Documente Academic
Documente Profesional
Documente Cultură
El auditor puede usar la evaluación como una base para determinar la naturaleza y extensión de
las pruebas detalladas para ser utilizadas por los sistemas de aplicación. La calidad del marco de
control administrativo afecta la calidad del procesamiento de datos en el futuro. El auditor puede
formase una idea de si los sistemas de aplicación son candidatos para degradarse en el futuro.
Los auditores no pueden evaluar la administración a menos que sepan lo que la administración
debe estar haciendo para ello hay que evaluar las funciones que la administración debe
desarrollar.
Control: Comparar el actual desempeño con el planeado como una base para ajustar
acciones.
El auditor deberá conocer un poco más sobre los elementos relacionados con la administración y
que tienen impacto directo o indirecto en el área de informática del negocio. A continuación se
expone con un poco mas de detalle los puntos importantes de cada función de administración de
la Alta dirección y de la dirección de informática
¿Cómo deben ser utilizadas la tecnología de información para el apoyo a los procesos
organizacionales y como estos están relacionados con la estrategia del negocio y sus objetivos
institucionales?
El CEO (Chief Excecutive Officer) quien es el director general de la empresa al igual que el CIO
(Chief Information Officer) Director de Informática o Sistemas están involucrados en las funciones
de planeación que tienen que ver con el area de tecnología de información en la empresa.
La alta dirección participa en la función de planeación de tecnología de información a través de un
comité de manejo. Este comité debe producir un plan maestro para el uso de tecnología de
información (TI) que guíe el desarrollo a largo plazo y el director de informática debe participar en
el establecimiento de políticas y objetivos a corto plazo.
El comité de manejo en el cual se agrupan representantes de las diferentes áreas del negocio tiene
otras funciones como las siguientes:
La planeación a largo plazo debe incluir un punto en donde considere como los planes del
Departamento de Servicios de Información ayudarán al logro de los objetivos.
Se debe de auditar las responsabilidades y funciones del comité, sus minutas, determinar que sus
metas sean consistentes para el logro de los planes y metas de la organización.
La planeación a largo plazo del departamento de servicios de información debe estar integrada
con los planes de la organización. Se debe verificar que sean compatibles con cambios
organizacionales, avances tecnológicos, y requerimientos regulatorios.
Los planes a corto plazo deberán ser compatibles con los de largo plazo así como los planes de
corto plazo del departamento de servicios de información con los de la organización.
ACTIVIDAD
Nombres y
Apellidos
Código Curso
Documento de
Identidad
Forma de envío:
1”.
Después de las lecturas realizadas y las consultas efectuadas en Internet (Ver los link que a
ACTIVIDAD 1
informática
Taller: Semana 1
Versión: 01
Página: 2
http://clubensayos.com/Tecnolog%C3%ADa/CEO-CIO-Y-SEGURIDAD-
INFORM%C3%81TICA/56484.html
Después de leer el material didáctico y entrar a visitar los sitios sugeridos realizar la
sistemas. Por una parte se encuentra el CEO (Chief Ejecutive Officer) y el CIO (Chief
Information Officer). La vinculación del CEO y el CIO son importantes para que la
de seguridad en informática
Empresa)
Nota: Realice un breve resumen sobre el tema, no corten y peguen la información ya
Planeación
Descripción: Investigación del costo y los beneficios a largo plazo del uso de computadoras y
recomendar si la organización debe o no utilizar computadoras. Es a largo plazo y el responsable
es el comité de manejo.
El estudio de factibilidad es una herramienta del proceso de planeación más que un plan. Por otro
lado, constituye un plan, ya que documenta las deliberaciones de la administración y proporciona
recomendaciones y guías para implementar esas recomendaciones.
Descripción: Especificación de tareas y actividades que deben ser llevadas a cabo durante el
cambio de procesamiento computacional de datos, un nuevo Hardware/Configuración del
Software o una nueva estructura organizacional. Es a corto plazo y el responsable es el comité de
manejo.
Especifica las tareas que deben ser llevadas a, cabo, sus interdependencias y las restricciones que
aplican las organizaciones cuando llevan a cabo cambios relacionados con el procesamiento de
datos. Por ejemplo: adquisición e instalación de una nueva computadora, establecer una nueva
configuración de hardware y software o cambios en la estructura de la organización.
Algunas actividades típicas incluidas en un plan de cambio para informática son entre otras:
Es un plan estratégico para la instalación que define los requerimientos a largo plazo y las tareas
necesarias para cumplir los objetivos. Hay cuatro componentes:
CSF: Critical Success Factor (Factores Críticos de Éxito) Ejecutivos son entrevistados para
determinar sus metas, las áreas claves de una organización, donde el desempeño debe ser
satisfactorio, donde estas metas deben ser cumplidas.
BSP: Business Systems Plarming (Planeación de Sistemas del Negocio) Es un enfoque de arriba-
abajo para desarrollar una arquitectura de SI. Tiene cuatro etapas: Definir el objetivo del negocio,
definir procesos del negocio, definir datos claves y definir la arquitectura de SI.
BIAIT: Business Information Analysis and Integration Technique (Analisis de Información del
Negocio y Técnicas de Integración) Provee siete preguntas para ser hechas y en base a sus
respuestas se proponen una serie de requerimientos normativos.
BICS: Business Information Control Study (Estudio de Control de Información de Negocios) Es una
metodología que combina al BSP yal BIAIT
E/M Analysis: Ends/Means Analysis (Analisis de Objetivos/Medios) Se especifican los objetivos a
ser cumplidos y los medios para lograrlos además indica las medidas de efectividad y eficiencia
relevantes.
Plan de sistemas de Información e Instalación: Incluye los siguientes puntos de acuerdo con los
objetivos a largo plazo:
· Requerimientos de instalaciones.
Descripción: Forma la base del presupuesto para el desarrollo de un sistema específico y asegura
que el proyecto es consistente con las metas y objetivos establecidos en el plan maestro. Es a
corto plazo y el responsable es el director de informática
Forma la base para un proyecto particular. El CIO debe utilizar el plan de proyecto para monitorear
el progreso de las actividades de desarrollo e implementación de los sistemas de aplicación.
Desarrollo de sistemas, programación y administración de operaciones típicamente desarrollan el
trabajo detallado necesario para la planeación del proyecto. Las principales actividades que se
realizan son:
Secuencia de tareas.
Han sido desarrolladas técnicas como GANTT y PERT para ayudar a la planeación de proyectos.
Descripción: Plan necesario para resguardar los archivos de la instalación, y las capacidades de
procesamiento de datos. Es a corto plazo y el responsable es el director de informática
Una instalación puede sufrir cualquier desastre por muchas razones, entre ellas huracanes, fuego,
sabotaje, fraude, falla de hardware. La administración debe planear para tales desastres si quiere
continuar con sus operaciones cuando el desastre ocurra.
Este plan debe ser revisado y aprobado adecuadamente con el fin de que pueda ayudar a
disminuir o contrarrestar cualquier contingencia. Además deberá de ser actualizado
periódicamente.
Unidad de comandos: Todo empleado debe tener un solo supervisor para evitar conflictos
en instrucciones y promover un mayor sentimiento de responsabilidad para el logro de los
resultados.
Se requiere que el auditor entienda las áreas fundamentales para una efectiva dirección: como
motivar a sus subordinados, como darles liderazgo y como comunicar claramente los
requerimientos de trabajo a sus subordinados.
Motivación
Existen muchas teorías de motivación como son la escala de las necesidades de Maslow, la teoría
de la motivación-higiene de Herzberg, la teoría de expectativas de Vroom.
Sin embargo la teoría de la contingencia es la mejor aceptada por mencionar que no hay forma
ideal para motivar a los empleados; la mejor manera depende del individuo y su medio ambiente.
Liderazgo
Un administrador que adopta un estilo de liderazgo efectivo cuenta con las siguientes
características:
Se considera como la mejor teoría de liderazgo a la de contingencia que dice: no hay una manera
de liderazgo efectiva para toda la gente en todas las situaciones; depende de la personalidad y de
las tareas. También aquí, el auditor usualmente no tiene ni el tiempo ni el conocimiento para
evaluar la habilidad de la administración de escoger el estilo de liderazgo apropiada a una
situación dada.
El auditor debe estar al pendiente de indicadores que sugieren pobre liderazgo: rotación de
personal, falla de proyectos por bajos presupuestos, etc.
Comunicación
Fuentes formales: las minutas de las juntas son fuentes formales de evidencia en el éxito o fracaso
de la comunicación en una instalación computacional.
El control consiste en comparar el desempeño actual contra el planeado, lo cual sirve como una
base para ajustar acciones.
Cuando se evalúa la alta dirección y la dirección de informática, los auditores se enfocan en las
actividades de control que deben ser desarrolladas en la instalación para asegurar el cumplimiento
de los objetivos.
Etapa Características
Medios de Control
Estándares de Desempeño
Uso de equipo
Análisis de sistemas
Programación
Operaciones
Estándares de Documentación
Los estándares de documentación forman una parte importante para el éxito o fracaso de los
proyectos de sistemas de información. Estos tienen cuatro propósitos:
Referencia histórica
Referencia instruccional.
Muchos proyectos pueden ser divididos en una serie de pasos. Al final de cada paso, un punto de
chequeo puede ser definido. Cuando el punta de chequeo es alcanzado, la administración puede
revisar el progreso del proyecto y determinar si necesita mas trabajo. Si las revisiones de los
puntos de chequeo son bien llevadas acabo, pueden ser medios para detectar áreas problema en
la conducción del proyecto.
Deben existir medios para proveer una alarma temprana a desviaciones de proyecto. Técnicas
tradicionales de control de proyectos pueden ser usadas ya que permiten que el proyecto sea
monitoreado (Gantt y Pert)
Post-Auditorias
Junto con las auditorias realizadas por el grupo de informática, la administración del informática
debe realizar regularmente sus propias auditorias como un control fundamental. Ambos equipos
deben tener los mismos objetivos; sin embargo la auditoria de la administración del informática
puede estar mas involucrada en aspectos más detallados del análisis, diseño e implementación de
sistemas. Además los miembros de este equipo de auditoria pueden ser escogidos especialmente
por su conocimiento profunda de los sistemas.
Algún tipo de comité de revisión puede analizar las peticiones de servicio de los usuarios.
Se puede utilizar algún mecanismo para evaluar prioridades como el presupuesto base
cero. Lo primero es reducir todas las actividades de sistemas de información a cero.
Segundo todas las actividades potenciales de sistemas de información son identificadas y
estructuradas en forma secuencial dependiendo un nivel de servicio. Para cada nivel de
servicio estimaciones de beneficios esperados y con sumo de recursos. Finalmente el
comité debe de establecer prioridades.
Precios de transferencia 0 un esquema de cargos puede ser usado para evaluar las
peticiones de los usuarios. Esto involucra determinar las unidades de servicio ofrecidas por
la instalación del procesamiento de datos (segundos de uso de CPU, espacio de
almacenamiento en disco, líneas impresas) y una tabla de honorarios. A los usuarios se les
cobra por los servicios que consumen.
El auditor debe determinar que aspectos de cada función son críticos para la organización desde el
punto de vista del control y evaluar el desempeño de la función contra las guías normales de cada
función.
Responsabilidades
Estas pueden ser asignadas a miembros del staff del Departamento de Servicios de Información.
Tener un grupo de Aseguramiento de la Calidad (Quality Asurence) que sea responsable de las
funciones de QA.
Evaluar el nivel general de la satisfacción del usuario con los servicios del Departamento
de Servicios de Información.
Planes de Revisión
Su función debe ser establecida por el administrador general quien dictara sus responsabilidades y
autoridad para realizar su función de auditoria interna, esto debe ser periódicamente revisado
para verificar que se mantenga lo establecido.
Requerimientos Externos
Aspectos como las regulaciones gubernamentales deben ser considerados ya que pueden afectar
el uso y control de los sistemas computacionales así como el uso de las computadoras, programas
y datos. Se deben identificar las áreas afectadas ya que deben ser consideradas en los planes
políticas, estándares y procedimientos.
Provee la estructura del personal, instalaciones y flujo de información para alcanzar las metas y
objetivos a ser cumplidos.
Una vez hecho esto se deben de evaluar el grado de independencia que se ha logrado en esa
posición.
El director general (CEO) debe hacer una distribución de tareas, incluyendo al departamento de
servicios de información así como entre el desarrollo de sistemas, operación, control de datos,
administración de base de datos. Estas actividades deberán ser auditadas para evaluar que sean
las adecuadas y que se encuentre la descripción del trabajo documentada.
Tradicionalmente dos tipos de estructura organizacional han sido adoptados en una instalación
computacional
Existen razones que llevan a la alta dirección y al director de informática a tomar la decisión de
centralizar o no las instalaciones computacionales:
Con la disponibilidad de microcomputadoras a bajo costa es difícil detener la compra de estas por
parte de los propios departamentos usuarios. Por lo tanto la descentralización del proceso de
información se da aunque no se haya planeado.
El desarrollo, implementación y operación de sistemas debe ser controlado y coordinado por guías
formales de descentralización.
Estándares
Para guiar y controlar las actividades en el área de informática se deben tener estándares de
métodos y estándares de desempeño.
Por regla general los estándares deben estar formalmente documentados en el manual de
estándares del área de informática. La parte más problemática en la formulación de estándares es
determinar el nivel apropiado ya que estándares muy detallados son costosos de desarrollar y
mantener y por otro lado estándares superficiales son inútiles ya que proporcionan una guía
inadecuada para desarrollar las tareas.
Consiste en seleccionar y entrenar al personal adecuado para desarrollar las tareas. La calidad de
la funcionalidad de staff afecta directamente la calidad de los sistemas producidos en la
organización.
El Plan Maestro indica las necesidades de staff en el futuro. Existen dos razones para enfatizar en
la necesidad de una planeación de staff:
La planeación de personal involucra hacer un inventario de las habilidades de staff actual, de los
requerimientos futuros, determinar la posible tasa de rotación de personal y determinar como
llenar dichos puestos.
La selección del personal y su promoción deben tener criterios a considerar como son el nivel de
educación, experiencia y responsabilidad, los cuales deberán estar debidamente establecidos y
deberán ser los apropiados.
Capacitación de Personal.
Los empleados son jóvenes que han estado experimentando promociones rápidas y que tienen
pocas oportunidades de avance. Por otro lado, la experiencia técnica del analista o programadores
"viejos" los hace inmóviles dentro de la jerarquía organizacional.
Entrenamiento del personal para mantener sus conocimientos y habilidades. Estos procedimientos
deberán ser evaluados por miembros del Staff de Departamento de servicios de información.
La evaluación del trabajo de los empleados se debe basar en estándares establecidos y
responsabilidades específicas sobre una base regular. Estos métodos de evaluación deben ser
revisados.
Puede ser a voluntad del empleado o de la organización. En cualquier caso ciertos procedimientos
de control deben ser realizados:
· Cancelar Passwords
Controles de Entrada
Los componentes del subsistema de entrada son responsables por la llegada de información al
sistema. La información toma dos formas: la primera datos iniciales a ser procesados y/o
almacenados en bases de datos y la segunda instrucciones que dirigen el sistema para ejecutar un
proceso particular, actualizan datos o preparan un tipo de salida.
1. Basada en Documentos
2. Entrada Directa
3. Híbrida
Tarjetas
Cinta de papel
Cinta magnética
Tarjetas perforadas
Documentos
Disco magnético
Casette
Etiquetas
Gafetes
Tarjetas de Plástico
Lectores de Tarjetas
Errores
Tarjetas defectuosas
Controles
Lectura Doble
Cuenta de hoyos
Revisión de eco
Revisión de caracteres
Tipos
Lectura de documentos
Lectura de páginas
Caros
Los documentos fuente se definen como las formas usada para el registro de los datos,
determinan que datos van a ser capturados, sirven para conocer quien los va a capturar, como van
a ser preparados y leídos por el dispositivo y como se llenarán y almacenarán.
Selección del Medio: Normalmente se usa papel o tarjetas, definir el largo y ancho, la clase y el
peso
Selección de la Estructura: Que los datos sean legibles, que se pueda manejar adecuadamente el
documento
La pantalla utilizada para la captura de datos deberá ser cuidadosamente diseñada con el fin de
facilitar y lograr el menor número de errores en el proceso de captura de información. A
continuación se exponen algunas recomendaciones:
Utilizar pantallas de calidad que cumplan con los objetivos de efectividad y eficiencia.
Diseño de Campos de Entrada: Subrayar para delimitar el tamaño del campo, dar
información acerca del formato.
Tabulaciones y saltos: no hacer saltos automáticos, utilizar un Tab.
Tiempo de respuesta: tiempo que pasa desde el momento en que se está ingresando un
dato hasta que el sistema está listo para recibir el siguiente
Tasa de despliegue: Rapidez con la que aparecen los caracteres y las imágenes en la
pantalla
Algunos de los requerimientos de diseño que se sugieren para cumplir con una codificación de
datos eficiente son:
Es fácil que los códigos sean capturados con errores, dado el volumen de datos ingresados, el
tiempo que se tiene para ingresar los códigos, la falta de experiencia, o simplemente por
distracción o cansancio del capturista de datos de cualquier forma es importante que se
identifiquen estos errores para poder corregirlos en su momento:
Existen diferentes métodos para la generación de códigos, a continuación se citan algunos de los
tipos de códigos:
Dígitos Verificadores
Los dígitos verificadores son controles utilizados para evitar errores al transcribir o teclear algún
código, de alguna manera aseguran que el conjunto de dígitos corresponda al número final del
código. Es decir que el conjunto de números digitados deberá estar asociado con el dígito
verificador final, el cual será el resultado de ciertas operaciones aritméticas.
Multiplicar cada dígito por un peso y sumar los resultados (5,4,3,2) (42)
La eficiencia de los métodos de dígito verificador no ayuda en un 100% con todos los posibles
errores sin embargo los estudios han arrojado los siguientes porcentajes de eficiencia de acuerdo
al tipo de error presentado
Trascripción 86%
Transposición simple 8%
Se sugiere usar dígitos verificadores solamente en casos críticos, cuando el poder de cómputo sea
suficiente ya que esto implica un cálculo adicional al momento de la captura de información,
además se requiere de espacio de almacenamiento extra para el digito verificador
Estos son algunos chequeos de validación que se hacen en el procesamiento de datos sobre
campos, registros y archivos
Uno de los Riesgo más importantes lo constituyen los programadores novatos o incautos, sobre
esto solo habría que establece estándares y metodologías a seguir para evitar errores. Entre
algunas recomendaciones para los programadores se encuentran los siguientes
Controles en la Salida
La salida constituye la forma en que el sistema arroja sus resultados. Por medio de la salida el
usuario evalúa, analiza y toma decisiones. Las determinación del personal que recibirá la salida de
los datos es de suma importancia ya que los resultados no pueden llegar a personas no
autorizadas, por otro lado la forma en que los datos se presentan es también un factor importante
a evaluar. De lo anterior podemos mencionar las actividades a controlar en el subsistema de
salidas
Determinación de los usuarios que deben recibir los datos
El Objetivo de los controles de salida es: Buscar que no se pierda o robe la información, de
acuerdo a la sensibilidad de los datos proporcionados y a el tipo de proceso que se esté utilizando
el cual puede ser Batch o en Línea
Controles de Presentación
Manejan la forma en la cual la información será comunicada a los tomadores de decisiones por
medio del subsistema de salidas
Objetivos
Contenido
Exactitud
Edad
Relevancia
Sumarización
Filtración
Medios
Papel
Desplegados visuales
Voz
Gráficas
Distribución
Tiempo
Los reportes que se dan en una salida por lotes o también conocida como batch dada la
acumulación de información en un periodo deberá contener las siguientes características
Fecha/Período de retención
Método de destrucción
Encabezados de campos
Número de página
Fecha de producción
Clasificación de Seguridad/Confidencialidad
Lista de distribución
Impresión
Papelería
Inventario
Almacenamiento seguro
Formas preimpresas
Formas prenumeradas
Generadores de Reportes
Errores evidentes
Formatos erróneos
Datos faltantes
Valores irrazonables
Reportes
Encriptación
Tiempo de respuesta
Controles de Teleprocesamiento
Seguridad Informática
Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el
manejo de la información y, como es de todos conocido la información viene a representar el
motor en la era digital en la que nos estamos moviendo. Dada la importancia de esta información
para todos los procesos en una organización será necesario mantenerla segura, para que se
encuentre en donde se necesita, en el momento que se necesita y en las condiciones que es
requerida.
Estos recursos informáticos pueden sufrir diferentes daños los cuales pueden provenir tanto del
interior como del exterior de la organización. Por ejemplo: Robo, destrucción, uso no autorizado.
Deben existir controles que de alguna manera realicen actividades de prevención, detección y
corrección de cualquier problema con los recursos informáticos. Las estadísticas de ataques
informáticos muestran que mas del 70% provienen de gente que se encuentra dentro de la
organización, la cual tiene el conocimiento de las vulnerabilidades de los sistemas y de cuales son
los datos mas sensibles en una organización.
Riesgo: Posibilidad de que algo suceda sobre uno o más activos de la organización
La información se encuentra expuesta a muchos riesgos a lo largo de todo su manejo, desde que
es generada, hasta que es almacenada. Es por eso que la empresas deben establecer políticas de
seguridad de tipo lógico y físico. Ambas de la misma importancia para conservar a la información
segura.
Se hace necesario que las empresas dicten estrategias que les permiten disminuir los niveles de
vulnerabilidad y llevar un administración eficiente de riesgos a esto se le conoce como políticas de
seguridad.
El uso de las telecomunicaciones incrementa sin lugar a dudas los riesgos a los cuales se enfrenta
la información en una empresa. Dado que el acceso a la información se puede realizar desde
cualquier lugar del mundo. Las empresas encuentran que su información está expuesta a
diferentes riesgos, ente ellos los mas conocidos son: virus, caballos de troya, gusanos, códigos
maliciosos. No podemos olvidar a los hackers quienes han sofisticado su manera de atacar a las
empresas, descubriendo vulnerabilidades sobre los sistemas para lograr accesos no autorizados y
dañar la información.
La seguridad lógica tiene que ver con todo lo relacionado con el control de acceso a la información
y software, por ejemplo el llevar un control de quién acceso a a una base de datos para consultar o
para modificar información. Podemos decir que una empresa está protegiendo su seguridad lógica
cuando:
Las personas autorizadas son las que hacen uso de los archivos y programas
Los operadores realizan sus tareas y no se les permite modificar datos o programas
Utiliza Firewalls
Uso de passwords
Monitorear la entrada a la red por correo, páginas de web y la entrada a bases de datos
desde laptops
Aunque los puntos anteriores no son todos los que se deben considerar, nos permite tener un
panorama para definir los aspectos que deben ser cubiertos por políticas de seguridad lógica.
Cuando una empresa esta pensando y actuando teniendo en mente los riesgos tanto naturales
como humanos a los cuales se enfrentan sus instalaciones puede comenzar por establecer
políticas y procedimientos de seguridad física. Por ejemplo protección contra incendios,
terremotos, huracanes, humedad, motines, disturbios sociales, robos, sabotajes, alteración en
equipo sensible, fallas en equipo etc.
Se puede hacer uso de los siguientes puntos para disminuir los riesgos que atentan contra la
seguridad física: Guardias, detectores de metales, sistemas biométricos, verificación automáticas
de firmas, protección electrónica, etc. Estos así como otras medidas de seguridad deben ser
evaluadas para ser implementadas como políticas de seguridad informática en la empresa.
El establecimiento de una política de seguridad informática es una necesidad para las empresas
que utilizan las redes como una forma de mejora en procesos y de poder competir en un mundo
globalizado
La políticas vienen a representar una forma consensuada de hacer y manejar todos los aspectos
tecnológicos de la organización ya que de no hacerlo así podrían ocasionar serios problemas a la
organización
Las políticas de seguridad deberán ser definidas tomando en cuenta riesgos y vulnerabilidades y
sobre todo deberán estar actualizándose constantemente ya que al estar relacionadas con
aspectos tecnológicos sus consideraciones cambian con gran rapidez.
Las políticas de seguridad informáticas deben ser definidas tomando en cuenta lo que se debe
proteger y el porque se debe proteger y por supuesto deben tomar en cuenta al personal que hace
uso de esa información o de los recursos y redactarlas en un lenguaje que sea comprensible para
ellos
La seguridad informática tiene un dicho: "lo que no está permitido debe estar prohibido" pero
esto no se logra fácil. Es necesario establecer una política de seguridad siguiendo un
procedimiento en donde se analizan los riesgos a los cuales está expuesta la información y los
recursos tecnológicos con los que cuenta la empresa.
El establecimiento de dichas políticas debe ser de arriba hacia abajo en la organización ya que
requiere de un apoyo económico pero también de dirección muy importante para hacer que esto
tenga éxito y no sea considerado como algo superficial que no tiene impacto en la empresa.
El error de muchas empresas es pensar que a sus sistemas y a sus recursos informáticos nunca les
pasará nada, es por eso que nos encontramos con frases como las siguientes:
Estoy protegido pues no abro archivos que no conozco. Los sistemas realizan acciones sin
necesidad que el usuario lo supervise o autorice a veces los usuarios desconocen y
aceptan algunas operaciones que pueden resultar peligrosas para el sistema
Como tengo antivirus estoy protegido. No basta con esto, es necesario estar actualizando
el antivirus y en ocasiones ni esto es suficiente dado que se genera el virus y después el
antivirus.
Delitos Informáticos
Que ha resultado mal en todo este uso de tecnología como es que la información puede estar tan
expuesta a ser destruida o robada. Están en riesgo desde transacciones comerciales, bancarias,
financieras, personales que día a día se manejan en la red. Nos enfrentamos a la existencia de
personas sin escrúpulos que agrupadas o de forma individual hacen mal uso de la información que
los sistemas contienen para satisfacer sus intereses personales. A medida que la tecnología siga
evolucionando también encontraremos que los delitos lo harán.
Existen diferentes legislaciones que de alguna manera tratan de proteger la información contra los
delitos. Puedes visitar los siguientes sitios de internet en donde encontrarás información sobre
legislación en países como México y Venezuela:
http://seguridad.internet2.ulsa.mx/congresos/2003/cudi2/legislacion.pdf
http://www.delitosinformaticos.com/estafas/delitosvenezuela.shtml
Si piensas que los delitos informáticos son relativamente nuevos y que no afectan entérate
visitando este sito en donde encontrarás algunas estadísticas y comentarios
http://www.mailxmail.com/curso/informatica/delitosinformaticos/capitulo21.htm
A continuación se listan algunas acciones que se pueden realizar utilizando la computadora y son
considerados delitos computacionales:
Acceso no autorizado
Destrucción de datos
Terrorismo Computacional
Cuando hablamos de terrorismo computacional se nos viene a la cabeza virus, hackers y otros
conceptos que han venido posicionándose como elementos no deseados cuando hablamos de uso
de tecnología de información.
Spyware: Es un espía que tienes en tu computadora que vigila todo las acciones que realizas, y de
alguna forma obtiene gracias a tus hábitos de navegación tus gustos y preferencias. Que se hace
con esta información pues es vendida y utilizada para publicidad en el mejor de los casos pero en
el peor de los casos es utilizada pueden afectar tu información. Para conocer más ingresa a la
siguiente página:
http://www.pandasoftware.es/virus_info/spyware/?sitepanda=particulares
También puedes consultar sobre el funcionamiento de adware, dialer, cookie y de como puedes
proteger los equipos.
http://www.pandasoftware.es/virus_info/spyware/que_es/?sitepanda=particulares
Hoaxes o Falsos Virus: son correos que lo único que pretenden es saturar la red u obtener listas de
correos, estos mensajes logran captar la atención de los usuarios ya que apelan a la buena
voluntad de las personas para ayudar a alguien enfermo o al desea de hacerse millonario
mandando reenviando el correo, así como también a la esperanza de que se cumpla un milagro
por hacer el envió de 7 correos o mas en menos de 7 horas, por mencionar algunos ejemplos.
Consulta mas sobre esto en la página:
http://www.pandasoftware.es/virus_info/hoaxes?sitepanda=particulares
Existen sitios en internet en donde se pueden verificar si un correo es realmente de este tipo
consultar si los correos co:
http://hoaxbusters.ciac.org
http://www.rompecadenas.com.ar/hoaxes.htm
http://vil.mcafee.com/hoax.asp
http://www.symantec.com/avcenter/hoax.html
http://www.enciclopediavirus.com/tipos/index.php
Spam: Tipo de Malware que es un correo electrónico que no ha sido solicitado por quien lo recibe
y normalmente es de contenido publicitario y es enviado de forma masiva. Para que conozcas
como identificarlos, como funcionan y sus características principales puedes entrar a la siguiente
página:
http://www.pandasoftware.es/virus_info/spam/?sitepanda=particulare
Conclusión
Podemos decir que es muy importante para una empresa en tener el conocimiento de los
elementos que pueden afectar su seguridad por lo que deberá tomar encuentra los aspectos tanto
físicos como lógicos para darse una idea de que es lo que tiene que implementar para protegerse,
por otra parte es importante que las personas encargadas de seguridad informática en la
organización puedan establecer políticas de seguridad informática para la organización las cuales
deben estar apoyadas por la alta administración y transmitidas en un lenguaje adecuado para
todas las personas relacionada con el uso de tecnología de información y con todo el
procesamiento electrónico de datos.
Las legislaciones varían dependiendo del país en donde nos encontremos, aunque hay una
tendencia que todos tengan un estándar ya que nos estamos moviendo en un mudo globalizado.
Se deben conocer los delitos informáticos a los que mas estamos expuestos, así como tomar en
cuenta que todos estamos expuestos a los virus por lo que deben existir políticas para protegerse
adecuadamente.