Está en la página 1de 25

Es dinmica e implica un flujo constante de informacin, productos y fondos entre

las diferentes etapas. El cliente es parte primordial de las cadenas de suministro. El propsito fundamental de las cadenas de suministro es satisfacer las necesidades del cliente. Una cadena de suministro involucra flujos de informacin, fondos y productos. Una cadena de suministro tpica puede abarcar varias etapas que incluyen: clientes, detallistas, mayoristas/distribuidores, fabricantes, proveedores de componentes y materias primas. Cada etapa de la cadena de suministro se conecta a travs del flujo de productos, informacin y fondos No es necesario que cada una de las etapas est presente en la cadena de suministro El diseo apropiado de la cadena de suministro depende de las necesidades del cliente como de las funciones que desempean las etapas que abarca.

Cadena de suministro
De Wikipedia, la enciclopedia libre Saltar a: navegacin, bsqueda

Por Canal de Distribucin o Proceso de Distribucin (en ingls, Supply Chain) se entiende la compleja serie de procesos de intercambio o flujo de materiales y de informacin que se establece tanto dentro de cada organizacin o empresa como fuera de ella, con sus respectivos proveedores y clientes.1 Aunque en el cuerpo de conocimiento existe una clara diferencia entre "Cadena de Abasto" y "Cadena de Suministro", en la prctica diaria esa diferencia se ha ido perdiendo, por lo que es comn utilizar ambos trminos indistintamente. Sin embargo es importante entender las definiciones precisas dadas por el Council of Supply Chain Management Professionals (CSCMP), la autoridad ms importante en la materia a nivel mundial.

Contenido

1 Definicin de la "Cadena de Abasto o suministro con sus componentes potentes" 2 Definicin de la "Logstica" 3 Caractersticas de la Cadena de suministro o 3.1 Funciones de la Cadena de Suministro (o Abasto) interna 4 Etapas o 4.1 Suministro o 4.2 Fabricacin o 4.3 Distribucin o 4.4 Fases de decisin en una cadena de suministro. 5 ESTRATEGIA O DISEO DE LA CADENA DE SUMINISTRO. 6 PLANEACIN DE LA CADENA DE SUMINISTRO. 7 OPERACIN DE LA CADENA DE SUMINISTRO. o 7.1 Enfoque de los procesos en una cadena de suministro. 8 Enfoque de ciclo de los procesos de una cadena de suministro. 9 Enfoque de empuje de los procesos de una cadena de suministros. 10 Referencias 11 Vase tambin 12 Enlaces externos

[editar] Definicin de la "Cadena de Abasto o suministro con sus componentes potentes"


El Council of Supply Chain Management Professionals (CSCMP) define "Cadena de Abasto" como:
1. La Cadena de Abasto eslabona a muchas compaas, iniciando con materias primas no procesadas y terminando con el consumidor final utilizando los productos terminados. 2. Todos los proveedores de bienes y servicios y todos los clientes estn eslabonados por la demanda de los consumidores de productos terminados al igual que los intercambios materiales e informticos en el proceso logstico, desde la adquisicin de materias primas hasta la entrega de productos terminados al usuario final.

[editar] Definicin de la "Logstica"


El Council of Supply Chain Management Professionals (CSCMP) define "Logstica" como:
"Proceso de planear, implantar y controlar procedimientos para la transportacin y almacenaje eficientes y efectivos de bienes, servicios e informacin relacionada, del punto de origen al punto de consumo con el propsito de conformarse a los requerimentos del cliente."

Internamente, en una empresa manufacturera, la Cadena de Abasto conecta a toda la Organizacin pero en especial las funciones comerciales (Mercadotecnia, Ventas, Servicio

al Cliente) de abasto de insumos para la produccin (Abastecimiento), productivas (Control de Produccin, Manufactura) y de almacenaje y distribucin de productos terminados (Distribucin), con el objetivo de alinear las operaciones internas hacia el servicio al cliente, la reduccin de tiempos de ciclo y la minimizacin del capital necesario para operar. La Cadena de Abasto al igual que todas las actividades de la Organizacin acepta la existencia de Filosofas innovadoras y las incorpora a su quehacer, por lo que es fcil encontrar trminos fortalecidos por las mismas como lo es "Lean Supply Chain Management" o "Lean six Sigma Logistics".

[editar] Caractersticas de la Cadena de suministro


Es dinmica e implica un flujo constante de informacin, productos y fondos entre las diferentes etapas. El cliente es parte primordial de las cadenas de suministro. El propsito fundamental de las cadenas de suministro es satisfacer las necesidades del cliente. Una cadena de suministro involucra flujos de informacin, fondos y productos. Una cadena de suministro tpica puede abarcar varias etapas que incluyen: clientes, detallistas, mayoristas/distribuidores, fabricantes, proveedores de componentes y materias primas. Cada etapa de la cadena de suministro se conecta a travs del flujo de productos, informacin y fondos No es necesario que cada una de las etapas est presente en la cadena de suministro El diseo apropiado de la cadena de suministro depende de las necesidades del cliente como de las funciones que desempean las etapas que abarca.

[editar] Funciones de la Cadena de Suministro (o Abasto) interna


Las funciones que componen la Cadena de Suministro interna a una empresa de manufactura son:

Administracin del Portafolio de Productos y Servicios (PPS), que es la oferta que la compaa hace al mercado. Toda la Cadena de Suministro se disea y ejecuta para soportar esta oferta. Servicio a Clientes (SAC), que es responsable de conectar la necesidad del cliente con la operacin interna de la compaa. Los sistemas transaccionales permiten que la organizacin visualice los compromisos derivados de las rdenes procesadas, pero en trminos simples, si existe inventario para satisfacer la demanda del cliente, SAC, pasa sus instrucciones directamente a Distribucin; si hay que producir, pasa sus instrucciones a Control de Produccin. Control de Produccin (CP), que, derivado de las polticas particulares de servicio que tenga la compaa y de la Administracin de la Demanda, se encarga de programar la produccin interna y, como consecuencia, dispara la actividad de Abastecimiento de insumos.

Abastecimiento (Aba), que se encarga de proveer los insumos necesarios para satisfacer las necesidades de Produccin (Materia prima y Materiales) cuidando los tiempos de entrega de los proveedores y los niveles de inventario de insumos. Distribucin (Dis), que se encarga de custodiar insumos y producto terminado (en algunas organizaciones solo producto terminado), hacerlo llegar a los Clientes y/o a su red de distribucin, que puede incluir otros almacenes Centros de Distribucin (CDs) no.

No existe consenso acerca de si stas 5 funciones deben no reportar jerrquicamente a una misma Gerencia / Direccin, pero s existe consenso en el sentido de que deben operar coordinadamente para que la Cadena de Suministro interna (o la Logstica interna) sea eficiente y efectiva. La sincronizacin es muy importante en estas cadenas para que no se produzca desperdicio, medido como inventario, tiempo o fallo de servicio al cliente.2 Ayuda contar con una buena prediccin de la demanda para no provocar sobrantes ni faltantes de productos terminados. Un fallo en esta prediccin provocar un denominado efecto ltigo (tambin llamado efecto bullwhip, del ingls bullwhip effect). Por ello, se dice que el impacto de una accin en una cadena de suministro es directamente proporcional a su demora en la propagacin de la comunicacin.

[editar] Etapas
Artculo principal: Logstica

[editar] Suministro
La parte del suministro se concentra en cmo, donde y cuando se consiguen y suministran las materias primas para la fabricacin de los productos terminados. En primer lugar, partamos de la defincin etimolgica: el vocablo suministro deriva del latn SUBMINISTRARE que significa SUB (bajo) y MINISTRARE servir, y se entiende como "PROVEER LO NECESARIO". Doctrinariamente, podemos definir al Suministro como un contrato de ejecucin o tracto sucesivo, peridico y continuo destinado a la entrega de bienes materiales, en la que el suministrante o proveedor (que puede ser una persona natural o jurdica) est obligada a entregar continua o peridicamente bienes y la persona que los recibe "suministrado" a pagar el precio. (*) Segn su realizacin, podemos sealar que el Suministro es un contrato por medio del cual una parte (suministrante o proveedor) se compromete a cumplir con prestaciones peridicas o continuadas frente a la otra parte (suministrado) durante un tiempo determinado o cuando el suministrado segn sus necesidades las solicite, a cambio de un precio. (*) Legalmente, (vale decir, en nuestro Cdigo Civil) se entiende que "por el Suministro, el suministrante se obliga a efectuar en favor de otra persona, prestaciones peridicas o continuadas de bienes". (*) El suministro constituye el acuerdo de voluntades destinado a la entrega de cosas materiales en forma de tracto sucesivo y por el pago de un precio, es decir, es oneroso. Es un contrato de prestaciones recprocas y diferidas que produce la transmisin del dominio en la medida en que el objeto sea consumible y que esta traslacin no se da cuando se proporciona un bien en uso o goce; y es de carcter oneroso, empero se puede pactar que sea a ttulo gratuito sin

quedar por ello desnaturalizado. En su forma principal, el Suministro es un contrato por el cual una de las partes se obliga a entregar a la otra a medida que las necesidades lo requieran, por un precio invariable, no obstante sus oscilaciones en el mercado, las mercaderas determinadas en el contrato, para que las consuma o las incorpore a otras, o las transforme a fin de fabricar otras mercaderas. (*) Es el contrato por el cual una de las partes se obliga mediante un precio, a ejecutar a favor de las otra prestaciones (peridicas o continuadas) de cosas. Hay contrato de suministro cuando una persona se obliga a entregar o promete entregar a otra, en pocas fijadas de antemano o a fijarse generalmente en diversos periodos, y mediante el pago de un precio a establecerse sobre uno o varios precios por unidades, cosas en propiedad y, eventualmente, slo para su uso o goce, en cantidad o extensin conforme a las necesidades del cliente o la posibilidad de produccin del proveedor, u otras referencias similares; por lo cual siendo stas inciertas en su acaecimiento, de no ocurrir las obligaciones de ambas partes no se cumplirn parcial o totalmente. (*) Es un contrato bilateral de prestaciones recprocas, oneroso, sin duda el ms mercantil de los contratos regulado por el Cdigo Civil, concebido y tratado tangencialmente por la tradicin jus filosfica humanista que privilegia el aspecto personal sobre el patrimonial, sin merituar las implicancias del plano econmico-social y la prctica comercial para definirlo como la entrega de bienes o prestacin de servicios en forma peridica o continuada a ttulo oneroso o a cambio de un precio y por excepcin puede celebrarse a ttulo gratuito. (*) Por ltimo, Semnticamente, es la provisin consistente en facilitar lo necesario para un fin o para fa satisfaccin de una determinada necesidad. (*)

[editar] Fabricacin
En esta etapa se convierten estas materias primas en productos terminados

[editar] Distribucin
Se asegura de que dichos productos finales llegan al consumidor a travs de una red de distribuidores, almacnes y comercios minoristas. Se dice que la cadena comienza con los proveedores de tus proveedores y finaliza con los clientes de tus clientes o mejor dicho hasta que el producto deje de ser existente ,es decir la cadena de suministros va de tierra a tierra.3

[editar] Fases de decisin en una cadena de suministro.


Las decisiones que se habrn de tomar en un a cadena de suministro se dividen en tres categoras o fases:

[editar] ESTRATEGIA O DISEO DE LA CADENA DE SUMINISTRO.


La compaa decide cmo estructurar la cadena de suministro. Se toman decisiones acerca de cmo se distribuirn los recursos y los procesos. Se hacen decisiones a largo plazos pues modificarlas a corto plazo sale caro. Se debe tomar en cuenta la incertidumbre en las condiciones previstas del mercado.

[editar] PLANEACIN DE LA CADENA DE SUMINISTRO.


Se consideran decisiones de un trimestre. La configuracin de la cadena de suministro es fija. Se configuran las restricciones dentro de las cuales debe hacerse la planeacin. La meta es maximizar el supervit manteniendo las restricciones. Incluye tomar decisiones sobre cules mercados sern abastecidos y desde qu ubicaciones, la subcontratacin de fabricacin las polticas de inventario que se seguirn y la oportunidad y magnitud de las promociones de marketing y precio. Las compaas deben incluir en sus decisiones la incertidumbre en la demanda, las tasas de cambio de divisas y la competencia durante este horizonte de tiempo

[editar] OPERACIN DE LA CADENA DE SUMINISTRO.


El horizonte de tiempo es semanal o diario Las compaas toman decisiones acerca de los pedidos de cada cliente La configuracin de la cadena de suministro se considera fija y las polticas de planeacin ya se han fijado La meta de las operaciones de la cadena de suministro es manejar los pedidos entrantes de los clientes de la mejor manera posible Las compaas distribuyen el inventario o la produccin entre cada uno de los pedidos, establecen la fecha en la que debe completarse el pedido, generan listas de surtido en el almacn, asignan un monto a un pedido particular de transporte y envo

[editar] Enfoque de los procesos en una cadena de suministro.


Una cadena de suministro es una secuencia de procesos y flujos que tienen lugar dentro y entre diferentes etapas y se combinan para satisfacer la necesidad que tiene el cliente de un producto. Enfoque de Ciclo. Los procesos se dividen en series de ciclos, cada uno realizado en la interfase de dos etapas sucesivas. Enfoque de empuje/tirn. Los procesos de dividen en dos categoras dependiendo de si son ejecutados en respuesta de un pedido del cliente o en anticipacin a ste

[editar] Enfoque de ciclo de los procesos de una cadena de suministro.


Todos los procesos se pueden dividir en cuatro ciclos de proceso siguientes:

Ciclo de pedido del cliente. Ciclo de reabastecimiento. Ciclo de fabricacin. Ciclo de abasto. Cada ciclo ocurre entre dos etapas sucesivas de una cadena de suministro. Cada ciclo cuenta con seis subprocesos.

Dentro de cada ciclo, la meta del comprador es asegurar la disponibilidad del producto y lograr economas de escala con el pedido. El proveedor trata de pronosticar los pedidos del cliente y reducir el costo de recibirlos. El proveedor trabaja para surtir el pedido a tiempo y mejorar la eficiencia y precisin del proceso de surtido de pedidos. El comprador trabaja para reducir el costo del proceso de recepcin. Los flujos inversos se manejan para reducir el costo y cumplir con los objetivos ambientales. El enfoque de ciclo es muy til cuando se consideran las decisiones de operacin, ya que especifica con claridad la funcin de cada miembro de la cadena de suministro. La descripcin detallada del proceso de una cadena de suministro en el enfoque de ciclo obliga a considerar la infraestructura requerida para apoyar estos procesos.

[editar] Enfoque de empuje de los procesos de una cadena de suministros.


La ejecucin de la produccin es anticipada a la demanda del cliente En el momento de ejecucin d un proceso de empuje la demanda no se conoce y se debe pronosticar Los procesos de empuje se pueden llamar procesos especulativos pues responden a la demanda especulada o pronosticada en lugar de la demanda real

[editar] Referencias
1. Sunil Chopra and Peter Meindl (2006). Supply Chain Management. 3 Edition. Pearson/Prentice Hall. 2. Gastn Cedillo y Cuauhtmoc Snchez (2008). Anlisis Dinmico de Sistemas Industriales. Editorial Trillas, Mxico. 3. Paul Schnsleben (2000). Integral Logistics Management. Auerbach Publications, Taylor & Francis Group.

Chase, R. ; Jacobs, R; Aquilano, N. Administracin de operaciones. Produccin y cadena de suministros. Editorial Mc Graw Hill, Mxico. ISBN 978-970-10-7027-7

[editar] Vase tambin


Administracin de la cadena de suministro Canal de distribucin

[editar] Enlaces externos


Definicin detallada de la Cadena de Suministros - Portal de la Logstica y de la Supply Chain. Qu es la Cadena de Suministros? - Portal de Responsabilidad Social Corporativa Chile. Cajas de transporte Seis Sigma en la cadena de suministro

Obtenido de http://es.wikipedia.org/w/index.php?title=Cadena_de_suministro&oldid=50139835 Categoras:


Administracin de la cadena de suministro Logstica Mercadotecnia

Herramientas personales

Iniciar sesin / crear cuenta

Espacios de nombres

Artculo Discusin

Variantes Vistas

Leer Editar Ver historial

Acciones Buscar
Especial:Buscar

Buscar

Navegacin

Portada Portal de la comunidad Actualidad Cambios recientes Pginas nuevas Pgina aleatoria Ayuda Donaciones Notificar un error

Imprimir/exportar

Crear un libro Descargar como PDF Versin para imprimir

Herramientas

Lo que enlaza aqu Cambios en enlazadas Subir archivo Pginas especiales Enlace permanente Citar este artculo

En otros idiomas

Deutsch English Suomi Bahasa Indonesia Nederlands Portugus Svenska Esta pgina fue modificada por ltima vez el 29 sep 2011, a las 09:51. El texto est disponible bajo la Licencia Creative Commons Atribucin Compartir Igual 3.0; podran ser aplicables clusulas adicionales. Lee los trminos de uso para ms informacin. Wikipedia es una marca registrada de la Fundacin Wikimedia, Inc., una organizacin sin nimo de lucro. Contacto

El reciclaje de insumos es propiamente como el mismo nombre lo indica reciclar alguna materia prima como el papel, vidrio o metal que ya no tenga utilidad pero que pueda ser reciclable para producir despus algo ms y no desperdiciar estos materiales. Y el reabastecimiento es como ya te dije en tu otra pregunta abastecerse de los bienes o materia prima que necesitas sin que hayan sido utilizados antes para poder producir algo, esto aplicara por ejemplo en el caso de alimentos :P Importancia de la Informacin

Cuando se habla de la funcin informtica generalmente se tiende a hablar de tecnologa nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar informacin ms consistente, etc. Sin embargo se suele pasar por alto o se tiene muy implcita la base que hace posible la existencia de los anteriores elementos. Esta base es la informacin. Es muy importante conocer su significado dentro la funcin informtica, de forma esencial cuando su manejo esta basado en tecnologa moderna, para esto se debe conocer que la informacin: esta almacenada y procesada en computadoras puede ser confidencial para algunas personas o a escala institucional puede ser mal utilizada o divulgada puede estar sujeta a robos, sabotaje o fraudes Los primeros puntos nos muestran que la informacin esta centralizada y que puede tener un alto valor y lo s ltimos puntos nos muestran que se puede provocar la destruccin total o parcial de la informacin, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo. Pensemos por un momento que hay se sufre un accidente en el centro de computo o el lugar donde se almacena la informacin. Ahora preguntmonos: Cunto tiempo pasara para que la organizacin este nuevamente en operacin? Es necesario tener presente que el lugar donde se centraliza la informacin con frecuencia el centro de cmputo puede ser el activo ms valioso y al mismo tiempo el ms vulnerable. Vase diapositiva 1 y vase diapositiva 2 Para continuar es muy importante conocer el significado de dos palabras, que son riesgo y seguridad. Riesgo Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo.

Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad. Con estos conceptos claros podemos avanzar y hablar la criminologa ya ha calificado los "delitos hechos mediante computadora"o por "sistemas de informacin" en el grupo de delitos de cuello blanco. Crnica del crimen (o delitos en los sistemas de informacin) Delitos accidentales e incidentales Los delitos cometidos utilizando la computadora han crecido en tamao, forma y variedad. En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras estos son: fraudes falsificacin venta de informacin Entre los hechos criminales ms famosos en los E.E.U.U. estn: El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivos era inadecuada, cuyo error costo USD 21.3 millones. El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales. El caso de un muchacho de 15 aos que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos. Tambin se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgndose una identificacin como un usuario de alta prioridad, y tomo el control de una embotelladora de Canad. Tambin el caso del empleado que vendi la lista de clientes de una compaa de venta de libros, lo que causo una perdida de USD 3 millones. Conclusin

Estos hechos y otros nos muestran claramente que los componentes del sistema de informacin no presentaban un adecuado nivel de seguridad. Ya que el delito se cometi con y sin intencin. Donde se logr penetrar en el sistema de informacin. Virus informtico Definicin: El virus informtico es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a travs de diskettes o de la red telefnica de comunicacin entre ordenadores, causando diversos tipos de daos a los sistemas computarizados. Ejemplo: el virus llamado viernes trece o Jerusaln, que desactiv el conjunto de ordenadores de la defensa de Israel y que actualmente se ha extendido a todo el mundo. Histricamente los virus informticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicacin del New York Times que hablaba de un virus que fue se distribuyo desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta grfica EGA, pero al ejecutarlo sala la presentacin pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que deca "Caste". Bueno en realidad este fue el nacimiento de su nombre, ya que los programas con cdigo integrado, diseados para hacer cosas inesperadas han existido desde que existen las computadoras. Y ha sido siempre la obra de algn programador delgado de ojos de loco. Pero las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleo emple una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco. Los principales casos de crmenes cometidos empleando por virus informticos son: 12 de diciembre de 1987. El virus de Navidad Una tarjeta navidea digital enviada por medio de un BBS de IBM atasco las instalaciones en los EE.UU. por 90 minutos. Cuando se ejecutaba el virus este tomaba los Adress Book del usuario y se retransmita automticamente, ademas que luego colgaba el ordenador anfitrin. Esto causo un desbordamiento de datos en la red. 10 de enero de 1988. El virus Jerusaln se ejecuta en una universidad hebrea y tiene como fecha lmite el primer viernes 13 del ao, como no pudieron pararlo se sufra una disminucin de la velocidad cada viernes 13. 20 de septiembre de 1988 en Fort Worth, Texas, Donald Gene un programador de 39 aos ser sometido a juicio el 11 de julio por cargos delictivos de que intencionadamente contamin el sistema de por ser despedido, con un virus informtico el ao 85. Sera la primera persona juzgada con la ley de sabotaje que entro en vigor el 1 de septiembre de 1985. El juicio duro 3 semanas y el

programador fue declarado culpable y condenado a siete aos de libertad condicional y a pagar USD. 12000. Su empresa que se dedicaba a la bolsa sufri borro de datos, aproximadamente 168000 registros. 4 de noviembre de 1988 Un virus invade miles de computadoras basadas en Unix en universidades e instalaciones de investigacin militares, donde las velocidades fueron reducidas y en otros casos paradas. Tambin el virus se propag a escala internacional. Se estableci que la infeccin no fue realizada por un virus sino por un programa gusano, diseado para reproducirse as mismo indefinidamente y no para eliminar datos. El programa se difundi a travs de un corrector de errores para correo electrnico, que se movi principalmente en Internet (Arpanet) y contamino miles de computadoras en todo el mundo contando 6000 computadoras en centros militares en los EE.UU. , incluyendo la NASA, la Fuerza Area, el MIT, las universidades de Berkeley, Illinois, Boston, Stanford, Harvard, Princeton, Columbia y otras. En general se determino que la infeccin se propago en las computadoras VAX de DEC (digital equipament corp) y las fabricadas por Sun Microsystems, que empleaban Unix. Se halla al culpable Robert Morris, estudiante de 23 aos, que declara haber cometido un error al propagar el gusano. Morris era el hijo de un experto en seguridad informtica del gobierno. El caso fue investigado por el FBI. Posiblemente se sentencie a Morris por 5 aos de prisin y una multa USD. 250000. 23 de marzo del 89 virus ataca sistemas informticos de hospitales, variando la lectura de informes de laboratorio. Y los ltimos pero recordados vaccina, hacker, cpw543, natas, antiexe, etc. Conclusin Estos casos y muchos otros nos muestran que al realizar la auditora se debe estudiar con mucho cuidado lo que significan los virus. Y conocer los diferentes tipos como ser: caballo de troya, gusano, trampilla, bomba de tiempo, bomba lgica y los recientes macro virus. Pero como principal punto de partida se debe observar que el sistema: No tenga copias ilegales o piratas Que no exista la posibilidad de transmisin de virus al realizar conexiones remotas o de redes El acceso de unidades de disco flexible sea restringido solo a quienes las necesitan Observacin

Es muy importante manejar con discrecin los resultados que se obtengan de los aspectos de seguridad, pues su mala difusin podra causar daos mayores. Esta informacin no debe ser divulgada y se la debe mantener como reservada. Ambiente propicio para el cultivo del crimen En la actualidad se nota que los fraudes crecen en forma rpida, incluso mayor que los sistemas de seguridad. Se sabe que en los EE.UU. se cometen crmenes computarizados denunciados o no por ms de 3 mil millones de dlares.) Es importante para el auditor conocer las causas para que se cometan delitos, ya que una vez encontrado el problema se debe observar la raz para sugerir su solucin, entre las causas podemos citar, dos grupos: Mayor riesgo Beneficio personal Sndrome de Robn Hood Odio a la organizacin Mentalidad turbada Equivocacin de ego Deshonestidad del departamento Problemas financieros de algn individuo Fcil modo de desfalco Menor riesgo Beneficio de la organizacin Jugando a jugar Conclusin Al ingresar al rea de seguridad se debe contemplar muy estrechamente las relaciones que hay entre los aspectos: tecnolgicos, humano - sociales y administrativos. Paradigmas Organizacionales en Cuanto a Seguridad Paradigma: Modelo o ejemplo de algo, En filosofa: Conjunto de ideas filosficas, teoras cientficas y normas metodolgicas que influyen en la forma de resolver los problemas en una determinada tradicin cientfica.

Sinnimo: prototipo, muestra, canon. Los paradigmas desempean un papel importante en la actual filosofa de la ciencia, a partir de la obra de Thomas S. Kuhn "La estructura de las revoluciones cientficas" (1962). Del paradigma se desprenden las reglas que rigen las investigaciones. Cuando dentro de un paradigma aparecen anomalas excesivas, se produce una revolucin cientfica que consiste precisamente en el cambio de paradigma Es muy importante que el auditor conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido. Entre los principales paradigmas que se pueden encontrar veamos los siguientes: Generalmente se tiene la idea que los procedimientos de auditora es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer que estas son responsabilidades del usuario y del departamento de auditora interna. Tambin muchas compaas cuentan con dispositivos de seguridad fsica para los computadores y se tiene la idea que los sistemas no pueden ser violados si no se ingresa al centro al centro de computo, ya que no se considera el uso terminales y de sistemas remotos. Se piensa tambin que los casos de seguridad que tratan de seguridad de incendio o robo que "eso no me puede suceder a m" o "es poco probable que suceda". Tambin se cree que los computadores y los programas son tan complejos que nadie fuera de su organizacin los va a entender y no les van a servir, ignorando las personas que puedan captar y usarla para otros fines. Los sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones. Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no se considera a los delincuentes sofisticados. Se suele suponer que los defectos y errores son inevitables. Tambin se cree que se hallan fallas porque nada es perfecto. Y la creencia que la seguridad se aumenta solo con la inspeccin. El siguiente cuadro es una forma apta para llevar este tipo de informacin. Aunque no puede ser la mejor, pero permite distinguir las ideas que se pretender explicar. Viejo Nuevo

Equilibrio Organizacin Operativo .. Conclusin

desequilibrio

Se deben analizar estos y otros paradigmas de la organizacin, tambin es muy importante que el auditor enfrente y evale primero sus propios paradigmas y sus paradigmas acadmicos. Consideraciones Inmediatas para la Auditora de la Seguridad A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor detalle. Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: tiempo de mquina para uso ajeno copia de programas de la organizacin para fines de comercializacin (copia pirata) acceso directo o telefnico a bases de datos con fines fraudulentos Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso empleo de las claves de acceso evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: la informacin este en manos de algunas personas la alta dependencia en caso de perdida de datos

Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: los programas no contengan bombas lgicas los programas deben contar con fuentes y sus ultimas actualizaciones los programas deben contar con documentacin tcnica, operativa y de emergencia Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: la dependencia del sistema a nivel operativo y tcnico evaluacin del grado de capacitacin operativa y tcnica contemplar la cantidad de personas con acceso operativo y administrativo conocer la capacitacin del personal en situaciones de emergencia Medios de Control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema. Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: malos manejos de administracin malos manejos por negligencia malos manejos por ataques deliberados Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:

la continuidad del flujo elctrico efectos del flujo elctrico sobre el software y hardware evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones Control de Residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja. Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) identificar las aplicaciones que tengan alto riesgo cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera la justificacin del costo de implantar las medidas de seguridad

Costo x perdida Costo del

de informacin sistema de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. Una lista de clientes ser de menor riesgo. Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor monousuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energa ininterrumpida UPS. Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de un experto).

Si se cuenta con un mtodo de respaldo y su manual administrativo. Conclusin Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel institucional, para lo cual se debe: Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin. Identificar la informacin que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial. Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pueda sobrevivir sin ella. Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones. Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: Obtener una especificacin de las aplicaciones, los programas y archivos de datos. Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plazo. Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. Que los operadores no sean los nicos en resolver los problemas que se presentan. Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de computo y dems

dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo) Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal. Cultura Personal Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo. Conclusin El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la organizacin y lograr una mejor comunicacin entre ambos. Consideraciones para Elaborar un Sistema de Seguridad Integral Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa." Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Un sistema integral debe contemplar: Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades

Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de seguridad para el personal: Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 14000 Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar:

El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia Un punto de partida ser conocer como ser la seguridad, de acuerdo a la siguiente ecuacin. Riesgo SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual.

Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Este proceso incluye como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc. Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: Introducir el tema de seguridad en la visin de la empresa. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. Capacitar a los gerentes y directivos, contemplando el enfoque global. Designar y capacitar supervisores de rea. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. Mejorar las comunicaciones internas. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica.

Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.