Libro Auditoria Informatica Autosaved

,
AUDITORIA
EN INFORMTICA
Segunda edicin
JOS ANTONIO ECHENIQUE GARCfA

Universidad Nacional Autnoma de Mxico
Universidad Autnoma Metropolitana
McGraw-HiII
MEXICO - BUENOS AIRES - CARACAS GUATEMALA LISBOA MADRID
NUEVA YORK SAN JUAN SANTAFE DE BOGOTA SANTIAGO SAO PAULO
AUCKLAND LONDRES MILN MONTREAL NUEVA DELHI SAN FRANCISCO
SINGAPUR SToLOUIS SIDNEY TORONTO
CONTENIDO
AGRADECIMIENTOS ix
INTRODUCCIN xi
CAPTULO 1: Concepto de auditora en informtica

y diversos tipos de auditoras 1
Concepto de auditora y concepto de informtica 2
Diversos tipos de auditoria y su relacin con la auditora en informtica 5
Auditora interna/externa y auditora contable/financiera 5
Auditora administrativa/ operacional 9
Auditora con informtica 10
Definicin de auditora en informtica 17
Concepto de auditora en informtica 17
Campo de la auditora en informtica 20
Auditora de programas 22
CAPTULO 2: Planeacin de la auditora en informtica 25

Fases de la auditora 26
Planeacin de la auditora en informtica 30
Revisin preliminar 32
Revisin detallada 33
Examen y evaluacin de la informacin 34
Pruebas de consentimiento 35
Pruebas de controles del usuario 36
Pruebas sustantivas 36
Evaluacin,de los sistemas de acuerdo al riesgo 38
Investigacin preliminar 39
Personal participante 42
CAPTULO 3: Auditora de la funcin de informtica 55

Recopilacinde la informacin organizacional 56
Principales planes que se requieren dentro de la organizacin
de informtica 58
Evaluacin de la estructuro)orgnica 61
Estructura orgnica 63
Funciones 67
Objetivos 72
Anlisis de organizaciones 75
Evaluacin de los recursos humanos 76
Entrevistas con el personal de informtica 82
Situacin presupuestal y financiera 84
vi !'resu puestos 84 Segur,
CONTENIDO
Recursos financieros 85 Riesgo:
Recursos materiales 86 Encrip:
Seguridad
CAPiTULO 4: Evaluacin de los sistemas 89 Seguridad
Ubicac
Evaluacin de sistemas 90
Piso el,
Evaluacin del anlisis 95
Aire ac
Anlisis y diseo estructurado 97
Instalar
Evaluacin del diseo lgico del sistema 98
Seguric
Programas de desarrollo 98
Seguric
Bases de datos 99
El administrador de bases de datos 100
Octccci
Temper
Comunicacin 102
Seguridad,
Informes 103
Anlisis de informes 113
Protecc
Seguros .....
Ruido, redundancia, entropa 113
Condia
Evaluacin del desarrollo del sistema 115
Seguridad,
Sistemas distribuidos, Internet, comunicacin entre oficinas 116
Seguridad,
Control de proyectos 117
Plan de con
Control de diseo de sistemas y programacin 119
Instructi vos de operacin 132 de desa
Plan de
Forma de implantacin 133
Selecci
Equipo y facilidades de programacin 133
Entrevistas a usuarios 133
CAPtrulO
Entrevistas 134
Cuestionario 134 Tcnicas pru
Derechos de autor y secretos industriales 138 Anlisis
Intemet 142 Mtodo'
Proteccin de los derechos de autor 144 Evaluacin.
Secretos industriales 145 Anlisis
Evaluacin (
CAPiTULO s: Evaluacin del proceso de datos Evaluad
y de los equipos de cmputo 155 Evaluad
Controles 156
Evaluad
Evaluad
Control de datos fuente y manejo de cifras de control 161
Control de operacin 164 Controles ...
Pnesentacin
Control de salida 170
Control de asignacin de trabajo 171
Conclusione
Control de medios de almacenamiento masivo 173
Control de mantenimiento 176
Orden en el centro de cmputo 182 Bibliografa
Evaluacin de la configuracin del sistema de cmputo 183
Productividad 185
fndice anal
Puntos a evaluar en 10$ equipos 186
CAPiTULO 6: Evaluacin de la seguridad 191

Seguridad lgica y confidencialidad 194
84 Seguridad lgica 196 vii
85 Riesgos y controles a auditar 205 CONTENIDO
86 Encriptarniento 216
Seguridad en el personal 218
89 Seguridad fsica 219
Ubicacin y construccin del centro de cmputo 220
90 Piso elevado o cmara plena 221
95 Aire acondicionado 221
97
Instalacin elctrica y suministro de energa 222
98
Seguridad contra desastres provocados por agua 224
98 Seguridad de autorizacin de accesos 225
,99
Deteccin de humo y fuego, extintores 226
100 Temperatura y humedad 227
102
Seguridad en contra de virus 236
103
Protecciones contra virus y elementos a auditar 237
113
Seguros 240
113
Condiciones generales del seguro de equipo electrnico 241
115
Seguridad en la utilizacin del equipo 247
116
Seguridad al restaurar el equipo 249
117
Plan de contingencia y procedimientos de respaldo para casos
119
de desastre 251
132
Plan de contingencias 252
133
Seleccin de la estrategia 262
133
133 CAPiTULO 7: Interpretacin de la informacin 269
134
134 Tcnicas para la interpretacin de la informacin 270
138 Anlisis crtico de los hechos 270
142 Metodologa para obtener el grado de madurez del sistema 271
144 Evaluacin de los sistemas 272
145 Anlisis 272
Evaluacin de los sistemas de informacin 276
Evaluacin en la ejecucin 277
155 Evaluacin en el impacto 278
Evaluacin econmica 279
156
Evaluacin subjetiva 280
161
Controles 281
164
Presentacin 285
170
171 Conclusiones 289
173
176
182 Bibliografa 291
183
185
ndice analtico 293
186
191
194
INTRODUCCiN
En la actualidad el costo de los equipos de cmputo ha disminuido considera-

blemente, mientras que sus capacidades y posibilidades de utilizacin han au-
mentado en forma inversa a la reduccin de sus costos. Aunque los costos uni-
tarios han disminuido (elde una computadora personal, "microcomputador a"),
los costos totales de la computacin (de equipos, sistemas, paquetes, recursos
humanos, consumibles, etc.) se han incrementado considerablemente. Ello se
debe a que, si bien la relacin precio! memoria es menor, el tamao de la me-
moria de los equipos y sus capacidades son mucho mayores, con procesadores
y dispositivos que permiten acceso de ms datos en mucho menos tiempo y que
procesan la informacin en forma ms rpida (memorias RAM y ROM, discos
fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus
capacidades y facilidades se ha incrementado el costo total, lo que ha tenido
como consecuencia que los costos totales del uso no hayan disminuido en todos
los casos. Las nuevas herramientas can que se cuenta (Internet, Extranet, cornu-
nicacin, bases de datos, multimedia, etc.) hacen que tambin se pueda tener
acceso a mayor informacin, aunque el costo total de los sistemas, as COmOla
confiabilidad y seguridad con que se debe trabajar, sean muy altos.
En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se
tiene poca producti vidad en relacin con la informacin y uso que se da a stas.
Tambin se tiene poco control sobre la utilizacin de los equipos, existe un de-
ficiente sistema de seguridad tanto fsica como lgica y se presenta una falta de
confidencialidad de la informacin. Lo que se debe incrementar es la producti-
vidad, el control. la seguridad y la confidencialidad, para tener la informacin
necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores
decisiones.
Los siguientes puntos de la tecnologa de informacin son particularmente
notables:
o Una gran disponibilidad de hardware de computadoras muy poderosos y

baratos, incluyendo la incorporacin, a travs de la miniaturizacin de po-
derosas capacidades, en diferentes dispositivos diseados para usos perso-
nales y profesionales.
o Una gran disponibilidad de software poderoso, barato y relativamente ac-
cesible, con interfases de uso grfico.
o A la medida del diente, cambio de sistemas a software preempacado.
o Cambio de computadoras principales (mainframe a computadoras de uso
individual o aumentadas como parte de redes dedicadas a compartir infor-
macin, as como computadoras corporat vas con los correspondientes cam-
xii bios en ln naturaleza, organizacin y localizacin de actividades de los sis- ma de organizar
INTRODUCCiN
ternas de informacin, COlUO el cambio a computadoras de usuario final. control y admms
Incremento en la habilidad de las computadoras para accesardatos en tiempo En muchos ce
real o demorado, ambos en forma local o a travs de acceso a facilidades pico de herramier
remotas, incluyendo va Internet.
puestos, finanzas
Captura de nuevos datos y el liderazgo en tecnologa en almacenamiento repercu te en una i
mximo para incrementar la computarizacin, datos/informacin en tex-
nes con las caracn
tos, grMicas y video, COnnfasis en la administracin, presentacin y comu-
hace que no se CUt
nicacin de informacin, utilizando aproximaciones de multimedia,
desven de los obj
La cobertura de informacin y las tecnologas de comunicacin afectan la
La prohfcrac,
forma en que se trabaja y se compra,
mando de control
Incremento del uso de Internet para unir individuos, intraorganizaciones, a
vacidad de la infoi
travs de sistemas tales como correo electrnico (E-mail), Internet, inclu-
Adems, hay una I
yendo world y wide web. dad de la contnu.
El incremento en el uso de Internet para conducir comunicacin entre orga-
sistemas se caigan.
nizaciones e individuos, a travs de sistemas de comercio electrnico, tajes
incompatibles v el
como intercambio electrnico de datos (E DI) y sistema de transferencia elec-
Los s;stem~ ti,
trnica de fondos (EFTS).
de las herralllient.1
Mercadeo masivo y distribucin de productos de tecnologa de informa-
Para poder evaluar
cin y servicios, tales como computadoras, software preernpacado, servicio
larlo desde su inici
de recuperacin de datos en lnea, correo electrnico y servicios financieros.
electrn ico, O bien
Reduccin de barreras de uso de sistemas, estimulando una s,'an penetra-
respaldos, segunda
cin de sistemas de informacin dentro de organizaciones de lodos los ta-
maos, de lucro o no lucrativas, para contadores y consejos de administra-
No basto, pues, con
pos de cmputo, qu
ci", y pa ra propsitos estratgicos e incremento de papeles del usuario
rna total de informa
final de computadoras.
L., informtica 1
Una amplia penetracin de tecnologa de informacin, tal como diseo de
mos aos. En una g
manufactura por medio de asistencia computarizada (CAD/CAM), siste-
prendi hace algun
ma de imgenes por computadora, sistemas de informacin para ejecutivos
(EIS) y sistemas de reuniones en forma electrnica (EMS), creacin del horno.
Nuevas tcnicas de desarrollo de sistemas, basados en tecnologas de infor- dcada hemos visto
macn, tales eOJl\O software de ingeniera de asistencia cornputarizada era (ligo comn la tao
(CASE), programacin orientada a objetos y tecnologa de flujos (WORK- remoto, y considerar
FLOW). redes. listo ha provee
mtica. Ya no podem
Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis-
temas expertos, redes neuronales, agentes inteligentes y otras ayudas de COn microcompufadc
solucin de problemas, conoca en detatle so
Aca.'SOa reingeniera de nuevos negocios, basado en la integracin efectiva de tener espeoallstes
de tecnologa de informacin y procesos de negocios. informtica, yen ella
rentes funciones que
Uno de los problemas ms frecuentes en los centros de informatica es la de la informtica v d
falta de una adecuada organizacin, que permita avanzar al ritmo de las exi- El principal (lbje
gencias de las organizaciones. A esto hay que agregar la situacin que Pl'esen- los siguientes puntos
tan los nuevos equipos en cuanto al uso de bases de datos, redes y sistemas de
informacin. Lo anterior, combinado con la necesidad de una eficiente planeacin J.c1 parte administ
estratgica y corporativa de las organizaciones, y con una descentralizacin de Los recu rsos mate
equipos y centralizacin de la informacin, ha provocado que la complejidad l.os ,istem.lS)' pro
de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for- necesidade-, de la
s sis- ma de organizar el rea de cmputo, requieran aplicar tcnicas modernas de xiii
ial. control y administracin. INTRODUCCIN
!Il1pO En muchos centros de informtica tambin se desconoce el adecuado em-
ades pleo de herramientas administrativas, contables I financieras, tales como presu-
puestos, finanzas, costos, recursos humanos, organizacin, control, etc. Esto
iento repercute en una inadecuada rea de informtica que no permite tomar decisio-
I tex- nes con las caractersticas que deben tener las organizaciones actuales, lo cual
)mu- hace que no se cuente con los controles para asegurar que esas decisiones no se
desven de los objetivos.
an la La proliferacin de la tecnologa de informacin ha incrementado la de-
manda de control de los sistemas de informacin, como el control sobre la pri-
tes, a vacidad de la informacin y Su integridad, y sobre los cambios de los sistemas.
ndu- Adems, hay una preocupacin sobre la cada de los sistemas y sobre la seguri-
dad de la continuidad del procesamiento de la informacin, en caso de que los
)rga- sistemas se caigan. Otra rea de preocupacin es la proliferacin de subsistemas
tales incompatibles y el ineficiente uso de los recursos de sistemas.
elec- Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacin
de las herramientas que nos proporcionan los mismos sistemas electrnicos.
rma- Para poder evaluar un sistema de informacin es necesario conocerlo y contro-
vicio larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecnico,
eros. electrnico, o bien la combinacin de stos, hasta llegar a su almacenamiento,
etra- respaldos, seguridad y eficiencia en el uso de la informacin que proporcionan.
lS ta- No basta, pues, conocer una parte o fase del sistema, como pueden ser los equi-
stra-
pos de cmputo, que tan slo vienen a ser una herramienta dentro de un siste-
rario ma total de informacin.
La informtica ha sido un rea que ha cambiado drsticamente en los lti-
ro de
mos aos. En una generacin, la tecnologa ha cambiado tanto que lo que sor-
siste..
prendi hace algunos aos, como la llegada del hombre a la Luna, o bien la
tivos
creacin del horno de microondas, hoy nos parece algo muy familiar. En una
dcada hemos visto el cambio en la organizacin de la informtica: si hace poco
'or-
era algo comn la tarjeta perforada, hoy la vemos como algo de un pasado muy
z.ada
)RK- remoto, y consideramos como algo normal el uso de microcomputadoras y de
redes. Esto ha provocado que se tengan especialistas dentro del rea de la infor-
mtica. Ya no podemos pensar en el personal de informtica que poda trabajar
) sis-
con microcomputadores y con grandes computadoras, o bien en la persona que
S de
conoca en detalle sobre bases de datos y de comunicaciones. Ahora se deben
.tva de tener especialistas en cada una de las reas. Una de stas es la auditora en
informtica, y en ella debemos de tener especialistas para cada una de las dife-
rentes funciones que se realizarn. Esto sin duda depende del tamao del rea
es la de la informtica y de la organizacin.
exi- El principal objetivo del libro es evaluar la funcin de la informtica desde
'sen- los siguientes puntos de vista:
tS de
cin La parte administrativa del departamento de informtica.
n de Los recursos materiales y tcnicos del rea de informtica.
idad Los sistemas y procedimientos, y la eficiencia de su uso y su relacin con las
for- necesidades de la organizacin.
xlv Es conveniente precisar y aclarar que la funcin de la auditora en informa-
INTRODUCCIN tiea se ubica dentro del contexto de la organizacin, dependiendo de su tamao
y caractersticas. La profundidad con la que se realice, depender tambin de
las caractersticas y del nmero de equipos de cmputo con que se cuente, El
presente libro seala un panorama general, pero habr que adecuar ste y pro-
fundizar de acuerdo a la organizacin de que se trate y de los equipos, software cAPru
y comunicacin que se auditen.
Para cualquier comentario sobre esta obra, los lectores pueden dirigirse a la
direccin del autor en Internet: jaeg@correo.uam.mx
Al finaliz
orm-
mao
lnde
Concepto de auditora
tte. El
y pro-
tware CAPTULO
en informtica
seala y diversos tipos
de auditoras
OBJETIVOS
Al finalizar este capitulo, usted:
1. Analizar los conceptos de auditora e informtica.

2. Conocer los diversos tipos de auditora y su relacin con la auditarla en
informtica.
3. Expondr cules son las tcnicas avanzadas que se utilizan en ta auditora
con informtica.
4. Describir las habilidades fundamentales que debe tener todo auditor de in-
formtica.
5. Definir cul es el campo de la auditora en informtica.
6. Explicar cules son los principales objetivos de ta auouorra en Informtica.
2
na debe",
CAPITULO 1
CONCEPTO DE CONCEPTO DE AUDITORA uvas de )
AUDITOAIA
EN INfOP..... TICA Inforrnti,
V DIVERSOS TIPOS Y CONCEPTO DE INFORMTICA cquiposd ~
DE AUOITORIAS
conferenca
uca de 1,1F
Auditora. Con frecuencia la palabra auditora se ha empleado incorrectarnen- "<leional \1
te y se le ha considerado como una evaluacin cuyo uruco fin es detectar errores
y sealar fallas. Por eso se ha llegado a usar la (r"se "tiene auditora" como
sin<lnimo de que, desde antes de realizarse, ya se encontraron fallas y por lo
tanto se est haciendo la auditora. El concepto de auditora es ms amplio; no
slo detecta errores: ~ un examen critico que se realiza con objeto de evaluar la
eciencia y efiCdda de una seccin o de un orgaruvmo, y determinar CUN),
alternauvos de accin para mejorar la organizacin, y lograr 1"1;objetivos pro.
puestos. En 19bh
Definiciones L.l palabra auditora viene del latn auditorius, v de sta proviene "auditor", dcl rnodo SI
el que tiene la Virtud de oir; el diccionario lo define como "revisor de cuentas

colegiado" El auditor tiene 1" virtud de or y revisar cuentas, pero debe estar
encaminado a un objetivo especifico, que es el de evaluar la eficiencia y eficacia
con que se est operando para que, por medio del sealamiento de cursos alter.
natvo-, de accin, se tomen decsones que permitan corregir los errores. en
caso de que existan, o bien mejorar la forma de actuacin.
cron, sobre. t
SI consultamos nuevamente el diccionario encontramos que eflcaca es: "vir-
por redc.'lInl
tud, actividad, fuerza, para poder obrar";2 mientras que eficiencta es: "virtud y
J ntcrgubc rn
facultad para lograr un efecto dcterminedo", es decir, es el poder lograr lo pla-
U~ESCO E:
neado con los menores recursos posibles, mientras que efcacra es lograr lo-,
objetivos, dio, forrnulo
El Boleiin e de normas de auditora' del Instituto Mexicano de Contadores
Aplicilao
nos dice:
50031
LJ audtora no es una actividad meramente mecdnica que implique la aplicacum

ti.. ciertos procedmiento-, (.uyos result.(ldo~, una ve? llevados il cabo, son de car,c-
ter Indudable I J auditora requiere el ejercicio de un [uico pmesional, slido v
maduro, para Juzgar 1~ procedimientos que deben dl' seguirse y e ...umar los n.....ul
tedos obtenido- C.1'IlCl d
A,, como existen normas y procedimientos especficos para la realizacin En 1'177,

de auditoras contables, debe haber tambin normas y procedimientos para la Mexicana de
realizacin de auditoras en informatic, como parte de una profesin. t'tas
pueden estar basadas en las experiencia, de otras profesiones, pero con algun 1S
caractersticas propias y siempre guinuose por el concepto de que la auditen,
debe ser ms amplia que la simple deteccin de errores, y que adems la audito. En algun
proceso ck-ct
Ina<;;&lmpho
la cual pued
, N,,,-'t'" DiC(WJlrirW r."pa,lo1 ~'J"'-'IIII
t '1/o",
f'..',lr~ y l'rtJlJn~"tos d. IflldllC1rl, Instituto \11.').ic.l1lOde Contadores Nt'lheoo;..
(
TlIdebe evaluar para mejorar lo existente. corregir errores y proponer alterna- 3
uvas de ,011l(i6n.
CONCEPTO DE
AUDITORIAY
Informtica. El concepto de inform,tlc,l es m.s amplio que el simple uso de CONCEPTO DE
ulUlpOS de cmputo o bien de prUCl'';OS l,'ll'l'trdnicos. Veamos lo que se dijo en la INfORMTICA
cnncrcncia presentada del 5 al9 de diciembre de 1983 en el Centro de Informd-
ucadela Facultad de Contadura y Administracin (C1FCAl de la Universidad
)ITcdamen- !\adonal Autnoma de Mxico:'
xtar errores
nra" romo :'\ e.este una sola concepcin acerca de qu lOS informtica: etmologicamcnrc, la
las y por lo palabra informtica deriva del Iran\-t."S '"fimnQhqflt. Este neologismo proviene de
iamplio; no la conrunofl de InfonnatwlI (Inltlrm.1(ln) \ d&domatb11ir (automtica). Su cree,..ln
e evaluar la fU( estimulada por la Intencin dv d.lr un ...altcrnanva menos tecnocrJt1<d) m,'OOS
mecarucista al concepto de "proceso c,.-it-datos",
linar cursos
ojeti\ospro
En 1%6, la Academia Francesa reconoci este nuevo concepto y lo defini
del modo siguiente:
e "auditor",
. de cuenta,
Ciencia del tratamiento sstern.iuco y eficaz, realizado especialmente mediante
o debe estar m.iquinas automrcas, de 1" infornhlc,'dn contemplada como vehculo del saber
:ja y eficacia humano y de la comunicacin ro los Jrnbltos tcnico, econmco y social.
rursos alter-
I errores, en I lacia principios de los setcnt, y. eran clar.lS las limitaciones de esta defin-
on, sobre todo por el hincapi en el uso de las mquinas. El principal esfuerzo
acia es: "vir- por redefinir el concepto de inform.itica lo realiz en esa poca la Oficina
!S: "virtud y Int,rgubernamental de Informtica (181l, en aquel tiempo rgano asociado a la
JgTarlo pa- L:\ESCO. Este organismo, a travs de 1", comits expertos convocados para
lograr lo, ello formul en 1975 esta definicin:
Contadore-, ApllG1Cinracional. sistematica Lit- 1.1Informacin para el desarrollo econormco,

.omt r poltico.
la aplicacin La IBItambin dio en esa poca uno descrlpcrn del concepto de informdti-
son de carth. C.I 'IUl', aunque no constituye una definicin formal, resulta muy descriptiva:
nal, slido v
mar los resul .. Ciencia de la po1tica de la lnformacon.
En 1977, con la intencin de .KtualizM y "finar el concepto, la Academia

I realizacin
~1~,kana de Informtica propuso la siguente definicin:
-ntos para la
esin. stas
Ciencia de los sistemas inteligcnte-, dv mcrmaoon.
con agunas
la auditora
En algunas ocasiones se han empleado como sinnimos los concepto- de
as la audito- proceso electrnico, computadora l' inform.itica. El concepto de informtica ""
m 'amplio, ya que considera el total del sistema y el manejo de la informacin,
l. cual puede usar los equipos electrnicos como una d e sus herramientas,
I l\1kt". drl VIJlrod( ".f1rnf,itirll d..'la fCA dI' ,., Ll.\'A,\I. numo 99. vol. 11. mayo de IlJil-l
"
"" ,,' "
4
~"'/'"
"\,,;'
:?
CAPiTULO
Tambin es comn confundir el concepto de dato con el de informacin. La
informacin es tina serie de datos clasificados y ordenados con un objetivo co-
CONCEPTO DE
1
mn, El dato se refiere nicamente a un smbolo, signo O a una serie de letras o
DIVE~
AUDITORiA
EN INFORMTICA
nmeros, sin un objetivo que d un significado a esa serie de smbolos, signos,
letras o nmeros.
YSUR
y DIVERSOS TIPOS
DEAUDITORfAS -..!' La informacin est orientada a reducir la incertidumbre del receptor y tie- EN INFj
1 ne la caracterstic. de poder duplicarse prcticamente sin costo, no se gasta.
r Adems no existe por s misma, sino que debe expresarse en algn objeto (pa-
i J' .. pel, cinta, etc.); de otra manera puede desaparecer Odeformarse, como sucede
/. con la comunicacin oral, lo cual hace que la informacin deba ser controlada AUDI1
e' e,' '-./.' -,/'/ debidamente por medio de adecuados sistemas de seguridad, confidencialidad
<, :1 // y respaldo. y AUDI
La informacin puede comunicarse, y para ello hay que lograr que los me-
dios de seguridad sean llevados a cabo despus de un adecuado examen de la
forma de transmisin, de la eficiencia de los canales de comunicacin(;1 trans- El Boletin E
misor, el receptor, el contenido de la comunicacin, la redundancia y el ruidiJ interno:
Niveles La informacin ha sido dividida en varios niveles. ~ime~o es ~Ln!lLcl
de informacin ~nico~gue consid~a los a~ctos _deeficiencia y capacidad de lo? canales dI: El estud
la norm,
J ,
transmisin; el segundo es el nivel semntico, que se ocupa de la informacin
CleSdeclPunlo de vista de su sig'!!ficado; el terceroes el pragmtico, ~ cual
estudio:
para del
('"'" b' '"f~"< 'lconsidera al receptor en un contexto dado, y el cuarto,nivel analiza~ infor~a- permuai
cin desde el punto devista norm-tivo}' de la pa~e tica, o sea considera cun- procedq
,,1, ,-,_,...()~ do, d6nde"y'a_;ui~nse destina la informacin O I~que se le d. ~I Cl
--\" \'" ",,~J'~ - La informrtica debe abarcar los cuatro niveleSdei:!'Or'macin.En el cuarto procedr
Y\.,. \ I < ~Jy..y nivel tenemos una serie de aspectos importantes, como la varte legal del uso de guardar
l <T",)J~ la informacin, los estudios que se han hecho.,SQ_QJ:.e la r~ jud'PY de la infor- financier
~~ " ~ mtica Y- la creicon de la tica en iJ~tica.. que no ~Io debe incluir a los ucas pr
.....- profesionales 11 ~ Y eS~l'listas en informtica, sino tambin a los usull;
rios tantos.fe gr mdes c;>mputadQ~QltIo-e computadoras personales, Objetivos b
La informa, in tradicional (oral y escrita) se ve afectada dentro de la infor- tro objetivo!
mtica cuando <e introduce el manejo de medios electrnicos, lo cual la hace
fcilmente modficable y adaptable a las caractersticas de cada receptor. La o La prots
informacin tambin tiene la capacidad de manejarse en forma rpida y engran- o La obter
des volmenes, lo cual permite generar, localizar, duplicar y distribuir la infor- o La proa
macin de modo sorprendente, a travs de mtodos, tcnicas y herramientas o Lograre
como mcrccomputadoras, procesos distribuidos, redes de comunicacin, ba- blecdas
ses de datos, etctera.
La nueva tecnologa permite que el usuario disponga de la informacin Se ha es!
en cualquier momento, ya sea para su acceso, actualizacin, cambio o explo- troles ntenn
tacin o para que pueda distribuirse e intercambiarse entre tantos usuarios nistrativos.
como se desee. Aunque al mismo tiempo se plantea un gran problema e11cuanto
al cuarto nivel de la informacin, que es Su parte tica y el estudio de las Objetivos gl
posibilidades del buen o mal uso de la informacin por parte de personas na de el plan de
autorizadas. proteccin el;
La planeacin y control de la informacin nos ofrece nuevos aspectos im-
portantes a considerar, entre los que estn la teora de sistemas, las bases de
datos, los sistema, de comunicacin)' los sistemas de informacin, que van a ~ Boletn B
complementar el concepto de informtica y su campo de accin. Pblicos.
LLa e
.....
DIVERSOS TIPOS DE AUDITORA
.17
'00- , l' DIVERSOS TIPOS DE
'aSO "'7 "ti l AUDITOAJA y su
110>. Y SU RELACiN CON LA AUDITORA ;... REUCION CON
LA AU04TORlA EN
lNFORMA TlCA
De- EN INFORMTICA }-
,,
lSIa. (.?
tp"-
:ede
J
lada AUDITORA INTERNA/EXTERNA
dad
me-
Y AUDITORA CONTABLE/FINANCIERA
le la
ans- El Boletin E-02 del lnstuuto Mexicano de Contadores' seala respecto al control
id!!)
dvel
sd~
interno:
El e..tudio y (\\';lu~,C'i(.':n
, --
del control interno se efecta con el objeto de cumplir con
la norma de ejecucin del tr.lb.1JO qUl' re... quiere que: el auditor debe efectuar un
dn
estudio y evaluaoon 'h.tl"("ll~ldosdel control mtemo existente, qUI? le sirvan de base
cual
para determinar el grado de confianza que va a depositar en ~II as mismo, que le
ma- permitan deternunor la naturaleza, extensrn y oportunidad que va a dar a los
ln,: procedimientos de audltorl .
El control tnremo comprende el plan de organizacin y todos Jos mtodos y 1 Definicin y
arto procedimientos que ('n (l)rma coordinada se adoptan en un negocio para salva- I objetivos del
o de guardar sus .ICtivOS,verificar I~'Irazonabilidad y confiabilidad de su informacin! control Interno
.tor- [inanciera, promover 1.1encit'nciil operacional y provocar la adherencia a las pol-..,
I los tica., prescritas por In ad n'lIl'ISot racin,
sua-
Objetivos bsicos del control interno. D~lo anterior se desprende que los cua-
lor- tro objetivos bsico, del control interno son:
_.
lace v
.La La proteccin de lo, activos de la empresa. '<, (. ~
rano Ll obtencin de informacin financiera veraz, confiable y oportun\.
10r Ll promocin de la eficiencia en la operacin del negocio. \ (.?,'
nlaS Lograr que en la ...jecucin de las operaciones se cumplan las polticas esta-
ba- blecida, por I~ administradores de la empresa.
jn Se ha establecidc que los dos primero, objetivos abarcan el aspecto de con-

plo- troles interno" contables y 105dos ltimos se refieren a controles internos admi-
rios nistrativos.
mto
las Objetivos generales del control interno. El control interno contable compren-
s no de el plan de organizacin y los procedimientos y registros que se refieren a la
proteccin de los activo. )' a la conabilidad de los registros financieros. Por lo
im-
; de
ma ! IWlttul (-oz. 'Ivrma'i " prt"tJ""itntos ,Ir lfuJ,tort"u, Instituto Mexicano de Contadore ..
Pblicos.
6 tanto, est diseado en funcin de los objetivos de la organizacin para ofrecer
seguridad razonable de que las operaciones se realizan de acuerdo con las nor-
Objetivl
CAPiTULO 1
CONCEPTO DE mas y polticas sealadas por la administracin.
AUDITORIA Cuando hablamos de los objetivos de los controles contables internos pode- El acceso
EN INFOAtiTICA
y DIVERSOS TIPOS
mos identificar dos niveles: adrninisn
DE AUDITORiAS
A) Objetivos generales de control interno aplicables a todos los sistemas
B) Objetivos de control interno aplicables a ciclos de transacciones
Objetive
RlLos objetivos generales de control aplicables a todos los sistemas se desa-
rr(han a partir de los objetivos bsicos enumerados anteriormente, y son ms Los datos
especficos, para facilitar su aplicacin. Los objetivos de control de ciclos se de- se con los
sarrollan a partir de los objetivos generales de control de sistemas, para que Se das aprop
apliquen a las diferentes clases de transacciones agrupadas en un ciclo. Asirni
QLos objetivos generales de control interno de sistemas pueden resumirse a peridica
continuacin.
objetivo c(
Estos
todos lose
Objetivos de autorizacin cas de cor
desarrollar
que sean a
Todas las operaciones deben realizarse de acuerdo con autorizaciones genera- El rea
les o especificaciones de la administracin. no. La prin
Las autorizaciones deben estar de acuerdo con criterios establecidos por el interno, y I
nivel apropiado de la administracin. nformatcr
Las transacciones deben ser vlidas para conocerse y ser sometidas oportu- En el p
namente a su aceptacin. Todas aquellas que renan los requisitos establecidos una organi
por la administracin deben reconocerse como tales y procesarse a tiempo. en el logro
Los resultados del procesamiento de transacciones deben comunicarse auditora. 1
oportunamente y estar respaldados por archivos adecuados. manca. En
decir, come
adecuadam
se obtenga
Objetivos del procesamiento mejore laef
y clasificacin de transacciones y para que
polticas est,
control intei
Todas las operaciones deben registrarse para permitir la preparacin de esta- Al estue
dos financieros en conformidad con los principios de contabilidad general- que, aunqu(
mente aceptados, o COncualquier otro criterio aplicable a los estados y para tener en elle
mantener en archivos apropiados los datos relativos a los activos sujetos a clo de transe
custodia. La audit
Las transacciones deben clasificarse en forma tal que permitan la preparacin, procese
cin de estados financieros en conformidad con los principios de contabilidad da fsica, ver
generalmente aceptados segn el criterio de la administracin. rcncia entre
Las transacciones deben quedar registradas en el mismo periodo contable, financiero es
cuidando de manera especifica que se registren aquellas que afectan ms de un zacin medie
ciclo. tivos del com
frecer
s nor-
Objetivo de salvaguarda fsica 7
DIVERSOS n=os DE
AUOITOIUA y su
El"CC~,<)a los activos slo debe pcrnuurse de acuerdo con autorizaciones de la RELACI()N CON
ad mm istr acin. LA AUDITORIA EN
INFORMA TlCA
Objetivo de verificacin y evaluacin

desa-
n m.s
L......dato ...registrados relativos a 10:-' activ os ...uJctu ...a custodia deben comparar-
sede-
S(' con k" activos existentes a interv "lo, razonables, )' se deben tomar las medio
uese d,,, apropiadas respecto a las difcrencia-, que evistan.
Avimisrno, deben existir controle-, relanvos a la verificacin y evaluacin
pcnodica de los saldos que se incluyen en los estados financieros, ya que este
obj...tivo complementa en forma irnportanu los mencionados anteriormente.
Esto-, objetivos generales del control interno de sistemas son aplicables "
todo, lo, ciclos. :\0 se trata de que se usen directamente para evaluar las tcni-
C\,.. de control interno de una organzacin, pero representan una base pc-lr.l
desarrollar objetivos especficos de control interno por ciclos de transacciones
que sean aplicables a una empresa individual.
encra- El "irfi' ..l de informtica puede interactuar de dos maneras en el control nter.]
1.'0, Lll primera es servir de herramienta para llevar a cabo un adecuado control
por el interno, y 1.1segunda es tener un control interno del rea y del departamento de
Inrnrn'liticil,
portu- En el primer caso se lleva el control interno por medio de la evaluacin de
ecidos una organizacin, utilizando la computadora como herramienta que auxiliar.i
po. '''' e1 logro de los objetivos, lo cual", puede hacer por medio de paquetes de
iicarse auditoria. Esto debe ser considerado como parte del control interno con infor-
m,itic.l. En el segundo caso se lleva a cabo el control interno de informtica. E,
decir, como -e seala en los objetivo-. del control interno, se deben proteger
adecuadamente los activos de la organizacion por medio del control. para que
-e obtenga la informacin en forma \ l'rM, oportuna y confiable, para que se
mejore 1.1eficiencia de la operacin de l'lrgdnIL.lun mediante la informatica,
v para que en la ejecucin de las opcracone de informtica se cumplan las
politk,lSe'tablccidas por la administracln: todo ,'110debe ser considerado como
control interno de informtica.
le esta- Al estudiar los objetivos del control interno podemos ver en primer lugar
eneral- que, Junqu~ en auditorfa en inform.itica ('1 objt'tivn es ms amplio, se deben
y para tener en cuenta los objetivos generales del control interno aplicables a todo ci-
. tos a clo de transacciones.
La auditora en informtica debe tener pr~",nh" los objetivos de autoriza-
repara on, procesamiento y clasificacin de transacciones. a' como los de salvaguar-
bilidad da IN'd,\ crificecin y evaluacin de' Jo, equipos y de la informacin. La dite-
renoa entre los objetivos de control interno desde un punto de vista contable
llltable, nnanciero es que, mientras stos est.in enfocados a 1.. evaluacin de una orgaru
s de un zaoon mediante la revisin contable finanCler.l v de otras operaciones, lo, obje-
tivos del control interno en inform.itica estan onentados a todos los sistemas en
8 general, al equipo de cmputo y al departamento de informtica, para lo cual El auditor
CAPITULO 1 se requieren conocimientos de contabilidad, finanzas, reCUrSOS humanos, ad .. planes a largo
CONCEPTO DE rninistracin, etc., ase como de experiencia y un saber profundo en inform- de ta Imanera,
AUOITORrA tica. dad sean incor
EN INFORMTICA
V DIVERSOS TIPOS La auditora interna debe estar presente en todas y cada una de las partes
DE AUDITORrAS de la organizacin. Ahora bien, la pregunta que normalmente se plantea es:
cul debe ser Su participacin dentro del rea de informtica?
La informtica es en primer lugar una herramienta muy valiosa que debe
tener un adecuado control y es un auxiliar de la auditora interna. Pero, segn AUDITO
este concepto, la auditora interna puede considerarse como un usuario del rea
de informtica.
Se ha estudiado que los objetivos generales del control interno son. La tecnologa e
estn estructur
Autorizacin. son dramtico!
Procesamiento y clasificacin de las transacciones. administrativo
Salvaguarda fsica. planeacin adr
Verificacin y evaluacin. trol interno del
de la tecnolog,
Con base en los objetivos y responsabilidades del control interno podemos est soportado
hacer otras dos preguntas: I)(' qu manera puede participar el personal de con- nologa.
trol interno en el diseo de los sistemas? Qu conocimientos debe tener el per- William r.
sonal de control interno para poder cumplir adecuadamente sus funciones den-
tro del rea de informtica? El ex.unen!
Las respuestas a estas preguntas dependern del nivel que tenga el control cin, una se
interno dentro de la organizacin. Sin embargo, en el diseo general y detalla- planes y ob
do de los sistemas se debe incluir a personal de la contralora interna, que habr des human
de tener conocimientos de informtica, aunque no se requerir que sean espe-
cialistas, ya que slo intervendr.n en el diseo general del sistema, en el diseo Se lleva a (
de controles, en los sistemas de seguridad, en el respaldo y confidencialidad del presa con el fir
sistema y en los sistemas de verificacin. Se habrn de comprobar las fnnulas
de obtencin del impuesto sobrc cl producto del trabajo, el clculo del pago del Prdidas y
seguro social, etc., pero no debern intervenir en la elaboracin de los sistema" Mejores m
bases de datos o programacin. Tendrn que comprobar que lo sealado en el Mejores fa'
diseo general sea igual a lo obtenido en el momento de implantacin, para que Operador
puedan dar su autorizacin a la corrida en paralelo. Mejor uso
El auditor interno, en el momento en que se estn elaborando los sistemas,
debe participar en estas etapas: La auditor
del rea de inl,
Asegurarse de verificar que los requerimientos de seguridad y de auditora auditora en inl
sean incorporados, y participar en la revisin de puntos de verificacin. aplicarlos al r
Revisar la aplicacin de los sistemas y de control tanto con el usuario como El departa.
en el centro de informtica.
Verificar que las polticas de seguridad y los procedimientos estn incorpo- Objetivos,
rados al plan en caso de desastre. Organizad
Incorporar tcnicas avanzadas de auditora en los sistemas de cmputo. Estructura
Funciones
Los sistemas de seguridad no pueden llevarse a cabo a menos que existan
procedimientos de control y un adecuado plan en caso de desastre, elaborados
{ desde el momento en el que se disea el sistema. ; VVilliOlm P. I
El auditor interno desempea una importante funcin al participar en los 9
planes a largo plazo y en el diseo detallado de los sistemas} su implantacin, DIVERSOS TIPOS DE
de tal manera que se asegure que los procedimientos de audrtora y de seguri- AUDITORIA y su
dad sean incorporados a todas y cada una de las fases del sistema. RELACIN CON
LA AUDITORA EN
INFORMnCA
AUDITORA ADMINISTRATIVA/OPERACIONAL
La tecnologa en informacin est afectando la forma en que las Mg.lnizaciones
estn estructuradas, administradas y operadas. En algunos casos, los cambios
son dramticos. Cuando existe la necesidad de un nuevo diseo de sistemas
administrati vos para lograr una efectiva administracin y control financiero, la
planeacin administrativa y el proceso de diseo y los requerimientos de COn-
trol interno debern cambiar O necesariamente se modificarn con los cambios
de la tecnologa de informacin. El incremento de la tecnologa ele informacin
est soportado por una reestructuracin organizaconal alrededor de esta tec-
nologa.
William P. Leonard' define la auditora administrativa corno:
El examen globaJ y constructivo de la estructura de una empresa de una tnsutu-

cin, una seccin del gobierno o cualquier parte de un orgens.mo. en cuanto a sus
planes y objetivos, sus mtodos y controles, su forma de opera cion y sus facilida-
des humanas y fsica.
Se lleva a cabo una revisin y consideracin de la organ zacirin de una em-

presa con el fin de precisar:
Prdidas y deficiencias.
o Mejores mtodos.
Mejores formas de control.
o Operaciones ms eficientes.
o Mejor uSOde los recursos fsicos y' humanos.
La auditora administrativa debe llevarse a cabo como pal te de la auditora

del rea de informtica; se ha de considerar dentro del pwgrdma de trabajo de
auditora en informtica, tornando principios de la auditorf .administrativa para
aplicarlos al rea de informtica.
El departamento de informtica se deber evaluar de acuerdo con:
o Objetivos, metas, planes, polticas y procedimientos.

o Organizacin.
o Estructura orgnica.
o Funciones y niveles de autoridad y responsabilidad .
.. \.Vil1iam P. Leonerd, Auditoria admmistratnm, editorial Diana.

10
Adem,is, es import"nte tener en cuenta los "glllentcs lactares:
CAPITULO 1
CONCEPTO
DE Elemento humano. reportes
AUOfTORIA

ENINFOAoAAnCA Organi7.acin (manual dl' organizacin). inh)rn'l~1
y OfVEASOSTIPOS Ink>gracin. m,l(Cn.l1
DEAUDITORIAS Direccin.
Prueba'(
Su pervisi(ln. la valid.u
Comunic,'cin y COOrdinacin. ciones.
Delegacin. O ,fka
ReCursos materiales. Sel cci In
Recursos Il'cnkos. clones.
Recurso-, financieros. UC\ Ir.,
Control
Con f11lC
par
AUDITORA CON INFORMTICA
Ut''l,'l'~
~l'S del f. t
de ,"ftw.
Concepto de auditora con informtica 7( SUpl'r\ ISo
audlton
~ UtiILlaci.
los prOC"dimientos de ,'uditor,\ can informtic1l varan de acuerdo COnla filo- equipo, {1
sofa ,. tcnica de cada organL<acin \' departamento de auditora en particul.u. t dor o In
Sin embargo, existen ciertas tcnicas y I o prOC('dimientos que son compatibles
en la mayor., de los ambientes de informtica. Estas tcnicas caen en do, cate- Todos los
gora-; mlitodos manuall'S y mt<todos asistidos por computadora necer bajo e:-,ln
cumentacon, r
".lemas de los
En a'luelJ,,!
Utilizacin de las tcnicas de auditoras gados, lo, pnl$
asistidas por computadora as de prot ec"o
la...in'truccionE
desde la bib"o~
En general, el auditor debo utilizar la computadora en la ejecucin de la auditora, objeto de haa-r
ya que esta herramienta pt'mlitir, ampliar la cob.?rtura del examen, reduciendo fi'lir 'lIS pro",'.
el tiempo/ costo de las prueba-, r PI"OClXlirll.ientos
de mue...treo, que de otra mane- Cuando los
ra tendrfan que efectuarse manualmente. Existen paquete d' computadora (soft- internos debe
ware) que permiten elaborar auditoras a sistemas financieros y contables que se tr 16 d"cuado
t'ncuentran en medios informatico- Ademas, el empleo de la computadora por el
auditor le permita (amiJiarj:t..arseron la operacin del equipo en el centro de cmpu-
to de la institucin. Una computadora puede ser empleada por el auditor en:
Mantener e
godo ""el
Observar d
D..'sarrolJ.lr
Transmisin de informacin de la contabilidad d' la organi7ad6n a la sarnienro de
comput"dora del auditor, para ser trabajada por ste, o bien acceso ,11siste- ~1.1ntener el
ma en l'I.'d para que el audrtor elabore las pruebas.
tacin v corr
Verificacinde cifras totales y clculos para comprobar la exactitud de los 11
reportes de salida producidos por el departamento de informtica, de la DivERSOS TIPOS DE
informacinenviada por medios de comunicacin y de la informacin al- AUDITOAiA y su
macenada. RELACiN CON
LA AUOITORiA EN
Pruebas de los registros de los archivos para verificar la consistencia lgica, INFoRMnCA
la validacin de condiciones)' la razonabilidad de los montos de las opera-
ciones.
Clasificacinde da los Y anlisis de la ejecucin de procedimientos.
Seleccine impresin de datos mediante tcnicas de muestreo )' confirma-
ciones.
Llevara cabo en forma independiente una simulacin del proceso de tran-
sacciones para verificar la conexin)' consistencia de los progranlas de
computadora.
Con fines de auditora, el auditor interno puede emplear la computadora

para:
'll.UtiJizacinde paquetes para auditora; por ejemplo, paquetes provenen- (l ""..'q ,:,.l:' v.>,J'"
eC'-~ c.
J
les del fabricante de equipos, firmas de contadores pblicos o compaas E.?!rrT ......".,--
de software.
(.........
~,,-"',l, ...........
'-
ltSupervisar la elaboracin de programas que permitan el desarrollo de la J .~~,
..,..
auditora interna.' ...u ~J
ji. Utilizacin de
programas de auditora desarrollados por proveedores de
equipo, que bsicamente verifican la eficiencia en el empleo del compu-
la filo- tador o miden la eficiencia de los programas, su operacin o ambas cosas.
icular.
tibies Todos los programas o paquetes empleados en la auditora deben perma-
s cate- necerbajo estricto control del departamento de auditora. Por esto, toda la do-
cumentacin, material de pruebas, listados fuente, programas fuente y objeto,
adems de los cambios que se les hagan, sern responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibliotecas de programas catalo-
gados, los programas de auditora pueden ser guardados utilizando contrase-
as de proteccin, situacin que sera aceptable en tanto se tenga el control de
lasinstrucciones necesarias para la recuperacin)' ejecucin de los programas
desde la biblioteca donde estn almacenados. Los programas desarrollados con
objetode hacer auditora deben estar cuidadosamente documentados para de-
itora,
finir sus propsitos y objetivos)' asegurar una ejecucin continua.
iendo
Cuando los programas de auditora estn siendo procesados, los auditores
naneo
internos debern asegurarse de la integridad del procesamiento mediante con-
(soft- troles adecuados como:
I"e se
por el
mpu Mantener el control bsico sobre los programas que se encuentren catalo-
n: gados en el sistema y llevar a cabo protecciones apropiadas.
Observar directamente el procesamiento de la aplicacin de auditora.
Desarrollar programas independientes de control que monitoreen el proce-
a la samiento del programa de auditora.
siste- Mantener el control sobre las especificaciones de los progranas, documen-
tacin y comandos de control.
12 Controlar la integridad de los archivos que se estn procesando y las sali- Seleccin de d
CAPtruLO 1
das generadas. de un archivo 1
CONCEPTO DE parcial el archi
AUDITORIA
car en forma te
EN INFORMTICA
Y DIVERSOS TIPOS Tcnicas avanzadas
DE AUDITOR fAS Resultados de
de auditora con informtica demos compar,
Cuando en una instalacin se encuentren operando sistemas avanzados de Las tcnica

computacin, como procesamiento en lnea, bases de datos y procesamiento una metodolog
distribuido, se podra evaluar el sistema empleando tcnicas avanzadas de cin, empleand
auditora. Estos mtodos requieren un experto y, por lo tanto, pueden no ser actualmente se
apropiados si el departamento de auditora no cuenta con el entrenamiento ade- nan los probler
cuado. Otra limitan te, incluyendo el costo, puede ser la sobrecarga del sistema venir en las act
y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan apro- al departament
piadamente, estos mtodos superan la utilizacin en una auditora tradi- dencia al audito
cional. auditor puede,
redes de comw
Pruebas integrales. Consisten en el procesamiento de datos de un departamen- El empleo,
to ficticio, comparando estos resultados con resultados predeterminados. En mienta que faci
otras palabras, las transacciones iniciadas por el auditor son independientes de
la aplicacin normal, pero son procesadas al luismo tiempo. Se debe tener espe- Trasladar le
cial cuidado con las particiones que se estn utilizando en el sistema para prue- Llevar a cal
ba de la contabilidad o balances, a fin de evitar situaciones anormales. Verificar la
Visualizacn
Simulacin. Consiste en desarrollar programas de aplicacin para determina- Ordenamie
da prueba y comparar los resultados de la simulacin con la aplicacin real.
El auditor
Revisiones de acceso. Se conserva un registro cornputarizado de todos los ac- sistemas, con e
cesos a determinados archivos; por ejemplo, informacin de la identificacin con las poltica!
tanto de la terminal como del usuario. A continua
dencia que exis
Operaciones en paralelo. Consiste en verificar la exactitud de la informacin puede cambiar.
sobre los resultados que produce un sistema nuevo que sustituye a uno ya
auditado. Transacciones
ceso. En las apl
Evaluacin de un sistema con datos de prueba. Esta verificacin consiste en Por ejemplo, el
probar los resultados producidos en la aplicacin con datos de prueba contra cuando el nve
los resultados que fueron obtenidos inicialmente en las pruebas del programa computadora s
(solamente aplicable cuando se hacen modificaciones a un sistema). orden de repos
blecido.
Registros extendidos. Consisten en agregar un campo de control a un registro
determinado, como un campo especial a un registro extra, que pueda incluir El registro man
datos de todos los programas de aplicacin que forman parte del procesamien- En las apl icacioi
to de determinada transaccin, como en los siguientes casos. do la informad
nmina puede I
Totales aleatorios de ciertos programas. Se consiguen totales en algunas par- travs de la red
tes del sistema para ir verificando su exactitud en forma parcial. tener una clave
lo y las sal- Seleccin de detenninado tipo de transacciones como auxiliar en el anlisis 13
de un archivo histrico. Por medio de este mtodo podemos analizear en forma
DIVERSOS nPQS DE
parcial el archivo histrico de un sistema, el cual sera casi imposible de verifi- AUDlTORlA Ysu
car en fonna total REI.ACIOH CON
lA AUDlTORIA EN
INFORMATICA
Resultados de ciertos dlculos para comparaciones posteriores. Con ellos po-
demos comparar en el futuro los totales en diferentes fechas.
anzados de Las tcnicas anteriormente descritas ayudan al auditor interno a establecer

xesamento una metodologa para la revivion de los sistemas de aplicacin de una institu-
anzadas de cin, empleando como herramienta el mismo equipo de cmputo. Sin embargo,
eden no ser actualmente se han desarrollado programas y sistemas de auditora que elim-
miento ade- nan los problemas de responsabilidad del departamento de auditora, al inter-
del sistema venir en las actividades e informacin cuyo control corresponde estrictamente
usan apro- ,,1 departamento de informtica, lo cual proporciona una verdadera indepen-
tora tradi- dencia al auditor en la revisin de los datos del sistema. En la actualidad, el
auditor puede estar desarrollandc algunas de sus funciones al intervenir en las
redes de comunicacin interna.
epartamen- El empleo de la mlcrocomputadora en la auditora constituye una herra-
unados. En mienta que facilita la realizacin de actividades de revisin como:
ndientes de
tener espe- o Trasladar los datos del sistema a un ambiente de control del auditor.
I para pruo- llevar a cabo );1 sclcccn de datos.
les. Verificar la exactitud de los clculos: muestreo estadstico.
Visualizacitln de datos.
determina- o Ordenamiento de la informacin. Produccin de reportes e histogramas.
cinreal.
El auditor interno debe participar en el diseo general y especfico de los
xos los ac- sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo
zntificacin ron las polticas internas antes de que se comience la programacin del sistema.
A continuacin se muestran ejemplos de las formas tradicionales de evi-
dencia que existen en un proceso manual y las maneras en que la computadora
'ormacin puede cambiarlas:
e a uno ya
Transacciones originadas por personas y accesadas a un sistema para su pro-
ceso. En las aplicaciones computarizadas, pueden generarse automticamente.
consiste en Por ejemplo, el sistema puede emitir automticamente una orden de reposicin
ieba contra ruando el Inventario ~t a un nivel por debajo del punto de reordeno Sin la
Iprograma computadora se requera que una persona estuviera revisando y elaborara la
orden de reposicin cuando el inventario estuviera abajo del mnimo ya esta-
blecido.
un registro
OOaincluir El registro manual de la informaci6n necesaria para originar una transaccin.
ocesamicn .. En las aplicaciones computa rioladas no se producen documentos impresos cuan-
do la informacin es accesada. Por ejemplo, un cambio hecho a las tarifas de
nmina puede ser accesado a un archivo maestro de nminas computarizado a
gunas par- travs de 1" red interna, sin dejar registro impreso del cambio, aunque se debe
tener una clave de segu ridad para poder accesarlo y llevar un registro histrico
14 en el que se tenga la informacin sobre la persona y terminal en la que se acces retenida de
la informacin. ten accin.
CAPITULO 1
CONCEPTO DE
AUDITORIA La revisin de transacciones por el personal, que deja constancia con sus
EN INFORMTICA
Y DIVERSOS TIPOS
firmas, iniciales o sellos en los documentos para indicar la autorizacin del
DE AUDITORAS proceso. En las aplicaciones computarizadas la autorizacin puede ser autom-
tica. Por ejemplo, una venta a crdito puede ser automticamente aprobada si
el limite de crdito previamente determinado no est excedido. Otros mto- ben uti!lizar~
dos de autorizacin electrnica incluyen el acceso mediante claves de segu- dios, los cual
ridad. de bases dej
Anteriormente se tenan firmas en donde ahora slo se tiene una clave o
Llave de acceso, que es equivalente a la autorizacin, dejando nicamente un Uso de doc
registro (en el mejor de los casos) de la llave de acceso utilizada, el lugar donde nuales estos
se tuvo acceso y la hora y da en que fue autorizada. mtodos de
suficiente p,
El transporte de documentos de una estacin de trabajo a otra por personas, partir de std
correo O servicios similares de un lugar del negocio a otro sitio completamen- las pistas dej
te distinto. Por estos medios se moviliza un documento fsicamente. En aplica- rreen una~
ciones computarizadas, los datos pueden ser enviados electrnicamente. La in- servira de PI
formacin es transcrita, codificada, frecuentemente condensada y entonces en- dos. las piSb
viada electrnicamente por lneas de comunicaciones, y al final queda un regis- reglas del pr.
tro de cundo recibi la informacin el receptor. ejecutaron, el
Procesamiento manual. Generalmente, los documentos de las transacciones con- Uno O ms J

tienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones a las transac
cornputarizadas, el proceso se efecta electrnicamente dentro de la memoria ci6n y preces
del computador mediante procedimientos programados)' siguiendo reglas pre- den ser inclui
deterrninades.
Revisin de
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabi- minar su razr
lidad de error. En las aplicaciones computarizadas, el proceso puede ser extre- nes computa]
madamente complejo debido a la velocidad y exactitud del computador. Por mente medi
ejemplo, una compaa puede utilizar su computadora para calcular la efectivi- dificil para la
dad de cientos de posibles horarios o cdulas de produccin a fin de seleccionar tacionales est
el ms adecuado, mientras que en los mtodos manuales esto sera casi impo- acorta; al mis
sible. cin es mayoi
Mantenimiento en manuales de informacin de naturaleza fija que es nece- La divisin d~

saria para el proceso, como tarifas de nminas o precios de productos. En las la distribucir
aplicaciones computarizadas. esta informacin se almacena en medios pleados, sino t
computarizados o bien por medio de catlogos; en los mtodos manuales es zado. Por ejen
difcil tener catlogos muy amplios y con actualizacin inmediata. partes de una
tengan sistenu
Listado de los resultados del proceso en documentos impresos, como che- en el caso de 1,
ques y reportes. Frecuentemente, estos documentos contienen resultados de
procesos intermedios. En las aplicaciones computarizadas el proceso puede no Proceso de gr
dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser cruzamiento d
transferidos electrnicamente. En algunos sistemas, la informacin rutinaria es difcil Ycostosi
.. acceso rd''tIlda de manera que slo se recibe noticia de aquellas partidas que requie- 15
ren accin,
OIVERSOS TIPOS OE
AUOITORIA V su
con sus RELACiN CON
Alm~cenamento de documentos de entrada, proceso y salida en registro de
LA AUDITORIA EN
cin del archiv o slmilares. Cuando 1il infonn,ll'i6n l'~I1l'cPsJri.l, puede localizarse y INFORMTICA
autom- 1't'l'llbrJc,,;cmanualmente del (l.rea de almaccnanuento f~ico. En las aplicaciones
obada si computarizadas, la mayora de los archivos l'''lt,in en medios magnticos. De-
1$ mto- ben utilizarse programas extractivos par" recobrar 1.1informacin de tales me-
le segu- dios, I(l'" Cll"ll~~son normalmente muv rtipidos v exacto ..., por ejemplo, en el caso
J. ba,," de datos.
dave o
.ente un Uso de documentos impresos para cOMtruir el proceso, En los pr~ ma-
rdonde uales e:,.. tos documentos contienen informacin tuente, firmas de autorizacin,
DJ(looos de proceso y resultados de ,,\lid.l. bt,l informacin usualmente es
...uticu-nte par ..a construir la. transaccin v rastrearl, haci, totales de controlo. a
ersonas, p.lrlirde ';~t<bhasta el documento fuente. En 1.1.,aplicaciones cornputarizadas,
elamen- la p"l.'_ de auditora pueden verse fragm~ntad",. corno frecuentemente ocu-
\ aplica- rrecn un ambiente de base de datos. Adern.is, gr.tn parte de la informacin que
e. La in- ~r\'lrtlde pista de auditora puede (.'st,lr almorvn ..ida en medios computariza-
nces en- dos. 1.,1'pist"S de auditora computarzadas a menudo requieren entender las
in regs- r.gl.lsd,'l proceso del sistema y no siempre es obvio cuales pasos del proceso se
ejecutaron, en especial cuando el proceso computacional es complejo.
nes con- Unoo ms manuales de procedimientos que contienen informacin relativa

:aciones a las transacciones del sistema. Estos manuales gulan a la gente en la circula-
oemoria oon v proceso de las transacciones. En las aplicaciones computa rizadas, pue-
;105 pre- den ser incluidos en los sistemas mediante ayudas (lldl').
R.visin de procesos por personas, generalmente supervisores, para deter-

'robbi- minarsu razonabilidad, exactitud, totalidad} autorizacin. En las aplicacio-
:r extre- ~ computarizadas, gran parte de este morutoreo l'S ejecutado automatica-
ior. Por mente mediante una lgica de programa predeterminada. Cada vez es ms
efectivi- dificil p,lr,l 1,1 gente rnonitorcar los procesos, conforme los sistemas compu-
eccionar t.1cilll",le, e~t,ill ms integrados y son mds complejos y el ciclo del proceso se
iJmpo- acort.l; .11mismo tiempo, el nmero de usuarios v responsables de la informa-
cin es mayor.
es nece- La divisin de tareas entre los empleados, En las aplicociones computarizadas,

;. En las la d"lrrbudn de deberes implica no slo la divisin de tareas entre los ern-
medio, pll"h.io..., ...ino tambin la divisin de tarea-, cnlrl lus pt\~OSdel proceso automan-
l
uales es lado. Por ejemplo, los programas computarizados pueden procesar diferente,
partes de una transaccin en diversos lugans, \ en ocasiones se requiere que
tengan -istemas de seguridad de acceso a 01\"<'1 sistema. dato o programa, como
nO che- en d caso de los sistemas bancarios.
tdos de
uede no Procese de grandes cantidades de datos que pueden requerir la repeticin O
den ser cruzamiento de diversos elementos de la informacin, Esto es frecuentemente
naria es dificil ), costoso en un sistema manual y slo se reillil,l cuando es necesario. En
16 las aplicaciones computarizadas, grandes cantidades de datos pueden ser al-
CAPiTULO 1
macenadas en una base de datos. La velocidad y capacidades de proceso del
CONCEPTO OE computador hacen que esta informacin est disponible en el formato deseado.
AUDlTORiA En un ambiente computarzado, son posibles los ms complejos anlisis y los
EN INFORMTICA
Y DIVERSOS TIPOS
usos secundarios de los datos.
DE AUDITOR lAS

Planeacin de los procedimientos
de auditora con informtica
El propsito principal de la planeacin de las medidas de auditora es incluir

dentro de las aplicaciones las facilidades que permitan realizar las actividades
de auditora de la manera ms fluida.
La planeacin de los servicios establece las facilidades tanto actuales como
futuras que ofrece la direccin de informtica. El auditor debe examinar este
plan para establecer los requerimientos de auditora necesarios.
Para el funcionamiento de dichos procedimientos se requieren dentro de
los programas rutinas que permitan accesar la informacin y sistemas indepen-
dientes para la seleccin, surnarizacin, comparacin y emisin de reportes. Las hall)lll<l
El poder planear y realizar estas tareas implica un trabajo complicado pero implantar,
que es necesario hacer. La computarizacin de las organizaciones ha dado por de la tecnoloa
resultado una concentracin de datos y funciones, que son seleccionados,
correlacionados, resumidos y diseminados. En un ambiente computarizado t-
pico, normalmente un dato puede actualizar muchos archivos. Es necesario que
el auditor cuente con las herramientas adecuadas para poder seguir el rastro
del mismo y tambin verificar que el sistema est realizando las funciones que
supuestamente debe ejecutar; estas herramientas computarizadas le deben pero
mitir detectar los errores y corregirlos posteriormente.
Es comprensible pensar que el auditor no es un programador especializa-
do, por 10 que es obligacin de este grupo de proceso planear el desarrollo de
estas herramientas de cmputo, atendiendo las solicitudes y recomendaciones
de los auditores y aportando Su propia experiencia.
Tambin debe participar en las pruebas en paralelo y en la implantacin del
sistema, para asegurarse de que todos los procedimientos, entradas y salidas son
los solicitados por el usuario en el momento del diseo detallado, as como para
evaluar que los clculos realizados sean los correctos y, en general, para dar la
aprobacin del sistema una vez verificado que cumpla con los objetivos, flujode
informacin, controles y polticas del usuario y de la organizacin,
La participacin del auditor interno en el diseo e implementacin de un
sistema es de suma importancia. Por ejemplo, la clasificacin de la evidencia
que se vena utilizando tradicionalmente, como la firma del funcionario para
autorizar una transaccin, se ve reemplazada por una clave de seguridad de
acceso o la firma electrnica, aunque la introduccin de un computador no ne-
Habilidades cesariamente cambia las formas de la evidencia de auditora.
del auditor El auditor interno debe estar presente en el desarrollo del sistema para eva-
luar que la informacin requerida por el usuario quede cubierta y se cumpla Auditora en
reas de la 01
en ser al- conel grado de control que necesita la informacin procesada por el sistema, de
oceso del acuerdo con los objetivos y polticas de la organizacin.
DEANICOON DE
deseado. Existenciertas habilidades fundamentales que deben ser consideradas como AUDlTORJA EN
.isis y los las mnimas que todo auditor de informtica debe tener- INFORMATICA
Habilidad para manejar paquetes de procesadores de texto.

Habilidades para manejo de hojas de clculo.
Habilidad para el uso del E-mao! y conocimiento de Internet,
Habilidad para manejo de bases de datos.
Habilidad para el USQ de al menos un paquete bsico de contabilidad.
Como evaluador, el auditor de informtica debe ser capaz de distinguir en-

!S incluir tre los procesos de evaluacin de sistemas y las aproximaciones que son apro-
:hidades piadas para encauzar los propsitos especficos de evaluacin relevante para el
reade trabajo. En este sentido, ~Iauditor en informtica debe tener los conoci-
lescomo mientos de los pasos requeridos para aplicar una evaluacin particular en el
inar este contexto de la tecnologa de la informacin. Debe poseer estndares relevantes
)' prcticas que gobiernen la conduccin de una evaluacin particular. Su con-
(entro de tribucin potencial a una evaluacin particular puede ser hecha cn un contexto
indepen- especfico.
eortcs. Las habilidades tcnicas requeridas por el auditor en itormtica son las de
ado pero implantar, ejecutar y comunicar los resultados de la evaluacin en el contexto
Iado por de la tecnologa de informacin, de acuerdo con estndares profesionales que
ionados, gobiemen el objetivo de la auditora.
;zado ti-
sario que
el rastro
onesque
knper- DEFINICiN DE AUDITORA EN INFORMTICA
ll'Cializa-
rrollo de
daciones
CoNCEPTO DE AUDITORA EN INFORMTICA
Kindel Despus dc analizar los conceptos de auditora y de informtica, los diferentes
tidasson tipos de auditora, a~ como su interrelacin con la informtica, debemos res-
omopara ponder las siguientes preguntas: Qu es auditora en informtica? Cul es su
ra dar la campo de accin?
,flujo de sta es la definicin de Ron Weber en Allditing Conceptual Foundaiions and
Practice sobre auditora informtica:
Snde un
videncia Es una funCinque ha sido desarrollada para asegurar la salvaguarda de los acti-
trio para vos de los sstem;t;de computadoras, mantener la integridad de los datos y lograr
ridad de los objetivos de l. organizacn en forma eficaz y eficiente.
rr no ne-
Mientras que la definicin de Mair Willial11es la siguiente:
eva-
Jara
lcumpla Auditora en informtica es ItI verificacin de los controles en las siguientes tres
rea. de la org.nizacin (informtica):
18 Aphcam_"'programa de produccionj. que manq;
CAPfTUlO,
Desarrollo de sistemas. aquellas qu
CONCEPTO DE In-aalacron del centro de proce-o.
El conn
AUDITORIA
EN INFORMTICA
bido a lo in
y DIVERSOS TIPOS Por tanto, podernos decir que auditora en inform ..itic", es 1,,\revisin y cvn- inadecuado
DE AUDITORAS luacin de los controles, sistemas v procedimientos de l., informtica; de lo" mas, debidr
equipos de cmputo. 'u utilizacin. eficiencia y seguridad; de la orgaruzacrn na, Y slo la
que participa en el procesamiento de l. informacin, a fin de que por medio del a la mfortn
sealamiento de CUf50S alternanvo-, <;(' logre una utili/Jclon ms eficiente, Elabu
confiable y Sl'gura de la informacin que servir par., una adecuada toma de inform.ihca
decisiones. nizacn es
La informarin contenida depende de la habilidad de reducir la incerti- de inform6t
dumbre alrededor de las decisiones. El valor de la reduccin de la incertidum- cin del ('<]
bre depende del pago asociado con la decisin que se realiza. informacior
los factores que pueden influir en una organizacin a travs del control y robos horm
la auditora en mformtica SOn: tambin sor
La .lud
Influencia :-':ecesidad de controlar el uso evolucionado de las computadoras. equipos dar
de la auditora Controlar ('1uso de la computadora, que cada da se vuelve ms importante ms habra e
y costosa. das, pro","
Los altos costos que producen los errores en una organizacin, (desarrollad
Abuso en la" computadoras. ben incluir
o Posibilidad de prdida de capacidades de procesamiento de datos. ner una Info
o POsibilidad de decisiones incorrectac, cmputo, de
o Valor del hardware. software < per-onal. y el persona
o Necesidad de mantener la privacidad individual Ademas
o Posibilidad de prdida de informacin o de mal oso de la misma. son rCClIrsos
Toma do decisiones incorrectas, versiones er
o Necesidad de mantener la privacidad de la organizacln. seguro adeo
daos con ..ic
La informacin es un recurso necesario para la organizacin y para la con- inversin rrn
tinuidad de la, operaciones, ya que provee de una im.lg~n de su ambiente ac- la organiz..c
tual, su pasado ~ su futuro. Si la Imagen de la organizacin es apropiada. ';"ta recobrado. S
crecer adaptdndose a los cambio-, de su entorno. dencia1 l la
En el proceso de Id informacin se deben detectar sus errores u omisiones, y prdidas en
evitar su destruccin por causas naturales (temblores, inundaciones) O ,u,11- pre un rl1CUI
quier contingencia que pudiera su-citarse. estrenado.
La toma de decisiones incorrectas. producto de datos errneos proporcio- Las com]
nados por lo, ,,,temas. trae como consecuencia efecto .. ,,~nificah\os. que afec- nuestra sooe
tan directamente a la organizacin. den ir desde
El mayor csurnulo para el desarrollo de la auditora en informtica dentro bertad O de I
de la organi"dcin normalmente e'St.i dado por el abuso en el uso de las compu- Adcrn.is
tadoras. El abuso en computadoras es cualquier incidente asociado con la tec- siderado la r
nologa en computacin, en el cual la vctima sufra o pueda sufrir una prdida es responsab
y un dao hecho. intencionalmente o para obtener una ganancia. El problema redes de COn'
ms serio esta en lo, errores u omisiones que causan perdidas a la organizacin. integrada v I
En seguida e,t, el desastre de las computadoras debido a causas natura" .... ta- querida- EX
les como fuego, agua o fallas en el sumirustro de energa. l.as tcnicas de control que la infom
que manejan estos dos tipos de problemas han sido mejor desarrolladas que 19
aquellas que se relacionan con el abuso en las computadoras. DEFINICION DE
Elcontrol en el abuso de las computadoras es normalmente ms difcil de- AUOfTORiA EN
bidoa lo inadecuado de las leyes. Es ms difcil condenar a alguien que hizo un INFOO.. nCA
IY eva- inadecuado uso del tiempo de las computadoras, o copias ilegales de progra-
de los mas,debido a que las leyes no consideran a las computadoras como una perso-
izacin na, y slo las personas pueden ser declaradas como cu lpables, o bien considerar
dio del a la informacin como un bien tangible y un determinado costo.
.ciente, El abuso tiene una importante nfIuencia en el desarrollo de la auditora en
oma de informtica, ya que en la mayora de las ocasiones el propio personal de la orga-
nizacines el principal factor que puede provocar las prdidas dentro del rca
incerti- de informtica. Los abusos ms frecuentes por parte del personal son la utiliza-
tidurn- on del equipo en trabajos distintos a los de la organizacn, la obtencin de
infonuacin para fines personales (Internet), tos juegos o pasatiempos, y I~
mtrol v robos hormiga, adems de los delitos nformaticos que en muchas ocasiones
tambin son llevados a cabo por el propio personal de la organizacin.
la auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo O de un sistema Oprocedimiento especfico, sino que ade-
ortantc ms habr de evaluar los sistemas de informacin en general desde sus entra-
das, procedimientos, comunicacin, controles, archivos, seguridad, personal
(desarrollador, operador, usuarios) y obtencin de informacin. En esto se de-
ben incluir los equipos de cmputo, por ser la herramienta que permite obte-
ner una informacin adecuada y una organizacin especfica (departamento de
cmputo, departamento de informtica. gerencia de procesos electrnicos, etc.),
yel personal que har posible el uSOde los equipos de cmputo.
Adems de los datos, el hardware de computadora, el software y personal Prdida
;on recursos crticos de las organizaciones. Algunas organizaciones tienen inde informacin
versiones en equipo de hardware con un valor multimillonario. Aun con un
seguro adecuado, las prdidas intencionales o no intencionales pueden causar
daos considerables. En forma similar, el software muchas veces constituye una
la COn- inversin importante. Si el software es corrompido () destruido, es posible que
ente aC 4 la organizacin no pueda continuar con sus operaciones, si no es prontamente
da, sta recobrado. Si el software es robado, se puede proporcionar informacin confi-
dencial a la competencia, y si el software es de su propiedad, pueden tenerse
iones. y prdidas en ganancias o bien en juicios legales. Finalmente, el personal es siem-
O cual- pre un recurso valioso, sobre todo ante la falta de personal de inforrntica bien
estrenado.
lporcio- Las computadoras ejecutan automticamente muchas funciones crticas en
ue afee- nuestra sociedad. Consecuentemente, las prdidas pueden ser muy altas y pue-
den ir desde prdidas multimillonarias en lo econmico, hasta prdidas de li-
. dentro bertad o de la vida en el caso de errores en laboratorios md icoso en hospi tales .
compu- Adems de los aspectos constitucionales y legales, muchos pases han con-
v la tec- siderado la privacidad COInO parte de los derechos humanos. Consideran que
prdida es responsabilidad de las personas que estn con las computadoras y con la,
-oblema redes de comunicacin, asegurar que el uso de la informacin sea recolectada,
ilacin. integrada y entregada rpidamente y COnla privacidad y confidencialidad re-
aJes, ta- queridas. Existe una responsabilidad adicional en el sentido de asegurarse de
control que la informacin sea usada solamente para los propsitos que fue elaborada.
20 En este caso se encuentran las bases de datos, las cuales pueden ser usadas para B) Evalus
CAPiTULO 1 fines ajenos para los que fueron diseadas o bien entrar en la privacidad de las setien
CONCEPTO DE personas.
AUDITOAiA La tecnologa es neutral, no es buena ni mala. El uso de la tecnologa es lo Ev
EN INFORMTICA
Y DIVERSOS TIPOS que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnolo- E"
DE AUDITOR fAS ga en Internet no es problema de la tecnologa, sino de la forma y caractersti- Ev
cas sobre las cuales se usa esa tecnologa. Es una funcin del gobierno, de las Fal
asociaciones profesionales y de los grupos de presin evaluar el uso de la tecno- Ca
loga; pero es bien aceptado el que las organizaciones en lo individual tengan Co
una conciencia social, que incluya el uso de la tecnologa en informtica. lns
Deber de existir una legislacin ms estricta en el uso de la tecnologa, en FOI
la que se considere el anlisis y la investigacin para evitar el mal uso de Internet Se~
y otras tecnologas, para evitar situaciones como el suicidio colectivo de sectas COl
religiosas, como sucedi en Estados Unidos. Tambin se requiere de una tica COI
por parte de las organizaciones y de los individuos que tienen en sus manos Un,
todo tipo de tecnologa, no slo la de informtica. Pre
cup
PrO
Der
CAMPO DE LA AUDITORA EN INFORMTICA C) Evaluac
prende:
Campo El campo de accin de la auditora en informtica es:
de la auditora Con
La evaluacin administrativa del rea de informtica.
Con
La evaluacin de los sistemas y procedimientos, y de la eficiencia que se
Con
tiene en el uso de la informacin, La evaluacin de la eficiencia y eficacia
Con
con la que se trabaja.
Con
La evaluacin del proceso de datos, de los sistemas y de los equipos de Con
cmputo (software, hardware, redes, bases de datos, comunicaciones).
Conl
Seguridad y confidencialidad de la informacin.
Ordi
Aspectos legales de los sistemas y de la informacin.
D) Segunda
Para lograr los puntos antes sealados se necesita: Segu
Co~
A) Evaluacin administrativa del departamento de informtica. Esto compren-
de la evaluacin de:
Resp
Segu
Segu
Los objetivos del departamento, direccin o gerencia.
Segui
Metas, planes, polticas y procedimientos de procesos electrnicos estn- Plan
dares. sastre
Organizacin del rea y su estructura orgnica. Resta
Funciones y niveles de autoridad y responsabilidad del rea de proce-
sos electrnicos. Los princ
Integracin de 105recursos materiales y tcnicos.
Direccin. Salva
Costos y controles presupuestales. ware
Controles administrativos del rea de procesos electrnicos. Integn
adaspara B) E\'aluacinde los sistemas y procedimientos, y de la eficienciay eficacia que
ladde las setienen en el uso de la informacin. lo cual comprende:
OEFINlelN oe
AUOITORIA EN
oga es ID Evaluacin del anlisis de los sistemas y SuS diferentes etapas. INFORM TleA
I tecnolo- Evaluacin del diseo lgico del sistema.
ractersti- Evaluacin del desarrollo fsico del sistema.
lO, de las Facilidades para la elaboracin de los sistemas.
rla terno- Control de proyectos.
al tengan Control de sistemas y programacin.
lea, Instructivos y documentacin.
)logia,en Formas de implantacin.
e Internet Seguridad fsica y lgica de los sistemas.
de sectas Confidencialidad de los sistemas.
una tica Controles de mantenimiento y forma de respaldo de los sistemas.
15 manos Utilizacin de los sistemas.
Prevencin de factores que puedan causar contingencias; seguros y re-
cuperacin en caso de desastre.
Productividad.
Derechos de autor y secretos industriales.
~A C) Evaluacin del proceso de datos y de los equipos de cmputo que com-
prende:
Controles de los datos fuente y manejo de cifras de control.

Control de operacin.
ia que se Control de salida.
( eficacia Control de asignacin de trabajo.
Control de medios de almacenamiento masivos.
uipos de Control de otros elementos de cmputo.
mes], Control de medios de comunicacin
Orden en el centro de cmputo.
D) Seguridad:
Seguridad fsica y lgica.

Confidencialidad.
:ompren-
Respaldos.
Seguridad del personal.
Seguros.
Seguridad en la utilizacin de los equipos.
'OSestn-
Plan de contingencia y procedimiento de respaldo para casos de de-
sastre.
Restauracin de equipo y de sistemas.
le prooe-
Los principales objetivos de la auditora en informtica son los siguientes:
Salvaguardar los activos. Se refiere a la proteccin del hardware, soft-
ware y recursos humanos.
Integridadde datos. Los datos deben mantenerconsistenciay no duplicarse.
22 Efectividad de sistemas. Lossistemas deben cumplir con los objetivos de la uso de las
CAPITULO 1
organizacin. parte de la
CONC~PTO D~ Eficienciade sistemas. Que se cumplan los objetivos Conlos menores recur- Para
AUDITORA sos. realicen
~N INFORMTICA
y DIVERSOS TIPOS Seguridad y confidencialidad.
DE AUDITOR lAS
Para que sea eficiente la auditora en informtica, sta se debe realizar tam-
bin durante el proceso de diseo del sistema. Los diseadores de sistemas tie-
nen la difcil tarea de asegurarse que interpretan las necesidades de los usua-
rios, que disean los controles requeridos por los auditores y que aceptan y
entienden los diseos propuestos.
La interrelacin que debe existir entre la auditora en informtica y losdife-
rentes tipos de auditora es la siguiente: el ncleo o centro de la informtica son
los programas, los cuales pueden ser auditados por medio de la auditora de
programas. Estos programas se usan en las computadoras de acuerdo con la
organizacin del centro de cmputo (personal).
La auditora en informtica debe evaluar todo (informtica, organizacin
del centro de cmputo, computadoras, comunicacin y programas), con auxilio
de los principios de auditora administrativa, auditora interna, auditora con-
table/financiera y, a su vez, puede proporcionar informacin a esos tipos de
auditora. Las computadoras deben ser una herramienta para la realizacinde
cualquiera de las auditoras.
La adecuada salvaguarda de los activos, la integridad de los datos y la efi-
ciencia de los sistemas solamente se pueden lograr si la administracin de la
organizacin desarrolla un adecuado sistema de control interno.
El tipo Ycaractersticas del control interno dependern de una serie de fac-
tores, por ejemplo, si se trata de un medio ambiente de minicomputadores o
macroccrnputadoras, si estn conectadas en serie o trabajan en forma indivi-
dual, si se tiene Internet y Extranet. Sin embargo, la divisin de responsabilida-
des y la delegacin de autoridad es cada vez ms difcil debido a que muchos
usuarios comparten recursos, lo que dificulta el proceso de control interno.
Como se ve, la evaluacin que se debe desarrollar para la realizacin de la
auditora en informtica debe ser hecha por personas con un alto grado de co-
nocimiento en informtica y con mucha experiencia en el rea.
La informacin proporcionada debe ser confiable,oportuna, verdica, y debe
manejarse en forma segura y con la suficiente confidencialidad, pero debe estar
contenida dentro de parmetros legales y ticos.
AUDITORA DE PROGRAMAS
La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de
diversos recursos (cantidad de memoria) y del tiempo que utilizan los progra-
mas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organizacin.
la auditora de programas tiene un mayor grado de profundidad y de de-
talle que la auditora en informtica, ya que analiza y evala la parte centraldel
tj,os de la u-o de ras computador .." que es el programa, aunque se puede considerar como 23
parte M la auditora en informtica. AIJOITOOIA oe
ores recu r- Para lograr que la auditora de programas sea eficiente, las personas que la PROGRAMAS
realicen han de poseer ccnodrmentos profundos sobre sistemas operativos, sis-
temas de administracin de base de datos, lenguajes de programacin, utileras,
ba-es de datos, mediode comurucacin y acerca del equipo en que fue escrito
ilizar tam- el programa. Asimismo, se deber comenzar con la revisin de la documenta-
IIemastie- cindel mismo. Para poder llevar a cabo una auditora adecuada de los progra-
. los usua- mas se necesita que tos slsremcs estn trabajando correctamente, y que se ob-
aceptan r tengan los resultados requeridos, ya que al cambiar el proceso del sistema en
general se cambiardn posiblemente los programas. Sera absurdo intentar
y los dfe- optimizar un programa de un sistema que no est funcionando correctamente.
ntica son Para optimizar los programas se deber tener pleno conocimiento y acepta-
dltora de cindel sistema o sistemas que usan ese programa, y disponer de toda la docu-
-do con la mentacin detallada del sistema total.
anizacin
on auxilio
tona con-
tiposde
zacin de
osy la efi-
;in de la
;e de Iac-
tadoras o
la indivi-
isabilida-
10 muchos
temo.
;in de la
10 de eo-
:a. y debe
ebe estar
~ uso de
progra-
valuar el
y de de-
ntral del
Planeacin
CAPTULO
de la auditora
en informtica
OBJETIVOS
1. Conocer las distintas fases que comprende la auditorla en informtica.

2. Comprender la importancia en el trabajo de auditora de la planeacin, el
examen y la evaluacin de la informacin, la comunicacin de los resultados
y el seguimiento.
3. ExpUcarel valor de la evaluacin de los sistemas de acuerdo al riesgo.
4. Describir las fases que deben seguirse para realizar una adecuada investi
gacin preliminar.
5. Definir cules son las principales caractersticas que requiere el personal
que habr de participar en una auditora.
6. Conocer cmo se elabora una carta-convenio de servicios profesionales de
auditora.
26
ciah-, para
CAPlTu~o2
PlANEACION FASES DE LA AUDITORA una adecua
DE LA AUDITORA L10b
EN INFORMTICA
internos de
La auditora en informtica es el proceso de recoleccin y evaluacin de eviden- deben subo
cias para determinar cundo son 5.1Iv.lguardados los activos de los sistemas La obje
computarizados, de qu manera se mantiene la integridad de los datos y cmo de tal mane
se logran los obctivos de la organizacin eficazmente y se usan lo; recursos qu~ no hay
consumidos eficientemente. La auditorfa en informtica sigue los objetivos tra- auditores ir
diconales de la auditora: aquellos que son de la auditora externa, de salva- po,ibilitad~
I
guarda de los activos y la integridad de datos, y los objetivo" gerenciales, aque- Los resl
llos propios de la auditora interna que no s610 logran los objetivos sealados el respectivi
sino tambin los de eficiencia y eficacia. de qUl' el tri
Auditorla interna El audit
La auditora interna es una funcin independiente de la evaluacin que se
establece dentro de una organi/acin para examinar y evaluar sus actividades. rdos y con
El objetivo de la auditora interna consiste en apoyar a los miembros de la orga- El depat
n zacin en el desempeo de sus responsabilidades. Para ello, proporciona an- lIas persona
lisis, evaluaciones, recomendaciones, asesora e inforn,acin conccrnlcnte a 1.18 disci P lina ru
actividadl'S rev sa das. ber ."egu"
Los auditores internos son responsables de proporcionar Informacin acer- diton....sean
ca de la adecuaci6n y efectividad del sistema de control interno de la organtza- AsilnislJ
cin y de la calidad de la gestin. des} perid]
El manual de organizacin deber establecer claramente los propsitos del El dep.lI
departamento de auditora interna, especificar que el alcance del trabajo no debe mientes, ex
tener restricciones y sealar que los auditores internos no tendrn autoridad y/o bilidades de
responsabilidad respecto de las actividades que auditan. tores califica
El auditor interno debe ser independiente de la, actividades que audita. las responsa
Esta independencia permite que el auditor interno realice su trabajo libre y ob- mento no ne
jetivamente, ya que sin esta independencia no se pueden obtener los resultados El depar
deseados.
Las normas de auditora interna comprenden: Que las I
('S un pr
Las actividades auditadas y la objetividad de los auditores internos. trabajo ti
El conocimiento tcnico, la capacidad y el cuidado profesional de los audi- Que los.
tores internos Con los que deben ejercer su funcin. En el caso de la auditora tructivos
en informtica es de suma importancia el que el auditor cuente con los ro Que se C1

nocimientos tcnicos acrualtzados y con la experiencia necesaria en el rea.
El alcance del trabajo de auditora interna en el rl'a de informtica.
Que la
dencia d
"j
El desarrollo de las responsablldade, asignadas a los auditores internos Que los 2
responsables de la auditora a informtica. Que los
disciplin
Los auditores internos deben ser independiente. de las actividades que
auditan, y deben de tener un amplio criterio para no tomar decisiones subjeti- Cada auc
vas basadas en preferencias personales 'Obre determinadn equipo o software,
sin analizar a profundidad las opiniones. Los auditores internos son indepen-
Se requic
dientes cuando pueden desempear su trabajo con libertad y objetividad. La cas de aui
independencia permite a los auditores internos rendir juicios imparciales, esen-
pericia Id
oale:. para la adecuada conduccin de las auditoras; esto se logra a travs de
una adecuada objetividad y criterio. FASES
La objetividad es una actitud de independencia mental que los auditores DE LA AUDlTooJA
internos deben mantener al realizar las auditoras. Los auditores internos no
deben subordinar sus Juicios en maten. de auditora al de otros.
viden-
La objetividad requiere que tos auditores internos realicen sus auditoras
.temas
de tal manera que tengan una honesta confianza en el producto de su trabajo y
cmo
que no hayan creado compromisos significativos en cuanto a la calidad. Los
cursos
auditores internos no deben colocarse en situaciones en las que se sientan im-
os Ira-
posibilitados para hacer juicios profesionales objetivos.
salva-
Los resultados del trabajO de auditora deben ser revisados antes de emitir
aque- el respectivo informe de auditora, para proporcionar una razonable seguridad
liados
de que el trabajo se realiz objetivamente.
El auditor en informdtlca debe contar con los conocimientos tcnicos roque-
~uese rdos y con capacidad profesional.
jades.
Eldepartamento de auditora interna deber asignar a cada auditora a aque-
orga-
llas personas que en su con]u nto posca n los conocimientos, la experiencia y la
a an-
disciplina necesarios para conducir apropiadamente la auditora. Tambin de-
ea las
ber asegurarse que la experiencia tcnica y la formacin acadmica de los au-
ditores sean las apropiadas para realizar las auditoras en informtica.
1 acer-
Asimismo, se deber obtener una razonable seguridad sobre las capacida-
anza-
des y pericias de cada prospecto para auditor en informtica.
El departamento de auditora interna deber contar u obtener los conoci-
os del
mientos, experiencias y disciplinas necesarias para llevar a cabo sus responsa-
,debe
bilidades de auditora en inforrntica, Deber tener personal o emplear consul-
dy/o
tores calificados en las disciplinas de informtica necesarias para cumplir con
las responsabilidades de auditora; sin embargo, cada miembro del departa-
udita.
mento no necesita estar calificado en todas las disciplinas.
)' ob-
El departamento de auditora interna deber asegurarse:
tados
Que las auditoras sean supervisadas en forma apropiada. La supervisin

es un proceso continuo que comienza con la planeacin y termina con el
trabajo de auditora.
Que los informes de auditora sean precisos, objetivos, claros, concisos, cons-
audi-
tructivos y oportunos.
itoa
Que se cumplan los objetivos de la auditora.
os co-
rea.
Que la auditora sea debidamente documentada y que se conserve la evi-
dencia apropiada de 1,) supervisin.
emos
Que los auditores cumplan con las normas profesionales de conducta.
Que los audtores en informtica posean los conocimientos, experiencias y
disciplinas esenciales para realizar sus auditoras.
s que
bjeti- Cada auditor interno requiere de ciertos conocimientos y experiencias:
ware,
epen- Se requiere pericta en la aplicacin de las normas, procedimientos y tcni- Habilidades
d. La cas de auditora interna para el desarrollo de las revisiones. Se entiende por de los auditores
esen- pericia la habilidad para aplicar los conocimientos que se poseen a las si-
28 tuaciones que posiblemente se encuentren, ocupndose de ellas sin tener la adeci
CAPiTULO 2
que recurrir en exceso a ayudas o investigaciones tcnicas. El costo
PLANEACION Tener habilidad para: aplicar amplios conocimientos a situaciones que po-
DE LA AUDITORiA siblemente se vayan encontrando, reconocer las desviaciones significativas El cuid
EN INFORMTICA
y poder llevar a cabo las investigaciones necesarias para alcanzar solucio- determinan
nes razonables. plidos.Cua
El alean
Entre las habilidades que deben tener los auditores estn: cuacin y ef
lidad en el
revisar la a
Habilidad para comunicarse efectivamente y dar un trato adecuado a las sistema estaf
personas. Los auditores internos deben tener habilidad para comunicarse y metas de l
tanto de manera oral como escrita, de tal manera que puedan transmitir
clara y efectivamente asuntos como: los objetivos de la auditora, las eva- Los Obje
luaciones, las conclusiones y las recomendaciones.
Los auditores en informtica son responsables de continuar Su desarrollo La confi~
profesional para poder mantener su pericia profesional. Debern mante- sar la COI
nerse informados acerca de las mejoras y desarrollos recientes. dos par
Los auditores en informtica deben ejercer el debido cuidado profesional al Eleump
realizar sus auditoras. Elcuidado profesional, deber estar de acuerdo con tos.
la complejidad de la auditora que se realiza. Los auditores deben estar La salva
atentos a la posibilidad de errores intencionales, de errores omisiones, de la El uso eq
ineficiencia, del desperdicio, de la inefectividad y del conflicto de intereses. Ellogrod
Tambin debern estar alertas ante aquellas condiciones y actividades en mas.
donde es ms probable que existan irregularidades. Adems, debern de
identificar los controles inadecuados y emitir recomendaciones para pro- El sisternl
mover el cumplimiento con procedimientos y prcticas aceptables. control y el Cl
deben examin
El debido cuidado implica una razonable capacidad, no infalibilidad ni ac-
ciones extraordinarias. Requiere que el auditor realice exmenes y verificacio- Que los re
nes con un alcance razonable, pero no requiere auditorias detalladas de todas tuna, com
las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguri- Que losee
dad de que no existan incumplimientos o irregularidades. Sin embargo, la posi-
bilidad de que existan irregularidades materiales o que no se cumplan las dis-
posiciones debe ser considerada siempre que el auditor emprende una auditora. Los audite
Cuando el auditor detecte una irregularidad que va en contra de lo establecido cumplimiento
deber informarlo a las autoridades adecuadas de la organzacin. El auditor que pueden te
puede recomendar cualquier investigacin que considere necesaria en esas cir- ben determina
cunstancias. Posteriormente, el auditor deber efectuar su seguimiento para veri- La gerenci
ficar que se ha cumplido con lo sealado. mas diseado
El ejerciciodel debido cuidado profesional significa el uso razonable de las polticas, plan,
experiencias y juicios en el desarrollo de la auditora. res son respor
Para este fin el auditor deber considerar: y si las activid
piados.
Cuidado El alcance del trabajo de auditora necesario para lograr los objetivos de la Los audite
profesional auditora.
La materialidad o importancia relativa de los asuntos a los que se aplican La correcc
los proceclimientos de la auditora. existencia
s sin tener La adecuacin y efectividad de los controles internos. 29
El costo de la auditora en relacin con los posibles beneficios. FASES
.esque po' DE LA AUDITOOIA
;nificativas El cuidado profesional incluye la evaluacin de los estndares establecidos,
ar solucio- determinando en consecuencia si tales estndares son aceptables y si son curn-
plidos. Cuando stos son vagos debern sol icita rse interpretaciones autorizadas.
E! alcance de la auditora debe abarcar el examen y evaluacin de la ade-
cuacin y efectividad del sistema de control interno de la organizacin y la ca-
lidad en el cumplimiento de las responsabilidades asignadas. El propsito de
revisar la adecuacin del sistema de control interno es el de cerciorarse ~i el
:uado a las sistema establecido proporciona una razonable seguridad de que los objetivos
nnunicarse y metas de la organizacin se cumplirn eficiente y econmicamente .
. transmitir Los objetivos elementales del control interno son para asegurar:
-a, las eva-
1 desarrollo La confiabilidad e integridad de la informacin. Los auditores deben revi-

rn manteo sar la con fiabilidad e integridad de la informacin y los mtodos empica.
dos para identificar, medir, clasificar y reportar dicha informacin
ofesional al Elcumplimiento de las polticas, planes, procedimientos, leyes y reglamen-
cuerdo con tos.
deben estar 1~1salvaguarda de los activos.
sienes, de la El uso eficiente y econmico de los recursos.
le intereses. El logro de los objetivos y metas establecidos para las operaciones o progra-
ividades en mas.
debern de
'5 para pro- El sistema de informacin proporciona datos para la toma de decisiones, el
oles, control y el cumplimiento con requerimientos externos. Por ello, los auditores
deben examinar los sistemas de informacin y cuando sea apropiado asegurarse:
i]jdad ni ac-
verificado- Que los registros e informes contengan informacin precisa, confiable, opor-
las de todas tuna, completa y til.
Iuta segun- Que los controles sobre los registros e informes sean adecuados y efectivos .
.rgo, la posi-
plan las dis-
,. auditora. los auditores deben revisar los sistemas establecidos para asegurarse del
establecido cumplimiento de las polticas, planes y procedimientos, leyes y reglamentos
1. El auditor
que pueden tener un impacto significativo en las operaciones e informes, y de-
, en esas cir- ben determinar si la organizacin cumple con ellos.
Ito para veri- la gerencia de informtica es responsable del establecimiento de los siste-
mas diseados para asegurar el cumplimiento de requerimientos tales como
mable de las polticas, planes, procedimientos y leyes y reglamentos aplicables. Los audito-
res son responsables de determinar si los sistemas son adecuados y efectivos
y si las actividades auditadas estn cumpliendo con los requerimientos apro-
piados.
ojeti,'osde la los auditores debern revisar:
le se aplican La correccin de los mtodos de salvaguarda de los activos y verificar la

existencia de estos activos.
30 Los mtodos empleados para salvaguardar los activos de diferentes tipos mas que p
CAPiTuLO 2
de riesgos tales como: robo, incendios, actividades impropias o ilegales, as cfectue COI
PlANEACION como de elementos naturales como terremotos, inundaciones, etctera. El trat
DE LA AUOOOOlA mcn) la e
EN INFORMllCA
los auduores debern evaluar si el empleo de los recursos se realiza en seguimien
(orma economica y eficiente. Lo, plaJ
Uso eficiente la administracin es responsable de establecer estndares de operacin para
de recursos medir la eficiencia JI economa en el uSOde los recursos. los auditores mterno-, El ~'5tal
son responsables de determinar si: la obre
la del,
lo" ~'St.lndare. para medir la economa y eficiencia en el uso de lo. recursos El estal
son los adecuados, involuc
los estndares de operacin establecidos han sido entendidos y se cum- la reJI
plen. familiar
las desviaciones a los estndares de operacin se identifican, analizan y se cin de
comunican " los responsables para que tomen las medidas correctivas. prornov
Se toman las medidas correctivas. La prcp
ld detel
Las nuditoras relacionadas con el uso econmico y eficiente de los recursos dos de I
debern identificar situaciones tales como: l., obter
Subutilizacin de instalaciones. En el ca
Trabajo no productivo. pues habrd (
Proced imientos que no justifican su costo.
Exceso o insucencia de personal. evaluad
o Evaluad
Uso indebido de las instalaciones.
Evaluad
Los auditores debern revisar las operaciones O programas para cerciorar- Evtlluaci.
se si los resultado, son consistentes con los objetivos y metas establecidos y si to (o;olh,
o Segurida
las operaciones o programas se llevan a cabo como se planearon.
Aspectos
Para I"!lr
iuformacion I
PLANEACIN DE LA AUDITORA evaluar P,lra
trl\\ I~ta!o.prt.\
EN INFORMTICA <.Id,.,r.i inclui,
solicttar o fon
Para hacer una adecuada planeacin de la auditora en informtica hay que El procese
seguir un" serie de pasos previos que permitirn dimensionar el tamao y ca-
ractersticas del rea dentro del organismo a auditar, sus sistemas, organiza- Mct,l" .
cin y equipo. Con ello podremos determinar el nmero y caractersticas del Programa
personal de auditora, las herramientas necesarias, el tiempo y costo, as como Plan,'s de
definir los alcances de la auditora para, en caso necesario, poder elaborar el Informe- e
contrato de servicios.
Dentro de la auditorfa en general, la planeacin es uno de los pasos m~ I.JS metas
Importantes, ya que una inadecuada planeacin provocar una serie de proble- plimiento, sobl
ntes tipos mas que pueden impedir que se cumpla con la auditora O bien hacer que no se 31
~ales, as efecte con el profesionalismo que debe tener cualquier auditor.
FASES
l!tera. El trabajo de auditora deber incluir la planeacin de la auditora, el exa- OE LA AUIlITQRIA
men y la evaluacin de la informacin, la comunicacin de los resultados y el
-ealiza en segurmento.
La planeacin deber ser documentada e incluir:
!Cinpara
snternos El establecimiento de lo, objetivos y el alcance del trabajo.
La obtencin de informacin de apoyo sobre las actividades que se auditarn.
La determinacin de tos recursos necesarios para realizar la auditora.
.recursos El establecimiento de la comunicacin necesaria con todos los que estarn
involucrados en la auditora.
r se cum- la realizacin, en la forma ms apropiada, de una inspeccin fsica para
familiariznrse con las actividades y controles a auditar, as como identifica-
Iizanyse cin de las reas en las que se debed hacer nfasis al realizar la auditora y
tivas. promover comentarios y la promocin de los auditados.
la preparacin por escrito del programa de auditora.
la determinacin de cmo, cundo y a quin se le comunicarn los resulta-
irecursos dos de la auditora.
La obtencin de la aprobacin del plan de trabajo de la auditora.
En el caso de la auditora en informtica, la planeacin es fundamental,

pues habr que hacerla desde el plinto de vista de varios objetivos:
Objetivos
Evaluacin administrativa del rea de procesos electrnicos.
de la planeacln
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
;erciorar- Evaluacin del proceso de datos, de los sistemas y de los equipos de cmpu-
:idos y si to (software, hardware, redes bases de datos, comunicaciones).
Seguridad y confidencialidad de la informacin.
Aspectos legales de 10'> sistemas y de la informacin.
Para lograr una adecuada planeacin, lo primero que se requiere es obtener

informacin general sobre la organizacin y sobre la funcin de informtica a
evaluar. Para ello e.. preciso hacer una investigacin preliminar y algunas en-
tre\ istas previas, y con base en esto planear el programa de trabajo, el cual
deber incluir nempos, costos, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la auditora.
hay que El prOCt'SOde planeacicn comprende el establecer:
ao y ca-
lrganiza- Metas.
;ticas del Programas de trab"Jo de auditora.
as como Planes de contratacin de personal y presupuesto financiero.
aborar el Informes de actvidades,
1$05 ms Las metas se debern establecer de tal manera que se pueda lograr su cum-
e problc- plimiento, sobre la base de los planes especificos de operacin y de los presll-
32 puestos, los que hasta donde sea posible debern ser cuantificables. Debern La revis
acompaarse de los criterios par. medirlas y de fechas lmite para su logro. zada por Uf
CAPiTULO 2
PLANEACIN Los programas de trabajo de auditora debern incluir: las actividades que no norrnaln
DE LA AUDITORIA se van a auditar, cundo SCI'" auditadas, el tiempo estimado requerido, to- parte geren.
EN INFORMTICA
mando en consideracin el alcance del trabajo de auditora planeado y la natu- familiarizad
raleza y extensin del trabajo de auditora realizado por otros. Los programas causas de la
de trabajo deberan ser lo suficientemente flexibles para cubrir demandas im- nes; el audi
previstas. consideraric
Los planes de contratacin de empleados y los presupuestos financieros si el auditor
--incluyendo el nmero de auditores, su conocimiento, su experiencia y las gar de proc
disciplinas requeridas para realizar su trabajo-, debern contemplarse al ela- con la fase d
borar los programas de trabajo de auditora, as como las actividades adminis- controles int
trativas, la escolaridad y el adiestramiento requeridos, la investigacin sobre
auditora y los esfuerzos de desarrollo.
REVIS
REVISiN PRELIMINAR Los objetivo
para que el
El primer paso en el desarrollo de la auditora, despus de la plancacln, es la dentro del '
revisin preliminar del drea dc informtica. El objetivo de la revisin prelimi- El audite
nar es el de obtener la informacin necesaria para que el auditor pueda tomar la timiento, COl
decisin de cmo proceder en la auditora. Al terminar la revisin prcli mina r el de control in
auditor puede proceder en uno de los tres caminos siguientes. bas compens
puede, desp
internos se ti
o Diseo de la auditora. Puede haber problemas debido a la falta de compe-
altemosdea
tencia tcnica para realizar la auditora.
En la fas
o Realizar una revisin detallada de los controles internos de los sistemas con
las causas dr
la esperanza de que se deposite la confianza en los controles de los sistemas
para reducir
y de que una serie de pruebas sustantivas puedan reducir las consecuen-
sin detallad
cias.
dos reducen
o Decidir el no confiar en los controles internos del sistema. Existen dos raro-
tenci6n de in
nes posibles para esta decisin. Primero, puede ser ms eficiente desde el
usados en la
punto de vista de costo-beneficio el realizar pruebas sustantivas directa-
con que se ot
mente. Segundo, los controles del rea de informtica pueden duplicar los
Como en
controles existentes en el rea del usuario. El auditor puede decidir que se
de lograr los
obtendr un mayor costo-beneficio al dar una mayor confianza a los con-
auditor inten
troles de compensacin y revisar y probar mejor estos controles.
ciencia y efic
suficientes pa
La revisin preliminar significa la recoleccin de evidencias por medio de interno debe
entrevistas con el personal de la instalacin, la observacin de las actividades
sobrecontrol,
en la instalacin y la revisin de la documentacin preliminar. Las evidencias nos controles
se pueden recolectar por medio de cuestionarios iniciales, O bien por medio de
controles inte
entrevistas, o con documentacin narrativa. Debemos considerar que sta ser tamente a rev
slo una informacin inicial que nos permitir elaborar el plan de trabajo, la
procediment
cual se profundizar en el desarrollo de la auditora.
de los sistema
Debern La revisin preliminar elaborada por un auditor interno difiere de la reali- 33
ogro. ud. por un auditor externo en tres aspectos. En primer lugar, el auditor inter- FASES
odes que no normalmente requiere de menos revisiones y trabajos, especialmente en la DE LA AUOITOfIIA
ddo, to- parte gerencial y de organizacin, ya que l es parte de la organizacin y est
l.natu- familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las
JgTaD\as causas de las prdidas y en los controles necesarios para justificar sus decisio- TipoS
idas irn- nes; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus de revisiones
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
anderos si el auditor interno supone serias debilidades en los controles internos, en lu-
ra y las gar de proceder directamente con las pruebas sustantivas, deber continuar
.e al ela- conla fase de revisin detallada para sealar recomendaciones para mejorar los
dmns- controles internos.
in sobre
REVISiN DETALLADA
Losobjetivos de la fase detallada son los dc obtener la informacin necesaria
para que el auditor tenga un profundo entendimiento de los controles usados
ln, es la dentro del rea de informtica.
prelirni- El auditor debe decidir si debe de continuar elaborando pruebas de consen-
:omar la timiento, con la esperanza de obtener mayor confianza por medio del sistema
ninar el decontrol interno, o proceder d irectamente a la revisin COnlos usuarios (prue-
bas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor
puede, despus de hacer un anlisis detallado, decidir que con los controles
cornpe-
internos se tiene suficiente confianza, y en otros casos que los procedimientos
alternos de auditora pueden ser ms apropiados.
:nascon En la fase de evaluacin detallada es importante para el auditor identificar
jstemas las causas de las prdidas existentes dentro de la instalacin y los controles
secuen- para reducir las prdidas y los efectos causados por stas. Al terminar la revi-
sindetallada el auditor debe evaluar en qu momento los controles estableci-
os razo- dos reducen las prdidas esperadas a un nivel aceptable. los mtodos de ob-
lesde el tencin de informacin al momento de la evaluacin detallada son los mismos
directa- usados en la investigacin preliminar, y lo nico que difiere es la profundidad
Iicarlos con que se obtiene la informacin y se evala.
rque se Como en el caso de la investigacin preliminar, se tienen diferentes formas
los con- de lograr los objetivos desde el punto de vista del auditor interno o externo. El
auditor interno debe considerar las causas de las prdidas que afectan la efi-
ciencia y eficacia, adems de evaluar por qu los controles escogidos son o no
suficientes para reducir las prdidas esperadas a un nivel aceptable. El auditor
odio de
interno debe evaluar si los controles escogidos son ptimos, si provocan un
vidades
sobrecontrol, () bien si se logra un satisfactorio nivel de control usando me-
dencias
nos controles O controles menos costosos. Si el auditor interno considera que los
ediode
controles internos del sistema no son satisfactorios, en lugar de proceder direc-
sta ser
tamente a revisar, a probar controles alternos o a realizar pruebas sustantivas y
bajo, la
procedimientos, debe sealar las recomendaciones para mejorar los controles
de los sistemas.
34 Eldirs
selecciona
CAPiTULO 2
PlANEACIN
EXAMEN y EVALUACiN
OE LA AUDITOR'" o Descri
EN INFORMTlCA DE LA INFORMACiN o Selecc
o Entrer
Los auditores internos debern obtener, analizar, interpretar y documentar la todos
informacin para apoyar los resultados de la auditora. o Evalui
El proceso de examen y evaluacin de la informacin es cl siguiente: ao.
o Aseso
o Se debe obtener la informacin de lodos los asuntos relacionados con los siona1.
objetivos y alcances de la auditora.
o La informacin deber ser suficiente, competente, relevante y tilpara que Eltrab
proporcione bases slida. en relacin con los hallazgos y recomendaciones la adecuad
de la auditora. La informacin suficiente significa que esl basada en he- El dre
chos, que es adecuada y convincente, de tal forma que una persona pruden- ner un pro
te e informada pueda llegar a las mismas conclusiones que el auditor. La lamento d
informacin competente significa que es confiable y puede obtenerse de la una seguri
mejor manera, usando las tcnicas de auditora apropiadas. La informacin normas ap
relevante apoya los hallazgos y recomendaciones de auditora y es consis- Unprr
tente con los objetivos de sta. l.a informacin til ayuda a la organizacin
a lograr sus metas. o Supon
o Los procedimientos de auditora, incluyendo el empico de las tcnicas de Revisc
pruebas selectivas y el muestreo estadstico, debern ser elegidos con ante- Revsk
rioridad, cuando esto sea posible, y ampliarse o modificarse cuando las cir-
cunstancias lo requieran. La supo
o El proceso de recabar, analizar, interpretar y documentar la informacin cabo conri
deber supervisarse para proporcionar una seguridad razonable de que la las normas
objetividad del auditor se mantuvo y que las metas de auditora se cum- Las rcv
plieron, del departe
o Los documentos de trabajo de la auditora debern ser preparados por los auditora r~
auditores y revisados por la gerencia de auditora. Estos documentos debe- ro que cual
r" registrar la informacin obtenida y el anlisis realizado, y deben apo- Para e\
yar las bases de los hallazgos de auditora y las recomendaciones que se practicarse
harn.
Los auditores debern reportar los resultados del trabajo de auditora. El

auditor deber discutir las conclusiones y recomendaciones en los niveles apro-
piados de la administracin antes de emitir su informe final. Los informes de-
bern ser objetivos, claros, concisos, constructivos y oportunos. Los informes
presentaran el propsito, alcance y resultados de la auditora y, cuando se con-
sidere apropiado, contendrn lo opinin del auditor.
Los informes pueden incluir recomendaciones para mejoras potencialesy El objetivo
reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vista controles in
de los auditados respecto a las conclusiones y recomendaciones pueden ser in- determinar
)<ln confiab!
cluidos en el informe de auditora.
Los auditores internos realizaran el seguimiento de las recomendaciones, Ademar
cuentement
para asegurarse que se tomaron las acciones apropiadas sobre los hallazgosde
auditora reportados. asistidas po
El director de auditora en informtica deber establecer un programa para 35
seleccionar y desarrollar los recursos, el cual debe contemplar: FASES
DE LA AUDITORA
Descripciones de puestos por cada nivel de auditora en informtica.
Seleccin de individuos calificados y competentes.
Entrenamiento y oportunidad de capacitacin profesional continua para
mentar la todos y cada uno de los auditores.
Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al
nte: ao.
Asesora a los auditores en lo referente a Su trabajo y a su desarrollo profe-
)5 con los sional.
. para que El trabajo de auditora interna y externa deber coordinarse para asegurar
,daoncs la adecuada cobertura y para minimizar l. duplicidad de esfuerzos .
.da en he- El director de auditora interna en informtica deber establecer y mante- Programa
apruden- ner un programa de control de calidad para evaluar las operaciones del depar- de control
uditor. Lo, tamento de auditora interna. El propsito de este programa es proporcionar de calidad
ierse de la una seguridad razonable de que el trabajo de auditora est de acuerdo con las
:onnacin normas aplicables.
es consis- Un programa de control de calidad deber incluir los siguientes elementos:
;aniz.acin
Supervisin.
~cnicasde Revisiones internas.
;con ante-
Revisiones externas.
Idolas cir-
Lo1 supervisin del trabajo de los auditores en informtica deber llevarse a
formacin
cabo continuamente para asegurarse de que estn trabajando de acuerdo con
,de que la las normas, polticas y programas de auditora en informtica.
a se cum- Las revisiones internas debern realizarse peridicamente por el personal
del departamento de auditora interna para evaluar la calidad del trabajo de
los por los auditora realizado. Estas revisiones debern llevarse a cabo de la misma mane-
ntos debera que cualquier otra auditora.
leben apo- Para evaluar la calidad del trabajo de auditora en informtica debern
nes que se practicarse revisiones externas .
ditoria. El
veles apro-
formes de-
s informes PRUEBAS DE CONSENTIMIENTO
ido se con-
El objetivo de la fase de prueba de consentimiento es el de determinar si los
'tendales y
controles internos operan como fueron diseados para operar. El auditor debe
:osde vista
den ser in- delerminar si los controles declarados en realidad existen y si realmente traba-
jan confiablemente.
-ndaciones, Adems de las tcnicas manuales de recoleccin de evidencias, muy fre-
cuentemente el auditor debe recurrir a tcnicas de recoleccin de informacin
allazgos de
asistidas por computadora, para determinar la existencia y confiabilidad de los
36 controles. Por ejemplo, para evaluar la existencia y confiabilidad de los contro- Elnu
CAPITULO 2 les de un sistema en red, se requerir el entrar a la red y evaluar directamente al
PLANEACION sistema.
OE LA AUDITORA
EN INFORIoI TlCA
Dura
Dura
Dura
PRUEBAS DE CONTROLES DEL USUARIO En ge
I TIpoS de pruebas En algunos casos el auditor puede decidir el no confiar en los controles internos
dentro de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles internos de informtica.
sideran q
pendenc,
nar esto:
Aumc
Estas pruebas que compensan las deficiencias de los controles internos se pue- Asgn
den realizar medante cuestionarios, entrevistas, vistas y evaluaciones hechas pster
directamente con los usuarios Crear
audite
Obten
Realiz
PRUEBAS SUSTANTIVAS lograr los
subsstem,
C.1S de cad
Elobjetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que subsistem
permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden evaluacin
ocurrir prdidas materiales durante el procesamiento de la informacin. El au- sin olvidar
ditor externo expresar elite juicio en forma de opinin <obre cundo puede
existir un proceso equivocado o falta de control de la informacin. Se pueden
La sum
identificar ocho diferentes pruebas sustantivas:
sistema!
Pruebas para identificar errores en el procesamiento o de falta de seguri- Los pas

dad o confidencialidad.
Pruebas para asegurar la calidad de la" datos.
11", que se
mvestigace
Pruebas para identificar la inconsistencia de los datos. ti.. cmo es
Pruebas para comparar con los datos o contadores fsicos. que SOn prl
ConCirmacinde datos con fuentes externas. con troles in
Pruebas para confirmar la adecuada comunicacin. ro, el audite
Pruebas para determinar falta de seguridad.
troles que '"
Pruebas para determinar problemas de legalidad. dimicntos. 1
>OS el audite
Debemos cuestiona rnos el beneficio de tener un excesivo controlo bien eva- der con pas.
luar el beneficio marginal de tener mayor control contra el costo que representa Durantl
ste. Para ello es necesario evaluar el costo por falla del sistema, y sus repercu- cites, Cada
siones para determinar el grado de riesgo y confianza necesarios contra el costo quiere de eY
de implantacin de controles y el costo de recuperacin de la informacin o cas obtenid
eliminacin de las repercusiones.
.ontro- El auduor debe participar en tr es es tados del sistema:
ente al
FASES
Durante la fase de diseo del sistema. oe LA AUOITQflIA
Durante la fase de operacin.

Durante la fase posterior a la auditorta.
en general, la opinin del gerente de inforrndtica y de la alta gerencia con-

"d~ran que el que el auditor participe en la (J...:! de diseo disminuye la inde-
pendencia del auditor, pero existen vari." formas en las cuales se puede eliml
Nr esto:
ternos
esque
ntica. Aumentando los conocimientos en informanca del auditor.
e pue- Asignar diferentes auditores a 1,1fase de di-eo, aJ trabajo de auditora y al
teChas postenor a la auditora.
Crear una seccin de auditora en informauca dentro del departamento de
auditora interno, especializado en auditora en informtica.
Obtener mayor soporte de la alta gerencia.
Realizar una auditora en nformattca es un trabajo complejo. Por ello, para

logror los objetivos, el auditor necesita dividir los sistemas en una serie de
,u"'btem.ls, identificando los componentes que realizan las actividades bs-
cas de cada subsistema, evaluar la conanza de cada componen le, y la de los
teque -ubsistcrnas, y en forma agregada evaluar cada subsistema hasta llegar a una
ueden evaluacin global sobre la confianza total del sistema. Esto se deber realizar
El au- 'In olvidar el postulado de investigacin de operaoones, que nos seala que'
euede
Jeden 1~lsuma de los ptimos paroate-, de h>5vubcistemas no e50 Igual al ptimo del
'l.,tt>ma pero nos da una buena aproxim.lcin.
eguri- l.os pasos que involucran una auditora en Informtica SOnsimilares a aqu.:-
llos que se realizan para auditar un sistema manual. Primero se realiza una
tnw,tig,'cn preliminar del rea de informtac." para lograr un entendimiento
de (timo l'st siendo administrada la inst.llacin y de los principales sistemas
que son procesados. En segundo lugar, $1 el auditor determina confiar en los
controles internos del sistema, se realiza una investlgacin detallada. En terce-
ro, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos con-
troles que son criticos. En cuarto, se reali,an pruebas sustantivas de los proce-
dinucntos, Finalmente, el auditor debe dar un,' opinin. Despus de estos p.l-
"<>'< "1aud itor evala los controle, internos del sistema y decide si debe proce-
1eva- der ron pasos alternativos.
senta Durante la auditora en informtica deben tornarse muchas decisiones dif-
oercu .. cile... Cada evaluacin sobre la confianza de h,., sistemas de control interno re-
costo quiere de evaluaciones complejas realizadas en forma conjunta con las evden-
in o d,ls obtenidas.
38
CAPITULO 2
PLANEACIN
EVALUACiN DE LOS SISTEMAS
OE LA AUOITORIA
EN INFORMTICA DE ACUERDO AL RIESGO
Es n~
que~
Una de las formas de evaluar la importancia que puede tener para la organiza- rpid
cin un determinado sistema, es considerar el riesgo que implica el que no sea nismt
utilizado adecuadamente, la prdida de la informacin O bien el que sea usado
por personal ajeno a la organizacin. Para evaluar el riesgo de un sistema con La in
mayor detalle vase el apartado "Plan de contingencia y procedimientos de trol gerer
respaldo para casos de desastre", en el captulo 6. troles gel
Algunos sistemas de aplicaciones son de ms alto riesgo que otrQ<.debido a prcticas
que: de la inst,
los contre
Son susceptibles a diferentes tipos de prdida econmica. dos sobre
aplicacor
I Ejemplo Fraudes y eestatccs entre los cuales estn los sistemas financieros. Se del
mento po
El auditor debe de poner especial atencin a aquellos sistemas que requie- document
ran de un adecuado control financiero. programa
Se def
I Ejemplo Flujo de caja, inversiones cuentas por pagar y cobrar. nmina. dentro de
ria y la fec
Las faUas pueden impactar grandemente a la organizacin. En el,
cin prelin
I Ejemplo Una falla en et procesamiento de la nmina puede tener como consecuencia
pos decn
el que se tenga una huelga.
nar se dcb
reas basa
Interfieren con otros sistemas, y los errores generados permean a otros sis-
temas.
Admirristr,
Potencialmente, alto riesgo debido a daos en la competencia. Algunos sis-
temas le dan a la organizacin un nivel competitivo muy alto dentro de un
departame
de docume
mercado.
La efici
I Ejemplo Sistema de planeacln estratgica. Patentes, derechos de autor, los cuales objetivos el
son tas mayores fuentes de recursos de la organizacin. Otros a travs de los adapta a 101
cuales su prdida puede destruir la imagen de la organizacin. Esta ad
usuarios d
Sistemas de tecnologa de punta O avanzada. Si los sistemas utilizan tecno- direccin \
loga avanzada o de punta. dicho sistn
cutivos y U$
I Ejemplo Sistemas de bases de datos, sistemas d.stnbuicloso de cornuolcaen, tecno- Asimisa
logia sobre la cual la organIZacintenga muy poca expeenaa o respaldo. la que el perse
cual es ms probable que sea una 'uente de problemas de control. dos que se e
trol, nica",
Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, 1",
cuales son frecuentemente sistemas complejos que pueden presentar mu-
chos problemas de control.
39
INVESTIGACiN PRELIMINAR
1:.< neeesarto iniciar el tr.baJO de obt('ncin d. datos COnun contacto preliminar
que permita una primer. Id". global. El objeto de este primer contacto es percibir
;aniza- rpidamente las estructuras fundamentales y diferencias principales entre el orga-
nosea nismo a auditar y otras orgaruzeecnes que se hayan nvestgado.'
usado
na con La investigacin preliminar debe incorporar fases de evaluacin del con-
tos de trol gerencial y del control de las aplicaciones. Durante la revisin de los COn-
troles gerenciales el auditor debe entender a la organizacin y las polticas y
bidoa prcticas gerenciales USadas en cada uno de los niveles, dentro de la jerarqua
de la instalacin en que se encuentran las computadoras. Durante la revisin de
los controles de las aplicaciones, el auditor debe entender los controles ejerci-
dos sobre el mayor tipo de transacciones que fluyen a travs de los sistemas de
aplicaciones ms significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin p",a obtener una visin general del departa-
mento por medio de observaciones, entrevistas preliminares y solicitudes de
equie- documentos; la finalidad es definir el objetivo y alcance del estudio, as como el
programa detallado de la investigacin.
Se deber observar el estado general del departamento O rea, Su situacin
dentro de la organizacin, si existe la informacin solicitada, si es o no necesa-
ria y la fecha de Su ltima actualizacin.
En el caso de la auditora en iJormtica debemos comenzar la investiga-
ci6n preliminar con una visita al organismo, al rea de informtica ya los equi-
pos de cmputo, y solicitar una serie de documentos. La investigacin prelimi-
nar se debe hacer solicitando y revisando la informacin de cada una de las
reas, basndose en los siguiente>. puntos:
os sis-
Administracin. Se recopila la informacin para obtener una visin general del
os sis-
departamento por medio de observaciones, entrevistas preliminares y solicitud
deun
de documentos para poder definir el objetivo y alcances del departamento.
La eficiencia en el departamento de informtica slo se puede lograr si sus
objetivo estn integrados con los de la institucin y si permanentemente se
lS
1$
adapta a los posibles cambios de stos.
Esta adaptacin nicamente puede ser posible si los altos ejecutivos y los
usuarios de los sistemas toman parte activa en las decisiones referentes a la
ecno- direccin y utilizacin de los sistemas de informacin, y si el responsable de
dicho sistema constantemente consulta y pide asesora y cooperacin a los eje-
cutivos y usuarios.
)- Asimismo el control de la direccin de informtica no es posible, a menos
a que el personal responsable aplique la misma disciplina de trabajo y los mto-
dos que se exigen normalmente a los usuarios. Podemos hablar de tener el con-
trol, nicamente cuando se contemplaron los objetivos, se estableci un presu-
, "The Spreading D)rger o Competer Crime", en BI~sillc.ssWrek, 20 de abril de 1981.

40 puesto y se registraron correctamente los costos en el desarrollo de la aplica- Proc
CAPTULO 2 cin, y cuando lista contempla el nivel de servicio en trminos de calidad y Presi
PLANEACIN tiempos mnimos de entrega de resultados de la operacin del computador.
DE LA AUOITORIA Elxito de la direccin de informtica dentro de una organizacin depende Recu
EN INFORMTICA
finalmente de que todas las personas responsables adoptan una actitud positi-
va respecto a su trabajo y evalen constantemente la eficiencia en su propio Solic
trabajo, as como el desarrollado en su rea, estableciendo metas y estndares local:
que incrementen su productividad. prog
La direccin de informtica, segn las diferentes reas de la organizacin, Estuc
es evaluada desde diferentes puntos de vista. Fech.
Los usuarios a nivel operativo generalmente la ven como una herramienta Conb
para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de Conn
informtica es una funcin de servicio. Cada grupo de usuarios tiene Su propia Conv
expectati va del tipo y nivel de servicio, sin considerar el costo del mismo y Con6
normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios. Confi
Los altos ejecutivos consideran a la direccin de informtica Cama una in- local,
versin importante, que tiene la funcin de participar activamente en el cum- Plane
plimiento de los objetivos de la organizacin. Por ello, esperan un mximo del Ubica
retomo de su inversin; esperan que los recursos destinados a la direccin de Politi(
informtica proporcionen un beneficio mximo a la organizacin y que sta Poltic
participe en la administracin eficiente y en la minimizacin de los costos me- Poltic
diante informacin que permita una adecuada toma de decisiones. Los directi- extem
vos, con toda la razn, consideran que la organizacin cada da depende ms
del rea de informtica y consecuentemente esperan que se deba administrar lo Sisterr
ms eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la direccin de Descri
larse, e
informtica es la misma que inspira cualquier departamento de servicio: com-
binar un servicio adecuado con una operacin econmica. Manur
El problema estriba en balancear el nivel de servicio a los usuarios, que Manur
siempre puede ser incrementado a costa de un incremento del factor econmico Deseri
o viceversa. Diagra
Para poder analizar y dimensionar la estructura a auditar se debe solicitar: Fecha.
Proyec
A nivel organizacin total:
Bases<
Proced
Sisterru
Objetivos a corto y largo plazos.
Manual de la organizacin. En el rr
Antecedentes o historia del organismo. cin, deben
Polticas generales.
Se solic
A nivel del rea de informtica: o
No
e No
Requerimientos Objetivos a corto y largo plazos.
de una audltorla Manual de organizacin del rea que incluya puestos, funciones, niveles
jerrquicos y tramos de mando.
Se tiene
Manual de polticas, reglamentos internos y Iineamientos generales. o No
Nmero de personas y puestos en el rea. o Es i
la aplica- Procedimientos administrativos del .irea.
calidad y Presupuestos y costos del rea. INVESTIGACIOt<I
utador. PRELIMINAR
i depende Recursos materiales y tcnicos:
ud positi-
su propio Solicitar documentos sobre los equipos, as como el nmero de ellos, su
stndares localizacin y sus caractersticas (de los equipos instalados, por instalar y
programados ).
mizacin, Estudios de viabilidad.
Fechas de instalacin de los equipos y planes de instalacin.
rramienta Contratos vigentes de compra, renta y servicio de mantenimiento.
'eCcinde Contratos de seguros.
su propia Convenios que se tienen con otras instalaciones.
mismo y Configuracin de los equipos y capacidades actuales y mximas.
usuarios. Configuracin de equipos de comunicacin (redes internas y externas) y
10 una in- localzadn de los equipos.
nel CUm- Planes de expansin.
ximo del Ubicacin general de los equipos.
eccin de Polticas de operacin.
que sta Polticas de uso de los equipos.
estos me- Policas de seguridad fsica y prevencin contra contingencias internas y
)$ directi- externas.
ende ms
Sistemas:
nistrar lo
Descripcin general de los sistemas instalados y de los que estn por insta-
eccinde
do: com- larse, que contengan volmenes de informacin.
Manual de formas.
ros, que Manual de procedimientos de los sistemas.
nmico Descripcin genrica.
Diagramas de entrada, archivos, salida.
solicitar:
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sistemas propios, rentados y adquiridos.
En el momento de hacer la planeacin de la auditora o bien en su realiza-

cin, debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la informacin y se ve qul':

No se tiene y se necesita.
No se tiene y no se necesita.
Se tiene la informacin pero:

~. "lo se usa.
Es incompleta.
o
42 No est actualizada. En primel
o No es la adecuada. zacin, que dE
CAPITuLO 2
o
PLANEACIN Se usa, est actualizada, es la adecuada y est completa. la aud itora,
DE LA AUDITORfA las reuniones
EN INFORMTICA
En el caso de que no se disponga de la informacin y se considere que no se ste es un
necesita, se debe eva luar la causa por la que no es necesaria, ya que se puede direccin, ni
Uso estar solicitando un tipo de informacin que debido a las caractersticas del u na o varias II
de informacin organismo no se requiera. Eso nos dar un parmetro muy importante para cin en el mo
hacer una adecuada planeacin de la auditora. Tambin s
En el caso de que no se tenga la informacin pero que sea necesaria, se debe en el momentr
recomendar que se elabore de acuerdo con las necesidades y con el uso que se le de comproba
va a dar. do, y complen
En el caso de que se tenga la in.formacin pero que no se utilice, se debe slo el punto
analizar por qu no se usa. El motivo puede ser que est incompleta, que no est del sistema.
actualizada, que no sea la adecuad", etc. Hay que analizar y definir las causas Paracomp
para sealar alternativas de solucin, lo que nos lleva a la utilizacin de la inde la auditora
formacin.
En caso de que se tenga la informacin, se debe analizar si se usa, si est
actualizada, si es la adecuada y si est completa; de ser as, se considerar den-
Tcnico e
tro de las conclusiones de la evaluacin, ya que como se dijo la auditora no slo
Conocimie
debe considerar errores, sino tambin sealar los aciertos.
Experiencii
Antes de concluir esta etapa no se olvide que el xito del anlisis crtico
Experienci
Conocimiet
depende de las consideraciones siguientes: conocimi~
caciones, d
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la Conocimiei
informacin sin fundamento). Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente. En el caso~
Criticar objetivamente y a fondo todos los informes y los datos recabados. mientos y exp~
caciones, etcte
Lo anterior
y experiencias!
con las caracte
PERSONAL PARTICIPANTE Una vez pla
bilidad de pre
de auditores exi
La carta C011
Una de las partes ms importantes en la planeacin de la auditora en inform-
su confrmaciq
tica es el personal que deber participar.
En este punto no veremos el nmero de personas que debern participar, auditora, las lin
ya que esto depende de las dimensiones de la organizacin, de los sistemas y de dad y los inforrr
los equipos; lo que se deber considerar son las caractersticas del personal que
habr de participar en la auditora. Una vez que
Uno de los esquemas generalmente aceptados para tener un adecuado con- do en la figura 2.
trol es que el personal que intervenga est debidamente capacitado, que tenga Este formato de
un alto sentido de moralidad, al cual se le exija la optimizacin de recursos cuado control d
(eficiencia) y se le retribuya O compense justamente por su trabajo. de formulacin, I
Con estas bases debemos considerar los conocimientos, la prctica profe- dad, el nmero (
sional y lacapacitacin que debe tener el personal que intervendr en laauditora. minacin, el nn
En primer lugar, debemos pensar que hay personal asignado por la organ- 43
-.xitln. que deba tener el suficiente nivel para poder coordinar el desarrollo de PERSONAL
laauditora, proporcionamos toda la informacin que se solicite y programar PARTICIPANTE
lasreuniones y entrevistas requeridas.
.no se ~ste es un punto muy importante ya que, de no tener el apoyo de la alta
Quede direccin,ni contar con un grupo multidisciplnano en el cual estn presentes
3$ del una o varias personas del rea a auditar, ser casi imposible obtener informa-
~para cin en el momento y con las caractersticas deseadas.
Tambin se debe contar con personas asignadas por los usuarios para que
sdebe enel momento que se solicite informacin, O bien se efecte alguna entrevista
e se le de comprobacin de hiptesis, nOSproporcionen aquello que se est solicitan-
do. j' complementen el grupo multidisciplinario. ya que debemos analizar no
debe !loelpunto de vista de la direccin de informtica, sino tambin el del usuario
o est del sistema.
ausas Para complementar el grupo. como colaboradores directos en la realizacin
la inde la auditora, se deben tener personas con las siguientes caractersticas:
i est
oTcnico en informtica. Caractersticas
den-
oConocimientos de administracin. contadura y finanzas. del personal
) slo
Experiencia en el rea de informtica.
o Experiencia en operacin y anlisis de sistemas.
ritco
o Conocimientos y experiencia en psicologa industrial.
o Conocimiento de los sistemas operativos, bases de datos, redes y comuni-
caciones, dependiendo del rea y caractersticas a auditar.
ni la
o Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con conoci-

Idos. mientos y experiencia en reas especficas como base de datos, redes, comuni-
caci()~; etctera.
lo anterior no significa que una sola persona deba tener los conocimientos
V expenencias sealadas, pero s que deben intervenir una o varias personas
conlas caractersticas apuntadas
Una vez planeada la forma de llevar a cabo l. auditora, estaremos en posi-
bilidad de presentar la carta --convenio de servicios profesionales (en el caso
de auditores extetnos)- y el plan de trebejo.
rm- La carta convenio es un compromiso que el auditor dirige a su cliente para
Su confirmacin de aceptacin. En ella se especifican el objetivo y alcance de la
:ipar. auditora, las limitaciones y la colaboracin necesaria, el grado de responsabili-
.y de dad)' lo> informes que se han de entregar.
Ique
Una vez que se ha hecho la planeacin, se puede utilizar el formato seala- Programa
con- doen la figura 2. J, el cual servir para resumir el plan de trabajo de la auditora. de auditora
enga E.te formato de programa de auditora nos servir de base para llevar un ade-
usos ruado control del desarrollo de la misma. En l figuran el organismo, la fecha
de formulacin. las fases y subfases que comprenden la descripcin de la activi-
rofe- dad, el nmero de personas participantes, las fechas estimadas de inicio y ter-
ora. mmacin, el nmero de das hbiles y el nmero de das-hombre estimados.
44 El control del avance de la auditora lo podemos llevar mediante el formao
cAPITulO 2 de la figura 2.2. el cual nos permite cumplir con los procedimientos de control
PlAHEACION aseguramos que el trabajo se est llevando a cabo de acuerdo con el prograDII
DE LA AUOITOOIA
EN INFORMTICA de auditora, con los recursos estimados y en el tiempo sealado en la planeacioo.
El hecho de contar con la informacin del avance permite que el traba~
elaborado pueda ser revisado por cualquiera de nuestros asistentes.
Como ejemplo de propuesta de auditorfa en informtica, vase la figura 2.l
y como ejemplo de contrato de auditora en informtica consHese la figura l~
figura 2.
o NISMO
F ASL
T
el formato 45
e control y
PERSONAL
programa PARTICIPANTE
laneacin.
el trabajo
1figura2.3,
figura 2.4.
FIgura 2.1. Programa de auditorla en Informtica
()AC.",SMO HOJA NM.: DE ..
. FECHA OE r()ll~CtON
NUM.oeL PERIODO fSTtMADO OlAS olAS

I'ASl DESCRtPClON ACTIVIDAD PERSONAL HAO HOM.
._ PARTICIPANTE IHICIO rEAa,.ttNO EST

~
EST
46
CAPITULO 2
PLANEACIN
DE LA AUDITORIA
EN INFORMTICA
Figura 2.2. Avance del cumplimiento del programa de auditora en Informtica
1.
ORGANISMO;
--- NM. HOJA NUM~; OE
o
PEfUOOO QuE REPORTA o
o
o
aiAS GRADO DiAs o
SITUACiN DE LA AUDITORIA PEA)()OO REAL DE LA AUDITORLA EXPLlCACtH DE LAS VARIAC.O-
REALES DE HOM o
FASE UTILIZA AVAN BRE NES EN RElACIN CON'lO
NO INICIADA EN PROCESC TERMlNADA INtclAOA TERJ.'INADA o
OOS CE EST PROG........ OO
o
o
o
o

2.
o
1:
I!
jemplo de propuesta de servicios de auditorla en Informtica
:DENTES
ntecedentes especficos del proyecto de auditora.)
ros DE LA AUDITORA EN INFORMTICA
ietivo especfico de la auditora.)

:ES DEL PROYECTO
11proyecto comprende:
in de la direccin de informtica en lo que corresponde a:
ganizacin.
iones.
nvos,
ctura.
rsos humanos.
las y polticas .
.citacin.
1S de trabajo.
oles.
idares.
iciones de trabajo.
cin presupuestal y financiera.
JO de los sistemas:
lacin de los diferentes sistemas en operacin (flujo. procedi-
os, documentacin, organizacin de archivos, estndares de
amacin, controles, utilizacin de los sistemas, opiniones de
suarios),
acin de avances de los sistemas en desarrollo y congruencia
I diseo general, control de proyectos, modularidad de los siste-
Anlisis de la seguridad lgica y confidencialidad. 49
Evaluacin de los proyectos en desarrollo. prioridades y personal
aSignado.
Evaluacin de la participacin de auditora interna.
Evaluacin de controles.
Evaluacin de las licencias. la obtencin de derechos de autor y de
la confidencialidad de la Informacin.
Entrevistas con usuarios de los sistemas.
Evaluacin directa de la informacin obtenida contra las necesida-
des y requerimientos de los usuarios.
Anlisis objetivo de la estructuracin y flujo de los programas.
s. Anlisis y evaluacin de la informacin compilada.
Elaboracin de Informe.
3 Parala evaluacin de los equipos se llevarn a cabo las siguientes acti-

vidades:
conti-
Solicitud de los estudios de viabilidad, costo/beneficio y caractersti-
cas de los equipos actuales, proyectos sobre adquisicin o amplia-
cin de equipo y su actualizacin.
Solicitud de contratos de compra o renta de los equipos.
Solicilud de contratos de mantenimiento de los equipos.
Solicitud de contratos y convenios de respaldo.
SOlicitudde contratos de seguros.
Bitcoras de los equipos.
Elaboracin de un cuestionario sobre la utilizacin de equipos. archi-
vos, unidades de entrada/salida. equipos perifricos. y su seguridad.
Visita a las Instalaciones y a los lugares de almacenamiento de ar-
chivos magnticos
Visita tcnica de comprobacin de seguridad fsica y lgica de tas
instalaciones.
Evaluacin tcnica del sistema elctrico y ambiental de los equipos.
del local ulilizado y en general de las instalaciones.
Evaluacin de los sistemas de seguridad de acceso.
Evaluacin de la Informacin recopilada. obtencin de grficas. por-
csntajes de utilizacin de los equipos y su justificacin.
yen Elaboracin de informe.
4. Elaboracin del informe final, presentacin y discusin det mismo, y pre-

sentacin de conclusiones y recomendaciones.
V. TlEMPO y COSTO
(Ponerel tiempo en que se realizar el proyecto, de preferencia indicando el

bempode cada una de las etapas: el costo del mismo, que incluya el perso-
nalparticipante en la auditora y sus caractersticas, y la forma de pago.)
Figura 2.4. Ejemplo de contrato de audltorfa en Informtica Segund~
CAPITULO 2 El alcanc
PlANEACI" Contrato de prestacin de servicios profesionales de auditorfa en informtica contrato:
OE LA AUOITORIA
EN INFORMTlCA que celebran por una parte
, representado por __ a) Eval
en su carcter de y que en lo suce-
e
sivo se denominar "el chente", por otra parte ,
a F
representada por
quien se denominar "el auditor", de conformidad con las declaraciones y E
clusulas siguientes: e

DECLARACIONES
~
p
1. El cliente declara:
o
8) Que es una __ e
b) Que est representado para este acto por -- o
y que tiene como su domicilio S
b) Evalu
el Que requiere obtener servicios de auditora en informtica, por lo
que ha decidido contratar fos servicios del auditor.

1,
11. Declara el auditor:
8) Que es una sociedad annima, constituida y existente de acuerdo

con las feyes y que dentro de sus objetivos primordiales est el de
prestar auditora en informtica
te
b) Que est constituida legalmente segn escritura nmero de E
pe
fecha ante el notario pblico nm.
del SE
Lic. D
los
e) Que seala como su domicilio
E
111.
Decfaran ambas partes:
el Evaluc
A
al Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo c
formalizan otorgando el presente contrato que se contiene en las
siguientes:
U
Es
CLUSULAS
Ce
NJ
Primera. Objeto
Al
El auditor se obliga a prestar al cliente los servicios de auditora en mtorm- Co
nca para llevar a cabo la evaluacin de la direccin de informtica del cliente.
Re
que se detallan en la propuesta de servicios anexa que. firmada por las par-
Eq
tes. forma parte integrante del contrato.
RI
Segunda. Alcance del trabalc 51
8 alcance de los trabajos que llevar a cabo el auditor Intemo dentro de este PERSONAl.
contrato son: PARTlClPAHTE
nbca
a) Evaluaciones de la direccin de inlormtica en lo que corresponde a:

suoe-
Su organizacin.
_a Funciones.
lIleSy Estructura.
Cumphmiento de los objetIVOs.
Recursos humanos.
Normas y polticas.
Capacitacin.
Planes de trabajo.
Controles.
Estndares.
CondICiones de trabajo,
Sltuac6n presupuestal y financiera.
por lo b) Evaluacin de 105sistemas:
Evaluacin de los diferentes sistemas en operacin (flujo, proced-

mlentos, documentacin, organizacin de archivos, estndares de
programacin, controles. utilizacin de los sistemas).
verdo OpIniones de los usuarios.
elde Evaluacin de avances de los sistemas en desarrollo y congruencoa
con el diseo general, control de proyectos, modularidad de 105SIS-
temas.
de Evaluacin de prioridades y recursos asignados (humanos y equi-
nm. pos de cmputo).
Seguridad lgica de los sistemas, confidencialidad y respaldos.
Derechos de autor y secretos industriales. de los sistemas propios y
los uuhzados por la organizac6n.
Evaluacin de las bases de datos.
e) Evaluacin de los equipos:
!dO,IO Adquisicin, estudios de viabilidad y costo-beneficio.

Capacidades.
en las
Utilizacin.
Estandarizacin.
Controles.
Nuevos proyectos de adqurson.
Almacenamiento.
Comunicacin.
~rm- Redes.
iente,
par- Equipos adicionales.
Respaldos de equipos.
52 Contratos de compra, renta o renta con opcin a compra. Octava. I
CAPTULO 2 Planes y proyecciones de adquisicin de nuevos equipos. El perso~
PLANEACIN
DE LA AUolTORIA
Mantenimientos. queda eXI
EN INFORMnCA que el auc
di Evaluacin de la seguridad: pecto al p.
se derive
Seguridad lgica y confidencialidad. cualquier
Seguridad en el personal.
Seguridad fsica. Novena.'
Seguridad contra virus. El auditor
Seguros. de esteco
Seguridad en la utilizacin de los equipos. se firme E
Seguridad en la restauracin de los equipos y de los sistemas. estimado.
Plan de contingencia y procedimientos en caso de desastre. dad con ql
curnplimie]
e) Elaboracin de informes que contengan conclusiones y recomendacio- por las par
nes por cada uno de los trabajos sealados en los incisos a, b, C. d de del cliente
esta clusula. cual deber
el program
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un progra- Dcima. H
ma de trabajo en el que se determinen con precisin las actividades a reali- El cliente 11
zar por cada una de las partes, los responsables de llevarlas a cabo y las noranos p.
fechas de realizacin. el impuest
siguiente:
Cuarta. Supervisin
El cliente o quien designe tendr derecho a supervisar los trabajos que se le a)
han encomendado al auditor dentro de este contrato y a dar por escrito las
b)
instrucciones que estime convenientes.
e)
Quinta. Coordinacin de los trabajos
inf
El cliente designar por parte de la organizacin a un coordinador del pro-
yecto, quien ser el responsable de coordinar la recopilacin de la informa-
Undcima,
cin que solicite el auditor, y de que las reuniones y entrevistas establecidas
El importe ~
en el programa de trabajo se lleven a cabo en las fechas establecidas.
dos, honor~
auditora, p
Sexta. Horario de trabajo
El personal del auditor dedicar el tiempo necesario para cumplir satisfacto-
Duodcim
riamente con los trabajos materia de la celebracin de este contrato, de acuer-
En caso de
do al programa de trabajo convenido por ambas partes, y gozar de libertad
cin, dernor
fuera del tiempo destinado al cumplimiento de las actividades, por lo que no
estar sujeto a horarios y jornadas determinadas. table al Cli~~
so yse sen
Sptima. Personal asignado
Decimoterc
El auditor designar para el desarrollo de los trabajos objeto de este contrato
a socios del despacho, quienes, cuando consideren necesario, incorporarn De ser nec~
personal tcnico capacitado de que dispone la firma, en el nmero que se contrato, lal'l
requieran y de acuerdo a los trabajos a realizar.
Octava. Relacin laboral
53
El personal del auditor no tendr ninguna relacin laboral con el cliente y PERSONAL
PARTICIPANTE
queda expresamente estipulado que este contrato se suscribe en atencin a
que el auditor en ningn momento se considera Intermediario det cliente res-
pecto al personal que ocupe para dar cumplimiento de las obligaciones que
se deriven de las relaciones entre l y su personal, y que exime al cliente de
cualquier responsabilidad que a este respecto existiere.
Novena. Plazo de trabajo

Elauditor se obliga a terminar los trabajos seatados en la clusula segunda
deeste contrato en das hbiles despus de la fecha en que
se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo
estimado para la terminacin de los trabajos est con relacin a la oportuni-
dadcon que el cliente entregue los documentos requeridos por el auditor y al
cumplimiento de las lechas estipuladas en el programa de trabajo aprobado
:lacio- por las partes, por lo que cualquier retraso ocasionado por parte del personal
dde del diente o de usuarios de los sistemas repercutir en el plazo estipulado, el
cual deber incrementarse de acuerdo a las nuevas lechas establecidas en
el programa de trabajo, sin perjuicio alguno para el auditor.
-09ra- Dcima. Honorarios

rea- El cliente pagar al auditor por los trabajos objeto del presente contrato, ho-
y las norarios por la cantidad de ms
el impuesto al valor agregado correspondiente. La forma de pago ser la
slQuiente:
se le a) % a la firma del contrato.

lo las
b) _____ % a los __ das hbiles despus de iniciados los
trabajos.
e) _____ % a la terminacin de los trabajos y presentacin del
informe final.
1pro-
,rma-
Undcima. Alcance de los honorarios
:idas
El importe sealado en la clusula dcima compensar al auditor por suel-
dos, honorarios, organizacin y direccin tcnica propia de los servicios de
auditora, prestaciones sociales y laborales de su personal.
1lCIo-
Duodcima. Incremento de honorarios
::uer-
En caso de que se tenga un retraso debido a la lalta de entrega de inlorma-
3rtad
cin, demora o cancelacin de las reuniones, o cualquier otra causa impu-
e no
tabte al cliente, este contrato se incrementar en forma proporcional al retra-
so y se sealar el incremento de comn acuerdo.
trato Decimotercera. Trabajos adicionales

arn De ser necesaria alguna adicin a los alcances o productos del presente
ese contrato, las partes celebrarn por separado un convenio que formar parte
54
integrante de este instrumento y en forma conjunta se acordar el nuevo
CAPfruLO 2 costo.
PLANEACIN
DE LA AUOITORI"
ENINFORMATlC" Decimocuarta. Viticos y pasajes
El importe de los viticos y pasajes en que incurra el auditor en el traslado,
hospedaje y alimentacin que requieran durante su permanencia en la clu-
dad de , como con.
secuencia de los trabajos objeto de este contrato, ser por cuenta del cliente.
Decimoquinta. Gastos generales

Los gastos de fotocopiado y dibujo que se produzcan con motivo de este
contrato corrern por cuenta del chente.
Decimosexta. Causas de rescisin

Sern causa de rescisin del presente contrato la violacin o incumplimiento
de cualquiera de las clusulas de este contrato.
Decimosptima. Jurisdiccin
OBJ
Todo lo no previsto en este contrato se regir por ias disposiciones relativas,
contenidas en el Cdigo Civil del y, en caso de conro- Al finaliza
versia para su interpretacin y cumplimiento, las partes se someten a la juris.
diccin de los tribunales federales, renunciando al fuero que les pueda co-
rresponder en razn de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato. lo
rubrican y firman de conrorrmdad, en original y tres copias, en la Ciudadde
,el dla
EL CLIENTE EL AUDITOR
)
Auditora
CAPTULO
de la funcin
de informtica
OBJETIVOS
Al finalizar este captulo, usted:
1. Explicar la importancia de la recoleccin de informaconsobre la organiza-

cin que se va a auditar.
2. Describir los pasos a seguir para realizar una adecuada evaluacin de la
estructura orgnica de la organizacin a auditar.
3. Definir los elementos a tomar en cuenta en la evaluacin del personal de
una organizacin.
4. Manejar una gua para entrevistar adecuadamente al personal de inform-
tica.
5. Conocer la importancia de evaluar los recursos financieros y materiales de
una organizacin.
56 t
[
CAPiTULO 3
.wOTORIA DE RECOPILACiN DE LA INFORMACiN e
LA FUNCIN DE e
INFORMTICA
ORGANIZACIONAL ~
C
e
F
Una vez elaborada la planeacin de la auditora, la cual servir como plan E
.
maestro de los tiempos, costos y prioridades, y como medio de control de la
auditora, se debe empezar la recoleccin de la informacin. rara ello se pro- f\
ceder a efectuar la revisin sistematizada del rea. a travs de los siguientes r
elementos: Ir
P
Ir
Al Revisin de lo estructura orgnica:
Jerarquas (definicin de la autoridad lineal, funcional y de asesorla). F) Por ti'

Estructuro orgnica. adrnit
Funciones.
Objetivos. o O
o N
B) Se deber revisar la situacin de los recursos humanos. o PI
C) Entrevistas con el personal de procesos electrnicos: C.
o ~
Jefatura. PI
Anlisis.
Programadores.
1...
Operadores.
Personal de bases de datos.
Personal de comunicacin y redes. Si
Personal de mantenimiento. m.
Personal administrativo. Si
Responsable de comunicaciones. o Si
Responsable de Internet e Intranet. SI
Responsable de redes locales o nacionales. tI!>
Responsable de sala de usuarios. o Si.
Responsable de capacitacin. da
Sil
D) Se deber conocer la situacin en cuanto a: Si.
qu-
Presupuesto. Si,
Recursos financieros. o Si r
Recursos materiales. SL!
Mobiliario y equipo. StI
Costos. Si!
cor
E) Se har un levantamiento del censo de recursos humanos y anlisis de si- Sis
tuacin en cuanto a: Sis
Nmero de personas y distribucin por dreas. 57
Denorninacin de puestos y personal de confianza y de base (sindica liza-
RECOPILACION OE
do v no sindicalizado). LA INFORMACIN
Salario y conformacin del mismo (prestaciones y adiciones). ORGANILACIONAL
Movimientos salariales.
Capacitacin (actual y programa de capacitacin).
Conocimientos.
Escolaridad.
n Evpencncia profesional.
a Antiguedad (en la organizacin, en el PUl",tO y en puestos similares
)- fuera de la organizacin).
os Histonal de trabajo.
[ndice de rotacin del personal.
Programa de capacitacin (vigente y capacitacrn otorgada en el iilti-
mo ao),
F) Por ultimo, sc deber revisar el grado de cumplimiento de los documentos

administrativos:
Organizacin.
Normas y pol ticas.
Planes de trabajo.
Controles.
(,tAndares.
Procedimientos.
I...l informacin nos servir para determinar:
S. las responsabilidades en la organizacin estan definidas adecuada-

mente.
S. la estructura crganzacional est adecuada a las necesidades.
S. el control organzaconal es el adecuado.
Si se tienen los objetivos y polncn adecuodas, si se encuentran vigen-
tes y si estn bien definidas.
Si existe la documentacin de las actividades, funciones y responsabili-
dades.
Si los puestos se encuentran definidos y sealadas sus responsabilidades.
Si el an.lisis y descripcin de puestos est de acuerdo con el personal
que lo, ocupa.
Si '><! cumplen los lineamientos organizacionales.
S. el nivel de salarios est de acuerdo con el mercado de trabajo.
S. se tiene un programa de capacitacin adecuado y ,i se cumple con l.
Si los planes de trabajo concuerdan con los objetivos de la empresa.
SI 'te cuenta con los recursos humanos necesarios que garanticen la
continuidad de la operacin o si se cuenta con los "indispensables",
S. -e evalan los planes y se determinan la, desviaciones.
Si 'le cumple con los procedimiento, y controles administrativos.
58 La organizacin debe estar estructurada de tal forma que permita lograr El o
C"PITULO 3 eficiente y eficazmente los objetivos, y que esto se logre a travs de una adecua- (Ene;
AUOITORrA DE da toma de decisiones. Cu
LA FUI'ICION DE
INFORMTICA
Una forma de evaluar la forma en que la gerencia de informtica se est Cu,
desempeando es mediante la evaluacin de las funciones que la alta gerencia Se d,
debe realizar: o bier
que So
Se d
Funciones Planeacin. Determinar los objetivos del rea y la forma en que se van a cuacie
de la gerencia lograr estos objetivos. Sede
Organizacin. Proveer de las facilidades, estructura, divisin del trabajo, Sede
responsabilidades, actividades de grupo y personal necesario para realizar creme
las metas. Qu
ReCUlSOshumanos. Seleccionando, capacitando y entrenando al personal Qu
requerido para realizar las metas. Cul.
Direccin. Coordmando las actividades, proveyendo liderazgo y gua, y Cull
motivando al personal. Cull
Control. Comparando lo real contra lo planeado, como base para realizar Cul
los ajustes necesarios. CuJo
Cul
Despu
PRINCIPALES PLANES cificacone
QUE SE REQUIEREN asesores, F
ycomogu
DENTRO DE LA ORGANIZACiN
DE INFORMTICA
Planeacic
modificac
Estudio de viabilidad
Especifica 1,
Investiga los costos y beneficios de los usos a largo plazo de las computadoras,
y recomienda cundo debe o no usarse. En caso de requerirse el uso de la compu- ymodificac
tacin, sirve para definir el tipo de hardware, el software y el equipo perifrico do la organ
y de comunicacin necesarios para lograr los objetivos de la organizacin. hardware, e
El estudio de viabilidad consiste en la evaluacin para determinar, prime- Alguna
ro, si la computadora puede resolver o mejorar un determinado procedimiento,
y, segundo, cul es la mejor alternativa. Para lograr esto se deben de contestar Especif
una serie de preguntas, entre las cuales estn las siguientes: perifri
Evaluar
Planeac
La computadora resolver O mejorar los procedimientos, (unciones o ac- Prueba!
tividades que se realizan? Envo e
La computadora mejorar la informacin para lograr una adecuada toma Particip
de decisiones? Diseo.
ruta lograr El costo de la informtica proporcionar una adecuada tasa de retomo? 59
na adecua- (En este C30;0, uno de los mayores problemas es el de evaluar los intangibles.)
Cul es el periodo de recuperacin de la inversin?
jea se est Cul es la relacin costo-benefido que se obtendr?
a gerencia Se debe desarrollar un nuevo sistema o adquirir una nueva computadora,
o bien hacer cambios al sistema actual o actualizar el sistema de cmputo
que se tiene?
Se debe comprar O elaborar internamente los nuevos sistemas o las ade-
ese van a cuaciones?
Se deben comprar los equipos, rentar O rentar con opcin a compra?
el trabajo, Se deben hacer cambios estructurales en la organizacin para lograr el in-
ra realizar cremento en las capacidades de procesamiento?
Qu prioridad tiene el proyecto y para cundo debe ser realizado?
1 personal Qu caractersticas tiene el sistema actual?
Cules son las ,lreas potenciales en que se usar el nuevo sistema?
,y gua, y Cules son las fortalezas y debilidades del sistema actual?
Cules son los recursos adicionales que se requerirn?
ra realizar Cul es el impacto a informtica a largo plazo?
Cules son las restricciones que se deben considerar?
Cul es el proyecto (l'ERT) que se tiene para su implementacin?
Despus de contestar estas preguntas, se debe elaborar un manual de espe-

ccaciones para ser distribuido al personal de informtica, a los vendedores o
asesores, para que les sirva de base para la contratacin. elaboracin o compra,
r como gua de referencia y control del proyecto.
Planeacin de cambios,
modificaciones y actualizacin
Especifica las metas y actividades que se deben realizar para lograr los cambios
.. tadoras,
y modificaciones, su independencia, tiempos, responsables y restricciones, cuan-
larompu-
perifrico do la organiz ....cin toma la decisin de hacer cambios sustanciales de software,
hardware, comunicacin O equipos perifricos.
sdn.
Algunas de las actividades tpicas en este plan son:
Ir, prime-
dimiento,
contestar Especificacin completa de hardware, software, comunicacin, equipos
perifricos.
Evaluacin y seleccin.
Planeacin fsica y preparacin del lugar.
mes o ac- Pruebas finales de aceptacin.
Envo e instalacin.
ada toma Participacin del auditor interno y de los usuarios.
Diseo de la estructura organizacional en caso de que se vea afectada.
60 Un pla
Plan maestro grar un de!
CAPITULO 3
AUOITORfA oe cadas dcnti
LA FUNCiN oe El plan maestro o plan estratgico de una instalacin informtica define los
INFORMTICA
objetivos a largo plazo y las metas necesarias para lograrlo.
Una de las principales obligaciones del rea de gerencia en inforrntica es
la construcci6n de un plan maestro. El plan maestro debe contener los objeti- Identif
vos, metas y actividades generales a realizar durante los sguientes ,;\05, inclu- Identif
yendo los nuevos sistemas que se pretenden implementar. Puede comprender Deterrr
un periodo corto O largo, dependiendo de las caractersticas y necesidades de l. Detern
organzacn, y de lo cambiante de los sistemas. Una organizacin consolidada Dctcm
posiblemente requiera un plan maestro a ms largo plazo que una organizacn Detern
de reciente creacin,
El plan maestro puede comprender cuatro subplanes:
Plan de!
A) El plan estratgico de organlzacn.Incluye los objetivos de la organizaci6n
continge
a largo plazo, el med io ambiente, los factores organizacionales que sern
afectados, as como Sus prioridades, el personal requerido, Su actualiza- en caso
cin, -desarrollo y ca pncitacin,
Una insta l
B) El plan estratgico de sistemas de informacin. Se debe elaborar el plan
razones: ln
estratgico y los objetivos planteados a largo plazo dentro de un plan estra-
mas del ee
tgico de informacin, y las implicaciones que tendr dentro de la organi-
ocurrencia
zacin en general y en la organizacin de informtica.
nzacin, S
deben tenE
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los
de recuper
objetivos planteados.
encuentre I
to para la.
O} El plan de aplicaciones de sistemas de informacin. Define los sistemas de
aplicaciones que se desarrollarn, asociados con las prioridades y con el
periodo en que sern implantados:
Adquisicin Odesarrollo de sistemas y su programa de trabajo.

Planeacin de desarrollo y capacitacin del personal necesario, o bien
Su contratacin, EVAL
Recursos fina ncieros que se necesitaran.
Requerimiento de facilidades.
Requerimientos de cambios en la orgarlizaci6n. Para logra
de organu
Plan de proyectos Org311

Funcic
Consiste en el plan bsico para desarrollar determinado sistema y para asegu- Objeti
rarse que el proyecto es consistente COnlas metas y objetivos de la organizacin Anli5
y con aquellos sealados en el plan maestro. Es importante que este plan no Manu;
slo contemple los sistemas, sino tambin las prioridades y el momento en el Manu:
cual se desarrollarn los sistemas. Instru
Un plan de proyectos debe contener las actividades bsicas para poder lo- 61
grar un determinado proyecto. Las principales tareas que deben estar especifi-
EVALUACION De
cadas dentro de un plan de proyecto son: LA eSTRUCTURA
le los ORGNICA
ica es
bjeti- Identificar las tareas a realizar .
nclu- Identificar las relaciones entre tareas.
ender Determinar las restricciones de tiempo de cada tarea del proyecto.
dela Determinar los recursos necesarios para cada tarea.
idada Determinar cualquier otra restriccin que se tenga.
acin Determinar la secuencia de actividades.
Plan de seguridad: seguros,

acin
;ern
contingencias y recuperacin
sliza- en caso de siniestro
Una instalacin de informtica est<expuesta a sufrir un desastre por muchas

plan
!Stra- razones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, proble-
mas del equipo. Se dcbe tener un plan que permita eliminar en lo posible la
garu- ocurrencia de un desastre o de prdida por causas internas o externas a la orga-
nizacin. Se debe contar con una adecuada planeacin sobre Jos seguros que se
deben tener en caso de que ocurra un desastre. Tambin se debe tener un plan
"los
de recuperacin para que en caso de que OCUrraun desastre la instalacin se
encuentre en funcionamiento en el menor tiempo posible y con el menor impac-
topara la organiucin.
:IS de
on el
bien
EVALUACiN DE LA ESTRUCTURA ORGNICA
Paralograr la evaluacin de la estructura orgaruca se deber solicitar el manual

de organizacin de la direccin. el cual deber comprender, como mnimo:
Organigrama con jerarquas.

Funciones.
~- Objetivos y polticas.
odn Anlisis, descripcin y evaluacin dc puestos.
n no Manual de procedimientos.
en el Manua I de normas.
Instructivos de trabajo o guias de actividad.
Las n
62 Tambin se deben solicitar:
perfectarr
CAPITuLO 3 lugares d
AUOITOAiA DE Objetivos de la direccin. en un lug
LA FUNCiN DE
Polticas y normas de la direccin. otro lugar
INFORMTICA
Planeacin. ciones qur
tener bien
El director de informtica y aquellas personas que tengan un cargo directi- La ve:
vo deben llenar los cuestionarios sobre estructura orgnica, funciones, objeti- centraliza.
vos y polticas. se debe te.
Bsicamente, el departamento de informatica puede estar dentro de alguno departame
de estos tipos de dependencia: zos o la di
Enlaa
Al Depende de alguna direccin o gerencia, la cual, normalmente, es la cinde rec
direccin de finanzas. Esto se debe a que inicialmente informtica, O departa- utilizadas
mento de procesamiento electrnico de datos, nombre con que se le conoca, nzacin se
procesaba principalmente sistemas de tipo contable, financiero O administrati- muy claro
vo; por ejemplo, la contabilidad, la nmina, ventas o facturacin.
es el respo
El que informtica dependa del usuario principal, normalmente se presenta zaci6ndel
en estructuras pequeas o bien que inician en el rea de informtica. La ventaja
Dentro
que tiene es que no se crea una estructura adicional para el rea de informtica y de tener ur
permite que el usuario principal tenga un mayor control sobre sus sistemas. los sistema
La desventaja principal es que los otros usuarios son considerados como te la cread,
secundarios y normalmente no se les da la importancia y prioridad requerida. pero con la
Otra desventaja es que, como la informacin es poder, a veces hace que un rea sistema de.
tenga un mayor poder. Tambin, en ocasiones, sucede que el gerente o director
Laresp
del rea usuaria del cual depende informtica tiene muy poco conocimiento de y en qu gn
informtica; ello ocasiona que el jefe de informtica cree una isla dentro de la tra lizada o ,
gerencia y que acuerde directamente con otras gerencias usuarias, lo que da macin OCU
lugar a problemas con las lineas de autoridad. Este tipo de organizacin se usa- minicompu
ba cuando comenz el rea de informtica, )' en la actualidad slo es recomen-
el desarrolle
dable para instalaciones muy pequeas. tener poltic
B) La segunda posibilidad es que la direccin de informtica dependa de la cin deequi
gerencia general; esto puede ser en linea o bien en forma de asesora. sicin de eq
Direccin La ventaja de alguna de estas organizaciones es que el director de inform- cual hace ns
de informtica tica podr tener un nivel adecuado dentro de la organizacin, lo cual le permi-
mas y plata!
tir lograr una mejor comunicacin con los departamentos usuarios y, por lo
Dl La Cl
tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo pendiente q'
con los lineamientos dados por la gerencia general.
La desventaja es que aumentan los niveles de la organizacin, lo que eleva-
r el costo de la utilizacin de 105sistemas de cmputo.
C) La tercera posibilidad es para estructuras muy grandes, en las que hay
bases de datos, redes O bien equipos en diferentes lugares.
En esta estructura se considera la administracin corporativa. La direccin
ESTRU
de informtica depende de la gerencia general, y existen departamentos de in-
formtica dentro de las dems gerencias, las cuales reciben todas las normas,
Uno de los el
polticas, procedimientos y estndares de la direccin de informtica, aunque
Un personal
funcionalmente dependan de la gerencia a la cual estn adscritas. La direccin
repercute dit
de informtca es la responsable de las polticas, normatividad y controles.
Las funciones, organizacin y polticas de los departamentos deben estar 63
perfectamente definidas para evitar la duplicidad de mando y el que en dos
EVALUACIO" DE
lugaresdiferentes se estn desarrollando los mismos sistemas, o bien que slo LA ESTRUCTURA
enun lugar se programe y no se permita usar los equipos para programar en ORClHICA
otrolugar que no sea la direccin de informtica. Esto se puede dar en instala-
eones que tengan equipo en varias ciudades o lugares, y para evitarlo se deben
cargo directt- tener bien definidas las polticas y funciones de todas las reas.
dones, objeti- La ventaja principal de esta organizacin consiste en que se puede tener
centralizada la informacin (base de datos) y descentralizados los equipos; pero
tro de alguno -e debe tener una adecuada coordinacin entre la direccin de informtica y los
departamentos de mformtica de las reas usuarias para evitar duplicar esfuer-
ros o la duplicidad de mando.
Imente, es la En la actualidad, con la proliferacin de computadoras personales y la crea-
:a, O departa- cin de redes tanto internas como externas, as como de bases de datos que son
;e le conoca,
utilizadas por diferentes usuarios. diversas profundidades, este tipo de orga-
administra ti- ruzacin se puede considerar como la ms recomendable. Lo que hay que tener
~U\ claro es que en este tipo de organizacin el departamento de informtica
e se presenta sel responsable de las normas y polticas de adquisicin de equipo y de urili-

zacindel mismo,
<l. Laventaja
nformlica y Dentro de esta misma formo de organizacin se debe evaluar la posibilidad
iistemas. de tener una estructura por proyectos, lo cual permitir que los diseadores de
!rados como Jo,. sistemas estn ms cerca de las reas usuarias. Esto se puede lograr median-
la creacin de una fuerza de trabajo independiente, con todos los recursos,
d requerida.
que un .rea peroCOnla obligacin de cumplir con los objetivos y metas sealados para un
sistema dentro de los diferentes pianes.
te o director
ximiento de La respuesta a si un tipo de organixacu corporativa es la ms conveniente
dentro de la )'en qu grado est en funcin de la decisin sobre tener una orgaruzacin cen-
s, lo que da tralizadao descentralizada. La descentralizacin del procesamiento de la infor-
ocinse usa- maon ocurre en la actualidad como algo natural, debido al incremento de las
nuncomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar
es recomen-
eldesarrollo, implementacin y adquisicin de equipos y de software, se deben
penda de la tenerpolticas de descentralizacin muy bien definidas, para evitar la prolifera-
a. cinde equipo y de software que impida la adecuada comunicacin y la ndqui-
de lOforrn- "cin de equipo no compatible, y que dificulte la integridad de los datos, lo
al le permi- cual haoe necesario que el personal sea entrenado en diferentes equipos, siste-
mas y plataformas.
os y, por lo
de acuerdo D) La cuarta forma de organizacin es la creacin de una compaa inde-
pendiente que d servicio de informtica a la organizacin.
I que eleva-
as que hay
a direccin
EsTRUCTURA ORGNICA
ntos de in-
as normas,
:.1, aunque \..node los elementos ms crticos e" el relativo al personal ya su organizacin.
I direccin Un personal calificado, motivado, entrenado y con la adecuada remuneracin.
,trol.",. repercute directamente en el buen desempeo del rea de infonmtica.
64 Bases jurdicas (principalmente Permit
CAPiTULO 3 en el sector pblico)
AUolTORIA DE C<
LA FUNCIN DE
Ce
INFORMTICA
To
A continuacin ofrecemos unos cuestionarios que servirn para evaluar la
estructura orgnica y las bases jurdicas: Si alguni
Se ajusta la estructura orgnica actual a las disposiciones jurdicas vigentes?

51 NO Considl
No, por qu razn?
M~
Me
Cules son los ordenamientos legales en que se sustenta la direccin? Por qu
OBJETIVO DE LA ESTRUCTURA
La estructura actual est encaminada a la consecucin de los objetivos del Se consl

rea? Explique en qu forma. dida actos
NO, por (
Permite la eslructura actual que se lleven a cabo con eficiencia:
Las atribuciones encomendadas? si NO El rea y

Las funciones establecidas? si NO
La distribucin del trabajo? si NO
El control interno? 51 NO No, qu (
Si alguna de las respuestas es negativa, explique cul es la razn.
Se debe te
NIVELES JERRQUICOS
to, ya que
dan a los p
Es conveniente conocer los niveles jerrquicos para poder evaluar si son los
necesarios y si estn bien definidos. Los pues.
llevar a cab
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del rea? sr NO No, porqL
Cules y por qu son sus recomendaciones?
El nmero
con las funa
Permten los niveles jerrquicos actuales que se desarrolle adecuadamente la:
Solicite el m
Operacin? sr NO
Supervisin? sr NO Anlis
Control? sr NO Progra
Permitenfos nivefes actuales que se tenga una gil: 65
EVALUACIN DE
Comunicacin ascendente? sJ NO LA eSTRUCTURA
Comunicacin descendente? Si NO ORGNICA
Toma de decisiones? sJ NO
Sialguna de las respuestas es negativa, explique cul es la razn.
vigentes?
s NO
Consideraque algunas reas deberla n tener:
Mayor jerarqua? sJ NO
Menor jerarqura? sJ NO
DEPARTAMENTAUZACIN
objelivos del Seconsideran adecuados los departamentos, reas y oficinas en que est divi-
didaactualmente la estructura de la direccin? Si NO
No, por qu razn?
Sl NO .EI rea y sus subreas tienen delimitadas con claridad sus responsabilidades?
Sl NO 51 NO
Sl NO
So NO No. qu efectos provoca esta sltuacll'l?
PUESTOS
Sedebe tener cuidado de que estn bien definidas las funciones de cada pues-
to. ya que desafortunadamente eXiste mucha confusin en los nombres que se
dana los puestos dentro del mediOde fa Informtica.
si son los
Lospuestos actuales son adecuados a las necesidades que tiene el rea para
llevar a cabo sus funciones? 51 NO
y suficientes
Sl NO No, por qu razn?
El numero de empleados que trabeJa actuafmente es adecuado para cumplir

con las funciones encomendadas? SI NO
~rnente la'
SolICIteel manuaf de descnpcll'l de puestos de:
~ NO
si NO Anlisis.
SI NO Programacin.
66
Tcnicos.
CAPITULO 3 OperaCin.
AUDlTORIA DE
LA FUNCIOH DE
Captura.
INFORMTICA AdminlSlrador de bases de dalos.
Comunicacin y redes.
Direccin
Administrativos.
Otros.
Pida la planlllla del personal. Se debe especllocar el nLlmero de personas que

reportan a las personas que a su vez reportan a cada puesto, ya sea:
En su rea
Director.
Subdireclor.
Jeles de departamento. S explique
Jefes de seccin.
Jetes de rea.
~Exlste en
El nmero de personas es el adecuadO en cada uno de los puestos?
s NO
S? Por qu?
--------------- -----
No, cul es el nmero de personal que considerara adecuado? Seale el puesto
o los puestos
un . l organ
nuadn un
EXPECTATIVAS
Dentro de las expectatIVas se pueden delectar, en algunas ocasiones. dehc>er.

eras y frustraciones de las personas.
COnsidera que debe revisarse la eslructura actual, a fin de hacerta ms efi- Por qu no?
clente? SI NO
S? Por qu razn? ~las "n,rin,nA
------ - ---- -- - Por qu no
Cul es la estructura que propondra? ~Estn por
Cual es la
De realizar una modificacin a la estructura, cundo considera que deberla
hacerse?
Cul es la
AUTORIDAD 67
$e encuentra definida adecuadamenle la linea de autoridad? S<
NO EVAl.UAClOH DE
No, por qu razn? LA ESTRUCTURA
ORGNICA
Suautoridad va de acuerdo a su responsabilidad?

Si NO
,No, por qu razn?
sque
En su rea se han presentado COnflictospor el ejercicio de la auloridad?

SI NO
Si expl "lue en qu cesos.
---------
Exisleen el rea algn sistema de sugerencias y quejas por parte del personal?
SI NO
FUNCIONES
IslO
La, funcionesen informtica pueden diferir de un organismo a otro. aunque se
designencon el mismo nombre; por ejemplo, la funcin del programador en
un;organizacin puede ser diferente en otra organizacin. Ofrecemos a corui-
nuacin un cuestionario para evaluar las funciones.
EXISTENCIA
Se han establecido funciones del rea?

si NO
Porqu no?
las fUnciones estn de acuerdo con las atribuciones legales?

SI NO
Por qu no estn de acuerdo?
- ---- ------ --
Estn por escnto en algun documento las lunClones del rea? SI NO
Cul es la causa de que no estn por escrito?

I
- ---- ---- -- --
Cul es la fonna de darlas a conocer?
68
Ouln elabor las funciones? Son ade<:uadj
cAPlnn.o,
AUOOORlADE
LA FUNCIN DE En caso
INFORMA TICA Particip el rea en su formulacin?
Por qu causas no partICIP?
Ouln las aulonz o aprob?
COINCIDENCIAS
Se debe tener cuidado en que se conozcan las funciones del rea.
Las funciones estn encaminadas a la consecucin de los objetivos insutuoona-

les e internos? si NO No, porqu?
NO. por qu?
Cmo afecta
Las funciones del rea estn acordes al reglamento interior? SI NO
No, en qu considera que difieren? ,Ou funl:lonet
A qu nivel se conocen tas funciones del rea? Partlc p la
No. por qu?

Conocen otras reas las funciones del rea? s NO
No. por qu?
Considera que se deben dar a conocer? SI NO
NO. por qu?
ADECUADAS
Debemos lener cuidado, ya que en esta rea podemos detectar malestares elel
personal. debido a que SI las funciones no son adecuadas a las necesidades.
pueden existir problemas de definicin de funciones o bien de cargas de trabalo
No. por qu?
Son adecuadas a la realidad las funciones? Si NO
En caso negativo. por qu no son adecuadas?

Las aCllvlda
aSignadas?
,Soo adecuadas a las necesidades actuales?
Si NO 69
Encaso negatIVo,por Quno? EVALUACiN DE
LA ESTRUcTuRA
OAGANICA
Culesson sus principales limitaciones?
Soo adecuadas a las cargas de trabaJO?

SI NO
Ex'Slenconflictos por las cargas de trabajo desequilibradas? SI NO

De qu tipo?
--------
Ina- ,Se lIeM contemplada la desconcentraCln?
51 NO
No, porQu?
- -
Cmoaleeta la desconcentracin a las funciones?
,Qu funcoonesse van a desconcentrar?
---- ---
Participla direccin de inlormatica en su elaboracin? si NO
No,por Qu?
CUMPLIMIENTO
Estaseccin nos sirve para evaluar el grado de cumplimiento de las lunciones

delpersonal.
Estndehmitadas las IullCtOOes?
A nIVelde departamento?
I SI NO
,
A nIvel de puesto?
1. Si NO
No, por Qu?
- - ----------
las actlVldades Que realiza el personal son acordes a las functones que bene
asignadas? Si NO
70 No, qu tipo de acllvidades realiza que no estn acordes a las funciones
CAPITULO
3 asignadas?
AUOITORIADE
LA FUNCiNDE Para eum]
INFORMncA Cul es la causa?
De qu IIp
Quin las ordena? Cul es el
Las actMdades que reahza actualmente cumplen en su totalidad con las fun "Se lo prop
ciones confendas? SI NO
No. que le
No, cut es su grado de cumphmJento?
No. cmo,
La falta de cumplimiento de sus funciones es por.
Fatta de personal. SI NO Con qu In

Personal no capacitado. Si NO
Cargas de trabajo excesivas. si NO
Porque realiza otras actividades. si NO Para cumptlr
La forma en que las ordena. 51 NO
Cules funciones realiza en forma: S, qu tipQ
Peridica?
A cuntas I
Eventual?
Cuales son
SistemtlC8?
Otras?
EXiste dupl.
Tienen programas y tareas encomendadas?
S, qu conl
NO, porqu?
Exisle dupl
Permiten cumplir con los programas y tareas encomendadas (necesidades de
operacin)? SI NO S, cules y
No, por qu causas?

Qu confllCl(
Quin es el responsable de ordenar que se ejecuten las actiVIdades?

La dupflCldac
En caso de reahzar otras actrvldades. qUin las ordena y autonza?

Si. cut es l.
En caso de no encontrarse el jefe Inmediato, quin lo puede realizar? No, cul es S

es
APOYOS 71
eVALUACIN DE
Paracumplir con sus funciones requiere de apoyos de otras reas? LA ESTRUCTUAA
SI NO ORGNICA
De qu Upo?
------
Cules el rea que proporciona el apoyo?
n
Selo proporcionan con oportunidad?
si NO
No. qu le ocasiona?
No. cmo resuelve esa falta de apoyo?
Con qu frecuencoalo solICIta?
Para cumplir con sus funciones. proporciona apoyos a otras reas?

SI NO
Si qu tipo de apoyo proporciona?
---------
A cunlas reas?
Cules son?
DUPUCIDAD
Existe duplicidad de funciones en la misma rea? si toO
S, qu conflictos ocasona y cules funCIOnes?
EJOstedUphCldadde funcIOnes en otras areas?

Si NO
S. cules y dnde?
Qu conflictos ocaSlona?
la duplicidad de funciones se debe a que el rea no puede realizarlas?

SI NO
----- -_
S. cul es la razn?
No, cul es su opinin al respecto?

72
Se pueden eliminar funciones? SI NO Cul?
CAPITULO 3
AUDITORIA DE SI, cules?
LA FUNCION DE
INFORMTICA
Se pueden transferir funcionas? SI NO
Cmo
S, cules y adnde?
Permite la duplICidad que se d el control Intemo? SI NO
No, por qu? Se har
En qu
Por qUI
OBJETIVOS
Qu p~
Uno de los posibles problemas o descontentos que puede tener el persona Ies el
desconocimiento de los objetivos de la organizacin, lo c1.101 puede deberse a
una falta de definicin de los objetivos; esto provoca que no se pueda tener una
planeacin adecuada.
Ofrecemos un cuestionario que sirve para evaluar los objetivos. Se han
EXISTENCIA A qUin
Se han establecido objetivos para el rea? &1 NO

Quin n
Quin los establ8Cl6?
Qum
Cul fue el mtcldOpara el establecimiento de los obJetIVOS?
Partlcp6 el rea en su establecimiento? Si NO Por Que
Cules fueron las principales razones de la seleccin de los obJetivos?

Conside
Los objetivos establecidos son congruentes con: Cmo al
Los de la direccin? SI NO dado a cc
Los de la subdireccin? sI NO
Los det departament%ficina? So NO
Los de otros deparlamentosloficinas? SI NO
Por qu no se han establ8Cldo obJebvos para el rea? Abarcan
Qu asp
Nadie le eXige establecerlos SI NO
Considera Imporlante que se establezcan. Si NO Los obe
Es responsabilidad de olra rea establecer los objetivos. Si NO Son real

Cul?
73
EVALUACION
DE
LA ESTRUCTURA
Dequ manera planea el trabajo del rea? 0A<lN1CA
Cmoafecta la operaon del rea el no tener establecidos los obJetivos?
FORMALES
Sehan dellnido por escrito los ooienvcs del rea?

si NO
Enqu documentos? (Recabartos.)
------ --~------~
Porqu no estn definidos por escrito?
-------
Ies el Quproblemas se han derivado de esta situacin?
erse a
runa
--------
CONOCIMIENTO
Sehan dado a conocer los objetivos?

SI 1\'0
AqUinse han dado a conocer?
Quinms deberla conocerlos?
Qumtodo se ha utillUldo pare dar a conocer los ObJetivos?

----------
Porqu no se han dado a conocer los objetlvos?
---- --------
ConsideraImportante que los conozca el personal?
SI NO
Cmoalecta a la operacin del rea el hecho de que los objetivos no se hayan

dado a conocer o que su conocimiento sea parcial?
ADECUADOS
Abarcan los objetIVOStoda la operacin del rea?

SI NO
,Qu aspectos no S9 cubren?
------ ---
Los objetivos son claros y precisos?
Soo realistas?
74 Se pueden alcanzar? Si NO Quin re
CAPlruL03
AUorrORiA DE Porqu?
LA FIJNCI()N DE Oe qu m
II<FORMATlCA
Estn de acuerdo con las funciones del rea? SI NO
Participa
Se~alan cules son las realllaciones esperadas? Si NO
Cundo I
Son congruentes con los obletlvos Institucionales? si NO
SIIven de gua al personal? Sj NO De qu ro
Sirven para motivar al personal? Si NO
Se han establecido para el corto. mediano y largo ptazos?
Qu adecuaciones puede sugerir para los objetivos actuales?
CUMPLIMIENTO
En qu grado se cumplen los obletivos?
Existen mecanismos para conocer el grado de cumplimiento de los objetivos?

ANL
Sl NO
Entre las d
SI. cules?
Informtico
,"Sl". Las fu
NO. de qu manera se establece el grado de cumplimiento? moldar, en
se han di
mador I, PI
Se elabora algn reporte sobre el grado de avance en el cumplimiento de los
objetivos? Si NO
Esto h
niveles, fu.
Para quin y con qu frecuenCIa?(Recabar datos.) ellos consu
nido el gta
Itls que COI
Quin elabora este reporte? analizar la
funciones
Qu se hace en caso de desviacin en el cumplimiento de los obletivos? niveles de
Si no I
actual pi
Qu sugerencia puede hacer para lograr el cumplimiento total de los objetivos? Imagen g(
Criter
ACTUALIZACiN
Agru]
Se reVIsanlos objetivOS? Agru]
Local
Por sistema? I.oca~
realiz
Quinrevisa los objetivos? 75
EVALUACiN DE
LA ESTRUCTURA
,De qu manera se lleva a cabo la revisin? ORGNICA
el rea en la actualizacinde los objetivos?

Pal1lCipa si NO
,Cundose hizo la ilima revisin de los objetivos?
Dequ manera se Incorporan las modicaciones derivadas de las revisiones?
,Por qu no se revisan los objetivos?
Qu sugerenciastiene para que la actua6zacinde los objetivos sea ms eficaz?
ANLISIS DE ORGANIZACIONES
Entre las diferentes formas de la estructura organizacional de la direccin de
Informticano existe una evaluacin concreta y aceptada de las funciones de
sta.Las funciones que en una organizacin son consideradas como de progra-
mador,en otra pueden ser de analista o de analista programador, y en algunas
se han dividido ciertas fundones con diferentes niveles, por ejemplo, progra-
mador1,programador 11,etctera.
Esto ha dado por resultado que, al no existir una definicin clara de los
niveles,funciones y conocmientes, las personas se designen con el ttulo que
ellosconsideran pertinente; por ejemplo, ingeniero en sistemas (Sinhaber obte-
nidoel grado " analista de sistemas, o bien que en algunos pases existan escue-
lasque confieran grados acadmicos que no son reconocidos oficialmente. Al
analizarlas organizaciones debemos tener muy en cuenta si estn definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
nivelesde la organizacin.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el Elaboracin
actual plan de organizacin, ya que esto facilita el estudio y proporciona una del organigrama
imagengenera) de la organizacin.
Criterios para analizar organigramas:
Agrupar funciones similares y relacionarlas entre s.

Agrupar funciones que sean compatibles.
Localizar la actividad cerca de la funcin a la que sirva.
Localizar la actividad cerca o dentro de la funcin mejor preparada para
realizarla.
76 No asignar la misma funcin a dos personas o entidades diferentes. Se deja I
CAPiTULO 3 Separar las funciones de control y aquellas que sern objeto del mismo.
AUDITORIA DE Ningn puesto debe tener dos o ms lneas de dependencia jerrquica. Est cap
LA FUNCION DE
INFORMTICA
El tramo de control no debe ser exagerado, ni muy numerosos los niveles
jerrquicos.
No, por e
Cuando se estudia la estructura orgnica es importante hacer algunas anota-
ciones sobre las tareas asignadas a cada puesto y responder las siguientes pre-
guntas: Es elicaz
Existen lneas de autoridad justificadas? No. por q

Hay una extralimitacin de funciones?
Hay demasiada supervisin de funcionarios?
Es adecu
Es excesiva la supervisin en general?
Hay agrupamientos ilgicos en las unidades? No, por ql
Hay uniformidad en las asignaciones?
Es IreCIJ61
El persoru
EVALUACiN DE LOS RECURSOS HUMANOS
No, anote r
El desarrollo del personal implica:
Establecer promociones y oportunidades de desarrollo. En general,

Educacin y capacitacin. Estas actividades mantienen la moral y las habi- cidos?
lidades de los empleados en un nivel adecuado para cumplir con los objeti-
vos y metas encomendadas, y les permitir tener mayor motivacin y mejo- No, por qu
res remuneraciones, En el rea de informtica es muy importante la capaci-
tacin para tener actualizado a nuestro personal en una disciplina en la que
Alguna de
puede quedarse rezagado muy rpidamente, aunque, por otro lado, debido trabajo?
a la presin de tiempo con la que se trabaja, en muchas ocasiones no se le da
al personal la oportunidad para capacitarse. Si, qu se
Se deber obtener informacin sobre la situacin del personal del rea, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin Respeta el
de recursos humanos. A continuacin un ejemplo de cuestionario para obtener
informacin sobre los siguientes aspectos: No. porquI
Desempeo y comportamiento.
Condiciones de ambiente de trabajo. Existe cooc
Organizacin en el trabajo.
Desarrollo y motivacin.
No, por qu
Capacitacin y supervisin.
------'
DESEMPEO Y CUMPLIMIENTO El personal
Es suficiente el nmero de personal para el desarrollo de las funciones del Presenta el

rea? Si NO
Sedeja de realizar alguna actividad por falta de personal? 51 NO
n
10.
EVALUACINDE
a. Estcapacitado el personal para realizar con eficacIa sus funciones? lOS RECURSOS
veles Si NO
HUMANOS
No,por qu?
nota-
pre-
EsefICazen el cumplimiento de sus funcionas? si NO
No, por qu?
Esadecuada la calidad del trabajO del personal? si NO
No, porqu?
Es fracuente la repeticin de los trabajos encomendados? 51 NO
El personal es discreto en el manejo de InfoNllacin condencial?

si NO
No, anote repercusiones.
Engeneml, acata el personaltas polticas, sistemas y procedirnientos estable-

.bi- CIdos? SI NO
?ti-
jo- NO,por qu?
d-
ue
do Alguna de las srtuacoonesanteriores provoca un desequlllbno de las cargas de
trabaJo? 51 NO
da
SI, qu se hace al respecto?
fa
Sn Respeta el personal la autoridad establecida? Si NO
er
No, por qu?
Existe cooperacin por parte del personal para la realizacin del trabajo?
SI NO
NO,~por qu?
El personal bene afn de supemClll? SI NO
Presenta el personal sugerencias para mejorar el desempeo actual?

s. NO
Cmo considera las sugerencias?
C"PlTUlO 3
AUDITORi" DE Cmo
LAFUNCION
DE
Qu tratamiento se les da?
INFORMTICA
Se loman en cuenta las sugerencias de los empleados?
En qu forma?
Cmo se les da respuesta a las sugerencias? Por qu
CAPACITACiN cmo
Uno de los puntos que se deben evaluar con ms detalle dentro del rea de
informtica es la capaalacin; esto se debe al proceso camblanle y al desarrOllo
Por qu
de nuevas lecnologlas en el rea.
Los programas de capacnactn incluyen al personal de:

Cul es
Dlreccln, ( )
Anlisis. ( )
Programacin. ( )
Operacin. ( )
Administracin. ( )
Administrador de bases de datos, ( )
Comunicaciones redes. ( )
Caplura. ( )
Otros (especifique). ( )
Se han Idenbhcadolas necesidades aClualesy fuluras de capaCll8Cindel perso-

nal del rea? Sl NO
No, por qu?
Se desarrollan programas de capacilacln para el personal del rea

si NO
No, porqu?
Apoya la superioridad la realizacin de estos programas? SI NO
Se evalan los resuHados de los programas de capacolacln? SI NO
No, por qu?
SoJicrteef plan de capaCll8clnpara el presenle ao. Cua es

SUPERVISiN 79
EVALUACION DE
,Cmo se lleva a cabo la supervisin del personal? LOS RECURSOS
HUMANOS
En caso de no realizarse, por Qu no se realiza?
,Cmo se controlan el ausenlismo y los retardos del per$Ol\8l?
,Porqu no se llevan controles?
,Cmo se evala el desempeo del personal?

:le
lo
,Por qu no se evala?
Cules la finalidad de la evaluacin del personal?
LIMITANTES
,OJales son los pmcjpaIes facIores Internos que limitan el desempeo del personal?
Culesson los principales factores externos Quelimitan el desempeo del perso-

nal del rea?
Cul es el Indocede rotacin de personal en:
AnlISIS? ( )
Operacin? ( )
Administracin? ()
Captura? ( )
Programacin? ( )
Direccin? ()
Adm'nlstracin de bases de datos? ()
ComunocaClOfles redes? ()
Tecnlcos? ()
Otros? (especifique), ()
En tnninos generales, se adapta el personal al mejoramlenlo administrativo

(resistencia al cambio)? sr NO
Cul es el grado de disciplina del personal?

80
Cul es el grado de asistencia y punlualidad del personal?
CAPITULO 3
AUDITORrA DE
LA FUNCiN DE Nor
INFORMTICA
Existe una politlca unitorme y consistente para sancionar la Indisciplina del tanl
personal? SI NO lesl
bier
Se lleva a erecto esta politica? Si NO pod
Puede el personal presenlar quejas y/o problemas? si NO Es
S. cmo 59 soIUCIOf18n?

Otras reas externas presentan quejas sobre la capacidad y/o atencin del
personal det rea? 51 NO
Sl, I
Si. qu tratamiento se tes da?
No,
Cmo se otorgan los ascensos. promociones y aumentos salariales?
Con
Cmo se controtan las laltas y ausentismos? zac
Cules son las pnncipales causas de tallas y ausentismo?

Etar
impc
CONDICIONES DE TRABAJO
El I
Para poder trabajar se requiere que se tenga una adecuada rea de trabajo. con
mayor razn en un rea en la que se debe hacer un trabajo de Investigacin e No. I
intelectual.
Conoce el reglamento Interior de trabajo el personal del rea? SI NO

Cu
Se apoyan en l para solucionar los conflictos laborales? SI NO

CI
No. por qu?
SoQ
Cmo son las retaeooes laborales del rea con el sindICato?

Se presentan problemas con frecuencia? SI NO
Si. en qu aspectos?

Cmo se resuelven?
REMUNERACIONES 81
EVAlUACIN DE
LOS RECURSOS
Normalmentelas personas estn inconformes con su remuneracin. Es mpor- HUMANOS
el tanteevaluarque tan cierta es esta Inconformidad o si est dada por otros ma-
leslaresaunque sean seatados como Inconforrmdad en las remuneraciones, o
~ puede deberse a que se desconoce cmo se evala a la persona para
poder darle una mejor remuneraoln.
,Est el personal adecuadamente remunerado OOnrespecto a:
Trabajo desempeado? Si NO
Puestos similares en otras organizaCiones? sr NO
Puestos similares en otras reas? si NO
el
SI. cmo repercute?
No, cmo repercute?
Conseguirinformacin sobre lOSsueldos de los mismos niveles en otras organi-

zaciones.
AMBIENTE
El ambiente en el rea de informtica, princlpalmente en programacin, es muy

importantepara lograr un adecuado desarrollo.
El personal est Integrado como grupo de trabajo? Si NO
n
e No. por qu?
Cul es el grado de convivencia del personal?
Cmose aprovecha esto para mejorar el ambiente de trabajo?
,Son adecuadas las condiCIones ambientales con respecto a:
Espacio del rea? si NO

iluminacin? si NO
Ventilacin? si NO
Equipo de ollclna? Si NO
Mobiliario? si NO
Ruido? si NO
limpieza ylo aseo? si NO
Instalaciones sanlarlas? Si NO
Instalaciones de comunicacin? si NO
82 ORGANIZACiN DEL TRABAJO deseen ext
CAPmJl03 nados. En
AUOfTORiA DE Par1lC1paen la sel8CCl6n del personal? poder hda
LA FIJNCIN DE
INf'ORMATICA que la, o",
No. por qu? btono
Qu repercuSJOnes bene1
Crado
Se prevn las necesidades de personal con antenordad:
Grado
tivo-.
En cantidad? si NO <;;II"fao
Capaci
En calidad? Si NO Observ
No. por qu?
Ofrecer
Esl prevista la sustitucin del personal clave? si NO
NO, por qu?
1 No
DESARROLLO y MOTtVACIN 2 PUl
3. PUf
Cmo se lleva a cabo la nlraduccin y el desarrollo det personat del rea? 4. PUE
5. Nur
En caso de no realizarse, por qu no se realiza? 6. Des
7 ~
8 AC1i
Cmo se realiza la rnonvacn del personal del rea? 9. Ce
10 C.
11. SeII
Cmo se esumota y se recompensa al personal del rea? 12. En I
C$1l
Elosle oportUnidad de ascensos y promociones? si NO 13 C
14 C
Ou poIlhca hay al respecto? 15. C
16 Co
17 So
18 Meo
afio.
19. CO
ENTREVISTAS CON EL PERSONAL 20 Obst
DE INFORMTICA NOTA' En,

InformhCS
Se deberdn efectuar entrevistas con el personal de informtica, para lo cual puede IniCiales E
entrevistarse a un grupo de personas elegidas, sin dejar de sealar que quienes nes y com
84 6.
p
CAPiTULO 3
AUDITORiA DE
SITUACiN PRESUPUESTAL y FINANCIERA
LA FUNCiN DE )
INFORMTICA
S
C
A
G
In
PRESUPUESTOS S
O
Se obtendr informacin presupuestal y financiera del departamento, as como

7. I
del numero de equipos y caractersticas para hacer un anlisis de Su situacin
desde un punto de vista econmico. Entre esta informacin se encuentra: e
Costos del departamento, desglosado por reas y controles.
Presupuesto del departamento, desglosado por reas.
=1
Ro
Caractersticas de los equipos, numero de ellos y contratos. MI
01
NOTA: Se debern pedir los costos, presupuestos y caractersticas de los equi-
pos sealados en los puntos anteriores, adems de contestar el cuestionario, del 8. (
cual se ofrece un ejemplo a continuacin:
Ce
RE
El,
1. Cual es el gasto total anual del rea de informtica incluyendo renta del M
equipo y administracin del centro de cmputo (gastos directos o indirectos)?
Ot
_.
2. Existe un sistema de contabilidad de costos por: Pueden
este cas
Usuario?
Por aplicacin?
3. Conocen los usuarios los costos de sus aplicaciones? sr NO
4. Los reportes de costo permiten la comparacin de lo gastado en la direc-

cin de informtica contra lo presupuestado? si NO
A continua
5. Cite a los principales proveedores de su direccin en materia de:
recursos fi!
Proveedor Volumen anual
Mobiliario en general
Consumibles Quin ir
Equipo
Software
Mantenimiento Se respo
Equipo auxiliar
Papelera No, en q
Cintas, discos, etctera
6. Culescargos adicionales se manejan por separado fuera del contrato? 85
A Pongauna X en ellos. SITUACION
PRESUPUESTAL
UUllzaclndel equipo. ( ) V FINANCIERA
Servicio de mantenimiento. ( )
Capacitacin del personal. ( )
Asesora en sistemas de cmputo. ( )
Gastos de instalacin del equipo. ( )
Impuestosfederales, estatales, municipales y especiales. ()
Seguros de transporte y compra de equipo. ( )
Otros (especifquelos). ( )
asromo
situacin 7 Cul es la situacin jurdica del eqUipo (especificar por equipo)?
lira:
Compra del equipo. ()
Renta del equipo. ()
Rentacon opcin a compra. ()
Renta de tiempo maquina. ()
Maquila. ()
0110, cul?
losequl-
rario, del 8. Cul es la situacin jurdica del software (especificar por sonware)?
Compra. (
Renta. (
del Elaborado intemamente. (
recios)? Maquila. (
Otro, cul?
Pueden eXisbrdnerentes situaciones jurdicaSde los equipos y det software; en

este caso se debe especificar la situacin de cada uno.
firec- RECURSOS FINANCIEROS

)
Aeontinuacin, se ofrecen algunas preguntas tiles para abordar el tema de los

recursos nancicros.
FORMULACiN
OulnInterviene en la fomnutacindel presupuesto del rea?
Se respetan los planteamientos presupuestales del rea? SI NO
No, en qu pamdas no se ha respetado y en qu monto?

86
ADECUACiN En cas
CAPITuLO 3
AUOITORIA DE
deficiel
LoS recursos linancieros con que cuenta el rea, son sufclentes para alcanzar
LA FlJNCIN
DE los objetivos y metas establecidos? SI NO
INFORMncA
Qu s
No, qu efectos se han tenido en el rea al no contar con suficientes recursos
financieros?
Se cu
RECURSOS MATERIALES desarrc
Porq
PROGRAMACiN
Existe un programa sobre los requenmientos del rea? Si NO Estn
Qu personas del rea Intervienen en su elaboracin?

Actua
equipo
Se respetan los planleamientos del rea?
Qu s
No, en qu aspectos no se respetan?
ConO(
ADECUACiN
Qu r
Los recursos materiales que se le proporcionan al rea. son suhclentes para
cumplir con las funaones encomendadas? di NO
Existe
No. en qu no son suficientes?
ExIste
Los recursos matenales se proporcionan oportunamente? NO
Cule
Cules son las principales limitacionas que tiene el rea en cuanto a los recuro
sos materiales?
No, PI
Qu sugerencIas harlan para superar las limitaciones actuales?
Que s
SERVICIOS GENERALES
Sobre
Existe un programa sobre los servioios generales que requiere el rea?
.. NO
Con~
Considera los servicios generales que se proporcionan al rea
Adecuados? SI NO Se rec
Suficientes? SI NO correctl
Oportunos? al NO
CIIOde que alguna de las respuestas sea negativa especnique cul es la 87
SrTVAClON
S para alcaru* PRESUPUESTAL
SI NO YANANCIERA
lUge1eI1CIaS llarlan para superar las limitaciones actuales?
MOBILIARIO Y EQUIPO
_ con el equ po y mobdlano adecuados y en cantidad suficiente para

la! su trabajo? si NO
si NO adtlC\Jadamenledistribuidos en el rea de trabajo?
mentese estn dejando de realizar actividades por falta de material y

UII)O? Si NO
si NO
ocaesta snuaon el jefe de la unidad?
cientss para
SI NO
elserviCIOde mantenimiento del equipo?
n'1lOOdasde seguridad? s NO
S NO
?
a los recu
=
Du se hace con el eqUipo en desuso?
.Sobre quin recae la responsabilidad del equipo?

?
00
Con qu frecuencia se renuevan el equipo y mobiliario?
00 Se recogen opiniones y sugerencias que nos permitan establecer las medidas

'lO correctivas con las cuales lograr un mejor funcionamiento de estos recursos?
00
Evaluacin
CAPTULO
de los sistemas
OBJETIVOS
1. Evaluar si las organizaciones que se van a auditar cuentan con los stste-
mas necesarios para cumplir con sus funciones.
2. Explicar la importancia de la evaluacin del diseo lgico de un sistema y
de su desarrollo.
3. Definir las caractersticas principales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocer el contenido mnimo que deben tener los instructivos de operacin
de los sistemas.
5. Describir cules son los trabajos que se deben realizar para iniciar la opera-
cin de un sistema.
6. Explicar la importancia de las entrevistas a los usuarios para comparar los
datos con los proporcionados por la direccin de Informtica.
7. Conooer los seialamientos principales relacionados con los derechos de
autor y la informtica.
90
Software
CAPITULO 4
EVALUACION EVALUACiN DE SISTEMAS bien pu
paquetes
DE LOS SISTEMAS
Por e]e mll
Existen diversas formas por medio de las cuales las organizaciones pueden conla: ds, ,iado!
can el software necesario para cumplir COnsus requerimientos; entre ellas se tes indJ\'"W
encuentran: puede ten
paquete
Elaborado por el usuario, o bien un software comercial. El que el usuario da- por dp, d
bore un determinado software tiene las siguientes ventajas: normalmente e; cual pued
desarrollado para cubrir todas las necesidades del usuario; puede ser modifica. ware qu
do de acuerdo a las necesidades de la organizacin; contiene sistemas de segu. mandos Y
ridad propios. Aunque tiene estas desventajas: es ms costoso; su tiempo de usar I'dq
implementacin es ms largo, su rnantenimiento y actualizacin, normalmente tener d ir
no se hacen sobre una base peridica. mientos d
Al del
Software compartido o regalado. Normalmente se trata de un software seno- de adquir
110elaborado para computadoras personales, que puede ser conseguido o bajo zacion se
costo va Internet. El peligro de este tipo de software es que puede no cumplit bien "casa
con todas nuestras necesidades, adems de que se debe tener cuidado con lo; pero requ
programas pirata o con virus.
La ela
Se debe considerar la librera de programas de aplicacin. Sin importar l. Ile, par 1
forma de desarrollo, los programas siempre son escritos para correr en un de- mas hasta
terminado sistema operativo. Un elemento importante del sistema operativo es
la cantidad y diversidad de programas de aplicaci6n que son escritas en ~~lo
Exisl
cual se conoce como la librera de programas de aplicacin. Es importante !(>- grams
mar en cuenta el sistema operativo utilizado, ya que puede ser un tipo de siste-
ma operativo conocido como "propietario", el cual s610 puede Ser usado en
Existe
C'stn
mquinas de un determinado proveedor.
vos,
Software transportable (porlability). Se considera que un software es portableo LIh rs
transportable cuando 1) tiene diferentes versiones para diferentes sistemas eficier
operativos, cuando 2) puede cambiarse entre dos o ms sistemas operativos, o
cuando J) puede ser fcilmente convertido de un sistema operativo a otro. Ln El pla
software que es transportable permite, aparentemente, usar el mismo progra. futuro, co
ma de aplicacin sin importar el sistema computacional. Se puede usar en una
gran computadora (mllillframe) o en una minicomputadora, o cambiar entre di. CuJ
ferentes tipos de mincomputadoras. Una organizacin que obtiene un software Cur
que tiene diferentes versiones, pero que en esencia es el mismo, lo cual significa Qu
que es transportable, ahorra tiempo en entrenamiento y en personal, y permite Cu
el que fcilmente se mueva de un trabajo a otro o bien en diferentes lugares.
La est
Un solo usuario O multiusuario. Como en el caso de los sistemas operativos, cu rsos q u\
los programas de aplicacin pueden ser para un solo usuario o para una vare- estaran fu
dad de usuarios.
Qu
Categorizacin del software de aplicacin por usuario. El software puede ser Qu
catalogado como: de propsuos generales, de funciones especficas o especifico Qu
de la industria. Qu
Softwire a la medida de la oficina. El software comercial puede ser vendido, o 91
bien puede ser elaborado internamente como paquetes individuales O como EVALUACION
paquetes mtegrales y compatibles que son diseados para trabajar en conjunto. DE SISTEIAAS
Porejemplo, un paquete e laborado en Cobol, o una hoja de clculo, pueden ser
diseados para trabajar slo con un determinado sistema operativo. Los paque-
miar
tes individuales pueden ocasionar muchos problemas, ya que por ejemplo se
ISse puede tener un magnfico paquete de presupuestos que sea incompatible con el
paquete de contabilidad SI dos paquetes son diseados en forma individual
ela- por do> diferentes compaas, es muy probable que no sean compatibles, lo
...es cualpuede repercunr en aumento de tiempo, costo y entrenamiento. Un soft-
ca- ware que es compatible e integrado permite que sus mens, apuntadores, co-
'8"- mandosy ayudas sean iguales y que las salidas del sistema sean compatibles. El
) de usarpaquetes de software compatible, tiene grandes beneficios, aunque puede
~nte tenerel inconveniente de que no todos los paquetes cumplan con los requeri-
mientos de los usua ros.
Al desarrollar un determinado sistema se debe cuidar si habr necesidad
nci .. deadquirir sistemas o lenguajes propiedad de una compaa, que para su utili-
,ajo zacin se requiera de una licencia especfica, lo cual puede ser muy costoso, O
plir bien"casarnos" con u" determinado proveedor, lo cual puede ser conveniente
los pero requiere de una evaluacin muy detallada.
La elaboracin o adquisicin de sistemas debe evaluarse con mucho deta-
rla lle. para lo cual se debe revisar desde la planeacn y elaboracin de los siste-
de- mashasta su desarrollo e implementacin. Se deber evaluar si:
'es
, lo Existen realmente sistemas entrelazados como un todo O bien si existen pro-
to- gramas aislados.
.te- Existe un plan estratgico para la elaboracin de los sistemas o bien si se
en estn elaborando sin el adecuado sealamiento de prioridades y de objeti-
vos.
Los recursos son los adecuados y si se estn utilizando en forma eficaz y
eo
eficiente.
las
,0
8 plan estratgico deber establecer los servicios que se prestarn en un
Jn
I
futuro, contestando preguntas como las siguientes:
ra-
na Cules servicios se implementarn?
ji-
El plan estratgico
Cundo se pondrn a disposicin de los usuarios?
Ire
Qu caractersticas tendrn?
ca
Cuntos recursos se requerirn?
te
La estrategia de desarrollo deber establecer las nuevas aplicaciones y re-
.s, cursos que proporconard la direccin de informtica y la arquitectura en que
estarn fundamentados:
e-
Qu aplicaciones serdn desarrolladas y cundo?
Qu tipo de archivos se desarrollarn y cundo?
:0 Qu bases de datos sern desarrolladas y cundo?
Qu lenguajes se utilizarn y en qu software?
92 Qu tecnologa ser utilizada y cundo se implementar? 11
CAPTULO 4 Cuntos recursos se rcquenran aproximadamente? d
EVALUACION Cul es aproximadamente el monto de la inversin en hardware y 50h
.
DE LOS SISTEMAS ware? C) Dise
En lo referente a la consulta a los usuarios, el plan estratgico debe defll'6 E

los requerimientos de informacin de la organizacin: d
n
Qu estudios van a ser realizados al respecto?
Qu metodologa se utilizar para dichos estudios? D) Dise
Quin administrar y realtzara estos estudios?
I
En el rea de auditora interna debe evaluarse cul ha sido la participacin D
del auditor y los controles establecidos. e
Por ltimo, el plan estratgico determina la plancacin de los recursos. ~
1
Contempla el plan estratgico las ventajas de la nueva tecnologa? [
Cules sern los conocimientos requeridos por los recursos humanos pi. E
neados?
Se contemplan en la estructura organizaconal los nuevos niveles jerrqui E) DiSC
cos requeridos por el plan estratgico?
Cul es la inversin requerida en servicios, desarrollo y consulta a los U$U" t
rios? e
[
El proceso de planeacin de sistemas deber asegurarse de que todos lO! ~
recursos requeridos estn claramente identificados en el plan de desarrollo cIt
aplicaciones y datos.
Estos recursos (hardware, software y comunicaciones) debern ser compa- F) ImI
tibles con la estrategia de la arquitectura de la tecnologa con que se cuenta
actualmente.
Para identificar los problemas de los sistemas primero debemos detectar
Jos sntomas, los cuajes son un reflejo deJ rea probJemlico1; despus de anali
zar Jos sntomas podremos definir y detectar las causas, parte medular de la
a ud i tora.
Se deben reunir todos los sntomas y distinguirlos antes de sealar las cau-
sas, evitando tomar los sntomas como causas y dejando fuera todo lo que sean G) Pn
rumores sin fundamento. CO
los sistemas deben ser evaluados de acuerdo con el ciclo de vida que nor-
malmente siguen. Para ello, se recomiendan los siguientes pasos:

A) Definicin del problema y requerimientos del usuario. Examinar y evaluar
los problemas y caractertsticas del sistema actual, sea manual, mecanco O
electrnico, as COIllO los requerimientos por parte del usuario. H) 50
B) Estudio de factibilidad: nU
fac
Desarrollo de los objetivos y del modelo lgico del sistema propuesto.
Anlisis preliminar de las diferentes alternativas, incluyendo el estu- Ta
dio de factibilidad tcnico y econmico de cada alternativa. o lgi
Desarrollo de recomendaciones para el proyecto de sistema, incluyen- 93
do los tiempos y costos del proyecto. EVALUACIN
vare y soft- DE SISTEMAS
C) DIseo general y anlisis del sistema:
lebe definir Estudio detallado del sistema actual, incluyendo los procedimientos, Evalu.cln
diagramas de flujo, mtodos de trabajo, organizacin y control. de los sIstemas
Desarrollo del modelo lgico del sistema actual.
D Diseo del sistema:
Desarrollo de los objetivos para el sistema propuesto.

rticipacin Desarrollo del modelo lgico del sistema propuesto, incluyendo la de-
finicin lgica de los procesos, diccionario lgico de datos y diseo l-
cursos. gico de las bases de datos.
Evaluacin de las diferentes opciones de diseo.
ia? Desarrollo del anlisis costo-beneficio para evaluar las implicaciones
nanos pI a- econmicas de cada alternativa.
s jerrqu- E) Diseo dcta liado:
dos usua- Desarrollo de las cspcciflcaconcs para el sistema fsico, incluyendo el

diseo de reportes, archivos, entradas, pantallas y formas.
Diseno de las especificaciones del programa.
todos los Diseo de la implementacin yel tiempo y forma de llevar a cabo las
urollo de pruebas.
r compa- F) Implementacin y desarrollo f1sico:

;e cuenta
Codificacin y documentacin del programa.
detectar Evaluacin y seleccin del equipo de cmputo.
de anal- Desarrollo de sistemas de auditora, control y seguridad, y desarrollo
lar de la de los procedimientos de prueba.
Desarrollo de los programas de entrenamiento.
G) Pruebas del sistema, evaluacin y aceptacin por parte del usuario y de

contralora interna:
que nor-
Modificaciones y adecuaciones.
Instalacin.
evaluar Carga de datos.
:rtico o
H) Soporte cotidiano, cambios y mejoras al sistema. Despus de esto, se vuelve
nuevamente a Iciclo inicial, el cual a Su vez debe COmenzar con el estudio de
factibilidad.
puesto.
21 estu- Tambin se debe evaluar que un error o correccin en el momento del dise-
o lgico es de fcil solucin y bajo costo, pero que los errores o modificaciones
o Deficiei
94 entre ms adelantado est el desarrollo del sistema son ms costosos y de ms

difcil implementacin. Hay ocasiones en que un sistema en su fase de imple- o Nueva
CAPiTULO 4
EVALUACIN mentacin tiene tantas modificaciones, que es preferible hacer uno nuevo, en o Inexper
DE LOS SISTEMAS lugar de usar el diseado con demasiadas modificaciones. o Diseo
La primera etapa a evaluar en el sistema es el estudio de factibilidad, el cual o Proyecc
deb e analizar si el sistema es susceptible de realizarse, cul es su relacin bene- o Control
ficio-costo y si es conductualmente favorable. sobre el
Se deber solicitar el estudio de factibilidad de los diferentes sistemas que o Problen
se encuentren en operacin, as como de los que estn en la fase de anlisis para mento (
evaluar: o Inadeci,
o Falta de
o La disponibilidad y caractersticas del equipo. gramas
o Los sistemas operativos y los lenguajes disponibles. Docurm
o Las necesidades de los usuarios. o Dificult
o Las formas de utilizacin de los sistemas. docume
o El costo y los beneficios que reportar el sistema. 111a.
o El efecto que producir en quienes lo usarn. o Problen
o El efecto que stos tendrn sobre el sistema. Proced
o La congruencia de los diferentes sistemas.
o La congruencia entre los sistemas y la organizacin.
o Si estn definidos los procesos administrativos, la normatividad y las pol-
ticas para la utilizacin de los sistemas.
o Su seguridad y confidencialidad.
EVALU
En el Caso de los sistemas que estn funcionando, se deber comprobar si
existe el estudio de factibilidad con los puntos sealados, y comparar con la
realidad lo especificado en el estudio de factibilidad. En esta etap
Por ejemplo, en un sistema que el estudio de factibilidad seal determina- para llevar
do costo y una serie de beneficios de acuerdo Con las necesidades del usuario, Se deber
debemos comparar cul fue su costo real y evaluar si se satisficieron las necesi- cuatro fuent
dades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud o La plane
razonable, el costo de los programas, el uso de los equipos (compilaciones, pro- nadas el
gramas, pruebas, paralelos), el tiempo, el personal y la operacin. En la prcti- prender
ca, debemos de considerar los costos directos, indirectos y de operacin invo- cin, me
lucrados en un sistema, para poderlos comparar con los beneficios obtenidos. justifica(
Los beneficios que justifican el desarrollo de un sistema pueden ser el aho- o Los requ
rro en los costos de operacin, la reduccin del tiempo de proceso de un siste- o El inven
ma, una mayor exactitud, un mejor servicio, una mejora en los procedimientos bios que
de control, una mayor con fiabilidad y seguridad, una mejor comunicacin yen o Los requ
forma ms eficiente.
Entre los problemas ms comunes en los sistemas estn los siguientes:
La situar
o Falta de estndares en el desarrollo, en el anlisis y en la programacin.
o Falta de participacin y de revisin por parte de la alta gerencia. Planeado
o Falta de participacin de los usuarios. En desar
o Inadecuada especificacin del sistema al momento de hacer el diseo deta- En proce
o En proce
llado.
de ms Deficiente analss costo-beneficio. 95
imple- Nueva tecnologa no usada o usada incorrectamente. EVALUAC.ON
svo, ('1) Inexperiencia por parte del personal de anlisis Vdel de programacin. DELANAUSIS
Diseo deficiente.
elcual Proyeccin pobre de la (arma en que se realizar el sistema.
, bene- Control dbil o falta de control sobre las fases de elaboracin del sistema y
sobre el sistema en s.
ras que Problemas de auditora (poca participacin de auditora interna en el mo-
is para mento del diseo del sistema).
Inadecuados procedhnientos de seguridad, de recuperacin y de archivos.
Falta de integracin de los sistemas (elaboracin de sistemas aislados o pro-
gramas que no estn unidos como sistemas).
Documentacin inadecuada o inexistente.
Dificultad de dar mantenimiento al sistema, principalmente por falta de
documentacin o por excesivos cambios y modificaciones hechos al siste-
ma.
Problemas en la conversin e implementacin.
Procedimientos incorrectos O no autorizados.
s pol-
EVALUACiN DEL ANLISIS

>bar si
con la
En esta etapa se evaluarn las polticas, procedimientos '! normas que se tienen
mina- para llevar a cabo el an.lisis.
uario, Se deber evaluar la planeacin de las aplicaciones que pueden provenir de
.ecesi- cuatro fuentes pr ncpa 1('5:
ctitud La planeacin cstratglco: agrupando las aplicaciones en conjuntos relacio ..

;, pro- nados entre s y no como programas aislados. Las aplicaciones deben com-
>rcti- prender todos los ,btemas que puedan SN desarrollados en la organiza-
in\'0-
cin, independientemente de los recursos que impliquen su desarrollo )'
idos. justificacin en el momento de la planeacin.
laho-
UlS requerimientos de los usuarios.
siste- El inventario de sstema-, en proceso al recopilar 1" informacin de los cam-
entos
bios que han sido solicitados, sin importar si se efectuaron o se registraron.
1yen Los requerimientos de la organizacin y de los usuarios.
;;
La situacin de una aplicaci<ln puede SN alguna de las siguientes:
5n.
Planeada para ser desarrollada en el futuro.
En desarrollo.
deta- En proceso, pero con modificaciones en deo;.,rrollo.
En proceso con problemas detectados.
96 En proceso sin problemas. Se dr
CAPiTULO. En proceso espordicamente. Se tit
EVALUACiN Est
DE lOS SISTEMAS NOTA: Se deber documentar detalladamente la fuente que gener la necesidad Se d,
de la aplicacin. la primera parte ser evaluar la forma en que se encuentran tos)?
especificadas las polticas, los procedimientos y los estndares de anlisis, si es Los i
que se cumplen y si son los adecuados para la organizacin. las f
Es importante revisar la situacin en que se encuentran los manuales de
anlisis y ver si estn acordes con las necesidades de la organizacin. En algu-
nas ocasiones se tiene una microcomputadora con sistemas sumamente senci-
1I0sy se solcita que se lleve a cabo una serie de anlisis que despus hay que
plasmar en documentos sealados en los estndares, lo cual hace que esta fase
sea muy compleja y costosa. los sistemas y su documentacin deben estar acor-
des con las caractersticas y necesidades de una organizacin especifica; no se El mayor I
deber tener la misma docwnentacin para un sistema que se va a usar en mientos es
computadoras personales, el cual debe de ser documentado en forma ms sen- turado em
cilla (el usuario no necesariamente debe de saber de computacin) que un siste- anlisis de
ma en red. Tambin deben de existir diferentes niveles de documentacin (do- error que-
cumentacin para usuarios, para responsables de la informacin tcnica). tras que el
Se debe evaluar la obtencin de datos sobre la operacin, el flujo, el nivel, la pruebas de
jerarqua de la informacin que se tendr a travs del sistema, as como sus sistemasd
lmites e interfases con otros sistemas. Se han de comparar los objetivos de los que los err
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la los sistema
ejecucin deseada corresponde al actual. da o sirnpl
la auditora en inforrntica debe evaluar los documentos y registros usa- mientrasq
dos en la elaboracin del sistema, as como todas las salidas (pantallas, las cua- sobre prO(
les deben tener una estructura "amigable") y reportes, la descripcin de las decisiones
actividades de flujo de la informacin y de procedimientos, los archivos alma- usando he
cenados, las bases de datos, Su uso y su relacin COnotros archivos y sistemas, El dial
su frecuencia de acceso,su conservacin, su seguridad y control, la documenta- requerimie
cin propuesta, las entradas y salidas del sistema y los documentos fuente a grfico del
usarse. sarrollar lo
Dentro del estudio de los sistemas en uso se deber solicitar: Las me
de informa
Manual del usuario. rias para lo
Descripcin de fJujode informacin. son deserit
Descripcin y distribucin de informacin. del nuevo:
Manua I de formas. El diag
Manual de reportes. la base par
lista de archivos y especificacin. nuevosiste
Definicin de bases de datos. tadora pri
Definicin de redes. computade
soporte esto
Con la informacin obtenida podremos dar respuesta a las siguientes pre- tes de prog
guntas: sus caracte
comenzar (
Seest ejecutando en forma correcta y diciente el proceso de inforrnacin? involucra e
Puede ser simplificado para mejorar su aprovechamiento? vos y los PI
Se debe tener una mayor interaccin con otros ~15tenlas? 97
Sl> llene propuesto un adecuado control y seguridad sobre el sistema? EVALUACION
Est en el anlisis la documcntacn adecuada? DELANLISIS
cesidad Se debe usar otro tipo de tcnicas o <le dispositivos (redes, bases de da-
uentran tos)?
sis, si es Los informes de salida son confiables y adecuados?
Las pantallas y el sistema SOnamigables?
tales de
:n algu-
e seno-
lay que
sta fase
ANLISIS y DISEO ESTRUCTURADO
ar acor-
l; no se Elmavor objetivo del anlisis y diseo estructurado es determinar los requen-
rsar en rmentosexactos, de tal forma que se di",(' ,-1 sistema correcto. El diseo estruc-
uis sen- turado emplea una serie de herramientas grficas y tcnicas que permiten el
n siste- ,"~lisis de tal forma que sea posible conocer errores antes de que OCUrran. Un
n (do- error que ocurre durante la operacin puede tener un costo de 30 a 90%, mien-
.). trasque en la fase de aceptacin puede tener un costo de 5 a 10%, en la fase de
uve). la pruebas del diseo, de 4 a 7%. en la de codificacin, de 5%, en la de diseo de
110 sus sistemas de 3 a 6%, y en la de anlisis de 1 a 4%, por lo cual es muy conveniente
. de los que los errores sean detectados y eliminados en las fases iniciales. En el caso de
ode la lo, sistemas tradicionales la informacin puede estar incompleta, no actualiza-
da o 'implemente imprecisa, y estos problemas puede que no sean detectados,
)S usa- mientras que en la programacin estructurada el analista recolecta informacin
15 CUa- -obre procedimientos actuales, flujos de informacin, procesos de toma de
de las decisiones y reportes, y as construye un modelo lgICOde la situacin actual,
. alma- usando herramientas conocidas como diagrama, lgicos de flujo de datos.
temas" El diagrama de flujo es muy til porque detecta los procesos lgicos, los Diagrama
.nenta- requerimientos de informacin, el flujo d,' informacin, y provee un modelo de flulo de datos
ente a gr.ifico del sistema actual, que puede ser utilizado para detectar mejoras y de-
", rrollar lo, objetivos del nuevo sistema,
Las modificacioncs mayores en lo> procedimientos actuales, necesidades
de informacin y de los procesos de toma de decisiones, las cuales son neoesa-
nas para lograr los objetivos, son construidos dentro del nuevo modelo lgico y
son descritas grficamente dentro de la propuesta del dagrarna lgico de flujo
del nuevo sistema.
El diagrama lgico de flujo de datos del sistema propuesto se convierte en
la base para desarrollar y evaluar las diferentes alternativas de diseo para el
nuevo sistema, Las alternativas de diseo pueden incluir las bases para la compu-
tadora principal (batch), para el sistema en lnea o distribuido, para las
computadoras dedicadas o minicomputadoras, y para el rango de software que
soporte estas configuraciones, incluyendo el d ....."rollo de software, los paqul'-
'S pre- tc-,de programas, usando lenguajes de cuarta generacin, las bases de datos y
'U!\ caractersticas. Una vez que son -eleccionadas (.stac;; alternativas se puede
comenzar el diseo detallado y la implementacin del sistema. Este proceso
lon? involucra el diseo de las salidas y de las entrada" l0' requerimientos de archi-
vos y los procedimientos de control.
98 Al utilizar
CAPITULO'
EVALUACiN
EVALUACiN DEL DISEO o Interfases (
oe LOS SISTEMAS dables y vi
LGICO DEL SISTEMA o Enlace de
determina
En esta etapa se dcbcran analizar las especificaciones del sistema:
procesador
un prograr
o Qu deber hacer? o Capacidad
o Cmo lo deber hacer? o Capacidad
o Cul es la justificacin para que se haga de la manera sealada? Licencias.
o Cul es la secuencia y ocurrencia de los datos? mltiple, (
o La definicin del proceso, o Transporta
o Los archivos y bases de datos utilizados. Compalibl
o Las salidas y reportes. Compatibl
Fcil de U5
Una vez que hemos analizado estas partes se deber estudiar la participa- Grado de'
cin que tuvo el usuario en la identificacin del nuevo sistema, la participacin o Capacidad
de auditora interna en el diseo de los controles y la determmacin de los De fcil in
procedimientos de operacin y decisin. o Demanda
Al tener el anlisis del diseo lgico del sistema debemos compararlo con o Requerimi
lo que realmente se est obteniendo: como en el caso de la administracin, en la o Costo,
cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se o Segu ridad
est obteniendo (lo real),
BASES
PROGRAMAS DE DESARROLLO
El banco de d.
Los programas de desarrollo incluyen software que slo puede ser usado por el temtica inde
personal que ha tenido entrenamiento y experiencia; este software incluye: La cantid.
grande, del or
A) Lenguajes de programacin: Se consdr
vos de datos
o Lenguaje de mquina, estn relacion
o Ensambladores. ci rse que una
o De tercera generacin, estructurado.
o De cuarta generacin: EIDBMS
de datos) es u
o 4GLS. base de datos
o Query languages,
o Ceneradores de reportes. El ronjunt(
o Lenguajes naturales. macinde
o Generadores de aplicaciones.
B) CASE (computa mdttl <oftware tllJ/lllen;lIg).

C) Programacin orientada a objetos. 1 Antonio 'ti
Al utilizar un determinado software se debe evaluar lo siguiente: 99
EVALUACiN DEl
Interfases de usuario grfico, para poder disear pantallas y reportes agra- DISE~O LGICO
dables y visua les. DEL SISTEMA
Enlace de objetos en los sistemas de informacin. Esto nos permite unir
determinados objetos dentro de un documento, por ejemplo, unir un
procesador de palabra con una hoja de clculo, o bien unir informacin de
un programa o sistema a otro programa O sistema.
Capacidad de trabajar en multiplataformas.
Capacidad de trabajar en redes.
licencias. Verificar el tipo de licencia que se puede contratar (individual,
mltiple, corporativa).
Transportable.
Compatible con otro software.
Compatible con perifricos.
Fcil de usar.
tcpa- Grado de sofisticacin.
pacin Capacidad de utilizacin en red.
de los De fcil instalacin.
Demanda de hardware.
'10 con Requerimientos de memoria.
"en J3 Costo.
ente se Seguridad y confidencialidad.
BASES DE DATOS
Elbanco de datos es el conjunto de datos que guardan entre s W1acoherencia
por el temhca independiente del medio de almacenamiento.
re: La cantidad de informacin que contiene un banco de datos suele ser muy
grande, del orden de millones de datos.
Se considera que una base de datos es la organizacin sistemtica de archi-
vos de datos para facilitar su acceso, recuperacin y actualizacin, los cuales
estn relacionados linos con otros y son tratados como W1aentidad. Puede de-
Base de datos I
cirse que una base de datos es un banco de datos organzado como un tipo
estructurado de datos.
El OBMS (data [Jasemanagement system - sistema de administracin de bases
de datos) es un conjunto de programas que permite manejar cmodamente una
base de datos, O sea:
I~Iconjunto de facilidades y herramientas de actualizacin y recuperacin de infor-
macin de una base de datos.'
I AntOtllo Vaquero y Luis jcpnes, lnjo,,,,tica: glo:;nrlo de tl'''linos y siglas, MtCraw-Hill.

100 F.n las bases de datos se debe evaluar: cuyo; funciones:
CAPITULO 4
tia!' soporte a lo
EVALUAC'N La independencia de los datos. Muchos de los programas elaborados inter- Dentro de l
DE LOS S'STEMAS namente eran dependientes de los archivos creados por ellos mismos, o sea la alta admnisn
que carecan de independencia. La falta de independencia significa que cada ciones, los usua
vez que un archivo es cambiado, todo programa que accesa a ese archivo Lo. modelo
debe ser cambiado.
Redundancia de los datos. Se deben evitar las redundancias en las bases de
datos. Jer.rquicos.
Oc redes.
I Ejemplo Si tuvisemos el nombre completo de los alumnos en cada una de las bases Relacionale
de datos en las que se aecese. la cantidad de datos redundantes serfa muy Orientados
alta.
Consistencia de los datos. El problema de redundancia en los datos no slo Entre las \'~
provoca que se ocupe demasiado espacio en los discos, sino que tambin
puede causar el problema de inconsistencia en los datos, ya que se puede
cambiar en un archivo pero omitirse en algn otro de los archivos.
Compartir
Reduccin
Un sistema de bases de datos es un conjunto de programas que:
Mejora de
Independei
Almacena los datos en forma uniforme y de manera consistente.
Incrementa
Organiza los datos en archivos en forma uniforme y consistente. Mejora el e
Permite el acceso a la in formacin en forma uniforme y consistente.
Elimina la redundancia innecesaria en los archivos.
(ncrementz
ca de la in
Los componentes a evaluar dentro de una base de datos son:
Diccionarioj directorio de datos.

Problemas (
Lenguajes de datos (lenguajes de descripcin de datos: DOL; lenguajes de
manipulacin de datos: DML). de adminisll
Monitoreo de teleproceso.
Herramientas de desarrollo de aplicaciones.
Cuando varios
Software de seguridad.
110 fue disead
Sistemas de almacenamiento, respaldo y recuperacin.
Reporteadores. no existe un ('t
Qllery la"guages (structured qllery lallguage: SQL; naturallallgllage queries, query ms usuarios 1
by example: QBE). momento, y n
Bases de datos de multiplataformas. vos. Este tipo
computadoras
Web server sofhuare (world tuide tueb:www).
actualizacone
Tambinp
to, lo cual se a
EL ADMINISTRADOR DE BASES DE DATOS

de datos.
Problema
trol para que!
debe definir E
El desarrollo de las bases de datos ha creado la necesidad dentro de la organiza- acceder datos
cin de contar con un organismo encargado de administrar las bases de datos, ta rio de la bas
CUY.'funciones son las de planear, disear, organizar, operar, entrenar, as como 101
dar soporte a los usuarios, seguridad y rnantenimiento. EVALUACION DEL
nter- Dentro de las funciones de este organismo estn las de tener relaciones con olse~o LOOICO
osea l. nlta administracin, los analistas de sistemas, los programadores de aplica- DEL SISTEMA
ecada ciones,los usuarios y los programadores de sistemas.
-cluvo Los modelos de bases de datos pueden ser:
ses de
Jerrquicos.
De redes.
Relacionales.
Orientados a objetos.
o slo Entre las ventajas del sistema de bases de datos se encuentran:

nbin
ruede
Compartir datos.
Reduccin de redundancia de datos.
Mejora de la consistencia de los datos.
Independencia de datos.
Incrementa la productividad del programador de aplicaciones y de usuarios.
Mejora el control y la administracin de los datos.
Incrementa el nfasis de los datos corno un recurso. Aumenta la importan-
cia de la informacin COmOparte fundamental de la administracin.
jes de
Problemas de los sistemas
de administracin de bases de datos
Cuando varios usuarios utilizan una base de datos, pueden existir problemas si
no fue diseada para usuarios mltiples. Uno de estos problemas surge cuando
no existe un control sobre la actualizacin inmediata. Esto significa que dos o
.query mds usuarios pueden estar elaborando cambios al mismo archivo en el mismo
momento, y no existe control sobre la actualizacin inmediata de los archi-
vos. Este tipo de problemas existe princlpalmente eJ1 las bases de datos de
computadoras personales, ya que los grandes sistemas tienen control sobre las
actualizaciones inmediatas.
Tambin pueden existir problemas en el uSOde recursos excesivos de cmpu-
to, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases
de datos.
Problemas de seguridad. Las bases de datos deben de tener suficiente con-
trol para que se asegure que slo personal autorizado pueda acceder datos, y se
debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o
aniza- acceder datos dependiendo de su llave de entrada, as como el usuario propie-
datos, tario de la base de datos.
102 Los
CAPITULO 4
EVALUACiN
COMUNICACiN Con
DE LOS SISTEMAS "ca
dn
Se debe evaluar el modo de comunicacin y el cdigo empleado. Los diferentes Tier
modos de comunicacin varan dependiendo del tipo de informacin que trans- que
mitimos y el costo del medio empleado. ocas
El medio de comunicacin es tambin un factor importante a evaluar, y ste o
depender de la velocidad y capacidad de transmisin, lo cual est directamen-
o
te relacionado con el costo (cables trenzados, cable coaxial, fibra ptica, microon- o
das, ondas de radio, infrarrojas).
o
Los componentes ms comunes dentro de un sistema de comunicacin son:
Servidor y husped.
COSI
Terminal O estacin de trabajo.
COD"
Convertidores de protocolo.
Mdem. Segt
Equipo de conexin de terminales. Los,
Modo de comunicacin.
Medio de comunicacin. Entr
Topologa de las redes: Salle
Proc
o De punto a punto o estrella y topologa jerrquica. Espe
o Mutidrop o bus y ringo Espe
o Mesh. Mtc
o Sin cables (wireless). Opei
Man
Tipo de redes: tos).
o Local. Proo
Idenl
o Wide area lletworks (WAN).
o Enterprise. Proo
Freci
o Internacional. Sistei
En general las redes pueden ser caras y pueden crear complicaciones en el Sistei
sistema de informacin, pero pueden ser justificables por alguna o varias de las Resp
siguientes razones: la in
Nm
Compartir perifricos. Softv
Compartir archivos. Bases
Compartir aplicaciones. EnCiC:
Reducir costos de adquisicin, instalacin y mantenimiento de software.
Conexin con otras redes.
Captura de datos en Jugares que son de informacin.

Aumentar productividad.
Perm.itirexpansin.
INFOI
Disminuir tiempo de comunicacin.
Aumentar control. Cuando!
Seguridad. mente en
Los puntos a revisar en las redes son: 103
Confiabilidad de las redes. Un sistema con redes que estn constantemente EVALUACINDEL
DISE~O LDGICO
"cadas", o que no sea confiable, provoca muchos problemas a la organiza- OEL SISTEMA
ci6n y cuestiona Su funcionamiento,
erentes Tiempo de respuesta. Una red que sea lenta en sus operaciones, provoca
~trans- que los usuarios la eviten O no la utilicen. Entl"Clos problemas que puede
ocasionar esta lentitud estn;
J y ste
lamen- La distancia que tiene que recorrer y la forma en que se transmite.
La cantidad de trfico en la red.
icroon-
o La capacidad de los canales de comunicacin.
:So son: o Factores externos a la red, como puede ser la estructura de las bases de
datos.
Costo de la red.
Compatibilidad con otras redes.
Seguridad en las redes.
Los puntos a evaluar en el diseo lgico del sistema son:
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Manipulaciones de datos (antes y despus del proceso electrnico de da-
tos).
Proceso lgico (necesario para producir informes).
Identificacin de archivos, tamao de los campos y registros.
Proceso en lnea O lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
s en el Sistemas de control.
,de las Responsables (tipos de usuarios, identificando los usuarios propietarios de
lo informacin).
Nmero de usuarios,
Software necesario.
Bases de datos requeridos,
En caso de redes determinar su tipo y caractersticas.
",are.
INFORMES
Cuando se analiza un sistema de informtica es muy comn pensar exclusiva-
mente en la parte relacionada con la informtica, olvidndonos de que un siste-
104 ma comprende desde el momento en que se genera un dato, as como su proce- inforrn.
samiento, retroalimentacin y salida. Es muy comn que solamente se evale el ~r.lfa r
CAPITULO'
evALUACIN procesamiento de la informacin y su almacenamiento dejando fuera la evala- verifica
DE LOS SISTEMAS cin de aquello que es el inicio del sistema, el seguimiento administrativo y la situada
obtencin de los reportes y salidas de informacin.
Lo que debemos determinar en el sistema es: Rayad(
uso COI
En el procedimiento:
ln~tru(
QUIn hace la funcin. cundo y cmo? autoins
Qu formas se utilizan en el sistema? que ell
Son necesarias, se usan, estn duplicadas? Oc no:
El nmero de copias es el adecuado? p,lrd ve
Existen puntos de controlo faltan? t.?XCl!'tIV
sln rt
En la grfica de flujo de informacin:
Firmas.
Es fcil de usar? dament
Es lgica? como u
Se encontraron lagunas? (irn'll'l(,
Hay faltas de control?
Nombr
En las formas de diseo: duo en
rotacir
Cmo est usada la (arma en el sistema?
Qu~ tan bien se ajusta la forma al procedimiento?
Encabe
Cul es el propsito, por qu se usa?
qu firn
Se usa y es necesaria?
El nmero de copias es el adecuado? Rtulo!
Quin lo usa? adecuar
ubicacir
Entre los elementos a revisar en el diseo de formas estn:
Ubicad
Numeracin. J;st.i numerada la forma? Es necesaria su numeracin? Est
dond~~
situada en un solo lugar fcil de encontrar? Cmo se controlan las hojas numo-
ngrafa
radas y su utilizacin?
par" eS(
Ttulo. Da el titulo de la forma una idea dara sobre su funcin bsica?
Casillel
Espacio. Si la forma va ser mecanografiada, hay suficiente espacio para escn- cacin r
bor a mquina rpidamente, con exactitud y eficiencia? Si la forma se llenar a cesivosl
mano, hay el espacio adecuado para que se escriba en forma legible?
TipO de
Tabulacin. Si la forma va ser mecanografiada, permite su tabulacin llenarla Use paF
uno(ormemente? Es la tabulacin la mnima posible? Una excesiva tabulacin un man
disminuye la velocidad y eficiencia para llenarla. Adems le da una apariencia p..ara rec
desigual y confusa.
Tamae
Zonas. Estn juntos los datos relacionados entre s? Si los datos similares estn ajusta .1
agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La jo, tiern]
su proce- informacin similar reunida por zonas hace ms fcil Su referencia, se mecano- 105
evale el grafa ms eficientemente y se revisa con ms rapidez. Posteriormente, se debe EVALUACiN OEL
a evalua- verificar que las zonas de las formas que sean utilizadas para captura estn OISEO LGICO
situadas de manera congruente con el diseo de las pantallas de captura. OH SISTEMA
ativo y la
Rayado. Da la forma una apariencia desordenada y difcil de entender por el

uSOconfuso y excesivo de lneas delgadas, gruesas O de doble raya?
Instrucciones. Se le dice al usuario cmo debe llenar la forma? Forrnns

autoinstructivas o que suministran la informacin de cmo llenarlas permiten
que el personal nuevo y los otros trabajen con supervisin y errores mnimos.
De no ser as, existe un manual de llenado de tormas, el cual se debe revisar
para ver si las instrucciones son claras, si son congruentes con la forma y si son
excesivas, ya que un diseo excesivo de instrucciones puede provocar confu-
sin y hacer que stas sean poco claras.
Firmas. Existe suficiente espacio para una firma legible? Est el espacio debi-
damente identificado respecto a la fuma que se solicita? La firma se utiliza
comoun mero trmite O realmente controla la persona que fuma lo que se est
firmando?
Nombres. Se usan Jos nombres de los puestos en lugar del nombre del indivi-
duo en la forma? No es conveniente imprimir nombres de personas debido 3 la
rotacin de personal.
Encabezados ambiguos. Se indica con exactitud qu fechas, qu nmeros o

qu firmas se requieren? Se deben evitar encabezados dudosos o ambiguos.
Rtulos. Son demasiados llamativos? Son demasiado discretos? Existe un

adecuado contraste entre los rtulos y los textos respecto a su tamao, color y
ubicacin, para que los datos solicitados sean identificados fcilmente?
Ubicacin de los rtulos. Estn los rtulos o encabezados debajo de la lnea en

n? Est
donde se debe mecanografiar? Esto causa prd ida de tiempo, porque la meca-
lS nume-
ngrafa tiene que mover el carro para ver el rtulo y acomodarlo nuevamente
para escribir la informacin deseada.
Casilleros. Se usan pequeos espacios enmarcados ( ) para con una sola indi-
ua escri- cacin reducir escritos largos o repetitivos? Los espacios son suficientes o ex-
Jenar a cesivos?
Tipo de papel. Son el peso y calidad del papel apropiados para esa forma?
llenarla Use papel ms pesado y de mejor calidad para aquellas formas que requieren
oulacin un manejo excesivo. Use papel de menor peso con formas que se usen poco,
-arienca pata reducir costo y espacio en los archivos.
Tamaos estndar. Tiene la forma un tamao estndar? El tamao estndar se

-es estn ajusta a sobres y archivos estndar. Adems reduce existencias de papel, mane-
mpo. La jo, tiempo)' costo de impresin. Se debe considerar que el costo del papel que
106
CAPiTuLO'
EVALUAClN
I Figura 4.1. Descripcin de informes I FECHA
DE LOS SISTEMAS
I SISTEMA
~
~
YOl/
FOI!
NOMBRE DEL INFORME PR
FE
PROPSITO FEO
f--
CLAVE __
- Nlvt
EN \
OUIN LO FORMULA
PERIODICIDAD
- MO
VOLUMEN EN HOJAS
EN VIGOR
FECHA EN OUE DEBE PRESENTARSE

DESDE __
-
NM. COPIAS
OPORTUNIDAD CON FIABILIDAD COMPLETO
COPIA USUARIO USO
ORIGINAL
la.
28.
3a.
<la.
NUM. DESCRIPCiN DEL PROCEDIMIENTO
'ANEXAR COPIA FOTOSTTICA DEL INFORME Y DEL DIAGRAMA DE FLUUO.
I
ANALIZ PG. DE
107
o 1I Figura 4.2. Anlisis de Informes
>O.08RE DEL jNfOR"'E

11 FUNCiN
I EVAl.UACION DEL
DISEO LGICO
DEL SISTEMA
PIIOI'O$ITO DEL Wfoo...E

outN LO Foo...UI.A
out LO OO!Q!<A
VOLUMENDE HOJAS O REGISTROS
FOAW. DE HACERLO
PRlNCIPAI.U$UAAIO
FECHArEORICA DE PRESENTACjON PERIODICIDAD
FECHADE PRESENTACION PERIODICIDAD
NIVELDE INFORMACION
ENI/IGOA DESDE
t.IOOIFICACIONES
OrROSDArOS ~,
TANTOS COlOR
-
DATOS OUE CONTIENE ORDEN DE LOS DATOS
l. FECHA RECOPil REVIS NDICE
PGINA DE
108
Figura 4.3. Evaluacin de formas
CAPITULO'
EVAlUACION NOMBRE DE LA FORMA. FRECUENCIA DE USO
OE lOS SISTEMAS
ElA8ORAOO POR NM. DE FORMA NM DE COPIAS
USUARIOS CANT. IMPRESA CANT INV
PERIODO EST1MADO DE USO
OBSERVACIONES
UFtC CNfE
PAAALAVIOA
rACll DEIMAN
F~II. DE IMPF!I
A PRODUCIR
FACTORES A EVALUAR
TI TUlOSy t.NC
BALANCEADO
INFORMACiN EMPRESA IMAGEN
Te~""NOlOGIA eSTANDA~ sr NO PROFESIONAL Y CORRECTA 51 00

EXISTEMANUALDe OPEAACIOI! sI NO CALIDAD APROPIADA DE PAPEL SI NO
NUMt RO 01;; CL_
AUTQOESCRIPTIVA SI NO BUENA CAUDAD De IMPRES(N $1 00
FUENTE DE INFORMACION DEBIDAMENTE sI NO Rtoo (RE AUf
IDENTIFICADA COSTO R[IMPHIM AS
REQUIERE OTAOS DATOS DE Si NO MXIMO APROVECHAMIENTO SI .0

~EFE~ENCIA DE PAPEL
TIENE SUflC ENTES ESPACtOS Si NO MAXlMO APROVECHAMIENTO Si NO

DE IMPRESION
(lATOS OVE OONTlENE CV"PlE CON lAS NECESICIAOESsi NO
NECESITA(lATOS ADICIONAlES si NO OUPUCA DATOS DE OTRAS SINO

FORMAS
T1E~eDATOS I~~ECESARIO$ si NO
EN CASO DE HA8ER CONTESTAiX) "NO" A AlGUNA PAB;UNTA. ANOTE lAS OBSEAVACI()N(S

109
Figura 4.4. Evaluacin de formas I FECHA EVAlUACII< DEL
DISEiOo lOGICO
DEL SISTEMA
UTILIZACIN PREPARACIN
ENCA8E2ADOS
EN ORDENCRCHOlOGICO 51 NO RENOlCHES DE O'TOS EN ORDEN 51 NO
CRCHOlOGICO SEGUN FLUJO
FOR .... TOS ESTANOAR 51 NO DATOS CONSTANTeS PRI;:IMPRESOS Si NO
CESCRSE CLARAMENTEEl si NO ESPACIOS SUFICIENTES SEGUN si NO
USUARIO MANERA DE PREPARACION
~F~lOE~RCAR SI NO COPIAS rsc.. ot: SEPARARSE Si NO
COPIAS ClARAS PARA UN BUEN si NO TA8OL.AC.oN UNIFORME Si NO
REGISTRO
SUFICIENTECAlOAO DEL PAPEL S, NO E~8EZt\OOS AMI8A DE lAS SI NO
PAI\A LA VIDA DE LA FORMA ~ PARA LlENAR
FACIlDE...... E.JAA y _AA S, NO VTl.JZA ESPACIOS EN ....AACAOOS SI NO
fACIL CE IMP'A 'AIFI o SI NO MEOIO' ESTANDAADE PAPa. 51 NO
REPRODUCIR
llTlA.OS y ENCABEZAOOS BIEN Si NO CAUDAO DE PAPEL APROPIADO 51 NO
BALANCEADOS
ES DONGAUENTECOO< LAS si NO
PANTAlJ..AS DE CAPTURA
NO
NO CONTROL
....MEAODE CLAVE 51 NO REOUIEFlE NU~EROoe CONTROL Si NO
-o SECUENCI'l
REQUieRe: AutORlZACtN PARA Si NO
REIMPRIM RSE
EN CASO DE HASER COHTESTAOO "NO' A AlGUNA PAEOUNTA. ANOTE LAS 06SERVACtQNES
NO
ANAlIZADO POR
110
Figura 4.5. Evaluacin de formas
CAPlruLO'
EVALUACION A CONOCE LA PERSONA OUE FORMULA
DE LOS SISTEMAS EL DOCU"'ENTO. EL OBJETIVO SI __ NO __
y LA I_ANCIA DEL "'ISMO? SI
B OUE OPINION TIENE FORMA

EL EMPt.eAOO DEL MANEJO
DE ESTE DOCUMENTO?
C OUE PROBLEMAS EXISTEN AlITORIZN

EN SU ELABORACION7
o EXISrE RETRASO EN SU
51 __ NO __
FORMULACI6N!
MOTIVO
E, SE USA LA FORMA NO PARCIAL EN FORMA EN FORMA OBJETive

MENTE ''''CORRECTA CORRECTA
e. uso QUE SE DA A LA FORMA

EN LOS DIFERENTES LUGARES ES EL ADECUADO? sl __ NO __
EN QUE CASO y POR QUE?
F CONSIDERA OUE SE PUEDE'"

HACER CAMBIOS A LA FORMA
PARA SIMPLIFICAR TRABAJO
Y PFIOCmlMIENTO? 51 __ NO __
OESTINO I
CUALES SON, POR OUE y cuLEs
SERIAN LOS BENEFICIOS' OROE~
ORIGiNAl I
11 COPIA;
G QP NION GENERAL
20, COPIA
30 COPIA
'. COPIA I
51 COPIA I
51, COPIA I
f-- -
FECHA _ 7. COPIA
AUDITOR
111
Figura 4.6. Descripcin de formas EVAlUACIN DEL
10__ DISEO LOOCO
DEL SISTEMA
SISTeMA
FOR'AA
EW!ORADA NOMBRE
PUESTO
I~"~'"~--
AUTORIZAD.... NOMBRE
o
I
OOJETlVO
)--
)--
DESTINO
ORDEN DESTINO uso

ORIGINAL
la COptA 1
:u. COPIA
lo COPIA
ola. COPIA
50 COPIA
60. COPIA
...
7a. COPIA
112 110 es de
CAPrTULO.
Figura 4.7. Descripcin de formas de papelera estndar.
EVALUACiN
DE lOS SISTEMAS Color. Pe
I SISTEMA I FeCHA mss ea cok
ros, s<m m,
NOMBRE __
sin ,negro
cuidado tar
08JETIVO _ FRECUENCIA _ estar idenr
QUIEN FORMULA _ VOLUMEN MENSUAL _
Como
FORMAOE LLeNA~LA _ EN vIGOR OESDE _ descripcir
FOLIO IMPRESO Sr NO NM, oe. COPIAS _
QUE LAQRIGINA _
ANl
A QU DA ORIGEN
Una vez q'
informes p,
la encuesta
RECOMENDACIONES Al. IMPRIMIR
se la figura
cribir el COl
COPIANM. COLOR PRoceOIMIENTO. uso v oeSTINO DE CADA COPIA FIRMA NECESARIA cin.
ORIGINAL
RUIOC
En la audito
qlle tiene ce
En prin
La erans
prenda."
OBSERVACIONES El ruide
solamente 1,
Koontz/O'I
Cualquie
za la con
ANALIZ PGINA DE
z Kcontz ~
no es de tamao estndar es considerablemente mayor que el de tamao 113
estndar.
eVALVACIN DEL
DIseO lGICO
Color.Permite el contraste del color del papel una lectura eficiente? las for- Del SISTEMA
masen colores, como el anaranjado, el verde, el azul, el gris, etc., en tonos oscu-
ros, SOndifciles de leer porque no ofrecen suficiente contraste entre la impre-
sin(negro) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener
midadotanto en el color del papel como en el color de la tinta. Las copias deben
estaridentficadas de acuerdo con el color.
Como ejemplo de anlisis de formas vase las figuras 4.3, 4.4 Y4.5; para la
descripcinde formas vase las figuras 4.6 y 4.7.
ANLISIS DE INFORMES
Unavez que se han estudiado los formatos de entrada debemos analizar los
informespara posteriormente evaluarlos con la informacin proporcionada por
laencuestaa los usuarios. Como ejemplo de la descripcin de los informes va-
se lafigura 4.1,y para el anlisis de los informes la figura 4.2. Despus de des-
cribirel contenido de los informes se debe tener el anlisis de datos e informa-
cin.
RUIDO, REDUNDANCIA, ENTROpA

En laauditora de sistemas hay que estud lar la redundancia, el ruido y la entropa
quetiene cada uno de IObsistemas.
En primer lugar, debemos considerar como comunicacin:
La transferenea de In(orO'\ljcin del emisor al receptor de manera que ste la com-

prenda.'
El ruido es todo aquello que interfiere en una adecuada comunicacin; no

solamentelos sonidos sino todo aquello que impida la adecuada comunicacin.
KoonIz/O'DOIUleldefinen el ruido como:
Cualquier cosa (sea en el emisor, en la transmtsin O en el receptor) que obstaculi-

za la comunicacin.
l Kocrue y O'Dormcl, Arlmi'lIstrDddtl, McCra\,,-l BII.

114 As, por ejemplo, si una persona se encuentra jugando, sin hacer necesaria- En 1,
CAPiTULO 4 mente algn sonido, en el momento que otra est hablando, se considera como ro adecu
EVALUACiN tipo de ruido para el sistema. mita uria
DE LOS SISTEMAS En el caso de un sistema computarizado, el error en una captura, una pan- redunda
talla de la terminal demasiado llena de informacin y poco entendible O un Tam
reporte inadecuado se deben considerar como ruido en el sistema, ya que impi- incrernei
den una buena comunicacin de la informacin. En el caso de los sistemas se de contr
debe evaluar lo que se conoce como "sistema amigable", lo cual significa: bien que
requiere
Que tenga las ayudas necesarias para el caso de alguna duda (help).
Que contenga los catlogos necesarios para el caso de referencias.
Que tenga las ligas automticas con otros sistemas para obtener informa- Entropi
cin o para consulta (conexiones automticas a otras bases de datos o re-
des). El dccioi
Que la informacin sea solicitada en forma secuencial y lgica.
Que sea de fcil lectura y, en su caso, escritura. Cann
Que sea rpido, gil, y que contenga una limpieza que permita una fcil
visualizacin. La er
el cual es
La redundancia es toda aquella duplicidad que tiene el sistema con la fina- del sisten
lidad de que, en caso de que exista ruido, permita que la informacin llegue al
receptor en forma adecuada. En la
Podemos enviar un mensaje de la forma siguiente: entra
En UI
I Ejemplo Llegpor avinel da martes31 de octubrede 2000 del presente ao, a las
entropa,
16:00hrs. de la tarde a la ciudadde Cancn,QuintanaRoo,Mxico.
Enel mensaje anteriortenemosexcesivaredundanciadebidoa que el31 nera que!
de octubrede 2000es martesy si estamos en 2000 es del presente ao. Las otro sister
16:00hrs. siempre sern de la tarde y la ciudad de Cancn est slo en el
estado de QuintanaRoo,Mxico.Encambiopuede ser incompleta,ya que no Alcap
se especificala lnea area ni el vueloen que llegar. de inf,
Funcin de la La redundancia puede ser conveniente en el caso de que haya que cercio-
redundancia rarse de que la informacin se recibe correctamente. Esto estar en funcin de lo
delicada que sea la informacin y del riesgo que se corre en caso de una prdida
total o parcial de la misma.
EVAL
Un ejemplo de redundancia dentro de las mquinas es el BITde paridad, el
cual permite que en caso de prdida de un BIT,se pueda recuperar la informa- En esta el<
cin que contiene el byte. guaje utili
La redundancia es una forma de control que permite que, aunque exista hardware
ruido, la comunicacin pueda llevarse a cabo en forma eficiente; deber haber Al eva
mayor redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de debe pro?
informacin, aunque, a la vez, debemos estar conscientes de que el exceso de eficazyop
redundancia puede provocar ruido. obtener un
se contar
[Ejemplo Es el caso de un profesorque por desear ser muy claro, se dedica a dar
demasiadosejemplos;puede provocarruidoen el sentidoque llegaa confun-
dir o a aburrira sus alumnosy que el nmeroexcesivode ejemplosimpida
una adecuada comunicacin. 30 NueTJO ,
cesara- En la auditora se debe considerar que todo sistema ha de ofrecer un nme- 115
-acomo ro adecuado de redundancia, segn su nivel de importancia, de modo que per- EVALUACION DEL
mita una buena comunicacin, aun en el caso de que exista ruido, pero sin ser la DESARROU.O
na pan- redundancia de tal magnitud que a su vez provoque ruido. DEL SISTEMA
.le O un Tambin debemos considerar que con un mayor control y redundancia se

ie impi- incrementa tambin el costo de los sistemas. llay que tener un adecuado nivel
emas se de control y redundancia, que no sea de tal magnitud que provoque ruido o
ca: bien que no sea demasiado costoso en relacin con el nivel de seguridad que
requiereel sistema.
'Orma- Entropa
os o re-
El diccionario la define como:
Cantidad de energa que por su degradacin no puede aprovecharse.'
na fcil
Ia entropa en un sistema, por ejemplo de un motor, es el calor que genera,
elcual es energa que por sus caractersticas no puede aprovecharse. En el caso
la fina- delsistema llamado motor se utiliza esta entropa.
egue al
En la calefaccin del automvlt o bien para calentar el aire y la gasolina que Ejemplo I
entra al molar (en el caso de molores lurbo).
En un sistema computarizado debemos procurar reducir al mximo esta

las
entropa, y una de las formas de reducirla es interconectar sistemas, de tal ma-
131 nera que esa cantidad de energa no usada en un sistema pueda ser utilizada en
las otro sistema.
nel
HIO
Al capturar el catlogo de clientes para el sistema de cobranzas, con un poco EJemplc[l
de Informacinadicional lo podemosUltltzaren contabilidad.
cerdo-
5ndelo
ordida
EVALUACiN DEL DESARROLLO DEL SISTEMA
idad, el
uorma- Enesta etapa del sistema se debern auditar los programas, su diseo, el len-
guaje utili7ado, la interconexin entre los programas y las caractersticas del
e exista hardware empleado (total o parcial) para el desarrollo del sistema.
haber Al evaluar un sistema de informacin se tendr presente que todo sistema
dida de debe proporcionar informacin para planear, organizar y controlar de manera
ceso de efiCal y oportuna, as como para reducir la duplicidad de datos y de reportes, y
obtener una mayor seguridad en la forma ms econmica posible. De ese modo
se oontar OOnlos mejores elementos para una adecuada toma de decisiones.
dar
'un-
)ida
116
o
CAPiTulO 4
EVALUACiN SISTEMAS DISTRIBUIDOS, INTERNET, o
DE LOS SISTEMAS
COMUNICACiN ENTRE OFICINAS

o
Los sistemas distribuidos se pueden definir como el sistema en el cual 1M o ~~
computadoras y los datos cstn en ms de un lugar (si/e), as como los progra- o Coa
mas de aplicacin. Ejemplos de esto son las redes WAN, PBX, LAN, Internet. o
Las razones para implementar un sistema distribuido son:
O~
o I'un
o Mejora del tiempo de respuesta. o 1'1
o Reduccin de costos. ruve
o Mod
o Mejora de exactitud en la actualizacin.
o Reduccin del costo de la computadora principal (maillframf) y la dept'l> Jo-r
dcncia a una sola computadora. o s,'g
o Uni
o Puede tenerse un crecimiento planeado, En lugar de grandes equipos que
dificultan su administracin, organizacin. y que requieren de espacios mu
amplios, se tienen equipos descentralizados' que son ms fjales de adm.. IJl '1
nistrar y de controlar su crecimiento. ma quC~
o Incremento de confianza, ya que si falla (.'[equipo principal no significaqee aislados
falle todo el sistema. Sed
o Compartir recursos. bid no so
o Aumenta la satisfaccin de los usuarios, ya que las computadoras y el desa-
rrollo pueden estar ms cerca del usuario.
o En bases de datos se puede usar el concepto cliente/servidor y S/ruct.fflI
Qllfl'y Lallgllngc (SQL).
Los puntos que se deben considerar al evaluar un sistema distribuido soc

CON
o Falta de personal calificado en todos los puntos del sistema. De bido
Estandarizacin, frecuent
o Documentacin. una l"'lot.
o Prdida de datos. rida.tos e
o Seguridad. de infor
o Consistencia de los datos. de una a
o Mantenimiento del sistema. la te-, ni~
Qu
Al tener un proceso distribuido es preciso considerar [a seguridad del mo- del pres
vimiento de la informacin entre nodos. El proceso de planeacin de sistl"O''' dclllllS
debe definir la red ptima de comunicaciones, recordando que el plan de apli- mente op
caciones proporciona informacin de la ubicacin planeada de las terminales. porque e
los tipos de mensajes requeridos, 1'[ trfico esperado en las lnea, de comunea- esta cual
cin y otros (actores que afectan el diseo. porel ('nar
Es importante considerar las variables que afectan a un sistema: ubicarin I\lra 1
en los niveles de la organi?acin, tamao y recursos que utiliza. el ana[ist
Evaluacin
Las caractersticas que deben evaluarse en los sistemas SOn: el cu.i! se
de sistemas
o Dinmicos (susceptibles de modificarse). plan dt'~
para oval
Transportables (que puedan ser usados en diferentes mquinas y en dife- 117
rentes plataformas). CONTROl.
Estructurados (las interacciones de sus componentes o subsistemas deben DE PROYECTOS
actuar como un todo).
Integrados (un solo objetivo). En l habr sistemas que puedan ser interre-
lacionados y no programas aislados.
Accesibles (que estn disponibles).
r el cual las Necesarios (que se pruebe su utilizacin).
los progra- Comprensibles (que contengan todos los atributos).
J, Internet. Oportunos (que est la informacinen el momento que se requiere).
Funcionales (que proporcionen la informacin adecuada a cada nivel).
Estndar (que la informacin tenga la misma interpretacin en los distintos
niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
y la dcpen-
Seguros (que slo las personas autorizadas tengan acceso).
nicos (que no dupliquen informacin).
quipos que
oaciosmuy
En relacin con otros sistemas deben de estar interconectados de tal for-
sde admi-
ma que permitan un sistema integral, y no una serie de programas O sistemas
aislados.
gnifica que
Se deben de tener sistemas que tengan la necesaria redundancia, pero que
sta no sea tan grande que provoque que el sistema sea lento o ineficiente.
s y el desa-
Slrllctu red
CONTROL DE PROYECTOS
ouido son:
Debido a las caractersticas propias del anlisis y de la programacin es muy
frecuente que la mplantacin de los sistemas se retrase, y Uega a suceder que
una persona trabaje varios aos en un sistema O bien que se presenten irregula-
ridades en las que los programadores realizan actividades ajenas a la direccin
de informtica. Para poder controlar el avance de los sistemas, ya que se trata
de una actividad intelectual de difcil evaluacin, se recomienda que se utilice
la tcnica de administracin por proyectos para su adecuado control.
Qu significa que un sistema sea liberado en el plazo establecido y dentro
ddel rno- del presupuesto? Pues sencillamente que el grado de control en el desarrollo
. sistemas del mismo es el adecuado o tal vez el ptimo. Pero esto no se consigue gratuita-
n de apli- mente o porque la experiencia o calidad del personal de desarrollo sea alta, sino
rminales, porque existe un grado de control durante su desarrollo que permite obtener
omunica ... esta cualidad. Cabe preguntar aqui: quin es el elemento adecuado para pro-
porcionar este grado de control?
abicacin Para poder tener una buena administracin por proyectos se requiere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en
el cual se especifiquen actividades, metas, personal participante y tiempos. Este
plan debe ser revisado peridicamente (semanal, mensual o bimestralmente)
para evaluar el avance respecto a lo programado.
118 La estructura estndar de In planeacin de proyectos deber incluir la faci
lidad de asignar fechas predefinidas de terminacin de cada tarea. Entre estas 19. Se lIa
CAPiTULO 4
EVALUACiN lechas debe estar el calendario de reuniones de revisin, las cuales tendrn di-
DE LOS SISTEMAS ferentes niveles de detalle. Son necesarias las reuniones a nivel tcnico con la
De anlisis
participacin del personal especializado de la direccin de informtica, para De programE
definir la factibilidad de la solucin y los resultados planeados. Son muy j. Observaco
portantes las reuniones con los usuarios finales, para verificar la validez de lo;
resultados esperados.
La evaluacin de proyectos y Su control puede realizarse de acuerdo con Incluir el
diferentes autores. A manera de ejemplo presentamos el siguiente cuestionare que el departa
cla, segn la s
1. Existe una lista de proyectos de sistema de procesamiento de ntorma- Como ejer
cin y lechas programadas de implantacin que puedan ser considerados calendario de
como plan maestro? sables del sistl
2. Est relacionado el plan maestro con un plan general de desarrollo de la figura 4.12; de
dependencia? los informes d
3. Ofrece el plan maestro la atencin de solicitudes urgenles de los usea- avance de pro
rios? Se debcrar
4. Asigna el plan maestro un porcentaje del tiempo total de produccin al tr .in en prace
reproceso O fallas de equipo? cu mple con se
Poner la lista de proyectos a corto y a largo plazos.
Poner una lista de sistemas en proceso de periodicidad y de usuarios.
5. Quin autoriza tos proyectos? CONTR

6. Cmo se asignan los recursos?
7.
8.
Cmo se estiman los tiempos de duracin?
Quin interviene en ta planeacin de los proyectos?
V PROGJ
9. Cmo se calcula ef presupuesto del proyecto?
10. Qu tcnicas se usan en el control de los proyectos? El objetivo de
11. Quin asigna las prioridades? cificaciones fu
12. Cmo se asignan las prioridades? para su mane::
13. Cmo se controla el avance del proyecto? Las rcvisi
14. Con qu periodicidad se revisa el reporte de avance del proyecto? grl.l macin, y
15. Cmo se estima el rendimiento del personal?
16. Con qu frecuencia so estiman los costos det proyecto para compararlo Etapa de anJ
con lo presupuestado? objetivo del s
17. Qu acciones correctivas se toman en caso de desviaciones? I,l~
especificas
18. Qu pasos y tcnicas se siguen en la pfaneacin y conlrol de tos proyec-
tos? Enumrelos secuencialmente. Ftapa de estu
rrollando el rr
( ) Determinacin de los objetivos. incluyendo el
( ) Se~alamlento de las polllicas.
( ) Designacin det funcionario responsable del proyecto. Etapa de disc
( ) Integracin det grupo de trabajo. lgico; evala
( ) Integracin de un comit do decisiones. omisiones, an
( ) Desarrollo de la investigacin. que ,,1 costo I
( ) Documentacin do la Investigacin. que' se detect,
( ) Factibilidad de los sistemas. d costo que s
( ) Anlisis y valuacin de propuestas. nar 1" descrip
( ) Seleccin de equipos. vista del usu,
lgica de cad
ir la faci- 119
itre estas 19 $e llevan a cabo revisiones peridICaSde los sistemas para delermlnar SI
aun cumplen con los objetivos para los cuales fueron diseados? CON'mOL OE DISEO
ldrn di- DE SISTEMAS
ro con la sI (
y PROGRAMACiN
De anlisis NO (
ca, para De programacin si ( NO (
muy im- Observaciones
ez de los
erdo con Incluirel plazo estimado de acuerdo con los proyectos que se tienen para
tionario: 'l"" el departamento de informtica satisfaga las necesidades de la dependen-
CIol, Sl'gnla situacin actual.
Iom\a- Comoejemplo de formato de control de proyectos vase la figura 4.8; del
!fados alendariode actividades vase las figura~ 4.9 y 4.10; del reporte de los respon-
s.lbJe" del sistema, vase la figura 4.11; del control de programadores, vase la
I(le la figura4.12; de planeacin de la programacin, vase las figuras 4.13 y 4.14; de
Jo, Informesde avance de la programacin, vase la figura 4.15; de control de
usua- avance de programacin vase figuras 4.16 y 4.17.
Se debern revisar tanto los proyectos terminados como los que se encuen-
:ifl al tran en proceso, para verificar si se ha cumplido con el plan de trabajo o si
cumplecon Su funcin de medio de control.
arios.
CONTROL DE DISEO DE SISTEMAS
y PROGRAMACiN
El objetivode esto es asegurarse de que el sistema funcione conforme a las espe-
ncacionesfuncionales, a fin de que el usuario tenga la suficiente informacin
rara su manejo, operacin y aceptacin.
las revisiones se efectan en forma paralela, desde el anlisis hasta la pro-
gramacin,y sus objetivos son los siguientes:
Et.pa de anlisis y definicin del problema. Identificar con claridad cul es el
objetivodel sistema, eliminando inexactitudes, ambigedades y omisiones en
lasespecificaciones.
oyec
Etapade estudio de factibilidad. Elaborar el costo/beneco del sistema, desa-
rrollando el modelo lgico, hasta llegar a la decisin de elaborarlo o rechazarlo,
Incluyendoel estudio de factibilidad tcnico y las recomendaciones.
Etapa de diseo. Desarrollar los objetivos del sistema; desarrollar el modelo
lgico;evaluar diferentes opciones de diseo, y descubrir errores, debilidades,
omisicnes, antes de iniciar la codificacin. Esta actividad es muy importante ya
que el costo de corregir errores es directamente proporcional al momento en
que se detectan: si se descubren en el momento de programacin ser ms alto
el costo que si se detectan en la etapa de anlisis. El anlisis deber proporcio-
nar la descripcin del funcionamiento del sistema funcional desde el punto de
\ ista del usuario, indicando todas las interacciones del sistema, la descripcin
lgica de cada dato, las estructuras que stos forman, el flujo de informacin
Figura 4.8. Control de proyectos
NOMBRE OEL PROYECTO PROYECTO NM __

COORDINADOR FeCHA
(anotor en la primera linea las 'echas est ml.'ldasy on lo.segunda las reales)
...... ACTlVlOADES Rf.sPOH1A8I.t ENEROI fES. uARZO A8_ MAYO JUNIO .AIUO: N:JKJ. srPT OC,. N(N DIC.
....
Of
"".
- -
-- -
1--
-- -
121.____
Figura 4.9. Calendario de actvldades
ANLISIS y PROGRAMACiN
1= ... DE AV""""
I
_.
,..,..
()(
-
, MES
.......
NUM
DE
""
Ot.5(;M.~~ , a .)
ooo oo ooo o
S G 7 , o
o ........ , SEMANA' SEIoI,otoHA ) If",ANA,
E
-- - -
A
-
E
f-
A
:
I
E
I
I
e I

E
f-- 1-
R
- ---
[- Utw.wXl A.REAl
L- __ 1,22
Figura 4.10.Control de actividades del programador
SISTEMA _
PROGRAMA _ INOENnF _
PROGRAMAOOfl __
PLANEADO
ACTIVIDAD DIf
INIOO TtRM NO DIF INICIO
r. ANlISIS
2. DIAGRAMA LOaICO
3. CREAC DE PRUEBAS
PRUEB ESCRITORIO
5 CODIFICACION
6. CAPTURA
7 COMPILACtON
8 GEI'IER PRUEBAS
9.0EPURACION
10 PRUEBAS
11 VERIF PRUEBAS
12 COAREOCOONES
13.00CUMENTACION
-,1----
FINAL
ESPECIFICAR EL NUMERO
DE COMPILACIONES R~IZAOAS _
PRUEBASRE~~::~A:S~ ::::::::::::::::::::::::::::::::::::::~
OBsERVACIONES
Figura 4.11. Reporte semanal de los responsables de sistemas
I - ,-
SISTEMAS METAS AJADAS METAS AlCANZADAS COMENTARIOS
:__ I
I
I
RECURSOS
SISTEMAS HRS. PROGRAM. HRS. ANLISIS HRS.PRUEBA
- 1-
I
I
I
I
Figura 4.12. Control de programadores
DiAGRAMA OODIFICACI6tf CAPTURA Pf:IUEOAS IMPLANTACiN OPGAACION

PAOGRAMA NOMOflE
A oa,
REALIZAR RESPONSAQte. FECHA FECHA FECHA FeCHA. FECHA FECHA n!CIiA FeCHA FECHA FEOfA FECI lA FECHA
INIC. FINAL INIC FINA!.. INIC. FINAL (NIC FINAL INIC. FINAL INIC. FINAl
125__ ~
Figura 4.13. Planeacln de programacin
I SISTEMA
I PAOGRAMAOOA
BASE
i
, 1I PROGRAMA
PfUOAI.
OURAC.
EN
OlAS
FECHA DE ENTREGA
CAIGI. ACTUA.
:
REAL I
I ~ ~u
.... OESCRIPCION PRODUCTO A DeTENER
t--
I I
I
,I
i
1
II
126 Figura 4.14. Hoja de planeaci6n de actividades
I SISTEMA
FECH
SISTE'
USUARIO
RESP~
PROGRAMADOR -----1
PROG
PROGRAMA _ FASE
NO,,,,,_ FAf
CLAVE FECHAS REALES NU'" FECHA OE ENTREGA
..en- ACTlVIOAOES
vroAD INIC. TEAM PROO. ORlO. ACTU. REAl.
- -,
r--
NUM.F~

- -
r-
-~
e
1---
HOJA DE
I Figura 4.15. Informe de avance de programacin
I I FECHA
[ --
HOJA DE
SlSTE...A
I I
I I
RESI'ONSABl.E
-- -- I
_-_
I
iNTREGA
PROGRAMASTER...INADOS A LA FECHA
'AAI. FASf I N'" PROa FECHA ENTREGA

PROG. CON DESVIACION O CANCELACION
NUM. FASE IHU ... PROO NUEVA FECHA
U REAl.
~ f-
~
i
1
H
il
!
1'
1
I
11
II
--------
--
11 II
I
IT 11 ------ NUEVOS PROGRAMAS A INCLUIR EN EL PLAN
- - -_. --r- --r----.-
DURACiON
NU.... FASE NM. PROG. FECHA ENTREGA
DESCRIPCIO,.
-1 OlAS DEL PROGRAMA
1--.
1--
i
.-
~
I
128 Figura 4.16.Control de avance de programacin
SISTEMA _ FECHA _ SISTEMA
PROGRAMADOR __
FECHA.REAl N(IM AVANCE OUflA.NTE EL ... ss ~ OAs NOt.l HJII

DE OE "
INICIO TEAM. PROO COMPIL PRL
CLAVE
ACTI-
VIDAD
COIGO DE ACTIVIDADES
OBSawAC~NES ~11
A INTERPAETACION
8 OfAORAMACIONLGICA
e CREACION DE PAUEBAS
o PRUE6.AS DE ESCRfTOAI
E CQCIACACIN
F CAPTURA
o CQMPfLACIH
H CAEACI()N EN P.-.RAlElO
I DEPURACiN
J PRueeAS EN PA.RAlflO
K VERIFIC. DE PAVESAS
l COAAECCtONES
M OOCVMENTACIN
HOJA De
Figura 4.17. Hola de planeacln de actividades y control de avance
I SI$TV.IA I [ CUENTE ;
PROGRAMADOR
I
PAOGRAMA FASE
CLAVE FECHAS REALES NUM. FECHA DE ENTREGA

ACTl
V10All ACTIVIDADES INIC. TRM. PROD. ORIG. ACTU. REAL
1-
- ----
--
,
,
I
FECHA HOJA DE
130 que tiene lugar en el sistema. Asimismo, se ind icar lo que el sistema tom,
CAPITuLO. como entradas, los procesos que sern realizados, las salidas que deber 1" 2
EVALUACiN porconar, los controles que se efectuarn para cada variable y los proc...J:
DE LOS SISTEMAS mientes.
3
Etapa de programacin. BUScar la claridad, modalidad y verificar con base
las especificaciones.
4
Etapa de implementacin y pruebas del sistema. Desarrollar la implementac

del sistema con datos de prueba y la carga de datos definitivos, evaluando 5
sistema, su seguridad y confidencialidad y dando entrenamiento a los ",
rios. Las pruebas del sistema tratan de garantizar que se cumplan los requi
de las especificaciones funcionales, verificando datos estadsticos, transaco-
nes, reportes, archivos, anotando las {alias que pudieran ocurrir y realizan
los ajustes necesarios. Los niveles de prueba pueden ser agrupados en mtX!
los, programas y sistema total.
Esta funcin tiene una gran importancia en el ciclo de evaluacin de aplir.
cienes de los sistemas de informacin y busca comprobar que la aplicacin R
pie las cspccicaciones del usua ro, que SI' haya desarrollado dentro de loP'"

supuestado, que tenga los controles necesarios y que efectivamente cumpla 00
los objetivos y beneficios esperados.

Un cambio hecho a un sistema existente, como la creacin de uno mi'"
presupone necesariamente cambios en la forma de obtener la informacin \
C05tOadicional. Ambos debern ser evaluados.
Se debe evaluar el cambio (Si lo hay) de la forma en que SI' ejecutan
operaciones; se debe comprobar si mejora la exactitud de la informacin ge.
rada, si la obtencin de los reportes efecti\ amente reduce el tiempo de entr
o si es rnds completa. Se debe determinar cunto afecta las actividades del pE>
sonal usuario o si aumenta o disminuye el personal de la organizacin, as co
los cambios entre las interacdoncs entre los miembros de la organizacin. 1
ello, a fin de saber si aumenta O disminuye el esfuerzo realizado y su relao 6.
costo I beneficio para generar la informacin destinada a la toma de decision
con objeto de estar en condiciones de determinar la productividad y calidad
sistema.
Es mi
Como ejemplo de cuestionario para la evaluacin del diseo y prueba
Jos sistemas presentamos el siguiente; dndole,
amistad (
terna, re
1. QUines ,ntervienen al disellar un sistema? IIrave del
son los U.
Qu
Usuario. ,;ste no hl
AnaJlsta
e instalad
Gerente de departamento.
nes o nue
Administradores de bases de datos.
Personal de comunicaciones y redes. En t'll
Audrtores ,nternos. de sus ree
Asesores. Elma
Otros. del desarr
bies y t,:cr
tomar 131
2 ~Ou lenguale o Ienguales conocen los analistas?
!r pro-
CON'I'AOI. DE DISENO
irocedi- DE SlSTE.... S
y PAOGAAMACIOI<
3. Cuntos analistas hay y qu expenencla tienen?
base en
4. Cmo se controla el trabajo de los analistas?
ntacin
ando el 5. Indiquequ pasos se siguen en el desarrollo de un sistema:
s usua-
piisitos Dehnic6ndel problema ()
saccio- Desarrollo de objetIVosdel sistema ()
izando EstudIOde factibilidad ()
mdu- Estudio costcVbeneficio ()
estudio de lactibiJidadtcnICO ( )
DefllllClOn
de tiempos y costo del proyecto ()
aplica- Desarrollo del modelo lgICO ()
ncum- Propuesta de diferentes alternativas ()
lo pre- ESpecificaciones para el sistema IIslco ( )
)Ia con Especificaciones de programas ( )
Diseo de implementacin ()
tuevo, Diseo de carga de datos ( )
ny un Codilicacin ( )
Programa da entrenamienlo ()
an las ESludiode la definicin l )
Discusin con el usuario ( )
gene-
ltrega
Elaborar datos de prueba l )
Revisin de resultados ( )
~Iper- Oocumentac6n ()
como Someter resultados de prueba ( )
Todo
lacin 6. Ou documentacin acompaa al programa cuando se entrega?
iones,
Id del
Es muy frecuente que no se libere un sistema, esto es, que alguien contine
ba de dndole mantenimiento y que sea el nico que lo conozca. Ello puede deberse a
amistad con el usuario, falta de documentacin, mal anlisis preliminar del sis-
lema, resistencia a cambiar a otro proyecto, o bien a una situacin que es muy
grave dentro del rea de informtica: la aplicacin de "indispensables", que
son los nicos que tienen la informacin y, por lo tanto, son inamovibles.
Qu sucede respecto al manten.imiento o modificacin de unsistema cuando
ste no ha sido bien desarrollado (analizado, diseado, programado, probado)
e instalado? La respuesta es sencilla: necesitar cambios frecuentes por omisio-
nes o nuevos requerimientos.
En el caso de sistemas, muchas crgamzaocnes estn gastando cerca de 80% Diseo
de sus recursos de cmputo en mantenimiento. del sistema
El mantenimiento excesivo es consecuencia de falta de planeacin y control
del desarrollo de sistemas; la planeacin debe contemplar los recursos disponi-
bles y tcnicos apropiados para el desarrollo.
132 Por su parte, el control debe tener como soporte el estableormento de
CAPiruLO 4 mas de desarrollo que han de ser verificadas continuamente en todas t,, ... --.'
EVALUACION del desarrollo de un sistema. Estas normas no pueden estar aisladas, pn".
DE LOS SISTEMAS del contexto particular de la direccin de informtica (ambiente) y, segundo
los lineamientos generales de la organizacin, para lo cual es necesario
con personal en desarrollo que posea suficiente experiencia en el cst:abl~cilnll~,
to de normas de desarrollo de sistemas. Estas mismas caractersticas deben
en el personal de auditora de sistemas.
Es poco probable que un proyecto llegue a un final feliz cuando se ha iruoa-
do sin xito.
Difcilmente estaremos controlando realmente el flujo de la informaci(1nd<
un sistema que desde 'u inicio ha sido mal analizado, mal diseado, mal ~
gramado e incluso mal documentado.
El excesivo mantemmento de los sistemas generalmente lOS OC,lSi()""dDl:<l1
un mal desarrollo. Esto se inicia desde que el usuario establece sus ~
mientos (en ocasiones sin saber qu desea) hasta la instalacin del si.stema,
que se haya establecido un plan de prueba de ste para medir Su
conabilidad en la operacin que se efectuar. 2. En 1"
Para verificar si ('xiste esta situacin, se debe pedir o los analostas la, octm
dades que estn desarrollando en el momento de la auditora y evaluar v e;l!:l rencra
efectuando actividades de mantenimiento o si se estn realizando nuevos pe forma
yectos. En ambos casos se deber evaluar el tiempo que llevan dentro delms
rno sistema, la priortdad que se le asign)' cmo est el tiempo real en rclacir
con el tiem po estimado en el plan maestro.
El que los analistas, los programadores, o unos y otros, tengan aex"""",,1
todo momento a los sistemas en operacin puede ser un graw problema y OC>
sionar fallas de seguridad.
3.
INSTRUCTIVOS DE OPERACiN Eaul

Debemos evaluar los instructivos de operacin de los sistemas para evitarqe,
los programadores tengan acceso a los sistemas en operacin. El contenido lI1l
rumo de los instructivos de operacin deber comprender:
o Diagrama de flujo por cada programa.

o Diagrama particu lar de entrada-salida.
o Mensaje y Su explicacin.
o Parmetros y su explicacin.
o Diseo de irnpresin de resultados.
o Cifras de control.
o Frmulas de verificacin.
o Observaciones.
o Instrucciones en caso de error. Las entrev
o Calendario de proceso y resultados. la
de nor-
133
.etapas
rimero, FORMA DE IMPLANTACiN ENTREVISTAS
A USUARIOS
ndo,de
, contar L..1 finalidad es la de evaluar los trabajos que se realizan para iniciar la opera-
cimien- cinde un sistema; esto comprende: prueba integral del sistema, adecuacin,
aceptacin por parte del usuario, cntrenamcnto de los responsables del siste-
1 existir
ma. Para ello deben de considerarse los siguientes aspectos:
I inicia-
1. Indicar cules puntos se toman en cuenta para la prueba de un sistema:
cin de Prueba particular de cada programa.
.al pro- Prueba por fase, validacin, actualizaon.
Prueba integral del paralelo.
o por Prueba en sistema paralelo.
equeri- Pruebas de seguridad y confidencialidad.
ma, sin Otros (especificar).
ado de
2. En 1.1 implantacin se debe de analizar la (arma en que se van a cargar
; activi- micialmente los datos del sistema, lo cual puede ser por captura O por transfe-
;i estn rencia de informacin. Estos datos pueden ser de todo el sistema, o bien en
os pro- Iorma parcial. Lo que es necesario evaluar es la forma en que se van a car-
el mis- gar las cifras de controlo bien los datos acumulados.
elacin
En el caso de una nmina, los dtas trabajados por los empleados a ta fecha Ejemplo I
:eso en de Iniciacin del sistema, o bien sus acumulados en percepciones y en im-
puestos retenidos.
iy oca-
3. Tambin se debe de hacer un plan de trabajo para la implantacin, el cual
debe contener las fechas en que se realizarn cada uno de los procesos.
EQUIPO y FACILIDADES DE PROGRAMACiN

!arque Laseleccin de la configuracin de un sistema de cmputo incluye la interaccin
o m- de numerosas y complejas decisiones de carctcr tcnico. El impacto en el ren-
dimcnto de W1 sistema de cmputo debido o cambios trascendentales en el
sistema operativo o en el equipo, puede ser determinado por medio de un pa-
quete de pruebas (benchamark) que haya sido elaborado pal'a este fin en la direc-
cin de informtica. Es conveniente solicitar pruebas y comparaciones entre
equipos (bmcllalllark) para evaluar la situacin del equipo y del software en
relacin con otros que se encuentran en el mercado.
ENTREVISTAS A USUARIOS
Las entrevistas se debern Uevar a cabo para comparar los datos proporcionados y
la situacin de la direccin de inform.itica desde el punto de vista de los usuarios.
134 Su objeto es conocer la opinin que tienen los usuaros sobre los
cAPlTuL.O proporcionados, as como la difusin de las aplicaciones de la colnp'u~!!:
EVALUACION de los sistemas en operacin.
DElOS SISTEMAS Las entrevistas se debern hacer, en caso de ser posible, a todos
ros, O bien en forma aleatoria a algunos de ellos, tanto a los ms'
como a los de menor importancia en cuanto al uso del equipo.
ENTREVISTAS
Aunque la entrevista es una de las fuentes de informacin ms importante]
saber cmo opera un sistema, no siempre tiene la efectividad que se dee

que en ocasiones las personas entrevistadas pueden ser presionada. IX"
analistas de sistemas, o piensan que si se hacen algunos cambios, stos
afectar su trabajo. El gerente debe de hacer del conocimiento de los enl!re\l' '.
dos el propsito del estudio.
Una gura para la entrevista puede ser la siguiente:

Preprese para la entrevista estudiando los puestos de las personal
van a ser entrevistadas y sus funciones dentro de la organizacin,
Presntese y d un panorama del motivo de la entrevista,
Comience con preguntas generales sobre las funciones, la organizao 1
los mtodos de trabajo. 2
Haga preguntas espeficas sobre los procedimientos que puedan darer 3
resultado el sealamiento de mejoras. 4
Siga los temas tratados en la entrevista.
Limite el tomar notas a lo ms relevante, para evitar distractores. 6
Al final de la entrevista, ofrezca un resumen de la informacin ........ J. '1 7
pregunte cmo se le podr dar seguimiento.
CUESTIONARIO
El diseo de un cuestionario debe tener una adecuada preparacin, eLltu:
cin, preevaluacin y evaluacin. Algunas guas generales son:
1. Identificar el grupo que va a ser evaluado.

2, Escribir una introduccin clara, para que el investigado conozca los ~
vos del estudio y el uSOque se le dar a la informacin.
3, Determine qu datos deben ser recopilados,
4. Elabore 1,15preguntas con toda precisin (no haga preguntas en ncgatlV l\lrt.\
de tal forma que la persona que las responda lo pueda hacer con toda el rl_'lIut,rtdos
dad. Estructure las preguntas en forma lgica y secuencial de tal formaqlit ...t'r.' "nl'c',d
los servicios eltiempo de respuesta y de escritura sea breve (aunque se deben dejar abier- 135
nputadora y tas las observaciones). Elimine todas aquellas preguntas que no tengan un ENTREVISTAS
objetivo claro, O que sean improcedentes. A USUARIOS
os Jos usua- 5. Limite el nmero de preguntas para evitar que sea demasiado el tiempo de
importantes eontestacin y que se pierda el inters de la persona.
6. Implemente un cuestionario piloto, para evaluar que todas las preguntas
sean claras y que las respuestas sean 1.1$ esperadas.
7. Disee e implemente un plan de recoleccin de datos.
8. Determine el mtodo de anlisis que ser usado.
9. Distribuya los cuestionarios y dles seguimiento para obtener las respues-
tas deseadas; asimismo, analce los resultados.
Procure que su cuestionario responda a las sguientes preguntas:
lmnte para
sedesea, ya
Qu reas pueden ser mejoradas?
Qu informacin necesita que actualmente no tiene o que es difcil de
das por los obtener?
tos podran
Qu cuellos de botella ocurren durante el da? Cmo se pueden cli-
entrevista- minar?
Cmo se puede cambiar el procedimiento para eliminarlos?
Existe un procedimiento que sea redundante o repetitivo?
Cmo se podra eliminar esta repeticin?
rsonas que
in, Desde el punto de vista del usuario los sistemas deben:
mzacin y Requerimientos
1. Cumplir con los requerimientos totales del usuario. del usuario
2. Cubrir todos los controles necesarios.
1 dar como 3. No exceder las estimaciones del presupuesto inicial, en tiempo y costo.
t Ser fcilmeJ1te modificables.
5. Ser confiables y seguros.
s, 6- Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible.
obtenida y 7. Ser amigables.
Para que un sistema cumpla con los requerimientos del usuario se necesita
unacomunicacin completa entre ste y el responsable del desarrollo del sste-
ma. En ella se deben definir claramente los elementos con que cuenta el usua-
rio, las necesidades del proceso de infonnacin y los requerimientos de infor-
macin de salida, almacenada o impresa.
En esta misma etapa debi haberse definido la calidad de la informacin
que ser procesada por la computadora, establecindose los riesgos de la mis-
4 elabora-
ma y la forma de minimizarlos. Para ello se debieron definir los controles ade-
cuados, establecindose adems los niveles de acceso a la nformacin, es decir,
quin tiene privilegio de consultar, modificar o incluso borrar informacin.
Esta etapa habr de ser cuidadosamente verificada por el auditor interno
los objeti- especialista en sistemas y por el auditor en informtica, para comprobar que se
logr6 una adecuada comprensin de los requerimientos del usuario y un con-
Irol satisfactorio de informacin.
1egativo), Para verificar si los servicios que se proporcionan a los usuarios son los
oda clari- requeridos y que se estn proporcionando en forma adecuada, cuando menos
ormaque ser preciso considerar la siguiente informacin:
136 Descripcin de los servicios prestados.
8.
CAPiTULO. Criterios que utilizan los usuarios para evaluar el nivel del servicio prcsllJll
eVALUACiN Reporte peridico del uso )' concepto del usuario sobre el servicio.
oe LOS SISTEMAS Registro de los requerimientos planteados por el usuario.
Tiempo de uso.
Con esta informacin se puede comenzar a realizar la entrevista para d

minar si los servicios proporcionados y planeados por la direccin de infOlll
nca cubren las necesidades de informacin de la orgamzacin.
A continuacin se presenta una gua de cuestiona ro para aplicarse dur
9
la entrevista con el usuario.
t. Considera que la direccin de informtica le da los resultados esperados'

sr "O
Por qu?
2. Cmo considera usted, en general, el servicIO proporcionado por la d""' 10

ein de infonntica?
A. Deficiente B. Aceptable C. Satisfactorio D. Excelente
Por qu?
3. Cubre sus necesidades de procesamiento? 11

A. No las cubre B. Parcialmente C. La mayor parte D. Todas
A.
Por qu?
C.
4. Cmo coosdera la calidad del procesamiento que se le proporciona?
A. Deficiente B. Aceptable C. Satisfactono D. Excelente

12
Por qu?
5. Hay disponibilidad de procesamiento para sus requerimientos? A.
A. Generalmente no eXiste B. Ocasionamente D.
C. Regularmente D. Siempre
Por qu?
13
6. Conoce los costos de los servicios proporcionados? Si NO
7. Qu opina det costo del servicio proporcionado por el departamento depro-

cesos electrnicos?
14.
A. Excesivo B. Mlnlmo C. Regular D. Adecuado E. No lo conoce
Por qu? 15
IservIcio prestado.
8. Son entregados con puntualidad los trabajos?
servido. 137
A. Nunca B. Rara vez ENTREVISTAS
C. Ocasionalmente /lo USUARIOS
D. Generalmente E. SIempre
[~ist. para deter-
~rinde in forma- Por qu?
aplicarse durante
9 Qu piensa de la presentacin de los trabajos solicitados?
A. Deficiente B. Aceptable C. Satisfactoria D. Excelente
Por qu?
10.Qu piensa de fa atenCIn bnndada por el personal de procesos electr.

nlCOS?
A Insatisfactoria B. Satisfactoria C. Exoelenle

Por qu?
11. Qu piensa de la asesorla que Se Imparte sobre informtica?

D. Todas
A. No se proporcIona
B. Es insuficiente
C. Sahsfactoria
D. Excelente
Por qu?
12. Qu p.ensa de la segundad en el manejo de la informaCInproporcionada

pera su prooesamlento?
A. Nula B Riesgosa C. Satisfactoria

D. Excelente E lo desconoce
Por qu?
13. Ex.sten faifas de exactItud en los procesos de .nformacin? s. NO

Cules?
-~'-------
conoce 14 Cmo utiliza los reportes que se le proporciooan?
-_ 15. Cuales no ut,',za?

138
16. De aquellos que no utiliza, por qu razn los recibe?
CAPITULO'
EVALUACiN
DE LOS SISTEMAS
17. Qu sugerencias hace en cuanto a la eliminacin de reportes: modificao&
lusin, divisin de reporte?
18. Se cuenta con un manual del usuario por sistema? Si
19. Es claro y Objetivoel manual del usuario? Si
20. Qu opinin tiene sobre el manual?
NOTA:
Pida el manual del usuario para evaluarlo.
21. De su departamento, quin interviene en el diseo de sistemas?
22. En qu sistemas liene actualmente Su servicio de computacin?
23. Qu sistemas deseara que se incluyeran?
24. Observaciones.
DERECHOS DE AUTOR
dor, es un
y SECRETOS INDUSTRIALES ble por m'l
miento dela
En relacin con las disposiciones jurdicas adecuadas para la actividad info: dos determij
mtica, la Cmara de Diputados y el Instituto Nacional de Estadstica, Geogrt Cada ve
fa e Informtica (INEG!) organizaron un foro de consulta sobre derecho ein- obras acreec
formtica. Como resultado, se recopilaron opiniones, propuestas y experer- ltimasadi
cas relacionadas con diversos aspectos, entre los que destacan: las garantia; porar entre
para la informacin personal almacenada en bases de datos y la proteccin jur-
dica de datos de carcter estratgico; la tipificacin de delitos informticos:eI Artfclllo
valor probatorio del documento electrnico, y la proteccin de derechos deac' todo cr 1
tor para quienes desarrollan programas para computadora. en virtuc
Dentro del concepto de propiedad intelectual, uno de los aspectos ms im- privilegi
portantes es el que se refiere a los derechos de autor, el cual involucra la pal1e
ms importante del desarrollo intelectual de las personas, ya que se refiere a las La legis
ramas literaria, cientfica, tcnica, jurdica, musical, pictrica, escultrica, arqm catlogo de
Io.'ctnlca,
fotogrfica, cinematogrfica, televisiva, asi como los programas de cmpu- 139
to,lasbases de datos y los medios de comunicacin, entre las ms importantes. DERECHOS
En la mayora de los pases existen leyes protectoras de las obras intelectua- OEAUTOA
I<~que producen los poetas, los novelistas, los compositores, los pintores, los y SECRETOS
INDUSTRIALES
escultores, y de manera reciente se han protegido Jos programas de compu-
udora y las bases de datos. Pero adems de su legi&lacin domstica, las nacio-
nrscelebran compromisos unas con otras para dJI" una proteccin internacional
a losautores. En general, se admite que son cinco las razones de la proteccin.
En primer lugar, por una razn de justicia social: el autor debe obtener pro-
vecho de su trabajo. Los ingresos que perciba, deben estar en funcin de la aco- Programa de
gidadel pblico a sus obras y de sus condiciones de.'explotacin: las "regalas" computacin
son. en cierto modo, los salarios de los trabajadores intelectuales.
En segundo, por una razn de desarrollo cultural; si e&tprotegido, el autor
se vcrJ estimulado para crear nuevas obras, enriqueciendo de esta manera la
bt\!ratura,el teatro, la msica, los programas de computacin elaborados en su
pJs. Nadie debe realizar un trabajo sin que sea debidamente remunerado; del
mismo modo, los que, por su trabajo. su int('ligllncia, su experiencia, contribu-
yena la elaboracin de programas y sistemas de cmputo, deben de ser debida-
mente remunerados.
En tercero, por una razn de orden econmico; los inversiones que son ne-
cesarlas, por ejemplo, para la elaboracin de un sistema de cmputo sern ms
fcilesde obtener si existe una proteccin efectiva.
En cuarto, por una razn de orden moral; al ser la obra la expresin personal
del pensamiento del autor, ste debe tener derecho a que se respete, es decir,
derecho a decidir si puede ser reproducida o ejecutada en pblico, cundo y cmo,
y derecho a oponerse a toda deformacin o mutilacin cuando se utiliza la obra.
En quinto lugar, por una razn de prestigio nacional: el conjunto de las
obras de los autores de un pas refleja el alma de la nacin y permite conocer
meJOrsus costumbres, sus usos, sus aspiraciones. Si la proteccin no existe, el
patrimonio cultural ser escaso y no se desarrollardn la. artes.
El programa de computacin, conocido en ingls como computer program y
en francs como programe d 'ordinateur, y tambin llamado programa de ordena-
dor, es un conjunto de instrucciones que, cuando se incorpora a un soporte legi-
ble por rudquina, puede hacer que una mquina con capacidad para el trata-
miento de la informacin indique, realice O consiga una [uncin, tarea O resulta-
nfor- dos determinados.
)gra- Cada vez se acepta con mayor frecuencia que los programas originales son
e in- obras acreedoras a la proteccin que otorga el derecho de autor. Una de las
ren- ltimas adiciones de que fue objeto la precedente ley autoral, consisti en incor-
ntas porar entre las obras protegidas a los programas de computacin.
jur-
:lS; el Arlfcldo 11. El derecho de autor es el reconocirmento qu<.> hace el Estado a favor de
e au- todo creador de obras literarias y artsticas prevl!>ta~ en el artculo ]3 de esta Ley.
en VIrtud del cual otorga su proteccin para que el autor gOC<'de prerrogativas y
s im- privilegios exclusivos de carcter personal y patrimonial.
parte
a las La legislacin actual, adems de conservar dichos programas en un similar
rqui- cat,iloso de las obras para las que se reconocen lo. derechos de autor (art. 13,
140 LFDA), les dedica un capulo especial (captulo IV del ttulo IV) con ref,IJ I
CAPITULO 4 particulares tambin sobre proteccin. 1
EVALUACiN
marr
DE LOS SISTEMAS de f(
Ar'''clIlo 13. Los derechos d~ autor a que se refiere ."t. Ley se reconocen respeeu]
el pi
de las obras de 1.. "gulont,,> ramas:
( ...)
XI. Programas de cmputo; pren
l...
)
por
Las dems obras que por analoga puedan conviderarse obras literarias O ar-
tsticas se incluirn en In r~lmclque les sea ms afn a su naturaleza.
pro
Artculo 83. Salvo pacto en contrario. la persona fsicn o moral que comisione
la produccin de una obro \.l que la produzca COn 1,\colaboracin remunerada dt ,nel
otras, gozar de In itulnridad de los derechos patrlmonlales sobre la misma y If'
correspondern facultades relativas a la divulgacin. integridad de la obra y de ma
coleccinsobre ~te tipo de creactones.
La persona que participe en la realizad6n de la obra, en forma remunerada mc
tendr el derecho a que ~ le mencione expresamente Su cahdad de autor, arti~u. nid,
Intrprete o ejecutantr ..oore la parte o partes en cuya creacon haya participado Did
Articulo 84. Cuando o;"c trate de una obra realizada como consecuencia de ur
relacin laboraJ establecida ...travs de un contrato individual de trabajo que cors
te por escrito, a (,1It.1 Ull pacto en contrario, se presurmra que I~ derechos patrimo-
niales se dividen por partes iguales entre empleador y empleado. nas
El empleador podra divulgar la obra sin autoriZllci6n del empleado, pero no pub
al contrario. A falta do conrrnto individual de trabajo pOI' escrito, los derechos pa- dich
trimoniales correspondern al empleado.
gadr
c..p{tulo IV tiva.
sien
de"
Articulo JOJ. Se cnti,ndr por progr.,ma de eomputacin la expresin original .. base
cualquier forma. lenguaJc C,) cdigo, en un conjunto de instrucciones que. con UI'U
secuencia, estructura y orK(lniza<i6n deterrrunade, tit-nl' como propsito que \21\1 dio
computadora O dispositivo re.l1i>una tarea o funcin t,.~p.'fic.].
Arf(c,lIo 102. Los pr()~rl:lmJsde computacin se protegen en los mismos trmi-
nos que las obras liternrlas. l)icha proteccin S(' extlcnde tanto a los progrnms,
operativos como a los programas aplicativos" ya sea en forma de cdigo fuente (l
de cdigo objeto. Se exceptan aquellos programas de Imputo que tengan P'l( las e
objeto causar efectos nocivos a otros programa.; Oequipos.
Artculo 10.3.<;.,1"" pacto en contrario, lo> derccbos patrimoniales sobre .. men
programa de computacin r su documentacin. cuando hayan sido creade-, por Ley
uno o varios empll'.ld~ e n el t."jl~t'ciciode SUs (unciont."!oJ
u ".gulcndo las mstnlCClO-
nes del empleador" corre-penden a ste. zaci(
Como excepcin a lo prevtsto por el artculo 33 de la presente Ley, el plazo do tcni
la cesin de derechos en materia de programas de computacin no est scjceo ) elecl
llnutacln alguna. tos e
Artculo 104. Como excepcin a lo previsto el' l~1artculo 27 fraccin IV, el
titular de los derechos de autor sobre un programa de computacin O sobre un. clece
base de datos conservara. oun despus de la venta de l'j"mplarcs de los mismos, lA y cl i
derecho de autorizar O prohibir el arrendamiento de dichos ejemplares. Este prt'- J
repto no se aplicar cuando el ejemplar del programa d\' computacin no con(,titu- onda
va en s mismo un objeto 4.'""'l'nci.1de la licencia de uso. cente
Art(CJllo105. El U'U"'IO 1"Slhmo de un programa do computacin podr ~>Ji. 51001
zar el nmero de roP'.l:o.qut. le autorice la licet'lc1aconcedida por el titular d..,.los
derechos de autor, o una ",la copia de dicho programa 'tmpre r cuando: cond
eglas 1 Sea Indispensable para la utilizaoon del programa, o 141
11 Sea destinada exclusivamente romo re-,guardo para susttuir la copia legiti-
mamente adquirida, cuando sta no puede utilizarse por dao o prdida. La copia DERECHOS
de respaldo deber ser destruida cuando eese el derecho del usuario para utihzar DE AUTOR
pecto el pro;rama do computacin. V SECReTOS
INDUSTRiAlES
Art{culo106. El derecho patrimonial sobre un pl'ograma de computacin com-
prende Id facultad de autorizar o prohibir.
l. La reproduccin permanente O provlvonal del progremn en todo o en parte, Derechos
por cualquier medio y forma; de autor
o ar-
11.La traduccin, la adaptacin, el arreglo o cualquier otra modificacin de un
programa y la reproduccin del programa resultante:
sione
111. Cualquier forma de distribucin del programa o de una copia del mismo,
la de rocluido el alquiler, y
1v le [\' La descompilacin, pJ.ca revertir la Ingeniera de un progra-
los pl"OC"CS&.o
); de
m. de computacin )' el desensambl ......
A"lnllo lO;. Las bases de datos o de (ltro, mdlt'ri.lcs legibles por medio de
rada,
mdquin...~ o en otra forma, que por razones de '-Ch."Con r dis~icin de ~u come-
"lisIa,
rudo constituyan creadones intelectuales. quedaran protegidas COmo compilaciones.
ado, o.Chol proteccin no se atender a los dat()!<. \' materiales en s mismos.
e una ArtICulo lOS. Lasbases de dalO!;que no ..... n onglnale. quedan. sin embargo, pro-
eons- tegidas lon ~u U~ exclusivo por quien 1.1",hava elaborado, durante un lapso de 5 aos
imo- ArtIculo 109. El acceso a informacin de carch.:tl'f privado relativa a las pc""'o-
nas contemde en las bases de datos a que se refiere el artculo anterior, as como 1.\
ro no pubhcacron, reproduccin, divulgacin, comunlcactn pblica y transmisin de
S pa- dlch inforrnacin, requerir la autorizacin previa de las personas de que se trate.
Quedan exceptuados de lo anterior las Invcsgnciorws de las autoridades cocar ..
glldas de la procuracin e impartlcin de justicia, de acuerdo ron la legislacin respco-
nva, l\s romo el acceso a archivos pbliCO!-.por Inh perscoas autorizadas por la ley,
<'''''rl\' que la consulta sea realizada conlonlll' los procedimientos respectivos.
A,tlculo 110. El titular del derecho patrimonial sobre una base de datos tendr
derecho exclusivo, respecto de la forma de l);pn.""in d' )01 estructura de dicha
al en NW. d' autorizar o prohibir:
luna l. Su .....produccin pennanente o temporal, 10lal O parcial, por cualquier me-
. una dIO" d. cualquier forma;
11.Su traduccn, adaptacin, reordenacion y cualquier otra modificacin;
!rmi- 111La dtstribucion del original o COpl."d. l. base d. datos:
amas 1\", l..l comunicacin al pblico, y
nte o Y. Ll reproduccin .. distribucin o comurucecron publica de los resultados de
1 por 1..., cperecrones mencionadas en la fraedon 11del presente artculo.
I'\rtrClllo 111. Los programas efectuado!'> electrrucamente que contengan ele-
... un memos Visuales. sonoros, tridimensionate- \) arurnado.. quedan protegidos por esta
s por I.l'Y en los elementos primigenios que conn ..ngdl"l.
ccio- Arl((u/" J 12. Queda prohibida la unportacin, fubncacin, distribucin y utill-
1.,lelI1 de aparatos O la prestacin de servlcios destlnados a eliminar la proteccin
to de t~(ni('ol de los programas de cmputo. de l.,,, teansmlstoncs u travs del espectro
eto a electromagntico y de redes de telecomunicaciones y de los progralnas de elemen-
tos I..'ll"ctronicossealados en el artculo anterior
V, el A,tirulo 113. La. obras e inlerpl\'l.,ci,,"'-" o "'_'CUClO""" transmitidas po' medios
una d,'CIrorucos a travs del espectro electromagnenco y de redes de telecomunicaciones
os, el , d resultado que se obtenga de ""l. tran,ml In,,,,talao protegidas por esta Ley,
pre- ArllCulo 114. La transmisin de obra, rf\lt,'gld., por es ta Ley mediante cable,
;t;1u- onda ... radioelctricas.. satlite V otras slmllan. ... debern ...deeuarse, en lo condu-
cente, a la legislacin me><ican)' respelar en lodo e..., y en todo tiempo las dispo-
reali- srcrones sobre la materia.
e los Arl,culo 231, Constituyen infracciones en m...ten. de comercio ICb !:oiguimte<>
conducta ...ruando sean realizadas ron hnlos d ..- lucro directo o indirecto:
142 1. Comunicar o utilizar pblicamente una obra protegida por cualquier lTIfdi
y de cualquier forma, sin la autorizacin previa y expresa de) autor ..de sus lep llevadas a
CAPiTULO 4
EVALUACiN
mos herederos o del titular del derecho patrimonial de autor; infraccin
DE LOS SISTEMAS Il. Utilizar la imagen de una persona sin Su autorizacin O la de sus causal; ma de
bientes: ral de
JJT. Producir, reproducir, almacenar, distribuir, transportar O comercala obra bajo
copias de obras, fonogramas, videogramas o libros, protegidos por los dereehes
autor o por los derechos conexos, sin la autorizacin de Losrespectivos titularese
los trminos de esta Ley; les en for
IV. Ofrecer en venta, almacenar, transportar o poner en circulacin obras{" pblica de
tegdas por esta Ley que hayan sido deformadas, modificadas O mutiladas sin... Tambi
tcrizacin del titular del derecho de autor; utiliza la pi
V. Importar, vender, arrendar o realizar cualquier acto que permita tener tes, por cu~
dispositivo O sistema cuya finalidad sea desactivar los dispositivos electrnirosdl nes que pu
proteccin de un programa de computacin; sobre tela
VI. Retransntitir, fijar, reproducir y difundir al pblico emisiones de organi_.
artista pre
mos de radiodifusin y sin la autorizacin debida. y
VII. Usar, reproducir o explotar una reserva de derechos protegida o un pro El de
grama de cmputo sin el consentimiento del titular. polmica s
Artculo 232. Las infracciones en materia de comercio previstos en )a presen trumento
Ley sern sancionadas por el Instituto Mexicano de la Propiedad Industrial conmuh Internet. B
1. De cinco mil hasta diez mil dias de salario mnimo en los casos previstos'" disco durq
las fracciones 1, Ill, IV, V, vn, VlIJ y IX del artculo anterior; Internet. E
n. De mil hasta cinco mi) das de salario mnimo en los casos prevstos ents una ova~
fracciones 11 y VI del artculo anterior, y Cuand
UI. De quinientos hasta "lit das de salario rnfnimo en los derns casos el qut!t
refiere la fraccin X del artculo anterior. atribuye g
Se aplicar multa adicional de hasta quinientos das de salario nnimo gene- pus, extra
ral vigente por da a quien persista en la infraccin. cookes". e
Artculo 233. Si el infractor fuese un editor, organismo de radiodifusin. o cwl- Esto l'
quier persona fsica O moral que explote obras a escala comercial, la multa poda visitantes J
incrementarse hasta en un cincuenta por ciento respecto de las cantidades pre\'i:- entre vari]
tas en el artculo anterior. que permi
electrnic
anuncianb
El CCXJ
INTERNET todo en C1
lnea, la ce
to de paga
El Internet, considerado como una coleccin de redes interconectadas o como grabando
un conjunto de computadoras unidas entre s, no ha sido tomado en cuenta Teric
entre las disposiciones que se acaban de mencionar. un scrvidt
Para obtener acceso a Internet se requiere un equipo que est al alcance do} Las re
pblico en general, por lo que cualquier persona puede entrar a la red de redes nes han al
de comunicacin si contrata los servicios de un proveedor de acceso. verdader2
Recientemente han surgido empresas proveedoras de servicios dedicados cin de de
a ofrecer en renta conexiones a Internet, ya sea de manera directa, indirecta o do su nav
parcial, siendo las propias empresas las que proporcionan el equipo necesario den borra
para tener acceso. programa
Los proveedores de servicios son Jos responsables de la informacin que La sit
ponen al servicio de sus usuarios, ya que dichas compaas son encargadas de deterrniru
divulgar y controlar la informacin transmitida por Internet. de Interru
: medio, Son muy complejos los aspectos tcnicos que implica conocer las acciones 143
rs Iegtt- llevadasa cabo en Internet para determinar cuales pudieran constituir alguna DERECHOS
Infraccina 105 derechos de autor. No obstante, se puede pensar que este siste- DE AUTOR
ausaha- made comunicacin puede originar las siguientes violaciones: al derecho mo- y SECRETOS
INDUSTRIALES
ralde modificar la obra; al derecho moral de indito; al derecho de publicar la
-caltzar
chos de obra bajo el propio nombre o de manera annima. Tambin pueden producirse
lares en \1o!acionesa los derechos patrimoniales cuando se transmiten obras intelectua-
1... en forma de archivos por medio de Internet, ya que se realiza una utilizacin
ras pro- pblica de una obra sin la remuneracin para el autor de la creacin intelectual.
sin au- Tambin puede ser fcilmente violado el derecho de autor cuando la red
utilizala propia imagen, de la que son titulares los artistas, intrpretes )' ejecutan-
ener un tes,por cuanto que en Internet es posible encontrar un gran nmero de imge-
.cosde
nesque pueden ser reproducidas imprimindolas sobre papel, como carteles, O
rgans- sobre tela para obtener prendas de vestir (como playeras con la imagen del
artistapreferido l.
ID pro- El debate sobre la proteccin de los datos personales en Internet reabre la
polmicasobre el papel desempeado por los cooke, que sirven ms como os-
resente trumento de mercadotecnia que como medio para espiar a Jos usuarios de
multa: lntemet. El trmino cookie se aplica a un simple archivo de datos situado en el
seos en dISCO duro del computador de una persona o compaa que ofrece servicios de
Internet.El cooke y su contenido son creados por un servidor que almacena
en las
una o varias pginas Internet.
que se Cuando un visitante accede a una pgina web por primera vez, el servidor le
atribuyegeneralmente un nmero de identificacin con atributos, el cookie, Des-
gene ... pus,extrae su nombre de un cheroempleado en las plataformas Unix, los "magc
cookes", can lo que el visitante ser identificado en SuS visitas ulteriores.
)cual- Esto permite al propietario de la pgina analizar el comportamiento de sus
podr visitantes y personalizar sus visitas. El desplazamiento de los usuarios de Internet
-revs- entre varias pginas de una direccin se puede identificar a la perfeccin, lo
que permite "tomar 110m" del recorrido utilizado ms a menudo. La direccin
electrnica podr ser modificada para satisfacer a la vez al visitante y a los
anunciantes, que pueden colocar Su publicidad en el lugar ms adecuado.
El cookie sirve tambin para grabar 1.0 que ocurre en estas visitas, sobre
todo en caso de compra. Si se elige, por ejemplo, un libro en una librera en
linea,la compra queda grabada en un cookie, antes de reaparecer en el momen-
tode pagar la factura en la caja virtual. la visita tambin puede ser personalizada
romo grabando en el archivo cooke las informaciones facilitadas por el usuario.
.ienta Tericamente la seguridad de estas informaciones est garantizada, ya que
un servidor slo puede obtener la informacin del cookie que ha producido.
'e del Las redes de publicidad en lnea s tienen esta capacidad. Estas innovacio-
-edes nes han alarmado a algunas asociaciones, para quienes este sistema supone una
verdadera intrusin en la vida privada de 105 usuarios de Internet. Esta capta-
.dos cin de datos se realiza sin que el usuario Jo sepa, a menos que haya configura-
era O do su navegador para ser advertido. Los que no disponen de este sistema pue-
sario den borrar peridicamente el fichero cookie de Su disco duro O recurrir a un
programa especial.
que la situacin de los cookie debe ser evaluada dentro de la auditora, para
is de determinar si se considera como una intromisin la privacidad de los usuarios
de Internet de una compaa.
144
CAPiTULO 4
EVALUACiN
PROTECCiN DE LOS DERECHOS DE AUTOR
DE lOS SISTEMAS
Las obras protegidas por la ley debern ostentar la expresin "DerechosR~>

dos" o su abreviatura D,R., seguida por el smbolo e dentro de un !,:u!<l.:t"
embargo, la omisin de estos requisitos no implica la prdida de los der'edllM
autor, aWlque sujeta al responsable a las sanciones establecidas en la ley,
La reserva de los derechos de autor es la facultad para usar y exolo"' '
forma exclusiva ttulos, nombres, denominaciones, caractersticas I.SII:as l' ~
colgcas distintivas O caractersticas de operacin originales, Ahora o.efiLD"I.
proteger los derechos de autor se han establecido diversos P~~~~;~~i~:::
primero relacionado con los delitos que pueden corneterse 'il
cho de autor, por lo cual se estableci el artculo 215 de la Ley de LJeI'OOl'II!'11
Autor, que corresponde conocer a los tribunales de la Federacin, sobre
litos relacionados con el derecho de autor, los cuales debern estar pe'\'S!c;.11
el Cdigo Penal para el Distrito Federal, que regula los delitos en materia
fuero comn y para toda la Repblica en materia del fuero federal,
Independientemente de solicitar el ejercicio de la accin penal la >el!<
afectada por un derecho protegido por la Ley de Derechos de Autor,
optar entre hacer va ler las acciones judiciales que le correspondan o sujct.~
procedimiento de avenencia,
El procedimiento de avenencia tiene por objeto dirimir de manera amigo
ble un conflicto surgido con motivo de la interpretacin o aplicacin de la'"
se inicia con la queja, que se presenta directamente ante el Instituto Na...
del Derecho de Autor,
Mediante la aplicacin del artculo 20, de la Ley de Derechos de Ault-
corresponde al Instituto Nacional del Derecho de Autor su aplicacin adm
trativa, y en los casos previstos por dicha ley al Instituto Mexicano de laPro?
dad Industrial.
Mediante el arbitraje las partes podrn resolver todas las controversasqs
hayan surgido en materia de derechos de autor, y podrn someterse por medi
de clusula compromisoria o compromiso arbitral,
Es de sealar que el articulo 223 de la Ley de Derechos de Autor sealaq~
para ser rbitro se requiere el ser licenciado en derecho, pero no es requisito
ser especialista en el rea en que se va a arbitrar, como sera el ser experto..
programacin, informtica o bases de datos,
Las penalidades en caso de delitos se han incrementado notablemente
acuerdo con lo sealado en el:
CDIGO PENAL PARA EL DISTRITO FEDERAL EN MATERIA

5EC
DE FUERO COMN y PARA TODA LA REPBLICA EN
MATERIA DE FUERO FEDERAL
"TTULO VIGSIMO SEXTO"

DE lOS DEUTOS EN MATERIA DE DERECHOS DE AUTOR
Artculo 424. Se impondr prisin de seis meses a seis aos y de trescientos a trt3
mil das de multa:
o comerci
1. Al que especule en cualquier forma con los libros de texto gratuitos qt'o:
distribuye la Secretara de Educacin Pblica; ,iglfique
11.Al editor, productor Ograbador que ti sabicnd'lli produzca ms nmeros de 145
~iemplMosde una obra protegida por la Ley Federal del Derecho de Autor, que los
R autorizados por el titular de los derechos:
DERECHOS
DE AUTOR
111.A quien produzca, reproduzca, importo, nlmncene. transporte, distribuya, Y SECRETOS
vendao arrlende copias de obras, fonograll'las, videogramas o libros, protegidos INDUSTRIALES
eserva- por In Ley Federal del Derecho de Autor, en forma dolosa; a escala comercial y sin
.Sin la autori1..ncln que en los trminos de la ciL.'ldilley deba olorgar el titular de los
hos de derechos de autor Ode los derechos conexos;
lv.Las mismas sanciones se impondrn a quien use en forma dolosa, a escala
itar en oom('rcaly sin la autorizacn correspondiente ..obras protegidas por la menciona-
y psi- da ley: y
v para V. A quien fabrique con fines de lucro un drsposvo o sistema cuya finalidad
.tos, el -ead....activarlos dispositivos electrrucos de pmtcc:clnde un programa de ccmpu-
i dere- t.>cin.
'lOS de Arlirnlo 425. Se impondr prisin de sels meses a dos aos O de trescientos a
os de- tn" mil das multa, al que a sabiendas y sin derecho explote con fines de lucro una
tosen interpretacinO una ejecucin.
Articul 426, Se impondr prisin de seis tl1('S("S a cuatro aos y de trescientos
-a del
a tres mil das multa, en los casos siguientes:
1. A quien fabrique, importe, venda o arri(!l,dc un dispositivo o sistema para
-rsona
desclfrnT una seal de satlite cifrada, portadora de programas. sin autorizaci6n
podr del distribuidor legtimo de dicha seal, y
use al
11,A quien realice con fines de lucro cualquier acto oon la finalidad de desci-
frar una seal de satlite cifrada, portadora de programns. sin autorizacin del
miga- distribuidor legtimo de dicha sea),
ley,y ArllctlJo 427, Se impondra prisin de seis meses a seis aos y de trescientos a
jonal trc~mil das multa ..a quien publique a sabiendas una obra sustituyendo l nombre
del autor por otro nombre.
.utor, A,tc"lo ~28.Las sanciones pecuniarias previstas en el presente ttulo se apl-
ninis- c.lrn sn perjuicio de la reparacin del dao, cuyo monto no podr ser menor al
ope- cuarenta por ciento del precio de venta al pblico de cada producto o de la presta-
oon de servicios que impliquen violacin a alguno o algunos de los derechos
s que tutelados por la Ley Federal del Derecho de Autor
1edio Art(ndo 429. Los delitos previstos en este ttulo se perseguirn por querella de
parte ofendida, salvo el caso previsto en el artculo 424, Iraccin 1, que ser perse-
3que guido de oficio,
jto el
lo en
te de
SECRETOS INDUSTRIALES
A
Artculos de la Ley de la Propiedad Industrial

en Materia de Secretos Industriales
tres
Arl 82. Se considera secreto industrial a toda nformecin de aplicacin industrial
que o comercial que guarde una persona fsicaOmoral con carcter ronfidendal, que le
signifique obtener o mantener una ventaja competitiva o econmica frente a terco-
146 ros en la relacin de actividades econmicas y respecto de la cual haya
los medios o sistemas suficientes para ptesen,ar su confidencialidad vd
CAPlnJlO.
EVAlUACIOH restnngido a la misma.
OE lOS SISTEMAS La informacin de un secreto industrial necesariamente deber t,", .':I
l la naturaleza, caractersticas O finalidades de los productos. al ll~o<~.,
:::,
cesesde produccin; o a los medios o formas de distribucin o o
producto> o prestaon de servicios.
No se considerar secreto industrial aquella informacin que SCd del
pbhco la que resulte evidente para un tcnico en la materia, con ba~ en
cinpreviamente disponible o la que deba ser divulgada por d~po.iciMin~,1
por orden judicial. No se considerar que entra al dominio pbhco o qee
g.da por disposicin legal aquella informacin que sea proporcionada ,."~ ..
autoridad por una persona que la posea como secreto industrial, cuando
porcin es para el efecto de obtener licencias,permisos. autorizacones -ve- _~ ..
cualesquiera otros actos de autoridad.
Se considera secreto industrial "toda informacin de aplicacin IIWU '
comercial". En principio, respecto de la aclaracin de que la informacinp"
de caracter industrial O comercial, la cual, aun y cuando parece elemental
lugar a que en ciertos casos la voluntad del legislador pretendiera interpren
un sentido restrictivo, limitando la proteccin exclusivamente a In Inform
estrlctnmcnte de carcter industrial.
Por otro lado, especial peso debe concederse al trmino "aplicacin"qu
cluye el precepto al referirse a los secretos industriales, ya que la in(orm,lcita
ben1 satisfacer ese particular requisito. De hecho, en este punto podemos LIneo
una relativa equivalencia con el requisito que al efecto se establece en matcr
patentes, consistente en que las invenciones sean susceptibles de aplicacin i
trlal.
Es claro que la expresin "aplicable", en este particular contexto, dcb~!i('r
tcrprctadc en su (orma ms amplia, ya que pudiera presentarse el casodi>
cierta informadn que aun y cuando en la prctica an no hubiese sido pue-~
prctica. sus posibilidades de ser implementada le ubiquen como inrorma
merecedora de la tutela de este rgimen.
En aras de que el rgimen tutelar de los secretos industriales verdader4lr
constituya un medio de proteccin de informacin confidencial que se estima
bien econrmcamente valioso, la limitacin que el precepto realiza del tipo
(ormacin que califica como constitutiva de secretos industriales, incorpora
labra "referida s", ron lo que el legislador parece establecer basta
macin guarde cierta liga Oesl asociada alas actividades fundamentales dlel,"":
econormco o bien una ventaja competitiva para poder ser considerada wn",,~....
para constituir un secreto industrial, lo cual puede ser cuestionable.
toda, las copias, por ejemplo, de programas, tienen una finalidad de b\"di<io .. ~
nmico O una ventajiJ competitiva.
Entre la informacin tpicamente considerada romo constitutiva de
Industriales se cuenta la relativa a listas de clientes y proveedores. lormuJ.a~1
prOC\"<>S industriales estrategias de mercado, lanzamiento de productos.
dos de estudios comerciales y de mercado, sueldos, procesos legales, li~:~~:~;1
00'. b.1S<'S de datos, y en general, cualquier informacin sensible re
un valor econmico para la empresa, este tipo de informacin la podemosconea]
rar directamente Ligada OOn bases de datos.
Respecto de la condion de que el secreto industrial sea guardado
persona fsica O moral con carcter confidencial, puede considerarse que sin
constituye btd el ncleo fundamental que imprime a este tipo de informoclII
caractersuca que le califica romo secreto industrial.
adoptado Es importante considerar que el precepto no establece condicin alguna res-
el acceso 147
ptC'todel origen de la informaci6n que guardn su poseedor, es decir, no se estable-
cecomo condicin el que la informacin hubiese sido generada por su poseedor, o DERECHOS DE AlITOR
.r referida bien. que la misma hubiese sido obtenida por olgn ttulo legal como pueda ser su y SECnETO$
los O pro- transmisin por parte de un tercero, por lo que la informacin conten.ida en una INOUSTRIALES
zacn de hase de datos, es considerada eOOlO un 8(:(I'I..xo industrial, sin importar si sta fue o
no creada por la persona que la posee y que In pueden difundir.
Idominio Obviamente se abre aqu el planteamiento de si In informacin que eventual-
informa- mente ha sido obtenida de manera Ilcgat, en caso de seguir cumpliendo las condi-
in legal o ciones de confidencialidad exigidas por el precepto. debe ser merecedora de la
es divul- proteccin conferida a los secretos mdustriales. Seria el caso, por ejemplo. de infor-
cualquier m~lci6nque indebidamente revele un ex empleado a su nuevo patrn, y que ste
lo la pro- pretenda conservar y proteger como secreto industrial propio .. O bien copias de
gistros. O program..u que posea un empleado y que JiU; proporcione a su nuevo empleador.
En trminos del tercer prrafo de este mivmo artculo ..se establece que no se
ustrial o considera que entra al domiro pblico o que es divulgada por disposicin legal
:mede ser aquella informacin que sea proporcionada a cualquier autoridad por una persona
tal, daba que la posea como secreto industrial, cuando se proporcione para el objeto de obte-
-etarse en ner licencias, permisos, autorizaciones, registros, o cualesquiera otros actos de au-
crmecin toridad.
las bases de datos que son del dominio pblico, pero que son modificadas,
.. que in- fn~j(lr~d~s O ampliadas, para lo cual se empican ti('H'PO y recursos, se convierten
acin de- en propiedad industrial. Es el caso, pOI' ejemplo. de mltiples bases de datos que
moontrar son obtenidas a partir de nformacin accesible para el pblico, pero que al impri-
ateria de mlrse una dosis significativa de reCUI'SOS,ucmpo y talento, la informacin es trata-
in indus- da y depurada hasta el grado de convertirla (:1''1UI1 producto nuevo y diferente, que
por ese solo hecho merece la proteccin que la legislacin confiere a los secretos
ie ser in- industriales. siempre que, desde luego" se S.Jtis(agan las otras condiciones exigidas
) de que paro esta figura.
-uesta en Este mismo criterio puede aplicarse a ciertos programas de computacin que
emacin para su conformacin han requerido de la participacin de especialistas que han
invertido en la investigacin cantidades notable'> de esfuerzo y erudicin, de ma-
eramente nere que el resultado puede ser considerado como secreto industrial.
'na como Un aspecto que es conveniente destacar es que en este punto la disposicin
)()de in- parece apartarse del texto del Tratado de 1 ib~ Comercio mire Mxico. Estados
Ia la pa- Unidos y Canad, en su articulo 1711, mcamente requiere que quien posee el
la nfor- secreto hubiere lomado "medidas a su alcance". El punto parece mnimo. pero es
=1agente claro que existe una gran distancia entre haber tornado "medidas al alcance" que
:mo apta haber tornado "las medidas necesarias", t\'ll corno la Ley de Propiedad Industrial lo
"que no determlna.
ido eco- Resulta imprescindible para las empresas modernas contar con un reglamen-
ro Interne de trabajo, en el que se especifiquen las polticas de la empresa en mate-
da de informacin confidencial. Dicho reglnrnento debe ser conocido por todos Jos
secretos
aciones, empleados y funcionarios de la en'lprcsa, y su puesta en prctica debe ser un asun-
resulta .. to prtontario para cumplir ron los requerimientos que la ley determina para 1.1
.de pre- constitucin y preservacin del secreto industrial. Entre las polticas que deben
observarse como mnimas en materia de secretos industriales se cuentan
'rt'Sente enunciativa mente las consistentes en la idenncacn de los materiales consdera-
:onside-
dos como secreto de negocios. la prohibIcin de la duplicacin de documentos
sensibles sin autorizacin, el control de IOgre;o a la< ateas en que la informacin se
por una concentra, la utilizacin de sistemas de segundad y control" la implementacin de
lnduda
claves de a(('()SOa las computadoras .. la firma de convenios de confidencialidad
acin la
COn empleados y proveedores, etc. Estos puntos son tratados COnmayor amplitud
en el tema relacionado a la segurdad.
148 Enl1'\' otras disposiciones aplicables se encuentran las de la L<.'K~)
Responsabhdades de los Servidores Pblicos, que en su artculo 47 d
t;~::i1
CAPITulO'
EVAlUACION lodo servidor pblico lendr la obligacin de custodiar y cuidar la docul'''''':':;:;:
DE lOS SISTEMAS e informacin que por razn de su empleo. cargo o comisin, eonserve
cuidado o a 1. cual tenga acceso, impidiendo o evitando e1 uso, l. su';troml:;l
destrueo, ocultaeuentc o inutilizacin indebida de l. mism a.
En relacin ron el llamado "know how", cabe tambin hacer la dt<llnciIIl(:
que no toda la mformadll de este tipo es necesariamente confidencial. ya
eonceptc se dirige a referir aquel conjunto de conocimientos y habilidades
mi",n a una persona o grupo de personas desarrollar, producir, disrnbuir
cid!.!..,r un bien o un servicio con ventajas frente a otros compendores,
caracterstica de que dicha informacin bien puede estar en el domimo
Su caso son elementos como la experiencia y la destreza lo que permite rorl",II""!~
ven laJa tie ese "saber hacer". Es decir, en el casodel "know hcw" podemos
rar que una de sus diferencias bsicas con los secretos industriales es que no
rinmentc es in formacin que deba considerarse como confidencial.
La definicin de la "Uniform Trade Secrets Act", Iegislacion que en
Unidos habla sobre los secretos industriales es la siguiente:
"Un secreto industrial podr consistir en cualquier frmula, patrn, di.pc.
vo o compacln de informacn que se usen en una enlprcsa y que den al emp~
sario 1" oportunidad de obtener una ventaja sobre los competidores que no lu(11
nocen o no lo usa. Puede ser la frmula de un compuesto qumico, un P~!
manufactura, de tratamiento o de conservacin de materiales. el patrn par...u
mquina LI otro dispositivo, o una lista de clientes."
A,t. 83. La informacin a que se refiere el artculo anterior, deber constar
documentos, medios electrnicos o magnticos, discos pticos, mlcrolmes,
t .(lS
las u otros instrumentos similares.
Es importante considerar que este precepto adiciona un elemento Jndc;, d(lSt' ~
hecho de que la informacin respectiva debe constar en un soporte matenal l'nor"1
problema que se tiene est en que para que los documentos que contienen el 't'('~ <In d
lo induslrial sean registrados ante el Registro Nacional de Derecho de Aulor. ~ exclu
pendiente del lnstituto Nacional del Derecho de Autor, deben ser pl'('<Cnlad"" L
un soporte material, y al tratarse de un registro pblico la informacin se LJUI.! d
accesible a terceros perdiendo, precisamente por ese hecho, cualquier tipo de r !'.i!'.tl",!
leccin legal que como secreto industrial le hubiere correspondido.
coned
Art. 84. La persona que guarde un secreto industrial podr transmihrloo
torizar su uso a un tercero. El usuario autorizado tendr la obhgacn de no dn:
sor d secreto industrial por ningn medio. do N~
En los convemos por los que se transmitan conocimiento tknico-., A.",..ftrIQ admlf
Il'entea. proviSIn de ingeniera bsica O de detalle, se podrn estabteecr eLi.... de lnl
de confidencialidad para proteger los secretos industriales que contemplen, solicit
C\J31esdebern precisar los aspectos que comprenden como condenciale-, sin e
Art. 8S. Toda aquella persona que, con motivo d e SU trabajo, empleo, ru;:
,,"gn'
PUl..,IO,desempeo de Su profesin O relacin de negocios, lengo acceso a un lIt<lI'
to industrial del cual se haya prevenido sobre su confidencialidad, deber .1>1:: PUl'~
n~N:' de revelarlo sin causa justificada y sin consentirruento de la peNlN cp
gU(lrde dicho secreto, o de su usuario autorizado. lron!'
Todas las personas mencionadas en el precepto parecen cubrir la< di"'NJ< sitios
opciones de quienes pueden tener legal acceso a los secretos industriales de dom
poseedor, esto es, trabajadores, empleados, asesores, y en general, cualquiera qut
t..:-nSililCC~SOel los secretos por virtud de sostener una relacin de negocios coael mlcrl
que guarda el secreto. De acuerdo COnlas fracciones 111,IV Y V del artfculo 22Jd, dOl,p
l., Ley de Propiedad Industrial, no slo la revelacin del secreto est vedada. III'IO
tambin su utilizacin y aprovechamiento.
y, P
Ley Federal de Ar/. 86. La persona fsica o moral que contrate a un trabajador que est labo- 149
"determna que rendo o haya laborado o a un proresontsta, asesor o consultor que preste o haya
DERECHOS
documentacin prestado sus servicios para otra persona, con el (in de obtener secretos industriales DE AUTOR
mserve bajo Su de sta, ser responsable del pago de daos y pcrjutctos que le ocasione o dicha v SECRETOS
la $ustr<lccin~ persona. tNDuSTRIAlES
Tambin ser responsable del P'go de daos y perjuicios 1. persona fsica o
la distincin de moral que por cualquier medio iHcito obtenga informacin que contemple un SC~
~aLya que este creto industrial.
idadesque per- El artculo 223 de la Ley de Propiedad Industrial define y sanciona las conduc-
Tibuir O comer- tas delictivas en relacin ron secretos industriales. Al propio tiempo, el artculo
res, perocon la incurre en otra intrascendenda por obvledad, al sealar que quien reciba secretos.
jo pblico,y en
industriales de terceros por va de contratar el sus empleados o ex empleados, ase-
le consolidarl. seres O ex asesores, ser responsable de lo:, daos y perjuicios que ocasione, siendo
:lemosoonsde- que dicha obligadn deviene de cualquier hecho ilcito que lesione a una persona,
que no neoesa- !dI como lo prescribe el artculo 1910 del Cdigo Civil.
lue en Estados
trn, dlspos ti-

den al empro- Consideraciones legales sobre
sque no lo co-
un proceso de el empleo de nombres de dominio
strn para una frente al rgimen de marcas
er constar en
-filmes,pelfcu-
Las posibilidades de la comunicacin va Internet son inagotables, comprendin-
fO ms, y es el dose dentro de ellas la posibilidad de ofertar productos )' prestar servicios al
,material. Un enorme mercado potencial que acude a los sitios en la red, mediante la obten-
ienen ~I secre- cin de un nombre de dominio que refiera a los usuarios de la red a un sitio
de Autor, de- exclusivo destinado a promover sus bienes )' I o servicios.
resentados en Los nombres de dominio son denominaciones nicas asignadas a personas
acin se hace
que desean tener un domicilio que pueda ser visitado por usuarios en la red. El
" tipo de pro-
sistema de dominio interpreta los nombres como nmeros y cada computadora
smtirlo o au- conectada a la red cuenta con un nmero nico.
, de no divul- La concesin de nombres de dominio es coordinada por un organismo llama-
do Network Solutions Inc, a travs de InterNIC, quien trabaja en conjunto con
:os, asistencia administradores de dominio, coordinadores de redes y proveedores de servido
ecer c'usulas de lnternet. Los nombres de dominio SOn registrados a travs de una forma de
1templen, los solicitud estndar disponible en la red)' el nico criterio seguido para su conce-
,dales.
sin es el de verificar que no exista un nombre de dominio, idntico, previamente
-upleo, cargo,
SO a un secre-
asignado. Lo anterior, resulta necesario desde el punto de vista tcnico, ya que no
deberabste- pueden existir dos rutas de acceso idnticas de sitios distintos en la red.
persona que El comercio de bienes )' servicios a travs de la red ha propiciado la con-
frontacin de los intereses de titulares de marcas registradas con dueos de
. las diversas sitios en la red que adoptan marcas propiedad de terceros como nombres de
llrialesde Su dominio.
talquier. que Desde fines de 1995 los gobiernos de los estados y distintas organizaciones
godos con el internacionales han encaminado sus esfuerzos a balancear de manera adecua-
ticulo223 de
da, por un lado, la necesidad de proteger los derechos de propiedad intelectual
vedada, sino
y, por otro, las innegables ventajas del acceso a la informacin va Internet.
150 Mantiene el liderazgo de dicha empresa Network Soluuons, Inc (NSI), que!'> e) f
CAPITULO. brazo operativo de la US National Science Foundatlon, autoridad que regula
eVAlUACIN asignacin de dominios en Internet, ~
DE LOS SlSTEloIAS
En el dcimo Congreso de la, Naciones Unidas sobre previsin del delih
tratamiento de delincuentes celebrado en Viena del 100117 de octubre del2C

~
se lleg a la conclusin sobre los delitos relacionados con las redes informtic""
"Para combatir eficazmente los delitos cibernticos es necesario un enfoque"
!emacional coordinado a diferentes niveles. A nivel nacional. la investigaa
d)
~
de esos delitos requiere personal, conocimientos especializados y procedimitJ
(
tos adecuados. Se ahenta a los Estados a que consideren la posibilidad de era
e
mecanismos que permitan obtener de manera oportu na datos exactos de I d
sistemas y redes informticas cuando estos datos se requieran como prueba
los procedimientos judiciales. A nivel internacional, la mvestigacin eficaz d
los delitos cibernticos requiere una adecuacin oportuna, facilitada por laa e
ordinacin entre los organismos nacionales de aplicacin de la ley y la institu r
cin de la autoridad legal pertinente."
f)
Como ejemplo de legislaciones relacionadas con informtica en Latin<>aJM: l
ca tenemos el caso de Colombia:
Podor Publico Rama Legisl.tiva

LEY 527 DE 1999 'agosto 18)
por medio de 1" cual se define y reglamentJ el acceso y uso de los mensajes di
,
datos, del comercio electrnico y de las firmas digitales, y se establecen las enida
des de certificadn y se dictan otras disposroones.
PARTE I
PARTE GENERAL
CAPTULO L Disposidones generales

datO!
Articulo 20. Definiciones. Para 1..,.efectos de la presente Icy se entender. por.
o) Mensaje de datos. La in(ornlacin generada, enviada, recibida, hnaccnad.!

comunicada por medios electroncos, pticos O similares, como pudieran St:'
entre otros. el Intercambio Electrnico de Datos (EOI), Internet, el correo ele<-
trrueo, el telegrama. el telex o el telefa.;
b) Comercio electrnico Abarca Lascuestiones suscitadas por toda n..ladn de

ndole comercial, sea o Iltl contractual, .....tructurada a partir d. l. utiliz.acilio
de uno o m,i..,mensa~ de datos o de cualquier otro medio similar. Las rlao fllU
nes de ndole comercial comprenden, SIn limitarse a ellas, las siguientes 0'"
rociones: toda operacin comercial de suministro o intercambio de' bieneso
servicios; todo acuerdo de distribucin; toda operacin de rcp~nlaciM
mandato comercial; todo tipo de operaciones fin..lnO('ra.c;.burscililts y de stgI ArllC
ros: de construccin de obras; de con~ultora; de mgeruera: de concesin el: Ido
licencias, todo acuerdo de concesin O explotacin de un servicio pbhcc inten
de empresa conjunta y otras formas de cooperadn industrial o comercial, de mlSrj
transporte de mercancias o de pasajeros por va area. martima)' Merea, opor
carretera;
. que es el e) Firma digital. Se entender romo un valor numrico que se adhiere a un men- 151
regula la saje de datos y que ..utiliz.ando un procedimiento matemtico conocido, vincu-
D~RECHOS
lado a la clave del iniciador y al texto del mensaje permite determinar que este DE AUTOR
~Idelito y valor se ha obtenido exclusivamente COnIn clave del iniciador y que el mensa- Y SECRETOS
del 2000, je inicial no ha sido modificado despus de efectuada la rransformaciru INDUSTRIALES
rmticas:
foque in- d) Entidad de certificacin. Es ...qualle persona que, autorizada conforme l la
presente ley, est facultada para emitir certificados en relacin con las rmas
stigacin digitales de las personas, ofrecer o facilitar los servicios de registro y estampa-
edimien- do cronolgico de la transmisin y recepcin de mensajes de datos, as! como
1de crear cumplir otras funciones relativas a tas comunicaciones basadas en las firmas
0$ de los digitales;
lrueba en
eficaz de t) Intercambio Electrnico de Dolos (EDI). la Iransmisin electrnica de datos
oor la co- de-una computadora a otra,..que cstJ (lStructurada bajo normas tcnicas conve-
a institu- nidas al efecto;
fJ Sistema de informacin, Se entender todo sistema utilizado para generar,

noamri- enviar, recibir, archivar o procesar de nlguJ'\lotra forma mensajes de datos.
CAPTULO Il. Aplicacin de los requisitos jur(dicos

de los mensajes de datos
Arllc141090. Integridad de un mensaje de datos.

Arttculo 10. Admisibilidad y fuer-/rI probatoria de los mensajes de datos.
-nsajes de Art{culo 11. Criterio para valorar probatcrinmente un mensaje de datos.
ssentida-
Artlculo 12. Conservacin de los mensajes de datos y documentos.
CAPTULO UI. Comunicacin de los mensajes de datos
ArtICulo 17, Presunn del origen de un mensaje de datos.

Artlcul" 18. Concordancia del mensae de da lOSenviado con el mensaje de
datos recibido.
Artculo 19. Mensajes de dolos dupllcados,
por:
Artculo 20. Acuse de recibo.
Artlculo 21. Presuncin de recepcin de un mensaje de datos.
cenada O
ieran ser,
I'ARTE 11
neo eJec..
COMERCIO ELECTRNICO EN MATERIA DE TRANSPORTE
DE MERCANCfAS
lacin de
tilizacin PARTE 111
s relacto- FIRMAS DIGITALES, CERTIFICADOS y ENTrDADES DE CERTIFICACIN
,~ ope-
bienes o CAPfTULO 1. Firmas digitales
ltacin o
de segu- Artcfllo 28. Atributos jurdicos de una firma digital. Cuando una fuma digital haya
't"SIn de sido fijada en un mensaje de datos se presume que el suscriptor de aqulla tena la
pblico; mtenen de acreditar ese mensaje de datos y de ser vinculado con el contenido del
>rOa!; de mismo.
ea, O por Pargrafo. El uso de una fuma digltallendr la misma fuerza )' efectos que el
uSOde una firma manuscrita, si aqulla incorpora los siguientes atributos:
152 l. Es nica a la persona que la usa.
2. Es susceptible de ser verificada.
CAPITULO.
EVALUACiN 3. Est bajo ~I control exclusivo de la persona que ItIusa.
DE LOS SISTEMAS 4. Est ligada a la nformacin o mensaje, de tal manera que si stos son ca~
dos, la firma digital es invalidada.
5. Est conforme a las reglamentaciones adoptadas por el Gobierno N.ciM
CAPITULO !l. Entidades de eertificacin
CAPTULO 111. Certificados
CAPITuLo IV. Suscriptores de firmas digitales
CAPiTULO V. Superintendencf de Industria y Comercio

Artculo 42. Sanciones.
DECRETO NMERO 1141 DE 2000

(septiembre 11.
por el cual M' n.'glamenta paroalmentela le)' 527de 1999,en lo relaconado .0II1~1 fi
entidades de cert,ficacill. los certificados y l., (irm,,, digitales.
CAPTULO l. Aspectos generales
Artcll/o 10. Definiciones. Para efectos del presente decreto se entender por:
1. Initiador. persona que actuando por su cuenta, o en cuyo nombre se h,

actuado, enve o genere un mensaje de datos.
2. Suscriptor. pc..l'IOnaa cuyo nombre se expide un certificado,
3. Repositorio: .,i.,tl'm~de informacin utilizado para almacenar y rec\lpemeet

tificados, y otra Informdc:inreladonada con los mismos.
4. Clave privada: valor o valores numricos que, utllizados conjuntamente OX!

un procedimiento matemtco conocido, sirven para generar la firma diS!t
de un mcnsa] de datos.
S. Clave pblica' valor o valores numricos que son utilizados para verificar
que una firma digital fue generada con la clave privada del iniciador
6. Certificado en ~lad6n con la. fino .. digitales: mensa", de datos fi~

por la entidad de certificacin que identifica, tanto. l. entidad de cerllficolc
que lo expide, como al suscriptor y contiene la clave pblica de ste.
7. Estampado cronol6gico: mensaje de datos firmado por una entidad decert

catin que sirve p.lra verificar que otro mensaje de datos no ha cambiadoe
un periodo que comienza en la fecha y hora en que se presta el servicio\'
termina en In (('eho en que la firma del nlcnsaje de datos generado por tI
prestador del servicio, de estampado, pierde validez.
8. Entidad de certificacin cerrada: entidad que ofrece servidos propios de las

entidades de n'"rtificadn slo para el intercambio de mensajes entre la erbo
dad y el suscriptor, 510 exigir remuneracin por ello.
9. Entidad de certificacin abierta: l. que ofrece servicios propios de las entida- 153
des de certificacin, tales que:
DERECHOS
al Su uso no se mita al intercambiode mensajesentre l. entidad y el suscriptor, o DE AUTOR
-amba- b) Recibe remuneracin por stos. y SECRETOS
INDUSTRIALES
tona]. '10, Declaracin de Prcticas de Certificacin (Ope): manifestacin de la entidad
de certificacin sobre las poleicas y procedimientos que aplica para la presta-
cin de sus servidos,
CAPTULO 11. De l entidades de certifcacin

y certificados digitales
Seccin 1. De 10$ ",tid.des d,' crrlifiCJJCinc"",dos
Seccin 11. [k 1115tlltidadt'S de cntifcacill abiertas
Articlllo 6<>. Declaracitl de Prcticas de Ccrtificacitl toPC). La Superintendencia de

Industria v Comercio definir el contenido de 1,1Declaracin de Prcticas de Ccrt..
ftcadn, PC, la cual deber incluir, al menos lo sgulente:
con las
1, ldenefcacin de la entidad de certicacin.
2, Poltica de manejo de los certificados.
3. Obligado" .. de la entidad y de los suscriptores del certificado y precauciones
que deben observar los terceros,
r:
4. Manejo de la informacin suministrada pOI' Jos suscriptores.
5. Garantas que ofrece para el cumplimiento de las obligaciones que se deriven
se haya
de sus actividades.
6. Lmites de responsabilidad por el ejercicio de 5U actividad.
7. Tarif~sde expedicin y revocacin d. certificado>.
8. Procedimientos de seguridad par. el manejo de los siguientes eventos:
rar cer- a) Cuando la seguridad de l. eleve privada del. entidad de certificacin se ha
viste comprometida;
b) Cuando el sistema de seguridad de l. entidad de certificacin ha sido vul-
nte con nerado;
digital e) Cuando se presenten fallas en el si!';tcmade Id entidad de certificacin que
comprometan la prestacin del servicio;
d) Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de
erifica r seguridad contratados por el suscriptor.
9, El plan de contingencia encamnado .l gnrantizar la continuidad del servicio
de certificacin.
irmado 10. Modelos y minutas de los contratos que utili/arn con Jos usuarios.
icaci6n 11. Poltica de manejo de otros servicios que fut:re a prestar, detallando sus condi-
ciones,
certi- A,'clllo 11. Informe de Auditora.
adoen Arlculo 12. Requisitos de las firmas auduoeas.
vicio y
Articulo 14. Certificaciones reciprocas. Elrc<'Onocimientode los certificados de
por el
firmas digitales emitidos por entidades de ccrtifoc~cinextranjeras, realizado por
entidades de certificacin autorizadas para tal efecto en Colombia, se har constar
.de las en un certificado expedido por estas llltimus,
la enr- Artculo 15. Uso del certificado digital.
Arllculo 16. Unicidad de la formadigital.
154 Seccin 111.De la decisin y IIb rtSponsabi/idadr>
CAPiTULO'
EVALUACiN Seccin IV. De los certificados digitales
DE lOS SISTEMAS
Articulo 24. Registro de ('('rtic.dos. Toda entidad de certificacin autorizada d..
ber llevar un registro de publico, acceso que cont~ng. todos los certificados emi-
tidos y sus fechas de emsin, expiracn o revocacin. CA
Artculo 25. Informacin. Las entidades de certfcacn estaean obligadas iI
respetar las condiciones de condencaldad y seguridad, de acuerdo con las nor-
mas vigentes respectivas.
Salvo la informacin contenida en el certificado, )a sUlninistrlda por 1M
suscriptores a las entidades de certficacn S" considerar privada y confidencial
CAPfTULQ 1lI. Facultades de la Superintendencia d. Industria

y Comercio
Arttcul 27. Estndares. La Superintendencia de Industria y Comercio determinar

los estndarC's admisibles con respecto a los cuales las entidades de certificacin
debern acreduar el curnplim","to de los requisitos relativos a;
l. la generacin de pares de claves.

2. La generacin de firmas.
3. los certificados.
4. Los sistemas de cifrado.
5. Las comunicaciones.
6. la seguridad de los sistemas de informacin y de las instalaciones, o
7. CualqUIer otro aspecto que redunde en la coniabildad y seguridad de la<
rertilicados, O de la informocin que repose en l. entidad de certiftcacn.
Para la determinacin de los estndares admisibles, la superintendencia debe.

r adoptar aquellos que tengan car~cter internacional y que estn vigentes tecnol-
gicamente o los desarrollados por el organismo nacional de normalizacin o ]os
que sean ampliamente reconocidos para los propsitos perseguido-, En todo CibO,
deber tener en cuenta su aplicabilidad a la luz de la legislacin vigente.
Evaluacin del proceso
ruada de-
.:ados em..
CAPfTUlO de datos y de los equipos
)lignd.1s a
In las nor- de cmputo
por lo.
idcncial.
tri.
ennlnar
tmeacin
OBJETIVOS
1. Expltcar por qu los datos de las organizaciones son valiosos recursos y

por qu es necesario tener estrictos controles sobre ellos.
I de los 2. Conocer los distintos tipos de control que deben ejercerse sobre los datos
zn. de las organizaciones.
3. Describir las reglas relativas al orden y cuidado que deben observarse en el
.a debe- centro de cmputo .
emol- 4. Explicar la importancia de evaluar el grado de eficiencia del sistema opera-
n o Jos tivo para satisfacer las necesidades de una instalacin.
lo caso,
5. Conocer los puntos principales que debern ser evaluados en los equipos
de cmpulO de una organizacin.
156 d
CAPITULO 5
EVALUACiN
CONTROLES Y
v
Del PROCESO
OE DATOS
y DE LOS eQUIPOs Los datos son lino de los recursos ms valiosos de las organizaciones, y, allnq~ E
DE CMPUTO son intangibles, necesitan ser controlados y auditados con el mismo cuidado qu pun!
los dems inventados de la organizaci6n, por lo cual se debe tener presente: dos ~
caso
La responsabilidad de los datos es compartida conjuntamente por alguD! form
funcin determinada de la organizacin y la direccin de informtica. dad,
Un problema que se debe considerar es el que se origina por la duplicidad S
de los datos, el cual consiste en poder determinar los propietarios o usua- elab~
rios posibles (principalmente en el caso de redes y banco de datos) y h que,
responsabilidad de su actualizacin y consistencia. mest
Los datos debern tener una clasificacin estndar y un mecanismo de id... 1
tificacin que permita detectar duplicidad y redundancia dentro de \L1i bas,
aplicacin y de todas las aplicaciones en general. dos l
Se deben relacionar los elementos de los datos con las bases de datos donde lacio
estn almacenados, as como los reportes y grupos de procesos donde son cont
generados. deis
1
En todo centro de informtica se debe contar con una serie de polticas qie que r
pcrmi tan la mejor operacin de los sistemas. Estas polticas son evaluadas du- resp
rante el transcurso de la auditora, por lo que slo son mencionadas en CS~ acc
seccin, pero se encuentran estudiadas en detalle en diferentes captulos. actu
Entre las polticas de operacin del computador se encuentran las siguientes
Pol
Polticas de respaldos
Las I
Los respaldos de lo informacin deben realizarse mensual, semanal o diao. T debil
se deben observan los siguientes puntos:
traci
Contar con polticas formales por escrito para efectuar los respaldos meno
suales, semanales y diarios de la informacin.
Todos los medios magnticos de respaldo no deben estar al macenados en
un mismo lugar, aunque se tengan los medios magnticos de operacinen
el si/e, por lo que si hubiera una contingencia grave (incendio, inundadn
no se tendra el riesgo de perder parte o la totalidad de la informacin, y
que se cuenta en otro lugar con 10$ respaldos.
Debe tenerse acceso restringido al rea en donde se tienen almacenados l-1!
medios magnticos, tanto de operacin como de respaldo.
Se deben tener identificadas las cintas por fecha, concepto y consecutivo.,
es conveniente elaborar y actualizar una relacin sobre las cintas, el cool~
nido de los datos de registro y los responsables de efectuarlos.
Se debe contar con una poltica que indique los procedimientos a segure vers,
cuanto al almacenamiento de las cintas de respaldo en un lugar diferente" p()r I
de la ubicacin del site, en donde se pueda tener acceso las 24 horas del da 157
y donde se designen responsables de mantener actualizada la informacin CONTROLES
vital de la organizacin.
;y, aunque El hecho de no contar con estas polticas de respaldo que contemplen los
uidado que puntosanteriores puede provocar que no se sigan los procedimientos adecua-
resente: dospara realizar los respaldos, que haya riesgo de prdida de informacin en
caso de alguna contingencia y no tener una disponibilidad inmediata de la in-
por alguna formacinde respaldo para recuperar la informacin y conseguir una continui-
ntica, daden la organizacin.
duplicidad Sedebe elaborar por escrito una serie de polticas y procedimientos para la
oso usua- elaboracinde los respaldos, contemplando los pasos a seguir, la informacin
datos) y la que debe de ser respaldada, segn el periodo correspondiente (mensual, se-
mestralo anual), as corno al personal asignado para cada caso.
node iden- Tambin se debe especificar la forma de etiquetacin. nomenclatura, prue-
tro de una bas,rotacin de cintas, los nombres de los responsables de efectuar los respal-
dosy las cintas que sern designadas para ser resguardadas fuera de las insta-
atosdonde ladones. Tambin se debe tener una relacin por escrito de la ubicacin y el
donde son contenido de las cintas, que debe ser entregada al responsable de la seguridad
delsite, as como al gerente del rea de informtica.
Dentro de las polticas de respaldo, se debe contar con un punto que indi- Polticas para el
.lticas que que los procedimientos a seguir en cuanto al almacenamiento de las cintas de computador
uadas du- respaldo en un lugar diferente al de la ubicacin del site, donde se pueda tener
as en esta seceso las 24 horas del dia y donde se designen responsabilidades de mantener
ulos. actuahzada la informacin vital de la organizacin.
iguientes:
Polticas y procedimientos
Las polticas existentes deben estar actualizadas en todas las actividades, estar
> diario, y debidamente documentadas y ser del conocimiento del personal.
No contar con polticas y procedimientos actualizados que rijan la adminis-
tracin del rea de sistemas podra ocasionar:
dos men-
Administracin inadecuada de la operacin.
mados en Relajamiento en el cumplimiento de las obligaciones del personal.
racin en Inadecuada divisin de labores.
mdacin)
acin, ya Las polticas y procedimientos deben incluir los siguientes puntos:
nades los Seguridad de la informacin (fsica y lgica).

Adquisicin de hardware y software.
cutivo, y Operacin de centro de cmputo.
el con te-
Es recomendable que se documenten todos los procedimientos de las di-
>eguiren versas actividades. stos, al igual que las normas y polticas, se manifestarn
'erente al por escrito en manuales de operacin.
158 Al proceder de esta manera, se obtendran las siguientes ventajas: legal y
CAPITULO 5 por ~~~
EVALUACiN Se tiene un. base uniforme, estable)' formal para capacitacin, consultar
DEl PROCESO supervisin, )' se fomenta la eficiencia del persona I en sus funciones. proveeJ
DE DATOS Ante la rotacin del personal, se evita el desvirtuamiento de las normas!
Y DE LOS EOUIPOS
contar
DE CMPUTO procedimientos originales creados. nmerd
Se precisa la responsnbilidad individual de los participantes en una opera- en una
cin, en caso de errores y omisiones. muy fc
Por
Adems, dichas polticas y procedimientos a desarrollar, debern ser dd
conocimiento del personal.
Ac
que
est
Poltica de revisin de bitcora En
(soporte tcnico) del
mi1
Deben existir bitcoras de operacin en las que se registren los procesos realiza- Elal
dos, los resultados de su ejecucin, la concurrencia de errores, los procesos ~ paq
cutados en el equipo)' la manera en que concluyeron. De~
No contar con una poltica de revisin de las bitcoras de operacin de lo! tem
diferentes procesos puede ocasionar problemas como: Pro
se j
Carecer de bases po I'a el rastreo de errores de procesam iCI1too apll
Falta de parmetros de evaluacin respecto al funcionamiento del equipo)
del departamento de sistemas.
Ausencia de controlcs en cuanto a registro de seguimiento de problemas. Polltic
Falta de parmetros para determinar las causas de una falla significatvaea
el sistema y dar seguimiento a su correccin,
Dependencia del personal para solucin de errores. Las insl
Los errores pueden presentarse en forma recurrente y no ser detectades.l namicn
cual causa prdidas de tiempo en la correccin. y proce
deben,
Puede presentarse una prdida de tiempo al no programarse adecuadamen-
Por
te las funciones, lo que tiene como consecuencia una confusin en el rea
respecto a los procesos que ya se han realizado y los que se deban realizar. siguicn
Es necesario establecer una poltica de revisin de las bitcoras de opera EI,-

cin, asignando responsables por proceso y funcin, lo que traera como bcne- una
co detectar y corregir a buen tiempo los errores recurrentes)' poder tomar trol
medidas preventivas para que stos ya no se presenten. as,
Para la adquisicin, mantenimiento)' desarrollo de sistemas se deben contar
siderar: Se e
tad,
Del
mr
Control de las licencias del software El ~
tarn
Todas las organzacones deben de tener un inventario de las licencias del soft No
ware actualizado, que asegure que toda la paquetera y software en general 5&1 pol
!jas: legaly est amparada por una licencia, pora evitar posibles problemas legales 159
porpago de derechos de uso y explotacin del software.
CONTRatES
~ consulta y Al no contar con las licencias correspondientes, no se le puede exigir al
:iones. proveedor el servicio de soporte o actualizacin de software, ya que para poder
as normas y contar con estos servicios es necesario presentar las licencias de adquisicin o el
nmerode serie instalado dentro de la licencia, el cual se encuentra clasificado
1 una opera- en una base de datos dentro de los equipos del proveedor. Por tal motivo es
muy fcil detectar si la licencia es pirata o ya venci.
Por ello, es muy importante:
Tn ser del
Actualizar el inventario de hardware y software, sealando los paquetes
que se tienen instalados por mquina)' verificando que cada uno de stos
e-t amparado por una licencia.
En caso de no contar con las licencias, es necesario contactar al proveedor
del software o del paquete en cuestin para actualizarlas O adquirirlas lo
ms pronto posible.
"sosrealiza- Elaborar un plan verificador de software, para revisar que no se instale
r0ce50S eje- paquetera pirata.
Designar a una persona responsable del rea de informtica para guardar y
icin de los tener actualizadas las licencias.
Promover un plan de concientizacn entre el personal con el fin de que no
se instale paquetera pirata en las mquinas propiedad de la empresa, y
aplicar sanciones al personal que no acate estas medidas.
elequipo y
roblemas.
ificativa en
Polticas de seguridad fsica del site
1..1> instalaciones del sile deben ser las adecuadas para asegurar el buen funcio-
teclados, lo namiento)' la continuidad necesaria en I.,s operaciones. Deben existir polticas
y procedimientos que describan los aspectos de seguridad fsica mnimos que
cuadamen- deben de regir dentro del departamento de sistemas.
en el rea Por tal motivo, durante la vsit, o las instalaciones se deben observar los
..realizar. siguientes puntos:
. de opera-
mobenefi-
El acceso al site debe estar restringido por una puerta, la cual contar COn
una chapa adecuada de seguridad, o con un dispositivo electr6nico de con-
Cuidado del slte I
der tomar trol de acceso. Se deben tener dispositi vos adecuados de deteccin de humo,
as como aspersores de calor para la extmcin de incendios, adems de con-
Ieben contar con extintores.
Se debe tener proteccin en los servidores para que no puedan ser desconec-
tados accidental o intencionalmente y provocar as serios daos al equipo.
Deben existir documentos o carteles que indiquen las normas de seguridad
mmima que deben de observarse al estar en el site.
El personal operativo no debe permitir el acceso a personal ajeno al depar-
tamento.
1$ del soft- No debe tenerse papel para impresin dentro del si/e, el cual es un objeto
,nera) sea potencial de algn desastre.
160 Los equipos que se utilizan para la limpieza dentro del site no deben di o
CAPITULO S
estar directamente conectados a la toma de corriente en la que estn COM
tados los equipos de cmputo y los servidores. o
EVALUACiN
DEL PROCESO Los equipos elctricos, interruptores O de comunicacin, no deben estar a
DE DATOS
y DE LOS EOUIPOS
alcance de cualquier persona.
DE CMPUTO o
Hay que elaborar polticas formales de seguridad y disear las caracter;~
cas para el site, por lo que se recomienda lo siguiente: o
Seguridad fsica del centro de cmputo. Disear un lugar exclusivo y.dr o

cuado para los equipos centrales. Implementar dispositivos adecuados Jl<'"
la prevencin y extincin de incendios que garanticen la salvaguarda dlI
equipo e informacin que se encuentre dentro del site. o
Acceso al centro de cmputo. El acceso al centro de cmputo debe est11
restringido por llaves electrnicas, chapas magnticas, etc.: adems, es n~
cesario que se implemente algn procedimiento de control de acceso pa.~
personal no autorizado a las instalaciones. Asimismo, se debe de realiza
una el
una distribucin correcta de las polticas y procedimientos de seguridad
cer a I
fsica, con el objetivo de que el personal conozca las responsabilidades)
acciones que les corresponde, y con el fin de promover el cumplimiento de
los objetivos y metas.
Plan de contingencias. Debe existir un plan de contingencias que permita que
los sistemas sigan funcionando en caso de algn siniestro o en caso de alguna
huelga. Debe verificarse que se cumplan COntodas las caractersticas que un
documento de esta importancia requiere. Un plan de contingencias puede
asegurar que se est preparado para enfrentar imprevistos y desastres de La m
cualquier indo le, asegurando una continuidad en la operacin de los siste- de di
mas de cmputo. Ejemplos de contingencias pueden ser: incendios, tormen-
tas, inundaciones y actos vandlicos, los cuales pueden ocasionar una dsmi- S
nucin en el aprovechamiento de la computadora por un periodo considere- ft
ble. Con la importancia y dependencia que se tiene de la computadora, una ;
prdida de informacin o la imposibilidad potencial para procesarla origina- [
da por una contingencia puede ser muy significativa. Se sugiere la revisia
del plan de contingencias para que contenga los siguientes controles: E
usual
o Por e
Delegacin de funciones y entrenamiento de personal.
o de los
Resumen de actividades a seguir en caso de contingencias.
o Estudio detallado de las que, de acuerdo con la zona geogrfica, tienen dato),
ms probabilidad de ocurrir y los impactos que cada una de stas oca- E
sionara. gund-
o
Realizar un estudio de tiempo estimado de restablecimiento de opera ras, y
ciones de acuerdo a una determinada contingencia, as como un estu- se PUl
dio de consecuencias potenciales que se desprenderan por la inoperati-
vidad de los sistemas. crbir
o Identificar las aplicaciones y archivos de datos crticos para la opera- tura e
cin de los servicios computacionales, as como determinar las priori- (captt
dades de restablecimiento de stos. Se deben incluir especicaciores read
de hardware y software, tiempo de procesamiento, programa_ archive ro, P(
y documentaci6n de programas y operacin. dad d
o
no deben de Proveer los lineamientos necesarios para el restablecimiento de opera- 161
2 estn conec- ciones a partir de los respaldos de informacin, CONTROLES
o
Desarrollo de pruebas peridicas del plan de contingencia, as como el
Jeben estar al establecimiento de niveles de autoridad y responsabilidades para ga-
rantizar el buen resultado de la prueba.
o
Establecer procedimientos y responsabilidades para mantener el plan
1$ caractersti .. de contingencias.
o
Procedimientos o planes para la reconstruccin de los site despus de
una contingencia.
.lusivo y ade- o
Establecimiento de procedimientos manuales de operacin por parte
lecuados para de los usuarios para restablecer operaciones mientras se recuperan los
vaguarda del sistemas.
o
Lineamientos para garantizar que clicho plan sea probado y actualiza-
to debe estar do peridicamente.
dems, es ne-
e acceso para El plan de contingencias, revisado y aprobado, debe ser distribuido a cada
Je de realizar una de las reas de la divisin de informtica de la empresa y ser dado a cono-
de seguridad cer a todo el personal que labora en ellas.
sabilidades y
iplmiento de
e permita que CONTROL DE DATOS FUENTE

aso de alguna
scas que un Y MANEJO DE CIFRAS DE CONTROL
;encas puede
desastres de la mayora de los delitos por computadora son cometidos por modificaciones
~ de los siste- de datos fuente al:
dios, tormen-
lar una disrni- Suprimir u omitir datos.
do considera- Adicionar datos.
xitadora. una Alterar datos.
sarta origi na- Duplicar procesos.
:re la revisin
uroles: Esto es de suma importancia en el caso de sistemas en lnea, en los que los
usuarios son los responsables de la captura y modificacin de la informacin.
Porello, se debe tener un adecuado control con sealamiento de responsables
s. de los datos (uno de los usuarios debe ser el nico responsable de determinado
;rfica,tienen dato),con claves de acceso de acuerdo a niveles.
de stas oca- El primer nivel es en el que se pueden hacer nicamente consultas; el se-
gundo nivel es aquel en el que se puede hacer captura, modificaciones y cnsul-
nto de opera- las,y el tercer nivel es aquel en el que se puede hacer todo lo anterior y adems
omoun estu- se pueden realizar bajas.
rla inoperati- NorA: Debido a que se denomina de diferentes formas la actividad de trans-
cribirla informacin del dato fuente a la computadora, sugerimos llamarla cap-
ara la opera- tura O captacin. por considerarla considerndola como sinnimo de digitalizar
lar las priori- (capturista, cligitalizadora), anteriormente la responsabilidad de captura era del
Jecficaciones reade informtica; en la actualidad es principalmente responsabilidad del usua-
una, archivos rio,pero esto no elimina la posibilidad de errores y consecuentemente la necesi-
dad de auditar sus controles. Ahora existen diversas formas de captura de la
162 informacin, por ejemplo, scanners, pero debe existir una persona que <e.I C)
CAPiTULO 5 ponsable del control de esta informaciny asegrese que es confiable YOIX)~~I
EVALUACiN Lo primero que debemos evaluar es la entrada de la inforrnacin
DEL PROCESO tengan las cifres de control necesarias para determinar la veracidad
DE DATOS
O)
V DE lOS eaulPos
para lo cual se puede utilizar el siguiente cuestionario, el cual est dirigido.
DE CMPUTO captura en el irca de informtica, independientemente de la captura que~
responsabilidad del usuario:
1. Existen normas que definan el contenido de tos tnstrucvos de captaCInde

datos?
El
2. Indique el po<centa,ede datos que se reciben en el rea de captacin y_
foquesi conll8ne $U InstructJVocorrespondiente. En caso de que el usuaril
sea el reSPOnsablede la captura. debe existir un manual del usuano, o bie!I
ayuda {he/pI dentro del SIstema.
3. Indique el contenido de la orden de trabajo que se recibe en el rea de ~

tacin de datos del rea de inloonlica:
Nmero de follo. ( )
Fecha y hora de enlrega de
Fecha y hora de recepcin. ( )
documenlos y registros
Nombre del documento. ( )
caplados. ( 1
Volumen aproximado de ( )
Clave del capturista. ( 1
regislros. ( )
Nmero(s) de formato(s). ( )
Clave de cargo (nmero de Nombre, dspanarnento, usuao. ( )
cuenta). ( ) Nombre del responsable. ( 1
Nmero de regislros ( ) Fecha estimada de entrega (1
4. Indique cul(es) contral(es) intemo(s) existe(n) en el rea de caplaClllde

datos:
Finnas de autorizacin. ) VerifICacin de Cifras de

Recepcin de trabajOs. ( ) control de entrada con las
ReVISindel documenlo luente de salida. (
089 bdldad. venllCacin de Control de trabajOs alrasados (
datos completos. etc.). ( ) Avance de trabaJOS. (
Prioridades de captacin. () Verificacin. (
Produccin de trabajO. ( ) Errores por trabajo. (
Costo mensual por trabajo. () Correccin de errores. (
Entrega de trabajos. (
5. Existe un programa de trabajo de captacin de datos?
A) Se elabora ese programa para cada tumo?

13. Se
Diariamente ( )
Semanalmente( )
Mensualmente e ) 14
B) la elaboracin de) programa de trabajo se hace:
Internamente 15. PB1
Se les seala 8 los usuanos las prioridades c"t91
Se les se"ale a los usuarios la posible fecha de entrega
rL'S-
C) El programa de trabajo es congruente con el calendario de produccin?
163_--,
una. si() NO ( ) CONTROLES
te se
sta, O) Indique el contenido del programa de trabajo de caplacin.
la la
I sea Nombre de usuario. ) Hora programada de entrega.
Clave de trabajo. ) Volumen estimado de
Fecha programada de registros por trabajo.
le recepcin. ( ) Fecha programada de
Hora programada de recepcin. ( ) entrega.
E) Qu accin(es) se toma(n) si el trabajo programadono se recibe a tiempo?

ri-
jo
'" 6. Cuando la carga de trabajo supera la capacidad ns!alada se requiere:
Tiempo extra. ( )
Se subcontrata. ( )
7 Ouln controla las entradas de documentos fuente?
8. En qu forma las controla?
9. Ou edras de control se obtienen?
Sistema Cifras que se Observaciones

obtienen
to. Ou documentos de entrada se henen?

Sistemas Documentos Depto. que PeriOdicidad Observaciones
proporciona
el documento
11. Se anota qu persona recibe la informacin y su volumen?

SI NO
12. Se anota a qu capturista se entrega la Informacin, el volumen y la hora?

sr NO
13. Se verifica la calidad de la informacin recibida para su captura?

SI NO
14. Se revisan las cifras de control antes de enviarlas a captura?

si NO
15. Para aquellos procesos que no traigan afras de control se han eslablecido
cntenos a fin de asegurar que la Informacin es complela y vfida?
si NO
164 16 Existe un procedimiento escrito que Indique cmo tratar la infonnacl6n Inv
CAPiTuLO S IIda? (Sin rma, ilegible. no corresponden las cifras de control.)
EVALUACIN 81 NO
08. PROCESO
DE DATOS 17. En caso de resguardo de infoonaclnde entrada en sistemas. se custodi8ll
Y DE lOS EOUIPOS en un lugar seguro? NO
DE COMPUTO
1 e. Si se queda en el departamento de sistemas. por cunto tiempo se guarda?
19. Existe un registro de anomalfas en la mtormacin debido a mala codfi
caci6n? SI NO
20. Existe una relacin completa de dlstnbuo6n de flStados.en la cual se lI-
quen personas. secuenCiay sistemas a los que pertenecen? SI NO
21. Se verifica que las cifras de las validaciones concuerden con los doeumen-
tos de entrada? Si NO
22. Se hace una relacin de cundo y a quin fueron distribuidos lOSlisiados?

'1~ "te
23 Se controlan separadamente los documentos confidencaales?

NO
24. Se aprovecha adecuadamente el papel de los listados inservibles?

sI NO
25. Existe un regislro de los documentos que entran a captura?

" NO
26. Se hace un reporte dl8no. semanal o mensual de captura? NO
27. Se hace un reporte diario. semanal o mensual de anomalas en la .nforma

cin de entrada? SI NO
28. Se lleva un control de la produccin por persona? Si NO
29. Quin revisa esle control?
30. Existen instruocooesescritas para capturar cada aplicacIno. en su defec-

to, existe una relacin de programas? SI NO
Vase en la figura 5.1 un ejemplo del formato de mesa de control.

Los sistemas en lnea, redes y comunicacin son evaluados en la seccinde
sistemas, y esta evaluacin debe ser confirmada con el usuario.
CONTROL DE OPERACiN
La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuerte-
mente afectados por la caIidad e integridad de la documentacin requerida par'
la informacin inv- 165
)I1lml.) FIgura 5.1. Mesa de control CONTROLES
sr NO
nas. se custodian FECHA HOJA DE

Si NO SISTEMA
tiempo se guarda?
ido a mafa codfi-

!OOREOCIN FORMUL
I
si NO RECEPCiN
NUM. DOCUMENTOS FUENTE ORIGEN FRECUENCIA HORA LIMITE
en la cual se indl-
In? Sf NO
COn los documen-

SI NO
idos los listados?

Si NO
les?
Si NO
ervibles?
Si NO OPERAQOH: REVl$AR_ CAPTURAR. PFlOCESAA. ETC. TIEMPO PERSONAL HOFIA SAL
11
si NO
Si NO
INSPECCiN DE 'REVISIN
ts en la informa-
si NO
SI NO
o, en su defec-
Si NO
control.
.en la seccin de
RePORTE REPORTE REPORTE
OISTAI8uC.OfA_ HORA_ OSSTRIBUC.oi,,- HORA_ OlSl'RI6UC, otA._ HOAA _
Q se venfuerte-
requerida para
166
el proceso en la computadora. Los instructivos de operacin proporcionan
CAPITULO 5 operador informacin sobre los procedimientos que debe seguir en situacial
EVALUACIN
DEL PROCESO normales y anormales del procesamiento, y si la documentacin es incompl;
DE DATOS o inadecuada lo obliga a improvisar O suspender los procesos mientras in,!!!
y DE lOS EOUIPOS ga lo conducente, generando probablemente errores, reprocesos, desperdi...
DE CMPUTO
de tiempo de mquina; se incrementan, pues, los costos del procesarneno
datos.
Debemos de considerar la operacin de los sistemas en lnea, los ro
deben de estar residentes en todo momento, COnsu correspondiente sistema
comunicacin, mientras que en cuanto a los sistemas en lote (batch) se d~
planear y programar su operacin. Para lograr esto existen instalaciones 'i"
tienen equipos de computacin y comunicacin dedicados exclusivamere s. Exi
los sistemas en lnea, y otros equipos dedicados nicamente a proceso enloi<.
(batch). 10. Exi
El objetivo del siguiente ejemplo de cuestionario es sealar los procedimiet tado
tos e instructivos formales de operacin de sistemas en lote (batch), analizar. gan
I Sistemas en lote
estandarizacin y evaluar el cumplimiento de los mismos.
~ .
1. Existen procedimientos formales para la operacin del sistema de cmp~
~ Pr
Se
2. Esos procedimientos describen detalladamente tanto la organizacin de~ Otr
sata de mqeinas como la operacin del sistema de cmputo?
sl ..:>
12.L
3. Estn actualizados los procedimientos? Si ..:> an
4. Indique la periodicidad de la actualizacin de los procedimientos:
Semestral (
Anual (
Cada vez que haya cambio de equipo {
S. Observe la forma en que est operando la mquina, cmo se distribuyen

los trabajos en lotes? Cul es el limite de trabajos en lotes y si se tieneun
adecuado orden y control en los procesos por lotes? Si NO
6. Indique el contenido de los instructivos de operacin para cada aplicacin:

16.
Identificacin del sistema. ( )
Periodicidad y duracin de la corrida. ( )
Especificacin de formas especiales. ( ) 17.
Etiquetas de archivos de salida, nombre del archivo
lgico y fechas de creacin y expiracin. ( )
Instructivo sobre materiales de entrada y salida. ( ) 18.
Attos programados y las acciones requeridas. ( )
Instructivos especficos para los operadores en caso de falla
del equipo. ( ) 19.
Puntos de reinicio, procedimientos de recuperacin
para proceso de gran duracn o criterios. ( )
'oporcionnn ni Identificacin de todos los dispositivos de 167
ensituaciones la mquina a ser usados. CON'ffiOLES
esincompleta Especificaciones de resuHados
entras invest- (cifras de control, registros de salida por archivo, etc.). )
Instruchvos de plan de contingencia. )
s, desperd icio
InstructIVOsde procedimientos de recuperaCIn. )
:esamiento de
7. EXistenrdenes de proceso para cada cornda en computadora (Incluyendo
ea, los cuales pruebas, compilaciones y producoo)? SI NO
ite sistema de
>atch) se debe 8. Son suficientemente claras para los operadores estas rdenes?
alaciones que si "O
usivamentc a
9. Existe una estandarizacin de las rdenes de proceso? si NO
oceso en lotes
10. Existe un control que asegure la jushficacin de los procesos en el compu-
prooedimien- tador? (Que los procesos que se estn trabajando estn autorizados y ten-
'1 analiza su gan una razn de ser procesados. Si NO
n. Cmo programan los operadores los trabajos dentro de ta saJa de mqui-

nas?
de cmpu-
NO
Primero que entra, primero que sale.
Se respetan las prioridades.
aCIn de la Otra (especifique).
t 2. Los retrasos o Incumplimiento del programa de operacin diaria. se revisa y

analiza? Si NO
13. Quin reVIsa este reporte en su caso?
t4. Cmo controlan loS Operadores las versiones correctas y cmo se identifi-
can las que son de prueba?
distribuyen
le tiene un 15. Analice la eltclencia con que se ejecutan los trabajos dentro de la sala de
NO mquinas, tomando en cuenta equipo y operador, mediante una Inspeocln
visual, y desenba sus observaciones.
picacin:
) 16. Existen procedimientos escritos para la recuperacio del sistema en caso

de~~ & NO
)
) 17. Cmo se aciua en caso de errores?
( )
( ) 18. Existen Instrucciones especficas para cada proceso, con las Indicaciones
( ) pertinentes? si NO
19. Se tienen procedimientos especficos que Indiquen al operador qu hacer

cuando un programa interrumpe su ejecucio u otras difICultades en pro-
ceso? si NO
163 35. S
20. Puede el operador modlhcar los datos de enlrada? NO
CAPITulO 5 ruf
EVALUACiN 21. Se prohibe a anahstas y otro personal ajeno al rea la operacin de la ma-
DEL PRDCESO
quina? Si NO
DE DATOS
Y DE lOS EOUIPOS
DE CMPllTO 22. Se prohibe al operador modilicar inlormacin de archivos O biblioteca de
programas? si NO
36. ~~
23. El operador realiza funciones de mantenimiento diano en dispositivos que
as lo requieran? SI NO 37. E
h~
24. Las Intervenciones de los operadores: m
Son muy numerosas? si NO
Se hmrtana los mensajes esenciales? si NO
Otras? (espeahque). si NO
39. O
25. Se tiene un conlrol adecuado sobre los sistemas que estn en operacin?
Si NO
40.Q
26. Cmo se controlan los trabajos dentro de la sala de mquinas?
41. O
27. Se rota al personal del control de informacin con los operadores. proeu- mo
rando un entrenamiento cruzado y evitando la manipulacin fraudulenta de
datos? Si NO
42.M~
28. Cuentan los operadores con una bitcora para mantener registros de cual- en
quier evento y accin tomada por elios?
SI 43.lnd
Por mquina () are
Escnta manualmente () pr(
NO
29. Venfican que eXista un registro de funcionamiento que muestre el bempo 44. E
de paros y mantenimiento o instalaciones de software? SI NO 101
30. Existen procedimientos para evitar las corridas de programas no autori

zados? SI NO
45 :j
Po
31. Existe un plan definido para el cambio de tumo de operacin que evite el Po
descontrol y discontinuidad de la operacin? SI NO Ot
32. Verifican que soa razonable el plan para coordinar el cambio de turno? 46. O
Gf NO
33. Se hacen InspeccoonespendlCaSde muestreo? NO

47 "
e
34. Enuncie los procedimientos mencionados en el mciso antenor.
35.Se controla estrictamente el acceso a la documentacin de aplicaciones
169
rulinaas? Si NO CONTROlES
Cmo?
~ de
36. Verifican que los privilegios del operador se restrinjan a aquellos que le son
asignados a la clasificacin de seguridad de operador? si NO
que
37_ Existen procedimientos formales que se deban observar antes de que se
hayan aceptado en operacin. sistemas nuevos o modificaciones a los mis-
mos? si NO
38. Estos procedimientos incluyen corridas en paralelo de los sistemas modifi-

cados con las versiones anteriores? si NO
39. Durante cunto tiempo?

n?
40. Que precauciones se toman durante el penodo de implantactn?
4t. Quin da la aprobacin formal cuando las corridas de prueba de un sistema

cu- modificado o nuevo estn acordes con los Instrucllvos de operacin?
de
42. Mencione qu instructivos se proporcionan a las personas que inlervienen

JaJ- en la operacin rutinaria de un sistema.
43. Indique qu tipo de controles se tieneh sobre los archivos magnticos de los
archivos de datos, que aseguren la ubhzaci6n de los datos precisos en los
procesos correspondientes.
po 44 Existe un lugar para archivar las bitcoras del sistema del equipo de cmpu-
to? sr NO
45. Indique cmo est organizado este archivo de bllcora.

ri
Por fecha
Por fecha y hora
el Por lurno de operacin
Onos
46. Cul es la utilizacin sistemtica de las bitcoras?
47 Adems de las mencionadas antenormente. qu otras fUllCIoneso reas se

encuentran en ta sala de mquinas actualmente?
170 48. Se verilica que se lleve un registro de utilizacin del equipo diario, sislem81
CAPiTULO 5 en lnea y batch, de tal manera que se pueda medir la eficiencia del uso ~e
EVAlUACiN equipo? si >x,
DEL PROCESO
DE DATOS
Y DE lOS EQUIPOS 49. Se tiene un mventano actualizado del total de los equipos, de su locaiIl;
DE cOMPUTO ci~ ~ ~
50. Cmo se controlan los procesos en lnea?
51. Se tienen seguros sobre todos los equipos? Si
Con qu compaa?
Solicitar plizas de seguros y verificar tipo de seguro y montos.
52. Cmo se controlan las llaves de acceso (password)?
Se debe verifica r que el instructivo de operacin contenga los siguienle

datos:
Diagramas.
Mensajes y Su explicacin.
Parmetros y su explicacin.
Frmulas de verificacin.
Observaciones e instrucciones en caso de error.
Calendario de proceso y de entrega de resultados.
CONTROL DE SALIDA
Se ofrece el siguiente cuestionario en relacin con el control de salida:
1, Se tienen copias de los archivos magnticos en Olros locales?

Si NO
2. Dnde se encuentran esos locales?
L
clones
3. Qu seguridad flslcs se tiene en esos locales?
les inf
S
4. Qu confidencialidad se tiene en esos locales? na pa
rados
171
stemas 5. Quin entrega los documentos de salida de los procesos en lotes (batch)?
uso del CONTRO~ES
"O
6. En qu forma se entregan?
xanza-
NO
7. Qu documentos?
Sistema Documentos A quin se Periodicidad Observaciones

entregan
NO
8. Qu controles se tienen?
Sistema Control Observaciones Comentarios
9. Se tiene un responsable (usuano) de la informacin de cada sistema en

linea y en lotes (batch)? si NO
10. C6mo se atienden solicitudes de Inlormacl6n a otros usuarios del mismo

sistema?
guentes 11. Se destruye la informacin no utilizada, o bien qu se hace con ella?
Destruye ( 1 Vende ( 1 Tira ( 1 Otro ( 1
CONTROL DE ASIGNACiN DE TRABAJO

Estaparte se relaciona con la direccin de las operaciones de la computadora en
trminosde la eficiencia y satisfaccin del usuario. Esta seccin debe ser com-
parada con la opinin del usuario. La funcin clave del personal de cargas de
mquinaest relacionada con el logro eficiente y efectivo de varios aspectos:
Satisfacer las necesidades de tiempo del usuario.

Ser compatible con los programas de recepcin y transcripcin de datos.
Permitir niveles efectivos de utilizacin de los equipos y sistemas de opera-
cin.
Volver la utilizacin de los equipos en lnea.
Entregar a tiempo y correctamente los procesos en lotes (batcli).
La experiencia muestra que los mejores resultados se logran en organiza-

cionesque utilizan sistemas formales de programacin de actividades, los cua-
les intentan balancear los factores y medir resultados.
Se debern evaluar losprocedimientos de programacin de cargas de mqui-
na para determinar si se ha considerado atenuar los picos de los procesos gene-
rados por cierres mensuales, O bien los picos de los sistemas en lnea, y poder
172 balancear las cargas de trabajo de lotes (bate") y lnea, dando prioridad
CAPiruLOS
EVAlUACIN
DEl. PROCESO
OE DATOS
los procesos en lnea, o contar con equipos que permitan en forma independio
te cumplir con las necesidades de procesos en linea, COnsu comunicacin.
procesos en lote.
Ca
y OE LOS eoulPOS
De COMPUTO
En relacin COnlos programas de trabajo proponemos el siguiente
nario:
DE J
Los di
1. Opera la sala de mquinas sobre la base de programas de trabajo? Cfl'P
SI NO podr~
mo c.
2. Ind.que los penodos que abarcan los programas de trabajo.
nca b.
de .,11
3. Indique el puesto o departamento responsable de la elaboracin de los pro- cron d
gramas de trabajo. (borr,
A
p
Vt,)S
4. Se cambian frecuenlemente los programas de trabajo? NO m,
5. Cuf es la causa pnncrpat?
6. Se comunica oportunamente a los usuarios las modificaciones a los progra.

mas de trabajo? SI NO
Cmo se comunican?
7 Dentro del programa de trabajo de fa maqu na. se benen preVistas
Demandas inesperadas? ( )
Fallas de la mquina? ( ) 2
Soporte de los usuarios? ( )
Mantenimiento prevenhvo? ( )
Otras? (especifique). ( )
8. Con qu frecuencia se aSigna fa computadora. en su totalidad o en un gran

porcentaje, para una sola aplicaCin (la de mayor utilizacin)?
9. Espooflque los elementos que sirven como base para programar las cargas
de mquina
Se deber procurar que la distribucin fsica del equipo sea funcional, que
la programacin de las cargas de mquina satisfaga en forma efcaz al usuario,
Asimismo, se tendr cuidado con los controles que se tengan para la utilizaciII
de equipo y que el mantenimiento satisfaga las necesidades.
oridad a 173 _ __..
-pendicn- CONTROLES
in, y con CONTROL DE MEDIOS
e cuesto- DE ALMACENAMIENTO MASIVO
los dispositivos de almacenamiento representan, para cualquier centro de
cmputo, archivos extremadamente importantes, cuya prdida parcial o total
podra tener repercusiones muy serias, no slo en la unidad de informtica,
sino en la dependencia en la cual se presta servicio. Una direccin de inform-
tica bien administrada debe tener perfectamente protegidos estos dispositivos
de almacenamiento, adems de mantener registros sistemticos dc la utiliza-
cinde estos archivos, dc modo que sirvan de base a los programas de limpieza
os pro- (borrado de informacin), principalmente en el caso de las cintas.
Adems, se deben tcner perfectamente identificados fisicarnente lo arch-
vOS para reducir la posibilidad de utilizacin errnea o destruccin de la infor-
macin
Un manejo adecuado de estos dispositivos permitir una operacin ms
eficiente y segura, mejorando adems los tiempos de proceso.
El siguiente cuestionario puede ser extensivo a todo tipo de almacenamiento
magntico; como ejemplo de formato para el anlisis de archivos, vase figura 5.2.
proqra-
NO 1. los locales asgnados a almacenamientos magntICOStienen:
Aire acondICIOnado. )
Proteccln contra el fuego
(seaar qu tipo de proteccin).
Cerradura especial.
Otro.
2 Tienen el almacn de archiVOSproteccin aulomtica contra el fuego?

SI NO
(Sellalar qu tipo.)
3. Qu Informacin mlnima contiene el invenlarlo de la elntoteca y la disco-

JO gran leca?
Nmero de serie o carrete. ( )

Nombre o clave del usuario. ( )
cargas Nombre del archivo lg,CO. ()
Nombre del sistema que lOgenera. ()
Fecha de generacin del archiVO. ()
Fecha de expiracin del archivo. ()
Nmero de volumen. ( )
onal, que Otras. ( )
Iusuario.
tilUacin 4 Se venflC8ncon frecuenc,a la vahdez de los Inventarios de los archovos
magnticos? S< NO
174
5. En caso de exiStir discrepancta entre archivos y su contenido. se resuelvetl
CAPiTuLO 5 y explican salisfactonamente las discrepancias? SI NO
EVALUACIN
DEL PROCESO
DE DATOS
6. Qu tan frecuenles son estas discrepancias?
y DE LOS eoulPOs 18.~~
De CMPUTO
7. Se tienen procedimientos que permitan la reconstruccin de un archivo en
cinta o disco. el cual fue inadvertidamente destruido? si NO 19. ,
COl
8. Se tienen identificados los archivos con informacin confidencial y se euen-
ta con claves de acceso? Si NO
Cmo?
9. Existe un control estricto de las copias de estos archrvos? 81 NO

22. E
10. Qu medio se UldlZ8para almacenarlos?:
Mueble con cerradura.

Bveda. No
Otro (especifique).
Fe
Fe
11.Este almacn eSl slluado: A<
Fa
Cil
En el mismo edificio de la direccin de informtica.
En otro lugar. ce
Ambos. N
o
12. Se borran los archivos de los dispositivos de almacenamiento. cuando se
desechan stos? SI NO 23. I
ti
Cules?
24.
13. Se certifica la destruccin o baja de los archivos defectuosos? to
SI
25.
14. Se registran como parte del inventario los nuevos elementos magntico$
que se reciben en la biblioteca? si NO
26. i
15. Se tiene un responsable. por tumo. de los archivos magnticos?
si NO
27. El
16. Se realizan auditarlas peridicas a los medios de almacenamiento? P1
Con qu periodeidad?
Si NO
28. :l
175
I8lven 17 Qu medidas se toman en el caso de extravlo de algun dISpositivo de alma-
CONTROLES
cenamlenlo?
18. Se restnge el acceso a los lugares asignados para guardar los dIspositi-
vos de almacenamtento. a cargo de personal autonzaoc? SI NO
Yo en
19. Se tiene relacin del personal autorizado para firmar la salida de archivos
1'0
conlldenciales? Si NO
cuen-
.., 20. ExIste un procedImiento para registrar los archivos quo se prestan y la fe-
cha en que se devolvern? SI NO
2t. Se lleva control sobro los archivos prestados por la Instalacin?

SI NO
NO
22. En caso de prstamo. con qu informaCIn se documentan?
FORMATO PARA PRSTAMO
Nombre de la Instrtucin a qutOn se hace 01 prstamO.
Fecha de recepcin ( )
Fecha en que so debe devolver ( )
ArchIVOSque contiene ( )
Formatos ( )
Ctfras de control ( )
Cdigo de grabacin ( )
Nombre del responsable que los prest ( )
Otros ( )
jo se
23. Indique qu procedimienlo se sigue en el reemplazo de las cintas que con-
tienen los archivos maestros.
24. El cintotecano controla la cinta maestra anterior prevIendo su uso Incorrec

to o su eliminacin prematura? SI NO
25. La operacin de reemplazo es controlada por el cintotecao?

Si NO
itJcos
110
26. Se utiliza la pouuca de conservacin de archivos hijo-padre-abuelo?
Si NO
27_ En los procesos que manejan archIVOS en linea, existen procedImIentos

para recuperacin de arctuvos? Si NO
28, ESIOSprocedimlenlos los conocen los operadores? Si NO
Cmo los consIgue?

176 1'1 torce
29. Con qu periodicidad se revisan estos procedimientos?
CAPiTULO
5 ~llJlIl'Jen el
EVALUACiN Mensual. ( ) un.1 l otiza
DEL PAOCESO refaccione
DE DATOS
Anual. ( )
Y DE lOS EOUIPOS Semestral. ( ) tadora P<?I
DE Cl.lPUTo Otra. ( ) Al eval
po ..s el qu
30. Existe un responsable en caso de falla? Si m detalle
tivid.id y ~
31. Explique qu politicas se siguen para la obtencin de archivos de respaldo. In." que se
Paro p.
(c.lotro) so
32. Existe un procedimienlO para el manejo de la infonnacin de la cintoteca'
Para e
Si NO
pueden uti
33. Lo conoce y lo sigue el cmtotecano? SI
1
34. Se distnbuyen en lonna peridica entre tos J9les de sistemas Informesde
aretnvos para que liberen los disposmvcs de almacenamiento?
Si NO
2 E'J
Con qu frecuencia? 51st
3 Se
El objetivo del cuestionario ~'5evaluar la (arma como se administran 4 Exl
dispositivos de almacenamiento bsico de la direccin. Al sealar ardu
magnticos nos referimos a Cintas,discos, disquetes, CD, OVO y cualquier 5 SI
medio de almacenamiento masvo de informacin.
CONTROL DE MANTENIMIENTO
Existen bsicamente tres Iipos de contrato de mantenimiento. El contrato~
mantenimiento total, que incluye el mantenimiento correctivo y preventivo
cual a su vez puede dividirse en aquel que incluye las partes dentro del rontr..
to y el que no las incluye. El contrato que incluye refacciones es propame=i
como un seguro, ya que en caso de descompostura el proveedor debe propor'
clonar las partes sin costo alguno. Este tipo de contrato es normalmente el m.il
caro, pero se deja al proveedor lo responsabilidad total del mantenimiento. C
excepcin de daos por negligencia en la utilizacin de los equipos. (Estetipo
de mantenimiento normalmente se emplea en equipos grandcs.)
El segundo tipo de mantenimiento es "por llamada", en el cual se llama
proveedor en caso de descompostura y ste cobra de acuerdo a una tarifa) I
tiempo que se requiera para componerla (casi todos los proveedores incluye 1. Se
SIS
1.'11 la cotizacin de compostura el tiempo de traslado de su oficina a donde.
en
encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye roh,
cienes.
(Soj
El tercer tipo de mantenimiento es el que se conoce como "en banco", y es 177
aquelen el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace CONTROLES
tina cotizacin de acuerdo con el tiempo necesario para su compostura, ms las
refacciones (este tipo de mantenimiento puede ser el adecuado para compu- Tipos
~ldoraspersonales). de mantenimiento
Al evaluar el mantenimiento debemos primero analizar cul de los tres ti-
pos es el que ms nos conviene, y en segundo lugar pedirlos contratos y revisar
con detalle que las clusulas estn perfectamente definidas, que no exista subje-
tividad y que haya penalizacin en caso de incumplimiento, para evitar contra-
paldo. lOSque sean parciales hacia el proveedor.
Para poder exigir el cumplimiento del contrato se debe tener un estricto
control sobre las fallas, la frecuencia y el tiempo de reparacin.
Para evaluar el control que se tiene sobre el mantenimiento y las fallas se
pueden utilizar los siguientes cuestionarios:
Especifique el tipo de contrato de mantenimIento que se hene (solicitar copla

es de del contrato).
NO
2. Existe un programa de mantenimiento preventivo para cada dispositivo del
sistema de cmputo? Si NO
3. Se lleva a cabo tal programa? Si NO
tran los
4. Existen tiempos de respuesta y de compostura estipulados en lOScontratos?
rchivos sr NO
uer otro 5. SI los tiempos de reparacin son superiores a los estipulados en el contrato,
qu acciones correctivas se toman para ajustarlos a lo convenido?
6. Solicite el plan de manterurniento preventivo. que debe ser proporcionado

por el proveedor.
7. Existe algn tipo de mantemmeoto prevennvo que pueda dar el operador

autorizado por et proveedor? si NO
rato de
uvo, el Cul?
contra-
amente
Cmo se notifican las fallas?
~ropor-
'elms
lento a Cmo se les da seguimiento?
ste tipo
lama al CONTROL DE FALLAS

ita Y al
iduyen 1. Se mantienen registros actualizados de las fallas de los dispositivos del
sisterna de cmputo y servicios aUXIliares(aire acondicionado. sistema de
mde se
energra Ininterrumpida. etctera)? si NO
refac- [Solicitar los registros de tos ltimos seis meses.)
178
Figura 5.2. Anlisis de archivos 2
CAPITuLO 5
EVALUACION FUNCIOO
DEL PROCESO
DEOATOS NOMBREOELARCHNO ,
y DE LOS EOUtPOS nPODE ARCHNO' __
DE COt.IPVTO
DESCRIPCtOH _
3
LOCAI.llACION _
VOLUMEN DE ARCHWOS __
VOLUMEN DE ACTUALllACtOH FRECUENCIA ___
EN VIGOR DESDE _
CLASIFICADO POR _ 4
DOCUMENTOS o INFORMES A OUE DA ORIGEN _
OTROS _
USUARIO uso FRECUENCIA

6
CONTENIDO DEL ARCHIVO
FECHA RECOPILO REVISO

Eva
PGINA DE
Cu
dad
10 p
lac
que
lml
2 Es posible Idenllflcar por medio de estos registros los problemas ms 179
recurrentes o las fallas mayores que afectan en forma determinante el CONTROLES
lunclonamiento de la sala de mquinas? ,. u:>
El .Cmo se lenbflcsn?
3. Tiempo de respuesta promedio que se ha tenido con el contrato de manteo-

fIlIE!nto(bempo de respuesta es el penado entre la notifocaci6n o aviso de la
eXIStenciade un problema y la llegada del personal tcnico que reaz las
reparaciones del equ po).
CYlesson las act,tudes de los ingenieros de servicio que mantienen sus

equopos?
5. Cul ccnsicera que es la competencia tcnica de los ingenieros de servicio

que dan mantenimiento a sus eqUipoS?Por qu?
6. Cul es el tiempo promedio que toma investigar y resolver el problema?
7. Cul es la disponibilidad de refacciones necesarias para dar mantenimien-

to a sus equipos?
8. Cul es la efecllvldad del proveedor para resolver sus problemas de mante-

nimiento?
9. Cules son las medidas da mantenimiento prevenhvo realizadas al dar ser-

VICIO a Su equipo?
tO. Cul es en general la calidad de los servicios ofrecidos bajo su 'Contrato de

mantenimiento"?
Evaluacin del mantenimiento
Cuando se evala la capacidad de 10$equipos, no se debe olvidar que la capaci-

dad bruta disponible se deber disminuir por las actividades de mantenimien-
to preventivo, fallas internas y externas no previstas, y mantenimiento e insta-
lacin de nuevos sistemas.
El enfoque de esta seccin se orienta a evaluar, mediante los controles
que se tengan en la direccin, la utilizacin del sistema de cmputo. Un con-
trol adecuado permitir sustentar slidamente cualquier solicitud de expan-
sin de la configuracin presente. Se debe tener control de las fallas y del
180 mantenimiento no slo del equipo central, sino del total de los equipo-
CAPITuLO 5 cluyendo computadoras personales, impresoras, equipo de cornunicacn
EVALUACIN perifricos.
DELPAOCESO Elsiguiente cuestionario sirve para evaluar el mantenimiento:
DEOATOS 4
y DE !.OS EOUIPOS
DE CC)o.tP\ITO 1 Indtque los regIstros que se llevan de la utilizacin del sIstema de ~
(especificando la penod'lCIdad).
Ttempo de prueba de programas. )

TIempo dedICado a produccin. )
Tiempo dedICado a mantenimiento correctivo del sistema operauvo. ( )
Tiempo dedICado a mantenimiento preventivo. ( )
Tiempo de falla de los dispositivos del SIstema de cmputo. ( )
TIempo de uso de cada unidad de cinta ( )
Tiempo ocioso. ( )
Tiempo de uso de impresora. ( )
Tiempo de reproceso. ( )
Tiempo de la computadora utilizado en demostraciones. ( )
TIempo de falla por servicios auxiliares. ( )
2. Anote los SIguientes datos:
Tiempo promedio de operaciones por dia. hrs

5
Tiempo promedio de respuesta para programas de produccin. hrs
Nmero promedio al dia que se consideran como horas de proouccn.
Nmero promedio de trabajos en cola de espera de ejecucin en horas pico.
6
Numero promedio de trabajos en cola de espera de impresin en horas poco
Nmero promedIO de trabajOs de ejecucIn en horas pico.
3. Evale la relaCInde uso de impresoras respecto a la mezcla de IrabaJO

Determme $j se debe: 7.
Incrementar el nmero de Impresoras. ( )

Restaurar las cargas de trabajo.
Ubllzar otro upo de salidas (dderentes a impresoras).
(
(
)
)
8
Ubllzar Impresora de mayor velocidad. ( )
Es excesivo el volumen de impreS1n? SI NO
En caso de contestar si. seale las causas:
Reportes muy largos. ( ) 9

Reportes no utilizados. ( )
Procesos en lote que deben estar en linea. ( )
Otros (especlficar cules). ( ) 10
ipos, in- 181
Especificar si existen procesos que deben cambiarse de batch a lnea o
cacin y viceversa. CONTROLES
4. Evale la utilizacin del sistema de cmputo a travs de las siguientes rela-

tputc ciones:
SI el liempo ocioso excede el 35%.

El equipo instalado puede estar sobrado de capacidad para la carga de Ira-
bajo actual.
Si el tiempo de mantenimiento al equipo sobrepasa el 5%.
Se deber exigir al proveedor que mejore la calidad de soporte de manteni-
miento.
SI el nempo de falla del sistema de ompulo es mayor al 5%.
Se le deber exigir la reparacin y disminucin de los tiempos de falla al
proveedor.
ffC)TA:t:stos son solamente ejemplos de tactores que pueden obtenerse. los

cuales pueden ser ampliados. y los porcentajes dependern del tipo de equi-
po y la experiencia que se tenga.
(Esta seccin est orientada a revisar las acciones que realiza la direccin
de informtica para evaluar, mantener y audilar los sistemas implantados.)
hrs.
5. Indique qu lipo de evaluacin se realiza a los sistemas implantados:
hrs.
Ninguna. ( ) De objelivos. ( 1
Econmica. ( 1 De oportunldad. ( 1
De beneficios. () De operacin. ()
Otros (especificar). ( )
ico.
6. Indique qu Instructivos se elaboran:

leo.
Inlemo del sistema (help). ( De caplacin. 1
Del usuario. ( De operacin. )
Otros (espeCificar). (
ljO.
7. Qu porcentaje del personal de programacin se dedica a dar manteni-
miento a los sistemas existentes?
8. El responsable del rea de produccln formula las estadisticas de utiliza

cln de equipos, mostrando la frecuencia de fallas de tos mismos y las esta-
disllcas de produccin por aplicacin? (Especifique omo se realiza y d un
eJemplo.) Si NO
9. En qu porcentaje se cumplen los calendarios de proctuocin?
10. Existen:
182 Programadores que utilizan el equipo o el tiempo para aplicaciones ajss
CAPITULO 5 a la organizacin.
EVALUACiN Personal que utiliza la computadora para trabajos personales, tral,ajQ!,~1
DEL PROCESO autorizados o juegos.
DE DATOS
y DE LOS EOUlPOS Programas que, por estar mal elaborados (generalmente cuando se
DE CMPUTO grandes archivos), degradan la mquina.
Degradacin del equipo por fallas en equipos perifricos. La cOlnp'utalilr'
puede considerarse como un proceso en lnea el cual, al fallar alguna
unidades principales (memoria, unidad cenfral), no permite la utiliZ<lcicn
del resto del equipo. Pero existen unidades secundarias (cintas, impresora,
terminales, discos) que al fallar provocan que se vea reducida la posibili
dad de utilizacin del equipo.
I Ejemplo Si tenemos una impresora y se descompone, un alto porcentaje de utilizacin

del equipo se ve disminuida, aunque el proveedor oonsidere que slo una
unidad secundaria fue la daada. Lo mismo sucede si se tienen dos unidades
de disco y se descompone una (en caso de tener slo una unidad de discos,
la falla es total).
Para controlar este tipo de degradacin se puede tener un reporte que

contenga:
e Dispositivo que integra la configuracin del equipo (por ejemplo, cinta

disco, impresora).
Nmero del dispositivo; si tenemos por ejemplo 2 cintas, se anota 1 y2,
dependiendo de cul fue la que fall.
o Tipo de falla. Se anotar una buena descripcin del tipo de falla, para lo
cual se puede elaborar un catlogo.
e
Porcentaje de degradacin. Este dato deber ser anotado por los res-
ponsables de la direccin de informtica basndose en la experiencia y
en las implicaciones que tenga en el sistema total (por ejemplo, si se
tienen 2 unidades de disco la degradacin es del 50%, si se descornpo-
nen las dos es el 100% y si se tiene slo una, tambin el 100%; en el caso
de la impresora Si se tiene slo una puede ser el 66.6%, etc.),
o
Nmero de horas que dur la falla, desde el momento de la descomo
postura hasta el momento en que la entregue reparada el proveedor.
ORDEN EN El CENTRODE CMPUTO

Una direccin de informtica bien administrada debe tener y observar reglas
relativas al orden y cuidado de la sala de mquinas. Los dispositivos del siste-
ma de cmputo y los archivos magnticos pueden ser daados si se manejan en
forma inadecuada, lo que puede traducirse en prdidas irreparables de infor-
macin O en costos muy elevados en la reconstruccin de archivos. Por ello, se
deben revisar las disposiciones y reglamentos que coadyuven al mantenmien-
Cuidado de la to del orden dentro de la sala de mquinas.
sala de mquinas El siguiente cuestionario ayuda a evaluar el orden que existe en la sala de
maquinas.
!S ajenas
1. Indique la periodicidad con que se hace la limpieza de la sala de mquinas y 183
de la cmara de aire que se encuentra abajo del piso falso y los doctos de aire: EVALUACiN
bajos no DE LA CONFIGURACION
DEL SISTEMA
Semanalmente. ( ) Qulncenalmente. () DE CMPUTO
se usan Mensualmente. () Bimestralmente. ()
No hay programa. ( ) Otro (especifique). ()
utadora
la de las
hzacin 2 Existe un tugar asignado a las cintas y diSCOSmagnticos? Si NO
'resoras, 3 Se tiene asignado un lugar especifico para papeleria y utensilios de tra-

posibih- bajo? SI NO
4 Son funcionales los muebles aSIgnados para la cintoteca y discoteca?

ciclo SI NO
una
Ides 5 Se tienen disposiciones para que se acomoden en Su lugar corresporsnen-
COSo te. despus de su uso. las cintas. los discos magnticos. ta papelera, etc
tera? SI NO
Jrte que 6. Indique la periodicidad con que se limpian las unidades de cinta:
Al cambio de turno. () Cada semana. ()

o, cinta, Cada da. () Otra (especificar). ()
ltaly2,
7 EXisten prohibiciones para lumar. tomar alimentos y refrescos en la sala de
mquinas? $1 NO
para lo
8. Se cuenta con carteles en lugares IlSlbles que recuerden dicha prohibiCIn?
los res- si NO
ienca y
]0, si se 9. Se bene restringida la operacion det sistema de cmputo nicamente al
compo- personal especializado de la direccin de Informtica? Si NO
rel caso
10. Mencione los casos en que personal ajeno al departamento de oparacln
opera el sistema de cmputo.
lescom-
eedor.
11. Evale los niveles de iluminacin y ruido y seate cuando estn fuera del
rango estipulado en los estndares.
r reglas
el siste- EVALUACiN DE LA CONFIGURACiN
leJan en
e infor-
ello,se DEL SISTEMA DE CMPUTO
nimien-
Los objetivos son evaluar la configuracin actual, tomando en consideracin las
saja de aplicaciones y el nivel de uSOdel sistema, evaluar el grado de eficiencia con el
cual el sistema operativo satisface las necesidades de la instalacin y revisar las
184 polticas seguidas por la unidad de informtica en la conservacin de su progr"
CAPITuLO 5
moteca.
EVALUACiN
DEL PROCESO
DE DATOS

Esta seccin est orientada a:
Evaluar posibles cambios en el hardware a fin de nivelar el sistemade

-
v DE LOS EOUIPOS Elo~
DE CMPUTO cmputo (computadoras, unidades perifricas, redes, sistemas de comuni .rea
cacin) con la carga de trabajo actual, O de comparar la capacidad instalad,
con los planes de desarrollo a mediano y largo plazos.
1
Evaluar las posibilidades de modificar el equipo para reducir el costo
bien el tiempo de proceso.
Evaluar la utilizacin de los diferentes dispositivos perifricos. 2
Ofrecemos el siguiente cuestionario, que sirve para hacer esas evaluaciones
del sistema de
1. De acuerdo con los toemposde Ulilizacin de cada diSPOSitiVO
cOmputo. existe eqUipo:
Con poco uso? Si NO 4

Ocioso? Si NO
Capacidad superior a la necesaria? SI NO
Describa cul es: 5
2. El equipo mencionado en el inciso anterior puede reemplazarse por otro 6

ms rpido y de menor costo? .. NO
3. El sistema de cmpUlo tiene capacidad de red? SI NO
4. Se uhlozala capacidad de red? 7
5. En caso negatiVO,exponga los motivos por los cuales no se ubllza la red.
6. Especifique qu sistema de comunicaCin se tiene.
7. Cunlas terminales, computadoras personales, penfricas. se tienen co- 1

nectadas al sistema de cmputo?
1 .
Cantidad
Tipo _
1
8. Se ha Investigado si elliempo de respuesta saustaee a los usuarios?
SI NO
9. IndIQue si eXisten pofltocaS para aplicaciones soportadas en red:
Tamai'lo mximo de programas. SI NO

Nmero de archivos. SI NO
1
Tamai'lo mximo para cada archivo. si NO
Nivel de acceso. SI NO
10. El afmacenamlento mximo del sistema de cmputo es suflcl8nte para aten-

der el proceso por lotes y en nea? SI NO
progra- 185
PRODUCTIVIDAD PROOUCT1VIDAD
ema de
omuni-
Elobjetivodel siguiente cuestionario es evaluar la eficiencia con que opera el
aren de captacin y produccin.
stalada
1. Verifique que se cuente con una descripcin completa de los trabajos que se
tosto o corren y la descripcin de las caracterfsncas de carga.
2. Verifique la existencia de un pronstico de cargas o trabajos que se efectua-

rn durante el ao, con el objeto de que se prevean los picos en las cargas
dones: de trabajo y se puedan distnbuir adecuadamente estas cargas.
ade 3. Se tiene un programa de trabajo dlano? ,Semanal? Anual?

SI NO
, 4. En caso de que no se tenga la programacin diana, cmo se realiza la

) produccin?
)
5, Venfique que se contemplen dentro de los planes de produccin periodos de

mantenimiento preventivo.
otro 6. Verifique que se disponga de espacto y ompo para realizar corridas espe
erares,corridas de prueba de sistemas en desarrollo y corridas que deben
repelirse.
7. Venfique que se tengan definidos el espacio y el tiempo para el respaldo de

la Informacin.
t.
8. Venfique el equipo de comumcacn, caracterlsticas, nmero de usuarios y
hempo de respuesta que se obtiene en un proceso normal.
9 Se tiene una programacin del manteOimiento previo? si NO
::0- lO. Se tiene un plan definido de respaldo de la Informacin? si NO
11. Se revisa el cumplimiento de los programas de produccin establecidas?

si NO
12, Verifique que se tenga conocimiento de los prximos sistemas que entrarn
en produccin, con objeto de que se programe su incorporacin,
Si NO
13, Quin revisa estos pianes?
14, Se cumplen generalmente estos planes? Si no, explique por qu.

si NO
15. Se repiten con frecuencia oorndas por anomalfas?

186
16. Indique los estndares de produccin que se tienen en la direccin di tilos
CAPlTVLO 5 informllca.
EVALUACiN g.ln
DElPAOCESO
Por tipo de equipo ( ) prob
Por platafonne ( )
DE DATOS
y DE LOS EOUIPOS
S
DE CMPUTO 17. Existen rndlces de error aceptables para cada tipo de trabaJo? cada
los C1
SI NO
18. Cundo fue la ltima revisin de esos estndares? rcqui
tadoi
t;tuil
19. El personal de captacin conoce esos estndares? Si tado
NO
tacto
20. Indique los medios utilizados para madir la eficiencia de los operadoresde
captacin.
de d
Estadsticas mensuales de produccin por trabajo y por operador. () mere
Estadsticas mensuales de error por trabajo y por operador. ( ) requ]
Estadsticas mensuates de prodUCCInpor trabajo. ( ) tes pi
Estadsticas mensuales de error por trabajo. ( )
~
Estadrstlcas de produccin por trabajo y operador por hora. ( ) eval
Otros (especificar). ( ) cqui]
depe
tal en
21. Indique qu medida(s) se toma(n) cuando el rendimiento para un trabajo est
abajo del estndar: tadot
e
Se consulta a los operadores sobre los problemas observados pubh
en el trabaJO. ( ) ren
Se capacitan los operadores sobre el manejo del equipo. ( ) conp
Se Imparten plticas sobre el trabajo. ( ) vent
Otros ( 1 asco
B
22. Se llenen Incentivos para el personal que tenga un rendimiento superioral costo,
estndar? sr NO
tador
23. Cada cundo se Imparten cursos de capacitacin sobre fa operacin det pode
equipo? sas a
estar
nefici
24. Se registran los tiempos de respuesta a las solicitudes? Si actua
NO
25. Cul es el tiempo de respuesta promadio?
Ren!
Las e.
pra,q
PUNTOS A EVALUAR EN LOS EQUIPOS [as y
espc
supe
El equipo que se adquiere dentro de una orgamzacn debe de cumplir cont
E
esquema de adquisicin de toda la organizacin. En lo posible, se deben tener
equipos estndares dentro de la organizacin. a menos que por requerimiento>
especficosse necesite un equipo con caractersticasdistintas. Esto no implicaque
I
los equipos tengan que ser del mismo proveedor, aunque s deben tener la misma
~

cin de filosofa.Las compras por impulso u oportunistas pueden provocar que se ten- 187
gandiferentes equipos, modelos, estructuras y filosofas. Esto puede provocar PROOUCTIVIDAD
problemasde falta de compatibilidad, expansin y de confianza.
Si 110 se tienen polticas y estndares de compra de equipos de cmputo,
cada departamento o empleado puede decidir el adquirir diferentes equipos,
loscuales pueden no ser compatibles, o bien el conocimiento y entrenamiento
NO
requerirde mayor tiempo y costo. La conexin de un tipo de terminal o compu-
tadora personal a una computadora principal (mnitlfrnme) puede requerir de
equipoo de software adicional. los sistemas elaborados para un tipo de compu-
NO tadora pueden no servir en otro tipo de maquina. El mantenimiento es otro
factor que puede incrementarse en caso de no tener compatibilidad de equipos.
ores de Tener diferentes plataformas de programacin, sistemas operativos, bases Adquisicin
de datos, equipos de comunicacin y lenguajes propietarios, provoca que se de equipos
incrementen los costos, que se haga ms problemtico el mantenimiento, que se
) requiera personal con diferente preparacin tcnica, y que se necesiten diferen-
() tes programas de capacitacin.
() La posibilidad de que se pueda expandir un equipo es otro de los factores a
( )
() evaluar. Al crecer una organizacin, es muy probable que se requiera que los
() equipos tambin crezcan y sean ms rpidos. Esto es de mayor importancia
dependiendo del tamao de las computadoras, ya que es un factor fundamen-
talen los grandes equipos y de relativamente poca importancia en las compu-
ajoesta tadoras personales, debido a que no es tan alto su costo de reemplazo.
En muchas ocasiones se cambia O se compra una computadora por el factor
publicitario, sin que se tenga la evaluacin real de los equipos, o bien se adquie-
ren equipos (principalmente computadoras personales) que son ensamblados
( )
( ) con partes de diferentes proveedores a costos muy bajos. Se deber evaluar la
( ) ventaja de adquirir lo ltimo en tecnologa, contra el costo que esto representa,
( ) as como el tener equipos muy baratos pero con baja confianza en el proveedor.
En la actualidad cada da las computadoras son ms poderosas y menos
leor al costosas, y las organizaciones tambin cada da dependen ms de las compu-
NO tadoras, as es que existe la tendencia de comprar cada da computadoras ms
poderosas, sin considerar que en el futuro existirn computadoras ms podero-
cin del sas a menor precio. La decisin de adquirir o cambiar una computadora deber
estar basada en un estudio muy detallado que demuestre el incremento de be-
neficios en relacin con su costo, yen la relacin costo/beneficio de los equipos
actuales.
Renta, renta con opcn a compra o compra

Las computadoras y el software pueden rentarse, rentarse con opcin a com-
pra, comprarse, y en el caso del software, producirse. Cada una tiene sus venta-
jas y desventajas, y es funcin del auditor el evaluar en cada instalacin en
especfico por qu se escogi una opcin, y si las ventajas que se obtienen son
superiores a sus desventajas.
elr COn el El auditor deber evaluar:
,ben tener
nmentos Existe un comit de compra de equipo?
'plica que Quin participa en el comit?
la misma Existen polticas de adquisicin de equipos?
Cmo se determina el proveedor del equipo? a la organ
188
Cmo se evalan las propuestas de instalacin, mantenimiento yentrellt organizad
CAPITULO 5 este punte
EVALUAOON
miento?
DEL PROCESO Cmo se evala el costo de operacin y el medio ambiente requeridopr. computad
oe DATOS cada equipo? usuario.
y DE LOS EQUIPOS Se evalan las opciones de compra, renta y renta con opcin a compr.'
De CMPUTO Cerrtrafiz
Los factores a considerar dentro de estas opciones son los siguientes:
Vent
Ventajas
E
Rento: o
A
Compromiso a corto plazo. O
A
Menor riesgo de obsolescencia.
No requiere de inversin inicial.
,
Renta con opcin a compra: ~
n
e Menor riesgo de obsolescencia. o
o
a
o No requiere de inversin inicial. B
Se puede ejercer la opcin de compra.

Los pagos normalmente incluyen servicios.
Menor costo que renta.
D\"~
o
Compra:
o
~
Se puede tener valor de recuperacin.
Normalmente es menor su costo que el de compra a largo plazo. "JI
l.
Desventajas
Desccnt
Renta:
Ms caro que compra o renta con opcin a compra. Vent
El equipo puede ser usado.
Algunos vendedores de equipo na lo rentan. o
b
Renta con opcin a compra: E
J
Es ms cara que compra. o
~
No tiene valor de recuperacin para el comprador. e
Compra:
o
o Requiere de inversin inicial o de prstamo.
o ~
Amarra al comprador a su decisin.
Elcomprador debe conseguir u obtener servido de mantenimens
De'
o
Centralizacin VS. descentralizacin
o
El tener equipos en forma centralizada o descentralizada puede tener ventajas

o
y desventajas, dependiendo del tipo de organizacin. Elauditor deber evaluar
~ la organizacin y la justificacin que se tiene para que en una determinada 189
trena- vlganiLaCln se tengan equipos en forma centralizada o descentralizada. En
PROOUCTIVIDAD
estepunto se evalan las grandes computadoras e instalaciones, eliminando 1.)s
computador a., personales, ya que stas deber.in est", descentralizadas para cada
usuario.
ira?
Cenlralincin
Economa de escala.
Acceso a grandes capacidad, ....
Operaciones y administracin rna-, pr('t(l~lonalt......
Accesos mltiples a datos comunes.
Seguridad, control y proteccin de lo-, datos.
Un mejor reclutamiento y entrenamiento del personal especializado.
Una mejor planeacin de la carrera profe-rcna] del personal de infor-
m.tica.
Control de los gastos de inforrn.uca.
Estandarizacin de equipos y de software.
~alta de control de los usuarios sobre ct desarrollo y operacin de los

to,lstcmas.
L., responsabilidad del desarrollo de I"s proyectos est limitada a un
selecto personal.
Posible frustracin dentro de la organizacin por desconocimiento de
los cambios en los servicios de informjllc.l.
Descentraliucin de procesamiento de datos
o
Autonoma local y control por parte de 10'>usuarios.
Mayor responsabilidad ante las n,'C(,",idadcs de los usuarios.
Reduccin de los costos de telecomu nicacin,
Acceso inmediato a las bases de datos descentralizadas.
o
Los analistas de sistemas locales tienen mayor atencin a las nccesida-
des de los usuarios.
Oportunidad de crear una carrera profesonal dentro de las reas fun-
cionales de los usuarios.
Consistente con la descentralizacin establecida dentro de una estruc-
tura corporativa.
1.
Prdida de control gerencial central.

o
Posbilidad de incompatibilidad de datos, equipos y software.
l'osibk'S errores para seguir los l...
tndMes de sistemas dentro de las
ajas practicas de desarrollo.
luar Duplicacin de personal y de esfuerzo.
Evaluacin
CAPTULO
de la seguridad
OBJETIVOS
1. Conocer la importancia de salvaguardar la integridad de la informacin que

se almacena en una computadora.
2. Explicar por qu es importante conservar la Integridad, confidencialidad y
disponibilidad de los sistemas de Informacin
3. Entender que un buen centro de cmputo depende, en gran medida. de la
integridad. estabilidad y lealtad del personal.
4. Descnbir las polticas. procedimientos y prcticas necesarios para mante-
ner la seguridad tsica de un centro de cmputo.
5. Conocer los distintos tipos de daos que provocan los virus en las
computadoras. y las maneras de evtanos.
6. Definir las caractersticas de los seguros existentes para enfrentar los ries-
gos relacionados con los equipos de cmputo
7. Explicar qu elementos debern considerarse para tener una adecuada se-
guridad en el uso de los eqUIPOSy sistemas. ast como en su restauracin.
192 Las computadoras son un instrumento que estructura gran cantidad de
CAPITuLO G
macin, la cual puede ser confidencial para individuos, empresas O i,lSlotu
EVALUACoON nes.y puede ser mal utilizada o divulgada. Tambin pueden ocurrir ro<,.",,,,,,;
DE LA SEOUII.OAD des o sabotajes que provoquen la destruccin total o parcial de la
computacional.
Esta informacin puede ser de suma importancia, y no tenerla en el
mento preciso puede provocar retrasos sumamente costosos. Ante esta
cin, en el transcurso de este siglo el mundo ha sido testigo de la transf<)~
cin de algunos aspectos de seguridad)' derecho.
Imagnese que, por una u otra razn, el centro de cmputo O las
sean destruidos o usados inapropiadamente, cunto tiempo pasara para
esta organizacin estuviese nuevamente en operacin? El centro de c,npu~,
puede ser el activo ms valioso y al mismo tiempo el ms vulnerable.
Delitos En la situacin actual de criminologa, en los delitos de "cuello blanco
por computadora incluye la modalidad de los delitos hechos mediante la computadora O 1o,,,
mas de informacin, de los cuales 95% de los detectados han sido dcscubi,
por accidente, y la gran mayora no han sido divulgados para evitar dar id,'J
personas mal intencionadas. Es as como la computadora ha modficado I
circunstancias tradicionales del crimen. Muestra de ello son los fraudes, fal
cacioncs y venta de informacin hechos a las computadoras O por medio
stas. Existen di fercntes estimaciones sobre el costo de los delitos de cuellob~n
co, las cuales dependern de la fuente que haga estas estimaciones, pero
todos los casos se considera que los delitos de cuello blanco en Estados Umd.
su peran 105 miles de millones de dlares.
Durante mucho tiempo se consider que los procedimientos de auditorJ
seguridad eran responsabilidad de la persona que elabora los sistemas, sino
siderar que son responsabilidad del rea de informtica en cuanto a la elabon
cin de los sistemas, del usuario en cuanto a la utilizacin que se le d,<
informacin y a la forma de accesarla, y del departamento de auditoria .
en cuanto a la supervisin y diseo de los controles necesarios.
La seguridad del rea de informtica tiene como objetivos:
Proteger la integridad, exactitud y confidencialidad de la informaaon.

Proteger los activos ante desastres provocados por la mano del hombrt
de actos hostiles.
Proteger a la organizacin contra situaciones externas como desa,t"".!lt:;.
rales y sabotajes.
En caso de desastre, contar con los planes y polticas de contingeneis-
lograr una pronta recuperacin.
Contar con los seguros necesarios que cubran las prdidas eeonmos
caso de desastre.
Los motivos de los delitos por computadora normalmente son por:
Beneficio personal. Obtener un beneficio, ya sea econmico, pclnco soc

O de poder, dentro de la organizacin.
Beneficios para la organizacin. Se considera que al cometer algndelilo
otra computadora se ayudar al desempeo de la organizactn en laCIII~
trabaja, sin evaluar sus repercusiones.
~ de infor- , Sndrome de Robin Hood (por beneficiar a otras personas). Se estn haci~n- 193
instirucio- do copias ilegales por considerar que al infectar a las computadoras, o bien EVAWACIN
obos, frau- al alterar la informacin, se ayudar a otras personas. DE LA SEGURIDAD
acrivdad , Jugando a jugar. Como diversin o pasatiempo.
Fcil de desfalcar.
en el mo- , El individuo tiene problemas financieros. .
esta sima .. La computadora no tiene sentimientos. La computadora es una herrarnien-
ansforma .. ta que es fcil de desfalcar, y es un reto poder hacerlo.
El departamento es deshonesto.
s libreras Odio a la organi'l.acin ~(evanc.ha). Se COnsidera ('tleel departamento () la
para que organizacin es deshonesta, ya que no ha proporcionado todos los benefi-
e cmputo cios a 10$ que se tiene derecho.
Equivocacin de ego (deseo de sobresalir en alguna forma).
olanco" 5(' Mentalidad turbada. Existen individuos con problemas de personalidad que
O los siste- ven en elaborar un virus un reto y una superacin, los cuales llegan a ser
scubiertos tan cnicos que ponen su nombre y direccin en el virus, para lograr ese
lar ideas a reconocimiento.
meado las
les, falsi- Enla actualidad, principalmente en las computadoras personales, se ha dado
medio de otro factor que hay que considerar: el llamado "virus" de las computadoras, el
uelloblan-
s, pero en
os Unidos
auditora y
cual, aunque tiene diferentes intenciones, se encuentra prtncipalmcnte ('11 pa-
quetes que son copiados sin autorizacin ("piratas") y borra toda la informa-
cin que se tiene en un disco.
Se trata de pequeas subrutinas escondidas en los programas que se acu-
van cuando se cumple alguna condicin, por ejemplo, haber obtenido una co-
=:J
Los virus
ss,sin con- pia en forma ilegal, y puede ejecutarse en una fecha o situacn predetermina-
Iaelabora- da. El virus normalmente es puesto por los diseadores de algn tipo de pro-
le d a la grama (software) para "castigar" a quienes lo roban o copian sin autorizacin O
ra interna bien por alguna actitud de venganza en contra de la organizacin. (En la actua-
lidad existen varios productos para detectar los virus.)
Existen varios tipos dc virus pero casi todos actan como "caballos de
Troya", es decir, se encuentran dentro de un programa y actan con determina-
,_aci6n. da indicacin.
hombre y Un ejemplo es la destruccin de la inforrnacin de la compaa USPA &
IRA de Forth Worth. Cuando despidieron a un programador en 1985, ste dej6
SIn'S na tu- una subrutina que destrua mensualmente la informacin de las ventas. Este
incidente provoc el primer juicio en Estados Unidos contra una persona por
encas para sabotaje a una computadora.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias "pi-
tmicas en ratas" o bien que, al conectarnos en red con otras computadoras, no exista la
posibilidad de transmisin del virus. Tambin se debe cuidar que en ocasiones
se toma como pretexto el virus y se producen efectos psicolgicos el) los usua-
oor: rios, ya que en el momento dc W1a falla de la computadora O del sistema, lo
primero que se piensa es que estn infectados.
ilieo social Se considera que hay cinco factores que han permitido el incremento en los
crmenes por computadora:
In delito en
n la cual se Elaumento del nmero de personas que se encuentran estudiando compu-
tacin.
194 El aumento del nmero de empleados que tienen acceso a los equipos.
CAPiTULO 6 La facilidad en el uso de los equipos de cmputo.
EVALUACiN El incremento en la concentraci6n del nmero de aplicaciones y, conse<Uenl<
DE LA SEGURIDAD mente, de la informacin.
El incremento de redes y de facilidades para utilizar las computadoras a
cualquier lugar y tiempo.
Estos cinco factores, aunque son objetivos de todo centro de crnputo.tar

bin constituyen una posibilidad de uso con fines delictivos.
El uso inadecuado de la computadora comienza desde la utilizacin de tiem-
po de mquina para usos ajenos al de la organizacin, la copia de progrillllll!
para fines de comercializacin sin reportar los derechos de autor, hasta el_
so por va telef6nica a bases de datos a fin de modificar la informacin (111\
propsitos fraudulentos. Estos delitos pueden ser cometidos por personas<-"
no desean causar un mal.
En la actualidad las compaas cuentan COngrandes dispositivos para)
seguridad fsica de las computadoras, y se tiene la idea que los sistemasr
pueden ser violados si no se entra al centro de cmputo, olvidando que se pU1-
den usar terminales y sistemas remotos de teleproceso. Se piensa, como end
caso de la seguridad ante incendio o robo, que "eso no me puede suceder amio
es poco probable que suceda aqu".
Algunos gerentes creen que las computadoras y sus programas son tan rom-
piejos que nadie fuera de su organizacin los va a entender y no les van a senir
Pero en la actualidad existe un gran nmero de personas que puede captarv
usar la informacin que contiene un sistema y considerar que hacer esto es cornr
un segundo ingreso. Tambin se ha detectado que el mayor nmero de fraudes,
destruccin de informacin o uso ilega Ide sta, provienen del personal interre
de una organizacin. Tambin se debe considerar que gran parte de los fraudes
hechos por computadora o el mal uso de sta son realizados por personal del.
misma organizacin,
En forma paralela al aumento de los fraudes hechos a los sistema>
computarizados, se han perfeccionado los sistemas de seguridad tanto lisia
COmO16gica; la gran desventaja del aumento en la seguridad 16gica es que..,
requiere consumir unnmero mayor de recursos de cmputo para lograr tener
una idnea seguridad, lo ideal es encontrar un sistema de acceso adecuado ,1
nivel de seguridad requerido por el sistema con el menor costo posible. En lo!
desfalcos por computadora (desde un punto de vista tcnico), hay que tener
cuidado con los "caballos de Troya" que son programas a los que se les encajan
rutinas que sern activadas COnuna seal especfica.
SEGURIDAD LGICA Y CONFIDENCIALIDAD

La seguridad 16gica se encarga de los controles de acceso que estn diseados
para salvaguardar la integridad de la informacin almacenada de una comp.' si
upos. adora,as como de controlar el mal liSO de la informacin. Estos controles re- 195
ducenel riesgo de caer en situaciones adversas. SEGURIDAD LGICA
isecuente- Se puede decir entonces que un inadecuado control de acceso lgico y CONFIDENCIAUDAO
IIlcrementa el potencial de la organizacin para perder informacin, o bien para
adoras en '{UC sta sea utilizada en forma inadecuada; asimismo, esto hace que se vea
disminuidasu defensa ante competidores, el crimen organizado, personal des-
lealy violacionesaccidentales.
iuto, tarn- Laseguridad lgica se encarga de controlar y salvaguardar la informacin
generadapor los sistemas, por el software de desarrollo)' por los programas en
ndetiem- aplicacin; identifica individualmente a cada usuario y sus actividades en el
rograrnas sistema,y restringe el acceso a datos, a los programas de uso general, de uso
ta el acce- especifico, de las redes y terruinales.
acin con Lafalta de seguridad lgica O su violacin puede traer las siguientes cense-
lonas que cuencias a la organzacon:
>s para la Cambiode los datos antes o cuando se le da entrada a la computadora.

temas no o Copias de programas y/o informacin.
le se pue- Cdigooculto en un programa.
uno en el o Entrada de virus.
lera m O
Laseguridad lgica puede evitar una afectacin de prdida de registros, y
tan com- ayudaa conocer el momento en que se produce un cambio o fraude en los siso
la servir. temas.
captar y Eltipo de seguridad puede COmenzardesde la simple llave de acceso (con-
)escomo traseao password) hasta los sistemas ms complicados, pero se debe evaluar
fraudes, quecuanto ms complicados sean los dispositivos de seguridad ms costosos
ti interno resultan.Por lo tanto, se debe mantener una adecuada relacin de seguridad-
s fraudes costoen los sistemas de informacin.
malde la Los sistemas de seguridad normalmente no consideran la posibilidad de
fraude cometida por los empleados en el desarrollo de sus funciones. La in-
sistemas troduccinde informacin confidencial a la computadora puede provocar que
uo fsica staest concentrada en manos de unas cuantas personas, por lo que existe
!S que se una alta dependencia en caso de prdida de los registros. El ms comn de
rar tener estos delitos se presenta en el momento de la programacin, en el cual por
ruado al medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al mo-
e. En los mento de programar un sistema de nmina se puede incluir una rutina que
uetener verifique si se tiene dentro del archivo de empleados el registro federal de
; encajan causantes del programador. En caso de existir, contina el proceso normal-
mente;si no existe significa que el programador que elabor el sistema renun-
ci o fue despedido y en ese momento pudo borrar todos los archivos. Esta
rutina. aunque es fcil de detectar, puede provocar muchos problemas, en
caso de que no se tenga los programas fuente o bien que no se encuentren
debidamente documentados. Tambin en el caso de programadores honestos,
) en ocasiones en forma no intencional, se pueden tener fallas o negligencia en
los sistemas. La dependencia de ciertos individuos clave, algunos de los cua-
les tienen un alto nivel tcnico, comnmente pone a la organizacin en manos
seados de unas cuantas personas, las cuales suelen ser las nicas que conocen los
compu- sistemas debido a que no los documentan.
196 Un mtodo ecaz para proteger sistemas de computacin el> elsoh:....lI1!..
CAPiTulO 6
control de acceso. Dicho de manera simple, los paquetes de controlde
EVAlUACiN protegen contra el acceso no autorizado, pues piden al usuario una ~n ~""
DE LA SEGURIDAD antes de permitirle el acceso a informacin confidencial. Dichos paquetesh
sido populares desde hace muchos aos en el mundo de las computadorasga
des, y los principales proveedores ponen a disposicin de los dientes
estos paquetes. Sin embargo, los paquetes de control de acceso basadosen,
Control traseas pueden ser eludidos por delincuentes sofisticados en computacioo.~
de acceso lo que no es conveniente depender de esos paquetes por s solos para tenerUlll
seguridad adecuada.
El sistema integral de seguridad debe comprender:
o Elementos administrativos.
o Definicin de una poltica de seguridad.
o Organizacin y divisin de responsabilidades.

SEGURIDAD LGICA
guie
Uno de los puntos ms importantes a considerar para poder definir la segu~
dad de un sistema es el grado de actuacin que puede tener un usuariodl'lltro
de un sistema, Y ti sea que la informacin se encuentre el' un archivo nonna
o en una base de datos, o bien que se posea una mncomputadora, o un sisera
en red (interna o externa). Para esto podemos definir los siguientes tiposd!
I
usuarios:
Tipos de usuarios o Propietario. Es, como su nombre lo indica, el dueo de la nformade

responsable de sta, y puede realizar cualquier funcin (consultar, lIUldii,
car, actualizar, dar autorizacin de entrada a otro usuario). Es ~'po;n...J~'1
de la segundad lgica, en cuanto puede realizar cualquier accin y pua!,
autorizar a otros usuarios de acuerdo con el nivel que desee darles.
o Administraor. Slo puede actualizar o modificar el software con ladeb>L.
autorizacin, pero no puede modificar la informacin. Es responsablede.
seguridad lgica y de la integridad de los datos.
o Usuario principal, Est autorizado por el propietario para hacer modi .... Ru
cienes, cambios, lectura y utilizacin de los datos, pero no puede dar auk>
rizacin para que otros usuarios entren. El.
o USJ/ariode CO"511Ita.Slo puede leer la informacin pero no puede modifi miti
carla. scg
o Usuario de explotacin. Puede leer la informacin )' utilizarla para explo1i-
cin de la misma, principalmente para hacer reportes de diferente OOol, op
los cuales, por ejemplo, pueden ser contables o estadsticos. al
o USllnr;o de auditoria. Puede utilizar la informacin y rastrearla dentro&. hle
sistema par. fines de auditora. de.
software de
1I de acceso
i contrasea
iquetes han
:~:
~:~~~=~:~~.
.~os usuarios pue~en
formtica.
ser mltiples, y pueden ser el resultado de la comb-
Se recomienda que ~xista slo un usuario propie-
o sea una persona designada por la gerencia de in-
SEGURIDAD LOOICA
y CONFIDENCIAI.IDAD
dor~sgran-
s alguno de te P~a conscTVa~~a integridad, confidencialidad y disponibilidad de los sis-
mas e informacon se debe tomar en cuenta lo siguiente:
dos en COn.
uacon, por
L~_;"'~gridad ('S responsabilidad de los individuos autorizados para mo-
a tener una
dificar datos o programas (usuario administrador) o de los usuarios a
Jos que se otorgan accesos a aplicaciones de sistema o funciones fuera de
sus responssbilidodos normeles dt'lr~lbajo(usu}rio respans..tbt( y prin-
cipal).
La cotifidnlclalidad es responsabilidad de los indtviduos autorizados para
consultar (usuario de consulta) o para bajar archivos importantes pa-
ra microcornputadcras (usuario de explotacin).
La dspollibilidad es responsabilidad de individuos autorizados para alterar
los parmetros decontrol de acceso al sistema operativo, al sistema maneja-
dor de base de datos, al monitoreo de teleproceso o al software de telecomu-
nicacones (usuario administrador).
El control implantado para minimizo r estos riesgos debe considerar los si-
guientes factores:
la segun- El valor de los datos siendo procesados.

io dentro La probabilidad de que ocurra un acceso no autorizado.
o normal Las consecuencias para la organizaci6n si ocurre un acceso no autorizado,
nslstema El riesgo y repercusiones en caso de que un usuario no autorizado utilice la
tipos de informacin.
La seguridad lgica abarca las siguientes reas:

",cin, el
r modifi- Rutas de acceso.
pensable Claves de acceso,
y puede Software de control de acceso.
s. Encriptamiento.
adebida
blede la
todifica- Rutas de acceso

lar auto-
El acceso a lo computadora no significa tener una entrada sin restricciones. li-
modifi- mitar el acceso slo a los niveles aproplados puede proporcionar una mayor
seguridad.
explota- El objetivo de la seguridad de los sistemas de informacin es controlar las Control
operaciones y su ambiente mediante el monitoreo del acceso a la informacin y de acceso
, ndole,
a los programas, para poder darle un seguimiento y determinar la causa proba-
ntro del ble de desviaciones. Por ello es conveniente al utilizar algn tipo de software
dentro de un sistema, contar con una ruta de acceso.
Cada uno de los sistemas de informacin tiene una ruta de acceso, laGi.
o L,
198
qUf
CAPrTUL06
puede definirse como la trayectoria seguida en el momento de acceso ahiJ.
EVALUACiN tema. o Las
DE LA SEGURIDAD Como se ha sealado, un usuario puede pasar por uno o mltiples ni,eb nas
de seguridad antes de obtener el acceso a los programas y datos. los tposd< bia
restricciones de acceso sen: alf
US
o Slo lcctu ra.

o Slo consu Ita. Credei
o Lectura y consulta. frecue
o Lectura y escritura. para crear, actualizar, borrar, ejecutar o copiar. bancal
La
El esquema identifica a los usuarios del sistema, los tipos de d~'J'O';itn'''1 posto~
por los cuales se accesa al sistema. el software usado para el acceso al sist('lll' se deb
los recursos que pueden ser accesados y 10$sistemas donde residen estosreo;;. cida.
sos. Los sistemas pueden ser en lnea. fuera de linea, en batch, y rutas de tele(
municacin. Valrd:
El esquema de las rutas de acceso sirve para identificar todos los puntosdt que es
control que pueden ser usados para proteger los datos en el sistema. El audie nocim
debe conocer las rutas de acceso para la evaluacin de los puntos dc oontrel pas. I
apropiados.
o 1.:
o L
o L
Claves de acoeso o 1
o l
Un rea importante en la seguridad lgica es el control de las claves de acre;r
de los usuarios. Existen diferentes mtodos de identificaci6n para el usuario:
Soft'
o Un passtoord o cdigo.
o Una credencial con banda magntica.
o Algo especifico del usuario (caractersticas propias). ste
contt
La identificacin es definida como el proceso de distincin de un usuario
de otros. La identificacin de entrada proporcionar un reconocimiento indivi- o .l
o I
dual; cada usuario debe tener una identificacin de entrada nica que debe ser
reconocida por el sistema. o
J
o J
Passuiord, cdigo o llaves de acceso. La identificacin de los individuos es
o I
o
usualmente conocida y est asociada con un password o clave de acceso.Las
o
claves de acceso pueden ser usadas para controlar el acceso a la computadora.
o
a sus recursos, as como definir nivel de acceso o funciones especficas.
o
Las llaves de acceso deben tener las siguientes caractersticas:
o
o El sistema debe verificar primero que el usuario tenga una llave de aCXl!S)
vlida.
o La llave de acceso debe ser de una longitud adecuada para ser un secreto. real.
o La llave de acceso no debe ser desplegada cuando es tecleada.
eso, la cual Lasllaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de 199
ceso al siso que alguien obtenga la llave de acceso de otras personas.
SEGURIDAD LGICA
LJS llaves de acceso deben de prohibir el uso de nombres, palabras o cade- Y CONFIDENCIAlIDAD
,les niveles nas de caracteres difci les de retener, adems el pnssuiord no debe ser cam-
os tipos do biado por un valor pasado. Se recomienda la combinacin de caracteres
alfabticos y numricos. No debe ser particularmente identificable con ,,1
usuario, como su nombre, apellido o fecha de nacimiento.
Credenciales con banda magntica. La banda magntica de las credenciales es Identificacin

uentemente usada para la entrada al sistema. Esta credencial es como una del usuario
aro pero se recomienda que tenga fotografa y 6rma.
..IIlColria,
La ventaja ms importante de la credencial es prevenir la entrada de irn-
spositivos p"'tores al sistema. Una credencial ordinaria es fcil de falsificar, por lo que
d sisterna, debe elaborar de una manera especial, que no permita que sea reprodu-
.tos recur.. oda .
de teleco-
V.lidacin por caractersticas. Es un mtodo para la identificacin del usuario,
'untos de quees implantado con tecnologa biomtrica. Consiste en la verificacin y reco-
iIauditor nocimiento de la identidad de las personas, basndose en caractersticas pro-
e control pias.Algunos de los dispositivos biomtricos son:
o Las huellas dactilares.

La retina.
La geometra de la mano.
La firma.
La voz.
e acceso
suario:
Software de control de acceso
~sl~ puede ser definido como el software diseado para permitir el manejo y
control del acceso a los siguientes recursos:
usuario
) indivi- o Programas de librerfas.
Jebe ser o Archivos de datos.
o /o/ls.
o Programas en aplicacin.
duos es o Mdulos de funciones.
!so. Las o Utileras.
itadora, o Diccionario de datos.
o Archivos.
Programas.
Comunicacin.
acceso
Controla el acceso a la informacin, grabando e investigando los eventos
ecreto. realizados y el acceso a los recursos, por medio de la identificacin del usuario.
El software de control de acceso, tiene las siguientes funciones:
200 Definicin de usuarios.
CAPiTuLO 6
Definicin de las funciones del usuario despus de accesar el sistema.
EVALUACiN Establecimiento de auditora a travs del uso del sistema.
DE LA SEGURIDAD
Elsoftware de seguridad protege los recursos mediante la identificacind<
los usuarios autorizados con las llaves de acceso, que son archivadas y guaro.
das por este software.
Esto puede ser efectuado a travs de la creacin de archivos o tablasd!
seguridad. Los paquetes de seguridad frecuentemente incluyen facilidadespan
encriptar estas tablas o archivos.
A cada usuario se le debe asignar un alcance en el acceso y por cada recurs
un grado de proteccin, para que los recursos puedan ser protegidos de un
acceso no autorizado.
Algunos paquetes de seguridad pueden ser usados para restringir elacct'SC
a programas, libreras y archivos de datos; otros pueden adems limitarel'""
de terminales o restringir el acceso a bases de datos, y existen otros mspara
confirmar y evaluar la autorizacin de la terminal remota para utlzar determ-
nada informacin. stos pueden variar en el nivel de la seguridad brindada
los archivos de datos. La seguridad puede estar basada en el tipo de acoesr
usuarios autorizados para agregar registros a un archivo O los que nicamens
leen registros.
La mayor ventaja del software de seguridad es la capacidad para proteg
los recursos de accesos no autorizados, incluyendo los siguientes:
o Procesos en espera de modificacin por un programa de aplicacin.

o Accesos por los editores en lnea.
o Accesos por utileras de software.
o Accesos a archivos de las bases de datos, a travs de un manejador de base
de datos (DBMS).
o Acceso de terminales o estaciones no autorizadas.
Paquetes Estos paquetes pueden restringir el acceso a los recursos (archivos de d..
de seguridad tos), reduciendo as el riesgo de los accesos no autorizados.
I Ejemplo En el caso de terminalesde compra de boletos de pronsticos, se puede

restringirla entrada a terminalesno autorizadaso en tiempono autorizado.
Otra caracterstica de estos paquetes es que se pueden detectar las violado-

nes de seguridad, tomando las siguientes medidas:
o Terminaciones de procesos. s
o Forzar a las terminales a apagarse.
Desplegar mensajes de error.
o
Escribir los registros para la auditora.
La bitcora de auditora es seleccionada durante la implementacin.

I Ejemplo La bitcorapuede consistiren registrarlos accesos no exitosos. slo los in-
tentos, un registrode todos los accesos vlidos y los recursos protegidos.
Algunospaquetes contienen datos especificas para ser Incluidos en la bitco- 201
tema. la de auditora.
SEGURIDAD LGICA
Y CONFIDENCIAliDAD
Cadabitcora debe incluir la identificacin del usuario: si el accesoes exito-
icacion de so,deben consignarse 10$recursos acccsados, da, hora, terminal y un dato es-
y guarda- pl,<ifico
de lo que fue modificado durante el acceso;si el accesono fue exitoso la
mayorinformacin posible sobre da, hora, terminal y claves de intento usadas.
tablas de
.ades para
la recurso Otrostipos de software

los de un
de control de acceso
:el acceso
lar el US('
Algunostipos de software son diseados con caractersticas que pueden ser
ms para usadas para proveerles seguridad. Sin embargo, es preferible usar un software
'determi- d. controlde acceso para asegurar el ambiente total y completar las caracters-
-indada a locasde seguridad con un software especfco.
le acceso:
Corno existen diferentes tipos de software, explicaremos las caractersticas
ucamcnte
de seguridad de los siguientes:
proteger
Sistemas operativos.
Manejadores de bases de datos.
5n. Software de consolas O terminales maestras.
Software de libreras.
Software de utileras.
r de base Telecomunicaciones.
11.) Sistemas operativos

)5 de da- So! trata de una serie de programas que se encuentran dentro de los sistemas
operativos, los cuales manejan los recursos de las computadoras y sirven cama
interfase entre el software de aplicaciones y el hardware.
Estos programas proporcionan seguridad ya que, internamente, dentro
ueda de los sistemas operativos manejan y controlan la ejecucin de programas
Ido. de aplicacin y proveen los servicios que estos programas requieren, clepen-
dicndo del usuario y del sistema que se est trabajando. Cada servicio debe
violacio- incluir UI1 calendario de trabajo (Job Sdledoo/e), manejador de equipos perifri-
cos,un contador de trabajo y un compilador de programas, pruebas y debllgs
(depuraciones). El grado de protecci6n sobre estos servicios depende de los
sistemas operativos.
Los elementos de seguridad de los sistema. operativos incluyen lo siguiente:
Control de salidas de los programas al modificarse c6digos. stos usual-
mente tienen accesos a los elementos mds importantes del sistema, y sus
actividades deben ser montoreadas,
Lossistemas operativos usan claves de acceso (passwQrds, ID) para prevenir Elementos
s in- usuarios no autorizados a funciones y utileras del sistema operativo. Mu- de seguridad
dos. chas veces, estas claves de acceso estn definidas en una tabla del sistema
202 que es activada cuando un sistema es utilizado. Las claves de acceso deben
CAPiTulO 6 ser cambiadas inmediatamente por las nuevas claves de acceso. por
EVALUACIN o Algunos sistemas operativos proveen una caracterstica que puede limib: I
DE LA SEGURIDAD el nmero de accesos no autorizados y autorizar usuarios a los recursos ard~
protegidos, si este nmero es excedido, el usuario no autorizado es pre\.. I
nido para el nuevo acceso a estos recursos.
o Los sistemas operativos permiten una instalacin para la irnplementaci<
opcional de caractersticas de seguridad cuando el sistema es instalado. AJ.
gunos sistemas operativos contienen sus propias caractersticas de segun-
dad y muchas veces stas no son adecuadas; en este caso es aconsejablt
integrar al sistema operativo un software de seguridad para proteger les
recursos. El valor de stos es un factor determinante cuando se decide '1'" cos.1
tanta proteccin es necesaria. nistr
o Los sistemas operativos tienen un completo control sobre las actividades
de todas las aplicaciones que estn corriendo en el sistema. Si un usuariom respl
autorizado puede lograr accesar a los recursos del sistema operativo, pue estac
de hacer modificaciones que alteren el proceso normal del flujo del sistema adert
El sistema operativo tiene autoridad para dar fadlidades de seguridad 1
para accesar recursos confidenciales. Esto implica que en algunas ocasores par ..
se requerir del uso de algn producto de seguridad adicional. El software dad
de funciones de control del sistema operativo debe proveer una bitcorade
auditora. bit!
o Tanto el admnistrador del sistema o el administrador de la seguridad de unn
datos establecen sus privilegios a travs del sistema operativo. Individual- rrid,
mente, con estos privilegios tienen completo control sobre el sistema opera-
tivo y su ambiente; ellos pueden otorgar la autoridad para modificar usua- e) !
rios y accesar secciones, alterar la generacin de procedimientos del sisle-
ma y modificar las prioridades de trabajos (jobs) que corren dentro del cee- El se
trol del sistema. Debe existir una bitcora de las actividades del administra- pr0l!
dor del sistema o del administrador de la seguridad de datos. term
o Los sistemas operativos permiten la definicin de consolas o terminales 1
maestras desde las cuales los operadores pueden introducir comandos ~ dato
sistema operativo. Las consolas no requieren una seal en proceso para~
emisin de comandos. Por lo tanto, el acceso a reas fsicas en donde estn defu
las consolas debe ser restringido. Adems, las caractersticas del sistem.1 cacic
que permiten a una terminal ser asignada Con el estatus de consola deben el ac
ser guardadas a prueba de accesos no autorizados. fune
B) Software manejador de base de datos 'Ieee
Es un software cuya finalidad es la de controlar, organizar y manipular los d.. O)

tos. Provee mltiples caminos para accesar los datos en una base de datos. M..
neja la integridad de datos entre operaciones, funciones y tareas de la organ. El s'
zacin. ejec
Cuando un usuario inicialmente requiere del uso del sistema de adminis-
tracin de bases de datos (Data Base lvJa1Jageme"tSystem, OBMS) se estableeeun ene
identificador para el usuario y la sesin. Inmediatamente, el usuario puede sa soft
identificado por el lO-usuario, lO-terminal, y por una aplicacin o funcin. a es
deben En espera del modo de modificaciones, el usuario podr ser identificado 203
por el trabajo (job), por la aplicacin o por la funcin. SEGURIOAD LGICA
imitar El identificador del usuario ser usado para rastrear todos los accesos a los y CONFIOENCIALlOAD
cursos "chivos de datos a travs del administrador de la base de datos (OBMS).
reve- LaS caractersticas de segu ridad del software OBMS pueden ser usadas para
n~tl'il1girel acceso a un usuario espectco, a un cierto archi vo o a vistas lgicas, -=:_]BMS
lacin losaccesos a procedimientos, funciones o software en aplicaciones limitado a
o.Al- usuarios autorizados con el propsito de ejecutar sus tareas asignadas. Las vis-
egur- b. de datos lgicos estn colocadas en archivos para usuarios particulares, fun-
ejable nones o aplicaciones, y puede ser representado todo o parte del archivo de
er los Jatos fsicos o una combinacin de campos de mltiples archivos de datos Hsi-
equ a>-. Estas caractersticas son usadas para controlar funciones nicas en el adrni-
II1>tradorde la base de datos (OBMS).
iades Las utileras de la base de datos proveen funciones de mantenimiento, como
;000 respaldos y restauracin de la base de datos, reorganizacin de datos, reportes
pue- ."tadsticos de las bases de datos y sus relaciones. stos pueden ser usados
tema. .dem.s para adicionar o borrar datos y proveer seguridad.
lad y El diccionario de datos (00) es un software que gua y provee un mtodo
iones para documentar elementos de la base de datos, as como un mtodo de seguri-
ware dad de datos en un administrador de bases de datos (OBMS).
ea de Todos las modificaciones al directorio de datos (DO) deben producir una
bitcora de auditora, como un registro automtico dc todos los cambios y
Id de un medio de recuperacin despus de alguna interrupcin que hubiese ocu-
dual- rrido.
pera-
rsua- e) Software de consolas o terminales maestras
siste-
con- El software de consolas o terminales maestras puede ser definido como varios
istra- programas del sistema operativo que proveen soporte y servicio para que las
terminales en linea accesen a los programas en aplicacin.
tales Las consolas incluyen funciones de seguridad para restringir el acceso a los
os al datos, va programas en aplicacin.
.ra la Estas funciones frecuentemente estn basadas en una serie de tablas que
:stn definen a los usuarios autorizados, as como los recursos y programas en apli-
;ema racin que ellos pueden accesar. Generalmente las consolas pueden slo limitar
eben el acceso al usuario para entrar a un programa en aplicacin, no para el uso de
funciones especficas de un programa.
La mayor parte de las consolas mantienen u n registro de uso de llaves de
acceso (password) diario vlidas o no vlidas.
;da- D) Software de libreras

Ma-
;ani- El software de libreras consta de datos y programas especficos escritos para
eecutar una funcin en la organizacin.
inis- Los programas en aplicacin (libreras) pueden ser guardados en archivos
e un en el sistema, y el acceso a estos programas puede ser controlado por medio del
~ser software (software de control de acceso general) usado para controlar el acceso
a estos archivos.
204 El software de manejo de libreras puede ser usado para mantener y prote- E
CAPiTULO 6 ger los recursos de programas de libreras, la ejecucin de jobs, y en alguna! las re
EVALUACIN instancias, los archivos de datos pueden ser utilizados por stas.
DE LA SEGURIDAD
Estas libreras deben ser soportadas por un adecuado control de cambios)' <
procedimientos de documentacin. \
Un. importante funcin del software controlador de librerlas es controlar)' t
describir los cambios de programas en una bitcora. El software de libreras l
provee diferentes niveles de seguridad, 105cuales se reflejan en las bitcoras de F
auditora.
Los controles de cambios de emergencia deben estar en algn lugar debido
a la naturaleza de estos cambios (frecuentemente SOn realizados fuera de hora;
de trabajo normal, son cortos, no se comunican):
Accesos de emergencia. Pueden ser concedidos con el propsito de resolver

el problema, y ser inmediatamente revocados despus de que el problema
es resuelto. 1.0'1
Todas las acciones realizadas durante la emergencia debern ser automtca den I
mente registradas.
Conl
Cuando se instala el software de libreras se definen las libreras y sus res- segu
pectivos niveles de proteccin. dos:
Los tipos de acceso a la librera pueden ser restringidos durante la instala-

cin. Por ejemplo, un programador deber ser autorizado par. leer o modificar
un programa. ,
E) Software de utileras
Existen dos tipos de software de utileras. El primero es usado en los sistema;
de desarrollo para proveer productividad. El desarrollo de programas y )a,
editores en lnea 'IOnlos ejemplos de este tipo de software. El segundo es usado
para asistir en el manejo de operaciones de la computadora. Monitoreos, calen-
darios de trabajo, sistema manejador de elseo y cinta son ejemplos de este tipo
de software.
El software de utilcras tiene privilegios de acceso todo el tiempo, algn
tiempo o nunca. Los accesos pri vilegiados se otorgan a programadores o a usua-
I;OS que ejecutan funciones que sobrepasan la seguridad normal.
Entre los ejemplos de utileras de software estn:
Utileras de monitores.
Sistemas manejadores de einta.
Sistema, manejadores de disco.
Calendarios de olls.
Editores en lnea.
Debllgers.
Scanner de virus.
Software de telecomunicaciones. imp
incl'
Ciertos tipos de software de telecomunicaciones pueden restringir el acee- Los
so a las redes y a aplicaciones especficas localizadas en la red. real
?r Yprote- El software de telecomunicaciones provee la Interfase entre las terminales y 205
n algunas las redes y tiene la capacidad para: SEGURIDAD LOGICA
y CONFIDENCIALIDAD
cambios y Controlar la invocacin de los programas de aplicacin.
Verificar que todas las transacciones estn completas y sean correctamente
ontrolar y transmitidas.
~libreras Restringir a los usuarios paru actuar en funciones seleccionadas.
:coras de Restringir el acceso al sistema a ciertos individuos.
ar debdo
i de horas
RIESGOS y CONTROLES A AUDITAR

= resolver
problema
Los controles de software de seguridad general y de software especfico pue-
tomatica- den ser implantados para minimizar el riesgo de la seguridad lgica.
Controles del software de seguridad general. Los controles del software de

sus res- seguridad general aplican para todos los tipos de software y recursos relaciona-
dos y sirven para:
a instala-
nodicar El control de acceso a programas yola informacin.
Vigilar los cambios realizados.
Las bitcoras de auditora.
Control de acceso a programas y datos. Este control de acceso se refiere a la
manera en que cada software del sistema tiene acceso a los datos, progra-
sistemas
mas y funciones. Los controles son usualmente a travs del ID (identificador)
las y los
o del pn"<$word para identificar a usuarios no autorizados y para controlar el
es usado
l$, calen-
acceso inicial al software.
Cambios realizados. Deben ser probados y revisados para ser autorizados,
este tipo
y una vez autorizados se asignan a los programas en aplicacin y datos.
o, algn Dependiendo de la aplicacin, el ambiente y el potencial del efecto de los
o a usua- cambios, ste puede ser muy informal o extremadamente rgido. Los pr<x"e-
dimientos a seguir para los cambios localizados pueden ser los siguientes:
o Diseo y cdigo de modificaciones.

Coordinacin con otros cambios.
Asignacin de responsabilidades.
Revisin de estndares y aprobacin.
e Requerimientos mnimos de prueba.
e Procedimientos del respaldo en el evento de interrupcin.
La bitcora de auditora debe registrar cambios en el software antes de la

implementacin. Los procedimiento de cambios de software deben adems
incluir notificaciones escritas para el departamento apropiado de cada cambio.
el acce- Los cambios realizados deben incluir independientemente una fase de pruebas
realizadas por un grupo fuera del ambiente de desarrollo.
206 Bitcorasde audi torta, Lasbitcoras de auditora son usadas para monitor.. o
CAPTULO 8 los accesospermitidos y negados. El software debe contener una bitcorad,
EVALUACiN auditora del uso de las funciones que el software ejecuta, particularmeme
DE LA SEGURIDAD cambian las funciones O se modifican datos. Esta bitcora de auditora po o
blemente sea mantenida en un archivo separado, y puede ser manejada p
las actividades del sistema, o tal vez sea una parte del registro. El tipo lit
bitcoras de auditora varia gradualmente de acuerdo al software y al \'l!Ild-
dor; por ejemplo, un software puede guardar antes y despus imgenesd o
los cambios, mientras que otros solamente tienen una tcnica de recul""
cin que puede ser usada para seguridad en casos necesarios.
Las bitcoras de auditora generalmente estn relacionadas con el sistenv
operativo o con el software de control de acceso. Se
Estas bitcoras de auditora registran las actividades y opcionalmente mue-
tran el registro de los cambios hechos en el archivo O programa. Son importan. o
tes para el seguimiento de los cambios.
Controles de software especifico. A continuacin presentamos algunos de lo

controles usados por los diferentes tipos de software especfico: o
El acceso al sistema debe ser restringido para individuos no autorizados.

Se debe controlar el acceso a los procesos y a las aplicaciones permitiendoa
los usuarios autorizados ejecutar sus obligaciones asignadas y evitandoque o
personas no autorizadas logren el acceso.
Las tablas de acceso O descripciones debern ser establecidas de manen
que se restrinja a los usuarios ejecutar funciones incompatibles o ms all S
de sus responsabilidades. g
Se deber contar con procedimientos para que 10'>programadores de aple
caciones tengan prohibido realizar cambios no autorizados a los pro-
gramas.
Se limitar tanto a usuarios como a programadores de aplicaciones a un
tipo especifico de acceso de datos (por ejemplo: lectura y modificacin). S
Para asegurar las rutas de acceso deber restringirse el acceso a seccioneso
tablas de seguridad, mismas que debern ser encriptadas. o
Las bitcoras de auditora debern ser protegidas de modificaciones ru
autorizadas.
Debern restringirse las modificaciones o cambios al software de controld.

acceso, y stos debern ser realizados de acuerdo a procedimientos auton-
zados:

Software de sistemas operativos. Entre los controles se incluyen los si-
guientes: ,
Los pnssword e identificadores debern ser confidenciales. Los usuarios
no autorizados que logran accesar al sistema pueden causar modifica-
ciones no autorizadas.
Elacceso al software de sistema operativo deber ser restringido .
nontorear Los administradores de la seguridad debern ser los nicos COnautori- 207
.tcora de dad para modificar funciones del sistema, incluyendo procedimientos SEGURIDAD LGICA
armente si Y tablas de usuarios. v CONFIDENCIALIDAD
tora posi- El acceso a utileras del sistema operativo ser restringido.
iejada por Las instalaciones de sistemas y las reinstalaciones deben ser
BI tipo de monitoreadas porque la realizacin no autorizada puede resultar inv-
al vende- lida.
'genes de o El uso de todas las funciones del software (editores de lnea, consolas)
recupera- es restringido a individuos autorizados,
o Debern revisarse las bitcoras de auditora para determinar si ocurre
un acceso no autorizado o si se realizan modificaciones.
,1 sistema
Software manejador de base de datos. Los controles incluyen lo siguiente:
ltemues-
'nportan- BI acceso a los archivos de datos deber ser restringido en una vista de
datos lgica, a nivel de tipo de campo. La segurdad en el campo ser
dada de acuerdo al contenido del campo (validacin de campos).
0$ de los Deber controlarse el acceso al diccionario de datos.
La base de datos debe ser segura y se usarn las facilidades de control
de acceso construidas dentro del software DSMS.
izados. o La bitcora de auditorfa debe reportar los accesos al diccionario de
itiendo a datos.
IOdoque o Las modificaciones de capacidades desde el DBMS para las bases de
datos debern limitarse al persona I a propiado,
manera
ms all Software de consolas o terminales maestras. Estos controles incluyen lo si-
guiente:
de apli-
los pro- Los cambios realizados al software de consolas o terminales maestras
debern ser protegidos y controlados.
leS a un
cin). Software de libreras. Los controles incluyen los siguientes:
clones o
E.Isoftware de libreras mantiene una bitcora de auditora de todas las
ones no actividades reatzadas. La informacin provista en la bitcora incluye
el nombre del programa, el nmero de la versin, los cambios espec-
cos realizados, la fecha de mantenimiento y la identificacin del pro-
ntrol de gramador.
autor- El software de libreras tiene la facilidad de comparar dos versiones de
programas en cdigo fuente y reportar las diferencias.
Deben limitarse el acceso a programas o datos almacenados por el soft-
1 los si- ware de libreras.
Deber impedirse el acceso a passtl'ord o cdigos de autorizacin a indi-
viduos no autorizados.
suarios Los cambios realizados al software de libreras tendrn que ser protegi-
:ldi.fica- dos y controlados.
Las versiones correctas de los programas de produccin deben corres-
o. ponder a los programas objeto.
208 Software de utileras. Los controles incluyen lo siguiente:
CAPITULO 6
EVAlUACiN
o
Deber restringirse el acceso a archivos de utileras.
DE LA SEGURIDAD Algunas utileras establecen niveles de utilizacin por cada funciav
verifican cada nivel de autorizacin del usuario antes de darle acl'eS<\ l
utilizando passtoord para prever accesos no autorizados. gui~
o
El software de utileras genera una bitcora de auditora de usos y aCli-
vidades. Algunas proveen bitcoras detalladas de actividades COn d.
tos protegidos, libreras y otros recursos. Estas bitcoras de auditor.
proveen informacin de cada identificador (ID), fecha y hora de accese
recursos accesados y tipo de acceso.
o
Esta bitcora sirve como un registro de eventos, incluyendo violacioee
a la seguridad y accesos no autorizados. Cada paquete de softwa~
puede tener diferentes capacidades de control.
Tomar precauciones para asegurar la manipulacin de datos (copia.
borrar, etc.), los protege de un uso no autorizado.
o Asegurar que nicamente personal autorizado tenga acceso a 00"" mas
aplicaciones. todo
o Las utleras no deben ser mantenidas en el ambiente de produccnyse
Iizac
debe asegurar que nicamente usuarios autorizados tengan acceso a e!las.
o
Las bitcoras de auditora producidas por utileras deben ser cuidad..
sarnente revisadas para identificar alguna violacin a la seguridad.
Software de telecomunicaciones. Los controles incluyen lo siguiente:
Controlar el acceso a datos sensibles y recursos de la red de la siguiene

forma:

- Verificacin de login de aplicaciones.
- Control de las conexiones entre sistemas de telecomunicaciones r
terminales.
- Restriccin al uso de aplicaciones de la red.
- Proteccin de datos sensibles durante la transmisin, terminando la
sesin automticamente. mar
gn
o
Los comandos del operador que pueden dar shautdoun: a los compo- apre
nentes de la red slo pueden ser usados por usuarios autorizados.
o
El acceso diario al sistema debe ser monitoreado y protegido. los (
Asegurar que los datos no sean accesados o modificados por un usua- aprc
rio no autorizado, ya sea durante la transmisin o mientras est en al-
macenamiento temporal. Inst
en 1,
Consideraciones al auditar
Cuando se realiza una revisin de seguridad lgica, el auditor interno deber eva-
luar y probar los siguientes tres controles implantados para minimizar riesgos:
Control de acceso a programas y a la informacrn. 209
Control de cambios. SEGURIDAD LGICA
Bitcoras de auditora. y CONfIDE'lCIAUDAD
cin y
ICceSO, La cvaluacn de todos los tipos de software deber asegurar que los si-
guientes objetivos sean cumplidos:
y acti-
)O da-
El acceso a funciones, datos y programas asociados con el software debe
litora estar restringido a individuos autorizados Vdebe ser consistente con docu-
cceso, mentos esperados.
Todos lo> cambios del software deben ser realizado. de acuerdo con el
:iones manejo del plan de trabajo y con la autorizacin del usuario.
rware
Se debe de mantener una bitcora do auditora de todas las actividade
<igmcativas.
t,;na auditora de seguridad lgica puede ser realizada de diferentes (or-

orrer
m,,, La auditona puede enfocarse en are.l, d e seguridad que son aplicables a
todo upo de software y pueden cubrir 1.1 mstalocion, el mantenimiento y la un-
i y se
Iihl\:Indel software.
ellas.
rambin debe tomarse en cuenta las caractersticas de seguridad del soft-
ado-
i.
ware, incluyendo el control de acceso, la identificacin del usuario y el proceso
de autentificacin del usuario, ejecutado por el software.
Entre las consideraciones especfica" al auditar estn:
ente Software de control de acceso.

Software de telecomunicaciones.
Software manejador de libreras
Software manejador de bases de datos,
es)' 50ft", are de utileras.
Sorware de sistema operativo.
ola Durant e el ciclo de vida del software deben ser evaluadas su instalacin, CIclo de vida
mantenimiento y operacin. Se debe utilizar 1" auditora para asegurar que al- del solware
gn cambio hecho al software no comprometa la integridad, confidencialidad o
po- aprovechamiento de los datos o recursos del sistema.
El software de auditora especializado puede ser usado para revisar todos
los cambios y asegurarse que SOI\ ejecutados d.. acuerdo con los procedimientos
ua- aprobados por la gerencia.
.11-
Instalacin y mantenimiento. Es la primer fase del ciclo de vida del software,
en la cual el auditor debe revisar lo Siguiente:
Procedimientos para nuevas prueba, o modificaciones al software, inclu-

vendo al personal responsable, ejecucin de pruebas, respaldo de software
existente, pruebas de funciones, documentocin de cambios, notificacin
'a- de cambios, revisin y redencin de pruebas de salida)' aprobacin de pno-
ndades para la implementacin.
210 Procedimientos para iniciacin, documentacin, pruebas y aprobacinlit otras
modificaciones al software. lacion
CAPiTULO 6
EVAlUACiN Procedimientos para la generacin y modificacin al software. usada
DE LA SEGURIDAD Procedimientos usados para ejecutar software y mantenimiento deldicdo
nario de datos para un mayor grado de modificacin. D
Procedimientos de emergencia usados para dar solucin a un problemas- re
pecco de software. o
Mantenimiento y contenido de las bitacoras de auditora de lodos losDBMS
y modificaciones del diccionario de datos. o
Bitcoras a los parmetros del software y de las sentencias dellenguajedt
aplicaciones en ejecucin.
Acceso a libreras de programas.
Operacin. En la segunda fase del ciclode vida del software debern revisarse;
Controles de acceso para los programas, libreras, parmetros, secciones
archivos de software asociados.
Procedimientos diseados para asegurar que el sistema no es inSt.1lado(GIlS'
inicial del programa) sin el software original, creando as un procedimiento
de segu ridad,
Disponibilidad y control de acceso a los comandos que pueden ser usados
para desactivar el software.
reas de responsabilidad para el control del software, operacin y consis-
tencia de ca pacidad de acceso.
Horas durante las cuales el software est disponible.
Procedimientos para la iniciacin y terminacin del uso del software.
Control de acceso sobre consolas y terminales maestras.
Procedimientos para registrar terminacin anormal O errores, los cuales
pueden indicar problemas en la integridad del software y docurnentar ks
resultados en pnogramas de seguridad.
Controles de acceso sobre escritura de programas y lenguajes de librerasy
de aplicaciones en ejecucin.
Bitcoras de auditcra sobre las actividades del software.
Dependencia de otro software para continuar la operacin, operaciones
automatizadas o dependencia del calendario de actividades.
Software de control de acceso. Entre las consideraciones de auditora para el
software de control de acceso estn:
Diseo y adm inistracin.

Procedimientos de identificacin del usuario.
Procedimientos de autentificacin del usuario.
Recursos para controlar el acceso.
Reportes )' vigilancia del software de control de acceso reportando y'"gi'
lando.
El software de control de acceso usualmente provee utileras que pueden

ser usadas en la ejecucin de una auditora. Los eventos pueden ser registrados
en un archivo de auditora (cambios en el sistema, as como la ocurrenciade
cin de otrasnumerosas actividades: logill, archivos de acceso, recursos de acceso, vio- 211
ladones y cambios de acceso). Los reporteadores y otras utilerlas pueden ser SEGURIDAD LOOICA
usadaspara presentar esta informacin continuamente. y CONFIDENCiAliDAD
dicco-
Diseo y administracin. En estos aspectos los auditores internos deben
ema es- revisar lo siguiente:
o
DBMS Localizacin de archivos de seguridad y tablas para asegurar que los
archivos del software de control de acceso estn protegidos.
o
uajede Uso de recursos o controles de acceso a nivel del usuario para asegurar
que el software de control de acceso protege datos y recursos en un
nivel correcto.
o
Archivos de seguridad o encriptacin de tablas usadas para prohibir la
visarse: vista de tablas individuales.
o
Limitaciones de acceso para archivos de seguridad que contienen des-
:iones o cripciones y passuxnds.
o
Limitaciones de acceso a archivos de seguridad a travs de la adminis-
~(carga tracin de comandos de seguridad en lnea Outileras.
[miento La jerarqua de seguridad.
o
Los usuarios encargados de la administracin de la seguridad pueden
usados tener gran capacidad para cierto software.
o
Mtodos y limitaciones sobre archivos de seguridad o modificacin de
consis- tablas.
o
Responsabilidades del usuario para la administracin de la seguri-
dad, particularmente en un ambiente descentralizado, para asegurar
re. que las capacidades definidas son consistentes con las responsabili-
dades.
I cuajes
Definicin de parmetros de seguridad, como los recursos definidos,
ntar los reglas de password, de/al/It de niveles de acceso y opciones de login con
aprobacin de la gerencia, considerando pruebas de proteccin para
reras y
accesar recursos protegidos.
Procedimientos de identificacin del usuario. Los auditores debern revi-

aciones sar y aprobar los mtodos usados para definir usuarios para el software.
Las siguientes situaciones debern ser revisadas por un apropiado ni-
para el vel de direccin:
o
Las identificaciones del usuario para corroborar que sean individuales
y no compartidas.
o
Probar la revocacin de usuarios inactivos,
El despliegue de la ltima fecha y hora en que algn ID especifico fue
usado. Esta informacin podr ayudar para identificar actividades
y vg- ilcitas.
Revocacin o desconexin de identificaciones del usuario siguiendo un
nmero especificode acceso invlido. Este control puede tambin limi-
pueden tar actividades ilcitas.
o
strados El uso de comienzo y fin de fechas para ID de usuario de empleados
ncia de contratados.
o o
212 El uso de grupos de usuarios para el recurso de acceso a los archive
o
CAPiTULO e Los usuarios debern ser asignados a los grupos apropiados.
o
EVALUACIN Propietarios de datos y recursos para asegurar que ellos SOnlos respon-
DE LA SEGURIDAD o
sables apropiados.
o
Procedimientos de autentificacin del usuario. Los auditores internos ",,,.

sarn lo siguiente:
o
o o
Deber ser eval uado el uso de passuord o i"formacin personal duran-
e
te la sesin.
Deber ser identificada la disponibilidad de automatizar funcionesura
vez identificado el usuario, as como la autent icacin de procedimiento!'
Deber ser identificado el uso de passwords por otro personal que III
sean usuarios autorizados. 5iste
e Los procedimientos para el uso de pll55wcrds para asegurarse que -: dmi
est protegido cuando es usado por el usuario. vo, e
o La mscara del password para asegurarse que el rea donde los caracte-
o
res son tecleados no se desplieguen.
La sintaxis del password. Algn software de control de acceso puede
o
restringir el uso de ciertas palabras o cadenas de caracteres.
El mantenimiento de la historia del password. ste puede ser usado paro
o
prevenir a usuarios que reutilizan un pass!lJol'dpor un periodo especfiro.
Procedimientos para suplir identificaciones de usuarios y password. por
procesos batch:

Los recursos para controlar el acceso. Los auditores internos debern re'.,.
sar lo siguiente:
o
o
Posibles niveles de acceso,
Niveles de acceso por defau, particularmente para usuarios o jOb,qll~
no tienen un 11.) de usuario.
o El acceso del usuario a archivos de seguridad. So
o nes
Que la seguridad sea implantada en el nivel correcto.
e Procedimientos para asegurar la proteccin automtica. tos
o pro
Procedimientos para 1,1proteccin de recursos.
Uso de rutas rpidas o funciones aceleradas a travs de controles.
o
o
Controles de acceso sobre aplicaciones loca les o remotas.
Restricciones de acceso sobre recursos crticos del sistema. tales como
sistemas, programas y aplicaciones en ejecucin, libreras del lenguaje.
catlogos del sistema y directorios, diccionarios de datos, logs y archi-
vos de passtoord, tablas de definicin de privilegios, algoritmos de
encriptacin y tablas de datos.
Reportes y vigilancia del software de control de accesos. El auditor intemo
deber revisar:

Login, identificacin del acceso autorizado al sistema y el uso de re-
cursos.
Las identificaciones de acceso no autorizado. 213
la identificacin de archivos de seguridad, mantenimiento a tabla y el SEGURIDAD lOOICA
USO de comandos sensibles. y OONFIDENCI .....IDAD
o El/oSi" de usuarios privilegiados y sus actividades.
Las restricciones de acceso a archivos de /08 del sistema. Estos archivos
frecuentemente contienen las bit~coras de auditora del control de ac-
ceso.
Sistema operativo o software de control de acceso existente.
Las violaciones a la seguridad.
Losarchivos de seguridad y la generacin de reportes de las actividades
del usuario para asegurar que los propietarios de datos y recursos son
notificados de los eventos de seguridad en un periodo determinado.
)j;ttmu operativos. El auditor deber revisar, evaluar y probar el uso y proce-

It'Ilto"que gobiernan programas, usuarios y funciones del sistema opera ti-
e-.pccialmente los siguientes:
las facilidades del sistema operativo, C0l110 son la supervisin y privilegios

para programas y usuarios.
Controles de acceso sobre tablas que definen privllcgios de usuarios, pro-
gnunas y funciones.
Controles de acceso sobre consolas o terminales maestras y privilegios aso-
ciados.
Bitcoras de auditora.
Posibilidad y uso del control de acceso sobre los dtfault de inicio de 10 de
1- usuarios y pa$sUJords.
Comandos de software o funciones que son consideradas importantes, como
mantenimiento de seguridad al archivo de descripciones.
Diagnsnco de utileras del sistema operativo que pueden ser usados para
e leer o almacenar reas que contienen anformacin importante.
Software del sistema manejador de bases de datos. En relacin con las funcio-
nes del $()ftu'ilrt que restringen el acceso a datos y recursos, y los procedimien-
tos que gobiernan el uso de estas funciones, el auditor deber revisar, evaluar y
proba r lo siguiente:
Procedimientos usados por el software de control de acceso para restringir

el acceso a la base de datos y al diccionario de datos.
El diseo de una restriccin de acceso en los archivos por niveles, incluyen-
do restricciones sobre archivos fsicos y lgicos en el OBMS y en el diccio-
nario de datos.
Seguridad de campos, uso de secciones de usuarios y fltlSsU10rds y restriccio-
nes de acceso.
SI el software ejecuta la funcin de identificacin del usuario y procedi-
mientos de autentificacin.
Comandos y funciones del diccionario de datos (ulileras del administra-
dor de la base de datos, comandos para modificar DSMS, archivos O defini-
ciones de archivo).
214 Accesos de los programadores, acceso a OBMS y comandos o funcione>d,
CAl'lTvt.o6 directorio de datos. F
EVALUACIO .. Bit.icoras de auditora.
el rel
DE LA SEGURIDAD
El software de desarrollo que afecta a la seguridad del OBMS. tro1 e
mon
El manejador de la base de datos y el diccionario de datos usualmente "'.
veen utileras para revisar e Imprimir las capacidades de acceso, informdCll;_ 50th
del usuario y bitcoras de auditorlas.
es po
Idee(
Software del manejo de libreras. Las funciones del software restringen el.... los si
ceso a libreras crticas; los procedunientos que gobiernan el uso de esas fun.:;:.
nes debern ser revisados, evaluados y probados. El auditor deber revise I
evaluar)' probar lo siguiente:
t
Documentacin de libreras. ~
n
Programas fuentes y ejccu tablcs.
/01>< en Cjccucin y lineamientos de control. F
Parmetros de corrida. 1
Uso de software para restringir el acceso a libreras.
~
Restriccin del aCCC$O a libreras dc produccin. p
Restricciones de funciones que pueden ser usadas para modificar el e:\u.!:
u
de un programa (pruebas a produccin). J
Acceso a libreras en prueba. ~
Convenciones para dar nombre a libreras que son usadas para facilitarJ
L
seguridad. e
Mtodos para clasificar)' restringir el acceso a hbrenas por tipo (fuen
e
objeto, carga y control de job). e
Si el wftware ejecuta funciones de identific"cin de usuario y procedmie- S
tos de autentificacin. E
ProcedimientOs inusuales de las libreras. e
Capacidades de la bitcora de auditora. S
Los nmeros de versin del software. d
P
Los reportes escritos pueden ser usados para organizar la. actividad", ru
p
las libreras de logs de acceso al software manej,'dor de libreras o bitcoras de
auditora. e
Software de utileras. El auditor deber evaluar, revisar)' probar los siguen' L

procedimientos diseados para limitar el acceso a comandos de utileras o fun- r~'CI,d
ciones: Estos
lo
Funciones O comandos de utilerfas,
Los controles de acceso sobre comandos o funciones de utileras. p
Seguridad de acceso a los programadores para la utilizacin de funcion.... S
comandos de unleras. si
Si el software ejecuta las funciones de identificacin del usuario y proced Iq
mientes de autentificacin. Id
Capacidades de uso de utilera para cada grupo de usuarios. U
Bitcoras de auditora s. ca
L
'iones del
Elsoftware de utileras no provee bitcoras de auditora, por ello debe usarse 215
elreporteescrito del software, para lo cual puede utilizarse el software de con- SEGURIDAD LGICA
trolde acceso, si ste est integrado al software. Debern usarse reportes para y CONFlOENCIALIDAO
monitorearel control de acceso.
ente pro-
rmacin Softwarede telecomunicaciones. El auditor deber revisar, evaluar y probar si
es posible usar las funciones del software que restringe el acceso en las redes de
telecomunicaciones y los procedimientos que gobiernan su uso, especialmente
;en el ac- los siguientes:
isfuncio-
revisar, Restricciones al acceso de la red basados en tiempo, da, usuario, lugar y
terminal.
Apagado automtico de terminales inactivas en un tiempo especfico (ter-
minales que pueden ser usadas).
Facilidad de acceso no autorizado basada en protocolos de transmisin y
lneas para la conexin rpida.
Nmero de seguridad de entrada (revisar la posibilidad de este nmero
para acceso local o tableros de boletn naconal.)
"Autorrespuesta", facilidad de uso sobre mdem.
el estado Horas durante las cuales la lnea est disponible.
Recursos y funciones posibles a travs del acceso de entrada.
Uso de identificacin de la terminal fsicamente.
icilitar la Controles de acceso sobre los recursos de la red.
Controles de acceso sobre tablas de configuracin de red.
(fuentes, Controles de acceso a funciones de la red.
Seguridad fsica sobre lneas telefnicas y telecomunicaciones.
edimien- El uso de red de rea local y la conectividad para otras LAN, W AN o redes
en otro lugar.
o Si el software ejecuta las funciones de la identificacin del usuario y proce-
dimientos de autentificacin.
o Procedimientos para la proteccin de comunicaciones (desde las conexio-
nes hasta la recepcin no autorizada).
jades de POSibilidad y uso de encriptacin de datos O mensajes tcnicos de identifi-
ieoras de cacin.
Los reportes escritos pueden ser usados para reportar las actividades de la
guientes red, de logs de acceso a software de telecomunicaciones O bitcoras de auditora.
aso fun- stos pueden adems hacerlo con el software de control de acceso.
Los reportes especiales de auditora debern contener lo siguiente:
o Personal registrado por el sistema en el que no corresponde el pnssword con

su identificador, o el que ha intentado ms de dos veces entrar al sistema
iciones O
sin un pnssword autorizado.
Identificaciones de usuarios no usados hace seis meses.
proced-
Identificaciones de usuarios con privilegios especiales.
o Un reporte de referencias cruzadas que debe mostrar a los ID usuarios con
cada acceso a las aplicaciones.
Listar todos los 10 usuarios por grupos.
216
CAPITULO 6
EVALUACiN
ENCRIPTAMIENTO
DE LA SEGURIDAD
da ~e
Encriptar es el arte de proteger la informacin transformndola con
Definicin gen~t
minado algoritmo dentro de un formato para que no pueda SCI' lcda ser e
mente. Slo aquellos usuarios que posean la clave de acceso
"desencriptar" un texto para que pueda ser lerdo. Las tecnologlas modernas
encriptamiento nacen casi imposible que una persona no autorizada utili",
informacin.
Encriptar es la transformacin de los datos a una forma en que noseap:
ble leerla por cualquier persona, a menos que cuente con la llave de
cin. Su propsito es asegurar la privacidad y mantener la informacin
de personal no autorizado, aun de aquellos que la puedan ver en forma
tada.
Debido a que Internet y otras formas de comunicacin electrnica" .
convertido en algo normal y rutinario, la seguridad se na convertido en unl
tor muy importante. El cncriptamento se usa para proteger mensajes de CC<1
electrnico (8-mail), firmas electrnicas, llaves de acceso, informacin dcti~
financiero e informacin confidencial. Existen en el mercado diferentes
tes y formas para cncriptar la informacin.
Los sistemas de encriptamiento pueden ser clasificados en sistemas
ve simtrica, los cuales usan una llave comn para el que enva informacien
para el que la recibe, y sistemas de llave pblica, el cua l u ti liza dos llaves.a
que es pblica, conocida por todos, y otra que solamente conoce el recept()(
Para generar una firma digital, se usan algunos algoritmos pblicos.lA
ma digital es un conjunto de datos que son creados usando una llave ""''''
aunque existe una llave pblica que es usada par. verificar que la f1l'llW

I
realmente generada usando la llave privada correspondiente. El algoritm.
do para generar la firma electrnica es de tal naturaleza, que si no se usalal:-
secreta no es posible usar la firma electrnica.
La autentificacin en sentido digital es el proceso por medio del cu~
emisor y Io receptor de un mensaje digital confidencial tiene una identifican
vlida para enviar o recibir un mensaje. Los protocolos de autcnrcaonj
den estar basados en sistemas convencionales de encrlptamtento de llaves,.
cretas, o en sistemas pblicos de encriptamiento. En lo autentificacin des~~
mas de llaves pblicas se usan las firmas digitales.
Firma digital La firmo digital tlcne la misma funcin que la firma escrita en cualquierd-
cumento. La firma digital es un fragmento de informacin confidencial y PIl'fIl con
de cada usuario que asegura a la persona que envfa o autoriza un documenn
receptor o terceras personas pueden verificar que el documento y la firma
ponden a la persona que lo firma, y que el documento no ha sido alterado.
La firma digital es usada para verificar que el mensaje realmente ,""'~.. '.
la persona que se seala como la que lo enva. Tambin puede ser ",sada
certificar que una persona envi un documento o una autorizacin en
po determinado. Existe una serie de firmas digitales que identifican y"""'6",'.
desde el usuario inicial hasta el ltimo usuario.
En el caso de envo de documentos pueden certificar la organizaci6n que Eemplo 1
enva el documento, Su departamento y la persona que lo manda o autoriza.
Un sistema seguro de firmas digitales debe comprender dos partes: un

mtodo para firmar el documento que sea de tal manera confiable que no pue-
deter- daser usado por otras personas, y otro que verifique que la firma fue realmente
generada por el que ella representa, de tal forma que posteriormente no pueda
orrnal-
ser cuestionada.
odrn
El resultado de un conjunto de datos encriptados es la firma digital. Normal-
'nas de
mente, junto COnla informacin, la llave pblica que es usada para firmar. Para
ilice la
verificar la informacin, el receptor primero determina si la Uave pertenece a la
persona a la cual debe pertenecer, y despus de desencriptarla verifica si la infor-
a pos-
macin corresponde al mensaje; entonces la firma es aceptada COmovlida.
escrip-
Criptoanlisis es el arte de desencriptar comunicaciones sin conocer las lla- Criptoanlisis
alejada
ves apropiadas. Existen muchas tcnicas para lograrlo, y entre las ms comunes
encrip-
estn:
se han
un fac-
Ataque a textos encriptados. sta es una situacin en la cual el atacante no
conoce nada acerca del contenido del mensaje, y debe de trabajar nica-
correo mente en el contenido del mensaje. En la prctica es muy posible adivinar
Ie tipo el contenido de algn texto, ya que normalmente tienen encabezados fijos.
paque- Ataque conociendo el texto original. El atacante conoce o puede adivinar el
contenido del texto debido a algunas partes del texto encriptado. El objeti-
de Jla- vo es desencriptar el resto del texto usando esta informacin. Esto tambin
acin y puede ser hecho al determinar la llave usada para encrptar.
es, una Ataque hecho por medio de escoger un texto encriptado. El atacante tiene
otor. el objetivo de determinar la llave con la cual se encript el texto.
La r- Atacar en la parte central. Este tipo de ataque es relevante para la comuni-
iecreta, cacin criptografiada y para los protocolos clave de intercambio. La idea es
rna fue que cuando dos personas estn intercambiando Uaves de seguridad para
10 usa- lograr la comunicacin, el atacante se pone en medio de la lnea de comuni-
laUave cacin. El atacante realiza un intercambio separado de llaves. Posterior-
mente, el atacante, con las llaves de acceso, puede realizar cualquier fun-
cual el cin. Una forma de prever este tipo de ataques es encriptar la llave de acce-
icacin so al momento de enviar; as, una vez enviada, el emisor y receptor verifi-
rn pue- can la firma digital para realizar las operaciones necesarias.
ves se- Ataque en el tiempo. ste es un nuevo tipo de ataque y est basado en la
e siste- medicin repetitiva de los tiempos exactos de ejecucin.
uer do- Aunque existen diversas formas para atacar la informacin encriptada, es
propia conveniente que el programador conozca las formas de encriptamento, sus
mto, El ventajas y desventajas, ast como Su costo, para determinar la mejor para cada
corres- uno de los sistemas, y que el auditor veri fique la forma de encriptamiento y su
). seguridad de acuerdo con los requerimientos de seguridad de cada sistema.
ene de Existen diferentes protocolos y estndares para la criptografa, entre los cua-
la para les estn:
n tiem-
rtifican DNSSEC (Domai" Name Server Secllrity). ste es un protocolo para servicio
seguro de distribucin de nombres.
218 GSSAPI (Gelleric Security Seruices, API). Provee una autentificacin genri-
CAPITULO 6
ca, llaves de intercambio e interfases de encriptamiento para diferentesss- gran
EVALUACiN temas y mtodos de autentificacin. depei
DE LA SEGURIDAD SSL (Secllre Sockel Layer). Es uno de los dos protocolos para una conexin crea"
segura de web. riesg'
SH1TP (Sec"re Hyperlexl Transfer Prolocol). Protocolo para dar ms seguri- vaca
dad a las transacciones de web. yevil
E-Mail (Secflrity and Related Seruices). "0 e
pued
o MSP (Message Security Protocol). zaci6i
T.
PKCS (Public Key ellcryption Slal/dards). posib
SSH2 (Prolocol). bia a
Algoritmos de encriptamiento: sabra
o
Esto'
DIFFLE HELLMAN. aunq
o DSS (Digilal Sigllnture Stalldard).
o
mite,
ELGAMAL. 5<
o LUC. dono
dad
Symetricos. lamo
DES. as CO'J
BLOWF1SH. El
IDEA (IIIlemaliollal Dala Encrvption AIgorilh).
ligro l
RC4. audite
SAFER. fraude
Varios algoritmos de llave pblica, algunos con promisorio futuro; sin em- El
bargo, el ms popular es el RSA (Rivest Slrnmir Adellllan). En algoritmossi- est el
mtricos el ms famoso es el denominado DES y su variante DES-CBC, nal lee
pero el ms reciente es RC4. citado
ver la
centre
palme
SEGURIDAD EN EL PERSONAL cien te
persor
Un buen centro de cmputo depende, en gran medida, de la integridad, estabi-
lidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente
hacerle exmenes psicolgicos y mdicos, y tener muy en cuenta sus antece-
dentes de trabajo.
Se debe considerar sus valores sociales y, en general, su estabilidad, ya que
normalmente son personas que trabajan bajo presin y con mucho estrs,porlo
que importa mucho Su actitud y comportamiento.
-
Caracterlstlcas El personal de informtica debe tener desarrollado un alto sistema ticoy El obj.
del personal de lealtad, pero la profesin en algunas ocasiones cuenta con personas que sub- intern
estiman los sistemas de control, por lo que el auditor tiene que examinar no bido a
solamente el trabajo del personal de informtica,sino la veracidad y oonfiabilidad terrem
de los programas de procesamiento. sea res
genri- En los equ ipos de cmputo es normal que se trabajen horas extra, con 219
ntes sis- STan presin, y que no haya una adecuada poltica de vacaciones debido a la SEGURIDAD
Jtpendencia que se tiene de algunas personas, lo cual va haciendo que se FI$JCA
onexn crean"indispensables", que son muy difciles de sustituir y que ponen en gran
""'&0 a la orgamzacn. Se debe verificar que existan adecuadas polticas de
seguri- laciones (lo cual nos permite evaluar la dependencia de algunas personas,
,,'\ltar esta dependencia) y de reemplazo. La adecuada poltica de reempla-
eeen caso de renuncia de alguna persona permitir que, en caso necesario, se
pueda cambiar a una persona sin arriesgar el funcionamiento de la organi-
oon.
Tambin se debe tener polticas de rotacin de personal que disminuyan la
posibilidad de fraude. Si un empleado est cometiendo un fraude y se le cam-
bia a otra actividad al mes, sera muy arriesgado cometer un fraude porque
sabra que la nueva persona que est en Su lugar puede detectarlo flmente.
Estose debe hacer principalmente en funcin de un alto nivel de confianza,
aunque implique un alto costo. Este procedimiento de rotacin de personal per-
mite,adems, detectar quines son indispensables y quines no.
Se deber evaluar la motivacin del personal, ya que un empleado motiva-
do normalmente tiene un alto grado de lealtad, con lo que disminuir la posb-
lidad de ataques intcuclonados a la organizacin. Una de las formas de lograr
la motivacin es darle al personal la capacitacin y actualizacin que requiere,
as como proporcionarle las retribuciones e incentivos justos.
El programador honesto en ocasiones elabora programas que ponen en pe-
ligro la seguridad de la empresa, ya qUE'no se considera un procedimiento de
audlitora dentro de los programas para disminuir o limitar las posibilidades de
fraude.
snem- En muchas ocasiones el mayor riesgo de fraude o mal uso de la informacin
mos si- est dentro del mismo personal, y la mayor seguridad est en contar COnperso-
5-CBC, nal leal, honesto y con tica, rara lograr esto se debe contar COnpersonal capa-
citado, motivado y con remuneraciones adecuadas. Pero tambin se debe pre-
ver la posibilidad de personal mal intencionado, para lo cual se debe tener los
rontroles de seguridad sealados, los cuales deben de ser observados princi-
palmente por el personal del rea de informtica. El auditor debe de estar cons-
dente que los primeros que deben implantar y observar los controles son los del
personal de inormatica.
estabi-
!fliente
mteoe-
ya que SEGURIDAD FSICA

porlo
tico y El objetivo es establecer polticas, procedimientos y prcticas para evitar las

lesub- interrupciones prolongadas del servicio de procesamiento de informacin, de-
nar no bido a contingencias como incendio, inundacin, huelgas, disturbios, sabotaje,
nlidad terremotos, huracanes etc., y continuar en un medio de emergencia hasta que
sea restaurado E'Iservicio completo.
220
CAPiTULO S
EVALUACiN
UBICACiN y CONSTRUCCiN PISO
DE LA SEGURIDAD
DEL CENTRO DE CMPUTO OCN

En el pasado se acostumbraba colocar los equipos de cmputo en un 1 En la anti;
visible, con grandes ventanales, ya que constituan el orgullo de la organi piSOS elev
cin y se consideraba necesario estuviesen a la vista del pblico, nclusohaa dccmpu
sran cantidad de invitados para conocerlos. Esto ha cambiado de modora t.idoras, p
cal, principalmente por el riesgo de terrorismo O sabotaje. Pinsese que Ul con pisos
persona que desea perjudicar a la organizacin querrd daar el centro de cuente COi
formacin, por lo que en la actualidad se considera extremadamente pelil:! Una e
>O tener el centro de cmputo en las reas de alto trfico de personas. O y protecc
en un lugar cercano a la calle o con un alto nmero de mvitados, adema, Adems,
excesivo flujo de personal interfiere con la eficiencia en el trabajo}' dis= Cerca de 1
la seguridad. rejillas de
Otros elementos referente. al material y construccin del edificio del"" Unpi
de cmputo con los que se debe tener precaucin son los materiales altamer l10 con las
in flarnables, que despiden hu mos sumamente txicos, o las paredes que noquo dad de se
dan perfectamente selladas y despiden polvo (por ejemplo, el tirol planchad Se rec
a menos que tenga sellador), los cuales deben ser evitados. que la su
En lo posible tambin <e debe tomar precauciones en cuanto a la orien, ,.mara p
cin del centro de cmputo (por ejemplo, lugares sumamente callU'OSOS a terminad
que todo el da les est dando el sol), y se debe evitar, en lo posible, los grande poder ser
ventanales, los cuales adems de que permiten la entrada del sol. puedeni sistema y
riesgosos para la seguridad del centro de cmputo.
L.1S dimensiones mnimas del centro de cmputo deben determlnarse pr
la cantidad de componentes del sistema, el espacio requerido para cada u,.,
dad, para su mantenimiento, el rea de operacin. Por ello, las paredes y 1"'111
les removibles pueden ser utilizados para facilitar ampliaciones futuras.En
general, aunque los equipos de cmputo se han reducido en tamao, se debe
considerar el incremento en el nmero de stos yen equipos perifricos.
Adems, en el centro de cmputo se debe prever espacio para lo siguier El equipe
topo de e
Almacenamiento de equipos magnticos. cual se n
Formatos y papel para impresora. ma, as e
Mesas de trabajo y muebles, Los ,
rea y mobiliario para mantenimiento. 1,1S princ
Equ ipo de telccomu nicacionos, Las i
rea de programacin. trecucnn
Consolas del operador. duetos. ~
rea de recepcin. to exteru
Microcomputadoras. mdiquer
Fuentes de poder. Se re
Bveda de segundad.Los archrvos maestros)' lo registros debernsergu ... ,upo:riot
dados en una bveda antuncendio bajo mxima proteccin. suciedac
221
SEGURIDAD
PISO ELEVADO FISICA
O CMARA PLENA
en un Jugar En la antigedad era un requerimiento en todos los centros de cmputo tener
la organiza pisoselevados o pisos (alsos. En la actualidad, CO" los cambios de los sistemas
.ctuso habi.l decmputo, este requerimiento slo es necesario O deseable para macrocompu-
modo rad i tadoras, por lo que habr que verificar con el proveedor la necesidad de contar
!Se que un ron pisos elevados, o bien la conveniencia de tener una mejor instalacin que
entro de in- cuente con el cableado dentro del piso elevado,
nte peli g ro- Una de las ventajas de los pisos falsos es que permiten organizar el tendido
mas, O bien y proteccin del cableado del sistema, y facilitan el reacomodo del sistema.
ademas, el Adems, proveen de un excelente mtodo para llevar el aire acondicionado
disminuYf! cerca de las unidades del sistema, permitiendo la adicin o recolocacin de las
rejillas de aire cuando son agregadas o recolocadas mquinas en la sala.
odel centro Un piso elevado debe ser capaz de soportar una carga uniforme, de acuer-
s altamen tl' do con las especi(icaciones del proveedor; tambin debe considerarse la capaci-
que no que- dad de soportar unidades adicionales segn el potencial de crecimiento.
planchado, Se recomienda que el acabado del piso sea hecho con plstico antiesttico y
que la superficie del piso elevado tenga 45 cm de alto, cuando es usado como
la orienta- cmara plena de aire acondicionado. La altura del plafn, desde el pISO falso
uosos a los terminado, debe ser de 2.4 m. Asimismo, los paneles del piso elevado deben
los grandes poder ser removidos fcilmente para permitir la mstalacin del cableado del
pueden ser sistema y ser de fcil limpieza con trapo hmedo o aspiradora.
linarse por
1 cada uni
fes y pano-
uturas. En ARE ACONDICIONADO
jo, se debe
ieos.
)siguiente: El equipo de aire acondicionado es otro de los dispositivos que dependern del
tipo de computadora que se utilice y del lugar donde est instalado, para lo
cual se recomienda verificar con el proveedor la temperatura mnima y mxi-
ma, as como la humedad relativa en la que debern trabajar los equipos.
Los duetos de aire acondicionado deben estar limpios, ya que son una de
las principales causas de polvo.
Las instalaciones del aire acondicionado son una fuente de incendio muy
frecuente, son susceptibles de ataques fsicos, especialmente a travs de los
duetos. Se deben instalar redes de proteccin en todo el sistema de duetos, tan-
to exteriores como interiores, y deber de contarse con detectores de humo que
indiquen la posible presencia de fuego.
Se recomienda que la presin de aire en la sala de cmputo sea ligeramente
nserguar- superior a la de las reas adyacentes, para reducir as la entrada de polvo y
suciedad.
222 u
equj
CAPITULO e
EVALUACION
INSTALACiN ELCTRICA lador
DE LA SEGURIDAD cin (
rifica
y SUMINISTRO DE ENERGA carga
car 'l1
que e
Uno de los dispositivos que deben de ser evaluados y controlados con m,)U"
comp
cuidado es la instalacin elctrica, ya que no solamente puede provocar fal
fax, y
de energa que pueden producir prdidas de informacin y de trabajo, sino qee
telcvi
es uno de los principales provocadores de incendios.
El auditor debe auxiliarse de un especialista para evaluar el adecuado fu..
no p"
capac
cionamiento del sistema elctrico y el suministro de energa.
y core
Proteccin del Los cables del sistema elctrico deben estar perfectamente identicadc
sistema elctrico ~
(positivos, negativos y tierra fsica); lo ms frecuente es identificarlos por ..
v....
lm
dio de colores (positivo, roJO). Deben de existir conexiones independientes pan
la disi
105 equipos de cmputo; este cuidado se debe tener en las oficinas donde" elevar
conectadas terminales o microcomputadoras, y adems deben estar idenhfic:
una b
das, contar con tierra fsica, 10 cual proteger a los equipos contra un cortoor-
po COI
culto en caso de una descarga. Se debe revisar que se cuente con los planosdJ
ucarru
instalacin elctrica debidamente actualizados.
Es comn en las oficinas que, al no tener identificados los contactos para la,
gas o
computadoras, stos sean utilizados para equipos que pueden producir plce>
rrumE
ya que utilizan grandes cargas de corriente, como fotocopiadoras o aires aro nivele
d icionados.
pido.
Las variaciones de energa en una lnea pueden ser causados por el en,.".
U
dido o apagado de mquinas elctricas, tales como motores, ascensores.eqe-
sea de
pos de soldadura, sistemas de aire acondicionado, etc. El flujo de corriente de
tivo dr
un sistema de iluminacin puede producir "picos de ruidos" que podran.
corrie;
ceder el nivel de energa aceptable para alguna unidad del sistema. Por ello.'
lall.1 e
altamente recomendado que el sistema elctrico utilizado en los equipos d
rrurnp
informtica cuente con tierra fsica, y de ser posible sistemas de corriente con-
pcrio
tinua (lIo-break) y estn aislados con contactos independientes y perfectamen-
de ho
te identificados. En zonas grandes con cargas elctricas industriales O con CO'"
maci
diciones de entrada de potencia marginales puede ser necesario un aislami e,
ES
to adicional para prevenir interrupciones de energa en el sistema.
Lona E
La tierra fsica debe estar perfectamente instalada de acuerdo COnlas espe- mterrt
cificaciones del proveedor, dependiendo de la zona en que est instalado el
no cor
equipo y de las caractersticas de ste.
mavor
Se debe tener una proteccin contra roedores o (auna nociva en los cabk ~lrc.hiv
dc sistema elctrico y de comunicaciones. Es comn que los roedores se coman
preso!!
el plstico de los cables, por lo que se debe tener cuidado de combatir esta fauna
Er
nociva, y tener la precaucin de que el veneno o el fumigante que se use pala
ma bai
combatirla no provoque problemas al personal.
cos no
Los reguladores son dispositivos elctricos que reducen el riesgo de tCM do se l
un accidente por los cambios de corriente. Dichos protectores SOncomnmen~
E~
construidos dentro de un sistema de corriente ininterrumpido UPS (Un;nttml~
sus di'
ble Pouer SllflPly System).
Los reguladores que existen en el mercado pueden funcionar para varios 223
equipos, o bien estar limitados para un reducido nmero (parecidos a los regu-
SEGURIDAD
ladores existentes para las casas). Si se tiene un regulador para toda la instala- FISICA
cin de informtica (incluyendo terminales y mcrocomputadoras), se debe ve-
rificar y controlar que el nmero de equipos conectados sean acordes con las
cargas y especificaciones del regulador. Si son equipos pequeos se debe veri- Reguladores
CM que el regulador sea suficiente para el nmero de equipos conectados, ya
que C5 muy frecuente en las ofici nas que se conecte al regulador no solamente la
m mayor
computadora personal, sino otros dispositivos perifricos, como impresora o
car fallas
fax, y que se llegue hasta conectar otro tipo de equipo elctrico como radios O
sinoque
televisores. Esto puede provocar dos problemas: el primero es que el regulador
no proteja a todos los equipos, ya que el requerimiento elctrico sobrepasa sus
lado fun-
capacidades, y el otro es que se puede provocar una sobrecarga en los contacto>
y consecuentemente una posibilidad de incendio.
rtificados
Tambin se debe tener cuidado en adquirir reguladores que tengan un m-
; por me-
vel rnxirno y un mnimo, ya que existen algunos que en caso de una sobrecarga
ntes para
la disminuyen hasta el nivel aceptable, pero SI existe una baja de corriente no 1.\
mde hay
elevan a niveles mnimos aceptables. En ocasiones perjudica ms a un equipo
lentifica-
una baja de energa prolongada, que no es detectada y provoca que el equi-
cortocr-
lanos de
po contine prendido en un nivel bajo, que una sobrecarga, que hace que automd-
ticamente el regulador o equipo se apague.
Uno forma para asegurarnos de que un regulador actuar en una sobrecar-
.para las
gas o en bajos niveles, es contar con un regulador que tenga un sistema no inte-
:ir picos,
rrumpido (tlo-brenk), ya que en caso de que exista una variacin que pase los
'eS acon ...
niveles mnimos y rnximos, automtlcamente entrar el sistema no interrum-
pido.
-l encen-
Un sistema de energa no interrumpido (UPS) consiste en un generador, ya
"5, equi-
<ea de batera o de gas, que hace interfase entre la energa elctrica y el disposi-
iente de
tivo de entrada de energa elctrica a la computadora. Dar una consistencia a la
nao ex-
corriente elctrica que hace funcionar a la computadora en caso de haber una
rello es
falla en el abastecimiento de energa elctrica. El sistema de energa no inte-
tipos de
rrumpible (UPS) provee de energa elctrica a la computadora por un cierto
nte con-
periodo; dependiendo de lo sofisticado que sea, la corriente elctrica puede ser
:tamen-
de horas o de algunos minutos, de tal forma que permita respaldar la infor-
.oncon-
macin.
lamien-
Es conveniente evaluar la probabilidad de que no se tenga corriente en la
zono en la que se trabaja, para determinar el tiempo que necesita el sistema no
asespe-
interrumpido. Tambin se deben evaluar los problemas que puede provocar el
tlado el
no contar con electricidad y las prioridades y necesidades que se tienen. En la
mayora de 10$ casos se necesita un determinado periodo para respaldar los
s cables
archivos de computadoras personales, y se puede esperar para utilizar la irn-
coman
presora.
afauna
En el caso de sistemas de alto riesgo o costoso." como por ejemplo un siste-
se para ma bancario, no solamente se debe contar con sistemas de reguladores y elctri-
cos no interrumpidos, sino tambin con plantas de IUL de emergencia, para cuan-
etener
do se pierda la energa elctrica por un periodo prolongado.
unen te
En algn momento tal ve", exista la necesidad de apagar la computadora y
trTllph-
sus dispositivos perifricos en caso de que el centro de cmputo donde se en-
cuentre la computadora se incendie O Sihubiera una evacuacin. Losswitchde
224
CAPITULO 6
EVALUACiN
DE LA SEGURIDAD
emergencia sirven para este propsito: uno en el cuarto de mquinas y elotre
cerca, pero afuera del cuarto. stos deben ser claramente identificados conun
letrero, accesibles e inclusive estar a salvo de gente que no tiene autorizacin
SE
para utilizarlos. Los switch deben estar bien protegidos de una activacinacci-
Es rnp
dental.
el da,
Los incendios a causa de la electricidad son siempre un riesgo. Para rcdu
duran
cirio, los cables deben ser puestos en paneles y canales resistentes al niego.Es-
El
tos canales y paneles generalmente se encuentran en el piso del centro de cmpu debei
tooLos cables deben estar adecuadamente aislados y fuera de los lugaresde organ:
paso del personal. Se debe cuidar no slo que los cables estn aislados sino perso,
tambin que los cables no se encuentren por toda la oficina. ingres
Los circuitos ramificados para la iluminacin y los sistemas de aire no de- E
bern estar conectados a los tableros de potencia utilizados por el sistema.
El proveedor debe proporcionar un tablero de distribucin, el que deber o p
contar con interruptor general, voltmetro, ampermetro, frecuentmetro e inte- s.
rruptor individual por cada una de las unidades que configuren en el sistema. o p
El tablero debe ubicarse en un lugar accesible y cada interruptor debe estar re
debidamente rotulado para su fcil localizacin. tE
d
o
o P
ti,
je
SEGURIDAD CONTRA o Pi
p'
DESASTRES PROVOCADOS tr.
o R.
POR AGUA la
tl,
ce
Los centros de cmputo no deben colocarse en stanos o en reas de planta fe
baja, sino de preferencia en las partes altas de una estructura de varios pisos, el
aunque hay que cuidar que en zonas ssmicas na queden en lugares dondeel cr
peso ocasionado por equipos o papel pueda provocar problemas. ci
Se debe evaluar la mejor opcin, dependiendo de la seguridad de acceso" al
centro de cmputo, cuando en la zona existen problemas de inundaciones osen o V
ssmicas. En caso de ser zona de inundaciones o con problemas de drenaje1, SE
mejor opcin es colocar el centro de cmputo en reas donde el riesgo de inun- p'
dacin no sea evidente. E:
Algunas causas de esto pueden ser la ruptura de caeras o el bloqueodel be
drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputoes te
p.
una decisin importante, as como considerar el nivel del manto fretico.
d
Debe considerarse el riesgo que representa el drenaje cuando el centrode
la
cmputo se localiza en un stano. Deben instalarse, si es el caso, detectoresde o A
agua o inundacin, asf como bombas de emergencia para resolver inundacio-
ce
nes inesperadas. se
Otro de los cuidados que se deben tener para evitar daos por agua espo- e,
seer aspersores contra incendio especiales que na sean de agua. el
225
SEGURIDAD DE AUTORIZACiN DE ACCESOS SEGURIDAD
FislCA
utorizacin
acin acci-
Es importante asegurarse que los controles de acceso sean estrictos durante todo
Para redu- el da, y que stos incluyan a todo el personal de la organizacin, en especial
Ifuego. Es- durante los descansos y cambios de turno.
de cmpu- El personal de informtica, as como cualquier otro ajeno a la instalacin, se
debe identificar antes de entrar a sta. El riesgo que proviene de alguien de la
lugares de
organizacin es tan grande como el de cualquier otro visitante. Solamente el
slados sino
personal autorizado por medio de una llave de acceso o por la gerencia debe
ingresar a dichas instalaciones.
aire no de- En los centros de cmputo se pueden utilizar los siguientes recursos:
isterna.
que deber Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe Puertas
retro e nte- ser difcil de duplicar. de seguridad
n el sistema. Puerta de combinacin. En este sistema se usa una combinacin de nme-
debe estar ros para permitir el acceso. La combinacin debe ser cambiada regularmen-
te o cuando el empleado sea transferido O termine su funcin laboral dentro
de ese centro de cmputo. Esto reduce el riesgo de que la combinacin sea
conocida por gente no autorizada.
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de pls-
tico magntica como llave de entrada. Un cdigo especial interno en la tar-
jeta es ledo por un sensor activando el seguro de la puerta.
Puertas sensoriales. Son activadas por los propios individuos con alguna
parte de su cuerpo, como puede ser la huella dactilar, voz, retina, geome-
tra de la mano o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visi-
tantes indicando Su nombre, su compaa, la razn para la visita, la perso-
na a la que visita. El registro se encuentra en la recepcin del centro de
cmputo. Es importante que el visitante proporcione una identificacin con
foto (licencia de manejo o credencial), ya que de otra forma podra inventar
el nombre y no se tendra seguridad. Los empleados deben de portar la
credencial de la empresa con foto, la cual adems de servir de identifica-
cin, se utilizar para sealar las reas de informtica a las cuales tiene
autorizacin de entrar.
Videocmaras. stas deben ser colocadas en puntos estratgicos para que
se pueda monitorear el centro. Los casetes deben ser guardados para su
posible anlisis.
Escolta controladora para el acceso de visitantes. Todos los visitantes de-
ben ser acompaados por un empleado responsable. Se consideran visitan-
tes: amigos, proveedores, ingenieros de mantenimiento y auditoresextemos.
Puertas dobles. Este equipo es recomendable para lugares de alta seguri-
dad: se trata de dos puertas, donde la segunda slo se pueda abri r cuando
la primera est cerrada.
Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsi-
cos no autorizados. Las alarmas contra robo deben ser usadas hasta donde
sea posible en forma discreta, de manera que no se atraiga la atencin hacia
este dispositivo de alta seguridad. Tales medidas no slo se deben aplicar
en el centro de cmputo sino tambin en reas adyacentes.
226 Se deb
vocar ma.~
CAPiTULO S
EVALUACiN
DETECCiN DE HUMO gases tx~
OE LA SEGURIDAD Tamo
y FUEGO, EXTINTORES dio y s he
das de en
Los detectores de fuego y humo se deben colocar tomando en cuenta la(l!rCan. Los ni
o no con los aparatos de aire acondicionado, ya que stos pueden difundir produce!
calor o el humo y no permitir que se active el detector. Los~
El que se elija deber ser capaz de detectar los distintos tipos de gasl'Sqll' falso, repi
desprenden los cuerpos en combustin. Algunos no detectan el humo o elu control ce
por que proviene del plstico quemado que se usa como aislante en eledn' de O a 60
dad, y en consecuencia los incendios ocasionados por un cortocircuito tallO bOQU.illaj
no sean detectados. permitir
Detectores Los detectores de humo y calor se deben instalar en el centro de cmpub\ que el m
de humo en las reas de oficina, incluyendo el depsito de papelera y el permetrofsa los equi
de las instalaciones. E.~necesario colocar detectores de humo y de calorbajo Es ne
piso y en los conductos de aire acondicionado.
Las alarmas contra incendios deben estar conectadas con la alarma cenlll
del lugar, o bien directamente con el departamento de bomberos.
La organizacin se debe cerciorar que los controles de seguridad contri
incendios satisfagan los estndares mnimos del departamento de bomberos.
La documentacin sobre los sistemas, la programacin y las operacers
necesitan una proteccin contra incendios y debe tenerse un sistema de resf'"
do especfico en el plan de contingencias. Se deben establecer procedimien
de respaldo que garanticen la actualizacin de toda la documentacin de mar..
ra rutinaria; las copias de seguridad se deben almacenar en un lugar alejado,s
como las copias de seguridad de los programas y los archivos, los cuales deba
estar debidamente actualizados, documentados y fechados, para cuando~
requeridos.
Debe existir un sistema de deteccin de humo por ionizacin para a\'JS(
anticipado. Este sistema debe hacer sonar una alarma e indicar la situacindi!
detector activado. El sistema de deteccin no debe interrumpir la corriente
energa elctrica al equipo de cmputo. Se debe contar con un dispositivo lT\l-
nual de emergencia para cortar el sistema elctrico y el aire acondicionado
deben instalarse en cada salida del centro de cmputo.
Equipos contra Se deben colocar en lugares estratgicos del centro de cmputo extintores
incendio porttiles de ca (recomendable para equipo elctrico). El equipo para pode
respirar debe estar a la mano, tanto en el rea de cmputo como para el usoo
los bomberos en caso de incendio. Se deben sealizar las salidas de emergcool
(es conveniente que este sealamiento se encuentre en la parte inferior, CCfC&l
al piso, ya que en Caso de humo slo podrn ser visibles en la parte inferior)
En cuanto a los extintores, se debe revisar el nmero de stos, su capacidaj
fcil acceso, pesos y tipo de producto que utilizan. Es muy frecuente que~
tengan extintores, pero puede suceder que no se encuentren recargados o "..
que sean de tan dificil acceso o de un peso tal que sea difcil utilizarlos. L<E

extintores deben estar a la altura tener un peso proporcional al de una m"1'
para que pueda utilizarlos.
Se debe cuidar que los de extintores no sean inadecuados, que puedan pro- 227
vocar mayor perjuicio a las mquinas (extintores lquidos) o que produzcan SEGURIDAD
gases txicos. FislCA
Tambin se debe evaluar si el personal sabe usar los equipos contra incen-
dio y si ha habido prcticas en cuanto a su empleo; que existan suficientes sali-
das de emergencia, debidamente controladas para evitar robos.
ala cercana Los materiales ms peligrosos son las cintas magnticas que, al quemarse,
t difundir el producen gases txicos, y el papel carbn, que es altamente inflamable.
Los detectores de ionizacin del aire deben colocarse en el techo y en el piso
le gases que falso, repartirse de manera uniforme y estar conectados al tablero del equipo de
amo o el va- control contra incendio. En este tablero se localiza un reloj que puede calibrarse
en electrici- de O a 60 segundos; para provocar un disparo de gas debe jalarse a travs de
cuito tal vez boquillas de aspersin estratgicamente colocadas en el techo de la sala, para
permitir la evacuacin del personal y desconectar el sistema. Se debe verificar
1e cmputo, que el material utilizado para extinguir los incendios no provoque problemas a
metro fsico los equipos electrnicos.
calor bajo el Es necesario definir y documentar los procedimientos que se deben seguir
en caso de incendio. Los planes de evacuacin del centro deben estar plena-
arma centra I mente probados y documentados. Adems, se debe entrenar al personal acerca
de su uso, ya que con frecuencia muchos empleados no saben exactamente qu
ridad contra deben hacer en caso de incendio.
bomberos. Las cintas y discos magnticos deben almacenarse en una sala aparte y se
operaciones debe contar con un acceso al rea en donde se localiza el equipo de cmputo.
~ade respal- Esta sala debe contar COn todas las condiciones ambientales y de seguridad ne-
xedmentos cesarias, ya que la informacin almacenada ah tiene ms importancia que el
6ndemane- propio equipo de cmputo. Las cintas y discos magnticos deben almacenarse
If alejado, as en armarios con paredes fabricadas especialmente para resistir por lo menos
cuales deben dos horas de fuego.
cuando sean
n para aviso
situacin del
corriente de TEMPERATURA y HUMEDAD
positivo ma-
idicionado y
Algunos equipos grandes de cmputo (mainrames), o bien las computadoras
to extintores personales que son usadas en zonas muy clidas o desrticas, necesitan de un
) pafa poder sistema de aire acondicionado diseado para estar en operacin constante, con
ara el uso de base en los siguientes parmetros:
e emergencia
mor. cercano Disipacin trmica (BTU). La disipacin trmica de cada unidad de siste-
te inferior). mas es mostrada en unidades trmicas britnicas por hora.
U capacidad, Movimiento de aire (CFM). Los movimientos de aire se muestran en pies
uente que se cbicos por minuto.
'gados o bien Prdidas por transferencia de calor. Existen prdidas por transferencia de
ilizarlos. Los calor, por las siguientes curvas: n) A travs de paredes, pisos y techos, o por
de una mujer la iluminacin; b) diferencias en temperatura entre la sala de cmputo y
reas adyacentes, y e) ventanas expuestas a los rayos del sol.
228 Los cambios de temperatura durante la operacin del computador 11.
CAPrruLO 6 ser disminuidos. La variacin cclica de temperatura sobre el rango com
EVALUACIl'l de operacin no debe realizarse en menos de ocho horas. 12.
DE LA SEGURIDAD La disipacin trmica, el movimiento de aire, as corno los mnimos y m
mos de temperatura y humedad permitidos deben ser especificados porcl PI\)
veedor del equipo, aunque la temperatura ideal recomendada es de 22'C.GI-
neralmente la humedad debe ser agregada, ya que al enfriar el aire '(O rem..,

la mayora del vapor de agua por condensacin.
Se recomienda que se instalen instrumentos registradores de temperann
humedad. Dichos instrumentos son necesarios para proveer un continuo s,
tro de las condiciones ambientales en el rea del equipo,
Los duetos del aire acondicionado deben estar limpios, ya que son ut1i
las principales causas de polvo, y se habr de contar con detectores de
que indiquen la posible presencia de fuego.
Tomando en cuenta lo anterior, en el siguiente cuestionario se COIl"~
las caracterstcas necesarias para evaluar una adecuada seguridad fsica:
13.
UBICACiN Y CONSTRUCCiN DEL CENTRO DE CMPUTO
En
1. El edificio donde se encuentra la computadora est situado a salvo de:
14.
Inundacin? 15.
Terremoto? 16.
Fuego?
Sabotaje?
2. Et centro de cmputo da at exterior? 17.
3. Describa brevemonte la construccin del centro de cmputo: de prelereoca

tomando en cuenta el material con que fue construido. as! como el llQI.CIO t8.
(muebtes, sollas.atc.) det centro.
19
4. nene el cuarto da rnqunas una instalacin de escaparate Y. si es asi.
pueden ser rotos tos vidrios con lacilidad? SI 1<0 20
5. Est el centro de cmputo en un lugar de alto trfico de personas? 21

s( NO
6. Se tiene materiales o paredes inflamables dentro del centro de cmputo? 22

Si NO
7. Se uene paredes que despiden polvo? SI NO
8. Se Uene paredes que no estn adecuadamente selladas? SI NO
9. Se hono grandes ventanales orientados a la entrada o salida del sol? 2<

si NO
10. Existe lugar suficiente para los equipos? NO 21

l,,,,,
ngo completo
deben
11. Est sobresaturada la instalacin? si NO 229
SeGURIDAD
12. Se tiene tugar previsto? ste es el adecuado para: FfSICA
himOSy max-
ospor el pro- Almacenamiento de equipos magnticos. Si NO

Ide 22C. Ce- Formatos y papel para impresora. Si NO
le se rem ueve Mesas de trabajo y muebles. si NO
rea y mobiliario para mantenimiento. si NO
Equipo de telecomunicaciones. Si NO
~mpcratura y
rea de programacin. 51 NO
Sntinuo regs- Consolas del operador. si NO
rea de recepcin. si NO
JI? son una
de Microcompuladoras. si NO
resde humo Fuentes de poder. SI NO
Bveda de seguridad (bveda antllncendlo baJomxima proteccin).
se consignan si ,.jO
id fsica:
PISO ELEVADO O CMARA PLENA
JTO 13. Se tiene piso elevado? 51 NO
En caso afirmativo:
alvode:
14. Est limpia la cmara plena? Si NO
15. Es de fcil limpieza? Si NO
16. El piso es antiesttico? si NO
AIRE ACONDICIONADO
NO 17. la temperatura en la que trabajan los equipos es la recomendada por el

proveedor? si NO
efarancia
.. equipo 18. Los ductos del aire acondlC,onado cuentan con alarmas contra intrusos?
si NO
19. Los duetos de aire acondicionado estn lmpios? NO

SI es asf,
NO 20. Se controla la humedad de acuerdo con las especificaciones del proveedor?
Si NO
as?
HO 21. De qu forma?
'mputo?
22. Con qu periodicidad?
eo
INSTALACiN ELCTRICA Y SUMINISTRO DE ENERGA

NO
23. Se cuenta con tierra fsica? si NO
sol? 24. la tierra fSIca cumple con las disposiciones del proveedor de equipos de
"0 cmputo? si NO
NO 25. Et cableado se encuentra debidamente instalado? NO

230
26. los cables se encuentran debidamente identIficados (pos~ivo.negativo.nena
CAPITULO
8 flsica)? Si >lO
EVALUACIN
OE LA SEGURIDAD
27. los contactos de eqUipo de cmputo estn dellfdamente idenhficaOOlI
si NO
28. En los contactos. est identifICado el posinvo, negatIVOy t.ena fsica?

Si M.
29. Se cuenta con los planos de instalacin efctnca actualizados?

SI
30. Se tiene conectado a los contactos de equipo de cmputo otro equipoe!eo

trnico? So
31 Se tiene instalacin elctrica de eqUipo de cmputo Independiente de0['

.nstaJaOones elctncas? $
32. Se tiene precaucin contra launa nociva?

NO
33. El equipo contra fauna nociva est debidamente protegido y CUidadopar.

no producir problemas al personal? si NO
34. Se utiliza matenal antiesttico? sj
35. Se tienen reguladores para los equipos de cmputo? ..

36. Se verlnca la regulacin de las cargas mximas y mlnimas? SI NO
En caso positivo. con qu periodICidad?
---_ --
37. Se tiene equipo Ininterrumpible?
Si NO
38. Dura el tiempo suncenta para respaldar los archivos o para connnearel
proceso? SI NO
39. Se tiene generadores de comente Ininterrumpida? Si

En caso posluvo, de qu tipo?
--- ---
40. Se prueba su luncionamiento? SI NO
-- __
En caso posltvo, con qu periodicidad?
41. Se tiene switch de apagado en caso de emergencia en lugar visible?

.. NO
42, los cables estn dentro de paneles y canales elctricos? SI NO
43. EXisten tableros de dlSlnbuc.n elctnca? .1

'110. tierra SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA 231
110 SEGURIDAD
44. Se cuenta con alarmas contra Inundaciones? Si NO FISICA
Idos?
''O SEGURIDAD DE AUTORIZACiN DE ACCESOS
ca? 45. Se han adoptado medidas de seguridad en la direccin de informtica?

lo>:) si NO
46. Existe una persona responsable de la seguridad?

NO
47. Existe petsonal de vigilancia en la inst,tucin?
po alee-
NO 48. Se investiga a los vigIlantes cuando son contratados directamente?
si NO
:le otras
NO 49. Se controla el trabajo fuera de horario? sr NO
"O
50. Se registran las acciones de los operadores para evitar que realicen alguna
que pueda daar el sistema? sr NO
do para
51. Se identifica a la persona que Ingresa? sr NO
NO
52. De qu forma?
'1O
53. Cmo se controla el acceso?

NO
Vigilante. ( )
Recepcionista. ( )
Tarieta de control de acceso. ( )
Puerta de combinacin. ( )
NO Puerta con cerradura. ( )
Puerta electrnica. ( )
nuar el Puerta sensorial. ( )
NO Registro de entradas. ( )
Puertas dobles. ( )
"O Escolta controlada. ( )
Alarmas. ( )
Taljetas magnticas. ( )
Control biomtrico. ( )
"O Identificacin personal. ( )
54. Existe vigilancia en el cuarto de mquinas las 24 horas? si NO
55. Se ha instruido a estas personas sobre qu medidas tomar en caso de Que

alguien pretenda entrar sm sutonzacin? si NO
,.o 56. Son controladas las vrsnas y demostraciones en el centro de cmputo?

si ,<lO
Cmo son controladas?
232 57. Se registra el acceso al cuarto de personas ajenas a la direccin de InfOf 66. S
CAPITULO 6 mtca? 51 1()
EVAlUACIN
OE LA SEGURIDAD (NO
DETECCiN DE HUMO Y FUEGO. EXTINTORES
67 SI
58. Existe alarma para: aul
Detectar fuego (calor o humo) en forma automtica? ( 1 68. SI

Avisar en forma manual la presencia del fuego? ( ) pa
Detectar una fuga de agua? ( )
Detectar magnetos? ( ) 69 SI
No existe? ( 1
59. Estas alarmas estn:
au
En el cuarto de mquinas? (
En la cintoteca y discoteca? (
En las bodegas? (
En otros lados? (

60. EXiste alarma para detectar condiciones anormales del ambiente:
En el cuarto de mquinas? ( 1 71
En la cintoteca y discoteca? () si
En la bodega? ()
En otros lados? ( ) 72,
Cules?
73
e
61. La alarma es perfectamente audible? sr
74.
62. La alarma est conectada:
75.
Al puesto de guardias? (
A la estacin de bomberos? (
A algn otro fado? (
Otro. (
63. Existen extintores de fuego:

76.
Manuales? (
Automticos? ( 77,
No axrsten. (
64. Se ha adiestrado el personal en el manejo de los eXlJntores? Si NO

78
65. Los extintores, manuales o automticos, funcionan a base de:
Agua.
Gas.
Otros.
de infor- 66. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 233
NO 51 NO SEGURIDAD
FISICA
(NOTA: Verifique el nmero de extintores y Su estado.)
67. Si es que existen extintores automticos. son activados por los detectores
automticos de fuego? Si NO
68. Si los extintores automticos son a base de agua. se han tomado medidas
para evitar que et agua cause ms dallo que el luego? Si NO
69. Si los extintores automticos son a base de gas. se han tomado medidas
para evitar que el gas cause ms dao que el fuego? si NO
70. Existe un lapso de tiempo suficiente. antes de que funcionen los extintores
automncos, para que el personal:
Corte la accin de los extintores por uaterse de falsa alarma?

si NO
Pueda cortar la energla elclrlca? si NO
Pueda abandonar el local sin peligro do lntoxlcacin? Si NO
Es Inmediala su accin? si NO
71. Los interruptores de energa estn debidamente protegidos. etiquetados y

sin obstculos para alcanzarlos? Si NO
72. Saben qu hacer los operadores del cuarto de mquinas en caso de que
ocurra una emergencia ocasionada por luego? 51 NO
73. El personal ajeno a operacin sabe qu hacer en el caso de una emergen-

cia (incendio)? SI NO
74. Exlsle salida de emergencia? 110
75. Esta puerta slo es posible abnrta:
Desde el interior?
Desde el exterior?
Por ambos lados?
76. Se revisa frecuentemente que no est abierta o descompuesta la cerradura

de esta puerta y de las ventanas. Si es que existen? Si NO
77. Se ha adiestrado a todo el personal en la forma en que se deben desaojar

las instalaciones en caso de emergencia? si NO
HO
78. Se han tomado medidas para minimIZar la posibilidad de luego:
EVllando articulos in"amables en el cuarto de mquinas? )

Prohibiendo fumar? )
Vigilando y manteniendo el sistema elctroco? )
No se ha previsto. )
234 79. Se tienen identificadas Y sealadas las salidas de emergencia?
SI >1)
CAPITuLO 6
EVALUACIN
DE LA SEGURIDAD 80. Se encuentran las seazaciones en la parte infenor y supenor de los pa.
sillos? 51 NO
81. Se cuenta con mscaras contra gases o sistemas porttiles de oxigeno?

si >1)
82. Se tiene bveda contra incendio? Si NO
SEGURIDAD EN GENERAL
83. Se controla el prstamo de:
Elementos magnticos? ( )
EqUipo? ()
Software? ()
84. Explique la forma en que se ha clasificado la informacin: vital. eseflCl3l no
eserlOal. etctera
85. Se cuenta con copias de los archivos en un lugar distinto al de la compu

tadora? SI
86. Explique la forma en que estn protegidas ffsicamente estas coplas (bvaCla,
cajas de seguridad. etc.) para garantizar su integridad en caso de Incendo.
inundacin, terremoto, etctera.
87. Se tienen establecidos procedimientos de actualizacin para estas copias?

SI NI.
88. Indoque el numero de cooias que se benen de acuerdo con la forma en CI
se clasifica la informacin.
89. Existe departamento de auditora Interna en la Insmucln? si >1)
90. Este departamento de auditora Interna conoce todos los aspectos de los
sistemas? Si NO
91. Qu tipos de controles ha propuesto?
NO
92. Se cumplen?
93. Se auditan los sistemas en operaCIn? s
94. Con qu frecuencia?:
Cada sers meses. ()

Cada ao. ()
Otra (especifique). ( )
235
95. Cundo se efectan modificaciones a los programas. a iniciativa de quin?:
SEGURIDAD
NO FISlCA
()
Usuano. ( )
los pa- Director de informtica.
( )
NO Jefe de anlisis.
()
Programador. ( )
ilElno? Otras (especifique).
NO
NO 96. La solicrtud de modificaciones a los programas se hacen en forma:

()
Oral. ()
Escnta.
(En caso de ser escnta solicite formatos.)
97. Una vez efecluadas las modificaciones, se presentan las pruebas a los
interesados? Si NO
1CIaI. no NO
98. EXIstecontrol estneto en laS modlficaaones7
99. Se revisa que lengan la fecha de las modificaciones cuando se hayan

compu- efecluado? si NO
NO
lOO. Se venfJC3idenbhcaCJJ'l:
:>Y9d8.
ndlO. ()
De la terminal?
( )
Del usuario?
No se pide identificacin.
()
copias?
NO
NO 101. Se ha estableCIdOel nivel de usuano de la informacin?
en que
102. Se ha establecido un numero mximo de Violaciones en sucesin para
que la computadora cierre esa terminal y se d aviso al responsable de
ella? si NO
'1()
103. Se registra cada violacin a los procedimientos con el fin de llevar esta-
de los
,1()
c_~
dfstlcas y frenar las tendencias mayores? SI
.
104. Existen controles y medidas de segudad sobre las siguientes opera-
Cules son?
NO
NO
Recepcin de documentos. ( )
NO ( )
Informacin confidencial.
Captacin de documentos. ( )
( )
Cmputo etectrnlCO.
Programas. ( )
Discotecas y clntotecas. ( )
Documentos de salida. ( )
Archivos magnticos. ( )
236
OperaCIndel eqUipo de computacin. ( )
CAPITULO 6 En cuanto al acceso de personal. ( )
EVALUACiN
Identificacin del personal. ( )
DE LA SEGURIDAD
Poliera. ( )
Seguros contra robo e incendio. ( )
Cajas de seguridad. ( )
Otras (especifique). ( )
SEGURIDAD EN CONTRA DE VIRUS

Un virus de computadora es un programa o serie de instrucciones que al~
tar otros programas provoca que se modifiquen sus instrucciones, o bienqut
infectar los datos y la informacin provoque variaciones en los resultad... L.'
cialmente previstos. Su comportamiento y consecuencias pueden evolua_
mediante un nmero finito de instancias.
Los daos que puede provocar un virus san de muy diversa ndole, pel
uno de los principales es el psicolgico. ya que muchos usuarios, cuando tienen
cualquier tipo de problema, lo primero que piensan es que es un virus, sin eu-
minar si se equivocaron o si el sistema tiene problemas (IIII8S), lo primcro euqse
se piensa es en un virus,
Los daos ms com unes son los siguientes:
IDaliOS de virus o Suplantacin de datos.

o Eliminacin aleatoria.
o Destruccin de la produccin.
o Modificacin de los cdigos de proteccin.

o Bloqueo de redes.
o Cambios de informacin entre usuarios.

o Por medio de un canal encubierto, cambiar, accesar O difundir cLm?sd!
seguridad.
o Modificacin de informacin de salida o de pantallas.
o Saturacin, red uccin de disponibilidad O cambio de parmetros.
o Combinacin de los anteriores.

En un principio los virus infectaban la parte protegido de la memoriao deks
programas; despus, se extendieron, en el sentido de que no slo infectabanal
usuario, sino a otros posibles usuarios de la informacin. Esto se presentaba prin-
cipalmente en IJS redes y en las bases de datos, pero en la actualidad tambinse
tiene el problema de persistencia, ya que el virus puede estar encapsulado, hasta
que suceda un evento (fecha), O bien tenga posibilidades de infectar al sistema.
Para evitar que los virus se diseminen por todo el sistema ccmputanzade
por las redes se debe:
o Utilizar paquetes y programas originales. Sed

o Umitar la utilizacin en comn. Slo permitir el acceso a la parte del Se"" el p
ma O del programa autorizado para cada usuario. el p
Limitar el trnsito. Evitar que todos los usuarios puedan navegar por todos 237
los sistemas. Restringir el trnsito entre usuarios o entre sistemas (lo cual es SEGURIDAD
difcil y va en muchos casos en contra de la filosofa de uso de la informa- EN CONTRA DE
cin y de comunicacin). VIRUS
limitar la programacin y controlarla adecuadamente.
El problema de los virus en muchas ocasiones son los ciclos interminables; Analizadores
ya que se desinfecte una parte del sistema o algunos usuarios, el virus puede de virus
seguirlatente e infectar nuevamente a I sistema. Esto sucede sobre todo cuando
elsistema se encuentra en operacin. Para poder tener una cura parcial se debe
dividir el sistema o los usuarios de tal forma que se pueda desinfectar una parte
sinsuspender totalmente la operacin del sistema. Por lo anterior se recomien-
daque a la primera posibilidad de virus se apague el sistema y se evale hasta
al infec- serdesinfectado, lo cual a su vez puede provocar tambin el problema psicol-
n que al gicode estar pensando que la primera falla que se tenga, se trate de un virus.
dos ini- Se debe tener vacunas contra virus; el problema es que generalmente estas
ucionar vacunas no cubren todos los virus, por lo que se requiere actualizarlas constan-
temente.
le, pero Otra forma de protegerse es a travs de analizadores de virus. Estos pro-
o tienen gramas detectan la existencia de un virus en el momento de la inicializacin
sin exa- (bootstrnp) de las computadoras personales. Estos analizadores presentan pro-
oen que blemas, ya que son costosos y poco efectivos para todos los diferentes virus,
aunque son actualmente muy popu lares en el mercado. Un analizador real-
mente efectivo debe detectar el virus antes de que ataque.
Entre los problemas en la utilizacin de analizadores y de vacunas contra
virus estn:
Son efectivos solamente contra virus conocidos o patrones de ataques cono-

cidos.
Utilizan muchos recursos y tiempo para detectar virus en redes para anali-
zar un sistema en busca de los patrones conocidos.
aves de En algunos de los casos, los ataques vienen del interior de la organizacin.
Para que puedan seguir siendo efectivos se deben actualizar constantemente.
Algunos no son efectivos para detectar virus evolutivos, los cuales cada da
son mas frecuentes.
Algunos producen resultados positivos falsos, creando efectos psicolgicos.
ode los Las personas no utilizan los programas analizadores de manera confiable.
aban al
oa prin-
ibin se
o, hasta PROTECCIONES CONTRA VIRUS
stema.
izado o
y ELEMENTOS A AUDITAR
Se debe evaluar y auditar que todos los paquetes que se utilicen sean originales;
elsste- el problema est en descubrir qu elemento puede servir para determinar que
el paquete es original.
238 Para ello se tiene la factura, el disquete original, el manual, la hoja dcgJru. sus 4111
Ha, aunque en algunos casos se compra la au torizacin corporativa (IiCftld C.)lU.":;0

CAPITUl.O e
EVALUACiN para el uso de un nmero determinado de copias, lo cual dificulta evaluar E
DE LA SEGURIDAD
todas las copias que se tienen sean autorizadas. l~tadol
En un principio, los virus se encontraban principalmente en los progr~ siones
de juegos, por lo que se deben eliminar los juegos en todos los equipos <orto l!
oficinas, ya que stos, en primer lugar, no tienen por qu estar en compuu. la
para trabajo y, en segundo, esto disminuye la posibilidad de infectar las dore" (
tadoras. ataque
Se debe verificar que todas las computadoras tengan analizador, en los
desnfectadores de virus instalados y actualizados.
Los sistemas deben estar debidamente aislados, de tal (arma que un ,i I
ma slo pueda accesar la informacin que requiera y no pueda entrar a,.
sistema o base de datos.
Se debe prohibir la utilizacin de diquetes externos, a menos que seand.....
damente probados y desinfectados. IIQCkerS
Se debe vigilar como parte esencial y primaria que exista una defen... perder
tra la introduccin de algn virus, y en caso de que se infecten las computildocll; medio
tener un adecuado procedimiento para desinfectarlas.
Deben de existir polticas y procedimientos de actuacin en caso d.
exista un virus, tanto pa ra computadoras personales como para redes, y la
rna de desinfectarlos y restaurar el sistema (poltica de cncuntralo, elimnalo
aljate). En algunas parles se han creado los equipos conocidos como CER
(Computer Emergellcy Ilesl'ollse Team: equipo de respuesta de emergencia, di
computadora), cuya funcin es preparar a la organizacin para dar respuesu
problemas relacionados COnla computadora, los cuales tienen bajo su re;p>
sabilidad los planes de contingencia, emergencia y contra virus. nos es
El equipo tiene la responsabilidad de detectar cualquier problema d. \ vulner
capacitar a los usuarios, determinar las precauciones tcnicas necesarias, y Ce
gu rar que los sistemas tcnicos y humanos funcionen adecuadamente en (lI de cab
de una emergencia. ras las
Desafortunadamente, las leyes contra los virus, principalmente los mahoe
sos, no han evolucionado al ritrno de la tecnologa (se considera delito slo CU.lll fin~
do Ja persona actu en forma maliciosa e intencional), y la deteccin del orig'" Se ~~,
de los virus es cada da m.is complicada. 'crviC
dios d
legti
PI
Internet vulne
Inernet es una asombrosa creacin que ha reforzado nuestra economa; replt

senta todava un trabajo en marcha, capaz de ser derrumbado con sorprenden
te facilidad. Incluso Jos gigantes del cibercomercio no son ms resistentes. Todo
lo que se necesita es un bien dirigido ataque de degeneracin de servicios (DC6
por sus siglas en ingls) para causar daos, al menos temporalmente.
La degeneracin del servicio se hace por medio de plantar, primero, un
software "esclavo" en computadoras de terceras partes o "zombies". En
momento, esos programas esclavos utilizan la capacidad de procesamiento Jr
.degaran- susanfitriones para enviar una torre de mensajes destructivos a los servidores 239
I (licencia) queson su verdadero blanco. SEGURIDAD
,aluar que En 1998, el Equipo de Respuestas a Emergencias Informticas (CERT) de EN CONTRA DE
Estados Unidos comenz a prevenir a la comunidad ciberntica sobre las incur- VIRUS
nograrnas siones de DOS, y admiti que: "No podrn prometer que esto desaparezca a
pos de las corto plazo."
putadoras La solucines la proteccin de todo ciberespacio contra programas depreda- La degeneracin
ss compu- dores que reclutan a decenas y hasta cientos de mquinas inocentes para un del servicio DOS
ataque de DOS. Los proveedores de servicio de Internet debern instalar filtros
sadores y en los datos que transmiten, y los auditores debern cuidar que slo se utilicen
servicios de Internet con proveedores que proporcionen este servicio. Las agen-
~un siste- das de seguridad debern introducir agentes zombies que husmeen en busca
rar a otro de informacin indeseada, O bien por medio de rompecabezas criptogrficos
que abrumen a las mquinas agresoras.
lean deb- Los hackers malvolos, que intentan obtener ganancias financieras, o los
hackcrs conocidos como de sombrero negro, que intentan divertirse al echarle a
fensa COn .. perder el da a un usuario de Internet, en la actualidad SOn combatidos por
lutadoras, med io de hackers de sombrero blanco, que trabajan en firmas de seguridad.
La misma conexin que hace a la red tan robusta, tambin la deja vulnera-
;o de que ble al efecto del eslabn dbil de la cadena. La apertura y facilidad con que
;,y la fOr- millones de personas pueden compartir la informacin, tambin pone en peli-
imnalo y gro la intimidad. La mayora de los ataques no son diseados para introducirse
no CERT en los sistemas, sino simplemente para hacerlos ms lentos. Pero los allanamien-
encas de tos no son difciles y pueden venir ms problemas.
spuesta a Si los datos no se protegen apropiadamente, la Informacin personal que se
u respon- transmite en lnea deja a la Web vulnerable al robo de identidad. Los funciona-
ros estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de
de virus, vulnerar o penetrar las computadoras del goberno."
ias, y ase- Con un nmero creciente de conexiones permanentes, tales como mdem
'e en caso de cable, los hackers malvolos podran husmear digitalmente por las cerradu-
ras las vidas de las personas y la privacidad de las empresas.
smalicio- Los hackers usan herramientas de software para merodear por el sistema, a
locuan- fin de encontrar debilidades que los operadores de redes no han enmendado.
lelongen Se est a merced de los adrnirtistradores de sitios web y de proveedores de
servicios de Internet para mantenemos a resguardo contra los defectos y reme-
dios de seguridad. Lo ms peligroso es que los hnckere podran obtener empleos
legtimos en cualquiera de las organizaciones que han sido afectadas por ellos.
Por lo anterior, para que el auditor se asegure que la informacin no sea tan
vulnerable:
a; repre- Se debe utilizar siempre software antivirus y actualizarlo con frecuencia

prenden- para alejar programas destructivos.
tes. Todo No se debe permitir que comerciantes en lnea almacenen informacin de
os(DOS, la empresa o de las personas.
nero, un
N. En un
tiento de Ne-.vsZQl!tk, 23 de febrero de 2000.
240 Se debe utilizar contraseas difciles que combinen nmeros y letras, l'
CAPiTULO S deben cambiar con frecuencia. de 1,
EVALUAC.ON Se deben utilizar diferentes contraseas para sitios en la red y aplicacionc-
DE LA SEGURIDAD para despistar a posibles hackers. rark
Se debe utilizar la versin ms actualizada del navegador de red, 50th< vam
de E-mail y otros programas. cont
Se deben enviar lo> nmeros o informacin confidencial solamente a "bOl desl
seguros; se debe buscar el icono de candado o llave en el navegador
Se debe confirmar que se trata del sitio que se busca. Hay que tener cuidr- lo po
al teclear. siste
Se deben usar programas de seguridad para controlar los cookie qllec .. prc
van datos de vuelta a los sitios web. I
Se debe instalar software para inspeccionar el trMico si se usa DSL o Ul cm
mdem de cable para conectarse a la red.
No se deben abri r agregados de E-mail a menos que se conozca la (uen!<
del mensaje recibido.

SEGUROS
Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos q..'
entraa la computacin, ya que en ocasiones el riesgo no es claro para las COI"
paas de seguros, debido a lo nuevo de la herramienta, a la poca expeneno
existente sobre desastres y al rpido avance de la tecnologta.
Como ejemplo de lo anterior tenemos las plizas de seguros contra desa
tres, ya que algunos conceptos son cubiertos por el proveedor del servieo !
mantenimiento, lo cual hace que se duplique el '<'guro, o bien que sobreveng-e
desastres que no son normales en cualquier otro tipo de ambiente. (
Se deben verificar las fechas de vencimiento de las plizas, pues puede 'u 1
ceder que se tenga la pliza adecuada pero vencida, y que se encuentre acloah 1
zada COnlos nuevos equipos. 1
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable I
que una sola pliza no pueda cubrir lodo el equipo COnlas diferentes caracter
licas (existe equipo que puede ser transportado, como computadoras persoe
Capacidad
I~, Y otras que no se puro en mover, como unidades de disco duro), por lo que
tal vez convenga tener do> o ms plizas por separado, cada una con las e5J'l'O'
licaciones necesarias.
Se debe tomar en cuenta que existen riesgos que son difciles de evaluarr
e
del seguro de asegurar, como la negligencia. DE
El costo de los cqu ipos puede variar, principa Imente en aquellos pases que
tienen grandes tasas de inflacin O de devaluacin, por lo que los seguros deben
estar a precio de compra (valor de adquisicin de nuevo equipo con igual, Enla
caractersticas) y no a precio al momento de contratacin del seguro. doa
El seguro debe cubrir tanto daos causados por factores externos (terremo- cin
to, inundacin, etc.) como mternos (daos ocasionado> por negligencia de o en<
operadores, daos debidos al aire acondicionado, etctera). estip
rs, y se Tambin se debe asegurar contra la prdida de los programas (software), 241
dela informacin, de los equipos y el costo de recuperacin de lo anterior. SEGUROS
ciones, En el caso de los programas se tendr en cuenta en el momento de asegu-
rarlosel costo de elaboracin de determinado equipo, el costo de crearlos nue-
vamentey su valor comercial. En el caso del personal, se pueden tener fianzas
rontra robo, negligencia, daos causados por el personal, sabotaje, acciones
a sitios deshonestas, etctera.
Es importante que la direccin de informtica est preparada para evitar en
aidado lo posible el dao fsico al personal, oficinas, equipo de cmputo, as como al
sistemade operacin. Adems, deber tener cuidado de que existan normas y
lue en- prcticaseficaces.
Como ejemplo y en forma genrica, por lo comn un seguro de equipo de
Lo un cmputo considera lo siguiente:
fuente Sienes que se pueden amparar. Cualquier tipo de equipo electrnico, como:
de cmputo, de comunicacin, de transmisin de radio y televisin, etc.
Con excepcin de los que formen parte de equipo especial en automviles,
camiones, buques, aviones.
Riesgos cubiertos. La cobertura bsica cubre contra todo riesgo de prdida
sbita, accidental e imprevista, con excepcin de las exclusiones que se in-
dican en las condiciones generales de la pliza. Esta cobertura ampara ries-
rmno, gos como: incendio, rayo, explosin, implosin, arcos voltaicos, cortocircui-
osque tos, sobretensones, etctera.
s com- Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso,
rienda como son: terremoto y erupcin volcnica; huracn, cicln y tifn; equipos
mviles o porttiles; huelgas y motn; hurto.
desas- Exclusiones. Las indicadas en las condiciones generales de cada seguro.
iciode Suma asegurada. En todos los casos se tiene que reportar COmosuma ase-
'engan gurada el valor de reposicin de los equipos a asegurar (a valor nuevo sin
descontar deprecacin).
'de su- Primas, cuotas y deducibles. Dependen del tipo de equipo.
ctual- Indemnizacin en caso de siniestro, Las prdidas parciales se indemnizan a
valor de reposicin (valor nuevo) y las prdidas totales a valor real (valor
obable nuevo menos depreciacin).
terfs-
rsona-
laque
!Spec-
CONDICIONES GENERALES DEL SEGURO
iluar y
DE EQUIPO ELECTRNICO
es que
deben
guales En la pliza de seguro se certifica que, a reserva de que el asegurado haya paga-
do a los aseguradores la prima mencionada en la parte descriptiva, y con suje-
tremo- cin a los dems trminos, exclusiones, disposiciones y condiciones contenidas
de los o endosadas, los aseguradores indemnizarn en la forma y hasta los lmites
estipulados en pliza.
242 Una vez que la instalacin inicial y la puesta en marcha de los bienesasegu prd id
CAPITULO 6 rudos haya finalizado satisfactoriamente, este seguro se aplica, ya sea qllel~ estar ..:t
EVAlUACION bienes estn operando o en reposo, o hayan sido desmontados con el prop';;,. os si
DE LA SEGURIDAD de ser limpiados o reparados, o mientras sean trasladados dentro de 105 pmJ
estipulados, o mientras se estn ejecutando las operaciones menoonads
durante el remontaje subsiguiente.
Cond
I.a
Exclusiones generales el!
qu
Los aseguradores no indemnizarn al asegurado respecto a prdidas o daO! El
directa o indirectamente causados o agravados por:
Guerra, invasin, actividades de enemigo extranjero, hostilidades (ron

sin declaracin de guerra, guerra civil, rebelin, revolucin, insurrea'"\
motn. tumulto, huelga, paro decretado por el patrn, conmocin civil
der militar o usurpado, grupos de personas maliciosas o personas .ctu.
do a favor o en conexin con cualquier organizacin poltica, conspiraoo
confiscacin, requisicin, destruccin o dao por orden de cualquiergo-
bierno de jure o defndo, o de cualquier autoridad pblica.
Reaccin nuclear radiacin nuclear o contamiuacn radiactiva.
Acto intencional o negligencia manifiesta del asegurado o de sus represm
tan tes.
La compaia aseguradora en ningn caso sera responsable por: prdidlo e

daos materiales, perjuicios O gastos causados, directa o indirectamente, P' le
falta de funcionamiento o por fallas, errores o deficiencias de cualquier dspo, A
tivo, aparato, mecanismo, equipo, instalacin o sistema, sea o no propiedad o-
asegurado o que est bajo controlo simple posesin, como consecuencia de'"
incapacidad de SlIS componentes fsicos o lgicos. o
Para efectos de esta clusula, se entiende por componentes lgicos lossse-

mas operativos, programas, bases de datos, lneas de cdigo, aplicacionesy
dems elementos de computacin electrnica, tambin denominados software o
y por componentes fsicos, los dispositivos electrnicos o electromecanicos.e-

les como procesadores, microprocesadores, tarjetas de circuitos impresos,ds-
ros, unidades lectoras, impresoras, reproductoras, conmutadores, equipos de
control y dems elementos conocidos bajo la denominacin genrica de hanJ.
ware.
No obstante lo anterior, y nicamente aplicable para los riesgos de in~
dio, rayo y I o explosin, cada de aviones (u objetos cados de ellos), vehculo-
y humo, granizo, terremoto; erupcin volcnica e inundacin, un dao directo
ocurrido de forma accden tal, sbita e imprevista, generado consccuencialmeoe
por las prdidas o daos excluidos por la presente clusula, gozara de cobertu nv
ra, siempre y cuando se establezca como amparado en las condiciones delcon- pu
trato de seguro.
En cualquier accin, litigio y otro procedimiento en el cual los aseguradores rcp
alegaran que, a causa de las disposiciones de las exclusiones anteriores, a1guN h)5 I
!sasegu- prdida, destruccin O dao no estuviera cubierto por este seguro, entonces 243
I que los estar a cargo del asegurado el probar que tales prdidas, destrucciones o da- SEGUROS
ropsito os s estn cubiertos por este seguro.
rpredos
nadas, o
Condiciones generales
La responsabilidad de los aseguradores slo proceder si se observan y

cumplen fielmente los trminos de la pliza, en lo relativo a cualquier cosa
que debe hacer o que deba cumplir el asegurado.
o daos El asegurado, por cuenta propia, tomar todas las precauciones razonables
y cumplir con todas las recomendaciones hechas por los aseguradores,
con objeto de prevenir prdidas o daos y cumplir con los requerimientos
s (con o legales y con las especificaciones tcnicas del fabricante.
rreccon, Los representantes de los aseguradores podrn en cualquier fecha razona-
rivil, po- ble inspeccionar y examinar el riesgo, y el asegurado suministrar a los
Iactuan- representantes de los aseguradores todos los detalles e informaciones nece-
racn, sarias para la apreciacin del riesgo.
uier go- El asegurado notificar inmediatamente a los aseguradores, por telegrama
y por carta, cualquier cambio material en el riesgo y tomar a su propio
costo todas las precauciones adicionales que las circunstancias requieran
epresen- para garantizar un funcionam.iento confiable de la maquinaria asegurada.
Si fuera necesario, se ajustarn el alcance de la cobertura y / O la prima,
segn las circunstancias. El asegurado no har ni admitir que se hagan
rdidas, cambios materiales que aumenten el riesgo, a menos que los aseguradores
nte, por le confirmen por escrito la continuacin del seguro.
disposi- A! ocurrir cualquier siniestro que pudiera dar lugar a una reclamacin, se-
xlad del gn esta pliza, el asegurado deber:
ca de la
o
Notificar inmediatamente a los aseguradores, por telfono o telgrafo,
ossiste- y confirmarlo por carta certificada indicando la naturaleza y la exten-
rioncs y sin de la prdidas o daos.
oftware, o
Tomar todas las medidas dentro de sus posibilidades para minimizar
COS, ta- la extensin de la prdida O dao.
50s" dis- o
Conservar las partes daadas y ponerlas a disposicin de un represen-
upos de tante O experto de los aseguradores para su inspeccin.
le hard- o
Suministrar toda aquella informacin y pruebas documentales que los
aseguradores le requieran.
e incen- o
Informar a las autoridades judiciales respectivas, en caso de prdidas o
ehculos daos debidos a robo con violencia, asalto y / o hurto.
, directo
almente Los aseguradores no sern responsables por prdidas O daos, de los cuales
:obertu- no hayan recibido notificacin dentro de un determinado nmero de das des-
del con- pus de su ocurrencia.
Una vez notificado a los aseguradores, podr el asegurado llevar a cabo las
radores reparaciones o reemplazos de prdidas de menor cuanta, debiendo en todos
. alguna los dems casos dar a un representante de los aseguradores oportunidad de
244 inspeccionar la prdida antes de que se efecten las reparaciones o altera( El
CAPiTULO 6 nes. Si el representante de los aseguradores no llevara a cabo la inspeccinde!> P
EVA.LUACIN IrO de un lapso considerado como razonable bajo estas circunstancias, el~ rre
DE LA SEGURIDAD rado estar autorizado a realizar las reparaciones o reemplazos respectivos. 01
La responsabilidad de los asegurados con respecto a cualquier bien asegu- p~
rado bajo la pliza cesar; si dicho bien contina operando despus de un, sir
reclamacin, sin haber sido reparado a satisfaccin de los asegu radores osise P~
realizaran las reparaciones provisionales sin consentimiento de los aseguradores de
re
El asegurado, por cuenta de los aseguradores, hal' y permitir reahzare- lIe
dos aquellos actos que puedan ser necesarios o requeridos por los ascSU'" PE
dores para defender derechos o interponer recursos O para obtener COlI> ei.
pensaciones o indemnizaciones de terceros (que no estn asegurados en o
esta pliza), y respecto a los cuales los aseguradores tengan o tuvierande p
recho a subrogacin en virtud del pago de dichas compensaciones n
indemnizaciones por cualquier prdida O dao, ya sea que dichos actos d.
cosas fueran o llegasen a ser necesarias o requeridas antes o despus doque e
los aseguradores indemnizaran al asegurado. m
Si en los trminos de la pliza surgiera alguna diferencia respecto .1. $U"" o.
a pagar (habindose por otro lado admitido la responsabilidad), talesd> e
vergencas sern sometidas a la decisin de un rbitro designado por escn- di
to por 18$partes en confl cto. di
Los beneficios derivados de la pliza se perdern: P
d
o
Si la informacin proporcionada por el asegurado no corresponde a la; fl
realidades existentes, si la reclamacin fuera en alguna forma fraude- I
lenta, o si se hicieran o se emplearan declaraciones falsas para apol'aI d
la reclamacin, P
o
Si al hacer una reclamacin, sta es rechazada por los aseguradoresvs P
no se iniciara accin o demanda.
t.
q
Daos materiales b
o
Alcance de la cobertura, Los aseguradores, en caso de que est pagad. l. fI l- b
za, se encuentre vigente y que la prdida Odao no se encuentren especficamente
excluidos, indemnizaran al asegurado por tales prdidas o daos, en efectivo,o L
reparando O reemplazndolos (a eleccin de los aseguradores) hasta una suma mcn
que por cada anualidad de seguro no exceda de la suma asegurada asignad" das
cada bien asegurado en la parte descriptiva y de la cantidad total garantizada
por la pliza, see

Exclusiones especiales

Sin embargo, los aseguradores no sern responsables, a menos que se estipule ~
lo contrario en las plizas, de:
!fado- El deducible estipulado. 245
n den- Prdidas o dao. causados directa o indirectamente por resultantes de te- seGUROS
1SegU- rremoto, temblor, golpe de mar por maremoto y erupcin volcnica, cicln
zos. o huracn
ssegu- Prdida, o daos causados directa o indirectamente por hurto, robo con O
e una sin violencia y I o asalto.
o si se Prdidas o daos causados por cualquier fallo O defecto existente al inicio
dores. del seguro, que sean conocidos por el asegurado o por sus representantes
responsables de los bienes asegurados, sin tomar en cuenta que dimos fa-
ear ro- llos O defectos fueran o no conocidos por los aseguradores.
egura- Prdidas o daos causados directa o indirectamente por fallo O interrup-
'COm- cin en el aprovislonamiento de corriente elctrica de la red pblica, de gas
los en o agua.
m de- Prdidas o daos que sean consecuencia directa del funcionamiento conti-
nes o nuo (desgaste, cavilacin, erosin, corrosin, incrustaciones) o deterioro gra-
eros dual debido a condiciones atmosfricas.
leque Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a
menos que d ichos fallos fueren causados por prdidas Odao indemnizable
suma ocurrido a los bienes asegu rudos,
es di- Cualquier gasto erogado respecto .1 mantenimiento de los bienes asegura-
escri- dos; tal exclusn se aplica tambin a las partes recambiadas en el curso de
dichas operaciones de mantenimiento.
Prdidas o daos cuya responsabilidad recaiga en el fabricante o el provee-
dor de los bienes asegurados, ya sea legal o contractualmente.
ea las Prdidas o daos a equipos arrendados o alquilados, cuando la responsabi-
audu- lidad recaiga (m el propietario, ya sea Icgalmcnteosegn conveno de arren-
poyar damiento y I o mantenimiento.
Prdida o responsabilidades consecuencia les de cualquier tipo.
es y si Prdidas o daos a partes desgastables, tales como bulbos, vlvulas, tubos,
bandas, fusibles, sellos, cintas, alambres, cadenas, neumticos, herramien-
tas recambiables, lentes, rodillos, grabados, objetos de vidrio, porcelana o
cermica a cualquier medio de operacin (por ejemplo: lubricantes, com-
bustible>, agentes qumicos).
Defectos estticos, tilles como raspaduras de superficies pintadas, pulidas o
I pli- barnizadas.
nente
wo,.o Los aseguradores sern empero responsables respecto a prdidas o daos
Suma mencionados anteriormente, cuando las partes especificadas hayan sido afecta-
.ada a das por una prdida o dao indemnizable ocurrido a los bienes asegurados.
izada Entre las exclusiones que pueden contratarse mediante convenio expreso
se encuentran:
Terremoto y erupcin volcnica.

Huracn, cicln y tifn.
Huelgas y conmocin civil.
tipule Hurto YI O robo sin violencia.
Robo con violencia y I o asalto.
246 Disposiciones aplicables
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD Es requisito indispensable del seguro que la suma asegurada sea igualal 111:
de reposicin del bien asegurado por otro bien nuevo de la mismaclasey car
cidad, incluyendo fletes, impuestos y derechos aduaneros, si los hubiese,yzi"
tos de montaje.
Si la suma asegurada es inferior al monto que debi asegurarse,losa5egU-
radares indemnizarn solamente aquella proporcin que la suma asegum
guarde con el monto que debi asegurarse. Cada uno de los bienesestarsu~1u
a esta condicin separadamente.
Bases de la indemnizacin:
a) En aquellos casos en que pudieran repararse los daos ocurridosa losbJeM

asegurados, los aseguradores indemnizarn aquellos gastos que seannects<-
rios erogar para dejar la unidad daada en las condiciones existentesinmedi.
tamente antes de ocurrir el dao.
Esta compensacin tambin incluir los gastos de desmontaje y remonl'J'
incurridos con el objeto de llevar a cabo las reparaciones, as comotambio
fletes ordinarios al y del taller de reparacin; impuestos y derechos aduanero;
si los hubiese, o siempre que tales gastos hubieran sido incluidos en la SWIl!
asegurada. Si las reparaciones se llevaran a cabo en un taller propiedadd~
asegurado, los aseguradores indemnizarn los costos de materialesy jornal" 3.
No se har reduccin alguna en concepto de depreciacin respectoaparto
repuestas, pero s se tomar en cuenta el valor de cualquier salvamentoquese
produzca.
Si el costo de reparacin igualara o excediera el valor actual que tenankl!
bienes asegurados inmediatamente antes de ocurrir el dao, se har el'J1I5I
sobre Ja base de lo estipulado en el siguiente prrafo.
b) En caso de que el objeto asegurado fuera totalmente daado, robado
destruido, los aseguradores ndemnizarn hasta el monto del valor actualq'"
tuviere el objeto inmediatamente antes de ocurrir el siniestro, incluyendogas-
tos por fletes ordinarios, montaje y derechos aduaneros, si los hubiera.y sem-
pre que tales gastos estuvieran incluidos en la suma asegurada. 4.
Se calcular el susodicho valor actual deduciendo del valor de reposioe
del objeto una cantidad adecuada por concepto de depreciacin. Los asegura- 5.
dores tambin indemnizarn los gastos que normalmente se erogaran parades
montar el objeto destruido, pero tomando en consideracin el valor de sal, 6.
mento respectivo. El bien destruido ya no quedar cubierto por la pliza,de- ~
bindose declarar todos los datos correspondientes al bien que los reemplace.
con el fin de incluirlo en la parte descriptiva de la pliza.
7. J
n
A partir de la fecha en que ocurra un siniestro indemnizable, la sumaase 8.
gurada quedar reducida, por el resto de la vigencia, en la cantidad indemniza-
da, a menos que fuera restituida la suma asegurada. 9. ~
Cualquier gasto adicional erogado por concepto de tiempo extra, trabajo d
nocturno y trabajo en das festivos, fletes expreso, etc., slo estar cubiertox.
el seguro si as se hubiera convenido por medio de un endoso. n
Segn la pliza no sern recuperables los gastos por modificaciones, adi- 247
ciones, mejoramiento, mantenimiento y reacondicionarniento. SEGURIDAD
Los aseguradores respondern por el costo de cualquier reparacin provi- EN LA UTILIZACiN
tal valor
sional,siempre que sta forme parte de la reparacin final, y que no aumente OE~EQUIPO
e y capa-
losgastos totales de reparacin.
;e, y gas-
Los aseguradores slo respondern por daos despus de haber recibido a
satisfaccin las facturas y documentos comprobantes, de haberse realizado las
1$ asegu-
reparaciones o efectuado los reemplazos, respectivamente.
egurada
r sujeto
SEGURIDAD EN LA UTILIZACiN DEL EQUIPO

1$ bienes
necesa- En la actualidad los programas y equipos SOnaltamente sofisticados y s610 al-
nmedia- gunas personas dentro del centro de cmputo conocen al detalle el diseo, lo
que puede provocar que puedan producir algn deterioro a los sistemas si no
montaje se toman las siguientes medidas:
tambin
raneros, 1. Se debe restringir el acceso a los programas y a los archivos.
la suma 2. Los operadores deben trabajar con poca supervisin y sin la participacin
dad del de los programadores, y no deben modificar los programas ni los archivos.
ornales. 3. Se debe asegurar en todo momento que los datos y archivos usados sean los
a partes adecuados, procurando no usar respaldos inadecuados. Como ejemplo de
o que se los problemas ocasionados por un mal uso de Jos respaldos est el de aque-
lla instalacin en que al mismo tiempo que se capturaba informacin para
nan los el archivo maestro, el programador haca pruebas y cambios a los progra-
~Iajuste mas. El cap turista capturaba el 15 de enero y en ese momento el programa-
dor deseabaque pusieran en el mismo usuario que el capturista la informa-
obado o cin del 13 de enero. El cap turista continuaba capturando pero ya no en los
rual que archivos del 15 sino del da 13, y cuando volvan nuevamente a poner la
rdo gas- informacin del da 15 descubran que exista la informacin que haban
y sem-
capturado pero no la encontraba.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar
iosicin
las terminales .
segura- 5. En los casos de informacin confidencial, sta debe usarse, de ser posible,
ara des- en forma codificada o criptografiada.
e salva- 6. Se debe realizar peridicamente una verificacin fsica del uso de termina-
iza, de- les y de los reportes obtenidos.
mplace, 7. Se debe rnonitorear peridicamente el uso que se les est dando a las termi-
nales.
ma ase- 8. Se deben hacer auditoras peridicas sobre el rea de operacin y la utiliza-
smnza- cin de las terminales.
9. El usuario es el responsable de los datos, por lo que debe asegurarse que los
trabajo datos recolectados sean procesados completamente. Esto slo se lograr por
~rtopor medio de los controles adecuados, los cuales deben ser definidos desde el
momento del diseo general del sistema.
248 JO. Debe existir una perfecta divisin de responsabilidades entre loscapurs Enloi
de datos y los operadores de computadora, y entre los operadores, de datos)
CAPitulO 6
EVALUACION personas responsables de las libreras. cuanto a:
DE LA SEGURIDAD 11. Deben existir registl'os que reflejen la transferencia de informacin entrehs
diferentes funciones de un sistema. Equij;
12. Debe controlarse la distribucin de las salidas (reportes, cintas, etcteral. ConU
13. Se deben guardar copias de los archivos y programas en lugares ajeno", corre'
centro de c6mpu to y en las instalaciones de alta seguridad; por ejemplo:1" Defin
bancos. Rcqu
14. Se debe tener un estricto control sobre el transporte de discos y cintasde Estar
sala de cmputo al local de almacenaje distante. Estr'
15. Se deben identificar y controlar perfectamente los archivos. Aud
16. Se debe tener estricto control sobre el acceso fsico a los archivos. puntl
17. En el caso de programas, se debe asignar a cada uno de ellos una clave'"
identifique el sistema, subsistema, programa y versi6n. Esto nos servirar-
identificar el nmero de veces que se ha compilado O corrido un progral"
y permitir costear en el momento que se encuentre un sistema en produ.
cn. Tambin evitar que el programador ponga nombres que no ~gn:n
quen nada y que sean difciles de identificar, y que el programado' uhli<>
la computadora para trabajos personales.
SEG
En un rn
Otro de los puntos en los que hay que tener segu ridad es en el manejoI!. las comp
informacin. Por ejemplo, existe un gran robo de informacin confidencialj-\ll siniestro
medio del fotocopiado. Se da el caso de compaas en que sus competidore, el motiv
han conocido los planes confidenciales por medio del desperd icio de papel. o menor ti
bien el caso de una compaa que elabor una serie de polticas de persoN futuro e
sumamente confidenciales y que los operadores y, consecuentemente, toda cin n~
compaia, conoci la informaci6n al momento de obtener los listados po' me- En
dio de la computadora. Lo ms drstico en este caso es que los listados q"" ~ existe u
obtuvieron eran planes que serviran como alternativas de solucin. pero ~ establee
no haban sido autorizados. Para controlar este tipo de informacin se debe
que~
te p()Si
Cuidar que no se obtengan fotocopias de informaci6n confidencial sinl. En
debida autorizaci6n. conhng
Slo el personal autorizado debe tener acceso a la nforrnacin condendal Ani
Controlar los listados tanto de los procesos correctos como aquellos pro- anudac
cesos con terminacin incorrecta. en caso
Controlar el nmero de copias, y la destruccin de la informacin y del operati'
papel carbn ele los reportes muy confidenciales.
En
pre
El factor ms importante para la eliminacin de riesgos en la programacin
es que todos los programas y archivos estn debidamente documentados, llIY o
lo cual se debe considerar la necesidad de tener un alto grado de seguridhi
desde el momento de hacer el diseo preliminar del sistema, siguiendo los pa- o
sos del diseo detallado y de la programaci6n.
El siguiente factor en importancia es contar con los respaldos y duplicados
de los sistemas, programas, archivos y documentacin necesarios para que pued>
funcionar el plan de emergencia.
capturistas En los sistemas de cmputo en que se tiene sistemas en tiempo real, bases 249
Ores y las de datos y red de computadoras, se deben tomar medidas de alta seguridad en SEGURIDAD
cuanto a: Al RESTAURAR
.nentre las El EQUIPO
Equipo, programas y archi vos.
etctera). Control de aplicaciones por terminal (definir qu aplicaciones se pueden
"eS ajenos al correr en una term inal especfica).
Ejemplo:los Definir una estrategia de seguridad de la red y de respaldos.
Requerimientos fsicos.
cintas de la Estndar de aplicaciones y de control.
Estndar de archi vos.
Auditora interna en el momento del diseo del sistema, Su implantacin y
!)S. puntos de verificacin y control.
la claveque
servir para
'programa,
en produc-
e no signi fi-
iador utilice
SEGURIDAD AL RESTAURAR EL EQUIPO
En un mundo que depende cada da ms de los servicios proporcionados por
1manejo de las computadoras, es vital definir procedimientos en caso de una posible falla o
Idendal por siniestro. Cuando ocurre una contingencia, es esencial que se conozca al detalle
,mpetidores el motivo que la origin y el dao causado, lo que permitir recuperar en el
de papel, o menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto
de personal futuro en el funcionamiento de la organizacin y prevenir cualquier implica-
ente, toda la
cin negativa.
dos por me-
En todas las actividades relacionadas con las ciencias de la computacin
..tosque se
existe un riesgo aceptable; es necesario analizar y entender estos factores para
in, pero que
establecer los procedimientos que permitan eliminarlos al mximo, yen caso de
~ S(' debe:
que ocurran, poder reparar el dao y reanudar la operacin lo ms rpidamen-
te posible.
encal sin la En una situacin ideal se deberan elaborar planes para manejar cualquier
contingencia que se presente.
lOn~dencial. Analizando cada apl icacin, se deben definir planes de recu peracin y re-
quellos pro- anudacin, para asegurarse que los usuarios se vean afectados lo menos posible
en caso de falla o siniestro. Las acciones de recuperacin disponibles a nivel
racin y del operativo pueden ser:
En algunos casos es conveniente no realizar ninguna accin y reanudar el

ogramaci6n proceso.
.ntados, por
seguridad Mediante copias peridicas de los archivos se puede reanudar un pro-
~ndolos pa- ceso a partir de una fecha determinada.
o
l
El procesamiento anterior complementado con un registro de las tran-
dUPlicados sacciones que afectaron los archivos permitir retroceder en los movi-
que pueda mientos realizados a un archivo al punto de tener la seguridad del con-
tenido del mismo y a partir de ste reanudar el proceso.
o Analizar el flujo de datos y procedimientos y cambiar el proceso IlOr
250
CApjTULO 6 mal por un proceso alterno de emergencia.
EVALUACrN
DE LA SEGURIDAD Reconfigurar los recursos disponibles, tanto de equipo y sistemas comode
comunicaciones: DE
o Cualquier procedimiento que se determine que es el adecuado pat.
caso de emergencia deber ser planeado y probado previamente. Los
glig
Este grupo de emergencia deber tener un conocimiento de los proced- o bi
mientes que puede utilizar, adems de un conocimiento de las caracterslce sibil
de las aplicaciones, tanto desde el punto tcnico COmO de su prioridad, nivelde po.
servicio planeado e influjo en la operacin de la organizacin.
Adems de los procedirnientos de recuperacin y reinicio de la info_ tivo
cn, se deben considerar los procedimientos operativos de los recursos fSK"C\ plm
como hardware y comunicaciones, planeando la utilizacin de equipos quepe- ble
mitn seguir operando en caso de falla de la corriente elctrica, caminos altern
de comunicacin y utilizacin de instalaciones de cmputo similares, staH
otras medidas de recuperacin y reinicio deben de ser planeadas y probad nec
previamente, como en el caso de la informacin. s;;.\51
Con frecuencia un problema en algn programa, un error en los datos,un
error de operacin o una falla del equipo hacen que uno. corrida en la mquiIU e
aborte antes de terminar el proceso. sis
Cuando esto sucede, generalmente no se puede iniciar el trabajo donde. eq
produjo la interrupcin. po'
El objetivo del siguiente cuestionario es evaluar los procedimientos de 1& pi
tauraci6n y repeticin de procesos en el sistema de cmputo: m
1. Existen procedimientos relativos a la restauracin y repeticin de procesos qu

en el sistema de cmputo? 51 '0
qu
2. Enuncie los proce<llmlentosmencionados en el Inciso anterior.
bli
3. Cuentan los operadores con alguna documentacin en donde se guarden da
las instrucciones actualizadas para el manejo de restauraciones? ca
sf ""
4. En el momento en que se hacen cambios o correoclones a los programas
y/o archivos se deben tener las siguientes precauciones:
Las correcciones de programas deben ser debidamente autorizadasy

probadas. Con esto se busca evitar que se cambien por una nueva ver
sin que antes no ha sido perfectamente probada y actualizada.
Los nuevos sistemas deben estar adecuadamente documentados y pro-
bados. te
(i

Los errores oorregidos deben estar adecuadamente documentados y las
correcciones autorizadas y verificadas.
Losarchivos de nuevos registros o correcoones ya existentes deben eslar
..
documentados y verifICadosantes de obtener reportes.
Los datos de entrada deben estar debidamente probados y velificados
contra ta entrada de datos durante el procesamiento. ti
teso nor- 251
PLAN DE CONTINGENCIA y PROCEDIMIENTOS PlAN DE
CONTINGENCIA
como de y PROCEDIMIENTOS
DE RESPALDO PARA CASOS DE DESASTRE DE RESPAlDO

PARA CASOS
DE DESASTRE
'para un
nte. los accidentes pueden surgir por un mal manejo de la administracin, por ne-
gligencia o por ataques deliberados hechos por ladrones, por fraudes, sabotajes
proced-
o bien por situaciones propias de la organizacin (huelgas). El trabajar con po-
tersticas sibilidad de que ocurra un desastre es algo comn, aunque se debe evitar en lo
nivel de posible y planear de antemano las medidas en caso de que esto OCurra.
La organizacin debe tener todos los controles, las funciones y los disposi-
informa- tivos para evitar un desastre, pero en caso de que ocurra, debe contar con un
)5 fsicos, plan de contingencia que permita restaurar el equipo en el menor tiempo posi-
que per- ble y con las mnimas consecuencias.
ralternos En cada direccin de informtica se debe establecer y aprobar un plan de
l. stas y
emergencia, el cual debe contener tanto el procedimiento como la informacin
xobadas necesarios para reanudar la operacin del sistema de cmputo en caso de de-
sastre.
latos, un Algunas compaas se resisten a tener un plan para casos de desastre o
mquina emergencia, pues consideran que es imposible que OCUrraun accidente. En los
sistemas en lnea o en tiempo real, el plan difcilmente puede ser usado en otro
donde se equipo, por lo que la nica alternativa es tener una alta seguridad en los equi-
pos o bien computadoras en forma de tndem, sin embargo, es necesario que el
s de res- plan de contingencia con el que se cuenta, permita restaurar el servicio en el
menor tiempo posible, con la mejor afectacin a la organizacin.
El sistema debe ser probado y utilizado en condiciones anormales, para
xesos que en caso de usarse en situaciones de emergencia se tenga la seguridad de
,o
que funcionar.
Segn una de las ocho grandes firmas estadounidenses de contadores p-
blicos, los planes de seguridad deben garantizar la integridad y exactitud de los
uarden datos; permitir identificar la informacin confidencial, de uso exclusivo o deli-
cada en alguna otra forma; proteger los activos de desastres provocados por la
mano del hombre y por actos abiertamente hostiles y conservarlos, asegurar la
capacidad de la organizacin para sobrevivir a accidentes; proteger a los em-
pleados contra tentaciones o sospechas innecesarias y la administracin contra
cargos por imprudencia.
tdasy
,a ver- La prueba del plan de contingencia Oemergencia debe hacerse sobre la base
de que un desastre es posible y que se han de utilizar respaldos (posiblemente
y pro- en otras instituciones). Habr que cambiar la configuracin y posiblemente se
tengan que usar algunos mtodos manuales, no slo simulando un ambiente
s y las ficticio cercano a la realidad sino considerando que la emergencia puede
existir.
estar Se deben evitar suposiciones que, en un momento de emergencia, vuelvan
inoperante el respaldo. En efecto, aunque el equipo de cmputo sea aparente-
lCados mente el rnisrno, puede haber diferencias en la configuracin, el sistema opera-
tivo, discos, etctera.
252 Las revisiones al plan se deben realizar cuando se haya efectuado algi; p
CAPITULO 6 cambio en la configuracin del equipo o bien cada seis meses. Una de las prin- e
EVALUACiN cipales objeciones al plan de emergencia es su costo; pero, como en el caso deus
DE LA SEGURIDAD seguro contra lncend io, slo podemos evaluar sus ventajas si desafortunada- cj
mente el desastre ocurre.
El plan de emergencia, una vez aprobado, se debe distribuir entre pel'SORll
responsable de su operacin, Por precaucin, es conveniente tener una oopw e
fuera de la direccin de informtica. (
Las organizociones pueden ser afectadas en menor o mayor grado antelos
diferentes hpos de desastres en informtica y las repercusones variarn segun
la dependencia que tenga la organizacin respecto a la tecnologa
crticos, el tiempo)' k-
Las organizaciones deben de identificar $U pTOC\."SO!>
n
recursos para restablecer el servicio ante una contingencia, por lo que el pro-
1)
yecto del plan debe tener una alta prioridad.
El plan de contingencias anteriormente slo tomaba en cuenta los proceso;
basados en la computadora. Sin embargo, se debe considerar todo aquello que
asegure la continuidad de la organizacin, incluyendo registros manuales y
documentacin fuente.
En virtud de la informacin que contiene el plan de emergencia, se conside-
rar como confidencial o de acceso restringido.
La elaboracin del plan y de los componentes puede hacerse en forma inde-
pendiente de acuerdo Can los requerimientos de emergencia. La estructura debe
considerar facilitar su actualizacin.
PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a

la organzacn de requerimientos para Su recuperacin ante desastres.
Los desastres pueden clasificarse de la siguiente manera:
TIpos Destruccin completa del centro de cmputo.

de desastres Destruccin parcial del centro de cmputo.
Destruccin o mal funcionamiento de los equipos auxiliares del centro de
cmputo (electricidad, aire acondicionado, etctera).
Destruccin parcial o total de los equipos descentralizados,
Prdida total o parcial de informacin. manuales o documentacin.
Prdida de personal clave.
Huelga o problemas laborales.
L.1 metodologa tiene como fmalidad conducir de la manera ms efectiva

un plan de recuperacin ante una contingencia sufrida por la organizacin.
El plan de contingencia es definido como: la identificacin y proteccin de
los procesos crlticos de la organizacin y los recursos requeridos para mantener
un aceptable nivel de transacciones y de ejecucin, protegiendo estos recursos y
preparando procedimientos para asegurar la sobrevivencia de la organizacin 253
en caso de desastre.
Pt.AN DE
En la elaboracin del plan de contingencias deben de intervenir los niveles CONTINGENCIA
ejecutivos de la organizacin y el personal usuario y tcnico de los procesos. y PROCEDIMIENTOS
Para la preparacin del plan se seleccionar el personal que realice las acti- DE RESPALDO
PARA CASOS
vidades clave de ste. El grupo de recuperacin en caso de emergencia debe DE DESASTRE
estar integrado por personal de administracin de la dineccin de informtica
(por ejemplo, los jefes de operacin, de anlisis y programacin, y de audi tora
interna). Cada uno de ellos debe tener tareas especficas, como la operacin del
equipo de respaldo, la interfase administrativa y la de logstica, por ejemplo, el
proporcionar los archivos necesarios para el funcionarniento adecuado. Cada
miembro del grupo debe tener asignada una tarea y contar con una persona de
respaldo. Se deber elaborar un directorio de emergencia con telfonos particu-
laresque contenga adems los nombres y direcciones. ste deber estar a lrnace-
nado en un lugar seguro y accesible.
Entre los objetivos del plan de contingencia se encuentran:
Minimizar el impacto del desastre en la organizacin. Objetivos

Establecer tareas para evaluar los procesos indispensables de la organi- del plan de
zacin. contingencia
Evaluar los procesos de la organizacin, con el apoyo y autorizacin res-
pectivos a travs de una buena metodologa.
Determinar el costo del plan de recuperacin, incluyendo la capacitacin y
laorganizacin para restablecer los procesos crticosde la organizacin cuan-
do OCurrauna interrupcin de las operaciones.
La metodologa del plan de contingencias determina los procesos crticos

de la organizacin para restablecer sus operaciones y debe tornar en cuenta ser
eficaz y eficiente, los aspectos legales, el impacto de servicio al cliente y los
riesgos para que sobreviva la organizacin.
El plan de contingencias debe contemplar lo siguiente:
La naturaleza, la extensin y la complejidad de las actividades de la organi- Metodologa

zacin. del plan de
El grado de riesgo al que la organizacin est expuesto. contingencia
El tamao de las instalaciones de la organizacin (centros de cmputo y
nmero de usuarios).
La evaluacin de los procesos considerados como crticos.
El ruimero de procesos crticos.
La formulacin de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido.
La justificacin del costo de implantar las medidas de seguridad.
Entre las etapas del proyecto del plan de contingencias estn:
o Anlisis del impacto en la organizacin. Etapas del plan

Seleccin de la estrategia. de contingencias
o Preparacin del plan.
Prueba.
Mantenimiento.
El proyecto comienza con el anlisis del impacto en la organizacin. Duran- Q
254
te ste se identifican sus procesos crticos O esenciales y sus repercusones ea der
CAPITULO 6
EVALUACIN caso de no estar en funcionamiento: probl
DE LA SEGURIDAD pasar
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeoj e dos en
identificar las aplicaciones que tengan un alto riesgo. energ
Impacto en la Cuantificar el impacto en el caso de suspensin del servicio en aquella, debe~
organizacin aplicaciones con un alto riesgo. P2
Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgos
por lo que, si es que el servicio se interrumpe cierto periodo, la organizacino q
la comunidad sufrir un gran impacto; otras pueden fcilmente continuar sus m
operaciones sin afectar grandemente a la organizacin por medio de la utiliza- UI
cin de mtodos manuales. le

Se debe evaluar el nivel de riesgo de la informacin para hacer un adecua- d
do estudio costo /benefico entre el costo por prdida de informacin y el coso
de un sistema de seguridad. ~
Para clasificar el riesgo e identificar las aplicaciones de alto riesgo debemos o
preguntamos qu sucedera si no se puede usar el sistema. Si la respuestaes n
que no se podra seguir trabajando, entonces estamos situados en un sistemade
alto riesgo.
nace
I Ejemplo El sistema de reservaciones de boletos de avin. ste es un sistema de allo
pail
riesgo. De menor riesgo podra ser la nmina y por ltimo el de la contabilidad
(en periodos normales, no en periodos de entrega de informacincontable). t
veles
La siguiente pregunta es: qu implicaciones tiene el que no se recupereel cnie~
sistema y cunto tiempo podramos estar sin utilizarlos? tuac]
En el caso de reservaciones en lnea y en tiempo real, no se puede trabajarsi
no se cuenta con el sistema, y no podemos estar sin l ms que unos minutos. En Ci~
el caso de la nmina depende de cundo se debe entregar (semanal, quincenal defii
mensualmente), lo mismo que la contabilidad.
Procedimientos Existe un procedimiento alterno y qu problemas nos ocasionara? Enlas
alternos reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la como
paa no es posible debido a las redes y a los bancos de datos. El procedimiento
alterno consistira en que slo se reciban reservaciones en una oficina o bienque
se estn comunicando por telfono para que una oficina concentre las
reservaciones. Sin embargo, esto provocara una gran ineficiencia y un psimo
servicio. Al terminar la emergencia se deben dar de alta en el sistema las
reservaciones captadas manualmente.
En el caso de la nmina se puede hacer de forma manual (lo cual puede
resultar muy complicado) o bien pagar lo mismo que la nmina anterior (loque
provocara reclamos por parte del personal al que se le pague menos) y despus
de la emergencia procesar la nmina nueva y sacar un programa que permita
pagar la diferencia de ms o de menos y ajustar los impuestos. En caso de con-
tar con respaldos se puede tener como procedimiento alterno procesarlo en otro
sistema.
La contabilidad puede hacerse en forma manual o bien, en caso de tener
respaldo, procesarse en otro sistema.
l. Duran- Qu se ha hecho en un caso de emergencia? En el caso de sistemas como el 255
;:iones en de reservaciones, de bancos O casas de bolsa, el nico procedimiento para evitar PLAN DE
problemas es tener sistemas simultneos (tndem o en paralelo) que permitan CONTINGENCIA
pasar de un equipo a otro en forma instantnea, disponer de sistemas duplica- y PROCEOIMIENTOS
queo) e DE RESPALDO
dosen reas crticas (aires acondicionados, discos, etc.) y contar can sistemas de PARA CASOS
energa no interrumpible (no-break), ya que debido a su alto riesgo son los que DE DESASTRE
aquellas deben tener mayor seguridad.
Para evaluar la instalacin en trminos de riesgo se debe:
~riesgos,
izacin o Clasificar los datos, la informacin y 10$ programas que contengan infor-
nuar sus macin confidencial de alto valor dentro del mercado de competencia de
a utiliza- una organizacin, as como la informacin que sea de difcil recuperacin.
Identificar aquella informacin que tenga un gran costo financiero en Caso
I adecua- de prdida o bien que pueda provocar un gran impacto en la toma de deci-
I el costo siones.
Determinar la informacin que pueda representar una gran prdida en la
debemos organizacin y, consecuentemente, provocar incluso la posibilidad de que
zuesta es no se pueda sobrevivir sin esa informacin.
stema de
Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo
l alto
nacional o bien la informacin sobre el mercado y la publicidad de una com-
lidad paa.
ble). Para cuantificar el riesgo es necesario efectuar entrevistas con los altos ni-
veles administrativos directamente afectados por la suspensin en el procesa-
rupere el miento para que cuantifiquen el impacto que les puede causar este tipo de si-
tuaciones.
'abajar si Existe una importante etapa para identificar cada proceso de la organiza-
LUtoS. En cin, para determinar los procesos que son crticos en su continuidad y para
unoenal, definir los procesos que debern estar incluidos en el plan de contingencias. Se
trata de un paso vital en la implementacin del plan de contingencias.
,?En las Existen diferentes mtodos para determinar los procesos criticas de una
i la com- organizacin:
limiento
bien que Todos los procesos crticos. Con este mtodo, la decisin es tomada por Mtodos para
ntre las todos los departamentos y se parte de que todas las funciones de cada de- determinar los
'psimo partamento son crticas. Por lo genera~ se eliminan uno o dos departamen- procesos crlticos
.ema las tos, pero casi todo es clasificado como crtico.
Si se elige este mtodo, se deben enlistar todas las funciones de cada
II puede departamento. Este mtodo no es recomendable porque elaborar el plan de
,r(lo que contingencias requerir de mucho tiempo. Sera costoso y llevara tiempo
despus respaldar todas las funciones en todos los departamentos.
permita Mandatos de los gerentes. Este mtodo asume que los gerentes conocen los
rde con- elementos crticos para mantener un aceptable nivel en la organizacin. La
oen otro identificacin de funciones crticas es hecha en base a la intuicin de los
gerentes. El beneficio de este mtodo es el tiempo que se ahorra durante la
de tener fase inicial. Lo peligroso es que est basado en una intuicin y ste no es un
anlisis riguroso.
256 Anlisis de riesgos financieros, Consiste en la determinacin de prdldl! Un
CAPITuLO' financieras por cada funcin y proceso de la organizacin. Esto se o. cin. es
EVAlUACION por la determinacin de la probabilidad de un desastre y la prdida a llL1l mente e
DE LA SEGURIDAD Es comparado con el nivel de prdida financiera aceptable para la org& de decis
zacin, Son crticos aquellos proccsos de los que se esperan grande. pt.ft. Elp
das. Sin embargo, no se puede determinar exactamente el riesgo.
Anlisis del Impacto en la organizacin. La metodologa del plan de 00I1IJI.
Las
generas se basa en la tcnica de anlisis de impacto en la orgaruzacie P
ello se distribuyen cuestionarios para todos los departamentos de la"'(
Los
nizacin, Los cuestionarios completos y la informacin obtenida dur.",.
Los
las entrevistas definen los criterios para determinar los procesos criti"",
Oel
DCI
Este mtodo tal vez tome ms tiempo inicialmente que el de "todo" lospro-
ceses son crticos". Sin embargo, disminuye considerablemente el tiempo
('r
'eg
el dinero cuando se desarrolla el plan de recuperacin.
Co~
Los cuestionarios y entrevistas persiguen los siguientes objetivos:

Rt.~
Dei

Objetivos de la Identificar los procesos crtrcos y necesarios de la organizacin, as com
~~
tcnica de anlisis los dependencias crticas de los sistemas.
del Impacto Pro
Identificar los procesos crticos en cuanto a la imagen y operacionaldad d
Pri,
la organizacin, as como sus repercusiones en caso de suspenderse su un
lizacin.
Detcrmi nar los procesos con probabilidad de ser destruidos. tomando en 1....1
cuenta perodos de prdida especficos (tres horas, un da o una semana). .lsistir
cluycn
Definir recursos alternativos de informacin y servicio.
Determinar el costo financiero de un desastre y el probable tiempo de 1\\lI' h:rn"lti,
peracin. Co
Identificar amenazas especficas de cada proceso crtico (instalacin de luz, cados
localizacin geogrfica, etctera). rncncio
Especificar 10$sistemas que ponen en riesgo la continuidad de las opcraco- pWC'l'S
nes de la organizacin. radora
ucas.
Despus de que la informacin est reunida gracias a las entrevista, \ los Dc
cuestionarios, se analizar para determinar cada proceso crtico. La da,j1Q-
cin de los procesos ser el resultado del anlisis, discutido con la gerenoa o
direccin, paca asegurar que todos los procesos SOnapropiados, se indu)'anm
el plan de contingencias. Los procesos que son identificados como crticosm An
esta fase, debern ser considerados en el plan de contingencias. tra
Informacin El objetivo de la informacin preliminar es crear una muestra de cues~ ,\r
preliminar rios y conducir las entrevistas preliminares con el fin de identificar prtlC't><lS lnl
crticos para la continuidad de las operaciones fundamentales de la organil.lOOIt 5<.1
Esta tarea comienza con el diseo, la creacin y la prueba de los Cl.1t'SM 0'1
narios: Al
la
Los cuestionarios en el anlisis del impacto de la organizacin son U<.lJos Ce
para dirigir las entrevistas. du
Los cuestionarios debern servir para analizar a detalle las funciones crill ca
cas de la organizacin. Al
prdidas Un beneficio adicional al de analizar los procesos crticos de la organiza- 257
'e obtiene cin, es conocer la documentacin e integracin de la informacin que usual- PLAN DE
da anual. mente est en propiedad de diversos individuos, lo que ayuda a la mejor toma CONTINGENCIA
la organi- de decisiones. Y PROCEDIMIENTOS
DE RESPALDO
les prdi- El propsito de las entrevistas preliminares es para identificar lo siguiente: PARA CASOS
DE DESASTRE
:lecontin-
cin. Para
Las reas vitales de la organizacin para que la corporacin sobreviva.
e la orga-
Los componentes crticos entre cada rea de la organizacin. Propsitos
a durante
Los sistemas esenciales para cada rea de la organizacin. de las entrevistas
s crticos.
Dependencia y facilidades de soporte.
)s los pro-
Dependencia e impacto en otras reas de la organizacin.
tiempo y
Prdidas financieras directas y costos de recuperacin involucrados en el
seguimiento de las prdidas.
Costos de un probable desastre como repercusin en las ventas.
Responsabilidad de los entrevistados.
1:
Descripcin del trabajo realizado y procesos involucrados.
as como
Nmero de personas y habilidad requerida para realizar el proceso.
Mtodos alternativos de posibles procedimientos.
ialidad de
Procedimientos sugeridos de recuperacin.
rse Su uti-
Prioridades de recuperacin.
mando en Las guias de anlisis de las reas de la organizacin deben ser usadas para
semana). asistir en la generacin de discusiones en diferentes procesos crticos. stos in-
cluyen con' ponentes esenciales sugeridos, dependencias crticas, recursos al-
o de recu- ternativos y probabilidad del impacto de destruccin para diferentes reas.
Como la mayora de los planes de contingencias en el pasado estaban enfo-
6n de luz, cados en las operaciones basadas en los sistemas automticos, es necesario
mencionar en las entrevistas que el plan de contingencias debe cubrir todos los
i operacio- procesos de la organizacin. Algunos de los que no estn basados en la compu-
tadora deben ser discutidos y debe llenarse el cuestionario de las funciones cr-
ticas.
'islas y los Deben realizarse entrevistas con los jefes de departamento para obtener
, clasifica- una revisin inicial de la organizacin y confirmar la naturaleza y sus procesos.
gerencia o Estas entrevistas deben incluir lo siguiente:
icluyan en
crticos en Antecedentes de la organizacin. como su naturaleza, lneas de productos, Elementos
transacciones anuales (compras y ventas), mercado y competidores. de las entrevistas
cuestiona- reas de la organizacin y jefes de departamento.
r procesos Informacin estratgica y decisiones de operacin.
;anizacin. Seguridad en el centro de cmputo y en las reas ms importantes de la
os cuestio- organizacin.
Algunos riesgos especficos que pongan en peligro los procesos crticos de
la organizacin.
on usados Conocimiento de los requerimientos legales (multas, estndares de la in-
dustria, requerinentos de auditora en relacin con el plan de contingen-
iones crti- cias).
Algn plan de contingencias emprendido.
258 Los directivos deben conocer la informacin general para el mantenim<llll> Cues
CAPiTULO 6 de la organizacin, pero tal vez no tengan el conocimiento especifico de la lIl-
EVALUACiN formacin.
del ir
oe LA SEGURIDAD La informacin requerida para el proyecto del plan de conngcncias puede
existir en varias formas en la organizacin. Las el
Se deber obtener la documentacin existente que contenga anrecedents d"bet
de la organizacin. ~stos deben incluir: E
basar:
E
Recoleccin
de datos

Orgnntgrarnas.
Descripcin de procesos operativos.
enge
,.
Medidas de seguridad existentes contra desastre. den
dad
Seguros.
Procedimientos de desastres existentes.
vista "
Adems de las entrevistas generales, se requiere informacin ms deWJ.
da sobre los sistemas automticos. Durante las entrevistas con el jefe de idur
mtica y con especialistas se debern revisar los sistemas y sus componentes
esenciales, como son:
Componentes Trminos de informacin, estrategias tecnolgicas y propsitos de desarro

de los sistemas 110 de sistemas.
automticos Personas de informtica y detalles de escritorio.
Instalaciones de informtica y funciones especficas.
Hardware requerido, modelo y configuracin.
Comunicaciones, redes, LAN, WAN (incluyendo mcrocomputadoras],
Perifricos, como terminales, impresoras y capacidad de disco.
Facilidades esenciales de soporte.
Tiempos de proceso.
Procesos en lnea y batch,
Lista de las aplicaciones mayores.
Plan de contingencias existente.
Localizacin y frecuencia de respaldos de programas y datos.
Historia de fallas en el sistema.
Los cuestionarios deben distribuirse en todos los niveles de la organiz..

cin, principalmente entre los empleados que usan y manejan sistemas diaria-
mente, para asegurar que toda la informacin relevante sea revisada.
Los cuestionarios de las funciones criticas deben ser distribuidos al mismo
tiempo que los cuestionarios del impacto en la organizacin y junto con inor-
macin concerniente a los propsitos de las entrevistas, procedimientos, dun-
cienes y tiempos.
tenimiento Cuestionarios para anlisis 259
Xl de la in-
del impacto en la organizacin PLANOE
CONTINGENCIA
cas puede y PROCEDIMIENTOS
Lasentrevistas y cuestionarios sobre el anlisis del impacto de la organizacin DE RESPALDO
PARA CASOS
tecedentes debern basarse en las discusiones con los jefes de departamento. DE DESASTRE
Estoscuestionarios sobre el anlisis del impacto de la organizacin debern
basarse en las discusiones con los jefes de departamento.
Estoscuestionarios no deben plantear preguntas especficas, sino de las reas
en general. Las entrevistas debern ser consistentes.
Tambin tendrn que ser incluidas otras reas no automatizadas que pue-
den tener informacin crtica y recursos fsicos (maquinaria) para la continui-
dad del funcionamiento de la organizacin.
A continuacin ofrecemos un ejemplo de cuestionario para guiar la entre-
vista sobre el anlisis del impacto en la organizacin:
sdetalla-
e de infor- CUESTIONARIO SOBRE EL IMPACTO
nponentes
1. Cules reas del negocio son de mayor responsabildad?
De stas, identifique los componentes que en su opinin son:

le desarro-
Lo esencial para que la organizacin sobreviva.
Lo esencial para mantener las funciones ms importantes de la organi

Idoras). zacin.
Funciones no crlicas para la organizacin y que pueden ser suspendidas

temporalmente en un evento de emergencia.
2. Cules son las consecuencias financieras de la prdida de un componente

clave de la organizacin?
Cules son las consecuencias del deterioro de la imagen ante la prdida

de un componente clave de la organizacin?
organiza- (Ejemplo: problemas taborates).
nas diaria-
r,
s al miSU10 Provea la informacin bsica de cada componente de tu responsabilidad.
coninfor- Esto puede ser en forma de diagrama de flujo, el cual deber identificar
nos, dura- entradas y salidas en las reas de la organizacin. Debe incluir funciones
sistematizadas, funciones manuales y sus interdependencias.
3. Con qu informacin y facilidades cuenta en cada rea de la organizacin?

260 Se deben identificar todos los recursos internos y externos de datos.apl.
cienes por computadora y las facilidades Can las que se cuenta, incluyendope 3
CAPlTuLO 6
EVAWAClN sonal clave y cornunlcaconus.
De LA SeGURIDAD
Los cuestionarios de funciones crticas son diseados para recolectarin''1
macin que refleje la importancia de cada proceso en la organizacion.y Jo
evaluar qu tan crtica puede ser una funcin, O si es posible que sta se dele-
durante un periodo determinado. Deber ser aplicado un cuestionanoparacsa 5
proceso.
Para determinar lo que es "critico", se debe usar la medida de "tolerare
que es definida como la capacidad de continuar con los procesos durante lIl'
interrupcin de las actividades normales de la organizacin. Si la tolerancao
un proceso particular es pequea, el proceso es probablemente crtico. l.a te
rancia puede y debe ser cuantificada en trminos monetarios, de impactoah
organizacin y de impacto a la imagen de la organizacin.
Los usuarios deben conocer el valor de los sistemas crticos, porque I,-
son los responsables. La experiencia muestra que son normalmente imparc:iI
para evaluar lo crtico de !'U5 sistemas.
Las preguntas deben ser directas para determinar procesos crticos ysedelJo;
buscar mtodos alternativos.
CUESTIONARIO DE FUNCIONES CRITICAS

Departamento _
0IvlsI6n _
Tellono _
Olicina _
Nombre de la luncin...,.. _
De~pdndelalunQn ___
COMENTARIO
Con qu 'reGuenClaes realizada la funcin?

Anual SemeSlral Mensual Semanal Diario
Otra explicacin:
1. Cul sera el COSIO para la organizacin si esta funcin no fuera realiza(ja;
Por semana? S
Por mes? S$
Pordia? :....:=================== _
2. Estimar cul seria el costo adicional (multas. prdidas de arrendamiento,

contratos cancelados) en qu organizacin puede incturrlr si esta funcinno
es realizada:
Por semana $
PormesS
Por dia $__ :_-============--======== _
r aplica- 261
ido per- 3. La vida humana es puesta en esgo si esta funcin no se realiza?
si NO PLAN DE
CONTINGENCIA
Ir infor- 4. La organizacin tendr conflictos si esta funcin no es realizada? y PROCEDiMIENTOS
y poder Si NO
DE RESPALDO
PARA CASOS
Ietenga DE DESASTRE
Ira cada 5. Esto impactara a la operacin eficiente dentro de la organizacin?
si NO
"anda",
nte una 6. El servicio a los clientes es afectado por la no realizacin de esta funcin?
ncia de si NO
.a tole-
7. Los requerimientos legales pueden no ser cumplidos sin esta funcin?
cto a la
si NO
re ellos
irciales CUESTIONARIO DE OPERACIN
'deben 1. Impacto de una hora de interrupcin en el centro de cmputo:
La mayor interrupcin operacional en el servicio al cliente es tener qru-

pos de personat totalmente parado. ( )
Inconveniente. pero el centro de las actividades del negocio contina
intacto. ( )
Esencialmente insignificante. ( )
2. Impacto de una interrupcin total en el centro de cmputo. durante dos o tres

semanas:
Casi fatal, no hay fuentes de respaldo.

Facilidades de respaldo externas. menores ingresos y
mayores costos. (
Caro. Atgunos procesos pueden ser preservados. (
3. Aptitud del personal observado en caso de emergencia:
En el centro de cmputo la fuerza de trabajo es organizada.( )

Son inexpertos (medios organizados). ( )
Son desorganizados. ( )
Ja: 4. Nmero de operaciones crticas en sistemas en Uneao en sistema en batch:
10oms.
69.
3-5.
'0. 0-2.
'0
5. Localizacin de los sistemas:
En un rea especifica.
En dos o tres reas.
Corre por mltiples departamentos.
262 dida,
6. De fcil recuperacin despus de la interrupcin: copia,
CAPlruLO 6
EVALUACI~ 3 o 4 otas en sistemas crticos.
mente
oe LA SEGURIDAD
12 O 24 horas en sistemas criticos.
L.
Sin problemas (recuperacin inmediata).
7. Control de recuperacin despus de la Interrupcin:

T
le
'MuChOtiempo consumido y costoso por los sistemas 1
interrelacionados. ) A
Atguna Interrupcin. ) ]\
Relativamente rpido. dao controlado. ) li

Parcialidad de copias manuales. )
Imposibte. ) o
Algo posible. ) o
Relativamente fcil. ) o
o
o
t,
SELECCiN DE LA ESTRATEGIA do. Se
est (
E
Una vez que hemos definido el grado de riesgo, hay que elaborar una listade la im
los sistemas con las medidas preventivas que se deben tomar, as como las aplic,
correctivas en caso de desastre, sealndole a cada funcin su prioridad. part~
El siguiente paso es identificar y comentar procesos alternativos para pro- cono
cesos identificados COmocrticos en la organizacin. Si existen otros proced- J
mientes con recursos similares aprovechables, stos podrn ser considerad",
como posibles procedimientos alternos. ~
En caso de desastre se procurar trabajar los sistemas de acuerdo con"" ~
prioridades, ya que no se podr hacer en otra instalacin en la misma (O""" ~
como se venan trabajando en la instalacin original. 1
Cada uno de 105 riesgos y su probabilidad de ocurrencia deben ser idenlilJ. I
cados. I
las medidas de prevencin de desastre deben estar respaldadas en un lu- 1
gar seguro. Se debe considerar y evaluar rangos de estrategias de recuperacin
posibles, para que al final de esta etapa de seleccin tina sea elegida.
El plan de recuperacn de la organizacin es proyectado y probado. Su
preparacin requiere de la participacin del personal de la organizacin para
asegurar que stos sean miembros del plan y que estn disponibles cuando ste
se lleve a la prctica.
Documentacin Es importante contar con la documentacin completa del plan de eontn-
del plan de gencia para ser usada en caso de desastre. sta debe ser evaluada y r
aprobad.
contingencia peridicamente revisada para actualizarla. Toda la documentacin asociadacoo
el plan de contingencias y el control de procedimientos juega un importante
papel dentro de la organizacin.
Despus de que el plan de contingencias sea desarrollado, los docurnenos
debern archivarse en un lugar que est protegido de desastre, deterioro o pr.
dida, pero accesible en caso de contingencias. A cada director se le dar una 263
copia,la cual deber incluir la versin, la fecha y el lugar donde estar el docu- Pl.AN DE
mento. CONTII'IGENCIA
V PROCEDIMIENTOS
Los datos que contendr para su identificacin son:
DE RESPALDO
PARA CASOS
DE DESASTRE
Ttulo del documento.
Identificacin o nmero de referencia.
Nmero de la versin y fecha. Elementos de la
Autor. documentacin
Nmero de versin. La vida del documento tendr varios cambios. Los
lineamientos a seguir para controlar las versiones son:
o Historia.
Nmero de pginas.
Aprobacin del documento.
Control de cambios.
Distribucin del documento.
Los departamentos deben tener implantada su propia estrategia de respal-

do. Se debe asegurar que el personal asignado a la tarea de recoleccin de datos
est correctamente instruido.
El personal de procesamiento de datos frecuentemente no est enterado de
lalista de la importancia funcional de los sistemas que soporta. Es ms apropiado en laS
como las aplicaciones crticas automatizadas consultar a los usuarios o a los jefes de de-
dad. partamento. De cualquier manera, el departamento de procesamiento de datos
para pro- conoce el procesamiento a detalle de estas aplicaciones.
; proced- Al finalizar el plan de contingencia, ste debe contener:
siderados
El sealamiento de los procesos crticos. Elementos
o consus Su impacto. del plan
maforma Prioridad. de contingencias
Tiempo en que puede estar fuera de servicio.
T identifi- Informacin existente de cada proceso (prooedimientos y polticas).
Documentacin para la recuperacin.
en un lu- Por cada proceso, se requiere del usuario de:
Jperacin
)bado.Su
o Software.
cin para
o Hardware.
andoste Recursos rnateriales.
o Personal.
le contin- Consumibles.
xobada y Utilerias.
dada con
o Sistemas de comunicacin.
rportante
o Redes.
o Transporte.
:umentos
o Basesde datos.
no o pr- Archivos (respaldos).
264 Para evaluar las medidas de seguridad, se debe especificar:
CAPiTuLO 6
EVALUACiN La aplicacin, los programas y archivos.
DE LA SEGURIDAD Las medidas en caso de desastre, prdida total, abuso y los planes nece-
sarios.
Las prioridades que se deben tomar en cuanto a las acciones a corto)' largo de~
plazos.
fort;
El plan en caso de desastre debe incluir: deja
La documentacin de programacin y de operacin. con

Los equipos.
El equipo completo. con-
El ambiente de los equipos. resj
Datos, archivos, papelera, equipo y accesorios. ran
Sistemas (sistemas operativos, bases de datos, programas de utilere, pro-
gramas).
Al final de esta etapa, el plan de recuperacin entra en una fase de prueba,
para asegurar que se trabaja en forma eficiente.
El plan en caso de desastre debe considerar todos los puntos por separado
y en forma integral como sistema. La documentacin estar en todo momento
tan actualizada como sea posible, ya que en muchas ocasiones no se actualizan
las ltimas modificaciones, lo que provoca que el plan de emergencia no pueda pun
ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deber:

Pruebas Asegurar que todos los miembros sean notificados.
del plan Informar al director de informtica.
de recuperacin Cuantificar el dao o prdida del equipo, archivos)' documentos para defi-
nir qu parte del plan debe ser activada.
Determinar el estado de todos los sistemas en proceso. une
Notificar a los proveedores del equipo cul fue el dao.
Establecer la estrategia para llevar a cabo las operaciones de emergena les e
tomando en cuenta: ofrei
o Elaboracin de una lista con los mtodos disporbles para realizar la

recuperacin.
o Sealamiento de la posibilidad de alternar los procedimientos de ope-
racin (por ejemplo, cambios en los dispositivos, sustitucin de proce-
sos en lnea por procesos en lote).
o Sealamiento de las necesidades para armar y transportar al lugar de
respaldo todos los archivos, programas, etc., que se requieran.
o Estimacin de las necesidades de tiempo de las computadoras para un
periodo largo.
Cuando ocurra la emergencia, se deber reducir la carga de procesos, ana- e

lizando alternativas como:
Posponer las aplicaciones de prioridad ms baja. 265
Cambiar la frecuencia del proceso de trabajos. PLANOE
Suspender las aplicaciones en desarrollo. CONTINGENCIA
'les neceo- y PROCEDIMIENTOS
DE RESPALDO
Por otro lado, se debe establecer lila coordinacin estrecha con el personal PARA CASOS
:oylargo de seguridad a fin de proteger la informacin. DE DESASTRE
Hay que tener mucho cuidado con la informacin que sale de la oficina, y la
forma en que es utilizada as como preveer que sea borrada al momento de
dejar la instalacin que est dndole respaldo.
Respecto a la configuracin del equipo, hay que tener toda la informacin
correspondiente al hardware y software del equipo propio y del respaldo.
Debern tenerse todas las especificaciones de los servicios auxiliares, tales
como energa elctrica, aire acondicionado, etc. A fin de contar con servicios de
respaldo adecuados y reducir al mnimo las restricciones de proceso, se debe-
rn tomar en cuenta las siguientes consideraciones:
Mnimo de memoria principal requerida y el equipo perifrico que permita

procesar las aplicaciones esenciales.
, prueba, Se debe tener documentados los cambios de software.
En caso de respaldo en otras instituciones, previamente se deber conocer
"'parado el tiempo de computadora disponible.
nomento
:tualizan Es conveniente incluir en el acuerdo de soporte recproco los siguientes
io pueda puntos:
deber: Configuracin de equipos.

Configuracin de equipo de captaci6n de datos.
Configuracin de equipos perifricos.
ara defi-
Finalmente, se deber tener una lista de los requerimientos mnimos para
un efectivo plan de recuperacin en caso de desastre.
Lo ms importante es identificar el nmero y tipo de componentes esencia-
ergenca les que puedan ser crticos en caso de emergencia o de desastre, para lo cual
ofrecemos el siguiente cuestionario:
alizar la A) Equipo principal (equipo, canales de comunicacin, memoria, etctera).
de ope- Equipo Proyecto en Es esencial

e proce- fabricante el equipo para procesar?
ugar de B) Unidades de disco (incluyendo controladores, nmero de unidades, paque-

tes de discos, nmero de discos por paquete).
para un
Fabricante Nmero de Capacidad Proyectos Es esencial
unidades para procesar?
OS, ana- C) Unidades de cinta.
266 B
O) Unidades de almacenamiento (en linea o fuera de lnea).
CAPITULO e discil
EVALUACiN
DE LA SEGURIDAD
E) Equipo perifco (Iecloras, impresoras, etctera). tar pi
de vi
F) Unidades de comunicacin, controladores. I
gadc
Numero de Proyecto en Es esencial
equipos equipo para procesar? terne
o rru
G) Sistemas operatvos.
H) Terminales. van
sidc
1) Equipo adICional.
Electricidad KVA.
Aire acondicionado BTU.
Temperatura requerida.
Humedad requeda.
RED DE COMUNICACiN
1. Descripcin de la red de comurucaon.
2. En caso de emergencia, es esencial el uso de la red de comunicacin?

Describa el porqu de su respuesta. sr NO
3. Programas necesarios para la comunicacin.
4. Se debe contar con:
Copla de programas de produccin. ( )

CoPiade archivos maestros de las aplicaciones clave y sistemas operativos
()
Copla de la docementecln de los sistemas e Instructivos de operacin.
()
Copla de los archivos necesarios para procesar las transacciones.
( )
Inventano de formas especiates utlizadas en la operacin normal (se de-
ben InclUIrtambin papelera normal, cintas magnticas). ( )
Un locel con las instalaciones necesanas (energa, aire acondicionado,
piso adecuado, etctera). ( )
Convenios para el uso de computadoras compatibtes. ()
Es importante que en la prueba del plan exista disciplina en la ejecucin. La 267
disciplina es importante no slo para facilitar la recuperacin, sino para detec- PlAN DE
tar problemas (en el momento del desastre), con el fin de minimizar la prdida CONTINGENCIA
de vidas y costos. Y PROCEDIMIENTOS
DE RESPALDO
Deber existir un coordinador de la recuperacin, quien debe ser el encar- PARA CASOS
gado de las pruebas. DE DESASTRE
El plan de contingencias debe ser elaborado asegurndose de que sea man-
tenido y revisado regularmente para que reflejelos cambios en la organizacin Mantenimiento
o modificado adaptando los procedimientos. del plan de
Despus de la creacin inicial, el plan debe ser formalmente revisado, por contingencias
varios meses se debe asegurar que los procedimientos de recuperacin hayan
sido mantenidos y probados apropiadamente.
,ativos.
acin.
t.
(se de-
:ionado,
Interpretacin
CAPTULO
de la informacin
OBJETIVOS
1. Conocer las tcnicas para la interpretacin de la informacin del sistema.

2. Comprender cmo se evala el grado de madurez del sistema.
3. Definir los diferentes tipos de evaluacin de los sistemas de informacin.
4. Describir la importancia de los controles en la auditora.
5. Conocer cmo realizar la presentacin de las conclusiones de la auditorfa.
270
CAPITULO 7
It<TEAPRETACIN
TCNICAS PARA LA INTERPRETACiN
DE LA INFORMACiN 3. (,
DE LA INFORMACiN
Para interpretar la informacin se puede utilizar desde tcnicas muy sencillas
hasta tcnicas complejJs de auditora.
4. 11

ANLISIS CRTICO DE LOS HECHOS

Una de las primeras tcnicas es el anlisis crtico de los hechos. Esta tcnka 5. 1\
sirve para discriminar y evaluar la in!onnan; es una herramienta muy valio-
sa para la evaluacin y se basa en la aplicacin de las sigu lentes preguntas.
Pregunta

Finalidad que determina
Qu El propsito
Dnde El lugar 6.
Cundo Elorden y el momento, sucesin
Quin La persona
Cmo Los medios
Cunto La cantidad

La pregunta ms Importante es qu, pues la respuesta permitir saber"
puede ser:

Eliminada.
Modificada o cambiada.
Simplificada.
M
Las respuestas que se obtengan deben ser sometidas a una nueva pregunta' EL
"Por qu", la cual plantear un nuevo examen que habr de justificar la infor-
macin obtenida. Cada interrogante se debe descomponer de la siguientema- Para j
nera: de nu
1. Propsito: V
V
Qu se hace. V
Por qu se hace. V
Qu otra cosa podra hacerse.
Qu debera hacerse. e
2. Lugar: t
E
Dnde se hace. El
Por qu se hace .lh. R
En qu otro lugar podra hacerse. 271
Dnde deberla hacerse. TECNICA$
PARA LA
3. Sucesin: INTERPRETACiN
DE LA INFORMACiN
Cundo se hace.
Por qu se hace entonces.
Cundo podra hacerse.
Cundo deber hacerse.
4. Persona:
Quin lo hace.
Por qu lo hace esa persona.
Qu otra persona podra hacerlo.
Quin debera hacerlo.
5. Medios:
Cmo se hace.
Por qu se hace de ese modo.
De qu otro modo podra hacerse.
Cmo debera hacerse.
6. Cantidad:
Cunto se hace.
Por qu se hace esa cantidad (volumen).
Cunto podria hacerse.
Cunto debera hacerse.
METODOLOGA PARA OBTENER

EL GRADO DE MADUREZ DEL SISTEMA
Para poder interpretar la informacin de los sistemas se debe evaluar el grado
de rnadu rez de los mismos:
Verificar si el sistema est definido.
Verificar si el sistema est estructurado.
Verificar si el sistema es relativamente estable.
Verificar si los resultados son utilizados o no.
Caractersticas Maduro Inmaduro
Definido Completamente Incompleto
Estructurado Alta Baja
Estable No cambia Muchos cambios
Resultados Utilizados No utilizado
272 Dependiendo del grado de madurez y de Su grado de estructuraea ..
CAPiTULO 7 determina si debe estar au tomanzado y la posible madu rcz que repcrcutiraes
INTERPRET.. CION una mejor utilizacin y en disminucin de cambios.
DE lA INFORMACIN
Si el sistema est estructurado y maduro se debi usar la tcnica de siste
de informacin; si est.! estructurado pero no est maduro se debi seguir I
ciendo manualmente; ,i ""t semiestructurado y maduro se podr usar latl'Qlo 1.
ca de soporte en la toma de las decisiones (DSS - Dca-ion Syslem SIlJ'PO"
Si el sistema l'St -emestructurado pero no cstJ maduro debi Sl'gU1
haciendo en forma manual, si no est estructurado y maduro, es un sist~,D'
guiado por la intuicin y deber seguirse haciendo en forma manual. Si no.,
estructurado ni maduro el sistema no tiene razn de existir.
Nivel madurez Maduro lnrnaduro
Nivel estructuro Estructurado Sistema de
informacin
general
Semiestructurado Sistema de Manual 2.
soporte de decisiones
No estructurado Intuitivo Sin razn
Uso de diagramas
Otra forma de analizar los hechos es seguir la ruta de la informacin desde"
origen hasta su destino, )' disponer de este camino en una secuencia cronolgi<
con el fin de clarificar dnde aparece, cmo avanza a lo largo del sistema
cmo llega a su destino. Esta tcnica ayuda a hacer un estudio objetivo de tod<
los pasos por los cuales deber pasar la informacin.
Ev
Se considera necesario agregar algunas caractersncas que definan an_
cie
este estudio como frecuencia, tiempo, costo)' distancia fsica de cada pJ50
de
coadyuvando a una evaluacin ms objetiva del sistema.
vu
EVALUACiN DE LOS SISTEMAS E~

si!
Se debe evaluar el desarrollo que ha tenido el sistema mediante el anli~,ele si
los pasos que comprendi el desarrollo del sistema, y comparar lo que se pV- m
ne contra lo que realmente se est obteniendo. eo
ANLISIS
n,
Se debe evaluar la informacin obtenida en los sistemas para poder:
Determinar el objeto r compararlo con lo obtenido.
Buscar la interrelacin con otros sistemas.
rracin, se Evaluar la secuencia y flujo de las interacciones. 273
ercutra el) Evaluar la satisfaccin del usuario. EVALUACiN
DE LOS SISTEMAS
desistema Entre las etapas del anlisis estn:
seguir ha-
lar la tcni- 1. Anlisis conceptual:
pport).
Evaluar el sistema funcional.
. seguirse
Evaluar la modularidad del sistema.
.rn sistema
Evaluar la segmentacin del sistema .
. Si no est
Evaluar la fragmentacin del sistema.
Evaluar la madurez del sistema.
Evaluar los objetivos particulares del sistema.
Evaluar el flujo actual de informacin.
n Definir el contenido de los reportes y compararlo con el objetivo.
2. Evaluar los modelos de reportes:
les
Evaluar los controles de operacin.
Cuantificar el volumen de informacin.
Evaluar la presentacin y ajustes.
Se debe conocer en trminos generales el nivel del sistema funcional para

obtener los elementos suficientes que permitan evaluar el nivel de interaccin,
In desde Su
Su grado de estructuracin y la madurez del sistema con el fin de determinar si
fonolgica,
se justifica su automatizacin
I sistema y
Entre las evaluaciones que deben hacerse estn:
.0de todos
Evale el objetivo. Evale que el objetivo general y el alcance del sistema fun-
anan ms
cional estn definidos en forma clara y precisa. Esta actividad se encarga de
cada paso
delimitar el sistema obteniendo todo lo relacionado con l, mediante las entre-
vistas a los usuarios involucrados con el fin de evaluar si se cumpli con el
objetivo. Las versiones que ofrezcan los usuarios debern ser confrontadas para
verificar su compatibilidad.
Evale la interaccin con otros sistemas. Se debi analizar la informacin del TipOS
sistema con el propsito de localizar sus interacciones y sus contactos con otros de evaluaciones
anlisisde sistemas, a fin de determinar si existe un sistema integral de informacin, siste-
que se pia- mas aislados o simplemente programas, o si existe redundancia y ruido, as
como cules son los controles con que cuenta el sistema. Para evaluar todas las
entradas y salidas que tienen lugar en el sistema, esta parte de la auditora de-
termina el flujode operacin y tambin todas las entradas y salidas que ocurren
internamente. La manera de desarrollar esta actividad es usar aquellos docu-
mentos de informacin que maneja el sistema, rastreando las fuentes y desti-
nos, elaborando o reservando la matriz de recepcin/ distribucin de los docu-
oder: mentos, y la matriz de entradas/salidas.
Evale si se obtiene la secuencia y flujo de las interacciones. Para llevar a

cabo esta actividad es necesario establecer el flujo de informacin a travs del
274 sistema, tomas de la matriz de entradas/salidas y agregar el orden de ocurren- t-
CAPITULO 7
cia, as como la periodicidad. Grafquela en un plano horizontal para tratar de e
INTERPRETACiN encontrar duplicidad de informacin. Este plano debe hacerse de tal manera
DE LA INFORMACiN que refleje un periodo, as como el orden de ocurrencia. 1
(
Evale el sistema funcional. Dado que ya se evalu el objetivo, las interacciones

y su flujo, lo que sigue es analizarlos para tener una idea ms clara de su fun-
cin. Tomando como base los elementos de los primeros tres pasos, se debe
verificar si es congruente con Su objetivo, es decir, si la descripcin define sus
propsitos. En esta etapa se evala "qu hace" el sistema.
Evale la modularidad del sistema. Estaactividad subdivide el sistema en partes

que pueden ser procesadas en forma independiente, pero cuyo objetivo parti-
cular es buscar el objetivo general del sistema funcional, correspondiendo a
cada mdulo una funcin general del sistema. Asimismo, una funcin general
del sistema consiste en identificar aquellas partes de ste donde ocurre una en-
trada, un proceso, y se obtiene un resultado parcial.
Evale la segmentacin del sistema. Este paso tiene por objeto subdividir los
mdulos en funciones particulares, de tal manera que el conjunto de funciones
defina al mdulo en cuestin. En esta parte deben evaluarse aquellas funcio-
nes que son realizadas para distintos mdulos (interconexin modular); cada
funcin extrada del mdulo debi ser consistente)' validada con el usuario.
Evale la fragmentacin del sistema. Se subdivide el segmento en funciones

especificas o procedimientos, pues cada funcin particular o segmento puede
contener uno o ms procedimientos. A Suvez, cada procedimiento puede estar
formado por distintos niveles (jerarqua de procedimientos); dependiendo de
su complejidad en esta parte se debe evaluar haciendo nfasis en "qu hace" )'
no en el "cmo lo hace", ya que esto se evala en el anlisis detallado.
Evale el flujo de informacin del sistema funcional. Identifique en cada do-

cumento Su origen y su seguimiento a travs de las diferentes entidades o de-
partamentos por donde transita; a la vez vaya identificando sus adiciones y
supresiones de informacin. Por ltimo, identifique cmo y dnde llega a su
destino. Se recomienda el uso del diagrama de flujo de informacin.
Una forma de analizar los hechos es seguir la ruta de la informacin desde
su origen hasta su destino y disponer de este camino en una secuencia cronolgica
COnel fin de clarificar dnde aparece, cmo avanza a lo largo del sistema y
cmo llega a su destino. Esta tcnica ayuda a hacer un estudio objetivo de todos
los pasos por los cuales deber pasar la informacin. Se considera necesario
agregar algunas caractersticas que definan an ms este estudio, como frecuen-
cia, volumen, tiempo, costo y distancia fsicade cada paso, lo cual ayudar a un
mejor anlisis y a una evaluacin ms objetiva del sistema.
Evale los documentos de entrada y el contenido de los reportes. Se deben

evaluar las formas de entrada, su contenido, claridad, controles, copias solicita-
das y autorizaciones, verificar que los reportes o pantallas de salida contengan
276 Usuario.
CAPITulO 7 Conterudo.
INTERPRETACiN
DE LA INFORMACIN Pruebas y revisiones. El objetivo es asegurarse que el sistema funcionedt
acuerdo con las especificaciones funcionales, a fin de que el usuario tenga,
suficiente informacin para su manejo, operacin y aceptacin (utilice la infor
macin obtenida en las opiniones de los usuarios). Esta actividad es muyim-
portante ya que el costo de corregir errores es directamente proporcionalal
momento que se detecta. Las pruebas del sistema buscan asegurar que secum-
I
plan los requisitos de las especificaciones funcionales, verificando datos estA-
dsticos, transacciones, reportes, archivos, anotando las fallas que pudieran ocu-
rrir y realizando los ajustes necesarios. Los niveles de prueba pueden ser agn; s
pados en mdulos, programas y en el sistema total a
e
r
o
EVALUACIN DE LOS SISTEMAS el
o
DE INFORMACIN
Esta funcin tiene una gran importancia en el ciclo de evaluacin de las aplio-
clones de sistemas de informacin por computadora. Busca comprobar quela
aplicacin cumpla las especificaciones requeridas por el usuario, que se haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla COnl()s
objetivos y beneficios esperados.
Un cambio a un sistema existente, como la Creacinde uno nuevo, introdu-
ce necesariamente cambios en la forma de obtener la informacin y un ro-to
adicional. Ambos debern ser evaluados antes y despus del desarrollo.
Se debe evaluar el cambio (si lo hay) de la forma en que las operacionesson
ejecutadas, comprobar si mejora la exactitud de la informacin generada, s la
obtencin de los reportes efectivamente reduce el tiempo de entrega, si esm>
completa, en qu tanto afecta las actividades del personal usuario, si aumeruao
disminuye el personal de la organizacin, y los cambios de las interaccione;
entre los miembros de la organizacn. De ese modo se "abr si aumenta ods-
rrnuye el esfuerzo por generar la informacin para la toma de decisiones,con
el objeto de estol' en condiciones de determinar 1,) productividad y calidaddel
sistema.
El anlisis deber proporcionar: la descripcin del funcionamiento del sis-
tema desde el punto de vista del usuario, indicando todos las interaccionesdel
sistema, la descripcin lgica de cada dato, las estructuras que forman stosyel
flujo de informacin que tiene lugar en el sistema; lo que el sistema tomar
como entradas, los procesos que sern realizados, asi como las salidas qued..
ber proporcionar, los controles que se efectuarn para cada variable y lospro-
cedimientos.
De este modo se agruparn en cuatro grandes temas:
Evaluacin en la ejecucin.
Evaluacin en el impacto.
Evaluacin econmica.
Evaluacin subjetiva. EVALUACiN
DE LOS SISTEMAS
OE INFORMACiN
EVALUACiN EN LA EJECUCiN
Se refiere al uso de cuestionarios para recabar datos acerca de la actuacin de la

aplicacin en la computadora, con objeto de conocer qu tan bien o qu tan mal
est siendo usada y si opera eficientemente.
Los cuestionarios son medios para recopilar datos acerca del uso de los Uso
recursos de la computadora y pueden ser cuestionarios manuales, encuestas de de cuestionarlos
opiniones, evaluacin de documentacin, obtencin de informacin electrni-
ca integrada al equipo (hardware) y de programas ejecutndose (software),
obtenindose en ambas las estadsticas acerca de su uso.
Los dispositivos de hardware son dispositivos electrnicos que pueden ser
conectados a varios puntos del equipo, como lo son en la unidad de control, los
canales de comunicacin, etc, que durante la ejecucin de una aplicacin regis-
tran cantidad, frecuencia y dileccin de los componentes del equipo. Los datos
son almacenados normalmente sobre cinta magntica O disco, para que puedan
ser analizados despus; por ejemplo, algunos de stos contabilizan la frecuen-
cia de uso de la unidad central de proceso en relacin con la espera para opera-
ciones de entrada-salida. Analizando estos datos quiz se detecte la necesidad
de agregar procesadores de entrada-salida con objeto de acortar la espera del
procesador central, eliminando los cuellos de botella que por esta causa se ge-
neran.
Las estadsticas de software son juegos de instrucciones ejecutables conec-
tadas al sistema operativo can el fin de colectar datos acerca de la operacin del
sistema y acerca de los programas de aplicacin. Este tipo de monitor requiere
memoria y proceso adicional, lo que disminuye la rapidez del procesador. Los
datos tambin son almacenados en cinta magntica O cualquier otro dispositivo
de almacenamiento secundario con el fin de analizarlos despus. Este monitor
ayuda a detectar qu recursos adicionales se necesitan o qu recursos existentes
deben ser ejecutados para lograr ms eficiencia.
Una estadstica de hardware puede ser utilizada para medir la cantidad de
tiempo de la unidad de procesamiento central, pero tambin podr ser concen-
trada en los canales de comunicacin y dispositivos de almacenamiento secun-
dario para determinar la frecuenciay cantidad utilizada. Su importancia se puede
evaluar con el siguiente ejemplo.
Si estamos considerando agregar una nueva aplicacin al sistema, el anli-
sis del monitoreo ayuda a determinar si la computadora podr soportarla, si
puede ayudar al administrador a decidir si se agregan nuevas unidades de al-
macenamiento, lneas de comunicacin, terminales, etc. Asimismo, puede usar-
se para determinar si todo el equipo es necesario, si se deben redisear los ar-
chivos, etctera.
278 Las estadsticas del software nos pueden ayudar a identificar cules son los t
CAPITuLO 7 lenguajes ms usados, qu tipo de proceso es ms comn (alto volumen de ac- l.
INTERPRETACIN tualizaciones contra secuencia de clculos, complejos procesos en lotes contra
DE LA INFORMACIN procesos en lnea, frecuencia de corridas, frecuencia de pruebas, programas ter-
minados anormalmente, etctera).
Estas evaluaciones son generadas automticamente mostrando a qu horas
f
del da los trabajos son corridos y tambin qu recursos del sistema fueron uti-
lizados y qu ton grandes son las aplicaciones en relacin con el equipo. 1
Basndose en estos datos, el auditor contar con la informacin necesaria 1
para hacer las evaluaciones tendientes a mejorar el servicio e incrementar la e
eficiencia.
Estos dos tipos de monitores normalmente son proporcionados por el fabri-
cante de computadoras, pero algunos monitores de software pueden ser desa-
rroUados por la propia organizacin.
EVALUACiN EN EL IMPACTO
Es la evaluacin que se hace sobre la manera en que afecta a la gente que inter-
viene en la aplicacin (usuarios) con el objeto de determinar cmo la implanta-
cin y el uso del sistema de informacin afecta a la organizacin distinguiendo
qu factores son directamente atribuibles al sistema. Las principales reas que
deben interesar son las que intervienen en la toma de decisiones y en las activi-
dades de operacin.
Esta evaluacin se hace con el fin de detectar a la gente involucrada; las
actividades que son necesarias realizar, la calidad de la informacin, y el costo
de operacin resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empe-
zar a disear el sistema con el fin de que, cuando se instale, se compruebe si los
resultados satisfacen plenamente lo planeado. Estos datos tambin son impor-
tantes paJOaguiar futuros proyectos.
Asimismo se debe evaluar el efecto que tiene sobre el ambiente del sistema
(personas, leyes, etc.). Para ello contamos con varias tcnicas que nos ayudan
en este propsito, las cuales son: bitcora de eventos, registro de actitudes, con-
tribucin, peso y anlisis de sistemas.
Bitcora de eventos
Esta informacin se obtuvo en la seccin de la opinin del usuario donde se
registraron loseventos relacionados con la introduccin de una aplicacin. Cual-
quier evento que inOuya en el sistema y cualquier nuevo evento introducido
por l, es registrado en forma de notas, y al final se agrupan. rara un estudio
sistemtico no se requiere equipo adicional, y debe usarse cuando la medicin
tiene lugar en periodos largos o cuando se desean medir varios tipos de impac-
280 econmico del sistema dentro de la organizacin en relacin con los beneficos
CAPITULO 7
obtenidos por ste. ""a
INTERPRET ACION En el impacto se' mide cmo una aplicacin de sistemas de Informacin ha par.:
DE LA INFORMAciN contribuido O mejorado la eficiencia en el rea donde se usa. Asimismo la eva- cin
luacn despus de su implementacin es crtica para conocer cmo el sistema y sl
opera y dnde puede" necesitarse cambios. del
La evaluacin econmica es importante puesto que el capital de 1,1 organi-
zacin no es gratuito, debindose cuantificar los beneficios y los costos del sis- tierr
tema en trminos monetarios para estar en condiciones de justificar o no su me
desarrollo e implantacin. sus
Tcnicas Cuando la aplicacin ha sido realizada, se busca obtener el costo real contra las'
da la evaluacin el beneficio real para comprobar o determinar el porqu de la diferenoa COnlo gari
presupuestado y I O 1" calidad de la aplicacin. cir
Estas tcnicas nos ayudan a obtener los elementos necesarios para evaluar
por medio de un anlisi" de eo>to/beneficio de la aplicacin. Nos permite ade- vale
ms evaluar si fue desarrollado en las condiciones econmicas esperadas, por imF
lo que este anlisis deber efectuarse antes y despus del desarrollo de la apli-
cacin. La justificacin la encontramos en el hecho de que cualquier tipo de Iro
organizacin busca alcanzar sus objetivos con recursos econmicos limitados. pro
El administrador de sistemas de informacin deber verificar y cuidar que de,
estas actividades se realicen en forma sistemtica y completa para evitar crear esta
sistemas que perjudiquen o 1" organizacin y minen su economa. Este punto es can
de suma importancia dado el momento actual en donde los recu rsos compu- vah
tacionales se ven afectados constantemente por las devaluaciones y el costo del
capital. Hay que tratar de obtener el mayor beneficio con el equipo disponible e del,
invertir en equipos adicionales slo cuando est plenamente justificada la in- fice
versin por los beneficios que se obtendrn.
EVALUACiN SUBJETIVA e
Partiendo de la premisa de que los usuarios son los principal", afectados direc-
tamente por el sistema, sus puntos de vista y necesidades debern ser conside- Un
rados para la evaluacin. lo,
Los que procesan los datos, el personal de sistemas y el personal de alta nic
direccin debern tambin participar en la determinacin de los beneficios eco-
nmicos de la actividad particular a ser desarrollada. la I
Un enfoque experimental propone un mecanismo para obtener los factores, clu
adems del ahorro de costos, que habrn de ser considerados en In evaluacin
del sistema de informacin,
Necesitamos incorporar a nuestra contribucin de beneficios los puntos de
vista y opiniones de la gente que usar o ser afectada por la aplicacin del
sistema de informacin.
La justificacin de evaluacin subjetiva se centra en que 1,1opinin del gru-
po usuario proporciona un punto de vista ms completo de la aplicaon, ayu-
dando a obtener aquellos factor~'Sque hubiramos pasado por alto.
282 los controles operativos comprenden cada uno de los sistemas en forma
CAPITULO 7 individual y constan de:
INTERPRETACiN
DE LA INFORMACiN
Control de flujo de la informacin.
Control de proyectos.
Organizacin del proyecto.
Reporte de avance.
Revisiones del diseo del sistema.
Tcnicas:
o De usuario.
o De control.
Control de cambios a programa:
o Requisicin de cambio.
o Razn del cambio.
o Naturaleza del cambio.
o Persona que lo solicita.
o Persona que revisa y autoriza.
o Frecuencia de cambios.
e) Persona asignada al mantenimiento.
o Bitcora de cambios.
Mantenimiento y documentacin.
Produccin.
Controles de documentacin.
Documentacin:
Del sistema.
Del programa.
Mantenimiento y acceso a la documentacin.

Control de sistemas y programas. '
Sistemas en lote (batch):
o De entrada.
o Autorizacin de entrada.
o Armado de lotes.
o Verificacin de lotes.
Control de programas.
Reporte de control:
o Balanceo de lotes.
Reporte de errores.
o Reporte de excepcin.
; en forma o Reporte de transacciones. 283
o Reporte de cambios en el archivo maestro. CONTROLES
Validacin de entradas:
o Verificacin de secuencia.
o Campos omitidos.
o Totales de control.
o Transacciones vlidas.
o Caracteres vlidos.
o Campos vlidos.
o Cdigos vlidos.
o Pruebas de razonabilidad.
o Dgito verificador.
o Etiquetado de archivos.
Controles de programas miscelneos:
o Control de programa a programa.

o Verificacin de etiquetas de archivo.
o intervencin del operador.
o Punto de verificacin y reinicio.
o Control de salida.
o Formato de salida.
o Control de formas de salida.
o Correccin de errores.
o Controles corrida a corrida.
o Sistemas en lnea.
Controles de entrada:
o Acceso a terminales.
o Acceso a programas, archivos, datos y a la computadora.
o Comunicaciones.
o Informacin confidencial.
Control de programa:
o Reportes de control.
o Validacin de entrada.
Correccin de errores.
Puntos de verificacin }' reinicio.
Controles de salida:
o Formatos de reporte.
o Formas de control de salida.
o Informacin confidencial.
284 Los controle. tcnico .. que se deben evaluar son: R
CAPITULO 7
INTERPRETACiN o Controles de cperacli y uso de la computadora. o e
De LA INFORMACiN o Supervisor. o E
o Captu ristas.
o Bibliotecario.
R
o Operadores.
o Controles de entrada y salida. o E
o Recepcin de Informacin, o L
o Deteccin y correccin de errores. o \
o Distribucin de la informacin. o e
o Calendarizacin.
o Reporte de rallas r rnant ..nimiento preventivo. (
o Controles sobre archivos.
Recuperacin de desastres. o S
Controles de usuarios. o S
o De origen de datos. o S
o Origen de documentacin Cuente. o S
Autorizacin de docu rnentacn fuente. o S
o Recoleccin y preparacln de entrada y documentacin fuente.
o Manejo de errores de doeu mentacin fuente: (
(
o Tipos de errores que pueden aparecer.
o Pasos a seguir para ..u correccin.
o F
Los mtodos a utilizar para recuperar documentos fuente corregidos son:
o I
o s
o Retencin de documento .. fuente.
o Controles de entrada de datos. (
o Conversin de dato .. y captura.
o Validacin de datos. S
o Manejo de errore- en datos y captura. senta
o Controles de salida de datos. clusf
o Balanceo y conciliacin de s.llid"s. cuan
o Distribucin de salidas.
o Procedimientos documentados que describen los mtodos de distribucin. o
o Calendarizacin, revisin y distribucin de salida por parte de los usua- o 1
rios.
o Bitcoras de reportes.
o
o
Manejo y retencin de registros de salida y documentos
Formatos de sa lida:
o Frecuencia.
contables.
PI
o Nmero de cop"",
Lap
te fo
Controles tcnicos:
o Programtica. 1.
o Aplicaciones.
o Sistemas.
R<!C'IUSOS
de los programas por aplicacin: 285
PREse"'-AClN
Calenda rio de programas.
Errores y recuperacin.
Registro contable:
Equipos.
Unidad control de procesos.
Memoria secundaria.
Dispositivos perifricos.
Controles lgicos del sistema:
Sistemas de utilera.
Sistemas de bibliotecas.
Sistemas de mantemmento de archivo.
Sistemas de seguridad.
Control de acceso al sistema.

Control de cambios al sistema:
Redundancia en la informacin.
Inconsistencia de datos.
Idos son:
Seguridad.
Controles de seguridad, respaldo y confidencia Jidad.
Sobre las bases de los objetivos de la auclitora en informtica se deben pre-

sentar, de acuerdo con la informacin obtenida, los controles existentes, las con-
clusiones, opiniones y alternativas de solucin debidamente fundamentadas en
cuanto a:
tnbucin . Evaluacin de los sbtcmas.

Jos usua- Evaluacin de los equipos.
PRESENTACiN
La presentacin de las conclusiones de la auditora podr hacerse en la siguien-
te forma:
J. Una breve descripcin de la situacin actual en la cual se reflejen los puntos

ms importantes. (Esta presentacin es para el nivel ms alto de la organi-
zacin.)
286 2. Una descrpen detallado que comprende:
CAPITULO 7
INTERPRETACiN Los problemas detectados.
OE LA INFORMACIN Posibles causas, problemas y Callasque originaron la situacin presen-
tada.
Repercusiones que pueden tener los problemas detectados.
Alternativas de solucin.
Comentarios y observaciones de la direccin de informtica y de los
usuarios sobre las soluciones propuestas.
Si se opta por alguna alternativa de solucin, cules son sus repercusiones,

ventajas y desventajas, y tiempo estimado para efectuar el cambio,
1. Se debe hacer hincapi en cmo se corregir el problema o se mejorar una

determinada situaci6n,se obtendrn losbeneficios,en cunto tiempo y cules ~
son los puntos dbl les.
2. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por 1
medio de conclusiones concretas que sean sencillas (se procurar que se
entiendan los trminos tcnicos y, si es posible, usar tcnicas audiovisuales).
1,

Como ejemplo de formato de presentacin de las conclusiones de loauditora
en informtica, vase la ligura 7.1, y como ejemplo del seguimiento de la audito- ~
ra en informtica, vase la figura 7.2.
.!
~
j
!
,
'(
(
(.
..
287
~ ~~
tJ
PRESENTACION
Wl!l~
n presen-
~
I -~i-
a y de los :!:~
~
s 13
I
-rcusiones, :!:
~
::;~
jorar una ::> ~
ooy cules .
.;
z
- ~
E
~ o
utivos por o ~
" que se .!:
ovsuales). e
Q)
.!1!
~ ~
auditora
-laaudito- -o
'ij
::>
os
~l!l
"i. g
.!!!
Q)
'ti
"'o
Q)
e '"~

o;
::>

c:
o
O
i
1-
~
,..:
os
~
::>
'"
:
..
~
.
~
e
~~

i
ii 2
i
Figura 7.2. Seguimiento de las recomendaciones de la auditorla en Informtica
PERIODOaUE SE REPORTA
OIRECCION
HOJA NUM DE
AUOITORIAA
FECHA DE rtRMll'IO De LA AUDITOR".
NlJI,L'
FECHA
EsniMOA
FECHA
_DC
MOTIVO POA EL
CUAL NO HA soo
, 1: AESP().t>4S
ces. AECOUEJ>ACIC)N Il AUOL RESOL RESU[l.TA
R{_~E"flO
DE LA SOLIJCION OOSEAVAOOH ......,. DE LA
Alt<X)."'H
(")
Conclusiones
I
El avance tecnolgico que se ha logrado en los ltimos aos ha sido impresio-

nante. El avance se ha reflejado ms posiblemente en el rea de informtica, 10
cual ha provocado que se tenga microcomputadoras con un bajo costo y con
una gran capacidad de procesamiento y que se cuente COncomputadoras que
permitan desde el control del proceso de ensamble de automviles en forma
completamente automtica, hasta que en la dcada de los sesenta se haya podi-
do llegar a la Luna. En el rea educativa este avance ha influido en todas las
carreras, desde las subtcncas y subprofesonales hasta las tcnicas y profesio-
nales. Nos encontramos as con que los nios de primaria )'a estn usando las
computadoras y no hay profesin que no necesite en forma directa o indirecta
su utilizacin.
Si analizamos que aproximadamente 80 por ciento de las computadoras
digitales son utilizadas en las organizaciones con fines de informacin, de toma
de decisiones, contables y administrativos, y si evaluamos el costo que repre-
senta la utilizacin de estas computadoras, podremos ver la importancia que
tiene para la alta direccin poder evaluar la adecuada utilizacin de esta herra-
mienta. Esto trae COmoconsecuencia que el profesionista deba actualizarse en
el uso adecuado de la nueva tecnologa, asr corno en la evaluacin que se haga
de este recurso tan costoso. Tambin deben adecuarse las normas de auditora
y del control interno para que sean congruentes con el desarrollo tecnolgico.
La auditora en informtica es una nueva materia que es consecuencia directa
del desarrollo en el rea y de la necesidad de evaluar la adecuada utilizacin,
respaldo y confidencialidad de la informacin de la organizacin.
Esta nueva rea evala la nformacin desde su generacin (dato) hasta su
utilizacin (informacin), y debe considerar la herramienta que se utiliza, su
optimizacin, el respaldo de la informacin, la seguridad y confidencialidad de
la misma, y conseguir el mejor uso de la informacin al menor costo, evitando
duplicidad.
Para lograr esta evaluacin se requiere que el auditor conozca no slo sobre
las materias que le son propias, Sll0 que tenga una capacitacin tcnica en el
rea de sistemas computacionales e Informatica.
La auditora no debe terminar con la presentacin, SIDO ser el inicio de una
serie de auditoras y revisiones peridicas, con un adecuado seguimiento de las
observaciones, para lograr las correcciones a los problemas y las mejoras a los
sistemas que lo ameriten.
Bibliografa
A,,,mtt'S de auditorio administraioa, Lic.y c.P. Jorge Alvarez Anguiano. Facultad

de Contadura y Administracin, Universidad Nacional Autnoma de
Mxico.
La auditoria administrativa, Lic. Jos Antonio Fernndez Arena. editorial Diana.
Admilllslracitl, Koontz, 01)on('('1 y Weihrich, editorial McGraw-HIl.
Auditora de estados fitlatlcieros, UII caso prdrtico, Gabriel Snchez Curiel, editorial
MeGraw-Hill, 1997.
Auditora de sistemas electrllicos, Porter [r., W. Thomas, editorial Herrero Her-
manos, sucesores, 2a. edicin, Mxico, D.F.
Auditora en informtica, rm enfot]lII' prtfclicu, Mario G. Piattini, Emilio del Peso,
editorial Ra-Ma, 1998.
Aruiitora etl informtica, I/Ir enfoque metodo/(Sgic<> y prctico, Enrique Hernandcz
Hcrnndez, editorial Continental, 1996.
Cmrtroly auditorn del computador, Instituto Mexicano de Contadores Pblicos,
A. e, Mxico, D. F.
Control Objectives, EDPAuditors Foundation or Edueation and Research, U.S.A
LA computacin en Mxico, diagmktrco, prrspcctim y estrategias de dc:;arrollo, Fun
daci6n Arturo Rosembleuth, A.C., 1982.
Computer Alldit Guideiines, Canadian Institute of Chartered Aecounts, Toronto,
Canad.
Dcree/ro intelectual, David Rangel Medina, la. edicin, editorial McGraw-HHI,
1998.
EOI' Auditing Conceptua! Foundation and Practice, Ron Weber,editorial McGraw-
!-lill.
EDP Auditilfg, Kennth, W. Clowews, Ilolt, Rinchart y Winston, Canad Limited.
Formdatio,rsoflrrfornratiorr 5!1SII'III$,V Ladimir Zwass, editorial McGraw-lIi11,1997.
Lagcslilf de los nombrr:S!l direcciones de lniernet: cuestiones de propiedad ilfleleclual,
30 de abril de 1999, Organizacin Mundial de la Propiedad Intelectual
(OMPI).
Gu. JI, Intemahonal Federation of Accountants (lFAC), Revisado, 1998.
lrrfonrratiorrSyslmr Marragclllfrrt, James A. Seno, Satate University of New York
Bringhamtor, editorial Wadsworth Publishing Company, lne.. Belmont,
Calliornia; 1978.
lrrformatwn 5yslem irr Mllrragiflrrrrt, editorial Resten Publishing Cornpany, Inc.,
la. edicin. Reston Virginia.
Irrgmiera computaciorral, ,lise,io de lrardware, M. Morris Mano, editorial Prentce
Hall,I991.
292 Management AII Experimental Approach, Knudson, Harry R, Woodworth, Robert,
,
BIBllOGRAFfA SeU, Cecil H., editorial McGrnw-HiII, la. edicin, Nueva York.
Manage",ellt Injormanon SY5/('"" Thc MallageJlJent View, Robert Schulthers, Mary IN[
Sumner, editorial McCraw-Hill, 1998.
MaJ1age",ent tnformaton aJJlI COII/rol Syslem, R.1. Trckner, Oxford Ccntcr for
Management Studies, editorial WilIer-Interscience Publcaton, 1976/
Mallagement tnformation Systems, Stephen Haag, Maeve Cummings, James
Dawkans, editorial McCrnw-lIill, 2a. edicin, 2000.
Ma"agemenl Standards for Data Processing, Brandon, Dick H., editorial Van
Nostrand Reinhoold Company, la. edicin. Nueva York. USA.
Manual de injorm del audito" Instituto Mexicano de Contadores Pblicos.
Metodologl y tcllicas d. investigaci" en ciencias sociales, Felipe Pardinas, edito-
rial Siglo XXI, 1981.
Moderll Control SystelJls, Richard C. Dorf, Robert H. Bshop, editorial Addison-
Wesley, 1995.
Normas y procedimientos de auditora, Instituto Mexicano de Contadores Pblicos.
Procedimientos de control eJl cotupu acin, Canadian Institute of Chariered
Accounts, Instituto Mexicano de Contadores Pblicos, AC.
Proteccin infonndrica, Pierrc Cratton, editorial Trillas, 1998.
La proteccin j"rfdica de los prograJlJasde computacion, Universidad Nacional Au-
tnoma de Mxico, 1998
Redes de computacin, Andrew S. Tanenbaun, 3a. edicin, editorial Prentice Hall,
1997.
Secretos industriales, come"tarios sobre aspectos relevantes de Sil reglamelltaci6"
Mxico, Mauricio [alife Daher.
.tI
Seguridad en centros de cmputo, Leonard H. Fine, editorial Trillas, 1988.
Seguridad 01 computacin, William P. Martn, Interface Age, febrero, 1984.
Seguridad ell injomuica, [ao Marcos Fantinatti, editorial McGraw-HiII.
SistenUls operativos, conceptosftmdamelltales, A. Silberschatz, J. Peterson, P. Calvin,
3a, edicin. editorial Addison-wesley Iberoamericana, 1994.
Sistemas de il1formaci611administratiua, Robert G. Murdic, 2a. edicin, editorial
Prentice Hall.
rile Syslell1 Deoelopmen: Aurlit, Horeld Werss, PTH International Conference of
EDP, Auditor Associatlon.
Tcnicas de 1 audiloria elJ i,ljorJlJlica,Yan Derrien, editorial Alfaomega Mareornbo,
1995.
th, Robert,
,
ners.Mary INDICE ANALTICO
Center for
1976/
'gs, James
torial Van
-A- Aseguredos. 243
cos, responsabilidad de los, 244
aas, edito- Asignadn de trabaio, control de, 171-172
Acceso Audilor(esJ, 16, 32, 239
Addison- claves de, 19S-199 independencia del. 37
controles de, 225 nmero de, 32
llaves de, 198-199 participadn, 92
; Pblicos. rulas de, 197198 responsabilidades de los, 29-30,
:hartered Actividades 187-188
calendario de, 121 Auditor interno, 8-9, 26, 34
control de, 122 conocimiento y experiencia del, 27-29
.ional Au- hoja de planeacin de, 126 habilidades del, 16.17, 28
Adminlstracin de la Investigacin objetividad del, 27
ltice Hall, preliminar, 39 Auditora
Agua, desas II'(.'$por, 224 asistida por computadora, 10
"ladn ell Aire conclusiones de la, 287
acondicionado. 221 deflnlcin, 2
duetos do, 228 de programas, 22-23
8.
movimiento do (CFM), 227 personal de la, 43
984. Alarma contri! incendio, 226 planeacin de, 16, 30-31, 41-42
L Alcance de la cobertura, 244 pn;s<.>nlacinde la, 28:;.286
P.Galvin, Almacenamiento procedimientos de, 34
de documentos de entrada, proceso y programa(s) de, 11, 43-44
editorial salida. 15 programas de trabajo de, 32
dispositivos de. 173-177 reportes especralcs. 215
'erence of Alta gerencIa, 37 requerimientos de una, 40-42
Anlisis seguimiento de la, 288
arcombo, crtico de los hechos, 270271 tcnicas avan .ndas de, 12-16
de informes, 107, 113 Auditora admlnistrnriva, 9-10
de la situacin, 56 Auditora con informtica, 10
de orgnntzactoncs, 75~76 Auditorfn en informtica, 17-18
de sistemas, 279 campo do accin de la, 20
del impacto de la organizacin. 259 concepto, 17-18,26
del sistema. 93 director de, 35
evaluacin del, 9:;'97 elementos que debe evaluar la" 96-97
manuales de, 96 la, Y los tipos de nudltcrfa, 22
y diseo estructurado, 97 objetivos de la, 21-22
Analizadores de virus. 237 pasos d. UM, 37
Aplicacln( es) planeaon de la. 30-32
ciclo de evaluacin de las, 276 Auditora mlema. 26
planeacin de las, 95 ocrmes de, 26
situacin de una, 95-96 respol\l>abilidadcs del departamento
Aseguradores, 244 de, 27
294 Autentificacin de transacciones, 6
(HDtCe ANAlrrtCO
del usuario, 212 del riesgo, 254
en sentido digital, 216 Cobertura. alcance de la, 244
Autorizacin de accesos, seguridad do" 225 Componentes
de un sistema de comunlcncin, 102
lgicos, 242
-B- Computadora
crmenes por, 193-194
Bases delitos por, 192, 193
de indemnizacin, 246-247 virus de, 193
jurdicas del departamento de Comunicacin, 102103, 113
informtica, 6467 sistema de, 102
Bases d. datos, 99-100, 249 Ccncusiones. 289
administrador de, 100-101 Confidencialidad, 197
componentes a evaluar en una, 100 Configuracin del equipo, 265
modelos de, 101 Consideradones al auditar, 208-215
sistema de adlnini:,lradn de, 99 autentificacin del usuario, 212
software mancjadur de (DllMS), instalacin y mentemmicnto, 209-210
202-203 operacin, 210
Batch, tJnsc Sistemas (In lote recursos para controlar el acceso, 212
Bitoora(s), 158 software de control de acceso, 196,
de auditorfa, 200201, 205, 206 199-205, 212-2J 5
de eventos, 278-279 Consulta l los usuarios, 92
Boletn e, 2 Contingencia(s)
Boletn EM, 5 etapas del proyecto del plan de, 2S3
Bootstrap, 237 metodologa del plan de, 253
BTU. vast Disipacin t~rmica plan de, 251, 252, 257, 263
Bug, 236 Contratacin de empleados, pian .... de, 32
Contribucin)' peso, 279
Control(es)
a auditar, 205-208
-C- de acceso, 225
de asignacin de trabaJO, 171-ln
CAD/CAM, ,.... se Diseo d. manufactu- de avance, 129
ra por medio de asistencia de avance de programacin, 128
ccrnputarizada de calidad, programa de, 35
Calendario de actividad." 121 de datos fuente, 161-162
Calor, prdidas por transferencia de, 227 de diseo de sistrll1aS, 119,130-132
Cambios y mejoras n I sistema, 93 de mantenimiento, J77..179
CASE, vase Software de Ingcmerfn de de medos de almaccnamtemo
asistencia computarizada masivo, 173-177
Categorizacon del software, <)0 de proyectos. 117-119
Centralizacin, 188-189 de seguridad, 285
Centro de cmputo, 182-183 generales, 281
seguridad de acceso, 22S mesa de, 16-1,165
ubicacin)' construccin del, 220, operativos, 282183
228-230 salida, 170-171
CERT, ,oia$t Equipo de " ...puesta de tcnicos, 28-1-285
emergencias de computadora Control interno, 5
mi, t1ase Movimiento de- aire objetivo(s)
Ciclo de evaluacin de lat;aplicaciones,276 autorizacin, 6
Gasificacin bsicos, 5
de desastres, 252 de salvaguarde) fsica, 7
de verificacin y evaluacin, 7 Descripcin 295
generales. 5-6 de formas, 111
HOICEANAunco
procesamiento, 6 de formas de papelera, 112
utilidad de los objetivos elementales de informes, 106
,n, 102 del,29 Deteccin de humo y fuego, 226, 232-234
Cookie,l43 Dlagramats)
Copias "piratas", 193 de flujo, 97
Costo uso de, 272
de la operacin. 164, 166 Diseo
de un sistema. 94 de formas, 104-113
del equipo de cmputo, x. 240 de manufactura por medio de
Credenciales con banda magntica, 199 asistencia computarizada
Criptoanlisis, 217 (CAD/CAM). xii
Criptografa, 217-218, 247 del sistema, 93
Cuestionanos), 134-138, 256 detallado, 93
15 de funciones criticas, 260 estructurado, anlisis y, 97
12 de operacin, 261-262 evaluacin del, ]3()..131
209-210 de seguridad fsica, 228-236 formas de, 104
para guiar la entrevista, 259 soneral,93
eso, 212 sobre el impacto de la organizacin, lgico del sistema, evaluacin del,
so, 196, 259 911-103
y entrevistas .. 256 Dislpacn trmica (BTU), 227
Cumplimiento de los documentos I)ir~ccindel autoren Internet. xiv
administrativos, 57 Disponibilidad, 197
je,253 Divisin de tareas entre los empleados. 15
Dominio, nombres de, 149-154
-0- DSS. vase Soporte en la toma de decisiones
Datos, 156
D6MS,";,,s,- Sistemade admiruslracinde -E-
bases de datos
Decisiones, soporte en la torna de, 2n rol. .......lntercambio electrruco de datos
-In Degradacin del equipo, 182 Hiciencia de la operacin. 164, 166
Delitos por computadora, 192 UFTS, r'ast> Sistema de transferencia
128 motivos, 192-193 electrnica de fondos
Departamento (o rea) de informatice EIS, l,ase Sistemas de informacin pal'J
bases jurdicas, 64-67 ejecutivos
l().132 evaluacin administrativa del, 20 Elcn'\cntos de las entrevistas, 257
funciones en el, 67-72 EMS; tt'ase Sistemas de rcu nones en
o objNivos, 72-75 forma electrnica
seguridad del, 192-193 Encrlptamtento, 216-218
tipos de dependencias del, 62-63 Enlrevista(s)
Derechos de autor, 138-142 a usuarios, 133-134
proteccin de los, 144-145 con el jefe de informtica y con
Desarrollo especialistas, 258
del sistema, evaluacin. liS con el personal de informtica,
estrategia de, 91-92 82-83
implementacin y, fsico, 93 cuestionario para guiar la, 259
programas de, 98-99 elementos de las, 257
Desastrets) prop.sito de las, 257
clasificacin de, 252-253 y cuestionarios, 256, 259
plan en caso de, 264 Entropa, liS
por agua, 224 ~quipo(s)
296
conJiguracjn del, 265
NDICE ANALITICO de cmputo, S<>!iu"ddde, 241
-F-
de respuesta de emergencias de
comput.dor., 238 Factibiliu.d, estudio de, 92, 94
segurid.d al re;,t.mar el. 249 Firma digital, 216-217
Formas
seguridad en l. uhl/acin del, 247
seguros de los, 240 de diseo, 104
Estrategia descripcin de, 111, 112
de desarrollo, 91.92 evalu.cin de, 108, 109, 110
de respaldo, 263 Formas lradi("iol"laJes de evidencia
Estudio aJ.nacennlniento de documentos de
de factibilidacl, 92,94, 119 entrnda, proceso y salid", 15
de viabilidad, 58.59 diviSin de tareas entre los
Etapas del proyecto del plan de en)p":.\ldos, 15
contingencias, 253-254 lisiado de los resultados del procese
Evaluacin 14 15
mantenimiento en manuales de
adminstr.tiva del departamento de
informtica, 21 informacin, 14
manuaJ~ de pn:>cedimientos COn
ocle de, de las aplicaciones, 276
de formas, 10&-110 informacin relativa, 15
pr()CC~S4unientomanual, ]4
de la configuracin de) sistema de
cmputo, 183.189 proceso de grandes cantidades de
datos, 15-16
de la estnlctur. Org.inlca, 61-1\3 proceso $in"lpli(jcado" 14
de la gerencia de In rornuitica, 58
registro manual de la informacin,
de la instalacin en I~rn,inos de 13 t4
riesgo, 255-256 revisin de procesos, 15
de los recursos humanos, 76-82 revis.i6n de transacdones POI el
de los sistemas de in(ormaCin., p<>r&Onal,14
276-277
tT.lr\5.l00ones originadas por
de sistemas, 9().95, 272.276 personas, 13
de acuerdo con el riesgo, 38 transporte de dOCumentos, 14
distribuidos, 116 USo de docun"lentos impresos, lS
y prOCcdinuentos, 21 Fraude, 194, 195 .
de Soft1\'are, 99 Fuego y humo, 226.227
de un Sistema COndatos de prueba, 12 detecci6n de, 226, 232.234
del desarrollo del sistema, 115 Funciones
del diseo, 130 crticas cuestionarios de, 260
l
del diseo lgico del sistema, 98, 103 en informtica. 67.72

del mantenimiento, 179-182
del proceso de datos, 21
detall.d., 33 -G-
econmica, 279.280
en el impacto, 278-279
en la ejecucin, 277.278 Grado de madurez del sistema, 271
SLlbjctiv'l. 280-281 Grfica de (lujo de la infonnacin, 104
Grupo de recup<>racin, 253
EXfI,nen y evaluacin de la in(OI'macin
pruebas de C'onsentinliento, 3S~36
pruebas de controles del usunno, 36 -H-
pruebas sustantivas, 36--37
Extintores (o extinguido ... ), 226-227,
232234 H.ckers, 239
Extranet, x Hardware, 277
Hechos, anliSIS crtiro de los, 270
Humedad, temperatura y, 227-228 Mantenimie-nto 297
Humo, fuego y, 226-227 en manuales de informacin, 14
92,94 IHDtCEANAunco
deteccin de, 226, 232-234 evaluacin del, 179-182
excesivo, 131-132
instalacin y, 209-210
-I- tipos de contratos de, 177-'179
112 Manual(es)
.09, 110 de anlisis, 96
evidencia Implantacin, 133
Implementacin y desarrollo fbico, 93 de organizacin, 26, 61
d<xumentos d. de procedimientos con informoci6n
, y salida, 15 Incendios, 224
Indemnizacin, bases de, 246 relativa" 15
tn>los Memorias RAM y ROM, x
Infonnacin .. 4
confiabilidad e integridad de la, 29 Metas, 31-32
jos del proceso, Metodologa del plan de contingencias, 253
de niveles" -1
entrada de la, 162-164 Movimiento de aire (CFM). 227
'nuaJes de
examen y evaluacin de la. 34~37
grfica de flujo de la, 104
nientos COJ\ -N-
manejo de la, 248
j"a" 15
prdida de, 19-20
J,14
planeacon y control de la, 4 Nombres de dominio, 149-154
.ntidades de
sistema de, 29
utilidad de la, 57-58
14
IIlformtica,3, 8 -0-
infonnnCin,
departamento de, 20, 62-63
entrevistas COnel personal de, 82..s3 Objetivots)
5
funciones en, 67-72 de la auditora en informtica.
les por el
gerencia de, 58 21-22
ts por Informes, 103-113 de la seguridad en el rea de
anlisis de, 107 113
1
informtica. 192
descripcin de, 106 del departamento de informtica,
tos, 14
Inicializacin. 237 72-75
>resos, 15
Instalacin elctrica, 222-224 del libro, xiii
In.<tructivo(s) de operacin, 132, 170 del plan de contingencias, 253
Integridad, 197 Opcracin(es)
Intercambio electrnico de datos (EDI), xii consideraciones a auditar, 210
Internet, xi, 141-144,238 de los sistemas en lote, 166-170
!,260
direccin del autor en, xin en paralelo, 12
Investigacin preliminar, 39-42 instructivos de, 132, 170
Orgnnizacin(es)
analisis de, 75-76
-L- anlisis del impacto de 1a, 259
antecedentes de la, 258
la, 271 manual de. 26
Lenguajes de programacin, 98
.cin, 104
Listado de los resultados del proceso, plan de recuperacin de la, 262
14-15 procesos criticos de una, 22.56
Llaves de acceso, 198-199
-p-
-M-
PassU'ord, 198
Mninframe. xi, '22.7 Prdida de la informacin, 19-20
170 Prdidas por transferencia de calor, 227
Manejo de informacin, 248
298
P\:'rSondl
I I HOICE AHAllTlCO de cargas de mquina. 171 Propsito d? las entrevista!!., 257
de electrnicos, 56
prucf?SOS Proteccin contra Virus. 237
participdnte. 42.54 Proyecto(S)
I'iso elevado, 221 control de, 117-119,120
l'lan(es)
del plan de cuntingelld,lS, 252-254
de ronhngendas. 251-263 Pruebas de COnsentimiento, 35.36
de proyectos, 60-61 Pruebas integrales, 12
de recuperacin de la orga.ni.zacin~
262. 264
de >eguridad. 61. 252 -R-
''>lr,'Io!giro, 91-92
maestro, 60 RA.'4.xi
PJaneacin R.ecuperacin
de actividades. hoi. de, 126, 129 grupo de, 253
de auditora, 16 plan de, 265
de C.:.mbios, 59 Recopilacin de l. inform.lcin, 56-58
d", 1.1auditora en informtica" 30-32 Recursos financieros, 85-86
de program.cin. 125 Recursos humanos, 56-57
de siIHema~,92 Recursos n'lateriales, 86-87
dOCllll1~nt<lda...31 Red(es)
t.slr.ltgiCtt, 95 de computadoras, 249
proeeso de, 31 puntos a revisar en JlS. 103
POI/tita(.) tipos)' topologa, 102
de re.p.ldo., 156-157 Redundancia, 1l4-1l5
de I'\!vi~in de bit.icora, 158 Registro(s)
de seguridod fl.ic. del sil e, 159-161 de actitudes, 279
y procedinlientos, ]57 extendidos. 12
P6li~a de seguro, 241 Reguladores, 222-223
Pre.ltupues(os, 64~85 Relacin precio/n)cmoria, xi
ProblC'lnas de los sisterllas de Renta, 187-188
adrniniF,traci6n de bases de datos, 101 Repetid6n de procesos, 250
Procedin1ientos de ll'stauracin .. 250 Reportes, 212-213
"roces.arniento manua], ]4 especiales de auditora, 215
"mee,o(.) Respaldo(s)
crticos de uno} organizadn .. 255-256 de informadn, 156-157
de gr.ndl>S cantidades de datos, 15-16 estrategia de, 263
de, 250
I'<!>('lj-;n Responsabilidad de los asegurad"" 244
'implilicado, 14 Restauradn. Pro<'edimientos de, 250
Productividad, 1801-186 Resultados de clculos para
Progra,nacin COmparadones, 13
contrul de av..nce de, 128 Revisi6n(es)
f,c;lid.des de, 133 de acceso, 12
informe de avan<e de, 127 de Pro<:esos, 15
plan~.cin de, 125 detallada, 33
riesgo:; en la, 248 preliminar, 32-33
I'rogr.mador(es) Riesgo(s)
COntrolde, 124 clasificacin del, 25-1
control de a<tivid.de. del. 122 en la programad6n, 248
Progrtlmas
evaJuad6n de la instalacin en
copras de. 193, 194 trminos de, 255-256
d. <leo.1rrollo, 98-99 ROM, xi
de lr.b,'ju, J 72 Ruido, 113
Rutas de acceso, 198
--_
/istas, 257
s,237 -5- disponibilidad de 105,de Informacin, 299
197
rNDlCE ANAUT'CO
1, 120 Salida. control de, '170-171 distribuidos, 116
Secretos induslri"les, 145-149 en lnea o en tiempo real, 249, 25 l
gendas, 252-254
ento, 35-36 Seguridad. 21 en IOle (""lCh~ 166-170
al restaurar el equipo, 249-250 e-tudio de los, 96
ceutra d"","I1'('5 por agua, 224, 231 evaluacin de, 90-95, 2n-276
de autorizacll'I de accesos, 225, evaluacin de) desarrollo d('I, 115
231-232 evaluacin del diseo lgico del, 98,
en contra do virus, 236 103
en el pcrsonnl, 218-219 grado de madurez del, 271
en 1" utillzacl6n del equipo, 247-249 integral de seguridad, 196
f.ic,t, 219, 228-236 integridad de los, de nformncin, ley
lg,cd, 194-197 operativos, 201-202
objetivos de la, en el rea de planeacin de, 92
informtica, 192 problemas ms comunes de los, 94-95
plan de, 252 procedimiento en el, 104
~istl~lna integral de, 196 pruebas del, 93
Seguro(.) reporte semanal de Izy, responsables
condiciones !\Cllcral~, 243-244 del,l23
49
las, 103
de lo. equtpoe, 240, 241 S",'
exclusiones especiales, 244-245 caractersncas del, 160
12
exclusiones generales, 242..243 instalaciones del, 159-160
pli,. de, 24'1-242 Sih.lj'lci6n de los recursos humanos, 51)
Seleccin Software
de determinado tipo de transacciones, ,1 Id medida de la oficina, 91-95
13 categorizacin del, 90
de la <'5lr.l"8io, 262-267 comercial, 90
Simulacin, 12 compartido O regalado, 90
Sistema(,) control de las licencias del, 158159
cambios y mejoras al. 93 de ingeniera de asiS\(.'ncl.l
ciclo de vid" de los, 92-93 computarizada (CASE), A';, 98
componentes esenciales, 258 de seguridad, 200
confidcnclalidnd de los, de de seguridad general. 205
157
informacin, 197 cloborado por el usuario, 90
crticos, 260 esclavo, 238
legurado., 244 de admlnlc;trJcin de bases de datos especlco, 206
ntos de, 250
(08"'5), 99 evaluacin de, 99, 209
JO
problcm,l< de lo>, 101 transportable, 90
de bases de datos, 100 un solo usuario O mulnusuaro, 90
v('nltlja~de los, 101 Sowaee de control de acceso, 196,
de cmputo, evaluacin de la 199-205
configurnci6n del, 183-189 consideraciones a auditar, 2)O~211
de cornumcncin, 102 reportes y vigiJancia, 212-213
de cncrgr" no Interrumpido (UrS), sistemas operan vos, 201-202, 206-207,
223 213
de informncln, 29 software de consolas o lCrI"I\in.llcs
48
evaluacin de los, 276-277 maestras, 203, 207
Iacin en
de informacin par. ejecuti'os(EIS),xlI software de libreras. 20.1-204,207,214
2;6
de reuniones en forma electrnica "iOrt\\'are de telecomumcaciones, 205,
(E\lS), ,Yl 208, 215
de Iransf"'r'('llcia electrnica de fondo ... seware de utiler.. , 204-205, 208,
(I~IS),xii 214-215
300
software manejador de bases de
rNDlCE ANATlCO datos, 202-203, 207, 213-214
-u-
Sopone
cotidiano. 93 lJl'S, vi_ Sistema de eMrgia no
en la toma de decisiones (DSS~ 2n interrumpido, 223
Subplan<'S del plan maestro, 60 Uso de documentos impresos par.
construir el proceso, 15
Usuario(s)
-T- aceplacin por "'lne del, 93
autentificacin de, 212
consuha a los, 92
Tcnicas de auditora
cuestionario para los, 211-212
anlisis crtico de los hechos, 270-27J
entrevistas a, 133-134
evaluacin de un Sistema con datos de
prueb~, 12 "''querimientos del, 92. 13S
tipos de, 196-197
gr.ldo de madurez, 271-272 Utileas, 204
Operaciones en paralelo, 12
pruebas integrales, 12 Utilizacin del equipo, seguridad en In,247
registros extendidos, 12
resu Ilados de ciertos clculos para
comparaciones posteriores, 13
-v-
revisiones de acceso, 12
seleccin de detcnnhlado tipo de Vacunas COntra virus, 237
I fansaccioncs, ]3 \/afidadn por caractersticas, 199
sin'lulaci6n, 12 Virus
totales aleatorios de ciertos anaJizadores de, 237
programas, 12 daos por, 236
'recllOlogr. de computadora, 193, 236
de flujos (WORKFLOW), u proteccin contra, 237-240
neutral, 20 segu ridad en contra do, 236-237
Tcl~oonlUJlicaciones, software, 205, 208 vacunas contra, 237
Temperatura y humedac:\, 227
rierra ((sica, 222
Tipos y topologa de redes, 102 -w-
Tol~rJnd., 260
10mJ de decibiones incorrectas, 18 WORl<FLow, vase Tknologa de flujo.
Totales aleatorios de cienos programas, 12
Tr.n_<'lccin(cs)
clasificacin de..6
Onginadas por personas, 13
-z-
regtstro manual de la informadn
Zombies, 23&-239
par. originar una, 13-14
revisin de, por el personal, 14
AUDITORA
EN INFORMTICA
,
La auditora en informtica es una prctica
administrativa por dems sana en empresas y
organizaciones, sobre todo en esta poca donde
las caractersticas del software y del hardware
varia n con el fin de satisfacer necesidades muy
diversas.
Presentamos la esperada segunda edicin de

Auditora en informtica, obra que se ha
actualizado para responder a los cambios ms
actuales que la industria informtica ha
generadoen sus mltiples reas.
De manera indudable, quen tenga necesidad

de saber cmo realizar la tarea de la auditora
informtica, encontrar aqu todos los elemen-
tos para cumplir su cometido.

Libro Auditoria Informatica Autosaved

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Libro Auditoria Informatica Autosaved

Încărcat de

Drepturi de autor:

Formate disponibile

,

JOS ANTONIO ECHENIQUE GARCfA

CAPTULO 1: Concepto de auditora en informtica

CAPTULO 2: Planeacin de la auditora en informtica 25

CAPTULO 3: Auditora de la funcin de informtica 55

CAPiTULO 6: Evaluacin de la seguridad 191

En la actualidad el costo de los equipos de cmputo ha disminuido considera-

o Una gran disponibilidad de hardware de computadoras muy poderosos y

1. Analizar los conceptos de auditora e informtica.

el que tiene la Virtud de oir; el diccionario lo define como "revisor de cuentas

LJ audtora no es una actividad meramente mecdnica que implique la aplicacum

A,, como existen normas y procedimientos especficos para la realizacin En 1'177,

Contadore-, ApllG1Cinracional. sistematica Lit- 1.1Informacin para el desarrollo econormco,

En 1977, con la intencin de .KtualizM y "finar el concepto, la Academia

jn Se ha establecidc que los dos primero, objetivos abarcan el aspecto de con-

Objetivo de verificacin y evaluacin

El examen globaJ y constructivo de la estructura de una empresa de una tnsutu-

Se lleva a cabo una revisin y consideracin de la organ zacirin de una em-

La auditora administrativa debe llevarse a cabo como pal te de la auditora

o Objetivos, metas, planes, polticas y procedimientos.

.. \.Vil1iam P. Leonerd, Auditoria admmistratnm, editorial Diana.

Con fines de auditora, el auditor interno puede emplear la computadora

Cuando en una instalacin se encuentren operando sistemas avanzados de Las tcnica

anzados de Las tcnicas anteriormente descritas ayudan al auditor interno a establecer

Procesamiento manual. Generalmente, los documentos de las transacciones con- Uno O ms J

Mantenimiento en manuales de informacin de naturaleza fija que es nece- La divisin d~

nes con- Unoo ms manuales de procedimientos que contienen informacin relativa

R.visin de procesos por personas, generalmente supervisores, para deter-

es nece- La divisin de tareas entre los empleados, En las aplicociones computarizadas,

El propsito principal de la planeacin de las medidas de auditora es incluir

Habilidad para manejar paquetes de procesadores de texto.

Como evaluador, el auditor de informtica debe ser capaz de distinguir en-

Controles de los datos fuente y manejo de cifras de control.

Seguridad fsica y lgica.

1. Conocer las distintas fases que comprende la auditorla en informtica.

Que las auditoras sean supervisadas en forma apropiada. La supervisin

1 desarrollo La confiabilidad e integridad de la informacin. Los auditores deben revi-

le se aplican La correccin de los mtodos de salvaguarda de los activos y verificar la

En el caso de la auditora en informtica, la planeacin es fundamental,

Para lograr una adecuada planeacin, lo primero que se requiere es obtener

Los auditores debern reportar los resultados del trabajo de auditora. El

PRUEBAS DE CONTROLES DEL USUARIO En ge

Pruebas para identificar errores en el procesamiento o de falta de seguri- Los pas

Durante la fase de operacin.

en general, la opinin del gerente de inforrndtica y de la alta gerencia con-

Realizar una auditora en nformattca es un trabajo complejo. Por ello, para

, "The Spreading D)rger o Competer Crime", en BI~sillc.ssWrek, 20 de abril de 1981.

En el momento de hacer la planeacin de la auditora o bien en su realiza-

Se solicita la informacin y se ve qul':

Se tiene la informacin pero:

En el caso de sistemas complejos se deber contar con personal con conoci-

()AC.",SMO HOJA NM.: DE ..

NUM.oeL PERIODO fSTtMADO OlAS olAS

._ PARTICIPANTE IHICIO rEAa,.ttNO EST

Figura 2.2. Avance del cumplimiento del programa de auditora en Informtica

ntecedentes especficos del proyecto de auditora.)

ros DE LA AUDITORA EN INFORMTICA

ietivo especfico de la auditora.)

3 Parala evaluacin de los equipos se llevarn a cabo las siguientes acti-

4. Elaboracin del informe final, presentacin y discusin det mismo, y pre-

(Ponerel tiempo en que se realizar el proyecto, de preferencia indicando el

8) Que es una sociedad annima, constituida y existente de acuerdo

a) Evaluaciones de la direccin de inlormtica en lo que corresponde a: