Documente Academic
Documente Profesional
Documente Cultură
AUDITORIA
EN INFORMTICA
Segunda edicin
McGraw-HiII
MEXICO - BUENOS AIRES - CARACAS GUATEMALA LISBOA MADRID
NUEVA YORK SAN JUAN SANTAFE DE BOGOTA SANTIAGO SAO PAULO
AUCKLAND LONDRES MILN MONTREAL NUEVA DELHI SAN FRANCISCO
SINGAPUR SToLOUIS SIDNEY TORONTO
CONTENIDO
AGRADECIMIENTOS ix
INTRODUCCIN xi
191
194
INTRODUCCiN
Al finaliz
orm-
mao
lnde
Concepto de auditora
tte. El
y pro-
tware CAPTULO
en informtica
seala y diversos tipos
de auditoras
OBJETIVOS
Al finalizar este capitulo, usted:
Definiciones L.l palabra auditora viene del latn auditorius, v de sta proviene "auditor", dcl rnodo SI
la aplicacin La IBItambin dio en esa poca uno descrlpcrn del concepto de informdti-
son de carth. C.I 'IUl', aunque no constituye una definicin formal, resulta muy descriptiva:
nal, slido v
mar los resul .. Ciencia de la po1tica de la lnformacon.
I l\1kt". drl VIJlrod( ".f1rnf,itirll d..'la fCA dI' ,., Ll.\'A,\I. numo 99. vol. 11. mayo de IlJil-l
"
"" ,,' "
4
~"'/'"
"\,,;'
:?
CAPiTULO
Tambin es comn confundir el concepto de dato con el de informacin. La
informacin es tina serie de datos clasificados y ordenados con un objetivo co-
CONCEPTO DE
1
mn, El dato se refiere nicamente a un smbolo, signo O a una serie de letras o
DIVE~
AUDITORiA
EN INFORMTICA
nmeros, sin un objetivo que d un significado a esa serie de smbolos, signos,
letras o nmeros.
YSUR
y DIVERSOS TIPOS
DEAUDITORfAS -..!' La informacin est orientada a reducir la incertidumbre del receptor y tie- EN INFj
1 ne la caracterstic. de poder duplicarse prcticamente sin costo, no se gasta.
r Adems no existe por s misma, sino que debe expresarse en algn objeto (pa-
i J' .. pel, cinta, etc.); de otra manera puede desaparecer Odeformarse, como sucede
/. con la comunicacin oral, lo cual hace que la informacin deba ser controlada AUDI1
e' e,' '-./.' -,/'/ debidamente por medio de adecuados sistemas de seguridad, confidencialidad
<, :1 // y respaldo. y AUDI
La informacin puede comunicarse, y para ello hay que lograr que los me-
dios de seguridad sean llevados a cabo despus de un adecuado examen de la
forma de transmisin, de la eficiencia de los canales de comunicacin(;1 trans- El Boletin E
misor, el receptor, el contenido de la comunicacin, la redundancia y el ruidiJ interno:
Niveles La informacin ha sido dividida en varios niveles. ~ime~o es ~Ln!lLcl
de informacin ~nico~gue consid~a los a~ctos _deeficiencia y capacidad de lo? canales dI: El estud
la norm,
J ,
transmisin; el segundo es el nivel semntico, que se ocupa de la informacin
CleSdeclPunlo de vista de su sig'!!ficado; el terceroes el pragmtico, ~ cual
estudio:
para del
('"'" b' '"f~"< 'lconsidera al receptor en un contexto dado, y el cuarto,nivel analiza~ infor~a- permuai
cin desde el punto devista norm-tivo}' de la pa~e tica, o sea considera cun- procedq
,,1, ,-,_,...()~ do, d6nde"y'a_;ui~nse destina la informacin O I~que se le d. ~I Cl
--\" \'" ",,~J'~ - La informrtica debe abarcar los cuatro niveleSdei:!'Or'macin.En el cuarto procedr
Y\.,. \ I < ~Jy..y nivel tenemos una serie de aspectos importantes, como la varte legal del uso de guardar
l <T",)J~ la informacin, los estudios que se han hecho.,SQ_QJ:.e la r~ jud'PY de la infor- financier
~~ " ~ mtica Y- la creicon de la tica en iJ~tica.. que no ~Io debe incluir a los ucas pr
.....- profesionales 11 ~ Y eS~l'listas en informtica, sino tambin a los usull;
rios tantos.fe gr mdes c;>mputadQ~QltIo-e computadoras personales, Objetivos b
La informa, in tradicional (oral y escrita) se ve afectada dentro de la infor- tro objetivo!
mtica cuando <e introduce el manejo de medios electrnicos, lo cual la hace
fcilmente modficable y adaptable a las caractersticas de cada receptor. La o La prots
informacin tambin tiene la capacidad de manejarse en forma rpida y engran- o La obter
des volmenes, lo cual permite generar, localizar, duplicar y distribuir la infor- o La proa
macin de modo sorprendente, a travs de mtodos, tcnicas y herramientas o Lograre
como mcrccomputadoras, procesos distribuidos, redes de comunicacin, ba- blecdas
ses de datos, etctera.
La nueva tecnologa permite que el usuario disponga de la informacin Se ha es!
en cualquier momento, ya sea para su acceso, actualizacin, cambio o explo- troles ntenn
tacin o para que pueda distribuirse e intercambiarse entre tantos usuarios nistrativos.
como se desee. Aunque al mismo tiempo se plantea un gran problema e11cuanto
al cuarto nivel de la informacin, que es Su parte tica y el estudio de las Objetivos gl
posibilidades del buen o mal uso de la informacin por parte de personas na de el plan de
autorizadas. proteccin el;
La planeacin y control de la informacin nos ofrece nuevos aspectos im-
portantes a considerar, entre los que estn la teora de sistemas, las bases de
datos, los sistema, de comunicacin)' los sistemas de informacin, que van a ~ Boletn B
complementar el concepto de informtica y su campo de accin. Pblicos.
LLa e
.....
DIVERSOS TIPOS DE AUDITORA
.17
'00- , l' DIVERSOS TIPOS DE
'aSO "'7 "ti l AUDITOAJA y su
110>. Y SU RELACiN CON LA AUDITORA ;... REUCION CON
LA AU04TORlA EN
lNFORMA TlCA
De- EN INFORMTICA }-
,,
lSIa. (.?
tp"-
:ede
J
lada AUDITORA INTERNA/EXTERNA
dad
me-
Y AUDITORA CONTABLE/FINANCIERA
le la
ans- El Boletin E-02 del lnstuuto Mexicano de Contadores' seala respecto al control
id!!)
dvel
sd~
interno:
El e..tudio y (\\';lu~,C'i(.':n
, --
del control interno se efecta con el objeto de cumplir con
la norma de ejecucin del tr.lb.1JO qUl' re... quiere que: el auditor debe efectuar un
dn
estudio y evaluaoon 'h.tl"("ll~ldosdel control mtemo existente, qUI? le sirvan de base
cual
para determinar el grado de confianza que va a depositar en ~II as mismo, que le
ma- permitan deternunor la naturaleza, extensrn y oportunidad que va a dar a los
ln,: procedimientos de audltorl .
El control tnremo comprende el plan de organizacin y todos Jos mtodos y 1 Definicin y
arto procedimientos que ('n (l)rma coordinada se adoptan en un negocio para salva- I objetivos del
o de guardar sus .ICtivOS,verificar I~'Irazonabilidad y confiabilidad de su informacin! control Interno
.tor- [inanciera, promover 1.1encit'nciil operacional y provocar la adherencia a las pol-..,
I los tica., prescritas por In ad n'lIl'ISot racin,
sua-
Objetivos bsicos del control interno. D~lo anterior se desprende que los cua-
lor- tro objetivos bsico, del control interno son:
_.
lace v
.La La proteccin de lo, activos de la empresa. '<, (. ~
rano Ll obtencin de informacin financiera veraz, confiable y oportun\.
10r Ll promocin de la eficiencia en la operacin del negocio. \ (.?,'
nlaS Lograr que en la ...jecucin de las operaciones se cumplan las polticas esta-
ba- blecida, por I~ administradores de la empresa.
AUDITORA ADMINISTRATIVA/OPERACIONAL
La tecnologa en informacin est afectando la forma en que las Mg.lnizaciones
estn estructuradas, administradas y operadas. En algunos casos, los cambios
son dramticos. Cuando existe la necesidad de un nuevo diseo de sistemas
administrati vos para lograr una efectiva administracin y control financiero, la
planeacin administrativa y el proceso de diseo y los requerimientos de COn-
trol interno debern cambiar O necesariamente se modificarn con los cambios
de la tecnologa de informacin. El incremento de la tecnologa ele informacin
est soportado por una reestructuracin organizaconal alrededor de esta tec-
nologa.
William P. Leonard' define la auditora administrativa corno:
Prdidas y deficiencias.
o Mejores mtodos.
Mejores formas de control.
o Operaciones ms eficientes.
o Mejor uSOde los recursos fsicos y' humanos.
Con f11lC
par
AUDITORA CON INFORMTICA
Ut''l,'l'~
~l'S del f. t
de ,"ftw.
Concepto de auditora con informtica 7( SUpl'r\ ISo
audlton
~ UtiILlaci.
los prOC"dimientos de ,'uditor,\ can informtic1l varan de acuerdo COnla filo- equipo, {1
sofa ,. tcnica de cada organL<acin \' departamento de auditora en particul.u. t dor o In
Sin embargo, existen ciertas tcnicas y I o prOC('dimientos que son compatibles
en la mayor., de los ambientes de informtica. Estas tcnicas caen en do, cate- Todos los
gora-; mlitodos manuall'S y mt<todos asistidos por computadora necer bajo e:-,ln
cumentacon, r
".lemas de los
En a'luelJ,,!
Utilizacin de las tcnicas de auditoras gados, lo, pnl$
asistidas por computadora as de prot ec"o
la...in'truccionE
desde la bib"o~
En general, el auditor debo utilizar la computadora en la ejecucin de la auditora, objeto de haa-r
ya que esta herramienta pt'mlitir, ampliar la cob.?rtura del examen, reduciendo fi'lir 'lIS pro",'.
el tiempo/ costo de las prueba-, r PI"OClXlirll.ientos
de mue...treo, que de otra mane- Cuando los
ra tendrfan que efectuarse manualmente. Existen paquete d' computadora (soft- internos debe
ware) que permiten elaborar auditoras a sistemas financieros y contables que se tr 16 d"cuado
t'ncuentran en medios informatico- Ademas, el empleo de la computadora por el
auditor le permita (amiJiarj:t..arseron la operacin del equipo en el centro de cmpu-
to de la institucin. Una computadora puede ser empleada por el auditor en:
Mantener e
godo ""el
Observar d
D..'sarrolJ.lr
Transmisin de informacin de la contabilidad d' la organi7ad6n a la sarnienro de
comput"dora del auditor, para ser trabajada por ste, o bien acceso ,11siste- ~1.1ntener el
ma en l'I.'d para que el audrtor elabore las pruebas.
tacin v corr
Verificacinde cifras totales y clculos para comprobar la exactitud de los 11
reportes de salida producidos por el departamento de informtica, de la DivERSOS TIPOS DE
informacinenviada por medios de comunicacin y de la informacin al- AUDITOAiA y su
macenada. RELACiN CON
LA AUOITORiA EN
Pruebas de los registros de los archivos para verificar la consistencia lgica, INFoRMnCA
la validacin de condiciones)' la razonabilidad de los montos de las opera-
ciones.
Clasificacinde da los Y anlisis de la ejecucin de procedimientos.
Seleccine impresin de datos mediante tcnicas de muestreo )' confirma-
ciones.
Llevara cabo en forma independiente una simulacin del proceso de tran-
sacciones para verificar la conexin)' consistencia de los progranlas de
computadora.
'll.UtiJizacinde paquetes para auditora; por ejemplo, paquetes provenen- (l ""..'q ,:,.l:' v.>,J'"
eC'-~ c.
J
les del fabricante de equipos, firmas de contadores pblicos o compaas E.?!rrT ......".,--
de software.
(.........
~,,-"',l, ...........
'-
ltSupervisar la elaboracin de programas que permitan el desarrollo de la J .~~,
..,..
auditora interna.' ...u ~J
ji. Utilizacin de
programas de auditora desarrollados por proveedores de
equipo, que bsicamente verifican la eficiencia en el empleo del compu-
la filo- tador o miden la eficiencia de los programas, su operacin o ambas cosas.
icular.
tibies Todos los programas o paquetes empleados en la auditora deben perma-
s cate- necerbajo estricto control del departamento de auditora. Por esto, toda la do-
cumentacin, material de pruebas, listados fuente, programas fuente y objeto,
adems de los cambios que se les hagan, sern responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibliotecas de programas catalo-
gados, los programas de auditora pueden ser guardados utilizando contrase-
as de proteccin, situacin que sera aceptable en tanto se tenga el control de
lasinstrucciones necesarias para la recuperacin)' ejecucin de los programas
desde la biblioteca donde estn almacenados. Los programas desarrollados con
objetode hacer auditora deben estar cuidadosamente documentados para de-
itora,
finir sus propsitos y objetivos)' asegurar una ejecucin continua.
iendo
Cuando los programas de auditora estn siendo procesados, los auditores
naneo
internos debern asegurarse de la integridad del procesamiento mediante con-
(soft- troles adecuados como:
I"e se
por el
mpu Mantener el control bsico sobre los programas que se encuentren catalo-
n: gados en el sistema y llevar a cabo protecciones apropiadas.
Observar directamente el procesamiento de la aplicacin de auditora.
Desarrollar programas independientes de control que monitoreen el proce-
a la samiento del programa de auditora.
siste- Mantener el control sobre las especificaciones de los progranas, documen-
tacin y comandos de control.
12 Controlar la integridad de los archivos que se estn procesando y las sali- Seleccin de d
CAPtruLO 1
das generadas. de un archivo 1
CONCEPTO DE parcial el archi
AUDITORIA
car en forma te
EN INFORMTICA
Y DIVERSOS TIPOS Tcnicas avanzadas
DE AUDITOR fAS Resultados de
de auditora con informtica demos compar,
uales es lado. Por ejemplo, los programas computarizados pueden procesar diferente,
partes de una transaccin en diversos lugans, \ en ocasiones se requiere que
tengan -istemas de seguridad de acceso a 01\"<'1 sistema. dato o programa, como
nO che- en d caso de los sistemas bancarios.
tdos de
uede no Procese de grandes cantidades de datos que pueden requerir la repeticin O
den ser cruzamiento de diversos elementos de la informacin, Esto es frecuentemente
naria es dificil ), costoso en un sistema manual y slo se reillil,l cuando es necesario. En
16 las aplicaciones computarizadas, grandes cantidades de datos pueden ser al-
CAPiTULO 1
macenadas en una base de datos. La velocidad y capacidades de proceso del
CONCEPTO OE computador hacen que esta informacin est disponible en el formato deseado.
AUDlTORiA En un ambiente computarzado, son posibles los ms complejos anlisis y los
EN INFORMTICA
Y DIVERSOS TIPOS
usos secundarios de los datos.
DE AUDITOR lAS
Planeacin de los procedimientos
de auditora con informtica
IY eva- inadecuado uso del tiempo de las computadoras, o copias ilegales de progra-
de los mas,debido a que las leyes no consideran a las computadoras como una perso-
izacin na, y slo las personas pueden ser declaradas como cu lpables, o bien considerar
dio del a la informacin como un bien tangible y un determinado costo.
.ciente, El abuso tiene una importante nfIuencia en el desarrollo de la auditora en
oma de informtica, ya que en la mayora de las ocasiones el propio personal de la orga-
nizacines el principal factor que puede provocar las prdidas dentro del rca
incerti- de informtica. Los abusos ms frecuentes por parte del personal son la utiliza-
tidurn- on del equipo en trabajos distintos a los de la organizacn, la obtencin de
infonuacin para fines personales (Internet), tos juegos o pasatiempos, y I~
mtrol v robos hormiga, adems de los delitos nformaticos que en muchas ocasiones
tambin son llevados a cabo por el propio personal de la organizacin.
la auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo O de un sistema Oprocedimiento especfico, sino que ade-
ortantc ms habr de evaluar los sistemas de informacin en general desde sus entra-
das, procedimientos, comunicacin, controles, archivos, seguridad, personal
(desarrollador, operador, usuarios) y obtencin de informacin. En esto se de-
ben incluir los equipos de cmputo, por ser la herramienta que permite obte-
ner una informacin adecuada y una organizacin especfica (departamento de
cmputo, departamento de informtica. gerencia de procesos electrnicos, etc.),
yel personal que har posible el uSOde los equipos de cmputo.
Adems de los datos, el hardware de computadora, el software y personal Prdida
;on recursos crticos de las organizaciones. Algunas organizaciones tienen in- de informacin
versiones en equipo de hardware con un valor multimillonario. Aun con un
seguro adecuado, las prdidas intencionales o no intencionales pueden causar
daos considerables. En forma similar, el software muchas veces constituye una
la COn- inversin importante. Si el software es corrompido () destruido, es posible que
ente aC 4 la organizacin no pueda continuar con sus operaciones, si no es prontamente
da, sta recobrado. Si el software es robado, se puede proporcionar informacin confi-
dencial a la competencia, y si el software es de su propiedad, pueden tenerse
iones. y prdidas en ganancias o bien en juicios legales. Finalmente, el personal es siem-
O cual- pre un recurso valioso, sobre todo ante la falta de personal de inforrntica bien
estrenado.
lporcio- Las computadoras ejecutan automticamente muchas funciones crticas en
ue afee- nuestra sociedad. Consecuentemente, las prdidas pueden ser muy altas y pue-
den ir desde prdidas multimillonarias en lo econmico, hasta prdidas de li-
. dentro bertad o de la vida en el caso de errores en laboratorios md icoso en hospi tales .
compu- Adems de los aspectos constitucionales y legales, muchos pases han con-
v la tec- siderado la privacidad COInO parte de los derechos humanos. Consideran que
prdida es responsabilidad de las personas que estn con las computadoras y con la,
-oblema redes de comunicacin, asegurar que el uso de la informacin sea recolectada,
ilacin. integrada y entregada rpidamente y COnla privacidad y confidencialidad re-
aJes, ta- queridas. Existe una responsabilidad adicional en el sentido de asegurarse de
control que la informacin sea usada solamente para los propsitos que fue elaborada.
20 En este caso se encuentran las bases de datos, las cuales pueden ser usadas para B) Evalus
CAPiTULO 1 fines ajenos para los que fueron diseadas o bien entrar en la privacidad de las setien
CONCEPTO DE personas.
AUDITOAiA La tecnologa es neutral, no es buena ni mala. El uso de la tecnologa es lo Ev
EN INFORMTICA
Y DIVERSOS TIPOS que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- E"
DE AUDITOR fAS ga en Internet no es problema de la tecnologa, sino de la forma y caractersti- Ev
cas sobre las cuales se usa esa tecnologa. Es una funcin del gobierno, de las Fal
asociaciones profesionales y de los grupos de presin evaluar el uso de la tecno- Ca
loga; pero es bien aceptado el que las organizaciones en lo individual tengan Co
una conciencia social, que incluya el uso de la tecnologa en informtica. lns
Deber de existir una legislacin ms estricta en el uso de la tecnologa, en FOI
la que se considere el anlisis y la investigacin para evitar el mal uso de Internet Se~
y otras tecnologas, para evitar situaciones como el suicidio colectivo de sectas COl
religiosas, como sucedi en Estados Unidos. Tambin se requiere de una tica COI
por parte de las organizaciones y de los individuos que tienen en sus manos Un,
todo tipo de tecnologa, no slo la de informtica. Pre
cup
PrO
Der
CAMPO DE LA AUDITORA EN INFORMTICA C) Evaluac
prende:
Campo El campo de accin de la auditora en informtica es:
de la auditora Con
La evaluacin administrativa del rea de informtica.
Con
La evaluacin de los sistemas y procedimientos, y de la eficiencia que se
Con
tiene en el uso de la informacin, La evaluacin de la eficiencia y eficacia
Con
con la que se trabaja.
Con
La evaluacin del proceso de datos, de los sistemas y de los equipos de Con
cmputo (software, hardware, redes, bases de datos, comunicaciones).
Conl
Seguridad y confidencialidad de la informacin.
Ordi
Aspectos legales de los sistemas y de la informacin.
D) Segunda
Para lograr los puntos antes sealados se necesita: Segu
Co~
A) Evaluacin administrativa del departamento de informtica. Esto compren-
de la evaluacin de:
Resp
Segu
Segu
Los objetivos del departamento, direccin o gerencia.
Segui
Metas, planes, polticas y procedimientos de procesos electrnicos estn- Plan
dares. sastre
Organizacin del rea y su estructura orgnica. Resta
Funciones y niveles de autoridad y responsabilidad del rea de proce-
sos electrnicos. Los princ
Integracin de 105recursos materiales y tcnicos.
Direccin. Salva
Costos y controles presupuestales. ware
Controles administrativos del rea de procesos electrnicos. Integn
adaspara B) E\'aluacinde los sistemas y procedimientos, y de la eficienciay eficacia que
ladde las setienen en el uso de la informacin. lo cual comprende:
OEFINlelN oe
AUOITORIA EN
oga es ID Evaluacin del anlisis de los sistemas y SuS diferentes etapas. INFORM TleA
I tecnolo- Evaluacin del diseo lgico del sistema.
ractersti- Evaluacin del desarrollo fsico del sistema.
lO, de las Facilidades para la elaboracin de los sistemas.
rla terno- Control de proyectos.
al tengan Control de sistemas y programacin.
lea, Instructivos y documentacin.
)logia,en Formas de implantacin.
e Internet Seguridad fsica y lgica de los sistemas.
de sectas Confidencialidad de los sistemas.
una tica Controles de mantenimiento y forma de respaldo de los sistemas.
15 manos Utilizacin de los sistemas.
Prevencin de factores que puedan causar contingencias; seguros y re-
cuperacin en caso de desastre.
Productividad.
Derechos de autor y secretos industriales.
~A C) Evaluacin del proceso de datos y de los equipos de cmputo que com-
prende:
D) Seguridad:
AUDITORA DE PROGRAMAS
La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de
diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra-
mas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organizacin.
la auditora de programas tiene un mayor grado de profundidad y de de-
talle que la auditora en informtica, ya que analiza y evala la parte centraldel
tj,os de la u-o de ras computador .." que es el programa, aunque se puede considerar como 23
parte M la auditora en informtica. AIJOITOOIA oe
ores recu r- Para lograr que la auditora de programas sea eficiente, las personas que la PROGRAMAS
realicen han de poseer ccnodrmentos profundos sobre sistemas operativos, sis-
temas de administracin de base de datos, lenguajes de programacin, utileras,
ba-es de datos, medio- de comurucacin y acerca del equipo en que fue escrito
ilizar tam- el programa. Asimismo, se deber comenzar con la revisin de la documenta-
IIemastie- cindel mismo. Para poder llevar a cabo una auditora adecuada de los progra-
. los usua- mas se necesita que tos slsremcs estn trabajando correctamente, y que se ob-
aceptan r tengan los resultados requeridos, ya que al cambiar el proceso del sistema en
general se cambiardn posiblemente los programas. Sera absurdo intentar
y los dfe- optimizar un programa de un sistema que no est funcionando correctamente.
ntica son Para optimizar los programas se deber tener pleno conocimiento y acepta-
dltora de cindel sistema o sistemas que usan ese programa, y disponer de toda la docu-
-do con la mentacin detallada del sistema total.
anizacin
on auxilio
tona con-
tiposde
zacin de
osy la efi-
;in de la
;e de Iac-
tadoras o
la indivi-
isabilida-
10 muchos
temo.
;in de la
10 de eo-
:a. y debe
ebe estar
~ uso de
progra-
valuar el
y de de-
ntral del
Planeacin
CAPTULO
de la auditora
en informtica
OBJETIVOS
Al finalizar este capitulo, usted:
I
guarda de los activos y la integridad de datos, y los objetivo" gerenciales, aque- Los resl
llos propios de la auditora interna que no s610 logran los objetivos sealados el respectivi
sino tambin los de eficiencia y eficacia. de qUl' el tri
Auditorla interna El audit
La auditora interna es una funcin independiente de la evaluacin que se
establece dentro de una organi/acin para examinar y evaluar sus actividades. rdos y con
El objetivo de la auditora interna consiste en apoyar a los miembros de la orga- El depat
n zacin en el desempeo de sus responsabilidades. Para ello, proporciona an- lIas persona
lisis, evaluaciones, recomendaciones, asesora e inforn,acin conccrnlcnte a 1.18 disci P lina ru
actividadl'S rev sa das. ber ."egu"
Los auditores internos son responsables de proporcionar Informacin acer- diton....sean
ca de la adecuaci6n y efectividad del sistema de control interno de la organtza- AsilnislJ
cin y de la calidad de la gestin. des} perid]
El manual de organizacin deber establecer claramente los propsitos del El dep.lI
departamento de auditora interna, especificar que el alcance del trabajo no debe mientes, ex
tener restricciones y sealar que los auditores internos no tendrn autoridad y/o bilidades de
responsabilidad respecto de las actividades que auditan. tores califica
El auditor interno debe ser independiente de la, actividades que audita. las responsa
Esta independencia permite que el auditor interno realice su trabajo libre y ob- mento no ne
jetivamente, ya que sin esta independencia no se pueden obtener los resultados El depar
deseados.
Las normas de auditora interna comprenden: Que las I
('S un pr
Las actividades auditadas y la objetividad de los auditores internos. trabajo ti
El conocimiento tcnico, la capacidad y el cuidado profesional de los audi- Que los.
tores internos Con los que deben ejercer su funcin. En el caso de la auditora tructivos
en informtica es de suma importancia el que el auditor cuente con los ro Que se C1
nocimientos tcnicos acrualtzados y con la experiencia necesaria en el rea.
El alcance del trabajo de auditora interna en el rl'a de informtica.
Que la
dencia d
"j
El desarrollo de las responsablldade, asignadas a los auditores internos Que los 2
responsables de la auditora a informtica. Que los
disciplin
Los auditores internos deben ser independiente. de las actividades que
auditan, y deben de tener un amplio criterio para no tomar decisiones subjeti- Cada auc
vas basadas en preferencias personales 'Obre determinadn equipo o software,
sin analizar a profundidad las opiniones. Los auditores internos son indepen-
Se requic
dientes cuando pueden desempear su trabajo con libertad y objetividad. La cas de aui
independencia permite a los auditores internos rendir juicios imparciales, esen-
pericia Id
oale:. para la adecuada conduccin de las auditoras; esto se logra a travs de
una adecuada objetividad y criterio. FASES
La objetividad es una actitud de independencia mental que los auditores DE LA AUDlTooJA
internos deben mantener al realizar las auditoras. Los auditores internos no
deben subordinar sus Juicios en maten. de auditora al de otros.
viden-
La objetividad requiere que tos auditores internos realicen sus auditoras
.temas
de tal manera que tengan una honesta confianza en el producto de su trabajo y
cmo
que no hayan creado compromisos significativos en cuanto a la calidad. Los
cursos
auditores internos no deben colocarse en situaciones en las que se sientan im-
os Ira-
posibilitados para hacer juicios profesionales objetivos.
salva-
Los resultados del trabajO de auditora deben ser revisados antes de emitir
aque- el respectivo informe de auditora, para proporcionar una razonable seguridad
liados
de que el trabajo se realiz objetivamente.
El auditor en informdtlca debe contar con los conocimientos tcnicos roque-
~uese rdos y con capacidad profesional.
jades.
Eldepartamento de auditora interna deber asignar a cada auditora a aque-
orga-
llas personas que en su con]u nto posca n los conocimientos, la experiencia y la
a an-
disciplina necesarios para conducir apropiadamente la auditora. Tambin de-
ea las
ber asegurarse que la experiencia tcnica y la formacin acadmica de los au-
ditores sean las apropiadas para realizar las auditoras en informtica.
1 acer-
Asimismo, se deber obtener una razonable seguridad sobre las capacida-
anza-
des y pericias de cada prospecto para auditor en informtica.
El departamento de auditora interna deber contar u obtener los conoci-
os del
mientos, experiencias y disciplinas necesarias para llevar a cabo sus responsa-
,debe
bilidades de auditora en inforrntica, Deber tener personal o emplear consul-
dy/o
tores calificados en las disciplinas de informtica necesarias para cumplir con
las responsabilidades de auditora; sin embargo, cada miembro del departa-
udita.
mento no necesita estar calificado en todas las disciplinas.
)' ob-
El departamento de auditora interna deber asegurarse:
tados
s que
bjeti- Cada auditor interno requiere de ciertos conocimientos y experiencias:
ware,
epen- Se requiere pericta en la aplicacin de las normas, procedimientos y tcni- Habilidades
d. La cas de auditora interna para el desarrollo de las revisiones. Se entiende por de los auditores
esen- pericia la habilidad para aplicar los conocimientos que se poseen a las si-
28 tuaciones que posiblemente se encuentren, ocupndose de ellas sin tener la adeci
CAPiTULO 2
que recurrir en exceso a ayudas o investigaciones tcnicas. El costo
PLANEACION Tener habilidad para: aplicar amplios conocimientos a situaciones que po-
DE LA AUDITORiA siblemente se vayan encontrando, reconocer las desviaciones significativas El cuid
EN INFORMTICA
y poder llevar a cabo las investigaciones necesarias para alcanzar solucio- determinan
nes razonables. plidos.Cua
El alean
Entre las habilidades que deben tener los auditores estn: cuacin y ef
lidad en el
revisar la a
Habilidad para comunicarse efectivamente y dar un trato adecuado a las sistema estaf
personas. Los auditores internos deben tener habilidad para comunicarse y metas de l
tanto de manera oral como escrita, de tal manera que puedan transmitir
clara y efectivamente asuntos como: los objetivos de la auditora, las eva- Los Obje
luaciones, las conclusiones y las recomendaciones.
Los auditores en informtica son responsables de continuar Su desarrollo La confi~
profesional para poder mantener su pericia profesional. Debern mante- sar la COI
nerse informados acerca de las mejoras y desarrollos recientes. dos par
Los auditores en informtica deben ejercer el debido cuidado profesional al Eleump
realizar sus auditoras. Elcuidado profesional, deber estar de acuerdo con tos.
la complejidad de la auditora que se realiza. Los auditores deben estar La salva
atentos a la posibilidad de errores intencionales, de errores omisiones, de la El uso eq
ineficiencia, del desperdicio, de la inefectividad y del conflicto de intereses. Ellogrod
Tambin debern estar alertas ante aquellas condiciones y actividades en mas.
donde es ms probable que existan irregularidades. Adems, debern de
identificar los controles inadecuados y emitir recomendaciones para pro- El sisternl
mover el cumplimiento con procedimientos y prcticas aceptables. control y el Cl
deben examin
El debido cuidado implica una razonable capacidad, no infalibilidad ni ac-
ciones extraordinarias. Requiere que el auditor realice exmenes y verificacio- Que los re
nes con un alcance razonable, pero no requiere auditorias detalladas de todas tuna, com
las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguri- Que losee
dad de que no existan incumplimientos o irregularidades. Sin embargo, la posi-
bilidad de que existan irregularidades materiales o que no se cumplan las dis-
posiciones debe ser considerada siempre que el auditor emprende una auditora. Los audite
Cuando el auditor detecte una irregularidad que va en contra de lo establecido cumplimiento
deber informarlo a las autoridades adecuadas de la organzacin. El auditor que pueden te
puede recomendar cualquier investigacin que considere necesaria en esas cir- ben determina
cunstancias. Posteriormente, el auditor deber efectuar su seguimiento para veri- La gerenci
ficar que se ha cumplido con lo sealado. mas diseado
El ejerciciodel debido cuidado profesional significa el uso razonable de las polticas, plan,
experiencias y juicios en el desarrollo de la auditora. res son respor
Para este fin el auditor deber considerar: y si las activid
piados.
Cuidado El alcance del trabajo de auditora necesario para lograr los objetivos de la Los audite
profesional auditora.
La materialidad o importancia relativa de los asuntos a los que se aplican La correcc
los proceclimientos de la auditora. existencia
s sin tener La adecuacin y efectividad de los controles internos. 29
El costo de la auditora en relacin con los posibles beneficios. FASES
.esque po' DE LA AUDITOOIA
;nificativas El cuidado profesional incluye la evaluacin de los estndares establecidos,
ar solucio- determinando en consecuencia si tales estndares son aceptables y si son curn-
plidos. Cuando stos son vagos debern sol icita rse interpretaciones autorizadas.
E! alcance de la auditora debe abarcar el examen y evaluacin de la ade-
cuacin y efectividad del sistema de control interno de la organizacin y la ca-
lidad en el cumplimiento de las responsabilidades asignadas. El propsito de
revisar la adecuacin del sistema de control interno es el de cerciorarse ~i el
:uado a las sistema establecido proporciona una razonable seguridad de que los objetivos
nnunicarse y metas de la organizacin se cumplirn eficiente y econmicamente .
. transmitir Los objetivos elementales del control interno son para asegurar:
-a, las eva-
Subutilizacin de instalaciones. En el ca
Trabajo no productivo. pues habrd (
Proced imientos que no justifican su costo.
Exceso o insucencia de personal. evaluad
o Evaluad
Uso indebido de las instalaciones.
Evaluad
Los auditores debern revisar las operaciones O programas para cerciorar- Evtlluaci.
se si los resultado, son consistentes con los objetivos y metas establecidos y si to (o;olh,
o Segurida
las operaciones o programas se llevan a cabo como se planearon.
Aspectos
Para I"!lr
iuformacion I
PLANEACIN DE LA AUDITORA evaluar P,lra
trl\\ I~ta!o.prt.\
EN INFORMTICA <.Id,.,r.i inclui,
solicttar o fon
Para hacer una adecuada planeacin de la auditora en informtica hay que El procese
seguir un" serie de pasos previos que permitirn dimensionar el tamao y ca-
ractersticas del rea dentro del organismo a auditar, sus sistemas, organiza- Mct,l" .
cin y equipo. Con ello podremos determinar el nmero y caractersticas del Programa
personal de auditora, las herramientas necesarias, el tiempo y costo, as como Plan,'s de
definir los alcances de la auditora para, en caso necesario, poder elaborar el Informe- e
contrato de servicios.
Dentro de la auditorfa en general, la planeacin es uno de los pasos m~ I.JS metas
Importantes, ya que una inadecuada planeacin provocar una serie de proble- plimiento, sobl
ntes tipos mas que pueden impedir que se cumpla con la auditora O bien hacer que no se 31
~ales, as efecte con el profesionalismo que debe tener cualquier auditor.
FASES
l!tera. El trabajo de auditora deber incluir la planeacin de la auditora, el exa- OE LA AUIlITQRIA
men y la evaluacin de la informacin, la comunicacin de los resultados y el
-ealiza en segurmento.
La planeacin deber ser documentada e incluir:
!Cinpara
snternos El establecimiento de lo, objetivos y el alcance del trabajo.
La obtencin de informacin de apoyo sobre las actividades que se auditarn.
La determinacin de tos recursos necesarios para realizar la auditora.
.recursos El establecimiento de la comunicacin necesaria con todos los que estarn
involucrados en la auditora.
r se cum- la realizacin, en la forma ms apropiada, de una inspeccin fsica para
familiariznrse con las actividades y controles a auditar, as como identifica-
Iizanyse cin de las reas en las que se debed hacer nfasis al realizar la auditora y
tivas. promover comentarios y la promocin de los auditados.
la preparacin por escrito del programa de auditora.
la determinacin de cmo, cundo y a quin se le comunicarn los resulta-
irecursos dos de la auditora.
La obtencin de la aprobacin del plan de trabajo de la auditora.
Objetivos
Evaluacin administrativa del rea de procesos electrnicos.
de la planeacln
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
;erciorar- Evaluacin del proceso de datos, de los sistemas y de los equipos de cmpu-
:idos y si to (software, hardware, redes bases de datos, comunicaciones).
Seguridad y confidencialidad de la informacin.
Aspectos legales de 10'> sistemas y de la informacin.
1$05 ms Las metas se debern establecer de tal manera que se pueda lograr su cum-
e problc- plimiento, sobre la base de los planes especificos de operacin y de los presll-
32 puestos, los que hasta donde sea posible debern ser cuantificables. Debern La revis
acompaarse de los criterios par. medirlas y de fechas lmite para su logro. zada por Uf
CAPiTULO 2
PLANEACIN Los programas de trabajo de auditora debern incluir: las actividades que no norrnaln
DE LA AUDITORIA se van a auditar, cundo SCI'" auditadas, el tiempo estimado requerido, to- parte geren.
EN INFORMTICA
mando en consideracin el alcance del trabajo de auditora planeado y la natu- familiarizad
raleza y extensin del trabajo de auditora realizado por otros. Los programas causas de la
de trabajo deberan ser lo suficientemente flexibles para cubrir demandas im- nes; el audi
previstas. consideraric
Los planes de contratacin de empleados y los presupuestos financieros si el auditor
--incluyendo el nmero de auditores, su conocimiento, su experiencia y las gar de proc
disciplinas requeridas para realizar su trabajo-, debern contemplarse al ela- con la fase d
borar los programas de trabajo de auditora, as como las actividades adminis- controles int
trativas, la escolaridad y el adiestramiento requeridos, la investigacin sobre
auditora y los esfuerzos de desarrollo.
REVIS
REVISiN PRELIMINAR Los objetivo
para que el
El primer paso en el desarrollo de la auditora, despus de la plancacln, es la dentro del '
revisin preliminar del drea dc informtica. El objetivo de la revisin prelimi- El audite
nar es el de obtener la informacin necesaria para que el auditor pueda tomar la timiento, COl
decisin de cmo proceder en la auditora. Al terminar la revisin prcli mina r el de control in
auditor puede proceder en uno de los tres caminos siguientes. bas compens
puede, desp
internos se ti
o Diseo de la auditora. Puede haber problemas debido a la falta de compe-
altemosdea
tencia tcnica para realizar la auditora.
En la fas
o Realizar una revisin detallada de los controles internos de los sistemas con
las causas dr
la esperanza de que se deposite la confianza en los controles de los sistemas
para reducir
y de que una serie de pruebas sustantivas puedan reducir las consecuen-
sin detallad
cias.
dos reducen
o Decidir el no confiar en los controles internos del sistema. Existen dos raro-
tenci6n de in
nes posibles para esta decisin. Primero, puede ser ms eficiente desde el
usados en la
punto de vista de costo-beneficio el realizar pruebas sustantivas directa-
con que se ot
mente. Segundo, los controles del rea de informtica pueden duplicar los
Como en
controles existentes en el rea del usuario. El auditor puede decidir que se
de lograr los
obtendr un mayor costo-beneficio al dar una mayor confianza a los con-
auditor inten
troles de compensacin y revisar y probar mejor estos controles.
ciencia y efic
suficientes pa
La revisin preliminar significa la recoleccin de evidencias por medio de interno debe
entrevistas con el personal de la instalacin, la observacin de las actividades
sobrecontrol,
en la instalacin y la revisin de la documentacin preliminar. Las evidencias nos controles
se pueden recolectar por medio de cuestionarios iniciales, O bien por medio de
controles inte
entrevistas, o con documentacin narrativa. Debemos considerar que sta ser tamente a rev
slo una informacin inicial que nos permitir elaborar el plan de trabajo, la
procediment
cual se profundizar en el desarrollo de la auditora.
de los sistema
Debern La revisin preliminar elaborada por un auditor interno difiere de la reali- 33
ogro. ud. por un auditor externo en tres aspectos. En primer lugar, el auditor inter- FASES
odes que no normalmente requiere de menos revisiones y trabajos, especialmente en la DE LA AUOITOfIIA
ddo, to- parte gerencial y de organizacin, ya que l es parte de la organizacin y est
l.natu- familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las
JgTaD\as causas de las prdidas y en los controles necesarios para justificar sus decisio- TipoS
idas irn- nes; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus de revisiones
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
anderos si el auditor interno supone serias debilidades en los controles internos, en lu-
ra y las gar de proceder directamente con las pruebas sustantivas, deber continuar
.e al ela- conla fase de revisin detallada para sealar recomendaciones para mejorar los
dmns- controles internos.
in sobre
REVISiN DETALLADA
Losobjetivos de la fase detallada son los dc obtener la informacin necesaria
para que el auditor tenga un profundo entendimiento de los controles usados
ln, es la dentro del rea de informtica.
prelirni- El auditor debe decidir si debe de continuar elaborando pruebas de consen-
:omar la timiento, con la esperanza de obtener mayor confianza por medio del sistema
ninar el decontrol interno, o proceder d irectamente a la revisin COnlos usuarios (prue-
bas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor
puede, despus de hacer un anlisis detallado, decidir que con los controles
cornpe-
internos se tiene suficiente confianza, y en otros casos que los procedimientos
alternos de auditora pueden ser ms apropiados.
:nascon En la fase de evaluacin detallada es importante para el auditor identificar
jstemas las causas de las prdidas existentes dentro de la instalacin y los controles
secuen- para reducir las prdidas y los efectos causados por stas. Al terminar la revi-
sindetallada el auditor debe evaluar en qu momento los controles estableci-
os razo- dos reducen las prdidas esperadas a un nivel aceptable. los mtodos de ob-
lesde el tencin de informacin al momento de la evaluacin detallada son los mismos
directa- usados en la investigacin preliminar, y lo nico que difiere es la profundidad
Iicarlos con que se obtiene la informacin y se evala.
rque se Como en el caso de la investigacin preliminar, se tienen diferentes formas
los con- de lograr los objetivos desde el punto de vista del auditor interno o externo. El
auditor interno debe considerar las causas de las prdidas que afectan la efi-
ciencia y eficacia, adems de evaluar por qu los controles escogidos son o no
suficientes para reducir las prdidas esperadas a un nivel aceptable. El auditor
odio de
interno debe evaluar si los controles escogidos son ptimos, si provocan un
vidades
sobrecontrol, () bien si se logra un satisfactorio nivel de control usando me-
dencias
nos controles O controles menos costosos. Si el auditor interno considera que los
ediode
controles internos del sistema no son satisfactorios, en lugar de proceder direc-
sta ser
tamente a revisar, a probar controles alternos o a realizar pruebas sustantivas y
bajo, la
procedimientos, debe sealar las recomendaciones para mejorar los controles
de los sistemas.
34 Eldirs
selecciona
CAPiTULO 2
PlANEACIN
EXAMEN y EVALUACiN
OE LA AUDITOR'" o Descri
EN INFORMTlCA DE LA INFORMACiN o Selecc
o Entrer
Los auditores internos debern obtener, analizar, interpretar y documentar la todos
informacin para apoyar los resultados de la auditora. o Evalui
El proceso de examen y evaluacin de la informacin es cl siguiente: ao.
o Aseso
o Se debe obtener la informacin de lodos los asuntos relacionados con los siona1.
objetivos y alcances de la auditora.
o La informacin deber ser suficiente, competente, relevante y tilpara que Eltrab
proporcione bases slida. en relacin con los hallazgos y recomendaciones la adecuad
de la auditora. La informacin suficiente significa que esl basada en he- El dre
chos, que es adecuada y convincente, de tal forma que una persona pruden- ner un pro
te e informada pueda llegar a las mismas conclusiones que el auditor. La lamento d
informacin competente significa que es confiable y puede obtenerse de la una seguri
mejor manera, usando las tcnicas de auditora apropiadas. La informacin normas ap
relevante apoya los hallazgos y recomendaciones de auditora y es consis- Unprr
tente con los objetivos de sta. l.a informacin til ayuda a la organizacin
a lograr sus metas. o Supon
o Los procedimientos de auditora, incluyendo el empico de las tcnicas de Revisc
pruebas selectivas y el muestreo estadstico, debern ser elegidos con ante- Revsk
rioridad, cuando esto sea posible, y ampliarse o modificarse cuando las cir-
cunstancias lo requieran. La supo
o El proceso de recabar, analizar, interpretar y documentar la informacin cabo conri
deber supervisarse para proporcionar una seguridad razonable de que la las normas
objetividad del auditor se mantuvo y que las metas de auditora se cum- Las rcv
plieron, del departe
o Los documentos de trabajo de la auditora debern ser preparados por los auditora r~
auditores y revisados por la gerencia de auditora. Estos documentos debe- ro que cual
r" registrar la informacin obtenida y el anlisis realizado, y deben apo- Para e\
yar las bases de los hallazgos de auditora y las recomendaciones que se practicarse
harn.
ditoria. El
veles apro-
formes de-
s informes PRUEBAS DE CONSENTIMIENTO
ido se con-
El objetivo de la fase de prueba de consentimiento es el de determinar si los
'tendales y
controles internos operan como fueron diseados para operar. El auditor debe
:osde vista
den ser in- delerminar si los controles declarados en realidad existen y si realmente traba-
jan confiablemente.
-ndaciones, Adems de las tcnicas manuales de recoleccin de evidencias, muy fre-
cuentemente el auditor debe recurrir a tcnicas de recoleccin de informacin
allazgos de
asistidas por computadora, para determinar la existencia y confiabilidad de los
36 controles. Por ejemplo, para evaluar la existencia y confiabilidad de los contro- Elnu
CAPITULO 2 les de un sistema en red, se requerir el entrar a la red y evaluar directamente al
PLANEACION sistema.
OE LA AUDITORA
EN INFORIoI TlCA
Dura
Dura
Dura
I TIpoS de pruebas En algunos casos el auditor puede decidir el no confiar en los controles internos
dentro de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles internos de informtica.
sideran q
pendenc,
nar esto:
Aumc
Estas pruebas que compensan las deficiencias de los controles internos se pue- Asgn
den realizar medante cuestionarios, entrevistas, vistas y evaluaciones hechas pster
directamente con los usuarios Crear
audite
Obten
Realiz
PRUEBAS SUSTANTIVAS lograr los
subsstem,
C.1S de cad
Elobjetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que subsistem
permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden evaluacin
ocurrir prdidas materiales durante el procesamiento de la informacin. El au- sin olvidar
ditor externo expresar elite juicio en forma de opinin <obre cundo puede
existir un proceso equivocado o falta de control de la informacin. Se pueden
La sum
identificar ocho diferentes pruebas sustantivas:
sistema!
eguri- l.os pasos que involucran una auditora en Informtica SOnsimilares a aqu.:-
llos que se realizan para auditar un sistema manual. Primero se realiza una
tnw,tig,'cn preliminar del rea de informtac." para lograr un entendimiento
de (timo l'st siendo administrada la inst.llacin y de los principales sistemas
que son procesados. En segundo lugar, $1 el auditor determina confiar en los
controles internos del sistema, se realiza una investlgacin detallada. En terce-
ro, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos con-
troles que son criticos. En cuarto, se reali,an pruebas sustantivas de los proce-
dinucntos, Finalmente, el auditor debe dar un,' opinin. Despus de estos p.l-
"<>'< "1aud itor evala los controle, internos del sistema y decide si debe proce-
1eva- der ron pasos alternativos.
senta Durante la auditora en informtica deben tornarse muchas decisiones dif-
oercu .. cile... Cada evaluacin sobre la confianza de h,., sistemas de control interno re-
costo quiere de evaluaciones complejas realizadas en forma conjunta con las evden-
in o d,ls obtenidas.
38
CAPITULO 2
PLANEACIN
EVALUACiN DE LOS SISTEMAS
OE LA AUOITORIA
EN INFORMTICA DE ACUERDO AL RIESGO
Es n~
que~
Una de las formas de evaluar la importancia que puede tener para la organiza- rpid
cin un determinado sistema, es considerar el riesgo que implica el que no sea nismt
utilizado adecuadamente, la prdida de la informacin O bien el que sea usado
por personal ajeno a la organizacin. Para evaluar el riesgo de un sistema con La in
mayor detalle vase el apartado "Plan de contingencia y procedimientos de trol gerer
respaldo para casos de desastre", en el captulo 6. troles gel
Algunos sistemas de aplicaciones son de ms alto riesgo que otrQ<.debido a prcticas
que: de la inst,
los contre
Son susceptibles a diferentes tipos de prdida econmica. dos sobre
aplicacor
I Ejemplo Fraudes y eestatccs entre los cuales estn los sistemas financieros. Se del
mento po
El auditor debe de poner especial atencin a aquellos sistemas que requie- document
ran de un adecuado control financiero. programa
Se def
I Ejemplo Flujo de caja, inversiones cuentas por pagar y cobrar. nmina. dentro de
ria y la fec
Las faUas pueden impactar grandemente a la organizacin. En el,
cin prelin
I Ejemplo Una falla en et procesamiento de la nmina puede tener como consecuencia
pos decn
el que se tenga una huelga.
nar se dcb
reas basa
Interfieren con otros sistemas, y los errores generados permean a otros sis-
temas.
Admirristr,
Potencialmente, alto riesgo debido a daos en la competencia. Algunos sis-
temas le dan a la organizacin un nivel competitivo muy alto dentro de un
departame
de docume
mercado.
La efici
I Ejemplo Sistema de planeacln estratgica. Patentes, derechos de autor, los cuales objetivos el
son tas mayores fuentes de recursos de la organizacin. Otros a travs de los adapta a 101
cuales su prdida puede destruir la imagen de la organizacin. Esta ad
usuarios d
Sistemas de tecnologa de punta O avanzada. Si los sistemas utilizan tecno- direccin \
loga avanzada o de punta. dicho sistn
cutivos y U$
I Ejemplo Sistemas de bases de datos, sistemas d.stnbuicloso de cornuolcaen, tecno- Asimisa
logia sobre la cual la organIZacintenga muy poca expeenaa o respaldo. la que el perse
cual es ms probable que sea una 'uente de problemas de control. dos que se e
trol, nica",
Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, 1",
cuales son frecuentemente sistemas complejos que pueden presentar mu-
chos problemas de control.
39
INVESTIGACiN PRELIMINAR
1:.< neeesarto iniciar el tr.baJO de obt('ncin d. datos COnun contacto preliminar
que permita una primer. Id". global. El objeto de este primer contacto es percibir
;aniza- rpidamente las estructuras fundamentales y diferencias principales entre el orga-
nosea nismo a auditar y otras orgaruzeecnes que se hayan nvestgado.'
usado
na con La investigacin preliminar debe incorporar fases de evaluacin del con-
tos de trol gerencial y del control de las aplicaciones. Durante la revisin de los COn-
troles gerenciales el auditor debe entender a la organizacin y las polticas y
bidoa prcticas gerenciales USadas en cada uno de los niveles, dentro de la jerarqua
de la instalacin en que se encuentran las computadoras. Durante la revisin de
los controles de las aplicaciones, el auditor debe entender los controles ejerci-
dos sobre el mayor tipo de transacciones que fluyen a travs de los sistemas de
aplicaciones ms significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin p",a obtener una visin general del departa-
mento por medio de observaciones, entrevistas preliminares y solicitudes de
equie- documentos; la finalidad es definir el objetivo y alcance del estudio, as como el
programa detallado de la investigacin.
Se deber observar el estado general del departamento O rea, Su situacin
dentro de la organizacin, si existe la informacin solicitada, si es o no necesa-
ria y la fecha de Su ltima actualizacin.
En el caso de la auditora en iJormtica debemos comenzar la investiga-
ci6n preliminar con una visita al organismo, al rea de informtica ya los equi-
pos de cmputo, y solicitar una serie de documentos. La investigacin prelimi-
nar se debe hacer solicitando y revisando la informacin de cada una de las
reas, basndose en los siguiente>. puntos:
os sis-
Administracin. Se recopila la informacin para obtener una visin general del
os sis-
departamento por medio de observaciones, entrevistas preliminares y solicitud
deun
de documentos para poder definir el objetivo y alcances del departamento.
La eficiencia en el departamento de informtica slo se puede lograr si sus
objetivo estn integrados con los de la institucin y si permanentemente se
lS
1$
adapta a los posibles cambios de stos.
Esta adaptacin nicamente puede ser posible si los altos ejecutivos y los
usuarios de los sistemas toman parte activa en las decisiones referentes a la
ecno- direccin y utilizacin de los sistemas de informacin, y si el responsable de
dicho sistema constantemente consulta y pide asesora y cooperacin a los eje-
cutivos y usuarios.
)- Asimismo el control de la direccin de informtica no es posible, a menos
a que el personal responsable aplique la misma disciplina de trabajo y los mto-
dos que se exigen normalmente a los usuarios. Podemos hablar de tener el con-
trol, nicamente cuando se contemplaron los objetivos, se estableci un presu-
i est
oTcnico en informtica. Caractersticas
den-
oConocimientos de administracin. contadura y finanzas. del personal
) slo
Experiencia en el rea de informtica.
o Experiencia en operacin y anlisis de sistemas.
ritco
o Conocimientos y experiencia en psicologa industrial.
o Conocimiento de los sistemas operativos, bases de datos, redes y comuni-
caciones, dependiendo del rea y caractersticas a auditar.
ni la
o Conocimientos de los sistemas ms importantes.
o NISMO
F ASL
T
el formato 45
e control y
PERSONAL
programa PARTICIPANTE
laneacin.
el trabajo
1figura2.3,
figura 2.4.
FIgura 2.1. Programa de auditorla en Informtica
. FECHA OE r()ll~CtON
1.
ORGANISMO;
--- NM. HOJA NUM~; OE
o
PEfUOOO QuE REPORTA o
o
o
aiAS GRADO DiAs o
SITUACiN DE LA AUDITORIA PEA)()OO REAL DE LA AUDITORLA EXPLlCACtH DE LAS VARIAC.O-
REALES DE HOM o
FASE UTILIZA AVAN BRE NES EN RElACIN CON'lO
NO INICIADA EN PROCESC TERMlNADA INtclAOA TERJ.'INADA o
OOS CE EST PROG........ OO
o
o
o
o
2.
o
1:
I!
jemplo de propuesta de servicios de auditorla en Informtica
:DENTES
11proyecto comprende:
in de la direccin de informtica en lo que corresponde a:
ganizacin.
iones.
nvos,
ctura.
rsos humanos.
las y polticas .
.citacin.
1S de trabajo.
oles.
idares.
iciones de trabajo.
cin presupuestal y financiera.
JO de los sistemas:
lacin de los diferentes sistemas en operacin (flujo. procedi-
os, documentacin, organizacin de archivos, estndares de
amacin, controles, utilizacin de los sistemas, opiniones de
suarios),
acin de avances de los sistemas en desarrollo y congruencia
I diseo general, control de proyectos, modularidad de los siste-
Anlisis de la seguridad lgica y confidencialidad. 49
Evaluacin de los proyectos en desarrollo. prioridades y personal
aSignado.
Evaluacin de la participacin de auditora interna.
Evaluacin de controles.
Evaluacin de las licencias. la obtencin de derechos de autor y de
la confidencialidad de la Informacin.
Entrevistas con usuarios de los sistemas.
Evaluacin directa de la informacin obtenida contra las necesida-
des y requerimientos de los usuarios.
Anlisis objetivo de la estructuracin y flujo de los programas.
s. Anlisis y evaluacin de la informacin compilada.
Elaboracin de Informe.
V. TlEMPO y COSTO
b) Evalu
el Que requiere obtener servicios de auditora en informtica, por lo
que ha decidido contratar fos servicios del auditor.
1,
11. Declara el auditor:
111.
Decfaran ambas partes:
el Evaluc
A
al Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo c
formalizan otorgando el presente contrato que se contiene en las
siguientes:
U
Es
CLUSULAS
Ce
NJ
Primera. Objeto
Al
El auditor se obliga a prestar al cliente los servicios de auditora en mtorm- Co
nca para llevar a cabo la evaluacin de la direccin de informtica del cliente.
Re
que se detallan en la propuesta de servicios anexa que. firmada por las par-
Eq
tes. forma parte integrante del contrato.
RI
Segunda. Alcance del trabalc 51
8 alcance de los trabajos que llevar a cabo el auditor Intemo dentro de este PERSONAl.
contrato son: PARTlClPAHTE
nbca
Decimosptima. Jurisdiccin
OBJ
Todo lo no previsto en este contrato se regir por ias disposiciones relativas,
contenidas en el Cdigo Civil del y, en caso de conro- Al finaliza
versia para su interpretacin y cumplimiento, las partes se someten a la juris.
diccin de los tribunales federales, renunciando al fuero que les pueda co-
rresponder en razn de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato. lo
rubrican y firman de conrorrmdad, en original y tres copias, en la Ciudadde
,el dla
EL CLIENTE EL AUDITOR
)
Auditora
CAPTULO
de la funcin
de informtica
OBJETIVOS
Al finalizar este captulo, usted:
Organizacin.
Normas y pol ticas.
Planes de trabajo.
Controles.
(,tAndares.
Procedimientos.
Despu
PRINCIPALES PLANES cificacone
QUE SE REQUIEREN asesores, F
ycomogu
DENTRO DE LA ORGANIZACiN
DE INFORMTICA
Planeacic
modificac
Estudio de viabilidad
Especifica 1,
Investiga los costos y beneficios de los usos a largo plazo de las computadoras,
y recomienda cundo debe o no usarse. En caso de requerirse el uso de la compu- ymodificac
tacin, sirve para definir el tipo de hardware, el software y el equipo perifrico do la organ
y de comunicacin necesarios para lograr los objetivos de la organizacin. hardware, e
El estudio de viabilidad consiste en la evaluacin para determinar, prime- Alguna
ro, si la computadora puede resolver o mejorar un determinado procedimiento,
y, segundo, cul es la mejor alternativa. Para lograr esto se deben de contestar Especif
una serie de preguntas, entre las cuales estn las siguientes: perifri
Evaluar
Planeac
La computadora resolver O mejorar los procedimientos, (unciones o ac- Prueba!
tividades que se realizan? Envo e
La computadora mejorar la informacin para lograr una adecuada toma Particip
de decisiones? Diseo.
ruta lograr El costo de la informtica proporcionar una adecuada tasa de retomo? 59
na adecua- (En este C30;0, uno de los mayores problemas es el de evaluar los intangibles.)
Cul es el periodo de recuperacin de la inversin?
jea se est Cul es la relacin costo-benefido que se obtendr?
a gerencia Se debe desarrollar un nuevo sistema o adquirir una nueva computadora,
o bien hacer cambios al sistema actual o actualizar el sistema de cmputo
que se tiene?
Se debe comprar O elaborar internamente los nuevos sistemas o las ade-
ese van a cuaciones?
Se deben comprar los equipos, rentar O rentar con opcin a compra?
el trabajo, Se deben hacer cambios estructurales en la organizacin para lograr el in-
ra realizar cremento en las capacidades de procesamiento?
Qu prioridad tiene el proyecto y para cundo debe ser realizado?
1 personal Qu caractersticas tiene el sistema actual?
Cules son las ,lreas potenciales en que se usar el nuevo sistema?
,y gua, y Cules son las fortalezas y debilidades del sistema actual?
Cules son los recursos adicionales que se requerirn?
ra realizar Cul es el impacto a informtica a largo plazo?
Cules son las restricciones que se deben considerar?
Cul es el proyecto (l'ERT) que se tiene para su implementacin?
Planeacin de cambios,
modificaciones y actualizacin
Especifica las metas y actividades que se deben realizar para lograr los cambios
.. tadoras,
y modificaciones, su independencia, tiempos, responsables y restricciones, cuan-
larompu-
perifrico do la organiz ....cin toma la decisin de hacer cambios sustanciales de software,
hardware, comunicacin O equipos perifricos.
sdn.
Algunas de las actividades tpicas en este plan son:
Ir, prime-
dimiento,
contestar Especificacin completa de hardware, software, comunicacin, equipos
perifricos.
Evaluacin y seleccin.
Planeacin fsica y preparacin del lugar.
mes o ac- Pruebas finales de aceptacin.
Envo e instalacin.
ada toma Participacin del auditor interno y de los usuarios.
Diseo de la estructura organizacional en caso de que se vea afectada.
60 Un pla
Plan maestro grar un de!
CAPITULO 3
AUOITORfA oe cadas dcnti
LA FUNCiN oe El plan maestro o plan estratgico de una instalacin informtica define los
INFORMTICA
objetivos a largo plazo y las metas necesarias para lograrlo.
Una de las principales obligaciones del rea de gerencia en inforrntica es
la construcci6n de un plan maestro. El plan maestro debe contener los objeti- Identif
vos, metas y actividades generales a realizar durante los sguientes ,;\05, inclu- Identif
yendo los nuevos sistemas que se pretenden implementar. Puede comprender Deterrr
un periodo corto O largo, dependiendo de las caractersticas y necesidades de l. Detern
organzacn, y de lo cambiante de los sistemas. Una organizacin consolidada Dctcm
posiblemente requiera un plan maestro a ms largo plazo que una organizacn Detern
de reciente creacin,
El plan maestro puede comprender cuatro subplanes:
Plan de!
A) El plan estratgico de organlzacn.Incluye los objetivos de la organizaci6n
continge
a largo plazo, el med io ambiente, los factores organizacionales que sern
afectados, as como Sus prioridades, el personal requerido, Su actualiza- en caso
cin, -desarrollo y ca pncitacin,
Una insta l
B) El plan estratgico de sistemas de informacin. Se debe elaborar el plan
razones: ln
estratgico y los objetivos planteados a largo plazo dentro de un plan estra-
mas del ee
tgico de informacin, y las implicaciones que tendr dentro de la organi-
ocurrencia
zacin en general y en la organizacin de informtica.
nzacin, S
deben tenE
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los
de recuper
objetivos planteados.
encuentre I
to para la.
O} El plan de aplicaciones de sistemas de informacin. Define los sistemas de
aplicaciones que se desarrollarn, asociados con las prioridades y con el
periodo en que sern implantados:
ica es
bjeti- Identificar las tareas a realizar .
nclu- Identificar las relaciones entre tareas.
ender Determinar las restricciones de tiempo de cada tarea del proyecto.
dela Determinar los recursos necesarios para cada tarea.
idada Determinar cualquier otra restriccin que se tenga.
acin Determinar la secuencia de actividades.
bien
EVALUACiN DE LA ESTRUCTURA ORGNICA
as que hay
a direccin
EsTRUCTURA ORGNICA
ntos de in-
as normas,
:.1, aunque \..node los elementos ms crticos e" el relativo al personal ya su organizacin.
I direccin Un personal calificado, motivado, entrenado y con la adecuada remuneracin.
,trol.",. repercute directamente en el buen desempeo del rea de infonmtica.
64 Bases jurdicas (principalmente Permit
CAPiTULO 3 en el sector pblico)
AUolTORIA DE C<
LA FUNCIN DE
Ce
INFORMTICA
To
A continuacin ofrecemos unos cuestionarios que servirn para evaluar la
estructura orgnica y las bases jurdicas: Si alguni
OBJETIVO DE LA ESTRUCTURA
NO, por (
Se debe te
NIVELES JERRQUICOS
to, ya que
dan a los p
Es conveniente conocer los niveles jerrquicos para poder evaluar si son los
necesarios y si estn bien definidos. Los pues.
llevar a cab
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del rea? sr NO No, porqL
El nmero
con las funa
Permten los niveles jerrquicos actuales que se desarrolle adecuadamente la:
Solicite el m
Operacin? sr NO
Supervisin? sr NO Anlis
Control? sr NO Progra
Permitenfos nivefes actuales que se tenga una gil: 65
EVALUACIN DE
Comunicacin ascendente? sJ NO LA eSTRUCTURA
Comunicacin descendente? Si NO ORGNICA
Toma de decisiones? sJ NO
vigentes?
s NO
Consideraque algunas reas deberla n tener:
Mayor jerarqua? sJ NO
Menor jerarqura? sJ NO
DEPARTAMENTAUZACIN
objelivos del Seconsideran adecuados los departamentos, reas y oficinas en que est divi-
didaactualmente la estructura de la direccin? Si NO
Sl NO .EI rea y sus subreas tienen delimitadas con claridad sus responsabilidades?
Sl NO 51 NO
Sl NO
So NO No. qu efectos provoca esta sltuacll'l?
PUESTOS
Sedebe tener cuidado de que estn bien definidas las funciones de cada pues-
to. ya que desafortunadamente eXiste mucha confusin en los nombres que se
dana los puestos dentro del mediOde fa Informtica.
si son los
Lospuestos actuales son adecuados a las necesidades que tiene el rea para
llevar a cabo sus funciones? 51 NO
y suficientes
Sl NO No, por qu razn?
S? Por qu?
--------------- -----
No, cul es el nmero de personal que considerara adecuado? Seale el puesto
o los puestos
un . l organ
nuadn un
EXPECTATIVAS
COnsidera que debe revisarse la eslructura actual, a fin de hacerta ms efi- Por qu no?
clente? SI NO
Cual es la
De realizar una modificacin a la estructura, cundo considera que deberla
hacerse?
Cul es la
AUTORIDAD 67
$e encuentra definida adecuadamenle la linea de autoridad? S<
NO EVAl.UAClOH DE
No, por qu razn? LA ESTRUCTURA
ORGNICA
---------
Exisleen el rea algn sistema de sugerencias y quejas por parte del personal?
SI NO
FUNCIONES
IslO
La, funcionesen informtica pueden diferir de un organismo a otro. aunque se
designencon el mismo nombre; por ejemplo, la funcin del programador en
un;organizacin puede ser diferente en otra organizacin. Ofrecemos a corui-
nuacin un cuestionario para evaluar las funciones.
EXISTENCIA
- ---- ------ --
Estn por escnto en algun documento las lunClones del rea? SI NO
COINCIDENCIAS
ADECUADAS
Debemos lener cuidado, ya que en esta rea podemos detectar malestares elel
personal. debido a que SI las funciones no son adecuadas a las necesidades.
pueden existir problemas de definicin de funciones o bien de cargas de trabalo
No. por qu?
Son adecuadas a la realidad las funciones? Si NO
- -
Cmoaleeta la desconcentracin a las funciones?
---- ---
Participla direccin de inlormatica en su elaboracin? si NO
No,por Qu?
CUMPLIMIENTO
A nIVelde departamento?
I SI NO
,
A nIvel de puesto?
1. Si NO
- - ----------
las actlVldades Que realiza el personal son acordes a las functones que bene
asignadas? Si NO
70 No, qu tipo de acllvidades realiza que no estn acordes a las funciones
CAPITULO
3 asignadas?
AUOITORIADE
LA FUNCiNDE Para eum]
INFORMncA Cul es la causa?
De qu IIp
Las actMdades que reahza actualmente cumplen en su totalidad con las fun "Se lo prop
ciones confendas? SI NO
No. que le
No, cut es su grado de cumphmJento?
No. cmo,
La falta de cumplimiento de sus funciones es por.
Peridica?
A cuntas I
Eventual?
Cuales son
SistemtlC8?
Otras?
EXiste dupl.
Tienen programas y tareas encomendadas?
S, qu conl
NO, porqu?
Exisle dupl
Permiten cumplir con los programas y tareas encomendadas (necesidades de
operacin)? SI NO S, cules y
n
Selo proporcionan con oportunidad?
si NO
No. qu le ocasiona?
Cules son?
DUPUCIDAD
Existe duplicidad de funciones en la misma rea? si toO
Qu conflictos ocaSlona?
----- -_
S. cul es la razn?
En qu
Por qUI
OBJETIVOS
Qu p~
Uno de los posibles problemas o descontentos que puede tener el persona Ies el
desconocimiento de los objetivos de la organizacin, lo c1.101 puede deberse a
una falta de definicin de los objetivos; esto provoca que no se pueda tener una
planeacin adecuada.
Ofrecemos un cuestionario que sirve para evaluar los objetivos. Se han
EXISTENCIA A qUin
Qum
Cul fue el mtcldOpara el establecimiento de los obJetIVOS?
Qu asp
Nadie le eXige establecerlos SI NO
FORMALES
ADECUADOS
------ ---
Los objetivos son claros y precisos?
Soo realistas?
74 Se pueden alcanzar? Si NO Quin re
CAPlruL03
AUorrORiA DE Porqu?
LA FIJNCI()N DE Oe qu m
II<FORMATlCA
Estn de acuerdo con las funciones del rea? SI NO
Participa
Se~alan cules son las realllaciones esperadas? Si NO
Cundo I
Son congruentes con los obletlvos Institucionales? si NO
CUMPLIMIENTO
Entre las d
SI. cules?
Informtico
,"Sl". Las fu
NO. de qu manera se establece el grado de cumplimiento? moldar, en
se han di
mador I, PI
Se elabora algn reporte sobre el grado de avance en el cumplimiento de los
objetivos? Si NO
Esto h
niveles, fu.
Para quin y con qu frecuenCIa?(Recabar datos.) ellos consu
nido el gta
Itls que COI
Quin elabora este reporte? analizar la
funciones
Qu se hace en caso de desviacin en el cumplimiento de los obletivos? niveles de
Si no I
actual pi
Qu sugerencia puede hacer para lograr el cumplimiento total de los objetivos? Imagen g(
Criter
ACTUALIZACiN
Agru]
Se reVIsanlos objetivOS? Agru]
Local
Por sistema? I.oca~
realiz
Quinrevisa los objetivos? 75
EVALUACiN DE
LA ESTRUCTURA
,De qu manera se lleva a cabo la revisin? ORGNICA
ANLISIS DE ORGANIZACIONES
Entre las diferentes formas de la estructura organizacional de la direccin de
Informticano existe una evaluacin concreta y aceptada de las funciones de
sta.Las funciones que en una organizacin son consideradas como de progra-
mador,en otra pueden ser de analista o de analista programador, y en algunas
se han dividido ciertas fundones con diferentes niveles, por ejemplo, progra-
mador1,programador 11,etctera.
Esto ha dado por resultado que, al no existir una definicin clara de los
niveles,funciones y conocmientes, las personas se designen con el ttulo que
ellosconsideran pertinente; por ejemplo, ingeniero en sistemas (Sinhaber obte-
nidoel grado " analista de sistemas, o bien que en algunos pases existan escue-
lasque confieran grados acadmicos que no son reconocidos oficialmente. Al
analizarlas organizaciones debemos tener muy en cuenta si estn definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
nivelesde la organizacin.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el Elaboracin
actual plan de organizacin, ya que esto facilita el estudio y proporciona una del organigrama
imagengenera) de la organizacin.
Criterios para analizar organigramas:
Es IreCIJ61
El persoru
EVALUACiN DE LOS RECURSOS HUMANOS
No, anote r
El desarrollo del personal implica:
Se deber obtener informacin sobre la situacin del personal del rea, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin Respeta el
de recursos humanos. A continuacin un ejemplo de cuestionario para obtener
informacin sobre los siguientes aspectos: No. porquI
Desempeo y comportamiento.
Condiciones de ambiente de trabajo. Existe cooc
Organizacin en el trabajo.
Desarrollo y motivacin.
No, por qu
Capacitacin y supervisin.
------'
No,por qu?
nota-
pre-
EsefICazen el cumplimiento de sus funcionas? si NO
No, porqu?
Existe cooperacin por parte del personal para la realizacin del trabajo?
SI NO
NO,~por qu?
En qu forma?
CAPACITACiN cmo
Uno de los puntos que se deben evaluar con ms detalle dentro del rea de
informtica es la capaalacin; esto se debe al proceso camblanle y al desarrOllo
Por qu
de nuevas lecnologlas en el rea.
No, porqu?
LIMITANTES
,OJales son los pmcjpaIes facIores Internos que limitan el desempeo del personal?
AnlISIS? ( )
Operacin? ( )
Administracin? ()
Captura? ( )
Programacin? ( )
Direccin? ()
Adm'nlstracin de bases de datos? ()
ComunocaClOfles redes? ()
Tecnlcos? ()
Otros? (especifique), ()
S. cmo 59 soIUCIOf18n?
Otras reas externas presentan quejas sobre la capacidad y/o atencin del
personal det rea? 51 NO
Sl, I
Si. qu tratamiento se tes da?
No,
Cmo se otorgan los ascensos. promociones y aumentos salariales?
Con
Cmo se controtan las laltas y ausentismos? zac
CONDICIONES DE TRABAJO
El I
Para poder trabajar se requiere que se tenga una adecuada rea de trabajo. con
mayor razn en un rea en la que se debe hacer un trabajo de Investigacin e No. I
intelectual.
SoQ
Cmo son las retaeooes laborales del rea con el sindICato?
Se presentan problemas con frecuencia? SI NO
Si. en qu aspectos?
Cmo se resuelven?
REMUNERACIONES 81
EVAlUACIN DE
LOS RECURSOS
Normalmentelas personas estn inconformes con su remuneracin. Es mpor- HUMANOS
el tanteevaluarque tan cierta es esta Inconformidad o si est dada por otros ma-
leslaresaunque sean seatados como Inconforrmdad en las remuneraciones, o
~ puede deberse a que se desconoce cmo se evala a la persona para
poder darle una mejor remuneraoln.
Trabajo desempeado? Si NO
Puestos similares en otras organizaCiones? sr NO
Puestos similares en otras reas? si NO
el
n
e No. por qu?
Qu repercuSJOnes bene1
Crado
Se prevn las necesidades de personal con antenordad:
Grado
tivo-.
En cantidad? si NO <;;II"fao
Capaci
En calidad? Si NO Observ
No. por qu?
Ofrecer
Esl prevista la sustitucin del personal clave? si NO
1 No
DESARROLLO y MOTtVACIN 2 PUl
3. PUf
Cmo se lleva a cabo la nlraduccin y el desarrollo det personat del rea? 4. PUE
5. Nur
En caso de no realizarse, por qu no se realiza? 6. Des
7 ~
8 AC1i
Cmo se realiza la rnonvacn del personal del rea? 9. Ce
10 C.
11. SeII
Cmo se esumota y se recompensa al personal del rea? 12. En I
C$1l
Elosle oportUnidad de ascensos y promociones? si NO 13 C
14 C
Ou poIlhca hay al respecto? 15. C
16 Co
17 So
18 Meo
afio.
19. CO
ENTREVISTAS CON EL PERSONAL 20 Obst
A continua
5. Cite a los principales proveedores de su direccin en materia de:
recursos fi!
Proveedor Volumen anual
Mobiliario en general
Consumibles Quin ir
Equipo
Software
Mantenimiento Se respo
Equipo auxiliar
Papelera No, en q
Cintas, discos, etctera
6. Culescargos adicionales se manejan por separado fuera del contrato? 85
A Pongauna X en ellos. SITUACION
PRESUPUESTAL
UUllzaclndel equipo. ( ) V FINANCIERA
Servicio de mantenimiento. ( )
Capacitacin del personal. ( )
Asesora en sistemas de cmputo. ( )
Gastos de instalacin del equipo. ( )
Impuestosfederales, estatales, municipales y especiales. ()
Seguros de transporte y compra de equipo. ( )
Otros (especifquelos). ( )
asromo
situacin 7 Cul es la situacin jurdica del eqUipo (especificar por equipo)?
lira:
Compra del equipo. ()
Renta del equipo. ()
Rentacon opcin a compra. ()
Renta de tiempo maquina. ()
Maquila. ()
0110, cul?
losequl-
rario, del 8. Cul es la situacin jurdica del software (especificar por sonware)?
Compra. (
Renta. (
del Elaborado intemamente. (
recios)? Maquila. (
Otro, cul?
FORMULACiN
Se cu
RECURSOS MATERIALES desarrc
Porq
PROGRAMACiN
ConO(
ADECUACiN
Qu r
Los recursos materiales que se le proporcionan al rea. son suhclentes para
cumplir con las funaones encomendadas? di NO
Existe
No. en qu no son suficientes?
ExIste
Los recursos matenales se proporcionan oportunamente? NO
Cule
Cules son las principales limitacionas que tiene el rea en cuanto a los recuro
sos materiales?
No, PI
Qu sugerencIas harlan para superar las limitaciones actuales?
Que s
SERVICIOS GENERALES
Sobre
Existe un programa sobre los servioios generales que requiere el rea?
.. NO
Con~
Considera los servicios generales que se proporcionan al rea
Adecuados? SI NO Se rec
Suficientes? SI NO correctl
Oportunos? al NO
CIIOde que alguna de las respuestas sea negativa especnique cul es la 87
SrTVAClON
S para alcaru* PRESUPUESTAL
SI NO YANANCIERA
lUge1eI1CIaS llarlan para superar las limitaciones actuales?
MOBILIARIO Y EQUIPO
cientss para
SI NO
elserviCIOde mantenimiento del equipo?
n'1lOOdasde seguridad? s NO
S NO
?
a los recu
=
Du se hace con el eqUipo en desuso?
OBJETIVOS
Al finalizar este captulo, usted:
1. Evaluar si las organizaciones que se van a auditar cuentan con los stste-
mas necesarios para cumplir con sus funciones.
2. Explicar la importancia de la evaluacin del diseo lgico de un sistema y
de su desarrollo.
3. Definir las caractersticas principales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocer el contenido mnimo que deben tener los instructivos de operacin
de los sistemas.
5. Describir cules son los trabajos que se deben realizar para iniciar la opera-
cin de un sistema.
6. Explicar la importancia de las entrevistas a los usuarios para comparar los
datos con los proporcionados por la direccin de Informtica.
7. Conooer los seialamientos principales relacionados con los derechos de
autor y la informtica.
90
Software
CAPITULO 4
EVALUACION EVALUACiN DE SISTEMAS bien pu
paquetes
DE LOS SISTEMAS
Por e]e mll
Existen diversas formas por medio de las cuales las organizaciones pueden conla: ds, ,iado!
can el software necesario para cumplir COnsus requerimientos; entre ellas se tes indJ\'"W
encuentran: puede ten
paquete
Elaborado por el usuario, o bien un software comercial. El que el usuario da- por dp, d
bore un determinado software tiene las siguientes ventajas: normalmente e; cual pued
desarrollado para cubrir todas las necesidades del usuario; puede ser modifica. ware qu
do de acuerdo a las necesidades de la organizacin; contiene sistemas de segu. mandos Y
ridad propios. Aunque tiene estas desventajas: es ms costoso; su tiempo de usar I'dq
implementacin es ms largo, su rnantenimiento y actualizacin, normalmente tener d ir
no se hacen sobre una base peridica. mientos d
Al del
Software compartido o regalado. Normalmente se trata de un software seno- de adquir
110elaborado para computadoras personales, que puede ser conseguido o bajo zacion se
costo va Internet. El peligro de este tipo de software es que puede no cumplit bien "casa
con todas nuestras necesidades, adems de que se debe tener cuidado con lo; pero requ
programas pirata o con virus.
La ela
Se debe considerar la librera de programas de aplicacin. Sin importar l. Ile, par 1
forma de desarrollo, los programas siempre son escritos para correr en un de- mas hasta
terminado sistema operativo. Un elemento importante del sistema operativo es
la cantidad y diversidad de programas de aplicaci6n que son escritas en ~~lo
Exisl
cual se conoce como la librera de programas de aplicacin. Es importante !(>- grams
mar en cuenta el sistema operativo utilizado, ya que puede ser un tipo de siste-
ma operativo conocido como "propietario", el cual s610 puede Ser usado en
Existe
C'stn
mquinas de un determinado proveedor.
vos,
Software transportable (porlability). Se considera que un software es portableo LIh rs
transportable cuando 1) tiene diferentes versiones para diferentes sistemas eficier
operativos, cuando 2) puede cambiarse entre dos o ms sistemas operativos, o
cuando J) puede ser fcilmente convertido de un sistema operativo a otro. Ln El pla
software que es transportable permite, aparentemente, usar el mismo progra. futuro, co
ma de aplicacin sin importar el sistema computacional. Se puede usar en una
gran computadora (mllillframe) o en una minicomputadora, o cambiar entre di. CuJ
ferentes tipos de mincomputadoras. Una organizacin que obtiene un software Cur
que tiene diferentes versiones, pero que en esencia es el mismo, lo cual significa Qu
que es transportable, ahorra tiempo en entrenamiento y en personal, y permite Cu
el que fcilmente se mueva de un trabajo a otro o bien en diferentes lugares.
La est
Un solo usuario O multiusuario. Como en el caso de los sistemas operativos, cu rsos q u\
los programas de aplicacin pueden ser para un solo usuario o para una vare- estaran fu
dad de usuarios.
Qu
Categorizacin del software de aplicacin por usuario. El software puede ser Qu
catalogado como: de propsuos generales, de funciones especficas o especifico Qu
de la industria. Qu
Softwire a la medida de la oficina. El software comercial puede ser vendido, o 91
bien puede ser elaborado internamente como paquetes individuales O como EVALUACION
paquetes mtegrales y compatibles que son diseados para trabajar en conjunto. DE SISTEIAAS
Porejemplo, un paquete e laborado en Cobol, o una hoja de clculo, pueden ser
diseados para trabajar slo con un determinado sistema operativo. Los paque-
miar
tes individuales pueden ocasionar muchos problemas, ya que por ejemplo se
ISse puede tener un magnfico paquete de presupuestos que sea incompatible con el
paquete de contabilidad SI dos paquetes son diseados en forma individual
ela- por do> diferentes compaas, es muy probable que no sean compatibles, lo
...es cualpuede repercunr en aumento de tiempo, costo y entrenamiento. Un soft-
ca- ware que es compatible e integrado permite que sus mens, apuntadores, co-
'8"- mandosy ayudas sean iguales y que las salidas del sistema sean compatibles. El
) de usarpaquetes de software compatible, tiene grandes beneficios, aunque puede
~nte tenerel inconveniente de que no todos los paquetes cumplan con los requeri-
mientos de los usua ros.
Al desarrollar un determinado sistema se debe cuidar si habr necesidad
nci .. deadquirir sistemas o lenguajes propiedad de una compaa, que para su utili-
,ajo zacin se requiera de una licencia especfica, lo cual puede ser muy costoso, O
plir bien"casarnos" con u" determinado proveedor, lo cual puede ser conveniente
los pero requiere de una evaluacin muy detallada.
La elaboracin o adquisicin de sistemas debe evaluarse con mucho deta-
rla lle. para lo cual se debe revisar desde la planeacn y elaboracin de los siste-
de- mashasta su desarrollo e implementacin. Se deber evaluar si:
'es
, lo Existen realmente sistemas entrelazados como un todo O bien si existen pro-
to- gramas aislados.
.te- Existe un plan estratgico para la elaboracin de los sistemas o bien si se
en estn elaborando sin el adecuado sealamiento de prioridades y de objeti-
vos.
Los recursos son los adecuados y si se estn utilizando en forma eficaz y
eo
eficiente.
las
,0
8 plan estratgico deber establecer los servicios que se prestarn en un
Jn
I
futuro, contestando preguntas como las siguientes:
ra-
na Cules servicios se implementarn?
ji-
El plan estratgico
Cundo se pondrn a disposicin de los usuarios?
Ire
Qu caractersticas tendrn?
ca
Cuntos recursos se requerirn?
te
La estrategia de desarrollo deber establecer las nuevas aplicaciones y re-
.s, cursos que proporconard la direccin de informtica y la arquitectura en que
estarn fundamentados:
e-
Qu aplicaciones serdn desarrolladas y cundo?
Qu tipo de archivos se desarrollarn y cundo?
:0 Qu bases de datos sern desarrolladas y cundo?
Qu lenguajes se utilizarn y en qu software?
92 Qu tecnologa ser utilizada y cundo se implementar? 11
CAPTULO 4 Cuntos recursos se rcquenran aproximadamente? d
EVALUACION Cul es aproximadamente el monto de la inversin en hardware y 50h
.
DE LOS SISTEMAS ware? C) Dise
fac
Desarrollo de los objetivos y del modelo lgico del sistema propuesto.
Anlisis preliminar de las diferentes alternativas, incluyendo el estu- Ta
dio de factibilidad tcnico y econmico de cada alternativa. o lgi
Desarrollo de recomendaciones para el proyecto de sistema, incluyen- 93
do los tiempos y costos del proyecto. EVALUACIN
vare y soft- DE SISTEMAS
C) DIseo general y anlisis del sistema:
lebe definir Estudio detallado del sistema actual, incluyendo los procedimientos, Evalu.cln
diagramas de flujo, mtodos de trabajo, organizacin y control. de los sIstemas
Desarrollo del modelo lgico del sistema actual.
s pol-
BASES
PROGRAMAS DE DESARROLLO
El banco de d.
Los programas de desarrollo incluyen software que slo puede ser usado por el temtica inde
personal que ha tenido entrenamiento y experiencia; este software incluye: La cantid.
grande, del or
A) Lenguajes de programacin: Se consdr
vos de datos
o Lenguaje de mquina, estn relacion
o Ensambladores. ci rse que una
o De tercera generacin, estructurado.
o De cuarta generacin: EIDBMS
de datos) es u
o 4GLS. base de datos
o Query languages,
o Ceneradores de reportes. El ronjunt(
o Lenguajes naturales. macinde
o Generadores de aplicaciones.
BASES DE DATOS
Elbanco de datos es el conjunto de datos que guardan entre s W1acoherencia
por el temhca independiente del medio de almacenamiento.
re: La cantidad de informacin que contiene un banco de datos suele ser muy
grande, del orden de millones de datos.
Se considera que una base de datos es la organizacin sistemtica de archi-
vos de datos para facilitar su acceso, recuperacin y actualizacin, los cuales
estn relacionados linos con otros y son tratados como W1aentidad. Puede de-
Base de datos I
cirse que una base de datos es un banco de datos organzado como un tipo
estructurado de datos.
El OBMS (data [Jasemanagement system - sistema de administracin de bases
de datos) es un conjunto de programas que permite manejar cmodamente una
base de datos, O sea:
I~Iconjunto de facilidades y herramientas de actualizacin y recuperacin de infor-
macin de una base de datos.'
Consistencia de los datos. El problema de redundancia en los datos no slo Entre las \'~
provoca que se ocupe demasiado espacio en los discos, sino que tambin
puede causar el problema de inconsistencia en los datos, ya que se puede
cambiar en un archivo pero omitirse en algn otro de los archivos.
Compartir
Reduccin
Un sistema de bases de datos es un conjunto de programas que:
Mejora de
Independei
Almacena los datos en forma uniforme y de manera consistente.
Incrementa
Organiza los datos en archivos en forma uniforme y consistente. Mejora el e
Permite el acceso a la in formacin en forma uniforme y consistente.
Elimina la redundancia innecesaria en los archivos.
(ncrementz
ca de la in
ses de
Jerrquicos.
De redes.
Relacionales.
Orientados a objetos.
jes de
Problemas de los sistemas
de administracin de bases de datos
Cuando varios usuarios utilizan una base de datos, pueden existir problemas si
no fue diseada para usuarios mltiples. Uno de estos problemas surge cuando
no existe un control sobre la actualizacin inmediata. Esto significa que dos o
.query mds usuarios pueden estar elaborando cambios al mismo archivo en el mismo
momento, y no existe control sobre la actualizacin inmediata de los archi-
vos. Este tipo de problemas existe princlpalmente eJ1 las bases de datos de
computadoras personales, ya que los grandes sistemas tienen control sobre las
actualizaciones inmediatas.
Tambin pueden existir problemas en el uSOde recursos excesivos de cmpu-
to, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases
de datos.
Problemas de seguridad. Las bases de datos deben de tener suficiente con-
trol para que se asegure que slo personal autorizado pueda acceder datos, y se
debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o
aniza- acceder datos dependiendo de su llave de entrada, as como el usuario propie-
datos, tario de la base de datos.
102 Los
CAPITULO 4
EVALUACiN
COMUNICACiN Con
DE LOS SISTEMAS "ca
dn
Se debe evaluar el modo de comunicacin y el cdigo empleado. Los diferentes Tier
modos de comunicacin varan dependiendo del tipo de informacin que trans- que
mitimos y el costo del medio empleado. ocas
El medio de comunicacin es tambin un factor importante a evaluar, y ste o
depender de la velocidad y capacidad de transmisin, lo cual est directamen-
o
te relacionado con el costo (cables trenzados, cable coaxial, fibra ptica, microon- o
das, ondas de radio, infrarrojas).
o
Los componentes ms comunes dentro de un sistema de comunicacin son:
Servidor y husped.
COSI
Terminal O estacin de trabajo.
COD"
Convertidores de protocolo.
Mdem. Segt
Equipo de conexin de terminales. Los,
Modo de comunicacin.
Medio de comunicacin. Entr
Topologa de las redes: Salle
Proc
o De punto a punto o estrella y topologa jerrquica. Espe
o Mutidrop o bus y ringo Espe
o Mesh. Mtc
o Sin cables (wireless). Opei
Man
Tipo de redes: tos).
o Local. Proo
Idenl
o Wide area lletworks (WAN).
o Enterprise. Proo
Freci
o Internacional. Sistei
En general las redes pueden ser caras y pueden crear complicaciones en el Sistei
sistema de informacin, pero pueden ser justificables por alguna o varias de las Resp
siguientes razones: la in
Nm
Compartir perifricos. Softv
Compartir archivos. Bases
Compartir aplicaciones. EnCiC:
Reducir costos de adquisicin, instalacin y mantenimiento de software.
Conexin con otras redes.
Captura de datos en Jugares que son de informacin.
Aumentar productividad.
Perm.itirexpansin.
INFOI
Disminuir tiempo de comunicacin.
Aumentar control. Cuando!
Seguridad. mente en
Los puntos a revisar en las redes son: 103
Confiabilidad de las redes. Un sistema con redes que estn constantemente EVALUACINDEL
DISE~O LDGICO
"cadas", o que no sea confiable, provoca muchos problemas a la organiza- OEL SISTEMA
ci6n y cuestiona Su funcionamiento,
erentes Tiempo de respuesta. Una red que sea lenta en sus operaciones, provoca
~trans- que los usuarios la eviten O no la utilicen. Entl"Clos problemas que puede
ocasionar esta lentitud estn;
J y ste
lamen- La distancia que tiene que recorrer y la forma en que se transmite.
La cantidad de trfico en la red.
icroon-
o La capacidad de los canales de comunicacin.
:So son: o Factores externos a la red, como puede ser la estructura de las bases de
datos.
Costo de la red.
Compatibilidad con otras redes.
Seguridad en las redes.
Los puntos a evaluar en el diseo lgico del sistema son:
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Manipulaciones de datos (antes y despus del proceso electrnico de da-
tos).
Proceso lgico (necesario para producir informes).
Identificacin de archivos, tamao de los campos y registros.
Proceso en lnea O lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
s en el Sistemas de control.
,de las Responsables (tipos de usuarios, identificando los usuarios propietarios de
lo informacin).
Nmero de usuarios,
Software necesario.
Bases de datos requeridos,
En caso de redes determinar su tipo y caractersticas.
",are.
INFORMES
Cuando se analiza un sistema de informtica es muy comn pensar exclusiva-
mente en la parte relacionada con la informtica, olvidndonos de que un siste-
104 ma comprende desde el momento en que se genera un dato, as como su proce- inforrn.
samiento, retroalimentacin y salida. Es muy comn que solamente se evale el ~r.lfa r
CAPITULO'
evALUACIN procesamiento de la informacin y su almacenamiento dejando fuera la evala- verifica
DE LOS SISTEMAS cin de aquello que es el inicio del sistema, el seguimiento administrativo y la situada
obtencin de los reportes y salidas de informacin.
Lo que debemos determinar en el sistema es: Rayad(
uso COI
En el procedimiento:
ln~tru(
QUIn hace la funcin. cundo y cmo? autoins
Qu formas se utilizan en el sistema? que ell
Son necesarias, se usan, estn duplicadas? Oc no:
El nmero de copias es el adecuado? p,lrd ve
Existen puntos de controlo faltan? t.?XCl!'tIV
sln rt
En la grfica de flujo de informacin:
Firmas.
Es fcil de usar? dament
Es lgica? como u
Se encontraron lagunas? (irn'll'l(,
Hay faltas de control?
Nombr
En las formas de diseo: duo en
rotacir
Cmo est usada la (arma en el sistema?
Qu~ tan bien se ajusta la forma al procedimiento?
Encabe
Cul es el propsito, por qu se usa?
qu firn
Se usa y es necesaria?
El nmero de copias es el adecuado? Rtulo!
Quin lo usa? adecuar
ubicacir
Entre los elementos a revisar en el diseo de formas estn:
Ubicad
Numeracin. J;st.i numerada la forma? Es necesaria su numeracin? Est
dond~~
situada en un solo lugar fcil de encontrar? Cmo se controlan las hojas numo-
ngrafa
radas y su utilizacin?
par" eS(
Ttulo. Da el titulo de la forma una idea dara sobre su funcin bsica?
Casillel
Espacio. Si la forma va ser mecanografiada, hay suficiente espacio para escn- cacin r
bor a mquina rpidamente, con exactitud y eficiencia? Si la forma se llenar a cesivosl
mano, hay el espacio adecuado para que se escriba en forma legible?
TipO de
Tabulacin. Si la forma va ser mecanografiada, permite su tabulacin llenarla Use paF
uno(ormemente? Es la tabulacin la mnima posible? Una excesiva tabulacin un man
disminuye la velocidad y eficiencia para llenarla. Adems le da una apariencia p..ara rec
desigual y confusa.
Tamae
Zonas. Estn juntos los datos relacionados entre s? Si los datos similares estn ajusta .1
agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La jo, tiern]
su proce- informacin similar reunida por zonas hace ms fcil Su referencia, se mecano- 105
evale el grafa ms eficientemente y se revisa con ms rapidez. Posteriormente, se debe EVALUACiN OEL
a evalua- verificar que las zonas de las formas que sean utilizadas para captura estn OISEO LGICO
situadas de manera congruente con el diseo de las pantallas de captura. OH SISTEMA
ativo y la
Firmas. Existe suficiente espacio para una firma legible? Est el espacio debi-
damente identificado respecto a la fuma que se solicita? La firma se utiliza
comoun mero trmite O realmente controla la persona que fuma lo que se est
firmando?
Nombres. Se usan Jos nombres de los puestos en lugar del nombre del indivi-
duo en la forma? No es conveniente imprimir nombres de personas debido 3 la
rotacin de personal.
Casilleros. Se usan pequeos espacios enmarcados ( ) para con una sola indi-
ua escri- cacin reducir escritos largos o repetitivos? Los espacios son suficientes o ex-
Jenar a cesivos?
Tipo de papel. Son el peso y calidad del papel apropiados para esa forma?
llenarla Use papel ms pesado y de mejor calidad para aquellas formas que requieren
oulacin un manejo excesivo. Use papel de menor peso con formas que se usen poco,
-arienca pata reducir costo y espacio en los archivos.
I SISTEMA
~
~
YOl/
FOI!
NOMBRE DEL INFORME PR
FE
PROPSITO FEO
f--
CLAVE __
- Nlvt
EN \
OUIN LO FORMULA
PERIODICIDAD
- MO
VOLUMEN EN HOJAS
EN VIGOR
ORIGINAL
la.
28.
3a.
<la.
I
ANALIZ PG. DE
107
OrROSDArOS ~,
TANTOS COlOR
-
DATOS OUE CONTIENE ORDEN DE LOS DATOS
PGINA DE
108
Figura 4.3. Evaluacin de formas
CAPITULO'
EVAlUACION NOMBRE DE LA FORMA. FRECUENCIA DE USO
OE lOS SISTEMAS
OBSERVACIONES
UFtC CNfE
PAAALAVIOA
rACll DEIMAN
F~II. DE IMPF!I
A PRODUCIR
FACTORES A EVALUAR
TI TUlOSy t.NC
BALANCEADO
ES DONGAUENTECOO< LAS si NO
PANTAlJ..AS DE CAPTURA
NO
NO CONTROL
....MEAODE CLAVE 51 NO REOUIEFlE NU~EROoe CONTROL Si NO
-o SECUENCI'l
REQUieRe: AutORlZACtN PARA Si NO
REIMPRIM RSE
NO
ANAlIZADO POR
110
Figura 4.5. Evaluacin de formas
CAPlruLO'
EVALUACION A CONOCE LA PERSONA OUE FORMULA
DE LOS SISTEMAS EL DOCU"'ENTO. EL OBJETIVO SI __ NO __
y LA I_ANCIA DEL "'ISMO? SI
o EXISrE RETRASO EN SU
51 __ NO __
FORMULACI6N!
MOTIVO
ORIGiNAl I
11 COPIA;
G QP NION GENERAL
20, COPIA
30 COPIA
'. COPIA I
51 COPIA I
51, COPIA I
f-- -
FECHA _ 7. COPIA
AUDITOR
111
Figura 4.6. Descripcin de formas EVAlUACIN DEL
10__ DISEO LOOCO
DEL SISTEMA
SISTeMA
FOR'AA
EW!ORADA NOMBRE
PUESTO
I~"~'"~--
AUTORIZAD.... NOMBRE
o
I
OOJETlVO
)--
)--
DESTINO
la COptA 1
:u. COPIA
lo COPIA
ola. COPIA
50 COPIA
60. COPIA
...
7a. COPIA
112 110 es de
CAPrTULO.
Figura 4.7. Descripcin de formas de papelera estndar.
EVALUACiN
DE lOS SISTEMAS Color. Pe
I SISTEMA I FeCHA mss ea cok
ros, s<m m,
NOMBRE __
sin ,negro
cuidado tar
08JETIVO _ FRECUENCIA _ estar idenr
QUIEN FORMULA _ VOLUMEN MENSUAL _
Como
FORMAOE LLeNA~LA _ EN vIGOR OESDE _ descripcir
QUE LAQRIGINA _
ANl
A QU DA ORIGEN
Una vez q'
informes p,
la encuesta
RECOMENDACIONES Al. IMPRIMIR
se la figura
cribir el COl
COPIANM. COLOR PRoceOIMIENTO. uso v oeSTINO DE CADA COPIA FIRMA NECESARIA cin.
ORIGINAL
RUIOC
En la audito
qlle tiene ce
En prin
La erans
prenda."
OBSERVACIONES El ruide
solamente 1,
Koontz/O'I
Cualquie
za la con
ANALIZ PGINA DE
z Kcontz ~
no es de tamao estndar es considerablemente mayor que el de tamao 113
estndar.
eVALVACIN DEL
DIseO lGICO
Color.Permite el contraste del color del papel una lectura eficiente? las for- Del SISTEMA
masen colores, como el anaranjado, el verde, el azul, el gris, etc., en tonos oscu-
ros, SOndifciles de leer porque no ofrecen suficiente contraste entre la impre-
sin(negro) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener
midadotanto en el color del papel como en el color de la tinta. Las copias deben
estaridentficadas de acuerdo con el color.
Como ejemplo de anlisis de formas vase las figuras 4.3, 4.4 Y4.5; para la
descripcinde formas vase las figuras 4.6 y 4.7.
ANLISIS DE INFORMES
Unavez que se han estudiado los formatos de entrada debemos analizar los
informespara posteriormente evaluarlos con la informacin proporcionada por
laencuestaa los usuarios. Como ejemplo de la descripcin de los informes va-
se lafigura 4.1,y para el anlisis de los informes la figura 4.2. Despus de des-
cribirel contenido de los informes se debe tener el anlisis de datos e informa-
cin.
Funcin de la La redundancia puede ser conveniente en el caso de que haya que cercio-
redundancia rarse de que la informacin se recibe correctamente. Esto estar en funcin de lo
delicada que sea la informacin y del riesgo que se corre en caso de una prdida
total o parcial de la misma.
EVAL
Un ejemplo de redundancia dentro de las mquinas es el BITde paridad, el
cual permite que en caso de prdida de un BIT,se pueda recuperar la informa- En esta el<
cin que contiene el byte. guaje utili
La redundancia es una forma de control que permite que, aunque exista hardware
ruido, la comunicacin pueda llevarse a cabo en forma eficiente; deber haber Al eva
mayor redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de debe pro?
informacin, aunque, a la vez, debemos estar conscientes de que el exceso de eficazyop
redundancia puede provocar ruido. obtener un
se contar
[Ejemplo Es el caso de un profesorque por desear ser muy claro, se dedica a dar
demasiadosejemplos;puede provocarruidoen el sentidoque llegaa confun-
dir o a aburrira sus alumnosy que el nmeroexcesivode ejemplosimpida
una adecuada comunicacin. 30 NueTJO ,
cesara- En la auditora se debe considerar que todo sistema ha de ofrecer un nme- 115
-acomo ro adecuado de redundancia, segn su nivel de importancia, de modo que per- EVALUACION DEL
mita una buena comunicacin, aun en el caso de que exista ruido, pero sin ser la DESARROU.O
na pan- redundancia de tal magnitud que a su vez provoque ruido. DEL SISTEMA
'Orma- Entropa
os o re-
El diccionario la define como:
Cantidad de energa que por su degradacin no puede aprovecharse.'
na fcil
Ia entropa en un sistema, por ejemplo de un motor, es el calor que genera,
elcual es energa que por sus caractersticas no puede aprovecharse. En el caso
la fina- delsistema llamado motor se utiliza esta entropa.
egue al
En la calefaccin del automvlt o bien para calentar el aire y la gasolina que Ejemplo I
entra al molar (en el caso de molores lurbo).
cerdo-
5ndelo
ordida
EVALUACiN DEL DESARROLLO DEL SISTEMA
idad, el
uorma- Enesta etapa del sistema se debern auditar los programas, su diseo, el len-
guaje utili7ado, la interconexin entre los programas y las caractersticas del
e exista hardware empleado (total o parcial) para el desarrollo del sistema.
haber Al evaluar un sistema de informacin se tendr presente que todo sistema
dida de debe proporcionar informacin para planear, organizar y controlar de manera
ceso de efiCal y oportuna, as como para reducir la duplicidad de datos y de reportes, y
obtener una mayor seguridad en la forma ms econmica posible. De ese modo
se oontar OOnlos mejores elementos para una adecuada toma de decisiones.
dar
'un-
)ida
116
o
CAPiTulO 4
EVALUACiN SISTEMAS DISTRIBUIDOS, INTERNET, o
DE LOS SISTEMAS
Slrllctu red
CONTROL DE PROYECTOS
ouido son:
Debido a las caractersticas propias del anlisis y de la programacin es muy
frecuente que la mplantacin de los sistemas se retrase, y Uega a suceder que
una persona trabaje varios aos en un sistema O bien que se presenten irregula-
ridades en las que los programadores realizan actividades ajenas a la direccin
de informtica. Para poder controlar el avance de los sistemas, ya que se trata
de una actividad intelectual de difcil evaluacin, se recomienda que se utilice
la tcnica de administracin por proyectos para su adecuado control.
Qu significa que un sistema sea liberado en el plazo establecido y dentro
ddel rno- del presupuesto? Pues sencillamente que el grado de control en el desarrollo
. sistemas del mismo es el adecuado o tal vez el ptimo. Pero esto no se consigue gratuita-
n de apli- mente o porque la experiencia o calidad del personal de desarrollo sea alta, sino
rminales, porque existe un grado de control durante su desarrollo que permite obtener
omunica ... esta cualidad. Cabe preguntar aqui: quin es el elemento adecuado para pro-
porcionar este grado de control?
abicacin Para poder tener una buena administracin por proyectos se requiere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en
el cual se especifiquen actividades, metas, personal participante y tiempos. Este
plan debe ser revisado peridicamente (semanal, mensual o bimestralmente)
para evaluar el avance respecto a lo programado.
118 La estructura estndar de In planeacin de proyectos deber incluir la faci
lidad de asignar fechas predefinidas de terminacin de cada tarea. Entre estas 19. Se lIa
CAPiTULO 4
EVALUACiN lechas debe estar el calendario de reuniones de revisin, las cuales tendrn di-
DE LOS SISTEMAS ferentes niveles de detalle. Son necesarias las reuniones a nivel tcnico con la
De anlisis
participacin del personal especializado de la direccin de informtica, para De programE
definir la factibilidad de la solucin y los resultados planeados. Son muy j. Observaco
portantes las reuniones con los usuarios finales, para verificar la validez de lo;
resultados esperados.
La evaluacin de proyectos y Su control puede realizarse de acuerdo con Incluir el
diferentes autores. A manera de ejemplo presentamos el siguiente cuestionare que el departa
cla, segn la s
1. Existe una lista de proyectos de sistema de procesamiento de ntorma- Como ejer
cin y lechas programadas de implantacin que puedan ser considerados calendario de
como plan maestro? sables del sistl
2. Est relacionado el plan maestro con un plan general de desarrollo de la figura 4.12; de
dependencia? los informes d
3. Ofrece el plan maestro la atencin de solicitudes urgenles de los usea- avance de pro
rios? Se debcrar
4. Asigna el plan maestro un porcentaje del tiempo total de produccin al tr .in en prace
reproceso O fallas de equipo? cu mple con se
Poner la lista de proyectos a corto y a largo plazos.
Poner una lista de sistemas en proceso de periodicidad y de usuarios.
erdo con Incluirel plazo estimado de acuerdo con los proyectos que se tienen para
tionario: 'l"" el departamento de informtica satisfaga las necesidades de la dependen-
CIol, Sl'gnla situacin actual.
Iom\a- Comoejemplo de formato de control de proyectos vase la figura 4.8; del
!fados alendariode actividades vase las figura~ 4.9 y 4.10; del reporte de los respon-
s.lbJe" del sistema, vase la figura 4.11; del control de programadores, vase la
I(le la figura4.12; de planeacin de la programacin, vase las figuras 4.13 y 4.14; de
Jo, Informesde avance de la programacin, vase la figura 4.15; de control de
usua- avance de programacin vase figuras 4.16 y 4.17.
Se debern revisar tanto los proyectos terminados como los que se encuen-
:ifl al tran en proceso, para verificar si se ha cumplido con el plan de trabajo o si
cumplecon Su funcin de medio de control.
arios.
CONTROL DE DISEO DE SISTEMAS
y PROGRAMACiN
El objetivode esto es asegurarse de que el sistema funcione conforme a las espe-
ncacionesfuncionales, a fin de que el usuario tenga la suficiente informacin
rara su manejo, operacin y aceptacin.
las revisiones se efectan en forma paralela, desde el anlisis hasta la pro-
gramacin,y sus objetivos son los siguientes:
Et.pa de anlisis y definicin del problema. Identificar con claridad cul es el
objetivodel sistema, eliminando inexactitudes, ambigedades y omisiones en
lasespecificaciones.
oyec
Etapade estudio de factibilidad. Elaborar el costo/beneco del sistema, desa-
rrollando el modelo lgico, hasta llegar a la decisin de elaborarlo o rechazarlo,
Incluyendoel estudio de factibilidad tcnico y las recomendaciones.
Etapa de diseo. Desarrollar los objetivos del sistema; desarrollar el modelo
lgico;evaluar diferentes opciones de diseo, y descubrir errores, debilidades,
omisicnes, antes de iniciar la codificacin. Esta actividad es muy importante ya
que el costo de corregir errores es directamente proporcional al momento en
que se detectan: si se descubren en el momento de programacin ser ms alto
el costo que si se detectan en la etapa de anlisis. El anlisis deber proporcio-
nar la descripcin del funcionamiento del sistema funcional desde el punto de
\ ista del usuario, indicando todas las interacciones del sistema, la descripcin
lgica de cada dato, las estructuras que stos forman, el flujo de informacin
Figura 4.8. Control de proyectos
...... ACTlVlOADES Rf.sPOH1A8I.t ENEROI fES. uARZO A8_ MAYO JUNIO .AIUO: N:JKJ. srPT OC,. N(N DIC.
....
Of
"".
- -
-- -
1--
-- -
121.____
ANLISIS y PROGRAMACiN
1= ... DE AV""""
I
_.
,..,..
()(
-
, MES
.......
NUM
DE
""
Ot.5(;M.~~ , a .)
ooo oo ooo o
S G 7 , o
o ........ , SEMANA' SEIoI,otoHA ) If",ANA,
E
-- - -
A
-
E
f-
A
:
I
E
I
I
e I
E
f-- 1-
R
- ---
[- Utw.wXl A.REAl
L- __ 1,22
Figura 4.10.Control de actividades del programador
SISTEMA _
PROGRAMA _ INOENnF _
PROGRAMAOOfl __
PLANEADO
ACTIVIDAD DIf
INIOO TtRM NO DIF INICIO
r. ANlISIS
2. DIAGRAMA LOaICO
3. CREAC DE PRUEBAS
PRUEB ESCRITORIO
5 CODIFICACION
6. CAPTURA
7 COMPILACtON
8 GEI'IER PRUEBAS
9.0EPURACION
10 PRUEBAS
11 VERIF PRUEBAS
12 COAREOCOONES
13.00CUMENTACION
-,1----
FINAL
ESPECIFICAR EL NUMERO
DE COMPILACIONES R~IZAOAS _
PRUEBASRE~~::~A:S~ ::::::::::::::::::::::::::::::::::::::~
OBsERVACIONES
Figura 4.11. Reporte semanal de los responsables de sistemas
I - ,-
SISTEMAS METAS AJADAS METAS AlCANZADAS COMENTARIOS
:__ I
I
I
RECURSOS
- 1-
I
I
I
I
Figura 4.12. Control de programadores
I PAOGRAMAOOA
BASE
i
, 1I PROGRAMA
PfUOAI.
OURAC.
EN
OlAS
FECHA DE ENTREGA
CAIGI. ACTUA.
:
REAL I
I ~ ~u
.... OESCRIPCION PRODUCTO A DeTENER
t--
I I
I
,I
i
1
II
126 Figura 4.14. Hoja de planeaci6n de actividades
I SISTEMA
FECH
SISTE'
USUARIO
RESP~
PROGRAMADOR -----1
PROG
PROGRAMA _ FASE
NO,,,,,_ FAf
CLAVE FECHAS REALES NU'" FECHA OE ENTREGA
..en- ACTlVIOAOES
vroAD INIC. TEAM PROO. ORlO. ACTU. REAl.
- -,
r--
NUM.F~
- -
r-
-~
e
1---
HOJA DE
I Figura 4.15. Informe de avance de programacin
I I FECHA
[ --
HOJA DE
SlSTE...A
I I
I I
RESI'ONSABl.E
-- -- I
_-_
I
iNTREGA
PROGRAMASTER...INADOS A LA FECHA
U REAl.
~ f-
~
i
1
H
il
!
1'
1
I
11
II
--------
--
11 II
I
IT 11 ------ NUEVOS PROGRAMAS A INCLUIR EN EL PLAN
- - -_. --r- --r----.-
DURACiON
NU.... FASE NM. PROG. FECHA ENTREGA
DESCRIPCIO,.
-1 OlAS DEL PROGRAMA
1--.
1--
i
.-
~
I
128 Figura 4.16.Control de avance de programacin
PROGRAMADOR __
COIGO DE ACTIVIDADES
OBSawAC~NES ~11
A INTERPAETACION
8 OfAORAMACIONLGICA
e CREACION DE PAUEBAS
o PRUE6.AS DE ESCRfTOAI
E CQCIACACIN
F CAPTURA
o CQMPfLACIH
H CAEACI()N EN P.-.RAlElO
I DEPURACiN
J PRueeAS EN PA.RAlflO
K VERIFIC. DE PAVESAS
l COAAECCtONES
M OOCVMENTACIN
HOJA De
Figura 4.17. Hola de planeacln de actividades y control de avance
I SI$TV.IA I [ CUENTE ;
PROGRAMADOR
I
PAOGRAMA FASE
- ----
--
,
,
I
FECHA HOJA DE
130 que tiene lugar en el sistema. Asimismo, se ind icar lo que el sistema tom,
CAPITuLO. como entradas, los procesos que sern realizados, las salidas que deber 1" 2
EVALUACiN porconar, los controles que se efectuarn para cada variable y los proc...J:
DE LOS SISTEMAS mientes.
3
Etapa de programacin. BUScar la claridad, modalidad y verificar con base
las especificaciones.
4
ntacin
ando el 5. Indiquequ pasos se siguen en el desarrollo de un sistema:
s usua-
piisitos Dehnic6ndel problema ()
saccio- Desarrollo de objetIVosdel sistema ()
izando EstudIOde factibilidad ()
mdu- Estudio costcVbeneficio ()
estudio de lactibiJidadtcnICO ( )
DefllllClOn
de tiempos y costo del proyecto ()
aplica- Desarrollo del modelo lgICO ()
ncum- Propuesta de diferentes alternativas ()
lo pre- ESpecificaciones para el sistema IIslco ( )
)Ia con Especificaciones de programas ( )
Diseo de implementacin ()
tuevo, Diseo de carga de datos ( )
ny un Codilicacin ( )
Programa da entrenamienlo ()
an las ESludiode la definicin l )
Discusin con el usuario ( )
gene-
ltrega
Elaborar datos de prueba l )
Revisin de resultados ( )
~Iper- Oocumentac6n ()
como Someter resultados de prueba ( )
Todo
lacin 6. Ou documentacin acompaa al programa cuando se entrega?
iones,
Id del
Es muy frecuente que no se libere un sistema, esto es, que alguien contine
ba de dndole mantenimiento y que sea el nico que lo conozca. Ello puede deberse a
amistad con el usuario, falta de documentacin, mal anlisis preliminar del sis-
lema, resistencia a cambiar a otro proyecto, o bien a una situacin que es muy
grave dentro del rea de informtica: la aplicacin de "indispensables", que
son los nicos que tienen la informacin y, por lo tanto, son inamovibles.
Qu sucede respecto al manten.imiento o modificacin de unsistema cuando
ste no ha sido bien desarrollado (analizado, diseado, programado, probado)
e instalado? La respuesta es sencilla: necesitar cambios frecuentes por omisio-
nes o nuevos requerimientos.
En el caso de sistemas, muchas crgamzaocnes estn gastando cerca de 80% Diseo
de sus recursos de cmputo en mantenimiento. del sistema
El mantenimiento excesivo es consecuencia de falta de planeacin y control
del desarrollo de sistemas; la planeacin debe contemplar los recursos disponi-
bles y tcnicos apropiados para el desarrollo.
132 Por su parte, el control debe tener como soporte el estableormento de
CAPiruLO 4 mas de desarrollo que han de ser verificadas continuamente en todas t,, ... --.'
EVALUACION del desarrollo de un sistema. Estas normas no pueden estar aisladas, pn".
DE LOS SISTEMAS del contexto particular de la direccin de informtica (ambiente) y, segundo
los lineamientos generales de la organizacin, para lo cual es necesario
con personal en desarrollo que posea suficiente experiencia en el cst:abl~cilnll~,
to de normas de desarrollo de sistemas. Estas mismas caractersticas deben
en el personal de auditora de sistemas.
Es poco probable que un proyecto llegue a un final feliz cuando se ha iruoa-
do sin xito.
Difcilmente estaremos controlando realmente el flujo de la informaci(1nd<
un sistema que desde 'u inicio ha sido mal analizado, mal diseado, mal ~
gramado e incluso mal documentado.
El excesivo mantemmento de los sistemas generalmente lOS OC,lSi()""dDl:<l1
un mal desarrollo. Esto se inicia desde que el usuario establece sus ~
mientos (en ocasiones sin saber qu desea) hasta la instalacin del si.stema,
que se haya establecido un plan de prueba de ste para medir Su
conabilidad en la operacin que se efectuar. 2. En 1"
Para verificar si ('xiste esta situacin, se debe pedir o los analostas la, octm
dades que estn desarrollando en el momento de la auditora y evaluar v e;l!:l rencra
efectuando actividades de mantenimiento o si se estn realizando nuevos pe forma
yectos. En ambos casos se deber evaluar el tiempo que llevan dentro delms
rno sistema, la priortdad que se le asign)' cmo est el tiempo real en rclacir
con el tiem po estimado en el plan maestro.
El que los analistas, los programadores, o unos y otros, tengan aex"""",,1
todo momento a los sistemas en operacin puede ser un graw problema y OC>
sionar fallas de seguridad.
3.
ENTREVISTAS A USUARIOS
Las entrevistas se debern Uevar a cabo para comparar los datos proporcionados y
la situacin de la direccin de inform.itica desde el punto de vista de los usuarios.
134 Su objeto es conocer la opinin que tienen los usuaros sobre los
cAPlTuL.O proporcionados, as como la difusin de las aplicaciones de la colnp'u~!!:
EVALUACION de los sistemas en operacin.
DElOS SISTEMAS Las entrevistas se debern hacer, en caso de ser posible, a todos
ros, O bien en forma aleatoria a algunos de ellos, tanto a los ms'
como a los de menor importancia en cuanto al uso del equipo.
ENTREVISTAS
Aunque la entrevista es una de las fuentes de informacin ms importante]
saber cmo opera un sistema, no siempre tiene la efectividad que se dee
que en ocasiones las personas entrevistadas pueden ser presionada. IX"
analistas de sistemas, o piensan que si se hacen algunos cambios, stos
afectar su trabajo. El gerente debe de hacer del conocimiento de los enl!re\l' '.
dos el propsito del estudio.
Una gura para la entrevista puede ser la siguiente:
Preprese para la entrevista estudiando los puestos de las personal
van a ser entrevistadas y sus funciones dentro de la organizacin,
Presntese y d un panorama del motivo de la entrevista,
Comience con preguntas generales sobre las funciones, la organizao 1
los mtodos de trabajo. 2
Haga preguntas espeficas sobre los procedimientos que puedan darer 3
resultado el sealamiento de mejoras. 4
Siga los temas tratados en la entrevista.
Limite el tomar notas a lo ms relevante, para evitar distractores. 6
Al final de la entrevista, ofrezca un resumen de la informacin ........ J. '1 7
pregunte cmo se le podr dar seguimiento.
CUESTIONARIO
El diseo de un cuestionario debe tener una adecuada preparacin, eLltu:
cin, preevaluacin y evaluacin. Algunas guas generales son:
mzacin y Requerimientos
1. Cumplir con los requerimientos totales del usuario. del usuario
2. Cubrir todos los controles necesarios.
1 dar como 3. No exceder las estimaciones del presupuesto inicial, en tiempo y costo.
t Ser fcilmeJ1te modificables.
5. Ser confiables y seguros.
s, 6- Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible.
obtenida y 7. Ser amigables.
Para que un sistema cumpla con los requerimientos del usuario se necesita
unacomunicacin completa entre ste y el responsable del desarrollo del sste-
ma. En ella se deben definir claramente los elementos con que cuenta el usua-
rio, las necesidades del proceso de infonnacin y los requerimientos de infor-
macin de salida, almacenada o impresa.
En esta misma etapa debi haberse definido la calidad de la informacin
que ser procesada por la computadora, establecindose los riesgos de la mis-
4 elabora-
ma y la forma de minimizarlos. Para ello se debieron definir los controles ade-
cuados, establecindose adems los niveles de acceso a la nformacin, es decir,
quin tiene privilegio de consultar, modificar o incluso borrar informacin.
Esta etapa habr de ser cuidadosamente verificada por el auditor interno
los objeti- especialista en sistemas y por el auditor en informtica, para comprobar que se
logr6 una adecuada comprensin de los requerimientos del usuario y un con-
Irol satisfactorio de informacin.
1egativo), Para verificar si los servicios que se proporcionan a los usuarios son los
oda clari- requeridos y que se estn proporcionando en forma adecuada, cuando menos
ormaque ser preciso considerar la siguiente informacin:
136 Descripcin de los servicios prestados.
8.
CAPiTULO. Criterios que utilizan los usuarios para evaluar el nivel del servicio prcsllJll
eVALUACiN Reporte peridico del uso )' concepto del usuario sobre el servicio.
oe LOS SISTEMAS Registro de los requerimientos planteados por el usuario.
Tiempo de uso.
Por qu?
C. Regularmente D. Siempre
Por qu?
13
6. Conoce los costos de los servicios proporcionados? Si NO
Por qu? 15
IservIcio prestado.
8. Son entregados con puntualidad los trabajos?
servido. 137
A. Nunca B. Rara vez ENTREVISTAS
C. Ocasionalmente /lo USUARIOS
D. Generalmente E. SIempre
[~ist. para deter-
~rinde in forma- Por qu?
aplicarse durante
9 Qu piensa de la presentacin de los trabajos solicitados?
A. Deficiente B. Aceptable C. Satisfactoria D. Excelente
Por qu?
-~'-------
conoce 14 Cmo utiliza los reportes que se le proporciooan?
NOTA:
Pida el manual del usuario para evaluarlo.
24. Observaciones.
DERECHOS DE AUTOR
dor, es un
y SECRETOS INDUSTRIALES ble por m'l
miento dela
En relacin con las disposiciones jurdicas adecuadas para la actividad info: dos determij
mtica, la Cmara de Diputados y el Instituto Nacional de Estadstica, Geogrt Cada ve
fa e Informtica (INEG!) organizaron un foro de consulta sobre derecho ein- obras acreec
formtica. Como resultado, se recopilaron opiniones, propuestas y experer- ltimasadi
cas relacionadas con diversos aspectos, entre los que destacan: las garantia; porar entre
para la informacin personal almacenada en bases de datos y la proteccin jur-
dica de datos de carcter estratgico; la tipificacin de delitos informticos:eI Artfclllo
valor probatorio del documento electrnico, y la proteccin de derechos deac' todo cr 1
tor para quienes desarrollan programas para computadora. en virtuc
Dentro del concepto de propiedad intelectual, uno de los aspectos ms im- privilegi
portantes es el que se refiere a los derechos de autor, el cual involucra la pal1e
ms importante del desarrollo intelectual de las personas, ya que se refiere a las La legis
ramas literaria, cientfica, tcnica, jurdica, musical, pictrica, escultrica, arqm catlogo de
Io.'ctnlca,
fotogrfica, cinematogrfica, televisiva, asi como los programas de cmpu- 139
to,lasbases de datos y los medios de comunicacin, entre las ms importantes. DERECHOS
En la mayora de los pases existen leyes protectoras de las obras intelectua- OEAUTOA
I<~que producen los poetas, los novelistas, los compositores, los pintores, los y SECRETOS
INDUSTRIALES
escultores, y de manera reciente se han protegido Jos programas de compu-
udora y las bases de datos. Pero adems de su legi&lacin domstica, las nacio-
nrscelebran compromisos unas con otras para dJI" una proteccin internacional
a losautores. En general, se admite que son cinco las razones de la proteccin.
En primer lugar, por una razn de justicia social: el autor debe obtener pro-
vecho de su trabajo. Los ingresos que perciba, deben estar en funcin de la aco- Programa de
gidadel pblico a sus obras y de sus condiciones de.'explotacin: las "regalas" computacin
son. en cierto modo, los salarios de los trabajadores intelectuales.
En segundo, por una razn de desarrollo cultural; si e&tprotegido, el autor
se vcrJ estimulado para crear nuevas obras, enriqueciendo de esta manera la
bt\!ratura,el teatro, la msica, los programas de computacin elaborados en su
pJs. Nadie debe realizar un trabajo sin que sea debidamente remunerado; del
mismo modo, los que, por su trabajo. su int('ligllncia, su experiencia, contribu-
yena la elaboracin de programas y sistemas de cmputo, deben de ser debida-
mente remunerados.
En tercero, por una razn de orden econmico; los inversiones que son ne-
cesarlas, por ejemplo, para la elaboracin de un sistema de cmputo sern ms
fcilesde obtener si existe una proteccin efectiva.
En cuarto, por una razn de orden moral; al ser la obra la expresin personal
del pensamiento del autor, ste debe tener derecho a que se respete, es decir,
derecho a decidir si puede ser reproducida o ejecutada en pblico, cundo y cmo,
y derecho a oponerse a toda deformacin o mutilacin cuando se utiliza la obra.
En quinto lugar, por una razn de prestigio nacional: el conjunto de las
obras de los autores de un pas refleja el alma de la nacin y permite conocer
meJOrsus costumbres, sus usos, sus aspiraciones. Si la proteccin no existe, el
patrimonio cultural ser escaso y no se desarrollardn la. artes.
El programa de computacin, conocido en ingls como computer program y
en francs como programe d 'ordinateur, y tambin llamado programa de ordena-
dor, es un conjunto de instrucciones que, cuando se incorpora a un soporte legi-
ble por rudquina, puede hacer que una mquina con capacidad para el trata-
miento de la informacin indique, realice O consiga una [uncin, tarea O resulta-
nfor- dos determinados.
)gra- Cada vez se acepta con mayor frecuencia que los programas originales son
e in- obras acreedoras a la proteccin que otorga el derecho de autor. Una de las
ren- ltimas adiciones de que fue objeto la precedente ley autoral, consisti en incor-
ntas porar entre las obras protegidas a los programas de computacin.
jur-
:lS; el Arlfcldo 11. El derecho de autor es el reconocirmento qu<.> hace el Estado a favor de
e au- todo creador de obras literarias y artsticas prevl!>ta~ en el artculo ]3 de esta Ley.
en VIrtud del cual otorga su proteccin para que el autor gOC<'de prerrogativas y
s im- privilegios exclusivos de carcter personal y patrimonial.
parte
a las La legislacin actual, adems de conservar dichos programas en un similar
rqui- cat,iloso de las obras para las que se reconocen lo. derechos de autor (art. 13,
140 LFDA), les dedica un capulo especial (captulo IV del ttulo IV) con ref,IJ I
CAPITULO 4 particulares tambin sobre proteccin. 1
EVALUACiN
marr
DE LOS SISTEMAS de f(
Ar'''clIlo 13. Los derechos d~ autor a que se refiere ."t. Ley se reconocen respeeu]
el pi
de las obras de 1.. "gulont,,> ramas:
( ...)
XI. Programas de cmputo; pren
l...
)
por
Las dems obras que por analoga puedan conviderarse obras literarias O ar-
tsticas se incluirn en In r~lmclque les sea ms afn a su naturaleza.
pro
Artculo 83. Salvo pacto en contrario. la persona fsicn o moral que comisione
la produccin de una obro \.l que la produzca COn 1,\colaboracin remunerada dt ,nel
otras, gozar de In itulnridad de los derechos patrlmonlales sobre la misma y If'
correspondern facultades relativas a la divulgacin. integridad de la obra y de ma
coleccinsobre ~te tipo de creactones.
La persona que participe en la realizad6n de la obra, en forma remunerada mc
tendr el derecho a que ~ le mencione expresamente Su cahdad de autor, arti~u. nid,
Intrprete o ejecutantr ..oore la parte o partes en cuya creacon haya participado Did
Articulo 84. Cuando o;"c trate de una obra realizada como consecuencia de ur
relacin laboraJ establecida ...travs de un contrato individual de trabajo que cors
te por escrito, a (,1It.1 Ull pacto en contrario, se presurmra que I~ derechos patrimo-
niales se dividen por partes iguales entre empleador y empleado. nas
El empleador podra divulgar la obra sin autoriZllci6n del empleado, pero no pub
al contrario. A falta do conrrnto individual de trabajo pOI' escrito, los derechos pa- dich
trimoniales correspondern al empleado.
gadr
c..p{tulo IV tiva.
sien
de"
Articulo JOJ. Se cnti,ndr por progr.,ma de eomputacin la expresin original .. base
cualquier forma. lenguaJc C,) cdigo, en un conjunto de instrucciones que. con UI'U
secuencia, estructura y orK(lniza<i6n deterrrunade, tit-nl' como propsito que \21\1 dio
computadora O dispositivo re.l1i>una tarea o funcin t,.~p.'fic.].
Arf(c,lIo 102. Los pr()~rl:lmJsde computacin se protegen en los mismos trmi-
nos que las obras liternrlas. l)icha proteccin S(' extlcnde tanto a los progrnms,
operativos como a los programas aplicativos" ya sea en forma de cdigo fuente (l
de cdigo objeto. Se exceptan aquellos programas de Imputo que tengan P'l( las e
objeto causar efectos nocivos a otros programa.; Oequipos.
Artculo 10.3.<;.,1"" pacto en contrario, lo> derccbos patrimoniales sobre .. men
programa de computacin r su documentacin. cuando hayan sido creade-, por Ley
uno o varios empll'.ld~ e n el t."jl~t'ciciode SUs (unciont."!oJ
u ".gulcndo las mstnlCClO-
nes del empleador" corre-penden a ste. zaci(
Como excepcin a lo prevtsto por el artculo 33 de la presente Ley, el plazo do tcni
la cesin de derechos en materia de programas de computacin no est scjceo ) elecl
llnutacln alguna. tos e
Artculo 104. Como excepcin a lo previsto el' l~1artculo 27 fraccin IV, el
titular de los derechos de autor sobre un programa de computacin O sobre un. clece
base de datos conservara. oun despus de la venta de l'j"mplarcs de los mismos, lA y cl i
derecho de autorizar O prohibir el arrendamiento de dichos ejemplares. Este prt'- J
repto no se aplicar cuando el ejemplar del programa d\' computacin no con(,titu- onda
va en s mismo un objeto 4.'""'l'nci.1de la licencia de uso. cente
Art(CJllo105. El U'U"'IO 1"Slhmo de un programa do computacin podr ~>Ji. 51001
zar el nmero de roP'.l:o.qut. le autorice la licet'lc1aconcedida por el titular d..,.los
derechos de autor, o una ",la copia de dicho programa 'tmpre r cuando: cond
eglas 1 Sea Indispensable para la utilizaoon del programa, o 141
11 Sea destinada exclusivamente romo re-,guardo para susttuir la copia legiti-
mamente adquirida, cuando sta no puede utilizarse por dao o prdida. La copia DERECHOS
de respaldo deber ser destruida cuando eese el derecho del usuario para utihzar DE AUTOR
pecto el pro;rama do computacin. V SECReTOS
INDUSTRiAlES
Art{culo106. El derecho patrimonial sobre un pl'ograma de computacin com-
prende Id facultad de autorizar o prohibir.
l. La reproduccin permanente O provlvonal del progremn en todo o en parte, Derechos
por cualquier medio y forma; de autor
o ar-
11.La traduccin, la adaptacin, el arreglo o cualquier otra modificacin de un
programa y la reproduccin del programa resultante:
sione
111. Cualquier forma de distribucin del programa o de una copia del mismo,
la de rocluido el alquiler, y
1v le [\' La descompilacin, pJ.ca revertir la Ingeniera de un progra-
los pl"OC"CS&.o
); de
m. de computacin )' el desensambl ......
A"lnllo lO;. Las bases de datos o de (ltro, mdlt'ri.lcs legibles por medio de
rada,
mdquin...~ o en otra forma, que por razones de '-Ch."Con r dis~icin de ~u come-
"lisIa,
rudo constituyan creadones intelectuales. quedaran protegidas COmo compilaciones.
ado, o.Chol proteccin no se atender a los dat()!<. \' materiales en s mismos.
e una ArtICulo lOS. Lasbases de dalO!;que no ..... n onglnale. quedan. sin embargo, pro-
eons- tegidas lon ~u U~ exclusivo por quien 1.1",hava elaborado, durante un lapso de 5 aos
imo- ArtIculo 109. El acceso a informacin de carch.:tl'f privado relativa a las pc""'o-
nas contemde en las bases de datos a que se refiere el artculo anterior, as como 1.\
ro no pubhcacron, reproduccin, divulgacin, comunlcactn pblica y transmisin de
S pa- dlch inforrnacin, requerir la autorizacin previa de las personas de que se trate.
Quedan exceptuados de lo anterior las Invcsgnciorws de las autoridades cocar ..
glldas de la procuracin e impartlcin de justicia, de acuerdo ron la legislacin respco-
nva, l\s romo el acceso a archivos pbliCO!-.por Inh perscoas autorizadas por la ley,
<'''''rl\' que la consulta sea realizada conlonlll' los procedimientos respectivos.
A,tlculo 110. El titular del derecho patrimonial sobre una base de datos tendr
derecho exclusivo, respecto de la forma de l);pn.""in d' )01 estructura de dicha
al en NW. d' autorizar o prohibir:
luna l. Su .....produccin pennanente o temporal, 10lal O parcial, por cualquier me-
. una dIO" d. cualquier forma;
11.Su traduccn, adaptacin, reordenacion y cualquier otra modificacin;
!rmi- 111La dtstribucion del original o COpl."d. l. base d. datos:
amas 1\", l..l comunicacin al pblico, y
nte o Y. Ll reproduccin .. distribucin o comurucecron publica de los resultados de
1 por 1..., cperecrones mencionadas en la fraedon 11del presente artculo.
I'\rtrClllo 111. Los programas efectuado!'> electrrucamente que contengan ele-
... un memos Visuales. sonoros, tridimensionate- \) arurnado.. quedan protegidos por esta
s por I.l'Y en los elementos primigenios que conn ..ngdl"l.
ccio- Arl((u/" J 12. Queda prohibida la unportacin, fubncacin, distribucin y utill-
1.,lelI1 de aparatos O la prestacin de servlcios destlnados a eliminar la proteccin
to de t~(ni('ol de los programas de cmputo. de l.,,, teansmlstoncs u travs del espectro
eto a electromagntico y de redes de telecomunicaciones y de los progralnas de elemen-
tos I..'ll"ctronicossealados en el artculo anterior
V, el A,tirulo 113. La. obras e inlerpl\'l.,ci,,"'-" o "'_'CUClO""" transmitidas po' medios
una d,'CIrorucos a travs del espectro electromagnenco y de redes de telecomunicaciones
os, el , d resultado que se obtenga de ""l. tran,ml In,,,,talao protegidas por esta Ley,
pre- ArllCulo 114. La transmisin de obra, rf\lt,'gld., por es ta Ley mediante cable,
;t;1u- onda ... radioelctricas.. satlite V otras slmllan. ... debern ...deeuarse, en lo condu-
cente, a la legislacin me><ican)' respelar en lodo e..., y en todo tiempo las dispo-
reali- srcrones sobre la materia.
e los Arl,culo 231, Constituyen infracciones en m...ten. de comercio ICb !:oiguimte<>
conducta ...ruando sean realizadas ron hnlos d ..- lucro directo o indirecto:
142 1. Comunicar o utilizar pblicamente una obra protegida por cualquier lTIfdi
y de cualquier forma, sin la autorizacin previa y expresa de) autor ..de sus lep llevadas a
CAPiTULO 4
EVALUACiN
mos herederos o del titular del derecho patrimonial de autor; infraccin
DE LOS SISTEMAS Il. Utilizar la imagen de una persona sin Su autorizacin O la de sus causal; ma de
bientes: ral de
JJT. Producir, reproducir, almacenar, distribuir, transportar O comercala obra bajo
copias de obras, fonogramas, videogramas o libros, protegidos por los dereehes
autor o por los derechos conexos, sin la autorizacin de Losrespectivos titularese
los trminos de esta Ley; les en for
IV. Ofrecer en venta, almacenar, transportar o poner en circulacin obras{" pblica de
tegdas por esta Ley que hayan sido deformadas, modificadas O mutiladas sin... Tambi
tcrizacin del titular del derecho de autor; utiliza la pi
V. Importar, vender, arrendar o realizar cualquier acto que permita tener tes, por cu~
dispositivo O sistema cuya finalidad sea desactivar los dispositivos electrnirosdl nes que pu
proteccin de un programa de computacin; sobre tela
VI. Retransntitir, fijar, reproducir y difundir al pblico emisiones de organi_.
artista pre
mos de radiodifusin y sin la autorizacin debida. y
VII. Usar, reproducir o explotar una reserva de derechos protegida o un pro El de
grama de cmputo sin el consentimiento del titular. polmica s
Artculo 232. Las infracciones en materia de comercio previstos en )a presen trumento
Ley sern sancionadas por el Instituto Mexicano de la Propiedad Industrial conmuh Internet. B
1. De cinco mil hasta diez mil dias de salario mnimo en los casos previstos'" disco durq
las fracciones 1, Ill, IV, V, vn, VlIJ y IX del artculo anterior; Internet. E
n. De mil hasta cinco mi) das de salario mnimo en los casos prevstos ents una ova~
fracciones 11 y VI del artculo anterior, y Cuand
UI. De quinientos hasta "lit das de salario rnfnimo en los derns casos el qut!t
refiere la fraccin X del artculo anterior. atribuye g
Se aplicar multa adicional de hasta quinientos das de salario nnimo gene- pus, extra
ral vigente por da a quien persista en la infraccin. cookes". e
Artculo 233. Si el infractor fuese un editor, organismo de radiodifusin. o cwl- Esto l'
quier persona fsica O moral que explote obras a escala comercial, la multa poda visitantes J
incrementarse hasta en un cincuenta por ciento respecto de las cantidades pre\'i:- entre vari]
tas en el artculo anterior. que permi
electrnic
anuncianb
El CCXJ
INTERNET todo en C1
lnea, la ce
to de paga
El Internet, considerado como una coleccin de redes interconectadas o como grabando
un conjunto de computadoras unidas entre s, no ha sido tomado en cuenta Teric
entre las disposiciones que se acaban de mencionar. un scrvidt
Para obtener acceso a Internet se requiere un equipo que est al alcance do} Las re
pblico en general, por lo que cualquier persona puede entrar a la red de redes nes han al
de comunicacin si contrata los servicios de un proveedor de acceso. verdader2
Recientemente han surgido empresas proveedoras de servicios dedicados cin de de
a ofrecer en renta conexiones a Internet, ya sea de manera directa, indirecta o do su nav
parcial, siendo las propias empresas las que proporcionan el equipo necesario den borra
para tener acceso. programa
Los proveedores de servicios son Jos responsables de la informacin que La sit
ponen al servicio de sus usuarios, ya que dichas compaas son encargadas de deterrniru
divulgar y controlar la informacin transmitida por Internet. de Interru
: medio, Son muy complejos los aspectos tcnicos que implica conocer las acciones 143
rs Iegtt- llevadasa cabo en Internet para determinar cuales pudieran constituir alguna DERECHOS
Infraccina 105 derechos de autor. No obstante, se puede pensar que este siste- DE AUTOR
ausaha- made comunicacin puede originar las siguientes violaciones: al derecho mo- y SECRETOS
INDUSTRIALES
ralde modificar la obra; al derecho moral de indito; al derecho de publicar la
-caltzar
chos de obra bajo el propio nombre o de manera annima. Tambin pueden producirse
lares en \1o!acionesa los derechos patrimoniales cuando se transmiten obras intelectua-
1... en forma de archivos por medio de Internet, ya que se realiza una utilizacin
ras pro- pblica de una obra sin la remuneracin para el autor de la creacin intelectual.
sin au- Tambin puede ser fcilmente violado el derecho de autor cuando la red
utilizala propia imagen, de la que son titulares los artistas, intrpretes )' ejecutan-
ener un tes,por cuanto que en Internet es posible encontrar un gran nmero de imge-
.cosde
nesque pueden ser reproducidas imprimindolas sobre papel, como carteles, O
rgans- sobre tela para obtener prendas de vestir (como playeras con la imagen del
artistapreferido l.
ID pro- El debate sobre la proteccin de los datos personales en Internet reabre la
polmicasobre el papel desempeado por los cooke, que sirven ms como os-
resente trumento de mercadotecnia que como medio para espiar a Jos usuarios de
multa: lntemet. El trmino cookie se aplica a un simple archivo de datos situado en el
seos en dISCO duro del computador de una persona o compaa que ofrece servicios de
Internet.El cooke y su contenido son creados por un servidor que almacena
en las
una o varias pginas Internet.
que se Cuando un visitante accede a una pgina web por primera vez, el servidor le
atribuyegeneralmente un nmero de identificacin con atributos, el cookie, Des-
gene ... pus,extrae su nombre de un cheroempleado en las plataformas Unix, los "magc
cookes", can lo que el visitante ser identificado en SuS visitas ulteriores.
)cual- Esto permite al propietario de la pgina analizar el comportamiento de sus
podr visitantes y personalizar sus visitas. El desplazamiento de los usuarios de Internet
-revs- entre varias pginas de una direccin se puede identificar a la perfeccin, lo
que permite "tomar 110m" del recorrido utilizado ms a menudo. La direccin
electrnica podr ser modificada para satisfacer a la vez al visitante y a los
anunciantes, que pueden colocar Su publicidad en el lugar ms adecuado.
El cookie sirve tambin para grabar 1.0 que ocurre en estas visitas, sobre
todo en caso de compra. Si se elige, por ejemplo, un libro en una librera en
linea,la compra queda grabada en un cookie, antes de reaparecer en el momen-
tode pagar la factura en la caja virtual. la visita tambin puede ser personalizada
romo grabando en el archivo cooke las informaciones facilitadas por el usuario.
.ienta Tericamente la seguridad de estas informaciones est garantizada, ya que
un servidor slo puede obtener la informacin del cookie que ha producido.
'e del Las redes de publicidad en lnea s tienen esta capacidad. Estas innovacio-
-edes nes han alarmado a algunas asociaciones, para quienes este sistema supone una
verdadera intrusin en la vida privada de 105 usuarios de Internet. Esta capta-
.dos cin de datos se realiza sin que el usuario Jo sepa, a menos que haya configura-
era O do su navegador para ser advertido. Los que no disponen de este sistema pue-
sario den borrar peridicamente el fichero cookie de Su disco duro O recurrir a un
programa especial.
que la situacin de los cookie debe ser evaluada dentro de la auditora, para
is de determinar si se considera como una intromisin la privacidad de los usuarios
de Internet de una compaa.
144
CAPiTULO 4
EVALUACiN
PROTECCiN DE LOS DERECHOS DE AUTOR
DE lOS SISTEMAS
5EC
DE FUERO COMN y PARA TODA LA REPBLICA EN
MATERIA DE FUERO FEDERAL
Artculo 424. Se impondr prisin de seis meses a seis aos y de trescientos a trt3
mil das de multa:
o comerci
1. Al que especule en cualquier forma con los libros de texto gratuitos qt'o:
distribuye la Secretara de Educacin Pblica; ,iglfique
11.Al editor, productor Ograbador que ti sabicnd'lli produzca ms nmeros de 145
~iemplMosde una obra protegida por la Ley Federal del Derecho de Autor, que los
R autorizados por el titular de los derechos:
DERECHOS
DE AUTOR
111.A quien produzca, reproduzca, importo, nlmncene. transporte, distribuya, Y SECRETOS
vendao arrlende copias de obras, fonograll'las, videogramas o libros, protegidos INDUSTRIALES
eserva- por In Ley Federal del Derecho de Autor, en forma dolosa; a escala comercial y sin
.Sin la autori1..ncln que en los trminos de la ciL.'ldilley deba olorgar el titular de los
hos de derechos de autor Ode los derechos conexos;
lv.Las mismas sanciones se impondrn a quien use en forma dolosa, a escala
itar en oom('rcaly sin la autorizacn correspondiente ..obras protegidas por la menciona-
y psi- da ley: y
v para V. A quien fabrique con fines de lucro un drsposvo o sistema cuya finalidad
.tos, el -ead....activarlos dispositivos electrrucos de pmtcc:clnde un programa de ccmpu-
i dere- t.>cin.
'lOS de Arlirnlo 425. Se impondr prisin de sels meses a dos aos O de trescientos a
os de- tn" mil das multa, al que a sabiendas y sin derecho explote con fines de lucro una
tosen interpretacinO una ejecucin.
Articul 426, Se impondr prisin de seis tl1('S("S a cuatro aos y de trescientos
-a del
a tres mil das multa, en los casos siguientes:
1. A quien fabrique, importe, venda o arri(!l,dc un dispositivo o sistema para
-rsona
desclfrnT una seal de satlite cifrada, portadora de programas. sin autorizaci6n
podr del distribuidor legtimo de dicha seal, y
use al
11,A quien realice con fines de lucro cualquier acto oon la finalidad de desci-
frar una seal de satlite cifrada, portadora de programns. sin autorizacin del
miga- distribuidor legtimo de dicha sea),
ley,y ArllctlJo 427, Se impondra prisin de seis meses a seis aos y de trescientos a
jonal trc~mil das multa ..a quien publique a sabiendas una obra sustituyendo l nombre
del autor por otro nombre.
.utor, A,tc"lo ~28.Las sanciones pecuniarias previstas en el presente ttulo se apl-
ninis- c.lrn sn perjuicio de la reparacin del dao, cuyo monto no podr ser menor al
ope- cuarenta por ciento del precio de venta al pblico de cada producto o de la presta-
oon de servicios que impliquen violacin a alguno o algunos de los derechos
s que tutelados por la Ley Federal del Derecho de Autor
1edio Art(ndo 429. Los delitos previstos en este ttulo se perseguirn por querella de
parte ofendida, salvo el caso previsto en el artculo 424, Iraccin 1, que ser perse-
3que guido de oficio,
jto el
lo en
te de
SECRETOS INDUSTRIALES
A
tres
Arl 82. Se considera secreto industrial a toda nformecin de aplicacin industrial
que o comercial que guarde una persona fsicaOmoral con carcter ronfidendal, que le
signifique obtener o mantener una ventaja competitiva o econmica frente a terco-
146 ros en la relacin de actividades econmicas y respecto de la cual haya
los medios o sistemas suficientes para ptesen,ar su confidencialidad vd
CAPlnJlO.
EVAlUACIOH restnngido a la misma.
OE lOS SISTEMAS La informacin de un secreto industrial necesariamente deber t,", .':I
l la naturaleza, caractersticas O finalidades de los productos. al ll~o<~.,
:::,
cesesde produccin; o a los medios o formas de distribucin o o
producto> o prestaon de servicios.
No se considerar secreto industrial aquella informacin que SCd del
pbhco la que resulte evidente para un tcnico en la materia, con ba~ en
cinpreviamente disponible o la que deba ser divulgada por d~po.iciMin~,1
por orden judicial. No se considerar que entra al dominio pbhco o qee
g.da por disposicin legal aquella informacin que sea proporcionada ,."~ ..
autoridad por una persona que la posea como secreto industrial, cuando
porcin es para el efecto de obtener licencias,permisos. autorizacones -ve- _~ ..
cualesquiera otros actos de autoridad.
Se considera secreto industrial "toda informacin de aplicacin IIWU '
comercial". En principio, respecto de la aclaracin de que la informacinp"
de caracter industrial O comercial, la cual, aun y cuando parece elemental
lugar a que en ciertos casos la voluntad del legislador pretendiera interpren
un sentido restrictivo, limitando la proteccin exclusivamente a In Inform
estrlctnmcnte de carcter industrial.
Por otro lado, especial peso debe concederse al trmino "aplicacin"qu
cluye el precepto al referirse a los secretos industriales, ya que la in(orm,lcita
ben1 satisfacer ese particular requisito. De hecho, en este punto podemos LIneo
una relativa equivalencia con el requisito que al efecto se establece en matcr
patentes, consistente en que las invenciones sean susceptibles de aplicacin i
trlal.
Es claro que la expresin "aplicable", en este particular contexto, dcb~!i('r
tcrprctadc en su (orma ms amplia, ya que pudiera presentarse el casodi>
cierta informadn que aun y cuando en la prctica an no hubiese sido pue-~
prctica. sus posibilidades de ser implementada le ubiquen como inrorma
merecedora de la tutela de este rgimen.
En aras de que el rgimen tutelar de los secretos industriales verdader4lr
constituya un medio de proteccin de informacin confidencial que se estima
bien econrmcamente valioso, la limitacin que el precepto realiza del tipo
(ormacin que califica como constitutiva de secretos industriales, incorpora
labra "referida s", ron lo que el legislador parece establecer basta
macin guarde cierta liga Oesl asociada alas actividades fundamentales dlel,"":
econormco o bien una ventaja competitiva para poder ser considerada wn",,~....
para constituir un secreto industrial, lo cual puede ser cuestionable.
toda, las copias, por ejemplo, de programas, tienen una finalidad de b\"di<io .. ~
nmico O una ventajiJ competitiva.
Entre la informacin tpicamente considerada romo constitutiva de
Industriales se cuenta la relativa a listas de clientes y proveedores. lormuJ.a~1
prOC\"<>S industriales estrategias de mercado, lanzamiento de productos.
dos de estudios comerciales y de mercado, sueldos, procesos legales, li~:~~:~;1
00'. b.1S<'S de datos, y en general, cualquier informacin sensible re
un valor econmico para la empresa, este tipo de informacin la podemosconea]
rar directamente Ligada OOn bases de datos.
Respecto de la condion de que el secreto industrial sea guardado
persona fsica O moral con carcter confidencial, puede considerarse que sin
constituye btd el ncleo fundamental que imprime a este tipo de informoclII
caractersuca que le califica romo secreto industrial.
adoptado Es importante considerar que el precepto no establece condicin alguna res-
el acceso 147
ptC'todel origen de la informaci6n que guardn su poseedor, es decir, no se estable-
cecomo condicin el que la informacin hubiese sido generada por su poseedor, o DERECHOS DE AlITOR
.r referida bien. que la misma hubiese sido obtenida por olgn ttulo legal como pueda ser su y SECnETO$
los O pro- transmisin por parte de un tercero, por lo que la informacin conten.ida en una INOUSTRIALES
zacn de hase de datos, es considerada eOOlO un 8(:(I'I..xo industrial, sin importar si sta fue o
no creada por la persona que la posee y que In pueden difundir.
Idominio Obviamente se abre aqu el planteamiento de si In informacin que eventual-
informa- mente ha sido obtenida de manera Ilcgat, en caso de seguir cumpliendo las condi-
in legal o ciones de confidencialidad exigidas por el precepto. debe ser merecedora de la
es divul- proteccin conferida a los secretos mdustriales. Seria el caso, por ejemplo. de infor-
cualquier m~lci6nque indebidamente revele un ex empleado a su nuevo patrn, y que ste
lo la pro- pretenda conservar y proteger como secreto industrial propio .. O bien copias de
gistros. O program..u que posea un empleado y que JiU; proporcione a su nuevo empleador.
En trminos del tercer prrafo de este mivmo artculo ..se establece que no se
ustrial o considera que entra al domiro pblico o que es divulgada por disposicin legal
:mede ser aquella informacin que sea proporcionada a cualquier autoridad por una persona
tal, daba que la posea como secreto industrial, cuando se proporcione para el objeto de obte-
-etarse en ner licencias, permisos, autorizaciones, registros, o cualesquiera otros actos de au-
crmecin toridad.
las bases de datos que son del dominio pblico, pero que son modificadas,
.. que in- fn~j(lr~d~s O ampliadas, para lo cual se empican ti('H'PO y recursos, se convierten
acin de- en propiedad industrial. Es el caso, pOI' ejemplo. de mltiples bases de datos que
moontrar son obtenidas a partir de nformacin accesible para el pblico, pero que al impri-
ateria de mlrse una dosis significativa de reCUI'SOS,ucmpo y talento, la informacin es trata-
in indus- da y depurada hasta el grado de convertirla (:1''1UI1 producto nuevo y diferente, que
por ese solo hecho merece la proteccin que la legislacin confiere a los secretos
ie ser in- industriales. siempre que, desde luego" se S.Jtis(agan las otras condiciones exigidas
) de que paro esta figura.
-uesta en Este mismo criterio puede aplicarse a ciertos programas de computacin que
emacin para su conformacin han requerido de la participacin de especialistas que han
invertido en la investigacin cantidades notable'> de esfuerzo y erudicin, de ma-
eramente nere que el resultado puede ser considerado como secreto industrial.
'na como Un aspecto que es conveniente destacar es que en este punto la disposicin
)()de in- parece apartarse del texto del Tratado de 1 ib~ Comercio mire Mxico. Estados
Ia la pa- Unidos y Canad, en su articulo 1711, mcamente requiere que quien posee el
la nfor- secreto hubiere lomado "medidas a su alcance". El punto parece mnimo. pero es
=1agente claro que existe una gran distancia entre haber tornado "medidas al alcance" que
:mo apta haber tornado "las medidas necesarias", t\'ll corno la Ley de Propiedad Industrial lo
"que no determlna.
ido eco- Resulta imprescindible para las empresas modernas contar con un reglamen-
ro Interne de trabajo, en el que se especifiquen las polticas de la empresa en mate-
da de informacin confidencial. Dicho reglnrnento debe ser conocido por todos Jos
secretos
aciones, empleados y funcionarios de la en'lprcsa, y su puesta en prctica debe ser un asun-
resulta .. to prtontario para cumplir ron los requerimientos que la ley determina para 1.1
.de pre- constitucin y preservacin del secreto industrial. Entre las polticas que deben
observarse como mnimas en materia de secretos industriales se cuentan
'rt'Sente enunciativa mente las consistentes en la idenncacn de los materiales consdera-
:onside-
dos como secreto de negocios. la prohibIcin de la duplicacin de documentos
sensibles sin autorizacin, el control de IOgre;o a la< ateas en que la informacin se
por una concentra, la utilizacin de sistemas de segundad y control" la implementacin de
lnduda
claves de a(('()SOa las computadoras .. la firma de convenios de confidencialidad
acin la
COn empleados y proveedores, etc. Estos puntos son tratados COnmayor amplitud
en el tema relacionado a la segurdad.
148 Enl1'\' otras disposiciones aplicables se encuentran las de la L<.'K~)
Responsabhdades de los Servidores Pblicos, que en su artculo 47 d
t;~::i1
CAPITulO'
EVAlUACION lodo servidor pblico lendr la obligacin de custodiar y cuidar la docul'''''':':;:;:
DE lOS SISTEMAS e informacin que por razn de su empleo. cargo o comisin, eonserve
cuidado o a 1. cual tenga acceso, impidiendo o evitando e1 uso, l. su';troml:;l
destrueo, ocultaeuentc o inutilizacin indebida de l. mism a.
En relacin ron el llamado "know how", cabe tambin hacer la dt<llnciIIl(:
que no toda la mformadll de este tipo es necesariamente confidencial. ya
eonceptc se dirige a referir aquel conjunto de conocimientos y habilidades
mi",n a una persona o grupo de personas desarrollar, producir, disrnbuir
cid!.!..,r un bien o un servicio con ventajas frente a otros compendores,
caracterstica de que dicha informacin bien puede estar en el domimo
Su caso son elementos como la experiencia y la destreza lo que permite rorl",II""!~
ven laJa tie ese "saber hacer". Es decir, en el casodel "know hcw" podemos
rar que una de sus diferencias bsicas con los secretos industriales es que no
rinmentc es in formacin que deba considerarse como confidencial.
La definicin de la "Uniform Trade Secrets Act", Iegislacion que en
Unidos habla sobre los secretos industriales es la siguiente:
"Un secreto industrial podr consistir en cualquier frmula, patrn, di.pc.
vo o compacln de informacn que se usen en una enlprcsa y que den al emp~
sario 1" oportunidad de obtener una ventaja sobre los competidores que no lu(11
nocen o no lo usa. Puede ser la frmula de un compuesto qumico, un P~!
manufactura, de tratamiento o de conservacin de materiales. el patrn par...u
mquina LI otro dispositivo, o una lista de clientes."
A,t. 83. La informacin a que se refiere el artculo anterior, deber constar
documentos, medios electrnicos o magnticos, discos pticos, mlcrolmes,
t .(lS
las u otros instrumentos similares.
Es importante considerar que este precepto adiciona un elemento Jndc;, d(lSt' ~
hecho de que la informacin respectiva debe constar en un soporte matenal l'nor"1
problema que se tiene est en que para que los documentos que contienen el 't'('~ <In d
lo induslrial sean registrados ante el Registro Nacional de Derecho de Aulor. ~ exclu
pendiente del lnstituto Nacional del Derecho de Autor, deben ser pl'('<Cnlad"" L
un soporte material, y al tratarse de un registro pblico la informacin se LJUI.! d
accesible a terceros perdiendo, precisamente por ese hecho, cualquier tipo de r !'.i!'.tl",!
leccin legal que como secreto industrial le hubiere correspondido.
coned
Art. 84. La persona que guarde un secreto industrial podr transmihrloo
torizar su uso a un tercero. El usuario autorizado tendr la obhgacn de no dn:
sor d secreto industrial por ningn medio. do N~
En los convemos por los que se transmitan conocimiento tknico-., A.",..ftrIQ admlf
Il'entea. proviSIn de ingeniera bsica O de detalle, se podrn estabteecr eLi.... de lnl
de confidencialidad para proteger los secretos industriales que contemplen, solicit
C\J31esdebern precisar los aspectos que comprenden como condenciale-, sin e
Art. 8S. Toda aquella persona que, con motivo d e SU trabajo, empleo, ru;:
,,"gn'
PUl..,IO,desempeo de Su profesin O relacin de negocios, lengo acceso a un lIt<lI'
to industrial del cual se haya prevenido sobre su confidencialidad, deber .1>1:: PUl'~
n~N:' de revelarlo sin causa justificada y sin consentirruento de la peNlN cp
gU(lrde dicho secreto, o de su usuario autorizado. lron!'
Todas las personas mencionadas en el precepto parecen cubrir la< di"'NJ< sitios
opciones de quienes pueden tener legal acceso a los secretos industriales de dom
poseedor, esto es, trabajadores, empleados, asesores, y en general, cualquiera qut
t..:-nSililCC~SOel los secretos por virtud de sostener una relacin de negocios coael mlcrl
que guarda el secreto. De acuerdo COnlas fracciones 111,IV Y V del artfculo 22Jd, dOl,p
l., Ley de Propiedad Industrial, no slo la revelacin del secreto est vedada. III'IO
tambin su utilizacin y aprovechamiento.
y, P
Ley Federal de Ar/. 86. La persona fsica o moral que contrate a un trabajador que est labo- 149
"determna que rendo o haya laborado o a un proresontsta, asesor o consultor que preste o haya
DERECHOS
documentacin prestado sus servicios para otra persona, con el (in de obtener secretos industriales DE AUTOR
mserve bajo Su de sta, ser responsable del pago de daos y pcrjutctos que le ocasione o dicha v SECRETOS
la $ustr<lccin~ persona. tNDuSTRIAlES
Tambin ser responsable del P'go de daos y perjuicios 1. persona fsica o
la distincin de moral que por cualquier medio iHcito obtenga informacin que contemple un SC~
~aLya que este creto industrial.
idadesque per- El artculo 223 de la Ley de Propiedad Industrial define y sanciona las conduc-
Tibuir O comer- tas delictivas en relacin ron secretos industriales. Al propio tiempo, el artculo
res, perocon la incurre en otra intrascendenda por obvledad, al sealar que quien reciba secretos.
jo pblico,y en
industriales de terceros por va de contratar el sus empleados o ex empleados, ase-
le consolidarl. seres O ex asesores, ser responsable de lo:, daos y perjuicios que ocasione, siendo
:lemosoonsde- que dicha obligadn deviene de cualquier hecho ilcito que lesione a una persona,
que no neoesa- !dI como lo prescribe el artculo 1910 del Cdigo Civil.
lue en Estados
por medio de 1" cual se define y reglamentJ el acceso y uso de los mensajes di
,
datos, del comercio electrnico y de las firmas digitales, y se establecen las enida
des de certificadn y se dictan otras disposroones.
PARTE I
PARTE GENERAL
Artcll/o 10. Definiciones. Para efectos del presente decreto se entender por:
S. Clave pblica' valor o valores numricos que son utilizados para verificar
que una firma digital fue generada con la clave privada del iniciador
tri.
ennlnar
tmeacin
OBJETIVOS
Al finalizar este capitulo, usted:
Pol
Polticas de respaldos
Las I
Los respaldos de lo informacin deben realizarse mensual, semanal o diao. T debil
se deben observan los siguientes puntos:
traci
Contar con polticas formales por escrito para efectuar los respaldos meno
suales, semanales y diarios de la informacin.
Todos los medios magnticos de respaldo no deben estar al macenados en
un mismo lugar, aunque se tengan los medios magnticos de operacinen
el si/e, por lo que si hubiera una contingencia grave (incendio, inundadn
no se tendra el riesgo de perder parte o la totalidad de la informacin, y
que se cuenta en otro lugar con 10$ respaldos.
Debe tenerse acceso restringido al rea en donde se tienen almacenados l-1!
medios magnticos, tanto de operacin como de respaldo.
Se deben tener identificadas las cintas por fecha, concepto y consecutivo.,
es conveniente elaborar y actualizar una relacin sobre las cintas, el cool~
nido de los datos de registro y los responsables de efectuarlos.
Se debe contar con una poltica que indique los procedimientos a segure vers,
cuanto al almacenamiento de las cintas de respaldo en un lugar diferente" p()r I
de la ubicacin del site, en donde se pueda tener acceso las 24 horas del da 157
y donde se designen responsables de mantener actualizada la informacin CONTROLES
vital de la organizacin.
;y, aunque El hecho de no contar con estas polticas de respaldo que contemplen los
uidado que puntosanteriores puede provocar que no se sigan los procedimientos adecua-
resente: dospara realizar los respaldos, que haya riesgo de prdida de informacin en
caso de alguna contingencia y no tener una disponibilidad inmediata de la in-
por alguna formacinde respaldo para recuperar la informacin y conseguir una continui-
ntica, daden la organizacin.
duplicidad Sedebe elaborar por escrito una serie de polticas y procedimientos para la
oso usua- elaboracinde los respaldos, contemplando los pasos a seguir, la informacin
datos) y la que debe de ser respaldada, segn el periodo correspondiente (mensual, se-
mestralo anual), as corno al personal asignado para cada caso.
node iden- Tambin se debe especificar la forma de etiquetacin. nomenclatura, prue-
tro de una bas,rotacin de cintas, los nombres de los responsables de efectuar los respal-
dosy las cintas que sern designadas para ser resguardadas fuera de las insta-
atosdonde ladones. Tambin se debe tener una relacin por escrito de la ubicacin y el
donde son contenido de las cintas, que debe ser entregada al responsable de la seguridad
delsite, as como al gerente del rea de informtica.
Dentro de las polticas de respaldo, se debe contar con un punto que indi- Polticas para el
.lticas que que los procedimientos a seguir en cuanto al almacenamiento de las cintas de computador
uadas du- respaldo en un lugar diferente al de la ubicacin del site, donde se pueda tener
as en esta seceso las 24 horas del dia y donde se designen responsabilidades de mantener
ulos. actuahzada la informacin vital de la organizacin.
iguientes:
Polticas y procedimientos
Las polticas existentes deben estar actualizadas en todas las actividades, estar
> diario, y debidamente documentadas y ser del conocimiento del personal.
No contar con polticas y procedimientos actualizados que rijan la adminis-
tracin del rea de sistemas podra ocasionar:
dos men-
Administracin inadecuada de la operacin.
mados en Relajamiento en el cumplimiento de las obligaciones del personal.
racin en Inadecuada divisin de labores.
mdacin)
acin, ya Las polticas y procedimientos deben incluir los siguientes puntos:
roblemas.
ificativa en
Polticas de seguridad fsica del site
1..1> instalaciones del sile deben ser las adecuadas para asegurar el buen funcio-
teclados, lo namiento)' la continuidad necesaria en I.,s operaciones. Deben existir polticas
y procedimientos que describan los aspectos de seguridad fsica mnimos que
cuadamen- deben de regir dentro del departamento de sistemas.
en el rea Por tal motivo, durante la vsit, o las instalaciones se deben observar los
..realizar. siguientes puntos:
. de opera-
mobenefi-
El acceso al site debe estar restringido por una puerta, la cual contar COn
una chapa adecuada de seguridad, o con un dispositivo electr6nico de con-
Cuidado del slte I
der tomar trol de acceso. Se deben tener dispositi vos adecuados de deteccin de humo,
as como aspersores de calor para la extmcin de incendios, adems de con-
Ieben con- tar con extintores.
Se debe tener proteccin en los servidores para que no puedan ser desconec-
tados accidental o intencionalmente y provocar as serios daos al equipo.
Deben existir documentos o carteles que indiquen las normas de seguridad
mmima que deben de observarse al estar en el site.
El personal operativo no debe permitir el acceso a personal ajeno al depar-
tamento.
1$ del soft- No debe tenerse papel para impresin dentro del si/e, el cual es un objeto
,nera) sea potencial de algn desastre.
160 Los equipos que se utilizan para la limpieza dentro del site no deben di o
CAPITULO S
estar directamente conectados a la toma de corriente en la que estn COM
tados los equipos de cmputo y los servidores. o
EVALUACiN
DEL PROCESO Los equipos elctricos, interruptores O de comunicacin, no deben estar a
DE DATOS
y DE LOS EOUIPOS
alcance de cualquier persona.
DE CMPUTO o
Hay que elaborar polticas formales de seguridad y disear las caracter;~
cas para el site, por lo que se recomienda lo siguiente: o
El
2. Indique el po<centa,ede datos que se reciben en el rea de captacin y_
foquesi conll8ne $U InstructJVocorrespondiente. En caso de que el usuaril
sea el reSPOnsablede la captura. debe existir un manual del usuano, o bie!I
ayuda {he/pI dentro del SIstema.
Nmero de follo. ( )
Fecha y hora de enlrega de
Fecha y hora de recepcin. ( )
documenlos y registros
Nombre del documento. ( )
caplados. ( 1
Volumen aproximado de ( )
Clave del capturista. ( 1
regislros. ( )
Nmero(s) de formato(s). ( )
Clave de cargo (nmero de Nombre, dspanarnento, usuao. ( )
cuenta). ( ) Nombre del responsable. ( 1
Nmero de regislros ( ) Fecha estimada de entrega (1
Tiempo extra. ( )
Se subcontrata. ( )
15. Para aquellos procesos que no traigan afras de control se han eslablecido
cntenos a fin de asegurar que la Informacin es complela y vfida?
si NO
164 16 Existe un procedimiento escrito que Indique cmo tratar la infonnacl6n Inv
CAPiTuLO S IIda? (Sin rma, ilegible. no corresponden las cifras de control.)
EVALUACIN 81 NO
08. PROCESO
DE DATOS 17. En caso de resguardo de infoonaclnde entrada en sistemas. se custodi8ll
Y DE lOS EOUIPOS en un lugar seguro? NO
DE COMPUTO
1 e. Si se queda en el departamento de sistemas. por cunto tiempo se guarda?
19. Existe un registro de anomalfas en la mtormacin debido a mala codfi
caci6n? SI NO
20. Existe una relacin completa de dlstnbuo6n de flStados.en la cual se lI-
quen personas. secuenCiay sistemas a los que pertenecen? SI NO
21. Se verifica que las cifras de las validaciones concuerden con los doeumen-
tos de entrada? Si NO
CONTROL DE OPERACiN
La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuerte-
mente afectados por la caIidad e integridad de la documentacin requerida par'
la informacin inv- 165
)I1lml.) FIgura 5.1. Mesa de control CONTROLES
sr NO
tiempo se guarda?
les?
Si NO
ervibles?
Si NO OPERAQOH: REVl$AR_ CAPTURAR. PFlOCESAA. ETC. TIEMPO PERSONAL HOFIA SAL
11
si NO
Si NO
INSPECCiN DE 'REVISIN
ts en la informa-
si NO
SI NO
o, en su defec-
Si NO
control.
.en la seccin de
RePORTE REPORTE REPORTE
Q se venfuerte-
requerida para
166
el proceso en la computadora. Los instructivos de operacin proporcionan
CAPITULO 5 operador informacin sobre los procedimientos que debe seguir en situacial
EVALUACIN
DEL PROCESO normales y anormales del procesamiento, y si la documentacin es incompl;
DE DATOS o inadecuada lo obliga a improvisar O suspender los procesos mientras in,!!!
y DE lOS EOUIPOS ga lo conducente, generando probablemente errores, reprocesos, desperdi...
DE CMPUTO
de tiempo de mquina; se incrementan, pues, los costos del procesarneno
datos.
Debemos de considerar la operacin de los sistemas en lnea, los ro
deben de estar residentes en todo momento, COnsu correspondiente sistema
comunicacin, mientras que en cuanto a los sistemas en lote (batch) se d~
planear y programar su operacin. Para lograr esto existen instalaciones 'i"
tienen equipos de computacin y comunicacin dedicados exclusivamere s. Exi
los sistemas en lnea, y otros equipos dedicados nicamente a proceso enloi<.
(batch). 10. Exi
El objetivo del siguiente ejemplo de cuestionario es sealar los procedimiet tado
tos e instructivos formales de operacin de sistemas en lote (batch), analizar. gan
I Sistemas en lote
estandarizacin y evaluar el cumplimiento de los mismos.
~ .
1. Existen procedimientos formales para la operacin del sistema de cmp~
~ Pr
Se
2. Esos procedimientos describen detalladamente tanto la organizacin de~ Otr
sata de mqeinas como la operacin del sistema de cmputo?
sl ..:>
12.L
3. Estn actualizados los procedimientos? Si ..:> an
Semestral (
Anual (
Cada vez que haya cambio de equipo {
t4. Cmo controlan loS Operadores las versiones correctas y cmo se identifi-
can las que son de prueba?
distribuyen
le tiene un 15. Analice la eltclencia con que se ejecutan los trabajos dentro de la sala de
NO mquinas, tomando en cuenta equipo y operador, mediante una Inspeocln
visual, y desenba sus observaciones.
picacin:
SI 43.lnd
Por mquina () are
Escnta manualmente () pr(
NO
29. Venfican que eXista un registro de funcionamiento que muestre el bempo 44. E
de paros y mantenimiento o instalaciones de software? SI NO 101
Cmo?
~ de
36. Verifican que los privilegios del operador se restrinjan a aquellos que le son
asignados a la clasificacin de seguridad de operador? si NO
que
37_ Existen procedimientos formales que se deban observar antes de que se
hayan aceptado en operacin. sistemas nuevos o modificaciones a los mis-
mos? si NO
43. Indique qu tipo de controles se tieneh sobre los archivos magnticos de los
archivos de datos, que aseguren la ubhzaci6n de los datos precisos en los
procesos correspondientes.
po 44 Existe un lugar para archivar las bitcoras del sistema del equipo de cmpu-
to? sr NO
Con qu compaa?
Diagramas.
Mensajes y Su explicacin.
Parmetros y su explicacin.
Frmulas de verificacin.
Observaciones e instrucciones en caso de error.
Calendario de proceso y de entrega de resultados.
CONTROL DE SALIDA
Se ofrece el siguiente cuestionario en relacin con el control de salida:
Cmo se comunican?
Demandas inesperadas? ( )
Fallas de la mquina? ( ) 2
Soporte de los usuarios? ( )
Mantenimiento prevenhvo? ( )
Otras? (especifique). ( )
9. Espooflque los elementos que sirven como base para programar las cargas
de mquina
Se deber procurar que la distribucin fsica del equipo sea funcional, que
la programacin de las cargas de mquina satisfaga en forma efcaz al usuario,
Asimismo, se tendr cuidado con los controles que se tengan para la utilizaciII
de equipo y que el mantenimiento satisfaga las necesidades.
oridad a 173 _ __..
-pendicn- CONTROLES
in, y con CONTROL DE MEDIOS
e cuesto- DE ALMACENAMIENTO MASIVO
los dispositivos de almacenamiento representan, para cualquier centro de
cmputo, archivos extremadamente importantes, cuya prdida parcial o total
podra tener repercusiones muy serias, no slo en la unidad de informtica,
sino en la dependencia en la cual se presta servicio. Una direccin de inform-
tica bien administrada debe tener perfectamente protegidos estos dispositivos
de almacenamiento, adems de mantener registros sistemticos dc la utiliza-
cinde estos archivos, dc modo que sirvan de base a los programas de limpieza
os pro- (borrado de informacin), principalmente en el caso de las cintas.
Adems, se deben tcner perfectamente identificados fisicarnente lo arch-
vOS para reducir la posibilidad de utilizacin errnea o destruccin de la infor-
macin
Un manejo adecuado de estos dispositivos permitir una operacin ms
eficiente y segura, mejorando adems los tiempos de proceso.
El siguiente cuestionario puede ser extensivo a todo tipo de almacenamiento
magntico; como ejemplo de formato para el anlisis de archivos, vase figura 5.2.
proqra-
NO 1. los locales asgnados a almacenamientos magntICOStienen:
Aire acondICIOnado. )
Proteccln contra el fuego
(seaar qu tipo de proteccin).
Cerradura especial.
Otro.
(Sellalar qu tipo.)
Cmo?
24.
13. Se certifica la destruccin o baja de los archivos defectuosos? to
SI
25.
14. Se registran como parte del inventario los nuevos elementos magntico$
que se reciben en la biblioteca? si NO
26. i
15. Se tiene un responsable. por tumo. de los archivos magnticos?
si NO
27. El
16. Se realizan auditarlas peridicas a los medios de almacenamiento? P1
Con qu periodeidad?
Si NO
28. :l
175
I8lven 17 Qu medidas se toman en el caso de extravlo de algun dISpositivo de alma-
CONTROLES
cenamlenlo?
18. Se restnge el acceso a los lugares asignados para guardar los dIspositi-
vos de almacenamtento. a cargo de personal autonzaoc? SI NO
Yo en
19. Se tiene relacin del personal autorizado para firmar la salida de archivos
1'0
conlldenciales? Si NO
cuen-
.., 20. ExIste un procedImiento para registrar los archivos quo se prestan y la fe-
cha en que se devolvern? SI NO
NO
22. En caso de prstamo. con qu informaCIn se documentan?
Fecha de recepcin ( )
Fecha en que so debe devolver ( )
ArchIVOSque contiene ( )
Formatos ( )
Ctfras de control ( )
Cdigo de grabacin ( )
Nombre del responsable que los prest ( )
Otros ( )
jo se
23. Indique qu procedimienlo se sigue en el reemplazo de las cintas que con-
tienen los archivos maestros.
CONTROL DE MANTENIMIENTO
Existen bsicamente tres Iipos de contrato de mantenimiento. El contrato~
mantenimiento total, que incluye el mantenimiento correctivo y preventivo
cual a su vez puede dividirse en aquel que incluye las partes dentro del rontr..
to y el que no las incluye. El contrato que incluye refacciones es propame=i
como un seguro, ya que en caso de descompostura el proveedor debe propor'
clonar las partes sin costo alguno. Este tipo de contrato es normalmente el m.il
caro, pero se deja al proveedor lo responsabilidad total del mantenimiento. C
excepcin de daos por negligencia en la utilizacin de los equipos. (Estetipo
de mantenimiento normalmente se emplea en equipos grandcs.)
El segundo tipo de mantenimiento es "por llamada", en el cual se llama
proveedor en caso de descompostura y ste cobra de acuerdo a una tarifa) I
tiempo que se requiera para componerla (casi todos los proveedores incluye 1. Se
SIS
1.'11 la cotizacin de compostura el tiempo de traslado de su oficina a donde.
en
encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye roh,
cienes.
(Soj
El tercer tipo de mantenimiento es el que se conoce como "en banco", y es 177
aquelen el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace CONTROLES
tina cotizacin de acuerdo con el tiempo necesario para su compostura, ms las
refacciones (este tipo de mantenimiento puede ser el adecuado para compu- Tipos
~ldoraspersonales). de mantenimiento
Al evaluar el mantenimiento debemos primero analizar cul de los tres ti-
pos es el que ms nos conviene, y en segundo lugar pedirlos contratos y revisar
con detalle que las clusulas estn perfectamente definidas, que no exista subje-
tividad y que haya penalizacin en caso de incumplimiento, para evitar contra-
paldo. lOSque sean parciales hacia el proveedor.
Para poder exigir el cumplimiento del contrato se debe tener un estricto
control sobre las fallas, la frecuencia y el tiempo de reparacin.
Para evaluar el control que se tiene sobre el mantenimiento y las fallas se
pueden utilizar los siguientes cuestionarios:
NO
2. Existe un programa de mantenimiento preventivo para cada dispositivo del
sistema de cmputo? Si NO
tran los
4. Existen tiempos de respuesta y de compostura estipulados en lOScontratos?
rchivos sr NO
uer otro 5. SI los tiempos de reparacin son superiores a los estipulados en el contrato,
qu acciones correctivas se toman para ajustarlos a lo convenido?
rato de
uvo, el Cul?
contra-
amente
Cmo se notifican las fallas?
~ropor-
'elms
lento a Cmo se les da seguimiento?
ste tipo
LOCAI.llACION _
VOLUMEN DE ARCHWOS __
VOLUMEN DE ACTUALllACtOH FRECUENCIA ___
EN VIGOR DESDE _
CLASIFICADO POR _ 4
DOCUMENTOS o INFORMES A OUE DA ORIGEN _
OTROS _
que
lml
2 Es posible Idenllflcar por medio de estos registros los problemas ms 179
recurrentes o las fallas mayores que afectan en forma determinante el CONTROLES
lunclonamiento de la sala de mquinas? ,. u:>
El .Cmo se lenbflcsn?
6
Numero promedio de trabajos en cola de espera de impresin en horas poco
(Esta seccin est orientada a revisar las acciones que realiza la direccin
de informtica para evaluar, mantener y audilar los sistemas implantados.)
hrs.
5. Indique qu lipo de evaluacin se realiza a los sistemas implantados:
hrs.
Ninguna. ( ) De objelivos. ( 1
Econmica. ( 1 De oportunldad. ( 1
De beneficios. () De operacin. ()
Otros (especificar). ( )
ico.
ljO.
7. Qu porcentaje del personal de programacin se dedica a dar manteni-
miento a los sistemas existentes?
10. Existen:
182 Programadores que utilizan el equipo o el tiempo para aplicaciones ajss
CAPITULO 5 a la organizacin.
EVALUACiN Personal que utiliza la computadora para trabajos personales, tral,ajQ!,~1
DEL PROCESO autorizados o juegos.
DE DATOS
y DE LOS EOUlPOS Programas que, por estar mal elaborados (generalmente cuando se
DE CMPUTO grandes archivos), degradan la mquina.
Degradacin del equipo por fallas en equipos perifricos. La cOlnp'utalilr'
puede considerarse como un proceso en lnea el cual, al fallar alguna
unidades principales (memoria, unidad cenfral), no permite la utiliZ<lcicn
del resto del equipo. Pero existen unidades secundarias (cintas, impresora,
terminales, discos) que al fallar provocan que se vea reducida la posibili
dad de utilizacin del equipo.
Jrte que 6. Indique la periodicidad con que se limpian las unidades de cinta:
ltaly2,
7 EXisten prohibiciones para lumar. tomar alimentos y refrescos en la sala de
mquinas? $1 NO
para lo
8. Se cuenta con carteles en lugares IlSlbles que recuerden dicha prohibiCIn?
los res- si NO
ienca y
]0, si se 9. Se bene restringida la operacion det sistema de cmputo nicamente al
compo- personal especializado de la direccin de Informtica? Si NO
rel caso
10. Mencione los casos en que personal ajeno al departamento de oparacln
opera el sistema de cmputo.
lescom-
eedor.
11. Evale los niveles de iluminacin y ruido y seate cuando estn fuera del
rango estipulado en los estndares.
r reglas
el siste- EVALUACiN DE LA CONFIGURACiN
leJan en
e infor-
ello,se DEL SISTEMA DE CMPUTO
nimien-
Los objetivos son evaluar la configuracin actual, tomando en consideracin las
saja de aplicaciones y el nivel de uSOdel sistema, evaluar el grado de eficiencia con el
cual el sistema operativo satisface las necesidades de la instalacin y revisar las
184 polticas seguidas por la unidad de informtica en la conservacin de su progr"
CAPITuLO 5
moteca.
EVALUACiN
DEL PROCESO
DE DATOS
Esta seccin est orientada a:
del sistema de
1. De acuerdo con los toemposde Ulilizacin de cada diSPOSitiVO
cOmputo. existe eqUipo:
ema de
omuni-
Elobjetivodel siguiente cuestionario es evaluar la eficiencia con que opera el
aren de captacin y produccin.
stalada
1. Verifique que se cuente con una descripcin completa de los trabajos que se
tosto o corren y la descripcin de las caracterfsncas de carga.
12, Verifique que se tenga conocimiento de los prximos sistemas que entrarn
en produccin, con objeto de que se programe su incorporacin,
Si NO
Ren!
Las e.
pra,q
PUNTOS A EVALUAR EN LOS EQUIPOS [as y
espc
supe
El equipo que se adquiere dentro de una orgamzacn debe de cumplir cont
E
esquema de adquisicin de toda la organizacin. En lo posible, se deben tener
equipos estndares dentro de la organizacin. a menos que por requerimiento>
especficosse necesite un equipo con caractersticasdistintas. Esto no implicaque
I
los equipos tengan que ser del mismo proveedor, aunque s deben tener la misma
~
cin de filosofa.Las compras por impulso u oportunistas pueden provocar que se ten- 187
gandiferentes equipos, modelos, estructuras y filosofas. Esto puede provocar PROOUCTIVIDAD
problemasde falta de compatibilidad, expansin y de confianza.
Si 110 se tienen polticas y estndares de compra de equipos de cmputo,
cada departamento o empleado puede decidir el adquirir diferentes equipos,
loscuales pueden no ser compatibles, o bien el conocimiento y entrenamiento
NO
requerirde mayor tiempo y costo. La conexin de un tipo de terminal o compu-
tadora personal a una computadora principal (mnitlfrnme) puede requerir de
equipoo de software adicional. los sistemas elaborados para un tipo de compu-
NO tadora pueden no servir en otro tipo de maquina. El mantenimiento es otro
factor que puede incrementarse en caso de no tener compatibilidad de equipos.
ores de Tener diferentes plataformas de programacin, sistemas operativos, bases Adquisicin
de datos, equipos de comunicacin y lenguajes propietarios, provoca que se de equipos
incrementen los costos, que se haga ms problemtico el mantenimiento, que se
) requiera personal con diferente preparacin tcnica, y que se necesiten diferen-
() tes programas de capacitacin.
() La posibilidad de que se pueda expandir un equipo es otro de los factores a
( )
() evaluar. Al crecer una organizacin, es muy probable que se requiera que los
() equipos tambin crezcan y sean ms rpidos. Esto es de mayor importancia
dependiendo del tamao de las computadoras, ya que es un factor fundamen-
talen los grandes equipos y de relativamente poca importancia en las compu-
ajoesta tadoras personales, debido a que no es tan alto su costo de reemplazo.
En muchas ocasiones se cambia O se compra una computadora por el factor
publicitario, sin que se tenga la evaluacin real de los equipos, o bien se adquie-
ren equipos (principalmente computadoras personales) que son ensamblados
( )
( ) con partes de diferentes proveedores a costos muy bajos. Se deber evaluar la
( ) ventaja de adquirir lo ltimo en tecnologa, contra el costo que esto representa,
( ) as como el tener equipos muy baratos pero con baja confianza en el proveedor.
En la actualidad cada da las computadoras son ms poderosas y menos
leor al costosas, y las organizaciones tambin cada da dependen ms de las compu-
NO tadoras, as es que existe la tendencia de comprar cada da computadoras ms
poderosas, sin considerar que en el futuro existirn computadoras ms podero-
cin del sas a menor precio. La decisin de adquirir o cambiar una computadora deber
estar basada en un estudio muy detallado que demuestre el incremento de be-
neficios en relacin con su costo, yen la relacin costo/beneficio de los equipos
actuales.
Compra:
o
~
Se puede tener valor de recuperacin.
Normalmente es menor su costo que el de compra a largo plazo. "JI
l.
Desventajas
Desccnt
Renta:
Ms caro que compra o renta con opcin a compra. Vent
El equipo puede ser usado.
Algunos vendedores de equipo na lo rentan. o
b
Renta con opcin a compra: E
J
Es ms cara que compra. o
~
No tiene valor de recuperacin para el comprador. e
Compra:
o
o Requiere de inversin inicial o de prstamo.
o ~
Amarra al comprador a su decisin.
Elcomprador debe conseguir u obtener servido de mantenimens
De'
o
Centralizacin VS. descentralizacin
o
Economa de escala.
Acceso a grandes capacidad, ....
Operaciones y administracin rna-, pr('t(l~lonalt......
Accesos mltiples a datos comunes.
Seguridad, control y proteccin de lo-, datos.
Un mejor reclutamiento y entrenamiento del personal especializado.
Una mejor planeacin de la carrera profe-rcna] del personal de infor-
m.tica.
Control de los gastos de inforrn.uca.
Estandarizacin de equipos y de software.
o
Autonoma local y control por parte de 10'>usuarios.
Mayor responsabilidad ante las n,'C(,",idadcs de los usuarios.
Reduccin de los costos de telecomu nicacin,
Acceso inmediato a las bases de datos descentralizadas.
o
Los analistas de sistemas locales tienen mayor atencin a las nccesida-
des de los usuarios.
Oportunidad de crear una carrera profesonal dentro de las reas fun-
cionales de los usuarios.
Consistente con la descentralizacin establecida dentro de una estruc-
tura corporativa.
1.
OBJETIVOS
Al finalizar este captulo, usted:
auditora y
cual, aunque tiene diferentes intenciones, se encuentra prtncipalmcnte ('11 pa-
quetes que son copiados sin autorizacin ("piratas") y borra toda la informa-
cin que se tiene en un disco.
Se trata de pequeas subrutinas escondidas en los programas que se acu-
van cuando se cumple alguna condicin, por ejemplo, haber obtenido una co-
=:J
Los virus
ss,sin con- pia en forma ilegal, y puede ejecutarse en una fecha o situacn predetermina-
Iaelabora- da. El virus normalmente es puesto por los diseadores de algn tipo de pro-
le d a la grama (software) para "castigar" a quienes lo roban o copian sin autorizacin O
ra interna bien por alguna actitud de venganza en contra de la organizacin. (En la actua-
lidad existen varios productos para detectar los virus.)
Existen varios tipos dc virus pero casi todos actan como "caballos de
Troya", es decir, se encuentran dentro de un programa y actan con determina-
,_aci6n. da indicacin.
hombre y Un ejemplo es la destruccin de la inforrnacin de la compaa USPA &
IRA de Forth Worth. Cuando despidieron a un programador en 1985, ste dej6
SIn'S na tu- una subrutina que destrua mensualmente la informacin de las ventas. Este
incidente provoc el primer juicio en Estados Unidos contra una persona por
encas para sabotaje a una computadora.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias "pi-
tmicas en ratas" o bien que, al conectarnos en red con otras computadoras, no exista la
posibilidad de transmisin del virus. Tambin se debe cuidar que en ocasiones
se toma como pretexto el virus y se producen efectos psicolgicos el) los usua-
oor: rios, ya que en el momento dc W1a falla de la computadora O del sistema, lo
primero que se piensa es que estn infectados.
ilieo social Se considera que hay cinco factores que han permitido el incremento en los
crmenes por computadora:
In delito en
n la cual se Elaumento del nmero de personas que se encuentran estudiando compu-
tacin.
194 El aumento del nmero de empleados que tienen acceso a los equipos.
CAPiTULO 6 La facilidad en el uso de los equipos de cmputo.
EVALUACiN El incremento en la concentraci6n del nmero de aplicaciones y, conse<Uenl<
DE LA SEGURIDAD mente, de la informacin.
El incremento de redes y de facilidades para utilizar las computadoras a
cualquier lugar y tiempo.
o Elementos administrativos.
o Definicin de una poltica de seguridad.
o Organizacin y divisin de responsabilidades.
SEGURIDAD LGICA
guie
Uno de los puntos ms importantes a considerar para poder definir la segu~
dad de un sistema es el grado de actuacin que puede tener un usuariodl'lltro
de un sistema, Y ti sea que la informacin se encuentre el' un archivo nonna
o en una base de datos, o bien que se posea una mncomputadora, o un sisera
en red (interna o externa). Para esto podemos definir los siguientes tiposd!
I
usuarios:
formtica.
ser mltiples, y pueden ser el resultado de la comb-
Se recomienda que ~xista slo un usuario propie-
o sea una persona designada por la gerencia de in-
SEGURIDAD LOOICA
y CONFIDENCIAI.IDAD
dor~sgran-
s alguno de te P~a conscTVa~~a integridad, confidencialidad y disponibilidad de los sis-
mas e informacon se debe tomar en cuenta lo siguiente:
dos en COn.
uacon, por
L~_;"'~gridad ('S responsabilidad de los individuos autorizados para mo-
a tener una
dificar datos o programas (usuario administrador) o de los usuarios a
Jos que se otorgan accesos a aplicaciones de sistema o funciones fuera de
sus responssbilidodos normeles dt'lr~lbajo(usu}rio respans..tbt( y prin-
cipal).
La cotifidnlclalidad es responsabilidad de los indtviduos autorizados para
consultar (usuario de consulta) o para bajar archivos importantes pa-
ra microcornputadcras (usuario de explotacin).
La dspollibilidad es responsabilidad de individuos autorizados para alterar
los parmetros decontrol de acceso al sistema operativo, al sistema maneja-
dor de base de datos, al monitoreo de teleproceso o al software de telecomu-
nicacones (usuario administrador).
El control implantado para minimizo r estos riesgos debe considerar los si-
guientes factores:
o El sistema debe verificar primero que el usuario tenga una llave de aCXl!S)
vlida.
o La llave de acceso debe ser de una longitud adecuada para ser un secreto. real.
o La llave de acceso no debe ser desplegada cuando es tecleada.
eso, la cual Lasllaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de 199
ceso al siso que alguien obtenga la llave de acceso de otras personas.
SEGURIDAD LGICA
LJS llaves de acceso deben de prohibir el uso de nombres, palabras o cade- Y CONFIDENCIAlIDAD
,les niveles nas de caracteres difci les de retener, adems el pnssuiord no debe ser cam-
os tipos do biado por un valor pasado. Se recomienda la combinacin de caracteres
alfabticos y numricos. No debe ser particularmente identificable con ,,1
usuario, como su nombre, apellido o fecha de nacimiento.
~sl~ puede ser definido como el software diseado para permitir el manejo y
control del acceso a los siguientes recursos:
usuario
) indivi- o Programas de librerfas.
Jebe ser o Archivos de datos.
o /o/ls.
o Programas en aplicacin.
duos es o Mdulos de funciones.
!so. Las o Utileras.
itadora, o Diccionario de datos.
o Archivos.
Programas.
Comunicacin.
acceso
Controla el acceso a la informacin, grabando e investigando los eventos
ecreto. realizados y el acceso a los recursos, por medio de la identificacin del usuario.
El software de control de acceso, tiene las siguientes funciones:
200 Definicin de usuarios.
CAPiTuLO 6
Definicin de las funciones del usuario despus de accesar el sistema.
EVALUACiN Establecimiento de auditora a travs del uso del sistema.
DE LA SEGURIDAD
Elsoftware de seguridad protege los recursos mediante la identificacind<
los usuarios autorizados con las llaves de acceso, que son archivadas y guaro.
das por este software.
Esto puede ser efectuado a travs de la creacin de archivos o tablasd!
seguridad. Los paquetes de seguridad frecuentemente incluyen facilidadespan
encriptar estas tablas o archivos.
A cada usuario se le debe asignar un alcance en el acceso y por cada recurs
un grado de proteccin, para que los recursos puedan ser protegidos de un
acceso no autorizado.
Algunos paquetes de seguridad pueden ser usados para restringir elacct'SC
a programas, libreras y archivos de datos; otros pueden adems limitarel'""
de terminales o restringir el acceso a bases de datos, y existen otros mspara
confirmar y evaluar la autorizacin de la terminal remota para utlzar determ-
nada informacin. stos pueden variar en el nivel de la seguridad brindada
los archivos de datos. La seguridad puede estar basada en el tipo de acoesr
usuarios autorizados para agregar registros a un archivo O los que nicamens
leen registros.
La mayor ventaja del software de seguridad es la capacidad para proteg
los recursos de accesos no autorizados, incluyendo los siguientes:
Paquetes Estos paquetes pueden restringir el acceso a los recursos (archivos de d..
de seguridad tos), reduciendo as el riesgo de los accesos no autorizados.
o Terminaciones de procesos. s
o Forzar a las terminales a apagarse.
Desplegar mensajes de error.
o
Escribir los registros para la auditora.
Utileras de monitores.
Sistemas manejadores de einta.
Sistema, manejadores de disco.
Calendarios de olls.
Editores en lnea.
Debllgers.
Scanner de virus.
Software de telecomunicaciones. imp
incl'
Ciertos tipos de software de telecomunicaciones pueden restringir el acee- Los
so a las redes y a aplicaciones especficas localizadas en la red. real
?r Yprote- El software de telecomunicaciones provee la Interfase entre las terminales y 205
n algunas las redes y tiene la capacidad para: SEGURIDAD LOGICA
y CONFIDENCIALIDAD
cambios y Controlar la invocacin de los programas de aplicacin.
Verificar que todas las transacciones estn completas y sean correctamente
ontrolar y transmitidas.
~libreras Restringir a los usuarios paru actuar en funciones seleccionadas.
:coras de Restringir el acceso al sistema a ciertos individuos.
ar debdo
i de horas
Consideraciones al auditar
Cuando se realiza una revisin de seguridad lgica, el auditor interno deber eva-
luar y probar los siguientes tres controles implantados para minimizar riesgos:
Control de acceso a programas y a la informacrn. 209
Control de cambios. SEGURIDAD LGICA
Bitcoras de auditora. y CONfIDE'lCIAUDAD
cin y
ICceSO, La cvaluacn de todos los tipos de software deber asegurar que los si-
guientes objetivos sean cumplidos:
y acti-
)O da-
El acceso a funciones, datos y programas asociados con el software debe
litora estar restringido a individuos autorizados Vdebe ser consistente con docu-
cceso, mentos esperados.
Todos lo> cambios del software deben ser realizado. de acuerdo con el
:iones manejo del plan de trabajo y con la autorizacin del usuario.
rware
Se debe de mantener una bitcora do auditora de todas las actividade
<igmcativas.
ola Durant e el ciclo de vida del software deben ser evaluadas su instalacin, CIclo de vida
mantenimiento y operacin. Se debe utilizar 1" auditora para asegurar que al- del solware
gn cambio hecho al software no comprometa la integridad, confidencialidad o
po- aprovechamiento de los datos o recursos del sistema.
El software de auditora especializado puede ser usado para revisar todos
los cambios y asegurarse que SOI\ ejecutados d.. acuerdo con los procedimientos
ua- aprobados por la gerencia.
.11-
Instalacin y mantenimiento. Es la primer fase del ciclo de vida del software,
en la cual el auditor debe revisar lo Siguiente:
o
res son tecleados no se desplieguen.
La sintaxis del password. Algn software de control de acceso puede
o
restringir el uso de ciertas palabras o cadenas de caracteres.
El mantenimiento de la historia del password. ste puede ser usado paro
o
prevenir a usuarios que reutilizan un pass!lJol'dpor un periodo especfiro.
Procedimientos para suplir identificaciones de usuarios y password. por
procesos batch:
Los recursos para controlar el acceso. Los auditores internos debern re'.,.
sar lo siguiente:
o
o
Posibles niveles de acceso,
Niveles de acceso por defau, particularmente para usuarios o jOb,qll~
no tienen un 11.) de usuario.
o El acceso del usuario a archivos de seguridad. So
o nes
Que la seguridad sea implantada en el nivel correcto.
e Procedimientos para asegurar la proteccin automtica. tos
o pro
Procedimientos para 1,1proteccin de recursos.
Uso de rutas rpidas o funciones aceleradas a travs de controles.
o
o
Controles de acceso sobre aplicaciones loca les o remotas.
Restricciones de acceso sobre recursos crticos del sistema. tales como
sistemas, programas y aplicaciones en ejecucin, libreras del lenguaje.
catlogos del sistema y directorios, diccionarios de datos, logs y archi-
vos de passtoord, tablas de definicin de privilegios, algoritmos de
encriptacin y tablas de datos.
Reportes y vigilancia del software de control de accesos. El auditor intemo
deber revisar:
Login, identificacin del acceso autorizado al sistema y el uso de re-
cursos.
Las identificaciones de acceso no autorizado. 213
la identificacin de archivos de seguridad, mantenimiento a tabla y el SEGURIDAD lOOICA
USO de comandos sensibles. y OONFIDENCI .....IDAD
o El/oSi" de usuarios privilegiados y sus actividades.
Las restricciones de acceso a archivos de /08 del sistema. Estos archivos
frecuentemente contienen las bit~coras de auditora del control de ac-
ceso.
Sistema operativo o software de control de acceso existente.
Las violaciones a la seguridad.
Losarchivos de seguridad y la generacin de reportes de las actividades
del usuario para asegurar que los propietarios de datos y recursos son
notificados de los eventos de seguridad en un periodo determinado.
Software del sistema manejador de bases de datos. En relacin con las funcio-
nes del $()ftu'ilrt que restringen el acceso a datos y recursos, y los procedimien-
tos que gobiernan el uso de estas funciones, el auditor deber revisar, evaluar y
proba r lo siguiente:
Los reportes escritos pueden ser usados para reportar las actividades de la
guientes red, de logs de acceso a software de telecomunicaciones O bitcoras de auditora.
aso fun- stos pueden adems hacerlo con el software de control de acceso.
Los reportes especiales de auditora debern contener lo siguiente:
da ~e
Encriptar es el arte de proteger la informacin transformndola con
Definicin gen~t
minado algoritmo dentro de un formato para que no pueda SCI' lcda ser e
mente. Slo aquellos usuarios que posean la clave de acceso
"desencriptar" un texto para que pueda ser lerdo. Las tecnologlas modernas
encriptamiento nacen casi imposible que una persona no autorizada utili",
informacin.
Encriptar es la transformacin de los datos a una forma en que noseap:
ble leerla por cualquier persona, a menos que cuente con la llave de
cin. Su propsito es asegurar la privacidad y mantener la informacin
de personal no autorizado, aun de aquellos que la puedan ver en forma
tada.
Debido a que Internet y otras formas de comunicacin electrnica" .
convertido en algo normal y rutinario, la seguridad se na convertido en unl
tor muy importante. El cncriptamento se usa para proteger mensajes de CC<1
electrnico (8-mail), firmas electrnicas, llaves de acceso, informacin dcti~
financiero e informacin confidencial. Existen en el mercado diferentes
tes y formas para cncriptar la informacin.
Los sistemas de encriptamiento pueden ser clasificados en sistemas
ve simtrica, los cuales usan una llave comn para el que enva informacien
para el que la recibe, y sistemas de llave pblica, el cua l u ti liza dos llaves.a
que es pblica, conocida por todos, y otra que solamente conoce el recept()(
Para generar una firma digital, se usan algunos algoritmos pblicos.lA
ma digital es un conjunto de datos que son creados usando una llave ""''''
aunque existe una llave pblica que es usada par. verificar que la f1l'llW
I
realmente generada usando la llave privada correspondiente. El algoritm.
do para generar la firma electrnica es de tal naturaleza, que si no se usalal:-
secreta no es posible usar la firma electrnica.
La autentificacin en sentido digital es el proceso por medio del cu~
emisor y Io receptor de un mensaje digital confidencial tiene una identifican
vlida para enviar o recibir un mensaje. Los protocolos de autcnrcaonj
den estar basados en sistemas convencionales de encrlptamtento de llaves,.
cretas, o en sistemas pblicos de encriptamiento. En lo autentificacin des~~
mas de llaves pblicas se usan las firmas digitales.
Firma digital La firmo digital tlcne la misma funcin que la firma escrita en cualquierd-
cumento. La firma digital es un fragmento de informacin confidencial y PIl'fIl con
de cada usuario que asegura a la persona que envfa o autoriza un documenn
receptor o terceras personas pueden verificar que el documento y la firma
ponden a la persona que lo firma, y que el documento no ha sido alterado.
La firma digital es usada para verificar que el mensaje realmente ,""'~.. '.
la persona que se seala como la que lo enva. Tambin puede ser ",sada
certificar que una persona envi un documento o una autorizacin en
po determinado. Existe una serie de firmas digitales que identifican y"""'6",'.
desde el usuario inicial hasta el ltimo usuario.
En el caso de envo de documentos pueden certificar la organizaci6n que Eemplo 1
enva el documento, Su departamento y la persona que lo manda o autoriza.
uer do- Aunque existen diversas formas para atacar la informacin encriptada, es
propia conveniente que el programador conozca las formas de encriptamento, sus
mto, El ventajas y desventajas, ast como Su costo, para determinar la mejor para cada
corres- uno de los sistemas, y que el auditor veri fique la forma de encriptamiento y su
). seguridad de acuerdo con los requerimientos de seguridad de cada sistema.
ene de Existen diferentes protocolos y estndares para la criptografa, entre los cua-
la para les estn:
n tiem-
rtifican DNSSEC (Domai" Name Server Secllrity). ste es un protocolo para servicio
seguro de distribucin de nombres.
218 GSSAPI (Gelleric Security Seruices, API). Provee una autentificacin genri-
CAPITULO 6
ca, llaves de intercambio e interfases de encriptamiento para diferentesss- gran
EVALUACiN temas y mtodos de autentificacin. depei
DE LA SEGURIDAD SSL (Secllre Sockel Layer). Es uno de los dos protocolos para una conexin crea"
segura de web. riesg'
SH1TP (Sec"re Hyperlexl Transfer Prolocol). Protocolo para dar ms seguri- vaca
dad a las transacciones de web. yevil
E-Mail (Secflrity and Related Seruices). "0 e
pued
o MSP (Message Security Protocol). zaci6i
T.
PKCS (Public Key ellcryption Slal/dards). posib
SSH2 (Prolocol). bia a
Algoritmos de encriptamiento: sabra
o
Esto'
DIFFLE HELLMAN. aunq
o DSS (Digilal Sigllnture Stalldard).
o
mite,
ELGAMAL. 5<
o LUC. dono
dad
Symetricos. lamo
DES. as CO'J
BLOWF1SH. El
IDEA (IIIlemaliollal Dala Encrvption AIgorilh).
ligro l
RC4. audite
SAFER. fraude
Varios algoritmos de llave pblica, algunos con promisorio futuro; sin em- El
bargo, el ms popular es el RSA (Rivest Slrnmir Adellllan). En algoritmossi- est el
mtricos el ms famoso es el denominado DES y su variante DES-CBC, nal lee
pero el ms reciente es RC4. citado
ver la
centre
palme
SEGURIDAD EN EL PERSONAL cien te
persor
Un buen centro de cmputo depende, en gran medida, de la integridad, estabi-
lidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente
hacerle exmenes psicolgicos y mdicos, y tener muy en cuenta sus antece-
dentes de trabajo.
Se debe considerar sus valores sociales y, en general, su estabilidad, ya que
normalmente son personas que trabajan bajo presin y con mucho estrs,porlo
que importa mucho Su actitud y comportamiento.
-
Caracterlstlcas El personal de informtica debe tener desarrollado un alto sistema ticoy El obj.
del personal de lealtad, pero la profesin en algunas ocasiones cuenta con personas que sub- intern
estiman los sistemas de control, por lo que el auditor tiene que examinar no bido a
solamente el trabajo del personal de informtica,sino la veracidad y oonfiabilidad terrem
de los programas de procesamiento. sea res
genri- En los equ ipos de cmputo es normal que se trabajen horas extra, con 219
ntes sis- STan presin, y que no haya una adecuada poltica de vacaciones debido a la SEGURIDAD
Jtpendencia que se tiene de algunas personas, lo cual va haciendo que se FI$JCA
onexn crean"indispensables", que son muy difciles de sustituir y que ponen en gran
""'&0 a la orgamzacn. Se debe verificar que existan adecuadas polticas de
seguri- laciones (lo cual nos permite evaluar la dependencia de algunas personas,
,,'\ltar esta dependencia) y de reemplazo. La adecuada poltica de reempla-
eeen caso de renuncia de alguna persona permitir que, en caso necesario, se
pueda cambiar a una persona sin arriesgar el funcionamiento de la organi-
oon.
Tambin se debe tener polticas de rotacin de personal que disminuyan la
posibilidad de fraude. Si un empleado est cometiendo un fraude y se le cam-
bia a otra actividad al mes, sera muy arriesgado cometer un fraude porque
sabra que la nueva persona que est en Su lugar puede detectarlo flmente.
Estose debe hacer principalmente en funcin de un alto nivel de confianza,
aunque implique un alto costo. Este procedimiento de rotacin de personal per-
mite,adems, detectar quines son indispensables y quines no.
Se deber evaluar la motivacin del personal, ya que un empleado motiva-
do normalmente tiene un alto grado de lealtad, con lo que disminuir la posb-
lidad de ataques intcuclonados a la organizacin. Una de las formas de lograr
la motivacin es darle al personal la capacitacin y actualizacin que requiere,
as como proporcionarle las retribuciones e incentivos justos.
El programador honesto en ocasiones elabora programas que ponen en pe-
ligro la seguridad de la empresa, ya qUE'no se considera un procedimiento de
audlitora dentro de los programas para disminuir o limitar las posibilidades de
fraude.
snem- En muchas ocasiones el mayor riesgo de fraude o mal uso de la informacin
mos si- est dentro del mismo personal, y la mayor seguridad est en contar COnperso-
5-CBC, nal leal, honesto y con tica, rara lograr esto se debe contar COnpersonal capa-
citado, motivado y con remuneraciones adecuadas. Pero tambin se debe pre-
ver la posibilidad de personal mal intencionado, para lo cual se debe tener los
rontroles de seguridad sealados, los cuales deben de ser observados princi-
palmente por el personal del rea de informtica. El auditor debe de estar cons-
dente que los primeros que deben implantar y observar los controles son los del
personal de inormatica.
estabi-
!fliente
mteoe-
O CMARA PLENA
en un Jugar En la antigedad era un requerimiento en todos los centros de cmputo tener
la organiza pisoselevados o pisos (alsos. En la actualidad, CO" los cambios de los sistemas
.ctuso habi.l decmputo, este requerimiento slo es necesario O deseable para macrocompu-
modo rad i tadoras, por lo que habr que verificar con el proveedor la necesidad de contar
!Se que un ron pisos elevados, o bien la conveniencia de tener una mejor instalacin que
entro de in- cuente con el cableado dentro del piso elevado,
nte peli g ro- Una de las ventajas de los pisos falsos es que permiten organizar el tendido
mas, O bien y proteccin del cableado del sistema, y facilitan el reacomodo del sistema.
ademas, el Adems, proveen de un excelente mtodo para llevar el aire acondicionado
disminuYf! cerca de las unidades del sistema, permitiendo la adicin o recolocacin de las
rejillas de aire cuando son agregadas o recolocadas mquinas en la sala.
odel centro Un piso elevado debe ser capaz de soportar una carga uniforme, de acuer-
s altamen tl' do con las especi(icaciones del proveedor; tambin debe considerarse la capaci-
que no que- dad de soportar unidades adicionales segn el potencial de crecimiento.
planchado, Se recomienda que el acabado del piso sea hecho con plstico antiesttico y
que la superficie del piso elevado tenga 45 cm de alto, cuando es usado como
la orienta- cmara plena de aire acondicionado. La altura del plafn, desde el pISO falso
uosos a los terminado, debe ser de 2.4 m. Asimismo, los paneles del piso elevado deben
los grandes poder ser removidos fcilmente para permitir la mstalacin del cableado del
pueden ser sistema y ser de fcil limpieza con trapo hmedo o aspiradora.
linarse por
1 cada uni
fes y pano-
uturas. En ARE ACONDICIONADO
jo, se debe
ieos.
)siguiente: El equipo de aire acondicionado es otro de los dispositivos que dependern del
tipo de computadora que se utilice y del lugar donde est instalado, para lo
cual se recomienda verificar con el proveedor la temperatura mnima y mxi-
ma, as como la humedad relativa en la que debern trabajar los equipos.
Los duetos de aire acondicionado deben estar limpios, ya que son una de
las principales causas de polvo.
Las instalaciones del aire acondicionado son una fuente de incendio muy
frecuente, son susceptibles de ataques fsicos, especialmente a travs de los
duetos. Se deben instalar redes de proteccin en todo el sistema de duetos, tan-
to exteriores como interiores, y deber de contarse con detectores de humo que
indiquen la posible presencia de fuego.
Se recomienda que la presin de aire en la sala de cmputo sea ligeramente
nserguar- superior a la de las reas adyacentes, para reducir as la entrada de polvo y
suciedad.
222 u
equj
CAPITULO e
EVALUACION
INSTALACiN ELCTRICA lador
DE LA SEGURIDAD cin (
rifica
y SUMINISTRO DE ENERGA carga
car 'l1
que e
Uno de los dispositivos que deben de ser evaluados y controlados con m,)U"
comp
cuidado es la instalacin elctrica, ya que no solamente puede provocar fal
fax, y
de energa que pueden producir prdidas de informacin y de trabajo, sino qee
telcvi
es uno de los principales provocadores de incendios.
El auditor debe auxiliarse de un especialista para evaluar el adecuado fu..
no p"
capac
cionamiento del sistema elctrico y el suministro de energa.
y core
Proteccin del Los cables del sistema elctrico deben estar perfectamente identicadc
sistema elctrico ~
(positivos, negativos y tierra fsica); lo ms frecuente es identificarlos por ..
v....
lm
dio de colores (positivo, roJO). Deben de existir conexiones independientes pan
la disi
105 equipos de cmputo; este cuidado se debe tener en las oficinas donde" elevar
conectadas terminales o microcomputadoras, y adems deben estar idenhfic:
una b
das, contar con tierra fsica, 10 cual proteger a los equipos contra un cortoor-
po COI
culto en caso de una descarga. Se debe revisar que se cuente con los planosdJ
ucarru
instalacin elctrica debidamente actualizados.
Es comn en las oficinas que, al no tener identificados los contactos para la,
gas o
computadoras, stos sean utilizados para equipos que pueden producir plce>
rrumE
ya que utilizan grandes cargas de corriente, como fotocopiadoras o aires aro nivele
d icionados.
pido.
Las variaciones de energa en una lnea pueden ser causados por el en,.".
U
dido o apagado de mquinas elctricas, tales como motores, ascensores.eqe-
sea de
pos de soldadura, sistemas de aire acondicionado, etc. El flujo de corriente de
tivo dr
un sistema de iluminacin puede producir "picos de ruidos" que podran.
corrie;
ceder el nivel de energa aceptable para alguna unidad del sistema. Por ello.'
lall.1 e
altamente recomendado que el sistema elctrico utilizado en los equipos d
rrurnp
informtica cuente con tierra fsica, y de ser posible sistemas de corriente con-
pcrio
tinua (lIo-break) y estn aislados con contactos independientes y perfectamen-
de ho
te identificados. En zonas grandes con cargas elctricas industriales O con CO'"
maci
diciones de entrada de potencia marginales puede ser necesario un aislami e,
ES
to adicional para prevenir interrupciones de energa en el sistema.
Lona E
La tierra fsica debe estar perfectamente instalada de acuerdo COnlas espe- mterrt
cificaciones del proveedor, dependiendo de la zona en que est instalado el
no cor
equipo y de las caractersticas de ste.
mavor
Se debe tener una proteccin contra roedores o (auna nociva en los cabk ~lrc.hiv
dc sistema elctrico y de comunicaciones. Es comn que los roedores se coman
preso!!
el plstico de los cables, por lo que se debe tener cuidado de combatir esta fauna
Er
nociva, y tener la precaucin de que el veneno o el fumigante que se use pala
ma bai
combatirla no provoque problemas al personal.
cos no
Los reguladores son dispositivos elctricos que reducen el riesgo de tCM do se l
un accidente por los cambios de corriente. Dichos protectores SOncomnmen~
E~
construidos dentro de un sistema de corriente ininterrumpido UPS (Un;nttml~
sus di'
ble Pouer SllflPly System).
Los reguladores que existen en el mercado pueden funcionar para varios 223
equipos, o bien estar limitados para un reducido nmero (parecidos a los regu-
SEGURIDAD
ladores existentes para las casas). Si se tiene un regulador para toda la instala- FISICA
cin de informtica (incluyendo terminales y mcrocomputadoras), se debe ve-
rificar y controlar que el nmero de equipos conectados sean acordes con las
cargas y especificaciones del regulador. Si son equipos pequeos se debe veri- Reguladores
CM que el regulador sea suficiente para el nmero de equipos conectados, ya
que C5 muy frecuente en las ofici nas que se conecte al regulador no solamente la
m mayor
computadora personal, sino otros dispositivos perifricos, como impresora o
car fallas
fax, y que se llegue hasta conectar otro tipo de equipo elctrico como radios O
sinoque
televisores. Esto puede provocar dos problemas: el primero es que el regulador
no proteja a todos los equipos, ya que el requerimiento elctrico sobrepasa sus
lado fun-
capacidades, y el otro es que se puede provocar una sobrecarga en los contacto>
y consecuentemente una posibilidad de incendio.
rtificados
Tambin se debe tener cuidado en adquirir reguladores que tengan un m-
; por me-
vel rnxirno y un mnimo, ya que existen algunos que en caso de una sobrecarga
ntes para
la disminuyen hasta el nivel aceptable, pero SI existe una baja de corriente no 1.\
mde hay
elevan a niveles mnimos aceptables. En ocasiones perjudica ms a un equipo
lentifica-
una baja de energa prolongada, que no es detectada y provoca que el equi-
cortocr-
lanos de
po contine prendido en un nivel bajo, que una sobrecarga, que hace que automd-
ticamente el regulador o equipo se apague.
Uno forma para asegurarnos de que un regulador actuar en una sobrecar-
.para las
gas o en bajos niveles, es contar con un regulador que tenga un sistema no inte-
:ir picos,
rrumpido (tlo-brenk), ya que en caso de que exista una variacin que pase los
'eS acon ...
niveles mnimos y rnximos, automtlcamente entrar el sistema no interrum-
pido.
-l encen-
Un sistema de energa no interrumpido (UPS) consiste en un generador, ya
"5, equi-
<ea de batera o de gas, que hace interfase entre la energa elctrica y el disposi-
iente de
tivo de entrada de energa elctrica a la computadora. Dar una consistencia a la
nao ex-
corriente elctrica que hace funcionar a la computadora en caso de haber una
rello es
falla en el abastecimiento de energa elctrica. El sistema de energa no inte-
tipos de
rrumpible (UPS) provee de energa elctrica a la computadora por un cierto
nte con-
periodo; dependiendo de lo sofisticado que sea, la corriente elctrica puede ser
:tamen-
de horas o de algunos minutos, de tal forma que permita respaldar la infor-
.oncon-
macin.
lamien-
Es conveniente evaluar la probabilidad de que no se tenga corriente en la
zono en la que se trabaja, para determinar el tiempo que necesita el sistema no
asespe-
interrumpido. Tambin se deben evaluar los problemas que puede provocar el
tlado el
no contar con electricidad y las prioridades y necesidades que se tienen. En la
mayora de 10$ casos se necesita un determinado periodo para respaldar los
s cables
archivos de computadoras personales, y se puede esperar para utilizar la irn-
coman
presora.
afauna
En el caso de sistemas de alto riesgo o costoso." como por ejemplo un siste-
se para ma bancario, no solamente se debe contar con sistemas de reguladores y elctri-
cos no interrumpidos, sino tambin con plantas de IUL de emergencia, para cuan-
etener
do se pierda la energa elctrica por un periodo prolongado.
unen te
En algn momento tal ve", exista la necesidad de apagar la computadora y
trTllph-
sus dispositivos perifricos en caso de que el centro de cmputo donde se en-
cuentre la computadora se incendie O Sihubiera una evacuacin. Losswitchde
224
CAPITULO 6
EVALUACiN
DE LA SEGURIDAD
emergencia sirven para este propsito: uno en el cuarto de mquinas y elotre
cerca, pero afuera del cuarto. stos deben ser claramente identificados conun
letrero, accesibles e inclusive estar a salvo de gente que no tiene autorizacin
SE
para utilizarlos. Los switch deben estar bien protegidos de una activacinacci-
Es rnp
dental.
el da,
Los incendios a causa de la electricidad son siempre un riesgo. Para rcdu
duran
cirio, los cables deben ser puestos en paneles y canales resistentes al niego.Es-
El
tos canales y paneles generalmente se encuentran en el piso del centro de cmpu debei
tooLos cables deben estar adecuadamente aislados y fuera de los lugaresde organ:
paso del personal. Se debe cuidar no slo que los cables estn aislados sino perso,
tambin que los cables no se encuentren por toda la oficina. ingres
Los circuitos ramificados para la iluminacin y los sistemas de aire no de- E
bern estar conectados a los tableros de potencia utilizados por el sistema.
El proveedor debe proporcionar un tablero de distribucin, el que deber o p
contar con interruptor general, voltmetro, ampermetro, frecuentmetro e inte- s.
rruptor individual por cada una de las unidades que configuren en el sistema. o p
El tablero debe ubicarse en un lugar accesible y cada interruptor debe estar re
debidamente rotulado para su fcil localizacin. tE
d
o
o P
ti,
je
SEGURIDAD CONTRA o Pi
p'
DESASTRES PROVOCADOS tr.
o R.
POR AGUA la
tl,
ce
Los centros de cmputo no deben colocarse en stanos o en reas de planta fe
baja, sino de preferencia en las partes altas de una estructura de varios pisos, el
aunque hay que cuidar que en zonas ssmicas na queden en lugares dondeel cr
peso ocasionado por equipos o papel pueda provocar problemas. ci
Se debe evaluar la mejor opcin, dependiendo de la seguridad de acceso" al
centro de cmputo, cuando en la zona existen problemas de inundaciones osen o V
ssmicas. En caso de ser zona de inundaciones o con problemas de drenaje1, SE
mejor opcin es colocar el centro de cmputo en reas donde el riesgo de inun- p'
dacin no sea evidente. E:
Algunas causas de esto pueden ser la ruptura de caeras o el bloqueodel be
drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputoes te
p.
una decisin importante, as como considerar el nivel del manto fretico.
d
Debe considerarse el riesgo que representa el drenaje cuando el centrode
la
cmputo se localiza en un stano. Deben instalarse, si es el caso, detectoresde o A
agua o inundacin, asf como bombas de emergencia para resolver inundacio-
ce
nes inesperadas. se
Otro de los cuidados que se deben tener para evitar daos por agua espo- e,
seer aspersores contra incendio especiales que na sean de agua. el
225
SEGURIDAD DE AUTORIZACiN DE ACCESOS SEGURIDAD
FislCA
utorizacin
acin acci-
Es importante asegurarse que los controles de acceso sean estrictos durante todo
Para redu- el da, y que stos incluyan a todo el personal de la organizacin, en especial
Ifuego. Es- durante los descansos y cambios de turno.
de cmpu- El personal de informtica, as como cualquier otro ajeno a la instalacin, se
debe identificar antes de entrar a sta. El riesgo que proviene de alguien de la
lugares de
organizacin es tan grande como el de cualquier otro visitante. Solamente el
slados sino
personal autorizado por medio de una llave de acceso o por la gerencia debe
ingresar a dichas instalaciones.
aire no de- En los centros de cmputo se pueden utilizar los siguientes recursos:
isterna.
que deber Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe Puertas
retro e nte- ser difcil de duplicar. de seguridad
n el sistema. Puerta de combinacin. En este sistema se usa una combinacin de nme-
debe estar ros para permitir el acceso. La combinacin debe ser cambiada regularmen-
te o cuando el empleado sea transferido O termine su funcin laboral dentro
de ese centro de cmputo. Esto reduce el riesgo de que la combinacin sea
conocida por gente no autorizada.
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de pls-
tico magntica como llave de entrada. Un cdigo especial interno en la tar-
jeta es ledo por un sensor activando el seguro de la puerta.
Puertas sensoriales. Son activadas por los propios individuos con alguna
parte de su cuerpo, como puede ser la huella dactilar, voz, retina, geome-
tra de la mano o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visi-
tantes indicando Su nombre, su compaa, la razn para la visita, la perso-
na a la que visita. El registro se encuentra en la recepcin del centro de
cmputo. Es importante que el visitante proporcione una identificacin con
foto (licencia de manejo o credencial), ya que de otra forma podra inventar
el nombre y no se tendra seguridad. Los empleados deben de portar la
credencial de la empresa con foto, la cual adems de servir de identifica-
cin, se utilizar para sealar las reas de informtica a las cuales tiene
autorizacin de entrar.
Videocmaras. stas deben ser colocadas en puntos estratgicos para que
se pueda monitorear el centro. Los casetes deben ser guardados para su
posible anlisis.
Escolta controladora para el acceso de visitantes. Todos los visitantes de-
ben ser acompaados por un empleado responsable. Se consideran visitan-
tes: amigos, proveedores, ingenieros de mantenimiento y auditoresextemos.
Puertas dobles. Este equipo es recomendable para lugares de alta seguri-
dad: se trata de dos puertas, donde la segunda slo se pueda abri r cuando
la primera est cerrada.
Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsi-
cos no autorizados. Las alarmas contra robo deben ser usadas hasta donde
sea posible en forma discreta, de manera que no se atraiga la atencin hacia
este dispositivo de alta seguridad. Tales medidas no slo se deben aplicar
en el centro de cmputo sino tambin en reas adyacentes.
226 Se deb
vocar ma.~
CAPiTULO S
EVALUACiN
DETECCiN DE HUMO gases tx~
OE LA SEGURIDAD Tamo
y FUEGO, EXTINTORES dio y s he
das de en
Los detectores de fuego y humo se deben colocar tomando en cuenta la(l!rCan. Los ni
o no con los aparatos de aire acondicionado, ya que stos pueden difundir produce!
calor o el humo y no permitir que se active el detector. Los~
El que se elija deber ser capaz de detectar los distintos tipos de gasl'Sqll' falso, repi
desprenden los cuerpos en combustin. Algunos no detectan el humo o elu control ce
por que proviene del plstico quemado que se usa como aislante en eledn' de O a 60
dad, y en consecuencia los incendios ocasionados por un cortocircuito tallO bOQU.illaj
no sean detectados. permitir
Detectores Los detectores de humo y calor se deben instalar en el centro de cmpub\ que el m
de humo en las reas de oficina, incluyendo el depsito de papelera y el permetrofsa los equi
de las instalaciones. E.~necesario colocar detectores de humo y de calorbajo Es ne
piso y en los conductos de aire acondicionado.
Las alarmas contra incendios deben estar conectadas con la alarma cenlll
del lugar, o bien directamente con el departamento de bomberos.
La organizacin se debe cerciorar que los controles de seguridad contri
incendios satisfagan los estndares mnimos del departamento de bomberos.
La documentacin sobre los sistemas, la programacin y las operacers
necesitan una proteccin contra incendios y debe tenerse un sistema de resf'"
do especfico en el plan de contingencias. Se deben establecer procedimien
de respaldo que garanticen la actualizacin de toda la documentacin de mar..
ra rutinaria; las copias de seguridad se deben almacenar en un lugar alejado,s
como las copias de seguridad de los programas y los archivos, los cuales deba
estar debidamente actualizados, documentados y fechados, para cuando~
requeridos.
Debe existir un sistema de deteccin de humo por ionizacin para a\'JS(
anticipado. Este sistema debe hacer sonar una alarma e indicar la situacindi!
detector activado. El sistema de deteccin no debe interrumpir la corriente
energa elctrica al equipo de cmputo. Se debe contar con un dispositivo lT\l-
nual de emergencia para cortar el sistema elctrico y el aire acondicionado
deben instalarse en cada salida del centro de cmputo.
Equipos contra Se deben colocar en lugares estratgicos del centro de cmputo extintores
incendio porttiles de ca (recomendable para equipo elctrico). El equipo para pode
respirar debe estar a la mano, tanto en el rea de cmputo como para el usoo
los bomberos en caso de incendio. Se deben sealizar las salidas de emergcool
(es conveniente que este sealamiento se encuentre en la parte inferior, CCfC&l
al piso, ya que en Caso de humo slo podrn ser visibles en la parte inferior)
En cuanto a los extintores, se debe revisar el nmero de stos, su capacidaj
fcil acceso, pesos y tipo de producto que utilizan. Es muy frecuente que~
tengan extintores, pero puede suceder que no se encuentren recargados o "..
que sean de tan dificil acceso o de un peso tal que sea difcil utilizarlos. L<E
extintores deben estar a la altura tener un peso proporcional al de una m"1'
para que pueda utilizarlos.
Se debe cuidar que los de extintores no sean inadecuados, que puedan pro- 227
vocar mayor perjuicio a las mquinas (extintores lquidos) o que produzcan SEGURIDAD
gases txicos. FislCA
Tambin se debe evaluar si el personal sabe usar los equipos contra incen-
dio y si ha habido prcticas en cuanto a su empleo; que existan suficientes sali-
das de emergencia, debidamente controladas para evitar robos.
ala cercana Los materiales ms peligrosos son las cintas magnticas que, al quemarse,
t difundir el producen gases txicos, y el papel carbn, que es altamente inflamable.
Los detectores de ionizacin del aire deben colocarse en el techo y en el piso
le gases que falso, repartirse de manera uniforme y estar conectados al tablero del equipo de
amo o el va- control contra incendio. En este tablero se localiza un reloj que puede calibrarse
en electrici- de O a 60 segundos; para provocar un disparo de gas debe jalarse a travs de
cuito tal vez boquillas de aspersin estratgicamente colocadas en el techo de la sala, para
permitir la evacuacin del personal y desconectar el sistema. Se debe verificar
1e cmputo, que el material utilizado para extinguir los incendios no provoque problemas a
metro fsico los equipos electrnicos.
calor bajo el Es necesario definir y documentar los procedimientos que se deben seguir
en caso de incendio. Los planes de evacuacin del centro deben estar plena-
arma centra I mente probados y documentados. Adems, se debe entrenar al personal acerca
de su uso, ya que con frecuencia muchos empleados no saben exactamente qu
ridad contra deben hacer en caso de incendio.
bomberos. Las cintas y discos magnticos deben almacenarse en una sala aparte y se
operaciones debe contar con un acceso al rea en donde se localiza el equipo de cmputo.
~ade respal- Esta sala debe contar COn todas las condiciones ambientales y de seguridad ne-
xedmentos cesarias, ya que la informacin almacenada ah tiene ms importancia que el
6ndemane- propio equipo de cmputo. Las cintas y discos magnticos deben almacenarse
If alejado, as en armarios con paredes fabricadas especialmente para resistir por lo menos
cuales deben dos horas de fuego.
cuando sean
n para aviso
situacin del
corriente de TEMPERATURA y HUMEDAD
positivo ma-
idicionado y
Algunos equipos grandes de cmputo (mainrames), o bien las computadoras
to extintores personales que son usadas en zonas muy clidas o desrticas, necesitan de un
) pafa poder sistema de aire acondicionado diseado para estar en operacin constante, con
ara el uso de base en los siguientes parmetros:
e emergencia
mor. cercano Disipacin trmica (BTU). La disipacin trmica de cada unidad de siste-
te inferior). mas es mostrada en unidades trmicas britnicas por hora.
U capacidad, Movimiento de aire (CFM). Los movimientos de aire se muestran en pies
uente que se cbicos por minuto.
'gados o bien Prdidas por transferencia de calor. Existen prdidas por transferencia de
ilizarlos. Los calor, por las siguientes curvas: n) A travs de paredes, pisos y techos, o por
de una mujer la iluminacin; b) diferencias en temperatura entre la sala de cmputo y
reas adyacentes, y e) ventanas expuestas a los rayos del sol.
228 Los cambios de temperatura durante la operacin del computador 11.
CAPrruLO 6 ser disminuidos. La variacin cclica de temperatura sobre el rango com
EVALUACIl'l de operacin no debe realizarse en menos de ocho horas. 12.
DE LA SEGURIDAD La disipacin trmica, el movimiento de aire, as corno los mnimos y m
mos de temperatura y humedad permitidos deben ser especificados porcl PI\)
veedor del equipo, aunque la temperatura ideal recomendada es de 22'C.GI-
neralmente la humedad debe ser agregada, ya que al enfriar el aire '(O rem..,
la mayora del vapor de agua por condensacin.
Se recomienda que se instalen instrumentos registradores de temperann
humedad. Dichos instrumentos son necesarios para proveer un continuo s,
tro de las condiciones ambientales en el rea del equipo,
Los duetos del aire acondicionado deben estar limpios, ya que son ut1i
las principales causas de polvo, y se habr de contar con detectores de
que indiquen la posible presencia de fuego.
Tomando en cuenta lo anterior, en el siguiente cuestionario se COIl"~
las caracterstcas necesarias para evaluar una adecuada seguridad fsica:
13.
UBICACiN Y CONSTRUCCiN DEL CENTRO DE CMPUTO
En
1. El edificio donde se encuentra la computadora est situado a salvo de:
14.
Inundacin? 15.
Terremoto? 16.
Fuego?
Sabotaje?
En caso afirmativo:
alvode:
14. Est limpia la cmara plena? Si NO
15. Es de fcil limpieza? Si NO
16. El piso es antiesttico? si NO
AIRE ACONDICIONADO
'mputo?
22. Con qu periodicidad?
eo
sol? 24. la tierra fSIca cumple con las disposiciones del proveedor de equipos de
"0 cmputo? si NO
38. Dura el tiempo suncenta para respaldar los archivos o para connnearel
proceso? SI NO
-- __
En caso posltvo, con qu periodicidad?
"O
50. Se registran las acciones de los operadores para evitar que realicen alguna
que pueda daar el sistema? sr NO
do para
51. Se identifica a la persona que Ingresa? sr NO
NO
52. De qu forma?
'1O
En el cuarto de mquinas? ( 1 71
En la cintoteca y discoteca? () si
En la bodega? ()
En otros lados? ( ) 72,
Cules?
73
e
61. La alarma es perfectamente audible? sr
74.
62. La alarma est conectada:
75.
Al puesto de guardias? (
A la estacin de bomberos? (
A algn otro fado? (
Otro. (
Agua.
Gas.
Otros.
de infor- 66. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 233
NO 51 NO SEGURIDAD
FISICA
(NOTA: Verifique el nmero de extintores y Su estado.)
67. Si es que existen extintores automticos. son activados por los detectores
automticos de fuego? Si NO
68. Si los extintores automticos son a base de agua. se han tomado medidas
para evitar que et agua cause ms dallo que el luego? Si NO
69. Si los extintores automticos son a base de gas. se han tomado medidas
para evitar que el gas cause ms dao que el fuego? si NO
70. Existe un lapso de tiempo suficiente. antes de que funcionen los extintores
automncos, para que el personal:
72. Saben qu hacer los operadores del cuarto de mquinas en caso de que
ocurra una emergencia ocasionada por luego? 51 NO
Desde el interior?
Desde el exterior?
Por ambos lados?
SEGURIDAD EN GENERAL
Elementos magnticos? ( )
EqUipo? ()
Software? ()
84. Explique la forma en que se ha clasificado la informacin: vital. eseflCl3l no
eserlOal. etctera
86. Explique la forma en que estn protegidas ffsicamente estas coplas (bvaCla,
cajas de seguridad. etc.) para garantizar su integridad en caso de Incendo.
inundacin, terremoto, etctera.
90. Este departamento de auditora Interna conoce todos los aspectos de los
sistemas? Si NO
NO
92. Se cumplen?
97. Una vez efecluadas las modificaciones, se presentan las pruebas a los
interesados? Si NO
1CIaI. no NO
98. EXIstecontrol estneto en laS modlficaaones7
lOO. Se venfJC3idenbhcaCJJ'l:
:>Y9d8.
ndlO. ()
De la terminal?
( )
Del usuario?
No se pide identificacin.
()
copias?
NO
NO 101. Se ha estableCIdOel nivel de usuano de la informacin?
en que
102. Se ha establecido un numero mximo de Violaciones en sucesin para
que la computadora cierre esa terminal y se d aviso al responsable de
ella? si NO
'1()
103. Se registra cada violacin a los procedimientos con el fin de llevar esta-
de los
,1()
c_~
dfstlcas y frenar las tendencias mayores? SI
.
104. Existen controles y medidas de segudad sobre las siguientes opera-
Cules son?
NO
NO
Recepcin de documentos. ( )
NO ( )
Informacin confidencial.
Captacin de documentos. ( )
( )
Cmputo etectrnlCO.
Programas. ( )
Discotecas y clntotecas. ( )
Documentos de salida. ( )
Archivos magnticos. ( )
236
OperaCIndel eqUipo de computacin. ( )
CAPITULO 6 En cuanto al acceso de personal. ( )
EVALUACiN
Identificacin del personal. ( )
DE LA SEGURIDAD
Poliera. ( )
Seguros contra robo e incendio. ( )
Cajas de seguridad. ( )
Otras (especifique). ( )
El problema de los virus en muchas ocasiones son los ciclos interminables; Analizadores
ya que se desinfecte una parte del sistema o algunos usuarios, el virus puede de virus
seguirlatente e infectar nuevamente a I sistema. Esto sucede sobre todo cuando
elsistema se encuentra en operacin. Para poder tener una cura parcial se debe
dividir el sistema o los usuarios de tal forma que se pueda desinfectar una parte
sinsuspender totalmente la operacin del sistema. Por lo anterior se recomien-
daque a la primera posibilidad de virus se apague el sistema y se evale hasta
al infec- serdesinfectado, lo cual a su vez puede provocar tambin el problema psicol-
n que al gicode estar pensando que la primera falla que se tenga, se trate de un virus.
dos ini- Se debe tener vacunas contra virus; el problema es que generalmente estas
ucionar vacunas no cubren todos los virus, por lo que se requiere actualizarlas constan-
temente.
le, pero Otra forma de protegerse es a travs de analizadores de virus. Estos pro-
o tienen gramas detectan la existencia de un virus en el momento de la inicializacin
sin exa- (bootstrnp) de las computadoras personales. Estos analizadores presentan pro-
oen que blemas, ya que son costosos y poco efectivos para todos los diferentes virus,
aunque son actualmente muy popu lares en el mercado. Un analizador real-
mente efectivo debe detectar el virus antes de que ataque.
Entre los problemas en la utilizacin de analizadores y de vacunas contra
virus estn:
Se debe vigilar como parte esencial y primaria que exista una defen... perder
tra la introduccin de algn virus, y en caso de que se infecten las computildocll; medio
tener un adecuado procedimiento para desinfectarlas.
Deben de existir polticas y procedimientos de actuacin en caso d.
exista un virus, tanto pa ra computadoras personales como para redes, y la
rna de desinfectarlos y restaurar el sistema (poltica de cncuntralo, elimnalo
aljate). En algunas parles se han creado los equipos conocidos como CER
(Computer Emergellcy Ilesl'ollse Team: equipo de respuesta de emergencia, di
computadora), cuya funcin es preparar a la organizacin para dar respuesu
problemas relacionados COnla computadora, los cuales tienen bajo su re;p>
sabilidad los planes de contingencia, emergencia y contra virus. nos es
El equipo tiene la responsabilidad de detectar cualquier problema d. \ vulner
capacitar a los usuarios, determinar las precauciones tcnicas necesarias, y Ce
gu rar que los sistemas tcnicos y humanos funcionen adecuadamente en (lI de cab
de una emergencia. ras las
Desafortunadamente, las leyes contra los virus, principalmente los mahoe
sos, no han evolucionado al ritrno de la tecnologa (se considera delito slo CU.lll fin~
do Ja persona actu en forma maliciosa e intencional), y la deteccin del orig'" Se ~~,
de los virus es cada da m.is complicada. 'crviC
dios d
legti
PI
Internet vulne
nograrnas siones de DOS, y admiti que: "No podrn prometer que esto desaparezca a
pos de las corto plazo."
putadoras La solucines la proteccin de todo ciberespacio contra programas depreda- La degeneracin
ss compu- dores que reclutan a decenas y hasta cientos de mquinas inocentes para un del servicio DOS
ataque de DOS. Los proveedores de servicio de Internet debern instalar filtros
sadores y en los datos que transmiten, y los auditores debern cuidar que slo se utilicen
servicios de Internet con proveedores que proporcionen este servicio. Las agen-
~un siste- das de seguridad debern introducir agentes zombies que husmeen en busca
rar a otro de informacin indeseada, O bien por medio de rompecabezas criptogrficos
que abrumen a las mquinas agresoras.
lean deb- Los hackers malvolos, que intentan obtener ganancias financieras, o los
hackcrs conocidos como de sombrero negro, que intentan divertirse al echarle a
fensa COn .. perder el da a un usuario de Internet, en la actualidad SOn combatidos por
lutadoras, med io de hackers de sombrero blanco, que trabajan en firmas de seguridad.
La misma conexin que hace a la red tan robusta, tambin la deja vulnera-
;o de que ble al efecto del eslabn dbil de la cadena. La apertura y facilidad con que
;,y la fOr- millones de personas pueden compartir la informacin, tambin pone en peli-
imnalo y gro la intimidad. La mayora de los ataques no son diseados para introducirse
no CERT en los sistemas, sino simplemente para hacerlos ms lentos. Pero los allanamien-
encas de tos no son difciles y pueden venir ms problemas.
spuesta a Si los datos no se protegen apropiadamente, la Informacin personal que se
u respon- transmite en lnea deja a la Web vulnerable al robo de identidad. Los funciona-
ros estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de
de virus, vulnerar o penetrar las computadoras del goberno."
ias, y ase- Con un nmero creciente de conexiones permanentes, tales como mdem
'e en caso de cable, los hackers malvolos podran husmear digitalmente por las cerradu-
ras las vidas de las personas y la privacidad de las empresas.
smalicio- Los hackers usan herramientas de software para merodear por el sistema, a
locuan- fin de encontrar debilidades que los operadores de redes no han enmendado.
lelongen Se est a merced de los adrnirtistradores de sitios web y de proveedores de
servicios de Internet para mantenemos a resguardo contra los defectos y reme-
dios de seguridad. Lo ms peligroso es que los hnckere podran obtener empleos
legtimos en cualquiera de las organizaciones que han sido afectadas por ellos.
Por lo anterior, para que el auditor se asegure que la informacin no sea tan
vulnerable:
nero, un
N. En un
tiento de Ne-.vsZQl!tk, 23 de febrero de 2000.
240 Se debe utilizar contraseas difciles que combinen nmeros y letras, l'
CAPiTULO S deben cambiar con frecuencia. de 1,
EVALUAC.ON Se deben utilizar diferentes contraseas para sitios en la red y aplicacionc-
DE LA SEGURIDAD para despistar a posibles hackers. rark
Se debe utilizar la versin ms actualizada del navegador de red, 50th< vam
de E-mail y otros programas. cont
Se deben enviar lo> nmeros o informacin confidencial solamente a "bOl desl
seguros; se debe buscar el icono de candado o llave en el navegador
Se debe confirmar que se trata del sitio que se busca. Hay que tener cuidr- lo po
al teclear. siste
Se deben usar programas de seguridad para controlar los cookie qllec .. prc
van datos de vuelta a los sitios web. I
Se debe instalar software para inspeccionar el trMico si se usa DSL o Ul cm
mdem de cable para conectarse a la red.
No se deben abri r agregados de E-mail a menos que se conozca la (uen!<
del mensaje recibido.
SEGUROS
Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos q..'
entraa la computacin, ya que en ocasiones el riesgo no es claro para las COI"
paas de seguros, debido a lo nuevo de la herramienta, a la poca expeneno
existente sobre desastres y al rpido avance de la tecnologta.
Como ejemplo de lo anterior tenemos las plizas de seguros contra desa
tres, ya que algunos conceptos son cubiertos por el proveedor del servieo !
mantenimiento, lo cual hace que se duplique el '<'guro, o bien que sobreveng-e
desastres que no son normales en cualquier otro tipo de ambiente. (
Se deben verificar las fechas de vencimiento de las plizas, pues puede 'u 1
ceder que se tenga la pliza adecuada pero vencida, y que se encuentre acloah 1
zada COnlos nuevos equipos. 1
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable I
que una sola pliza no pueda cubrir lodo el equipo COnlas diferentes caracter
licas (existe equipo que puede ser transportado, como computadoras persoe
Capacidad
I~, Y otras que no se puro en mover, como unidades de disco duro), por lo que
tal vez convenga tener do> o ms plizas por separado, cada una con las e5J'l'O'
licaciones necesarias.
Se debe tomar en cuenta que existen riesgos que son difciles de evaluarr
e
del seguro de asegurar, como la negligencia. DE
El costo de los cqu ipos puede variar, principa Imente en aquellos pases que
tienen grandes tasas de inflacin O de devaluacin, por lo que los seguros deben
estar a precio de compra (valor de adquisicin de nuevo equipo con igual, Enla
caractersticas) y no a precio al momento de contratacin del seguro. doa
El seguro debe cubrir tanto daos causados por factores externos (terremo- cin
to, inundacin, etc.) como mternos (daos ocasionado> por negligencia de o en<
operadores, daos debidos al aire acondicionado, etctera). estip
rs, y se Tambin se debe asegurar contra la prdida de los programas (software), 241
dela informacin, de los equipos y el costo de recuperacin de lo anterior. SEGUROS
ciones, En el caso de los programas se tendr en cuenta en el momento de asegu-
rarlosel costo de elaboracin de determinado equipo, el costo de crearlos nue-
vamentey su valor comercial. En el caso del personal, se pueden tener fianzas
rontra robo, negligencia, daos causados por el personal, sabotaje, acciones
a sitios deshonestas, etctera.
Es importante que la direccin de informtica est preparada para evitar en
aidado lo posible el dao fsico al personal, oficinas, equipo de cmputo, as como al
sistemade operacin. Adems, deber tener cuidado de que existan normas y
lue en- prcticaseficaces.
Como ejemplo y en forma genrica, por lo comn un seguro de equipo de
Lo un cmputo considera lo siguiente:
fuente Sienes que se pueden amparar. Cualquier tipo de equipo electrnico, como:
de cmputo, de comunicacin, de transmisin de radio y televisin, etc.
Con excepcin de los que formen parte de equipo especial en automviles,
camiones, buques, aviones.
Riesgos cubiertos. La cobertura bsica cubre contra todo riesgo de prdida
sbita, accidental e imprevista, con excepcin de las exclusiones que se in-
dican en las condiciones generales de la pliza. Esta cobertura ampara ries-
rmno, gos como: incendio, rayo, explosin, implosin, arcos voltaicos, cortocircui-
osque tos, sobretensones, etctera.
s com- Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso,
rienda como son: terremoto y erupcin volcnica; huracn, cicln y tifn; equipos
mviles o porttiles; huelgas y motn; hurto.
desas- Exclusiones. Las indicadas en las condiciones generales de cada seguro.
iciode Suma asegurada. En todos los casos se tiene que reportar COmosuma ase-
'engan gurada el valor de reposicin de los equipos a asegurar (a valor nuevo sin
descontar deprecacin).
'de su- Primas, cuotas y deducibles. Dependen del tipo de equipo.
ctual- Indemnizacin en caso de siniestro, Las prdidas parciales se indemnizan a
valor de reposicin (valor nuevo) y las prdidas totales a valor real (valor
obable nuevo menos depreciacin).
terfs-
rsona-
laque
!Spec-
CONDICIONES GENERALES DEL SEGURO
iluar y
DE EQUIPO ELECTRNICO
es que
deben
guales En la pliza de seguro se certifica que, a reserva de que el asegurado haya paga-
do a los aseguradores la prima mencionada en la parte descriptiva, y con suje-
tremo- cin a los dems trminos, exclusiones, disposiciones y condiciones contenidas
de los o endosadas, los aseguradores indemnizarn en la forma y hasta los lmites
estipulados en pliza.
242 Una vez que la instalacin inicial y la puesta en marcha de los bienesasegu prd id
CAPITULO 6 rudos haya finalizado satisfactoriamente, este seguro se aplica, ya sea qllel~ estar ..:t
EVAlUACION bienes estn operando o en reposo, o hayan sido desmontados con el prop';;,. os si
DE LA SEGURIDAD de ser limpiados o reparados, o mientras sean trasladados dentro de 105 pmJ
estipulados, o mientras se estn ejecutando las operaciones menoonads
durante el remontaje subsiguiente.
Cond
I.a
Exclusiones generales el!
qu
Los aseguradores no indemnizarn al asegurado respecto a prdidas o daO! El
directa o indirectamente causados o agravados por:
Condiciones generales
Exclusiones especiales
Sin embargo, los aseguradores no sern responsables, a menos que se estipule ~
lo contrario en las plizas, de:
!fado- El deducible estipulado. 245
n den- Prdidas o dao. causados directa o indirectamente por resultantes de te- seGUROS
1SegU- rremoto, temblor, golpe de mar por maremoto y erupcin volcnica, cicln
zos. o huracn
ssegu- Prdida, o daos causados directa o indirectamente por hurto, robo con O
e una sin violencia y I o asalto.
o si se Prdidas o daos causados por cualquier fallo O defecto existente al inicio
dores. del seguro, que sean conocidos por el asegurado o por sus representantes
responsables de los bienes asegurados, sin tomar en cuenta que dimos fa-
ear ro- llos O defectos fueran o no conocidos por los aseguradores.
egura- Prdidas o daos causados directa o indirectamente por fallo O interrup-
'COm- cin en el aprovislonamiento de corriente elctrica de la red pblica, de gas
los en o agua.
m de- Prdidas o daos que sean consecuencia directa del funcionamiento conti-
nes o nuo (desgaste, cavilacin, erosin, corrosin, incrustaciones) o deterioro gra-
eros dual debido a condiciones atmosfricas.
leque Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a
menos que d ichos fallos fueren causados por prdidas Odao indemnizable
suma ocurrido a los bienes asegu rudos,
es di- Cualquier gasto erogado respecto .1 mantenimiento de los bienes asegura-
escri- dos; tal exclusn se aplica tambin a las partes recambiadas en el curso de
dichas operaciones de mantenimiento.
Prdidas o daos cuya responsabilidad recaiga en el fabricante o el provee-
dor de los bienes asegurados, ya sea legal o contractualmente.
ea las Prdidas o daos a equipos arrendados o alquilados, cuando la responsabi-
audu- lidad recaiga (m el propietario, ya sea Icgalmcnteosegn conveno de arren-
poyar damiento y I o mantenimiento.
Prdida o responsabilidades consecuencia les de cualquier tipo.
es y si Prdidas o daos a partes desgastables, tales como bulbos, vlvulas, tubos,
bandas, fusibles, sellos, cintas, alambres, cadenas, neumticos, herramien-
tas recambiables, lentes, rodillos, grabados, objetos de vidrio, porcelana o
cermica a cualquier medio de operacin (por ejemplo: lubricantes, com-
bustible>, agentes qumicos).
Defectos estticos, tilles como raspaduras de superficies pintadas, pulidas o
I pli- barnizadas.
nente
wo,.o Los aseguradores sern empero responsables respecto a prdidas o daos
Suma mencionados anteriormente, cuando las partes especificadas hayan sido afecta-
.ada a das por una prdida o dao indemnizable ocurrido a los bienes asegurados.
izada Entre las exclusiones que pueden contratarse mediante convenio expreso
se encuentran:
Bases de la indemnizacin:
l
El procesamiento anterior complementado con un registro de las tran-
dUPlicados sacciones que afectaron los archivos permitir retroceder en los movi-
que pueda mientos realizados a un archivo al punto de tener la seguridad del con-
tenido del mismo y a partir de ste reanudar el proceso.
o Analizar el flujo de datos y procedimientos y cambiar el proceso IlOr
250
CApjTULO 6 mal por un proceso alterno de emergencia.
EVALUACrN
DE LA SEGURIDAD Reconfigurar los recursos disponibles, tanto de equipo y sistemas comode
comunicaciones: DE
o Cualquier procedimiento que se determine que es el adecuado pat.
caso de emergencia deber ser planeado y probado previamente. Los
glig
Este grupo de emergencia deber tener un conocimiento de los proced- o bi
mientes que puede utilizar, adems de un conocimiento de las caracterslce sibil
de las aplicaciones, tanto desde el punto tcnico COmO de su prioridad, nivelde po.
servicio planeado e influjo en la operacin de la organizacin.
Adems de los procedirnientos de recuperacin y reinicio de la info_ tivo
cn, se deben considerar los procedimientos operativos de los recursos fSK"C\ plm
como hardware y comunicaciones, planeando la utilizacin de equipos quepe- ble
mitn seguir operando en caso de falla de la corriente elctrica, caminos altern
de comunicacin y utilizacin de instalaciones de cmputo similares, staH
otras medidas de recuperacin y reinicio deben de ser planeadas y probad nec
previamente, como en el caso de la informacin. s;;.\51
Con frecuencia un problema en algn programa, un error en los datos,un
error de operacin o una falla del equipo hacen que uno. corrida en la mquiIU e
aborte antes de terminar el proceso. sis
Cuando esto sucede, generalmente no se puede iniciar el trabajo donde. eq
produjo la interrupcin. po'
El objetivo del siguiente cuestionario es evaluar los procedimientos de 1& pi
tauraci6n y repeticin de procesos en el sistema de cmputo: m
Los errores oorregidos deben estar adecuadamente documentados y las
correcciones autorizadas y verificadas.
Losarchivos de nuevos registros o correcoones ya existentes deben eslar
..
documentados y verifICadosantes de obtener reportes.
Los datos de entrada deben estar debidamente probados y velificados
contra ta entrada de datos durante el procesamiento. ti
teso nor- 251
PLAN DE CONTINGENCIA y PROCEDIMIENTOS PlAN DE
CONTINGENCIA
como de y PROCEDIMIENTOS
PLAN DE CONTINGENCIAS
a durante
Los sistemas esenciales para cada rea de la organizacin. de las entrevistas
s crticos.
Dependencia y facilidades de soporte.
)s los pro-
Dependencia e impacto en otras reas de la organizacin.
tiempo y
Prdidas financieras directas y costos de recuperacin involucrados en el
seguimiento de las prdidas.
Costos de un probable desastre como repercusin en las ventas.
Responsabilidad de los entrevistados.
1:
Descripcin del trabajo realizado y procesos involucrados.
as como
Nmero de personas y habilidad requerida para realizar el proceso.
Mtodos alternativos de posibles procedimientos.
ialidad de
Procedimientos sugeridos de recuperacin.
rse Su uti-
Prioridades de recuperacin.
mando en Las guias de anlisis de las reas de la organizacin deben ser usadas para
semana). asistir en la generacin de discusiones en diferentes procesos crticos. stos in-
cluyen con' ponentes esenciales sugeridos, dependencias crticas, recursos al-
o de recu- ternativos y probabilidad del impacto de destruccin para diferentes reas.
Como la mayora de los planes de contingencias en el pasado estaban enfo-
6n de luz, cados en las operaciones basadas en los sistemas automticos, es necesario
mencionar en las entrevistas que el plan de contingencias debe cubrir todos los
i operacio- procesos de la organizacin. Algunos de los que no estn basados en la compu-
tadora deben ser discutidos y debe llenarse el cuestionario de las funciones cr-
ticas.
'islas y los Deben realizarse entrevistas con los jefes de departamento para obtener
, clasifica- una revisin inicial de la organizacin y confirmar la naturaleza y sus procesos.
gerencia o Estas entrevistas deben incluir lo siguiente:
icluyan en
crticos en Antecedentes de la organizacin. como su naturaleza, lneas de productos, Elementos
transacciones anuales (compras y ventas), mercado y competidores. de las entrevistas
cuestiona- reas de la organizacin y jefes de departamento.
r procesos Informacin estratgica y decisiones de operacin.
;anizacin. Seguridad en el centro de cmputo y en las reas ms importantes de la
os cuestio- organizacin.
Algunos riesgos especficos que pongan en peligro los procesos crticos de
la organizacin.
on usados Conocimiento de los requerimientos legales (multas, estndares de la in-
dustria, requerinentos de auditora en relacin con el plan de contingen-
iones crti- cias).
Algn plan de contingencias emprendido.
258 Los directivos deben conocer la informacin general para el mantenim<llll> Cues
CAPiTULO 6 de la organizacin, pero tal vez no tengan el conocimiento especifico de la lIl-
EVALUACiN formacin.
del ir
oe LA SEGURIDAD La informacin requerida para el proyecto del plan de conngcncias puede
existir en varias formas en la organizacin. Las el
Se deber obtener la documentacin existente que contenga anrecedents d"bet
de la organizacin. ~stos deben incluir: E
basar:
E
Recoleccin
de datos
Orgnntgrarnas.
Descripcin de procesos operativos.
enge
,.
Medidas de seguridad existentes contra desastre. den
dad
Seguros.
Procedimientos de desastres existentes.
vista "
Adems de las entrevistas generales, se requiere informacin ms deWJ.
da sobre los sistemas automticos. Durante las entrevistas con el jefe de idur
mtica y con especialistas se debern revisar los sistemas y sus componentes
esenciales, como son:
sdetalla-
e de infor- CUESTIONARIO SOBRE EL IMPACTO
nponentes
1. Cules reas del negocio son de mayor responsabildad?
COMENTARIO
Otra explicacin:
Por semana? S
Por mes? S$
Pordia? :....:=================== _
Por semana $
PormesS
Por dia $__ :_-============--======== _
r aplica- 261
ido per- 3. La vida humana es puesta en esgo si esta funcin no se realiza?
si NO PLAN DE
CONTINGENCIA
Ir infor- 4. La organizacin tendr conflictos si esta funcin no es realizada? y PROCEDiMIENTOS
y poder Si NO
DE RESPALDO
PARA CASOS
Ietenga DE DESASTRE
Ira cada 5. Esto impactara a la operacin eficiente dentro de la organizacin?
si NO
"anda",
nte una 6. El servicio a los clientes es afectado por la no realizacin de esta funcin?
ncia de si NO
.a tole-
7. Los requerimientos legales pueden no ser cumplidos sin esta funcin?
cto a la
si NO
re ellos
irciales CUESTIONARIO DE OPERACIN
10oms.
69.
3-5.
'0. 0-2.
'0
5. Localizacin de los sistemas:
En un rea especifica.
En dos o tres reas.
Corre por mltiples departamentos.
262 dida,
6. De fcil recuperacin despus de la interrupcin: copia,
CAPlruLO 6
EVALUACI~ 3 o 4 otas en sistemas crticos.
mente
oe LA SEGURIDAD
12 O 24 horas en sistemas criticos.
L.
Sin problemas (recuperacin inmediata).
t,
SELECCiN DE LA ESTRATEGIA do. Se
est (
E
Una vez que hemos definido el grado de riesgo, hay que elaborar una listade la im
los sistemas con las medidas preventivas que se deben tomar, as como las aplic,
correctivas en caso de desastre, sealndole a cada funcin su prioridad. part~
El siguiente paso es identificar y comentar procesos alternativos para pro- cono
cesos identificados COmocrticos en la organizacin. Si existen otros proced- J
mientes con recursos similares aprovechables, stos podrn ser considerad",
como posibles procedimientos alternos. ~
En caso de desastre se procurar trabajar los sistemas de acuerdo con"" ~
prioridades, ya que no se podr hacer en otra instalacin en la misma (O""" ~
como se venan trabajando en la instalacin original. 1
Cada uno de 105 riesgos y su probabilidad de ocurrencia deben ser idenlilJ. I
cados. I
las medidas de prevencin de desastre deben estar respaldadas en un lu- 1
gar seguro. Se debe considerar y evaluar rangos de estrategias de recuperacin
posibles, para que al final de esta etapa de seleccin tina sea elegida.
El plan de recuperacn de la organizacin es proyectado y probado. Su
preparacin requiere de la participacin del personal de la organizacin para
asegurar que stos sean miembros del plan y que estn disponibles cuando ste
se lleve a la prctica.
Documentacin Es importante contar con la documentacin completa del plan de eontn-
del plan de gencia para ser usada en caso de desastre. sta debe ser evaluada y r
aprobad.
contingencia peridicamente revisada para actualizarla. Toda la documentacin asociadacoo
el plan de contingencias y el control de procedimientos juega un importante
papel dentro de la organizacin.
Despus de que el plan de contingencias sea desarrollado, los docurnenos
debern archivarse en un lugar que est protegido de desastre, deterioro o pr.
dida, pero accesible en caso de contingencias. A cada director se le dar una 263
copia,la cual deber incluir la versin, la fecha y el lugar donde estar el docu- Pl.AN DE
mento. CONTII'IGENCIA
V PROCEDIMIENTOS
Los datos que contendr para su identificacin son:
DE RESPALDO
PARA CASOS
DE DESASTRE
Ttulo del documento.
Identificacin o nmero de referencia.
Nmero de la versin y fecha. Elementos de la
Autor. documentacin
Nmero de versin. La vida del documento tendr varios cambios. Los
lineamientos a seguir para controlar las versiones son:
o Historia.
Nmero de pginas.
Aprobacin del documento.
Control de cambios.
Distribucin del documento.
)bado.Su
o Software.
cin para
o Hardware.
andoste Recursos rnateriales.
o Personal.
le contin- Consumibles.
xobada y Utilerias.
dada con
o Sistemas de comunicacin.
rportante
o Redes.
o Transporte.
:umentos
o Basesde datos.
no o pr- Archivos (respaldos).
264 Para evaluar las medidas de seguridad, se debe especificar:
CAPiTuLO 6
EVALUACiN La aplicacin, los programas y archivos.
DE LA SEGURIDAD Las medidas en caso de desastre, prdida total, abuso y los planes nece-
sarios.
Las prioridades que se deben tomar en cuanto a las acciones a corto)' largo de~
plazos.
fort;
El plan en caso de desastre debe incluir: deja
H) Terminales. van
sidc
1) Equipo adICional.
Electricidad KVA.
Temperatura requerida.
Humedad requeda.
RED DE COMUNICACiN
,ativos.
acin.
t.
(se de-
:ionado,
Interpretacin
CAPTULO
de la informacin
OBJETIVOS
Al finalizar este capitulo, usted:
Uso de diagramas
Otra forma de analizar los hechos es seguir la ruta de la informacin desde"
origen hasta su destino, )' disponer de este camino en una secuencia cronolgi<
con el fin de clarificar dnde aparece, cmo avanza a lo largo del sistema
cmo llega a su destino. Esta tcnica ayuda a hacer un estudio objetivo de tod<
los pasos por los cuales deber pasar la informacin.
Ev
Se considera necesario agregar algunas caractersncas que definan an_
cie
este estudio como frecuencia, tiempo, costo)' distancia fsica de cada pJ50
de
coadyuvando a una evaluacin ms objetiva del sistema.
vu
ANLISIS
n,
Se debe evaluar la informacin obtenida en los sistemas para poder:
Determinar el objeto r compararlo con lo obtenido.
Buscar la interrelacin con otros sistemas.
rracin, se Evaluar la secuencia y flujo de las interacciones. 273
ercutra el) Evaluar la satisfaccin del usuario. EVALUACiN
DE LOS SISTEMAS
desistema Entre las etapas del anlisis estn:
seguir ha-
lar la tcni- 1. Anlisis conceptual:
pport).
Evaluar el sistema funcional.
. seguirse
Evaluar la modularidad del sistema.
.rn sistema
Evaluar la segmentacin del sistema .
. Si no est
Evaluar la fragmentacin del sistema.
Evaluar la madurez del sistema.
Evaluar los objetivos particulares del sistema.
Evaluar el flujo actual de informacin.
n Definir el contenido de los reportes y compararlo con el objetivo.
2. Evaluar los modelos de reportes:
les
Evaluar los controles de operacin.
Cuantificar el volumen de informacin.
Evaluar la presentacin y ajustes.
Evale el objetivo. Evale que el objetivo general y el alcance del sistema fun-
anan ms
cional estn definidos en forma clara y precisa. Esta actividad se encarga de
cada paso
delimitar el sistema obteniendo todo lo relacionado con l, mediante las entre-
vistas a los usuarios involucrados con el fin de evaluar si se cumpli con el
objetivo. Las versiones que ofrezcan los usuarios debern ser confrontadas para
verificar su compatibilidad.
Evale la interaccin con otros sistemas. Se debi analizar la informacin del TipOS
sistema con el propsito de localizar sus interacciones y sus contactos con otros de evaluaciones
anlisisde sistemas, a fin de determinar si existe un sistema integral de informacin, siste-
que se pia- mas aislados o simplemente programas, o si existe redundancia y ruido, as
como cules son los controles con que cuenta el sistema. Para evaluar todas las
entradas y salidas que tienen lugar en el sistema, esta parte de la auditora de-
termina el flujode operacin y tambin todas las entradas y salidas que ocurren
internamente. La manera de desarrollar esta actividad es usar aquellos docu-
mentos de informacin que maneja el sistema, rastreando las fuentes y desti-
nos, elaborando o reservando la matriz de recepcin/ distribucin de los docu-
oder: mentos, y la matriz de entradas/salidas.
Evale la segmentacin del sistema. Este paso tiene por objeto subdividir los
mdulos en funciones particulares, de tal manera que el conjunto de funciones
defina al mdulo en cuestin. En esta parte deben evaluarse aquellas funcio-
nes que son realizadas para distintos mdulos (interconexin modular); cada
funcin extrada del mdulo debi ser consistente)' validada con el usuario.
r
o
EVALUACIN DE LOS SISTEMAS el
o
DE INFORMACIN
Esta funcin tiene una gran importancia en el ciclo de evaluacin de las aplio-
clones de sistemas de informacin por computadora. Busca comprobar quela
aplicacin cumpla las especificaciones requeridas por el usuario, que se haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla COnl()s
objetivos y beneficios esperados.
Un cambio a un sistema existente, como la Creacinde uno nuevo, introdu-
ce necesariamente cambios en la forma de obtener la informacin y un ro-to
adicional. Ambos debern ser evaluados antes y despus del desarrollo.
Se debe evaluar el cambio (si lo hay) de la forma en que las operacionesson
ejecutadas, comprobar si mejora la exactitud de la informacin generada, s la
obtencin de los reportes efectivamente reduce el tiempo de entrega, si esm>
completa, en qu tanto afecta las actividades del personal usuario, si aumeruao
disminuye el personal de la organizacin, y los cambios de las interaccione;
entre los miembros de la organizacn. De ese modo se "abr si aumenta ods-
rrnuye el esfuerzo por generar la informacin para la toma de decisiones,con
el objeto de estol' en condiciones de determinar 1,) productividad y calidaddel
sistema.
El anlisis deber proporcionar: la descripcin del funcionamiento del sis-
tema desde el punto de vista del usuario, indicando todos las interaccionesdel
sistema, la descripcin lgica de cada dato, las estructuras que forman stosyel
flujo de informacin que tiene lugar en el sistema; lo que el sistema tomar
como entradas, los procesos que sern realizados, asi como las salidas qued..
ber proporcionar, los controles que se efectuarn para cada variable y lospro-
cedimientos.
De este modo se agruparn en cuatro grandes temas:
Evaluacin en la ejecucin.
Evaluacin en el impacto.
Evaluacin econmica.
Evaluacin subjetiva. EVALUACiN
DE LOS SISTEMAS
OE INFORMACiN
EVALUACiN EN LA EJECUCiN
EVALUACiN EN EL IMPACTO
Es la evaluacin que se hace sobre la manera en que afecta a la gente que inter-
viene en la aplicacin (usuarios) con el objeto de determinar cmo la implanta-
cin y el uso del sistema de informacin afecta a la organizacin distinguiendo
qu factores son directamente atribuibles al sistema. Las principales reas que
deben interesar son las que intervienen en la toma de decisiones y en las activi-
dades de operacin.
Esta evaluacin se hace con el fin de detectar a la gente involucrada; las
actividades que son necesarias realizar, la calidad de la informacin, y el costo
de operacin resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empe-
zar a disear el sistema con el fin de que, cuando se instale, se compruebe si los
resultados satisfacen plenamente lo planeado. Estos datos tambin son impor-
tantes paJOaguiar futuros proyectos.
Asimismo se debe evaluar el efecto que tiene sobre el ambiente del sistema
(personas, leyes, etc.). Para ello contamos con varias tcnicas que nos ayudan
en este propsito, las cuales son: bitcora de eventos, registro de actitudes, con-
tribucin, peso y anlisis de sistemas.
Bitcora de eventos
Esta informacin se obtuvo en la seccin de la opinin del usuario donde se
registraron loseventos relacionados con la introduccin de una aplicacin. Cual-
quier evento que inOuya en el sistema y cualquier nuevo evento introducido
por l, es registrado en forma de notas, y al final se agrupan. rara un estudio
sistemtico no se requiere equipo adicional, y debe usarse cuando la medicin
tiene lugar en periodos largos o cuando se desean medir varios tipos de impac-
280 econmico del sistema dentro de la organizacin en relacin con los beneficos
CAPITULO 7
obtenidos por ste. ""a
INTERPRET ACION En el impacto se' mide cmo una aplicacin de sistemas de Informacin ha par.:
DE LA INFORMAciN contribuido O mejorado la eficiencia en el rea donde se usa. Asimismo la eva- cin
luacn despus de su implementacin es crtica para conocer cmo el sistema y sl
opera y dnde puede" necesitarse cambios. del
La evaluacin econmica es importante puesto que el capital de 1,1 organi-
zacin no es gratuito, debindose cuantificar los beneficios y los costos del sis- tierr
tema en trminos monetarios para estar en condiciones de justificar o no su me
desarrollo e implantacin. sus
Tcnicas Cuando la aplicacin ha sido realizada, se busca obtener el costo real contra las'
da la evaluacin el beneficio real para comprobar o determinar el porqu de la diferenoa COnlo gari
presupuestado y I O 1" calidad de la aplicacin. cir
Estas tcnicas nos ayudan a obtener los elementos necesarios para evaluar
por medio de un anlisi" de eo>to/beneficio de la aplicacin. Nos permite ade- vale
ms evaluar si fue desarrollado en las condiciones econmicas esperadas, por imF
lo que este anlisis deber efectuarse antes y despus del desarrollo de la apli-
cacin. La justificacin la encontramos en el hecho de que cualquier tipo de Iro
organizacin busca alcanzar sus objetivos con recursos econmicos limitados. pro
El administrador de sistemas de informacin deber verificar y cuidar que de,
estas actividades se realicen en forma sistemtica y completa para evitar crear esta
sistemas que perjudiquen o 1" organizacin y minen su economa. Este punto es can
de suma importancia dado el momento actual en donde los recu rsos compu- vah
tacionales se ven afectados constantemente por las devaluaciones y el costo del
capital. Hay que tratar de obtener el mayor beneficio con el equipo disponible e del,
invertir en equipos adicionales slo cuando est plenamente justificada la in- fice
versin por los beneficios que se obtendrn.
EVALUACiN SUBJETIVA e
Partiendo de la premisa de que los usuarios son los principal", afectados direc-
tamente por el sistema, sus puntos de vista y necesidades debern ser conside- Un
rados para la evaluacin. lo,
Los que procesan los datos, el personal de sistemas y el personal de alta nic
direccin debern tambin participar en la determinacin de los beneficios eco-
nmicos de la actividad particular a ser desarrollada. la I
Un enfoque experimental propone un mecanismo para obtener los factores, clu
adems del ahorro de costos, que habrn de ser considerados en In evaluacin
del sistema de informacin,
Necesitamos incorporar a nuestra contribucin de beneficios los puntos de
vista y opiniones de la gente que usar o ser afectada por la aplicacin del
sistema de informacin.
La justificacin de evaluacin subjetiva se centra en que 1,1opinin del gru-
po usuario proporciona un punto de vista ms completo de la aplicaon, ayu-
dando a obtener aquellos factor~'Sque hubiramos pasado por alto.
282 los controles operativos comprenden cada uno de los sistemas en forma
CAPITULO 7 individual y constan de:
INTERPRETACiN
DE LA INFORMACiN
Control de flujo de la informacin.
Control de proyectos.
Organizacin del proyecto.
Reporte de avance.
Revisiones del diseo del sistema.
Tcnicas:
o De usuario.
o De control.
o Requisicin de cambio.
o Razn del cambio.
o Naturaleza del cambio.
o Persona que lo solicita.
o Persona que revisa y autoriza.
o Frecuencia de cambios.
e) Persona asignada al mantenimiento.
o Bitcora de cambios.
Mantenimiento y documentacin.
Produccin.
Controles de documentacin.
Documentacin:
Del sistema.
Del programa.
o De entrada.
o Autorizacin de entrada.
o Armado de lotes.
o Verificacin de lotes.
Control de programas.
Reporte de control:
o Balanceo de lotes.
Reporte de errores.
o Reporte de excepcin.
; en forma o Reporte de transacciones. 283
o Reporte de cambios en el archivo maestro. CONTROLES
Validacin de entradas:
o Verificacin de secuencia.
o Campos omitidos.
o Totales de control.
o Transacciones vlidas.
o Caracteres vlidos.
o Campos vlidos.
o Cdigos vlidos.
o Pruebas de razonabilidad.
o Dgito verificador.
o Etiquetado de archivos.
Controles de entrada:
o Acceso a terminales.
o Acceso a programas, archivos, datos y a la computadora.
o Comunicaciones.
o Informacin confidencial.
Control de programa:
o Reportes de control.
o Validacin de entrada.
Correccin de errores.
Puntos de verificacin }' reinicio.
Controles de salida:
o Formatos de reporte.
o Formas de control de salida.
o Informacin confidencial.
284 Los controle. tcnico .. que se deben evaluar son: R
CAPITULO 7
INTERPRETACiN o Controles de cperacli y uso de la computadora. o e
De LA INFORMACiN o Supervisor. o E
o Captu ristas.
o Bibliotecario.
R
o Operadores.
o Controles de entrada y salida. o E
o Recepcin de Informacin, o L
o Deteccin y correccin de errores. o \
o Distribucin de la informacin. o e
o Calendarizacin.
o Reporte de rallas r rnant ..nimiento preventivo. (
o Controles sobre archivos.
Recuperacin de desastres. o S
Controles de usuarios. o S
o De origen de datos. o S
o Origen de documentacin Cuente. o S
Autorizacin de docu rnentacn fuente. o S
o Recoleccin y preparacln de entrada y documentacin fuente.
o Manejo de errores de doeu mentacin fuente: (
(
o Tipos de errores que pueden aparecer.
o Pasos a seguir para ..u correccin.
o F
Los mtodos a utilizar para recuperar documentos fuente corregidos son:
o I
o s
o Retencin de documento .. fuente.
o Controles de entrada de datos. (
o Conversin de dato .. y captura.
o Validacin de datos. S
o Manejo de errore- en datos y captura. senta
o Controles de salida de datos. clusf
o Balanceo y conciliacin de s.llid"s. cuan
o Distribucin de salidas.
o Procedimientos documentados que describen los mtodos de distribucin. o
o Calendarizacin, revisin y distribucin de salida por parte de los usua- o 1
rios.
o Bitcoras de reportes.
o
o
Manejo y retencin de registros de salida y documentos
Formatos de sa lida:
o Frecuencia.
contables.
PI
o Nmero de cop"",
Lap
te fo
Controles tcnicos:
o Programtica. 1.
o Aplicaciones.
o Sistemas.
R<!C'IUSOS
de los programas por aplicacin: 285
PREse"'-AClN
Calenda rio de programas.
Errores y recuperacin.
Registro contable:
Equipos.
Unidad control de procesos.
Memoria secundaria.
Dispositivos perifricos.
Sistemas operativos.
Sistemas de utilera.
Sistemas de bibliotecas.
Sistemas de mantemmento de archivo.
Sistemas de seguridad.
Redundancia en la informacin.
Inconsistencia de datos.
Idos son:
Seguridad.
PRESENTACiN
La presentacin de las conclusiones de la auditora podr hacerse en la siguien-
te forma:
j
!
,
'(
(
(.
..
287
~ ~~
tJ
PRESENTACION
Wl!l~
n presen-
~
I -~i-
a y de los :!:~
~
s 13
I
-rcusiones, :!:
~
::;~
jorar una ::> ~
ooy cules .
.;
z
- ~
E
~ o
utivos por o ~
" que se .!:
ovsuales). e
Q)
.!1!
~ ~
auditora
-laaudito- -o
'ij
::>
os
~l!l
"i. g
.!!!
Q)
'ti
"'o
Q)
e '"~
o;
::>
c:
o
O
i
1-
~
,..:
os
~
::>
'"
:
..
~
.
~
e
~~
i
ii 2
i
Figura 7.2. Seguimiento de las recomendaciones de la auditorla en Informtica
PERIODOaUE SE REPORTA
OIRECCION
HOJA NUM DE
AUOITORIAA
FECHA DE rtRMll'IO De LA AUDITOR".
NlJI,L'
FECHA
EsniMOA
FECHA
_DC
MOTIVO POA EL
CUAL NO HA soo
, 1: AESP().t>4S
ces. AECOUEJ>ACIC)N Il AUOL RESOL RESU[l.TA
R{_~E"flO
DE LA SOLIJCION OOSEAVAOOH ......,. DE LA
Alt<X)."'H
(")
Conclusiones
I
torial Van
-A- Aseguredos. 243
cos, responsabilidad de los, 244
aas, edito- Asignadn de trabaio, control de, 171-172
Acceso Audilor(esJ, 16, 32, 239
Addison- claves de, 19S-199 independencia del. 37
controles de, 225 nmero de, 32
llaves de, 198-199 participadn, 92
; Pblicos. rulas de, 197198 responsabilidades de los, 29-30,
:hartered Actividades 187-188
calendario de, 121 Auditor interno, 8-9, 26, 34
control de, 122 conocimiento y experiencia del, 27-29
.ional Au- hoja de planeacin de, 126 habilidades del, 16.17, 28
Adminlstracin de la Investigacin objetividad del, 27
ltice Hall, preliminar, 39 Auditora
Agua, desas II'(.'$por, 224 asistida por computadora, 10
"ladn ell Aire conclusiones de la, 287
acondicionado. 221 deflnlcin, 2
duetos do, 228 de programas, 22-23
8.
movimiento do (CFM), 227 personal de la, 43
984. Alarma contri! incendio, 226 planeacin de, 16, 30-31, 41-42
L Alcance de la cobertura, 244 pn;s<.>nlacinde la, 28:;.286
P.Galvin, Almacenamiento procedimientos de, 34
de documentos de entrada, proceso y programa(s) de, 11, 43-44
editorial salida. 15 programas de trabajo de, 32
dispositivos de. 173-177 reportes especralcs. 215
'erence of Alta gerencIa, 37 requerimientos de una, 40-42
Anlisis seguimiento de la, 288
arcombo, crtico de los hechos, 270271 tcnicas avan .ndas de, 12-16
de informes, 107, 113 Auditora admlnistrnriva, 9-10
de la situacin, 56 Auditora con informtica, 10
de orgnntzactoncs, 75~76 Auditorfn en informtica, 17-18
de sistemas, 279 campo do accin de la, 20
del impacto de la organizacin. 259 concepto, 17-18,26
del sistema. 93 director de, 35
evaluacin del, 9:;'97 elementos que debe evaluar la" 96-97
manuales de, 96 la, Y los tipos de nudltcrfa, 22
y diseo estructurado, 97 objetivos de la, 21-22
Analizadores de virus. 237 pasos d. UM, 37
Aplicacln( es) planeaon de la. 30-32
ciclo de evaluacin de las, 276 Auditora mlema. 26
planeacin de las, 95 ocrmes de, 26
situacin de una, 95-96 respol\l>abilidadcs del departamento
Aseguradores, 244 de, 27
294 Autentificacin de transacciones, 6
(HDtCe ANAlrrtCO
del usuario, 212 del riesgo, 254
en sentido digital, 216 Cobertura. alcance de la, 244
Autorizacin de accesos, seguridad do" 225 Componentes
de un sistema de comunlcncin, 102
lgicos, 242
-B- Computadora
crmenes por, 193-194
Bases delitos por, 192, 193
de indemnizacin, 246-247 virus de, 193
jurdicas del departamento de Comunicacin, 102103, 113
informtica, 6467 sistema de, 102
Bases d. datos, 99-100, 249 Ccncusiones. 289
administrador de, 100-101 Confidencialidad, 197
componentes a evaluar en una, 100 Configuracin del equipo, 265
modelos de, 101 Consideradones al auditar, 208-215
sistema de adlnini:,lradn de, 99 autentificacin del usuario, 212
software mancjadur de (DllMS), instalacin y mentemmicnto, 209-210
202-203 operacin, 210
Batch, tJnsc Sistemas (In lote recursos para controlar el acceso, 212
Bitoora(s), 158 software de control de acceso, 196,
de auditorfa, 200201, 205, 206 199-205, 212-2J 5
de eventos, 278-279 Consulta l los usuarios, 92
Boletn e, 2 Contingencia(s)
Boletn EM, 5 etapas del proyecto del plan de, 2S3
Bootstrap, 237 metodologa del plan de, 253
BTU. vast Disipacin t~rmica plan de, 251, 252, 257, 263
Bug, 236 Contratacin de empleados, pian .... de, 32
Contribucin)' peso, 279
Control(es)
a auditar, 205-208
-C- de acceso, 225
de asignacin de trabaJO, 171-ln
CAD/CAM, ,.... se Diseo d. manufactu- de avance, 129
ra por medio de asistencia de avance de programacin, 128
ccrnputarizada de calidad, programa de, 35
Calendario de actividad." 121 de datos fuente, 161-162
Calor, prdidas por transferencia de, 227 de diseo de sistrll1aS, 119,130-132
Cambios y mejoras n I sistema, 93 de mantenimiento, J77..179
CASE, vase Software de Ingcmerfn de de medos de almaccnamtemo
asistencia computarizada masivo, 173-177
Categorizacon del software, <)0 de proyectos. 117-119
Centralizacin, 188-189 de seguridad, 285
Centro de cmputo, 182-183 generales, 281
seguridad de acceso, 22S mesa de, 16-1,165
ubicacin)' construccin del, 220, operativos, 282183
228-230 salida, 170-171
CERT, ,oia$t Equipo de " ...puesta de tcnicos, 28-1-285
emergencias de computadora Control interno, 5
mi, t1ase Movimiento de- aire objetivo(s)
Ciclo de evaluacin de lat;aplicaciones,276 autorizacin, 6
Gasificacin bsicos, 5
de desastres, 252 de salvaguarde) fsica, 7
de verificacin y evaluacin, 7 Descripcin 295
generales. 5-6 de formas, 111
HOICEANAunco
procesamiento, 6 de formas de papelera, 112
utilidad de los objetivos elementales de informes, 106
,n, 102 del,29 Deteccin de humo y fuego, 226, 232-234
Cookie,l43 Dlagramats)
Copias "piratas", 193 de flujo, 97
Costo uso de, 272
de la operacin. 164, 166 Diseo
de un sistema. 94 de formas, 104-113
del equipo de cmputo, x. 240 de manufactura por medio de
Credenciales con banda magntica, 199 asistencia computarizada
Criptoanlisis, 217 (CAD/CAM). xii
Criptografa, 217-218, 247 del sistema, 93
Cuestionanos), 134-138, 256 detallado, 93
15 de funciones criticas, 260 estructurado, anlisis y, 97
12 de operacin, 261-262 evaluacin del, ]3()..131
209-210 de seguridad fsica, 228-236 formas de, 104
para guiar la entrevista, 259 soneral,93
eso, 212 sobre el impacto de la organizacin, lgico del sistema, evaluacin del,
so, 196, 259 911-103
y entrevistas .. 256 Dislpacn trmica (BTU), 227
Cumplimiento de los documentos I)ir~ccindel autoren Internet. xiv
administrativos, 57 Disponibilidad, 197
je,253 Divisin de tareas entre los empleados. 15
Dominio, nombres de, 149-154
-0- DSS. vase Soporte en la toma de decisiones
Datos, 156
D6MS,";,,s,- Sistemade admiruslracinde -E-
bases de datos
Decisiones, soporte en la torna de, 2n rol. .......lntercambio electrruco de datos
-In Degradacin del equipo, 182 Hiciencia de la operacin. 164, 166
Delitos por computadora, 192 UFTS, r'ast> Sistema de transferencia
128 motivos, 192-193 electrnica de fondos
Departamento (o rea) de informatice EIS, l,ase Sistemas de informacin pal'J
bases jurdicas, 64-67 ejecutivos
l().132 evaluacin administrativa del, 20 Elcn'\cntos de las entrevistas, 257
funciones en el, 67-72 EMS; tt'ase Sistemas de rcu nones en
o objNivos, 72-75 forma electrnica
seguridad del, 192-193 Encrlptamtento, 216-218
tipos de dependencias del, 62-63 Enlrevista(s)
Derechos de autor, 138-142 a usuarios, 133-134
proteccin de los, 144-145 con el jefe de informtica y con
Desarrollo especialistas, 258
del sistema, evaluacin. liS con el personal de informtica,
estrategia de, 91-92 82-83
implementacin y, fsico, 93 cuestionario para guiar la, 259
programas de, 98-99 elementos de las, 257
Desastrets) prop.sito de las, 257
clasificacin de, 252-253 y cuestionarios, 256, 259
plan en caso de, 264 Entropa, liS
por agua, 224 ~quipo(s)
296
conJiguracjn del, 265
NDICE ANALITICO de cmputo, S<>!iu"ddde, 241
-F-
de respuesta de emergencias de
comput.dor., 238 Factibiliu.d, estudio de, 92, 94
segurid.d al re;,t.mar el. 249 Firma digital, 216-217
Formas
seguridad en l. uhl/acin del, 247
seguros de los, 240 de diseo, 104
Estrategia descripcin de, 111, 112
de desarrollo, 91.92 evalu.cin de, 108, 109, 110
de respaldo, 263 Formas lradi("iol"laJes de evidencia
Estudio aJ.nacennlniento de documentos de
de factibilidacl, 92,94, 119 entrnda, proceso y salid", 15
de viabilidad, 58.59 diviSin de tareas entre los
Etapas del proyecto del plan de en)p":.\ldos, 15
contingencias, 253-254 lisiado de los resultados del procese
Evaluacin 14 15
mantenimiento en manuales de
adminstr.tiva del departamento de
informtica, 21 informacin, 14
manuaJ~ de pn:>cedimientos COn
ocle de, de las aplicaciones, 276
de formas, 10&-110 informacin relativa, 15
pr()CC~S4unientomanual, ]4
de la configuracin de) sistema de
cmputo, 183.189 proceso de grandes cantidades de
datos, 15-16
de la estnlctur. Org.inlca, 61-1\3 proceso $in"lpli(jcado" 14
de la gerencia de In rornuitica, 58
registro manual de la informacin,
de la instalacin en I~rn,inos de 13 t4
riesgo, 255-256 revisin de procesos, 15
de los recursos humanos, 76-82 revis.i6n de transacdones POI el
de los sistemas de in(ormaCin., p<>r&Onal,14
276-277
tT.lr\5.l00ones originadas por
de sistemas, 9().95, 272.276 personas, 13
de acuerdo con el riesgo, 38 transporte de dOCumentos, 14
distribuidos, 116 USo de docun"lentos impresos, lS
y prOCcdinuentos, 21 Fraude, 194, 195 .
de Soft1\'are, 99 Fuego y humo, 226.227
de un Sistema COndatos de prueba, 12 detecci6n de, 226, 232.234
del desarrollo del sistema, 115 Funciones
del diseo, 130 crticas cuestionarios de, 260
l
-p-
-M-
PassU'ord, 198
Mninframe. xi, '22.7 Prdida de la informacin, 19-20
170 Prdidas por transferencia de calor, 227
Manejo de informacin, 248
298
P\:'rSondl
I I HOICE AHAllTlCO de cargas de mquina. 171 Propsito d? las entrevista!!., 257
de electrnicos, 56
prucf?SOS Proteccin contra Virus. 237
participdnte. 42.54 Proyecto(S)
I'iso elevado, 221 control de, 117-119,120
l'lan(es)
del plan de cuntingelld,lS, 252-254
de ronhngendas. 251-263 Pruebas de COnsentimiento, 35.36
de proyectos, 60-61 Pruebas integrales, 12
de recuperacin de la orga.ni.zacin~
262. 264
de >eguridad. 61. 252 -R-
''>lr,'Io!giro, 91-92
maestro, 60 RA.'4.xi
PJaneacin R.ecuperacin
de actividades. hoi. de, 126, 129 grupo de, 253
de auditora, 16 plan de, 265
de C.:.mbios, 59 Recopilacin de l. inform.lcin, 56-58
d", 1.1auditora en informtica" 30-32 Recursos financieros, 85-86
de program.cin. 125 Recursos humanos, 56-57
de siIHema~,92 Recursos n'lateriales, 86-87
dOCllll1~nt<lda...31 Red(es)
t.slr.ltgiCtt, 95 de computadoras, 249
proeeso de, 31 puntos a revisar en JlS. 103
POI/tita(.) tipos)' topologa, 102
de re.p.ldo., 156-157 Redundancia, 1l4-1l5
de I'\!vi~in de bit.icora, 158 Registro(s)
de seguridod fl.ic. del sil e, 159-161 de actitudes, 279
y procedinlientos, ]57 extendidos. 12
P6li~a de seguro, 241 Reguladores, 222-223
Pre.ltupues(os, 64~85 Relacin precio/n)cmoria, xi
ProblC'lnas de los sisterllas de Renta, 187-188
adrniniF,traci6n de bases de datos, 101 Repetid6n de procesos, 250
Procedin1ientos de ll'stauracin .. 250 Reportes, 212-213
"roces.arniento manua], ]4 especiales de auditora, 215
"mee,o(.) Respaldo(s)
crticos de uno} organizadn .. 255-256 de informadn, 156-157
de gr.ndl>S cantidades de datos, 15-16 estrategia de, 263
de, 250
I'<!>('lj-;n Responsabilidad de los asegurad"" 244
'implilicado, 14 Restauradn. Pro<'edimientos de, 250
Productividad, 1801-186 Resultados de clculos para
Progra,nacin COmparadones, 13
contrul de av..nce de, 128 Revisi6n(es)
f,c;lid.des de, 133 de acceso, 12
informe de avan<e de, 127 de Pro<:esos, 15
plan~.cin de, 125 detallada, 33
riesgo:; en la, 248 preliminar, 32-33
I'rogr.mador(es) Riesgo(s)
COntrolde, 124 clasificacin del, 25-1
control de a<tivid.de. del. 122 en la programad6n, 248
Progrtlmas
evaJuad6n de la instalacin en
copras de. 193, 194 trminos de, 255-256
d. <leo.1rrollo, 98-99 ROM, xi
de lr.b,'ju, J 72 Ruido, 113
Rutas de acceso, 198
--_
/istas, 257
s,237 -5- disponibilidad de 105,de Informacin, 299
197
rNDlCE ANAUT'CO
1, 120 Salida. control de, '170-171 distribuidos, 116
Secretos induslri"les, 145-149 en lnea o en tiempo real, 249, 25 l
gendas, 252-254
ento, 35-36 Seguridad. 21 en IOle (""lCh~ 166-170
al restaurar el equipo, 249-250 e-tudio de los, 96
ceutra d"","I1'('5 por agua, 224, 231 evaluacin de, 90-95, 2n-276
de autorizacll'I de accesos, 225, evaluacin de) desarrollo d('I, 115
231-232 evaluacin del diseo lgico del, 98,
en contra do virus, 236 103
en el pcrsonnl, 218-219 grado de madurez del, 271
en 1" utillzacl6n del equipo, 247-249 integral de seguridad, 196
f.ic,t, 219, 228-236 integridad de los, de nformncin, ley
lg,cd, 194-197 operativos, 201-202
objetivos de la, en el rea de planeacin de, 92
informtica, 192 problemas ms comunes de los, 94-95
plan de, 252 procedimiento en el, 104
~istl~lna integral de, 196 pruebas del, 93
Seguro(.) reporte semanal de Izy, responsables
condiciones !\Cllcral~, 243-244 del,l23
49
las, 103
de lo. equtpoe, 240, 241 S",'
exclusiones especiales, 244-245 caractersncas del, 160
12
exclusiones generales, 242..243 instalaciones del, 159-160
pli,. de, 24'1-242 Sih.lj'lci6n de los recursos humanos, 51)
Seleccin Software
de determinado tipo de transacciones, ,1 Id medida de la oficina, 91-95
13 categorizacin del, 90
de la <'5lr.l"8io, 262-267 comercial, 90
Simulacin, 12 compartido O regalado, 90
Sistema(,) control de las licencias del, 158159
cambios y mejoras al. 93 de ingeniera de asiS\(.'ncl.l
ciclo de vid" de los, 92-93 computarizada (CASE), A';, 98
componentes esenciales, 258 de seguridad, 200
confidcnclalidnd de los, de de seguridad general. 205
157
informacin, 197 cloborado por el usuario, 90
crticos, 260 esclavo, 238
legurado., 244 de admlnlc;trJcin de bases de datos especlco, 206
ntos de, 250
(08"'5), 99 evaluacin de, 99, 209
JO
problcm,l< de lo>, 101 transportable, 90
de bases de datos, 100 un solo usuario O mulnusuaro, 90
v('nltlja~de los, 101 Sowaee de control de acceso, 196,
de cmputo, evaluacin de la 199-205
configurnci6n del, 183-189 consideraciones a auditar, 2)O~211
de cornumcncin, 102 reportes y vigiJancia, 212-213
de cncrgr" no Interrumpido (UrS), sistemas operan vos, 201-202, 206-207,
223 213
de informncln, 29 software de consolas o lCrI"I\in.llcs
48
evaluacin de los, 276-277 maestras, 203, 207
Iacin en
de informacin par. ejecuti'os(EIS),xlI software de libreras. 20.1-204,207,214
2;6
de reuniones en forma electrnica "iOrt\\'are de telecomumcaciones, 205,
(E\lS), ,Yl 208, 215
de Iransf"'r'('llcia electrnica de fondo ... seware de utiler.. , 204-205, 208,
(I~IS),xii 214-215
300
software manejador de bases de
rNDlCE ANATlCO datos, 202-203, 207, 213-214
-u-
Sopone
cotidiano. 93 lJl'S, vi_ Sistema de eMrgia no
en la toma de decisiones (DSS~ 2n interrumpido, 223
Subplan<'S del plan maestro, 60 Uso de documentos impresos par.
construir el proceso, 15
Usuario(s)
-T- aceplacin por "'lne del, 93
autentificacin de, 212
consuha a los, 92
Tcnicas de auditora
cuestionario para los, 211-212
anlisis crtico de los hechos, 270-27J
entrevistas a, 133-134
evaluacin de un Sistema con datos de
prueb~, 12 "''querimientos del, 92. 13S
tipos de, 196-197
gr.ldo de madurez, 271-272 Utileas, 204
Operaciones en paralelo, 12
pruebas integrales, 12 Utilizacin del equipo, seguridad en In,247
registros extendidos, 12
resu Ilados de ciertos clculos para
comparaciones posteriores, 13
-v-
revisiones de acceso, 12
seleccin de detcnnhlado tipo de Vacunas COntra virus, 237
I fansaccioncs, ]3 \/afidadn por caractersticas, 199
sin'lulaci6n, 12 Virus
totales aleatorios de ciertos anaJizadores de, 237
programas, 12 daos por, 236
'recllOlogr. de computadora, 193, 236
de flujos (WORKFLOW), u proteccin contra, 237-240
neutral, 20 segu ridad en contra do, 236-237
Tcl~oonlUJlicaciones, software, 205, 208 vacunas contra, 237
Temperatura y humedac:\, 227
rierra ((sica, 222
Tipos y topologa de redes, 102 -w-
Tol~rJnd., 260
10mJ de decibiones incorrectas, 18 WORl<FLow, vase Tknologa de flujo.
Totales aleatorios de cienos programas, 12
Tr.n_<'lccin(cs)
clasificacin de..6
Onginadas por personas, 13
-z-
regtstro manual de la informadn
Zombies, 23&-239
par. originar una, 13-14
revisin de, por el personal, 14
AUDITORA
EN INFORMTICA
,
La auditora en informtica es una prctica
administrativa por dems sana en empresas y
organizaciones, sobre todo en esta poca donde
las caractersticas del software y del hardware
varia n con el fin de satisfacer necesidades muy
diversas.