El objetivo preliminar de la revisión del marco de control de la administración de las instalaciones

computacionales es ver si la administración realiza bien su trabajo. La calidad de la administración

tiene una influencia sobre la calidad del control a nivel detallado y en la medida en que los datos
son salvaguardados, conservados íntegros y en que el sistema funcione eficiente y efectivamente.

Examinar evaluar el marco de control es importante por dos razones:

El auditor puede usar la evaluación como una base para determinar la naturaleza y extensión de
las pruebas detalladas para ser utilizadas por los sistemas de aplicación. La calidad del marco de
control administrativo afecta la calidad del procesamiento de datos en el futuro. El auditor puede
formase una idea de si los sistemas de aplicación son candidatos para degradarse en el futuro.

Los auditores no pueden evaluar la administración a menos que sepan lo que la administración
debe estar haciendo para ello hay que evaluar las funciones que la administración debe
desarrollar.

A continuación se muestran las funciones que la administración debe hacer:

 Planeación: Determinar las metas de la instalación y los medios para lograrlos.

 Organización: Proporcionar instalaciones y actividades de grupo y personales necesarias

para realizar las tareas.

 Staff: Seleccionar y entrenar el personal requerido para el logro de las tareas.

 Dirección: Coordinar actividades, proveer un liderazgo y guía, motivación personal.

 Control: Comparar el actual desempeño con el planeado como una base para ajustar
acciones.

El auditor deberá conocer un poco más sobre los elementos relacionados con la administración y
que tienen impacto directo o indirecto en el área de informática del negocio. A continuación se
expone con un poco mas de detalle los puntos importantes de cada función de administración de
la Alta dirección y de la dirección de informática

Evaluación de la Función de Planeación.

La alta dirección y la dirección de informática deben contestar a la siguiente pregunta:

¿Cómo deben ser utilizadas la tecnología de información para el apoyo a los procesos
organizacionales y como estos están relacionados con la estrategia del negocio y sus objetivos
institucionales?

El CEO (Chief Excecutive Officer) quien es el director general de la empresa al igual que el CIO
(Chief Information Officer) Director de Informática o Sistemas están involucrados en las funciones
de planeación que tienen que ver con el area de tecnología de información en la empresa.
La alta dirección participa en la función de planeación de tecnología de información a través de un
comité de manejo. Este comité debe producir un plan maestro para el uso de tecnología de
información (TI) que guíe el desarrollo a largo plazo y el director de informática debe participar en
el establecimiento de políticas y objetivos a corto plazo.

El comité de manejo en el cual se agrupan representantes de las diferentes áreas del negocio tiene
otras funciones como las siguientes:

 Establecer el tamaño y alcance de la función de TI

 Definir prioridades dentro de estos límites.

 Asegurar la existencia de un sistema de comunicación viable en el área de informática

 Monitorear el cumplimiento de las funciones de informática

 Medir los resultados de los proyectos de informática en términos de retorno sobre la

inversión (ROI).

La planeación a largo plazo debe incluir un punto en donde considere como los planes del
Departamento de Servicios de Información ayudarán al logro de los objetivos.

Algunos puntos importantes a revisar son:

 La compatibilidad en la documentación de los planes y objetivos del Departamento de

Servicios de Información.

 Determinar la consistencia entre lo que el usuario quiere y lo que se encuentra planeado

en el Departamento de Servicios de Información.

 Determinar la eficiencia y efectividad de plan del Departamento de Servicios de

Información.

Se debe de auditar las responsabilidades y funciones del comité, sus minutas, determinar que sus
metas sean consistentes para el logro de los planes y metas de la organización.

La planeación a largo plazo del departamento de servicios de información debe estar integrada
con los planes de la organización. Se debe verificar que sean compatibles con cambios
organizacionales, avances tecnológicos, y requerimientos regulatorios.

Los planes a corto plazo deberán ser compatibles con los de largo plazo así como los planes de
corto plazo del departamento de servicios de información con los de la organización.

Algunos conceptos importantes en términos administrativos y de auditoria son: Políticas,

Estándares y Procedimientos los cuales serán tratados con mas detalle en otra sección pero que
aquí son señalados ya que estamos hablando de la forma en que la administración es llevada a
cabo en el área de informática.
Políticas directivas del administrador general definen la relación entre el departamento de
sistemas de información y el departamento del usuario, son desarrolladas y comunicadas a todos
los afectados, se deberá de auditar que se cuente con dichas políticas y que la forma en que se
comunican sea la adecuada.

Estándares regulan la adquisición de los recursos del departamento de servicios de información,

diseño, desarrollo y modificación de los sistemas y la operación de la función de servicios de
información. Debe ser coordinada, mantenida y comunicada a los departamentos afectados. Se
deberá evaluar los procesos de aplicación de estándares, y que los procesos afectados por estos
estándares cumplan.

Los procedimientos describen el manejo y la responsabilidad para gobernar la relación entre

departamento de servicios de información y los usuarios. Se deberán evaluar las responsabilidades
de que efectúen los procedimientos y que sean comunicados a los departamentos afectados en
forma adecuada.

ACTIVIDAD

Datos del Aprendiz

Nombres y

Apellidos

Código Curso

Documento de

Identidad

Ponderación: Este taller tiene un valor de 60 puntos.

Forma de envío:

El taller debe ser enviado al Tutor desde el Icono “ACTIVIDADES-SEMANA1 -TALLER

1”.

Programa: Sistemas de Información

Curso: Control y Seguridad Informática

Unidad didáctica: Controles Administrativos y Controles de Aplicación

Nombre de la actividad: Ensayo sobre funciones de un CEO, CIO y responsable de

Seguridad informática

Después de las lecturas realizadas y las consultas efectuadas en Internet (Ver los link que a

continuación se presentan), conteste lo siguiente en un documento ensayo.

Descripción del Taller: DESCRIPCIÓN DE ACTIVIDADES

ACTIVIDAD 1

OBJETIVO: El objetivo de esta actividad es que el participante se relacione con las

actividades y responsabilidades que tiene un CEO, un CEO y el encargado de seguridad

informática

Visitar los sitios sugeridos: http://www.monografias.com/trabajos15/cio/cio.shtml

http://www.scribd.com/doc/40287501/Diferenciando-Al-CEOServicio Nacional de Aprendizaje –

SENA

Taller: Semana 1

Versión: 01

Página: 2

http://clubensayos.com/Tecnolog%C3%ADa/CEO-CIO-Y-SEGURIDAD-
INFORM%C3%81TICA/56484.html

Después de leer el material didáctico y entrar a visitar los sitios sugeridos realizar la

siguiente investigación sobre los administradores involucrados con las funciones de

sistemas. Por una parte se encuentra el CEO (Chief Ejecutive Officer) y el CIO (Chief

Information Officer). La vinculación del CEO y el CIO son importantes para que la

función de auditoría se realice en forma eficiente.

Realizar los siguientes pasos; presentando en formato de ensayo

1. Investiga cuales son las principales funciones de un CEO, CIO y el encargado

de seguridad en informática

2. Identifica su ubicación en la estructura organizacional (Organigrama de la

Empresa)
Nota: Realice un breve resumen sobre el tema, no corten y peguen la información ya

que este no es el objetivo del Taller.

Se deberá entregar un documento, con normas Icontec, en donde incluyas una

introducción, desarrollo, conclusiones y fuentes bibliográficas consultadas.

Suerte en el desarrollo del taller.

Recuerda que este taller vale 60 puntos!

Unidad 2: Controles Administrativos

Planeación

La planeación en el área de informática no es un tema sencillo de tratar, ya que se ve impactada

con cinco tipos de planes que son básicos para garantizar un buen funcionamiento. Aún y cuando
el área de tecnología de información es un área en donde se presentan cambios a la vuelta de
pocos meses es necesario que la planeación exista en todos los sentidos. A continuación se
muestran los aspectos básicos y relevantes a considerar en cada uno de estos planes.

Plan: Estudio de factibilidad.

Descripción: Investigación del costo y los beneficios a largo plazo del uso de computadoras y
recomendar si la organización debe o no utilizar computadoras. Es a largo plazo y el responsable
es el comité de manejo.

La administración requiere un estudio de factibilidad para cualquier decisión de planeación en la

instalación computacional. Por ejemplo:
  Utilizar tecnología de información en la organización.

 Implementar un nuevo sistema de aplicación o cambiar el sistema de aplicación actual.

 Instalar un nuevo hardware o software y definir que características debe tener.

 Realizar un cambio de estructura organizacional para aumentar la capacidad de

procesamiento de datos.

El estudio de factibilidad es una herramienta del proceso de planeación más que un plan. Por otro
lado, constituye un plan, ya que documenta las deliberaciones de la administración y proporciona
recomendaciones y guías para implementar esas recomendaciones.

Involucra dos pasos

 Cuestionario preliminar. Determinar rápidamente si el procesamiento vale la pena y si el

estudio de factibilidad esta garantizado.

 Apropiado estudio de factibilidad. Se lleva a cabo si el procesamiento de datos vale la

pena.

Complejidad en este proceso

 Las inversiones del procesamiento de datos deben ser evaluadas en términos de

beneficios intangibles y costos.

 Evaluar la tasa de descuento es difícil

 Muchos proyectos de procesamiento de datos ahora son interdependientes y su viabilidad

financiera es difícil de evaluar.

Plan: Plan de cambio.

Descripción: Especificación de tareas y actividades que deben ser llevadas a cabo durante el
cambio de procesamiento computacional de datos, un nuevo Hardware/Configuración del
Software o una nueva estructura organizacional. Es a corto plazo y el responsable es el comité de
manejo.

Especifica las tareas que deben ser llevadas a, cabo, sus interdependencias y las restricciones que
aplican las organizaciones cuando llevan a cabo cambios relacionados con el procesamiento de
datos. Por ejemplo: adquisición e instalación de una nueva computadora, establecer una nueva
configuración de hardware y software o cambios en la estructura de la organización.

Algunas actividades típicas incluidas en un plan de cambio para informática son entre otras:

· Completar las especificaciones de hardware y software.

· Evaluar y seleccionar hardware y software

· Planeación física y preparación del sitio

· Prueba final y aceptación de hardware y software

· Entrega e instalación de hardware y software

· Diseño de la estructura organizacional para la instalación

Plan: Plan maestro.

Descripción: Plan estratégico para el área de informática, establecimiento de objetivos a largo

plazo y tareas necesarias para lograr esos objetivos. Es a largo plazo y el responsable es el comité
de manejo.

Es un plan estratégico para la instalación que define los requerimientos a largo plazo y las tareas
necesarias para cumplir los objetivos. Hay cuatro componentes:

 Resumen del plan estratégico organizacional: Provee un capitulo general bajo

 el cual todas las unidades de la organización, inc1uyendo la función de SI.

 Plan estratégico de sistemas de información: El comité de manejo es responsable de

traducir el plan estratégico organizacional en el plan estratégico de SI y debe determinar
que implicaciones pueden existir.

 Plan de requerimientos del SI: Define la arquitectura de SI para el departamento. La

arquitectura especifica las principales funciones organizacionales necesarias para dar
soporte a la planeación, control y actividades de operación y las clases de datos asociadas
con cada función.

Existen algunas técnicas de análisis que ayudan en la preparación de la arquitectura de SI:

CSF: Critical Success Factor (Factores Críticos de Éxito) Ejecutivos son entrevistados para
determinar sus metas, las áreas claves de una organización, donde el desempeño debe ser
satisfactorio, donde estas metas deben ser cumplidas.

BSP: Business Systems Plarming (Planeación de Sistemas del Negocio) Es un enfoque de arriba-
abajo para desarrollar una arquitectura de SI. Tiene cuatro etapas: Definir el objetivo del negocio,
definir procesos del negocio, definir datos claves y definir la arquitectura de SI.

BIAIT: Business Information Analysis and Integration Technique (Analisis de Información del
Negocio y Técnicas de Integración) Provee siete preguntas para ser hechas y en base a sus
respuestas se proponen una serie de requerimientos normativos.

BICS: Business Information Control Study (Estudio de Control de Información de Negocios) Es una
metodología que combina al BSP yal BIAIT
E/M Analysis: Ends/Means Analysis (Analisis de Objetivos/Medios) Se especifican los objetivos a
ser cumplidos y los medios para lograrlos además indica las medidas de efectividad y eficiencia
relevantes.

Plan de sistemas de Información e Instalación: Incluye los siguientes puntos de acuerdo con los
objetivos a largo plazo:

· Desarrollo del sistema de aplicación especifico y su plan de tiempo.

· Planeación de desarrollo/adquisición de hardware y software.

· Planeación de contratación y desarrollo de personal.

· Requerimientos de recursos financieros.

· Requerimientos de instalaciones.

· Requerimientos de cambios organizacionales.

Plan: Plan proyecto.

Descripción: Forma la base del presupuesto para el desarrollo de un sistema específico y asegura
que el proyecto es consistente con las metas y objetivos establecidos en el plan maestro. Es a
corto plazo y el responsable es el director de informática

Forma la base para un proyecto particular. El CIO debe utilizar el plan de proyecto para monitorear
el progreso de las actividades de desarrollo e implementación de los sistemas de aplicación.
Desarrollo de sistemas, programación y administración de operaciones típicamente desarrollan el
trabajo detallado necesario para la planeación del proyecto. Las principales actividades que se
realizan son:

 Identificar tareas a desarrollar.

 Identificar relaciones entre tareas

 Determinar requerimientos de tiempo en el proyecto.

 Determinar requerimientos de recursos de cada tarea.

 Determinar cualquier otro requerimiento.

 Secuencia de tareas.

Han sido desarrolladas técnicas como GANTT y PERT para ayudar a la planeación de proyectos.

Además el proyecto se debe someter a un estudio de factibilidad para determinar si el retorno

sobre la inversión es aceptable.
Plan: Recuperación de desastres.

Descripción: Plan necesario para resguardar los archivos de la instalación, y las capacidades de
procesamiento de datos. Es a corto plazo y el responsable es el director de informática

Una instalación puede sufrir cualquier desastre por muchas razones, entre ellas huracanes, fuego,
sabotaje, fraude, falla de hardware. La administración debe planear para tales desastres si quiere
continuar con sus operaciones cuando el desastre ocurra.

Este plan debe ser revisado y aprobado adecuadamente con el fin de que pueda ayudar a
disminuir o contrarrestar cualquier contingencia. Además deberá de ser actualizado
periódicamente.

Evaluación de la Función de Dirección

La dirección incluye coordinación de actividades, proveer liderazgo, guías y motivación personal.

Su propósito es que los objetivos individuales no estén en conflicto con los objetivos de grupo.

El proceso esta basado en tres principios:

 Unidad de comandos: Todo empleado debe tener un solo supervisor para evitar conflictos
en instrucciones y promover un mayor sentimiento de responsabilidad para el logro de los
resultados.

 Supervisión directa: La administración debe proporcionar métodos objetivos para la

supervisión con un contacto personal directo.

 Apropiada variación de las técnicas de supervisión para diferente personal, tareas y

ambiente organizacional

Se requiere que el auditor entienda las áreas fundamentales para una efectiva dirección: como
motivar a sus subordinados, como darles liderazgo y como comunicar claramente los
requerimientos de trabajo a sus subordinados.

Motivación

Existen muchas teorías de motivación como son la escala de las necesidades de Maslow, la teoría
de la motivación-higiene de Herzberg, la teoría de expectativas de Vroom.

Sin embargo la teoría de la contingencia es la mejor aceptada por mencionar que no hay forma
ideal para motivar a los empleados; la mejor manera depende del individuo y su medio ambiente.

El auditor usualmente no cuenta con el tiempo ni el conocimiento suficiente para ir a una

instalación computacional y evaluar desde un punto de vista motivacional la existencia de un
enlace entre el empleado y el trabajo que realiza. Lo que el auditor puede hacer, sin embargo, es
examinar variables indicadoras de problemas motivacionales, por ejemplo: estadísticas de
rotación de personal, frecuentes fallas de proyectos, niveles de ausentismo, etc.

Liderazgo

Un administrador que adopta un estilo de liderazgo efectivo cuenta con las siguientes
características:

 Conocimiento: Entiende lo esencial de motivación y liderazgo

 Empatía: Son capaces de ponerse en el lugar de otros

 Objetividad: Pueden examinar y evaluar eventos sin ser subjetivos o mezclarlos

sentimientos

 Auto-conocimiento: Están conscientes de los resultados que provocan sus acciones.

Se considera como la mejor teoría de liderazgo a la de contingencia que dice: no hay una manera
de liderazgo efectiva para toda la gente en todas las situaciones; depende de la personalidad y de
las tareas. También aquí, el auditor usualmente no tiene ni el tiempo ni el conocimiento para
evaluar la habilidad de la administración de escoger el estilo de liderazgo apropiada a una
situación dada.

El auditor debe estar al pendiente de indicadores que sugieren pobre liderazgo: rotación de
personal, falla de proyectos por bajos presupuestos, etc.

Comunicación

Se requiere de una comunicación precisa, efectiva y eficiente entre la administración y el staff de

una instalación computacional. Los mensajes deben ser claramente entendidos, la integridad de
los mensajes debe ser asegurada y cualquier mensaje enviado debe obtener atención de quien lo
recibe. El auditor tiene ambas fuentes formales e informales de evidencia para evaluar que tan
bien la alta dirección y la dirección de informática se comunican con sus subordinados.

Fuentes formales: las minutas de las juntas son fuentes formales de evidencia en el éxito o fracaso
de la comunicación en una instalación computacional.

Fuentes informales: Entrevistas con el staff de la instalación, existencia de un sentido de propósito

entre los miembros del grupo de proyectos, conocimiento general del staff de otros desarrollos
dentro de la instalación, aún cuando no estén directamente involucrados con esos desarrollos.

Evaluación de la Función de Control

El control consiste en comparar el desempeño actual contra el planeado, lo cual sirve como una
base para ajustar acciones.
Cuando se evalúa la alta dirección y la dirección de informática, los auditores se enfocan en las
actividades de control que deben ser desarrolladas en la instalación para asegurar el cumplimiento
de los objetivos.

Hipótesis de Etapas de Crecimiento.

Las etapas de crecimiento de Nolan indican que la evolución de un procesamiento electrónico de

datos tiene cuatro partes. Desde un punto de vista de control, los puntos de cambio de la grafica
representan tiempos críticos en la vida de la instalación.

Etapa Características

Iniciación Instalación de la computadora, Computadora

frecuentemente localizada en el departamento
del usuario principal, ausencia de controles,
presupuesto flojo, no se utiliza sistema de
transferencia de precios, proyectos son
priorizados en base a PEPS. (primeros entran,
primeros salen)

Contagio Administración orientada a ventas intenta

mostrar la utilidad de la computadora, se da
mayor estatus a los administradores de
informática, controles flojos permiten el
rápido desarrollo de aplicaciones, pocos
estándares.

Control Administración orientada a control, la

computadora se mueve fuera del área .del
usuario, proliferación de controles,
establecimiento del comité del manejo de
estándares, control de proyectos, precios de
transferencia.

Integración Planeación y control orientada a recursos, el

de informática se convierte en un área
funcional, alguna descentralización de
analistas y programadores en las áreas del
usuario, alta especialización de funciones, se
introducen sistemas avanzados, refinamiento
de los controles, establecimiento de un plan
maestro.
Desde un punto de vista de auditoria, este modelo se enfoca en el estado de controles dentro de
la instalación de la computadora a medida que pasa por varias etapas. Si los auditores externos
pueden determinar la etapa alcanzada por la instalación, pueden predecir los problemas de
control más seguros de ocurrir. Auditores internos pueden usar este modelo como guía para
diseñar controles apropiados para cada etapa y alertar a la administración sobre los problemas
que pueden aparecer.

Medios de Control

La administración ejerce control sobre las actividades de la instalación computacional a través de

los medios normales: planes y presupuestos, medir el desempeño actual y determinar variaciones.

Estándares de Desempeño

Junto con el plan de proyecto, estándares de desempeño forman la base de construcción de

presupuestos para proyectos de sistemas de información. Los estándares de desempeño describen
el uso de recursos que debería ser esperado al realizar diferentes actividades en la instalación.
Esto abarca cuatro áreas principalmente:

 Uso de equipo

 Análisis de sistemas

 Programación

 Operaciones

Estándares de Documentación

Los estándares de documentación forman una parte importante para el éxito o fracaso de los
proyectos de sistemas de información. Estos tienen cuatro propósitos:

 Comunicación inter áreas o tareas

 Control de calidad y control de proyectos

 Referencia histórica

 Referencia instruccional.

El problema de la administración es determinar el nivel de documentación necesaria en la

instalación. Preparar la documentación es una actividad que consume tiempo. Los beneficios
deben sobrepasar los costos.

Revisión de los Puntos de Chequeo

Muchos proyectos pueden ser divididos en una serie de pasos. Al final de cada paso, un punto de
chequeo puede ser definido. Cuando el punta de chequeo es alcanzado, la administración puede
revisar el progreso del proyecto y determinar si necesita mas trabajo. Si las revisiones de los
puntos de chequeo son bien llevadas acabo, pueden ser medios para detectar áreas problema en
la conducción del proyecto.

Ayuda para el Control del Proyecto

Deben existir medios para proveer una alarma temprana a desviaciones de proyecto. Técnicas
tradicionales de control de proyectos pueden ser usadas ya que permiten que el proyecto sea
monitoreado (Gantt y Pert)

Post-Auditorias

Junto con las auditorias realizadas por el grupo de informática, la administración del informática
debe realizar regularmente sus propias auditorias como un control fundamental. Ambos equipos
deben tener los mismos objetivos; sin embargo la auditoria de la administración del informática
puede estar mas involucrada en aspectos más detallados del análisis, diseño e implementación de
sistemas. Además los miembros de este equipo de auditoria pueden ser escogidos especialmente
por su conocimiento profunda de los sistemas.

Controlando el Uso de los Servicios Computacionales

Existen dos formas de controlar a los usuarios

 Algún tipo de comité de revisión puede analizar las peticiones de servicio de los usuarios.
Se puede utilizar algún mecanismo para evaluar prioridades como el presupuesto base
cero. Lo primero es reducir todas las actividades de sistemas de información a cero.
Segundo todas las actividades potenciales de sistemas de información son identificadas y
estructuradas en forma secuencial dependiendo un nivel de servicio. Para cada nivel de
servicio estimaciones de beneficios esperados y con sumo de recursos. Finalmente el
comité debe de establecer prioridades.

 Precios de transferencia 0 un esquema de cargos puede ser usado para evaluar las
peticiones de los usuarios. Esto involucra determinar las unidades de servicio ofrecidas por
la instalación del procesamiento de datos (segundos de uso de CPU, espacio de
almacenamiento en disco, líneas impresas) y una tabla de honorarios. A los usuarios se les
cobra por los servicios que consumen.

El auditor debe determinar que aspectos de cada función son críticos para la organización desde el
punto de vista del control y evaluar el desempeño de la función contra las guías normales de cada
función.

Aseguramiento de la Calidad en el Departamento de Servicios de Información.

Responsabilidades
Estas pueden ser asignadas a miembros del staff del Departamento de Servicios de Información.
Tener un grupo de Aseguramiento de la Calidad (Quality Asurence) que sea responsable de las
funciones de QA.

 Se deberá hacer un análisis para establecer la necesidad de formar un grupo de QA.

 Evaluar el nivel general de la satisfacción del usuario con los servicios del Departamento
de Servicios de Información.

 Revisar los problemas existentes y determinar las responsabilidades del Departamento de

Servicios de Información en estos requerimientos para solucionar el problema.

Características del Personal

Evaluar el conocimiento de los sistemas de operación y de los lenguajes de comunicación, así

como de aplicación de controles de procesos, conceptos internos de control. Determinar que la
función del QA del Departamento de Servicios de Información no tenga deficiencias.

Planes de Revisión

Será necesario evaluar el estado de los siguientes puntos:

 Logros de los objetivos del Departamento de Servicios de Información

 Adherencia de los servicios de información a los estándares y procedimientos de la

empresa.

 Utilización de sistemas de control para el logro de los objetivos.

 Reportes de aseguramiento de la calidad deben ser presentados a los usuarios y al

administrador de departamento de servicios de información.

Funciones de Auditoria Interna

Es como un complemento de otros elementos de control administrativo, la función de una

auditoria interna es establecer con suficiente competencia técnica, independencia y autoridad
para revisar los objetivos de control de sistemas de información y para preparar reportes en
donde se encuentren y den recomendaciones aplicables a todas las áreas de sistemas de
información.

Su función debe ser establecida por el administrador general quien dictara sus responsabilidades y
autoridad para realizar su función de auditoria interna, esto debe ser periódicamente revisado
para verificar que se mantenga lo establecido.

Requerimientos Externos
Aspectos como las regulaciones gubernamentales deben ser considerados ya que pueden afectar
el uso y control de los sistemas computacionales así como el uso de las computadoras, programas
y datos. Se deben identificar las áreas afectadas ya que deben ser consideradas en los planes
políticas, estándares y procedimientos.

El conocimiento del auditor sobre la tecnología para el procesamiento de datos debe de

incrementarse a medida que aumentan los requisitos del gobierno y del medio ambiente. Los
controles deben ser suficientemente buenos para asegurar el buen funcionamiento de los
sistemas aún y cuando el gobierno haga nuevos requerimientos.

Evaluar la Función de Organización.

Provee la estructura del personal, instalaciones y flujo de información para alcanzar las metas y
objetivos a ser cumplidos.

El departamento de servicios de información debe ser colocado en un nivel suficientemente alto

dentro de la estructura organizacional para así poder lograr una independencia con los
departamentos de los usuarios.

Una vez hecho esto se deben de evaluar el grado de independencia que se ha logrado en esa
posición.

Las responsabilidades del departamento de servicios de información deberán ser delineadas y

documentadas. Se deberán revisar los procedimientos para determinar que las responsabilidades
asignadas fueron descritas adecuadamente, así como verificar que los estándares son los
adecuados.

El director general (CEO) debe hacer una distribución de tareas, incluyendo al departamento de
servicios de información así como entre el desarrollo de sistemas, operación, control de datos,
administración de base de datos. Estas actividades deberán ser auditadas para evaluar que sean
las adecuadas y que se encuentre la descripción del trabajo documentada.

El departamento de servicios de información tendrá que describir y delinear claramente la

autoridad y responsabilidad incluyendo la definición de las habilidades técnicas requeridas para su
evaluación. Estas funciones deberán ser evaluadas analizando que tan bien descritas se
encuentran.

Tradicionalmente dos tipos de estructura organizacional han sido adoptados en una instalación
computacional

 Forma Funcional: Analistas de sistemas son agrupados, programadores son agrupados,

etc.
  Forma de Proyecto: Analistas, programadores son agrupados bajo un proyecto especifico
o bajo un área de aplicación.

Centralización contra Descentralización.

Existen razones que llevan a la alta dirección y al director de informática a tomar la decisión de
centralizar o no las instalaciones computacionales:

 Si una instalación computacional centralizada continua en crecimiento, su manejo se

vuelve muy complicado.

 La alta administración puede haber tornado la decisión de centralizar o descentralizar a la

organización como un todo.

 Actualmente muchas organizaciones se encuentran confrontando dicha decisión.

Con la disponibilidad de microcomputadoras a bajo costa es difícil detener la compra de estas por
parte de los propios departamentos usuarios. Por lo tanto la descentralización del proceso de
información se da aunque no se haya planeado.

El desarrollo, implementación y operación de sistemas debe ser controlado y coordinado por guías
formales de descentralización.

Existen varias alternativas de centralización y descentralización de las operaciones

computacionales:

Funciones Centralizadas Funciones Descentralizadas

Todas las funciones

Coordinación General Todas las otras funciones como: desarrollo,

implementación y operación.

Operaciones de HW y SW Desarrollo e implementación de sistemas

Operaciones de HW y SW e implementación Desarrollo de sistemas

Desarrollo e implementación de sistemas. Operaciones de HW y SW

La decisión de centralizar o descentralizar puede tener un impacto importante en la integridad de

los datos y la efectividad y eficiencia del sistema.
Selección de Hardware/Software.

Este es otro punto a evaluar en la función de organización. Dicha selección involucra la

preparación de un manual de especificaciones para la distribución a vendedores de hardware y
software. Debe de estar preparado para comunicar a los vendedores las necesidades de
instalación. Actuar como un documento de cambio estándar para asegurar uniformidad en los
presupuestos y facilitar la evaluación de los mismos. Evaluar los presupuestos de ventas y
seleccionar la configuración de Hardware y Software. Es necesario que sean planeados
formalmente pruebas de datos, la administración establece pesos relativos para dar diferentes
criterios en la evaluación.

Estándares

Para guiar y controlar las actividades en el área de informática se deben tener estándares de
métodos y estándares de desempeño.

Estándares de métodos: establecen prácticas uniformes, procedimientos y reglas a ser seguidos en

el área de informática. Es una técnica organizacional, que tienen cuatro propósitos:

 Facilitar la comunicación entre partes interdependientes como analistas y programadores.

 Reducir los efectos de la rotación de personal.

 Reducir los efectos del cambio tecnol6gico.

 Formar la base de estándares de desempeño proporcionando una base de medida común.

Por regla general los estándares deben estar formalmente documentados en el manual de
estándares del área de informática. La parte más problemática en la formulación de estándares es
determinar el nivel apropiado ya que estándares muy detallados son costosos de desarrollar y
mantener y por otro lado estándares superficiales son inútiles ya que proporcionan una guía
inadecuada para desarrollar las tareas.

Evaluación la Función de Staff.

Consiste en seleccionar y entrenar al personal adecuado para desarrollar las tareas. La calidad de
la funcionalidad de staff afecta directamente la calidad de los sistemas producidos en la
organización.

El auditor debe ser competente técnicamente, poseer habilidades y conocimientos necesarios

para realizar la revisión en forma efectiva y eficiente.

El Plan Maestro indica las necesidades de staff en el futuro. Existen dos razones para enfatizar en
la necesidad de una planeación de staff:

 Históricamente el personal bueno en computación se ha encontrado en baja oferta.

  Se requiere personal con habilidades especializadas en la instalación computacional.

La planeación de personal involucra hacer un inventario de las habilidades de staff actual, de los
requerimientos futuros, determinar la posible tasa de rotación de personal y determinar como
llenar dichos puestos.

Contratación del Personal

Para contratar a la persona correcta, la administración y el aspirante al trabajo deben entender

claramente los requerimientos del puesto. Para cada posición en la instalación, un documento
formal de especificación debe de existir para definir la naturaleza del trabajo, sus obligaciones y
sus oportunidades de avance.

La selección del personal y su promoción deben tener criterios a considerar como son el nivel de
educación, experiencia y responsabilidad, los cuales deberán estar debidamente establecidos y
deberán ser los apropiados.

El personal puede ser reclutado internamente o en forma externa. El reclutamiento interno

incrementa la moral y captura la experiencia dentro de la organización. Por otro lado el
reclutamiento externo puede resultar en una mejor unión entre la especificación y las habilidades
del aspirante. Este último también proporciona nuevos conocimientos a la organización.

El administrador puede obtener información de los aspirantes, evaluándolos por medio de

entrevistas, pruebas de aptitud, referencias, curriculums y cardex escolares. Algunos
procedimientos de controles básicos que pueden ser aplicados son:

 Revisar las referencias, curriculums, cardex, etc.

 Exámenes mentales y físicos

 Relación de empleados claves

 Explicación del protocolo organizacional a ser observado . Doctrina general de la

organización.

Capacitación de Personal.

Involucra el establecimiento de oportunidades de crecimiento promociónales y educación. Con

estas actividades se mantiene la moral del empleado y las habilidades necesarias para llevar a
cabo las tareas de la instalación.

Los empleados son jóvenes que han estado experimentando promociones rápidas y que tienen
pocas oportunidades de avance. Por otro lado, la experiencia técnica del analista o programadores
"viejos" los hace inmóviles dentro de la jerarquía organizacional.

Entrenamiento del personal para mantener sus conocimientos y habilidades. Estos procedimientos
deberán ser evaluados por miembros del Staff de Departamento de servicios de información.
La evaluación del trabajo de los empleados se debe basar en estándares establecidos y
responsabilidades específicas sobre una base regular. Estos métodos de evaluación deben ser
revisados.

Revisiones regulares del staff se hacen para:

 Determinar si un empleado asegura la promoción.

 Identificar oportunidades de crecimiento personal del empleado.

 Identificar las fuerzas y debilidades del empleado.

La capacitación debe ser continua ya que al auditor se encuentra constantemente revisando

diferentes tareas, deberá de encontrarse con la capacidad técnica suficiente para poder realizar su
trabajo, por lo que debe de ser capacitado continuamente por medio de conferencias, seminarios
u otras. Lo anterior le deberá estar ayudando a tener mas promociones en su trabajo.

El auditor deberá crear reportes donde se refleje el resultado de su trabajo.

Retiro del Personal.

Cuando un empleado es despedido de su empleo se deberán seguir procedimientos de seguridad

que protejan los recursos computacionales y los archivos de datos. Estos procedimientos deberán
estar basados en políticas establecidas. Estos procedimientos deberán estar de acuerdo con los
estándares de la organización así como también se deberá determinar que sean consistentes con
las leyes.

Puede ser a voluntad del empleado o de la organización. En cualquier caso ciertos procedimientos
de control deben ser realizados:

 Si el empleado es una persona clave, la administración debe ser informada. Contactar al

supervisor del empleado para determinar las razones de la salida.

 Hacer una lista de modo que se permita:

· Recolocar Llaves y id' s

· Cancelar Passwords

· Cambiar listas de distribución

· Regresar reportes, libros y documentación Regresar equipo.

 Entrenar al nuevo empleado

 Realizar entrevista de salida para: Determinar áreas de des contento Recordatorio de

dirección sobre información Identificar problemas potenciales.
Unidad 3: Controles de Aplicación

Controles de Entrada

Los componentes del subsistema de entrada son responsables por la llegada de información al
sistema. La información toma dos formas: la primera datos iniciales a ser procesados y/o
almacenados en bases de datos y la segunda instrucciones que dirigen el sistema para ejecutar un
proceso particular, actualizan datos o preparan un tipo de salida.

El subsistema en donde se localiza el número más grande de controles es en el subsistema de

entradas, ya que dicho subsistema involucra en mayor medida la intervención humana llegando a
ser ésta altamente monótona, provocando la generación de errores. En los sistemas actuales la
tecnología utilizada para la entrada de datos a minimizado en gran medida la participación de las
personas por lo que la entrada de datos ya no es realizada en su totalidad de forma directa por los
usuarios. Cabe mencionar que las estadísticas indican que el subsistema de entrada es el blanco
del mayor número de fraudes.

Métodos de Captura de Datos

La entrada de datos al sistema tendrá las siguientes modalidades:

1. Basada en Documentos

 Grabación de eventos en papel o tarjetas

 Datos en formato legible o no para la computadora

  Preparación de los datos

 Costoso y tiende a tener errores

2. Entrada Directa

 Grabación inmediata de un evento

 Elimina la intervención humana

 Costoso por requerir soporte extendido en hardware y software

3. Híbrida

 Combinación de los dos anteriores

Tareas involucradas en la Preparación de Datos de entrada

 Convertir los datos a formato adecuado

 Convertirlos de un formato lento a uno rápido

 Preparar totales de control y batch

 Verificar autenticidad, exactitud, completitud y unicidad de los datos

 Verificar la veracidad de la captura inicial

Medios utilizados para la Preparación de Datos

 Tarjetas

 Cinta de papel

 Cinta magnética

 Tarjetas perforadas

 Documentos

 Disco magnético

 Casette

 Etiquetas

 Gafetes

 Tarjetas de Plástico

Medios de Entrada Directa

  Terminales

 Terminales de punto de venta

 Automatic Teller Machines (ATMs)

Dispositivos de Entrada en el Sistema de Aplicación

 Lectores de Tarjetas

Errores

 Tarjetas defectuosas

 Fallas en componentes mecánicos

 Fallas en componentes electrónicos

Controles

 Lectura Doble

 Cuenta de hoyos

 Revisión de eco

 Revisión de caracteres

 Reconocedor de Caracteres de Tinta Magnética

 Utilizados en lnstituciones Bancarias.

 Requiere de codificación en documentos con font y tinta magnética especial.

 Rápida lectura diminuyendo los errores.

 Pueden ser leídos por cualquier persona.

 Consume tiempo hacer correcciones.

 Requiere de alta calidad en impresión y en tinta.

 Reconocedor Óptico de Caracteres

Tipos

 Lectura de documentos

 Lectura de páginas

 Lectura de cintas de periódico

Características

 Pueden ser leídos por cualquier persona

 Útil para altos volúmenes de entrada

 Caros

 Su éxito depende del diseño del sistema de entrada

 Sensores Ópticos de Marcas

 Leen marcas en lugar de caracteres alfanuméricos

 La posición de la marca indica el valor numérico o alfabético

Diseño de Documentos Fuente

Los documentos fuente se definen como las formas usada para el registro de los datos,
determinan que datos van a ser capturados, sirven para conocer quien los va a capturar, como van
a ser preparados y leídos por el dispositivo y como se llenarán y almacenarán.

Para un buen diseño es necesario que se realicen las siguientes selecciones:

Selección del Medio: Normalmente se usa papel o tarjetas, definir el largo y ancho, la clase y el
peso

Selección de la Estructura: Que los datos sean legibles, que se pueda manejar adecuadamente el
documento

Selección de la Disposición y el Estilo : Utilizar técnicas para enfatizar y marcar diferencias,

acomodar campos, proveer títulos, encabezados, notas e instrucciones, espaciamiento adecuado,
prenumerar los documentos, proveer respuestas de selección múltiple

Diseño de Pantallas de Entrada de Datos

La pantalla utilizada para la captura de datos deberá ser cuidadosamente diseñada con el fin de
facilitar y lograr el menor número de errores en el proceso de captura de información. A
continuación se exponen algunas recomendaciones:

 Utilizar pantallas de calidad que cumplan con los objetivos de efectividad y eficiencia.

 Organización de la Pantalla: Balanceadas y ordenadas.

 Diseño de Captura: Tamaño, tipo de letra, intensidad, formato, alineación , justificación.

 Diseño de Campos de Entrada: Subrayar para delimitar el tamaño del campo, dar
información acerca del formato.
  Tabulaciones y saltos: no hacer saltos automáticos, utilizar un Tab.

 Color: Ayuden a localización de datos, separar áreas, indicar cambios de status

 Tiempo de respuesta: tiempo que pasa desde el momento en que se está ingresando un
dato hasta que el sistema está listo para recibir el siguiente

 Tasa de despliegue: Rapidez con la que aparecen los caracteres y las imágenes en la
pantalla

 Facilidad de ayuda: Útil para usuarios novatos o con poca experiencia

Controles de Codificación de Datos

Algunos de los requerimientos de diseño que se sugieren para cumplir con una codificación de
datos eficiente son:

 Flexibilidad: facilidad de agregar nuevos elementos o categorías.

 Manejabilidad: un código debe indicar los atributos de una entidad.

 Compactibilidad: más información en menos caracteres.

 Conveniencia: código fácil de asignar, codificar, decodificar y teclear.

 Evolucionabilidad: código adaptable a los cambiantes requerimientos del usuario.

Es fácil que los códigos sean capturados con errores, dado el volumen de datos ingresados, el
tiempo que se tiene para ingresar los códigos, la falta de experiencia, o simplemente por
distracción o cansancio del capturista de datos de cualquier forma es importante que se
identifiquen estos errores para poder corregirlos en su momento:

Por ejemplo si se tiene el código 56432

 Adición: de un carácter 564321

 Truncamiento: omitir un carácter 5642

 Trascripción: carácter incorrecto 58432

 Transposición: invertir caracteres 56423

 Doble Transposición 65342

Existen diferentes métodos para la generación de códigos, a continuación se citan algunos de los
tipos de códigos:

 Códigos seriales: asignan números o caracteres alfabéticos consecutivos que identifican a

una entidad sin tener una relación con sus atributos
  Secuencia de bloques: asignan bloques de números para categorías particulares de una
entidad

 Códigos jerárquicos: requieren la selección de un grupo de atributos de la entidad para ser

codificados, manteniendo un orden de importancia

 Códigos asociados: se seleccionan los atributos de la entidad y se asignan códigos únicos

para cada entidad. Es una asociación de códigos de los atributos de una entidad.

Dígitos Verificadores

Los dígitos verificadores son controles utilizados para evitar errores al transcribir o teclear algún
código, de alguna manera aseguran que el conjunto de dígitos corresponda al número final del
código. Es decir que el conjunto de números digitados deberá estar asociado con el dígito
verificador final, el cual será el resultado de ciertas operaciones aritméticas.

Como se realiza el cálculo de los dígitos verificadores, a continuación se da un ejemplo:

 Suponiendo que el Código es 2148

 Multiplicar cada dígito por un peso y sumar los resultados (5,4,3,2) (42)

 Dividir entre un módulo seleccionado (42/11) (=3, residuo =9)

 Restar el residuo del módulo (11-9=2)

 Añadir el dígito verificador 2 al código

La eficiencia de los métodos de dígito verificador no ayuda en un 100% con todos los posibles
errores sin embargo los estudios han arrojado los siguientes porcentajes de eficiencia de acuerdo
al tipo de error presentado

 Trascripción 86%

 Transposición simple 8%

 Transposición doble y aleatoria 6%

Se sugiere usar dígitos verificadores solamente en casos críticos, cuando el poder de cómputo sea
suficiente ya que esto implica un cálculo adicional al momento de la captura de información,
además se requiere de espacio de almacenamiento extra para el digito verificador

Controles de Procesamiento y Controles de Salida

El procesamiento de datos es responsable por operaciones de cálculo, clasificación, ordenamiento

y sumarización de datos. estas operaciones deben de realizarse en un marco de eficiencia y
efectividad así como de total seguridad ya que una operación incorrecta podrá llevar a toma de
decisiones equivocadas para el negocio. Los cálculos en campos numéricos deberán ser antes que
nada autorizados, exactos y completos.

Estos son algunos chequeos de validación que se hacen en el procesamiento de datos sobre
campos, registros y archivos

 Campo: Traslape de longitud (Overflow) y Rango (importe)

 Registro Razonabilidad (Pago neto)

 Archivo Totales de corrida a corrida

Uno de los Riesgo más importantes lo constituyen los programadores novatos o incautos, sobre
esto solo habría que establece estándares y metodologías a seguir para evitar errores. Entre
algunas recomendaciones para los programadores se encuentran los siguientes

Elementos de un buen estilo de programación

 Adecuado manejo de redondeo: El problema ocurre cuando se maneja un nivel de

precisión menor al requerido.

 Impresión de totales de corrida a corrida: Proveen evidencia de que el programa procesó

todos los datos de entrada correctamente.

 Minimización de la intervención del operador: Entre menor sea la intervención del

operador menos propenso a errores está el programa.

 Entender riesgos numéricos de hardware/software:La computadora y/o una librería de

subrutinas matemáticas pueden producir resultados no aceptados debido al
truncamiento, redondeo, punto flotante, punto fijo

 Cálculos redundantes: Implementarlos cuando se realizan cálculos complejos, con el fin de

asegurar que los resultados obtenidos son aceptables. Dos conjuntos de ecuaciones dan el
mismo resultado. Cálculo adicional para verificar un resultado.

 Evitar rutinas cerradas: Verificar todos los posibles valores de un campo.

Controles en la Salida

La salida constituye la forma en que el sistema arroja sus resultados. Por medio de la salida el
usuario evalúa, analiza y toma decisiones. Las determinación del personal que recibirá la salida de
los datos es de suma importancia ya que los resultados no pueden llegar a personas no
autorizadas, por otro lado la forma en que los datos se presentan es también un factor importante
a evaluar. De lo anterior podemos mencionar las actividades a controlar en el subsistema de
salidas
  Determinación de los usuarios que deben recibir los datos

 Formato de la presentación de los datos

 Preparación de los datos para ser enviados

El Objetivo de los controles de salida es: Buscar que no se pierda o robe la información, de
acuerdo a la sensibilidad de los datos proporcionados y a el tipo de proceso que se esté utilizando
el cual puede ser Batch o en Línea

Controles de Presentación

Manejan la forma en la cual la información será comunicada a los tomadores de decisiones por
medio del subsistema de salidas

Objetivos

 Uso de la información en forma efectiva

 Preservar la integridad de la información

Contenido

 Determinar el conjunto de datos a ser presentados en el reporte

 Atributos de los datos

 Exactitud

 Edad

 Relevancia

 Sumarización

 Filtración

Medios

 Papel

 Desplegados visuales

 Voz

 Microformas (Microfilminas o Microfichas)

Formatos: Dependen del tamaño de la letra de la impresora y de la salida si es en color o es

monocromática (terminal)
  Tablas

 Gráficas

Distribución

 Cantidad de datos a colocar en una pantalla o página

 Lugar en donde serán colocados

 Forma de ordenamiento y agrupación

 Forma de despliegue en una gráfica

Tiempo

 Batch se puede perder la noción si el retraso es muy grande

 Línea afecta la calidad de las decisiones tomadas

Controles en Sistemas con Salida Batch

Los reportes que se dan en una salida por lotes o también conocida como batch dada la
acumulación de información en un periodo deberá contener las siguientes características

 Fecha/Período de retención

 Método de destrucción

 Encabezados de campos

 Número de página

 Marca de fin de trabajo

 Nombre del reporte

 Fecha de producción

 Periodo de proceso cubierto

 Programa que lo produjo

 Clasificación de Seguridad/Confidencialidad

 Lista de distribución

Impresión

 Impresión sólo del número de copias autorizadas

  Evitar que el operador manipule los datos sensibles

Papelería

 Inventario

 Almacenamiento seguro

 Control de acceso a operadores

 Formas preimpresas

 Formas prenumeradas

 Almacenamiento seguro de sellos para firmas

Generadores de Reportes

 Uso de la versión correcta

 Evitar alteraciones efectuadas por el operador vía consola

 Puntos de chequeo y reinicio

 Impresión del reporte en una impresora remota

Archivos para Impresión

 No alterar el contenido de los archivos

 No emitir copias no autorizadas

 Impresión única de archivos

 No realizar respaldos no autorizados

Recolección y Distribución de Reportes

 Lista de reportes a producirse

 Lista de usuarios autorizados

 Establecimiento de períodos de recolección

 Existencia de lugares y mobiliario seguro

 Firma y fecha de recepción de los reportes

 Etiqueta en el reporte para cada usuario

 Procedimiento de distribución establecido

Verificación de la Salida

 Errores evidentes

 Formatos erróneos

 Datos faltantes

 Valores irrazonables

 Revisión al azar de datos

Reportes

 Encriptación

 Localización de todas las terminales

 Número de datos por pantalla

 Orden y clasificación de datos

 Definición del área principal, de diagnóstico y de respuestas

 Tiempo de respuesta

 Puntos de chequeo y reinicio

Controles de Teleprocesamiento

Unidad 4: Seguridad Informática

Seguridad Informática

Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el
manejo de la información y, como es de todos conocido la información viene a representar el
motor en la era digital en la que nos estamos moviendo. Dada la importancia de esta información
para todos los procesos en una organización será necesario mantenerla segura, para que se
encuentre en donde se necesita, en el momento que se necesita y en las condiciones que es
requerida.

Estos recursos informáticos pueden sufrir diferentes daños los cuales pueden provenir tanto del
interior como del exterior de la organización. Por ejemplo: Robo, destrucción, uso no autorizado.
Deben existir controles que de alguna manera realicen actividades de prevención, detección y
corrección de cualquier problema con los recursos informáticos. Las estadísticas de ataques
informáticos muestran que mas del 70% provienen de gente que se encuentra dentro de la
organización, la cual tiene el conocimiento de las vulnerabilidades de los sistemas y de cuales son
los datos mas sensibles en una organización.

Algunos conceptos relacionados con la seguridad informática son:

 Activo: Recurso necesario para el funcionamiento de la organización y el cumplimiento de

objetivos

 Riesgo: Posibilidad de que algo suceda sobre uno o más activos de la organización

 Impacto: El resultado de que una amenaza ocurra

 Amenaza: Evento que al ocurrir ocasionaría un daño sobre los activos

 Vulnerabilidad: Posibilidad de que ocurra una amenaza sobre un activo

La información se encuentra expuesta a muchos riesgos a lo largo de todo su manejo, desde que
es generada, hasta que es almacenada. Es por eso que la empresas deben establecer políticas de
seguridad de tipo lógico y físico. Ambas de la misma importancia para conservar a la información
segura.

Se hace necesario que las empresas dicten estrategias que les permiten disminuir los niveles de
vulnerabilidad y llevar un administración eficiente de riesgos a esto se le conoce como políticas de
seguridad.

El uso de las telecomunicaciones incrementa sin lugar a dudas los riesgos a los cuales se enfrenta
la información en una empresa. Dado que el acceso a la información se puede realizar desde
cualquier lugar del mundo. Las empresas encuentran que su información está expuesta a
diferentes riesgos, ente ellos los mas conocidos son: virus, caballos de troya, gusanos, códigos
maliciosos. No podemos olvidar a los hackers quienes han sofisticado su manera de atacar a las
empresas, descubriendo vulnerabilidades sobre los sistemas para lograr accesos no autorizados y
dañar la información.

¿Qué es la seguridad lógica y qué es la seguridad física?

La seguridad informática por lo regular se concentra más en la seguridad lógica que en la

seguridad física ya que pensamos que por ahí pueden llegar mas ataques pero muchas empresas
llegan a dejar caminos abiertos de manera física y resulta que es más fácil acceder directamente al
site haciendo una copia de un archivo desde el mismo lugar en donde este se encuentra.

La seguridad lógica tiene que ver con todo lo relacionado con el control de acceso a la información
y software, por ejemplo el llevar un control de quién acceso a a una base de datos para consultar o
para modificar información. Podemos decir que una empresa está protegiendo su seguridad lógica
cuando:
  Las personas autorizadas son las que hacen uso de los archivos y programas

 Los procesos y programas utilizan los datos correctos

 La información que se envía por lo red llega a al destinatario correctamente

 La comunicación falla y se tienen procesos alternativos

 Los operadores realizan sus tareas y no se les permite modificar datos o programas

 Utiliza Firewalls

 Utiliza y actualiza Antivirus

 Utiliza y actualiza Antispyware

 Actualiza los sistemas y los servidores continuamente

 Desactiva los servicios de red que no se utilizan

 Utilizar sistemas de detección de intrusos

 Crear respaldos (backups)

 Uso de passwords

 Codificación de información (Criptografía)

 Utilizar software con garantía (no pirata)

 Reducir los permisos de usuarios

 Monitorear la entrada a la red por correo, páginas de web y la entrada a bases de datos
desde laptops

Aunque los puntos anteriores no son todos los que se deben considerar, nos permite tener un
panorama para definir los aspectos que deben ser cubiertos por políticas de seguridad lógica.

Por su parte la seguridad física va enfocada a la aplicación de barreras físicas y procedimientos de

control relacionados con todo el hardware utilizado para el manejo de información incluyendo los
dispositivos de almacenamiento y los medios utilizados para el acceso remoto, aquí también es
necesario incluir los edificios y sites en donde se tiene la información.

Cuando una empresa esta pensando y actuando teniendo en mente los riesgos tanto naturales
como humanos a los cuales se enfrentan sus instalaciones puede comenzar por establecer
políticas y procedimientos de seguridad física. Por ejemplo protección contra incendios,
terremotos, huracanes, humedad, motines, disturbios sociales, robos, sabotajes, alteración en
equipo sensible, fallas en equipo etc.
Se puede hacer uso de los siguientes puntos para disminuir los riesgos que atentan contra la
seguridad física: Guardias, detectores de metales, sistemas biométricos, verificación automáticas
de firmas, protección electrónica, etc. Estos así como otras medidas de seguridad deben ser
evaluadas para ser implementadas como políticas de seguridad informática en la empresa.

Política de Seguridad Informática

El establecimiento de una política de seguridad informática es una necesidad para las empresas
que utilizan las redes como una forma de mejora en procesos y de poder competir en un mundo
globalizado

La políticas vienen a representar una forma consensuada de hacer y manejar todos los aspectos
tecnológicos de la organización ya que de no hacerlo así podrían ocasionar serios problemas a la
organización

Las políticas de seguridad deberán ser definidas tomando en cuenta riesgos y vulnerabilidades y
sobre todo deberán estar actualizándose constantemente ya que al estar relacionadas con
aspectos tecnológicos sus consideraciones cambian con gran rapidez.

Las políticas de seguridad informáticas deben ser definidas tomando en cuenta lo que se debe
proteger y el porque se debe proteger y por supuesto deben tomar en cuenta al personal que hace
uso de esa información o de los recursos y redactarlas en un lenguaje que sea comprensible para
ellos

La seguridad informática tiene un dicho: "lo que no está permitido debe estar prohibido" pero
esto no se logra fácil. Es necesario establecer una política de seguridad siguiendo un
procedimiento en donde se analizan los riesgos a los cuales está expuesta la información y los
recursos tecnológicos con los que cuenta la empresa.

El establecimiento de dichas políticas debe ser de arriba hacia abajo en la organización ya que
requiere de un apoyo económico pero también de dirección muy importante para hacer que esto
tenga éxito y no sea considerado como algo superficial que no tiene impacto en la empresa.

El error de muchas empresas es pensar que a sus sistemas y a sus recursos informáticos nunca les
pasará nada, es por eso que nos encontramos con frases como las siguientes:

 Mi sistema no es importante para un hacker. Por lo tanto no le pongo passwords. Un

hacker y un Virus entran a donde puede así que si le dejas la puerta abierta entrara y ya
estando ahí tomará lo que se le antoje

 Estoy protegido pues no abro archivos que no conozco. Los sistemas realizan acciones sin
necesidad que el usuario lo supervise o autorice a veces los usuarios desconocen y
aceptan algunas operaciones que pueden resultar peligrosas para el sistema
  Como tengo antivirus estoy protegido. No basta con esto, es necesario estar actualizando
el antivirus y en ocasiones ni esto es suficiente dado que se genera el virus y después el
antivirus.

 Como dispongo de un firewall no me contagio. El contagio puede realizarse por usuarios

con altos privilegios a los cuales el sistema de firewall puede estar permitiendo accesos
autorizados por supuesto

Delitos Informáticos

El uso de la tecnología en todos los ámbitos incluyendo industrial, comercial, gubernamental,

social y personal a permitido que estos sectores se desarrollen y sean mucho mas eficientes en
todas sus operaciones o tareas. Sin embargo es importante mencionar que también el uso de
estos recursos tecnológicos permite que se incrementen las formas en que se pueden cometer
delitos.

El Delito Informático lo podemos definir como cualquier comportamiento antijurídico, no ético o

no autorizado, relacionado con el procesamiento electrónico de datos y/o transmisiones de datos.

Como ya lo mencionamos antes el desarrollo tecnológico también puede ocasionar que la

delincuencia se extienda de maneras que no se habían contemplado con anterioridad. Los
servidores pueden ser manejados con el fin de lograr dañar datos y programas o hacer uso no
autorizado de la información. Los daños pueden llegar a ser tanto materiales como de tipo ético o
moral. Se considera que el impacto en los daños por un delito computacional es muy superior al
ocasionado con la delincuencia tradicional y a eso tendríamos que agregarla que la manipulación
de la tecnología de una manera astuta permite que estos delitos no puedan ser descubiertos y ni
siquiera puedan ponerse una pena o multa a quien lo realiza. La facilidad de acceso a los datos de
alguna manera provoca que delitos como fraude o estafas se den de una manera rápida y sencilla.

Que ha resultado mal en todo este uso de tecnología como es que la información puede estar tan
expuesta a ser destruida o robada. Están en riesgo desde transacciones comerciales, bancarias,
financieras, personales que día a día se manejan en la red. Nos enfrentamos a la existencia de
personas sin escrúpulos que agrupadas o de forma individual hacen mal uso de la información que
los sistemas contienen para satisfacer sus intereses personales. A medida que la tecnología siga
evolucionando también encontraremos que los delitos lo harán.

Existen diferentes legislaciones que de alguna manera tratan de proteger la información contra los
delitos. Puedes visitar los siguientes sitios de internet en donde encontrarás información sobre
legislación en países como México y Venezuela:

http://seguridad.internet2.ulsa.mx/congresos/2003/cudi2/legislacion.pdf

http://www.delitosinformaticos.com/estafas/delitosvenezuela.shtml
Si piensas que los delitos informáticos son relativamente nuevos y que no afectan entérate
visitando este sito en donde encontrarás algunas estadísticas y comentarios

http://www.mailxmail.com/curso/informatica/delitosinformaticos/capitulo21.htm

A continuación se listan algunas acciones que se pueden realizar utilizando la computadora y son
considerados delitos computacionales:

 Acceso no autorizado

 Destrucción de datos

 Estafas electrónicas en comercio electrónico

 Falsificación o alteración de documentos (tarjetas de crédito, cheques, etc)

 Transferencia de fondos no autorizado

 Leer información confidencial (robo o copia)

 Modificación de datos de entrada / salida

 Utilizar sin autorización programas computacionales

 Alterar el funcionamiento del sistema (poner virus)

 Obtención de reportes residuales impresos

 Entrar en áreas de informática no autorizadas

 Planeación de delitos convencionales (robo, fraude, homicidios)

 Intervenir líneas de comunicación

 Interceptar un correo electrónico

 Espionaje, Terrorismo, Narcotráfico, etc.

Terrorismo Computacional

Cuando hablamos de terrorismo computacional se nos viene a la cabeza virus, hackers y otros
conceptos que han venido posicionándose como elementos no deseados cuando hablamos de uso
de tecnología de información.

Spyware: Es un espía que tienes en tu computadora que vigila todo las acciones que realizas, y de
alguna forma obtiene gracias a tus hábitos de navegación tus gustos y preferencias. Que se hace
con esta información pues es vendida y utilizada para publicidad en el mejor de los casos pero en
el peor de los casos es utilizada pueden afectar tu información. Para conocer más ingresa a la
siguiente página:
http://www.pandasoftware.es/virus_info/spyware/?sitepanda=particulares

También puedes consultar sobre el funcionamiento de adware, dialer, cookie y de como puedes
proteger los equipos.

http://www.pandasoftware.es/virus_info/spyware/que_es/?sitepanda=particulares

Hoaxes o Falsos Virus: son correos que lo único que pretenden es saturar la red u obtener listas de
correos, estos mensajes logran captar la atención de los usuarios ya que apelan a la buena
voluntad de las personas para ayudar a alguien enfermo o al desea de hacerse millonario
mandando reenviando el correo, así como también a la esperanza de que se cumpla un milagro
por hacer el envió de 7 correos o mas en menos de 7 horas, por mencionar algunos ejemplos.
Consulta mas sobre esto en la página:

http://www.pandasoftware.es/virus_info/hoaxes?sitepanda=particulares

Existen sitios en internet en donde se pueden verificar si un correo es realmente de este tipo
consultar si los correos co:

http://hoaxbusters.ciac.org

http://www.rompecadenas.com.ar/hoaxes.htm

http://vil.mcafee.com/hoax.asp

http://www.symantec.com/avcenter/hoax.html

http://www.enciclopediavirus.com/tipos/index.php

Spam: Tipo de Malware que es un correo electrónico que no ha sido solicitado por quien lo recibe
y normalmente es de contenido publicitario y es enviado de forma masiva. Para que conozcas
como identificarlos, como funcionan y sus características principales puedes entrar a la siguiente
página:

http://www.pandasoftware.es/virus_info/spam/?sitepanda=particulare

Conclusión

Podemos decir que es muy importante para una empresa en tener el conocimiento de los
elementos que pueden afectar su seguridad por lo que deberá tomar encuentra los aspectos tanto
físicos como lógicos para darse una idea de que es lo que tiene que implementar para protegerse,
por otra parte es importante que las personas encargadas de seguridad informática en la
organización puedan establecer políticas de seguridad informática para la organización las cuales
deben estar apoyadas por la alta administración y transmitidas en un lenguaje adecuado para
todas las personas relacionada con el uso de tecnología de información y con todo el
procesamiento electrónico de datos.
Las legislaciones varían dependiendo del país en donde nos encontremos, aunque hay una
tendencia que todos tengan un estándar ya que nos estamos moviendo en un mudo globalizado.
Se deben conocer los delitos informáticos a los que mas estamos expuestos, así como tomar en
cuenta que todos estamos expuestos a los virus por lo que deben existir políticas para protegerse
adecuadamente.