8. Se deben hacer auditorías periód icas sobre el área de operación y la utiliza-
~mni2a-
ción de las terminales.
9. El usuario es el responsable de los datos, por lo que debe asegurarse que los
trabajo datos recolectados sean procesados completamente. Esto sólo se logrará por
1rto por medio de los controles adecuados, los cuales deben ser definidos desde el
momento del diseño general del sistema.
248 JO. Debe existir una perfecta división de responsabilidades entre loscaptu En loi
de datos y los operadores de computadora, y entre los operadores , de datos }
CAPh'uLO 6
EVALUACION personas respon,able~ de las librerías. cuanto a:
DE LA SEGURIDAD 11. Deben existir registros que reflejen la transferencia de información entr'
d iferentes funciones de un sistema. • Equi'
12. Debe controlarse lo d is tribución de las salidas (reportes, cintas, etcétera). • Con ti
13. Se deben guardar copias de los archivos y programas en lugares ajenO<• corre•
centro de cómputo y e n las instalaciones de alta seguridad; por ejemplo: 1 • De fin
bancos. • Rcqu
14. Se debe tener un estricto control sobre el transporte de discO'l y cint.t<dr • r:~t(lr.
sala de cómputo al local de almacenaje distante. • Está~
15. Se deben identificar y controlar perfectamente los archivos. • Aud1
16. Se debe tener el>tricto control sobre el acceso físico a los archtvo.. punb
17. En el caso de programas, se debe asignar a cada uno de ellos unacla>'t<p
identifique el sistema, subsistema, programa y versión. Esto nos set'\Írá~
identificar el número de veces que se ha compilado o corrido un progr
y permitirá costear en el momento que se encuentre un sistema en pl{)ll-
ción. También evitará que el programador ponga nombres que no >il;!l
quen nada y que sean difíciles de identificar, y que el programadur uhl ·
Sea
la computadora para trabajos personales.
En un m
Otro de los puntos en los q ue hay q ue tener seguridad es en el manejo ó las comp
información. Po r ejemplo, exis te un gran robo de información confidencial fú! siniestro
medio del fotocopiado. Se da el caso de compañías en que sus competidor< el motiv
han conocido los planes confidenciales por medio del desperdicio de papel. menor ti
bien el caso de una compañía que e laboró una serie de políticas de pc!'óOnal futuro~
sumamente confidencia les y que los operadores y, consecuentemente, tod• ción m·g
compañía, conoció la m formación al momento de obtener los listados por mo- En~
dio de la computadora. Lo más drástico en este caso es que lo:. listados q""" extsteu
obtuvieron eran planes que servirían como alternativas de solucióll. pero IJl! establee
no habían sido autori1ados. Para controlar este tipo de información sed~
que~
le pos1
• Cuidar que no se obtengan fotocopias de información confidencial SJr t En
debida au lori~ción. contin¡;
• Sólo el personal .1utorizado debe tener acceso a la información confidencial An
• Contro lar los lis tados tanto de los procesos coHectos como aqucll05 pro- ¡¡nud"lC
cesos con tcrmint~ción incorrecta. en casq
• Contxolar el número de copias, y la destrucción de la información y del operali'
papel carbón de los reportes muy confidenciales.
• En
prc
El factor más importante para la e liminación de riesgos en la programaci.ia
es que todos los progr.1mas y archivos estén debidamente documentados. ¡>.'f o
lo cual se debe considerar la necesidad de tener un alto grado de seguridild
desde el momento de hacer el diseño preliminar del sistema, siguocndo los~ o
sos del diseño detallado y de la programación.
El siguiente factor en importancia es contar con los respaldos)' duplicados
de los sistemas, programas, archivos y documentación necesarios para que puedA
funcionar el plan de emergencia.
 capturistas En los sistemas de cómputo en que se tiene sistemas en tiempo real, ba«". 249
ldores y las de datos y red de computadora~. se deben tomar medidas de alta seguridad en SEGURIDAD
cuanto a: AL RESTAURAR
ón entre las EL EQUIPO
• Equipo, programas y archivos.
1 etcétera). • Control de aplicaciones por t('rm inal (defin ir qué aplicaciones se pucd('n
-es ajenos a 1 correr en u na terminal específica).
fjemplo: los • Definir una estrategia de seguridnd de la red y de respaldos.
• Requerimientos físicos.
cintas de la • Estándar de aplicaciones y de control.
• Estándar de archivos.
• Auditoría interna en el momento del diseño del sistema, su implantación y
r-.a clave que puntos de verificación y control.

se!\irá para
lprograma,
en produc-
e no signifi-
Jador utilice
SeGURIDAD AL RESTAURAR EL EQUIPO
En un mundo que depende cada día m~> de los servicios proporcionados por
!manejo de las computado ras, es vital definir proccdimi~ntos en caso de una posible falla o
idencial por siniestro. Cuando ocurre una contingencia, es esencial que se conozca al detalle
1mpetidorcs e l motivo que la orig inó y e l daño causado, lo que permitirá recuperar en ('(
de papel, o menor tiempo posible el proc!'so perdido. rambién se debe analizar el impacto
de personal futuro en el funcionamiento de la organización y prevenir cualquier implica-
~te, toda la
ción negativa.
dos por me-
En todas las actividades relacionadas con las ciencias de la computación
Fdos que'><! ex1ste un riesgo aceptable; es ni'CCSarlo anali7.ar y entender estos factores para
¡o, pero que establecer los procedimientos qut' permitan eliminarlos al máximo, y en c., >O de
hsedebe:
que ocurran_ poder reparar el daño y reanudar la operación lo más rápidam!'n-
te po:.ible.
encial sin la En una situación ideal se deberían elaborar planes para manejar cualquier
contingencia que se presente.
¡onfidencial. Analizand o cada aplicación, se deben definir planes de recuperación y re-
t¡uellos pro- anudación, para asegurarse que los usuarios se vean a fectados lo menos posible
en caso de falla o siniestro. Las acciones de recuperación d is ponibles a nivel
1ación y del operativo pueden ser:

• En algu nos casos es conveniente no realizar ninguna acción y reanudar e l

rgramación proceso.
ntados, por o
seguridad \>fediante copias periódicas de lo~ archivos se puede reanudar un pro-
dolos pa- ceso a partir de una fecha determinada.
o El procesamiento anterior complementado con un registro de las tran·
sacciones que afectaron los archi\'OS permitirá retroceder en los mo\'i-
mientos realiLados a un archtvo al punto de tener la seguridad del con·
tenido del mismo y a partir de é&te reanudar el proceso.
 o Analizar el flujo de datos y p rocedim ientos y cambiar el proceso nor·
250
CApjTULO 6
mal por un proce~o alterno de emergencia.
EVALUACIÓN
DE LA SEGURIDAD • Reconfigurar lo• recu~ disponibles, tanto de equipo y sistemas como de
comunicaciones: DE

Lo~.·
o Cualquier proccdrmiento que se determine que es el adecuado pau
caso de emergencia deberá ser planeado y probado previamente.
gli
Este grupo de emergencia deberá tener un conocimiento de los proced1· o bl
rnientos que puede utili zar, además de un conocimiento de las característic, sib"
de las aplicaciones, tanto desde el pw1to técn ico como de su prioridad, nivel d< po.
servicio planeado e influjo en la operación de la organiración.
Además de los procedimientos de recuperación y reinicio de la inform;. tivo
dón, se deben considerar los procedimientos operativos de los recursos IL~ plat
como hardware y comumcacioncs, planeando la utilización de equipos que pe ble
nutan seguir operando en caso de falla de la corrient(' eléctrica, caminos alt.-rm~
de comunicación y utili?ación de instalaciones de cómputo similares. Éstd>' em
otras medidas de recuperación y reinicio deben de ser planeadas y probad nt~c

previamente, como er1 el caso de la información. sast

Con frecuencia un problema en a lgún programa, un error en los dato;, ur
error de operación o una falla del equipo hacen que uno corrida en la máquuu e
aborte antes de terminar el proceso. sist
Cuando esto sucede, generalmente no se puede iniciar el trabajo dondr>t cq
produjo la interrupción. pl)C:

El objetivo del siguiente cuestionario es evaluar los procedimientos de r& pi

tauración y repetición de procesos en el sistema de cómputo: m

1. ¿Existen procedimientos relativos a la restaurac.ón y repetición de procesos qu

en el sistema de cómputo? si "" qu
2. Enuncie los procedimientos mencionados en el Inciso anterior.
bli
3. ¿Cuentan los operadores con alguna documentación en donde se guarden da
las instrucciones aC1uahzadas para el manejo de restauraciones? ca
SI ""
4. En el momento en que se hacen cambios o correcclones a los programas
y/o archivos se deben tener las siguientes precaucrones:

• Las correcciones de programas deben ser debidamente autorizadas ~

probadas. Con esto se busca evitar que se camb1en por una nueva ver
d
sión que antes no ha s ido perfectamente probada y actualizada.
ct
• Los nuevos sistemas deben estar adecuadamente documentados y pro-
bados. te
• Los errores corregidos deben estar adecuadamente documentados y las fi
correcciones autorizadas y verifiCadas. e
• Los arch1vos de nuevos registros o correcciones ya ex1stentes deben esta'
documentados y venfcados antes de obtener reportes.
• Los datos de entrada debetl estar debidamente probados y verificados
contra ta entrada de datos durante el procesamoento. u
 ~eso nor- 251
PLAN DE CONTINGENCIA y PROCEDIMIENTOS PLAN DE
CONTINGENCIA
como de Y PROCEDIMIENTOS

DE RESPALDO PARA CASOS DE DESASTRE DE RESPALDO

PARA CASOS
DE DESASTRE
,para Wl
nte. los accidentes pueden surgir por un mal manejo de la administración, por ne·
gligencia o por ataques deliberados hechos por lad rones, por fraudes, sabotajes
procedi- o bien por situaciones propias de la o rganización (huelgas). El trabajar con po-
terísticas sibilidad de que ocurra W\ desastre es algo común, aW\que se debe evitar en lo
nivel de posible y planear de antemano las medidas en caso de que esto ocurra.
La organización debe tener todos los controles, las fWlciones y los disposi·
informa- tivos para evitar W\ desastre, pero en caso de que ocurra, debe contar con un
,s físicos, plan de contingencia que permita restaurar el equipo en el menor tiempo posi·
que per- ble y con las mínimas consecuencias.
;altemos En cada dirección de informática se debe establecer y aprobar un plan de
l. Éstas y
emergencia, el cual debe contener tanto el procedimiento como la información
¡robadas necesarios para reanudar la operación del sistema de cómputo en caso de de-
sastre.
latos, un Algunas compañías se resisten a tener un plan para casos de desastre o
máquina emergencia, pues consideran que es imposible que ocurra un accidente. En los
sistemas en linea o en tiempo real, el plan difícilmente puede ser usado en otro
~onde se equipo, por lo que la única alternativa es tener una alta seguridad en los equi·
pos o bien computadoras en forma de tándem, sin embargo, es necesario que el
ISde res- plan de contingencia con el que se cuenta, permita restaurar el servicio en el
menor tiempo posible, con la mejor afectación a la organización.
El sistema debe ser probado y utilizado en condiciones anormales, para
>eesos que en caso de usarse en situaciones de emergencia se tenga la seguridad de
>lO
que funciona rá.
Según W\a de las ocho grandes firmas estadounidenses de contadores pú·
blicos, los planes de seguridad deben garantizar la integridad y exactitud de los
uarden datos; permitir identificar la información confidencial, de uso exclusivo o deli-
cada en alguna otra forma; proteger los activos de desastres provocados po r la
mano del hombre y por actos abiertamente hostiles y conservarlos, asegurar la
capacidad de la organización para sobrevivir a accidentes; proteger a los em·
pleados contra tentaciones o sospecl1as innecesarias y la ad ministración contra
IdaS y
cargos por imprudencia.
¡a ver- La prueba del plan de contingencia o emergencia debe hacerse sobre la base
de que un desastre es posible y que se han de utilizar respaldos (posiblemente
y pro- en otras instituciones). Habrá que cambiar la configu ración y posiblemente se
tengan que usar algunos métodos manuales, no sólo simulando un ambiente
s y las ficticio cercano a la rea lidad sino considerando que la emergencia puede
existir.
~estar Se deben evitar suposiciones que, en un momento de emergencia, vuelvan
inoperante el respaldo. En efecto, aW\que el equipo de cómputo sea aparente-
ICados mente el mismo, puede haber d iferencias en la configuración, el sistema opera·
tivo, discos, etcétera.
252 Las rl'viSIOncs al plan se deben realizar ruando se haya efectuado algtl' p
CAPiTULO 6 cambio en la conligur,1ción del equ ipo o bien cada Sl'is ffil'S\'S. Una de las prir.· e
EVAlUACIÓN cipales objl'cioncs al p lan de emergencia es su costo; p¡>ro, como en el caso de"'
DE LA SEGURIDAD seguro contra inc,•nd io, sólo podemos evaluar sus vcnt,lj.ls si d\'safortunad.l- CJ
mente el desasir(.' ocurre.
El p lan di' i'rnergencia, una vez aprobado, se debe distribuir entre persono. \

responsable de su operación. Por precaución, es conven il'n te tener una oopw e

fuera de la diri'Cdón de irúormática. (
Las organi,acionL'!. pueden ser afectadas en menor o mayor grado ante lo!
(
djferente, hpo• de dt~stres en informática y las rep¡>rcuMone.. variarán Sl'plll
la dependenCia que tenga la organización respecto a la ti'Cnologia. P.
Las organiuc1ones deben de identificar su proa.~ crihco., el tiempo y los
recursos para n..,tableccr el servido ante una contingencia, por lo que el pro- rl
yecto del plan debe tener un.t alta prioridad. ll
El plan di' Ctlntingencias anteriormente sólo tomaba en cuenta los proce<o-
basados en la comput.1dora. Sin embargo, se debe cons1dl'rar todo aquello qut
asegure la continu1dad de la organización, incluyendo registros manuales'
documentación fuente.
En virtud de la información que contiene e l plan de emergencia, se conside-
rará como confide ncial o de acceso restring ido.
La l'laboración del p lan y de los compo nentes puede hacerse en forma inde-
pendiente de acu,•rdo con los requerimientos de ~mcr¡;cncia. La estructura debe
considi'rar facJiit,u su actualización.

PLAN DE CONTINGENCIAS

El plan de contingencia' y el p lan de seguridad tienen como finalidad proveer a

la organi?ación de r~>qu~>rimientos p;ua su recuperación ,m te desastres.
Los tles,1strcs pueden clasificarse de la siguiente manera:

Tipos • Destrucción completa del centro de cómputo.

de desastres • Destrucción parcial del centro de cómputo.
• Destrucción o mal funcionamiento de los equ ipos auxiliare;, del centro de
cómputo (electricidad, aire acondicionado, etcétl'ra).
• Destrucción pardal o total de los equipos descentrali.tados .
• Pérdida total o parcial de información, manuali's o documentación.
• Pérdida de p.!rsonal clave.
• Huelga o problemas laborales.

L.1 metodología tiene como finalidad conducir de la manera más efecti•·a

un plan de recuperación ante una contingencia sufrida por la organización.
El plan de contingencia es definido como: la idenltficación y protección de
los procesos críticos de la organización y los recursos requeridos para mantener
un aceptable mvel de transacciones y de ejecución, protegii'ndo estos recursos y
 algún preparando procedimientos para asegurar la sobrevivencia de la organización 253

~
de lasprin- en caso de desastre. PV.N DE
casode un En la elaboración del plan de contingencias deben de intervenir los niveles CONTINGENCIA
fortunada- ejecutivos de la organización y el personal usuario y técnico de los procesos. Y PROCEDIMIENTOS
Para la preparación del plan se seleccionará el personal que realice las acti· DE RESPALDO
PARA CASOS
tre personal \'Ídades clave de éste. El grupo de recuperación en caso de emergencia debe DE DESASTRE
runa copia estar integrado por personal de administración de la dirección de informática
(por ejemplo, los jefes de operación, de análisis y programación, y de auditoría
adoante los interna). Cada uno de ellos debe tener tareas específicas, como la operación del
rarán
según equipo de respaldo, la interfase administrativa y la de logística, por ejemplo, el
proporcionar los archivos necesarios para el funcionamiento adecuado. Cada
~empoy los miembro del grupo debe tener asignada una tarea y contar con una persona de
respaldo. Se deberá elaborar un directorio de emergencia con teléfonos particu-
que el pro-
lares que contenga además los nombres y direcciones. Éste deberá estar a !mace-
os procesos nado en un lugar seguro y accesible.
aquello que Entre los objetivos del plan de contingencia se encuentran:
anuales y • Minimizar el impacto del desastre en la organización. Objetivos
• Establecer ta reas para evaluar los procesos indispensables de la organi· del plan de
seconside- zación. contingencia
• Evaluar los procesos de la organización, con el apoyo y autorización res·
rorma inde- pectivos a través de una buena metodología.
ructura debe • Determinar el costo del plan de recuperación, incluyendo la capacitación y
la organización para restablecer los procesos críticos de la organización cuan·
do ocurra una interrupción de las operaciones.

La metodología del plan de contingencias determina los procesos críticos

de la organización para restablecer sus operaciones y debe tomar en cuenta ser
eficaz y eficiente, Jos aspectos legales, el impacto de servicio al cliente y los
riesgos para que sobreviva la organización.
El plan de contingencias debe contemplar lo sigu iente:

• La naturaleza, la extensión y la complejidad de las actividades de la organi· Metodología

zaci6n. del plan de
• El grado de riesgo al que la organización está expuesto. contingencia
• El tamaño de las instalaciones de la organización (centros de cómputo y
número de usuarios).
• La evaluación de los procesos considerados como críticos.
• El número de procesos críticos.
• La formulación de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido.
• La justificación del costo de implantar las medidas de seguridad.

Entre las etapas del proyecto del plan de contingencias están:

• Análisis del impacto en la organización. Etapas del plan

• Selección de la estrategia. de contingencias
• Preparación del plan.
• Prueba.
• Mantenimiento.
 El proyecto comienza ron el análisis del impacto en la organización. Durar· ¿Q
254
te éste se identifican sus procesos críticos o esenciales y sus repercusiones !ji der~
C4PfrULO 6
EVALUACIÓN caso de no estar en funcionamiento: probl
DE LA SEGURIDAD pasar
• Clasificar la instalación en términos de riesgo (alto, mediano, pe<¡ueño) e dos en
identificar las aplicaciones que tengan un alto riesgo. energí
Impacto en la • Cuantificar el impacto en el caso de suspensión del servicio en aquelt., deben
organización aplicaciones con un alto riesgo. P·
Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo;;
por lo que, si es que e l servicio se interrumpe cierto periodo, la organiz.lcióno • q
la comunidad sufrirá un gran impacto; otras pueden fácilmente continuar sus m
operaciones sin afectar grandemente a la organización por medio de la uti(¡,,.. U!
ción de métodos manuales. • le
Se debe evaluar el nivel de riesgo de la información para hacer un adecua· dJ
do estudio costo /beneficio entre el costo por pérdida de información y el coslo SI
de un sistema de segUlidad. • o
Para clasificar el riesgo e identificar las aplicaciones de alto riesgo debemo;; o
preguntamos qué sucedería si no se puede usar el sistema. Si la respuesta es n
que no se podría seguir trabajando, entonces estamos situados en un sistema de
alto riesgo.
naci
1 Ejemplo El sistema de reservaciones de boletos de avión. Éste es un sistema de alto
pañíl
riesgo. De menor riesgo podría ser la nómina y por último el de la contabilidad
(en periodos nonmales, no en periodos de entrega de información contable). l
vele•
La siguiente pregunta es: ¿qué implicaciones tiene el que no se recupere e! mie
sistema y cuánto tiempo podríamos estar sin utilizarlos? tuaCj
En e l caso de reservaciones en tinca y en tiempo real, no se puede trabajar<i
no se cuenta con el sistema, y no podemos estar sin él más que unos minutos. En ció
el caso de la nómina depende de cuándo se debe entregar (semanal, quincenal defir
mensualmente), lo mismo que la contabilidad. trat~

Procedimientos ¿Existe un procedimiento alterno y qué problemas nos ocasionaría? En la<

alternos reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la com·
pañía no es posible debido a las redes y a los bancos de datos. El procedimiento
alterno consistiría en que sólo se reciban reservaciones en w1a oficina o bien que •
se estén comunicando por teléfono para que una oficina concentre las
reservaciones. Sin embargo, esto provocaría una gran ineficiencia y un pésimo
servicio. Al terminar la emergencia se deben dar de alta en el sistema las
reservaciones captadas manualmente.
En el caso de la nómina se puede hacer de forma manua 1 (lo cual puede
resultar muy complicado) o bien pagar lo núsmo que la nómina anterior (lo que
provocaría reclamos por parte del personal al que se le pague menos) y después
de la emergencia procesar la nómina nueva y sacar un programa que permita •
pagar la diferencia de más o de menos y ajustar los impuestos. En caso de con·
tar con respaldos se puede tener como procedimiento alterno procesarlo en otro
sistema.
La contabilidad puede hacerse en forma manual o bien, en caso de tener
respaldo, procesarse en otro sistema.
 1.Duran- ¿Qué se ha hecho en un caso de emergencia? En el caso de sistemas como el 255
;iones en de reservaciones, de bancos o casas de bolsa, el único procedimiento para evitar PLAN DE
problemas es tener sistemas simultáneos (tándem o en paralelo) que permitan CONTINGENCIA
pasar de un equ ipo a otro en forma instantánea, disponer de sistemas duplica- Y PROCEDIMIENTO$
queño) e DE RESPALDO
dos en áreas críticas (aires aconcticionados, discos, etc.) y contar con sistemas de PARA CASOS
energía no interrumpible (no-break), ya que debido a su alto riesgo son los que DE DESASTRE
aquellas deben tener mayor seguridad.
Para evaluar la instalación en términos de riesgo se debe:
! riesgos,
ización o • Clasificar los datos, la información y los programas que contengan infor-
nuar sus mación confidencial de alto valor dentro del mercado de competencia de
a utili>:a- una organización, así como la información que sea de d ifícil recuperación.
• Identificar aquella información gue tenga un gran costo financiero en caso
.adecua- de pérdida o bien que pueda provocar un gran impacto en la toma de deci-
/ el costo siones.
• Determinar la información que pueda representar una gran pérdida en la
debemos organización y, consecuentemente, provocar incluso la posibilidad de que
mesta es no se pueda sobrevivir sin esa información.
stema de
Un ejemplo de alto riesgo puede ser la información confidencial de tipo
) atto nacional o bien la información sobre el mercado y la publicidad de una com-
lidad pañía.
,ble). Para cuantificar el riesgo es necesario efectuar entrevistas con los altos ni-
veles administrativos directamente afectados por la suspensión en el procesa-
:upere el miento para que cuantifiquen el impacto que les puede causar este tipo de si-
tuaciones.
·abajar si Existe una importante etapa para identificar cada proceso de la organiza-
mtos. En ción, para determinar los procesos que son críticos en su continuidad y para
Jincenal, definir los procesos que deberán estar inclu idos en el plan de contingencias. Se
trata de un paso vital en la implementación del plan de contingencias.
~?En las Existen diferentes métodos para determina r los procesos críticos de una
tlacom- organización:
limiento
bien que • Todos los procesos críticos. Con este método, la decisión es tomada por Métodos para
ntre las todos los departamentos y se parte de que todas las funciones de cada de- determinar los
t pésimo partamento son críticas. Por lo generaL se eliminan uno o dos departamen- procesos crltlcos
:ema las tos, pero casi todo es clasificado como crítico.
Si se elige este método, se deben enlistar todas las funciones de cada
ll puede departamento. Este método no es recomendable porque elaborar el plan de
+r (lo que contingencias requerirá de mucho tiempo. Serta costoso y llevada tiempo
después respaldar todas las funciones en todos los departamentos.
permita • Mandatos de los gerentes. Este método asume que los gerentes conocen los
t de con- elementos críticos para mantener un aceptable nivel en la organ ización. ta
oen otro identificación de funciones críticas es hecha en base a la inttúción de los
gerentes. El beneficio de este método es el tiempo que se ahorra durante la
de tener fase inicial. Lo peligroso es que está basado en una intuición y éste no es un
análisis riguroso.
256 • AnJhsis de riesgos fínancieros. Consiste en la determinación de perd
CAPiruLOf financieras por cada función y proceso de la organi7.ación. Esto ' f C16n, es
EVAlUACION por la determínación de la probabilidad de un desastre y la pérd1da anut menh: e
DE LA SEGURIDAD Es comparado con el nivel de pérdida fínanciera aceptable para la orgm- de dt..:J!
Z.lción. Son críticos aquellos procesos de los que se esperan grandes pé- Flp
da,. Sm embargo, no se puede determínar exactamenh.' el riesgo.
• An.ílisis del•mpacto en la organi7.ación. La metodología del plan de ct111»
• l.as
gcncias se basa en la técnica de análisis de impacto en la orgamzaoón P
ello !><! d1stnbuyen cuestionarios para todos los departamentos de la ort
• Los
• Los
nización. Los cuestionarios completos y la información obtenida durariir
las entrevbtas definen los criterios para determinar los procl'W' critum.
• De¡
• De¡
Es le método tal vez tome m.ís tiempo ínicialmente que el de "todth los po>
n-,o, :,on cnticosn. Sin embargo, disminuye ronsiderablemenlc el tit·mpo
• Pt.'r
s.:g
el dinero cuando se desarrolla el plan de recuperación.
• Cu•
Los cuestionarios y entrevistas persiguen los siguientes objetivos:
• Rl"'
• f)l..
• Nu
Objetivos de la • Identificar lo8 procesos críticos y necesarios de la organi>ación, así como
• Mt•
técnica de análisis las dependencias críticas de los sistemas.
del Impacto • l'rQ
• Identificar los procesos críticos en cuanto a la imagen y operacionalidadJc
• Pri•
la organización, así con1o sus repercusiones en caso de suspenderse su uh·
lización.
• Dclcrmi nar los procesos con probabilidad de ser destr uidos, tomando t•n 1...1
cuenta periodos de pérdida específicos (tres horas, un día o unn 8Cmanal ,,sistir
duycn
• Dcrinlr recursos alternativos de información y servicio .
h'rn ..lli1
• Determinar el costo financiero de un desastre y e l probable tiempo de'"
pcración. Co
• Identificar amenazas específicas de cada proceso crítico (instalación de lu~ c.;.1dos •
localización geográfica, e tcétera). 1ncncio
F~pccificar los s istemas que ponen en riesgo la continuidad de las Op<'raao-
prun•s(
•
ncs de la organizaoón. t.ldura
!Jeas.
0..'8pués de que la información esté reunida gracias a 1.- entrevi,ta' y los oc
cuesttonari05, se analiz.uá para determínar cada proceso crítico. La cta-•fo un,1 re
ción de 108 pron>sOS l><.'rá el resultado del análisis, discutido con la ger..-noao ta" e
dirección, para asegurar que todos los procesos son apropiados, se indu1·anm
el plan de contingencias. LO> procesos que son identificad08 como crih<'OS m • An
esta fa;e, deb.>r.ín ser considerados en el plan de contingencias. tra
Información El ob)l'tivo de la m formación preliminar es crear una muestra de CU<"!Jonl. • ,\r
preliminar riO> y conducir las entrevistas preliminares con el fín de identificar pi'OC'tSOS • Jnl
críticos para la continUidad de las operaciones fundamentales de la organ11.1citln. • s..,
Est.l tarea comienza con el diseño, la creación y la prueba de los C\J~ t>rj
narith: • Al
la
• LO> cul'81ionanos en el an..ilisis del impacto de la organización son u>JJQ5 • Ce
para dirigJt las entrevistas. du
• Los cuestionarios deberán servir para analizar a detalle las funciones crih· <JI
cas de la organización. • Al
 pérdidas Un beneficio adicional al de analizar los procesos críticos de la organiza· 257
;e obtiene ción, es conocer la documentación e integración de la información que usual- PLAN DE
da anual. mente está en propiedad de diversos individuos, lo que ayuda a la mejor toma CONTINGENCIA
la organi- de decisiones. Y PROCEDIMIENTOS
les pérdi- OE AESPALOO
El propósito de las entrevistas preliminares es para identificar lo sigu iente: PARA CASOS
OE DESASTRE
:le contin-
dón. Para
• Las áreas vitales de la organización pa ra que la corporación sobreviva .
• Los componentes críticos entre cada área de la organización. Propósitos
e la orga- de las entrevistas
a durante
• Los sistemas esenciales para cada área de la organ ización .
s críticos.
• Dependencia y facilidades de soporte.
lS los pro-
• Dependencia e impacto en otras áreas de la organización.
• Pérdidas financieras directas y costos de recuperación involucrados en el
tiempo y seguimiento de las pérdidas.
• Costos de un probable desastre como repercusión en las ventas.
¡·
Responsabilidad de los entrevistados.
• Descripción del trabajo realizado y procesos involucrados .
así como
• Número de personas y habilidad requerida para realizar el proceso .
• Métodos alternativos de posibles procedimientos.
talidad de
• Procedimientos sugeridos de recuperación.
rse su u ti-
• Prioridades de recuperación .

mando en Las guías de análisis de las áreas de la organización deben ser usadas para
semana). asistir en la generación de discusione~ en d iferentes procesos críticos. Éstos in-
cluyen componentes esenciales sugeridos, dependencias críticas, recursos al·
o de recu- lernativos y probabilidad del impacto de destrucción para diferentes áreas.
Como la mayoría de los planes de contingencias en el pasado estaban enfo·
ón de luz, cados en las operaciones basadas en los sistemas automáticos, es necesario
mencionar en las entrevistas que el plan de contingencias debe cubrir todos los
.operacio- procesos de la organización. Algunos de los que no están basados en la compu-
tadora deben ser discutidos y debe llenarse el cuestionario de las funciones crí·
ticas.
·islas y los Deben realizarse entrevistas con los jefes de departamento para obtener
• clasifica- una revisión inicial de la organización y confirmar la naturaleza y sus procesos.
gerencia o Estas entrevistas deben incluir lo siguiente:
tcluyan en
críticos en • Antecedentes de la orgruúzación, como su naturaleza, líneas de productos, Elementos
transacciones anuales (compras y ventas), mercado y competidores. de las entrevistas
cuestiona- • Áreas de la organización y jefes de departamento.
r procesos • Información estratégica y decisiones de operación.
;anizadón. • Seguridad en el centro de cómputo y en las áreas más importantes de la
os cuestio- organización.
• Algunos riesgos específicos que pongan en peligro los procesos críticos de
la organización.
JOn usados • Conocimiento de los requerimientos legales (mu ltas, estánda res de la in-
dustria, requerimientos de auditoría en relación con el plan de contingen·
iones críti· cias).
• Algún plan de contingencias emprendido.
258 Los dite<:tiv~ deben conocer la información general para el manterumld!IO Cues
de la organización, pero tal V<>.< no tengan el conocimiento ~pecifiro de laJno
CAPITULO 6
EVALUACION formación. delil
OE LA SEGURIDAD La información requerida para el proyecto del p lan de contingencias putdt
existir en varias formac; en Ja organización. Las <.-1
Se deberá obtener la documentación existente que contenga antcct'd~nle; debet
de la organización. ~stos deben incluir: E
basar:
E
Recolección • O rganigrJmas. enge
de datos •
•
•
Descripción de procesos operativos.
Medidas de seguridad existentes contra desastre.
Seguros.
den t
dad
"
• Proc:edimientos de dcs.1stres existentes.
vista"
Además de las entrevistas generales, se requiere información más drula-
da sobre los sistemas automáticos. Durante las entrevista!> con el jefe de irfur·
mática y con especialistas se deberán revisar los s istemas y sus compoll!'ni<S
esenciales, como ~on:

Componentes • Términos de in formación, estrategias tecnológicas y propósitos de desarro-

de los sistemas llo de sistemas.
automáticos • Personas de informática y d etalles de escritorio .
• Instalaciones de informática y funciones específicas .
• Hardware requerido, modelo y configuración .
• Comunicacione,, redes, LAN, WAN (incluyendo microcomputadoras~
• Periféricos, como terminales, impresoras y capacidad de disco.
• Facilidades es<!nciales de soporte.
• Tiem~ de proceso.
• Procesos en línea y l>atclr .
• Lista de las aplicaciones mayores .
• Plan de contingencias existente.
• Locali.~:ación y frecuencia de respaldos de programas y datos .
• Historia de fallas en el sistema .

Los cuestionarios d<•bcn distribuirse en todos los niveles de la organiz..

ción, principalmente entre los empleados que usan y manejan s istemas diaria-
mente, par,1 asegurar que tod~ la información relevante sea revisada.
Los cu~tionarios de las funciones criticas deben ser distribuidos al mismo
tiempo que los cuestionarios del impacto en la organización y junto con infur·
mación concemil'nte a los propósitos de las entrevistas, procedimientos, dur.r
ciones y tiem~.
 tenimiento Cuestionarios para análisis 259
Xl de la in-
del impacto en la organización PLAN DE
CONTINGENCIA
ciaspuede Y PROCEDIMIENTOS
Las entrevistas y cuestionarios sobre e l análisis del impacto de la organización OE RESPALDO
PARA CASOS
tecedentes deberán basarse en las discusiones con los jefes de departamento. OE DESASTRE
Estos cuestionarios sobre el análisis del impacto de la organizaciór. deberán
basarse en las discusiones con los jefes de departamento.
Estos cuestionarios no deben plantear preguntas específicas, sino de las áreas
en general. Las entrevistas deberán ser consistentes.
También tendrán que ser incluidas otras áreas no automatizadas que pue-
den tener información crítica y recursos físicos (maquinaria) para la continui-
dad del funcionamiento de la organización.
A continuación ofrecemos un ejemplo de cuestionario para guiar la entre-
vista sobre el análisis del impacto en la organización:

ás detalla-
e de infor- CUESTIONARIO SOBRE EL IMPACTO
nponentes
1. ¿Cuáles áreas del negocio son de mayor responsabilidad?

De éstas, identifique los componentes que en su opinión son:

le desarro-
Lo esencial para que la organización sobreviva.

• Lo esencial para mantener las funciones más importantes de la organi-

¡doras). zación.

• Funciones no críticas para la organización y que pueden ser suspendidas

temporalmente en un evento de emergencia.

2. ¿Cuáles son las consecuencias f•nancieras de la pérdida de un componente

clave de la organización?

• ¿Cuáles son las consecuencias del deterioro de la imagen ante la pérdida

de un componente clave de la organización?
organiza-
(Ejemplo: problemas laborales).
nas diaria-
'·
; al misnlo • Provea la información básica de cada componente de tu responsabilidad.
con infor- Esto puede ser en fonna de diagrama de flujo, el cual deberá identificar
ltOS, dura- entradas y salidas en las áreas de la organización. Debe incluir funciones
sistematizadas, funciones manuales y sus interdependencias.

3. ¿C<>n qué información y facilidades cuenta en cada área de la organización?

260 Se deben identific~r todos los re<:Ursos internos y externos de datos, ap
ciones ;:>or compu tador~ y l~s facilid ades con las que se cuen ta, incluyendo~ 3
CAPiTULO 6
EVAWACIÓN sonal clave y comun icaciones.
DE LA SEGURIDAD Los cuestionarios de funciones críticas son diseñados para recolectar m•
mación que refleje la import~ncia de cada proceso en la organización,)' ,.00
evaluar qué tan crític~ puede ser una función, o si es posible que ésta se del
durante un periodo determinado. Deberá ser aplicado un cuestionariopatHJÓi
pr<X'CSO.
Para determinar lo que es "critico", se debe usar la medida de Htolerar.:
que es definida como la capacidad de continuar con los procesos durante
interrupción de las actividades normales de la organización. Si la toleranaa
un proceso particular es pequeña, el proceso es probablemente crítico. Lalt•
mncia puede y debe ser cuanti fic~da en términos monetarios, de impacto,,~
organización y de impacto a la imagen de la organiLación.
Los usuarios deben conocer el valor de los sistemas críticos, porque e 1
son los responsables. L..1 experiencia muestra que son normalmente imparcialfs
para evaluar lo crítico de sus sistemas.
Las preguntas deben ser directas para determinar procesos criticos ysedd>c
buscar métodos alternativos.

CUESTIONARIO DE FUNCIONES CRITICAS

Departamento-- - - -- - - - - - -- -

Oficina _ __ _
División-=============-:_
Teléfono_
Nombre de la función _,.._ __ _ _ _ _ __ _
De~ndelafunoón _ _ __ _ _ _ __ _ __ _ _ _ ____

COMENTARIO

¿Con qué frecuenc1a es realizada la función?

Anual Semestral Mens ual Semanal Diario

Otra explicación:

1. ¿Cuál sería el costo para la organizac1ón si esta func16n no fuera rea11zaoa

mes?$
Pordfa? S ~~=====================
Por semana? S
Por

2. Estimar cuál serta el costo adicional (mullas, pérd1das de arrendamiento,

contratos cancelados) en qué organización puede inclurrir si esta función no
es realizada:

Por dia $--:~===========-=~~=======

Por semana$
mes$ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ ___
, aplica- 261
ldo per- 3. ¿La vida humana es puesta en riesgo si esta función no se realiza?
SI NO PLAN DE
CONTINGENCIA
Ir infor- 4. ¿La organización tendrá conflictos si esta función no es realizada? Y PROCEDIMIENTOS
ypoder Si NO
DE RESPALOO
PARA CASOS
jetenga DE DESASTRE
tra cada 5. ¿Esto impactaría a la operación eficiente dentro de la organización?
SI NO
·anda",
nte una 6. ¿El servicio a los clientes es afectado por la no realización de esta función?
ncia de si NO
_a tole-
7. ¿Los requerimientos legales pueden no ser cumplidos sin esta función?
cto a la
SI NO
1e ellos
orciales CUESTIONARIO DE OPERACIÓN

·deben 1. Impacto de una hora de interrupción en el centro de cómputo:

• La mayor interrupción operacional en el servicio al cliente es tener gru·

pos de personal totalmente parado. ( )
• lnconvemente, pero el centro de las actividades del negocoo contonúa
intacto. ( )
• Esencialmente insigmficante. ( )

2. Impacto de una interrupción total en el centro de cómputo, durante dos o tres

semanas:

• Casi fatal, no hay fuentes de respaldo.

• Facilidades de respaldo externas, menores ingresos y
mayores costos. (
• Caro. Algunos procesos pueden ser preservados. (

3. Aptitud del personal observado en caso de emergencia:

• En el centro de cómputo la luerza de trabajo es organizada.( )

Son inexpertos (medios organizados). ( )
• Son desorganizados. ( )
Ja: 4. Número de operaciones criticas en sistemas en lfnea o en sistema en batch:

• 10omás.
6·9 .
• 3·5.
O, 0·2.
10
5. Localización de los sistemas:

• En un área especifica.
• En dos o tres áreas.
• Corre por múltiples departamentos.
262 dida.
6. De fác11 recuperaciÓn después de la interrupción: copia,
CAPIT\JLO 6
EVALUACIÓ~ • 3 o 4 días en sistemas críticos.
mentt
DE LA SEGURIDAD
• 12 o 24 horas en sistemas críticos. L•
• Sin problemas (recuperación inmediata).

7. Control da recuparac•ón después de la interrupción:

• T.
• le
• Mucho tiempo consumido y costoso por los sistemas • 1\
interrelacionados. ) • A
• Alguna Interrupción. ) • 1\
• Relativamente rápido. daño controlado. ) li
• Parcialidad de cop1as manuales. )
• Imposible. ) o
• Algo posoble. ) o
• Relativamente fácil. ) o
o
o

l!
SeLECCióN oe LA ESTRATEGIA do. S.
esté e
E
Una vez que hemos definido el grado de riesgo, hay que e labora r una lista de laim
los s is temas con las medidas preventivas que se deben tomar, así como la< aplic,
correctivas en caso de desastre, señalándole a cada función su prioridad. part~
El siguiente paso es identificar y comentar procesos alternativos para pro- conOt
cesos identificados como críticos en la organización. Si existen otros procedl· J
mientos con recursos similares aprovechables, éstos podrán ser considerad '
como posibles procedimientos alternos. • E
En caso de desastre se procurará trabajar los sistemas de acuerdo con""
prioridades, ya que no M! podrá hacer en otra instalación en la misma formo
•
• -1
e

como se venían trabaJando en la instalación original. • 1

Cada uno de los riesgos y su probabilidad de ocurrencia deben M!r identffi. •
cados.
1[
•
Las medidas de prevención de desastre deben estar respaldadas en un lu· • 1
gar seguro. Se debe considerar y evaluar rangos de estrategias de recuperación
posibles, para que a l final de esta etapa de selección una sea elegida. ¡
El plan de •·ccuperación de la organización es proyectado y probado. Su
preparación requiere de la participación de l personal de la organización para r
asegurar que éstos sean miembros del plan y que estén disp011 ibles cuando éste '
se lleve a la p ráctica.
Documentación Es importante contar con la documentación completa del p lan de contin·
del plan de gencia para ser us.1da en caso de desastre. Ésta debe ser evaluada y aprobada)
contingencia periódicamente rcvi;ada para actualizarla. Toda la documentación asociada con
el plan de conhngencias y el control de procedimientos juega un import.mte
papel dentro de la organización.
Después de que el plan de contingencias sea desarrollado, los documentos
deberán archivarse en un lugar que esté protegido de des.1~tre, deterioro o per·
 doda, pero accesible en caso de rontlngenci.-. A cada director se le dará una 263
copia, la cual deberá incluir la versoón, la fecha y el lugar donde estará el docu- PLAN DE
mento. CONTII'IGENCIA
Los datos que contendrá para su identificación son: V PAOCEDtM•ENTOS
DE RESPALDO
PARA CASOS
DE DESASTRE
• i'ítiJio del documento.
• lden lificación o número de referencia.
• Número de la versión y fecha. Elementos de la
• Autor. documentación
• Número de versión. La vida del documento tendrá varios cambios. Los
lineamientos a seguir para controlar las versiones son:

o Historia.
o Número de páginas.
Aprobación del documento.
o Control de cambios.
Distribución del documento.

Los departamentos deben tener omplantada su propia estrategia de respal-

do. Se debe asegurar que el personal asignado a la tarea de recolección de datos
esté correctamente instruido.
El personal de p rocesamiento de datos frecuentemente no está enterado de
1a listade la im po rtancia funcional de los sistemas que soporta. Es más a propiado en las
como las aplicaciones críticas automatizadas consultar a los usuarios o a los jefes de de-
dad. partamento. De cualquier manera, el departamento de procesamiento de datos
para pro- conoce el procesamiento a detalle de l'Stas aplicaciones.
; procedi- Al finalizar el plan de contingencia, éste debe contener:
siderados
• El señalamiento de los proccso<> críticos. Elementos
o ron sus • Su impacto. del plan
mafonna • Prioridad. de contingencias
• Tiempo en que puede estar fuera de <.ervicio.
T identifi- • Información existente de cada proceso (procedimientos y políticas).
• Documentación para la recuperación.
en un lu- • Por cada proceso, se requiere del usuario de:
Jperación

)bado. Su
o Software.
ción pc.ua
o Ha rdware.
ando éste
o Recursos materiales.
o Personal.
le rontin-
o Consumibles.
!robada y
o Utilerías.
ciada con
o Sistemas de comunicación.
1portante Redes.
o Transporte.
:umentos Bases de datos.
>roo pér-
o Archivos (respaldos).
264 Para evaluar las medidas de seguridad, se debe especificar: •
CAPiTuLO 6 •
EVALUACIÓN • La aplicación, los programas y arclúvos. •
DE LA SEGURIDAD • Las medidas en caso de desastre, pérdida total, abuso y los planes nece-
sarios.
• Las prioridades que se deben tomar en cuanto a las acciones a corto y largo de~
plazos.
forr
El plan en caso de desastre debe incluir: dej<

• La documentación de programación y de operación. COCI

• Los equipos.
• El equipo completo. corr
• El ambiente de los equipos. reSf
• Datos, arclúvos, papelería, equipo y accesorios. rán
• Sistemas (sistemas operativos, bases de datos, programas de utilería, pro-
gramas). •
Al final de esta etapa, el plan de recuperación entra en una fase de prueba, •
para asegurar que se trabaja en forma eficiente. •
El plan en caso de desastre debe considerar todos los puntos por separado
y en forma integral como sistema. La documentación estará en todo momento
tan actualizada como sea posible, ya que en muchas ocasiones no se actualizan
las últimas modificaciones, lo que provoca que el plan de emergencia no pueda pun
ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deberá: •
•
Pruebas • Asegurar que todos los miembros sean notificados. •
det plan • Wormar al director de informática . •
de recuperación • Cuantificar el daño o pérdida del equipo, arclúvos y documentos para defi·
nir qué parte del plan debe ser activada.
• Determinar el estado de todos los sistemas en proceso. une
• Notificar a los proveedores del equipo cuál fue el daño.
• Establecer la estrategia para llevar a cabo las operaciones de cmcrgenáa les e
tomando en cuenta: ofre

o Elaboración de una lista con los métodos disporúbles para realizar la

recuperación.
o Señalamiento de la posibilidad de alternar los procedimientos de ope-
ración (por ejemplo, cambios en los dispositivos, sustitución de proce-
sos en linea por procesos en lote).
o Señalamiento de las necesidades para armar y transportar al lugar de
respaldo todos los arclúvos, programas, etc., que se requieran.
• Estimación de las necesidades de tiempo de las computadoras para un
periodo largo.

Cuando ocurra la emergencia, se deberá reducir la carga de procesos, ana·

lizando alternativas como:
 • Posponer las aplicaciones de prioridad más baja. 265
• Cambiar la frecuencia del proceso de trabajos. PLAN DE
• Suspender las aplicaciones en desarrollo. CONTINGENCIA
"\CS nec;e.. Y PROCEDIMIENTOS
DE RESPALDO
Por otro lado, se debe establecer w1a coordinación estrecha con el personal PARA CASOS
:o y largo de seguridad a fin de proteger la información. OE DESASTRE
Hay que tener mucho cuidado con la üúormación que sale de la oficina, y la
forma en que es utilizada así como preveer que sea borrada al momento de
dejar la instalación que está dándole respaldo.
Respecto a la configuración del equ ipo, hay que tener toda la información
correspondiente al hardware y software del equipo propio y del respaldo.
Deberán tenerse todas las especificaciones de los servicios auxiliares, tales
como energía eléctrica, aire acondicionado, etc. A fin de contar con servicios de
respaldo adecuados y reducir al núnimo las restricciones de proceso, se debe-
rán tomar en cuenta las siguientes consideraciones:
~ría~ pro-
• Múllino de memoria prmcipal requerida y el equipo periférico que permita
procesar las aplicaciones esenciales.
• prueba, • Se debe tener documentados los cambios de software.
• En caso de respaldo en otras mstituciones, previamente se deberá conocer
;eparado el tiempo de computadora disponible.
nomento
:tualizan Es conveniente incluir en el acuerdo de soporte recíproco los siguientes
tO pueda puntos:

deberá: • Configuración de equipos.

• Configuración de equ ipo de captación de datos.
• Sistemas operativos.
• Co1úiguración de equipos periféricos.
ara defi-
Finalmente, se deberá tener una lista de los requerimientos mmimos para
un efectivo plan de recuperación en caso de desastre.
Lo más importante es identificar el número y tipo de componentes esencia-
ergencia les que puedan ser críticos en caso de emergencia o de desastre, para lo cual
ofrecemos el siguiente cuestionario:

ali2ar la A) Equipo principal (equipo, canales de comunicación, memoria, etcétera).

deope- Equipo Proyecto en ¿Es esencial

e proce- fabricante el equipo para procesar?

ugar de B) Unidades de disco (incluyendo controladores, número de unidades, paque-

tes de discos, número de discos por paquete).
para un
Fabrican le Número de Capacidad Proyectos ¿Es esencial
unidades para procesar?
;os, ana- C) Unidades de cinta.
 266
-~~
O) Unidades de almacenamoento (en linea o fuera de línea). a
CAPITULO 5
discil
EVALUACIÓN tar p
DE LA SEGURIDAD
E) Equipo perifélico (lectoras, impresoras, etcétera).
de vi
F) Unidades de comunicación, controladores. 1
gad(
Numero de Proyecto en ¿Es esencial
equipos equipo para procesar? terne
G) Sistemas operatívos.
omo

H) Terminales. vari
si de
1) Equipo adocoonal.

• Electrocodad KVA.

• Aire acondicionado BTU.

• Temperatura requerida

• Humedad requelida.

RED DE COMUNICACIÓN

1. Descnpcoón de la red de comurucación.

2. En caso de emergencia, ¿es esencial el uso de la red de comunicación?

Descnba el porqué de su respuesta. sr ""'

3. Programas necesarios pera la comiJI\icaclón.

4. Se debe contar con:

• Copla de programas de produccoón. ( )

• Copoa de archivos maestros de las apfocaclones clave y sostemas operativos
( )
• Copia de fa dOC<.Jmentación de los sistemas e onstructivos de operacíón.
( )
Copla de los archivos necesarios para procesar las transacciones.
( )
• Inventa roo de tonnas especiales utdozadas en la operación normal (se de-
ben 1ncluor también papelería nonnal, c1ntas magnéticas). ( )
• Un local con las instalacoones necesanas (energía, aore acondocoonado,
poso adecuado, etcétera) ( )
• Convenios para el uso de computadoras compatibles. ( )
 Es importante que en la prueba del plan exista disciplina en la ej(.'CUción. La 267
disciplina es importante no sólo para facilitar la recuperación, sino para detec- PlAN DE
tar problemas (en el momento del desastre), con el fin de minimizar la pérdida CONTINGENCIA
de vidas y costos. Y PROCEDIMIENTOS
DE RESPALDO
Deberá existir un coordinador de la recuperación, quien debe ser el encar- PARA CASOS
gado de las pruebas. DE DESASTRE
El plan de contingencias debe ser elaborado asegurándose de que sea man-
tenido y revisado regularmente para que refleje los cambios en la organización Mantenimiento
o modificado adaptando los procedimientos. del plan de
Después de la creación inicia l, e l plan debe ser formalmente revisado, por contingencias
varios meses se debe asegurar que los prooed.imientos de recuperación hayan
sido mantenidos y probados apropiadamente.

ción?
NO

!rativos.

¡ación.

(se de-

:ionado,
 Interpretación
CAPÍTULO
de la información

OBJETIVOS
Al finalizar este capitulo, usted:

1. Conocerá las técnicas para la interpretación de la información del sistema.

2. Comprenderá cómo se evalúa el grado de madurez del sistema.
3. Definirá los diferentes tipos de evaluación de los sistemas de información.
4. Describirá la importancia de los controles en la auditoría.
5. Conocerá cómo realizar la presentación de las conclusiones de la auditorfa.
270
CAPITuLO 7
INTERPRETACIÓN
TÉCNICAS PARA LA INTERPRETACIÓN
(
OE LA INFORMACIÓN 3.
'
DE LA INFORMACIÓN
Para interpretar la información se puede utilizar desde técnicas muy sencilla,
hasta técnicas compleja;, de auditoría.

4. F
•
ANÁLISIS CRÍTICO DE LOS HECHOS •
•
•
Una de las primeras técrucas es el análisis crítico de los hechos. Esta técniG S. l\
sirve para discriminar y evaluar la información; es una herramienta muy valio·
sa para la evaluación y se ba'>a en la aplicación de las siguiente, pregunta' •
Pregunta
•
Finalidad que determina •
Qué El propós ito •
Dónde El lugar 6. d
Cudndo El orden y el momento, sucesión
Quién La persona •
Cómo Los medios •
Cuánto La cantidad •
•
La pregunta más 1mportante es qué, pues la respuesta permitirá ;aber'
puede ser:
•
•
•
Eliminada
Modificada o camb1ada
Simplificada.
M
Las respuestas que se obtengan deben ser sometidas a una nueva pre¡;unt.l EL
"Por qué", la cua l planteJrá un nu evo examen que habrá d e justificar la infor·
mación obtenida. Cada interrogante se debe descomponer dl• la siguiente ma· Para 1
nera: de m.
1. Propósito: • V
• 1)
• Qué se hace. • V
• Por qué se naC\', V
•
• Qué otra cosa podría hacerse.
• Qué debería hacerse. e
2. Lugar: [
li
• Dónde sc hace. 8
• Por qué se nace .1hí. R
 • En qué otro lugar podría hacerse. 271 -----'
• Dónde deberla hacerse. TÉCHICAS
PARA LA
3. Sucesión: INTERPRETACIÓN
DE LA INFORMACIÓN
• Cu,lndo se hace.
• Por qué se hace entonces.
• Cuándo podría hacerse.
• Cuándo deberá hacerse.
4. Persona:
• QUJén lo hace.
• Por qué Jo hace esa persona .
• Que! otra persona podría hacerlo.
• Quién debería hacerlo.
5. Medios:
• Cómo w hace .
• Por qué se hace de ese modo .
• De qué otro modo podría hacerse.
• Cómo debería hacerse.
6. Cantidad:
• Cuánto se hace.
• Por qué se hace esa cantidad (volumen).
• CuJnto podría hacerse.
• Cuánto debería hacerse.

METODOLOGÍA PARA OBTENER

EL GRADO DE MADUREZ DEL SISTEMA
Para poder interpretar la información de los sistemas M! debe evalu<tr el grado
de madurez de los mismos:
• Verificar si e l sistema está definido.
• Verificar si el si<.tema está estructurado.
• Vcnficar si el sistema es relativamente estable.
• Verificar" los resultados son utilizados o no.
Cuacterísticas Maduro Inmaduro
Definido Completamente Incompleto
Estructurado Alta 8.1¡a
E..stablc No cambia Muchos cambios
Resultados Utilizados No utilizado
272 Depend iendo dd grJdo de madurez y de su grado de estructuracnio. "' •
CAPlTULO 1 determina s i debe estar a u tomati,,ado y la posible mndu rc7 que repercutir,> •
INTERPRET.t.CION una mejor utilización y en disminución de cambios.
DE lA INFORIMCIÓN Si el sistema e..t.í e;tructurado y maduro se dl'bió usar la técnica de sbt
de información; si est.i estructurado pero no cst.i maduro se debió <egu~r lu-
ciendo manualmentt•; "<">t.i ..emiestructurado y maduro se podrá usar Llléalo 1
c.-. de soporte en la toma de las decisione.. (DSS - D«N<III Systror Supporl
Si el sistema l">t.i "'mrcstnucturado pero no cst.í maduro debró segt
haciendo en forma mJOUtll; s• no está estn1ctur;edo y maduro, es un sb!lt
guiado por la intuici(ín y deberá seguir.... haciendo en forma manual. Si no e
C!:ltructurado nl maduro ~1 sistema no tiene ran)n d(' existir.
Nivel madurez Maduro Inmaduro
Nivel estructu r~ Estructurado Sistema de
información
general
Semiestnucturado Sistema de :'1.1anual 2.
soporte de decisiones
No estructurado Intuitivo Sin razón

Uso de diagramas
Otra forma de an.1 li Lilr lo~ hechos es segu ir la ruta de la información desdes
origen hasta su destino, y disponer de este camino en una '><'Cllencia cronológia.
con el fin de clarificar dóndt> aparece, cómo avanz,1 .1 lo largo del siskma
cómo llega a su dcshno. E.sta hicnica ayuda a hacer un ,.,tudio objeti,·o de todos
los pasos por los cuales dt>berá pasar la información .
Ev
Se considera ncce,.uio agregar algunas caracterishc.-.s que definan aún ws Cl(
este estudio como frecucnci,,, tiempo, costo y diSt~ncia física de cada p.150
coadyuvando a una ev.1 lu~ción más objetiva del sistema. de
vit

EvALUACióN DE Los SISTEMAS

SI
Se debe evaluar el dt..,.rrollo que ha tenido el sistema mediante el anáJr,., dt ,,
los pasos que comprendró el desarrollo del sistt>ma, y comparar lo que '<' pU- m
neó contra lo que realmente se está obteniendo. eo
e
t.

ANÁLISIS
ni
Se debe evaluar la información obtenida en lo' sistemas para poder:
• Determinar el ob¡eto y compararlo con lo obtenido.
• Buscar la rnterrelación con otros sistemas.
 uación.. se • Evaluar la secuencia y flujo de las interacciones. 273
!rcutirá en • Evaluar la satisfacción del usuario. EVALUACIÓN
DE LOS SISTEMAS
de sistema Entre las etapas del análisis están:
segu ir ha-
ar la técni- l. Análisis conceptual:
pport).
• Evaluar el sistema funcional.
ó seguirse • Evaluar la modularidad del sistema .
.m sistema
• Evaluar la segmentación del sistema .
. Si no está • Evalua r la fragmentación del sistema.
• Evaluar la madurez del sistema.
• Evaluar los objetivos particulares del sistema.
• Evaluar el flujo actual de información.
n • Definir el contenido de los reportes y compararlo con el objetivo.

2. Evaluar los modelos de reportes:

•es
• Evaluar los controles de operación.
• Cuantificar el volumen de uúormación.
• Evaluar la presentación y ajustes.

Se debe conocer en términos generales el nivel del sistema funcional para

obtener los elementos suficientes que permitan evaluar el nivel de interacción,
•n desde su
su grado de estructuración y la madurez del sistema con el fin de determinar si
ronológica,
se justifica su automatización
l sistema y
Entre las evaluaciones que deben hacerse están:
;o de todos
Evalúe el objetivo. Evalúe que el objetivo general y el alcance del sistema fun·
anaún más
cional estén definidos en forma clara y precisa. Esta actividad se encarga de
cada paso
delimitar el sistema obteniendo todo lo relacionado con él, mediante las entre-
vistas a los usuarios involucrados con el fin de eva luar si se cu mplió con el
objetivo. Las versiones que ofrezcan los usuarios deberán ser confrontadas para
verificar su compatibilidad.

Evalúe la interacción con otros sistemas. Se debió analizar la información del Tipos
sistema con el propósito de loca lizar sus interacciones y sus contactos con otros de evaluaciones
análisis de sistemas, a fin de determinar si existe un sistema integral de información, siste-
que se pla- mas aislados o simplemente programas, o si existe redundancia y ruido, así
como cuáles son los controles con que cuenta el sistema. Para evaluar todas las
entradas y salidas que tienen lugar en el sistema, esta parte de la auditoría de-
termina el flujo de operación y también todas las entradas y salidas que ocurren
internamente. La manera de desarrollar esta actividad es usar aquellos docu·
mentos de información que maneja el sistema, rastreando las fuentes y desti-
nos, elaborando o reservando la matriz de recepción 1distribución de los docu-
odcr: mentos, y la matriz de entradas/salidas.

Evalúe si se obtiene la secuencia y flujo de las interacciones. Para llevar a

cabo esta actividad es necesario establecer el flujo de información a través del
274 sistema, tomas de la matriz de entradas/ salidas y agregar e l orden de ocurren- t·
CAPITULO 7
cia, así como la periodicidad. G rafíquela en un plano horizontal para tratar de e
INTERPRETACIÓN encontrar duplicidad de itúormación. Este plano debe hacerse de tal manera
DE LA INFORMACIÓN que refleje un periodo, así como el o rden de ocurrencia. I
(

Evalúe el sistema funcional. Dado que ya se evaluó el objetivo, las interacciones

y su flujo, lo que s igue es analizarlos p:¡ra tener una idea más clara de su fun-
ción. Tomando como base los elementos de Jos primeros tres pasos, se debe
verificar si es congruente con su objetivo, es decir, si la descripción define sus
propósitos. En esta etapa se evalúa "qué hace" el sistema.

Evalúe la modularidad del sistema. Esta actividad subdivide el sistema en partes

que pueden ser procesadas en forma independiente, pero cuyo objetivo parti-
cular es buscar el objetivo general del sistema funcional, correspondiendo a
cada módulo una función general del s istema. Asimismo, u na función general
del sistema consis te en identificar aquellas prutes de éste donde ocurre una en-
trada, un proceso, y se obtiene un resultado parcial.

Evalúe la segmentación dcl sistema. Este paso tiene por objeto subdividir los
módulos en funciones particulares, de tal manera que el conjunto de funciones
defina al módulo en cuestión. En esta parte deben evaluarse aquellas funcio-
nes que son realizadas para distintos módulos (interconexión modu lar); cada
función extraída del módulo debió ser consistente y validada con el usuario.

Evalúe la fragmentación del sistema. Se subdivide e l segmento en funciones

específicas o procedimientos, pues cada función particular o segmento puede
contener uno o más procedimientos. A su vez, cada procedim iento puede estar
formado por dis tintos niveles Uerarquía de procedimientos); dependiendo de
su complejidad en esta parte se debe evaluar haciendo énfasis en "qué hace")'
no en el "cómo lo hace", ya que esto se evalúa en el análisis detallado.

Evalúe el flujo de información del sistema funcional. Identi fique en cada do-
cumento su origen y su seguimiento a través de las diferentes entidades o de-
parlamentos por donde transita; a la vez vaya identificando sus adiciones y
supresiones de información. Por último, identifique cómo y dónde llega a su
destino. Se recomienda el uso de l d iagrama de flujo de información.
Una forma de analiza r los hechos es seguir la ruta de la información desde
su origen hasta su destino y disponer de este camino en una secuencia cronológica
con el fin de clarificar dó nde aparece, cómo avanza a lo largo del sistema y
cómo llega a su destino. Esta técnica ayuda a hacer un estudio objetivo de todos
los pasos por los cuales deberá pasar la información. Se considera necesario
agregar algw1as características que definan aún más este estudio, como frecuen-
cia, volumen, tiempo, costo y distancia física de cada paso, lo cual ayudará a un
mejor análisis y a una evaluación más objetiva del s is tema.

Evalúe los documentos de entrada y el contenido de los reportes. Se deben

evaluar las formas de entrada, su contenido, claridad, controles, copias solicita-
das y autorizaciones, verifica r que los reportes o pantallas de salida contengan
 • Usuario. •
CAPhuL07 • Conterudo. •
INTERPRETACIÓN
DE LA INFORMACIÓN Pruebas y revisiones. El objetivo es a&egurarsc que el siMema funcione&
acuerdo con la; csp~ificaciones funcionales, a fin de que el usuario tenga ·
suficiente itúormación para su manejo, operación y a~ptación (utilice la infor·
mación obtcnid« en las opiniones de los usuarios). Est« actividad es muy im-
portante ya qut• el costo de corregir errores es direct«mente proporcional al
momento que se dct(•cta. Las pruebas del sistema buscan asegurar que se cum-
1
plan los reqlúsitos de las especificaciones funcionales, venfic.1ndo datos esta-
dísticos, transacciones, reportes, archivos, anotando las fallas que pudieran ocu-
rrir y realizando los ajustes necesarios. Los rúveles de prueba pueden ser agrc·
pados en módulos, programas y en el sistema total
e

r
o
EvALUACióN DE Los SISTEMAS e
()

DE INFORMACIÓN
e
Esta función tiene una gran importancia en e l ciclo de evaluación de las aplica·
cioncs de sistemas de información por computadora. Ousca comprobar que la
aplicación cumpla la~ especificaciones requeridas por el usuario, que se haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla con líl>
objetivos y beneficios l'~perados.
Un camb1o a un sistema existente, como la cn:ación de uno nuevo, introdu·
ce necesariamente c.lmbios en la forma de obtener 1~ información r un ro-tu
adicional. Ambo>, deberán ser evaluados antes y despu.;, dt•l desarrollo.
Se debe evaluar el cambio (si Jo hay) de la forma en que las operaciones soo
ejecutadas, comprobar si mejora la exactitud de la información generada. <i la
obtención de lrn. reportes efectivamente reduce el tiempo dl' l'ntrega, SI es m.i>
completa, l'n qué tanto afecta las actividades del personal usuario, si aumenta~
dismmuye el personal de la organización. y los cambio~ de las interaccione;
entre los miembros de la organización. De ese modo .e !>Jbrá si auml'nta o d.,.
mmuye el esfuerzo por generar la información para la toma de decisiones, con
el objeto de estar en condiciones de determinar ¡,, productividad y calidad del
sistema.
El an.llis is deberá proporcionar: la descripción dd funcionamiento del sis-
tema desde e l punto de vista del usuario, mdicando todas las interacciones del
sistema, la dc;cripción lógica de cada dato, las estructuras que forman éstos yel
flujo de información que tiene lugar en el sistema; lo que el >istema tomari
como entradas, lo~ procesos que serán realizados, así como las salidas que de-
berá proporcion.u, los controles que se efectuarán para cada variable y los pro-
cedimient~.
De este modo se agruparán en cuatro grandes tem.ts:
• Evaluación en la ejecución.
• Evaluación l'n cl1mpacto.
• Evaluación económica. 277
• Evaluación subjetiva. EVALUACIÓN
DE LOS SISTEMAS
DE INFORMACIÓN

EvALUACióN EN LA EJECUCIÓN

Se refiere al uso de cuestionarios para recabar datos acerca de la actuación de la

aplicación en la computadora, con objeto de conocer qué tan bien o qué tan mal
está siendo usada y si opera eficientemente.
Los cuestionarios son medios para recopilar datos acerca del uso de los Uso
recursos de la computadora y pueden ser cuestionarios manuales, encuestas de de cuestionarios
opiniones, evaluación de documentación, obtención de información electróni-
ca integrada al equipo (hardware) y de programas ejecutándose (software),
obteniéndose en ambas las estadísticas acerca de su uso.
Los dispositivos de hardware son dispositivos electrónicos que pueden ser
conectados a varios puntos del equipo, como Jo son en la unidad de control, los
canales de comunicación, etc., que durante la ejecución de una aplicación regis·
tran cantidad, frecuencia y dirección de los componentes del equipo. Los datos
son almacenados normalmente sobre cinta magnética o disco, para que puedan
ser analizados después; por ejemplo, algunos de éstos contabilizan la frecuen·
cia de uso de la unidad central de proceso en relación con la espera para opera-
ciones de entrada-salida. Analizando estos datos quizá se detecte la necesidad
de agregar procesadores de entrada-salida con objeto de acortar la espera del
procesador central, eliminando los cuellos de botella que por esta causa se ge·
neran.
Las estadísticas de software son juegos de instrucciones ejecutables conec-
tadas al sistema operativo con el fin de colectar datos acerca de la operación del
sistema y acerca de los programas de aplicación. Este tipo de monitor requiere
memoria y proceso adicional, lo que disminuye la rapidez del procesador. Los
datos también son almacenados en cinta magnética o cualquier otro dispositivo
de almacenamiento secundario con el fin de analizarlos después. Este monitor
ayuda a detectar qué recursos adicionales se necesitan o qué recursos existentes
deben ser ejecutados para lograr más eficiencia.
Una estadística de hardware puede ser utilizada para medir la cantidad de
tiempo de la unidad de procesamiento central, pero también podrá ser concen-
trada en los canales de comunicación y dispositivos de almacenamiento secun·
dario para determinar la frecuencia y cantidad utilizada. Su importancia se puede
evaluar con el siguiente ejemplo.
Si estamos considerando agregar una nueva aplicación al sistema, el análi-
sis del monitoreo ayuda a determinar si la computadora podrá soportarla, si
puede ayudar al administrador a decidir si se agregan nuevas unidades de al-
macenamiento, líneas de comunicación, terminales, etc. Asimismo, puede usar-
se para determinar sí todo el equipo es necesario, si se deben rediseñar losar-
chivos, etcétera.
278 Las estadísticas del software nos pueden ayudar a identificar cuáles son los t•
CAPitvLO 7 lenguaje> más usados, qu<' tipo de proceso es más común (alto volumen de ac- t.
INTERPRETAaáN tualizaciones contra ><.'Cuencia de cálculos, complejos procesos en lotes contra
DE LA INFORMACIÓN procesos en línea, frecuencia de corridas, frecuencia de pruebas, programas ter-
minados anormalmente, etcétera).
Estas evaluaciones son generadas automáticamente mostrando a qué horas
f
del día los trabajos son corridos y también qué recursos del sistema fueron uti-
lizados y qué tan grandes son las aplicaciones en relación con el equipo. [
Basándose en estos datos, el auditor contará con la información necesaria 1
pa ra hacer las eva luaciones tendientes a mejorar el S<)rvicio e incrementar la e
eficiencia. E
Estos dos tipos de monitores normalmente son proporcionados por el fabri-
cante de computadoras, pero algunos monitores de software pueden S<)r desa-
rrollados por la propia organización.

EvALUACióN EN EL IMPACTO
Es la evaluación que se hace !K>bre la manera en que afecta a la gente que inter-
viene en la aplicación (usuarios) con el objeto de determinar cómo la impl anta-
ción y el uso del sistema de información afecta a la organización d istinguiendo
qué factores son directamen te atribu ibles al sistema. Las principa les áreas que
deben inten:sar son las que intervienen en la toma de dedsione& y en las activi-
dades de operación.
Esta evaluación se hace con el fin de detectar a la gente involucrada; las
actividades qu~ son ncccs.uias realizar, la calidad de la inform.tción, y el costo
de operación resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empe-
zar a diseñar el sistema ron el fin de que, cuando se instale, &e compruebe si Jos
resultados satisfacen plenamente lo planeado. Estos datos tamboén son ompor-
tantcs para guiar futuros proyectos.
Asimismo ;e debe evaluar el efecto que tiene sobre el ambiente del sistema
(personas, leyes, etc.). Para el lo contamos con varias técnicas que nos ayudan
en este propósito, las cuales son: bitácora de eventos, regi;tro de actitudes, con·
tribución, peso y análisis de sistemas.

Bitácora de eventos
Esta información se obtuvo en la sección de la opinión del usuario donde se
registraron losewnttlS relacionados ron la introducción de una aplicación. Cual·
quier evento que influya en el sistema y cualquier nuevo evento introducido
por él, es registrado en forma de notas, y al fmal se agrupan. Para un estudio
sistemático no ;e requiere equipo adicionaL y debe usarse cuando la medición
tiene lugar en periodos largos o cuando se desean medir varios tipos de impac·
280 económico del SIStema domtro de la organización en relación con lO> bcnefioa.
CAPITULO 7
obterudo.. por 6te sea
INTERPRETACION En el imp.lctO .,.. m1de cómo una aplicación de sistema> de mformaoón ha par.
DE LA INFORMAc10N contribuido o meJOrado 1.1 eficiencia en el área donde'><! usa. Asim1,mo la eva- ción
luación después di' su omplementación es crítica para conocer cómo el >istema y SÍI
opera y dónde pueden IWCesítarse cambios. del
La evaluación t•nmómica es importante puesto que el capita l de 1.1 organi-
zación no es gratuito, dt•biéndose cuantifica r los beneficios y los costos del sb- tierr
tema en términos monclanos para estar en condiciones de JUstificar o no su mi e
desarrollo e implantación. sus
Técnicas Cuando la aplicación ha sido realizada, se busca obtener o•! costo real contra la"
da la evaluación el beneficio real para comprobar o determinar el porqué de l.1 difel'\!naa con lo garí
presupuestado y 1o la calidad de la aplicación. ciór
Estas tecnícas nos ayudan a obtener los elemento.. necesarios par.1 evaluar
por medio de un an.ilisi• de costo/beneficio de la aplicación. !'>:os permite ade- val<
más evaluar sí fue dl'S.lrrollado en las condiciones económiC.ll> l"'peradas. por imr
lo que este análi~1s deber.i efectuarse antes y después del de...-.rrollo de la apli-
cación. La JUstificaci<Ín la omcontramos en el hecho de que cualquocr tipo de tro
organización busca ,,Jcan.tar sus objetivos con recursos económ1cos li m1tados. pro
El administrador de !>!!>lemas de información deberJ veroficM y cu1dar que de<
estas activ;dades se realicen en (orma sistemática y completa para evitar crear est~
sistemas que perjudiqu••n a la organización y minen su economía. Fstt· punto es can
de suma importancia dado ~1 momento actual en donde los recu rsos compu- vah
tacionales se ven afectados constantemente por las devaluaciones y l'l costo del
capital. Hay qu~ tratar do• obt~ner d mayor beneficio con el t>quipo d•sponíble e del•
invertir en equ•pos adicionales !O<IIo cuando esté plenament~ justificada la in· fícc
versión por los beneficio' que >.e obtendrán.

EvALUACióN suBJETIVA e
Partiendo de la premi'>il de que los usuario~ son lo.. principall., ak>ctados direc-
tamente por el sistema, sus puntos de vista y necesidades deberán ser conside-
rados para la eva 1uación.
Los que proccs.m los datos, el personal de sistemas y e l persona l de alta
dirección deberán t.lmbi~n participar en la determinación de los bt•neficios eco-
nómicos de la actividad particular a ser desarrollada. la
Un enfoque experimt.'ntal propone un mecanismo para obtener los factores, el u
además del ahorro de costos, que habrán de ser considerados t•n 1.1 o.>valuaci6n
del sistema de mformae~ón. •
Nect.'Sitamo.. mrorporar a nuestra contribución de beneficios los puntos de •
vista y opiniones de la g<"nlc que usará o será afectada por la aphc.leton del •
sistema de mformación . •
La justificación de evaluaaón subjetiva se centra en que la opm1<\n del gru- •
po usuario propomona un punto de vista más completo de la aphcaoón, ayu- •
dando a obtener aquellos factOrL'S que hubiéramos pasado por alto •
282 Los controles operativos comprenden cada uno de los s1stema~ en forma
CAPITULO 7
individual y constan de:
INTERPRETACIÓN
DE LA INFORMACIÓN
• Control de Aujo de la información. •
• Control de proyectos.
• Organización del proyecto.
• Reporte de avance.
• Revisiones del d iscilo del sistema.
• Técnicas:

o De usuario.
o De control.

• Control de cambios a programa:

o Requisición de cambio.
o Razón del cambio.
o Naturaleza del cambio.
o Persona que lo solicita.
o Persona que 1·evisa y autori za.
o Frecuencia de cambios.
o Persona asignada ul mantenimiento.
o Bitácora de cambios.

• Mantenimiento y documentación.
• Producción.
• Controles de documentación.
• Documentación:

o Del sistema.
o Del programa

• Mantenimiento y acce&o a la documentación.

• Control de s istemas y programas. '
• Sistemas en lote (bntch ):

o De entrada.
o Autorización de t.mtrada.
o Armado de lotes.
• Verificación de lotes.

• Control de programas.
• Reporte de control:

o Balanceo de lote;,.
o Reporte de errores.
o Reporte de excepción.
ten forma o Reporte de transacciones. 283
o Reporte de cambios en el arch1vo maestro. CONTROlES

• Validación d e entradas:

o Verificación d e secuencia.
o Campos omitidos.
o Totales de control.
o Transacciones válidas.
o Caracteres válidos.
o Campos válidos.
o Códigos válidos.
o Pruebas de razonabilidad .
• Dígito verificador.
o Etiquetado de archivos.

• Controles de programas miscel,ineos:

o Control de programa a programa .

o Verificación de etiquetas de archivo.
o Intervención d el o pe rado r.
o Punto de verificación y reini cio.
o Control de salida.
• Formato d e sa li da .
• Control de formas de salida .
o Corrección de errores.
o Controles corrida a corrida.
• Sistemas en línea .

• Controles de entrada:

• Acceso a terminales.
o Acceso a programas, archivos, datos y a la computadora.
o Comunicaciones.
o Información confidencia l.

• Control de programa:

o Reportes de control.
o Validación de en trada.

• Corrección de errores.
• Puntos de verificación y reinicio.
• Controles de salida:

o Formatos de reporte.
• Formas de control de "<llida.
o Información confidencial.
284 Los controle, t~'nícos <IUC ~e deben evaluar son: R
C4PITULO 7
IN r ERPRETACIÓN • Controles de opcr,lCitSn y u>o de la computadora. • e
OE lA INFOAM4CIÓN • Supervisor.
• Cap tu ristas.
• E
• Bibliotecario. R
• Operadores.
• Controles de erurada y salida.
• Recepción de inform.lcrón.
• E
• L
• Detección y com>ccrón de errores. • \
• Distribución de la información .
• Calendarización.
• e
• Reporte de fallas ) mant.:nrmrento preventivo. (
• Controle, '-<>brt• archrv~.
• Recuper.lción de des,l\tres • S
• Controles de u ... u..ui<l.... • S
• De origen de dato,.
• S
• Origen de document.lCrón fuente. • S
• Autorización de documentación fuente. • S
• Recolección y prepnr.1ci.Sn d <• <•ntrada y d ocu mentación fuent<•.
• Manejo de e rror·es de docu mer1tació n fuente: e
o Tipos de errores que pueden aparecer. e
o Pasos a seguir pdra ~u corrección.
• F
Los métodos a utili>ar para r.'CUperar documento- fuente corregidos son: • 1
• ~
• Retención de documentos fuente
• Controles de entrada de dato-. (
• Conversión de datos\ c.1ptura .
• Validación de datos. 5
• Manejo de errort.., l'n d.ltos y captura. senta
• Controles de sa lrda de d.lto-. du~.;i¡
• Balanceo y conciliacitSn de s.11id.1;. cuan
• DistribucitSn de s.1lidas.
• Procedimientos documentados que describen los m<'todos de distribución. • ¡
• Calcndarización, rcvrsi<ln y d istribución de salida por part<• de los usua· • 1
rios.
• Bitácoras de rt'IX>rtl's.
•
•
Manejo y retención dt• rc•gistros de sa lida y documentos contabl<·s.
Formatos de salrda: p,
Frecuenc~a.
o \:úmero de copras
Lap
Controles técnico.: te fo

• Programática l.
• Aplicaciones.
• Sistemas.
 RI'C'IUSOS de los programas por aplicación: 285
PRESENTACIÓN
• Calendario de programas.
• Errores y recuperación.

Registro contable:

• Equipo;.
• Unidad control de procesos.
• Memoria >CCUndaria.
• Dispositivos periféricos.

Controles lógicos do:>! "stema:

• Sistemas operativos.
• Sisto:>mas de ulilería.
• Sistemas de bibliott-cas.
• Sistemas de 'llantenim•ento de archivo.
• Sistemas de seguridad.

Control de acceso al sistema.

Control de cambios al sistema:

• Redundancia en la información.
• Inconsistencia de d atos.
• Seguridad

Controles de seguridad, respaldo y confidencialidad.

Sobre las bases de lo• objetivos de la auditoría en inform.itica se debom prc-

S<mtar, de acuerdo con la información obtenida, lo; controle!. e~istentes, 1.- con-
clu,iones, opaniones y alt••mativas de S<>lución debidamente fundamentadas en
cuanto a:

tnbución. • E\'aluación de los '"temas.

Jo,. u;ua- • E,•aJuaoón de los eqUipos.

'
PRESENTACIÓN
L.1 presentación de las conclusiones de la auditoría podrá hacerse en la siguien-
te forma:

l. Una breve descripción de la situación actual c11la cual se reflejen los puntos
más importantes. (bta p resentacitín es para d nivel m.i~ alto de la organi-
zación.)
286 2. Una descripción detallada que comprende:
CAPITULO 7
INTERPRETACIÓN • Los problemas detectados.
OE LA INFORMACIÓN
• Posible> causas, problemas y fallas que originaron la situación presen-
tada.
• Repercusionc~ que pueden tener los problemas detectados.
• A lternativas de solución.
• Comentarios y observaciones de la dirección de informática y de los
usuario' sobre la'> wlucioncs propuestas.

Si se opta por alguna alternativa de solución, cuáles son sus "'percusiones.

ventajas y deS\'entaJaS, y hempo estimado para efectuar el camb1o.

l. Se debe hacer hincapié en cómo se corregirá el problema o se mejorará una

determinada situación, se obtendrán los beneficios, en cu,intu tiempo y cuák.,.
son los punto'> déb1IL>s.
2. Se debe romper la fl">istcncia a la lectura que tienen algunos CJCcutivos por
medio de conclusiones concretas que sean sencillas (se procurará que se
entiendan los térm inos técnicos y, si es posible, usar técnicas audiovisuales).

Como ejemplo de formato de presentación de las conclusiones de la aud itoría

en informática, véase la figura 7.1, y como ejemplo del seguimiento de la .lUdito·
ría en informática, véase la figura 7.2. i
 287
~ ~~~3~
PRESENTACION

ónpresen- ·-
1 ~n
-
ay de los
~!
~
~
Trusiones, ~
~ ~

jorará una
:¡
i!!!
11 ~
:l<lycuáles
·ª<VE ~g
utivos por
uá que se
)Visuales).
-..
~
o
.5
e:
~

• auditorfa
•!1!
~

o
~g~ ~
,
;'::!
~
•la audito-
..
:;J
,¡

,....
.!!!

..
e:
o
"'
o;

1
:;J
ü
e:
o
o
~
·-
..
,..;
~
:;J
tll
¡¡:
i
.
~
'

i
1

~!
~~ 2
f
 Figura 7.2. Seguimiento de las recomendaciones de la auditorfa en Informática

PERIODO OVE SE REPORTA

OIRECCION
AUOITORIA A -FECHA OEN\JM
HOJA DE
TERMII'/0 DE LA AUOJTORIA

......
ces OECOUEt<DACoOI<
fECHA
EST'MOA
OEIIUOL
FECHA
REAL DE
RESOL
MOTIVO POA: EL
CUAL NO HA SO:>
RfSUQ.To\
R(PI..AHT'EAM E~TO
OE LA SOL\JCIIOH
1
-.;RVAOC)H
-
FECHA

"""""
"ESPO"oi:S

-~
CELA

(")
 Conclusiones
1

El avance tecnológico que se ha logrado en los últimos años ha sido impresio-

nante. El avance se ha reflejado más posiblemente en el área de informática, lo
cual ha provocado que se tenga microcomputadoras con un bajo CO'>tO y con
una gran capacidad de procesamiento y que se cuente con computadoras que
permitan desde el control del proceso de ensamble de automóviles en forma
completamente autom~tica, hasta que en la dc!cada de los sesenta se haya pod i-
do llega r a la Luna. En el área educativa este avance ha influido en todas las
carreras, desde los subtécnicas y subprofcsionales hasta las técnicas y profesio-
nales. Nos ei1C011lramos así con que los niños de primaria )'3 están usando las
computadoras y no hay profesión que no necesite en forma directa o indirecta
su utilización.
Si analizamos que aproximadamente 80 por ciento de las computadoras
digitales son utilizadas en las organizacion~ con fines de información, de toma
de decisiones, contables y administrativos, y si evaluamos el costo que repre-
senta la utilización de estas computadora~. podremos ver la importancia que
tiene para la alta dirección poder evaluar la adecuada utilización de esta herra-
mienta. Esto trae como consecuencia que el profesiorústa deba actualizarse en
el uso adecuado de lo nueva tecnología, asr como en la evaluación que se haga
de este recurso tan costoso. También deben adecuarse las normas de auditoría
y del control interno pa ra que sean congruen tes con el desarrollo tecnológico.
La aud itoría en informática es una nuev,1 materia que es consecuencia directa
del desarrollo en el área y de la necesidad de evaluar la adecuada utili>ación,
respaldo y confidencialidad de la información de la organización.
Esta nueva área evalúa la información desde su generación (dato) hasta su
utilización (información), y debe considerar la herramienta que se utiliza, su
optimización, el respaldo de la información, la seguridad y confidencialidad de
la misma, y conseguir el mejor uso de la información al menor costo, evitando
duplicidad.
Para logrnr esta evaluación se requ iere que el auditor cono:<ca no sólo sobre
las materias que le son propias, sino que tenga una capacitación técnica en el
área de sistemas computacionales e informática.
La auditoría no debe terminar con la presentación. sino ser el inicio de una
serie de auditorías y revisiones periódicas, con un adecuado seguimiento de las
observaciones, para lograr las correcciones a los problemas y las mejoras a los
sistemas que lo ameriten.
Bibliografía

A¡•unles de auditoría adnrinistralim, Lic. y C.P. Jorge Álvarez Anguiano. Facultad

de Contaduría y Administración, Uni"ersidad Nacional Autónoma d~
Méxiro.
1.n a11ditoría administrativa, Lic. José Antonio Fernández Arena, editorial D1.lna.
Admi111stració11, Koont2, O'Donl't'l y Wcihrich, e-ditorial McGraw-Hill.
Arufrtoría de estados JitlatiC/aos, wt m<o ¡midrw, Gabriel Sánchez Curiel, editorial
McGraw-Hill, 1997.
A11ditorín de sistemas electrónicos, Portcr Jr., W. Thomas, ed itorial Herrero licr-
manos~ sucesores, 2a. ed i ción~ México, D.F.
Auditoría m informática, 1111 mfoqw• prrfctiro, Mal'io G. Piattin i, Emilio del Peso,
ed itorial Ra-Ma, 1998.
A11ditoría m informrftica, un rnfoqm• 111rlodolágiw y práctico, Enrique Hcrnándc;¿
Hcrnández, editorial Continental, 1996.
Control y a11ditorm del computador, ln;tilulo Mexicano de Contador¡>s Públicos,
A C., Méxiro, D. F.
C.mtnl/ Objrctives, EDP Auditors Found.ltion for Education and R¡>g¡>arch, U.S.A
U. computaci6n "' Mixico, diagm;istrco, ~rs¡>«litw y estrategias de desarrollo, Fun·
dación Arturo Rosembleuth, A.C., 1982.
Computer A11dit G11idelines, Canadian lnstitute of Chartered Acrount>., Toronto,
Canadá.
Oerrclro intelectual, David Rangcl Medina, la. edición, editorial McGraw·H•tl,
1998.
EOI' A11diting Coucept11al Fo11ndatwns tlltd Practice, Ron Weber, editori~l McGraw·
Hill.
EOP Auditiug, Ke!Ulth, W. Clowews, tlolt, Rinchart y Winston, Canad~ Lim itcd.
Formdafiotrsoflnfomration Systl'llr<, V Lod imi •· Zwass, editorial McGraw-1 lill, 1997.
La gestión de los nombrr:s y direccionl'S de lntemet: cuestiones de propiedad intelectflal,
30 de abril de 1999, Organi.oación Mundial de la Propi¡>dad Intelectual
(0MP1).
Guía 11, lntematíonal Federation of Accountants (IFAC), Revisado, 1998.
Jnfomration SystrJII Ma11agement, James A. Senn, Satate Univ¡>rsity of New York
Bringhamtor, editorial Wadsworth Publishing Company, lnc.. Belmont,
CaliJornia; !978.
Jnformation System in Mlllragemt'llt, editorial Restan Publishing Company, tnc.,
la. ediáón, Reston Virginia.
lltgt'lliería computacional, 1lrsetio tfr lrar•fwarr, M. Morris Mano, editorial l'renticc
Hall, 1991.
292 Mmwgement An ExperiuwJtal Appronch, Knudson, Harry R., Woodworth, Robcrl,
,
BIBLIOGRAFfA BeU, Cecil H., editorial McGraw-Hill, la. edición_ Nueva York.
Management lnformn tion Sysll•m, Thc Mnnngement View, Robcrt Schu ltheN~, Mary
Suomer, editorial McCrnw·lli ll, 1998.
INr
Management Jnfornwtiou n111f Control System, R.J. Trickner, Oxford Ccntcr for
Management Studics, ed itorial Willer-lnterscience Publication, 1976/
Management Juformatiou Systems, Stephen Haag, Maeve Cummings, James
Dawkans, editorial McCraw-ll ill, 2a. edición, 2000.
Mat~agenumt Standards for Data Proctssit~g, Brandon, Oick H., editorial Van
Nostrand Reinhoold Company, la. edición, :--lueva York. USA.
Mat~ual de infom~e del aud1tor, Instituto Mexicano de Contadores Públicos.
Metodologín y técnicas de it~wstigaci6tJ e11 ciencias sociales, Felipe Pardinas, edito-
rial Siglo XXI, 1981.
Modern Control Systems, Richard C. Dorf, Robert H. Bishop, e<litorial Add ison·
Wesley, 1995.
Normas y procedimientos dt n11dilorfa, Instituto Mexicano de Contadore> Públicos.
Procedimimtos de control en computación, Canadian lnstitute of Charte red
Accounts, Ins tituto Mexicano de Contadores Públicos, A.C.
Protecci6n ir~formática, Pierre Cratton, editorial Trillas, 1998.
La protección jurídica de los pro,~ramas de computación, Universidad Nacio"al A u·
tónoma d e México, 1998
Redes de computación, Andrew S. Tanenbaun, 3a. edición, ed itoria l Prenticc J lall,
1997.
Secretos industriales, coml!tltarios sobre aspectos relevantes de Sil rcglamentaci6tl en
Mmco, Mauricio Jalife Daher.
Seg11ridad en centro. de cómputo, Lronard H. Fine, editorial Trillas, 1988.
Seguridad t11 computaci6n, William P. Martin_ Interface Age, febrero, 1984.
Seguridad en infom•ática, jao Marcos Fantinatti, editorial McGraw·Hill.
Sistenras operativos, amccpto.. fmJdamenlales, A. Silberschatz, J. Peterson, P. Calvin,
3a. edición, editonal Addison Wesley Iberoamericana, 1994.
Sistemas de infomwción administratiw, Robert G. Murdic, 2a. edición, editorial
Prenticc Hall.
The Syslem Dl'tlelopmcnl Aurlit, Horeld Werss, PTH lnterna tional Conference of
EDP, Auditor Association.
Técnicas de iJ1 audit~Kía cu informática, Yan Derrien, editorial Al faomega Ma rcomoo,
1995.
th, Robert,
,
~ers, Mary
INDICE ANALÍTICO
Center for
1976/
tgs, )ames

!orial Van
-A- Asegurado>. 241
icos. respon.abihdad de 106, 2-14
~.edito- Asignación de trabajo. control de. 171·172
Acceso Auditor(es). 16. 32, 239
Addison· dav.,. de, t 9S. t 99 independencia del. 37
control.,. de, 225 número de, 32
llaves de, 19s-199 particopación, 92
;Públicos. rutas de, 197·198 respon.o;abolidades de los, 29·30,
:harte red Actividadt...~ 187 188
calendario de, 121 Auditor interno, 8-9, 26, 34
control de, 122 conocimhmto y l'xpcriencia del, 27-29
:ional A u· hoja de plnn~nción de, 126 habilidades del, 16·17, 28
Adminü;trllción <.1~ la investigación objetividad de l, 27
1tice Ha ll, preliminar, 39 Audito ría
Agua, de;astn.'S por, 224 asistida por computfldora, 10
ntaciótJ en Aire conclusiones de la, 287
acondicionado. 221 dcfinidón, 2
duetos de, 228 de programas, 22·23
.S.
movimiento de (CFM), 227 personal de la, 43
984. Ala.rm.a contra .ncendio, 226 plancación de, 16, 30-31. 41-12
J. Alcance de la cobertura, 244 p.....mtación de la, 285-286
P.Gah'in. Al.mattnamiento procedimo<>ntO'ó de, 34
de documcnte>S de entrada, proceso y programa(s) d•. 11, 43-44
editorial .alida. 15 programa• de trabaJO de, 32
dispositivo. de. 173-177 report<>S e<p«ialcs, 215
'erence oC Alt.'l gerencia, 37 requerimil'fltos de una, 40-42:
Análisis seguimiento de la, 288
.arrombo, crítico de los hechos, 270·271 técnica't avnn7ndas de, 12-16
de informes, 107, 113 Auditoría adminislrativa, 9-10
de la situJción, 56 A udi toda con i nform:ític.1, 10
d e organizaciones, 75·76 Auditoría en inrormática, L7- l8
de sistemas, 279 campo de acción de la, 20
del impacto de la o rganización, 259 concepto, 17·18, 26
del sistema, 93 d irector de, 35
evaluación del, 95-97 elementos que debe evaluar la, 96-97
manuales de, 96 la, y los tipos de auditorio, 22
y d""'ño estructurado, 97 objetivos de la, 21-22
An.>liLldO""' de virus. 237 pasos de una. 37
Aplicaaón(es) planeaoón de la. 30-32
ciclo de evaluación de las, 276 Auditoría mtt."ma. 26
planeación de las, 95 norma~ de, 26
situación de una, 95-96 relipont>abtlidadcs del departamento
A5eguradon.-s, 244 de, 27
294 Autentificación de tra.nsacciones, 6
del usuario, 212 del riesgo, 254
INDICE AHALirtCO
en sentido digital, 216 Cobertura. alcance de la, 244
Au torización de accesos, bl'gurtdad de., 225 Componentes
de un sistema dC' comunlc,lció•'. 102
lógicos, 242
-B- Compu tadora
crímenes por, t93-191
Bases delitos por, 192, 193
de indemni,d<'ión, 246-247 vírus de, 193
jurídicas del depart.lm<'fllo de Comunicación, 102-103, 113
inform.itic~l. 64·67
sistema de, 102
Bases de datos, 99-100, 249 Condu.iones, 289
administrador de. 100-101 Confidencialidad, 197
componentes .1 eva1uu t."T\ una, 100 Configuración del <'qUipo, 265
modelos de, 101 Consideraciones al audator, 208-215
sistema de admini!:JtraC'ión de-, 99 autentificación dc-1 usuario, 212
software manl')oH.Ior de (DilMS), instalación y m,'lnten•micnto, 209-210
202-203 operación, 210
Batch, tJénsc Sistema¡; '-'" lote recursos para controlar el acre.o, 212
Bitáoora(s), 158 control dC' O<'C'~so, 196,
sofh•..rare c.le
de audilo d a, 200-201, 205, 206 199-205. 212-215
de eventos, 278-279 Consulta a los usuarios, 92
Boletí11 C. 2 Contingencia(s)
Bolefí11 E-{}2, 5 e tapas del proyt><to del plan de, 253
Bootstrap, 237 metodología del p lan de, 253
BTU. véast Dbipdción t~rmica plan de, 251, 252. 257, 263
Bugs. 236 Contratación de empl•ados, plan"' de, 32
Contribución y peso, 27'1
Control(es)
a auditar, 205-208
-C- de acceso, 225
de asignación de trabal''· 171-ln
CAD/CA.\i, '"""" Daser\o d~ m.mulactu- de avance, 129
ra por medio de J!!tÍ!-ttt.•ru'ia
. de avance de prosraml'ción, 128
computarizada de calidad, programa de, 35
Calendario de actividad<''· 121 de datos fuont~. t61-162
Calor, pérdidas por tr.ln>fcrcncia dr, 227 de diseño de sist<'mas, 119, 130·132
Cambios y mt>joras al siMl'ln.:l, 93 de mantenimiento, J77.. 179
CASE, véase Softwan• d<· ingcnlcdo de de medios de ,lhn~tecnnmiC'nto
asistencia computttrizoildil masivo, 173-177
Categoriz.1ción d<•l software, 90 de proyecto•. 117-119
Centralización, t88-189 de seguridad, 285
Centro de cómputo, 182-111-1 generales, 281
segundad de ac.:e.o. 22-'i mesa de, 16ol, 165
ubicación y construccitSn dl•l. 220, operativos, 282-283
228-230 salida, 170-171
CERT, <o6zs< Eqwpo de "''PU<.,.ta de técruoos, 28-1-2!15
emergencias de computc1dora Control interno, S
mi, tr6be Mo\'imirnto de aire objetivo(s)
Gclo de e-valuaciÓn d~ la ... aphc.1dOn("!,, 276 autoril.clción, 6
aa~ificadón básicos, 5
de desastres, 252 de salvaguardJ Hsic..·d, 7
 de verificación y evaluacaón, 7 L>e...:ripción 295
generales, 5-6 de forrnas, 111
INDtCE ANAUnCO
procesamiento, 6 eJe formas de papelería, 112
utilidad de los objetivos clemcntal<':'t de informes, l 06
)n, 102 del, 29 Detección de humo y fuego, 226, 232-234
Cookie, 143 Diagrama(s)
Copias ''piratas", 193 de flujo, 97
Costo uso de, 272
de In operación, 164, 166 Oio;;cño
de un sistema. 94 de formas, 104- 113
del equipo de cómputo, xi, 240 de manufactura por medto de
Credl>nciales con banda magnética, 199 ~istencia computariz..1.da
Criptoanálisis, 217 (CAD/CAM). .ni
Criptografía, 217-218, 247 del 'btema. 93
Cul'>tionario(s). 134-138, 2.56 detallado, 93
15 de fundones críticas. 260 estructurado, análisis y, 97
12 de operación, 261-262 evaluación del, )3()..131
209-210 de seguridad física, 228-236 fonnas de, 104
para g uiar la entrevista, 259 general, 93
~so. 212 sobre el impacto de la orgamza.ciónl lógico del sistema, eva luación t.lel,
SO, 196, 259 98-103
y cmtrevistas.. 256 Di<ipación t~nn ica (BTU), 227
Cumplimiento de los documentos l) in..)('ción del autor en lntt>rnet. .tlt'
administrativos, 57 Dhponibilidad, 197
1e, 253 División de tareas entre los empleado~. 15
Dominio, nombres de, 149-154
-0- DSS, ll/ase Soporte en la toma de dec1~ionc-~
~de, 32
Datos, 156
DBMS, "~Si>tema de adnurustración de - E-
~ de datos
D-..>cisiones, soporte en la toma dt.~, 2n Jl)J, ·~· Intercambio electróruro de dato.
-172 0..-gradaaón del equipo, 182 Hiciencia de la operación. 164, 166
Delitos por computadora, 192 EFTS, rtia~ Sistema de transferencia
128 motivos, 192-193 electrónica de fondos
Departamento (o área) de in!ormJtico EIS, l'insf" Sistemas de infonnación p.uJ
ba<es jurídicas. 64-67 ejecutivos
('valuación administrativa del, 20 Elementos de las cnt~vistas, 257
funciones en el.. 67-72 EMS, t~nse Sislemas de rcunion<'S t"n
o obj~t i vos. 72-75 forma electrónica
~suridad del. 192-193 Encríptamie nto, 216-218
tipo> de dependencias del, 62-63 ~n t revista(s)
Derechos de autor, 138-142 a usuarios, 133-134
protección de los, 144-145 con el jefe de informática y con
Dcs..urollo especialistas, 258
del siStema, evaluación. 115 con el personal de inform.itica,
estrategia de, 91-92 82-83
tmplementación y, fisiro, 93 cuestionario para guiar la,. 2.59
programas de, 98-99 elementos de las, 257
))o.><;.1Stre(S) propósito de las, 257
clasificación de, 252-253 )'cuestionarios, 256, 259
plan en caso de, 264 Ent ropía, 115
por agua, 224 l•quipo(s)
296
configuradón del, 265
fNDICE AN ALITICO d e cómputo, scgu l'idad de, 241
de respuesta dt: ~mergcncicls de
comput.Jdora~ 238
seguridad al n-;taurar el, 249
S<!guridad en l• uhli/adón del, 247
seguros de los, 240
Estrategia
de desarrollo, 91-92
de respaldo, 263
Estudio
de factibilidad, 92, 94, 119
de viabilidad, 58-59
Etapas del proye<:to del p lan de
contingencias, 253-254
Evaluación
adminístrativ• dt•l departamento de
informática, 21
ciclo de, de las aplicaciones, 276
de formas, 103-110
de la configurac•ón del sistema de
cómputo, 183-189
de la estn octura orgánica, 61-1\3
de la gerencia de in(ormática, 58
de la instalación en t~rminos de
riesgo, 255-256
de los recursos humanos, 76-82
de los sistcm..,. d<' información,
276-277
de sistemas, 90-95, 272-276
de acuerdo con l'l n~go, 38
distribuidos, 116
y procedin\Jentos, 21
de software, 99
de un sistema con datos d(l prueba. 12
del desarrollo del sistc•m,,, 115
del diseño, 130
del diseño lógico del •btema, 98, 103
del mantenimiento, 179-182
del proceso de dato<., 21
detallada, 33
económica, 279-280
en el impacto, 278-279
en la ejecución, 277-278
subjetiv'l, 280-281
Exnrnen y evaluación de la in(omldción
pruebas de consentúJlÍ(.•nto, 35-36
pruebas de controles del usuario, 36
pn1ebas sustantivas, 36-37
E•tíntores (o extinguido..,.¡, 22t>-227,
232-234
Extranet*" :ri
-F-
Factibihdüd, estudio de, 92, 94
Firma d•gítal, 2lt>-217
Forma.c,
de d•~ño, 104
do;crlpción de, 111, 112
evaluación de, 108, 109, 110
Forma' tradJC'ionaJes de evidenda
almacena miento de documC'ntos de
C'nlrndíl, proceso)' salidfl,. 15
división de tareas entre los
cmpl(.\ados, 15
listado de los resultados del prO<\...,,
14 15
mantenimiento en manuales df?
información~ 14
manual~ de procedimjentos con
lnfonnaCJón relativ~ 15
Pr'OCCS..lmiento manual, 14
prore.o de grandes cantidades de
dntos, 15-16
proc~tJO t;implificado, 14
rC'gislro manual de la información,
13 t4
revisión de procesos, 15
revi.:.ión de transacciones por eJ
personal, 14
transacciones originadas por
per<on.><, 13
transporte de documentos, 14
uso de docum~ntos tmpresos, 15
Fraude, 194, 195
Fuego y hwno, 226-227
deteccí<ln de, 226, 232-234
Funciones
críticas, cuestionarios de, 260
en informática_ 67-72
-G-
Grado de madul'('z del $istema, 271
Gráíica de Oujo de la infon nación, 104
Grupo de recuperación, 253
- H-
Hockcrs, 239
Hardware, 277
Hechos, anáJ,.,. crítico de los, 270
 Humedad, temperatura y, 227·228 Mant~mie-nto 297
Humo, fuego y, 226·227 en manuales de información, 14
92,94 INDtCE ANALJnCO
detección de, 226, 232·234 evaluación deL 179-182
excesivo, 131-132
instalación y, 209-210
-1- tipos de contratos de, 177· '1 79
112 Mnnual(cs)
09,110 de análisis, 96
evidencia Implantación, 133
Implementación y desarrollo fbioo, 93 de o rganización, 26, 61
d<XUmentos de de procedimientos con información
lncendios, 224
y salida. 15 relativa., 15
Indemnización, bases de, 246
ll'l'los Memorias RAM y ROM. .t i
lnfonnación, 4
oonfiabilidad e integridad de la. 29 Meta>, 31-32
:los del proci.'SO, Metodología del plan de oontingencia-, 253
de niveles, 4
entrada de la, 162·164 Mo"imiento de aire (CFM). 227
lnuales de
~xamen y evaluación de la. 34·37
gráfica de flujo de la, 104
ruentos con -N-
jva, 15
manejo de la. 248
J, 14 pérdida de, 19·20
planeación y control de la, 4 Nombres de dominio, 149-154
.ntidades de
sistema de, 29
utilidad de la, 57·58
14
h>formática, 3, 8 -0-
irúonnnción~
departamento de, 20, 62·63
entrevistas oon el personal de, 82-83 Objctivo(s)
5
funciones en, 67· 72 de la auditoría en informátjcct,
""'por el gerencia de, 58 21-22
Informes, 103-113 de la ""guridad en el área de
tS por
análisis de, 107, 113 informática. 192
tos, 14 descripción de, 106 del departamento de mformátJca_
lntciahzación. 237 72·75
>resos, 15
Instalación eléctrica., 222-224 del libro, :riii
ln<tructivo(s) de operación. 132. 170 del plan de oontingencias, 253
Integridad, 197 Operación(es)
34
Intercambio electrónico de datos (EDI), xri consideraciones a auditar, 210
Internet, :r:i, 142-144. 238 de los sistemas en lote, 166-170
!, 260
dirección del au tor en, xiv en paralelo, 12
Investigación preliminar, 39-42 instructivos de, 132, 170
Organización(es)
análisis de, 75-76
-L- nnálisis del impacto de la_ 259
antecedentes de la, 258
~m manual de, 26
L<>nguajes de programación. 98
ción, 104 Lbtado de los resultados del pro«.'liO, plan de recuperación de la, 262
14-15 pr()('f)S()S críticos de una, 255-256
Llaves de acceso, 198-199

- P-
-M-
Pa>>11>ord, 198
Mninframe, xi, '227 Pérdida de la información, 19-20
170
Manojo de información, 248 Pérdidas por transferencia de calor, 227
 298
Pt"rsonttl
11 ÍNDICE ANAlfncO de cargas de máquina, 171 Propósito d~ las cntrevi,ta ..., 257
de prucl~sos electrónicos, 56 Protección conlra VIrus, 237
part>opante, 42·->t Proyecto(S)
l'i'O elevado, 221 control de, 117·119, 120
!'Jan(~•)
del plan de contingellcia'. 252-25-1
de conhngencias, 251-263 Pruebas de COns('nlimiento. 35·36
de provectos, 60-61 Pruebas integrales, 12
de recu~racrón de la organización.
262. 264
de -eguridad, 61. 252 -R-
<'>lral~gico, 91-92
mdestro~ 60 RAM,xi
PJant"aoón Recuperación
de .lctividade,, hoja de, 126, 129 grupo de, 253
dt.• dUdrtoriit., 16 plan de, 265
dl' Cilmbros, 59 Recopilación de la inform,lción, 56-SH
d'-' J~1 .1uditori.o en informática, 30-32 Recursos financ1cros, 85-86
de programación. 125 Recursos h uma nos, 56-57
dl' srstem.ls, 92 RccunK>S materi:~les, 86-87
docunwnt~rdt\ 3 1 Red(es)
t.~str.t (Cgictt, 95
de computadoras, 249
pmce.,o de, J I puntos a revisar en lt~s, 103
Polltica(s) tipos)' topología, 102
de re>paldo•, 156-157 Redundancia, ll4-IJ5
de revisión Ue br t~cor.1, 158 Registro(s)
de :.eguridad fí•ka del si/e, 159-161 de actitudes, 279
y procedimjentos, 157 extendidos, 12
Póli,a de seguro, 241 Regu ladores, 222-223
Pre.&,upue.stos, 84~85 Relación precio/ memorin, XI
Pmbll'mas de Jos sistemas de Re nta, 187·188
admin.~tradón de bases Ue datos, 101 Repetición de procesos, 250
PrOt."edimient~ de rt>stduración., 250 Reportes, 212-213
PrCl<:'e~lll\if!nto manual, 14 especiales de audlloría, 215
Proa.">>(s) Respaldo(s)
críticos d..- una organizadón,. 255-256 de información, 156-157
de grand<'S canhdades de datos, 15-16 estrategia de, 263
<ef'<'hoón de, 250 Responsabilidad de los asegurados, 244
'Jmplificado, 14 Restauración.. Pro<'edirnientos d(>, 250
Productividad, 1~186 Resultados de cálculO> para
Programaoón comparaciones, 13
control de avance de, 128 Revisión(es)
facJ!idades de, 133 de acceso, 12
informe de avance de. 127 dep~,l5
plan,•ación de, 125 detaUada, 33
nesgo:. en la. 248 prelimin.lr, 32-33
Program,ldor(es) Ríesgo{s)
control d<•, 12~ cla.<ificación del, 2->t
control de actividades del, 122 en la programación, 2~8
Progrdm,u
evaJuactón de la instaritción l'n
copias de. 193, 194 térntinas de, 255-256
de des.1rrollo, 98-99 ROM, .ri
de trab,l¡o, 172 Ruido, 113
Rutas de acceso, 198
IÍSf,lS, 257
S, 237 -S- d isponibilidad de los, d~ i n (ormt~ción, 299
197
ÍNDICE ANAUTlCO
l, 120 Salida. control de, 170- L71 distribuidos, 116
Souetos mdl"lri"l''"'· 14S.149 en línea o en liempo r.,,,l, 249, 251
gmcia;, 252·2~
ento, 35-:16 Seguridad. 21 ·n lole (batch). 166-170
al n:-taurar el equopo, 249-250 ,.._tudio de los, 96
conlra dc-.."1""- por agua, 224, 231 evaluaaón de, 90-95, 2n-276
de autoraacaól'l de accesos, 225, \'Valuación del desarrollo dt•l, 115
231-232 evaluación del di~ño klgico dt•l, 98,
en contra dl\ vin1s, 236 103
en el l'''"onnl, 2 18-2 19 ¡;o-.>do de madu rez del, 27 1
en 1,> util ización del equipo, 247-249 inlc•grdl de segu ridl.ld, 196
ffsoc.t, 219, 228-236 integridad de los, d<.' i nformt~dón. 197
lógoca, 194·197 operJtivos, 201-202
obJetivn,o, de la, C'n el área de planeaaón de, 92
anformJtic.:d, 192 problema.~ más comu""' de la<, 9-1-95
plan d<•, 2.~2 procedimiento en el, 104
c;Jstcma mtt.-~ral de, 196 prucb.>s del, 93
Seguro(>) n.•porte semanal de lo~ n·.. rtms.abl~
condicione• 1\encralo.>s, 243-244 del, 123
49
de lO> e<]uipo<, 240, 241 Srlt•
las, 103
excl u s i om~s ('Speciales, 244-245 caractcrí~ticas del. 160
)2
exdu ... i on~.·~ gt•nerales, 242..243 ln<lalaciones del, 159-160
póli'a de, 24 1·242 5ihMci6n de los recursos humllnos, 56
Sclccdón Sultwdre
d(' dl'h!rminJdo tipo de transacciones, ,, Id medida de la oficín~1, 9l·9r;
13 categorización del, 90
de la l'Sir,ll<·gm, 262-267 comercial, 90
Somulación, 12 compartido o regalado, 90
Sislema(') rontrol de las licenc1as dt•l, 15S·159
cambl()~ y mrjora .. al. 93 de ingeniería de asic..h•ncJ.l
odo de vod.> de lo<, 92-93 rompularizada (CASE), .lli, 9!1
ia,215
componc 11h~.. ~nciilll'S, 258 de •eguridad, 200
confklt.•nd,\lidnd de los, de de seguridad gencr.l, 205
157
in formación, '1 97 t.'lnborado por el usuilrio, 90
crítin~~. 2fl0 t•"dilVO, 238
;egurado,, 244
de admmJ'itradán dii' bases de dJtll'o, '"'P''<Ífiro, 206
ntos de. 250 (OBMS). 99 e\·,1luadón de, 99. 209
u
pn>bl<·ma .. de lo:, 101 transportable, 90
deba"" d<• d.11"'. 100 un solo usuario o mulhu .. uano. 90
\it>nl,lJ.l"t de los, 101 Sollwarc de control de .u:ce<o, 196,
de cómputo, evaluación de la 199-205
conlogurnci<ln del, 183-189 consideraciones a audildr, 210-211
di_) COnlLJJliC\lciÓn, 102 rl'JlOrtes y vigilancia, 212-213
de cncr~r~, no i nterrumpido (UPS), s is tem as opera ti vos, 201·202, 206-207,
223 213
de información, 29 !'óOftware de collSolas o tl'nnil'l;li("C;
48
l'v,,luación de los, 276-277 maestras. 203, 207
]ación en
dt' informadun par,l ejecuti,-os (EIS). xu '><lflware de librerías. 203-204 207, 214
2ó6 de r..-umont.•(O en forma electrómc.J wftware de telecomun•c.lclont..~. 205,
(E\15)•.m 208,215
de lrani!-Íl't'•nna electrónica de fond\l.., roflw.>re de ulikri.-.>, 204-205, 20K,
(1 I·TS), .ni 214-215
300
software man~jador de bases de
fNDICE ANAL.Jnco datos, 202-203, 207, 213-214
-u-
Soporte
cotidiano, 93 IJPS, vi~ Sistema de energía no
<'n Ll toma de decisiones COSS1 2n interrumpido, 22.1
Subplan<>s del plan maestro, 60 Uso de documenlos imp,..,...,. para
construir el proceso, 15
Usuario(s)
-T- aceptación por p.1rte del, 93
aul(>ntificación de, 212
Témicas de auditoóa consulta a los. 92
ruesbonano para los, 211·212
an.ilisi> críbco de los hechos, 270-271
entrevistas a, 133-134
evaluación de un Sistema con datos de
prueba, 12 "'<fuelimientos del, 92. 135
tipos de, 196-197
grado de madurez, 271-272 Utilerías, 20-1
operaciones en paralelo, 12
prueba, integrales, 12 Utilización del <'quipo, seguridad en la, 247
reg•stros e>tendidos, 12
resultados de ciertos cálcu los para
comparaciones posteriores, 13
- V-
revisiones de acceso, l2
selección de detcrmjnado tipo de Vacunas contra virus, 237
lransaccioncs, 13 Va(idactón por características, 199
simulaci6n, 12 Virus
totales aleatorios de ciertos anaJi?'adores de, 237
programas, 12 daños por, 2.'!6
Tecnología de computadorn, 193, 236
de flujos (WORKFLOW), xii protección contra, 237-24()
neutral, 20 seguridad en contra de, 236-237
Tcleoomunkaciones, software, 205, 208 vacunas contra, 237
Temperatura y humedad_ 227
Tierra fl,ica, 222
Tipos y topología de n>des, 102 - W-
Tol~randa, 260
Tom.1 de decitJiont?s incorrectas, 18 WORl<Flow. re.._ T<'mología de flu¡o.
Totak'1, aleatorios de ciertos programas, 12
Tran_<acdón(<'S)
da~ificación de, 6 - Z-
oliginadas por personas, 13
regi$tro manual di?' la informadón
Zombies, 238-239
para oligmar Un.J. 13-14
revL•ión de, por el personal, 14
 AUDITORÍA
EN INFORMÁTICA
 La auditoría en informática es una práctica
administrativa por demás sana en empresas y
organizaciones, sobre todo en esta época donde
las características del software y del hardware
varían con el fin de satisfacer necesidades muy
diversas.

Presentamos la esperada segunda edición de

Auditoría en informática, obra que se ha
actualizado para responder a los cambios más
actuales que la industria informática ha
generado en sus múltiples áreas.

De manera indudable, quien tenga necesidad

de saber cómo realizar la tarea de la auditoría
informática, encontrará aquí todos los elemen-
tos para cumplir su cometido.