Sunteți pe pagina 1din 152

RED NACIONAL UNIVERSITARIA UNIDAD ACADEMICA DE ORURO

FACULTAD DE CIENCIAS Y TECNOLOGIA

INGENIERIA DE SISTEMAS

SEPTIMO SEMESTRE

SYLLABUS AUDITORIA DE SISTEMAS

Realizado por: Ing. Rosmery Luizaga Salinas

Gestin Acadmica I/2011

UDABOL
UNIVERSIDAD DE AQUINO BOLIVIA Acreditada como PLENA mediante R. M. 288/01

VISION DE LA UNIVERSIDAD Ser la Universidad lder en calidad educativa.

MISION DE LA UNIVERSIDAD Desarrollar la Educacin Superior Universitaria con calidad y competitividad al servicio de la sociedad.

I.

SYLLABUS GENRICO
Asignatura: Cdigo: Requisito: Carga Horaria: Crditos: Auditoria de Sistemas CMP 425 CMP 326 60 horas 6

II. OBJETIVOS GENERALES DE LA ASIGNATURA. Presentar las herramientas y mecanismos adecuados para realizar la Auditoria de Sistemas, con el ms alto grado de profesionalidad e idoneidad, a travs del estudio terico y desarrollo de proyectos prcticos, insertos en situaciones reales de trabajo. Fundamentar las bases tericas fundamentales de la auditoria de Sistemas como sustento esencial para la realizacin de auditorias prcticas.

III. PROGRAMA ANALTICO DE LA ASIGNATURA. UNIDAD I. OBJETIVOS Y MTODOS DE LA AUDITORA INFORMTICA 1. CONCEPTOS GENERALES 1.1 Auditoria 1.1. Clases de Auditorias 1.2. Herramientas de la Auditoria 1.3. Evolucin

2. 2.1. 2.2. 2.3. 2.4. 2.5. 3. 3.1 3.2 3.3 3.4 3.5

OBJETIVOS DE LA AUDITORIA INFORMTICA El estudio de la fiabilidad del entorno de sistemas Es estudio de la eficacia y de las actuaciones de la actividad de la auditoria informtica Los objetivos de la auditoria informtica Los demandantes de la auditoria Los mtodos de auditora informtica CONTROL INTERNO INFORMTICO Conceptos y definiciones de Control Control Interno Informtico Elementos del Control Interno Informtico Controles Internos Informticos Metodologa de control interno

UNIDAD II. EVOLUCION DE LA AUDITORIA INFORMTICA Y SU MARCO JURIDICO 4. ORGANIZACIN DEL DEPARTAMENTO DE AUDITORIA INFORMTICA 4.1 4.2 4.3 4.4. 4.5 Antecedentes Clases y Tipos de Auditoria Informtica Perfiles Profesionales de la Funcin de la Auditoria Informtica Funciones a desarrollar por la funcin de la Auditora Informtica Organizacin del la funcin

5. MARCO JURDICO DE LA AUDITORIA INFORMTICA 5.1 5.2 5.3 5.4. 5.5 Proteccin de datos Los delitos informticos El intercambio electrnico de Datos El documento electrnico Derecho Informtico

UNIDAD III. METODOLOGA PARA REALIZAR LA AUDITORIA INFORMTICA 6. PLANEACION DE LA AUDITORIA DE SISTEMAS 6.1 6.2 6.3 6.4 6.5 6.6. 6.7 Origen de la Auditora Visita Preliminar Establecimiento de Objetivos Determinacin de puntos que deben ser evaluados Elaborar Planes, Presupuestos y Programas Seleccionar Herramientas, Tcnicas y Mtodos a Utilizar Asignar Recursos

7. PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS 7.1 7.2 7.3 Contenido del Legajo de papeles de Trabajo Cuadros estadsticas y documentos concentradores de informacin Diagramas de Sistemas

8. INFORMES DE AUDITORIA DE SISTEMAS 8.1 8.2 8.3 8.4 Procedimiento para elaborar el informe Caractersticas del informe de auditora Estructura del informe de Auditora Formatos para el informe de auditora

9. TECNICAS DE EVALUACIN APLICABLES EN AUDITORIA DE SISTEMAS Y TCNICAS ESPECIALES 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 9.9 9.10 9.11 9.12 9.13 El Examen La inspeccin Confirmacin Comparacin Revisin Documental Acta Testimonial Matriz de Evaluacin Matriz DOFA Guas de Evaluacin Ponderacin Lista de verificacin Anlisis de diagramas de sistemas Diagramas de seguimiento de una auditoria de sistemas

UNIDAD IV. AUDITORA DE SISTEMAS 10. AUDITORIA DEL DESARROLLO DE SISTEMAS 10.1 10.2 Evaluacin de los sistemas Evaluacin del Anlisis

10.3 10.4 10.5 10.6 10.7 10.8

Evaluacin del diseo lgico Evaluacin del desarrollo Forma de Implantacin Equipo Entrevistas a usuarios Evaluacin en el impacto

11. AUDITORIA DE LA SEGURIDAD INFORMTICA 11.1 11.2 11.3 11.4 11.5 11.6 11.7 Evaluacin de riesgos Evaluacin de la seguridad fsica Evaluacin de la seguridad Lgica Evaluacin de la seguridad y el desarrollo de aplicaciones Evaluacin de la seguridad en el rea de produccin Evaluacin de la seguridad de los datos Evaluacin de la continuidad de operaciones

12. AUDITORIAS DE SISTEMAS DISTRIBUIDOS 12.1 12.2 12.3 12.4 Conocimiento del rea de procesamiento Redes y Sistemas Topologas lgicas y fsicas Procedimientos de auditoria

IV. EVALUACIN DE LA ASIGNATURA Procesual o Formativa

A lo largo del semestre se realizarn exposiciones, repasos cortos y otras actividades de aulas. Cada uno se tomar como evaluacin procesual calificndola entre 0 y 50. De resultados de los Procesos de aprendizaje o sumativa (examen parcial o final)

Se realizar 2 evaluaciones parciales con contenido terico y prctico. El examen final consistir en un examen escrito que se calificar con el 50% de la nota del examen final
V. BIBLIOGRAFA . El estudiante tiene acceso a la Biblioteca de la Carrera y tambin al material que proporciona la Docente. Otra fuente de informacin es Internet, los Work Papers y Difs. ECHENIQUE, JOS ANTONIO, Auditoria en Informtica, McGraw Hill, Mxico 2001 PIATTINI, MARIO G. Y EMILIO DEL PESO, Auditoria Informtica Un Enfoque Prctico, Alfaomega, Bogot ALONSO RIVAS, DAZ DE SANTOS, Auditoria en Informtica DERRIEN, Tcnicas de Auditoria Informtica, Marcombo Auditoria de Sistemas, Echenique Auditoria Informtica, Piattini, Alfaomega, Bogot

VI. CONTROL DE EVALUACIONES


1 evaluacin parcial Fecha Nota

2 evaluacin parcial Fecha Nota

Examen final Fecha Nota

APUNTES

VII. PLAN CALENDARIO

SEMAN A

DEL

AL

ACTIVIDADES

OBSERVACIONES

1ra. 2da. 3ra. 4ta. 5ta. 6ta. 7ma. 8va. 9na. 10ma. 11ra. 12da. 13ra. 14ta. 15ta. 16ta. 17ma. 18va. 19na. 20va. 21ra.

09-mar 14-mar 21-mar 28-mar 04-abr 11-abr 18-abr 25-abr 02-may 09-may 16-may 23-may 30-may 06-jun 13-jun 20-jun 27-jun 04-jul 11-jul 18-jul 25-jul

12-mar 19-mar 26-mar 02-abr 09-abr 16-abr 23-abr 30-abr 07-may 14-may 21-may 28-may 04-jun 11-jun 18-jun 25-jun 02-jul 09-jul 16-jul 23-jul 26-jul

Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia Avance de materia

Unidad I,Objetivos y Mtodos Unidad II. Evol. Y Marco Jurdico Unidad II. Evol. Y Marco Jurdico Unidad III.Planeac. de la Auditora Unidad III.Papeles de Trabajo

Inicio Primera Evaluacin Parcial Conclusin Primera Evaluacin Parcial


Unidad III.Papeles de Trabajo Unidad III.Informe Auditoria Unidad III.Tcnicas de Evaluacin Unidad IV.Auditora del Desarrollo

Presentacin de Notas Presentacin de Notas

Inicio Segunda Evaluacin Parcial


Conclusin Segunda Evaluacin Parcial Unidad IV.Auditora del Desarrollo Unidad III.Tcnicas de Evaluacin Unidad IV.Auditoria de la Segurida Unidad IV.Auditoria de Redes

Presentacin de Notas Presentacin de Notas

Inicio Evaluacin Final


Conclusin Evaluacin Final Evaluacin del segundo turno Cierre de Gestin

Presentacin de Notas Transcripcin de Notas Transcripcin de Notas

FERIADOS 22 de abril Viernes Santo 1 de mayo Da del Trabajo 23 de junio Corpus Christi

PLANIFICACIN DE ACTIVIDADES
CONTENIDO MNIMO CONTENIDO ANALTICO

ACTIVIDAD

PERIODOS ACADMICOS

RECURSOS DIDCTICOS

PLANEACION DE L -Orig. Auditoria Visita a 4 Periodos AUDITORIA DE -Visita Preliminar INSERPAZ SISTEMAS -Esta. Objetivos -Determinacin de punto deben ser evaluados PLANEACION DE L -Elabo. Planes, Seminario AUDITORIA DE -Presupuestos y ProgramCALIDAD -Seleccionar Herramient TOTAL SISTEMAS Tcnicas y Mtodos a Ut PAPELES DE TRAB -Contenido del Legajo de Visitas PARA LA AUDITOR papeles de Trabajo SFIDAS SISTEMAS - Cuadros estadsticas y documentos concentrado de informacin - Diagramas de Sistemas INFORMES DE AUDITORIA DE SISTEMAS -Procedimiento para elab Visita el informe SONAPTO -Caractersticas del infor auditoria -Estructura del informe d Auditoria Formatos para e 8.4 informe de auditoria

Data Display Cmaras fotogrficas, Filmadoras

4 Periodos

Data Display Software de Monitoreo de Procesos Instrumentacin Data Display Equipo de Computacin Papelgrafos Software

6 Periodos

6 Periodos

Data Display Software Pizarras Presentaciones

AUDITORIA DE SISTEMAS

-Auditoria de la Seguri Visita E.M.V. Informtica, Auditoria d desarrollo de Sistemas Auditoria de Sistemas Distribuidos

8 Periodos

Data Display Software Pizarras Presentaciones Soporte CDs

WORK PAPER # 1

PROGRAMA DE CONTROL DE CALIDAD No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 10

ELABOR: Ing.Rosmery Luizaga Salinas

CDIGO: CMP 425

TTULO DEL WORK PAPER: EJEMPLO DE CONTROL INTERNO LEY 527 DEL COMERCIO ELECTRNICO DPTO.: Facultad de Ingeniera DESTINADO A: DOCENTES ALUMNOS X ADMINIST. OTROS

OBSERVACIONES: Carrera Ingeniera de Sistemas, Asignatura Auditoria de Sistemas Unidad 1, tema No.

FECHA DE DIFUSIN: Marzo/2011

FECHA DE ENTREGA: Marzo/2011

EJEMPLO DE CONTROL INTERNO: LEY 527 DEL COMERCIO ELECTRNICO Se le conoce como Ley de Comercio Electrnico, aunque sus alcances van ms all de las transacciones que se puedan realizar en lnea. Lo ms importante es su significado para el pas. "La ley nmero 527 del 18 de agosto de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrnico y de las firmas digitales, y se establecen las entidades de certificacin y se dictan otras disposiciones." Sin embargo, es cierto: Que Colombia es uno de los primeros pases en el mundo, despus de los que conforman la Unin Europea, que cuenta con una legislacin sobre el tema. Aunque a la Ley 527 de 1999 se le conoce como Ley de Comercio Electrnico, sus alcances van ms all de las transacciones que se puedan realizar en lnea. Por ejemplo, les otorga reconocimiento jurdico a los documentos electrnicos, tal como en este momento lo tienen los documentos en papel, y los admite como pruebas en procesos legales. La Ley tambin tiene en cuenta aspectos como el transporte de mercanca derivado de una transaccin electrnica, y le dedica un captulo completo a las entidades de certificacin. La Ley de Comercio Electrnico entr en rigor desde la fecha de su publicacin (Diario Oficial nmero 43.673, del 21 de agosto de 1999). Su desarrollo fue un esfuerzo conjunto entre los ministerios de Justicia, Desarrollo, Comercio Exterior, Transporte y l Congreso de la Repblica. La Ley de Comercio Electrnico es un logro muy importante porque nos ponemos a tono con la informtica y los negocios modernos. Facilita de una manera enorme los negocios que se estn realizando por va electrnica, da seguridad a quien compra o vende, y es un mecanismo de control del gobierno a un sin nmero de actos que estaban sucediendo sin que hubiera regulacin estatal. La ley 527 de 1999 es un avance que facilita el comercio interno y el internacional. Los negocios hoy da son muy dinmicos y muy rpidos, por lo que estamos dando un paso hacia adelante. Todos vemos con muy bueno ojos que exista esta ley (...) pues nos permite entrar a jugar en el mercado internacional y ser parte de la globalizacin. La aprobacin de esta ley significa que el pas tom seriamente los grandes cambios en los procesos comerciales que estn ocurriendo en el mundo con el surgimiento de una herramienta y medio como Internet, y se coloc a tono con esta globalizacin comercial legislando sobre el tema de Comercio Electrnico. Frente al contexto internacional, nos permite adoptar estndares de comercio electrnico internacional para que los exportadores e importadores puedan establecer relaciones de negocios ms giles y efectivas (...), y para que nuestros comerciantes encuentren una nueva alternativa de negocios. Aprobar una Ley de Comercio Electrnico en Colombia es dar un paso hacia adelante. Es formalizar y habilitar la entrada del pas a la nueva economa. Es meternos e insertarnos en lo que es la economa mundial... El que no est en esto, no est en nada. PARTE I CAPITULO I DISPOSICIONES GENERALES Artculo 1 mbito de aplicacin. La presente ley ser aplicable a todo tipo de informacin en forma de mensaje de datos, salvo en los siguientes casos: a) En las obligaciones contradas por el Estado colombiano en virtud de Convenios o Tratados internacionales.

b) En las advertencias escritas que por disposicin legal deban ir necesariamente impresas en cierto tipo de productos que implique su comercializacin. Artculo 2 Definiciones. Para los efectos de la presente ley se entender por: a) Mensaje de Datos. La informacin generada, enviada, recibida, almacenada o comunicada por medios electrnicos, pticos o similares, como: El Intercambio Electrnico de Datos (EDI), Internet, el correo electrnico, el telegrama, el tlex o el telefax. b) Comercio electrnico. Abarca las cuestiones de toda relacin de ndole comercial, estructurada a partir de la utilizacin de uno o ms mensajes de datos o de cualquier otro medio similar. C) Firma Digital. Se entender como un valor numrico que se adhiere a un mensaje de datos y que utiliza un procedimiento matemtico conocido, vinculado a la clave del iniciador y al texto del mensaje. d) Entidad de Certificacin. Es aquella persona que autorizada conforme a la presente Ley, est facultada para emitir certificados en relacin con las firmas digitales de las personas, facilitar los servicios de registro, transmisin y recepcin de mensajes de datos, e) Intercambio Electrnico de Datos (EDI). Es la transmisin electrnica de datos de una computadora a otra, estructurada bajo normas tcnicas. f) Sistema de Informacin. Es todo sistema utilizado para generar, enviar, recibir, archivar o procesar mensajes de datos. Articulo 3 Interpretacin: En la interpretacin habr de tener en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicacin y observancia de la buena fe. Articulo 4 Modificacin Mediante Acuerdo: Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envan, reciben, archivan o procesan mensajes de datos, podrn ser modificadas mediante acuerdo. Articulo 5 Reconocimiento jurdico de los mensajes de datos: No se negarn efectos jurdicos, validez o fuerza obligatoria a todo tipo de informacin por la sola razn de que est en forma de mensaje de datos. CAPITULO II APLICACIN DE LOS REQUISITOS JURIDICOS DE LOS MENSAJES DE DATOS Articulo 6 Escrito: Cuando cualquier norma requiera que la informacin conste por escrito, este requisito quedara con un mensaje de datos. Articulo 7 Firma: Cuando cualquier norma exija la presencia de una firma, que establezca la relacin con un mensaje de datos, se entender satisfecho dicho requerimiento s: Si ha utilizado un mtodo que permita identificar el mensaje de dato y el contenido cuenta con su aprobacin. Si el mtodo es confiable, que cumpla con el propsito del mensaje.

Articulo 8 Original: Cuando cualquier norma requiera que la informacin sea presentada y conservada en su original. Este requisito queda satisfecho s: Cuando existe garanta de que se ha conservado la integridad de la informacin a partir del momento en que se genero por primera vez en su forma definitiva como un mensaje de datos De requerirse que la informacin sea presentada, si dicha informacin puede ser mostrada a la persona.

Articulo 9 Integridad de un mensaje de datos: Para efectos del capitulo anterior, se considera que la informacin consignada en un mensaje de datos es integra, si esta ha permanecido completa e inalterada. El grado de confiabilidad requerido, ser determinado a la luz de los fines por los que se genero la informacin. Articulo 10 Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos sern admitidos como medios de prueba. No se negar eficacia, validez, fuerza obligatoria o probatoria a todo tipo de informacin en forma de un mensaje de datos. Su fuerza probatoria es la otorgada en las disposiciones del capitulo VIII del Titulo XIII, Seccin Tercera, Libro segundo del cdigo de procedimiento civil. Articulo 11 Criterio para valorar probatoriamente un mensaje de datos. Para la valoracin de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems criterios reconocidos legalmente para la apreciacin de las pruebas " La confiabilidad del mensaje. " Articulo 12 Conservacin de los mensajes de datos y documentos. Cuando la ley requiere que ciertos documentos, registros o informaciones sean conservados, quedara satisfecho si cumplen las siguientes condiciones: 1. Que la informacin que contengan sea accesible para su posterior consulta. 2. Que el mensaje de datos o el documento sea conservado en l formato que se haya generado, enviado o recibido. 3. Toda informacin debe determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento. CAPITULO III COMUNICACIN DE LOS MENSAJES DE DATOS Articulo 14 Formacin y Validez de los contratos: En la formacin del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptacin podr ser expresadas por medio de un mensaje de datos. No se negara un contrato sin haber utilizado mensaje de datos. Articulo 15 Reconocimiento de los mensajes de datos Las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negaran efectos jurdicos, validez, a una manifestacin de voluntad por la sola razn de haberse hecho en forma de mensaje de datos. Articulo 16 Atribucin de un mensaje de datos Se dice que un mensaje de datos proviene de un iniciador cuando este ha sido enviado por: El iniciador Por alguna persona que acte en nombre del iniciador. Por un sistema de informacin programado por el iniciador. Articulo 17 Presuncin del origen de un mensaje de datos Se presume que el mensaje ha sido enviado por el iniciador cuando: Haya aplicado el procedimiento acordado por el iniciador, para establecer de donde proviene.

Cuando el mensaje de datos que reciba el destinatario resulta de una persona cercana al iniciador para identificar el mensaje da datos como propio. Articulo 18 Concordancia del mensaje de datos enviado con el mensaje recibido. Siempre que el mensaje de datos provenga del iniciador o siempre que el destinatario tenga derecho de actuar sobre l. El destinatario tendr derecho a considerar a que el mensaje recibido sea el mismo enviado. Articulo 19 Mensaje de datos duplicados Se presume que cada dato recibido es un mensaje diferente, si se duplican, este debe actuar con debida diligencia. Articulo 20 Acuse de recibo Cuando el iniciador o destinatario solicita que se acuse recibo del mensaje de datos, se podr acusar recibo mediante: Cuando la comunicacin del destinatario es automtica Cuando basta para indicar al iniciador de que es recibido el mensaje de datos. Articulo 21 Presuncin de recepcin de un mensaje de datos Se presume que el mensaje ha sido recibido cuando el iniciador recepcione acuse recibo del destinatario. Es decir cuando el mensaje cumple con los requisitos tcnicos. Articulo 22 Efectos jurdicos Los artculos 20 y 21 nicamente rigen los efectos relacionados con el acuse de recibo. Articulo 23 Tiempo del envo de un mensaje de datos El mensaje datos se tendr por expedido cuando ingresa en un sistema de informacin bajo control del iniciador. Articulo 24 Tiempo de la recepcin de un mensaje de datos El momento de la recepcin se determina: Si el destinatario ha designado un sistema de informacin para la recepcin, la recepcin tendr lugar: En el momento que ingrese el mensaje de datos en el sistema de informacin. De enviarse el mensaje de datos a un sistema de informacin del destinatario, que no sea el sistema de informacin designado. Si el destinatario no ha designado un sistema de informacin, la recepcin tendr lugar cuando el mensaje ingrese a un sistema de informacin. Articulo 25 Lugar del envo y recepcin del mensaje de datos Se tendr por expedido en el lugar cuando el iniciador tenga su establecimiento y por lugar donde el destinatario tenga el suyo. PARTE II COMERCIO ELECTRONICO EN MATERIA DE TRANSPORTE DE MERCANCIAS Articulo 26 Actos relacionados con los contratos de transporte de mercancas

Lo previsto en la primera parte ser aplicable a cualquiera de los actos que guarde relacin con un contrato de transporte de mercancas. Indicacin de marcas, nmero, cantidad, peso. Declaracin del valor Emisin de recibo Confirmacin de envo Notificacin de clusulas Instrucciones al transporte Reclamacin de la entrega Autorizacin de entrega Notificacin por perdida. Articulo 27 Documentos de transporte En caso que los actos enunciados anteriormente se lleve a cabo por escrito o emitido por papel, ese requisito quedara satisfecho si se realiza por medio de mensajes de datos. PARTE III FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION CAPITULO I Articulo 28 Atributos jurdicos de una firma digital: Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tena la intencin de acreditar una firma manuscrita, incorpora los siguientes atributos: 1. Es nica a la persona que la usa. 2. Es susceptible de ser verificada. 3. Est bajo el control exclusivo de la persona que la usa. 4. Est ligada a la informacin o mensaje, de tal manera que si stos son cambiados, la firma digital es invalidada. 5. Est conforme a las reglamentaciones adoptadas por el Gobierno Nacional. CAPITULO II LAS ENTIDADES DE CERTIFICACIN Artculo 29 Caractersticas y requerimientos de las entidades de certificacin. Podrn ser entidades de certificacin, las personas jurdicas, tanto pblicas como privadas, de origen nacional o extranjero y las cmaras de comercio, que sean autorizados por la Superintendencia de Industria y Comercio. Debe cumplir las siguientes condiciones: a) Contar con la capacidad econmica y financiera suficiente para prestar los servicios autorizados como entidad de certificacin. b) Contar con la capacidad y elementos tcnicos necesarios para la generacin de firmas digitales, la emisin de certificados. c) Los representantes legales y administradores no podrn ser personas que hayan sido condenadas a pena privativa de la Libertad, excepto por delitos polticos o culposos. Artculo 30 Actividades de las entidades de certificacin. Las entidades Autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el pas, podrn realizar, entre otras, las siguientes actividades: Emitir certificados en relacin con las firmas digitales de personas naturales o jurdicas. Emitir certificados sobre la verificacin respecto de la alteracin entre el envo y recepcin del mensaje de datos. Emitir certificados en relacin con la persona que posea un derecho u obligacin con respecto a los documentos enunciados.

Ofrecer o facilitar los servicios de creacin de firmas digitales certificadas. Ofrecer o facilitar los servicios de registro en la generacin, transmisin y recepcin de mensajes de datos. Ofrecer los servicios de archivo y conservacin de mensajes de datos. Articulo 31 Remuneracin por la prestacin de servicios La remuneracin por los servicios de las entidades de certificacin ser establecida libremente por estas. Articulo 32 Deberes de las entidades de certificacin Emitir certificados conforme a lo solicitado Implementar los sistemas para garantizar la emisin de firmas digitales. Garantizar la proteccin, confidencialidad suministrada por el suscriptor. Garantizar la prestacin del servicio Suministrar informacin que requieran entidades Elaborar reglamentos de las relaciones del suscriptor. Llevar un registro de los certificados Articulo 33 Terminacin Unilateral La entidad podr dar por terminado el acuerdo de vinculacin con el suscriptor dando un previsto no menor a (90) das. Articulo 34 Cesacin de actividades por parte de las entidades de certificacin Pueden cesar en el ejercicio de actividades, siempre y cuando haya certificacin. CAPITULO III CERTIFICADOS Articulo 35 Contenido de los certificados Un certificado emitido por la entidad de certificacin, debe contener lo siguiente: Nombre, direccin y domicilio Identificacin del suscriptor El nombre, direccin y lugar donde realiza actividades La clave del usuario La metodologa para verificar la firma digital del suscriptor. El nmero de serie del certificado Fecha de emisin y expiracin Articulo 36 Aceptacin de un certificado Cuando la entidad de certificacin, a solicitud de este o de una persona lo ha guardado en un repositorio. Articulo 37 Revocacin de certificados El suscriptor podr solicitar a la entidad que expidi un certificado, la revocacin del mismo. Estar obligado a solicitar revocacin: Por perdida de la clave La clave privada expuesta se le d uso indebido La entidad revocara un certificado cuando: A peticin de un tercero o suscriptor Por muerte del suscriptor Por liquidaron del suscriptor

Por confirmacin de alguna informacin Por cese de actividades de la entidad de certificacin Por orden judicial o entidad competente. Articulo 38 Termino de conservacin de los registros Los registros deben ser conservados por l trmino exigido en la ley. CAPITULO IV SUSCRIPTORES DE FIRMAS DIGITALES Articulo 39 Deberes de los suscriptores Son deberes: Recibir la firma digital por parte de la entidad de certificacin Suministrar la informacin que requiere la entidad Mantener el control de la firma Solicitar la revocacin de los certificados Articulo 40 Responsabilidad de los suscriptores Sern responsables por la falsedad, error en la informacin suministrada por la certificacin. CAPITULO V DISPOSICIONES GENERALES Y COMERCIO Artculo 41 Funciones de la Superintendencia. La Superintendencia de Industria y Comercio ejercer las facultades que legalmente le han sido asignadas respecto de las entidades de certificacin, y adicionalmente tendr las siguientes funciones: Autorizar la actividad de las entidades de certificacin en el territorio nacional. Velar por el funcionamiento y la eficiente prestacin del servicio por parte de las entidades de certificacin. Realizar visitas de auditora a las entidades de certificacin. Revocar o suspender la autorizacin para operar como entidad de certificacin. Solicitar la informacin pertinente para el ejercicio de sus funciones. 6. Imponer sanciones a las entidades de certificacin, en caso de incumplimiento de las obligaciones. Ordenar la revocacin de certificados cuando la entidad de certificacin los emita sin el cumplimiento de las formalidades legales. Designar entidades de certificacin en los eventos previstos en la ley. Emitir certificados en relacin con las firmas digitales de las entidades de certificacin. Velar por la observancia de las disposiciones constitucionales y legales sobre la promocin de la competencia y prcticas comerciales, competencia desleal y proteccin del consumidor, en los mercados atendidos por las entidades de certificacin. Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificacin. Articulo 42 Sanciones La superintendencia de industria y comercio podr imponer segn su naturaleza las siguientes sanciones: Amonestacin Multas hasta de (2000) salarios mnimos legales mensuales. Suspender todas las actividades de la entidad Prohibir a la entidad prestar los servicios Revocar definitivamente la entidad de certificacin

CAPITULO VI DISPOSICIONES VARIAS Articulo 43 Certificacin reciprocas Los certificados de firmas digitales emitidos por la entidad de certificacin extranjeras, podrn ser reconocidos con los mismos trminos y condiciones exigidos en la ley. Articulo 44 Incorporacin por remisin Cuando el mensaje de datos se haga remisin total o parcial a normas, acuerdos, clusulas, condiciones. PARTE IV REGLAMENTACION Y VIGENCIA Articulo 45 La superintendencia de industria y comercio contara con un termino adicional de (12) meses, contados a partir de la publicacin de la ley, para organizar y asignar la funcin de control y vigilancia. Articulo 46 Prevalencia de las leyes de proteccin al consumidor La presente ley se aplicara sin perjuicio de las normas vigentes de proteccin al consumidor. Articulo 47 Vigencia y derogatorias La presente ley rige desde la fecha de su publicacin y deroga las disposiciones que sean contrarias. Cuestionario: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Cundo fue creado esta ley y en que pas? Cules son los alcances de esta ley? Cual es el mbito de aplicacin definido en su Art. 1 En su Art. 2 como define firma digital? Como se interpreta el Art. 5 de esta ley? Indique tres requisitos jurdicos de los mensajes de datos explicados en el captulo II de esta Ley Interprete en sus palabras el artculo 18. concordancia de datos enviados con el mensaje recibido Cuales son los actos relacionados con los contratos de transporte de mercadera y cuando quedan satisfechos segn el art 26 y art. 27? Cuales son los atributos que establece el art. 28 para una firma digital? Que es una entidad de certificacin y Cules son las actividades y deberes de las entidades de certificacin? Qu debe contener un certificado emitido por la entidad certificadora? Cules son los deberes y responsabilidades de los suscriptores de firmas digitales? Que es la Superintendencia de Industria y Comercio? Que sanciones puede imponer la Superintendencia de Industria y Comercio? De sus comentarios y conclusiones

WORK PAPER # 2

PROGRAMA DE CONTROL DE CALIDAD No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 4

ELABOR: Ing. Rosmery Luizaga Salinas TTULO DEL WORK PAPER: CONTROL INTERNO EN DANSOCIAL DPTO.: Facultad de Ingeniera DESTINADO A: DOCENTES ALUMNOS X ADMINIST.

CDIGO: CMP 425

OTROS

OBSERVACIONES: Carrera Ingeniera de Sistemas Asignatura Auditoria de Sistemas Unidad 1, Tema No.

FECHA DE DIFUSIN: Abril/2011

FECHA DE ENTREGA: Abril/2011

RESOLUCIN NO. 442 del 19 de AGOSTO DE 2003 POR MEDIO DE LA CUAL SE EXPIDE EL REGLAMENTO INTERNO PARA EL USO DEL INTERNET, EL RECURSO INFORMATICO Y LA RED EN DANSOCIAL EL DIRECTOR DEL DEPARTAMENTO ADMINISTRATIVO NACIONAL DE LA ECONOMIA SOLIDARIA DANSOCIAL. En ejercicio de sus atribuciones legales y en especial de las conferidas artculos 64 y 66 de la Ley 489 de 1998 y artculo 5 del Decreto 1798 del 2003. CONSIDERANDO: Que la expedicin de reglamentos de carcter general es facultad del Representante Legal de la entidad. Que las tecnologas de informacin son herramientas que permiten el desarrollo de una nueva economa, la construccin de un Estado ms moderno y eficiente, la universalizacin del acceso a la informacin, y la adquisicin y eficaz utilizacin del conocimiento, todos estos elementos fundamentales para el desarrollo de la sociedad moderna. Que el DANSOCIAL cuenta con dichas tecnologas de informacin para cumplir a cabalidad con las funciones que la Ley le otorga. Que se hace necesario reglamentar el uso de las mismas en Departamento en aras a que se utilicen de una manera adecuada y racional, dentro de los parmetros constitucionales y legales que no impliquen violacin alguna de Derechos Fundamentales. Que los funcionarios del Departamento, por su carcter de servidores pblicos deben usar para asuntos exclusivamente institucionales las herramientas informticas y tecnolgicas a su cargo . En mrito de lo anteriormente expuesto; RESUELVE: ARTICULO PRIMERO.- Reglamentar en el interior del Departamento Administrativo Nacional de la Economa Solidaria DANSOCIAL, el Uso del Internet, el Recurso Informtico y la Red por las razones expuestas en la parte motiva de este acto administrativo. ARTICULO SEGUNDO.- DEL INTERNET: Los Servidores Pblicos del DANSOCIAL para el uso del Internet debern tener en cuenta lo siguiente: a) El criterio primordial para el uso del Internet Corporativo debe ser institucional. Para asuntos personales, los servidores pblicos debern valerse de otros proveedores como yahoo, hotmail. b) Como regla general la cuenta de correo electrnico corporativa (nombre@dansocial.gov.co) es personal e intransferible y su uso y acceso es responsabilidad estricta de cada servidor pblico. c) En caso que las herramientas tecnolgicas al servicio del Departamento no suplan ciertas necesidades de los usuarios, el uso de instrumentos como Messenger, o e-groups como herramienta de comunicacin institucional externa, es permitida siempre y cuando se utilice de una manera racional. En todo caso los servidores debern procurar el uso solo el Outlook y de su cuenta corporativa. d) Queda prohibido el envo de cadenas de mensajes de cualquier tipo cuyo objetivo sea traer buena suerte, contar chistes, buscar personas o enviar mensajes para apoyar causas ajenas al Departamento a travs de las cuentas corporativas, teniendo en cuenta que aumenta el trfico en la red y la congestiona. e) DANSOCIAL se reserva el derecho de otorgar cuentas de correo institucionales, teniendo en cuenta el vinculo de los funcionarios con la entidad y desarrollo de los roles en ella. f) En ningn caso el usuario podr descargar archivos que comprometan la instalacin de software no licenciados por el Departamento de acuerdo con los estipulado en la Ley 44 de 1993. g) Al momento de descargar archivos de las cuentas de correo de los usuarios se debe verificar la procedencia de ste con el fin de evitar la proliferacin de virus y daos en el sistema.

CONTROL INTERNO EN DANSOCIAL

h) Para todos los casos, es responsabilidad exclusiva del funcionario manejar esta herramienta de comunicacin de una forma adecuada, racional y oportuna. ARTCULO TERCERO.- DEL RECURSO INFORMATICO: Los Servidores Pblicos de DANSOCIAL, para el uso del recurso informtico en general, debern tener en cuenta lo siguiente: a) Cualquier modificacin a la configuracin de los programas de los computadores, por ejemplo: cambio de nmero IP asignado por el rea de sistemas, en las claves asignadas para el inicio de sesin para acceder a la Red, el arranque de la mquina (setup) y el protector de pantalla, etc deber reportarse al Administrador de la Red. Lo anterior teniendo en cuenta que la informacin que contiene el equipo se desarrolla en funcin de la entidad y por lo tanto es propiedad del Departamento. b) Los sistemas de seguridad o realizar labores de administracin del sistema o de la red es una funcin que compete nica y exclusivamente al rea de sistemas, de la Coordinacin de Comunicaciones y Conectividad. c) Cada funcionario es responsable de velar por el equipo que le ha sido asignado, para lo cual se compromete a darle un correcto y buen uso tanto al computador como a la impresora; y en caso de que una persona ajena a la institucin lo manipule ser responsabilidad de aquel, el uso que le d al mismo, respondiendo en todo caso el funcionario al cual se le asign el equipo de cmputo. d) El traslado o retiro de los equipos a cargo de cada servidor deber hacerse en coordinacin con el rea de apoyo logstico y con su autorizacin expresa. ARTCULO CUARTO: DE LA RED: Los Servidores Pblicos de DANSOCIAL, para el uso de la Red debern tener en cuenta lo siguiente: a) No se permite bajo ninguna circunstancia cualquier decodificacin del trfico de la Red o cualquier intento de obtencin de informacin confidencial que se trasmita a travs de la misma. b) Queda prohibido cualquier uso malicioso, violento u obsceno de la Red o aquellos que lesionen la integridad de las personas y de la institucin. c) No se permite el montaje de servidores de correo electrnico Gopher, FTP, WWW o cualquier servidor TCP/IP sin la autorizacin previa y escrita por parte del rea de sistemas. d) No debern enviarse archivos tipo: imgenes *mp3, *gifs, entre otros, es decir, todo aquello que no sea de carcter institucional. ARTICULO QUINTO: DEL AREA DE SISTEMAS: La Coordinacin de Comunicacin y Conectividad deber: a) Controlar e informar a la oficina de Control interno, que el software instalado en cada computador, pertenezca a la entidad y sea el licenciado por el Departamento. Para tal caso deber entregar a cada servidor una copia de la hoja de vida de su equipo discriminando el inventario de software instalado y aprobado por DANSOCIAL, as como presentar un informe anual consolidado con esta informacin. b) Actualizar cuando haya lugar los usuarios del Outlook y del correo corporativo. c) Atender al usuario que le notifique de algn inconveniente en la red, Internet o recurso informtico a la mayor brevedad posible, siempre y cuando no se trate de mantenimiento que deba ser atendido por el rea de apoyo logstico de la entidad. ARTICULO SEXTO: DEL USUARIO: Adems de las anteriores obligaciones el usuario deber: a) Mantener desocupadas las bandejas de entrada y salida de su Outlook y de la cuenta corporativa, para lo cual se podr guardar copias de los mensajes enviados y recibidos en una carpeta creada en su disco duro para tal fin. b) Realizar cada semana las copias de seguridad solo de sus archivos institucionales, en las carpetas destinadas en su computador para tal fin. c) Avisar al rea de sistemas de la presencia de un virus en el equipo para que se tomen las medidas del caso.

ARTICULO SEPTIMO: DE LA OBLIGATORIEDAD: El presente reglamento es de violacin constituye una presunta falta disciplinaria previa el estudio respectivo. COMUNQUESE Y CMPLASE Dada en Bogot D.C., a los das del mes de ALFREDO SARMIENTO NARVAEZ Director.
CUESTIONARIO:

carcter obligatorio y su

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14.

Tomando en cuenta las consideraciones escritas en esta resolucin, le parecen razonables?, completas?, aumentara alguna? Mencione un caso en el que se puede incumplir en el artculo segundo. De que trata el artculo tercero? De acuerdo al artculo quinto. De un ejemplo de una hoja de vida de un equipo que se entregar al empleado. Cul ser la finalidad del inciso b del artculo sexto? Complete la disposicin con un artculo adicional que crea pertinente. Cul su relacin con el control interno informtico? Qu clase de control interno es? Preventivo?Correctivo? Detectivo? Es un documento especfico de la entidad, o es una norma para varias instituciones? Los aspectos contemplados en el articulo segundo acerca del Internet son suficientes, ha que estn orientados, permitirn lograr una eficiencia y eficacia en el uso de Internet dentro de DANSOCIAL? Qu aspectos no contemplan? Los aspectos contemplados en el articulo tercero acerca del uso del recurso informtico son suficientes, ha que estn orientados, permitirn lograr una eficiencia y eficacia dentro de DANSOCIAL? Qu aspectos no contemplan? Los aspectos contemplados en el articulo cuarto referido al uso de la red son suficientes, ha que estn orientados, permitirn lograr una eficiencia y eficacia en el uso de la Reden DANSOCIAL? Qu aspectos no contemplan? Qu opina de los artculos quinto y sexto? Son completos, suficientes, operables?

Cree que la resolucin 442 es una buena medida de control Interno en DANSOCIAL? Por qu?

WORK PAPER # 3

PROGRAMA DE CONTROL DE CALIDAD No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 6

ELABOR: Ing. Rosmery Luizaga Salinas. TTULO DEL WORK PAPER: PROTECCIN CONTRA LOS DELITOS INFORMTICOS EN CUBA DPTO.: Facultad de Ingeniera DESTINADO A: DOCENTES ALUMNOS X ADMINIST.

CDIGO: CMP 425

OTROS

OBSERVACIONES: Carrera Ingeniera de Sistemas Asignatura Auditoria de Sistemas Unidad II, Tema No.

FECHA DE DIFUSIN: Mayo/2011

FECHA DE ENTREGA: Mayo/2011

PROTECCIN CONTRA LOS DELITOS INFORMTICOS EN CUBA. Lic. Siura L. Arregoitia Lpez Facultad de Derecho. Universidad de La Habana En la especialidad de penal existen protecciones privativas y no privativas, aquellas que llevan implcito o no el derecho de ltima ratio, donde nos encontramos ante la posibilidad de ser sometidos a una sancin de privacin de libertad. Dentro de las no privativas se encuentran: la proteccin penal que trata de aplicar a la materia las normas sobre violacin de secreto de empresas, secreto profesional y corrupcin administrativa; y la proteccin civil que se puede dar en el marco de un contrato o en el plano extracontractual que incluye responsabilidad civil, la concurrencia desleal y el enriquecimiento sin causa. La privativa se da mediante un mecanismo sui - gneris de proteccin, como lo es el derecho de propiedad intelectual ya sea por va de derecho de autor o por la va de propiedad industrial. En Cuba se di el primer paso en este sentido, con la promulgacin de textos legales, aunque no precisamente penales. Entre ellos aparece el Reglamento de Seguridad Informtica emitido por el Ministerio del Interior, que entr en vigor desde Noviembre de 1996, el cual estipula que en todos los rganos y Organismos de la Administracin Central del Estado se debern analizar, confeccionar y aplicar el "Plan de Seguridad Informtica y de Contingencia"; y el Reglamento sobre la proteccin y seguridad tcnica de los sistemas informticos, emitido por el Ministerio de la Industria Sideromecnica y la Electrnica, tambin en vigor desde Noviembre de 1996. Ejemplo propio de los reglamentos internos tomamos por referencia a los que rigen a todas las sucursales de Copextel S.A. La funcin primaria, indispensable en toda entidad radica en la necesaria existencia de un conjunto de aspectos a observar y a cumplimentar que garanticen un adecuado control interno; la actividad informtica al igual que cualquier otra funcin de la entidad, est sometida al control interno correspondiente, de ah que sea susceptible de ser auditada, o sea a ser sometida a un control objetivo. En el primer caso el control interno se materializa mediante su adecuada aplicacin como parte de la organizacin, utilizando la computadora como herramienta que participa y la vez auxilia a la entidad en el logro de los objetivos de control interno, lo cual se puede hacer por medio de paquetes. En el segundo caso se puede llevar por el control intrnseco de la informtica. As se logra la proteccin del activo de la entidad y el logro de las mejoras de las operaciones de organizacin y ejecucin del tipo informticas, cumplindose con ello las polticas establecidas por la administracin, y todo ello se considera Control Interno Informtico. Los riesgos que se pueden devengar de la insuficiencia de los controles estn estrechamente relacionados con la mayor exposicin de informacin sensitiva, nuevas tecnologas sin controles apropiados, autorizaciones electrnicas, concentracin de funciones, integridad de datos, escasez de herramientas de auditorias y con la conocida Seguridad Informtica. Esta seguridad aunque es responsabilidad de todas las personas capaces de afectar la seguridad de datos y de los sistemas computarizados, existen funciones muy especficas que se encuentran directamente involucradas con esta parte, ellas son: la gerencia, el responsable del plan de seguridad, los responsables funcionales y autores de las aplicaciones, los administradores de los sistemas y en ltima instancia los usuarios de los sistemas. Adems ha de tenerse en cuenta la manutencin adecuada de costobeneficio. Toda entidad que emplea sistemas informticos para el control de su gestin implementa un plan de seguridad informtica y un plan de contingencia que garantiza la adecuada funcin de estos tanto desde el punto de vista fsico como lgico. Estos programas permiten asegurar la existencia de una seguridad apropiada, as como un costo efectivo para cada sistema de aplicacin que se encuentre en explotacin. Este programa incluye los controles a implementar, la adquisicin e instalacin de tecnologa de apoyo a las medidas de seguridad, la administracin de la seguridad informtica, la evaluacin de las vulnerabilidades y debilidades de los sistemas y las soluciones a los problemas de seguridad. Actualmente la auditoria informtica definida sencillamente como el conjunto de tcnicas y procedimientos destinados a la evaluacin y control de los Sistemas Informticos entendidos estos en su amplia acepcin ; es la encargada del cumplimiento de los controles internos de las entidades que utilicen en nuestro pas sistemas de

este tipo; despliega por esto la funcin de revisin en un ciclo: administracin de la seguridad de la red, seguridad de las comunicaciones, seguridad de las aplicaciones y seguridad fsica. Tcnicamente este sistema de proteccin tecnolgica debe estar aparejado al establecimiento de las normas penales pertinentes que se ajusten al nuevo problema en nuestro caso particular como nacin, donde ya se han registrado casos delictivos de esta ndole. La ley penal como ltima ratio podr dar frente a las situaciones que se ventilen ante el incumplimiento de los reglamentos internos de las entidades, sancionando las acciones negativas que se produzcan. Podemos apreciar que la legislacin informtica hace referencia a los rasgos caractersticos de este programa de seguridad informtica, tales como: integrabilidad, confidencialidad y disponibilidad de la informacin. La Seguridad Informtica adems de ser el bien jurdico tutelado, puede conceptual izarse como la operacin de los sistemas de informacin, rigindose por las caractersticas que las distingue anteriormente mencionadas, tenemos que la informacin debe ser fidedigna y completa, nadie que no sea el usuario tiene derecho a cambiarla; que el usuario debe tener la informacin en el momento que la necesite; y sin su consentimiento nadie debe tener acceso y menos a divulgarla. A estas caractersticas principales por las que se distingue, le acompaan otras dos: la consistencia, mediante la cual el sistema debe comportarse siempre igual aun despus de un cambio; la de control de usuario tenindose aqu el control sobre quin entra al sistema y qu hace. Por otro lado, constituye el ncleo del control interno, y su principal objetivo es documentar las directivas o decisiones generales referentes a la seguridad de los sistemas, estableciendo las metas a alcanzar y asignando las responsabilidades. Actualmente dicha seguridad es atacada por : -Uso de passwords capturados -Uso de vulnerabilidades conocidas -Uso de brechas en protocolos -Examen de fuentes para descubrir nuevas brechas -Empleo de ataque ICMP -Abuso del FTP( File Transfer Protocol) annimo -Empleo de programas " Sniffers " -Spoofing de direccin IP fuente Tomando en cuenta las amenazas debe hacerse un clculo de costo de la concurrencia de cada una de ellas por un lado (teniendo en cuenta sus posibilidades de concurrencia) y el costo de las medidas para protegerse contra ellas por el otro. Hay que tener presente, sin embargo, que no se hayan considerado todas las amenazas posibles a nuestra seguridad. Los riesgos pueden minimizarse pero siguen existiendo potencialmente. Para ello se a creado una Poltica de Seguridad que consiste en establecer medidas de proteccin en nuestras instituciones con una adecuada relacin costo - beneficio; Mantener una poltica de monitoreo y control constante y perfeccionando el sistema en cuanto se descubra una debilidad. Esta poltica la hace un conjunto de tcnicos y jefes; y los elaborados deben tener autoridad para ponerla en prctica. Estn implicados en la ejecucin de esta poltica en principio todos los usuarios (responsables de administrar su password personal) y los administradores de sistemas. Los valores que se protegen son : Hardware - tarjetas, teclados, terminales, impresoras, servidores de terminales. Software - programas fuente, utilitarios, programas de diagnstico, sistemas operativos, programas de comunicacin. Datos - durante la ejecucin, almacenados, resultados de auditora, bases de datos, en trnsito sobre medios de comunicacin. Personas - usuarios, empleados que operan en los sistemas Documentacin - manuales de programas, hardware, sistemas, procedimientos locales de administracin, reglamentos tiles - papel, cintas, medios magnticos de almacenamiento. Se han considerado e identificado como posibles amenazas:

- Accesos no autorizados - el ms comn de los riesgos, la utilizacin de la cuenta de otro usuario para acceder a recursos no autorizados. Tomando como cuenta de usuario a la identificacin de una persona en el sistema digitalizado, donde se asientan las partidas del deber y el haber de las personas, y que a su vez constituye el registro regular de transacciones pecuniarias de esos haberes y de los crditos. - Fuga de informacin - en todo sitio existe informacin sensible que debe ser protegida. Ejemplo fichero password de cualquiera de nuestros servidores (equipo suministrador de informacin a la red. Unidad central de procesamiento donde se almacena gran cantidad de programas durante las 24h del da para despus distribuirla a travs de la red de computadoras a la que sirve) . - Negociacin de servicio a los usuarios - El usuario no puede recibir un servicio. Existen varios mecanismos para garantizar la seguridad contra algunas de las amenazas tenidas en cuenta a la hora de elaborar la poltica de seguridad y que persigue algunos de los objetivos de la misma. Aunque no es menos cierto que no existe una solucin que satisfaga todos los objetivos ni nos proteja de todas las amenazas. Solo la combinacin de varios mecanismos puede lograr un alto nivel de efectividad aunque nunca llega a ser perfecto. Estos mecanismos nunca deben faltar dentro de una buena poltica de seguridad que llevar a cabo la entidad. Entre estos mecanismos se puede encontrar como principal el monitoreo. Aqu se realiza un examen de los "ficheros log " que producen y guardan la mayora de los sistemas de manera regular, es esta la primera lnea de defensa. Por otro lado est la utilizacin de herramientas de los sistemas operativos para constituir herramientas propias tales como: elecklists de usuarios, permisos, propiedades de files. Adems se deben efectuar constantes variaciones en el calendario y el cronograma del monitoreo, ya que cuando la administracin del sistema ejecuta diferentes acciones de monitoreo en diversos momentos del da hace ms difcil para los intrusos predecir las acciones de la administracin y mantenerse encubiertos. Hay que reconocer que monitorear no es suficiente para garantizar que su sistema sea seguro ya que se puede monitorizar todo el trfico que se mueve a travs del conmutador. Por el medio utilizado para la difusin de este delito donde Internet es el instrumento de difusin, tan difcil es detectar el delito como probarlo. El elemento probatorio como en todos los delitos que se cometen es la base de su juzgar y por ende de su sancin. Esta bsqueda se torna mucho ms compleja por el medio que se utiliza para ello y por las caractersticas del mismo; ya que no existe forma de determinar fehacientemente cul era el estado anterior de los datos, puesto que la informacin en estado digital es adulterable, y la simple auditora contable o financiera comn pierde su eficacia ante este nuevo tipo de figura delictiva. Inclusive a manera de referencia, la sancin puede llegar hasta ser compleja su determinacin, partiendo de que por ejemplo en el caso de la responsabilidad civil sera difcil determinar el valor que dicha informacin tena, debido a que el valor de la misma es subjetiva, dependiendo por ello de cada uno a quin le pertenezca y del contexto de la misma. La complejidad de su determinacin se incrementa si tenemos en cuenta que los medios empleados son slo conocidos por especialistas, que el autor de la conducta antijurdica tiene, la facilidad del autor de borrar las huellas o rastros de identificacin, as como que dicho sujeto tiene a su favor el tiempo que puede mediar entre la accin y el efecto. La situacin se facilitara algo ms si las entidades y organizaciones vctimas los denunciaran, pero sucede que no lo hacen por considerar que tales hechos pueden poner en tela de juicio, en ocasiones, la fiabilidad de los sistemas informticos. El reparo de las vctimas segn una encuesta realizada en los Estados Unidos por la American Bar Association en la dcada del 80 en denunciar los delitos sufridos no es en realidad un hecho irracional: es decir que existen uno o varios motivos que determinan la reaccin de las personas afectadas. Los especialistas norteamericanos han individualizado una serie de factores que podran influir en el comportamiento de las vctimas, especficamente en las personas jurdicas, estas son: -El temor de que se pierda la confianza o la estima por la organizacin y que las prdidas econmicas que ello acarreara sean probablemente superiores a las derivadas del delito sufrido. -El temor de las pesquisas de la polica, sobre todo si son profundas, puedan evidenciar, de un modo o de otro, manejos turbios de la direccin de la entidad.

-Los inconvenientes relacionados con el desarrollo del proceso, como por ejemplo: el tiempo resultante de la necesidad de proporcionar a la polica y luego a las autoridades judiciales el material probatorio y asistirles en la realizacin de experimentos de instruccin. -La dificultad en probar en forma adecuada los hechos y el temor a verse inculpados por una denuncia falsa. -El temor de la direccin a que las pesquisas hagan pblicas las estrategias de comercializacin de la organizacin y los secretos comerciales y cientficos. -La preocupacin de que la descripcin detallada del hecho y las revelaciones relativas a la vulnerabilidad del sistema puedan incitar ulteriores ataques. Estas motivaciones estn presentes en la casi totalidad de los pases desarrollados donde el delito informtico alcanza elevados ndices, no siempre registrados. En la actualidad nuestro ordenamiento penal deja desprotegido aparentemente a la vctima de los ataques de delincuentes informticos por no recoger en su articulado normas especficas que tipifiquen cada una de los casos que pudieran darse. Nuestros tribunales por su parte con todas las intenciones de impartir justicia tiene en cuenta estas actividades delictivas atendiendo a la accin del comisor y los resultados que esta provoca, asemejndola a aquella que est recogida en el Cdigo Penal. Siendo as entendida una violacin del correo electrnico que ataca la intimidad del usuario como una mera violacin de la correspondencia pues el bien jurdico que se daa ser en ambos casos la informacin. En este supuesto la accin del comisor ser apropiarse o tener conocimiento del contenido del texto que por cualquiera de ambas vas se enva, sin el autorizo previo de su destinatario, y mucho menos sin una autorizacin legal que fundamente estos actos en el caso de que el transgresor de esta norma fuera una persona jurdica que acte mediante acuerdo de los socios o en representacin de la misma en buscas de pruebas que demuestren que el destinatario utiliza la red para cometer posteriores delitos que atacan la propiedad de dicha entidad. Bibliografa: - Zavaro Babari, Len y Maitines Garca, Cerafino: Auditoria Informtica. Consultora Jurdica Internacional. Cuba - Balluja Garca, Walter Ing. :Fire Walls. Grupo de Redes. ISPAJE, La Habana, Cuba 1998. - lvarez Caldern. Presidente del Proyecto Cibertribunal Peruano. Instituto Peruano de Comercio Electrnico. El Cibertribunal Peruano. http://vlex.com/pe/canales/derecho%20inform%E1tico/

Cuestinario: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. De un concepto de delito informtico. Mencione tres caractersticas de los delitos informticos. Mencione cuatro formas de control preventivo y correctivo de los delitos informticos. De ejemplos de pases que cuentan con legislacin al respecto. Mencione las caractersticas de la legislacin Alemana. Por que se dice que Internet propicia la Delincuencia. Explique qu son los CiberPunks? Que es un Escaner, quienes lo utilizan y para qu? Que son los Spoofings y snifers ? Cul la diferencia y similitud entre un Hacker y un Craker? Cmo afecta a Cuba la proliferacin de delitos informticos? Qu medidas se ha tomado al respecto? Cmo se materializa el control informtico interno en una organizacin? Cules son los riesgos que devenga la insuficiencia de los controles? Por qu es necesario un Plan de Seguridad y un Plan de contingencia? En cuba como se encuentra atacada actualmente la seguridad de los sistemas Cules son los mecanismos existentes que garantizan la seguridad contra amenazas? Por qu las entidades y organizaciones que son victimas de delitos informticos no denuncian los mismos?

WORK PAPER # 4

PROGRAMA DE CONTROL DE CALIDAD No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 17

ELABOR: Ing. Rosmery Luizaga Salinas

CDIGO: CMP 425

TTULO DEL WORK PAPER: AUDITORIA AL MODULO DE FACTURACIN DEL SISTEMA CRESCENDO DE LA EMPRESA MEGABYT CENTER DPTO.: Facultad de Ingeniera DESTINADO A: DOCENTES ALUMNOS XADMINIST. OTROS

OBSERVACIONES: Carrera Ingeniera de Sistemas Asignatura Auditoria de Sistemas Unidad III, Tema No

FECHA DE DIFUSIN: Junio/2011

FECHA DE ENTREGA: Junio/2011

Auditoria al Modulo de Facturacin del Sistema Crescendo de la Empresa Megabyte Center Autores: Betzaida Harper Pablo Caso Resumen Cada da es mayor el nmero de situaciones irregulares que se presentan, como consecuencia del uso y aplicacin de la Tecnologa de Informacin (T. I.), en las diferentes organizaciones, entidades, empresas y compaas en general. Es por esto que se necesita que se aplique la auditoria de los sistemas de informacin que no es ms que cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Antecedentes de la Empresa Management Information Systems, S.A. (Megabyte Center) ubicada en Plaza Regency, Va Espaa, es una empresa que cuenta con ms de 10 aos de experiencia en el mercado, Se dedica actualmente a la venta de equipos de cdigo de barra, computadoras, desarrollo de software, y a la vez se encarga de distribuir y trabajar con un sistema llamado Crescendo. Diagrama de la Empresa
Junta De Accionistas Junta Directiva Gerente General Secretaria

Departamento de Cdigo de Barra Gerente de Ventas Secretaria

Departamento de Computadoras Gerente de Ventas Secretaria

Departamento de Contabilidad Contador

Departamento Tcnico Secretaria

Asistente de Contabilidad Tcnicos de Cdigo de Barras Tcnicos de Computadoras

Vendedores

Vendedores

rea a Auditar en la Empresa

Antecedentes del Sistema

Crescendo es un Sistema de Informacin diseado para la Alta Direccin de organizaciones dedicadas a la actividad comercial, que involucra y beneficia a todos los niveles de la empresa constituyndose como un sistema de administracin y direccin de negocios integral. Esta poderosa herramienta tiene caractersticas que permite proporcionar el control general de la informacin de la empresa por medio de anlisis estratgicos como: anlisis de inventarios, de cartera y de ventas entre otros., generando paralelamente la informacin estratgica para la toma de decisiones acertadas mediante su operacin; minimizando el tiempo y costo del mismo. Diagrama del Sistema
Crescendo

Catlogos

Operacin

Procesos

Reportes

Productos

Proceso a Auditar

Entradas

Salidas

Facturacin

Productos

Compras

Otras Entradas

Ventas

Otras Salidas

Objetivo General Evaluar la Precisin e Integridad de los datos almacenados e introducidos en el proceso de facturacin del sistema Crescendo de la empresa Megabyte Center. Ejecucin de la Auditoria AL Modulo De Facturacin Del Sistema Crescendo:

Objetivos Especficos

Controles

Tcnicas

Actividades

1. Evaluar que el usuario conozca y cumpla con los permisos asignados del sistema.

1.1 Niveles de Acceso por tipo de usuario

Entrevista Confirmacin de los permisos de acceso de los usuarios al mdulo de facturacin

.1 Se aplicar la entrevista a los usuarios definidos del rea para obtener los permisos al sistema. 2.1 Se verificar que el mdulo de Facturacin cuente con un control de acceso al mismo. 2.2 Se Conseguir los permisos que tienen los usuarios del rea por medio del administrador del sistema (Gerente del Departamento) 2.3 Comparar los permisos obtenidos por el administrador con los obtenidos por los usuarios

Actividad 1.1.1.1 Evaluacin General de la Auditoria en Base a Entrevistas Objetivo General: Evaluar la Precisin e Integridad de los datos almacenados e introducidos en el proceso de facturacin Preguntas: Usuario # 1 (Vendedora Mayra Miur)

1A qu departamento pertenece?
Departamento de Ventas (Cdigo de Barra)

2Qu funcin realiza en ese departamento?


Venta de Hardware(equipo para realizar lectura e impresin de cdigo de barra).

3 Tienes acceso al modulo de facturacin?


Aplicacin de los derechos de Usuarios

Aplicacin de los derechos de Usuarios

Actividad 1.1.2.1

Fecha: 24 3-2003 Actividad N: 1.1.2.1 Departamento: Cdigo de barra Responsable: Pablo Caso
Situacin Encontrada (Hallazgo)

N de Pgina: 2 de 18

Duracin en Horas/ minutos

Se observ el acceso de los usuarios al sistema para confirmar la entrada al mdulo de facturacin, y se encontr que el propio sistema de Crescendo cuenta con un control de acceso por medio de contrasea, pero el modulo de facturacin no cuenta con ningn tipo de control de acceso al mismo. Ocasionando que los usuarios puedan acceder con el password de otra persona a dicho modulo teniendo acceso a alterar (modificar, eliminar, elaborar, consultar pedidos) alguna transaccin sin ningn tipo de permiso previo.

30 minutos

Aplicacin del Acceso al Mdulo de Facturacin

Aplicacin del Acceso al Mdulo de Facturacin

Actividad 1.1.2.2 Evaluacin General de la Auditoria en Base a Entrevistas Objetivo General: Evaluar la Precisin e Integridad de los datos almacenados e introducidos en el proceso de facturacin Preguntas: Usuario (Administrador Alvaro Bernal)

1Con que tipo de permisos cuenta le modulo de facturacin del sistema Crescendo?

Elaborar, Consultar, Modificar, Eliminar Pedido. Seleccionar el local de la venta, Escoger el cliente de la venta, Seleccionar al vendedor encargado de la venta, Escoger le cdigo del producto, Escoger Precios, Seleccionar tipo de Pago (crdito, contado), Facturar venta, Registrar.

2Qu permisos al modulo de facturacin son asignados a la secretaria? Elaborar, Consultar, Modificar Pedidos. Registrar clientes en ventas, Modificar local, vendedor, precios ne ventas que no excedan los precios minimos, Facturar en ventas, seleccionar precios, Modificar nombre de clientes, Reimpresin de Facturas. 3Qu permisos al modulo de facturacin son asignados a los vendedores?
Elaborar Pedidos (venta), Modificar precios en ventas, Reportes de Comisiones, Lista de precios, Ventas por cliente. Consulta de Inventario.

4 Qu permisos al modulo de facturacin son asignados a los Tcnicos? Elaborar Pedidos (venta), Modificar precios en ventas, Reportes de Comisiones, Lista de precios, Ventas por cliente. Consulta de Inventario.

Aplicacin de los Permisos por Usuario

Actividad 1.1.2.3
Fecha: 24 3-2003 Actividad N: 1.1.2.3 Departamento: Cdigo de barra Responsable: Pablo Caso Situacin Encontrada (Hallazgo) N de Pgina: 4 de 18

Duracin en Horas/ minutos

Se compararon los resultados obtenidos de la entrevista aplicada tanto a los usuarios como al administrador del sistema para comprobar el grado de conocimiento de los derechos asignados al modulo de facturacin del sistema Crescendo.

30 minutos

Anlisis de Hallazgos del objetivo 1 Hallazgo de la Actividad 1.1.1.1

Usuarios

Permisos Conocidos 1. 2. 3. 1. 2. 3. 1. 2. 3. 4. Elaborar, Eliminar y consultar Pedidos Modificar pedidos propios y datos de Usuario Acceso a Reportes(Ventas al Mes, Cobros, Ventas por Producto) Elaborar, Eliminar y consultar Pedidos Modificar pedidos propios y datos de Usuario Acceso a Reportes(Ventas al Mes, Cobros, Ventas por Producto) Elaborar, Eliminar y consultar Pedidos Modificar pedidos propios y datos de Usuario Acceso a Reportes(Ventas al Mes, Cobros, Ventas por Producto) Creacin e Impresin de Facturas

Vendedores Tcnicos

Secretaria

Hallazgo de la Actividad 1.1.2.1 El sistema solo cuenta con un control de Acceso a travs de contraseas de entrada al mismo. Sin embargo en el modulo de facturacin no existe un control de este tipo permitiendo que los usuarios a travs del conocimiento del password o por negligencia al modulo, dejando sin proteccin otro usuario podra alterar o elaborar algn pedido a su nombre sin ningn problema, sin darse cuenta de la irrupcin a su privilegio. Hallazgo de la Actividad 1.1.2.2 El sistema cuenta con 250 permisos exclusivamente para el Modulo de Facturacin de los cuales aproximadamente 37 permisos son asignados a cada usuario. Entre lo permisos mas relevantes al modulo por tipo de USUARIO

Vendedores Tcnicos Secretaria Permisos 1. Elaborar pedido 7. Elaborar pedidos 14. Elaborar, Modificar, C 2. Modificar prec 8. Modificar preci pedidos Ventas Ventas 15. Registrar Clientes en Venta 3. Reportes de co 9. Reportes de comi 16. Modificar local, Vendedor, 4. Reporte de 10. Reporte de li y Precio en Ventas Precios Precios 17. Seleccionar precio 5. Reportes de Ve 11. Reportes de Ven 18. Modificar nombres de Clie Clientes Clientes 19. Reimpresin de doc 6. Consulta de Inv 12. Consulta de Inven (Facturas) 13. Local Hallazgo de la Actividad 1.1.2.3 Comparando los permisos entre el administrador y los Usuarios encontramos que: Usuarios Permisos Desconocidos Vendedores 1. 2. 3. 4. 1. 2. 3. 4. Modificar precio en Venta Reporte de Comisiones Reporte de Lista de Precios Ventas por Cliente, Consulta de Inventario Modificar precio en Venta Reporte de Comisiones Reporte de Lista de Precios Ventas por Cliente, Consulta de Inventario

Tcnico

Secretaria

1. Modificar Local, Vendedor, precios en Venta 2. Seleccionar precios 3. Modificar nombres de Cliente

Debilidades, Fortalezas y Recomendaciones Debilidades Fortalezas Recomendaciones 1. Existencia de 1. Conocimiento por 1. Procurar que al entrenar al persona permisos desconocido los Usuarios de los p especifique o proporcione un folleto que usuarios mas Utilizados los distintos permiso que le corresponde d 2. Inexistencia de un co los mdulos a fin de evitar malas acc acceso al modulo de Fac sistema. 2. Crear un control de acceso por tipo de u modulo de Facturacin y tomar med seguridad para no permitir alteraciones f los pedidos realizados Ejecucin de la Auditoria AL Modulo De Facturacin Del Sistema Crescendo
Objetivo
7. Verificar la existencia y funcionamiento de las operaciones de respaldo sobre los datos suministrados y almacenados al proceso de facturacin y todos los mdulos ligados a este.

Control
7.1 Procedimiento creacin de backups de

Tcnica
7.1.1 Encuesta 7.1.2 Datos de Prueba

Actividad
1.1 Aplicar una encuesta a los usuarios del sistema para determinar la existencia de operaciones de respaldo sobre los datos manejados. 2.1 Aplicar al proceso de facturacin datos de prueba creados para verificar el funcionamiento de respaldo de dichos datos en el sistema.

Actividad 7.1.1.1
Evaluacin General de la Auditoria en Base a Encuesta Objetivo General: Evaluar la Precisin e Integridad de los datos almacenados e introducidos en el proceso de facturacin Encuesta: Usuario (Administrador Alvaro Bernal) 1. Crees que la informacin suministrada al proceso de facturacin est realmente protegida de algn peligro? Si X No 2. Existen procedimientos de backup a los datos almacenados? Si X No 3.Con qu frecuencia se realizan los procedimientos de backup a los datos? Cada da Anualmente Semanalmente X 2 o 3 veces a la semana Mensualmente Nunca 4. Qu procedimiento de backup utilizan? CD Rom Disco 3 Zip X Otros Especifique: Disco Duro 5 Son estos procedimientos efectivos? Si X No Si su respuesta es NO Explique: 6. Qu sucede los das que no se realizan las operaciones de Backup a los datos? Tengo Proteccin Adicional X Queda Desprotegido el sistema No tengo Idea Otros Si su respuesta es Otros Especifique:

Actividad 7.1.2.1

Campos en Pantalla

Datos de Prueba
000053

Datos de Prueba
001134

Datos de Prueba
000370

# Cliente Cliente Local Vendedor Producto Cantidad Precio Detalle de la venta Cuernavaca Business 0 AE Etiquetas Zebra 2 * 1 1 45.00 0 PC Bateria PPDT 6800 1 85.00 Nestle Panam 0 MC Ribbon 5319KB08945 1 1044.00

Aplicacin de Datos de Prueba

Anlisis de Hallazgos del objetivo 7 Hallazgo de la Actividad 7.1.1.1 Basndonos en la encuesta realizada al administrador del sistema, podemos afirmar que si existen operaciones de respaldo sobre los datos almacenados. Sin embargo, ests operaciones solo se llevan a cabo los das Lunes, Mircoles y Viernes quedando los das Martes y Jueves sin esta operacin y los datos desprotegidos sin importar que tan grande haya sido la transaccin realizada esos das. Hallazgo de la Actividad 7.1.2.1 Con los datos de prueba aplicados sobre el modulo de facturacin para la verificacin del funcionamiento de respaldo, pudimos comprobar que estos se lograron respaldar perfectamente. No obstante, el procedimiento de backup utilizado es el Disco Duro de una computadora disponible actualmente y hasta ahora este medio les ha sido efectivo pero consideramos que es totalmente inseguro ya que si se llegar a daar no habra manera de recuperar los datos y adems no es efectivo realmente porque si se perdieran los datos de los das en que estos no son respaldados la nica manera sera tomar la informacin del da anterior respaldada para rescatar ciertas transacciones hechas y eso representa un retraso en las funciones diaria del usuario encargado de esas transacciones.

Debilidades, Fortalezas y Recomendaciones Debilidades Fortalezas 1. El procedimiento es porque el medi almacenamiento de respaldos es un disco d 2. El funcionamiento operaciones de respal datos no es efectivo p solo tres veces a la sem

Recomendaciones 2. Se recomienda que al rea operaciones de backup por l se cuente con un disco duro exclusivo para esas operac contar con otro med almacenamiento fsico co ejemplo, CD ROM. 3. Procurar realizar las operac respaldo sobre los datos to das en la semana para que efectivo si ocurre alguna p ataque a la informacin.

1. Cuenta con un p amigable para h backups de los d

Ejecucin de la Auditoria AL Modulo De Facturacin Del Sistema Crescendo

Objetivo

Control

Tcnica

Actividad

8. Verificar que la proteccin de los datos sean efectivos.

8.1 Procedimiento seguridad a los datos

de

8.1.1 Encuesta 8.1.2 Observacin

8.1.1.1 Aplicar una encuesta al administrador para corroborar la efectividad de la proteccin de los datos contra los virus. 8.1.2.1 Verificar si se cuenta con una seguridad a los datos almacenados en la red.

Actividad 8.1.1.1 Evaluacin General de la Auditoria en Base a Encuesta Objetivo General: Evaluar la Precisin e Integridad de los datos almacenados e introducidos en el proceso de facturacin Encuesta: Usuario (Administrador Alvaro Bernal) Objetivo N 8 Control N 8.1 Tcnica N 8.1.1 Actividad N 8.1.1.1 1. Crees que los datos almacenados estn guardados en un lugar seguro dentro del sistema? Si X No 2. Alguna vez se ha infectado el sistema con un virus, ocasionando la perdida total de los datos del proceso sin posibilidad de recuperarlos? Si X No 3. Qu antivirus utilizan para proteger los datos del sistema? Norton Mc Caffee Panda X Otros Si su respuesta es OTROS Especifique: En proceso de estudio, es decir, el antivirus ms fiable y seguro para nuestras necesidades.

4. Se puede acceder fcilmente a los datos almacenados dentro de la red? Si X No 5. Los datos dentro de la red tienen alguna proteccin contra los hackers corporativos? Si No X Por favor, Explique cualquiera que haya sido su respuesta: No contamos con los recursos tecnolgicos para evitar ese tipo de dao al sistema. Actividad 8.1.2.1 Fecha: 28 3-2003 Departamento: Cdigo de barra Responsable: Pablo Caso
Situacin Encontrada (Hallazgo)

Actividad N: 8.1.2.1

Duracin en Horas/ minutos

Se observ si al entrar a la red donde se almacenan los datos de las transacciones realizadas se cuenta con algn tipo de control a las carpetas all contenidas para verificar si la seguridad a los datos es efectiva.

30 minutos

Anlisis de Hallazgos del objetivo 8 Hallazgo de la Actividad 8.1.1.1 Pudimos darnos cuenta que al aplicar la encuesta al administrador que el sistema: No cuenta con un antivirus que lo proteja contra los virus informticos. Ocasionando la perdida ya sea parcial o total de los datos si ocurre este tipo de dao. Hallazgo de la Actividad 8.1.2.1 Se pudo observar que al entrar a la red, el sistema no cuenta con ningn tipo de control si tratamos de ingresar a la carpeta que cuenta con los datos almacenados de las transacciones realizadas. Control de Entrada a la Red

Control de Entrada a los Datos

Debilidades, Fortalezas y Recomendaciones Debilidades Fortalezas 1. No existe ningn para acceder a la red 1. Por medio del prove servicio de red se hackear los almacenados de transacciones.

Recomendaciones 1. Hacer un segurity Polic restringa la entrada a la 2. Cambiar el password usuarios eventualment 3. Utilizar una mscara de

Conclusin Esta auditoria nos permiti comprobar que todo sistema an tan perfecto y completo como parezca cuenta con errores que deben corregirse. La auditoria a los sistemas de informacin debe ser de carcter obligatoria no importa por pequea o grande que sea la empresa, ya que esta nos permite cumplir con los objetivos que toda empresa busca: SATISFACER A LOS USUARIOS realizando las funciones diarias de una forma segura, integra, precisa y correcta para llegar al xito. CUESTIONARIO: 1. 2. 3. 4. Que rea de la empresa Megabyte Center se Audita en este ejemplo? Que tipo de sistema es Crecendo y que caractersticas posee? Para evaluar que el usuario conozca y cumpla con los permisos asignados del sistema qu tcnicas esta utilizando? Fue favorable o desfavorable el informe respecto al punto anterior, porque piensa asi?

5. 6. 7. 8. 9. 10.

Para Verificar la existencia y funcionamiento de las operaciones de respaldo sobre los datos suministrados y almacenados al proceso de facturacin y todos los mdulos ligados a este. qu tcnicas esta utilizando? Concuerda con las debilidades y fortalezas encontradas respecto al punto anterior, porque piensa as? Comente los resultados de la evaluacin respecto a la integridad y fiabilidad de los datos. Comente los resultados de la evaluacin respecto a la s polticas de seguridad del sistema. De una recomendacin aplicable que mejore el sistema en conjunto.

WORK PAPER # 5

PROGRAMA DE CONTROL DE CALIDAD No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 8

ELABORRosmery Luizaga Salinas

CDIGO: CMP 425

TTULO DEL WORK PAPER: CDIGOS DE BUENAS PRCTICAS DE SEGURIDAD. UNE-ISO/IEC 17799 DPTO.: Facultad de Ingeniera DESTINADO A: DOCENTES ALUMNOS X ADMINIST. OTROS

OBSERVACIONES: Carrera Ingeniera de Sistemas Asignatura Auditoria de Sistemas Unidad IV, Tema No.

FECHA DE DIFUSIN: Junio/2011

FECHA DE ENTREGA: Junio/2011

CDIGOS DE BUENAS PRCTICAS DE SEGURIDAD. UNE-ISO/IEC 17799 Autor: Antonio Villaln Huerta Grupo S2
Contenidos Introduccin. Problemtica de seguridad. Qu es ISO 17799? Historia Estructura de la norma. Dominios de control. Objetivos de control. Trabajando con ISO 17799. Auditora. Consultora. Implantacin. Ventajas. Conclusiones. Introduccin: problemtica Cmo establecer qu entendemos por seguridad'? Diferentes criterios de evaluacin de la seguridad: internos a una organizacin, sectoriales, nacionales, internacionales... Multitud de estndares aplicables a diferentes niveles: TCSEC (Trusted Computer Security, militar, US, 1985). ITSEC (Information Technology Security, europeo, 1991). Common Criteria (internacional, 1986-1988). *7799 (britnico + internacional, 2000). ... Actualmente, tras adoptar *7799 como estndar internacional, es el ms extendido y aceptado. Introduccin: qu es ISO 17799? ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio. La seguridad de la informacin se define como la preservacin de: Confidencialidad. Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Integridad. Garanta de la exactitud y completitud de la informacin y de los mtodos de su procesamiento. Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. El objetivo de la norma ISO 17799 es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad. La adaptacin espaola de la norma se denomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE, pero que recoge la relacin de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE 71502, CERTIFICABLE. Introduccin: historia En 1995 el British Standard Institute publica la norma BS 7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. En 1998, tambin el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestin de la seguridad de la informacin; se revisa en 2002. Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: Conjunto completo de controles que conforman las buenas prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad concreta: recomendaciones neutrales con respecto a la tecnologa. En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

Estructura: dominios de control La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin: 1. Poltica de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificacin y control de activos. 4. Seguridad ligada al personal. 5. Seguridad fsica y del entorno. 6. Gestin de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestin de continuidad del negocio. 10.Conformidad con la legislacin. De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementacin de controles) y 127 controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo). Estructura: objetivos de control POLTICA DE SEGURIDAD Dirigir y dar soporte a la gestin de la seguridad de la informacin.

La alta direccin debe definir una poltica que refleje las lneas directrices de la organizacin en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la informacin. La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros. Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las responsabilidades que en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin de cualquier forma. Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente tcnicos.

CLASIFICACIN Y CONTROL DE ACTIVOS Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin. Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin. SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn preparados para sostener la poltica de seguridad de la organizacin en el curso normal de su trabajo. Minimizar los daos provocados por incidencias de seguridad y por el mal funcionamiento, controlndolos y aprendiendo de ellos. Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las lneas generales de la poltica de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Diferentes relaciones con los sistemas de informacin: operador, administrador, guardia de seguridad, personal de servicios, etc. Procesos de notificacin de incidencias claros, giles y conocidos por todos. SEGURIDAD FSICA Y DEL ENTORNO Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades de la organizacin. Prevenir las exposiciones a riesgo o robos de informacin y de recursos de tratamiento de informacin. Las reas de trabajo de la organizacin y sus activos deben ser clasificadas y protegidas en funcin de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de ndole fsica (robo, inundacin, incendio...). GESTIN DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de la organizacin. Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operacin de los sistemas crticos para el negocio. CONTROL DE ACCESOS Controlar los accesos a la informacin. Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevadas a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema. Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento... GESTIN DE CONTINUIDAD DEL NEGOCIO Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre. CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas. Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin. Somos seguros? Muy seguros? Poco seguros? Relativamente seguros?... Trabajo de auditora ISO 17799: valoracin del nivel de adecuacin, implantacin y gestin de cada control de la norma en la organizacin: Seguridad lgica. Seguridad fsica. Seguridad organizativa. Seguridad legal. Referencia de la seguridad de la informacin estndar y aceptada internacionalmente. Una vez conocemos el estado actual de la seguridad de la informacin en la organizacin, podemos planificar correctamente su mejora o su mantenimiento.

Una auditora ISO 17799 proporciona informacin precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.

Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mnimo aceptable y el nivel objetivo en la organizacin: Nivel mnimo aceptable. Estado con las mnimas garantas de seguridad necesarias para trabajar con la informacin corporativa. Nivel objetivo. Estado de seguridad de referencia para la organizacin, con un alto grado de cumplimiento ISO 17799.

A partir del nivel mnimo aceptable y el nivel objetivo, podemos definir un plan de trabajo para alcanzar ambos a partir del estado actual. Nivel mnimo aceptable. Implantacin de los controles tcnicos ms urgentes, a muy corto plazo. Nivel objetivo. Se desarrolla en el tiempo dentro del Plan Director de Seguridad corporativo, y es el paso previo a la certificacin UNE 71502.

Implantacin ISO 17799 no es una norma tecnolgica. Ha sido redactada de forma flexible e independiente de cualquier solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto a la tecnologa y a las soluciones disponibles en el mercado. Estas caractersticas posibilitan su implantacin en todo tipo de organizaciones, sin importar su tamao o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma. Cmo traducir especificaciones de alto nivel a soluciones concretas, para poder implantar ISO 17799? Trabajo de consultora, interna o externa. Dominio de control: Gestin de comunicaciones y operaciones Objetivo de control: proteger la integridad del software y de la informacin. Control: Controles contra software malicioso. Se deberan implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concienciar a los usuarios.

Normativa de uso de software: definicin y publicitacin en la Intranet. Filtrado de contenidos: X - Content Filtering v3.4. Antivirus de correo: Y Antivirus v2.0. Antivirus personal: Z - Antivirus v4.5. Ventajas de la norma La adopcin de la norma ISO 17799 proporciona diferentes ventajas a cualquier organizacin: Aumento de la seguridad efectiva de los sistemas de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora contnua a travs del proceso de auditora interna. Incremento de los niveles de confianza de nuestros clientes y partners. Aumento del valor comercial y mejora de la imagen de la organizacin. ... CERTIFICACIN! (UNE 71502) Conclusiones

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin, adoptada en Espaa como norma UNE-ISO/IEC 17799. La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la informacin. Implantar ISO 17799 requiere de un trabajo de consultora que adapte los requerimientos de la norma a las necesidades de cada organizacin concreta. La adopcin de ISO 17799 presenta diferentes ventajas para la organizacin, entre ellas el primer paso para la certificacin segn UNE 71502. Ni la adopcin de ISO 17799, ni la certificacin UNE 71502, ni... garantizan la inmunidad de la organizacin frente a problemas de seguridad. CUESTIONARIO

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Qu entiende por seguridad? Cul es el objetivo de la seguridad de la informacin? Cul es el Objetivo de la Norma ISO 17799? Cules son los diez dominios de control que establece la norma UNE-ISO/IEC 17799? Cuntos objetivos de control ha creado y cuntos controles? Mencione dos aspectos organizativos para la seguridad e indique la forma de cumplirlos Que contempla la seguridad en el desarrollo y mantenimiento de sistemas? A travs de qu tcnicas ofrece una Auditoria ISO 17799 informacin precisa del nivel de cumplimiento? Con que criterio se puede establecer un nivel aceptable de cumplimiento de cualquier aspecto de control? Mencione tres ventajas de la aplicacin de la norma ISO 17799 Cree que la Aplicacin de la Norma ISO 17799 ayudar a la creacin de sistemas de seguridad informtica de alta calidad?

WORK PAPER # 6

PROGRAMA DE CONTROL DE CALIDAD No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 12

ELABOR Rosmery Luizaga Salinas TTULO DEL WORK PAPER: INTRODUCCIN A LA CALIDAD TOTAL DPTO.: Facultad de Ingeniera DESTINADO A: DOCENTES ALUMNOS X ADMINIST.

CDIGO: CMP 425

OTROS

OBSERVACIONES: Carrera Ingeniera de Sistemas Asignatura Auditoria de Sistemas Unidad IV, Tema No.

FECHA DE DIFUSIN: Junio/2010

FECHA DE ENTREGA: junio/2010

INTRODUCCIN A CALIDAD TOTAL


La calidad es el factor bsico de decisin del cliente para un nmero de productos y servicios que hoy crece en forma explosiva. La calidad ha llegado a ser la fuerza ms importante y nica que lleva al xito organizacional y al crecimiento de la compaa en mercados nacionales e internacionales. Los rendimientos de programas de calidad fuerte y eficiente estn generando excelentes resultados de utilidades en empresas con estrategias de calidad eficientes. Esto est demostrado por los importantes aumentos en la penetracin del mercado, por mejoras importantes en la productividad total, por los costos muchos menores de calidad y por un liderazgo competitivo ms fuerte. Cuando se menciona el trmino "calidad", por lo general lo asociamos con productos o servicios excelentes, que satisfacen nuestras expectativas y, ms an, las rebasan. Tales expectativas se definen en funcin del uso que se le dar al producto o servicio en cuestin y de su respectivo precio de venta. Cuando un producto mejora nuestras expectativas estamos hablando de calidad. Es decir, se trata de una cualidad cuya valoracin depender de lo que se perciba. De acuerdo a la norma A3 1987 ANSI / ASQC, Calidad es la totalidad de aspectos y caractersticas de un producto o servicio que permiten satisfacer necesidades implcita o explcitamente formuladas.

Estas ltimas se definen mediante un contrato, en tanto que las primeras se definen segn las condiciones que imperen en el mercado, aunque es necesario tambin determinarlas y definirlas. Debido a la gran variacin de resultados de calidad, la bsqueda genuina del xito en la calidad se ha convertido en un asunto de gran inters en la administracin de las compaas de todo el mundo. Y la experiencia est abriendo una base fundamental para lograr ese xito. La calidad es en esencia una forma de administrar a la organizacin. Como finanzas y mercadotecnia, la calidad ha llegado a ser ahora un elemento esencial de la administracin moderna. Y la eficiencia en la administracin de la calidad se ha convertido en una condicin necesaria para la eficiencia de la administracin industrial en s. El presente trabajo no pretende ser una recopilacin completa respecto a lo que son los sistemas de calidad y los costos que ella involucra; solo es un breve resumen de algunos puntos de importancia que las empresas hoy en da deberan tomar en cuenta con la finalidad de ser ms competitivas en el mercado mundial cambiante. ORIGEN DE LA CALIDAD TOTAL Origen de la tcnica de la calidad total Como nos tienen acostumbrados, los japoneses fueron los pioneros. La II Guerra Mundial dej la economa nipona en una situacin catastrfica, con unos productos poco competitivos que no tenan cabida en los mercados internacionales. Los japoneses no tardaron en reaccionar: se lanzaron al mercado gracias a la adopcin de los sistemas de calidad. Los resultados fueron que Japn registr un espectacular crecimiento. La iniciativa nipona pronto se transmiti a otras zonas del planeta. Europa tard algo ms, pero tambin fueron los aos 80 los del impulso definitivo. En 1988 nace la European Foundation for Quality Managment (EFQM), organizacin que apuesta por los modelos de gestin de calidad total (GTC o TQM), estrategias encaminadas a optimizar los recursos, reducir costes y mejorar los resultados, con el objetivo de perfeccionar constantemente el proceso productivo. La implantacin de la calidad total es un proceso largo y complicado, supone cambiar la filosofa de la empresa y los modos de gestin de sus responsables; se debe elegir un problema concreto, y analizar el punto en donde est fallando la empresa. Los principios de gestin de la calidad total son sencillos de entender, pero complicados de asimilar: El sistema parte de la bsqueda de la satisfaccin del cliente, en todos sus aspectos. Un primer paso es la bsqueda de la calidad de los productos/servicios. Pero habr que tener en claro que el producto/servicio ya no ser el punto principal de calidad. Los principios elementales son los siguientes: De poco sirve imponer de forma autoritaria la mejora en cada puesto de trabajo. La calidad la produce el ltimo eslabn que termina el producto que est en contacto con el cliente pero nunca el director general. El directivo tiene que estar convencido de la necesidad de la calidad. CONCEPTO DE CALIDAD Es cuando en una organizacin se determinan las actividades y los integrantes de la misma se encuentran haciendo lo que tienen que hacer, lo estn haciendo bien, para brindarle una satisfaccin total al cliente. Anlisis del concepto haciendo lo que tienen que hacer, se refiere a: Determinacin de las actividades Conocimiento de los requisitos a cumplir Adiestramiento sobre esos requisitos (capacitacin) Cumplimiento estricto de esos requisitos Si se conocen los requisitos no se necesita supervisin, ya que se sabe qu hacer. lo estn haciendo bien Implica la predisposicin o la integracin de la organizacin (el compromiso). Es la diferencia entre tener y querer ir a trabajar, creando un mejor ambiente de trabajo. brindar satisfaccin total al cliente Calidad Total es cuando en la organizacin, los integrantes se encuentran cumpliendo exactamente con todos los requisitos establecidos y normalizados hacia la del la bsqueda del Cero Defecto, para brindarle satisfaccin total al cliente.

Cliente es todo aquel que se ve afectado por lo que haga o deje de hacer. Es aquel que depende de m, es decir, tiene una dependencia directa; aquel que me sigue en la lnea (cliente interno) y todos aquellos que me dependen (razn trascendental). PROGRESO DE SIGNIFICADO DE CALIDAD Calidad Total no se limita a una tcnica administrativa o de gestin, sino que su concepcin es mucho ms profunda, ya que empieza y termina con las personas, es decir que es una filosofa que se demuestra en el ser, pensar y actuar de las personas de Calidad. Personas de Calidad obtienen productos de calidad y brindan servicios de calidad. Progreso del significado de la calidad total La transformacin de las empresas y la globalizacin de las economas, han ocasionado un sinnmero de problemas y dificultades en los gobiernos de Amrica Latina. Explicar como analizar el hecho, de que la clave del xito de la fuerza del ao 2000, dentro de la organizacin es la Calidad Total en las empresas, para dar a conocer a la comunidad el porqu s realiza esta transformacin, es una accin complicada. Para el anlisis de la competitividad y la calidad total en las empresas; existen algunas preguntas obvias: Cmo afect a las empresas la incorporacin del concepto de calidad total? Cmo la calidad total impresion en las empresas que intervienen en el proceso de Globalizacin? Se ha definido al Mejoramiento del personal como una forma de lograr la calidad total, y como una conversin en el mecanismo viable y accesible al que las empresas de los pases en vas de desarrollo cierren la brecha tecnolgica que mantienen con respecto al mundo competitivo y desarrollado. Para mejorar un proceso y llegar a la calidad total, y ser en consecuencia ms competitivos, es necesario cambiar dicho proceso, para hacerlo ms efectivo, eficiente y adaptable. Qu cambiar y cmo cambiar depende del enfoque especfico del empresario y del proceso. LA CLAVE DEL XITO ES LA CALIDAD TOTAL DE MANTENER SISTEMTICAMENTE VENTAJAS QUE LE PERMITAN ALCANZAR DETERMINADA POSICIN EN EL ENTORNO SOCIOECONMICO. El trmino calidad total es muy utilizado en los medios empresariales, polticos y socioeconmicos en general. A ello se debe la ampliacin del marco de referencia de nuestros agentes econmicos que han pasado de una actitud auto protectora a un planteamiento ms abierto, expansivo y proactivo. La ventaja comparativa de una empresa estara en su habilidad, recursos, conocimientos y atributos, etc., de los que dispone dicha empresa, los mismos de los que carecen sus competidores o que estos tienen en menor medida, que hace posible la obtencin de unos rendimientos superiores a los de aquellos. El uso de estos conceptos supone una continua orientacin hacia el entorno y una actitud estratgica por parte de las empresas grandes como en las pequeas, en las de reciente creacin o en las maduras y en general en cualquier clase de organizacin. Por otra parte, el concepto de xito nos hace pensar en la idea "excelencia", o sea, con caractersticas de eficiencia y eficacia de la organizacin. Ecuador est sufriendo ya hace algunos aos los cambios de la calidad total; pero an existen algunas empresas en nuestro pas que no mostraban estas nuevas formas de hacer empresa y poco a poco estn haciendo los cambios y otras ya fueron absorbidas por otras para no tener que cerrar sus puertas, la calidad de los productos, la red de distribucin, las relaciones con la comunidad, el desempeo de los trabajadores, son puntos primordiales en la lucha para desarrollar empresas en estos tiempos. EL CONCEPTO DE CALIDAD TOTAL TIENE CUATRO ETAPAS: 1) hacer de la calidad un socio pleno e igual de la innovacin, desde el comienzo del desarrollo del producto. 2) Poner nfasis en que el diseo de un producto de alta calidad y el proceso coincidan en forma ascendente no despus que la planeacin de la manufactura haya congelado ya las alternativas. 3) hacer de todos los servicios de los proveedores un socio de calidad al comenzar el diseo; en lugar de un problema de vigilancia de la calidad, ms adelante. 4) hacer de la aceleracin de la introduccin de un nuevo producto no su retardamiento una medida primaria de la eficacia del programa de calidad de una compaa. El cuarto punto fundamental es que la calidad y el costo son complementarios y no objetivos conflictos del negocio. Estos fundamentos aclaran que el liderazgo de la calidad es hoy en da la clave del xito del negocio de las compaas y que ello se suma a las economas nacionales. En correspondencia, las iniciativas nacionales y regionales estn resultando de importancia creciente en el fomento del liderazgo de la calidad. Qu es calidad total? La calidad total es un concepto, una filosofa, una estrategia, un modelo de hacer negocios y est localizado hacia el cliente.

La calidad total no solo se refiere al producto o servicio en s, sino que es la mejora permanente del aspecto organizacional, gerencial; tomando una empresa como una mquina gigantesca, donde cada trabajador, desde el gerente, hasta el funcionario del ms bajo nivel jerrquico est comprometido con los objetivos empresariales. Para que la calidad total se logre a plenitud, es necesario que se rescaten los valores morales bsicos de la sociedad y es aqu, donde el empresario juega un papel fundamental, empezando por la educacin previa de sus trabajadores para conseguir una poblacin laboral ms predispuesta, con mejor capacidad de asimilar los problemas de calidad, con mejor criterio para sugerir cambios en provecho de la calidad, con mejor capacidad de anlisis y observacin del proceso de manufactura en caso de productos y poder enmendar errores. El uso de la calidad total conlleva ventajas, pudiendo citar como ejemplos las siguientes: Potencialmente alcanzable si hay decisin del ms alto nivel. Mejora la relacin del recurso humano con la direccin. Reduce los costos aumentando la productividad. RELACION REINGENIERIA CALIDAD TOTAL La reingeniera junto con la calidad total puede llevar a la empresa a vincularse electrnicamente con sus clientes y as convertirse en una empresa ampliada. Una de las estructuras ms interesantes que se estn presentando hoy en da es la formacin de redes, que es una forma de organizar a una empresa y que est demostrando su potencial con creces. La calidad total es un sistema de gestin de calidad que abarca a todas las actividades y a todas las realizaciones de la empresa, poniendo especial nfasis en el cliente interno y en la mejora continua. PRINCIPIOS DE LA CALIDAD 1. Cumplir con los requisitos. Para ello los directivos deben: Establecer los requisitos a cumplir Suministrar los medios necesarios para que los empleados cumplan Motivar y estimular para que los requisitos sean cumplidos 2. La Calidad es la Prevencin, no la verificacin 3. El estndar de realizacin es el Cero Defectos 4. La medida de la Calidad es el precio por el incumplimiento Trabajo Es un valor propio del ser humano, a travs del cual desarrolla sus potencialidades. Un buen trabajador es el que tiene una permanente BUENA DISPOSICIN. Ese es el desafo, facilitar que se tenga una buena predisposicin, la cual se logra (o se mejora) si a la gente le gusta su trabajo. Claves de la Calidad Identificacin empresarial: formulacin, creacin y desarrollo de la Visin y la Misin de Calidad Trabajo en funcin del cliente: interpretacin de sus necesidades, diseo interpretativo, creatividad para satisfacer sus necesidades y demandas. Trabajo en equipo: crear un buen ambiente de trabajo, coordinacin, comunicacin, objetivos comunes, liderazgo para lograr una sinergia que permita satisfacer ms rpido y mejor las demandas y necesidades del cliente. Factores esenciales para introducir el Control Total de Calidad Conciencia: en todos los niveles de la organizacin Trabajo en equipo: es el pilar de la Calidad, trabajar en mutua cooperacin y sin autoritarismo. Control y mejoramiento: mejorar sobre lo medido, ya que solo se puede mejorar lo que se puede medir. Planes de mejora. Sistematizacin: en busca de la perfeccin de las actividades de la organizacin. Conocimiento y comparacin de costos Evaluacin: debe ser constante y retroalimentadora, a la vez que debe ser imparcial sobre los esfuerzos de los trabajadores en la actividad. Difusin: se debe comunicar qu se hace y qu pasa en la organizacin en todos los niveles. IMPORTANCIA DE LA CALIDAD TOTAL La calidad total en la organizacin de una empresa, debe ser el nervio y motor de la misma; si de verdad la empresa desea alcanzar el xito debe cimentarse en estas dos palabras. El mensaje de la calidad total debe ser comunicado a tres audiencias que son complementarias entre s: Los Trabajadores. Los Proveedores; y, Los Clientes.

Los fundamentos de la calidad total son los siguientes: El objetivo bsico: la competitividad El trabajo bien hecho. La Mejora continuada con la colaboracin de todos: responsabilidad y compromiso individual por la calidad. El trabajo en equipo es fundamental para la mejora permanente Comunicacin, informacin, participacin y reconocimiento. Prevencin del error y eliminacin temprana del defecto. Fijacin de objetivos de mejora. Seguimiento de resultados. Indicadores de gestin. Satisfacer las necesidades del cliente: calidad, precio, plazo. Los obstculos que impiden el avance de la calidad pueden ser: El hecho de que la direccin no defina lo que entiende por calidad. No se trata de hacer bien las cosas, sino de que el cliente opine igual y est satisfecho. Todos creen en su concepto, pocos en su importancia y son menos los que la practican. EL CONTROL DE LA CALIDAD TOTAL El Control de la Calidad se posesiona como una estrategia para asegurar el mejoramiento continuo de la calidad. Es un programa para asegurar la continua satisfaccin de los clientes externos e internos mediante el desarrollo permanente de la calidad del producto y sus servicios. Es un concepto que involucra la orientacin de la organizacin a la calidad manifestada en sus productos, servicios, desarrollo de su personal y contribucin al bienestar general. El mejoramiento continuo es una herramienta que en la actualidad es fundamental para todas las empresas porque les permite renovar los procesos administrativos que ellos realizan, lo cual hace que las empresas estn en constante actualizacin; adems, permite que las organizaciones sean ms eficientes y competitivas, fortalezas que le ayudarn a permanecer en el mercado. Para la aplicacin del mejoramiento es necesario que en la organizacin exista una buena comunicacin entre todos los rganos que la conforman, y tambin los empleados deben estar bien compenetrados con la organizacin, porque ellos pueden ofrecer mucha informacin valiosa para llevar a cabo de forma ptima el proceso de mejoramiento continuo. La definicin de una estrategia asegura que la organizacin est haciendo las cosas que debe hacer para lograr sus objetivos. La definicin de su sistema determina si est haciendo estas cosas correctamente. La calidad de los procesos se mide por el grado de adecuacin de estos a lograr la satisfaccin de sus clientes (internos o externos). Es el proceso de alcanzar los objetivos de calidad durante las operaciones. Para el efecto, se debern desarrollar los siguientes pasos: a) Elegir qu controlar. b) Determinar las unidades de medicin. c) Establecer el sistema de medicin. d) Establecer los estndares de desempeo. e) Medir el desempeo actual. f) Interpretar la diferencia entre lo real y el estndar. g) Tomar accin sobre la diferencia. El trmino calidad se ha convertido en una de las palabras clave de nuestra sociedad, alcanzando tal grado de relevancia que iguala e incluso supera en ocasiones al factor precio, en cuanto a la importancia otorgada por el posible comprador de un producto o servicio. Las necesidades de quienes compran nuestros productos o servicios no son estticas, sino que evolucionan de forma continua. Esto supone la permanente adaptacin de todos nuestros procesos productivos y comerciales a dichas necesidades, si queremos seguir contando con SU FIDELIDAD Gestin de la calidad es el conjunto de actividades llevadas a cabo por la empresa para obtener beneficios mediante la utilizacin de la calidad como herramienta estratgica. PASOS PARA PONER EN MARCHA EL CONTRO TOTAL DE CALIDAD EN SU EMPRESA Cada uno de los conceptos de la estrategia del Control Total de Calidad conlleva muchas actividades. Por lo tanto se hace necesario establecer un plano o programa cuyo desarrollo asegure el xito de su aplicacin en la empresa. Un plan para poner en prctica el Control Total de Calidad, podra contener las siguientes actividades: COMPROMISO Y ORGANIZACIN. 1. Establecimiento del compromiso de la alta direccin con la implementacin del CTC y con las actividades de los crculos de control de calidad. Debe establecerse el por que de esta decisin. Para ello es bsico conocer los conceptos bsicos de CTC, sus beneficios, la importancia del cliente, el

valor del recurso humano, la necesidad de optimizar recursos y tecnologa, lo vital del ciclo de control y aspectos similares. 2- Organizacin de un comit directivo o de un consejo. 3- Designacin de los miembros del comit de CTC. 4- Organizacin de una oficina de CTC para los miembros del comit o consejo, as como para la promocin CTC. 5- Designacin del director de la oficina de CTC as como de los facilitadores de CTC. Estos ltimos son el apoyo metodolgico para la implantacin del CTC en toda la organizacin. PLANEACIN 6- Establecimiento de la poltica de implementacin del CTC y del programa para lograrlo. Esto debe hacerlo el comit o el consejo. 7- Visitas a otras empresas o pases para visualizar la operacin del CTC, por parte de la alta direccin, los gerentes, as como del director de la oficina de CTC y de los facilitadores. 8-Establecimiento de una plan adecuado a las condiciones de la empresa y de su correspondiente calendario de implementacin; esta actividad es responsabilidad del director de la oficina de CTC. EDUCACIN Y ENTRENAMIENTO 9- Realizacin de eventos de educacin, dirigidos a la alta direccin. 10- Realizacin de actividades educativas dirigidas a la gerencia, al director de la oficina de CTC y a los facilitadores de CTC. 11- Preparacin del material educativo para la aplicacin del CTC y de las 7 herramientas bsicas de control de calidad. El material deber ser diseado para directores, gerencia media, staff y supervisores. 12- Puesta en prctica del programa de educacin y entrenamiento a cada nivel, segn lo programado. Esto incluye la aplicacin de los conceptos aprendidos. PRIMERAS ACCIONES 13- Una vez terminado el entrenamiento, "sacudida" de cada seccin o departamento para identificar, con ayuda de los subordinados de cada sector, sus fuerzas y debilidades. 14- Diseo de un proyecto (uno fcil), como ejercicio de los casos de Ruta de Calidad (o de mejoramiento del control de calidad) y de la utilizacin efectiva de los datos: desarrollo de este con aplicacin del ciclo de control (los ocho pasos de la ruta de calidad). Repeticin de este ejercicio para el siguiente aspecto de menor dificultad. Cuando ya se est familiarizado con el proceso, enfrentamiento con los proyectos crticos o importantes para el mejoramiento. 15- Realizacin de eventos educativos para los supervisores, en aspectos relacionados con los Crculos de Control de Calidad. 16- Promocin e instalacin de Crculos de Control de Calidad piloto, voluntarios y con supervisin tambin voluntaria, para practicar de nuevo los ocho pasos de la Ruta de la Calidad. Repeticin de estas actividades hasta terminar con lo estipulado en el plan y en el programa. ADMINISTRACIN POR POLTICA Y ESTANDARIZACIN. 17- Preparacin de un borrador de administracin por polticas, por parte de la oficina de CTC. 18- Obtencin de la aprobacin por la alta direccin y el consejo de CTC. La evolucin del concepto de calidad en la industria y en los servicios nos muestra que pasamos de una etapa donde la calidad solamente se refera al control final. Para separar los productos malos de los productos buenos, a una etapa de control de calidad en el proceso, con el lema: "la calidad no se controla, se fabrica". Finalmente llegamos a una calidad de diseo que significa no solo corregir o reducir defectos sino prevenir que estos sucedan, como se postula en el enfoque de la calidad total. El camino hacia la calidad total adems de requerir el establecimiento de una filosofa de calidad, crear una nueva cultura, mantener un liderazgo, desarrollar al personal y trabajar un equipo, desarrollar a los proveedores, tener un enfoque al cliente y planificar la calidad. Demanda vencer una serie de dificultades en el trabajo que se realiza da a da. Se requiere resolver las variaciones que van surgiendo en los diferentes procesos de produccin, reducir los defectos y adems mejorar los niveles estndares de actuacin. Para resolver estos problemas o variaciones y mejorar la calidad, es necesario basarse en hechos y no dejarse guiar solamente por el sentido comn, la experiencia o la audacia. Basarse en estos tres elementos puede ocasionar que en caso de fracasar nadie quiera asumir la responsabilidad. De all la conveniencia de basarse en hechos reales y objetivos. Adems es necesario aplicar un conjunto de herramientas estadsticas siguiendo un procedimiento sistemtico y estandarizado de solucin de problemas. Existen siete herramientas bsicas que han sido ampliamente adoptadas en las actividades de mejora de la calidad y utilizadas como soporte para el anlisis y solucin de problemas operativos en los ms distintos contextos de una organizacin. El ama de casa posee

ciertas herramientas bsicas por medio de las cuales puede identificar y resolver problemas de calidad en su hogar, estas pueden ser algunas, tijeras, agujas, corta uas y otros. Su fin es el de ejercer un tipo de revisin o feedback de lo planificado con lo con lo realizado, estos tipos de controles dan soluciones a los diferentes problemas que se presentan en la empresa. De este modo un grupo de personas como Deming, Pareto y otros gracias a sus estudios aplicaron la estadstica para poder establecer herramientas de control de la calidad a la empresas y poder as buscar el principal objetivo de la calidad que es la satisfaccin del cliente. Estas herramientas son: 1. Hoja de control (Hoja de recogida de datos) 2. Histograma 3. Diagrama de Pareto 4. Diagrama de causa efecto 5. Estratificacin (Anlisis por Estratificacin) 6. Diagrama de Scadter (Diagrama de Dispersin) y grafica de control. 7. Diagrama de flujo. Que a su vez se deben de validarse o apoyarse en otros tipos de herramientas como: La lluvia de ideas (Brainstorming) La Encuesta La Entrevista Diagrama de Flujo Matriz de Seleccin de Problemas Hay personas que se inclinan por tcnicas sofisticadas y tienden a menospreciar estas siete herramientas debido a que parecen simples y fciles, pero la realidad es que es posible resolver la mayor parte de problemas de calidad, con el uso combinado de estas herramientas en cualquier proceso de manufactura industrial. Las siete herramientas sirven para: Detectar problemas Delimitar el rea problemtica Estimar factores que probablemente provoquen el problema Determinar si el efecto tomado como problema es verdadero o no Prevenir errores debido a omisin, rapidez o descuido Confirmar los efectos de mejora Detectar desfases HOJA DE CONTROL. La Hoja de Control u hoja de recogida de datos, tambin llamada de Registro, sirve para reunir y clasificar las informaciones segn determinadas categoras, mediante la anotacin y registro de sus frecuencias bajo la forma de datos. Una vez que se ha establecido el fenmeno que se requiere estudiar e identificadas las categoras que los caracterizan, se registran estas en una hoja, indicando la frecuencia de observacin. Lo esencial de los datos es que el propsito este claro y que los datos reflejen la verdad. Estas hojas de recopilacin tienen muchas funciones, pero la principal es hacer fcil la recopilacin de datos y realizarla de forma que puedan ser usadas fcilmente y analizarlos automticamente. De modo general las hojas de recogida de datos tienen las siguientes funciones: De distribucin de variaciones de variables de los artculos producidos (peso, volumen, longitud, talla, clase, calidad, etc.) De clasificacin de artculos defectuosos De localizacin de defectos en las piezas De causas de los defectos De verificacin de chequeo o tareas de mantenimiento. Una vez que se ha fijado las razones para recopilar los datos, es importante que se analice las siguientes cuestiones: La informacin es cualitativa o cuantitativa Como, se recogern los datos y en que tipo de documento se har Cmo se utiliza la informacin recopilada Cmo de analizar Quin se encargar de la recogida de datos Con qu frecuencia se va a analizar Dnde se va a efectuar Esta es una herramienta manual, en la que clasifican datos a travs de marcas sobre la lectura realizadas en lugar de escribirlas, para estos propsitos son utilizados algunos formatos impresos, los objetivos ms importantes de la hoja de control son:

Investigar procesos de distribucin Artculos defectuosos Localizacin de defectos Causas de efectos Una secuencia de pasos tiles para aplicar esta hoja en un Taller es la siguiente: 1. Identificar el elemento de seguimiento 2. Definir el alcance de los datos a recoger 3. Fijar la periodicidad de los datos a recolectar Disear el formato de la hoja de recogida de datos, de acuerdo con la cantidad de informacin a recoger, dejando un espacio para totalizar los datos, que permita conocer: las fechas de inicio y trmino, las probables interrupciones, la persona que recoge la informacin, fuente, etc. VENTAJAS. Supone un mtodo que proporciona datos fciles de comprender y que son obtenidos mediante un proceso simple y eficiente que puede ser aplicado a cualquier rea de la organizacin. UTILIDADES. En la mejora de calidad, se utiliza tanto en el estudio de los sntomas de un problema, como en la investigacin de las causas o en la recogida y anlisis de datos para probar alguna hiptesis. Tambin se usa como punto de partida para la elaboracin de otras herramientas, como por ejemplo los grficos de control. EJEMPLO: A continuacin se presenta una hoja de control o planilla de inspeccin, la cual presenta algunos componentes bsicos como la frecuencia y las diferentes medidas que se pueden presentar, y datos generales que deben aadirse a la hoja de control.

2. HISTOGRAMAS Es bsicamente la presentacin de una serie de medidas clasificadas y ordenadas, es necesario colocar las medidas de manera que formen filas y columnas, en este caso colocamos las medidas en cinco filas y cinco columnas. La manera ms sencilla es determinar y sealar el nmero mximo y mnimo por cada columna y posteriormente agregar dos columnas en donde se colocan los nmeros mximos y mnimos por fila de los ya sealados. Tomamos el valor mximo de la columna X+ (medidas mximas) y el valor mnimo de las columnas X- (medidas mnimas) y tendremos el valor mximo y el valor mnimo. Teniendo los valores mximos y mnimos, podemos determinar el rango de la serie de medidas, el rango no es ms que la diferencia entre los valores mximos y mnimos. Rango = valor mximo valor mnimo EJEMPLO: Rango = 3.67 3.39 milmetros Rango = 0.28 N = numero de medidas que conforman la serie N = 25 Es necesario determinar el numero de clases para poder as tener el intervalo de cada clase. Ejemplo: 28=4.6 numero de clase 6 intervalo de cada clase4.6 El intervalo de cada clase lo aproxima a 5 o sea que vamos a tener 6 clases y un intervalo de 5 por clase. La marca de clase es el valor comprendido de cada clase y se determina as: X = marca de clase = limite mximo + limite mnimo con la tabla ya preparada se identifican los datos de medida que se tiene y se introducen en la tabla en la clase que le corresponde a una clase determinada. El histograma se usa para: Obtener una comunicacin clara y efectiva de la variabilidad del sistema Mostrar el resultado de un cambio en el sistema Identificar anormalidades examinando la forma Comparar la variabilidad con los lmites de especificacin Procedimientos de elaboracin: 1. Reunir datos para localizar por lo menos 50 puntos de referencia 2. Calcular la variacin de los puntos de referencia, restando el dato del mnimo valor del dato de mximo valor 3. Calcular el nmero de barras que se usaran en el histograma (un mtodo consiste en extraer la raz cuadrada del nmero de puntos de referencia) 4. Determinar el ancho de cada barra, dividiendo la variacin entre el nmero de barras por dibujar 5. Calcule el intervalo o sea la localizacin sobre el eje X de las dos lneas verticales que sirven de fronteras para cada barrera 6. Construya una tabla de frecuencias que organice los puntos de referencia desde el ms bajo hasta el ms alto de acuerdo con las fronteras establecidas por cada barra. 7. Elabore el histograma respectivo. VENTAJAS Su construccin ayudar a comprender la tendencia central, dispersin y frecuencias relativas de los distintos valores.

UTILIDADES.

Muestra grandes cantidades de datos dando una visin clara y sencilla de su distribucin. El histograma es especialmente til cuando se tiene un amplio numero de datos que es preciso organizar, para analizar mas detalladamente o tomar decisiones sobre la base de ellos. Es un medio eficaz de para transmitir otras personas informacin sobre un proceso de forma precisa e intangible. Proporciona mediante el estudio de la distribucin de los datos, un excelente punto de partida para generar hiptesis acerca de un funcionamiento insatisfactorio. En el siguiente ejemplo se presenta una grafica de un histograma, con su respectiva tabla de frecuencias, la cual presenta datos o informacin numrica ( intervalos de pesos de las aves) y con que frecuencia se esta repitiendo los diferentes rangos o intervalos de pesos en la linea de produccin:

Inte N (Pes Pacien (Frecu <50 0 50-5 0 55-6 1 60-6 17 65-7 48 70-7 70 75-8 32 80-8 28 85-9 16 90-9 0

95-1 3 100- 0 105- 0 >11 1

3. DIAGRAMA DE PARETO. Es una herramienta que se utiliza para priorizar los problemas o las causas que los genera. El nombre de Pareto fue dado por el Dr. Juran en honor del economista italiano VILFREDO PARETO (1848-1923) quien realiz un estudio sobre la distribucin de la riqueza, en el cual descubri que la minora de la poblacin posea la mayor parte de la riqueza y la mayora de la poblacin posea la menor parte de la riqueza. El Dr. Juran aplic este concepto a la calidad, obtenindose lo que hoy se conoce como la regla 80/20. Segn este concepto, si se tiene un problema con muchas causas, podemos decir que el 20% de las causas resuelven el 80 % del problema y el 80 % de las causas solo resuelven el 20 % del problema. Seta basada en el conocido principio de Pareto, esta es una herramienta que es posible identificar lo poco vital dentro de lo mucho que podra ser trivial. Procedimientos para elaborar el diagrama de Pareto: 1. Decidir el problema a analizar. 2. Disear una tabla para conteo o verificacin de datos, en el que se registren los totales. 3. Recoger los datos y efectuar el clculo de totales. 4. Elaborar una tabla de datos para el diagrama de Pareto con la lista de tems, los totales individuales, los totales acumulados, la composicin porcentual y los porcentajes acumulados. 5. Jerarquizar los tems por orden de cantidad llenando la tabla respectiva. 6. Dibujar dos ejes verticales y un eje horizontal. 7. Construya un grfico de barras en base a las cantidades y porcentajes de cada tem. 8. Dibuje la curva acumulada. Para lo cual se marcan los valores acumulados en la parte superior, al lado derecho de los intervalos de cada tem, y finalmente una los puntos con una lnea continua. 9. Escribir cualquier informacin necesaria sobre el diagrama. Para determinar las causas de mayor incidencia en un problema se traza una lnea horizontal a partir del eje vertical derecho, desde el punto donde se indica el 80% hasta su interseccin con la curva acumulada. De ese punto trazar una lnea vertical hacia el eje horizontal. Los tems comprendidos entre esta lnea vertical y el eje izquierdo constituyen las causas cuya eliminacin resuelve el 80 % del problema. VENTAJAS Ayuda a concentrarse en las causas que tendrn mayor impacto en caso de ser resueltas. Proporciona una visin simple y rpida de la importancia relativa de los problemas. Ayuda a evitar que se empeoren algunas causas al tratar de solucionar otras. UTILIDADES Determinar cual es la causa clave de un problema, separndola de otras presentes pero menos importantes. Contrastar la efectividad de las mejoras obtenidas, comparando sucesivos diagramas obtenidos en momentos diferentes. Pueden ser asimismo utilizados tanto para investigas efectos como causas.

Comunicar fcilmente a otros miembros de la organizaron las conclusiones sobre causas, efectos y costes de los errores.

4. DIAGRAMA DE CAUSA EFECTO O ESPINA DE PESCADO. Sirve para solventar problemas de calidad y actualmente es ampliamente utilizado alrededor de todo el mundo. Como debe ser construido un diagrama de causa efecto?, dicho de otra forma es una herramienta que ayuda a identificar, clasificar y poner de manifiesto posibles causas, tanto de problemas especficos como de caractersticas de calidad. Ilustra grficamente las relaciones existentes entre un resultado dado (efecto) y los factores (causas) que influyen en ese resultado. Por ejemplo, tenemos el cocinado de un arroz especial del cual consideraremos el sabor como si esto fuera una caracterstica de la calidad para lograr su mejora. Analiza de una forma organizada y sistemtica los problemas, causas y las causas de estas causas, cuyo resultado en lo que afecta a la calidad se denominara efecto. Existen dos aspectos bsicos que definen esta tcnica: ordena y profundiza. El problema est identificado y queremos resolverlo. VENTAJAS. Permite que el grupo se concentre ene. Contenido del problema, no en la historia del problema ni en los distintos intereses personales de los integrantes del equipo. Ayuda a determinar las causas principales de un problema, o las causas de las caractersticas de calidad, utilizando para ello un enfoque estructurado. Estimula la participacin de los miembros del grupo de trabajo, permitiendo as aprovechar mejor el conocimiento sobre un proceso. Incrementa el grado de conocimiento sobre un proceso. UTILIDADES. Identificar las causas raz, o causas principales, de un problema o efecto. Clasificar y relacionar las interacciones entre factores que estn afectando al resultado de un proceso. A continuacin se presenta un ejemplo el cual la flecha del centro representa las operaciones o los flujos de informacin centrales que se manejan o son generados por la problemtica que se este sucediendo las flechas laterales son factores que inciden de manera directa en la solucin del problema.

5. LA ESTRATIFICACIN Es lo que clasifica la informacin recopilada sobre una caracterstica de calidad. Toda la informacin debe ser estratificada de acuerdo a operadores individuales en mquinas especificas y as sucesivamente, con el objeto de asegurarse de los factores asumidos; Usted observara que despus de algn tiempo las piedras, arena, lodo y agua puede separase, en otras palabras, lo que ha sucedido es una estratificacin de los materiales, este principio se utiliza en manufacturera. Los criterios efectivos para la estratificacin son: Tipo de defecto

Causa y efecto Localizacin del efecto Material, producto, fecha de produccin, grupo de trabajo, operador, individual, proveedor, lote etc. El mtodo consiste en clasificar los datos disponibles por grupos con similares caractersticas. A cada grupo se le denomina estrato. Los estratos a definir lo sern en funcin de la situacin particular de que se trate, pudiendo establecerse estratificaciones atendiendo a : Personal, maquinaria y equipo, Materiales, reas de gestin, Tiempo, Entorno, Localizacin geogrfica, otros. VENTAJAS Es muy completa para la calidad de la empresa. UTILIDADES. Permite aislar la causa de un problema, identificando el grado de influencia de ciertos factores en el resultado de un proceso. La estratificacin puede apoyarse y servir de base en distintas herramientas de calidad, si bien el histograma ms habitual de presentarla. 6. Diagrama de dispersin. Es el estudios de dos variables, tales como la velocidad del pin y las dimensiones de una parte o la concentracin y la gravedad especifica, a esto se le llama diagrama de dispersin. Estas dos variables se pueden embarcarse as: Una caracterstica de calidad y un factor que la afecta, Dos caractersticas de calidad relacionadas, o Dos factores relacionados con una sola caracterstica de calidad. Para comprender la relacin entre estas, es importante, hacer un diagrama de dispersin y comprender la relacin global. Cuadro de los datos de presin del aire de soplado y porcentaje de defectos de tanque plstico. Fecha Presin de aire (Kg./cm2) Oct. 1 2 3 4 5 8 9 10 11 12 15 16 17 18 19 8.6 8.9 8.8 8.8 8.4 8.7 9.2 8.6 9.2 8.7 8.4 8.2 9.2 8.7 9.4 Porcentaje de Defectos (%) 0.889 0.884 0.874 0.891 0.874 0.886 0.911 0.912 0.895 0.896 0.894 0.864 0.922 0.909 0.905 Oct. 22 23 24 25 26 29 30 31 1 2 5 6 7 8 9 Fecha Presin de aire (Kg./ cm2) 8.7 8.5 9.2 8.5 8.3 8.7 9.3 8.9 8.9 8.3 8.7 8.9 8.7 9.1 8.7 Porcentaje de Defectos (%) 0.892 0.877 0.885 0.866 0.896 0.896 0.928 0.886 0.908 0.881 0.882 0.904 0.912 0.925 0.872

7. Grficas de dispersin. Se utilizan para estudiar la variacin de un proceso y determinar a que obedece esta variacin. Un grfico de control es una grfica lineal en la que se han determinado estadsticamente un lmite

superior (lmite de control superior) y un lmite inferior (lmite inferior de control) a ambos lados de la media o lnea central. La lnea central refleja el producto del proceso. Los lmites de control proveen seales estadsticas para que la administracin acte, indicando la separacin entre la variacin comn y la variacin especial. Estos grficos son muy tiles para estudiar las propiedades de los productos, los factores variables del proceso, los costos, los errores y otros datos administrativos. Un grfico de Control muestra: Si un proceso est bajo control o no Indica resultados que requieren una explicacin Define los lmites de capacidad del sistema, los cuales previa comparacin con los de especificacin pueden determinar los prximos pasos en un proceso de mejora. Este puede ser de lnea quebrada o de crculo. La lnea quebrada es a menudo usada para indicar cambios dinmicos. La lnea quebrada es la grfica de control que provee informacin del estado de un proceso y en ella se indica si el proceso se establece o no. Ejemplo de una grfica de control, donde las medidas planteadas versus tiempo. En ella se aclara como las medidas estn relacionadas a los lmites de control superior e inferior del proceso, los puntos afuera de los lmites de control muestran que el control esta fuera de control. Todos los controles de calidad requieren un CIERTO SENTIDO DE JUICIO Y ACCIONES propias basadas en informacin recopilada en el lugar de trabajo. La calidad no puede alcanzarse nicamente a travs de calcular desarrollado en el escritorio, pero si a travs de actividades realizadas en la planta y basadas desde luego en clculos de escritorio. El control de calidad o garanta de calidad se inici con la idea de hacer hincapi en la inspeccin. VENTAJAS Se trata de una herramienta especialmente til para estudiar e identificar las posibles relaciones entre los cambios observados en dos conjuntos diferentes de variables. Suministra los datos para confirmar hiptesis acerca de si dos variables estn relacionadas. Proporciona un medio visual para probar la fuerza de una posible relacin. EJEMPLO.

8. DIAGRAMA DE FLUJO. Es un diagrama que utiliza smbolos grficos para representar el flujo y las fases de un proceso. Est especialmente indicado al inicio de un plan de mejora de procesos, al ayudar a comprender cmo stos se desenvuelven. Es bsico en la gestin de los procesos. VENTAJAS. Facilita la comprensin del proceso. Al mismo tiempo, promueve el acuerdo, entre los miembros del equipo, sobre la naturaleza y desarrollo del proceso analizado. Supone una herramienta fundamental para obtener mejoras mediante el rediseo del proceso, o el diseo de una alternativo. Identifica problemas, oportunidades de mejora y puntos de ruptura del proceso. Pone de manifiesto las relaciones proveedores cliente, sean stos internos o externos. EJEMPLO:

En el primer grafico se detalla las posibles formas geomtricas que se pueden utilizar para graficar el diagrama de flujos, en el grafico segundo se presenta un proceso de produccin de bolsas (reaccin de polimerizacin) el cual conlleva el inicio luego se coloca la materia prima, luego se coloca a un reactor y se espera una reaccin qumica, si es aceptable es decir pasa la prueba de viscosidad, pasa al ultimo momento es enfriar y descargar, y termina el proceso. NECESIDAD DE LA PARTICIPACIN TOTAL Para aplicar desde el comienzo la garanta de calidad en la etapa de desarrollo de un producto nuevo, ser preciso que todas las divisiones de la empresa y todos sus empleados participen en el control de calidad. Cuando el control de calidad slo hace hincapi en la inspeccin, nicamente interviene una divisin, bien sea la divisin de inspeccin o la divisin de control de calidad, y sta se limita a verificar en la puerta de salida para impedir que salgan productos defectuosos. Sin embargo, el programa de control de calidad hace hincapi en el proceso de fabricacin, la participacin se hace extensiva a las lneas de ensamblaje, a los subcontratistas y a las divisiones de compras, ingeniera de productos y mercadeo. En una aplicacin ms avanzada del control de calidad, que viene a ser la tercera fase, todo lo anterior se toma insuficiente. La participacin ya tiene que ser a escala de toda la empresa. Esto significa que quienes intervienen en planificacin, diseo e investigacin de nuevos productos, as como quienes estn en la divisin de fabricacin y en las divisiones de contabilidad, personal y relaciones laborales, tienen que participar sin excepcin.

CUESTIONARIO 1. 2. 3. 4. 5. 6. 7. 8. 9. Qu es Calidad Total?. Cul es su origen Cules son las etapas de la Calidad total? Cual es la importancia de la Calidad Total? Qu es un Histograma? Qu es el diagrama de Pareto? Qu es un diagrama de causa y efecto? Qu es un diagrama de dispersin? Qu es un diagrama de flujo?

PROGRAMA DE CALIDAD UDABOL DIF 001 2011


AUDITORIA DE SISTEMAS

La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).

PLANEACIN DE LA AUDITORA EN INFORMTICA

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIN PRELIMINAR
Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR: A NIVEL DEL REA DE INFORMTICA Objetivos a corto y largo plazo. RECURSOS MATERIALES Y TECNICOS Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos.

SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas.

En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita.

Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa.

El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas. Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das/hombre estimado. El control del avance de la auditora lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa de auditora, con los recursos estimados y en el tiempo sealado en la planeacin.

El hecho de contar con la informacin del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes. Como ejemplo de propuesta de auditora en informtica vase el anexo 3. EVALUACIN DE SISTEMAS

La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos.
El plan estratgico deber establecer los servicios que se presentarn en un futuro contestando preguntas como las siguientes: Cules servicios se implementarn? Cundo se pondrn a disposicin de los usuarios? Qu caractersticas tendrn? Cuntos recursos se requerirn?

La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y la arquitectura en que estarn fundamentados: Qu0 aplicaciones sern desarrolladas y cuando? Qu tipo de archivos se utilizarn y cuando? Qu bases de datos sern utilizarn y cuando? Qu lenguajes se utilizarn y en que software? Qu tecnologa ser utilizada y cuando se implementar? Cuantos recursos se requerirn aproximadamente? Cul es aproximadamente el monto de la inversin en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos de informacin de la dependencia. Qu estudios van a ser realizados al respecto? Qu metodologa se utilizar para dichos estudios? Quin administrar y realizar dichos estudios?

En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los controles establecidos. Por ltimo, el plan estratgico determina la planeacin de los recursos. Contempla el plan estratgico las ventajas de la nueva tecnologa? Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios?

El proceso de planeacin de sistemas deber asegurarse de que todos los recursos requeridos estn claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la arquitectura y la tecnologa, conque se cuenta actualmente. Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseo general, anlisis, diseo lgico, desarrollo fsico, pruebas, implementacin, evaluacin, modificaciones, instalacin, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cul es su relacin costo/beneficio y si es recomendable elaborarlo. Se deber solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operacin, as como los que estn en la fase de anlisis para evaluar si se considera la disponibilidad y caractersticas del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilizacin de los sistemas, el costo y los beneficios que reportar el sistema, el efecto que producir en quienes lo usarn y el efecto que stos tendrn sobre el sistema y la congruencia de los diferentes sistemas. En el caso de sistemas que estn funcionando, se deber comprobar si existe el estudio de factibilidad con los puntos sealados y compararse con la realidad con lo especificado en el estudio de factibilidad Por ejemplo en un sistema que el estudio de factibilidad seal determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin, cosa que en la prctica son costos directos, indirectos y de operacin. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operacin, la reduccin del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejora en los procedimientos de control, mayor confiabilidad y seguridad. EVALUACIN DEL ANLISIS

En esta etapa se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el anlisis.
Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales: La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre s y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el momento de la planeacin. Los requerimientos de los usuarios. El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.

La situacin de una aplicacin en dicho inventario puede ser alguna de las siguientes: Planeada para ser desarrollada en el futuro. En desarrollo. En proceso, pero con modificaciones en desarrollo. En proceso con problemas detectados. En proceso sin problemas. En proceso espordicamente.

Nota: Se deber documentar detalladamente la fuente que gener la necesidad de la aplicacin. La primera parte ser evaluar la forma en que se encuentran especificadas las polticas, los procedimientos y los estndares de anlisis, si es que se cumplen y si son los adecuados para la dependencia.

Es importante revisar la situacin en que se encuentran los manuales de anlisis y si estn acordes con las necesidades de la dependencia. En algunas ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y se solicita que se lleve a cabo una serie de anlisis que despus hay que plasmar en documentos sealados en los estndares, lo cual hace que esta fase sea muy compleja y costosa. Los sistemas y su documentacin deben estar acordes con las caractersticas y necesidades de una dependencia especfica. Se debe evaluar la obtencin de datos sobre la operacin, flujo, nivel, jerarqua de la informacin que se tendr a travs del sistema. Se han de comparar los objetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecucin deseada corresponde al actual. La auditora en sistemas debe evaluar los documentos y registros usados en la elaboracin del sistema, as como todas las salidas y reportes, la descripcin de las actividades de flujo de la informacin y de procedimientos, los archivos almacenados, su uso y su relacin con otros archivos y sistemas, su frecuencia de acceso, su conservacin, su seguridad y control, la documentacin propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse. Con la informacin obtenida podemos contestar a las siguientes preguntas: Se est ejecutando en forma correcta y eficiente el proceso de informacin? Puede ser simplificado para mejorar su aprovechamiento? Se debe tener una mayor interaccin con otros sistemas? Se tiene propuesto un adecuado control y seguridad sobre el sistema? Est en el anlisis la documentacin adecuada? EVALUACIN DEL DISEO LGICO DEL SISTEMA

En esta etapa se debern analizar las especificaciones del sistema.


Qu deber hacer?, Cmo lo deber hacer?, Secuencia y ocurrencia de los datos, el proceso y salida de reportes? Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la determinacin de los procedimientos de operacin y decisin. Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est obteniendo. Los puntos a evaluar son: Entradas. Salidas. Procesos. Especificaciones de datos. Especificaciones de proceso. Mtodos de acceso. Operaciones. Manipulacin de datos (antes y despus del proceso electrnico de datos). Proceso lgico necesario para producir informes. Identificacin de archivos, tamao de los campos y registros. Proceso en lnea o lote y su justificacin. Frecuencia y volmenes de operacin.

Sistemas de seguridad. Sistemas de control. Responsables. Nmero de usuarios.

Dentro del estudio de los sistemas en uso se deber solicitar: Manual del usuario. Descripcin de flujo de informacin y/o procesos. Descripcin y distribucin de informacin. Manual de formas. Manual de reportes. Lista de archivos y especificaciones.

Lo que se debe determinar en el sistema: En el procedimiento: Quin hace, cuando y como? Qu formas se utilizan en el sistema? Son necesarias, se usan, estn duplicadas? El nmero de copias es el adecuado? Existen puntos de control o faltan?

En la grfica de flujo de informacin: Es fcil de usar? Es lgica? Se encontraron lagunas? Hay faltas de control?

En el diseo: Cmo se usar la herramienta de diseo si existe? Qu tambin se ajusta la herramienta al procedimiento?

EVALUACIN DEL DESARROLLO DEL SISTEMA

En esta etapa del sistema se debern auditar los programas, su diseo, el leguaje utilizado, interconexin entre los programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del sistema.Al evaluar un sistema de informacin se tendr presente que todo sistema debe proporcionar informacin para planear, organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma ms econmica posible. De ese modo contar con los mejores elementos para una adecuada toma de decisiones.Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la informacin entre nodos. El proceso de planeacin de sistemas debe definir la red ptima de comunicaciones, los tipos de mensajes requeridos, el trafico esperado en las lneas de comunicacin y otros factores que afectan el diseo. Es importante considerar las variables que afectan a un sistema: ubicacin en los niveles de la organizacin, el tamao y los recursos que utiliza.Las caractersticas que deben evaluarse en los sistemas son: Dinmicos (susceptibles de modificarse). Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo)

Integrados (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados. Accesibles (que estn disponibles). Necesarios (que se pruebe su utilizacin). Comprensibles (que contengan todos los atributos). Oportunos (que est la informacin en el momento que se requiere). Funcionales (que proporcionen la informacin adecuada a cada nivel). Estndar (que la informacin tenga la misma interpretacin en los distintos niveles). Modulares (facilidad para ser expandidos o reducidos). Jerrquicos (por niveles funcionales). Seguros (que slo las personas autorizadas tengan acceso). nicos (que no duplique informacin).

CONTROL DE PROYECTOS

Debido a las caractersticas propias del anlisis y la programacin, es muy frecuente que la implantacin de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios aos dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la direccin de informtica. Para poder controlar el avance de los sistemas, ya que sta es una actividad de difcil evaluacin, se recomienda que se utilice la tcnica de administracin por proyectos para su adecuado control. Para tener una buena administracin por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado peridicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estndar de la planeacin de proyectos deber incluir la facilidad de asignar fechas predefinidas de terminacin de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisin, las cuales tendrn diferentes niveles de detalle. CUESTIONARIO 1. Existe una lista de proyectos de sistema de procedimiento de informacin y fechas programadas de implantacin que puedan ser considerados como plan maestro? 2. Est relacionado el plan maestro con un plan general de desarrollo de la dependencia? 3. Ofrece el plan maestro la atencin de solicitudes urgentes de los usuarios? 4. Asigna el plan maestro un porcentaje del tiempo total de produccin al reproceso o fallas de equipo? 5. Escribir la lista de proyectos a corto plazo y largo plazo. 6. Escribir una lista de sistemas en proceso periodicidad y usuarios. 7. Quin autoriza los proyectos? 8. Cmo se asignan los recursos? 9. Cmo se estiman los tiempos de duracin? 10. Quin interviene en la planeacin de los proyectos? 11. Cmo se calcula el presupuesto del proyecto? 12. Qu tcnicas se usan en el control de los proyectos? 13. Quin asigna las prioridades? 14. Cmo se asignan las prioridades? 15. Cmo se controla el avance del proyecto? 16. Con qu periodicidad se revisa el reporte de avance del proyecto? 17. Cmo se estima el rendimiento del personal? 18. Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado? 19. Qu acciones correctivas se toman en caso de desviaciones? 20. Qu pasos y tcnicas siguen en la planeacin y control de los proyectos?

Enumrelos secuencialmente. ( ) Determinacin de los objetivos. ( ) Sealamiento de las polticas. ( ) Designacin del funcionario responsable del proyecto. ( ) Integracin del grupo de trabajo. ( ) Integracin de un comit de decisiones. ( ) Desarrollo de la investigacin. ( ) Documentacin de la investigacin. ( ) Factibilidad de los sistemas. ( ) Anlisis y valuacin de propuestas. ( ) Seleccin de equipos. 21. Se llevan a cabo revisiones peridicas de los sistemas para determinar si an cumplen con los objetivos para los cuales fueron diseados? De anlisis S ( ) NO ( ) De programacin S ( ) NO ( ) Observaciones 22. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento de informtica podra satisfacer las necesidades de la dependencia, segn la situacin actual. CONTROL DE DISEO DE SISTEMAS Y PROGRAMACIN

El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente informacin para su manejo, operacin y aceptacin. Las revisiones se efectan en forma paralela desde el anlisis hasta la programacin y sus objetivos son los siguientes:
ETAPA DE ANLISIS Identificar inexactitudes, ambigedades y omisiones en las especificaciones. ETAPA DE DISEO Descubrir errores, debilidades, omisiones antes de iniciar la codificacin. ETAPA DE PROGRAMACIN Buscar la claridad, modularidad y verificar con base en las especificaciones. Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programacin ser ms alto que si se detecta en la etapa de anlisis. Esta funcin tiene una gran importancia en el ciclo de evaluacin de aplicaciones de los sistemas de informacin y busca comprobar que la aplicacin cumple las especificaciones del usuario, que se haya desarrollado dentro de lo presupuestado, que tenga los controles necesarios y que efectivamente cumpla con los objetivos y beneficios esperados. El siguiente cuestionario se presenta como ejemplo para la evaluacin del diseo y prueba de los sistemas: 1. Quines intervienen al disear un sistema? Usuario. Analista. Programadores. Operadores. Gerente de departamento. Auditores internos. Asesores.

Otros.

2. Los analistas son tambin programadores? S ( ) NO ( ) 3. Qu lenguaje o lenguajes conocen los analistas? 4. Cuntos analistas hay y qu experiencia tienen? 5. Qu lenguaje conocen los programadores? 6. Cmo se controla el trabajo de los analistas? 7. Cmo se controla el trabajo de los programadores? 8. Indique qu pasos siguen los programadores en el desarrollo de un programa: Estudio de la definicin ( ) Discusin con el analista ( ) Diagrama de bloques ( ) Tabla de decisiones ( ) Prueba de escritorio ( ) Codificacin ( ) Es enviado a captura o los programadores capturan? ( ) Quin los captura?___________________________________________ Compilacin ( ) Elaborar datos de prueba ( ) Solicitar datos al analista ( ) Correr programas con datos ( ) Revisin de resultados ( ) Correccin del programa ( ) Documentar el programa ( ) Someter resultados de prueba ( ) Entrega del programa ( )

9. Qu documentacin acompaa al programa cuando se entrega? Difcilmente se controla realmente el flujo de la informacin de un sistema que desde su inicio ha sido mal analizado, mal diseado, mal programado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente ocasionado por un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en ocasiones sin saber qu desea) hasta la instalacin del mismo, sin que se haya establecido un plan de prueba del sistema para medir su grado de confiabilidad en la operacin que efectuar. Para verificar si existe esta situacin, se debe pedir a los analistas y a los programadores las actividades que estn desarrollando en el momento de la auditora y evaluar si estn efectuando actividades de mantenimiento o de realizacin de nuevos proyectos. En ambos casos se deber evaluar el tiempo que llevan dentro del mismo sistema, la prioridad que se le asign y cmo est en el tiempo real en relacin al tiempo estimado en el plan maestro.

INSTRUCTIVOS DE OPERACIN

Se debe evaluar los instructivos de operacin de los sistemas para evitar que los programadores tengan acceso a los sistemas en operacin, y el contenido mnimo de los instructivos de operacin se puedan verificar mediante el siguiente cuestionario. El instructivo de operacin deber comprender.

- Diagrama de flujo por cada programa. ( ) - Diagrama particular de entrada/salida ( ) - Mensaje y su explicacin ( ) - Parmetros y su explicacin ( ) - Diseo de impresin de resultados ( ) - Cifras de control ( ) - Frmulas de verificacin ( ) - Observaciones ( ) - Instrucciones en caso de error ( ) - Calendario de proceso y resultados ( )

FORMA DE IMPLEMENTACIN

La finalidad de evaluar los trabajos que se realizan para iniciar la operacin de un sistema, esto es, la prueba integral del sistema, adecuacin, aceptacin por parte del usuario, entrenamiento de los responsables del sistema etc. Indicar cules puntos se toman en cuenta para la prueba de un sistema: Prueba particular de cada programa ( ) Prueba por fase validacin, actualizacin ( ) Prueba integral del paralelo ( ) Prueba en paralelo sistema ( ) Otros (especificar)____________________________________________

ENTREVISTA A USUARIOS

La entrevista se deber llevar a cabo para comprobar datos proporcionados y la situacin de la dependencia en el departamento de Sistemas de Informacin . Su objeto es conocer la opinin que tienen los usuarios sobre los servicios proporcionados, as como la difusin de las aplicaciones de la computadora y de los sistemas en operacin. Las entrevistas se debern hacer, en caso de ser posible, a todos los asuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los ms importantes como de los de menor importancia, en cuanto al uso del equipo. Desde el punto de vista del usuario los sistemas deben: Cumplir con los requerimientos totales del usuario. Cubrir todos los controles necesarios. No exceder las estimaciones del presupuesto inicial. Sern fcilmente modificables.

Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicacin completa entre usuarios y responsable del desarrollo del sistema. En esta misma etapa debi haberse definido la calidad de la informacin que ser procesada por la computadora, establecindose los riesgos de la misma y la forma de minimizarlos. Para ello se debieron definir los controles adecuados, establecindose adems los niveles de acceso a la informacin, es decir, quin tiene privilegios de consulta, modificar o incluso borrar informacin.

Esta etapa habr de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informtica, para comprobar que se logro una adecuada comprensin de los requerimientos del usuario y un control satisfactorio de informacin. Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se estn proporcionando en forma adecuada, cuando menos ser preciso considerar la siguiente informacin. Descripcin de los servicios prestados. Criterios de evaluacin que utilizan los usuarios para evaluar el nivel del servicio prestado. Reporte peridico del uso y concepto del usuario sobre el servicio. Registro de los requerimientos planteados por el usuario.

Con esta informacin se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados por la direccin de Informtica cubren las necesidades de informacin de las dependencias. A continuacin se presenta una gua de cuestionario para aplicarse durante la entrevista con el usuario. 1. Considera que el Departamento de Sistemas de Informacin de los resultados esperados?.Si ( ) No ( ) Por que? 2. Cmo considera usted, en general, el servicio proporcionado por el Departamento de Sistemas de Informacin? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) Por que? 3. Cubre sus necesidades el sistema que utiliza el departamento de cmputo? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) Por que? 4. Hay disponibilidad del departamento de cmputo para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) Por que? 5. Son entregados con puntualidad los trabajos? Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( ) Por que? 6. Que piensa de la presentacin de los trabajadores solicitados al departamento de cmputo? Deficiente ( ) Aceptable ( ) Satisfactorio ( )

Excelente ( ) Por que? 7. Que piensa de la asesora que se imparte sobre informtica? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) Por que? 8. Que piensa de la seguridad en el manejo de la informacin proporcionada por el sistema que utiliza? Nula ( ) Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) Por que? 9. Existen fallas de exactitud en los procesos de informacin? Cules? 10. Cmo utiliza los reportes que se le proporcionan? 11. Cules no Utiliza? 12. De aquellos que no utiliza por que razn los recibe? 13. Que sugerencias presenta en cuanto a la eliminacin de reportes modificacin, fusin, divisin de reporte? 14. Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( ) 15. Es claro y objetivo el manual del usuario? SI ( ) NO ( ) 16. Que opinin tiene el manual? NOTA: Pida el manual del usuario para evaluarlo. 17. Quin interviene de su departamento en el diseo de sistemas? 18. Que sistemas deseara que se incluyeran? 19. Observaciones:

CONTROLES

Los datos son uno de los recursos ms valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los dems inventarios de la organizacin, por lo cual se debe tener presente: a) La responsabilidad de los datos es compartida conjuntamente por alguna funcin determinada y el departamento de cmputo. b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles(principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualizacin y consistencia.

c) Los datos debern tener una clasificacin estndar y un mecanismo de identificacin que permita detectar duplicidad y redundancia dentro de una aplicacin y de todas las aplicaciones en general. d) Se deben relacionar los elementos de los datos con las bases de datos donde estn almacenados, as como los reportes y grupos de procesos donde son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL La mayora de los Delitos por computadora son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos. Adicionar Datos. Alterar datos. Duplicar procesos.

Esto es de suma importancia en caso de equipos de cmputo que cuentan con sistemas en lnea, en los que los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con sealamiento de responsables de los datos(uno de los usuarios debe ser el nico responsable de determinado dato), con claves de acceso de acuerdo a niveles. El primer nivel es el que puede hacer nicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer nivel es el que solo puede hacer todos lo anterior y adems puede realizar bajas. NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la informacin del dato fuente a la computadora, en el presente trabajo se le denominar captura o captacin considerndola como sinnimo de digitalizar (capturista, digitalizadora). Lo primero que se debe evaluar es la entrada de la informacin y que se tengan las cifras de control necesarias para determinar la veracidad de la informacin, para lo cual se puede utilizar el siguiente cuestionario: 1. Indique el porcentaje de datos que se reciben en el rea de captacin 2. Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos: Nmero de folio ( ) Nmero(s) de formato(s) ( ) Fecha y hora de Nombre, Depto. ( ) Recepcin ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Nmero de cuenta) ( ) Nmero de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) Fecha estimada de entrega ( ) 3. Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos: Firmas de autorizacin ( ) Recepcin de trabajos ( ) Control de trabajos atrasados ( ) Revisin del documento ( ) Avance de trabajos ( ) fuente(legibilidad, verificacin de datos completos, etc.) ( ) Prioridades de captacin ( ) Errores por trabajo ( ) Produccin de trabajo ( ) Correccin de errores ( ) Produccin de cada operador ( ) Entrega de trabajos ( )

Verificacin de cifras Costo Mensual por trabajo ( ) de control de entrada con las de salida. ( ) 4. Existe un programa de trabajo de captacin de datos? a) Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) b) La elaboracin del programa de trabajos se hace: Internamente ( ) Se les sealan a los usuarios las prioridades ( ) c) Que accin(es) se toma(n) si el trabajo programado no se recibe a tiempo? 5. Quin controla las entradas de documentos fuente? 6. En que forma las controla? 7. Que cifras de control se obtienen? Sistema Cifras que se Observaciones Obtienen 8. Que documento de entrada se tienen? Sistemas Documentos Depto. que periodicidad Observaciones proporciona el documento 9. Se anota que persona recibe la informacin y su volumen? SI NO 10. Se anota a que capturista se entrega la informacin, el volumen y la hora? SI NO 11. Se verifica la cantidad de la informacin recibida para su captura? SI NO 12. Se revisan las cifras de control antes de enviarlas a captura? SI NO 13. Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la informacin es completa y valida? SI NO 14. Existe un procedimiento escrito que indique como tratar la informacin invlida (sin firma ilegible, no corresponden las cifras de control)? 15. En caso de resguardo de informacin de entrada en sistemas, Se custodian en un lugar seguro? 16. Si se queda en el departamento de sistemas, Por cuanto tiempo se guarda? 17. Existe un registro de anomalas en la informacin debido a mala codificacin? 18. Existe una relacin completa de distribucin de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen? 19. Se verifica que las cifras de las validaciones concuerden con los documentos de entrada?

20. Se hace una relacin de cuando y a quin fueron distribuidos los listados? _______________________________________________________________________ __ 21. Se controlan separadamente los documentos confidenciales? _______________________________________________________________________ __ 22. Se aprovecha adecuadamente el papel de los listados inservibles? _______________________________________________________________________ __ 23. Existe un registro de los documentos que entran a capturar? _______________________________________________________________________ __ 24. Se hace un reporte diario, semanal o mensual de captura? _______________________________________________________________________ __ 25. Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada? 26. Se lleva un control de la produccin por persona? 27. Quin revisa este control? 28. Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una relacin de programas?

CONTROL DE OPERACIN La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora. El objetivo del presente ejemplo de cuestionario es sealar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. 1. Existen procedimientos formales para la operacin del sistema de computo? SI ( ) NO ( ) 2. Estn actualizados los procedimientos? SI ( ) NO ( ) 3. Indique la periodicidad de la actualizacin de los procedimientos: Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( ) 4. Indique el contenido de los instructivos de operacin para cada aplicacin: Identificacin del sistema ( ) Identificacin del programa ( ) Periodicidad y duracin de la corrida ( ) Especificacin de formas especiales ( ) Especificacin de cintas de impresoras ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lgico, y fechas de creacin y expiracin

Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos especficos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperacin para proceso de gran duracin o criterios ( ) Identificacin de todos los dispositivos de la mquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc. ) ( ) 5. Existen rdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y produccin)? SI ( ) NO ( ) 6. Son suficientemente claras para los operadores estas rdenes? SI ( ) NO ( ) 7. Existe una estandarizacin de las ordenes de proceso? SI ( ) NO ( ) 8. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que se estn autorizados y tengan una razn de ser procesados. SI ( ) NO ( ) 9. Cmo programan los operadores los trabajos dentro del departamento de cmputo? Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) Otra (especifique) ( ) 10. Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza? SI ( ) NO ( ) 11. Quin revisa este reporte en su caso? 12. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cmputo, tomando en cuenta equipo y operador, a travs de inspeccin visual, y describa sus observaciones. 13. Existen procedimientos escritos para la recuperacin del sistema en caso de falla? 14. Cmo se acta en caso de errores? 15. Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes? 16. Se tienen procedimientos especficos que indiquen al operador que hacer cuando un programa interrumpe su ejecucin u otras dificultades en proceso? 17. Puede el operador modificar los datos de entrada? 18. Se prohibe a analistas y programadores la operacin del sistema que programo o analizo? 19. Se prohibe al operador modificar informacin de archivos o bibliotecas de programas? 20. El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran? 21. Las intervenciones de los operadores:

Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique)______________________________________________________ 22. Se tiene un control adecuado sobre los sistemas y programas que estn en operacin? SI ( ) NO ( ) 23. Cmo controlan los trabajos dentro del departamento de cmputo? 24. Se rota al personal de control de informacin con los operadores procurando un entrenamiento cruzado y evitando la manipulacin fraudulenta de datos? SI ( ) NO ( ) 25. Cuentan los operadores con una bitcora para mantener registros de cualquier evento y accin tomada por ellos? Si ( ) por mquina ( ) escrita manualmente ( ) NO ( ) 26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software. 27.Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( ) 28. Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operacin. 29. Verificar que sea razonable el plan para coordinar el cambio de turno. 30. Se hacen inspecciones peridicas de muestreo? SI ( ) NO ( ) 31. Enuncie los procedimientos mencionados en el inciso anterior: 32. Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera del departamento de cmputo? SI ( ) NO ( ) 33. Se controla estrictamente el acceso a la documentacin de programas o de aplicaciones rutinarias? SI ( ) NO ( ) Cmo?_______________________________________________________________ 34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificacin de seguridad de operador. 35. Existen procedimientos formales que se deban observar antes de que sean aceptados en operacin, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( ) 36. Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( ) 37. Durante cuanto tiempo? 38. Que precauciones se toman durante el periodo de implantacin? 39. Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operacin.

40. Se catalogan los programas liberados para produccin rutinaria? SI ( ) NO ( ) 41. Mencione que instructivos se proporcionan a las personas que intervienen en la operacin rutinaria de un sistema. 42. Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos, que aseguren la utilizacin de los datos precisos en los procesos correspondientes. 43. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI ( ) NO ( ) 44. Indique como est organizado este archivo de bitcora. Por fecha ( ) por fecha y hora ( ) por turno de operacin ( ) Otros ( )

45. Cul es la utilizacin sistemtica de las bitcoras? 46. Adems de las mencionadas anteriormente, que otras funciones o reas se encuentran en el departamento de cmputo actualmente? 47. Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. 48. Se tiene inventario actualizado de los equipos y terminales con su localizacin? SI ( ) NO ( ) 49. Cmo se controlan los procesos en lnea? 50. Se tienen seguros sobre todos los equipos? SI ( ) NO ( ) 51. Conque compaa? Solicitar plizas de seguros y verificar tipo de seguro y montos. 52. Cmo se controlan las llaves de acceso (Password)?.

CONTROLES DE SALIDA 1. Se tienen copias de los archivos en otros locales? 2. Dnde se encuentran esos locales? 3. Que seguridad fsica se tiene en esos locales? 4. Que confidencialidad se tiene en esos locales? 5. Quin entrega los documentos de salida? 6. En que forma se entregan? 7. Que documentos? 8. Que controles se tienen? 9. Se tiene un responsable (usuario) de la informacin de cada sistema? Cmo se atienden solicitudes de informacin a otros usuarios del mismo sistema?

10. Se destruye la informacin utilizada, o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________

CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO Los dispositivos de almacenamiento representan, para cualquier centro de cmputo, archivos extremadamente importantes cuya prdida parcial o total podra tener repercusiones muy serias, no slo en la unidad de informtica, sino en la dependencia de la cual se presta servicio. Una direccin de informtica bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, adems de mantener registros sistemticos de la utilizacin de estos archivos, de modo que servirn de base a registros sistemticos de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacin), principalmente en el caso de las cintas. Adems se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilizacin errnea o destruccin de la informacin. Un manejo adecuado de estos dispositivos permitir una operacin ms eficiente y segura, mejorando adems los tiempos de procesos. CONTROL DE ALMACENAMIENTO MASIVO OBJETIVOS El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento bsico de la direccin. 1. Los locales asignados a la cintoteca y discoteca tienen: Aire acondicionado ( ) Proteccin contra el fuego ( ) (sealar que tipo de proteccin )__________________________________ Cerradura especial ( ) Otra

2. Tienen la cintoteca y discoteca proteccin automtica contra el fuego? SI ( ) NO ( ) (sealar de que tipo)_______________________________________________ 3. Que informacin mnima contiene el inventario de la cintoteca y la discoteca? Nmero de serie o carrete ( ) Nmero o clave del usuario ( ) Nmero del archivo lgico ( ) Nombre del sistema que lo genera ( ) Fecha de expiracin del archivo ( ) Fecha de expiracin del archivo ( ) Nmero de volumen ( ) Otros 4. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? SI ( ) NO ( ) 5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( )

6. Que tan frecuentes son estas discrepancias? _______________________________________________________________________ __ 7. Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta a disco, el cual fue inadvertidamente destruido? SI ( ) NO ( ) 8. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) Cmo?_______________________________________________________________ 9. Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) 10. Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bveda ( ) Otro(especifique)_______________________________________________________ 11. Este almacn esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) Cual?_________________________________________________________________ 12. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( ) 13. Se certifica la destruccin o baja de los archivos defectuosos? SI ( ) NO ( ) 14. Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) 15 Se tiene un responsable, por turno, de la cintoteca y discoteca? SI ( ) NO ( ) 16. Se realizan auditoras peridicas a los medios de almacenamiento? SI ( ) NO ( ) 17. Que medidas se toman en el caso de extravo de algn dispositivo de almacenamiento? 18. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( ) 19. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( ) 20. Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolvern? SI ( ) NO ( ) 21. Se lleva control sobre los archivos prestados por la instalacin? SI ( ) NO ( ) 22. En caso de prstamo Conque informacin se documentan? Nombre de la institucin a quin se hace el prstamo. fecha de recepcin ( ) fecha en que se debe devolver ( )

archivos que contiene ( ) formatos ( ) cifras de control ( ) cdigo de grabacin ( ) nombre del responsable que los presto ( ) otros

23. Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros: 24. Se conserva la cinta maestra anterior hasta despus de la nueva cinta? SI ( ) NO ( ) 25. El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminacin prematura? SI ( ) NO ( ) 26. La operacin de reemplazo es controlada por el cintotecario? SI ( ) NO ( ) 27. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? SI ( ) NO ( ) 28. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los archivos? SI ( ) NO ( ) 29. Estos procedimientos los conocen los operadores? SI ( ) NO ( ) 30. Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( ) 31. Existe un responsable en caso de falla? SI ( ) NO ( ) 32. Explique que polticas se siguen para la obtencin de archivos de respaldo? 33. Existe un procedimiento para el manejo de la informacin de la cintoteca? SI ( ) NO ( ) 34. Lo conoce y lo sigue el cintotecario? SI ( ) NO ( ) 35. Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( ) Con qu frecuencia?

CONTROL DE MANTENIMIENTO Como se sabe existen bsicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede

dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente mas caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepcin de daos por negligencia en la utilizacin del equipo. (Este tipo de mantenimiento normalmente se emplea en equipos grandes). El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo(casi todos los proveedores incluyen, en la cotizacin de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y este hace una cotizacin de acuerdo con el tiempo necesario para su compostura mas las refacciones (este tipo de mantenimiento puede ser el adecuado para computadoras personales). Al evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que ms nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar contratos que sean parciales. Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de reparacin. Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios: 1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato). 2. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? SI ( ) NO ( ) 3. Se lleva a cabo tal programa? SI ( ) NO ( ) 4. Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( ) 5. Si los tiempos de reparacin son superiores a los estipulados en el contrato, Qu acciones correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( ) 6. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.SI ( ) NO ( ) Cual? 8. Cmo se notifican las fallas? 9. Cmo se les da seguimiento?

ORDEN EN EL CENTRO DE CMPUTO

Una direccin de Sistemas de Informacin bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cmputo. Los dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma inadecuada y eso puede traducirse en perdidas irreparables de informacin o en costos muy elevados en la reconstruccin de archivos. Se deben revisar

las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cmputo. 1. Indique la periodicidad con que se hace la limpieza del departamento de cmputo y de la cmara de aire que se encuentra abajo del piso falso si existe y los ductos de aire: Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otra (especifique) ( ) 2. Existe un lugar asignado a las cintas y discos magnticos? SI ( ) NO ( ) 3. Se tiene asignado un lugar especifico para papelera y utensilios de trabajo? SI ( ) NO ( ) 4. Son funcionales los muebles asignados para la cintoteca y discoteca? SI ( ) NO ( ) 5. Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su uso, las cintas, los discos magnticos, la papelera, etc.? SI ( ) NO ( ) 6. Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) cada semana ( ) cada da ( ) otra (especificar) ( ) 7. Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cmputo? SI ( ) NO ( ) 8. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin? SI ( ) NO ( ) 9. Se tiene restringida la operacin del sistema de cmputo al personal especializado de la Direccin de Informtica? SI ( ) NO ( ) 10. Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de cmputo: EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO

Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica en la conservacin de su programoteca. Esta seccin esta orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso. c) Evaluar la utilizacin de los diferentes dispositivos perifricos. 1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo? Con poco uso? SI ( ) NO ( )

Ocioso? SI ( ) NO ( ) Con capacidad superior a la necesaria? SI ( ) NO ( ) Describa cual es ____________________________________________________ 2. El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo? SI ( ) NO ( ) 3. Si la respuesta al inciso anterior es negativa, el equipo puede ser cancelado? SI ( ) NO ( ) 4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser cancelado o cambiado. ________________________________________________________________ 5. El sistema de cmputo tiene capacidad de teleproceso? SI ( ) NO ( ) 6. Se utiliza la capacidad de teleproceso? SI ( ) NO ( ) 7. En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso? SI ( ) NO ( ) 8. Cuantas terminales se tienen conectadas al sistema de cmputo? 9. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI ( ) NO ( ) 10. La capacidad de memoria y de almacenamiento mximo del sistema de cmputo es suficiente para atender el proceso por lotes y el proceso remoto? SI ( ) NO ( ) SEGURIDAD LGICA Y CONFIDENCIAL

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional.
Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situacin, en el transcurso del siglo XX, el mundo ha sido testigo de la transformacin de algunos aspectos de seguridad y de derecho. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ""virus" de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los

derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes(incendio, terremotos, etc.) Prcticas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba.

Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un adecuado estudio costo/beneficio entre el costo por perdida de informacin y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente: Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: o Que sucedera si no se puede usar el sistema? o Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego. La siguiente pregunta es: o Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? o Existe un procedimiento alterno y que problemas nos ocasionara? o Que se ha hecho para un caso de emergencia?

Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas con las medias preventivas que se deben tomar, as como las correctivas en caso de desastre sealndole a cada uno su prioridad . Hay que tener mucho cuidado con la informacin que sale de la oficina, su utilizacin y que sea borrada al momento de dejar la instalacin que est dando respaldo. Para clasificar la instalacin en trminos de riesgo se debe:

Clasificar los datos, informacin y programas que contienen informacin confidencial que tenga un alto valor dentro del mercado de competencia de una organizacin, e informacin que sea de difcil recuperacin. Identificar aquella informacin que tenga un gran costo financiero en caso de prdida o bien puede provocar un gran impacto en la toma de decisiones. Determinar la informacin que tenga una gran prdida en la organizacin y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa informacin.

Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensin en el procesamiento y que cuantifquen el impacto que les puede causar este tipo de situaciones. Para evaluar las medidas de seguridad se debe: Especificar la aplicacin, los programas y archivos. Las medidas en caso de desastre, prdida total, abuso y los planes necesarios. Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin. o El personal que prepara la informacin no debe tener acceso a la operacin. o Los anlisis y programadores no deben tener acceso al rea de operaciones y viceversa. o Los operadores no debe tener acceso irrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. o Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.

Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia. SEGURIDAD FSICA

El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea restaurado el servicio completo.
Entre las precauciones que se deben revisar estn: Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso. En cuanto a los extintores, se debe revisar en nmero de estos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difcil acceso de un peso tal que sea difcil utilizarlos. Esto es comn en lugares donde se encuentran trabajando hombres y mujeres y los extintores estn a tal altura o con un peso tan grande que una mujer no puede utilizarlos. Otro de los problemas es la utilizacin de extintores inadecuados que pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o que producen gases txicos.

Tambin se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prcticas en cuanto a su uso. Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos por medio de estas salidas. Los materiales mas peligrosos son las cintas magnticas que al quemarse, producen gases txicos y el papel carbn que es altamente inflamable.

Tomando en cuenta lo anterior se elaboro el siguiente cuestionario: 1. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? SI ( ) NO ( ) 2. Existen una persona responsable de la seguridad? SI ( ) NO ( ) 3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( ) 4. Existe personal de vigilancia en la institucin? SI ( ) NO ( ) 5. La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. Existe una clara definicin de funciones entre los puestos clave? SI ( ) NO ( ) 7. Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( ) 8. Se controla el trabajo fuera de horario? SI ( ) NO ( ) 9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?. SI ( ) NO ( ) 10. Existe vigilancia en el departamento de cmputo las 24 horas? SI ( ) NO ( ) 11. Existe vigilancia a la entrada del departamento de cmputo las 24 horas? a) Vigilante ? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( ) 12. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? SI ( ) NO ( ) 13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacin? SI ( ) NO ( ) 14. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )

15. El centro de cmputo tiene salida al exterior al exterior? SI ( ) NO ( ) 16. Describa brevemente la construccin del centro de cmputo, de preferencia proporcionando planos y material con que construido y equipo (muebles, sillas etc.) dentro del centro. 17. Existe control en el acceso a este cuarto? a) Por identificacin personal? ( ) b) Por tarjeta magntica? ( ) c) por claves verbales? ( ) d) Otras? ( ) 18. Son controladas las visitas y demostraciones en el centro de cmputo? SI ( ) NO ( ) 19. Se registra el acceso al departamento de cmputo de personas ajenas a la direccin de informtica? SI ( ) NO ( ) 20. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( ) 21. Existe alarma para a) Detectar fuego(calor o humo) en forma automtica? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnticos? ( ) e) No existe ( ) 22. Estas alarmas estn a) En el departamento de cmputo? ( ) b) En la cintoteca y discoteca? ( ) 23. Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cmputo? ( ) b) En la cntoteca y discoteca? ( ) c) En otros lados ( ) 24. La alarma es perfectamente audible? SI ( ) NO ( ) 25.Esta alarma tambin est conectada a) Al puesto de guardias? ( ) b) A la estacin de Bomberos? ( ) c) A ningn otro lado? ( ) Otro_________________________________________ 26. Existen extintores de fuego a) Manuales? ( ) b) Automticos? ( ) c) No existen ( ) 27. Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( ) 28. Los extintores, manuales o automticos a base de TIPO SI NO a) Agua, ( ) ( )

b) Gas? ( ) ( ) c) Otros ( ) ( ) 29. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( ) 30. Si es que existen extintores automticos son activador por detectores automticos de fuego? SI ( ) NO ( ) 31. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el agua cause mas dao que el fuego? SI ( ) NO ( ) 32. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el gas cause mas dao que el fuego? SI ( ) NO ( ) 33. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para que el personal a) Corte la accin de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energa Elctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicacin SI ( ) NO ( ) d) Es inmediata su accin? SI ( ) NO ( ) 34. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? SI ( ) NO ( ) 35. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( ) 36. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( ) 37. Existe salida de emergencia? SI ( ) NO ( ) 38. Esta puerta solo es posible abrirla: a) Desde el interior ? ( ) b) Desde el exterior ? ( ) c) Ambos Lados ( ) 39. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( ) 40. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 41. Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artculos inflamables en el departamento de cmputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( )

c) Vigilando y manteniendo el sistema elctrico? ( ) d) No se ha previsto ( ) 42. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? SI ( ) NO ( ) 43. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( ) 44. Se controla el acceso y prstamo en la a) Discoteca? ( ) b) Cintoteca? ( ) c) Programoteca? ( ) 45. Explique la forma como se ha clasificado la informacin vital, esencial, no esencial etc. 46. Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( ) 47. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc. 48. Se tienen establecidos procedimientos de actualizacin a estas copias? SI ( ) NO ( ) 49. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique la informacin: 0123 50. Existe departamento de auditoria interna en la institucin? SI ( ) NO ( ) 51. Este departamento de auditoria interna conoce todos los aspectos de los sistemas? SI ( ) NO ( ) 52. Que tipos de controles ha propuesto? 53. Se cumplen? SI ( ) NO ( ) 54. Se auditan los sistemas en operacin? SI ( ) NO ( ) 55.Con que frecuencia? a) Cada seis meses ( ) b) Cada ao ( ) c) Otra (especifique) ( ) 56.Cundo se efectan modificaciones a los programas, a iniciativa de quin es? a) Usuario ( ) b) Director de informtica ( ) c) Jefe de anlisis y programacin ( ) d) Programador ( ) e) Otras ( especifique) ________________________________________________ 57.La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( )

b) Escrita? ( ) En caso de ser escrita solicite formatos, 58.Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI ( ) NO ( ) 59.Existe control estricto en las modificaciones? SI ( ) NO ( ) 60.Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO ( ) 61.Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? SI ( ) NO ( ) 62.Se verifica identificacin: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificacin ( ) 63.Se ha establecido que informacin puede ser acezada y por qu persona? SI ( ) NO ( ) 64.Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( ) 65.Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las tendencias mayores? SI ( ) NO ( ) 66.Existen controles y medidas de seguridad sobre las siguientes operaciones? Cuales son? ( )Recepcin de documentos___________________________________________ ( )Informacin Confidencial____________________________________________ ( )Captacin de documentos____________________________________________ ( )Cmputo Electrnico_______________________________________________ ( )Programas_______________________________________________________ ( )Discotecas y Cintotecas_____________________________________________ ( )Documentos de Salida______________________________________________ ( )Archivos Magnticos_______________________________________________ ( )Operacin del equipo de computacin__________________________________ ( )En cuanto al acceso de personal_______________________________________ ( )Identificacin del personal___________________________________________ ( )Policia___________________________________________________________ ( )Seguros contra robo e incendio_______________________________________ ( )Cajas de seguridad_________________________________________________ ( )Otras (especifique)_________________________________________________

SEGURIDAD EN LA UTILIZACIN DEL EQUIPO

En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas: 1) Se debe restringir el acceso a los programas y a los archivos.

2) Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos. 3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. 4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. 5) Se deben realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. 6) Se deben monitorear peridicamente el uso que se le est dando a las terminales. 7) Se deben hacer auditoras peridicas sobre el rea de operacin y la utilizacin de las terminales. 8) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto slo se lograr por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseo general del sistema. 9) Deben existir registros que reflejen la transformacin entre las diferentes funciones de un sistema. 10) Debe controlarse la distribucin de las salidas (reportes, cintas, etc.). 11) Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cmputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. 12) Se debe tener un estricto control sobre el acceso fsico a los archivos. 13) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versin. Tambin evitar que el programador ponga nombres que nos signifiquen nada y que sean difciles de identificar, lo que evitar que el programador utilice la computadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo de informacin. Para controlar este tipo de informacin se debe: 1) Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin. 2) Slo el personal autorizado debe tener acceso a la informacin confidencial. 3) Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta. 4) Controlar el nmero de copias y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales. El factor ms importante de la eliminacin de riesgos en la programacin es que todos los programas y archivos estn debidamente documentados. El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentacin necesarios para que pueda funcionar el plan de emergencia. Equipo, programas y archivos Control de aplicaciones por terminal Definir una estrategia de seguridad de la red y de respaldos Requerimientos fsicos. Estndar de archivos. Auditora interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control.

SEGURIDAD AL RESTAURAR EL EQUIPO

En un mundo que depende cada da mas de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falta o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao causado, lo que permitir recuperar

en el menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa. En todas las actividades relacionadas con las ciencias de la computacin, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitan analizarlos al mximo y en caso que ocurran, poder reparar el dao y reanudar la operacin lo mas rpidamente posible. En una situacin ideal, se deberan elaborar planes para manejar cualquier contingencia que se presente. Analizando cada aplicacin se deben definir planes de recuperacin y reanudacin, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperacin disponibles a nivel operativo pueden ser algunas de las siguientes: En algunos casos es conveniente no realizar ninguna accin y reanudar el proceso. Mediante copias peridicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. El procesamiento anterior complementado con un registro de las transacciones que afectaron a los archivos permitir retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo a partir de l reanudar el proceso. Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia. Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.

Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deber ser planeado y probado previamente. Este grupo de emergencia deber tener un conocimiento de los posibles procedimientos que puede utilizar, adems de un conocimiento de las caractersticas de las aplicaciones, tanto desde el punto tcnico como de su prioridad, el nivel de servicio planeado y su influjo en la operacin de la organizacin. Adems de los procedimientos de recuperacin y reinicio de la informacin, se deben contemplar los procedimientos operativos de los recursos fsicos como hardware y comunicaciones, planeando la utilizacin de equipos que permitan seguir operando en caso de falta de la corriente elctrica, caminos alternos de comunicacin y utilizacin de instalaciones de cmputo similares. Estas y otras medidas de recuperacin y reinicio debern ser planeadas y probadas previamente como en el caso de la informacin. El objetivo del siguiente cuestionario es evaluar los procedimientos de restauracin y repeticin de procesos en el sistema de cmputo. 1) Existen procedimientos relativos a la restauracin y repeticin de procesos en el sistema de cmputo? SI ( ) NO ( ) 2) Enuncie los procedimientos mencionados en el inciso anterior? 3) Cuentan los operadores con alguna documentacin en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? SI ( ) NO ( ) En el momento que se hacen cambios o correcciones a los programas y/o archivos se deben tener las siguientes precauciones:

1) Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se busca evitar que se cambien por nueva versin que antes no ha sido perfectamente probada y actualizada. 2) Los nuevos sistemas deben estar adecuadamente documentos y probados. 3) Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas. Los archivos de nuevos registros o correcciones ya existentes deben estar documentados y verificados antes de obtener reportes.

PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRE

Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo. El sistema debe ser probado y utilizado en condiciones anormales, para que en cas de usarse en situaciones de emergencia, se tenga la seguridad que funcionar. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se ha de utilizar respaldos. Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en efecto, aunque el equipo de cmputo sea aparentemente el mismo, puede haber diferencias en la configuracin, el sistema operativo, en disco etc. El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica. En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido. La elaboracin del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia, La estructura del plan debe ser tal que facilite su actualizacin. Para la preparacin del plan se seleccionar el personal que realice las actividades claves del plan. El grupo de recuperacin en caso de emergencia debe estar integrado por personal de administracin de la direccin de informtica, debe tener tareas especficas como la operacin del equipo de respaldo, la interfaz administrativa. Los desastres que pueden suceder podemos clasificar as: a) Completa destruccin del centro de cmputo, b) Destruccin parcial del centro de cmputo, c) Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire, acondicionado, etc.) d) Destruccin parcial o total de los equipos descentralizados e) Prdida total o parcial de informacin, manuales o documentacin f) Prdida del personal clave g) Huelga o problemas laborales. El plan en caso de desastre debe incluir: o o La documentacin de programacin y de operacin. Los equipos: El equipo completo El ambiente de los equipos

o o o

Datos y archivos Papelera y equipo accesorio Sistemas (sistemas operativos, bases de datos, programas).

El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentacin estar en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las ltimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado. Cuando el plan sea requerido debido a una emergencia, el grupo deber: Asegurarse de que todos los miembros sean notificados, informar al director de informtica, Cuantificar el dao o prdida del equipo, archivos y documentos para definir que parte del plan debe ser activada. Determinar el estado de todos los sistemas en proceso, Notificar a los proveedores del equipo cual fue el dao, Establecer la estrategia para llevar a cabo las operaciones de emergencias tomando en cuenta: o Elaboracin de una lista con los mtodos disponibles para realizar la recuperacin o Sealamiento de la posibilidad de alternar los procedimientos de operacin (por ejemplo, cambios en los dispositivos, sustituciones de procesos en lnea por procesos en lote). o Sealamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren. o Estimacin de las necesidades de tiempo de las computadoras para un periodo largo.

Cuando ocurra la emergencia, se deber reducir la carga de procesos, analizando alternativas como:
Posponer las aplicaciones de prioridad ms baja, Cambiar la frecuencia del proceso de trabajos. Suspender las aplicaciones en desarrollo.

Por otro lado, se debe establecer una coordinacin estrecha con el personal de seguridad a fin de proteger la informacin. Respecto a la configuracin del equipo hay que tener toda la informacin correspondiente al hardware y software del equipo propio y del respaldo. Debern tenerse todas las especificaciones de los servicios auxiliares tales como energa elctrica, aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y reducir al mnimo las restricciones de procesos, se debern tomar en cuenta las siguientes consideraciones: Mnimo de memoria principal requerida y el equipo perifrico que permita procesar las aplicaciones esenciales. Se debe tener documentados los cambios de software. En caso de respaldo en otras instituciones, previamente se deber conocer el tiempo de computadora disponible.

Es conveniente incluir en el acuerdo de soporte recproco los siguientes puntos: Configuracin de equipos. Configuracin de equipos de captacin de datos. Sistemas operativos. Configuracin de equipos perifricos.

NEXO 1

PROGRAMA DE AUDITORIA EN SISTEMAS

INSTITUCION________________________ HOJA No.__________________ DE_______

FECHA DE FORMULACION____________

FASE

DESCRIPCIONACTIVIDAD

NUMERO D PERSONA PARTICIPAN

DIAS PERIODO ESTIMAD

DIAS

HAB INICIO EST. TERMIN

HOM. EST.

ANEXO 2

AVANCE DEL CUMPLIMIENTO DEL PROGRAMA

DE AUDITORIA EN SISTEMAS

INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_

PERIODO QUE REPORTA____________________________

SITUACION DE LA AUDITORIA
FASE

PERIODO REAL D AUDITORIA

DIAS REA GRAD UTILIZAD AVA

NO INIC EN PROTERMI INICIADATERMINA

EXPLICACIO DIAS H LAS VARIACI EST EN RELACION LO PROGRAM

ANEXO 3 Ejemplo de Propuesta de Servicios de Auditoria en Informtica I. ANTECEDENTES (Anotar los antecedentes especficos del proyecto de Auditoria) II. OBJETIVOS (Anotar el objetivo de la Auditoria) III. ALCANCES DEL PROYECTO El alcance del proyecto comprende: 1. o o o o 2. a. Evaluacin de la Direccin de Informtica en lo que corresponde a: Capacitacin Planes de trabajo Controles Estndares Evaluacin de los Sistemas Evaluacin de los diferentes sistemas en operacin (flujo de informacin, procedimientos, documentacin, redundancia, organizacin de archivos, estndares de programacin, controles, utilizacin de los sistemas) b. Evaluacin del avance de los sistemas en desarrollo y congruencia con el diseo general c. Evaluacin de prioridades y recursos asignados (humanos y equipos de cmputo) d. Seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos 3. o o o o o IV. Evaluacin de los equipos Capacidades Utilizacin Nuevos Proyectos Seguridad fsica y lgica Evaluacin fsica y lgica METODOLOGIA La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin: 1. Para la evaluacin de la Direccin de Informtica se llevarn a cabo las siguientes actividades: Solicitud de los estndares utilizados y programa de trabajo Aplicacin del cuestionario al personal Anlisis y evaluacin del a informacin Elaboracin del informe

o o o o

2.

Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades:

o o o o o o o o o o

Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin Solicitud de la documentacin de los sistemas en operacin (manuales tcnicos, de operacin del usuario, diseo de archivos y programas) Recopilacin y anlisis de los procedimientos administrativos de cada sistema (flujo de informacin, formatos, reportes y consultas) Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos Anlisis del avance de los proyectos en desarrollo, prioridades y personal asignado Entrevista con los usuarios de los sistemas Evaluacin directa de la informacin obtenida contra las necesidades y requerimientos del usuario Anlisis objetivo de la estructuracin y flujo de los programas Anlisis y evaluacin de la informacin recopilada Elaboracin del informe 3. Para la evaluacin de los equipos se levarn a cabo las siguientes actividades:

o o o o o o o o

Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales, proyectos sobre ampliacin de equipo, su actualizacin Solicitud de contratos de compra y mantenimientos de equipo y sistemas Solicitud de contratos y convenios de respaldo Solicitud de contratos de Seguros Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria, archivos, unidades de entrada/salida, equipos perifricos y su seguridad Visita tcnica de comprobacin de seguridad fsica y lgica de la instalaciones de la Direccin de Informtica Evaluacin tcnica del sistema electrnico y ambiental de los equipos y del local utilizado Evaluacin de la informacin recopilada, obtencin de grficas, porcentaje de utilizacin de los equipos y su justificacin 4. Elaboracin y presentacin del informe final ( conclusiones y recomendaciones)

ACTIVIDAD. Realice un resumen y sus conclusiones del tema

PROGRAMA DE CALIDAD UDABOL

DIF 002 /2011

AUDITORA Y CONTROL DE LOS SISTEMAS DE INFORMACIN AUDITORA DEL SISTEMA DE REPARACIONES DE CALZADOS DE REPARACIONES LUIS PRESENTADO POR: FRANK RIVERA EDWIN GUILLERMO ABRIL DEL 2003 INTRODUCCIN Los sistemas de informacin proporcionan una herramienta til a las empresas, administrando la informacin para proporcionar resultados precisos en el momento indicado. La auditora aplicada a un sistema de informacin permite asegurar que la informacin que se maneja sea ntegra, segura y capaz de suministrar respuestas adecuadas. El objetivo de esta auditora consiste en evaluar los controles que utiliza la empresa Reparaciones Luis en su Sistema de Reparaciones de Calzados, aplicando tcnicas que permitan verificar la integridad de la informacin contenida en el mismo. La auditora se aplicar a cinco mdulos de este sistema, siendo estos: generales del cliente, generales del operario, calzados, ventas diarias y ventas mensuales. La evaluacin corresponder primero a los mdulos de generales del cliente y del operario, seguido del mdulo calzados que mantiene estrecho enlace con estos y finalmente los mdulos de ventas diarias y mensuales donde se verificar si se obtienen los resultados deseados. La auditora permitir realizar un anlisis sobre estos mdulos de manera que al detectar situaciones no controladas se proporcionen recomendaciones para contar con un sistema ntegro. ANTECEDENTES DE LA EMPRESA Reparaciones Luis, es un taller de reparaciones de calzados que fue fundado en junio de 1996, ofrecindole servicio de reparaciones de calzados en general. En esta empresa se trabaja de lunes a sbado de 8:00 a.m. a 5:00 p.m y los domingos y das feriados de 10:00 a.m. a 3:00 p.m. Gracias a su calidad en el servicio y buena atencin al cliente, Reparaciones Luis se ha colocado en un importante lugar entre los dems talleres dentro de la Ciudad de Panam. Descripcin del Personal Esta empresa cuenta con un Gerente General, un Administrador y Jefe de Personal, una Ejecutiva en Ventas, cinco Operadores y una Secretaria, a continuacin se detallan las funciones de cada uno de ellos:

ORGANIGRAMA DE LA EMPRESA

ANTECEDENTES DEL SISTEMA El sistema de reparaciones de calzados inici sus operaciones en mayo de 2001 y administra la informacin concerniente a los clientes, operarios y calzados que envan los clientes a reparar. Comprende los mdulos de generales del cliente, generales del profesor, calzados, ventas diarias, ventas mensuales, calzados a reparar por cliente y calzados a reparar por operario. La auditora que se realizar involucra los cinco primeros mdulos. Primero se procede a capturar las generales del cliente y del operario, a partir de ello se realiza la captura de calzados, para proceder a emitir el listado de las ventas que se dieron por da y por mes con el total de las mismas. Este sistema comprende tres tablas: - Clientes: Contiene los datos generales del cliente. - Operarios: Almacena los datos generales del operario. Calzados: Contiene la informacin de cada calzado, as como del costo por la reparacin del mismo. Ambiente de Desarrollo del Sistema a Auditar Software Sistema Operativo: Microsoft Windows 98. Programa de Aplicacin: Microsoft Visual Basic 6.0. Manejador de la Base de Datos: Microsoft Access 97.

Hardware Memoria Ram: 256 MB. Procesador: Intel Pentium III, 750 Mhz Disco Duro: 10 GB, IDE.

OBJETIVO GENERAL DE LA AUDITORA Evaluar la integridad y controles de la informacin contenida en los mdulos generales del cliente, generales del operario, calzados, ventas diarias y ventas mensuales del Sistema de Reparaciones de Calzados de la empresa Reparaciones Luis. OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR

PROCEDIMIENTOS DE ACCESO

OBJETIVOS ESPECFICOS 1. Revisar la existencia de controles de acceso al sistema.

CONTROL A EVALUAR 1.1. Contraseas.

TECNICAS A USAR 1.1.1. Verificacin existencia. de

ACTIVIDADE S 1.1.1.1. Verificar que el personal que entra al sistema cuente con una contrasea de acceso. 1.1.2.1. Preparar un conjunto de datos de prueba para introducir las claves de acceso al sistema. 1.1.2.2. pruebas. Aplicar las

1.1.2. Datos de prueba.

1.1.2.3. Realizar un anlisis de las pruebas.

OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ACCESO


OBJETIVOS ESPECFICOS 1. Revisar la existencia de controles de acceso al sistema. CONTROL A EVALUAR 1.2. Polticas de asignacin de passwords. TECNICAS A USAR 1.2.1. Observacin. ACTIVIDADE S 1.2.1.1. Verificar que se le haya asignado al personal autorizado una contrasea de acceso nica. de 1.2.2.1. Analizar las polticas a seguir para asignar contraseas al personal. 1.2.3.1 Interrogar al personal sobre la asignacin de contraseas que se les ha dado.

Anlisis 1.2.2. polticas

1.2.3. Entrevista.

ACTIVIDADES TECNICAS A USAR CONTROL A EVALUAR OBJETIVOS ESPECFICOS OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ACCESO

OBJETIVOS ESPECFICOS 1. Revisar la existencia de controles de acceso al sistema.

CONTROL A EVALUAR 1.3. Niveles de Acceso al sistema.

TECNICAS A USAR 1.3.1. Datos de prueba

ACTIVIDADE S 1.3.1.1. Preparar un conjunto de datos de prueba para el acceso de usuarios que ocupan diferentes niveles en cuanto a la utilizacin el sistema 1.3.1.2. pruebas. Aplicar las

1.3.1.3. Realizar un anlisis de las pruebas.

OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ACCESO


OBJETIVOS ESPECFICOS 1. Revisar la existencia de controles de acceso al sistema. CONTROL A EVALUAR 1.4. Perfiles de Usuarios TECNICAS A USAR
1.4.1. Observacin.

ACTIVIDADE S 1.4.1.1. Observar que slo las personas autorizadas entren al sistema. 1.4.2.1. Analizar el acceso al sistema que tienen las personas autorizadas.

1.4.2. Anlisis de perfil.

EJECUCIN DE LA AUDITORA

CUMPLIMIENTO DE LOS CONTROLES DEL OBJETIVO N1

1.1. Contraseas: El sistema no cuenta con contraseas de acceso. 1.2. Polticas de asignacin de passwords: No existen polticas de asignacin de contraseas. 1.3. Niveles de acceso al sistema: Debido a que no se cuenta con contraseas de acceso, no existen niveles de acceso a los diferentes mdulos del sistema. 1.4. Perfiles de usuarios: Cualquier persona puede accesar al sistema ya que no existen contraseas de acceso.

INFORME DETALLADO DE LA AUDITORA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES PROCEDIMIENTOS DE ACCESO


OBJETIVOS ESPECFICOS 1. Revisar la existencia de controles de acceso al sistema. Ninguna. FORTALEZAS DEBILIDADES
No se cuenta con contraseas de acceso para ingresar al sistema, No existen polticas para asignar contraseas a los usuarios.

RECOMENDA CIONES
Contar con contraseas de acceso para que cada usuario autorizado pueda ingresar al sistema. Establecer polticas de asignacin de passwords como es el caso de asignar una contrasea nica a cada usuario. Definir niveles de acceso al sistema para el ingreso a los diferentes mdulos por los usuarios Definir perfiles de usuarios de manera que slo el personal autorizado pueda ingresar al sistema.

No hay definidos niveles de acceso al sistema.

No existen usuarios.

perfiles

de

RECOMENDACIONES DEBILIDADES FORTALEZAS OBJETIVOS ESPECFICOS ACTIVIDADES TECNICAS A USAR CONTROL A EVALUAR OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ENTRADA
OBJETIVOS ESPECFICOS 2. Evaluar los niveles de integridad de los procedimientos de validacin. CONTROL A EVALUAR 2.1. Validacin de datos de entrada. TECNICAS A USAR 2.1.1. Datos de prueba ACTIVIDADE S 2.1.1.1. Preparar un conjunto de datos de entrada para verificar los datos que se pueden ingresar al sistema. 2.1.1.2. Aplicar las pruebas. 2.1.1.3. Realizar un anlisis de las pruebas. 2.2.1.1. Preparar un conjunto de datos de prueba para validar el control de mscaras de entrada 2.2.1.2. Aplicar las pruebas. 2.2.1.3. Realizar un anlisis de las pruebas.

2.2. Mscaras entrada.

de

2.2.1. Datos de prueba.

EJECUCIN DE LA AUDITORA

EJECUCIN DE LA AUDITORA

CUMPLIMIENTO DE LOSCONTROLES DEL OBJETIVO N2

2.1. Validacin de datos de entrada: Se puede introducir cualquier valor en los campos. 2.2. Mscaras de entrada: No existen mscaras de entrada. INFORME DETALLADO DE LA AUDITORA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES PROCEDIMIENTOS DE ENTRADA
OBJETIVOS ESPECFICOS 2. Evaluar los niveles de integridad de los procedimientos de validacin. FORTALE ZAS Ninguna. DEBILIDAD ES En los campos numricos y de fecha se pueden introducir valores alfabticos y en los campos alfabticos se pueden introducir valores numricos. No existen mscaras de entrada. RECOMENDACION ES Controlar la entrada de datos errneos al sistema de forma que no se guarden registros con informacin inadecuada.

Contar con mscaras de entrada de manera que slo se permita introducir los valores correctos en los

OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE PROCESO


OBJETIVOS ESPECFICOS 4. Verificar que la operacin de clculo de totales proporcione el resultado esperado. CONTROL A EVALUAR 4.1. Comparacin de clculos automatizados con los manuales. TECNICAS A USAR 4.1.1. Datos de prueba. ACTIVIDADE S 4.1.1.1. Preparar un conjunto de datos de prueba para calcular totales. 4.1.1.2. pruebas. Aplicar las

4.1.1.3. Realizar un anlisis de las pruebas. 4.1.2. Clculos 4.1.2.1 Calcular automatizadamente y manualmente los totales de las capturas. 4.1.3.1. Comparar el resultado del clculo automatizado con el manual.

4.1.3 Comparacin.

EJECUCIN DE LA AUDITORA

CUMPLIMIENTO DE LOS CONTROLES DEL OBJETIVO N4

4.1. Comparacin de clculos automatizados con los manuales: Los clculos automatizados de las ventas diarias coinciden con los clculos manuales, los clculos automatizados de las ventas mensuales no coinciden con los clculos manuales.

INFORME DETALLADO DE LA AUDITORA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES

PROCEDIMIENTOS DE PROCESO
OBJETIVOS ESPECFICOS 4. Verificar que la operacin de clculo de totales proporcione el resultado esperado. FORTALE ZAS En el mdulo Ventas Diarias los totales son los esperados. DEBILIDAD ES En el mdulo Ventas Mensuales los totales no son los esperados. RECOMENDACION ES Modificar la rutina en el mdulo Ventas Mensuales para que calcule adecuadamente el total de las ventas de un mes determinado.

OBJETIVOS ESPECFICOS DE LA AUDITORA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE SALIDA


OBJETIVOS ESPECFICOS 5. Verificar los procedimientos de consultas (reportes) del sistema. CONTROL A EVALUAR 5.1. Estandarizacin reportes. de TECNICAS A USAR 5.1.1. Observacin. 5.2.1. Datos de prueba. ACTIVIDADE S 5.1.1.1. Verificar la consistencia de los reportes. 5.2.1.1. Preparar un conjunto de datos de prueba para observar la salida del reporte por pantalla e impreso. 5.2.1.2. Aplicar las pruebas. 5.2.1.3. realizar un anlisis de las pruebas.

5.2. Generacin de reporte por pantalla e impreso.

EJECUCIN DE LA AUDITORA

CUMPLIMIENTO DE LOS CONTROLES DEL OBJETIVO N5

5.1. Estandarizacin de reportes: Los reportes cumplen con los estndares establecidos. 5.2. Generacin de reportes por pantalla e impreso: Los reportes se presentan por pantalla no as impresos. INFORME DETALLADO DE LA AUDITORA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES PROCEDIMIENTOS DE SALIDA OBJETIVOS ESPECFIFORTALEZAS DEBILIDADES RECOMENDACIONES

5. Verificar los procedLos reportes en No existen de consultas (reportguardan la consistenci impresos. sistema. datos.

Contar con reportes impr manera que se documentacin archivada mismos.

CONCLUSIN El objetivo de esta auditora consiste en contar con los controles necesarios para mantener un sistema ptimo de manera que no se presenten incongruencias en el mismo. Mediante las adecuadas tcnicas y actividades aplicadas al Sistema de Reparaciones de Calzados de la empresa Reparaciones Luis se logr detectar las debilidades de los mdulos generales del cliente, generales del operario, calzados, ventas diarias y ventas mensuales. Entre estas debilidades se encuentran: -La falta de contraseas de acceso al sistema, de polticas de asignacin de passwords, niveles de acceso al sistema y de perfiles de usuarios -La introduccin de datos errneos al sistema y la falta de mscaras de entrada. -Los totales errneos de las ventas mensuales. -La falta de reportes impresos. -La no existencia de procedimientos de respaldo y recuperacin, de una bitcora y de manuales de ayuda y de manejo y correccin de errores. A estas debilidades se aplic las adecuadas recomendaciones de manera que se puedan realizarse las mejoras y modificaciones al sistema. Adems se detectaron fortalezas en el sistema, como las siguientes: -El procedimiento de almacenamiento de registros en la base de datos y en el sistema se realiz exitosamente. -Los totales de las ventas diarias fueron los esperadas. -Los reportes por pantalla guardan la consistencia de los datos. Recomendamos al lector tomar como referencia este trabajo ya que el mismo nos a permitido ganar una buena experiencia sobre los procedimientos que debemos seguir al aplicar una exitosa auditora en una empresa.

ACTIVIDAD Realice un resumen y conclusin del tema

PROGRAMA DE CALIDAD UDABOL DIF 003 /2010 Auditora del Mdulo de Reclamos del Sistema de Administracin de Planes de Salud de la Compaa HNA Panam Autores: Lic. Alexander Taylor Lic. Mildred Echezano Introduccin Como auditores de sistemas, nuestra labor es la de verificar si los controles en el rea auditada funcionan correcta y efectivamente, a travs de la identificacin y anlisis de vulnerabilidades, amenazas, y riesgos potenciales, con el fin de dar una opinin objetiva y hacer algunas recomendaciones que ayuden a mejorar el desempeo del rea auditada y de esta forma servir de apoyo a la alta gerencia para la toma de decisiones. Antecedentes HNA Panam, es una empresa dedicada desde 1998 a administrar el plan de beneficios de salud del rea del Canal de Panam. Cuenta actualmente con aproximadamente 71 empleados en los diferentes departamentos (figura 1). El mdulo auditado (Mdulo de Reclamos (figura 3)) es parte del Sistema de Administracin de Planes de Salud (figura 2), fue instalado en Panam en el ao de 1998 con el inicio del funcionamiento de la empresa, el mismo fue desarrollado en New Yersey, su plataforma de desarrollo es AIX V 4.3.3.0 (UNIX) .

OBJETIVO GENERAL EVALUAR EL NIVEL DE CONFIABILIDAD DEL MDULO DE RECLAMOS DEL SISTEMA DE ADMINISTRACIN DE PLANES DE SALUD DE LA EMPRESA HNA PANAMA.

OBJETIVO ESPECFICO POR FASE FASE: ACCESO

OBJETIVO ESPECIFICO CONTROL A EVALUAR TECNICAS A USAR 1. Verificar procedimiento 1.1 Procedimientos de acc1.1.1 Cuestionario al modulo, y a la informaci 1.1.2 Datos de prueba.

FASE: CAPTURA Y VALIDACION DE ENTRADA OBJETIVO ESPECIFICO CONTROL A EVALUAR TECNICAS A USAR

2.Verificar los procedimie 2.1 Procedimientos de c 2.1.1 Cuestionario captura y validacin de dat validacin. 2.1.2 Datos de pru mdulo de reclamos.

FASE PROCESO TECNICAS A USAR

OBJETIVO ESPECIFICO CONTROL

3. Verificar procedimi3.1 Procedimientos de ve 3.1.1 Comparacin clculo en el modulo de rde clculo. 3.1.2 Clculos. para calcular el monto a los proveedores.

FASE ALMACENACIN Y RECUPERACIN OBJETIVO ESPECIFICCONTROL TECNICAS A USAR 4. Evaluar la exist 4.1 Procedimiento de e 4.1.1 Observacin disponibilidad y disponibilidad de respa 4.1.2 Comparacin procedimientos de resp

Nota: Por traslado del equipo no se pudo ejecutar este objetivo FASE: SALIDA OBJETIVO ESPECIFICO CONTROL TECNICAS A USAR

5. Evaluar que los resul 5.1 Procedimiento5.1.1 Observacin los reportes sean c evaluacin de resulta 5.1.2 Comparacin precisos para su uso posreportes. la toma de decisiones. 5.1.3 Datos de prueba

FASE: DOCUMENTACION OBJETIVO ESPECIFICO CONTROL TECNICAS A USAR Cuestionario Comparacin

6. Evaluar que los m 6.1 Procedimientos de rev 6.1.1 existentes estn acorde manuales existentes. 6.1.2 funcionamiento real del mdu 6.2 Procedimientos de actu de manuales 6.3 Supervisin de actualiza manuales.

ANALISIS DE RESULTADOS Objetivo Especfico 1. Verificar procedim acceso al mdulo, informacin. Debilidad Recomendaciones Uso de mecanism seguridad, como llaves o electrnicas para cont acceso al departame reclamos. Instalar cmaras de s para vigilar que las perso accesan al departamen las autorizadas y superv vez las labores del perso

No hay problemas con e lgico, el mismo esta co En cuanto al acceso f terminales de entrada d no tienen ningn t seguridad fsica, no son bajo llave y no se encue un cuarto fsicamente cualquiera puede tener a las mismas, son puesta suelo donde estn expu riesgos .

0 Objetivo Especfico Debilidad Recomendaciones

2. Verificar los proced de captura y valida datos en mdulo de rec

Inadecuada validacin datos de especficamente de dato nmero de miembro, pr nmero de reclamo, etc.

Verificar los procedimie validacin en la lg programas.

Evidencia 00 0

Objetivo Especfico

Debilidad0

Recomendaciones Revisin de la lg programa, especficam los clculos que re mdulo para el pago laboratorios.

3. Verificar procedim clculo en el md reclamos para cal monto a pagar a prove

El procedimiento den mdulo para el pago en que el tratamiento hecho miembro sea un lab presenta problemas, p mismo no tiene un valor t el cual validar si el co laboratorio es correcto o n clculos errados para pa factura. Los laboratorios s al 75 80 % del valor to factura.

Evidencia

Objetivo Especfico

Debilidad

Recomendaciones Verificar la lgic programa. Revisar el diseo reportes, con el redisearlos si es neces

5. Evaluar que los re de los reportes sean precisos para su uso en la toma de decision

Los reportes omiten en o informacin procesada, s por los usuarios.

Objetivo Especfico

Debilidad No todo el personal del departam reclamos est al tanto de la existe manual de usuarios del m reclamos. No todos tienen a su disposic copia del manual de usuario. El manual de usuario no refleja las modificaciones hechas al md reclamos

6. Evaluar que los m existentes estn acord funcionamiento real del

Recomendaciones Comunicar a los miembros del departamento de reclamos la existencia de los m de usuario del mdulo de reclamos. Las personas asignadas a la capacitacin del personal nuevo deben entregar u del manual a los nuevos usuarios del mdulo de reclamos. Hacer una revisin del manual de usuario con la finalidad de actualizar el conte mismo, para que refleje las ltimas modificaciones hechas al mdulo de reclamo Distribuir una copia a todo el personal del departamento de reclamos con t modificaciones.

CONCLUSIONES La Auditora de Sistemas consiste en una revisin de los controles internos del rea auditada, pero la misma debe estar encaminada a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, y que por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
ACTIVIDAD Realice un resumen y conclusin del tema

PROGRAMA DE CALIDAD UDABOL DIF 004 /2011 SEGURIDAD Y RIESGOS INVOLUCRADOS Introduccin Si te conoces a ti mismo y conoces a tu enemigo, entonces no debers temer el resultado de mil batallas Sun-Tzu, El Arte de la Guerra Definiciones de seguridad Polticas, procedimientos y tcnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando. ROLES INVOLUCRADOS INVOLUCRADOS EN SEGURIDAD EN SEGURIDAD Usuarios comunes Los usuarios se acostumbran a usar la tecnologa sin saber cmo funciona o de los riesgos que pueden correr. Son las principales vctimas. Tambin son el punto de entrada de muchos de los problemas crnicos. El eslabn ms dbil en la cadena de seguridad. enfoques para controlarlos Principio del MENOR PRIVILEGIO POSIBLE: Reducir la capacidad de accin del usuario sobre los sistemas. Objetivo: Lograr el menor dao posible en caso de incidentes. EDUCAR AL USUARIO: Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el nmero de incidentes CREADORES DE SISTEMAS DE SISTEMAS SEGURIDAD Creando Software: El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad. Un mal proceso de desarrollo genera software de mala calidad. Prefieren que salga mal a que salga tarde. Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los productos de SW. Propiedades de la Informacin en un Trusted System Confidencialidad: Asegurarse que la informacin en un sistema de cmputo y la transmitida por un medio de comunicacin, pueda ser leda SOLO por las personas autorizadas. Autenticacin: Asegurarse que el origen de un mensaje o documento electrnico esta correctamente identificado, con la seguridad que la entidad emisora o receptora no esta suplantada. Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la informacin o recursos de cmputo. No repudiacin: Asegurarse que ni el emisor o receptor de un mensaje o accin sea capaz de negar lo hecho. Disponibilidad: Requiere que los recursos de un sistema de cmputo estn disponibles en el momento que se necesiten. Ataques contra el flujo de la informacin

Emisor

Receptor

Atacante

FLUJO NORMAL: Los mensajes en una red se envan a partir de un emisor a uno o varios receptores. El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.

Emisor

Receptor

Atacante

INTERRUPCION El mensaje no puede llegar a su destino, un El mensaje no puede llegar a su destino, un recurso del sistema es destruido o recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Este es un ataque contra la Disponibilidad Disponibilidad Ejemplos: Destruccin de una pieza de hardware, cortar los medios de comunicacin, hardware, cortar los medios de comunicacin o deshabilitar los sistemas de administracin o deshabilitar los sistemas de administracin de archivos.

Emisor

Receptor

Atacante

INTERCEPCION Una persona, computadora o programa sin Una persona, computadora o programa sin autorizacin logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos, escalamiento citas de programas o datos, escalamiento de privilegios.

Emisor

Receptor

Atacante

MODIFICACION La persona sin autorizacin, adems de lograr el acceso, modifica el mensaje. Este es un ataque contra la Integridad. Ejemplos: Alterar la informacin que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.

Emisor

Receptor

Atacante

FABRICACION Una persona sin autorizacin inserta objetos falsos en el sistema. Es un ataque contra la Autenticidad. Ejemplos: Suplantacin de identidades, robo de sesiones, robo de contraseas, robo de direcciones IP, etc... Es muy difcil estar seguro de quin esta al otro lado de la lnea.

Para que esperar Si gastas ms dinero en caf que en Seguridad Informtica, entonces vas a ser hackeado, es ms, mereces ser hackeado Richard digital armageddon Clark, USA DoD La mayora de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. para que esperarse? Razones para vulnerar la seguridad: $$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje industrial, sabotaje, Empleados descontentos, fraudes, extorsiones, (insiders). Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cmputo, etc Objetivo de oportunidad.

Pregunta: Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente de seguridad? o Costos econmicos (perder oportunidades de negocio). o Costos de recuperacin. o Costos de reparacin. o Costos de tiempo. o Costos legales y judiciales. o Costos de imagen. o Costos de confianza de clientes. o Perdidas humanas (cuando sea el caso). Qu hacer? Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad. Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa. Con su apoyo se puede pasar fcilmente a enfrentar los problemas de manera proactiva (en lugar de reactiva como se hace normalmente) ADMINISTRADORES Son los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas) Hay actividades de seguridad que deben de realizar de manera rutinaria. Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.

Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos. Comunicaciones Aplicacin Servicios Internos Servicios Pblicos Sistema Operativo Usuarios

Almacenamiento de datos Qu Informacin proteger: En formato electrnico / magntico / ptico En formato impreso En el conocimiento de las personas Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestin de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web Recomendaciones Poltica de seguridad, objetivos y actividades que reflejen los objetivos del proyecto Una estrategia de implementacin de seguridad que sea consecuente con la cultura organizacional; Apoyo y compromiso manifiestos por parte de la gerencia Un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la administracin de los mismos Comunicacin eficaz de los temas de seguridad a todo el personal involucrado en el proyecto Distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los empleados y contratistas Instruccin y entrenamiento adecuados Un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo.
ACTIVIDAD Realice un resumen y conclusin del tema

PROGRAMA DE CALIDAD UDABOL DIF 005 2011 NORMALIZACIN Y CERTIFICACIN DE SISTEMAS DE GESTIN SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN Divisin de Desarrollo Estratgico y Corporativo AENOR La Asociacin Espaola de Normalizacin y Certificacin (AENOR) es una entidad espaola, privada, independiente, sin nimo de lucro, reconocida en los mbitos nacional, comunitario e internacional, contribuye, mediante el desarrollo de las actividades N+C, a mejorar la calidad en las empresas, sus productos y servicios, as como proteger el medio ambiente y, con ello, el bienestar de la sociedad. Reconocida como Organismo de Normalizacin y para actuar como Entidad de Certificacin por el R.D 2200/1995, en el desarrollo de la Ley 21/1992 de Industria. AENOR: ACTIVIDADES Elaborar Normas Tcnicas Espaolas con la participacin abierta de todas las partes interesadas y colaborar impulsando la aportacin espaola en la elaboracin de normas europeas e internacionales - 20000 normas UNE publicadas -159 Comits Tcnicos de Normalizacin Certificar productos, servicios y empresas (sistemas de gestin), contribuyendo a favorecer los intercambios comerciales y la cooperacin internacional -58000 productos o servicios certificados - 13500 sistemas de gestin certificados AENOR es organismo acreditado por ENAC para la certificacin de sistemas de calidad ISO 9000, sistemas de gestin medioambiental ISO 14001, verificacin medioambiental y sistemas de calidad QS 9000. AENOR es tambin organismo autorizado a certificar segn la ISO/TS 16949 REPUTACIN CORPORATIVA (Sistemas de gestin de reputacin corporativa) 1. Eficacia econmico-financiera (solvencia) 2. Gestin medioambiental de sistemas, productos y servicios 3. Gestin tico y social 4. Gestin de la calidad de sistemas, productos y servicios 5. Gestin de la I+D+I (Innovacin) 6. Gestin de la Seguridad de la Informacin 7. Internacionalizacin (Globalizacin) NECESIDAD DE LA NORMALIZACION DE LA SEGURIDAD DE LA INFORMACIN No existen reglas y criterios nicos para definir cuando un SGSI se puede considerar que salvaguarda y protege la informacin. No existe an una referencia internacional de actuacin. Van elaborndose iniciativas en diferentes pases. Existe amplia diversidad de criterios con que las organizaciones evalan sus riesgos y valoran sus activos de informacin. VENTAJAS DE NORMALIZAR LAS ACTIVIDADES DE SI Facilitar la sistematizacin de las actividades de SI

Orientar sobre la implantacin de un SGSI segn una norma reconocida y aceptada. Proporcionar indicaciones para organizar y gestionar eficazmente la SI Dar directrices para evitar accesos indebidos. Las empresas que no aborden actividades de SI pueden ver amenazados sus activos de informacin y su competitividad. NORMALIZACIN DE ACTIVIDADES DE SI NORMAS ELABORADAS AO 2001 TECNOLOGA DE LA INFORMACIN (TI). GUAS PARA LA GESTIN DE SEGURIDAD DE LA TI. -UNE 71501-1 IN Parte 1: Conceptos y Modelos para la Seguridad de la TI -UNE 71501-2 IN Parte 2: Gestin y Planificacin de la Seguridad de TI -UNE 71501-3 IN Parte 3: Tcnicas para la Gestin de la Seguridad de TI NORMALIZACIN DE ACTIVIDADES DE SI

AO 2002 TECNOLOGA DE LA INFORMACIN (TI). CDIGO DE BUENAS PRCTICAS -UNE-ISO 17799:2002: Tecnologa de la Informacin. Cdigo de Buenas Prcticas de la Gestin de la seguridad de la Informacin Especifica 127 controles tcnicos agrupados en 10 temticas de gestin AO 2003 TECNOLOGA DE LA INFORMACIN (TI). ESPECIFICACIONES SGSI -UNE-71502:2003: Tecnologa de la Informacin. Especificaciones para los sistemas de Gestin de Seguridad de la Informacin Referencia para los procesos de certificacin VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI Sistematizar las actividades de SI Ahorro de recursos en las actividades de SI, mejorando la motivacin e implicacin de los empleados Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad Planificar, organizar y estructurar los recursos asignados a seguridad de la informacin Identificar y clasificar los activos de informacin Seleccionar controles y dispositivos fsicos y lgicos adecuados a la estructura de la organizacin Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la informacin Establecer planes para adecuada gestin de la continuidad del negocio Establecer procesos y actividades de revisin, mejora continua y auditora de la gestin y tratamiento de la informacin Integrar la gestin de la seguridad de la informacin con otras modalidades de gestin empresarial Mejorar la imagen confianza y competitividad empresarial. La organizacin que desarrolle un SGSI segn la norma, tendr ventajas de reconocimiento por los organismos que certifican los sistemas Asegurar su compromiso con el cumplimiento de la legislacin: proteccin de datos de carcter personal, servicios sociedad de informacin, comercio electrnico, propiedad intelectual, otros relacionados Dar satisfaccin a accionistas y demostrar el valor aadido de las actividades de seguridad de la informacin en la empresa

NORMA UNE-ISO 17799:2002 Tecnologa de la Informacin. Cdigo de Buenas Prcticas de la Gestin de la seguridad de la Informacin

10 TEMTICAS Poltica de Seguridad de Informacin Estructura organizativa de la SI Clasificacin y control de activos Seguridad en el personal Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Continuidad del negocio Cumplimiento legislacin 1 Poltica de Seguridad de Informacin Documento de poltica. Revisin y evaluacin 2 Estructura Organizativa de la SI: Comit de SI, Coordinador de SI, Asignacin de responsabilidades. Armonizacin de recursos. Asesoramiento de especialistas. Cooperacin de Organizaciones. Revisin independiente 3 Clasificacin y control de activos Clasificacin e inventario. Marcado y tratamiento de la informacin 4 Seguridad en el personal Responsabilidades del personal en SI. Seleccin y poltica de personal. Confidencialidades. Trminos y condiciones de la relacin laboral 5 Seguridad fsica y del entorno Disposiciones de SI para reas, equipos y otros controles 6 Gestin de comunicaciones y operaciones Procedimientos de operaciones. Planificacin y aceptacin de capacidades y sistemas. Proteccin frente a software daino. Gestin interna de respaldos y recuperacin. Redes y soportes de informacin. Intercambio de informacin 7 Control de accesos Polticas de accesos. Gestin de accesos de usuarios. Responsabilidades. Control de accesos a la red, sistema operativo, y aplicaciones. Seguimiento de accesos y usos. Informtica mvil y teletrabajo. 8 Desarrollo y mantenimiento de sistemas Requerimientos. Sistemas de aplicaciones. Criptografa. Seguridad de ficheros. Seguridad de procesos de desarrollo y soporte 9 Continuidad del negocio Anlisis de impactos. Planes para la continuidad. Pruebas y reevaluacin. 10 Cumplimiento legislacin Actualizacin de la legislacin e impacto en polticas y tcnicas. Auditoras. DEFINICION DE SISTEMA DE GESTION DE SI Aquella parte del sistema general de gestin parte del sistema general de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestin de la seguridad de la informacin. Es la herramienta de que dispone la Direccin para implantar las polticas y objetivos de SI. Conjunto de normas reguladoras, reglas y prcticas que determinan el modo en que los activos, incluyendo la informacin considerada como sensible, son gestionados, protegidos y distribuidos dentro de una organizacin. NORMA UNE 71502:2003 Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin

INDICE 1 OBJETO Y CAMPO DE APLICACIN 2 NORMAS PARA CONSULTA 3 TRMINOS Y DEFINICIONES 4 MARCO GENERAL DEL SGSI 5 IMPLANTACIN DEL SGSI 6 EXPLOTACIN 7 REVISIN DEL SGSI 8 PROCESO DE MEJORA Objeto y Campo de Aplicacin Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI de acuerdo con la UNE-ISO 17799. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamao o rea de actividad. Otras definiciones: Control: Prctica, procedimiento o mecanismo que reduce el nivel de riesgo. Evento: Ocurrencia de un conjunto determinado de circunstancias. Documento de seleccin de controles: documento que describe los objetivos de control y los controles relevantes aplicables en la organizacin. Se basa en los resultados del proceso de anlisis y valoracin de riesgos. Incidencia / Incidente: cualquier evento no esperado o no deseado que puede causar el compromiso de las actividades de negocio o de la SI. 4 MARCO GENERAL DEL SGSI Requisitos generales. Planificacin y diseo del SGSI Seleccin de controles. Documentacin y Control de documentacin. Registros Responsabilidades de la Direccin 5 IMPLANTACIN DEL SGSI: Implantacin y anlisis de la eficiencia de los controles 6 EXPLOTACIN: Provisin de recursos materiales y humanos 7 REVISIN DEL SGSI: Auditoras internas. Revisin por Direccin 8 PROCESO DE MEJORA: Mejora continua. Accin correctora y preventiva ULTIMAS NOVEDADES DEL PROCESO FINALIZACIN DE LA PREPARACIN DE LA NORMA EN JULIO 2003 AEN/CTN71/SC27 RECEPCIN LTIMOS COMENTARIOS HASTA 10/07/03 PERIODO DE INFORMACIN PBLICA: 30 DAS A PARTIR DE SU PUBLICACIN EN BOE EL 26 SEPTIEMBRE 03 ESTIMACIN DE LA DIVISIN DE NORMALIZACIN PARA SU APROBACIN POR EL COMIT Y PUBLICACIN: FIN DE NOVIEMBRE 03 COMIENZO DE PROCESOS DE CERTIFICACIN: DICIEMBRE 03 PROCESO DE CERTIFICACIN (DDEC) Esquema de certificacin Solicitud de certificacin

Reglamento en preparacin (similar a otros) Documento de Tarifas Modelos de informe de observaciones a la documentacin, visita previa y auditora. Hoja de datos Modelos de solicitud de oferta y oferta Adenda al modelo de contrato de entidades de evaluacin Criterios de cualificacin para auditores (Auditores con formacin especfica en legislacin y tecnologas de informacin

CERTIFICACIN DE SISTEMAS DE GESTIN DE SI. ESTADO ACTUAL AO 2003 PROYECTO PILOTO EN UNA EMPRESA. DICIEMBRE 2003 COMIENZO PROCESOS CERTIFICACIN SISTEMAS DE GESTIN DE LA SI CERTIFICADOS VARIAS EMPRESAS IMPLANTANDO EL SISTEMA DE GESTIN NUMEROSAS SOLICITUDES DE INFORMACIN RECIBIDAS - Servicios Profesionales de Asesora Tcnica y Jurdica - Empresas de distintos sectores: Banca Tecnologas de la Informacin Telecomunicaciones Informtica

ACTIVIDAD Realice un resumen y conclusin del tema

PROGRAMA DE CALIDAD UDABOL DIF 006 2011

Sistemas Integrados de Gestin


ISO 9000 ISO 14000 OHSAS 18000

1. LA GESTIN EMPRESARIAL

En el desarrollo normal de sus actividades, las empresas deben afrontar en todo momento ciertas condiciones de rigor extremo determinadas por variaciones internas, de la entidad misma; y variaciones externas, provenientes del entorno y normalmente fuera de control. Estos acontecimientos crean con urgencia la necesidad de una gestin empresarial capaz de lograr en cualquiera de estos momentos la mejor solucin disminuyendo gradualmente la improvisacin y el riesgo en la toma de decisiones.

2. GESTION DECALIDAD -NORMA ISO 9000:2000 El crecimiento de la competitividad empresarial oblig a las organizaciones a idear e implementar nuevas y mejores prcticas empresariales relacionadas con la calidad. Estas prcticas, eran muy diversas y dificultaban el intercambio comercial de bienes y servicios entre los diferentes pases por poseer cada uno caractersticas (costumbres, idioma, idiosincrasia, etc.) particulares y diferentes al resto de los dems pases. Los pases involucrados se vieron en la necesidad de crear un parmetro internacional que regule las prcticas organizativas y que permita un intercambio confiable de bienes y servicios de calidad. Es as que surgen las normas ISO 9000, como estndares que permiten seleccionar, implementar y mantener sistemas que aseguren realmente la calidad de los bienes producidos y que respalden el prestigio de unas empresas frente a otras.
La norma ISO 9000 contiene las directrices para seleccionar y utilizar las normas para el aseguramiento de la calidad, es decir, es la que permite seleccionar un modelo de aseguramiento de calidad, entre las que se describen las ISO 9001/9002/9003 que en la actualidad estn siendo resumidas en lo que el ISO 9001. La norma ISO 9004 establece directrices relativas a los factores tcnicos, administrativos y humanos que afectan a la calidad del producto, es decir, establece directrices para la gestin de la calidad. La norma ISO 9004-2 establece directrices relativas a los factores tcnicos, administrativos y humanos que afectan a la calidad de los servicios, es decir, se refiere especialmente a los servicio.

Las normas ISO 9001/9002/9003 establecen requisitos de determinan que elementos tienen que comprender los sistemas de calidad, pero no es el propsito imponer uniformidad en los sistemas de calidad. Son genricas e independientes de cualquier industria o sector econmico concreto. Las tres normas tienen igual introduccin y antecedentes, pero en lo referido a los requisitos del sistema encontramos diferencias. La primera diferencia es relativa al nmero de temas abarcados, y la segunda es relativa a la exigencia. La ms completa es la 9001 mientras que la 9003 es la mas escueta y sencilla. Otra diferencia la encontramos en el objeto y campo de aplicacin que detallamos a continuacin:

ISO-9001: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en el diseo, desarrollo, produccin, instalacin y servicio posventa del producto suministrado, con la finalidad de satisfacer al cliente.

ISO-9002: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrata entre dos partes exige que se demuestre la capacidad de un proveedor en la produccin, Instalacin y servicie' posventa del producto suministrado, con la finalidad de satisfacer al cliente.

ISO-9003: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en la inspeccin, y ensayos finales del producto suministrado, con la finalidad de satisfacer al cliente.

Las normas ISO 9000 no implican la adopcin de un Sistema Estndar de Gestin de la Calidad, menos la adopcin de algn tipo de cultura organizacional o algn tipo de tecnologa especfica. Con el objetivo de que su adopcin sea asequible a la mayora de empresas del entorno, estas normas ofrecen amplia flexibilidad en su aplicacin pues se pueden resumir en: Documente lo que hace Haga lo que documente Verifique que lo est haciendo

Es decir, las empresas deben documentar todos los procedimientos de trabajo que realizan y controlar que se realicen en el futuro como se estableci que se deban

realizar. En el proceso de documentacin es donde las organizaciones descubren procedimientos redundantes e innecesarios y es donde la verdadera mejora toma lugar.

3. ESTRUCTURA ISO 9000


El presente cuadro muestra cada una de las clusulas o requisitos que deben cumplir los sistemas ISO 9001, ISO 9002 e ISO 9003 en las diferentes reas de la calidad. Actualmente, se estn simplificando el ISO 9002 y el ISO 9003, introducindose dentro de lo que es el ISO 9001, como norma general. CUADRO DE ESTRUCTURA PRRAFO 9001 ISO 9002 9003

1. 2. 3. 4. 5.

Responsabilidad Administrativa Sistemas de Calidad Revisin de Contratos Proyectos Control de Documentacin e Informacin 6. Compras 7. Control de Productos Proporcionados por el Cliente 8. Identificacin y Rastreabilidad del Producto 9. Control de Procesos 10. Inspeccin y Pruebas 11. Control de Inspeccin 12. Estado de Inspeccin y Prueba
13. Control de Productos que no llenan Requisitos

14. Acciones Correctivas y Preventivas 15. Manejo, Almacn, Embalaje y Envo


16. Control de Registros de Calidad

17. Auditoras Internas de Calidad 18. Capacitacin


19. Servicio 20. Tcnicas Estadsticas

4. GESTIN AMBIENTAL - NORMA ISO 14000:2004

Un sistema de gestin ambiental es un mecanismo de regulacin de la gestin de las organizaciones relacionada con el cumplimiento de la legislacin vigente en cuanto a

emisiones y vertidos; y el alcance de los objetivos ambientales de la organizacin. Los sistemas de gestin ambiental estn basados en dos principios fundamentales: 1. Programar previamente las situaciones y las actividades. 2. Controlar el cumplimiento de la programacin. Lo que se busca es conseguir la inocuidad de las emisiones y vertidos mediante la adecuacin de las instalaciones y de las actividades conseguidas. La primera de ellas mediante un proyecto y un mantenimiento eficiente y la segunda mediante la definicin de los procesos a realizar por las personas y la necesidad de que se conviertan en repetibles y mejorables. Un sistema de gestin ambiental ser un conjunto de procedimientos que definan la mejor forma de realizar las actividades que sean susceptibles de producir impactos ambientales. Para ello se han establecido ciertos modelos o normas internacionales que regulan las condiciones mnimas que deben cumplir dichos procedimientos, lo cual no significa que dichas condiciones no puedan ser superadas por voluntad de la organizacin o por exigencias concretas de sus clientes. Existen varios modelos de gestin ambiental, pero el modelo ms extendido es la Norma ISO 14001:2004 que en particular busca el logro de los siguientes objetivos: Identificar y valorar la probabilidad y dimensin de los riesgos a los que se expone la empresa por problemas ambientales. Valorar que impactos tienen las actividades de la empresa sobre el entorno. Definir los principios base que tendrn que conducir a la empresa al ajuste de sus responsabilidades ambientales. Establecer a corto, mediano, largo trmino objetivos de desempeo ambiental balanceando costes y beneficios. Valorar los recursos necesarios para conseguir estos objetivos, asignando responsabilidades y estableciendo presupuestos de material, tecnologa y personal. Elaborar procedimientos que aseguren que cada empleado obre de modo que contribuya a minimizar o eliminar el eventual impacto negativo sobre el entorno de la empresa. Comunicar las responsabilidades e instrucciones a los distintos niveles de la organizacin y formar a los empleados para una mayor eficiencia. Medir el desempeo con referencia en los estndares y objetivos establecidos. Efectuar la comunicacin interna y externa de los resultados conseguidos para motivar a todas las personas implicadas hacia mejores resultados. 4.1.

NORMA ISO 14000:2004


La Norma ISO 14000 es un conjunto de estndares internacionales que definen los requisitos necesarios para el desarrollo e implementacin de un sistema de gestin que asegure la responsabilidad ambiental de la empresa previniendo la contaminacin pero considerando las necesidades socioeconmicas de la compaa.

Esta norma no tiene categora de ley, es decir, su adopcin no es de carcter obligatorio en las empresas. Sin embargo, la no adopcin de esta norma limita a las empresas a competir nicamente en el mercado nacional hasta el momento en que sea el propio gobierno el que obligue a la industria a la adopcin de la misma. Ni que hablar de competir internacionalmente, a este nivel es ya requisito contar con un sistema de gestin ambiental regido por el ISO 14000 En este sentido, podra considerarse casi imperativo para toda empresa que quiera hacerse de un lugar dentro de la competitividad mundial reconocer una variable ambiental dentro de todos sus mtodos y procedimientos. De esta manera, una industria limpia nos permitir tener mejor calidad de vida sin daar el ecosistema que nos rodea.

4.1.1. PRINCIPIOS ISO 14000


Todas las normas de la familia ISO 14000 fueron desarrolladas sobre la base de los siguientes principios: Deben resultar en una mejor gestin ambiental. Deben ser aplicables a todas las naciones. Deben promover un amplio inters en el pblico y en los usuarios de los estndares. Deben ser costo efectivo y flexible para poder cubrir diferentes necesidades de organizaciones de cualquier tamao en cualquier parte del mundo. Como parte de su flexibilidad, deben servir a los fines de la verificacin tanto interna como externa. Deben estar basadas en conocimientos cientficos. Deben ser prcticas, tiles y utilizables.

4.1.2. ISO 14000 FRENTE AL ISO 9OOO El ISO 14000 y el ISO 9000 comparten principios comunes relacionados con los Sistemas de Gestin. Sin embargo, la aplicacin de los mismos est determinada por los objetivos buscados y las diferentes partes interesadas. Mientras que los Sistemas de Gestin de la Calidad (SGC) tratan las necesidades de los clientes, los Sistemas de Gestin Ambiental (SGA) estn dirigidos hacia las necesidades de un amplio espectro de partes interesadas y las necesidades que se desarrollan en la sociedad por la proteccin ambiental. Para el ISO 9000, el cliente es quien compra el producto, para el ISO 14000 son las "partes interesadas", donde stas incluyen desde las autoridades pblicas, los seguros, socios, accionistas, bancos, y asociaciones de vecinos o de proteccin del ambiente.

En cuanto al producto, para el ISO 9000 el producto es la calidad, es decir, es un producto intencional resultado de procesos o actividades. Para el ISO 14000 los productos son no intencionales como los residuos/contaminantes. Una de las mayores diferencias estriba en el hecho de que los requerimientos de desempeo del ISO 9000 se relacionan con asegurar que el producto conforme a los requerimientos especificados donde el cliente especfica el nivel de calidad. En el caso de un SGA, no hay un cliente directo, por lo que los modelos para estos sistemas introducen por s mismos los requerimientos fundamentales de desempeo y cumplimiento de todos los requerimientos legislativos y regulatorios con un compromiso a la mejora continua de acuerdo con la poltica de la empresa basada en una evaluacin de sus efectos ambientales. An no es posible saber con exactitud el costo de este tipo de certificacin, pero comparndola con la certificacin ISO 9000 se puede concluir que la ISO 14000 debera ser ms costosa, primero por razones de amplitud de la norma, ya que el rea de investigacin para determinar posibles impactos ambientales sobrepasa los lmites fsicos de la empresa (El medio ambiente en este contexto se extiende desde dentro de la organizacin hasta el sistema global). Adems, muchas empresas debern invertir en tecnologas limpias, incluso para cumplir con los planes de descontaminacin.

4.1.3. PROCESO DE IMPLEMENTACIN SGA - ISO 14000 En este punto es necesario tener en cuenta que pese a que las Normas ISO 9000 e ISO 14000 permiten la correcta implementacin de Sistemas de Gestin de diferente naturaleza, uno relacionado a la calidad y el otro relacionado con el cuidado del impacto ambiental, al final resultan siendo Sistemas de Gestin. En consecuencias, es lgico inferir que el proceso de implementacin es similar en casi su totalidad, presentando pequeas variaciones de enfoque vistas en el punto anterior. El proceso de implementacin de un Sistema de Gestin Ambiental (SGA) que permita alcanzar la certificacin ISO 14000 puede desarrollarse en los mismos seis pasos que desarrollan el proceso de implementacin de un Sistema de Gestin de la Calidad y que vienen representados por seis palabras claves: idea, decisin, compromiso, actuacin, control y mejora continua.

5. GESTIN DE LA SEGURIDAD Y SALUD OCUPACIONAL - NORMA OHSAS 18000:1999 Un Sistemas de Gestin de la Seguridad y Salud Ocupacional (OHSMS) o Sistema de Prevencin de Riesgos Laborales es un mecanismo de regulacin de la gestin de las organizaciones en los siguientes aspectos:
Cumplimiento de la legislacin vigente en cuanto al estado de las instalaciones en relacin con las causas de posibles riesgos. Eliminacin total de riesgos laborales en las actividades de la organizacin. Los OHSMS estn basados en dos principios fundamentales: 1. 2. Programar previamente las situaciones y las actividades. Controlar el cumplimiento de la programacin.

Lo que se busca es conseguir la proteccin total de la salud y la vida de los empleados y del resto del personal interesado mediante la adecuacin de las instalaciones, a travs de un proyecto y un mantenimiento eficientes; y de las actividades, a travs de la definicin de los procesos a realizar por las personas y la necesidad de que se conviertan en repetibles y mejorables. Un Sistemas de Gestin de la Seguridad y Salud Ocupacional (OHSMS) ser, por tanto, un conjunto de procedimientos que definan la mejor forma de realizar las actividades que sean susceptibles de producir accidentes o enfermedades profesionales. Para ello se han establecido ciertos modelos o normas internacionales que regulan las condiciones mnimas que deben cumplir dichos procedimientos, lo cual no significa que dichas condiciones no puedan ser superadas por voluntad de la organizacin o por exigencias concretas de sus clientes. Existen varios modelos de gestin medioambiental entre los que podemos citar la norma britnica OHSAS 18000. 5.1.

NORMA OHSAS 18000:1999

La preocupacin de las organizaciones por la implementacin de sistemas para la gestin de la seguridad y la salud en el trabajo eficaces aumenta da a da. En la prensa se publican continuamente accidentes, algunos graves y otros mortales, que han tenido lugar en el trabajo. En consecuencia, las inspecciones por parte de la administracin cada vez son ms numerosas y severas pues son muchas las empresas que padecen ausentismo laboral o que se quejan del gran nmero de accidentes que tienen, sin poder evitar (aparentemente) que se produzcan. Toda prctica laboral, comporta determinados riesgos, de mayor o menor nivel, y todas las partes implicadas tienen el deber de lograr que sta se realice sin perjuicio de la seguridad y la salud del trabajador. Es por esta razn que la preocupacin en torno a la seguridad y la salud laboral afecta a todas las organizaciones, independientemente de su tamao y sector al que pertenecen. En este sentido, por fin se estn decidiendo a tomar medidas importantes, tanto para fomentar la seguridad en sus estructuras organizativas e instalaciones, como para cumplir con las obligaciones legales aplicables en estas materias. Por tanto, en la actualidad, la prevencin de riesgos laborales se ha convertido en un factor ms a tener en cuenta en la gestin diaria de las empresas.

La Norma OHSAS 18000 (Occupational Health and Safety Assessment Series) establece un modelo para la Gestin de la Prevencin de los Riesgos Laborales. Fue publicada en 1999 por el BSI (British Standards Institute). El fin de esta norma consiste en proporcionar a las organizaciones un Sistema de Gestin de la Seguridad y la Salud Ocupacional (OHSMS), que permita identificar y evaluar riesgos laborales desde el punto de vista de requisitos legales y definir la estructura organizativa, las responsabilidades, las funciones, la planificacin de las actividades, los procesos, procedimientos, recursos necesarios, registros, etc, que permitan desarrollar una Poltica de Seguridad y Salud Ocupacional. Al igual que Norma ISO 9000 e ISO 14000, la Norma OHSAS 18000 tambin est basada en la mejora continua y utiliza el ciclo Planificar Hacer Comprobar - Ajustar (PDCA) para su implementacin. En este sentido, se hace compatible con la Gestin de la Calidad y la Gestin Ambiental. La Norma OHSAS 18001 no es de carcter legal. Sin embargo, la adopcin de la misma est ntimamente relacionada con la responsabilidad social y deber moral de las organizaciones velando por el bienestar de sus trabajadores.

6. SISTEMAS INTEGRADOS DE GESTIN


Toda operacin de tipo industrial est propensa a sufrir una serie de fallos, los cuales pueden tener efectos negativos en la calidad del producto, en la seguridad y la salud de los trabajadores, y en el ambiente. Aunque es posible tambin que, actividades que aumentan la calidad, repercutan negativamente en el ambiente y la salud de los trabajadores o viceversa. En consecuencia, las empresas deben buscar alternativas que garanticen la seguridad y la proteccin del ambiente aumentando su vez la productividad y la calidad. Normalmente las empresas con sistemas de gestin de la calidad o ambientales implantados, son ms receptivas a los sistemas de gestin de la seguridad y salud ocupacional. La preparacin de un sistema integrado de gestin de la calidad, gestin ambiental y gestin de la seguridad y salud laboral exige adoptar una tctica determinada, ya que, a pesar de que las normas correspondientes a cada uno de los aspectos ofrecen ciertas similitudes, no sealan una comn metodologa para el desarrollo de un sistema integrado, salvo el modelo PDCA de mejora continua. Al momento de implementar un Sistema Integrado de Gestin deben tenerse en cuenta tres aspectos fundamentales: los organizativos, los dinmicos y los estticos. Los aspectos organizativos son los referidos a la descripcin de la empresa y a la preparacin del sistema. Definen los procesos que han de llevarse a cabo para que la organizacin cumpla sus fines, los objetivos que debe alcanzar y la forma como est estructurado el personal y los cuadros directivos, as como las condiciones de competencia y formacin de dicho personal y las relaciones de comunicacin internas. Los aspectos dinmicos contemplan la preparacin y ejecucin de los procesos y son caractersticos de la gestin de calidad, ya que definen las actividades del personal, tanto en la realizacin de los trabajos como en el control de los resultados. Los aspectos estticos son caractersticos de la gestin ambiental y de la seguridad y salud ocupacional. Describen fundamentalmente la situacin en que deben encontrarse las instalaciones a fin de que no sean agresivas para el personal ni para el entorno circundante y las protecciones que han de ser utilizadas para eliminar o disminuir dicha agresividad.

ACTIVIDAD Realice un resumen y conclusin del tema

S-ar putea să vă placă și