Documente Academic
Documente Profesional
Documente Cultură
AUDITORIA
EN INFORMTICA
Segunda edicin
McGrawoHill
MXICO o BUENOS AIRES o CARACAS GUATEMALA LISBOA MADRID
NUEVA YORK SAN JUAN SANTAF DE BOGOTA SANTIAGO SAO PAULO
AUCKLAND LONDRES MILN o MONTREAL o NUEVA DELHI SAN FRANCISCO
SINGAPUR ST. LOUIS SIDNEY TORONTO
CoNTENIDO
AGRADECIMIENTOS ............................................................................................ ix
INTRODUCCIN .................................................................................................... xi
CAPTULO 1: Concepto d e aud itora en informtica
y dive rsos ti pos de auditoras .......................................................................... 1
Concepto de auditoru y concepto de informtica ................................................. 2
Diversos tipos de auditori,l y 'u nlacin con la auditora en inform.itica ......... 5
Auditora intemu/cxtem,, v .lUditora contable/financiera ......................... 5
Auditora adminbtrati,a/ J'<'racional ............................................................. 9
Auditora con informtoca ................................................................................ 1O
Defun de auditora l'n informhca ................................................................. 17
Concep to de auditora en informtica ............................................................ 17
Campo de la auditora en inform,tica ............................................................ 20
Au ditora de programas .......................................................................................... 22
CAPTULO 2: Planeacin de la auditora en informtica ............................... 25
Fases de la a ud itorio ................................................................................................. 26
Planeacin de la aud itora en informtica ..................................................... 30
Revisin prelintinar ........................................................................................... 32
Revisin det,lllada ............................................................................................. 33
Examen y evalu,lcn de la mformadn ........................................................ .3-1
Pruebas de consentimiento ............................................................................. 35
Pruebas de controle!> del usuario .................................................................... 36
Pruebas sustantivas ........................................................................................... 36
Evaluacin .de los sist<?ma> d<" acuerdo al riesgo .................................................. 38
lnvestigaoon prclimmar ......................................................................................... 39
Personal participante ................................................................................................ 42
CAPTULO 3: Auditora de la funcin de informtica .................................... 55
Recopilacin de la informacin organ izaciona l ................................................... 56
Principales planes que se r"qu ieren dentro de la organiz cin
de inform tica .................................... ......................................................... 58
Evaluacin de la estructur,, <>rgnica ..................................................................... 61
Estructura o rgnica ........................................................................................... 63
Funciones ............................................................................................................ 67
Objetivos ............................................................................................................. 72
Anlisis de organizaciones ...... ..................................................................... 75
Evaluacin de los reclll'S&.> humanos ..................................................................... 76
Entrevistas con el personal de informtica ........................................................... 82
Situacin presupuesta) y financi<"ra ....................................................................... 84
vi
CONTENIDO
Seguri,
Riesgo.
Encrip
Seguridad
Seguridad
Ubicae
Piso eh
Aire ac
Instala
Seguric
Seguric
Octecci
Tempe1
Seguridad
Protecc
Seguros .....
Con die
Seguridad E
Seguridad<
Plan de con
de desa
Plan de
&lecci
CAPITulO
Tcnicas pru
Anlisis
Me todo'
Evaluacin
Anlisis
Evaluacin'
Evaluad
Evaluad
Evaluad
E\aluaci
Controles ....
Presentacin
Conclusione
Bibliografa
fndice analt
84
85
86
89
90
95
97
98
98
, 99
100
102
103
113
113
115
116
117
119
132
133
133
133
134
134
138
142
144
145
155
156
161
164
170
171
173
176
182
183
185
186
191
194
vii
CONTENIDO
INTRODUCCIN
En la actualidad el costo de los equipos de cmputo ha disminuido considerablemente, mientras que sus capacidades y posibilidades de utilizacin han aumentado en forma inversa a la reduccin de sus costos. Aunque los costos unitarios han disminuido {el de una computadora personal, "microcomputadora"),
los costos totales de la computacin (de equipos, sistemas, paquetes, recursos
humanos, consumibles, etc.) se han incrementado considerablemente. Ello se
debe a que, si bien la relacin precio/ memoria es menor, el tamao de la memoria de los equipos y sus capacidades son mucho mayores, con procesadores
y dispositivos que pemten acceso de ms datos en mucho menos tiempo y que
procesan la informacin en forma ms rpida {memorias RAM y ROM, discos
fijos, cte.). Esto hace que, aunque se han reducido los costos, al aumentar sus
capacidades y facilidades se ha incrementado el costo total, lo que ha tenido
como consecuencia que los costos totales del uso no hayan disminuido en todos
los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comulicacin, bases de datos, multimedia, etc.) hacen que tambin se pueda tener
acceso a mayor informacin, aunque el costo total de los sistemas, as como la
confiabilidad y seguridad con que se debe trabajar, sean muy altos.
En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se
tiene poca productividad en relacin con la informacin y uso que se da a stas.
Tambin se tiene poco control sobre la utilizacin de los equipos, existe un deficiente sistema de seguridad tanto fsica como lgica y se presenta una falta de
confidencialidad de la informacin. Lo que se debe incrementar es la productividad, el control, la seguridad y la confidencialidad, para tener la informacin
necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores
decisiones.
Los siguientes puntos de la tecnologa de informacin son particularmente
notables:
bios en 1.1 Mtura leza, o rgani7acin y loc,1 1izacin de actividades de los sis-
xii
INTRODUCCIN
n1a de organizar
control y adminis
En muchos ce
pico de herramier
puctu.. finanzas
rcpercutC.' en una i
Desarrollo continuo de soporte de sistemas inteligentes, incorpor~ndo sist('mas t>xpertos, redes neuronales, agentes inteligentes y otras ayudas de
solucin de problemas.
Acu><;O a reingeniera de nuevos negocios, basado en la integracin efectiva
de t('Cnologa de informacin y pi'()C('SOS de n~ocios.
nes ron
caract
resp"lldos, ,l.l<'gurida
la~
ft!ncionc~ que
de la mtormJtica v dt
f'l principa l objet
los siguicntt.'S puntos
.1
p..ute ~u.iminist
Los
r~cu r.:;os.
mdte
1 os si'>tcmllS y pro
nece<.id.ldt.., de la
ssislal.
mpo
ades
iento
tex-
>mu-
an la
tes, a
ndu>rgatales
clecrma
vid o
eros.
etra>S la-
stra-
Jario
10de
;iste
ti vos
-orUida
lRK
) sis
s de
:tiva
es la
exi
sen-
IS de
dn
n de
idad
for-
xiii
INTRODUCCIN
xlv
INTRODUCCIN
CAPTU
Al flnali~
ormIIJiao
tnde
lte. El
y protware
sea la
CAPTULO
Concepto de auditora
en informtica
y diversos tipos
de auditoras
OBJETIVOS
Al finalizar este captulo, usted:
1. Analizar los conceptos de auditora e informtica.
2. Conocer los diversos tipos de auditora y su relacin con la auditora en
informtica.
3. Expondr cules son las tcnicas avanzadas que se utilizan en ta auditora
con nfonntca.
4. Describir las habilidades fundamentales que debe tener todo audttor de infonntica.
5. Definir cul es el campo de la auditora en tnfonntJCa.
6. Explicar cules son los principales objetivos de ta audttora en tnfonntJCa.
2
CAPn'ULO 1
CONCfPTO DE
CoNCEPTO DE AUDITORA
AUOITORIA
EN INfOI>MATlCA
Y DIVERSOS TIPOS
DE AUOITOAIAS
Definiciones
Y CONCEPTO DE INFORMTICA
Auditoria. Con frecuencia la palabra auditoria se ha empleado mcorrectamt.'nte ~ "'le ha conSJderado como una evalu.,an cuyo nico fin es dttectar ermrt>
y s..n.1lar fallas. Por eso St.' ha llegado a u'ar la fr.L'it' "tiene .1udlloria" como
sintlnmo de qu<', desde .mt~s de realil.lr'l', ya se l'ncontraron {,,nas y por lo
tanto"' est hacu:ndo la audtora. El concepto de auditora es mJs amplit>; no
slo dctt'Cta errort-,: $un e\ amen critico que se realiza con obdo de evaluar la
eficiencia y efico~cia de una ~cin o de un orgaru,mo, y dl.'tcrminar cursos
altetn,ltiVOS de <KCIn para mi.'JOrar la or;,uzacin, }'lograr los objetivos proput.,tos.
1 a palabra .1uditora \'ICnt.' del latn au,liforius, v de sta pmvi<"ne "auditt>r",
el qu~ llene la \ 1rtud de or: el diroonano lo dcfint como "Tl'\'l<or de cuenta'
cole;o.1do" 1 El .1uditor titnt 1.1 ,;rtud de or y revis.~r cuentas, pero debe estar
encammado a un objetivo especfico, que es el de evaluar la eficiencia y cficaci.l
con que se est opcrando pMa que, por me-dio del <tl1alamiento de cursos altl'r
nativo' de accitln. w tomt-n deci .. ione-- que permit,ln rorregh J~ erron~ en
ca <;o d~ que e\ist,m, o b1en mcorar la fom1a de actu,ldn.
S1 consultamos nuevamente el diccion,uioencontrJmos qU<.' thc:,lda es: "virtud, ,octividad, fuerza, para poder obrar";' mientras tue eficiencia es: "virtud y
facult.1d para lo:rar un efecto df.'terminado", es dec r. es el poder lograr lo planeado con lo- mtnores rl'<:UN" po-ibles. mientr,,, que eficac1a es lograr 1"'
ObJl'tlVl>S.
r:1 Bolel11 C de normas dt> ,lllditora' del Instituto Mexicano d<' Contadorc'
no... dic.::
Lo~ .Juditoria no es una ach\ adad meraml'nte mecjni('J que implique la aplic.1uun
c.lt. C:\.'ttos pmti.'dinliento-.. t.uyt..., r~ulti'~do-t, una ve1: lh~vJdos a c.l\xl, son de car~k
h.'r indudabh. 1~1 .1uditor.1 rt't)uicrt' el t.wrcicio dl' un 1uido pm\.-sional, c;.lido v
L.11BI ta~
c. l .Itu., .aunlJ~
m4duro, par.J ru;~ar l()'o. prcx'-c.hrmcntO!t "1ue d~n ".h wgu1~ v t~hmar lo-. n?Sul~
t.1Joc obten dO&
En
~ 1\!xican.l d
r..
11\ J de ,u)uci6n.
Informtica. El concepto d~ mform.itll".l l'S m.is amplio que el simple uso d<
rqu1~'t>~ d~ cmputo o bit'n dl pro<.-l''n"" tlldrnicn~. Veamos lo que se dijo l'lllll
)I'J"CCtamcn-
por ll>
.amplio; no
e e\aluar la
las)
tinar curs<-)">
ljeh\"OS
pro-
e "auditor",
de cuenta>
~de~ est~r
:ia y ~ficaci a
::ursos .11tcr
errore~,
tn
"\'irtud '
marlopla
"'lograr los
!S:
Contador."'
la llplicacu)n
son de CMtli.'
)naJ, slido v
mar lo~ rcsul
1 realizacin
ntos para la
~IO. ~tih
con algunas
Lt auditon,,
.isla audito-
t l.ll.ld principios de los setlnt,, v ..t \'r,ul clar-.1' 1-.h limitacione~ de estLl dl'fini
L,liBI tamb1n dio en esa p<ll' un,, dc,aipmn del concepto de inform.ti
Ci tJU~,
fn 1977,
~~.~"'"""de
mh'~rm.1c16n.
qq, vo1.
l~iH
3
CONCEPTO DE
AUDITOAIAY
CONCEPTO DE
INFORMTICA
La informacin puede comunicarse, y para ello hay que lograr que los medios de seguridad sean llevados a cabo despus de un adecuado examen de la
forma de transmisin, de la eficiencia de los canales de comunicacin(;l transmisor, el receptor, el contenid o de la comunicacin, la redundancia y el ruid<iJ
Niveles
(
La uormacin ha sido dividida en V"!ios nJvel!S. -Primero es el nivcl
de informacin
~meo, que ron_sd~a los aspectos de eficiencia y capacidad_sle los canales de
transmisin; el segundo es el nivel semntico, que se ocupa de la informacin
desde elpunto de vista de su significado; el tercero es el prapntico, ~ C':!_al
(::<? ._ =-e""'""',
considera al rtceptor en un contexto dado, y el cuarto mvel analiza_Et infor"!.acin de~de clj'unt<> dev is!-_normativo y d~ la parte tica, Q sejl considera cun:
1 "' '_._,...(\L
dO, dnde.x_a 'JUIPn se destina la informacin 0 )~que se Jed.
--\-" ,.,, ,.,.~-"'~ .Y
La inform, tica debe abarcar los cuatro niveleSiJer)rmacin~ En el cuarto
.....-( "-"' \ 1 , ~~,..,
nivel tenemos una serie de aspectos inlporta.nt.es, como la :;,arte legal del uso de
rr
la informacin, !os estud io1_g_ue se han hecho sg__bJ:e la r_ jur;Q, <:l_e la infor~~ ~
rticuJa cre1ci11 de la tica _en o~tica, que no slo debe incluir a los
~
E!Ofesiona les t. :n i~O.? y eSE<!cialistas en informtica, sino tambin a los usuarios tanto de gr Uldes c?mputadoras_como de computadoras personal~
La informa< in tradicional (oral y escrita) se ve afectada dentro de la informtica cuando .e introduce el manejo de medios electrnico;, lo cual la hace
fcilmente modficable y adaptable a las caractersticas de cada receptor. La
ormacin ta.mbi~n tiene la capacidad de manejarse en forma rpida y engrandes volmenes, lo cual permite generar, localizar, duplicar y distribuir la informacin de modu sorprendente, a travs de mtodos, tcnicas y herramientas
como microcomputadoras, procesos distribuidos, redes de comunicacin, bases de datos, etcJtera.
La nueva teo1ologa permite que el usuario d isponga de la informacin
en cualquier momento, ya sea para su acceso, actualizacin, cambio o explotacin o para que pueda distribuirse e intercambiarse entre tantos usuarios
como se desee. Aunque al mismo tiempo se plantea un gran problema en cuanto
al cuarto nivel de la informacin, que es su parte tica y el estud io de las
posibilidades del buen o mal uso de la informacin por parte de personas no
autorizadas.
La pla.neacin y control de la informacin nos ofrece nuevos aspectos importantes a considerar, entre los que estn la teora de sistemas, las bases de
datos, los sistema, de comunicacin y los sistemas de informacin, que van a
complementar el co11cepto de informtica y su campo de accin.
4
DIVE~
YSU R
EN INFj
Auon
Y AUDI
El Bolet11 E
interno:
El estud
la norm,
~studio ~
para det
permita1
procedi~
Fl o
proredir
guardar
finandcr
licas pr
Objetivos b
tro objetivo!
La prole
La obter
La prorr
Lograre
blecidas
Se ha es1
troles intem
nistrativos.
Objetivos g1
de el plan dE
proteccin d,
1
Boletn B
Pblico:..
Lla
IC(}-
aSO
nos,
tie-
\Sta.
mele la
ansidi)
El estudio y e\aluacin del control int~rno se efecta con el objeto de cumplir con
la norma de ejecucin del trabajo que requiere qu~: el auditor debe efectuar un
estudio y evaluacin adecuados del control interno t>xistente, que le sirvan de base
para determinar el grado de confianza que va a depositar en ~1. as mismo, que le
permitan determinar la naturaleza, extensin y oportumdad que \'a a dar a los
procedimientos de auditora.
El control intemo comprende el plan de organizacin y todos Jos mtodos y J
procedjmientos que en forma coordinada ~e adoptan CJ"' un J"'cgocio para salva- 1
guardar sus activos, verificar la razonabilidad y confiabilidad de su informacin
financiera~ promover la eficiencia operacional y provocar la adherencia a las pol-.J
ticas prescritas por la administracin.
arto
o de
for-
, los
ntas
ba:in
plo-
rios
mto
las
; no
tn.:
. La
ran1or-
,....JJ
DIVERSOS TIPOS DE
AUDITORA V SU
RELACIN CON
LA AUDITOAIA EN
INFORMA.TICA
Y AUDITORA CONTABLE/FINANCIERA
dn
cual
ma-
lace
AuDITORA INTERNA/EXTERNA
ove.!
Jor-
.,t'
' ;..
J
sde
;.u a-
">
(..
(pa-
:ede
lada
dad
,,e
Definicin y
objetivos del
control Interno
Objetivos bsicos del control interno. De lo anterior se desprende que los cuatro objetivos bsicos del control interno son:
Se ha establecido que los dos primeros objetivos abarcan el aspecto de controles internos contables y los dos ltimos se refieren a controles internos administrativos.
Objetivos generales del control in terno- El control interno contable comprende el plan de organizacin y los procedimientos y registros que se refieren a la
proteccin de los activos y a la con1iabilidad de los registros financieros. Por lo
Pblicos.
6
C APITULO 1
CONCEPTO DE
AUOITORIA
EN INFOA.t.tATICA
Y DIVERSOS TIPOS
Objetivt
El acceso
adminish
0 AUOITOAiAS
(i\Los objetivos generales de control aplicables a todos los sistemas se desarrOllan a partir de Jos objetivos bsicos enumerados anteriormente, y son ms
especficos, para faci li tar su aplicacin. Los objetivos de control de ciclos se desarroUa.n a partir de los objetivos generales de control de sistemas, para que se
apliquen a las diferentes clases de transacciones agrupadas en Wl ciclo.
G)Los objetivos generales de control interno de sistemas pueden resum irse a
continuacin.
Objetivos de autorizacin
Todas las operaciones deben rcaliz.arsc de acuerdo con autorizaciones generales o especificaciones de la ad mirustracin.
Las autori/.aciones deben estar de acuerdo con criterios establecidos por el
nivel apropiado de la administracin.
Las transacciones deben ser vlidas para conocerse y ser sometidas oportunamente a su aceptacin. Todas aquellas que renan los requ isitos establecidos
por la admirustracin deben reconocerse como tales y procesarse a tiempo.
Los resu ltados del procesamiento de transacciones deben comunicarse
oportunamente y estar respaldados por archivos adecuado>.
Objetive
Los datos
se con los
das aprop
Asimi
per idica
objetivo ce
Estos
todos lose
cas de cor
d esarrolla
q ue sean a
El rea
no. La prin
interno, r 1
informtic(
En el p
una organi
en el log ro
auditora. l
mtica. En
d ecir, come
adecuadam
se o btenga
mejore laef
y para que
polticas est,
control intet
Al estue
que, aunqUl
tener en cue
clo de trans
La audit
cin, proccst
da fsica, ver
rcnch1 entre
financie ro es
zacin medi
irecer
s nor-
7
OIVI:RSOS TIPOS DE
'<'de-
ue-.c
ursea
por el
los d.uus n~g ...trados relath os .1Ju~ actl\ os SUJctns c1 custodia deben compararse ron los activos e"\btentes a mlt'r\ alos raznnabil'S,) se deben tomar la, nwd1
pendic,, de los saldos que se incluyen l'n los ,.,t,ldos financieros, ya que e-.t<'
objdi\l> complementa en forma impt>rtant<' los m<ncionados anteriormente.
Estos objetivO'> general"' dd control mtcrno dl' Sistemas son aphcabl ..., a
todos 10" Cldos :\o se trat.l dl' que se US<'ll dmd.>mentc para evaluar la' t<'CO>
c:ts dt. t.ontrol interno de un4J organi7lll"1c.m. ptro rtpre-,ent.ln una b.,,c p ..tr.l
ds.1rrullar objetivos especficos de control inkrnn pt>r ciclos de transaccionc>
que'~"' olplicables a una empresa individt>.ll.
El .r~.l de informtica puede intcr.><tu.>r d do> m~neras en e l control in ter}
no. L.l primera cs servir de herramicnttl p._u'-llltv._u a cabo un adecuado control
inl<'rno, y],, segunda es tener un control int,rnn dl'i <ir<.'' y del dcpartamtnto dt
mfnrm.t1Ca.
portu
eado.
po.
ucar">C
ruJitir.IS estabkcidas por la ad ministr,ICitin t<lllu l'lio dtbe ser COnSiderado como
~:onlrol 1nterno de informtica.
le esta
rnrral
~ para
to~
repara
bil>dad
mtable
sdeun
Al estudiar los objetivos del control intcrno podemos ver en primer lugar
qul', Junyu~ en <1uditor-a en inform,ltk4l t.l c.)b)l'tivn t!'!-t ms amplio, ~e deben
tener en cuenta los objetivo; generaJc., tld wntrol mterno aplicables,, todo ci
do de tr,ln"-c.1Cdones.
1 a aud1toria en informtica debe t<'ll<'r prl'S<'llks k" obetivos de autoruaun, prlw:t"~mit:'nto y dasificactlln de tran.....l,aon("-. a!o. como los de sah aguarda tf,k,l 'cnfican y evaluaan dtlos <'<JU>pos' de la informacin La di te~
rtn<>a <'lllr<> 10'> t>bjetivo> de control mt.-mn d'Sd un punto de ,ista contable
hnancil'ro es que, mientras stos l.,tan nfo.:ado' a lo1 C\'aluacin de una organ
zac1on ml'<hantc la rc,isin contable fino1not'r.1' de otras operaciones, los obJeh\OS del Ct.lntrol intemo t!n inform.tit..:a t."St.ln or1t.!'nlJdu~ a todo~ los ~~~~mas en
AUOITORtA V SU
RE!.ACI()N CON
LA AUMORIA EN
INFORMATICA
8
CAPITULO 1
CONCEPTO DE
AUOITORIA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUOITORIAS
El auditor
p lanes a la rgo 1
d e ta 1 manera <
dad sean incor
Auo1ro
La tecnologa e
e stn estructur
Autorizacin.
Procesamiento y cla~ificacin de las transacciones.
Salvaguarda fsica.
Verificacin y evaluacin.
son dramtiCO!
administrativo
p lan eacin adr
troJ interno del
de la tecnolog.
est soportado
nologa.
William !'.
El examen 1
cin, una 4oC
planes y ob
d~ humdn,
Se lleva a e
presa con el fir
Prd idas y
Mejores m
Mejores fo
Operacion
Mejor uso
La a uditor
del rea de inf<
auditora en inJ
aplicarlos al r
El departa'
Objetiv.,.,
Organizad
Estructura
Fundon~
\'\'iJljam
r.
AuDITORA ADMINISTRATIVA/OPERACIONAL
la tecnologa en informacin est afectando la forma en que lds 0rp,.mizacones
estn estructuradas, administradas y operadas. En alg<mos caso;, los cambios
son dramticos. Cuando existe la necesidad de un nuevo diseiio de sistemas
administrativos para lograr una efectiva administracin y contrd financiero, la
planeacin administrativa y el proceso de diseo y los requt'rimientos de control interno debern cambiar o necesariamente se modificarn con los cambios
de la tecnologa de informacin. El incremento de la tecnologa de in formacin
est soportado por una reestructuracin organizacional alredt!d<>r de esta tecnologa.
William P. Leonard' define la auditora administrativa com<:
El examen global y constructivo de la t>Structura de una empn sa de una institu
cin,. una seccin del gobierno o cualquier parte de un organh mo, t'n cuanto a sus
planes y objetivos, sus mtodos y controles, su forma de ope1adn y sus facilidades humanas y fislca.
Se lleva a cabo una revisin y consideracin de la organ >aLln de una cmpresa con el fin de precisar:
Prdidas y deficiencias.
Mejores mtodos.
Mejores formas de control.
Operaciones m.s eficientes.
Mejor uso de los recursos fsicos y' humanos.
9
DIVERSOS TIPOS DE
AUDITOR lA Y SU
RELACIN CON
LA AUOITORIA EN
INFOAMATICA
10
CAPm.ILO 1
CONcEPTO DE
AU'OrTOArA
EN INF<lfltAATICA
Y
DIVERSOS TIPOS
DE AUOITORIAS
Elcm<'nlo humano.
Orgam?.acin (mJnl~otl dt organ l-<aetn).
lntt-gr.lcion .
Di rcccin .
Su pervisidn.
intorm.1~
macen ~
Pru ba 1
la validJ(
Comunicacin } coordinadon .
ClOnt.~ .
Oeit>gacin .
Recursos JnateriaiC's.
tt'CJ1I(OS.
Recurso~ finan<ieros.
Control
R!X"lll>OS
C1a ficd(
Seleccin
cioncs .
Llevar o
!;.lO IOIICS
para
.lCI~
d., snftw4
,c. Sup\ r\'
udltona
"'Utih aoi
Utll
l'c.jUipO, t]CI
t. doro m
l'n.du-.ln
tll c.:r
blll,, t!Stn
cumentaootL r
adents dt.los
En J<)Uell.u
gados, los p~
' d p roti'\""CJ
Ja..o.; n..,truccionf
d,,dt la l:>1bh
obJCto de ha
fin1r sus propi
Cuando los
m ternos d "be"l
troles adt'CUa.Jo
Mantlner
gad os en el
Ob<cnar dt
Otsa rroll.tr
s..HtUtnto d~
Ma ntener el
ta~.. In \ corr
11
DIVERSOS TIPOS OE
AUOfTORIA Y SU
RELACION CON
LA AUOITORiA EN
INFORMATICA
de paquetes para auditora; por ejemplo, p,1quetes provenien1es del fabricante de equipos, firmas de contadores pbcos o compal''ias
de software.
ltSupervisar la elaboracin de programas que permitan el desarrollo de la
auditora interna. '
la filo
icular.
tibies
s cate-
itora,
iendo
nane(softue se
por el
mpun:
a la
;iste-
Mantener el control bsico sobre los programas que se encuentren catalogados en el sistema y lleva r a cabo protecciones apropiadas.
Observar directamente el procesamiento de la aplicacin de auditora .
Desarrollar progra mas independientes de control que rnonitor~>en el procesamiento del programa de auditora.
Mantener el control sobre las especificaciones de los programas, documentacin y comandos de control.
...u
~J
J.+,.,
oP'
12
CAPITuLO 1
CONCEPTO DE
AUDITORIA
EN INFOAMTICA
Y DIVERSOS TIPOS
DE AUDITOAIAS
Controlar la integridad de los archivos que se estn procesando y las salidas generadas.
Tcnicas avanzadas
de auditora con informtica
Cuando en una instalacin se encuentren operando sistemas avanzados de
computacin, como procesamiento en lnea, bases de datos y procesamiento
distribuido, se podra evaluar el sistema empleando tcnicas avanzadas de
auditora. Estos mtodos requieren un experto y, por Jo tanto, pueden no ser
apropiados si el departamento de auditora no cuenta con el entrenamiento adecuado. Otra limitan te, incluyendo el costo, puede ser la sobrecarga del sistema
y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos mtodos superan la utilizacin en una auditora tradicional.
Pruebas integrales. Consisten en el procesamiento de datos de un departamento [icticio, comparando estos resultados con resultados predeterminados. En
otras palabras, las transacciones iniciadas por el auditor son independientes de
la aplicacin normal, pero son procesadas al mismo tiempo. Se debe tener especial cuidado con las particiones que se estn utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar situaciones anormales.
Seleccin de d
de un archivo 1
parcial el arcni
car en forma te
Resultados de
demos compar.
Las tcnica
una mctodolog
cin, empleand
actualmente se
nan los probler
venir en las act
al departament
dencia al audit
auditor puede t
redes de comw
El empleo'
mienta que faci
Trasladar le
Llevar a cal
Verificar la
Simulacin. Consiste en desarrollar programas de aplicacin para determinada prueba y comparar los resultados de la simulacin con la aplicacin real.
Ordenamie
Revisiones de acceso. Se conserva un registro computa rizado de todos los accesos a determinados archivos; por ejemplo, informacin de la identificacin
tanto de la terminal como del usuario.
sistemas, con e
Visualizacit
El auditor i
lo y las sal
anzados de
.cesamiento
anzadas de
eden no ser
mientoadedelsistema
usan aprotora tradi
epartamennados. En
ndientes de
tener espe'para pruc
les.
determina
cin real.
)dos
los ac
~nticacin
1formacin
e a uno ya
gunas par
travs de la red ontern,l, sin dejar registro impreso del cambio, aunque se debe
tener una clave de seguridad para poder acccsarlo y llevar un registro histrico
lltVERSOS nPOS DE
AUOO'ORIA Y SU
RElACIOH CON
lA AUOO'ORIA EN
INFORMATOCA
14
CAPrTULO 1
CONCEPTO DE
AUDITORA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUDITORAS
retcmda de
rton accin.
ben uti!lizar4
dios, 10'' Cl"ai
d<' bases de
Uso de doc
nuales esto~
mtodos de
suficiente p
partir de ste
lctS pistas d
rreen un a
servira de pl
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabi
lidad de error. En las aplicaciones computarizadas, el proceso puede ser extre
madamente complejo debido a la velocidad y exactitud del computador. Por
ejemplo, una compaa puede utilizar su computadora para calcular la efectivi
dad de cientos de posibles horarios o cdulas de produccin d fin de seleccionar
el ms adecuado, mientras que en los mtodos manuales esto sera casi impo
sible.
Mantenimiento en manuales de informacin de naturaleza fija que es necesaria para el proceso, como tarifas de nminas o precios de productos. En las
aplicaciones computarizadas, esta informacin se almacena en medios
computariLados o bien por medio de catlogos; en los mtodos manuales es
difcil tener catlogos muy amplios y con actu,ilizacin inmediata.
Listado de Jos resultados del proceso en documentos impresos, como che
ques y reportes. Frecuentemente, estos documentos contienen resultados de
procesos intermedios. En las aplicaciones computarizadas el proceso puede no
dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser
transferidos electrnicamente. En algunos sistemas, la infom1acin rutmaria es
tninar su razt
nes computa
mente media
difcil para la
tacionales est
acorta; al misJ
dn es may01
La divisin d~
la distribuci1
pleados, sino t
zado. Por eje11
partes de una
tengan sistem;
en el caso de J,
Proceso de gr;
cruzamiento d
difcil y costoSI
l'l'Obt>
r~.:n ,,~.,~tdn.
con sus
cin del
autom.obada si
,~
mto-
le segu-
d~ bas..~ de
da\'e o
oente un
rdonde
datos.
Uso d~ documentos impresos para con,truir d proce<o. En llh proet.'''" maUJ!es 6tos documentos contienen intllrm~",on tucntl' f1rm~s de autoriz~1cin,
Dltodos de proce:,o y resultados de s,llida Est~ tnfurmadun usualmentt' es
$\lhC'I~nh' r~u,l construir la transaccin\ ra..... trc,lrl,l haci~t totales de control o, ~l
ersonas,
rtamen-
nesron-
:aoont.-~
Ck'lllOria
;las pr~4
orob~bi
rextre-
jor. Por
efcctivi~cdon,lr
~~
1mpo-
es nece
;. En las
4
medio!'t
iJa]..., l'S
no cheldos de
uedeno
tl'!l ser
nana e:;
~n m ..1 d~
Rt>i>in de procesos por personas, generlmente <uperviores, para determ1ur >U razonabilidad, exactitud, totalidad y autorizacin. En las aphcaciolll""'S computdnzadas, gran p..1rtt' de c't\ m(lfllhltC(l l'' ejecutitdo automtica
mt nl\.' mcdt,lnt(' una lgica de progr,lm~l pr('dctcrminada. Celda vez e~ m.t~
thf~<il p.lr.l l.l ~~~nte montore,lf los proct'sos. conforme los sistemas compu
taciun.ll~"' e..,t,in m.ls integrados y son m,1c.. ..:umpkjo~o; v el ciclo del proceso se
dtlltt.l; .11 m"mo tiempo. el numero de usuMit" v rcspons,,ble, de la inform.lcion '-1 '-~ maynr.
15
DIVERSOS TIPOS DE
AUOITORIA V SU
RELACIN CON
LA AUOITOHIA EN
INFORMTICA
16
CAPiTULO 1
CONCEPTO DE
AUDITORiA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUDITORIAS
Habilidades
del auditor
Las h,lll>lll<l
implantar,
de la teCIIlOI<021
Despus de
tipos de audi
ponder las
campo de
sta es la
Mientras
Auditora en
reas de la 0 1
!n
ser al-
xeso del
deseado.
:JSis y los
~incluir
11'1' los procesos de evaluacin de sitemas y las aproximaciones que son apro-
]vida des
!escomo
inar este
!entro de
indepenoortcs.
adopero
iado por
ionados,
izado tsarioque
el rastro
onesque
i>en perlecializarrollo de
daones
Kindel
tidasson
omopara
radar la
,flujo de
n de un
idencia
orlo para
ridad de
Jr no ne-
tipos de auditoa, a' como su interrelacin con la infonntica, debemos responder las siguientes preguntas: Qu es auditora en informtica? Cul es su
campo de accin?
Esta es la defmicin de Ron Weber en Auditlng Conct'plual Foundations and
Practict o;obre auditora infonntica:
Es una funcu.)n que ha ~ido des.Jrmllada para asegurar la salvaguarda de los acti-
DAN1CION oe
AUOITORIA EN
INFOIWATICA
18
Desam,llo de <r>J!ott."lll~
CAPITULO 1
CONCI'PTO DE
AUDITOAIA
EN INFOAMATICA
In~tal.lc.:on
Por tanto, podt.mos decir qut. ~luttitorJ en inform..itic..1 (!S 1.1 revisin y C'vtl ..
V DIVERSOS IIPOS
DE AUDITORIAS
nizacin~~
y costos.1.
qul.' mJnq.
aquellas qu
FlconD
bid o J lo iru
inad<cu.ldo
mas, debid<
na, y :oloJ
a la mfonru
El abuSI
informtu:a
la informact6n '"'
recui'>O nccesano para 1.1 organtzaoon y para la amhnuidad de las operaciones, ya que pmwe de una imab"<.'Jl de su ambtente actual su p.bado} su futuro. Si la tma~en de la organiz.ll' n es apropiad> <-;t.
crecer adapt.\ndo~ a los cambio~ dt' c;u entorno.
En e l pro<.:t'Ml de 1..1 informa<.:i n ~e deben detectar sus errores u omisione~. y
evitar su destruccin por causas nt'ltllftl lcs (tcmblons, inundaciones) o C.:Utll
quier contingtnc1a que pud iera susc1t.1rse.
la toma di.' dl-.:istones incorn>cla,, producto de dato, erronL'Os proJ><rc1onados por los Sistema' trae como ron,...."Uenda efedO>o '';ntficab' os. qul.' afectan directam..,nte a la organizacin
El mavor ""t1mulo para el d'"''""'llo de la auditori.l <'n Informtica dentro
dt' la o rganizc.1onn nurma lmentt:est,l dJdo por el abuso en el uso de las compu
!adoras. El abuso ~:n com potador.1s es cua lquier in cid<n tt J sociad o con 1.1 tecnologa en conlpu tJci<ln, e n e l cual la victima sufra o putd ..l suf rir una prd idtl
\ un dao hL"<:ho, rnt~l\oonalmente o p.tra obtener una j\anancia. El probl<ma
ms c;.erio e-.t t.T\ lo.. -.:rrores u omiSh'~nt.-s que cau..;an pt~rdidas a la organiz.aon.
En -.egwda ~'St.1 el dt-,.htre de la> computadoras debtdo a Ol115as naturales, ta1('5 como fue;L>, agu.t o fallas en el '"llmlru,tro de en('rga 1~" tcnica> de control
de in form,H
cin del t'<Jt
infornlat.:Hlr
robos h<ll1JI
tamb1msor
L:t audil
t"quipos dl' e
ms hJbrc.t c.
das, pro~t1d
(desarrollad
ben incllllr 1
ncruna lnfo
cmpu to de
y el pcn;ona
Adem.s
son rccu rsos.
version<.~.t pr,
seguro adt'Cl
dao~ CJ\5"
inversin m
la o rgaruzad
recobrado S
dencial a la t
prdid,JS n
pre un rt C\ll"'
('Strenado.
1
La'corn
nuestr.t sooe
den ir desde
berta d o dt 11
Adcm\is
siderado 1.1 r
es respons.tb
redes d e rorr
integrada y E
quendas. E.J
que la mfol"lll
y eva
de los
izacin
dio del
.cien te,
Jma de.inccrti
tidummtrol v
orlan te
la con?nte ac
:Ja, sta
iones. y
o cualpordnue afee-
dentro
compu
1la lecprdida
vblema
izacin.
.>les. ta
control
qu~ manejan estos dos tipos de problemas han sido mejor desarrolladas que
aquellas que se relacionan con el abuso en las computadoras.
El control en el abu<O de las computadoras es normalmente ms difcil debido a lo inadecuado de las leyes. Es ms difcil condenar a alguien que hizo un
madecuado uso del hempo de las computadoras, o copias ilegales de programas, debido a que las leyes no consideran a las computadoras como una persoJld, y slo las personas pu~>den ser declaradas como culpables, o bien considerar
J la informacin como un bien tangible y un determinado costo.
El abuso tiene una importante influencia en e l desarrollo de la aud itorfa en
informtica, ya que en la mayora de las ocasiones el propio personal de la organizacin es el principa l factor que puede provocar las prdidas dentro del rea
de informtica. Los abusos ms frecuentes por parte del personal son la utiliza
on del equipo en trabaJOS distintos a los de la organiLacin, la obtencin de
nf<><macin para fin!$ P<'I"JJnales (Internet), lo.. uegos o pasatiempos, y lo
robos hormiga, adems de lo.. delitos informJhco:. que en muchas ocasiones
tambin son Uevadt>:. a cabo por el propio personal de la organizacin.
la auditora en informJtica deber comprender no slo la evaluacin de lo~
l'<JUipos de cmputo o de ull SIStema o procedimiento especfico, sino que adc
ms habr de evaluar lo> sistemas de informacin ('n general desde sus entra
das, procedimiento&, comu11icacin, controles, archivos, seguridad, perso1al
(desarrollador, operador, usuarios) y obtencin d( informacin. En esto se deben incluir los equipo& de cmputo, por ser la herramienta que permite obte
ner una informacin .1decuada y una organizacin especfica (departamento de
computo, departamento de informtica, gerencia de procesos electrnicos, etc.),
y el personal que har.1 posible el uso de los equipos de cmputo.
Adems de lo.. datos, el hardware de computadora, el software y personal
"'" recursos crticos de las organizaciones. Algunas organizaciones tienen inversion.,.; en equipo de hardware con w1 valor multimillonario. Aun con un
'eguro adecuado, las prdidas intencionales o no intencionales pueden causar
daos considerables. En forma similar, el softw.1re muchas veces consti tuye u11a
inversin importante. Si el software es corrompido o destruido, es posible que
la organizacin no pueda continuar con sus operaciones, si no es prontamente
rC<:obrado. Si el software es robado, se puede proporcionar informacin confi
dcncial a la competencia, y si el software es de su propiedad, pueden tener..e
prdidas en g.mancias o bien en juicios legales. Fmalmente, el personal es siem
pre un recurso valioso, sobre todo ante la falta de per>Onal de informtica bum
r-;trenado.
Las computadoras cj~>cutan automticamente muchas funciones crticas en
nuestra sociedad. Consecuentemente, las prdida& pueden ser muy altas y pu<'
den ir desde prdidas multimillonarias en lo econmico, hasta prdidas de li
bertad o de la vida en el caso de errores en laboratorios mdicos o en hospitales.
Adems de los a>p<><:tos constitu<"ionales y leg~lcs, muchos pases han con
siderado la privacidad como parte de los derechos humanos. Consideran que
es responsabilidad de 1Js personas que estn con las computadoras y con '"'
cde:. de comunicacin, ~segurar que el uso de la inform.cin sea recolectada,
integrada y entregada rpidamente y con la pnvacidad y confidencialidad l't'queridas. Existe una rc,pt>n'>abilidad adicional ~n el -.entido de asegurarse de
que la informaan sea uoada solamente para los props1tos que fue elaborada.
19
OEFINICION DE
AUOfTORIA EN
INFOAt.lAncA
Prdida
de informacin
20
CAPiTULO 1
CONCEPTO DE
AUOITOAiA
EN INFOAMTICA
Y DIVERSOS TIPOS
OE AUDITORiAS
En este caso se encuentran las bases de datos, las cuales pueden ser usadas para
fines ajenos para los que fueron diseadas o bien entrar en la privacidad de las
personas.
La tecnologa es neutral, no es buena ni mala. El uso de la tecnologa es lo
que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnologa en Internet no es problema de la tecnologa, sino de la forma y caractersticas sobre las cuales se usa esa tecnologa. Es una funcin del gobierno, de las
asociaciones profesionales y de los grupos de presin evaluar el uso de la tecnologa; pero es bien aceptado el que las organizaciones en Jo individual tengan
una conciencia social_ que incluya el uso de la tecnologa en informtica.
Deber de existir una legislacin ms estricta en el uso de la tecnologa, en
la que se considere el anlisis y la investigacin para evitar e l mal uso de Internet
y otras tecnologas, para evitar situaciones como el suicidio colectivo de sectas
religiosas, como sucedi en Estados Unidos. Tambin se requiere de una tica
por parte de las o rganizaciones y de los individuos que tienen en sus manos
todo tipo de tecnologa, no slo la de informtica.
B) Evaluo
setien
Ev
E"
Ev
Fa,
Co
Co
Ins
Se~
Co1
Co
Uti
Pre
cup
Pro
Der
C) Evaluac
prende:
F01
D)
Con
Con
Con
Con
Con
Con
COill
Ordt
Segurid~
Segu
Conf
Rcsp
Segu
SeguJ
Segu
Plan
sastrE
Resta
Los princ
Salva
Integn
ware
adas para
lad de la~
oga es lo
1 tecnolo
racterslide las
la tecnoal tengan
ica.
>logia, en
f Internet
de sectas
una tica
'10,
J.S man~
~A
ia que se
( eficacia
uipos de
lllCS~
Control de salida .
Control de asignacin de trabajo .
Control de medios de a lmacenamiento masivos .
Control de otros elemento;, de cmputo .
Control de medios de comunicacin
Orden en el centro de cmputo .
D) Seguridad:
'Ompren
'OS estn
le pro~-
S...haguardar los acti\'lh Se refiere a la prott'CCin del hardware, software y recursos humano:..
Integridad de datos. Los datos deben mantener consll>tcncia y no dupliGlroe.
OE
AUOITORI.A EN
DEFINICIN
INFORMATICA
22
CAPITULO 1
CONCEPTO DE
AUOJTORiA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUDITORIAS
Para que sea eficiente la auditora en informtica, sta se debe realizar tambin durante el proceso de diseo del sistema. Los diseadores de sistemas tienen la difcil tarea de asegurarse que interpretan las necesidades de los usuarios, que disean los controles requeridos por los auditores y que aceptan y
entienden los diseos propuestos.
La interrelacin que debe existir entre la auditora en informtica y los diferentes tipos de auditora es la siguiente: el ncleo o centro de la informtica son
los programas, los cuales pueden ser auditados por medio de la auditora de
programas. Estos programas se usan en las computadoras de acuerdo con la
organizacin del centro de cmputo (personal).
La auditora en informtica debe evaluar todo (informtica, organizacin
del centro de cmputo, computadoras, comunicacin y programas), con auxilio
de los principios de auditora administrativa, auditora interna, auditora contable/financiera y, a su vez, puede proporcionar informacin a esos tipos de
aud itora. Las computadoras deben ser una herramienta para la realizacin de
cualquiera de las auditoras.
La adecuada salvaguarda de los activos, la u1tegridad de los datos y la eficiencia de los sistemas solamente se pueden lograr si la administracin de la
organizacin desarrolla un adecuado sistema de control interno.
El tipo y caractersticas del control u1terno dependern de una serie de factores, por ejemplo, si se trata de un medio ambiente de minicomputadoras o
macrocomputadoras, si estn conectadas en serie o trabajan en forma individua l, si se tiene Internet y Extranet. Sin embargo, la divisin de responsabilidades y la delegacin de autoridad es cada vez ms difcil debido a que mucho'
usuarios comparten recursos, lo que dificulta el proceso de control interno.
Como se ve, la evaluacin que se debe desarrollar para la realizacin de la
auditora en informtica debe ser hecha por personas con un alto grado de conocimiento en informtica y con mucha experiencia en el rea.
La informacin pwporcionada debe ser confiable, oportuna, verdica, y debe
manejarse en forma segura y con la suficiente confidencialidad, pero debe estar
contenida dentro de parmetros legales y ticos.
AuDITORA DE PROGRAMAS
La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de
diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organizacin.
La auditora de pwgramas tiene un mayor grado de pwfundidad y de detalle que la auditora en informtica, ya que analiza y evala la parte central del
m ..,~ se
tl!ngan lo'
general se
optimizar un
Para
del .
mentacitln
CIOn
'\'OS de la
JreS recur-
olzar tam
;tema) tie-
los usuaaceptan y
tora contipos de
zacin de
.s y la efi1n de la
ie de factadora5 o
,. indi\'1
153bilida' much<b
temo.
;in de la
1 uso de
prograaluar el
ydedcntral del
m.t.-. se
23
CAPTULO
Planeacin
de la auditora
en informtica
OBJETIVOS
Al finalizar este capitulo, usted:
1. Conocer las distintas fases que comprende la auditorla en informtica.
2. Comprender la importancia en el trabajo de auditorfa de la planeacin, el
examen y la evaluacin de la informacin, la comunicacin de los resultados
y el seguimiento.
3. Explicar el valor de la evaluacin de los sistemas de acuerdo al riesgo.
4. Oescnbir las fases que deben seguirse para realizar una adecuada investt
gacin preliminar.
5. Definir cules son las principales caracterfsticas que requiere el personal
que habr de participar en una aud~ora.
6. Conocer cmo se elabora una carta-convenio de servicios profesionales de
auditora.
26
CAPITU~O 2
dalts para
FASES DE LA AUDITORA
PlANEA<:ION
un.l -.ldecu
l.a ob
0( LA AUOHORIA
EN INFORMTICA
Auditora interna
mh.'rr'los de
la auditora en informJlca es el pl'OC\.':>0 de recoleccin y evaluacin de evidl'flcias para determinar cundo son s.11v,guard,ldos los activos de los sistemas
compu tarizados, de qu man~ra se m.mtiene la integridad d<' los datos y ctlmo
"' logran los obctivo. de la organi2.1cin ef1c.12mente y se u"3n lo, recur.o,
consumidos eficientemente. !.a .1ud itorr,, en informtica sigue los obctivos tradicionale-s de la auditora: aquellos que son de la audi tora <'xterna, de salvaguarda de los activos y la integndad de datos, y los objetivo, gerenciales, aquellos prop1os d e la aud itora int1ma que no slo logr.ln los objdivos sei\alados
'ino tambin los de eficiencia y eficacia.
la auditori.l interna l'S una funcin tndependientc de la evaluac1n qu<'"'
establece dentro de un,t urganihlcin p,'lra CXiU11inar y eva luar sus l1Ctividadcs.
El objetivo de la auditora interna consiste en apoyar a los mil'mbros de la organiLacin en el dl''Cmpeo de sus responsabilidades. Para ello, proporciona an.ilisis, evaluacionQs, recomendaciones, U'ieSOr a ~informacin concerniente a l..1s
aetividadl'S rev..-.das.
Los auditot<s miemos son responsables de proporcionar mform,Kin acerca de la adecuacin y cfl'Cti,idad del si,ll'ma d control interno de la organi7a
cin y de la cahd.1d de la geshn.
El m.mual d!' o rgani>acin deber establecer claramente los propsitos del
departamento de .1uditora interna, especificar que el alcance del trabajo no d<be
tener re.tricciont., y seal.lT que los auditores internos no tendr.n autoridad y/o
responsabilidad respecto de las .1cti vidades que aud it.ln.
El auditor interno debe ser independiente de las actividades que audita.
E'ta independencia perm1te que el auditor interno reahce su trabajo hbre y objetivame nte, ya q ue sin <'Sta indtpendcncia no se pueden obtener Jos resultados
d()~ados.
df.'b<-n subo
La ob,e
de t.11 man~
c.:uc no hay
~1udatorcs lf
po'Jhihtad~
1 os res
el rcspcctivl
de qut el tr
lliJUdit
ndus} con
11 depal
llas f"'tsOna
disciplina n,
her hegu
dii l ... St:an
1\o,;imis~
des
r>erial
L. dep.u
men los, ex
hihdadesde
tores ,alific
las nsponsa
nu~nto no n~
El depar
Que'" 1
t.'S
un pr
trabajo d
Que los
tructivos
Quese 9
Que la a
dtnda u
Que los ~
Que los ~
d1sciplin
Cada au
54. requie
ca, de au1
pericia la
,;den.temas
cmo
cursos
os Irasalva-
aqucllldos
~uese
lades.
orga
a anea las
acerl!Za
os del
debe
dy/o
udita.
yobtados
audiltoria
)S (O-
rea.
emos
; que
bjetiware,
!pen
d. La
esen-
FASES
DE LA AUOITORIA
Se r<'<)uicrl.' pericia en !.1 apltcacin de las normas, procedimientos y tcnicas de auditora interna par.l el d('sarrollo de las revisiones. Se entiende por
pericia la habilidad para aplicar los conocimientos que se poseen a las si-
Habilidades
de los auditores
28
CAPiTuLO 2
PLANEACION
DE LA AUDITORiA
EN INFORMTICA
El debido cuidado im plica una razonable capacidad, no infalibilidad ni acciones extraordinarias. Requiere que e l auctitor realice exmenes y verificaciones con un alcance razonable, pero no requiere auditoras detalladas de todas
las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguridad de que no existan incumplimientos o irregularidades. Sin embargo, la posibilidad de que existan irregularidades materiales o que no se cumplan las disposiciones debe ser considerada siempre que el auctitor emprende una auditora.
Cuando el aud itor detecte una irregularidad que va en contra de lo establecido
deber informarlo a las autoridades ad ecuadas de la organizacin. El a uditor
puede recomendar cualquier investigacin que considere necesaria en esas circunstancias. Posteriormente, el auditor deber efectuar su seguimiento para verificar que se ha cumplido con lo sealado.
El ejercicio del debido cu idado profesional significa e l uso razonable de las
experiencias y juicios en el desarrollo de la auditora.
Para este fin el auditor deber considerar:
Cuidado
profesional
revisar la a
sistema esta
y metas de !
Los obje
La confi
sar la co
dos par
Elcump
tos.
La salva
El uso e
Ellogrod
mas.
El sistem,
control y el Cl
deben examin
Quelo<re
Que los ce
tuna, com
Los audite
cumplimiento
que pueden te
ben determin<
La gerenci
mas diseado
polticas, plan
res son respor
y si las activid
piados.
Los auctitc
La correcc
existencia
s sin tener
tes quepo;nificativas
" ' solu do-
:uado a las
lmunicarse
. transmitir
.a. las eva
1 desarrollo
rn mantc-
ofesional al
tcuerdocon
~eben estar
;iones, de la
le intereses.
i,;dades en
debern de
$para pro'les.
ilidad ni acverificadolas de todas
>luta seguri.rgo, la posiplan las dis>a auditora.
cst<tbleddo
1. El auditor
'en esas cirto para veri-
ojetivos de la
los auditores deben revisar los sistemas establecidos para asegurarse del
rumplimiento de las polticas, p lanes y procedi mientos, leyes y reglamentos
tue pueden tener un impacto significativo en las operaciones e hormcs, y deben determinar si la organizacin cum ple con e llos.
La gerencia de informtica es responsable del establccintiento de los sistemas diseados para asegurar el cumplimiento de requerimientos tales como
polticas, planes, procedimientos y leyes y reglamentos aplicables. Los auditores son responsables de determinar si los sistemas son adecuados y efectivos
)'si las actividades auditadas estn cumpliendo con los requerimientos apropiados.
Los auditores debern revisar:
'"se aplican
.nable de las
29
FASES
DE LA AUDITOAIA
m.lSqul.'p
cf<'CtU<.' COl
fl trat
mcn' la e
~Ulllllt.'l'l
30
CAPmJL02
Pl.ANEACI()N
OE LA AUOOOOIA
EN INI'OAMATlCA
Uso eficiente
de recursos
L1 pla1
famol~ar
cttln dl'
Subutilizacin de instalaciones.
Trabajo no productivo.
Procl'<l imiento& que no justifican su costo.
Exceso o in;,uficicncia de personal.
Uso indebido de las instalaciones.
PLANEACIN DE LA AUDITORA
EN INFORMTICA
!'ara harer una adecuada planeacin de la auditora en informtica hay qur
seguir un.1 scrie de pasos previos que permitirn dimensionar el tamao y ca
ractl.'r~tic.lS del rea dentro del organismo a auditar, sus sistemas, organt.ta
con y l'qutpo. Con ello podremos determinar el nmero y caracterblicas del
pcl"oonal de auditora, las herr,lffiientas necesarias, el tiempo y costo, as como
defintr lo. alcances de la auditora para, en caso necesario, poder elaborar el
EIL"1.11
l..1 obtc
La delt
El est.ll
onvolu<
w real
pro mm
a pr"p
L, dtt"'
dos de 1
L.1 obtcr
1
En cJ ca
pUl'' IMbrJ (
llvaluaci
F.,aluaci
Evaluaci
Fvaluadt
lo (sofh,
!X-gund
Aspt-ctol>
Par.1lngr
tnturm,lon 1
evaluar Para
!re' ostas PI'(''
ddwr.i induu
soh<,l.tr o fon
1!1pro>Cl'SC
Mct,1.,.
Programa
Plant~ de
lnform~
contrato de servicios.
1 'S md,\$
plunll'nto, sobi
ntes tipos
,;a les. a<
litera.
mas que pueden imx-dir que se cumpla con la auditora o bien hacer que no se
etede con el profc--onalismo qut> debe tener cualquier auditor.
B trabaJO dt> auditora d.,ber inclUir la planean de la auditora, el examm y la C\ aluacin de la informaon, la comunicacin de los resultados y el
31
FASES
DE V. AUOITORIA
~imi~'TltO.
'ealiza en
trecursos
r
se cum-
lizanyse
ti vas.
;recursos
:erciorar-
jdos y si
hay que
mo )'ca'rganiza-
;ticas del
as como
1borar el
l50S
ms
e problc-
Metils.
Programas de trabarll de auditllria.
Planes de contrat,lcin de pcr>nnal y presupuesto financiero.
Informes de '"tividadc'>.
Las met.1S se debern c,t,lbk'Cer de tal manera que se pueda lograr su cumplimiento, sobrt.' la bas(' de los planes cspcficos de operacin y de los presu-
Objetivos
de la planeacln
32
CApjTULO 2
PLANEACIN
OE LA AUOITORIA
EN INFORMTICA
puestos, los que hasta donde S('a posible debern ser cuantificables. Debern
acompaarse de los criterios para med irlas y de fechas lmite pa ra su logro.
Los programas de trabajo de auditora debern incluir: las actividades que
se van a auditar, cundo ~n aud itadas, el tiempo estimado requeido, to
mando en consideracin el alcance del trabajo de auditora planeado y la natu
raleza y extensin del trabajo de auditora realizado por otros. Los programas
de trabajo deber,m ser lo su ficientemente lexibles para cubrir demandas im
previstas.
los planes de contratacin de empleados y los presuput!Stos financieros
-incluyendo el nmero de auditores, su conocimiento, su experiencia y las
disciplinas requeridas para realizar su trabajo-, debern contemplar.e al ela
borar los programas de trabaJO de auditora, as como las actividades adminis
trativas, la escolaridad y el adii.'Stramiento requeridos, la investigacin sobre
auditora y los esfuerzos de desarrollo.
La rev
zada por ur
no normaln
parle geren.
famil iarizad
causas de la
nes; el audi
considera<
si el auditor
gar de proc
con la fased
controles inl
Rev1s
ReviSiN PRELIMINAR
El primer paso en el desarrollo de la auditora, despus de la plancacin, es la
revisin preliminar del rea de in formtica. El objetivo de la revisin preli mi
nares el de obtener la informacin necesaria para que el auditor pueda tomar la
decisin de cmo proet.'<lcr en la auditora. Al terminar la revisin preliminar el
auditor puede proceder en uno de los tres caminos siguientes.
Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora.
Realizar una revi~in detallada de los controles internos de los ~i.,tema~ con
la esperanza de que se deposite la confianza en los controles de los sistemas
y de que una serie de prueba' sustantivas puedan reducir las consccuen
cias.
Decid ir el no confiar en los controles internos del sistema. Existen dos raw
nes posibles para esta decisin. Primero, puede ser ms eficiente desde el
punto de vista de costo-beneficio el realizar pruebas sustru1tivas directa
mente. Segundo, los controles del rea de informtica pu eden d uplicar los
controles existentes en el rea del usuario. El auditor puede decidir que se
obtendr un mayor costo-beneficio al dar una mayor confianza a los controles de compensacin y revisar y probar mejor estos controles.
Los objetivo
para que el ,
dentro del '
El audite
timic nto, cot
de con troJ in
bas compem
puede, desp
internos 5(' b
alternos de a
En la fas.
las causas do
para reducir
sin detallad
dos reducen
tencin de in
usados en la
con que se ot
Como en
de log rar los
auditor inten
ciencia y efic.
suficientes pa
interno debe
sobrecontroL
nos controles
controles in te
tamente a rev
proced imient
de los sistcnu
Debern
ogro.
odes que
rido, tola natuwamas
odas im-
anderos
ja y las
.e alelatdminis>n sobre
La revisin prtliminar elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos. En primer lugar, el auditor interno normalmlnte reqmere de men<h revi>ione. y trabajos, especialmente en la
parte gerencoal y de organiz.lCJn, ya que l e.. parte de la organizacin y est
familiarizado con la misma. En wgundo, el auditor externo se enfoca ms en las
C!U!\olS de las prdidas y en los controles necesarios para justificar sus decisiones; el auditor interno hene una amplia perspectiva, la cual incorpora en sus
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
SI el auditor onterno supone '>Crias debilidades en los controles internos, en lugar de prOCl'<ler direct.lmcnte ron las pruebas sustantivas, deber continuar
con la fase de revisin detallada para ~alar recomendaciones para mejorar los
cuntroles internos.
REVISIN DETALLADA
)n, es
la
prelimi:omar la
ninarel
rompe:nas con
jo;;temas
.secuenO>razo-
lesde el
directalicar los
rque se
los con-
edio de
vidades
dencias
ediode
sta ser
bajo, la
33~---'
Tipos
de revisiones
34
CAPiTUL0 2
PlANEACION
DE lA AUOITOAIA
EN INFORMTICA
ExAMEN v EVALUACiN
DE LA INFORMACIN
Los auditores internos debern obtener, analizar, interpretar y documentar la
mformacin para apoyar los resultados de la auditora.
J::l proceso de examen y evaluacin de la in formacin es e l siguiente:
St debe obtener la informacin d e tod os los asun tos relacionados con los
objetivos y alcances de la auditora.
La informacin deber ser suficiente, competente, relev,1ntc y Litil para que
proporcione bases slid,,. en relacin con los hallazgos y rt'Comendaciones
de la auditora. La informacin suficiente significa que est basada en hechO>., que es adecuada y convincente, de tal forma que una pcr;ona prudente e mformada pueda llegar a las mismas conclusion~>;, que el auditor. La
informacin competen!(' significa que es confiable y puede obtenerse de la
mejor manera, usando las tcnicas de auditora apropiadas. La informacin
relevante apoya los hallazgos y recomend aciones de aud itora y es consistclltC co11 los objetivos de sto. l.a informacin til ayud a a la o rgan izacin
a lograr s us metas.
Los p rocedimientos de auditora, incluyendo el empleo de las tcrLicas de
pruebas selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modific,use cuando las circunst,,ncias lo requieran.
El proceso de recabar, anahzar, mterpretar y documentar la mformacin
deber supervisarse para proporcionar una seguridad ra1onable de que la
objetividad del auditor se mantuvo y q ue las metas de auditora se cump lieron.
Los d ocu me ntos de trabajo de lo aud itora d ebe rn ,;er preparados por los
au d itores y revisados por la gerencia de auclitora. Estos d ocumentos deber,in registra r la informacin obtenida y el anlisis realitado, y deben apoyar las bases de los hallazgos de aud itora y las recomendaciones q ue se
harn.
El dirE
selecciona
Descri
Selecc
Entrer
todos
Eva]u
ao.
Aseso:
sionaJ.
El trab
la adecuad
El diJE
ner un pro
lamento do
u na seguri
normas ap
Unpr<
Supen.
Revisi<
Rcvisic
La supo
ca lx) contir
las normas
Las re'
d e l de paru
l1uditora rE:
r.1 qu e cual
Para e\
pr,\c::ticarse
PRUEI
El objttivo
c-ontroles in
d e te rminar
.m confiablo
Adcm!
cut!ntemenl
asistidas po
35
FASES
DE LA AUDITORA
mentar la
nte:
ao.
sional.
.para que
1dacioncs
da en he.aprudenodttor. La
terse de la
:Onnacin
es consis;anizadn
k nicas de
:con antetdo las cirformacin
de que la
a se cumlos por los
ntosdebe-
y
"OS de vista
<len ser in
51dacioncs,
J]azgos de
Supervisin.
Revisiones internas.
Revisiones externas.
l..1 supervisin del trabajo de los auditores en informtica deber llevarse a
PRUEBAS DE CONSENTIMIENTO
El objetivo de la fase de prueba de consentimiento es el de determinar si los
controles internos operan como fueron diseados para operar. El auditor debe
determinar si los controles declarados en realidad existen y si realmente traba
jan confablemente.
Adems de las trnicas manuale:. de recoleccin de evidenas, muy frecuentemente el auditor debe recurrir a tcnicas de recoleccin de informacin
asistidas por computadora, para deternnar la existencia y confiabilidad de los
Programa
de control
de calidad
36
CAPITULO 2
PI.ANEACION
controles. Por ejemplo, para evaluar la existencia y con fiabilidad de los contro1('5 de un sistema en red, se requerir el entrar a la red y evaluar directamente al
sistema.
OE LA AUDITOAJA
EN INFORMATlCA
Elau
1 Tipos de pruebas
Dura
Dura
Dura
En ge
sidcran q
pendenci,
nar esto:
PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que
permita al auditor emitir ~u juicio en la conclusiones acerca de cundo pueden
ocurrir prdidas materiales durante el procesamiento de la informacin. El a u
ditor e\temo expresar L.,.te juicio en forma de opinin <obre cundo puede
exshr un proceso equivocado o falta de control de la informacin. Se pueden
identificar ocho diferentes pruebas sustantivas:
Debemos cuestion,, rnos el beneficio de tener un excesivo control o bien evaluar tl beneficio marginal de tener mayo, control contra e l costo que representa
ste. Para ello es necesario evaluar el costo por falla del !.i&tema, y sus repercusiones para determinar el grado de ri('Sgo y confianza necesarios contra el costo
de implantacin de controles y el coo;to de recuperacin de la informacin o
elimmadn de las repercusiones.
Aum1
Asign
postl't
Crear
audite
Obten
Realiz
lograr los
..,ubsistem,
c,1s de cad
subsistem
evaluacin
sin ol\idar
la
SUil\
sistem
Lospa
llo, que se
m vestigaci(
dt cmo es
llUe son pr(
e-cm troles in
rol ~~audite
troles que"'
dimicntos. 1
,_.,, el audito
dt:r con pas;
DurantE
cilcs. Cada
quu~re de ev
eta' obtenid
ontroenteal
temo'
es que
ntica.
epue'oeehas
te que
eden
El au,......,e
eden
i!gUri
Lo' pasos que involucran una auditor~, en mformtica son similares a aquclllh que ~ realizan para auditar un sistcm,l manual. Primero se realiza unil
levasenta
~rcu
costo
in o
FASES
DE LA AUOITOfliA
-~-38
CAPITULO 2
PLANEACIN
OE LA AUOITORIA
EN INFORMATICA
Ejemplo
El auditor debe de poner L'Special a tencin a aquellos sistemas que requieran de un adecuado control financie ro.
Ejemplo
Ejemplo
Ejemplo
Interfieren con otr~ >blcmas, y los errores generados permean a otros sistemas.
Potencialmente, alto riL>sgo debido a daos en la competencia. Algunos sistemas le dan a la orgamz.tcin un nivel competitivo muy alto dentro de un
me rcado.
Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales
son tas mayores fuentes de recursos de la organizacin. Otros a travs de los
cuales su prdida puede destruir la imagen de la organizacin.
Ejemplo
Sistemas de tecnologa de punta o avanzada. Si los ~istemas utiliLan tecnologa avanzada o de punta.
Sistemas de bases de datos, sistemas dstnbuidos o de comunicacl6n, teooologa sobre la cual la OfV81\IZ3cin tenga muy poca expenencsa o respaldo. la
cual es ms probable que sea una fuente de problemas de control.
Sistemas de alto costo. Si~temas que son muy costosos de dt'Silrrollar, '"'
cuales son frecuentemente sistemas complejos que pueden pre:<entar muchos p roblemas de control.
INVE
Es n~
quer
rpid
msmc
La 1n
troJ gcrer
troles ger
prcticas
de la inst.
los contrr
dos sobre
aplicacior
Sede\
mento po
documenl
p rograma
Sede~
dentro de
ria y la fec
En el e
cin prdin
pos de en
nar se deb
reas, ba.J
Admini$lr,
departam
dedocume
La efici
objetivos e
adapta a lo
Est,t ad
usuarios d
dirlccin v
dicho s~Sten
cutivos y u~
Asimisr.1
que el pen.t
dos que <;e e
troJ. nrcam
'Thc Sp
INVESTIGACIN PRELIMINAR
;.mizano sea
usado
na con
tos de
.,ido a
equic-
JS sislS sis-
deun
lS
lS
ecno-
E.< ne<..,.no iniciar el traba,o d~ obtencin dt> dato. con un contacto preliminar
que J"'nnota una pnmt>ra odea giOO..I El ~o dt> este primer contacto es percibir
rpidamente las "'tructuras fundamentales y di!erencias principales entre el orgaru ..mo a audltar y otras org.ltULloone que se hayan in\estigado. 1
L.1 investigacin preliminar debe incorporar fases de evaluacin del control gerencial y del control de las aplicaciones. Durante la revisin de los controles gerenciales e l audotor debe entender a la organizacin y las polticas y
prcticas gerenciales usadas en cada uno de los niveles, dentro de la jerarqua
de la instalacin en que se encuentran las computadoras. Durante la revisin de
los <Xlntroles de las aplicacione~, el auditor deb<: enten der los controles ejercidos sobre e l mayor tipo de transacciones que fluyen a travs de los sistemas de
aplicaciones ms significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin pMa obtener una visin general del departamento por medio de observaciones, e ntre vistas preliminares y solicitudes de
documentos; la finalidad es d efinir el objeti vo y alca nce del estudio, as como el
programa deta llado de la investigacin.
Se deb<:r observM el estado general del depa rtamento o rea, s u situacin
dentro de la organincin, si exisle la informacin solicitada, si es o no necesaria y la fecha de ;u ltima actualiacin.
En el caso de la auditora en ilormtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La ilwestigacin preliminar se debe hacer solicitando y revisando la ilormacin de cada una de las
reas, basndose en los siguientt!>. puntos:
Admin istracin. Se r<'COpla la informacin para obtener una visin general del
departamento por medio de ob:icrvacioncs, entrevistas preliminares y solicitud
de documentO'> para poder definir el obetivo y alcances del departamento.
La eficiencia en el departamento de ilormtica slo se puede lograr si sus
objetivo, ~tn integrados con los de la mstitucin y si permanentemente se
adapta a los posibles cambios de stos.
Esta adaptacin tinicamente puede ser posible si los altos ejecutivos y los
usuanos de los 5istemas toman parte activa en las decisiones referentes a la
direccin y utili7acin de loo; sistemas de Iormacin, y si el responsable de
dicho sistema constantemente consulta y pide asesora y cooperacin a los ejecutivos y usuarios.
)-
a
tr~
los
r mu'"Tht. Spno~ding Dar.,;er u( Ctlmputl'r Cnme... l'n 8J4sme.;s Wk. 20 de abril de 1981
40
CAPiTULO 2
PLANEACIN
OE LA AUOITORiA
EN INFORMTICA
puesto y se registraron correctamente los costos en el desarrollo de la aplicacin_ y cuando sta contempla el nivel de servicio en trminos de calidad y
tiempos mnimos de entrega de resultados de la operacin del computador.
El xito de la direccin de informtica dentro de una organizacin depende
finalmente de que todas las personas responsables adoptan una actitud positiva respecto a su trabajo y evalen constantemente la eficiencia en su propio
trabajo, as como el desarrollado en su rea, estableciendo metas y estndares
que incrementen su productividad.
La direccin de informtica, segn las diferentes reas de la organizacin,
es evaluada desde diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta
para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de
informtica es una funcin de servicio. Cada grupo de usuarios tiene su propia
expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y
normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios.
Los altos ejecutivos consideran a la direccin de informtica como una inversin importante, que tiene la funcin de participar activamente en el cumplimiento de los objetivos de la organizacin. Por eUo, esperan un mximo del
retomo de su inversin; esperan que los recursos destinados a la direccin de
informtica proporcionen un beneficio mximo a la organizacin y que sta
participe en la administracin eficiente y en la minimizacin de los costos mediante informacin que permita una adecuada toma de decisiones. Los directivos, con toda la razn, consideran que la organizacin cada da depende ms
del rea de uormtica y consecuentemente esperan que se deba administrar lo
ms eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la direccin de
informtica es la misma que inspira cualquier departamento de servicio: combinar un servicio adecuado con una operacin econmica.
El problema estriba en balancear el nivel de servicio a los usuarios, que
siempre puede ser incrementado a costa de un incremento del factor econmico
o \'iceversa.
Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
A nivel organizacin total:
Proc
Pres1
Recu
Solic
local.
prog:
Es tu<
Fech1
Conb
Cont1
Conv
Con6
Confi
locali.
Plane
Ubica
Polti<
Polti<
Poltic
extem
Sisterr
Descri
larse, e
Manu~
Manw
Descri
Diagra
Fecha
Proyec
Bases<
Proced
Sistem.
En el rr
cin, deben
Se solic
o
o
Requerimientos
de una auditarla
No
No
Se tiene
o
o
No
Es i
la aplicacalidad y
utador.
1depende
ud positisu propio
stndares
lllizacin,
rramienta
-eccin de
su propia
mismo y
usuarios.
10 una innel cumxmo del
eccin de
que sta
~stos
me-
PRELIMINAR
lS directi-
externas.
ende ms
Sistemas:
nistrar lo
eccin de
solicitar:
0.,-.cnpcin general de lo- sistemas in~talados y de los que estn por in~ta
lan.e, que contengan volmenes di' informacin.
\lanual de formas.
Manual de procedimientos de lo, sistemas.
[k,.cripcin genrica.
()agramas de entrada, archi\'OS, 'Mllida.
F~ocha de instalacin de los si;tcmas.
Proyecto de instalacin de nuevos sstcmilS.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sbtcmas propios, rentados y adquiridos.
En el momento de hacer la planeacin de la auditora o bien en su realizacin, debemos evaluar que pueden pri'SI'ntan;c las siguientes situaciones.
, nil eles
INVESTIGACION
:-lo se usa.
Es incompleta.
42
o
CAPfruLO 2
PLANEACIN
DE LA AUDITORfA
EN INFORMTICA
Uso
de infonnacin
No est actualizada.
No es la adecuada.
Se usa_ est actualizada, es la adecuada y est completa.
En prime~
zacin, que dE
la auditora,
las reuniones
ste es UD
di rcccin, ni
una o varias
cin en el mo
Tambin s
en el moment
de comproba
do, y complen
slo el punto
del sistema.
Paracomp
de la auditora
Tcnico e
Conocimie
ExperiencH
Experienci
Conocimiet
Conocimi
caciones, d
Conocimiet
caso1
En el
mientes y expe1
caciones, etct<.>
Lo anterior
PeRSONAL PARTICIPANTE
Una de las partes ms importantes e n la pla neacin de la aud itora en informtica es el personal que deber participar.
En este pu nto no veremos el n mero d e personas q ue debern participar,
ya que esto depende de las dimensiones d e la organizacin, de los sistemas y de
los equipos; lo que se deber considerar son las ca ractersticas del personal que
habr de participar en la a uditora.
Uno de los esquemas generalmente aceptados para tener un adecuado control es q ue el personal q ue intervenga est debidamente capacitado, que tenga
un alto sentido d e moralidad, al cual se le exija la o ptimizacin de recursos
(eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocinentos, la prctica p rofesional y la capacitacin que debe tener el personal que intervendr en la auditoria.
y experiencias !
con las caracte
Una vez pla
bilidad de pre
de auditores ext
La carta con
su confirmaci"
auditora, las lin
dad y los inforrr
En primer lugar, debemos pensar que hay personal asignado por la organiz~on, que deba tener el suficiente nivel para poder coordinar el desarrollo de
ouede
del
!S
~para
!debe
ese le
debe
oest
ausas
la ini est
den)S)o
rtico
ni la
!dOS.
1rm:ipar,
.y de
lque
ron-
enga
lr.;()S
rofeora.
43
PERSONAL
PARTICIPANTE
Tcnico en informtica.
Conociffilentos de administracin, contadura y finanzas.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis d( s is temas.
Conocimientos y experiencia en psicologfa induotrial.
Conocimiento de los sistemas operativo~, baS('S de datos, redes y comunicaCiones, dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas ms 1mportantes.
Carac:terfslic:as
del personal
En el caso de sistemas complejos se deber contar con personal con conociuurntos y experiencia en reas especifica'> como bao,e de datos, redes, comunicaoo~~ e-tctera.
lo anterior no significa que una ~la persona deba tener los conocimientos
y tx]X'rienaas sealadas, pero s que deben intervenir una o varias personas
con lao caractersticas apuntadas
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibdidad de presentar la carta -convenio de servicios profesionales (en el caso
de auditores externos}- y el plan de trabajo.
La carta convenio es un compromiso que e l auditor dirige a su cliente para
su confirmacin de aceptacin. En ella se ('Sp<.ocifican el obj~tivo y alcance de la
auditora, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y loo informes que se han de entregar.
na nz que se ha hecho la planeaein, se puede utilizar el formato sealado<'ll la figura 2.1, el cual servir para resumir el plan de trabajo de la auditora.
Ete forrnato de programa de auditora no:. servir.i de base para llevar un adenudu ctmtrol del desarrollo de la misma. En l figuran el organismo, la fecha
<k formulacin. las fases y subfases que comprenden la descripcin de la acti\' idJ.l, el nmero de personas participantes. las fechas estimadas de inicio y tcrmmacln, el nmero de das haoiles y el nmero de das-hombre estimados.
Programa
de auditora
44
PlAHEACION
DE LA UOrTOOI
EN INFORMTIC
de la figura 2.2. el cual nos permite cumplir con los procedimientos de control
ase;uramo-. que el trabajo<;(' est Jle,ando a cabo de acuerdo con el program.
de auditora, con 10!. ~cursos estimados yen el tiempo~>ealado en la planeaci6n.
el formato
45
e control y
PERSOt4Al
PARTICIPANTE
programa
laneacin.
trabajo
rl
1 figura
2.3,
figura 2.4.
OACN."'SMO
HOJA MJIL;
DE
FECHA DE F<:JRtA~LACION
FA&l
DESCRIPCt()N
- --
ACTIVIDAD
-- --
NM. DEL
PERSONAL
PARTICIPANTE
PERIODO FSTIMADO
I~ICIO
TtA..,.INO
OlAS
olAs
HAO
HO..
EST
EST
46
CAPITULO 2
PLANEACIN
OE LA AUDITOA[A
EN INFORMTICA
ORGANISMO
--
NM.
1.
OE - - -
HOJA NUf\L
SITUACIN DE LA AUOITOAIA
FASE
INtCIAOA
TERIIINAOA
OlAS
GRADO
olAs
REALES
OE
H<)M.
UTIUZA AVAN
oos
CE
BRE
EST
PAOOIWAAOO
2.
3
11
1!
1'
:DENTES
oonti
o las
ones,
yen
V. TlEMPO Y COSTO
(Poner el tiempo en que se realizar et proyecto, de preferencia indicando el
bempo de cada una de las etapas: el costo del mismo, que incluya el perso
nal participanle en la aud1tora y sus caractersticas, y la forma de pago.)
49 _ _..J
PERSONAl.
PAATlCIPNITE
50
Segund~
El alcanc
contrato
CA PITULO 2
PLANEACOON
DE LA AUDITORIA
EN ONFORMATICA
B) Eva
l.
a) Queesuna
b) Que est representado para este acto por
y que tiene como su domicilio
d
p
o
~
e
S
b)
Ir
El cliente declara:
DECLARACIONES
te
S!
101
e)
E
P<
Evaluc
A~
Ci
Ut
Es
e~
Nu
A Ir
Co
Re
Eq
Re
nabca
a
lleSY
por lo
oordo
el de
de
nm.
Su organizacin .
Funciones.
Estnuctura
Cumphm1ento de los obretiVOS
Recursos humanos
Normas y polticas .
Capacitacin .
Planes de trabajo .
Controles .
Estndares .
CondiCiones de trabaJO .
S1tuacin presupuestar y financiera .
~rmlente,
par-
51
PERSONAL
PARTICIPANTE
52
CAPTULO 2
PLANEACIN
DE LA AUDITORIA
EN INFOAMTICA
d)
Evaluacin de la seguridad:
e) Elaboracin de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos sealados en los incisos a, b, e, d de
esta clusula.
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisin las actividades a reali
zar por cada una de las partes, los responsables de llevarlas a cabo y las
fechas de realizacin.
Octava. 1
El person
queda ex
que el au
pecto al p
se derive
cualquier
Novena.!
El auditor
de este co
se firnne ~
estimado 1
dad con q1
cumplimieJ
por las pat
del cliente
cual deber
el program
Dcima. H
El cliente p
Cuarta. Supervisin
El cliente o quien designe tendr derecho a supervisar los trabajos que se le
han encomendado al auditor dentro de este contrato y a dar por escrito las
instrucciones que estime convenientes.
Quinta. Coordinacin de los trabajos
El cliente designar por parte de la organizacin a un coordinador del proyecto, quien ser el responsable de coordinar la recopilacin de la informa
cin que solicite el auditor, y de que las reuniones y entrevistas establecidas
en el programa de trabajo se lleven a cabo en las fechas establecidas.
Sexta. Horario de trabajo
El personal del auditor dedicar el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este contrato, de acuer
do al programa de trabajo convenido por ambas partes, y gozar de libertad
fuera del tiempo destinado al cumplimiento de las actividades, por lo que no
estar sujeto a horarios y jornadas determinadas.
Sptima. Personal asignado
El auditor designar para el desarrollo de los trabajos objeto de este contrato
a socios del despacho, quienes. cuando consideren necesario, incorporarn
personal tcnico capacitado de que dispone la firnna, en el nmero que se
requieran y de acuerdo a los trabajos a realizar.
inf
Undcima.
El importe!
dos, hono,
auditora, p
Duodcim
En caso de
cin, demor
table al clie
so y se se!
Decimoterc
De ser nec~
contrato, la~
:laao dde
ograreali
y las
se te
lo las
a)
b)
e)
proorma:idas
liC!o-
::uer
311ad
e no
trato
arn
ese
53
PERSONAL
PARTICIPANT E
54
CAPITuLO 2
PLANEACIN
DE LA AUDIT OR lA
EN INFOAMATICA
EL CLIENTE
EL AUDITOR
OeJ
Al finaliza
CAPTULO
Auditora
de la funcin
de informtica
OBJETIVOS
Al finalizar este capitulo, usted:
56
CAPiTuLO 3
AU04TORIA DE
LA Fuo.coOif DE
INI'OAMTlCA
RecoPILACiN DE LA INFORMACiN
ORGANIZACIONAL
F
E
e
e
Jefatura .
AnJiisis.
Programadores .
Operadores .
Personal de bases de datos.
Personal de comunicacin y redes.
Per<onal de mantenimiento.
Personal administrativo.
Responsable de comunicaciones .
Responsable de Internet e Intranet.
Responsable de redes locales o nacionales.
Responsable de sala de usuarios.
Responsable de capacitacin.
P~upuesto.
Recursos financieros .
Recursos materiales.
Mobiliario y equipo .
Costos.
lt
p
,.
"..
F)
Por'
admlt
N
PI
c.
F.s
Pr
lA
s
m
<;,
s
s
s.
da
Sil
tl~
s..
qu.
Si
Si t
Sts
Sd
SI!
cor
Sis
Sis
Con(')cimientos.
E-colaridad.
hpencnoa profesional.
'.nhguedad (en la organizacin. en el put-.to 1' t'n puestos sinulares
fuera de la organizacin).
H.-tonal de trabajo.
fndore de rotacin del personal.
Programa de capacitacin (vigente y capaotacon otorg.lda en el <ltimo .1no).
a
)o
'S
Organizacin.
N<Jrma'> y polticas.
Plan"' de trabao.
Controle'
E.'t.indarcs.
l'rOC<.>dimitntos.
1..1 informacin nos sernr para detcrmonar
m~nt(".
57
RECOPILACION OE
LA INFOf!W.CION
ORGANilACIONAL
58
C4PfTULO 3
AUOITOAfA OE
lA FUNCION DE
INFORMTICA
Funciones
de la gerencia
PRINCIPALES PLANES
QUE SE REQUIEREN
DENTRO DE LA ORGANIZACIN
DE INFORMTICA
El o
(Ene
Cu
Cu
Sed
o biea
que So
Sed
cuaci(
Sed(
Sed(
creme
Qut!
Qu
Cu.~
Culo
Cul
Cul
Culo
Cul
Despu
cificac1one
a sesores, r
ycomogu
Planeacic
modifica<
Estudio de viabilidad
Investiga Jos costos y beneficios de los usos a largo plazo de las computadoras,
y recomienda cundo dl'be o no usarse. En caso de requerirse el uso de,, compu
!acin, sirve para definir el tipo de hardware, el software y e l equipo perifrico
y de comunicacin ncct'Sarios para lograr los objetivos de la organi~acin.
El estudio de viabilidad consiste en la evaluacin para determinar, primero, si la computadora puede resolver o mejorar un determinado prOCL'<iu:nienlo,
y, segundo, cul es la m,jor alternativa. Para lograr esto se deben de contL><;Iar
una serie de pregunta~. entre la~ cuales estn las siguiente-;:
Especifica l.
ymodificac
do la organ
hardware, (
Alguna
Espccif
pcrfn
Evaluac
Planeac
Prueba<
Envo e
Particip
Diseo o
nta lograr
na adecua-
lea se est
a gerencia
e se van a
el trabajo,
ra reai.Uar
1personal
y gua, y
ra realizar
Planeacln de cambios,
modificaciones y actualizacin
01tadora>,
Jacompuperilriro
>Cin.
lt, prime-
Espeafica las metas y actividades que se deben realizar para lograr los cambi~
y modificacioneo;, su indeJ"'ndencia, tiempos, responsables y restricciones, ruando la orgam1.acin toma la deci~in de hacer cambios sustanciales de software,
hardware, comuntcacin o eqwpo:> perifricos.
Algunas de la~ act1vidades tipcas en este plan son:
dimiento,
Es~cificacin
contestar
59
60
CAPITULO 3
AUOITORfA OE
LA FUNCION OE
IN FORM TICA
Plan maestro
El p lan maestro o pla n cstr~tgico de una instalacin informtica define los
objetivos a la rgo pJao y las me tas necesarias para logra rlo.
Una de las p rincipaii'S obligaciones del rea de ge rencia en informtica es
la construccin d e ul\ p lal\ maestro. El plan maestro debe contener los objetivos, metas y actividades genera le~ a realizar d urante Jos siguielltcs ailos, incl uyendo los nuevos sistemas que se pretenden implementar. Puede comprellder
un periodo corto o largo, dependiel\do de las caractersticas y necesidades de la
organizacin, y de Jo cambiante de los sistemas. Una organiLacin consolidada
posiblemente requiera un plan maestro a ms largo plazo que una organincin
de reciente creacin.
El plan maestro puede comprender cuatro subplanes:
A) El p lan estratgico de organizacin. incluye los objetivos de la organizacin
a largo p lazo, el med io ambiente, los factores organizacionalcs que sern
afectados, as como sus priorid ades, el person al reqt crido, su actualizacin, d esarrollo y capacitacin.
B) El plan estratgico de sistemas de illformacin. Se debe elaboro , el plan
estratgico y Jos objetivos planteados a largo p lazo dentro de un plan estratgico de informacin, y las implicaciones que tendr dentro de la organizacin en general y en la organizacin de informtica.
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los
objetivos planteados.
D) El plan de aplicaciones de sistemas de informacin. Define los sistemas de
Unpla'
gra r un det
cadas d entr
ldentif
ldentif
De tem
Detem
Dele m
Detern
Plan de!
continge
en caso
Una insta!.
razones: hr
mas d el ec
ocurre ncia
ni2acin. S
d eben lenE
d e recupcr
en cuentre~
topara la
Plan de proyectos
Consiste en el plan bsico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organizacin
y con aquellos sealados en el plan maestro. Es importante que este p lan no
slo contemple los sistemas, sino tambin las prioridades y el momento en el
cual se desarrollarn los sistemas.
EvAL
Para logra
d e organi2
O rgan
Funcic
Objeti
Anli~
Manu;
Manu.
lnstru
Un plan de proyectos debe contener l,ls actividades bsicas para poder lograr un determinado proyecto. Las principale& tareas que deben estar especificadas dentro de un p lan de proyecto son:
1e
Jos
ica es
>bjetindu!'llder
de la
.dada
acin
acin
;ern
iliza-
plan
!Stragani~rlos
lSde
on el
bien
eguKin
n no
en el
61
EVALUACION DE
LA ESTRUCT\JAA
ORGNICA
62
CAPfruLO 3
AUOITOAiA OE
LA FUNCIN DE
INFORMTICA
Objetivos de la direccin.
Polticas y normas de la direccin.
Planeacin.
El director de informtica y aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre estructura orgnica, funciones, objetivos y polfticas.
Bsicamente, el departamento de informtica puede estar dentro de a lguno
de estos tipos de dependencia:
Direccin
de informtica
Las n
perfectarr
lugares d
e n un lug
otro lugar
cio nesqu<
tener bien
La ve.
centraliza
se debe te1
dcpartam<
zos o la dl
En la a
dnde re<
uti lizadas
nizacins<
muy claro
es el respo
zacin del
Dentro
d e tener m
los sistema
te la creado
pero con la
sistema der
Laresp
y en qu gr
tralizada o'
ntacin ocu
minicompu
e l desarrolle
tener poltic
cin deequi
sicin de e<;
cual hace nE
mas y plata!
D) La Cl
EsrRu
Un o de los el
Un personal
repercute dir
!mente, es la
:a, o departa;e le conoca,
administra tie se presenta
a. La ventaja
nformtica y
listemas.
~rados como
d requerida.
que un rea
te o director
>miento de
dentro de la
s, lo que da
tein se usaes recomenpenda de la
la.
demformalle pem;)5 y, por lo
de acuerdo
a direccin
EsTRUCTURA ORGNICA
ntos de in-
as normas,
:a, aunque
1 direccin
troles.
63
64
CAPiTULO 3
AUOITORIA DE
LA FUNCIN D E
INFORMTICA
Permil
estructura
C<
C<
To
Si algun
Ma
Me
Por qu
OBJETIVO DE LA ESTRUCTURA
La estructura actual est encaminada a la consecucin de los objetivos del
rea? Explique en qu forma.
Se consi
dida actu<
No, por e
si
si
si
NO
NO
NO
NO
El rea y
No, qu
NIVELES JERRQUICOS
Es conveniente conocer los niveles jerrquicos para poder evaluar si son los
necesarios y si estn bien definidos.
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del rea?
SI
NO
Se debe te
to, ya que
dan a los p
Los pues
llevar a cab
No, porqc
Operacin?
Supervisin?
Control?
sr
sr
sr
NO
NO
NO
Anh~
Progra
65
sJ
sJ
sJ
NO
NO
NO
sJ
sJ
NO
NO
DEPAATAMENTALIZACIN
obetiVos del
0 EI
NO
PUESTOS
s1
son tos
y suliclentes
SI
NO
Se debe tener cuidado de que estn bien definidas las funciones de cada pues
to ya que desafortunadamente ex1ste mucha confus1n en los nombres que se
dan a los puestos dentro del med10 de la Informtica.
Los puestos actuales son adecuados a las necesidades que tiene el rea para
si
NO
llevar a cabo sus funciones?
No. por qu razn?
si
si
NO
NO
NO
Anlisis.
Programacin.
EVALUACIN DE
LA ESTRUCTURA
ORGNICA
66
CAPITULO 3
AUDITOAAA DE
LA FUNCIO>I DE
INFORMTICA
Tcnocos.
Operacin.
Captura.
Admonostrador de bases de datos.
Comunicacin y redes.
Ooreccon
Admintstrativos.
Otros.
D~rector
Subdirector.
Jefes de depanamento.
Jefes de seccon.
Jetes de rea.
So exp que
NO
S? Por qu?
-----
--
----
FuNel
o los puestos
La fu ncwnes t
g nt'tl con
d
EXPECTATIVAS
Dentro de las expectatovas se po oeden detectar. en algunas ocasiones, detooer>coas y frustracoones de las personas.
COnsidera qua debe revisarse fa estructura actual. a f n de hacerla ms efiCiente?
s1
NO
S? Por qu razn?
Se han es
Por qu no?
(,Las
funr~vd
Por qu no
Cul es la estructura que propondra?
, Estn por e
cua
es 1a
AUTORIDAD
67
SI
HO
HO
SI
HO
S epl>que en qu casos.
Existe en el rea algn sistema de sugerencias y quejas por parte dol personal?
HO
FuNCIONEs
ISIO
,,.
SI
HO
Porqu no?
EVAI.UACION OC
LA ESTRUCTURA
ORGNICA
--------
HO
68
Sonada<~
CAPfT\11.0 3
AUDITORIA DE
LA F\JioiCIN DE
tN.OAMATICA
En caso
PartiCip el rea en su lormulacin?
COINCIDENCIAS
Se debe tener CUidado en que se conozcan las funciones del rea.
Las funciones estn encam1nadas a la consecucin de los objetivos lnshtuaona
les e internos?
s1 NO
No por qu?
SI
NO
NO
SI
NO
ADECUADAS
Debemos tener cudado. ya que en esta rea podemos detectar malestares ele\
personal, debido a que SI las funciones no son adecuadas a las necesidades
pueden ex1sttr problemas de deftnicin de funCiones o bien de cargas de trabao.
No. por qu?
Son adecuadas a la realidad las funciones?
En caso negativo, por qu no son adecuadas?
SI
NO
Las aCttVtd8~
astgnadas?
SI
EVALUACIN DE
lA ESTFIUCTURA
----------
ORGANICA
Sl
NO
SI
NO
SI
NO
,De qu bpo?
---- -----na
-------- -
SI
NO
CUMPLIMIENTO
Esta seccin nos sirve para evaluar el grado de cumplimiento de las funciones
de! personal.
Estn delimitadas fas funcoones?
A Miel de departamento?
A novel de puesto?
69
NO
Si
NO
si
NO
No. porqu?
----
Las actovodades que realiza el personal son acordes a las runcoones que llene
asignadas?
SI
NO
70
CAPITULO 3
AUOITOAIA CE
LA FUNCIN DE
INFORMATICA
Cul es la causa?
De qu l1p
Cul es el
Las actividades que realiza actualmente cumplen en su totalidad con las fun
aones confendas?
81
HO
Se lo prop
No, que le
Fatta de personal
Personal no capecltado.
Cargas de trabajo excesivas.
Porque realiza otras actividades.
La forma en que las ordena
SI
SI
si
SI
SI
HO
HO
HO
HO
HO
Para cumplh
Si, qu tiPQ
Con qu fn
A cuntas 1
Eventual?
Cules son
SIStemtiCa?
Otras?
Tienen programas y tareas encomendadas?
Ex1ste dupt
SI
NO
Si, qu conl
No, porqu?
Existe duphc
Permiten cumplir con los programas
operacin)?
NO
Si, cules y
La dupf!Cidae
S, cul es la
No, cul es s
es
APOYOS
71
EVALUACIN DE
SI
1<0
si
NO
De qu topo?
Cul es el rea que proporciona el apoyo?
n-
1<0
----Cules son?
------------DUPUCIDAD
Exoste duplicidad de !unciones en la misma rea?
S{
t-0
SI
1<0
- - - - - -- - -
lA ESTRUCTURA
OllGN<OCA
72
Cul?
Si, cules?
De qul
Se pueden transferir funcionas?
SI
NO
Cmo
Se har
En
q.,.
Por qu1
OBJETIVOS
Qu pn
Uno de los posibles problcmds o descontentos que puede tener el peroon.1 l es l'l
desconocimiento de los objetivos de la organizacin, lo C\IOI puede deberse a
una falta de definicin de los objetivos; esto provoca que no se pueda tener una
planeacin adecuada.
Ofrecemos un cuc;honario que sirve para evaluar los ObJetivos.
Se han
EXISTENCIA
A quon
111
NO
t.Ou n q
Qu m6
NO
Por que
Los de la direccin?
Los de la subdireccin?
Los det departamento/ohc1na?
Los de otros departamentos/ofoconas?
SI
SI
SI
NO
NO
NO
&1
NO
Cmo al
dado a ce
Abarcan
<-Qu asp
&1
NO
Los obe
SI
NO
Son real
73
EVALUACION DE
LA ESTRUCTURA
ClAGI<ICA
FORMALES
,se han deltnido por escnto los obettvos del rea?
NO
sj
En qu documentos? (Recabartos.)
--~----~--
- -- -- -- -- -- -- -- --
les el
~rse
runa
-----------
-----
CONOCIMIENTO
Se han dado a conocer los obetivos?
SI
r-.'0
ADECUADOS
Abarcan los objetvos toda la operact6n del rea?
SI
NO
SI
NO
SJ
NO
, Ou aspectos no se cubren?
74
SI
Se pueden alcanzar?
CAPITuL03
AUOITORIA OE
lA fUNCI()tl OE
INFORMATOCA
NO
Quin
Por qu?
re~
De qu
SI
NO
Se~alan cules
si
NO
si
NO
SI
NO
SI
NO
Part1C1pa
Cundo
De qu
Por que
Qus
CUMPLIMIENTO
En qu grado se cumplen los obJetivos?
Existen mecan1smos para conocer el grado de cumpl1m1ento de los objetivos?
si
NO
ANL
l'ntr~
SI, cules?
No, de qu manera se establece el grado de cumplimiento?
M'
ACTUALIZACIN
Se reVIsan los objetiVOS?
Por s1stema?
las d
mformtic;
61,1. Las fu
m~1dor, en
si
NO
han di
m,1dor l, pi
F.sto h
nivLIes, fll
ellos consi
mdu el gra
l.ls que COl
analizar la
funciones
niv<'ll.'s de
S1 no 1
,,ctuol plaj
1m,1gen gt
Criter
Agrul
Agru)
Local
Local
realz
75
Sl
NO
ANLISIS DE ORGANIZACIONES
Entre ldS diferentes formas de la estructura organizacional de la direccin de
mfonntica no existe una evaluacin concreta y aceptada de las funciones de
esta. Las funciones que en una organizacin son consideradas como de progra
mador, en otra pueden ser de analista o de analista programador, y en algunas
se han d ividido ciertas funciones con diferentes niveles, por ejemplo, progra
mador 1, programador 11, et~tcra.
Esto ha dado por resu ltado que, al no existir una definicin clara de los
niveles, funciones y conocmicntos, las personas se designen con el titulo que
ellos consideran pertinente; por ejemplo, ingeniero en sistemas (sin haber obte
nido el grado), analista de si<. temas, o bien que en algunos pases existan escuelas que confieran grados acadmicos que no son reconocidos oficialmente. Al
111alinr las organizaciones debemos tener muy en cuenta si estn definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
niveles de la organizacin.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el
actual plan de organizacin, ya que esto facilita el estud io y proporciona una
imagen general de la organizacin.
Criterios para analizar o rganigramas:
Elaboracin
del organigrama
76
CAPiTULO 3
AUDITORIA DE
LA FUNCION DE
INFORMTICA
Cuando se estudia la estru ctura o rgnica es importante hacer algunas anotaciones sobre las tareas asignad as a cada puesto y responder las siguientes preguntas:
Se deja
Est cap
No, por e
Es eficaz
No, por q
Es adecu
No, por q1
Es freC<Jel
El persoo
No, anote r
Se deber obtener informacin sobre la situacin del personal del rea, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin
de recursos humanos. A continuacin tm ejemp lo de cuestionario para obtener
informacin sobre los siguientes aspectos:
Desempeo y comportamiento.
Condiciones de ambiente de trabajo.
Organ izacin en el trabajo.
Desarrollo y motivacin.
Capacitacin y supervisin.
En general,
cidos?
No, por qu
Alguna de
trabajo?
Si, qu se
Respeta el
No, porqu
Existe coo~
No, por qu
--~
DESEMPEO Y CUMPLIMIENTO
El personal
Presenta el
10.
a.
veles
si
EVAlUACIN DE
lOS RECURSOS
NO
s/
NO
SI
NO
No. porqu?
Es frecuente la repetiCin de los trabaos encomendados?
NO
bi~ti-
;ociue
do
da
y procedimientos estable
NO
No, porqu?
NO
$1, qu se hace al respecto?
ra
n
er
SI
NO
Exoste cooperacin por parte del personal para la realizacin del trabajo?
SI
NO
No, ,por qu?
Sl
NO
NO
HUMANOS
.___78
~Cmo
Porqu
CAPACITA CIN
~Cmo
Uno de los puntos que se deben evaluar con ms detalle dentro del area de
mformtica es la capaotacin; esto se debe al proceso cambiante y al desarrolo
de nuevas tecnologlas en el rea.
Los programas de capacrtacin Incluyen al personal de:
Drreccin.
Anlisis .
Programacin
Operacin .
Administracin.
Admimstrador de bases de datos.
Comunlcac1onos redes.
Captura.
Otros (espeCJftque).
~Por qu
,cual es
(
(
(
)
)
)
( )
( )
( )
( )
( )
( )
NO
si
NO
SI
NO
No, porqu?
Cua es
SUPERVISIN
f VAlUACION De
LOS RECURSOS
HUMANOS
lo
,P., qu no se evala?
Cul es la ftnahdad de la evaluacin del personal?
LIMITANTES
Cules son los princtpales factores externos que limrtan el desempeo del personal del rea?
Cual es et
AnfiSIS?
Operactn?
Admtntstracln?
Captura?
Programacin?
Direccin?
Adm n straCtn de bases de datos?
ComuntC&CIOnes redes?
Tecnocos?
Otros? (espectftque).
( )
( )
( )
(
(
)
)
(
(
(
(
(
)
)
)
)
80
SI
NO
Nor
tant
test
bier
pod
8i
NO
Es
S cmo se SOiucoonan?
Otras reas externas presentan queas sobre la capacidad y/o atencin del
personal del rea?
SI
NO
SI,
2ac~
Elar
1mpo
CONDICIONES DE TRABAJO
El
Para poder trabaar se reqUiere que se tenga una adecuada rea de trabaJO. con
mayor razn en un rea en la que se debe hacer un trabaJO de 1nvest1gac1n e
intelectual.
No,,
SI
NO
Cu
si
NO
Cl
Cmo se resuelven?
81
REMUNERACIONES
EVAlUACIN DE
el
el
Trabajo desempe~ado?
Puestos simolares en otras organozacoones?
Puestos slmolares en otras reas?
Conseguir informacin sobre tos sueldos de tos mismos niveles en otras organi
zac1ones.
AMBIENTE
El ambiente en el rea de informtica, principalmente en programacin, es muy
importante para lograr un adecuado desarrollo.
El personal est Integrado como grupo de trabajo?
n
SI
NO
si
si
si
NO
SI
si
si
si
si
si
NO
NO
NO
NO
NO
NO
NO
NO
LOS RECURSOS
HUMANOS
82
dl>S<~:n ext
nado.... Ene
poder haet
qm la' op1
b .. to nc
AUOITOAlA OE
LA FUNCION OE
IN"ORMATICA
Gr.1do
Gr,ldo
h\OS.
En cant1dad?
sj
NO
En calidad?
SI
NO
SI
NO
~..lh ... ta
C.1paci
Ob>-crv
Ofrtcc
Esl prevista la sustitucin del personal clave?
No, por qu?
1 No
DESARROLLO Y MOTIVACIN
2 Pue
6. 0..
no se realiza?
3 Put
4. Pue
5. Nur
A~
Acd
9 C<
10 CO
11 Scll
12 En
CS11
Exsta oportunidad de ascensos y promociones?
sj
NO
13
14
C6
,C6
15 C
16 ,eo
\7 Sd
t8 Metl
allo
t9 Cl
20 Obsi
NOTA En e
lnlormt.ca
lnlcales E
nas y com
84
6.
CAPf'ruLO 3
AUDITORiAOE
LA FUNCIN DE
INFORMTICA
t)
S
e
A
G
In
PRESUPUESTOS
7.
e
A1
Al
Ro
MI
01
NOTA: Se debern pedir los costos, presupuestos y ca ractersticas de los equipos sealados en los puntos anteriores, adems de contestar el cuestionario, del
cual se ofrece un ejemplo a continuacin:
8.
Ce
RE
1.
2.
Cual es el gasto total anual del rea de informtica incluyendo renta del
equipo y administracin del centro de cmputo (gastos directos o indirectos)?
3.
4.
5.
Mobiliario en general
Consumibles
Equipo
Software
Mantenimiento
Equipo auxiliar
Papelera
Cintas, discos, etctera
Ot
Pueden
este caSI
Usuario?
Por aplicacin?
Proveedor
El
sr
NO
A continua
recursos fu
Quin ir
Se respo
No, en q
6.
as romo
situacin
otra;
(
(
(
(
(
(
(
(
( )
( )
( )
( )
( )
del
rectos)?
8.
)
)
)
)
)
)
)
)
(
(
(
(
Jire<:
RECURSOS FINANCIEROS
SI
NO
85
SITUACION
PRESUPUESTAL
V FINANCIERA
.___ 86
ADECUACIN
CAPITuLO 3
AUOITORiA DE
LA F\JNCIN DE
INFORMnCA
Los recursos hnanc1eros con que cuenta el rea, son sufcenres para alcanzar
los objet1vos y metas establecdos?
NO
No, qu efectos se han tenido en el rea al no contar con suficientes recursos
financieros?
En cas
defic1e1
Qu 1
Se cu
desarrc
RECURSOS MATERIALES
(.POr q
PROGRAMACIN
Existe un programa sobre los requenmientos del area?
SI
NO
SI
NO
Qu
ADECUACIN
(.Qu r
Los recursos matenales que se le proporcionan al rea, son sui!Cientes para
cumplir con las funciones encomendadas?
81
NO
Exista
(.EXIste
Los recursos malenates se proporcionan oportunamente?
81
NO
a los recur
Cuate
SERVICIOS GENERALES
Ex1ste un programa sobre los servicios generales que requiere el rea?
81
NO
Considera los S81'111C108 generales que se propo<coooan al rea
Adecuados?
Suficientes?
Oportunos?
Sobre
Con
(.Se rae
correctl
SITUACIN
s para aJcanz
SI
PRESUPUESTAI..
NO
YANANCIERA
IUgl<ei1CI8S
MOBILIARIO Y EQUIPO
SI
NO
su trabao?
si
NO
SI
NO
NO
NO
10
CAPTULO
Evaluacin
de los sistemas
OBJETIVOS
Al finalizar este captulo, usted:
1. Evaluar si las organi~aciones que se van a audilar cuentan con los slste
mas necesarios para cumplir con sus funciones.
2. Explicar la importancia de la evaluacin del disei'lo lgico de un sistema y
de su desarrollo.
3. Dehmr las caractersticas pnncipales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocer el contenido mnimo que deben tener los instructivos de operacin
de los sistemas.
5. Describir cules son los trabajos que se deben realizar para iniciar la operacin de un sistema.
6. Explicar la importancia de las entrevistas a los usuanos para comparar los
datos con los proporcionados por la direccin de Informtica.
7. Conocer los sealamientos pnncipales relacionados con los derechos de
autor y la informtica.
90
CAPITUL04
EVALUACION
DE LOS SISTEMAS
E vALUACiN DE SISTEMAS
Existen dtversas formas por medio de las cuales las organizacione<; puedm cont.:
con el 5oftware necesario para cumplir con sus requerimientO!>; entre ella. se
encuenltan:
Elaborado por el usuario, o bien un software comercial. El que el usuario elabore un determmado software tiene las siguientes ventajas: normalmente e;
desarrollado para cubrir todas las necesidades del usuario; puede ser modifia~
do de acuerdo a las necesidades de la organilan; contiene si~temas de seguridad propios. Aunque tiene estas desventaas: es m.is costoso; su tiempo df
implementacin es ms largo, su m;mtenim iento y actua lizaciI'\, normalmente
no se hacen sobre una base peridica.
bien p u
paquetes
Por ~'ll'mll
disenadoE
tes llldl
pul.'d, tt!n
paqul'lc
por dos d
cu.11 p ued
'.vare <ue
mandos y
usar paq
tt!ner _, ir
nli(~ntos
Softwar~ compartido o regalado. Normalmente se trata de un 5oftware ;enaUo elaborado para computadoras personales, que puede ser conseguido o bajo
costo va Internet. El peligro de .,.;te tipo de <.Oftware es que puede no cumplir
con todas nuestras necesidades, adems de que se debe tener cuidado con los
programas pirata o con virus.
Se debe considerar la librera de programas de aplicacin. Sin importar la
forma de desarrollo, los prograrn<b siempre !>Dn escntos para correr en un determinado sistema operativo. Un elemento importante del sistema operativo ..
la cantidad y d iversidad de programds de aplicacin que son escritas en l, lo
cual se conoce como la librera de programas de aplicacin. Es 1mportante 1t>
mar en cuenta el Sistema operativo utilizado, ya que puede ser un tipo de <IS!ema operativo conocido como "propietario", e l cual slo puede ser usado en
mquinas de un determinado prove~.>dor.
Ald
de adquui
zacin
"'C
pero rcqu
L.1 cla
llc, pa ra 1
mas hasta
Existe
gram~
b."te
('htiln
\ (_}o.;._
lo,;n
t.~flcier
El pla
fu turo, co
,Cu)
,Cur
Qu
Cu~
1.1 cst
cursos q uo
.,;tar<>n fu
Qu
Qu
,Qu
Qu
llllar
ISse
ela-e es
fica-
'8">de
~nte
91 _
__)
EVALUACION
DE SaSTEJ.IAS
nci
>ajo
plir
los
rla
de>
es
, lo
to.teen
Existen realmente sistemas entrelazados como un todo o bien si exist-en programas aislado..
Existe un plan e"tratt'gico para la elaboracin de los sistemas o b ien si se
estn elaborando Stn el adecuado !.ealamaento de prioridades y de objeti-
eo
vos.
aas
,o
Jn
na
Ji!fe
ca
t-e
La estTatcgia de de,.,rrollo debcr.i e,tablecer las nuevas aplicaciones y recursos que proporcionar, la dareccin de uormtica y la arquitectura en que
estarn fundamentados:
:o
El plan est111tglco
92
CAPTUL04
EVALUACI0tl
OE LOS SISTEMAS
() Di se
tl
d
E
d
ll
O) Disd
;
ll
aud itora.
Se deben reunir todos los sntomas y distinguirlos antes de sealar las causas, evitando tomar los ~in tomas como causas y dejando fuera todo lo que sean
rumores sin fundamento.
los sistemas deben !-<!r C\aluados de acuerdo con el ciclo de vida que nor
malmente siguen. Para ello, se recomiendan los siguientes pasos:
Dio;e,
f)
rios?
ll
f)
lm
G) Pn
COl
H) So
nu
fae
Ta
olgi
are y soft-
Desarrollo de recomendaciones para el proyecto de sistema, incluyendo)()!; tiemp< y co:>tos del proyecto.
93
EVALUACIN
OE SISlEMAS
lebe definir
rtidpacin
cursos.
a?
oanos pla-
finicin lgica de los procesos, diccionario lgico de datos y diseo lgico de las base~ de datos.
Evaluacin dt:> la< d ifer~n tcs opciones de diseo.
Desarrollo del anlisb costo-beneficio para evaluar las implicaciones
~conmicilS
de cndJ oltcrnoHva.
s jerrquilos us uo-
todos Jos
urollo de
rcompa-
.e cuenta
detectar
de analilar de la
las caul'Jo.>sean
contraloria interna:
evaluar
:nico o
Modificacionl>s y adecuaciones.
IMtalacin.
Carga de d.ltos.
puesto.
el estu-
Evaluacin
de los sistemas
94
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS
Deficie1
Nueva
Inexpet
Diseo
Proyecc
Control
sobre el
Problen
01ento (
Inadect
Falta de
gramas
Docwn
Dificult
doCUJTIE
tna.
Problen
Proced
EvALU
En esta etap
para llevar
Sedebe1
cuatro fuent
La planE
nadoser
prender
cin. in<
justifica<
Los reqc
El in ven
bios que
Los requ
La situac
Planead<
En desar
En proce
En proce
de ms
imple
?VO, ('1)
el cual
, benes que
is para
s pol
ctitud
;, pro,rcti-
in\o-
idos.
lahosisteen tos
1yen
;;
5n.
deta
95
EVALUACIN
DEL ANAUSIS
96
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS
Se di
Se ti!
Est
Se d
tos)?
Los i
las f
El mayor
mientose>
turado cm
anlisis dE
error que
tras que e1
pru ebas d
sistemasd
que loserr
los sistem<
da osimpl
m.ientras q
sob re proc
d ecisiones
u sando he
El dia
requerimiE
grfico del
sarrollar Jo
Las m
de informa
rias para lo
son descrit
del nuevo:
El diag
la base par
nuevosiste
tado ra pri
computadc
soporte est.
tes de prog
sus caracte
COlllCnzar (
involucra e
vos y los pt
97
. ___ _
EVALUACION
DEL ANALISIS
1ales de
.n algu-
e scndtay que
Sta fase
uacorl; no se
lSar en
ls wnn st~t<.....
5n (do).
t..iveJ, Ja
no s us
.de los
o de la
>s usalS cua-
dc las
.almatemas,
neniaente a
'S pre-
tdn?
Diagrama
de llu)o de datos
98
Al utilizar
CAPITULO
EVALUACIN
OE LOS SISTEMAS
Qu deber hacer?
Cmo lo deber hacer?
Cul es la ushficacin para que se haga de la manera senalada?
Cul es la secuencia y ocurrenaa de los datos?
La definicin del pr<><<"'<>.
Los archivos y ba~ de datos utiliz.ldos.
Las salidas y reportes.
Una vez que hemos anal"ado L>stas partes se deber estud1ar la pMhapacin que tuvo el usuario en la 1dentihcacin del nuevo sistema, la partiCipacitn
de auditora interna en el d,,.,,;o de los controles y la determmacin de los
procedimientos de operacitn y decbin.
Al tener el anlis is del disc1io lgico del sistema debemos compararlo con
lo que realmente se cst. obtenk'ndo: como en el caso de la administracin, en la
cual debemos evalu.1r lo planeado, cmo fue planeado y lo que rea 1mente se
est obteniendo (lo real).
PROGRAMAS DE DESARROLLO
Los programas de de<>.1rrollo mduyen software que slo puede '-Cr U'iildo por t'l
personal que ha ten1d0 entrenamiento y experiencia; este software mcluye:
A) Lenguajes de programacin:
Lenguaje de mquina .
Ensambladores.
De tercera generacin.
De cuarta generacin:
o
o
o
o
o
4GI.S.
Query languagt>s
Generadon.'S de "'portes.
Lengua,.., naturales.
Generadores de aphc.lCiones.
Interfases<
dables y vi
Enlace de
determina
procesado'
un prograr
Capacidad
Capacidad
Licencias.
mltiple, e
T ransport.
Compatibl
Compab"bl
Fcil de u
Grado de'
Capacida
De fcil in
Demanda
Requerimi
Costo.
Seguridad
BAsEs
El banco de d.
temtica indq
La cantid,
grande, del or
Se consid
vos de datos
estn relacion
cirse que una
estructurado'
EIDBMS
de datos) es u
base de datos
El ronjunt<
m.acin de
Antonio V
1icipapacin
de Jos
Jo con
,, en Ja
!nte se
Interfases de usuario grfico, para poder disear pantallas y reportes agradables y vi su a les.
Enlace de objetos en los sistemas de informacin. Esto nos permite unir
determinados o bjetos dentro de un documento, por ejem plo, unir un
procesador de palabra con tma hoja de clculo, o bien wr informacin de
un programa o sistema a otro programa o &i>tema.
Capacidad de trabajar <.>n multiplataformns.
Capacidad de trabajar en redes.
U~ncias. Verificar el tipo de licencia que se puede contratar (individual,
mltiple, corporativa).
Transportable.
Compatible con otro software.
Compatible con perifricos.
Fal de usar.
Grado de sofisticacin.
Capacidad de utilizacin en red.
De fcil instalacin.
Demanda de hardware.
Requerimientos de memoria.
Costo.
Seguridad y confidencialidad.
99
EVA~UACIN DEL
DISE~O ~OGICO
DE~ SISTEMA
BASES DE DATOS
por el
ye:
glO:~ilriO
Base de datos
100
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS
Ejemplo
SI
ruy,1b funciones:
tl.u t-oporle a lo~
Dentro de la
1,, a1ta adnnistl
cion~s,
los usua:
Los modelo
jer.lrquicos.
De redes.
Relaciona le
Orientados
Compartir
Reduccin
Mejora de 1
lndcpende1
Incrementa
Mejora el e
l ncreJnentc
cia de la in
Problemas e
de administl
Cuando varios:
no fue disead
no existe un Ct
m.is usuarios 1
momento, y n
vos. Este tipo
computadoras
cotCtualizacione
TambinF
to, lo cual se a
de datos.
Problema
trol para que!
dl'be definir E
acceder datos
tario de la~
cuya; funciones son las de planear, d isear, organizar, operar, entreruu, as como
d.~r soporte
in ter-
osea
~cada
chivo
;es de
jerrquicos.
Dt- redes.
Relacionales.
Orientados a objetos.
oslo
nbin
Juede
Compartir datos.
Reduccin de redundan cia de datos.
Mejora de la consis tencia de los d atos.
Independencia de datos.
Incrementa la productividad del programador de aplicaciones y de usuarios.
Mejora el control y la administracin de los datos.
Incrementa el nfasis de Jos datos como un recurso. Aumenta la importan
cia de la informacin como parte fundamental de la administracin.
jes de
.query
:miza~
datos,
101
EVALUACIN DEL
DISE~O LGICO
DEL SISTEMA
102
Los
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS
CoMUNICACiN
Con
cin
Servidor y husped.
Terminal o estacin de trabajo.
Convertidores de protocolo.
Mdem.
Equipo de conexin de terminales.
Modo de comunicacin.
Medio de comunicacin.
Topologa de las redes:
o
o
o
o
que
oca~
o
o
Cost
Corr
Segt
Los
Tipo de redes:
Local.
Wide area networks (WAN).
Enterprise.
Internacional.
Tier
Compartir perifricos.
Compartir arclvos.
Compartir aplicaciones.
Reducir costos de adquisicin, instalacin y manten imiento de software.
Conexin con otras redes.
Caphua de datos en lugares que son de infom1acin.
Aumentar productividad.
Permitir expansin.
Disminuir tiempo de comunicacin.
Aumentar control.
Seguridad.
Entr
Salic
Proc
Espe
Espe
Mtc
Ope
Man
tos).
Proo
ldent
Proo
Frea
Siste1
Siste1
Resp
la inf
Nm
Softv
Base!
Enci
INFOI
Cuandos
mente en
Tiempo de respuesta. Una red que sea lenta en sus operaciones, provoca
que los usuarios la eviten o no la utilicen. Entre los problemas que puede
ocasionar esta lentitud estn:
, y ste
tamen-
icroon-
:Snson:
Costo de la red.
Compatibilidad con otras redes.
Seguridad en las redes.
Los puntos a evaluar en el d iseo lgico del sistema son:
~en el
.de las
Enhadas.
Salidas.
P1ocesos.
Espcclficaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
\<lanipulaciones de datos (antes y despus del proceso electrnico de datos).
Proceso lgico (necesario para producir informes).
ldcntficadn de archivos, tamao de los campos y registros.
P~ en lfnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables (tipos de usuarios, identificando los usuarios p ropietarios de
In informacin).
Nmero de usuarios.
Software necesario.
Bases de datos requeridos.
En ca&o de redes determinar su tipo y caractersticas.
vare.
INFORMES
Cuando se analiza un sistema de informtica es muy comn pensar exclusivamente en la parte relacionada con la informtica, olvid;\ndonos de que un siste-
103
EVALUACIN DEL
DISEAO LOOICO
DEL SISTEMA
104
CAPITulO
EVALU~CIN
DE LOS SISTEMAS
tnform.
gr,lta r
\
t~rifiCI
~tuada
Rayad!
u~l cor
En el prOCL"<iamiento:
ln stru1
a u tOlO$
qul'el)
De no:
p.~rd
s ltln
yt
o
o
"e
CXCl"'l \'
Es f.lcil de usar?
Es lgica?
Se encontraron lagunas?
Hay fa lta de control?
Firmas.
d,lmlnl
c.:omo u
fi rm,H'I<
No mbr
cJuo en
rot.>ri<ll
Encabe
qu firn
Rtulo!
,\dl'CU,l(
uhacJci(
Ubcaci
dondt.'
n,;rafa
p..u,1 C'S(
Casiller
c,lCIn r
ce..,IVOS~
Tipo dt
U"-' PF
un man
p..lr..l fl'\
Tamac
Zonas. Est.ln juntos los datos relacionados entre s? Si los datos similares estn
agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La
,,justa ,\
jo, tit_lmJ
su proceevale el
aevaluaativo y la
informacin s imilar reunida por zonas hace ms fcil su referencia, se mecanografa ms e ficientemente y se revisa con ms rapid~?.. Posteriormente, se debe
verificar que las zonas de las formas que sean utilizadas para captura estn
situadas de manera congruente con el diseo de las pantallas de captura.
Rayado. Da la forma una apariencia desordenada y difcil de entender por el
uso confuso y excesivo de lneas delgadas, gruesas o de doble raya?
Instrucciones. Se le dice al usuario cmo debe llenar la forma? Formas
autoinstructivas o que suministran la itormacin de cmo llenarlas permiten
que el personal nuevo y los otros trabajen con superv is in y errores mnimos.
De no ser as, existe un manual de llenado de rormas, el cual se debe revisar
para ver si las instrucciones son claras, si son congruentes con la forma y si son
excesivas, ya que un diseo excesivo de instrucciones puede provocar confusin y hacer que stas sean poco claras.
Firmas. Existe suficiente espacio para una firma legible? Est el espacio debidamente identificado rl!l>pecto a la fuma que se solicita? La firma se utiliza
como un mero trmite o realmente controla la persona que ftrma lo que se e;,t
rirmando?
Nombres. Se usan Jos nombres de los puestos en lugar del nombre de l individuo en la forma? No es conveniente itnprimir nombres de personas debido a la
rotacin de persona1.
Encabezados ambiguos. Se indica con exactitud qu fechas, qu nmeros o
ara escriJenar a
Casilleros. Se usan pequeos espacios enmarcados ()para con una sola indicacin reducir escritos largos o repetitivos? Los espacios son suficientes o excesivos?
llenarla
'uladn
ariencia
Tipo de papel. Son el peso y calidad d el papel apro piados para esa forma?
Use papel ms pesado y de mejor ca lidad pa ta aquellas formas que requieren
un manejo excesivo. Use papel de menor peso con formas que se usen poco,
para reducir costo y espacio en los archivos.
-es estn
mpo. La
105
EVALUACION DEL
DISEO LGICO
DEL SISTEMA
106
CAPITuLO 4
EVALUACiN
FECHA
DE LOS SISTEMAS
1 SISTEMA
1-PROPSITO
CLAVE
OUiN LO FORMULA
PERIODICIDAD
VOLUMEN EN HOJAS
EN VIGOR
DESDE _ _
COPIA
---
uso
USUARIO
ORIGINAL
1a.
2&.
3a.
4a
NUM.
PG.
DE
107.__
11
FUNCIN
DEl SISTEMA
PERIOOtCIOAO
PERKXltCIOAD
OTROS GATOS
TANTOS
~-
CO~OR
1-
1 -
FECHA
- f-
RECOPIL
EVALUACION DEL
DISEO LGICO
REVIS
iN DICE
PGINA
DE
__J
109
Figura 4.4. Evaluacin de formas
UTILIZACIN
EVALUACION DEl
DISENo lGICO
DEl SISTEMA
PREPARAC.ON
SI NO
SI NO
~MATOS ESTANOAR
SI NO
SI NO
OESCR S CLARAMENTE El
USUARIO
SI NO
si
si
NO
SI NO
si
NO
SI NO
A(QISTAO
1FECHA
NO
SI NO
si NO
si NO
si
FACILDE t.t~MAO
REPf'OOUCIR
si NO
SI NO
SI NO
SI NO
si
SI NO
~ALANCEADOS
NO
NO
'1()
NO
'1()
CONTROL
NUMERO 0E CLAVE
st NO
si
NO
-" '
ANALIZAOO POR
110
Si _ _ NO _ _
Sl
DE ESTE OOCUMENTO'I
AUTOAIZAI
O EXISTE RETRASO EN SU
FORMULACIN?
si _ _
NO
MOTIVO
E. SE USA LA FORMA
NO PARCIAL
MENTE
EN FORMA
INCORRECTA
EN FORMA
CORRECTA
SI _ _ NO
08JETIV(
13
SI _ _ NO _ _
DESTINO
oue Y CUALES
ta. COPIA
O OP NION GENERAL
2a. COPIA
3o COPIA
4a COPIA
FECHA - - - - - - - - - - AUDITOR
111.__~-
10 _
_
SSTEMA
FOR'AA
EW!ORADA NOM8RE
PUESTO
AUTORIZADA NOMBRE
~~'"~"1
OOJETlVO
- -
EVAlUACIN OEL
DISEO L0Goco
DEL SISTEMA
__
DESTINO
1ORDEN
la COPIA
:U COPIA
Ja. COPIA
1---4a.COPIA
~COPIA
6a COPIA
. .
7a. COPIA
uso
DESTINO
ORKliHAL
no es de
estndar.
112
Figura 4.7. Descripcin de formas de papelera
CAP[TUL04
EVALUACIN
DE LOS SISTEMAS
1SISTEMA
C olot. Pe
1FECHA
mas encole
l"-, son di.((
NOMBRE
OBJETIVO _ _ _ _ _ __
FRECUENCIA - - - - - - -
QUIEN FORMULA - - - - - - - - -- - - -
VOLUMEN MENSUAL _ _ _ __
FORMA DE LLENARLA - - - - - -- - -
EN VIGOR OESOE - - - - -
FOLIO IMPFIESO
OU~
sr
NO
sin (.ne~rc)
cuid ado tar
estar ident'
Como
d escri pcit
NM. DE COPIA$ - - - - - -
LA ORIGINA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
ANL
A QU DA ORIGEN
Una vez q
in (ormesp;
la encuesta
se la figura
c ribir el cor
RECOMENDACIONES AL IMPRIMIR
COPIA NM.
COLOR
FIRMA NECESAR A
cin.
ORIGINAL
Ru10c
En la audito
que tie ne ce
En prin
La trans
prcnda.2
El ruidc
solamente le
OBSERVACIONES
Koontz/O'I
CualquiE
za la con
ANALIZ
PGINA
DE
2
Kooot...: :
ANLISIS DE INFORMES
Una vez que se han esnod iado los forma tos d e entrada debem os analizar los
informes para pobteriormcnte evaluarlos con la informacin p ro po rcionada por
la encuesta a los usuarios. Como ejemplo de la descripcin de los informes va
se la figura 4.1, y para el a nlisis de los informes la figura 4.2. Des pus de des
cribir e l contenido de los informes se debe tener el anlisis de d atos e informa
rin.
Koont:t
y O'Donncl, AdmimstrRr..dtr,
McCraw-JBll.
113
EVAlUACIN DEL
DISEO LGICO
DEL SISTEMA
114
CAPITULO
4
EVALUACiN
DE LOS SISTEMAS
As, por ejemplo, si una persona se encuentra jugando, sin hacer necesariamente algn sonido, en el momento que otra est hablando, se considera como
tipo de ruido para el sistema.
En el caso de un sistema computarizado, el error en una captura, una pan
talla de la terminal demasiado llena de informacin y poco entend ible o un
reporte inadecuado se deben considerar como ruido en el sistema, ya que impi
den una buena comunicacin de la informacin. En el caso de los sistemas se
debe evaluar lo que se conoce como "sistema amigable", lo cual significa:
Que tenga las ayudas necesarias para el caso de alguna duda (help).
Que contenga los catlogos necesarios para el caso de referencias.
Que tenga las ligas automticas con otros sistemas para obtener informacin o para consulta (conexiones automticas a otras bases de datos o redes).
Que la informacin sea solicitada en forma secuencial y lgica.
Que sea de fcil lectura y, en su caso, escritura.
Que sea rpido, gil, y que contenga una limpieza que permita una fdl
visualizacin.
La redundancia es toda aquella duplicidad que tiene el sistema con la finalidad de que, en caso de que exista ruido, permita que la informacin llegue al
receptor en forma adecuada.
Podemos enviar un mensaje de la forma siguiente:
Ejemplo
Funcin de la
redundancia
Ejemplo
Lleg por avin el da martes 3 1 de octubre de 2000 del presente ao, a las
16:00 hrs. de la tarde a la ciudad de Cancn, Quintana Roo, Mxico.
En el mensaje anterior tenemos excesiva redundancia debido a que el31
de octubre de 2000 es martes y si estamos en 2000 es del presente ao. Las
16:00 hrs. siempre sern de la tarde y la ciudad de Cancn est slo en el
estado de Quintana Roo, Mxico. En cambio puede ser incompleta, ya que no
se especifica la lnea area ni el vuelo en que llegar.
La redundancia puede ser conveniente en el caso de que haya que cercie>rarsc de que la informacin se recibe correctamente. Esto estar en funcin de lo
delicada que sea la informacin y del riesgo que se corre en caso de una prdida
total o parcial de la misma.
Un ejemplo de redundancia dentro de las mquinas es el BIT de paridnd, el
cual permite que en caso de prdida de un BIT, se pueda recuperar la informa
cin que contiene el byte.
La redw1dancia es una forma de control que permite que, aunque exista
ruido, la comunicacin pueda llevarse a cabo en forma eficiente; deber haber
mayor redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de
informacin, aunque, a la vez, debemos estar conscientes de que el exceso de
redundancia puede provocar ruido.
Es el caso de un profesor que por desear ser muy claro, se dedica a dar
demasiados ejemplos; puede provocar ruido en el sentido que llega a confundir o a aburrir a sus alumnos y que el nmero excesivo de ejemplos impida
una adecuada comunicacin.
En l.
ro adeCll
mita un~
redunda
Tam
increme1
de contr
bien que
requiere
Entropi
El dicciot
Can ti
Laer
el cual es
del sisteo
En la
entra
En ut
entropa,
nera quet
otro sistet
Al cap
de infc
EvAL
En esta et.
guaje utili
hardware
Aleva
debe propo
eficazyop
obtener un
se contar
Nuevo'
cesariaa como
na panle o t<n
eimpi ?mas se
ca:
'orma05 o re-
En la auditora se debe considerar que todo sistema ha de ofrecer un nmero adecuado de redundancia, segn su nivel de importancia, de modo que permita una buena comunicacin, aun en el caso de que exis ta ruido, pero s in ser la
1\?dundancia de tal magnitud que a su vez provoqU(' ruido.
Tambin debemos considerar que con un mayor control y redundancia se
incr~mcn ta tambin el costo de los sistema . llay qu(' tene r un adecuado nivel
dr control y redundancia, que no sea de tal magnitud que provoque ruido o
b1en que no sea demasiado costoso en relacin con e l nivel de segurid ad que
r.quiere el sistema.
115
EVALUACION DEL
DESARROU.O
DEL SISTEMA
Entropa
d diccionario la defme como:
Canhdad de energa que por su degradacin no puede aprove<harse.'
na fcil
1a entropa en un s is tema, por ejemplo de un motor, es el calor que genera,
1 cual es energa que por sus caractersticas no puede aprovecharse. En el caso
la fina-
egue a l
las
131
las
nel
HIO
cercio5nde lo
:>rdida
idad, el
ormae exista
haber
dida de
ceso de
Ejemplo
dar
'un)ida
' Nrt'A'I diionario e.spool iltc.Sirado SoptmA.
Ejemplo,
116
CAPiTuLO 4
EVALliACION
DE LOS SISTEMAS
Evaluacion
de sistemas
Com
Opq
run
1S
11 1 V~
Mo
J<'ra
S...'g
U ni
ln
st.l no"'
Co~
Deb1do
f reCUllJlt
una pe
nd.1dese
d e into
de un,1 a
la tcmc~
,Que
de l pr~s
del m1s
menteup
porqu" e
e.-ta , u.11'
poroonar
l'.ua l
t.~ l
an,llist
el cu. l o;e
plan .,.
para t:val
el cual las
los progra1, Internet.
y la depenquipos que
oadosmuy
s de adngnifica que
syel desa-
Struct ured
CoNTROL DE PROYECTos
)uido son:
ddel mo:sistemas
nde aplirminales,
omunica-
Jbicacin
117
CONTROl.
DE PROYECTOS
118
CAPTUL04
EVALUACIN
DE LOS SISTE..AS
5.
6.
7
8.
9.
10.
11
12.
13.
14.
15.
16.
)
)
)
)
)
)
)
)
)
)
t 9.
De anlisis
De programE
Observaco
lllduir el 1
el departa
'"~i .1, s~gun la si
Como ejer
r.ll<'ndilrio de
s,>ll'' del sistf
ftgura 4.12; de
los m formes d
avanc<:> de pro
<Jll<'
~dcbcrJ
tran en procc:
<Umple con s~
CoNTR
V PROGf
1 1ol>Jctivo de
fu
p~lr,"' su mane:_
Lc.l::; rcv-isi
~r~.unacin, y
ctfa4.:.JC'iune~
Etapa de anl
ob)l.'livo del s
1.1~ ..~pt?dficat
F. tapa de estu
rroll,lndo el rr
mduy~:ndo el
(tapa de dis
lgico; cva.luc:
omisiones/ an
qu<' t'l costo 1
qtu.' st' detectt
tl costo que s
nar la d ..scriF
Vtsla del USut
lgic.l de cad
usua:tn al
119 _ _..J
CONTROl OE DISEO
OE SISTEMAS
0e 1nhSIS
De programacin
OOservaclones
SI (
si (
NO (
NO (
Incluir el pla.<o estimado de acuerdo con los proyectos que se tienen para
departamento de informtica s.ltfaga las necesidades de la dependenCI.I, S<'glin la situacin actual.
Como ejemplo de formato de control de proyectos vase la figura 4.8; del
altndano de actividades vase las figuras 4.9 y 4 10; del reporte de Jos respon
l.lbb del istema, vase la figura 4.11; del control de programadores, vase la
figura 4 12; de planeacin de la programacin, vase las figuras 4.13 y 4.14; de
los tnformes de avance de la programacin, va<.e la figura 4.15; de control de
l\lnct' de programacin vase figur" 4 16 y 4 17.
Se debern revisar tanto los proyecto> terminados como Jos que se encuen
lun en proceso, para verificar si se ha cumplido con el plan de trabajo o si
cumple con su funcin de medio de control.
tt~t el
arios.
YPROGRAMACIN
OO,.,tivo de esto es asegurarse de que el istema funcione conforme a las espeocacione. funcionales, a fin de que el usuario tenga la suficiente informacin
para <u manejo, operacin y aceptacin.
las revisiones se efectan en forma paralela, desde el anlisis hasta la programacin, y sus objetivos son los stgutent<>s:
Etapa de anlisis y definicin del problema. Identificar con claridad cul es el
obJetivo del sistema, eliminando inexactitudes, ambigedades y omisiones en
las e,pecificaciones.
oyec-
Etapa de estudio de factibilidad. Elabo rar el costo/ beneficio del sistema, desa
rrollando el modelo lgico, hasta llegar a la decisin de elaborarlo o rechazarlo,
incluyendo el estudio de factibilidad tcnico y las recomendaciones.
Et.lpa de diseo. Desarrollar los ob,cltvo<; del sistema; des.1rrollar el modelo
ogtco, evaluar diferentes opciones de dt~o, y descubrir errores, debilidad~-,,
omisione>, antes de iniciar la codificacin. E.~ta actividad es muy importante ya
que el co>to de corregir errores es directamt>nte proporcional al momento en
que se detectan: si se descubren en el momento de programacin ser ms alto
el costo que si se detectan en la etapa de anlisis. El anlisis deber proporcionar la descripcin del funcionamiento del sistema funcional desde el punto de
'i<ta del usuario, indicando todas las interacciones del sistema, la descripcin
16pca de cada dato, las estructuras que stos forman, el flujo de informacin
Y PROGRAM!.CIN
PROVECTO NM - -
COOAOINAOOA
FECHA
(anotar t n la primera linea las fe<:has e-&1mBdas y en lo. Sgunda las reales)
......
ACTIW>ADES
Rt~!J.A8lf
ENEROI FEB.
MARZO-
MA'1'0
JUNIO
JUU0 1 N:Jil
SCPT
OCT.
""'
OIC
....
"'
"'"
121.___ _
Figura 4.9. Calendario de actvldades
ANLISIS Y PROGRAMACIN
1=
...,..
HOJA
O<
....E AVJ>HOE
..
"''
NuM
DUC,_~II>t
MES
'
o
ooo ooo oo o o
' 1 3 .. 5 G 1 1
........
......,.,
SE""""")
........
llUA~
E
A
f---
..
11
1~
1-1-
1-
'-[ . dt-.wlO
Af'EAl
.____ 1. 22
Figura 4.10. Control de actividades del programador
SISTEMA _ _ _ _ _ _ - - - - - - - - - - -
PROGRAMA---PROGRAMAOOR _ _
ACTIVIDAD
REAL
PLANEADO
r-~,N~00~~~11t~RW~NO~~O~F~t-~IN~OO~~~T~RM~NO--r-~-F~
~---------1-1 AHAUSrS
CNF
2. DIAGRAMA I.OoiCO
3 CREAC DE PRUEBAS
4 PRUEB ESCR TORIO
5 ~FICACION
6. CAPTURA
7 COMPlLACION
8 GENER PRUEBAS
9 DEPURACfON
10 PRUEBAS
11 VERIF PRUEBAS
12 CORRECCIONES
13 DOCUMENTACtON
FINAL
ESPECIFICAR El NUMERO
DE COMPILACIONES REAI.IZAOAS - - --
- - - - - --
-------
-===================-1
PRUEBAS REAI.IZAO::A:s_ _ _
OOSERVACIONES
123
1 r--;STEMAS
,-.
METAS FIJADAS
METAS ALCANZADAS
COMENTARIOS
lf
lf=
RECURSOS
SISTEMAS
HAS. PROGRAM.
- ,__
HAS. PRUEBA
HRS. ANLISIS
.---f.--
n
u
1
1
1
1
-.
NOM~
OtAGRA.MA
CODIFICACI"f
CAPTURA
Pf:IU(aAS
IMPLANTACIN
OPERACION
OEL
RESPONSAatf
FECHA
INIC
FECHA
FINAL
FECHA
INIC
FECHA
~NAt.
FECfiA
INIC
FECHA
FINAL
rCCiiA
INIC
FECH A
FINAL
FECHA
INIC.
F=EatA
FIHAL
FECWI.
INIC
FECHA
FINAL
rTrr
SISTEMA
PR:XiROOA
BASE
OURAC.
11 PROGRAMA
I~MJM
DtAS
..
11 '
1 1
1 --
FECHA DE ENmEGA
EN
PRIORI.
-,
125_~
126
FECHJ
SISTEMA
SISTE'
USUARIO
RESP~
PROGRAMADOR - - - - - - - - - - - -- - - - -- - PROGRAMA _ _ _ _ __
FASE
PRO~
NM. FA~
CLAVE
ACTl-
V!DAO
FECHAS REAlES
MJI
FECHA 0E ENTREGA
AClMOADES
INIC.
TERM
PROO
HOJA
ORlO
DE
ACT\1
REAl
,,
!'-
L__
FECiiA
HOJA
RESI'ONSABl.E
--
IAAtFASE,NMPAOG
FECHA ENTREGA
!NTFlEGP.
1-,._
DE
S STEMA
HUEVA FEC>iA
11
REAl.
1~
l
'
1i
IT
l---
11
1
~-
rf
il
,,
------
11
1
--
NUM. FASE
NUM. PROG.I
DESCRIPCION
El PLAN
--r---
OURACION
OlAS
FECHA El'lTREGA
DEL PROGRAMA
---
f--
128
FECHA _ _ _ __
SISTEMA
PROGRAMADOR _ _ _ _ _ __ _ _ _ ___
FECHA. REAl
ov.s
NOt.l
INICIO TEAM.
N)l
OE
O<
COMPIL
PRl.
CLAVE
ACTI
VI DAD
COOIGO DE ACTIVIDADES
A
8
C
O
E
OBSERVACIONES
- - - - - - - - - - - - - - - - - --ti,
IHTERPAETACION
OlAORAUACION l OGICA
CfiEACION 0 PAUEBAS
PRUEB.AS DE
COOIFJCACK>N
F CAPTURA
O COMf>ti.ACIN
H CREACI()N EN P.-,RALElO
1 DEPURACiN
J PRUEBAS EN PAAAI.fl.O
K VERIFIC. DE PRUE8AS
l CORFIECOONES
M OOCVMEf<ITACIH
HOJA
DE
11
SISTEt.IA
CU~NTE
,..-PIIOGRAMAOOA
PAOGRAW.
FASE
lf--CV.VE
FECHAS REN..ES
NUM.
FECHA DE ENTREGA
ACT~
V10AD
ACTIVIDADES
1-
r-
INIC.
T~RM.
OAIG.
PROO
ACTU.
1--~
1
1
1
FECHA
HOJA
DE
REAL
130
CAPiruL04
EVALUACIN
OE LOS SISTEt.IAS
Esm1
dndoll' 1
amtstad (
hma, n
Usuario.
Ana Sta
Gerente de departamento.
Adm.nistradores de bases de datos
Personal de comunlcaCIOOes y redes.
Audrtores Internos
Asesores.
Otros.
grave de1
son los lU
Que
"~te no lu
e rntalad
nes o nue
En tl !
de sus rl'C
flma
c.id de~,ur
hles y h.'t.r
tomar
!r pro-
131
COHmOI. DE DISENO
DE SISTEMAS
Y PAOGAAMACION
base en
4 Cmo se controla el trabajo de tos analistas?
ntacin
mdo el
s usuaui~itos
saccio-
zando
mduaplicancumlo pre>la con
1uevo,
ny un
an las
gene>trega
~1 percomo
Todo
lacin
wnes,
1ddel
ba de
(
(
(
(
)
)
)
)
(
(
(
)
)
( )
( )
( )
( )
( )
( )
( )
( )
(
(
(
)
)
)
( )
(
Es muy frecuente que no se libere un sistema, esto es, que alguien contine
dJndole mantenimiento y que sea el nico que lo conozca. Ello puede deberse a
amstad con el usuario, falta de documentacin, mal anlisis preliminar del sish~ml, resistencia a cambiar a otro proyecto, o bien a una situacin que es muy
Diseo
del sistema
.___ 132
CAPTUL04
EVALUACION
OE lOS SISTEMAS
1,,...,
INSTRUCTIVOS DE OPERACIN
Debemos evaluar los in5tructivos de operacin de los sistemas para evit.uq
los programadores tengan acceso a los sistemas en operacin. F.l contenido m
ni m o de los instructivos de operacin deber comprender:
Observaciones.
2 En J.-.
rcnca
forma
Eau1
L1 ..,,,.,.,,...
de num1ni
si!'tttma
qul'tc de
cion de
equipos
ret1cin
de noretapas
rimero,
ndo, de
contar
cimicn
1 existir
1 inicia-
cin de
.al protdopor
equerima, sin
ado de
activ-i
j estn
os proel miselacin
:eso en
1yoca-
FoRMA DE IMPLANTACiN
ENTREVISTAS
A USUARIOS
l.l finalidad es la de evaluar los trabajos que se realizan para iniciar la operade un sistema; esto comprende: pru<ba integra l del sistema, adecuacin,
accpt.1cin por pa rte de l usuario, cn lrenam{'11IO de los responsables del sis tema. Para ello deben de conside rarse los siguientes aspectos:
CIn
133
ENTREVISTAS A USUARIOS
l,a,. entrevj,tas se debern llevar a cabo para comparar los datos proporcionados y
la situaon de la direccin de inform.ihca desde el punto de vista de los usuarios.
Ejemplo
134
CAPITuLO
EVALUACION
DE lOS SISTEMAS
ENTREVISTAS
Aunque la entrevista es una de las fuentes de informacin ms importan!<
cmo opera un sistema, no siempre tiene la efectividad que sed
que en ocasiones las personas entrevistadas pueden ser presionndas r
ana listas de sistemas, o piensan que si se hacen a lgunos cambios, 6tos
afectar su trabajo. El gerente debe de hacer del conocimiento de 1<><> entre1
dos el propsito del cstudjo.
Una gura para la entrevista puede ser la siguiente:
~aber
CuESTIONARIO
El diseo de un cuestionario debe tener W1a adea.ada preparacin,.
cn, preevaluacin y evaluacin. Algunas guas generales son:
l.
2.
3.
4.
los servicios
nputadora y
OS Jos USUtl
importante.;
6.
7.
b
9.
>rtante para
ya
das por los
tos podra11
entrevista-
el tiempo de respuesta y de escritura sea breve (aunque se deben dejar abiertas las observaciones). Elimine todas aquellas preguntas que no tengan un
objetivo claro, o que sean improcedentes.
Limite el nmem de preguntas para evitar que sea demasiado el tiempo de
contestacin y que se pierda e l inters de la persona.
Implemente un cuestionario p iloto, p,lTa cv~luar que todas las p regu11tas
sean claras y gue las respuestas sean J,s esperadas.
Disee e implemente un p lan de recoleccin de datos.
Determine e l mtodo de anlisis que ser usado.
Distribuya los cuestionarios y dles seguimiento para obtener las respuestas deseadas; asimismo, analice los resultados.
Procure que su cuestionario responda a las siguientes preguntas:
;e desea,
rsonas que
in.
2.
3.
~
;
;.
6.
.lbtenida y
7.
minar?
Cmo se p uede cambiar el procedim ien to para eliminarlos?
Existe un proced imiento que sea redundante o repetitivo?
Cmo se podra eliminar esta repeticin?
unn comunicacin completa entre ste y e l responsable del desarrollo del siste-
elabora-
los objeti-
-.egativo),
odaclariormaquc
ENTREVISTAS
A USUARIOS
mizacin y
1darcomo
135
m~. En ella se deben definir claramente los e lementos con que cuenta el usuario, las necesidades del proceso de informacin y los reque rim ientos de orm~cin d e salida, a lmacenada o impresa.
En esta misma etapa debi haberse definido la calidad de la ormacin
que ser p rocesada por la computadora, establecindose los riesgos de la misma y la forma de minimizarlos. Para eUo se debieron definir los controles adecuados, establecind ose adems los ni veles de acceso a la informacin, es decir,
quin tiene privilegio de consultar, modificar o incluso borrar informacin.
E.\ta etapa habr de ser cuidadosamente verificada por el auditor interno
.,pecialista en sistemas y por el auditor en informtica, para comprobar que se
logr una adecuada comprensin de los requerimientos del usuario y un control "'tisfactorio de informacin.
Para verificar si los servicios que se proporcionan a los usuarios son los
rl>queridos y que se estn proporcionando en forma adecuada, cuando menos
serJ preciso considerar la siguiente informacin:
Requerimientos
del usuario
136
CAPiTULO
EVALUACIN
0E LOS SISTEMAS
8.
sr
Por qu?
t.o
B. Aceptable
C. Satisfactono
10
O. Excelente
Por qu?
B. Parcialmente
11
C. La mayor parte
D. Todas
Porqu?
B. Aceptable
C. Sahsfactono
D. Excelente
12
Por qu?
B. Ocasoonalmente
C. Regularmente
D. Siempre
o.
Por qu?
13
6. Conoce los costos de los serv~cios proporcionados?
Si
NO
7. Qu opina det costo del servicio proporcionado por el departamento de procesos electrnicos?
A. Excesivo
Por qu?
B. Mlnimo
C. Regular O. Adecuado
14
E. No lo conoce
15
8 <Son entregados
A. Nunca
8 Rara vez
O. Generalmente
E. S1empre
137
ENTREVISTA$
A USUARIOS
C. Ocas1ona1mente
B. Aceptable
C. Satisfactoria
D. Excelente
Por qu?
------
-----
A Insatisfactoria
B. Satisfactoria
C. Excelente
Por qu?
o Todas
A. No se proporc1ona
C. SatiSfactoria
B.
Es insuficiente
D. Excelente
Por qu?
A. Nula
B Aiesgosa
D. Excelente
E. lo desconoce
C Satisfactoria
Porqu?
conoce
SI
NO
138
CAPITULO 4
EVALUACIN
OE LOS SISTEMAS
SI
DeRECHOS DE AUTOR
Y SECRETOS INDUSTRIALES
En relacin con las disposiciones jurdicas adecuadas para la actividad info:
mtica, la Cmara de Diputados y el instituto Nacional de Estadstica, Geogr
fa e Informtica (TNEG!) organizaron un foro de consulta sobre derecho e.,.
formtica. Como resultado, se recopilaron opiniones, propuestas y experier
cias re lacionadas con diversos aspectos, entre los que destacan: las garantias
para la informacin personal almacenada en bases de datos y la proteccin jurid ica de datos de carcter estratgico; la tipificacin de deUtos informticO>;
valor probatorio del documento electrnico, y la proteccin de derechos de~"
tor para quienes desarrollan programas para computadora.
Dentro del concepto de propiedad inte lech1aL uno de los aspectos ms im
portantes es el que se refiere a los derechos de autor, el cual involucra la p.m.
ms importante del desarrollo intelectual de las personas, ya que se refiere a la;
ramas Utcraria, cientfica, tcnica. jurdica, musical, pictrica, escultrica, arqm
mejor sus e
patrimonio
El prog
pn francs e
dor, es un co
blc por m'l
mcntodela
dos determ
Cadav
obras acree(
ltimas adiq
parar entre
Articul(,
todo cr
en virtut
privileg
La legi
catlogo de
~n.
139
DERECHOS
DE AUTOR
Y SECRETOS
INDUSTRIALES
nrs~ltJbrJn compromisos unas con otras plrn dJr una proteccin internacional
a los autores. En general, se admite qut> Wll cinco las rawnes de la proteccin.
nfor-
::>gra-
e inrien-
ntias
juri-
En pnmer lugar, por una razn de justicia social: el autor debe obtener pro
100>0 de su trabajo. Los ingresos que perciba, d~>ben e~tar en funcin de la aco
g.da del pblico a sus obras y de sus cond1cion,.., de explotacin: las "regalas"
l(ln. en cit.'rlo modo, los salarios de los trab.11adores intelectuales.
En ...gundo, por una razn de des.urollo cultural; 'i ""t protegido, el autor
"A' \cr~ estimulado para crear nuevas obras, enriqueciendo de esta manera la
reraturd, el teatro, la msica, los programas de computacin elaborados en su
pafs. Nad1e debe realizar un trabajo sin que sea debidamente remunerado; del
m1!tmo modo, los que, por su trabajo, 'jU int{ligtmci.l, hU experiencia, contribu
)~na la elaboracin de programas y sistemas de cmputo, deben de ser debidamente remunerados.
En tercero, por una raz6n de orden econmico; las inversiones que son necesarias, por ejemplo, para la elaboracin de un sistema de cmputo ser n ms
fcilr~ de obtener si existe una protecci11 efectiva.
En cuarto, por w1a razn de orden moral; a l ~er la obra la expresin personal
MI pr11samieUo del autor, ste debe tener del'('cho a que se respete, es decir,
defl'Cho a decidir s1 puede ser reproducida o (*'CUlada en pblico, cundo y cmo,
ydefl'<'ho a oponerse a toda deformacill o mutilacin cuando se utiliza la obra.
En qumto lugar, por una razn de prc>ligo nacional: el conjunto de las
obra' de los autore. de un pas reflea el alma de 1.1 nacin y permite conocer
~r ous costumbres, sus usos, sus a'piracion'"' S la proteccin no existe, el
p.>lnmonio cultural ser escaso y no se desarroiiMan la' artes.
El program,l de computacin, conocido en ~ngls como computer progmm y
en franco!' como program~ d 'ordinal~ur, y tambi(on llamado programa de ordena
dor, es un conjunto de instrucciones que, cuando se incorpora a un soporte legi
ble por m,quina, puede hacer que una m.iqu111a con capacidad para el trata
mic1110 de la informacin ind ique, realice o consiga lUla funcin, ta rea o resu lta
dos determinados.
Cada vez se acepta con mayor frecuencia que los programas originales son
obras acreedoras a la proteccin que otorga el derecho de autor. Una de las
ltimas adiciones de que fue objeto la precedente ley a u toral, consisti en incor
porar entre las obras protegidas a los programas de computacin.
::>S; el
eau
; im-
tc.ldo <'f\'ador de obras literarias y artsticas. pn.v1"ttd.., ('n t.~l artculo 13 de esta Ley,
,.., \'ortud del cual otorga su proteccin para qw d aut<>r goce de prerrogab\'as y
privllegit~ exclusivos de carcter peff.Onal y patrimonial
parte
a las
rqui-
Programa de
computacin
140
CAPITULO 4
EVALUACIN
OE LOS SISTE~S
LFDA), les ded ica un captulo especial (captulo IV <.1 ~1 tftulo IV) con reg\
particu la res tam bin sobl"(' prOll'cdn.
Artculo 13. Los dl... tl>thtl' dt. autor a que~ refien. t."Sta Ll'y M.- rt!("()nocen re>r>il
de las obras de la~ 'Jguu.nt~~ ramas:
[...[
XI. Program.- <.1~ <mpuh>;
1--1
Las dcm.is obra-. qut por analoga puedan C\)n.,lder.u..,.. obras literaria!~ o utsticas se incluirn {In 1.1 r~1ma qu~ les sea ms afio a su n.t~turaleza.
Artculo 83. Salvo patto en contrario, la personn fc:ict"l o moral que comiiolllf :1
la produccin d(' un.l Hbr.l o que Ja prod.u:tca con 1.1 c.:oltlbor.lcin remunerada
o trcls, gozar de )1 titulnridad de los derechos patrimon~tllt.>s sobre la misma y 1.:
correl:ipondern facultadt~ rt:'l.1tlvas a la divulgnci~n. mt~gridad d e la obra y dt
coleccin sobtl' c...t~ hpo dt cl\'acion,;s.
La per:c;ona qut> partkape ttn la realizacin de la obra. en forma remunerad4.
hndr el derecho a que ~ le mencione expresamente "'U cahdad de autor, artiq4.
mtrprete o qecutant~ "-.t>re la p.>rte o parte> m ruva Cl\'aon haya participado.
Artt(u!o 8-1 Cuando se tr.ltl' de una obra reahz.1da como C()l"b'Uencia de UN
relacin laboral e.tabll'\:ld.i a trav~ de un contrato mdav1du~l de trabajo que CONte por escrito, a f.llt,l tll p.1rto ~n contrario, se prt.~umu.l c.ru~ los dt>rechos patnm&nialcs se dividen por part('s igu.lle:; entre empleador y l'mplt.ado.
El empleador podr.t davulga.r la obra sin autori7;can del empleado, pero 1\1
.11 contrario. A falta dr ro, tr.Ho ind ividual de t rabHjo poi' (':;Crito, los derech os patri monia les oo rre~po n llt r,,n al timp lead o.
1
marr
de r<
el P'
p ren
por
pro
incl
ma
ma<
ni <.k
Did
n.as
pub
dieh
C..pltulo IV
den
ha><
dio
las e
m en
Ley
Z.JO(
tl.m
ele(t
l< e
dcct
y l~l J
onda'
centt
51001
cond
eglas
o arsione
la de
1 y le
dt...
rada,
11sla,
ado.
!una
rons-unoro no
pa-
oJ en
una
una
hrru-
am"-'
nte o
por
.,. un
; por
CCIO-
tode
eto a
\,el
una
"" el
pre;btu-
141
DERECHOS
DE AIJTOfl
V SECRET06
INDUSTRIALES
Derechos
de autor
142
CAPiTUL04
EVALUACIN
DE LOS SISTEMAS
tegidas por esta Ley que hayan sido deformadas, modificadas o mutiladas sin"
tori?.acin del titular del derecho de autor;
V. Importar, vender, arrendar o realizar cualquier acto que permita tener
n. De mil hasta cinco m il das de salario mnimo en los casos previs tosenb
nr. De quinientos hasta mil das de salario mnimo en los dems casos a qutw
INTERNET
El Internet, considerado como tma coleccin de red es interconectadas o como
un conjunto de computad oras u nidas e ntre s, no ha sido tomado en cuentl
entre las disposiciones que se acaban de mencionar.
Pa ra obtener acceso a Internet se requ ie re u n equipo q ue est al a lcance de!
pblico en general, por lo que cualquier persona puede entrar a la red de redes
de comunicacin si contrata los servicios de un p roveedor de acceso.
Recientemente h an surgido empresas proveedoras de servicios dedicados
a ofrecer en renta conexiones a Inte rnet, ya sea de manera d irecta, indirecta o
parcial, siendo las propias empresas las que proporcionan el equipo necesario
para tener acceso.
Los proveedores de servidos son los responsables de la informacin que
ponen al servido de sus usuarios, ya que dichas comp a\ias son encargadas de
d ivulgar y contro la r la informacin transmitida por Internet.
polmicas
trumento
Internet. S
disco duro
In ternet. E
una ova
Cuand
atribuye g1
pus,extra
cookiesu, e
Estop
visitantes J
entre vari1
que permi
electrnic
anuncianb
El e~
todo en e<
lnea, la ce
todepaga
grabando
Teri<
un servid~
Las re
nes han al
verdader
cin de d <
do su nav
den borra
programa
La sit
determim
de Intern<
:med io,
legti
IS
ausaha-
tiali.t:ar
c:hos de
lares en
:mer un
.icosde
rganis-
m proresente
multa:
;tos en
en
la~
que se
gene>cual-
podr
te\"S-
:omo
Jenta
del
-edes
"e
ados
cta o
sario
que
ISde
Son muy complejos los aspectos tcnicos que implica conocer las acciones
llevadas a cabo en Internet para determinar cu lcs pudieran constituir alguna
mfr,1ccin a los derechos de autor. No obstante, se pt1ede pensar que este sisteI!IJ de comunicacin puede originar las siguientes violaciones: al derecho moral de modificar la obra; al derecho moral de indito; al derecho de publicar la
obra bajo el propio nombre o de manera annima. Tamb1n pueden producirse
olaciones a los derechos patrimoniales cuando se transmiten obras intelectua
!..;en forma de archivos por medio de Internet, ya que se realiza una utilizacin
pblica de una obra sin la remuneracin para el autor de la creacin intelectual.
Tambin puede ser fci lmente violado el derecho de autor cuando la red
utiliza la propia imagen, de la que son titulares Jos artistas, intrp retes y ejecutan
tes, por cuanto que en Internet es posible e ncontrar un gran nmero de imge
nesque pueden ser reproducidas imprimindolas sobre papel, como carteles, o
sobre tela para obtener prendas de vestir (como playeras con la imagen del
artista preferido).
El debate sobre la proteccin de Jos datos personales en Internet reabre la
POlmica sobre el papel desempeado por los cookie, que sirven ms como inslnlmento de mercadotecnia que como medio para espiar a los usuario> de
Internet. El trmino cookie <;e aplica a un simple archivo de datos situado en el
d1sco duro del computador de una persona o compaa que ofrece servicios de
Internet. El cookie y su contenido son creados por un servidor que almacena
una o va rias pgi na~ ln tcmct.
Cuando un visitante accede a una pgina web por primera vez, e l servidor le
tribuye generalmente un nmero de identificacin con atributos, e l cookie. Despus, extrae su nombre de un fichero empleado en las plataformas Unix, los "magic
rookies", con lo que el visitante ser identificado en sus visitas ulteriores.
Esto permite al propietario de la pgina analizar el comportamiento de sus
1isitantes y personalizar sus visitas. El desplazamiento de los usuarios de Internet
entre varias pginas de una direccin se puede identificar a la perfeccin, lo
que permite "tomar not.1" del recorrido utililado ms a menudo. La direccin
electrnica podr ser modificada para satisfacer a la vez al visitante y a los
anunciantes, que pueden colocar su publicidad en el lugar ms adecuado.
fll cookie sirve tambin para g rabar lo que ocurre en estas visitas, sobr
todo en caso de compra. Si se elige, por ejemplo, un libro en una librera en
linea, la compra queda grabada en un cookie, antes de reaparecer en el mom~n
to de pagar la factura en la caja virtual. la visita tambin puede ser personalizada
grabando en el archivo cookie las informac;iones fac;ilitadas por el usuario.
Tericamente la seguriddd de estas inform.1ciones est garantizada, ya que
un servidor slo puede obtener la informacin del cookie que ha producido.
Las redes de publicidad en lnea s tienen esta capacidad. Estas innovacioll!'S han alarmado a algunas asociaciones, para quienes este sistema supone w1a
erdadcra intrusin en la vida privada de los usuarios de Internet. Esta captacin de datos se realiza s in que el usuario Jo sepa, a menos que haya configurado su navegador para ser advertido. Los que no disponen de este sist~ma pue
den borrar peridicamente el fichero cookie de su disco duro o recurrir a un
programa especial.
la situac:in de los cookie debe ser evaluada dentro de la auditora, para
determinar si se considera como una intromisin la pnvacidad de los usuarios
de Internet de una compaa.
143
DERECHOS
DE AUTOR
Y SECRETOS
INDUSTRIALES
144
CAPiTULO 4
EVALUACIN
DE LOS SISTEMAS
Las obras protegidas por la ley debern ostentar la expresin "Derechos Reo
dos" o su abreviatura D.R., seguida por el smbolo e dentro de un crculo:
embargo, la omisin de estos requisitos no implica la prdida de los dercdl
autor, aw1que sujeta al responsable a las sanciones establecidas en la 1~
La reserva de los derechos de autor es la facultad para usar y
forma exclusiva ttulos, nombres, denominaciones, caractersticas 11su:as '"
colgicas distintivas o caractersticas de operacin originales. Ahora
proteger los derechos de autor se han establecido diversos procedimien!
primero relacionado con los delitos que pueden cometerse al invadirse
cho de autor, por lo cual se estableci el artculo 215 de la Ley de
Autor, que corresponde conocer a los tribunales de la Federacin, sobre
titos relacionados con el derecho de autor, los cuales debern estar pre<Jslr"
el Cdigo Penal para el Distrito Federal, que regula los delitos en maten'~
fuero comn y para toda la Repblica en materia del fuero federal.
Independientemente de solicitar el ejercicio de la accin penaL la
afectada por Wl derecho protegido por la Ley de Derechos de Autor,
optar entre hacer va ler las acciones judiciales que le correspondan o sujeta"'
procedimiento de avenencia.
El procedimiento de avenencia tiene por objeto dirimir de manera am>
ble un conflicto surgido con motivo de la interpretacin o aplicacin de la t..
se inicia con la queja, que se presenta directamente ante el Instituto NaO"'
del Derecho de Autor.
Mediante la aplicacin del artculo 2o. de la Ley de Derechos de Au
corresponde al Instituto Nacional del Derecho de Autor su aplicacin adm
trativa, y en los casos previstos por dicha ley al Instituto Mexicano de la Proo
dad Industrial.
Mediante el arbitraje las partes podrn resolver todas las controversias ~]U<
hayan surgido en materia de derechos de autor, y podrn someterse por roed
de clusula compromisoria o compromiso arbitral.
Es de sealar que el artculo 223 de la Ley de Derechos de Autor sealaq
para ser rbitro se requiere el ser licenciado en derecho, pero no es requisilo
ser especialista en el rea en que se va a arbitrar, como sera el ser experto e
programacin, informtica o bases de datos.
Las penalidades en caso de delitos se han incrementado notablemente d.
acuerdo con lo sealado en el:
Artculos
en Materi
A rt. 82.
ocomcra
~ i gnifique
-:serva-
. Sin
hosde
,taren
y psi-
t. para
tos, el
dere-
'105 de
os detosen
;a del
rsona
podr
use al
migaley, y
jonal
t.UtOr,
ninis-
opiesque
1edio
lque
IJI. A quien produzca, reproduzca~ unport~, nlm<lcene, tra nsporte, distrib uya,
n-ndl'l o a rl'iendc copias de obras, fonogramcls, vid~ogramas o libros, protegidos
por 1.1 Ley Fcd('raJ del Derecho de Autor, ~n forma dolosa; a escala comercial y sin
la autoril..ncin q ue e n los tm1inos de la ciL.1di1 ley deba o torgar el titular de los
dt.rcchos de autor o de los derechos conex(Y.ol;
fV.las mismas sanciones se impondrn a qUien use en forma dolosa, a escala
oomC'rcial y sin la autorizacin correspondiente. obras protegidas por la mendonadal<y;)
V. A qmen fabrique con fines de luc-ro un d1spo!'ilivo o c;istema cuya finalidad
~-..tdt....lchvar los dispositi\'OS elOO:rrcos de proteccin de un programa de compub<in.
Articulo 425. Se impondr prisin de """ me<e< a dos aos o d~ trescientos a
ti\., mil das multa, al que a sabiendas y sm dercdlo ~'plote ron fines de lucro una
mterpret.lcin o una ejecucin.
A.rtit,fo 416. Se impondr prisin de S('iS llH'M"Ct a cuatro aos y de trescientos
a ti'C!. mil das multa, en los casos siguicnl._"s:
1 A quien f4'brique, importe, venda o arri{ll,d(' un d ispositivo o sistema para
desclfrnr una seal de satlite cifrada, portadora de p rog ra mas. sin autorizacin
del d i<l l'ibuidor legtimo de dd'u scl'ial, y
11. A qui~ n realice con fines d e lucro cualquic1 acto con la finalidad de descitrar u nn seal de satlite cifrad a, portadora de progr:unns, sin autorizacin del
dbtrbuidor legtimo d e dicha seal.
Arllcu/o 427. Se impondr prisin d~ seis mcs.cs a seis aos y de trescientos a
tre~ mil dfas multa, a quien publique a sab1endas una obra su~tituyendo el nombre
del autor por otro nombre.
Arlic~tlo 428. Las sanciones pecuru.1ria.li pre\'ista-; ~n t'l presente ttulo se apli
c.aran sm ~rjuicio de la reparadn del dao, cuyo monto no podr ser menor .11
cuarmta por ciento del precio de \'cnt.l al publico de cada producto o de la prestaen dl~ wrvdos que impliquen violacin a alguno o algunos de los derechos
tuteladO> por la Ley Federal del Dcnx-ho de Autor.
Artlmlo 429. Los delitos previstos m ..,.te titulo se perseguirn por querella de
parte ofendida, salvo el caso previsto en el artculo 424, fraccin 1, que ser perse-
guido de oficio.
;to el
toen
te de
SecRETos INDUSTRIALES
Artculos de la Ley de la Propiedad Industrial
en Materia de Secretos Industriales
tres
que
145_
DERECHOS
DE AUTOR
Y SECRETOS
INDUSTRIALES
__,
146
CAPITVlO
EVALUACION
DE lOS SISTEMAS
a la misma.
la informacin de un secreto industrial necesariamente deber"'"''"'!::
a natural~7a, caractt"ri~hcas o finalidades de los productQS; ao II~O<~;:::ii
a.~ de produccin; o a los medios o formas de distribucin o o
productO> o prestacin de servicios.
No o;,e oon~idcrar..i secreto industrial aquella informacin que sea
pubhro la que resulte evidente para un totico en la materia. con ba,.. m
con pro.>n.uncnte dJsportible o la que deba ser divulgada por
lo1
adoptado
el acceso
.r referida
los o pro.zacin d~
ldominio
informa;n legal o
es divulrualquier
lo la progistros, o
lustrial o
;,uede ser
.tal, daba
-etarse en
)rmadn
.. que in-
acin de:noontrar
ateria de
ln indusJeser in' de que
ouesta en
nnacin
Tamente
na como
de inIa lapaJa infor?lagente
mo apta
>O
que n o
ido ecosecretos
aciones,
resulta...
d pre>resente
:onside-
por una
in duda
acin la
Es importante considerar que el precepto no e-tob)('((' condicin alguna resJ'tf'do del origen de la informacin que guarda su poseedor, es decir, no se establc-ct romo rondicin el que la informacin hubiKl' sido generada por su poseedor, o
bien, que la misma hubiese sido obtenido por algn ttu lo legal romo p ueda ser su
trJnsmsin por parte de u n tercero, por lo que la informacin conten.id a en una
hJ.,(\ de datos, es cons iderada como u n sc<:n.to industrio l. s in importar si sta fue o
no crcadt'l por la persona q ue la poM!C y q ue In pueden difund ir.
147_ _
DERECHOS
DE Al/TOA
Y SECRETOS
INDUSTRIALES
148
CAP1TUL04
EVAt.UACION
DE LOS SISTEMAS
l..l~
ro
dn~l' ~
l~nnr"'
c.1nn
cxdu
1
que d (
~h
cont.:
do N
admt
dL' lnl
~>hat
s1ne
~
pu<.J
1
tmnll
SltH.lS
dom
tntlrl
d,\,
y, r
Arl. 86. La persona fsica o moral (lliC C'ontrdte a un trabaJador que est~ labo~
rando o haya laborado o a un pro(esi<H'Iista. Jscsor o consultor que prestl> o hay~
prestado sus servicios pa ra o tra pt."l'bOna, con el fi n de obtener secre tos industrini('S
mserve bajo
de 6$tn, ser responsable del pago de duos y perjuicios que le ocasione a dichn
DERECHOS
DE AUTOR
V SECRETOS
~r>onn.
I NOUSTRIA~ES
bU
la sustraccin~
moral
~aL
creto industrial.
El artculo 223 de la l.ey de Propiedad lndu>lrial define y sanciona los conduc
las delictivas en relacin ron <;('(Tt'tO. industriales. Al propio tiempo, ~1 articulo
ya que est('
idades que perlibuir o rom~r
f't'S.. pero ron ltl
io pblico, y en
te consolidar la
:lemos considcque no ot'C<.'S.l
JUe en
qu~
incurre en otra intrascendencia por obvit'dad, al sealar que quien reciba S<'Cl'Ct<X
industriales de terceros por va de contrtlt.u a sus empleados o ex empleados, ac;e~
SOt'CS o ex asesores, ser responsable de l<b da~ )' perjuicios que oca5lone, siendo
que dicha obligacin deviene de rualqu1cr h,'Cho ilcito que lesione a una persona,
tal como lo prescribe el artculo 1910 del Cdigo Civil.
Estado~
un proceso de
trn para una
er constar en
, de no divul
:os, asistcr'lcia
:><:er dusu l a~
1templer\~
Jos
1dales.
-upleo, cargo,
so a un se-cre-
las diersas
:triales de su
taJquiera que
go<ios con el
tculo 223 de
vedada, sino
149
150
rJ
f
~
CAPITULO
EVALUACIN
~
d)
t
(
e
(
d
d
<
r
/1 !
Como ejemplo de legislaciont>s relacionadas con mformtica en lalinoami!:
ca tenemos el caso de Colomb1a:
Poder PbJjco Rama legisi;~Hva
LEY 527 DE 199'1 lgosto 18)
por medio de 1,, cual se define y reglamenta el acceso y uso de los m<,ns.>..s do
dat~. del comercio electrnico y de las firma~ digitales, y -.e estable('(.>n las
d"' de certificacin y .e dictan <>tras dispoo.1ciones.
PARTEI
PARTE GENERAL
CAPTULO L Disposiciones gonor..Jes
datOI
Art1.r1/<l 2o. Odm1cones. Para 1., efectO> de la presente ley .e entender por.
a)
b)
fiiU
.t\riU:
s1do
anten
m asn.
usoc
.que es el
e)
regula la
!l delito y
del2000,
rmticas:
foque in-
d)
t)
/)
stigaci n
:edimlenl de crea r
os de
los
rueba en
eficaz de
noamri-
11sajes de
lsentida-
por:
cenada o
ieran ser..
rreoeJec
lacin d~
tilizacin
$celado'~ opebienes o
ltacin o
desegu'eSIn d~
pblico;
>1tial; de
e.l,Opor
Artnllo 28. Atributos jurdicos de una firma d1gital Cuando una fuma digital haya
sido fijada en un mensaje de datos!><' presume que el suscriptor de aqulla tena la
tntenon de acreditar ese mensaje de datos y de ser vinculado ron el conterudo del
MISMO.
151
DERECHOS
OE AUTOR
Y SECRETOS
INDUSTRIALES
152
CAPiTUlO 4
EVAlUACION
DE LOS SISTEMAS
l.
2.
3.
4.
5.
S. Clave pblica valor o valores numricos que son utilizados para verificar
que una firma dig1tal fue generada con la dan priv.lda del iniciador
6. C.rtificodo tn rtlocin ron los fumas digitoi<S: mensa~C de dat(>S fo~
por la entidad d~ Ct'rtificacin que odenhfoc.l, tanto a la entidad de certohcm
que lo expide. e<>mu al uscriptor y ronhene la da. e pblica de ste.
7. Estampado cronolgico: mensaje de dato; firmado pur una entidad dea.rtif>
cacin que si rvt. r.ua verificar que otro mcn~ooaJe de datos no ha camb1ado
un periodo CJlH.' comienza en la fecha y hora en que se presta el <tcrvicif!)
termina rn 1{'1 fecha l'n que la firma del mensaje de datos generado por
prestador d~l ""rvido, de estampado, pierde v,lhdez.
8. Entidad de certifico~ci6n cerrada: entidad qut- ofrece ~rvidos propios de las
ambiaional.
con las
r:
:e haya
m1ado
icacin
certifiadoen
'\1dO
por el
de las
la enti-
153
DER.CHOS
DE AliTOR
Y SECRETOS
INDUSTRIAlES
...__ _154
Para la determinacin de lo., estndares admisibles, la supcrint~ndencia deber adoptar aquellos que tengon carcter internacional y que estn vigtntcs tecnolgicamente o los des.arrolladl.,.., ror el organi~mo nadona1 de normaliucin o b.
que sean amphamente reconoodos para los prop<tos perseguido.. tn todo ca:.o.
deber tener en cuenta su aplicabilidad a la lu de la legislacin ngen!(>.
rizada deemi
:ado~
)ligJdas ~1
., las nor
CAPfTULO
a por lo<
tfid,.,cial.
ernunar.l
tilkacin
OBJETIVOS
Al finalizar este capitulo, usted:
1de los
:in.
a debc-
ecnolno los
loca~,
4. Explicar la importancia de evaluar el grado de eficiencia del sistema operativo para satisfacer las necestdades de una instalacn.
5. Conocer los puntos principales que debern ser evaluados en los equipos
de cmputo de una organizactn.
156
CAPITULO 5
EVALUACIN
DEL PROCESO
OE DATOS
Y DE LOS EOUIPOS
DE CMPUTO
d
y
CoNTROLES
Los datos son uno de los rCOJ rsos ms valiosos de las organizaciones, y, aunque
son int.1 ngibles, nccc,itan ser controlados y aud itados con el mismo cuidado qlli
los dems inventMios de la organizacin, por lo cual se debe te ner presente:
E
punb
dos~
caso
form
dad
En todo cen tro de informtica se debe contar con una serie de polticas que
pcrmi tan la mejor operacin de los sistemas. Estas polticas son evaluadas durante el transcurso de la aud itoria, por lo que slo son mencio~>adas en es~
seccin, pero se encuentran estudiadas en detalle en diferentes captulos.
Entre las polticas de operacin del computador se encuentran las siguientrs
que r
resp
a ce
actu
Polticas de respaldos
S
elab~
que
mest
1
bas;
dos j
lacio
cont
d ei s
Pol
Lds 1
debil
tracit
Contor con polticas formales por escrito para efech.1ar los respaldos mm
sua les, semana les y diarios de la informacin .
Todos los med ios magnticos de respaldo no deben estar a lmacenados en
un mismo luga r, aunque se tengan los medios magnticos de operaciner
el sile, por lo que si hubiera una contingencia grave (incend io, inundacin
no se tendra el riesgo de perder parte o la tola lidad de la uonnacin, Y
que se cuenta en otro lugar con los respaldos.
Debe tenerse acceso restringido al rea en donde se tienen almacenados k.
medios magnticos, tanto de operacin como de respaldo.
Se d!!ben tener identificadas las cintas por fecha, concepto y consecutivo,
es convemente !!laborar y actualizar una relacin sobro:! las cintas, el cooiPnido de los datos de registro y los responsables de efectuarlos.
Se debe contar con una poltica que indique los procedimientos a seguir e:
cuanto a l almacenamiento de las cintas de respaldo en un lugar diferente
vers
por
de la ubicacin del site, en donde se pued a tener acceso las 24 horas del d a
y donde se designen responsables de mantener actualizada la informacin
vital de la organizacin.
;,y, aunque
uidado que
resente:
por algun a
ntica.
duplicidad
ioso usuadatos) y la
no de identro de una
llosdonde
donde son
lticas q u e
uadas d u as en esta
ulos.
>iguientes:
Polticas y procedimientos
>diario, y
las polticas existentes deben estar actua lizadas en todas las actividades, estar
debidamente documentadas y ser d el conocimiento del personal.
No contar con polticas y p rocedimientos actua lizados que rijan la administracin del rea de sistemas podra ocasionar:
nados en
racin e n
mdacin)
acin, ya
nados los
'CUtivo, y
el conte>eguir en
'ercnte al
Es recomendable que se documenten todos los procedimientos de las d iversas actividades. stos, al igual que las normas y polticas, se manifestarn
por escrito en manuales de operacin.
157
CONTROLES
Polticas para el
computador
158
CAPITULO S
EVALUACIN
OEL PROCESO
DE DATOS
Y DE LOS EOUIPO$
DE COMPUTO
legal y
por pa
Al
provee
con tar
nnlerq
e n una
muy fc
Por
Ac~
que
es tl
fn 1
del
m~
Elal
paq
Dc
ten
Pro
se i
apll
Politio
Las insl
nanlicn
y p roct>
deben e
Por
siguicn
El ~
lUU
!rol
as .
tar
Se e
!cldo
Dct
m ir
El ~
tam
Todas las orga~.uciones deben de tener un inventario de las licencias del son
ware actuali7ado, que asegure que toda la paquetera y software en generalw
No
poto
"'1\'1 y e>t amparada por una licencia, para evitar posibles problemas legales
pur p.tgo de derechos de uso y explotacin del software.
Al no contar con las licencias correspondientes, no se le puede exigir al
pmvt'l.'<lor el servicio de soporte o actu.tli,aci6n de software, ya que para poder
c.>ntarcon estos servicios es necesano pre'lCntar las licencias de adquisicin o el
numero de serie instalado dentro de la licencia, el cual se encuentra clasificado
en una base de datos dentro de los equipos del proveedor. Por tal motivo es
muv fcil detectar si la licencia'" ptrata o ya wnci.
l'or ~JI o, es muy importante:
1, consu Ita y
:iones.
ilS norn1as
tuna opera-
159
CONTROlES
tcin de los
el equipo y
roblemas.
ificati\a en
teclados, lo
ruada menen el rea
'1 realizar.
El acce:;o al site debe estar restrlllgido por una puerta, la cual contar con
una chapa adecuada de segurid,ld, o con un di~posi tivo electrnico de control de acce:;o. Se deben tener dispositivos .1dccuadosde deteccin de humo,
as como aspersores de calor para la C\hncin de incendios, adems de conlar con extintores.
Se debe tener proteccin en lo. ..._rvidt>rl., para que no puedan ser de-.ronectados accidental o intencionalmente y provocar a>. serios daos al equipo.
Deben existir documentos o cartel~ que indiquen las normas de seguridad
mm1ma que deben de obse!'\a.-;c alt"tar en el >~1<.
El personal operativo no debe pcnn1hr el accl'SO a personal aeno al depar
lamento.
No debe tenerse papel para mprestn dentro del site, el cual es un objeto
potencial de algn desastre.
160
CAPITULO 5
EVALUACIN
DEL PROCESO
DE DATOS
Y DE LOS EQUIPOS
DE CMPUTO
Hay que elaborar polfticas formales de segu rid ad y d isear las caracters~
cas para el sile, por Jo que se recomienda lo siguiente:
una d
cera t
La m
de d<
,
i'
usuar
o
Por e.
de lm
dato),
s ionaria.
gund
tas, y
se pu
,.
crbir
tura (:
(captt
read
rio, JX
dad d
no deben de
eestn conec-
o
o
Jeben estar al
o
S caracterstio
sistemas.
o
to debe estar
dems, es nec acceso para
:>e de realizar
de seguridad
sabilidades y
1plimiento de
e permita que
aso de alguna
sticas que un
;encas puede
desastres de
' de los sistedios, tormen.at una dismido considera>utadora, una
'Safla originare la revisin
<troles:
s.
;rfica, tienen
de stas ocanto de operaomo un estur la inoperatiara la operalarlas prioriJecificacioncs
1ma, archivos
Proveer los lineamientos necesarios para el restablecimiento de operaciones a partir de los respaldos de informacin.
Desarrollo de pruebas peridicas del plan de contingencia, as como el
establecimiento de niveles de autoridad y responsabilidades para garantizar el buen resultado de la prueba.
Establecer procedimientos y responsabilidades para mantener el plan
de contingencias.
Procedimientos o planes para la reconstruccin de los site despus de
una contingencia.
Establecimiento de procedimientos manuales de operacin por parte
de los usuarios para restablecer operaciones mientras se recuperan los
Lineamientos para garantizar que clicho plan sea probado y actualizado peridicamente.
161
CONTROLES
162
CAPiTUlO 5
EVAlUACII'<
DEl. PROCESO
DE DATOS
V DE lOS EQUIPOS
DE CMPliTO
informacin, por e~mplo, SC<~nners, pero debe existir una pe"'<ma que <ea
ponsable del contrul de esta mformacin y asegrese que es COI1fi<lbl~ yox>rtu:~l
Lo primero que debemos evaluar es la entrada de la in.,,.m,rotln
tengan las cifra~ de contro l necesarias para determinar lo ver01cidad
para lo cual S<' puede utili,u d siguiente cuestionario, el cunl est dirigi<joil
captura en el rea de informtica, independientemente de la c.lptura qu~
responsabilidad del usuMio:
C)
D)
2. lnd.que el po<centate de datos que se recoben en el rea de captacon y !.que si cont- su 1nstruc!JVo correspondente. En caso de que el usun
sea el responsable de la captura. debe eXJsbr un manual det usuano. o bie!l
ayuda (help) dentro del Sistema.
3. Indique el contenido de la orden de trabajo que se rec1be en el rea de captacin de datos def area de lnfoontJca:
Nmero de follo.
Fecha y hora de recepc1n.
Nombre del documento.
Volumen aproximado de
registros.
Clave de cargo (nmero de
cuenta).
Nmero de reg1stros
(
(
(
(
(
)
)
)
)
)
(
(
(
(
(
(
1
)
)
)
)
Firmas de autonzaci6n.
Recepcl6n de trabajOS.
R8VISi6n del documento fuente
(leg btlidad. venhcaCIOO de
datos completos, etc.).
Pnondades de captacin.
Produccin de trabao.
Costo mensual por trabajo.
) VerifiCacin de c1fras de
( ) control de entrada con l8a
de salida
Control de trabajOS atrasados
( ) Avance de trabaos.
( ) Verificacin.
( ) Errores por trabajo.
( ) Correccin de errores.
Entrega de trabajos.
10 O
(
(
Ss
1
(
( l
( l
( )
11 . Se
12 Se
13.Se
Dianamente (
Semanalmente(
Mensualmente (
B) La
)
)
)
14 Se
Internamente
Se les seala a los usuanos las prioridades
Se les senala a los usuarios fa posible lecha de entrega
15.
P~
Cftel
rt.~
una.
te se
sta,
a la
S<>il
le
SI()
NO()
lo
"'
)
)
le
Cotras que se
obbenen
Observaciones
Oepto que
proporciona
el documen1o
Penodcidad
Observaciones
J
)
163_
NO
sr
No
NO
SI
NO
15. Para aquellos procesos que no tragan cofras de contro4 se han establecodo
cntenos a Ion de asegurar que la mlO<lli8Cin es completa y vfoda?
si
NO
CONTROLES
__
164
si
EVALUACION
DEL PROCESO
DE DATOS
Y OE LOS EOUIPOS
DE Ct.<PUTO
NO
NO
NO
si
NO
SI
NO
CoNTROL DE OPERACiN
La eficiencia y el costo de la operacin de un s is tema de cmputo ~e ven fuert~
mente afectados por la calidad e integridad de la documentacin requerida par
165
la informacin inv-
>nttot.)
SI
CONTROLES
NO
FECHA
nas. se custodian
SI
NO
tiempo se guarda?
DE
HOJA
SISTEMA
DOREOCIN
FORMUL
NO
NUt.C.
DOCUMENTOS FUEHTE
ORIGEN
FRECUENCIA
RECEPCIN
HORA liMITE
en la cual se indiln? Si
NO
con los documenSl
NO
NO
Si
NO
Jes?
leM bies?
Si
NO
SI
NO
SI
NO
OPEAAQON~
TIEMPO
PERSONAL
HOAA SAL
11
ts en la informaSi
NO
SI
NO
INSPECCIN DE 'REVISIN
o, en su defecSI
NO
control.
. en la seccin de
i=tEPORTE
FIE.POf\TE
REPORTE
166
CAPlTULO 5
EVALUACIN
DEl PROCESO
DE DATOS
Y DE LOS EQUIPOS
DE CMPUTO
1 Sistemas en lot e
..:>
SI
..:>
Otr
12.L
an
(
(
(
( )
( )
( )
17.
( )
( )
( )
18.
( )
19.
( )
oporcionan ..11
en situacion!'s
es incomplet,
entras investi
s, desperdicio
~ientode
usivamentc a
167
CONTROLES
)
)
)
NO
NO
si
de cmpu
""
aCI6n de la
tador? (Que los procesos que se estn trabaando estn autonzados y ten
gan una razn de ser procesados.
Si
NO
14. Cmo controlan los operadores las versiones correctas y cmo se ldentl
can las que son de prueba?
istnbuyen
le tiene un
""
15. Analice la eloclencia con que se ejecutan los lrabajos dentro de la sala de
mquinas, tomando en cuenta equ1po y operador, mediante una InSpeccin
visual, y descnba sus obseiVaciones.
pliCaO<)n:
16. EXIsten procedom1entos escrttos para la recuperacin del sistema en caso
de fallas?
SJ
NO
17. Cmo se ectua en caso de errores?
( )
( )
( )
18. Ex1sten Instrucciones especficas para cada proceso, con las Indicaciones
NO
pertinentes?
si
19. Se t1enen procedimientos especfiCOs que 1ndquen al operador qu hacer
cuando un programa onterrumpe su eecucin u otras dificultades en proceso?
Si
NO
168
CAI'tTULO $
EVALUACIN
DEL PROCESO
DE DATOS
Y DE LOS EQUIPOS
OE CMPl/TO
11
NO
35.oS
rut
21. Se prohibe a analistas y otro personal aeno al rea la operacin de la m
quina?
si
NO
22. Se prohibe al operador modif1car informacin de archivos o biblioteca de
programas?
si
NO
23. El operador realiza funciones de mantenimiento diano en dlspos111vos que
as lo requieran?
s1
NO
NO
NO
NO
Otras? (espec~hque).
37.E
h
m
38.E
cal
39. O
25. Se t1ene un control adecuado sobre los s1stemas que estn en operacl6n?
SI
NO
40
oO
41 O
m
42 M
en
28. Cuentan tos operadOres con una bitcora pera mantener reg1stros de cuaJo
quier evento y accin tomada por ellos?
43 1
SI
Por mqu1na
Escnta manualmente
811
prc
( )
( )
NO
NO
44 E
to?
45.
Po
Po
m
Cmo?
~de
36. Verifican que los privilegios del operador so restrinjan a aquellos que le son
que
si
NO
38. Estos proced1m1entos ~ncluyen corndas en paralelo de los sistemas modificados con las versiones antenores?
NO
n?
oCU
de
Jal-
PO
44 Ex1ste un lugar para archivar las bitcoras del Sistema del eqUipo de cmpu
to?
sr
NO
Por fecha
Por fecha y hora
Por turno de operacin
O Iros
46. Cul es la utilizacin sistemtica de las b1tcoras?
169
CONT~ES
170
48. Se verifica que se lleve un registro de utilizacin del equipo diario, siSten11
en lnea y batch, de tal manera que se pueda medir la eficiencia del uso ce
equipo?
SI
"'
CAPiTULO 5
EIIA~VACIN
Oa PROCESO
OE DATOS
Y OE LOS EOVIPOS
DE CMPUTO
SI
Con qu companra?
Diagramas.
Mensajes y su explicacin.
Parmetros y su explcacin.
Frmulas de verificacin.
Observaciones e instrucciones en caso de error.
Calendario de proceso y de entrega de resultados.
CoNTROL DE SALIDA
kO
done~
les int
"''
p~
rados
171
stemas
uso del
CONTROLES
o
6. En qu forma se entregan?
leal izaNO
7. Qu documentos?
S1stema
Documentos
A quin se
Periodicidad
Observaciones
entregan
NO
Control
Observaciones
Comentarios
Vende ( )
Tira ( )
Otro (
172
CAPITULO S
EVAWACIN
DEL PROCESO
DE DATOS
Y DE LOS EOU POS
DE COMPUTO
Ca
DE~
l.us d
c.<)Jnp
pudn
ono<S
tiC<! b
de ala
SI
NO
Cmo se comunican?
Demandas 1nesperadas?
Fallas de la mquina?
Soporte de los usuanos?
Mantenimiento prevenhvo?
Otras? (espeofque).
( )
( )
(
9 . Esp8Cifque los elementos que s1rven como base para programar las cargas
de rnqulllB.
173 _ ____,
oridad a
'P"ndienIn, y con
CoNTROL DE MEDIOS
ecuestio-
DE ALMACENAMIENTO MASIVO
0$ pro-
HO
CONTROlES
progra
NO
NO
(Sollalar qu tipo.)
car!jiiS
onal, que
1usuario.
tiliulcin
teca?
Numero de serie o carrete
Nombre o clave del usuano
Nombre del archiVO lgoco.
Nombre del sistema que lo genera.
Fecha de generacon delarchovo.
Fecha de expiracon del archivo.
Numero de volumen.
Otras.
( )
( )
( )
( )
( )
( )
(
( )
174
CAPiTuLO S
EVALUACIN
DEL PROCESO
DE DATOS
Y DE LOS EOUIPOS
DE CMPUTO
17.
ce
si
NO
Cmo?
81
22.E
No
~~
A
Fo
Ci
d
N
SI
NO
23 1
ti
Cules?
24. ~
lO
25.
14. Se registran como parte del inventario los nuevos elementos magntiCO$
que se reciben en la biblioteca?
sr
NO
15. Se tiene un responsable, por tumo, de los archivos magnticos?
SI
NO
Con qu periodocidad?
NO
26.
18 Se restnge el acceso a los lugares asignados para guardar los dispositivo. de almacenaml&nto. a cargo de personal autonzado?
SI
NO
,.,
,.,
wen
cuan-
19. Se tiene relacin del personal autorizado para firmar la salida de archivos
confidenciales?
Si
NO
20 EJUSte un proced1<Tl1Gnto para rGglstrar los archiVos que se prestan y la fecha en que se devolvern?
SI
NO
21. Se lleva control sobre los archivos prestados por la Instalacin?
SI
NO
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
ilcos
110
NO
175
176
1 1 tcrcl
DEL PAOCESO
DE DATOS
Y DE LOS EOUif'OS
DECOW>IITO
Mensual.
Anual.
Semesltal.
Otra.
(
(
(
(
llflu.ltn el
un.1 l'otizcl
ft.: f lli..IOO('
)
)
t dora~ pcl
)
)
Al e\ al
p<
so
,.,
,.,. el qu
um detalle
hv od.td r
PL1rL1
puedPn utj
,.,
2
Con qu frecuencia?
3 <.Se
CoNTROL DE MANTENIMIENTO
4 Ex
5 St
c.GU
6 Soto
por
7 Ex
aut
Existen bsicamente tres tipos de contrato de mantenimiento. El contrato de
mant~nimiento total. qul' incluye el mantenimil'nto com-ctivo y pre,enti\0.
cual a su vez puede dtndr.e en aquel que incluye las park>s dentro del ronoto y d que no las incluye. El contrato que incluye refaccones es propiaocomo un seguro, ya que en caso de descompostura el proveedor debe PCOf""
donar las partes sin costo alguno. Este tipo de contrato es normalmente el m
caro, pero se d eja al proveedor la responsabilidad tola! d el mantenimiento
excepcin de daos por negligencia en la utilizacin d e los equipos. (Este hp<
de manten imiento normalmente se emplea en equipos gr,lndcs.)
El segundo tipo de mantenimiento es "por llam~da", en el cual se llama
provt.'(.-dor en caso de descompostura y ste cobra de acuerdo a una tarifa y
tiempo que se requiera para componerla (casi tod~ Jo, proveedores incluo,
en la cotizacin de compostur.l el tiempo de traslado de su oficina a donde~
encuentre el equipo y viccwl'>.l). Este tipo de mantenomiento no incluye ref
don~-,.
c.C
Se
SIStt
~~
paldo.
es de
refacciones (este tipo de mantenim iento puede ser el adecuado para compu~tdoras personales).
Al evaluar el man tenim iento debemos primero analizar cul de los tres ti
pos es el que ms nos conviene, y en segundo lugar x>dir los contratos y revisar
con delallc que las clusu las estn perfectamente deinidas, que no exis ta subje
bvidad y que haya penalizacin en caso de incumplimiento, para evitar contra
10< que sca11 parciales hacia el proveedor.
Para poder exigir el cumplimiento del contrato se debe tener un estricto
rontrol sobre las fallas, la frecuencia y el tiempo de reparacin.
Para evaluar el control que se tiene sobre el mantermiento y las fallas se
pueden utili7ar los siguientes cuestionarios:
1. Especfique el tipo de conlrato de mantenim1ento que se hene (solicitar copla
del contrato).
NO
tran los
rchivos
ticr otro
rato de
ttivo, el
contraamente
~ ropor
elms
iento a
ste tipo
lama al
ifa y al
tduyen
mde se
~ refac-
SI
NO
CONTROL DE FALLAS
1. Se mantienen registros actualozados de las fallas de los dispositivos del
s1stema de cmputo y servicios auXIliares (aire acondicionado. SIStema de
energfa Ininterrumpida. etctera)?
SI
NO
(Solicitar los registros de los ltomos seis meses.)
CONTROLES
Tipos
de mentenlmlento
178
CAPITuLO 5
EVALUACIN
DEL PROCESO
DE OATOS
Y DE LOS EOUIPOS
DE COt.tPIJTO
NOMOAEOELARCHNO _________________________________________
ARCHIVO'------------------------------------------N
TIPO DE
OESCRPCIOH
_ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _ _ __ __
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
ENV~ORDE~--------------------------------------------
POR------------------------------------------
CLASIFICAOO
OOCUMENTOS O INFORMES A OUE DA OAIGEN - - - - - - - - - - - - - -- - - - - - - - - - -
usa
USUARIO
FRECUENCIA
FECHA
RECOPILO
Eva
REVISO
PGINA
OE
Cua
d.ld
3. Toempo de respuesta promedoo que se ha tenido oon el contrato de mantenimoento (bempo de respuesta es el penOdO entre la notifocacin o aviso de la
exostencoa de un problema y la llegada del personal tcnoco que realiz las
reparaoones del equ1po)
Cuales son las acttudes de los ongenoeros de servicio que mantienen sus
equ1pos?
9 Cules son las medidas do mantenimiento preventovo reahzadas al dar servocoo a su equ1po?
179 _
CONTI\Ot.ES
___J
180
CAPITULO 5
EVAI.UACtON
OELPA<laSO
OEOATOS
Y oe LOS EOUIPOS
oe CO&APVTo
mantenimiento no slo del equipo central, sino del total de los t'quipos.
cluyendo computadoras personales, impresoras, equipo de comunicao6a
perifrico~.
(
(
(
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
)
)
)
(
(
(
(
7,
)
)
)
)
SI NO
(
(
(
(
)
)
10
ipos, in-
:actn y
1puto
CONTROLES
(Esta seccin est orientada a revisar las acciones que realiza la direccin
de informtica para evaluar, mantener y auditar los sistemas implantados.)
hrs.
hrs.
( )
( )
( )
( )
De objetivos.
De oportunidad.
De operacin.
(
(
)
)
( )
ICO.
ico.
181
viceversa.
(
(
(
De captacin.
De operacin.
)
)
1)0.
7. Qu porcentaje del personal de programacin se dedica a dar mantenimiento a los sistemas existentes?
182
CAPiTuLO 5
EVALUACIN
OEL PROCESO
DE DATOS
Y DE LOS EOUIPO$
DEOMPUTO
r ejemplo
Cuidado de la
sala de mquinas
!S ajenas
bajos no
se usan
utadora
"'de las
lizacin
resoras,
posibili -
( )
(
Oulncenalmente.
Bimestralmente.
Otro (especifique).
( )
( )
( )
si
si
NO
cos,
>rte que
o, cint.J,
ltal y 2,
. para lo
NO
( )
( )
Cada semana.
Otra (especificar).
( )
( )
los R'S-
encia y
Jo, si se
compolel caso
lescom-
si
NO
eedor.
11 . Evale los niveles de iluminacin y ruido y senate cuando estn fuera del
rango estipulado en los estndares.
r reglas
el sist('leJan en
emforello, se
nlmien-
salad('
EvALUACiN DE LA coNFIGURACiN
DEL SISTEMA DE CMPUTO
Los objetivos son evaluar la configuracin actual, tomand o en consideracin las
aplicaciones y el nivel de uso del sMema, evaluar el grado de eficiencia con ~1
cu al el sistema operativo satisface las necesidades de la instalacin y revisar la
183
EVALUACIN
DE LA CONFIGUR.ACION
DEL SISTEMA
DE CMPUTO
184
CAPiTuLO S
EVALUACIN
DEL PROCESO
OE DATOS
V OE LOS EOUIPDS
DE CMPUTO
El o
._irea,
1
2
si
SI
SI
NO
NO
NO
SI
81
5. En caso negatovo. exponga los motivos por los cuales no se ubtoza la red.
1 .
Cantidad
Tipo _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
1
NO
SI
SI
si
si
1~
NO
NO
NO
NO
185 _ _
progra-
PRODUCTIVIDAD
2'ma de
omunistalada
tosto o
PAOOUCTlVIOAO
dones:
a de
,,,
rn durante el ao, con el objeto de que se prevean los picos en las cargas
de trabao y se puedan dtstnbuir adecuadamente estas cargas.
1<0
otro
6. Venflque que se disponga de espacio y 1iompo para realizar corridas especiales, corridas de prueba de sistemas en desarrollo y corridas que deben
repetirse.
7. Venfique que se tengan dehnidos el espacio
la Informacin.
l.
8 Venfque el equipo de comunocacin, caractersticas nmero de usuarios y
toempo de respuesta que se obhene en un proceso normal.
9. Se tiene una programacin del mantenomtento previo?
::0-
SI
1<0
SI
NO
NO
12. Venflque que se tenga conocimiento de los prximos sistemas que entrarn
on produccin, con objeto de que se programe su incorporacin.
Si
NO
SI
NO
SI
1<0
186
CAPITULO S
gan
prob
eVALUACIN
oeL PROCeso
oe DATOS
Y Dl LOS eOUIPOS
oe CMPUTO
Por plataforma (
<
cad3
los Cl
nqui
NO
l.ldt
equi l
tado1
SI
20. lnd1que los med1os utilizados para madir la eficiencia de los operadores de
captacin.
de d
(
(
(
(
(
(
)
)
)
)
)
)
,,
(
(
( )
( J
tacto
s1
NO
1ncrt
requl
I<"S pi
t>val~
cqui
d e pe
tal e~
tad01
pubh
ronp
velll
as cQ
cost
ta d or
pOO<'
sasa
e star
11efici
24. Se registran los tiempos de respuesta a fas solicitudes?
SI
NO
~ e tu a
Renl
l.as <1
pra,a
)"S)
espe
El equipo que se adquiere dentro de una orgamzacin debe de cumpltr con
esquema de adquisicin de toda la organizacin. En lo posible, se deben tener
equipos estndares dentro de la organizacin. a menos que por requerimiento>
especficos se necestte un equipo con caractersticas distintas. Esto no impltca qut.
los equipos tengan que ser del mismo proveedor, aunque s deben tener In misma
supe
E
1
.~
c1n de
NO
NO
ores de
(
(
(
(
(
(
)
)
)
)
)
ajo est
(
(
(
(
)
)
)
)
>enor al
1)
Cin del
filosofa. Las compras por impulso u oportunistas pueden provocar que se ten-
gan diferentes equ ipos, modelos, estructuras y filosofas. Esto puede provocar
problemas de falta de compatibilidad, expansin y de confianza.
Si no se tienen polhcas y estndares d e compra de equ ipos de cmputo,
tada departamento o empleado puede decidir el adquirir diferentes equipos,
los cuales pueden no ser compatibles, o bien el conocimiento y entrenamiento
requerir de mayor tiempo y costo. La conexin de un tipo de terminal o computadora personal a una computadora principal (mniufrnme) puede requerir de
equipo o de software adicional. los sistemas elaborados para un tipo de computadora pueden no servir en otro tipo de mquina. El mantenimiento es otro
factor que puede incrementarse en caso de no tener compatibilidad de equipos.
Tener diferentes plataformas de programacin, sistemas operativos, bases
de datos, equipos de comunicacin y lenguajes propietarios, provoca que se
incrementen los costos, que se haga ms problemtico el mantenimiento, que se
requiera personal con diferente preparacin tcnica, y que se necesiten diferentes programas de capacitacin.
La posibilidad de que se pueda expandir un equipo es otro de los factores a
evaluar. Al crecer una organizacin, es muy probable que se requiera que los
equipos tambin crezcan y sean ms r pidos. Esto es de mayor importancia
dependiendo del tamao de las computadoras, ya que es un factor fundamental en los grandes equipos y de relativamente poca importancia en las computadoras personales, debido a que no es tan alto su costo de reemplazo.
En muchas ocasiones se cambia o se compra una computadora por el factor
publicitario, sin que se tenga la evaluacin real de los equipos, o bien se adquieren equipos (principalmente computadoras personales) que son ensamblados
con partes de diferentes proveedores a costos muy bajos. Se deber evaluar la
ventaja de adquirir lo ltimo en tecnologa, contra el costo que esto representa,
as como el tener equipos muy baratos pero con baja confianza en el proveedor.
En la actualidad cada da las computadoras son ms poderosas y menos
costosas, y las organizaciones tambin cada da dependen ms de las computadoras, as es que existe la tendencia de comprar cada da computadoras ms
poderosas, sin considerar que en el futuro existirn computadoras ms poderosas a menor precio. La decisin de adquirir o cambiar w1a computadora deber
estar basada en un estudio muy d etallado que demuestre el incremento de beneficios en relacin con su costo, y en la relacin costo/beneficio de los equipos
actuales.
~r con el
!ben tener
rimientos
1plica que
rlamisma
las computadoras y el software pueden rentarse, rentarse con opcin a compra, comprarse, y en el caso del software, producirse. Cada una tiene sus ventajas y desventajas, y es funcin del aud itor el evaluar en cada instalacin en
especfico por qu se escogi una o pcin, y si las ventajas que se obtienen son
superiores a sus desventajas.
El auditor deber evaluar:
187
PRODUCTIVIDAD
Adquisicin
da equipos
188
CAPITULO 5
EVALUACION
OEL PROCESO
OE OATOS
V DE LOS EOUIPOS
DE COMPUTO
organiLold
miento?
este punt<
computad
"SI
Centrali,
Rento:
o
USUclrJ(),
Ventajas
a la orga11
d
ll
0""'1
o
Compra:
S
o
o
o
"
Desventajas
Renta:
o
o
o
v~n
1
J
oe-cent
<
Compra:
o
o
Centralzacin
Dt~
vs. descentralzacin
o
~la or;aniLaon y la justificacin que ,._. ti~n<' pM.\ que en una deterrnin.lda
Mgano.tacon "~ tengan equipos m forma C<ntr,lli;ad,, o descentralizada En
"'t~ punto'<' evalan las grandes comput,\uOr,\s e onstal,lciones, eliminando 1.1s
(\'lmputlldor._l~ persona les, y~1 qul sta't dl'l1l'f,1n l1 St~l r dt.>sccntraliz(ldas paril cada
) par.1
U"tllllrio.
>ra?
Ctntrlincin
Economa de escala .
Acc.."<l a grandes capacidad,..,.
Operaciones y adnunistraoun ms pror,....,onalc."'
Ac~"' mltiples a dato-. comurn-..
Sl'b>undad, control y prot<'CClon d,, lo- dato-..
Un meJor reclutamiento y entn.'namwnto tfd pt.f'tOnal especializado.
lina mejor planeacin de la carrtr,\ prof<-.tonal del personal de tnfor
m.ticJ.
[)('svtntcljas:
'
O..w,wnta.ls:
ajas
luar
189
PAOOUCTIVIDAD
CAPTULO
Evaluacin
de la seguridad
OBJETIVOS
Al finalizar este captulo, usted:
~de
infnr-
institucin-
:>bos, frau
acthidad
en el moesta situ.J~
ansformn--
s libreras
a para que
'cmputo
:>lanco" se
olossistescubiertos
lar ideas a
ificado las
les, falsifimedio de
uello b lans, pero en
os Unidos
tuditora y
ts.,sin con
la elaborale d a la
ra intern a
1.acin.
hombre y
.stres na tu-
:mdas para
1micas en
>Or:
itico social
<ndelito en
nlacual se
, Sndrome de Robn Hood (por beneficiar a otras personas). Se <'Stn haci~ndo copias ilegales por considerar qu<' al infectar a las computadoras, o b1en
al alterar la informacin, se ayudar a otras plo'rsonas.
Jugando a jugar. Como diversin o pasatiempo.
Fcil de desfalcar.
El individuo tiene problemas financieros.
.
La computadora n(l tiene sentimientos. La computadora es una herramienta que es fcil de desfalcar, y es un reto poder hacerlo.
E\ departamento es deshonesto.
Odio a la or;ani-z.acin t(evancha). Se considera que el departamento o la
organizacin es deshonesta, ya que no ha proporcionado todos los beneficios a \os que se tiene derecho .
Equivocacin de ego (deseo de sobresalir en alguna forma).
Mentalidad turbada. Existen individuos con problemas de personalidad que
ven en elaborar un virus un reto y una superacin, los cuales llegan a *r
tan cnicos que ponen su nombre y direccin en el virus, para logr.u e,.;
reconocimiento.
En la actualidad, principalmente en las computador,ls personales, se ha dado
otro factor que h ay que cons iderar: el llamado "virus" d e las computadoras, el
cuat aunque tiene difcrcntes intenciones~ se encuentra p rincipalmente en paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco.
Se trata de pequeas subrutinas escondidas en los programas que se acli,-an cuando se cumple alguna condicin, por ejemplo, haber obtenido una copia en forma ilegal, y puede ejecutarse en una fecha o situacin predeterminada. El virus normalmente es puesto por Jos dseado= de algn tipo de programa (software) para "castigar" a quienes lo roban o copian sin autoriz,lcin o
bien por alguna actitud de venganza en contra de la organizacin. {En la actualidad existen varios prod uctos para detectar los virus.)
Existen varios tipos de v irus pero casi todos actan como "caba llos de
Troya", es decir, se encuentran dentro de un programa y actan con determinada incticacin.
Un ejemplo es la destruccin de la informacin de la compaa USPA &
IRA de Forth Worlh. Cuando despidieron a un programador en 1985, ste dej
una subrutina que destrua mensualmente la informacin de las ''entas. li.'te
incidente provoc el primer juicio en Estados Unidos contra una persona por
sabotaje a una computadora.
Al auditar los sistem,ls, se debe tener cuidado que no se tengan cop1as "p
ratas" o bien que, ni conectarnos en red con otras computadoras, no exista lo
posibilidad de tra1smisi1 de l virus. Tambin se d~be cuidar que e n ocasiones
se loma como pretexto el virus y se producen efectos psicolgicos en los usuarios, ya que en e l momento de Wla falla de la computadora o del s istema, lo
primero que se piensa es que estn infectados.
Se considera que hay cinco factores que han permitido el incremento en los
crmenes por computadora:
193
EVALUACiN
DE LA SEGURIDAD
=:J
Los virus
194
CAPiTULO 6
EVALUACIN
DE LA SEGURIDAD
si
uipos.
1secuenteadoras en
)Uto, tamndetiemrogramas
ta el acceacin con
lOnas que
>s para la
temas no
ese pueomo en e l
lera m o
tancomta servir.
captar y
>escomo
'fraudes,
ti interno
s fraudes
onaldela
;istemas
1to fsica
!S que se
Tt1t
tener
cuado al
e. En los
ue tener
;encajan
)
sea dos
compu-
!>dora, as como de controlar el mal uso de la informacin. Estos controles reducen el riesgo de caer en situaciones adversas.
195
SEGURIDAD LGICA
v coNFIDENCIAliDAD
196
CAPiTuLO 6
EVALUACIN
OE LA SEGURIDAD
Control
de acceso
Elementos administrativos.
Definicin de una poltica de seguridad.
Organi7.acin y divisin de responsabilidades.
SEGURIDAD LGICA
guie
o en una base de dJto&, o bien que se posea una minicompu la dora, o un sister:
en red (intem3 o externa). Para esto podemos definir los sigu ientes tipo;
usuarios:
1 npos de usuarios
Usuario de cxplotnriu. Puede leer la informacin y utilizarla para exploocin de la misma, principalmente para hacer reportes de diferente nckle
los cuales, por eemplo, pueden ser contables o estadi~ticos.
Usuario tlt nudolora. Puede utilizar la informacin y rastrearla dentro M
sistema p~ra fines de auditora.
Ru
El ~
mi~
~cg
opt
il
1~
ble
dt!l
>oftwnre de
'1 de acceso
contr;~sea
tquet':i han
ronr:tica~e e a
dor~sgran
salguno de
do:, en con-
rt.lo<n, por
a tlner una
SEGURIDAD LOGicA
Y CONFIOENCIAUOAO
cipal).
La collfilttlrralidad es re:.ponsabilidad de los indrviduos autonL<OdOS para
coru.ultar (usuario de consulta) o para bajar archhos importantes pa
ra microcomputadoras (usuario de explotacin).
La disxmrbilidnd es responsabilidad de individuos autorizados para alterar
los parmetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomu
nicadones (usuario admrnrstrador).
to d~ntro
o normal
nsistema
tipos de
, modifipon~.tble
y puede
S.
Rutas de acceso.
Clave, de acceso.
Software de control de acceso.
Encriptamiento.
a debida
blede la
lOdrfic.l
lar automodifinplota
ndole,
otro del
Rutas de acceso
El acceso a 1~ computadora no significa tener una entrada sin restricciones. Li
mitar el acceso slo a los niveles apropiados puede proporcionar una mayor
o;eguridad.
El obehvo de la seguridad de lo.> s~>temas de rnformacin es controlar las
operadon~ y ~u ambiente mediante el monitoreo del acceso a la informacin y
a los programas, para poder darle un seguimiento y determinar la causa proba
ble de desviaciones. Por ello es conveniente al utilit.ar algn tipo de software
dentro de un sistema, contar con una ruta de acceso.
Control
de acceso
198
CAPfl1JLO 6
EVALUACIN
DE LA SEGURIDAD
Slo lectura.
Slo consulta.
Lectura y consulta.
lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar.
Claves de acceso
Lit~
quf
La~
nas
bi.,
al6
u s
Crede
frecue
bancat
la
p o sto
se det:
cid a
Va lid
que es
nocim
pit'S. 1
(J
L
L
Un ptiSSTL>ord o cdigo.
Una credencial con banda magntica.
Algo especifico del usuario (caracters ticas propias).
El sistema debe verificar primero que el usuario tenga una llave de ac:as>
vlida.
La llave de acceso debe ser de una longitud adecuada para ser un secreto.
la llave de acceso no debe ser d esplegada cuando es tecleada .
Soft'
ste
contt
r
1
1
1
real
Las llaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de
que alg uien obtenga la llave de acceso de otras personas.
L1s llaves de acceso deben de prohibir el uso de nombres, palabras o cadenas de caracteres d ifci les de retener, adem~s el pnssword no debe ser ca m
bi.1do por un valor pasado. Se recomienda la combinacin de ca racteres
alfabticos y numricos. No debe ser particularmente identificable con e l
usuario, como su nombre, apellido o fecha de nacimiento.
eso, la cual
ceso al SJS1les ni velt.s
os tip os dL
ar.
;positivo..
dsistema
~tosrecu r
de teleco>untos de
<!auditor
e contro l
e acceso
suario:
Programas de librerias.
fo/Js
Mdulos de funciones.
Diccionario de datos.
Archivos.
l'rogramas.
Comunicacin.
Archivos de datos.
Programas en ap licacin .
duos es
!SO. La~
1tadora,
ecreto.
Utileras.
199
SEOUAIOAD LGICA
Y CONFIDENCIALIDAD
Identificacin
del usuario
200
CAPh1JLO 6
EVALUACIN
DE lA SEGURIDAD
Definicin de usuarios.
Definicin de las funciones del usuario despus de accesar el sistema.
Establecimiento de auditora a travs del uso del sistema .
Paquetes
de seguridad
Estos paquetes pueden restringir el acceso a los recursos (archivos de datos), reduciendo as el riesgo de los accesos no autorizados.
Ejemplo
Terminaciones de procesos.
Ejemplo
Algunos paquetes contienen datos especlflcos para ser 1nclu1dos en la bitco19 de aud1torra.
tem a.
Cada bitcora debe incluir la identificacin del usuario: s i el acceso es exitoso, deben consignarse los recursos accesados, dfa, hora, terminal y un dato esf'l'<ifico de lo que fue modificado durante el acceso; si el acceso no fue exitoso la
m.tyor ilormacin posible sobre da, hora, terminal y claves de intento usadas.
icacin de
y guard,l tablas de
201
SEGURIDAD LGICA
Y CONFIDENCIAliDAD
adespar~
la r<"CUrso
los dt> un
-el acceso
tar el uso
ms
Algun< tipos de software son diseados con caractersticas que pueden ser
u<,~das para proveerles seguridad. Sin emb.1rgo, es preferible usar un software
J< control de acceso para asegurar el ambiente total y completar las caractcrs
locas de seguridad con un software especfico.
Como existen diferentes tipos de software, explicaremos las caractersticas
de seguridad de los siguientes:
par~l
determi'indada a
le acceso:
Ucamcnte
proteger
5n.
rde base
Sbternas operativos.
JS
de da-
uede
odo.
So! trata de una serie de programas que se encuentran dentro de los sistemas
opcr.\ti\'OS, los cuales manejan los recu!'S05 de la~ computadoras y sirven como
int~rla;,e entre el software de aplicaciones y el hardware.
Estos programas proporcionan seguridad ya que, internamente, dentro
de los sistemas operativos manejan y controlan la ejecucin de p rogramas
de aplicacin y proveen los servicios que estos programas requieren, dependiendo del usuario y d el s istema que se est~ t1obnjando. Cada serv icio debe
incluir un calendario de trabajo (Job Sdoerloole), manejador de equ ipo pcrifrieos, un contador de trabajo y un compi lador de programas, pruebas y debugs
(d~puraciones). El grado de protecci611 sobre estos servicios depende de los
~istemas operativos.
Los elementos de seguridad de los si;,tcm~ operativos incluyen lo siguiente:
n.
sin
dos.
Control de salidas de los programas al modificarse cdigos. stos usualmente tienen accesos a los elementos m.is umport.mtes del sistema, y sus
actividades deben ser monitorcadas.
Los sistemas operativos usan claves de ac~o (passwords, ID) para prevenir
uM1arios no autorizados a funciones y utilera;, del sistema operativo. Muchas veces, estas claves de acceso estn definidas en una tabla del sistema
Elementos
de seguridad
202
CAPITuLO
6
EVALUACiN
DE LA SEGURIDAD
por
1
arel~
1
rest~
los
cio
datoj
cos. l
nistr
respl
esta<
adert
1
par~
dad
bit
un n
rrid<
C)i
El se
pros
term
dato
defu
c-ad<
el ac
func
acce
0)
El S
cjec-
ene
soft
a es
deben
imitar
:ursos
?revetacin
o.AI~guri
~able
er los
e qu
1ade.
;o no
puetema.
lady
iones
ware
ra de
td de
:lualperaJSua-
,isteronistrala les
os al
rala
:stn
:ema
eben
;daMa;ani-
c~t.'CUtar
IS-
e un
~ser
203. __-...J
SEGURIDAD LGICA
v CONFIDENCJAUDAD
__::jBMS
204
CAPiTULO 6
EVALUACIN
DE LA SEGURIDAD
El software de manejo de libn.'ras puede ser usado para mantener y prottger los recursos de programas de libreras, la ejecucin de jobs, y en alguna!
instancia~, los archivos de datos pueden ser utilizados por stas.
Estas libreras deben ser soportadas por un adecuado control de cambios y
procedim ientos de documentacin.
Una importante funcin del soft ware controlador de ltbre,as es controlar y
describir los cambios de programas en una bitcora. El software de libreras
provee d iferentes niveles de seguridad, los cuales se reflejJn en las bitcoras de
auditora.
Los controles de cambios de emergencia deben estar en algn lugar debid
a la n.lturaJe,, de estos cambios (frecuentemente son realiados fuera de hora<
de trabajo normal, son cortos, no se comunican):
f
las
rt
t
1
F
J OSI
den t
Conl
segu
dos :
Utilcras de monitores.
Sistemas manejadores de cinta.
Sistem,lh manejadores de disco.
Calendarios de JObs.
Editores en lnea.
Debugers.
Scanner de virus.
Software de telecomunicaciones.
Ciertos tipos de software de telecomunicaciones pueden restringir el acceso a las redl'S y a aplicaciones especficas localizadas en la red,
imp
incl
Los
real
~y proten algunas
::ambios y
ontrolar y
libreras
:coras de
transmitidas.
ardebido
tdehoras
problema
W, controles de software de segurid,ld general y de software especfico pue-
tomtica-
d~n
sus res-
a instalanodificar
sistemas
y los
es usado
>S, caleneste tipo
lllS
o, algn
:>ausua-
el acce-
205
SEGURIDAD LOGICA
Y CONFIDENCIALIDAD
206
CAPTULO 8
EVALUACION
OE LA SEGURJDAD
o
o
Se
S
g
S
o
'
1onitorear
.jtcora de
:mnente si
tora posi
\ejada por
El tipo dl'
al vende~genes de
recupera
o
,1 sistema
\temues1\portan-
os de los
izados.
itiendo a
ondoquc
o
o
manera
ms all
de aplilos proJeS
a un
n).
oneso
ones no
otro! de
autori-
o
o
los si-
suarios
:xtifica-
o.
207
SEGURIDAD LGICA
V COOFIDENCIALIDAD
208
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD
o
o
o
o
guie'
m as
todo
liza<
warc
de a
Los comandos del operador que pueden dar shoutdown a los componentes de la red slo pueden ser usados por usuarios autorizados.
El acceso diario al sistema debe ser monitoreado y protegido.
Asegurar que los datos no sea.n acccsados o modificados por un usuario no autorizado, ya sea durante la transmisin o mientras est en almacenamiento temporal.
Consideraciones al auditar
Cuando se realiza una revisin de seguridad lgica, el auditor intemo deber evaluar y probar los siguientes tres controles implantados para minimizar riesgos:
mar
gn
apr<
los<
apr<
Inst
en 1.
y actim dalitora
cceso.
209
SEOUAIOAO LOOICA
Y CONflOENCIAltOAO
la ,.,.lluacin de todos los tipO'i d< <;O(tw,lro deber asegurar que los sigui<'nt<>s obj~tivos sean cumplidos:
orrer
y S<'
ellas.
adoi.
ente
es y
ola
po-
uaa l-
(;na
mas l..1 .1udotoria puede enfocar,.. en arca> de ..egundad que >On aphcables a
todo llpo de software y pueden cubnr 1,1 ln>l.>l.>con, d rnantenmtiento y la uh
h~c.l..:tn
Uel ~oftware.
Tambon debe tomarse en cuenta las caractcrshca~ de ~idad del softwan, ~ncluytmdo el control de acceso, la odentoficac1n del usuario y el proceso
de aull'ntificacin del usuario, ejecutado por <'1 softw.ue.
Fntrt' las consideraones esp<>dfica" al uuditJr e!-.t.in:
ar.-
Durant< t'l ciclo de ,;da del software d<'bcn ">Cr evaluadas su mstalacin,
mantcnim1ento y operacin. Se debe utili1ar 1,1 aud>toria para asegurar que algn c.1mb1o hecho al software no comprometa la mtegridad, confidencialidad o
apmwcham11?nto de los datos o recu~os del sostema.
El '<Jftware de aud itora especializ.ldu plll'dt wr usado para revisar todos
lu, rambo. y asegurarse que son ejecutado, dt acuerdo con los procedimientos
aprobados por la gerencia.
Instalacin y mantenimiento. E.~ la pnm,r f,1o,e dd codo de vida del o;oftware,
en la l'Ual d audttor debe re,;sar lo soguwnte:
a-
Ciclo de vida
del sotware
210
CAPiTULO 6
EVALUACIN
DE LA SEGURIDAD
otra~ 1
lacion
usada
D
f(
Operacin. En la ..egunda fase del ciclo de vida del software debern revisa"'
cin de
otras numerosas actividades: logi11, archivos de acceso, recursos de acceso, vioJaciones y cambios de acceso). los reporteadores y otras utileras pueden ser
usadas para presentar esta informacin continuamente.
;uaje d e
visa rse:
o
iones o
o
a(carga
lmiento
o
o
usados
o
cons is o
re.
cuales
ntar los
reras y
aciones
para el
Procedimientos de identificacin del llSUario. los auditores debern revisar y aprobar los mtodos usados para definir usuarios para el software.
Las siguientes situaciones debern ser revisadas por un apropiado nivel de direccin:
o
o
y vigi-
pueden
strados
nda de
211
SEGURIDAD LGICA
y CONFIDENCIALIDAD
212
CAPITULO 8
EVALUACIN
DE LA SEGUAlOAO
o
o
o
o
te la sesin.
o
o
o
o
o
o
Siste
dim~
Los recursos para controlar el acceso. Los auditores internos debern rel
sar lo siguiente:
o
o
o
o
o
o
o
o
vo, e
So:
tlCf
tos
pro
213
SEGURIDAD LGICA
Y CONFIDENCI-'LIOAO
214
CAPiTulO 6
EVAlUACIN
DE lA SEGURIDAD
f
d re
trole
m o ni
Sofh
es po
tl'led
lo~ si
Documentacin de librtras.
Programas fuentes y ei('CUtables.
fobs en cccuctn y lineamientos de control
Parmetros de corrida.
Uso de software para restringir e l acn~so a libreras.
Restriccin del acceso a libreras de produccin.
Restricdont."> de funcioncs que pueden ser usadas para modificar el es!
de un programa (pruebas a produccin).
Acceso a ltbrcras en prueba.
Convenciones para dar nombre a libreras que son usadas para faolttarb
seguridad.
Mtodo' para clasificar y restringir el acceso a ltbrcras por tipo (fue
objeto, carga y control de job).
Si el software ejecuta func1ones de Identificacin de usuario y proct'<II\JtC
tos de a u tmtificacin.
Procedimientos inusuall's de las librl'ras.
Capacidades de la bitcora de auditora.
Los nmc.>ros de ver<;in del software.
Los reportes escritos pueden ser usados para organiar las actividad., d.
las libreras de logs de acceso al software manejador de libreras o bitJcora>de
auditora.
Software de utileras. El auditor deber evaluar, revi"'r y probar los <ig..procedimicnto, diseados para lintar el.lcceso a comandos de utileri,lS o fun.
ciones:
R
te
1'
F
l
rp
r.
R
L
e
e
e'
d
"'p,
Cl
L
red, d
1-stos
L,
Pe
Sl
si
lci
Id
u
ca
Li
iones del
ente pro)rmacin
es posible usar las funciones del software que restringe el acceso en las redes de
telecomunicaciones y los procedimientos que gobieman su uso, especialmente
los siguientes:
el estado
cilitar la
(fuentes,
edimien-
Jades de
icoras de
guientes
aso fun-
Apagado automtico de terminales inactivas en un tiempo especifico (terminales que pueden ser usadas}.
Facilidad de acceso no autorizado basada en protocolos de transmisin y
lneas para la conexin rpida.
Nmero de seguridad de entrada (revisar la posib ilidad de este nmero
para acceso local o tableros de boletn nacional.)
"Autorrespuesta", facilidad de uso sobre mdem.
Horas durante las cuales la lnea est disponible.
Recursos y fw1eiones posibles a travs del acceso de entrada.
Uso de identificacin de la terminal fsicamente.
Controles de acceso sobre los recursos de la red.
Controles de acceso sobre tablas de configuracin de red.
Controles de acceso a funciones de la red.
Seguridad fsica sobre lneas telefnicas y telecomunicaciones.
El uso de red de rea local y la conectividad para otras LAN, W AN o redes
en otro lugar.
Si el soft-ware ejecuta las funciones de la identificacin del usuario y procedmientos de autentificacin.
Proced imientos para la proteccin de comunicaciones (desde las conexiones hasta la recepcin no autorizada).
Posibilidad y uso de encriptacin de datos o mensajes tcnicos de identificacin.
Los reportes escritos pueden ser usados para reportar las actividades de la
red, de logs de acceso a software de telecomunicaciones o bitcoras de auditora.
stos pueden adems hacerlo con e l software de control de acceso.
Los reportes especiales de auditora debern contener Jo siguiente:
lciones o
proced -
215
SEGURIDAD LGICA
v CONFIOENCIALIDAO
216
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD
Definicin
Firma digital
ENCRIPTAMIENTO
Encriptar es el a rte de p ro teger la informacin transformndola con undtia
minado algoritmo den tro de un formato para que no pueda ser leda
mente. S lo aque ll os usuarios que posean la clave de acceso
"d esencriptar" un texto para q ue p ueda ser ledo. Las tecnologas moderna<
encriptamiento nacen casi imposible que una persona no autori<ada util!ol!
informacin.
Encriptar es 1.1 tranformacin de los datos a una forma en que no S< f"'
ble leerla por cualqu1er persona, a menos que cuente con la lla,c de
cin. Su propsito es a.-.egurar la privacidad y mantener la informacin
de personal no autorindo, aun de aquellos que la puedan ver en fonru
lada.
Debido a que Internet y otras formas de comunicacin electrnica
wnvcrtido en algo normal y rutinario, la seguridad se na convertido en
tor muy importantt:'. El t:'ncrip tamiento se usa para proteger meMajesde
e lectrnico (E-mail), firmas electrnicas, llaves de aCC\!SO, informacin 1
financiero e informacin confidencial. Existen en el mercado diferentes paqu.
tes y formas para cncriptar la informacin.
Los sistemas de e ncripta miento pueden ser clasificados e11 sistemas del&
ve s imtrica, los cuales usan una llave comn pa ra e l que N\Vil informadn
para el que la recibe, y sistemas de llave pblica, el cua1 u ti liza dos llav~
que es pblica, conocida por todos, y otra que solamente conoce el recept
Para generar una firma digita l, se usan algunos algoritmos pblicos. u
ma digital es un conjunto de datos que son creados u!><!ndo una lla\'e "-"'
aunque existe una lla\'e pblica que es usada para verilicar que la fllllll
realmente generada usando la llave privada correspondiente. El alg;orlmoll<l>
do para generar la firma electrnica es de tal naturaleza, que si no se us.l~l:"
secreta no es po~ible us.u la firma electrnica.
L.a autentificacin en sentido digital es el proceso por medio drl cual
emisor y 1o receptor de un mensaje digital confide11cial tiene una identifica
vlida para enviar o recibir un me11saje. Los protocolos de autentificacin>
den estar basados en sistemas convencionales de encriptamiento de llavl'\!<
cretas, o en sistemas pblicos de encriptamien to. En lo autenti ficacin de si;!
mas d e llaves pblicas se usan las fumas digitales.
La firmo d igital tiene la misma funcin que la firma escrita en cualquin&
cumento. La firma digita l es un fragmento de informacin confidencial y pn'fl
de cada usuario que asegura a la persona que enva o autori?:a un documentu
vtn
permaa
l:Oll~
~~:~:!
se
).,;
deterormalodr n
-nas d e
mee la
a posi
escrip
alejada
encrip
se han
un faccorreo
je tipo
paque-
de lla
1ci6n y
es, tma
olor.
La fir
:ecreta,
ma fue
10
usa-
laUave
cual el
icaci<ln
n pueves see sistetier do-
propia
mto. El
corres>.
ene de
la para
n tiemttifican
Elemplo
Criptoanlisis
218
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD
GSSAPI (Geueric Security Services, APl). Provee una autentificacin gennca, llaves de intercambio e interfases de encriptamiento para diferentes si~
temas y m todos de autentificacin.
SSL (Secure Socket Layer). Es uno de Jos dos protocolos para una conexin
segura de web.
SHTIP (Secure Hypertext Transfer Protocol). Pro tocolo para dar ms seguri
dad a las transacciones de web.
E-Mail (Semrity nnd Related Seruices).
o
DIFflE HELLMAN.
ELGAMAL.
LUC.
Symetricos.
+ DES.
BLOWFlSH.
IDEA (lnteruntiounl Dntn Eucryptiou Algorith).
RC4.
+ SAFER.
SEGURIDAD EN EL PERSONAL
Caracterlstlcas
del personal
gran
depe1
crea ti
riesgt
vaca~
y evil
<lO
en
pue
zaci(~
T
posib
b1a a
sabra
Esto
aunq
n1ite,
S<
dono
lidad
la mo
as COl
El
ligro l
audit(
fraud1
E1
est d1
nallc1
citado
ver la
contro
palme
dente
perwr
El obj
intern
bido a
ter re m
sea res
genrintes sis;mexin
segun-
;inem-
mos si-
5-CBC,
estabi!niente
mteceya que
por lo
tico y
esub,ar no
1ilidad
SEGURIDAD FSICA
El objetivo es establecer polticas, procedimientos y prcticas para evitar las
interrupciones prolongadas del servicio de procesamiento de informacin, debido a contingencias como incend1o, mundacin, huelgas, disturbios, sabotaje,
terremotos, hur.1cancs etc., y continuar en un medio de emergencia hasta que
sea restaurado el servicio completo.
219
SEGURIDAD
F1$1CA
220
CAPTUL08
EVALUACION
DE LA SEGURIDAD
UBICACIN y CONSTRUCCIN
P1so
OCN
[ n !.1 anti:
piSOS e le\'
dl cn1pu
t.u.1or,1s,
P.
c.on plsos
t.lll'nlc COl
Una e
y prot~>ec
Adems.
cerca d e 1
rcpllas d e
Un p i
du con lcu
d.1d de s<:
Se re<
<Jll<' la su
camara p
terminad
p<>der seJ
1stema y
El t>qup<
tipo d e e
cual >.e n
m.l~ ;~si e
Los
las princ
Las i
tncucnb
duetos.~
to t.xtcri
1ndiquer
Sen
superior
uci'<iac
221
P1so ELEVADO
OCMARA PLENA
~n un Jug..lr
la organi/,1
1cluso hab..
modo rdd t
qut! un..
entro de in
nte peligro
~
)na5,
o bit.~
adem.is, d
dismmun
o del centro
s altamen ll'
que no que-
planchado,
la orient.J.
rosos a lo...
los grandes
pueden ser
1inarse por
uni
les y pan e
'uturas. En
1o, se d~bc
iros.
><iguientc;
1 cada
nserguar
ARE ACONDICIONADO
El equipo de a m~ acondicionado es otro de los di,positivos que dependerJn del
tipo de computadora que se utilice y del lugar donde est instalado, para lo
cual se rccomumda verificar con el proveedor la temperatura mnima y mxima, as como la huml>dad relativa en la que dcb.!rn trabajar los cqui~.
Los duetos de aire acondicionado deben estar li mpios, ya que son una de
las principales causas de polvo.
Las instalaciones del aire acondicionado son una fuente de i1lcendio muy
frecuente, son su~ccptibles de ataques fsicos, especialmente a travs de los
duetos. Se deb.!n instalar redes de proteccin en todo el sistema de duetos, tan
to exteriores como interiores, y deber de contarse con detectores de humo que
indiquen la ~ible presencia de fuego.
Se recomienda que la presin de aire en la sala de cmputo sea ligeramente
superior a la de las reas adyacentes, pMa n.>ducir as la entrada de polvo v
suciedad.
SEGURIDAD
FISICA
222
CAPITULO 8
EVALUACION
DE lA SEGURIDAD
INSTALACIN ELCTRICA
Y SUMINISTRO DE ENERGA
ll
cquif
l.1dor
on (
nhca
carga
car <p
Proteccin del
sistema elctrico
Uno de los disposihv~ que deben de ser evaluados y controlados ron m.JI'W
cuidado es la instalacin ek~trica, ya que no solamente puede provocar falll!
de energa que pueden producir prd idas de informacin y de trabajo, sinoqut
es uno de los principales provocadores de incelldios.
El auditor debe au,iliar-.e de un especialista para t'valuar el adecuado fun.
cionamiento del sistema elctrico y el suministro de energa.
Los cables del sistema elt~ico deben t>star perfectamente identificados
(positivos, negati,os y herra fs1ca); lo ms frecuente es identificarlos por mtdo de colores (positivo, roo). !ben de existir conexiones indepen<lientes p.m
los equipos de cmputo; este cuidado se debe tener en las oficinas dond~ lvy
conL'ctadas terrninalt>s o m1croromputadoras, y adcm~s dt>ben estar idMbto
das, contar con tierra fsica~ lo cual proteger a los equipos contra un cortoru
cu ito en caso de una descarga. Se debe revisar que se cuente ron los plan<>< d
qul! e
comp
f,lx, y
tci<.'vi
no p n
<apac
v cor.
T.
'., m.
la d1'i1
ele' ar
una b
pocol
ttcamc
u
gas o !
rrum (
mvt'le
p1d0.
u
sea d e
tl\ o d
l:Otrl
t,,,, e
rrumF
p<.ri~
de hol
mi1ci
8
zona ~
lntern
nocor
mayor
archiv
presot
Er
maba1
l:OS00
do se 1
E~
sus di
)n mayor
..:ar fallas
sino que
oado funrtificados
; por mentes para
mde hay
lentificacortocir!anos de
.para las
:ir picos,
'eS acon-
lencen~. equiiente de
ran exrello es
pos de
ntecon:tamenon conlamien
lSespeuado el
; cables
coman
a fauna
se para
e tener
unen te
tmtpti-
223
SEGURIDAD
FISICA
Reguladores
224
CAPITULO
6
EVALUACIN
DE LA SEGURIDAD
SE
Es irnf
el da,
d u ran
El
dcbei
organ:
perso1
i ngre~
SI
re
tE
Co
je
p,
ti o
SEGURIDAD CONTRA
DESASTRES PROVOCADOS
POR AGUA
P'
tr.
ta
t\(
ce
fe
el
cr
ci
SE
P'
E:
bt
te
pd
la
A
C(
S<
e'
eJ
225
SEGURIDAD
FiSICA
utorizacin
acin acci-
Es importante asegurarse que los controles de acceso sean estrictos durante todo
el da. y que stos incluyan a todo el personal de la organizacin, en especial
durante los descansos y cambios de turno.
El personal de informtica, as como cualquier otro ajeno a la instalacin, se
debe identificar antes de entrar a sta. El riesgo que prov iene de alguien de la
organizacin es tan grande como el de cualquier otro visitante. Solamente el
personal autorizado por medio de una llave de acceso o por la gerencia debe
ingresar a dichas instalaciones.
En los centros de cmputo se pueden utilizar los siguientes recursos:
Puerta de combinacin. En este sistema se usa una combinacin de nmeros para permitir el acceso. La combinacin debe ser cambiada regularmente o cuando el empleado sea transferido o termine su funcin laboral dentro
de ese centro de cmputo. Esto reduce el riesgo de que la combinacin sea
conocida por gente no autorizada.
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico magntica como llave de entrada. Un cdigo especial interno en la taxjeta es ledo por un sensor activando el seguro de la puerta.
Puertas sensoriales. Son activadas por los propios ind ividuos con alguna
parte de su cuerpo, como puede ser la huella dactilax, voz, retina, geometra de la mano o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visitantes indicando su nombre, su compaa, la razn para la visita, la persona a la que visita. El registro se encuentra en la recepcin del centro de
cmputo. Es importante que el visitante proporcione una identificacin con
foto (licencia de manejo o credencial), ya que de otra forma podra inventar
el nombre y no se tendra seguridad. Los empleados deben de portax la
credencial de la empresa con foto, la cual adems de servir de identificacin, se utilizax para sealax las reas de informtica a las cuales tiene
autorizacin de entrar.
Videocmaras. stas deben ser colocadas en puntos estratgicos para que
se pueda monitorear el centro. Los casetes deben ser guardados para su
posible anHsis.
Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompaados por un empleado responsable. Se consideran visitantes: amigos, prov~>edores, ingenieros de mantenimiento y auditores externos.
Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se trata de dos puertas, donde la segtmda slo se pueda abrir cuando
la primera est cerrada.
Alaxmas. Todas las reas deben estar protegidas contra robo o accesos fsicos no autorizados. Las alarmas contra robo deben ser usadas hasta donde
sea posible en forma discreta, de manera que no se atraiga la atencin hacia
este dispositivo de alta seguridad . Tales medidas no slo se deben aplicar
en el centro de cmputo sino tambin en reas adyacentes.
Puertas
de seguridad
Sedeb
226
CAPiTULO&
EVALUACIN
OE LA SEGURIDAD
DETECCIN DE HUMO
Y FUEGO, EXTINTORES
Detectores
de humo
Equipos contra
incendio
vocar
ma.~
gases tx~
Tamo
dio y si h<
das de err
Los
produce!]
Los ~
falso, rep;
control e~
dt O a 60
boquilla)
permitir
que el m
los equi
Es ne
en caso<:
mente p
de su u
d<.'bcn hJ
Las
debe co
Esta sal
cesaras
propio
en arm
dos hor
ala cercana
t difundir el
le gases que
Jrno o e l va
arma central
ridad contra
bomberos.
operaciones
1a de respal,cedimientos
ndemane11' alejado, as
:uales deben
cuando sean
n para aviso
situacin del
corriente de
positivo m a
tdicionado y
lo extintores
>para poder
ara el uso de
e emergencia
~rior, cercano
te inferior).
ru capacidad,
uente que se
gados o bien
ilizarlos. Los
de una mujer
Se debe cuidar que los de extintores no sean inadecuados, q ue puedan pro\'OCa!l' mayor perjuicio a las mquinas (extintores lquidos) o que produzcan
gases txicos.
Tambin se debe evaluar si e l personal sabe usar Jos equipos contra incendio y si ha habido prcticas en cuanto a su empleo; que existan suficientes salidas de emergencia, debidamente controladas para evitar robos.
Los materiales ms peligrosos son las cintas magnticas que, al quema!l'se,
producen gases txicos, y el papel carbn, que es altamente inflamable.
Los detectores de ionizacin del aire deben colocarse en el techo y en el piso
falso, repartirse de manera uniforme y estar conectados al tablero del equipo de
control contra incendio. En este tablero se localiza un reloj que puede calibrarse
de Oa 60 segundos; para provocar un disparo de gas debe jalarse a travs de
boquillas de aspersin estratgicamente colocadas en el techo de la sala, para
permitir la evacuacin d el personal y desconectar el sistema. Se debe verificar
que el material utilizado para extinguir los incendios no provoque problemas a
los equipos electrnicos.
Es necesario definir y documentar los procedimientos que se deben seguir
en caso de incendio. Los planes de evacuacin del centro d eben estar plenamente probados y docu mentados. Adems, se debe entrenar a l personal acerca
de su uso, ya que con frecuencia muchos empleados no saben exactamente qu
deben hacer en caso de incendio.
Las cintas y discos magnticos deben a lmacenarse en una sala aparte y se
debe contar con un acceso al rea en donde se localiza el equipo de cmputo.
Esta sala debe contar con todas las condiciones ambientales y de seguridad necesarias, ya que la informacin almacenada al tiene ms importancia que el
propio equipo de cmputo. Las cintas y d iscos magnticos deben almacenarse
en armarios con pa!l'edes fabricadas especialmente para resistir por lo menos
dos horas de fuego.
TEMPERATURA y HUMEDAD
Algunos equipos grandes de cmputo (mainframes), o bien las computadoras
personales que son usadas en zonas muy clidas o desrticas, necesitan de un
sistema de aire acondicionado d iseado para estar en operacin constante, con
base e n los sigu ientes parmetros:
Disipacin trmica (6TU). La disipacin trmica de cada unidad de sistemas es mostrada en unidades trmicas britnicas por hora.
Movimiento de aire (CFM). Los movimientos de aire se muestran en pies
cbicos por minuto.
Prdidas por transferencia de calor. Existen prdidas por transferencia de
ca lor, por las siguientes curvas: n) A travs de paredes, pisos y techos, o por
la iluminacin; b) diferencias en temperatura entre la sala de cmputo y
reas adyacentes, y e) ventanas expuestas a los rayos del sol.
227
SEGURIDAD
FiSICA
228
CAPiTuLO
EVALUACi~
DE LA SEGUAIOAD
11
12.
13
En
14.
Inundacin?
Terremoto?
Fuego?
Sabotaje?
15.
16.
NO
17.
20
21
SI
NO
NO
SI
NO
SI
NO
22
2<
NO
NO
2!
~tador
deben
ngo completo
l imos y mxi
Jos por el pro-
)ntinuo
"'son una de
)res de humo
se consignan
td fsica:
alvo de:
SEGURIDAD
FfSICA
NO
SI
NO
SI
NO
SI
NO
En caso afirmativo:
18. Los duetos del a~re acondtetonado cuentan con alarmas contra tntrusos?
si
NO
NO
es asf,
NO
NO
mputo?
t.O
NO
2 1. De qu forma?
22 Con qu periodicidad?
sol?
229
NO
JTO
Si
$1
NO
'lO
24. La tierra fSica cumple con las dtsposictones del proveedor de equipos de
cmputo?
Si
NO
NO
NO
230
CAPITULO 6
EVALUACIN
OE LA SEGURIOA()
si
NO
27. los contactos ele eqwpo ele cmputo estan debidamente IdentifiCados?
NO
SI
HO
N()
30. Se llene conec!ado a los contactos de equopo de cmputo otro equipo ello
trn1co?
s1
10
31 Se tiene Instalacin elctrica de equ1po de cmputo Independiente de ot:u
InstalaCIOnes elctncas?
SI
110
32. Se tiene precaucin contra fauna nOCiva?
33. El equ1po contra fauna nOCiva est deb1damente proteg1do y cu1dado p&.'l
no producir problemas al personal?
si
10
34 Se ub 1Za matenal anbesttoco?
35 Se tienen reguladores para los equ1pos de cmputo?
110
NO
SI
SI
N()
vo. tierra
231
NO
Si
Idos?
'O
ca?
NO
NO
NO
SI
po ele<:
HO
:le otras
NO
NO
50. Se registran las acciones de los operadores para evitar que realicen alguna
do para
NO
si
si
NO
NO
SI
52. De qu forma?
53. Cmo se controla el acceso?
1uar el
NO
NO
Vigilante.
Recepcionista.
Ta~eta de control de acceso.
Puerta de combinacin.
Puerta con cerradura.
Puerta electrnica.
Puerta sensorial.
Registro de entradas.
Puertas dobles.
Escolta controlada.
Alarmas.
NO
Tarjetas magnticas.
Control biomtrico.
Identificacin personal.
54 Existe vigilancia en el cuarto de mquinas las 24 horas?
>
t()
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
SI
NO
NO
NO
SEGURIDAD
FfSICA
232
CAPITULO 6
66.S
EVALUACIN
0E LA SEOt/AIOAO
(NO
67 SI
au
No existe?
68 SI
( l
pa
( )
( l
)
69 SI
( l
pa
70
au
En el cuarto de mquinas?
En la cintoteca y discoteca?
En las bodegas?
En otros lados?
(
(
(
71
si
( )
( )
)
72
Cules?
73
SI
74.
62. La alarma est conectada:
Al puesto de guardias?
A la estacin de bomberos?
A algun otro lado?
Otro.
75.
(
(
(
(
76.
(
(
(
77
NO
( l
Gas.
Otros.
( )
78
de mfor-
233
'o
SI
NO
68. Silos extintores automticos son a base de agua. se han tomado medidas
para evitar que el agua cause ms dallo que el luego?
s1
NO
69. Si lOs extintores automticos son a basa de gas, se han tomado medidas
para evitar que el gas causa ms dao que el fuego?
SI
NO
70. Existe un lapso de tiempo sufociente. antes de que funcionen los extintores
automtiCOS, para que el personal:
Corte la accin de los extintores por tratarse de falsa alanna?
Pueda cortar la energia elctrica?
Pueda abandonar el local sin peligro de intoxicacin?
Es inmediata su accin?
SI
NO
si
Si
si
NO
NO
NO
Sl
NO
72. Saben qu hacer los operadores del cuarto de mquinas en caso de que
ocurra una emergencia ocasonada por fuego?
Si
NO
(IncendiO}?
SI
NO
fl()
}
)
)
)
SEGURIDAD
FISICA
234
CAPITUlO 6
EVALUACIN
OE lA SEGURIDAD
11)
""
SEGURIDAD EN GENERAL
83. Se controla el prstamo de:
Elementos magnticos?
Equpo?
Software?
( )
( )
10
SI
90. Este departamento de auditora ~ntema conoce todos los aspectos de los
sistemas?
s
NO
92. Se cumplen?
NO
1<0
( )
(
( )
235
95. Cundo se efectan modificaciones a los programas, a iniciativa de quin?:
NO
los
pa
NO
~no?
usuano.
Dtrector de nfonmbca.
Jefe de anlisis.
Programador.
Otras (especrt1que).
(
(
(
(
(
FISICA
)
)
)
)
)
NO
NO
97. Una vez efectuadas las modificaciones, se presentan las pruebas a los
interesados?
si
NO
NO
NO
( )
( )
( )
cop<as?
NO
NO
en que
103. Se reg1stra cada VIOlacin a los procedimientos con el fin de llevar esta
dsticas y frenar las tendenc1as mayores?
SI
NO
Recepcin de documentos.
Informacin confidencial.
Captacin de documentos
Cmputo electrniCO.
Programas.
Discotecas y clntotecas.
Documentos de salida.
Archivos magnticos.
)
)
( )
( )
( )
( )
( )
( )
(
(
SEGURIOAil
236
CAPITuLO 6
EVALUACIN
DE LA SEGURIDAD
)
)
)
)
( )
(
(
)
)
Oal'los de virus
Suplantacin de datos.
Eliminacin aleatoria.
Destruccin de la produccin.
Modificacin de lo; cdigos de proteccin.
Bloqueo de redes.
Cambios d.> mformacin entre usuarios.
Por medio de un canal encubierto, cambiar, acce<;.u o difundir cLm~sd!
seguridad.
Modificacin de informacin de salida o de pantallas.
Saturacin, reduccin de disponibilidad o cambio de parmetros.
Combinacin dl' los anteriores.
Sed
el p
clp
Limitar el trnsito. Evitar que todos los usuarios puedan navegar por todos
los sistemas. Restringir el trnsito entre usuarios o entre sistemas (lo cu al es
difcil y va en much os casos en contra de la filosofa de uso de la informacin y de comunicacin).
limitar la programacin y controlarla adecuadamente.
El problema de los virus en muchas ocasiones son los ciclos interminables;
ya que se desinfecte u na parte del sistema o algunos usua rios, el virus puede
al infecn que a l
dos in ilucionar
le, pero
o tiene n
sin exa-
)enque
seguir latente e infectar nuevamente a 1sistema. Esto sucede sobre todo cuando
el sistema se encuentra en operacin. Para poder tener u na cura parcial se debe
di,idir el sistema o los usuarios de tal forma que se pueda desinfectar una parte
sin suspe nder totalmente la operacin del sistema. Por lo anterior se recomienda que a la primera posibilidad de virus se apague el sistema y se evale hasta
<er desinfectado, lo cual a su vez puede provocar tambin el problema psicolgico de estar pensando que la primera falla que se tenga, se trate de un virus.
Se debe tener vacunas contra virus; el problema es que generalmente estas
vacunas no cubren todos los virus, por lo que se requiere achta lizarlas constantemente.
Otra forma de protegerse es a travs de analizadores de virus. Estos pro
gramas detectan la existencia de un virus en el momento de la inicia lizacin
(llootstrap) de las computadoras personales. Estos analizadores presentan p roblemas, ya que son costosos y poco efectivos para todos los diferentes virus,
aunque son actualmente muy populares en el mercado. Un analizador realmente efectivo debe detectar e l virus antes de que ataque.
Entre los problemas en la utilizacin de ana lizadores y de vacunas contra
virus estn:
aves de
o de los
aban al
oa prin>bin se
o, hasta
;tema.
izado o
el siste-
el problema est en descubrir qu elemento puede servir para determi nar que
el paquete es orig inal.
237
SEGURIDAD
ENCONffiADE
VIRUS
Analizadores
de virus
238
CAPITUl.O e
EVALUACIN
OE l.A SEGURIDAD
Internet
1nernet es Wla asombrosa creacin q ue ha reforzado nuestra economa; rep
scnta todavia un trabajo en m.1rcha, capaz de ser derrumbado con sorprend
te facilidad.lncluso los gig,1ntes del cibercomercio no son ms resistentes. TOO:
lo que se necesita es un bien dirigido ataque de degeneracin de servicios (DOS
por sus siglas en ingls) para causa r daos, al menos temporalmente.
La degeneracin dl'l servicio se hace por medio de plantar, primero,
software "esclavo en computadoras de terceras partes o zombies". En
momento, esos programas esclavos utilizan la capacidad de procesamientu dt
sus'"'"
dore' (
ataque
l n los
no .. es
vulnc~
Ce
de cab
ra~ la
vulne
odega(aJ1' (licencia)
raluar que
nogramas
po$ de las
putadoras
3SCOmpuoadores y
~un sisterar a otro
;ean debi-
fensa con'utadoras,
;o de que
;, y la forimnalo y
no CERT
encas de
spuesta a
u respon-
de virus,
tas, y asee en caso
>malido-
locuanlel origen
sus anfit(iones para enviar una torre de me nsajes destructivos a los servido res
que son su verdadero blanco.
En 1998, el Equipo de Respuestas a Emergencias Informticas (CERT) de
Estados Unidos comenz a prevenir a la comunid ad ciberntica sobre las incursiones de DOS, y admiti que: "No podrn prometer q ue esto desaparezca a
corto plazo."
La solucin es la proteccin de todo ciberespacio contra programas depredadores q ue reclutan a decenas y hasta cientos de mqu inas inocentes para l ll1
ataque d e DOS. Los proveedores de servicio de Internet debern instalar filtros
en los datos que transmiten, y los auditores debern cu idar que slo se utilicen
servicios de Internet con p roveedores que p roporcionen este servicio. Las agenas de seguridad debern introducir agentes zombies que husmeen en b usca
de informacin indeseada, o bien por medio de rompecabezas criptogrficos
que abnt111en a las mquinas agresoras.
Los lwckers malvolos, que intentan obtener ganancias financieras, o los
hackers conocidos como de sombrero negro, que intentan d ivertirse al echarle a
perder el da a un usuario de Internet, en la actualidad son combatidos por
medio de hackers de sombrero blanco, que trabajan en firmas d e segu ridad.
La misma conexin que hace a la red tan robusta, ta mbin la deja vulnerable al efecto del eslabn dbil de la cadena. La apertura y facilidad con que
millones de personas pueden compartir la informacin, tambin pone en peligro la intimidad. La mayorfa de los ataques no son diseados para introd ucirse
en los sistemas, sino simplemente para hacerlos ms lentos. Pero los allanamientos no son d ifciles y pueden venir ms problemas.
Si los datos no se pro tegen apropiad amente, la informacin personal que se
transmite en lnea deja a la Web vulnerable al robo de identidad. Los funcionarios estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de
vulnerar o penetrar las computadoras del gobie rno.
Con un nmero creciente de conexio nes pe rmanentes, tales como mdem
de cable, los hackers malvolos podran husmear digitalmente por las cerraduras las vidas de las personas y la p rivacidad de las empresas.
Los hackers usan herramientas de software para merodear por el sistema, a
fin de encontrar debilidades que los ope rado res de redes no han enmendado.
Se est a merced de los administradores de sitios web y de provl>edores de
servicios de Internet para mantenemos a resguardo contra los defectos y remedios de segu ridad. Lo ms pelig roso es q ue los lwckers podran obtener empleos
legtimos en cualquiera de las organizaciones que han sido afectadas por ellos.
Por lo anterio r, para que el auditor se asegure que la informacin no sea tan
vulnerable:
l\ero, un
".En un
tiento de
Nt".A.>SU!ttk,
23 de febrero de 2000.
239
SEGURIDAD
EN COI'll'AA OE
VIRUS
La degeneracin
del servicio DOS
240
CAPTuLO 1
EVALUACIN
0E LA SEGURIDAD
SEGUROS
Capacidad
del seguro
de,
rarl'
varn
ront
dest
lo p
siste
pr.ic
1
cm
!
(
1
1
1
1
o
DE
F.n la
do a
cin
" en
C'otlp
1s, y se
Lo un
fuente
ciones,
fhvare
a sitios
r.
Jidado
1ue en-
rmino,
os que
scomriencia
desasido de
engan
-de suctuali-
obable
ICters-
rSonalo que
!Speci-
tluar y
es que
deben
guaJes
-remo-
de los
241
242
CAPITULO 6
EVAI.UACION
DE LA SEGURIDAD
Una vez que la insta lacin inicial y la puesta Cll marcho de los bienesaS<gu
rodos haya finalizado satisfactoriamente, este seguro se aplica, ya sea quel
bienes estn opera!ldo o Cll reposo, o hayan s ido dcsmolltados con el props1
de ser limpiados o reparados, o mientras sean trasladado;, dentro de los pmt..
el.tipulados, o mientras se e;,tn ejecutando las operaciones menonac
durante el remontaje subsiguiente.
pt'rdd
t~~tar;..\
no~
Cond
Exclusiones generales
Lo~ aseguradore~
"
l.a
eu
qu
El
sa
F.
A
g
ware.
No obstante lo anterior, y nica mente aplicable para los riesgos de inrndio, rayo y 1o explosin, cada de aviones (u objetos cados de ellos), vehcul<>
y humo, granizo, terremoto; erupcin volcn ica e inundacin, un dao diredo
ocurrido de forma accidental, sbita e imprevista, gc11cmdo consccuencialml'!llt
por las prdidas o da1ios <:'xcluidos por la presente clu~ula, gozar de coberlu
ra, s iempre y cuando se establezca como amparado en las condiciones del con
trato de seguro.
En cualquier accin, litigio y otro procedimiento en el cual los asegurad"""
alegaran que, a causa de la~ di~posiciones de las exclusiones anteriores, alguru
noh
pu
rep
lo~
Condiciones generales
La responsabilidad de los aseguradores slo proceder si se observan
o daos
>s
(con o
:reccin,
:ivil poactuan:>iradn,
uier go-
~presen-
rdidas,
nte, por
disposi~ad del
::ia de la
ossiste:ioncs y
oftware,
licos, tasos, dislipos de
le harde incen!hculos
directo
almente
:obertudel conradorcs
alguna
o
o
243
SEGUROS
244
CAPiTULO 6
EVALUACIN
OE LA SEGURIOAO
inspeccionar la prdida antes de que se efecten las reparaciones o alteraoones. Si el r~present,lnte d~ los aseguradores no Uevara a cabo la inspecci<n dfli
tro de un lapso considerado como razonable bajo estas Circunstancias, el
rado estar autorizado a realizar las reparaciones o rccmp1i'170S respectiv~
La responsabilidad de los asegurados con respecto a cualquier boen lSe!!Y.
rado bajo la pliza cesar; s i dicho bien contina operando desputfs de un
reclamacin, sin habt.!r sido reparado a satisfaccin de los asegu radores o soso:
realizaran las r~paracioncs provisionales sin consentimiento de los aseguradore;
ast,
El
P
m
ol
p~
sir
p~
de
re
llc
PE
ci
o
p,
ni
di
m
<M
dt
di
p,
d
li
d
p
p
Cl
Daos materiales
Exclusiones especiales
Sin embargo, los aeguradores no sern responsables, a menos que se estipwll
lo contrario ~n las plizas, de:
L.
m en
das
se en
rado-
nden-
El deducible ~tipulado.
ISegUlOS.
begu-
e una
o si se
dores.
!.ar
to--
~gura
comlos en
ln de~nes o
ctos o
le que
suma
es di-
escri-
ea las
audupoyar
es y si
plinente
ivo, o
suma
.adaa
izada
tipule
Prdida' o daos cauo;.1dos dol'ffta o indil'fftamcnte por resultantes de terremoto, t<:mblor, gol~ de mar por maremoto y erupcin volcnica, cidn
o huracan.
Prdida' o dao~ cau,.1dtl' directa o indirectamente por hurto, robo con o
san voolc:-noa )' 1o ao;.1lto.
Prdida'> o daoo- cau~dtl' por cualquier fallo o defecto existente al inicio
del seguro, que sean conocidos por el asegurado o por sus representantes
<L>!>pon'>abl~ d~ los boenl'S a~gurados, sin tomar en cuenta que dichos falltl' o dcfl>ctos fueran o no conocidos por los aseguradores.
Prdida'> o daos cauados directa o indirectamente por fallo o interrupcin en el aprovi.,ionamiento de comente elctrica de la red pblica, de gas
o agua.
Prdida; o daos que .can consecuencia directa del funcionamiento continuo (desgaste, cavilacin, erosin, corrosin, incrustaciones) o deterioro gradual debido a condiciones atmo>fricas.
Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a
meno& que dicho& fallos fucrcn causados por prdidas o dao indemnizable
ocurrido a los bienes aseguradas.
Cualquier ga;,to cro;ado rCS)X'CtO al manten imiento de los b ienes asegurados; tal exclusin se plica 1,1mbin a las partes recambiadas en el curso de
dichas operacimws dc mantenimiento.
Prdidas o da'ios cuya rcspons,1bilidad recaiga en e l fabricante o el proveedor de lo; bient'' asegurado~. ya sea legal o contractualmente.
Prdidas o daos a equipos arrendados o alquilados, cuando la responsabi
lidad reca iga tnel propietario, ya sea legalmente o segn conveniodearrendamoento )/o mantenimiento.
Prdida o re:.pon<abilidadl'S consccucnciales de cualquier tipo .
Prdida' o daos a partes desgastables, tales como bulbos, vlvulas, tubos,
bandas, fusibll'S, scllos, cintas, alambres, c.1denas, neumticos, herramientas recambiable>, lente,, rodillos, grabados, objetos de vidrio, porcelana o
cermica a cualquier medio de operacin (por ejemplo: lubricantes, combustibl~, agentt>s qumiCO).
Ddcclo>t'Stdoro.., tale:. como raspaduras de superficies pintadas, pulidas o
bami,ad,ls.
245
SEGUROS
Disposiciones aplicables
246
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD
-l.
5.
6.
7.
8.
9.
'1
1al valor
e ycapa;e, y gasISaseguegurada
r sujeto
Segn la pliza no sern recuperables los gastos por modificaciones, adiciones, mejoramiento, mantenimiento y reacond icionamiento.
Los aseguradores respondern por el costo de cualquier reparacin provisionaL siempre que sta forme parte de la reparacin final, y que no aumente
Jos gastos totales de reparacin.
los aseguradores slo respondern por daos despus de haber recibido a
satisfaccin las fach.tras y documentos comprobantes, de haberse reali:tado las
reparaciones o efectuado los reemplazos, respectivamente.
necesanmediamontaje
tambin
Janeros,
la suma
dad del
ornales.
a partes
o que se
nan los
:1 ajuste
)bado o
:ual que
tdo gasysiemJosicin
seguraara des-
e salvaiza, demplace,
ma ase~mni2a-
trabajo
1rto por
En la actualidad los programas y equipos son altamente sofis ticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo
que puede provocar que puedan producir algn deterioro a los sistemas si no
se toman las siguientes medidas:
l. Se debe restringir e l acceso a los programas y a los archivos.
2. Los operadores deben trabajar con poca supervisin y sin la participacin
de los programadores, y no deben modificar los programas ni los archivos.
3. Se debe asegurar en todo momento que los datos y archivos usados sean los
adecuados, procurando no usar respaldos inadecuados. Como ejemplo de
los problemas ocasionados por un mal uso de los respaldos est el de aquella instalacin en que al mismo tiempo que se capturaba informacin para
el archivo maestro, el programador haca pruebas y cambios a los programas. El capturista capturaba el15 de enero y en ese momento el programador deseaba que pusie ran en e l mismo usuario que e l capturista la informacin dcl13 de enero. El cap turista continuaba capturando pero ya no en los
archivos del 15 sino del da 13, y cuando volvan nuevamente a poner la
infonnacin del da 15 descubran que exista la informacin que haban
capturado pero no la encontraba.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar
las terminales.
5. En los casos de informacin confidenciaL sta debe usarse, de ser posible,
en forma codificada o criptografiada.
6. Se debe realizar peridicamente una verificacin fsica del uso de term inales y de los reportes obtenidos.
7. Se debe monitorear peridicamente el uso que se les est dando a las terminales.
8. Se deben hacer auditoras perid icas sobre el rea de operacin y la utilizacin de las terminales.
9. El usuario es el responsable de los datos, por lo que debe asegurarse que los
datos recolectados sean procesados completamente. Esto slo se lograr por
medio de los controles adecuados, los cuales deben ser definidos desde el
momento del diseo general del sistema.
247
SEGURIDAD
EN LA UTILIZACIN
D EL EQUIPO
248
CAPh'uLO 6
EVALUACION
DE LA SEGURIDAD
En loi
de datos }
cuanto a:
Equi'
Con ti
corre
De fin
Rcqu
Est~
r:~t(lr.
Aud1
punb
Sea
En un m
q"""
las comp
siniestro
el motiv
menor ti
futuro~
cin mg
En~
extsteu
establee
que~
le pos1
En
contin;
An
nud"lC
en casq
operali'
En
prc
o
capturistas
ldores y las
n entre las
1 etctera).
-es ajenos a 1
fjemplo: los
cintas de la
1acin y del
rgramacin
ntados, por
seguridad
dolos pa-
\>fediante copias peridicas de lo~ archivos se puede reanudar un proceso a partir de una fecha determinada.
El procesamiento anterior complementado con un registro de las tran
sacciones que afectaron los archi\'OS permitir retroceder en los mo\'imientos realiLados a un archtvo al punto de tener la seguridad del con
tenido del mismo y a partir de &te reanudar el proceso.
249
SEGURIDAD
AL RESTAURAR
EL EQUIPO
250
CApjTULO 6
EVALUACIN
DE LA SEGURIDAD
DE
Lo~.
gli
o bl
sib"
po.
tivo
plat
ble
em
nt~c
sast
e
sist
cq
pl)C:
pi
m
qu
qu
da
ca
bli
SI
""
probadas. Con esto se busca evitar que se camb1en por una nueva ver
sin que antes no ha s ido perfectamente probada y actualizada.
Los nuevos sistemas deben estar adecuadamente documentados y probados.
Los errores corregidos deben estar adecuadamente documentados y las
correcciones autorizadas y verifiCadas.
Los arch1vos de nuevos registros o correcciones ya ex1stentes deben esta'
documentados y venfcados antes de obtener reportes.
Los datos de entrada debetl estar debidamente probados y verificados
contra ta entrada de datos durante el procesamoento.
d
ct
te
fi
e
~eso
nor-
como de
,para
proceditersticas
nivel de
informa,s fsicos,
que per;altemos
l. stas y
robadas
latos, un
mquina
se
ISde res>eesos
>lO
uarden
IdaS y
a ver-
y pro-
s y las
DE RESPALDO
Wl
nte.
~onde
251
PLAN DE
~estar
ICados
CONTINGENCIA
Y PROCEDIMIENTOS
PARA CASOS
DE DESASTRE
252
CAPiTULO 6
EVAlUACIN
DE LA SEGURIDAD
PLAN DE CONTINGENCIAS
El plan de contingencia' y el p lan de seguridad tienen como finalidad proveer a
la organi?acin de r~>qu~>rimientos p;ua su recuperacin ,m te desastres.
Los tles,1strcs pueden clasificarse de la siguiente manera:
Tipos
de desastres
e
CJ
\
e
(
(
P.
rl
ll
algn
princasode un
fortunada-
de las
tre personal
runa copia
adoante los
segn
rarn
~empoy los
que el proos procesos
aquello que
anuales y
seconsiderorma indeructura debe
253
PV.N DE
CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALDO
PARA CASOS
DE DESASTRE
Objetivos
del plan de
contingencia
Metodologa
del plan de
contingencia
Mantenimiento.
254
C4PfrULO 6
EVALUACIN
DE LA SEGURIDAD
Impacto en la
organizacin
Ejemplo
Procedimientos
alternos
Q
der~
probl
pasar
dos en
energ
deben
q
m
le
U!
dJ
SI
o
o
n
naci
pal
l
vele
mie
tuaCj
ci
defir
trat~
Duran;iones en
1.
queo) e
aquellas
!
255
PLAN DE
CONTINGENCIA
Y PROCEDIMIENTO$
DE RESPALDO
PARA CASOS
DE DESASTRE
riesgos,
izacin o
nuar sus
a utili>:a.adecua/ el costo
Clasificar los datos, la informacin y los programas que contengan informacin confidencial de alto valor dentro del mercado de competencia de
una organizacin, as como la informacin que sea de d ifcil recuperacin.
Identificar aquella informacin gue tenga un gran costo financiero en caso
de prdida o bien que pueda provocar un gran impacto en la toma de decisiones.
debemos
mesta es
stema de
) atto
lidad
,ble).
:upere el
abajar si
mtos. En
Jincenal,
~?En las
tlacomlimiento
bien que
ntre las
t psimo
:ema las
ll puede
+r (lo que
despus
permita
t de conoen otro
de tener
Todos los procesos crticos. Con este mtodo, la decisin es tomada por
todos los departamentos y se parte de que todas las funciones de cada departamento son crticas. Por lo generaL se eliminan uno o dos departamentos, pero casi todo es clasificado como crtico.
Si se elige este mtodo, se deben enlistar todas las funciones de cada
departamento. Este mtodo no es recomendable porque elaborar el plan de
contingencias requerir de mucho tiempo. Serta costoso y llevada tiempo
respaldar todas las funciones en todos los departamentos.
Mandatos de los gerentes. Este mtodo asume que los gerentes conocen los
elementos crticos para mantener un aceptable nivel en la organ izacin. ta
identificacin de funciones crticas es hecha en base a la inttcin de los
gerentes. El beneficio de este mtodo es el tiempo que se ahorra durante la
fase inicial. Lo peligroso es que est basado en una intuicin y ste no es un
anlisis riguroso.
Mtodos para
determinar los
procesos crltlcos
256
CAPiruLOf
EVAlUACION
DE LA SEGURIDAD
Objetivos de la
tcnica de anlisis
del Impacto
C16n, es
menh: e
de dt..:J!
Flp
l.as
Los
Los
De
De
Pt.'r
s.:g
Cu
Rl"'
f)l..
Nu
Mt
l'rQ
Pri
lizacin.
Dclcrmi nar los procesos con probabilidad de ser destr uidos, tomando tn
cuenta periodos de prdida especficos (tres horas, un da o unn 8Cmanal
Informacin
preliminar
pcracin.
Identificar amenazas especficas de cada proceso crtico (instalacin de lu~
localizacin geogrfica, e tctera).
F~pccificar los s istemas que ponen en riesgo la continuidad de las Op<'raaoncs de la organizaon.
1...1
,,sistir
duycn
h'rn ..lli1
Co
c.;.1dos
1ncncio
pruns(
t.ldura
!Jeas.
oc
un,1 re
ta" e
An
tra
,\r
Jnl
s..,
t>rj
Al
la
Ce
du
<JI
Al
prdidas
obtiene
da anual.
la organiles prdi;e
protiempo y
as como
talidad de
rse su u timando en
semana).
o de recu-
n de luz,
.operacioislas y los
clasificagerencia o
tcluyan en
crticos en
cuestionar procesos
;anizadn.
os cuestio-
usados
OE AESPALOO
PARA CASOS
Propsitos
de las entrevistas
Las guas de anlisis de las reas de la organizacin deben ser usadas para
asistir en la generacin de discusione~ en d iferentes procesos crticos. stos incluyen componentes esenciales sugeridos, dependencias crticas, recursos al
lernativos y probabilidad del impacto de destruccin para diferentes reas.
Como la mayora de los planes de contingencias en el pasado estaban enfo
cados en las operaciones basadas en los sistemas automticos, es necesario
mencionar en las entrevistas que el plan de contingencias debe cubrir todos los
procesos de la organizacin. Algunos de los que no estn basados en la computadora deben ser discutidos y debe llenarse el cuestionario de las funciones cr
ticas.
Deben realizarse entrevistas con los jefes de departamento para obtener
una revisin inicial de la organizacin y confirmar la naturaleza y sus procesos.
Estas entrevistas deben incluir lo siguiente:
JOn
PLAN DE
CONTINGENCIA
Y PROCEDIMIENTOS
OE DESASTRE
257
iones crti
Elementos
de las entrevistas
258
CAPITULO 6
EVALUACION
OE LA SEGURIDAD
Recoleccin
de datos
Cues
delil
O rganigrJmas.
enge
den t
dad
Adems de las entrevistas generales, se requiere informacin ms drulada sobre los sistemas automticos. Durante las entrevista!> con el jefe de irfur
mtica y con especialistas se debern revisar los s istemas y sus compoll!'ni<S
esenciales, como ~on:
Componentes
de los sistemas
automticos
Las <.-1
debet
E
basar:
E
"
"
vista
tenimiento
Xl
de la in-
ciaspuede
tecedentes
s detallae de infornponentes
le desarro-
doras).
zacin.
Funciones no crticas para la organizacin y que pueden ser suspendidas
temporalmente en un evento de emergencia.
organiza-
nas diaria-
'
; al misnlo
con inforltOS, dura-
259
PLAN DE
CONTINGENCIA
Y PROCEDIMIENTOS
OE RESPALDO
PARA CASOS
OE DESASTRE
260
CAPiTULO 6
EVAWACIN
DE LA SEGURIDAD
Divisin-=============-:_
Telfono_
Oficina _ __ _
Nombre de la funcin _,.._ __ _ _ _ _ __ _
_ _ __ _ _ _ __ _ __ _ _ _ ____
De~ndelafunon
COMENTARIO
Con qu frecuenc1a es realizada la funcin?
Anual
Semestral
Mens ual
Semanal
Diario
Otra explicacin:
1. Cul sera el costo para la organizac1n si esta func16n no fuera rea11zaoa
~~=====================
Por semana? S
Por
mes?$
Pordfa?
S
$--:~===========-=~~=======
Por semana$
dia
Por
mes$ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ ___
, aplicaldo per-
SI
Ir infor-
ypoder
NO
jetenga
tra cada
261
NO
NO
anda",
nte una
ncia de
_a tolecto a la
1e ellos
orciales
deben
CUESTIONARIO DE OPERACIN
1. Impacto de una hora de interrupcin en el centro de cmputo:
La mayor interrupcin operacional en el servicio al cliente es tener gru
pos de personal totalmente parado.
( )
lnconvemente, pero el centro de las actividades del negocoo contona
intacto.
( )
Esencialmente insigmficante.
( )
2. Impacto de una interrupcin total en el centro de cmputo, durante dos o tres
semanas:
Casi fatal, no hay fuentes de respaldo.
Facilidades de respaldo externas, menores ingresos y
mayores costos.
Caro. Algunos procesos pueden ser preservados.
(
(
Ja:
69 .
35.
O,
02.
10
PLAN DE
CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALOO
PARA CASOS
DE DESASTRE
262
dida.
copia,
mentt
L
)
)
)
)
)
T.
le
1\
A
1\
li
o
o
o
o
SeLECCiN oe LA ESTRATEGIA
l!
do. S.
est e
Una vez que hemos definido el grado de riesgo, hay que e labora r una lista de
los s is temas con las medidas preventivas que se deben tomar, as como la<
correctivas en caso de desastre, sealndole a cada funcin su prioridad.
El siguiente paso es identificar y comentar procesos alternativos para procesos identificados como crticos en la organizacin. Si existen otros procedl
mientos con recursos similares aprovechables, stos podrn ser considerad '
como posibles procedimientos alternos.
En caso de desastre se procurar trabajar los sistemas de acuerdo con""
prioridades, ya que no M! podr hacer en otra instalacin en la misma formo
como se venan trabaJando en la instalacin original.
Cada uno de los riesgos y su probabilidad de ocurrencia deben M!r identffi.
cados.
Las medidas de prevencin de desastre deben estar respaldadas en un lu
gar seguro. Se debe considerar y evaluar rangos de estrategias de recuperacin
posibles, para que a l final de esta etapa de seleccin una sea elegida.
El plan de ccuperacin de la organizacin es proyectado y probado. Su
preparacin requiere de la participacin de l personal de la organizacin para
asegurar que stos sean miembros del plan y que estn disp011 ibles cuando ste
se lleve a la p rctica.
Es importante contar con la documentacin completa del p lan de contin
gencia para ser us.1da en caso de desastre. sta debe ser evaluada y aprobada)
peridicamente rcvi;ada para actualizarla. Toda la documentacin asociada con
el plan de conhngencias y el control de procedimientos juega un import.mte
papel dentro de la organizacin.
Despus de que el plan de contingencias sea desarrollado, los documentos
debern archivarse en un lugar que est protegido de des.1~tre, deterioro o per
laim
aplic,
Documentacin
del plan de
contingencia
part~
conOt
J
-1
1[
r
'
263
PLAN DE
CONTII'IGENCIA
V PAOCEDtMENTOS
DE RESPALDO
PARA CASOS
Historia.
Nmero de pginas.
Aprobacin del documento.
Control de cambios.
Distribucin del documento.
1a lista
de
como las
dad.
para pro; procedisiderados
o ron sus
mafonna
T
identifi-
en un luJperacin
)bado. Su
cin pc.ua
ando ste
le rontin!robada y
ciada con
1portante
:umentos
>roo pr-
DE DESASTRE
Elementos de la
documentacin
Los departamentos deben tener omplantada su propia estrategia de respaldo. Se debe asegurar que el personal asignado a la tarea de recoleccin de datos
est correctamente instruido.
El personal de p rocesamiento de datos frecuentemente no est enterado de
la im po rtancia funcional de los sistemas que soporta. Es ms a propiado en las
aplicaciones crticas automatizadas consultar a los usuarios o a los jefes de departamento. De cualquier manera, el departamento de procesamiento de datos
conoce el procesamiento a detalle de l'Stas aplicaciones.
Al finalizar el plan de contingencia, ste debe contener:
o
o
o
o
Software.
Ha rdware.
Recursos materiales.
Personal.
Consumibles.
Utileras.
Sistemas de comunicacin.
Redes.
Transporte.
Bases de datos.
Archivos (respaldos).
Elementos
del plan
de contingencias
264
CAPiTuLO 6
EVALUACIN
DE LA SEGURIDAD
det plan
de recuperacin
de~
forr
dej<
COCI
corr
reSf
rn
pun
une
les e
ofre
"\CS
265
PLAN DE
nec;e..
:o y largo
~ra~
Por otro lado, se debe establecer w1a coordinacin estrecha con el personal
de seguridad a fin de proteger la informacin.
Hay que tener mucho cuidado con la ormacin que sale de la oficina, y la
forma en que es utilizada as como preveer que sea borrada al momento de
dejar la instalacin que est dndole respaldo.
Respecto a la configuracin del equ ipo, hay que tener toda la informacin
correspondiente al hardware y software del equipo propio y del respaldo.
Debern tenerse todas las especificaciones de los servicios auxiliares, tales
como energa elctrica, aire acondicionado, etc. A fin de contar con servicios de
respaldo adecuados y reducir al nnimo las restricciones de proceso, se debern tomar en cuenta las siguientes consideraciones:
pro-
prueba,
;eparado
nomento
:tualizan
tO pueda
deber:
Configuracin de equipos.
Configuracin de equ ipo de captacin de datos.
Sistemas operativos.
Co1iguracin de equipos perifricos.
ara defi-
ergencia
ali2ar la
deope-
e proceugar de
para un
;os, ana-
Equipo
fabricante
Es esencial
para procesar?
Proyecto en
el equipo
Nmero de
unidades
C) Unidades de cinta.
Capacidad
Proyectos
Es esencial
para procesar?
CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALDO
PARA CASOS
OE DESASTRE
266
-~~
discil
tar p
de vi
Proyecto en
equipo
1
gad(
Es esencial
para procesar?
G) Sistemas operatvos.
vari
si de
H) Terminales.
1)
terne
omo
Equipo adocoonal.
Electrocodad KVA.
Aire acondicionado BTU.
Temperatura requerida
Humedad requelida.
RED DE COMUNICACIN
( )
Copla de los archivos necesarios para procesar las transacciones.
(
Inventa roo de tonnas especiales utdozadas en la operacin normal (se deben 1ncluor tambin papelera nonnal, c1ntas magnticas). ( )
Un local con las instalacoones necesanas (energa, aore acondocoonado,
poso adecuado, etctera)
( )
Convenios para el uso de computadoras compatibles.
( )
cin?
NO
!rativos.
acin.
(se de-
:ionado,
267
PlAN DE
CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALDO
PARA CASOS
DE DESASTRE
Mantenimiento
del plan de
contingencias
CAPTULO
Interpretacin
de la informacin
OBJETIVOS
Al finalizar este capitulo, usted:
1.
2.
3.
4.
5.
270
CAPITuLO 7
INTERPRETACIN
OE LA INFORMACIN
3.
'
4.
Qu
Dnde
Cudndo
Quin
Cmo
Cunto
El props ito
El lugar
El orden y el momento, sucesin
La persona
Los medios
La cantidad
S. l\
6. d
puede ser:
Eliminada
Modificada o camb1ada
Simplificada.
Las respuestas que se obtengan deben ser sometidas a una nueva pre;unt.l
"Por qu", la cua l planteJr un nu evo examen que habr d e justificar la infor
macin obtenida. Cada interrogante se debe descomponer dl la siguiente ma
M
EL
nera:
Para 1
de m.
1.
Propsito:
2.
Qu se hace.
Por qu se naC\',
Qu otra cosa podra hacerse.
Qu debera hacerse.
Lugar:
Dnde sc hace.
Por qu se nace .1h.
V
1)
e
[
li
8
R
271 -----'
TCHICAS
PARA LA
INTERPRETACIN
DE LA INFORMACIN
3. Sucesin:
Cu,lndo se hace.
Por qu se hace entonces.
Cundo podra hacerse.
Cundo deber hacerse.
4. Persona:
QUJn lo hace.
Por qu Jo hace esa persona .
Que! otra persona podra hacerlo.
Quin debera hacerlo.
5. Medios:
Cmo w hace .
Por qu se hace de ese modo .
De qu otro modo podra hacerse.
Cmo debera hacerse.
6. Cantidad:
Cunto se hace.
Por qu se hace esa cantidad (volumen).
CuJnto podra hacerse.
Cunto debera hacerse.
Maduro
Inmaduro
Definido
Estructurado
E..stablc
Resultados
Completamente
Alta
No cambia
Utilizados
Incompleto
8.1a
Muchos cambios
No utilizado
272
CAPlTULO 1
INTERPRET.t.CION
DE lA INFORIMCIN
Nivel madurez
Nivel estructu r~
Maduro
Estructurado
Semiestnucturado
Sistema de
soporte
Intuitivo
No estructurado
Inmaduro
Sistema de
informacin
general
:'1.1anual
de decisiones
Sin razn
2.
Uso de diagramas
Otra forma de an.1 li Lilr lo~ hechos es segu ir la ruta de la informacin desdes
origen hasta su destino, y disponer de este camino en una '><'Cllencia cronolgia.
con el fin de clarificar dndt> aparece, cmo avanz,1 .1 lo largo del siskma
cmo llega a su dcshno. E.sta hicnica ayuda a hacer un ,.,tudio objeti,o de todos
los pasos por los cuales dt>ber pasar la informacin .
Se considera ncce,.uio agregar algunas caracterishc.-.s que definan an ws
este estudio como frecucnci,,, tiempo, costo y diSt~ncia fsica de cada p.150
coadyuvando a una ev.1 lu~cin ms objetiva del sistema.
Ev
Cl(
de
vit
,,
m
eo
e
t.
ANLISIS
ni
uacin.. se
!rcutir en
de sistema
segu ir haar la tcnipport).
l.
. Si no est
2.
ronolgica,
l sistema y
;o de todos
anan ms
cada paso
anlisis de
que se pla-
odcr:
EVALUACIN
DE LOS SISTEMAS
Anlisis conceptual:
.m sistema
n desde su
273
seguirse
es
Tipos
de evaluaciones
274
CAPITULO 7
INTERPRETACIN
DE LA INFORMACIN
sistema, tomas de la matriz de entradas/ salidas y agregar e l orden de ocurrencia, as como la periodicidad. G rafquela en un plano horizontal para tratar de
encontrar duplicidad de itormacin. Este plano debe hacerse de tal manera
que refleje un periodo, as como el o rden de ocurrencia.
e
I
(
CAPhuL07
INTERPRETACIN
DE LA INFORMACIN
Usuario.
Conterudo.
1
e
r
o
e
()
e
Esta funcin tiene una gran importancia en e l ciclo de evaluacin de las aplica
cioncs de sistemas de informacin por computadora. Ousca comprobar que la
aplicacin cumpla la~ especificaciones requeridas por el usuario, que se haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla con ll>
objetivos y beneficios l'~perados.
Un camb1o a un sistema existente, como la cn:acin de uno nuevo, introdu
ce necesariamente c.lmbios en la forma de obtener 1~ informacin r un ro-tu
adicional. Ambo>, debern ser evaluados antes y despu.;, dtl desarrollo.
Se debe evaluar el cambio (si Jo hay) de la forma en que las operaciones soo
ejecutadas, comprobar si mejora la exactitud de la informacin generada. <i la
obtencin de lrn. reportes efectivamente reduce el tiempo dl' l'ntrega, SI es m.i>
completa, l'n qu tanto afecta las actividades del personal usuario, si aumenta~
dismmuye el personal de la organizacin. y los cambio~ de las interaccione;
entre los miembros de la organizacin. De ese modo .e !>Jbr si auml'nta o d.,.
mmuye el esfuerzo por generar la informacin para la toma de decisiones, con
el objeto de estar en condiciones de determinar ,, productividad y calidad del
sistema.
El an.llis is deber proporcionar: la descripcin dd funcionamiento del sistema desde e l punto de vista del usuario, mdicando todas las interacciones del
sistema, la dc;cripcin lgica de cada dato, las estructuras que forman stos yel
flujo de informacin que tiene lugar en el sistema; lo que el >istema tomari
como entradas, lo~ procesos que sern realizados, as como las salidas que deber proporcion.u, los controles que se efectuarn para cada variable y los procedimient~.
Evaluacin en la ejecucin.
Evaluacin l'n cl1mpacto.
Evaluacin econmica.
Evaluacin subjetiva.
277
EVALUACIN
DE LOS SISTEMAS
DE INFORMACIN
EvALUACiN EN LA EJECUCIN
Se refiere al uso de cuestionarios para recabar datos acerca de la actuacin de la
aplicacin en la computadora, con objeto de conocer qu tan bien o qu tan mal
est siendo usada y si opera eficientemente.
Los cuestionarios son medios para recopilar datos acerca del uso de los
recursos de la computadora y pueden ser cuestionarios manuales, encuestas de
opiniones, evaluacin de documentacin, obtencin de informacin electrnica integrada al equipo (hardware) y de programas ejecutndose (software),
obtenindose en ambas las estadsticas acerca de su uso.
Los dispositivos de hardware son dispositivos electrnicos que pueden ser
conectados a varios puntos del equipo, como Jo son en la unidad de control, los
canales de comunicacin, etc., que durante la ejecucin de una aplicacin regis
tran cantidad, frecuencia y direccin de los componentes del equipo. Los datos
son almacenados normalmente sobre cinta magntica o disco, para que puedan
ser analizados despus; por ejemplo, algunos de stos contabilizan la frecuen
cia de uso de la unidad central de proceso en relacin con la espera para operaciones de entrada-salida. Analizando estos datos quiz se detecte la necesidad
de agregar procesadores de entrada-salida con objeto de acortar la espera del
procesador central, eliminando los cuellos de botella que por esta causa se ge
neran.
Las estadsticas de software son juegos de instrucciones ejecutables conectadas al sistema operativo con el fin de colectar datos acerca de la operacin del
sistema y acerca de los programas de aplicacin. Este tipo de monitor requiere
memoria y proceso adicional, lo que disminuye la rapidez del procesador. Los
datos tambin son almacenados en cinta magntica o cualquier otro dispositivo
de almacenamiento secundario con el fin de analizarlos despus. Este monitor
ayuda a detectar qu recursos adicionales se necesitan o qu recursos existentes
deben ser ejecutados para lograr ms eficiencia.
Una estadstica de hardware puede ser utilizada para medir la cantidad de
tiempo de la unidad de procesamiento central, pero tambin podr ser concentrada en los canales de comunicacin y dispositivos de almacenamiento secun
dario para determinar la frecuencia y cantidad utilizada. Su importancia se puede
evaluar con el siguiente ejemplo.
Si estamos considerando agregar una nueva aplicacin al sistema, el anlisis del monitoreo ayuda a determinar si la computadora podr soportarla, si
puede ayudar al administrador a decidir si se agregan nuevas unidades de almacenamiento, lneas de comunicacin, terminales, etc. Asimismo, puede usar-
Uso
de cuestionarios
278
CAPitvLO 7
INTERPRETAaN
DE LA INFORMACIN
Las estadsticas del software nos pueden ayudar a identificar cules son los
lenguaje> ms usados, qu<' tipo de proceso es ms comn (alto volumen de actualizaciones contra ><.'Cuencia de clculos, complejos procesos en lotes contra
procesos en lnea, frecuencia de corridas, frecuencia de pruebas, programas terminados anormalmente, etctera).
Estas evaluaciones son generadas automticamente mostrando a qu horas
del da los trabajos son corridos y tambin qu recursos del sistema fueron utilizados y qu tan grandes son las aplicaciones en relacin con el equipo.
Basndose en estos datos, el auditor contar con la informacin necesaria
pa ra hacer las eva luaciones tendientes a mejorar el S<)rvicio e incrementar la
eficiencia.
Estos dos tipos de monitores normalmente son proporcionados por el fabricante de computadoras, pero algunos monitores de software pueden S<)r desarrollados por la propia organizacin.
t.
EvALUACiN EN EL IMPACTO
Es la evaluacin que se hace !K>bre la manera en que afecta a la gente que inter-
viene en la aplicacin (usuarios) con el objeto de determinar cmo la impl antacin y el uso del sistema de informacin afecta a la organizacin d istinguiendo
qu factores son directamen te atribu ibles al sistema. Las principa les reas que
deben inten:sar son las que intervienen en la toma de dedsione& y en las actividades de operacin.
Esta evaluacin se hace con el fin de detectar a la gente involucrada; las
actividades qu~ son ncccs.uias realizar, la calidad de la inform.tcin, y el costo
de operacin resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empezar a disear el sistema ron el fin de que, cuando se instale, &e compruebe si Jos
resultados satisfacen plenamente lo planeado. Estos datos tambon son omportantcs para guiar futuros proyectos.
Asimismo ;e debe evaluar el efecto que tiene sobre el ambiente del sistema
(personas, leyes, etc.). Para el lo contamos con varias tcnicas que nos ayudan
en este propsito, las cuales son: bitcora de eventos, regi;tro de actitudes, con
tribucin, peso y anlisis de sistemas.
Bitcora de eventos
Esta informacin se obtuvo en la seccin de la opinin del usuario donde se
registraron losewnttlS relacionados ron la introduccin de una aplicacin. Cual
quier evento que influya en el sistema y cualquier nuevo evento introducido
por l, es registrado en forma de notas, y al fmal se agrupan. Para un estudio
sistemtico no ;e requiere equipo adicionaL y debe usarse cuando la medicin
tiene lugar en periodos largos o cuando se desean medir varios tipos de impac
f
[
e
E
280
CAPITULO 7
INTERPRETACION
DE LA INFORMAc10N
Tcnicas
da la evaluacin
EvALUACiN suBJETIVA
Partiendo de la premi'>il de que los usuario~ son lo.. principall., ak>ctados directamente por el sistema, sus puntos de vista y necesidades debern ser considerados para la eva 1uacin.
Los que proccs.m los datos, el personal de sistemas y e l persona l de alta
direccin debern t.lmbi~n participar en la determinacin de los btneficios econmicos de la actividad particular a ser desarrollada.
Un enfoque experimt.'ntal propone un mecanismo para obtener los factores,
adems del ahorro de costos, que habrn de ser considerados tn 1.1 o.>valuaci6n
del sistema de mformae~n.
Nect.'Sitamo.. mrorporar a nuestra contribucin de beneficios los puntos de
vista y opiniones de la g<"nlc que usar o ser afectada por la aphc.leton del
sistema de mformacin .
La justificacin de evaluaan subjetiva se centra en que la opm1<\n del grupo usuario propomona un punto de vista ms completo de la aphcaon, ayudando a obtener aquellos factOrL'S que hubiramos pasado por alto
sea
par.
cin
y SI
del
tierr
mi e
sus
la"
gar
cir
val<
imr
tro
pro
de<
est~
can
vah
del
fcc
e
la
el u
282
CAPITULO 7
INTERPRETACIN
DE LA INFORMACIN
De usuario.
De control.
o
o
o
o
o
Mantenimiento y documentacin.
Produccin.
Controles de documentacin.
Documentacin:
o
Del sistema.
Del programa
Requisicin de cambio.
Razn del cambio.
Naturaleza del cambio.
Persona que lo solicita.
Persona que 1evisa y autori za.
Frecuencia de cambios.
Persona asignada ul mantenimiento.
Bitcora de cambios.
De entrada.
Autorizacin de t.mtrada.
Armado de lotes.
Verificacin de lotes.
Control de programas.
Reporte de control:
o
o
o
Balanceo de lote;,.
Reporte de errores.
Reporte de excepcin.
s1stema~
en forma
ten forma
o
o
Validacin d e entradas:
o
o
o
o
o
o
o
o
o
o
o
o
o
o
Acceso a terminales.
Acceso a programas, archivos, datos y a la computadora.
Comunicaciones.
Informacin confidencia l.
Control de programa:
o
Controles de entrada:
Verificacin d e secuencia.
Campos omitidos.
Totales de control.
Transacciones vlidas.
Caracteres vlidos.
Campos vlidos.
Cdigos vlidos.
Pruebas de razonabilidad .
Dgito verificador.
Etiquetado de archivos.
Reporte de transacciones.
Reporte de cambios en el arch1vo maestro.
Reportes de control.
Validacin de en trada.
Correccin de errores.
Puntos de verificacin y reinicio.
Controles de salida:
o
Formatos de reporte.
Formas de control de "<llida.
Informacin confidencial.
283
CONTROlES
284
C4PITULO 7
IN r ERPRETACIN
OE lA INFOAM4CIN
Cap tu ristas.
Bibliotecario.
Operadores.
Controles de erurada y salida.
Recepcin de inform.lcrn.
Deteccin y com>ccrn de errores.
Distribucin de la informacin .
Calendarizacin.
Reporte de fallas ) mant.:nrmrento preventivo.
Controle, '-<>brt archrv~.
Recuper.lcin de des,l\tres
Controles de u ... u..ui<l....
De origen de dato,.
Origen de document.lCrn fuente.
Autorizacin de documentacin fuente.
Recoleccin y prepnr.1ci.Sn d < <ntrada y d ocu mentacin fuent<.
Manejo de e rrores de docu mer1taci n fuente:
o
o
Bitcoras de rt'IX>rtl's.
Manejo y retencin dt rcgistros de sa lida y documentos contabl<s.
Formatos de salrda:
e
E
R
E
L
\
e
(
S
S
S
S
S
e
e
F
1
~
(
5
senta
du~.;i
cuan
p,
Frecuenc~a.
\:mero de copras
Controles tcnico.:
Programtica
Aplicaciones.
Sistemas.
Lap
te fo
l.
285
Calendario de programas.
Errores y recuperacin.
Registro contable:
Equipo;.
Unidad control de procesos.
Memoria >CCUndaria.
Dispositivos perifricos.
Controles lgicos do:>! "stema:
Sistemas operativos.
Sisto:>mas de ulilera.
Sistemas de bibliott-cas.
Sistemas de 'llantenimento de archivo.
Sistemas de seguridad.
Control de acceso al sistema.
Control de cambios al sistema:
Redundancia en la informacin.
Inconsistencia de d atos.
Seguridad
Controles de seguridad, respaldo y confidencialidad.
Sobre las bases de lo objetivos de la auditora en inform.itica se debom prcS<mtar, de acuerdo con la informacin obtenida, lo; controle!. e~istentes, 1.- conclu,iones, opaniones y altmativas de S<>lucin debidamente fundamentadas en
cuanto a:
tnbucin.
Jo,. u;ua-
'
PRESENTACIN
L.1 presentacin de las conclusiones de la auditora podr hacerse en la siguiente forma:
l.
Una breve descripcin de la situacin actual c11la cual se reflejen los puntos
ms importantes. (bta p resentacitn es para d nivel m.i~ alto de la organizacin.)
286
2.
CAPITULO 7
INTERPRETACIN
OE LA INFORMACIN
l.
2.
287
~ ~~~
3~
npresen1
~!
ay de los
jorar una
:l<lycules
utivos por
u que se
)Visuales).
auditorfa
la audito-
~n
~
:
<VE
-..
~
o
.5
e:
Trusiones,
PRESENTACION
11
i!!!
~g
~
~g~ ~
!1!
o
;'::!
~
..
,....
..
:;J
.!!!
"'
e:
o;
:;J
e:
..
,..;
~
:;J
tll
'
~
~
~!
~~
i
2
DE
-FECHA OEN\JM
TERMII'/0 DE LA AUOJTORIA
HOJA
AUOITORIA A
......
ces
fECHA
EST'MOA
OECOUEt<DACoOI<
OEIIUOL
FECHA
REAL DE
RESOL
MOTIVO POA: EL
CUAL NO HA SO:>
RfSUQ.To\
R(PI..AHT'EAM E~TO
OE LA SOL\JCIIOH
FECHA
-.;RVAOC)H
"ESPO"oi:S
CELA
"""""
-~
l
(")
Conclusiones
1
El avance tecnolgico que se ha logrado en los ltimos aos ha sido impresionante. El avance se ha reflejado ms posiblemente en el rea de informtica, lo
cual ha provocado que se tenga microcomputadoras con un bajo CO'>tO y con
una gran capacidad de procesamiento y que se cuente con computadoras que
permitan desde el control del proceso de ensamble de automviles en forma
completamente autom~tica, hasta que en la dc!cada de los sesenta se haya pod ido llega r a la Luna. En el rea educativa este avance ha influido en todas las
carreras, desde los subtcnicas y subprofcsionales hasta las tcnicas y profesionales. Nos ei1C011lramos as con que los nios de primaria )'3 estn usando las
computadoras y no hay profesin que no necesite en forma directa o indirecta
su utilizacin.
Si analizamos que aproximadamente 80 por ciento de las computadoras
digitales son utilizadas en las organizacion~ con fines de informacin, de toma
de decisiones, contables y administrativos, y si evaluamos el costo que representa la utilizacin de estas computadora~. podremos ver la importancia que
tiene para la alta direccin poder evaluar la adecuada utilizacin de esta herramienta. Esto trae como consecuencia que el profesiorsta deba actualizarse en
el uso adecuado de lo nueva tecnologa, asr como en la evaluacin que se haga
de este recurso tan costoso. Tambin deben adecuarse las normas de auditora
y del control interno pa ra que sean congruen tes con el desarrollo tecnolgico.
La aud itora en informtica es una nuev,1 materia que es consecuencia directa
Bibliografa
EOI' A11diting Coucept11al Fo11ndatwns tlltd Practice, Ron Weber, editori~l McGraw
Hill.
EOP Auditiug, Ke!Ulth, W. Clowews, tlolt, Rinchart y Winston, Canad~ Lim itcd.
Formdafiotrsoflnfomration Systl'llr<, V Lod imi Zwass, editorial McGraw-1 lill, 1997.
La gestin de los nombrr:s y direccionl'S de lntemet: cuestiones de propiedad intelectflal,
30 de abril de 1999, Organi.oacin Mundial de la Propi>dad Intelectual
(0MP1).
Gua 11, lntematonal Federation of Accountants (IFAC), Revisado, 1998.
Jnfomration SystrJII Ma11agement, James A. Senn, Satate Univ>rsity of New York
Bringhamtor, editorial Wadsworth Publishing Company, lnc.. Belmont,
CaliJornia; !978.
Jnformation System in Mlllragemt'llt, editorial Restan Publishing Company, tnc.,
la. edin, Reston Virginia.
lltgt'lliera computacional, 1lrsetio tfr lrarfwarr, M. Morris Mano, editorial l'renticc
Hall, 1991.
292
Management lnformn tion Sysllm, Thc Mnnngement View, Robcrt Schu ltheN~, Mary
Suomer, editorial McCrnwlli ll, 1998.
Management Jnfornwtiou n111f Control System, R.J. Trickner, Oxford Ccntcr for
Management Studics, ed itorial Willer-lnterscience Publication, 1976/
Management Juformatiou Systems, Stephen Haag, Maeve Cummings, James
Dawkans, editorial McCraw-ll ill, 2a. edicin, 2000.
Standards for Data Proctssit~g, Brandon, Oick H., editorial Van
Nostrand Reinhoold Company, la. edicin, :--lueva York. USA.
Mat~ual de infom~e del aud1tor, Instituto Mexicano de Contadores Pblicos.
Metodologn y tcnicas de it~wstigaci6tJ e11 ciencias sociales, Felipe Pardinas, editorial Siglo XXI, 1981.
Modern Control Systems, Richard C. Dorf, Robert H. Bishop, e<litorial Add ison
Wesley, 1995.
Normas y procedimientos dt n11dilorfa, Instituto Mexicano de Contadore> Pblicos.
Procedimimtos de control en computacin, Canadian lnstitute of Charte red
Accounts, Ins tituto Mexicano de Contadores Pblicos, A.C.
Protecci6n ir~formtica, Pierre Cratton, editorial Trillas, 1998.
La proteccin jurdica de los pro,~ramas de computacin, Universidad Nacio"al A u
tnoma d e Mxico, 1998
Redes de computacin, Andrew S. Tanenbaun, 3a. edicin, ed itoria l Prenticc J lall,
1997.
Mat~agenumt
The Syslem Dl'tlelopmcnl Aurlit, Horeld Werss, PTH lnterna tional Conference of
EDP, Auditor Association.
INr
th, Robert,
~ers, Mary
,
INDICE ANALTICO
Center for
1976/
tgs, )ames
!orial Van
icos.
-A-
~.edito-
Addison
;Pblicos.
:harte red
:ional A u
1tice Ha ll,
ntacitJ en
.S.
984.
J.
P.Gah'in.
editorial
'erence oC
.arrombo,
Acceso
dav.,. de, t 9S. t 99
control.,. de, 225
llaves de, 19s-199
rutas de, 197198
Actividadt...~
Asegurado>. 241
respon.abihdad de 106, 2-14
Asignacin de trabajo. control de. 171172
Auditor(es). 16. 32, 239
independencia del. 37
nmero de, 32
particopacin, 92
respon.o;abolidades de los, 2930,
187 188
Auditor interno, 8-9, 26, 34
conocimhmto y l'xpcriencia del, 27-29
habilidades del, 1617, 28
objetividad de l, 27
Audito ra
asistida por computfldora, 10
conclusiones de la, 287
dcfinidn, 2
de programas, 2223
personal de la, 43
plancacin de, 16, 30-31. 41-12
p.....mtacin de la, 285-286
procedimo<>ntO' de, 34
programa(s) d. 11, 43-44
programa de trabaJO de, 32
report<>S e<pialcs, 215
requerimil'fltos de una, 40-42:
seguimiento de la, 288
tcnica't avnn7ndas de, 12-16
Auditora adminislrativa, 9-10
A udi toda con i nform:tic.1, 10
Auditora en inrormtica, L7- l8
campo de accin de la, 20
concepto, 1718, 26
d irector de, 35
elementos que debe evaluar la, 96-97
la, y los tipos de auditorio, 22
objetivos de la, 21-22
pasos de una. 37
planeaon de la. 30-32
Auditora mtt."ma. 26
norma~ de, 26
relipont>abtlidadcs del departamento
de, 27
294
INDICE AHALirtCO
Autentificacin
del usuario, 212
en sentido digital, 216
Au torizacin de accesos, bl'gurtdad de., 225
-BBases
de indemni,d<'in, 246-247
jurdicas del depart.lm<'fllo de
inform.itic~l. 6467
Bases de datos, 99-100, 249
administrador de. 100-101
componentes .1 eva1uu t."T\ una, 100
modelos de, 101
sistema de admini!:JtraC'in de-, 99
de desastres, 252
de tra.nsacciones, 6
del riesgo, 254
Cobertura. alcance de la, 244
Componentes
de un sistema dC' comunlc,lci'. 102
lgicos, 242
Compu tadora
crmenes por, t93-191
delitos por, 192, 193
vrus de, 193
Comunicacin, 102-103, 113
sistema de, 102
Condu.iones, 289
Confidencialidad, 197
Configuracin del <'qUipo, 265
Consideraciones al audator, 208-215
autentificacin dc-1 usuario, 212
instalacin y m,'lntenmicnto, 209-210
operacin, 210
recursos para controlar el acre.o, 212
de verificacin y evaluacan, 7
generales, 5-6
procesamiento, 6
utilidad de los objetivos clemcntal<':'t
)n, 102
del, 29
Cookie, 143
Copias ''piratas", 193
Costo
de In operacin, 164, 166
de un sistema. 94
del equipo de cmputo, xi, 240
15
12
209-210
212
SO, 196,
~so.
y cmtrevistas.. 256
Cumplimiento de los documentos
administrativos, 57
1e, 253
-0~de,
-172
128
L>e...:ripcin
295
de forrnas, 111
computariz..1.da
(CAD/CAM). .ni
del 'btema. 93
detallado, 93
estructurado, anlisis y, 97
evaluacin del, )3()..131
fonnas de, 104
general, 93
lgico del sistema, eva luacin t.lel,
98-103
t~nn ica (BTU), 227
l) in..)('cin del autor en lntt>rnet. .tlt'
Dhponibilidad, 197
Divisin de tareas entre los empleado~. 15
Dominio, nombres de, 149-154
DSS, ll/ase Soporte en la toma de dec1~ionc-~
Di<ipacin
32
Datos, 156
DBMS, "~Si>tema de adnurustracin de
~ de datos
D-..>cisiones, soporte en la toma dt.~, 2n
0..-gradaan del equipo, 182
Delitos por computadora, 192
motivos, 192-193
Departamento (o rea) de in!ormJtico
ba<es jurdicas. 64-67
~suridad
del. 192-193
tipo> de dependencias del, 62-63
Derechos de autor, 138-142
proteccin de los, 144-145
Dcs..urollo
del siStema, evaluacin. 115
estrategia de, 91-92
tmplementacin y, fisiro, 93
programas de, 98-99
))o.><;.1Stre(S)
~n t revista(s)
a usuarios, 133-134
con el jefe de informtica y con
especialistas, 258
con el personal de inform.itica,
82-83
cuestionario para guiar la,. 2.59
elementos de las, 257
propsito de las, 257
)'cuestionarios, 256, 259
Ent ropa, 115
lquipo(s)
INDtCE ANAUnCO
296
fNDICE AN ALITICO
Forma.c,
de d~o, 104
do;crlpcin de, 111, 112
evaluacin de, 108, 109, 110
Forma' tradJC'ionaJes de evidenda
92,94
112
09,110
evidencia
d<XUmentos de
y salida. 15
ll'l'los
lnuales de
ruentos con
jva, 15
J, 14
.ntidades de
14
ironnncin~
5
""'por el
tS
por
tos, 14
>resos, 15
34
!, 260
-1Implantacin, 133
Implementacin y desarrollo fbioo, 93
lncendios, 224
en manuales de informacin, 14
evaluacin deL 179-182
excesivo, 131-132
instalacin y, 209-210
tipos de contratos de, 177 '1 79
Mnnual(cs)
de anlisis, 96
de o rganizacin, 26, 61
de procedimientos con informacin
relativa., 15
Memorias RAM y ROM. .t i
Meta>, 31-32
Metodologa del plan de oontingencia-, 253
Mo"imiento de aire (CFM). 227
-0Objctivo(s)
de la auditora en informtjcct,
21-22
de la ""guridad en el rea de
informtica. 192
del departamento de mformtJca_
7275
del libro, :riii
-L~m
cin, 104
L<>nguajes de programacin. 98
Lbtado de los resultados del pro.'liO,
14-15
Llaves de acceso, 198-199
-M-
- PPa>>11>ord, 198
170
297
Mant~mie-nto
INDtCE ANALJnCO
298
11
Pt"rsonttl
NDICE ANAlfncO
de conhngencias, 251-263
de provectos, 60-61
de recu~racrn de la organizacin.
262. 264
de -eguridad, 61. 252
<'>lral~gico, 91-92
mdestro~ 60
PJant"aon
-R-
RAM,xi
Recuperacin
de .lctividade,, hoja de, 126, 129
grupo de, 253
dt. dUdrtoriit., 16
plan de, 265
dl' Cilmbros, 59
Recopilacin de la inform,lcin, 56-SH
d'-' J~1 .1uditori.o en informtica, 30-32
Recursos financ1cros, 85-86
de programacin. 125
Recursos h uma nos, 56-57
dl' srstem.ls, 92
RccunK>S materi:~les, 86-87
Red(es)
docunwnt~rdt\ 3 1
t.~str.t (Cgictt, 95
de computadoras, 249
pmce.,o de, J I
puntos a revisar en lt~s, 103
Polltica(s)
tipos)' topologa, 102
de re>paldo, 156-157
Redundancia, ll4-IJ5
Registro(s)
de revisin Ue br t~cor.1, 158
de actitudes, 279
de :.eguridad fka del si/e, 159-161
y procedimjentos, 157
extendidos, 12
Pli,a de seguro, 241
Regu ladores, 222-223
Pre.&,upue.stos, 84~85
Relacin precio/ memorin, XI
Re nta, 187188
Pmbll'mas de Jos sistemas de
admin.~tradn de bases Ue datos, 101 Repeticin de procesos, 250
Reportes, 212-213
PrOt."edimient~ de rt>stduracin., 250
PrCl<:'e~lll\if!nto manual, 14
especiales de audllora, 215
Proa.">>(s)
Respaldo(s)
crticos d..- una organizadn,. 255-256
de informacin, 156-157
estrategia de, 263
de grand<'S canhdades de datos, 15-16
<ef'<'hon de, 250
Responsabilidad de los asegurados, 244
'Jmplificado, 14
Restauracin.. Pro<'edirnientos d(>, 250
Productividad, 1~186
Resultados de clculO> para
Programaon
comparaciones, 13
Revisin(es)
control de avance de, 128
facJ!idades de, 133
de acceso, 12
informe de avance de. 127
dep~,l5
detaUada, 33
prelimin.lr, 32-33
Resgo{s)
cla.<ificacin del, 2->t
en la programacin, 2~8
evaJuactn de la instaritcin l'n
ISf,lS, 257
S, 237
l, 120
gmcia;, 2522~
ento, 35-:16
49
las, 103
)2
13
ia,215
157
;egurado,, 244
ntos de. 250
48
]acin en
26
de la l'Sir,ll<gm, 262-267
Somulacin, 12
Sislema(')
cambl()~ y mrjora .. al. 93
odo de vod.> de lo<, 92-93
componc 11h~.. ~nciilll'S, 258
confklt.nd,\lidnd de los, de
in formacin, '1 97
crtin~~.
2fl0
299
NDICE ANAUTlCO
300
fNDICE ANAL.Jnco
-u-
-TTmicas de auditoa
an.ilisi> crbco de los hechos, 270-271
evaluacin de un Sistema con datos de
prueba, 12
grado de madurez, 271-272
operaciones en paralelo, 12
prueba, integrales, 12
regstros e>tendidos, 12
resultados de ciertos clcu los para
comparaciones posteriores, 13
revisiones de acceso, l2
seleccin de detcrmjnado tipo de
lransaccioncs, 13
simulaci6n, 12
Tecnologa
de flujos (WORKFLOW), xii
neutral, 20
Tcleoomunkaciones, software, 205, 208
Temperatura y humedad_ 227
- ZZombies, 238-239
AUDITORA
EN INFORMTICA