Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Indice
1. Introducción
2. Evaluación de la Seguridad
3. Ciclo de Seguridad
4. Conclusión
5. Bibliografía
1. Introducción
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.
Consta de:
1.- Evaluación de los Sistemas
Evaluación de los diferentes sistemas en operación (flujo de información,
procedimientos, documentación, redundancia, organización de archivos, estándares de
programación, controles, utilización de los sistemas).
Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño
general
Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)
Seguridad física y lógica de los sistemas, su confidencialidad y respaldos
Acciones a seguir:
o Elaboración de un informe técnico en el que se justifique la adquisición del
equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.
o Formación de un comité que coordine y se responsabilice de todo el proceso
de adquisición e instalación
o Elaborar un plan de instalación de equipo y software (fechas, actividades,
responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.
o Elaborar un instructivo con procedimientos a seguir para la selección y
adquisición de equipos, programas y servicios computacionales. Este proceso debe
enmarcarse en normas y disposiciones legales.
o Efectuar las acciones necesarias para una mayor participación de proveedores.
o Asegurar respaldo de mantenimiento y asistencia técnica.
Se debe evitar que una misma persona tenga el control de toda una operación.
Acciones a seguir
o La unidad informática debe estar al mas alto nivel de la pirámide administrativa
de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
o Las funciones de operación, programación y diseño de sistemas deben estar
claramente delimitadas.
o Deben existir mecanismos necesarios a fin de asegurar que los programadores
y analistas no tengan acceso a la operación del computador y los operadores a su vez no
conozcan la documentación de programas y sistemas.
o Debe existir una unidad de control de calidad, tanto de datos de entrada como
de los resultados del procesamiento.
o El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
o Las actividades del PAD deben obedecer a planificaciones a corto, mediano y
largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática"
o Debe existir una participación efectiva de directivos, usuarios y personal del
PAD en la planificación y evaluación del cumplimiento del plan.
o Las instrucciones deben impartirse por escrito.
- Informe de factibilidad
- Diagrama de bloque
- Diagrama de lógica del programa
- Objetivos del programa
- Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobación de modificaciones
- Formatos de salida
- Resultados de pruebas realizadas
o Implantar procedimientos de solicitud, aprobación y ejecución de cambios a
programas, formatos de los sistemas en desarrollo.
o El sistema concluido será entregado al usuario previo entrenamiento y
elaboración de los manuales de operación respectivos
Acciones a seguir:
o Validación de datos de entrada previo procesamiento debe ser realizada en
forma automática: clave, dígito autoverificador, totales de lotes, etc.
o Preparación de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su corrección.
o Recepción de datos de entrada y distribución de información de salida debe
obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control
de calidad.
o Adoptar acciones necesaria para correcciones de errores.
o Analizar conveniencia costo-beneficio de estandarización de formularios,
fuente para agilitar la captura de datos y minimizar errores.
o Los procesos interactivos deben garantizar una adecuada interrelación entre
usuario y sistema.
o Planificar el mantenimiento del hardware y software, tomando todas las
seguridades para garantizar la integridad de la información y el buen servicio a usuarios.
Acciones a seguir:
o El acceso al centro de computo debe contar con las seguridades necesarias
para reservar el ingreso al personal autorizado
o Implantar claves o password para garantizar operación de consola y equipo
central (mainframe), a personal autorizado.
o Formular políticas respecto a seguridad, privacidad y protección de las
facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido,
intentos de violación y como responder ante esos eventos.
o Mantener un registro permanente (bitácora) de todos los procesos realizados,
dejando constancia de suspensiones o cancelaciones de procesos.
o Los operadores del equipo central deben estar entrenados para recuperar o
restaurar información en caso de destrucción de archivos.
o Los backups no deben ser menores de dos (padres e hijos) y deben guardarse
en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
o Se deben implantar calendarios de operación a fin de establecer prioridades de
proceso.
o Todas las actividades del Centro de Computo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc.
o El proveedor de hardware y software deberá proporcionar lo siguiente:
De esta manera el auditor conocerá el entorno inicial. Así, el equipo auditor elaborará el Plan
de Trabajo.
3. Ciclo de Seguridad
El objetivo de la auditoría de seguridad es revisar la situación y las cuotas de eficiencia de la
misma en los órganos más importantes de la estructura informática.
Para ello, se fijan los supuestos de partida:
El área auditada es la Seguridad.
El área a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
Todos estos anteriores factores están relacionados entre sí, así como la calidad de cada uno de ellos con la
de los demás y al evaluar el nivel de seguridad en una entidad, lo que se está evaluando son estos factores
y se plantea un plan de seguridad nuevo que mejore todos los factores a medida que se va realizando los
distintos proyectos del plan, dicho plan de seguridad no es más que una estrategia planificada de acciones
y proyectos que lleven a mejorar un sistema de información.
Arriba
TIPOS DE METODOLOGIAS
Las metodologías existentes en la auditoria y el control informático, se pueden agrupar en dos familias:
Cuantitativas : basadas en un modelo matemático numérico que ayuda a la realización del
trabajo.
Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo,
para seleccionar en base a la experiencia acumulada.
METODOLOGIAS CUANTITATIVAS
Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener
asignados unos valores numéricos. Estos valores en el caso de metodologías de análisis de riesgos son
datos de probabilidad de ocurrencia de un evento que se debe extraer de un registro de incidencias donde
el número de incidencias tienda al infinito.
METODOLOGIAS CUALITATIVAS/SUBJETIVAS
Se basan en métodos estadísticos y lógica borrosa. Precisan de un profesional experimentado, pero
requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
Arriba
Análisis de Sistemas
FUNDAMENTACION Y GUÍA DE LECTURA
OBJETIVOS
CONTENIDOS BIBLIOGRAFÍA
EVALUACION LINKS
EQUIPO DE CATEDRA
Fundamentación y Objetivos
Contenidos
Programa sintético:
Programa analítico:
Contenidos:
1.1 Introducción y fundamentos de la Teoría General de Sistemas.
1.2 Enfoque tradicional vs el enfoque de los sistemas.
1.3 Introducción a la Teoría de los Sistemas. Características generales de los sistemas.
1.4 Pensamiento sistémico vs pensamiento lineal.
1.5 El lenguaje del pensamiento sistémico. Arquetipos. Aplicación a casos prácticos.
Contenidos:
2.1 Concepto de información.
2.2 Sistemas de información. Distintos tipos de sistemas de información. Ejemplos.
2.3 Panorama general de los sistemas de información.
2.4 Sistemas estratégicos de información.
2.5 Sistemas de información e instituciones.
Unidad 3: Metodologías en el desarrollo de sistemas
Objetivo: Que el alumno entienda los fundamentos para la aplicación de metodologías para el
desarrollo de sistemas de información, conozca los conceptos básicos de una de ellas y reconozca
las alternativas posibles con el uso de otras metodologías existentes.
Contenidos:
3.1. Procesos:
3.1.1. La burocracia en crisis.
3.1.2. Un cambio de enfoque: de las funciones a los procesos
3.1.3. Definición de proceso de negocios. Ejemplos
3.1.4. Procesos rediseñados. Caracteristicas
3.1.5. El rol de la tecnología. Romper los mitos y supuestos
3.2. Metodologías:
3.2.1. Que es una metodologia
3.2.2. Una metodologia para rediseño: Reingenieria. Definicion
3.2.3. Etapas
3.2.4. Herramientas para relavar, entender y diseñar procesos: Diagramas de entidades y
relaciones.
Diagramas de Flujo del proceso. Matriz de correlacion.
3.2.5. Desarrollo de un caso completo.
3.2.6. Desarrollo de aplicaciones: Concepto de ciclo de vida. Tradicional. Prototipos. Desarrollo por
usuarios finales. Aplicaciones preplaneadas.
Contenidos:
4.1 La tecnología de la información como ventaja competitiva.
4.2 Modalidades de procesamiento de datos.
4.3 Concepto de bases de datos. Aplicaciones.
4.4 Telecomunicaciones. Internet y comercio electrónico. Aplicaciones prácticas
4.5 Herramientas de trabajo en grupo y colaborativo.
4.6 La nueva arquitectura de la información.Conectividad.
4.7 El control de los sistemas de información
Contenidos:
5.1 La contabilidad como sistema de información.
5.2 Eventos y hechos registrables.
5.3 Control y automatización. El sistema contable como sistema para la toma de decisiones.
5.4 Sistemas de gestión de aplicación en organizaciones administrativas. Comercialización,
Producción, Finanzas, Recursos Humanos, etc.
Evaluación
Todo alumno regular de la asignatura podrá aprobar la misma por el régimen de promoción es
decir sin exámen final en la medida que cumpla con la totalidad de los siguientes requerimientos:
a) contar con la aprobación de las asignaturas correlativas
b) haber rendido y aprobado con una calificación igual o mayor que 4
(cuatro) las evaluaciones parciales teórico-prácticas de los
contenidos de la asignatura
c) haber obtenido una calificación final promedio igual o superior a 7
(siete).
d) haber recuperado como máximo un parcial.
Todo alumno regular de la asignatura podrá aprobar la misma mediante la aprobación de una
evaluación final teórico práctica de la totalidad de los contenidos de la asignatura en la medida
que cumpla con todos los requerimientos siguientes.
a) haber cursado la asignatura en los 2 (dos) últimos años. El vencimiento de la cursada será el
30 de junio de cada año. Para las cursadas que venzan un 30 de junio la última posibilidad de
aprobación será el siguiente turno de exámenes de Julio-Agosto.
b) haber rendido y aprobado con una calificación igual o mayor que 4 (cuatro) las evaluaciones
parciales teórico-prácticas de los contenidos de la asignatura.
c) rendir y aprobar con una calificación igual o superior a 4 (cuatro) una evaluación de la totalidad
de los contenidos teórico prácticos de la asignatura.
Si el alumno resultare desaprobado por la mesa examinadora no podrá presentarse a ningún otro
llamado de los previstos para el mismo turno.
Todo alumno podrá solicitar ser evaluado en calidad de libres de la asignatura en la medida que a
la fecha de la solicitud tengan aprobadas la totalidad de asignaturas correlativas.
Los exámenes libres evaluarán la totalidad de los contenidos teóricos y prácticos que hagan al
cumplimiento del objetivo de la asignatura. A tal efecto se realizará un primer exámen en forma
escrita y luego un exámen oral en un acto único y continuado en el tiempo. La aprobación de la
asignatura se obtiene con la aprobación de ambas partes con una calificación no menor a 4
(cuatro) en cada una de ellas.
Los contenidos de esta evaluación se corresponderán con la totalidad de contenidos previstos en
el programa y actividades de cátedra correspondientes al último curso desarrollado de la
asignatura
CONSIDERACIONES PARTICULARES
Los alumnos serán calificados con una puntuación de 0 a 10 puntos en cada evaluación,
correspondiendo la nota de cuatro (4) a la aprobación del 60 % de los contenidos como mínimo, y
la nota de siete (7) a la aprobación del 75 % , de dichos contenidos como mínimo,
Los alumnos que resulten calificados con menos de 7 puntos en una de las evaluaciones, tendrán
la posibilidad de rendir un examen recuperatorio.
Cuando la nota obtenida por el alumno estuviera entre 4 y menos de 7 puntos, éste podrá optar,
por única vez, por dar el recuperatorio de uno sólo de los parciales rendidos o permanccer con la
nota de la evaluación original.
Los recuperatorios versarán sobre los mismos temas que la evaluación original.
La fecha de los recuperatorios se fijará luego de haberse comunicado la nota del último parcial en
un plazo no inferior a 5 (cinco) días de dicha comunicación debiendo ejercerse en el momento de
comunicación de la nota original la opción citada más arriba para los alumnos que obtuvieron
entre 4 y menos de 7 puntos.
El recuperatorio será calificado con la misma escala que la evaluación original, procediendo su
nota a reemplazar la anterior a los efectos de la obtención del promedio final.
En el supuesto que un alumno, cuya nota esté entre 4 y menos de 7, opte por dar el
recuperatorio, quedará como válida la nota de este último, aún cuando resultara menor a 4.
La nota final promedio para aprobar la asignatura por promoción se calculará un promedio de las
distintas notas parciales considerando la nota del recuperatorio en lugar de la del parcial
recuperado.
El promedio obtenido se redondeará al entero superior.
En el caso que durante el cuatrimestre se realicen actividades con calificación (evaluaciones de
casos, trabajos,
monografías, etc) dicha calificación podrá ser considerada ponderando su peso relativa para
obtener un promedio ponderado junto con el resultado de las evaluaciones parciales.
La calificación final de la materia se obtendrá de la siguiente forma:
Serán calificados INSUFICIENTES aquellos que tengan al menos una evaluación con, nota menor
de 4
puntos, sin haberla recuperado. En esos casos la calificación final será la nota promedio calculada.
excepto que esta resultara igual o superior a 4, en cuyo caso la calificación final será de TRES (3)
puntos.
Serán calificados como PROMOVIDOS, aquellos alumnos cuya nota promedio sea igual o superior
a 7 puntos, siempre que ninguna de las notas utilizadas para obtener el promedio sea menor de 4
puntos.
Serán calificados como REGULARIZADOS, aquellos alumnos cuya nota promedio sea de 4 hasta
menos de 7 puntos, siempre que ninguna de las notas utilizadas para obtener el promedio sea
inferior a 4 puntos.
Los alumnos calificados que regularizaren el cursado de la manteria mantendrán esa condición
durante un lapso de dos años a contar desde la finalización del cuatrimestre en el cual la hayan
cursado.
Tendrán derecho a presentarse a examen final en todos los llamados que se realicen durante el
citado período de dos años.
El examen final abarcará todos los temas teóricos y prácticos de la materia, conforme al último
programa aprobado y será calificado con una nota de 0 a 10 puntos.
Para aprobar el examen final, será necesario obtener una nota mínima de 4 Puntos,
correspondiendo
este puntaie a la aprobación del 75% como mínimo de los temas.
DE LA REVISIÓN DE EXÁMENES
Luego de la lectura de las notas, ya sean estas parciales o finales, los alumnos podrán requerir al
Profesor a cargo del curso les informe cuales fueron los puntos de la evaluación que resultaron
contestados en forma incorrecta, a fin de poder replantear su proceso de aprendizaje.
Equipo de Catedra
Cr. Pablo Rota
Lic. Angel Schenardi
Cr. Javier Badillo
Ing. Alejandro Elosegui