Anda di halaman 1dari 304

,

AUDITORIA
EN INFORMTICA
Segunda edicin

JOS ANTONIO ECHENIQUE GARCfA


Universidad Nacional Autnoma de Mxico
Universidad Autnoma Metropolitana

McGrawoHill
MXICO o BUENOS AIRES o CARACAS GUATEMALA LISBOA MADRID
NUEVA YORK SAN JUAN SANTAF DE BOGOTA SANTIAGO SAO PAULO
AUCKLAND LONDRES MILN o MONTREAL o NUEVA DELHI SAN FRANCISCO
SINGAPUR ST. LOUIS SIDNEY TORONTO

CoNTENIDO
AGRADECIMIENTOS ............................................................................................ ix
INTRODUCCIN .................................................................................................... xi
CAPTULO 1: Concepto d e aud itora en informtica
y dive rsos ti pos de auditoras .......................................................................... 1
Concepto de auditoru y concepto de informtica ................................................. 2
Diversos tipos de auditori,l y 'u nlacin con la auditora en inform.itica ......... 5
Auditora intemu/cxtem,, v .lUditora contable/financiera ......................... 5
Auditora adminbtrati,a/ J'<'racional ............................................................. 9
Auditora con informtoca ................................................................................ 1O
Defun de auditora l'n informhca ................................................................. 17
Concep to de auditora en informtica ............................................................ 17
Campo de la auditora en inform,tica ............................................................ 20
Au ditora de programas .......................................................................................... 22
CAPTULO 2: Planeacin de la auditora en informtica ............................... 25
Fases de la a ud itorio ................................................................................................. 26
Planeacin de la aud itora en informtica ..................................................... 30
Revisin prelintinar ........................................................................................... 32
Revisin det,lllada ............................................................................................. 33
Examen y evalu,lcn de la mformadn ........................................................ .3-1
Pruebas de consentimiento ............................................................................. 35
Pruebas de controle!> del usuario .................................................................... 36
Pruebas sustantivas ........................................................................................... 36
Evaluacin .de los sist<?ma> d<" acuerdo al riesgo .................................................. 38
lnvestigaoon prclimmar ......................................................................................... 39
Personal participante ................................................................................................ 42
CAPTULO 3: Auditora de la funcin de informtica .................................... 55
Recopilacin de la informacin organ izaciona l ................................................... 56
Principales planes que se r"qu ieren dentro de la organiz cin
de inform tica .................................... ......................................................... 58
Evaluacin de la estructur,, <>rgnica ..................................................................... 61
Estructura o rgnica ........................................................................................... 63
Funciones ............................................................................................................ 67
Objetivos ............................................................................................................. 72
Anlisis de organizaciones ...... ..................................................................... 75
Evaluacin de los reclll'S&.> humanos ..................................................................... 76
Entrevistas con el personal de informtica ........................................................... 82
Situacin presupuesta) y financi<"ra ....................................................................... 84

vi
CONTENIDO

Prc.' Supucstos ............................................ .. ........................................................ 84


Recursos financieros .......................................................................................... 85
Recursos materiales ........................................................................................... 86
CAPTULO 4: Evaluacin de los sistemas .......................................................... 89
Evaluacin de sistemas ............................................................................................ 90
Evaluacin del anlisis ............................................................................................. 95
A11lisis y diseo estructurado ........................................................................ 97
Evaluacin del diseo lgico del sistema .............................................................. 98
Programas de desarrollo ................................................................................... 98
Bases d e datos .................................................................................................... 99
El adm inistrador de bases de datos .............................................................. 100
Comunicacin .................................................................................................. 102
Informes ............................................................................................................ 103
Anlisis de informes ........................................................................................ 113
Ruido, redundancia, entropa ........................................................................ 113
Evaluacin del desarrollo del sistema ................................................................. 115
Sistemas distribuidos, Internet, comunicacin entre oficinas ................... 116
Control de proyectos .............................................................................................. 117
Control de diseo de sistemas y programacin ................................................. 119
lnstructivos de operacin ...................................................................................... 132
Forma de implantacin .......................................................................................... 133
Equipo y facilidades de programacin ................................................................ 133
Entrevistas a usuarios ............................................................................................ 133
Entrevistas ....................................................................................................... 134
Cuestionario ..................................................................................................... 134
Derechos de autor y secretos industnales ........................................................... 138
Internet .............................................................................................................. 142
Proteccin de los derechos de autor ............................................................. 144
Secretos industriales ........................................................................................ 145
CAPTULO 5: Evaluacin del proceso de datos
y de los equipos de cmputo ........................................................................ 155
Controles .................................................................................................................. 156
Control de datos fuente y manejo de cifras de control ............................... 161
Control de operacin ....................................................................................... 164
Control de salida .............................................................................................. 170
Control de asignacin de trabajo ................................................................... 171
Control de medios de almacenamiento masivo .......................................... 173
Control de mantenimiento ............................................................................. 176
Orden en el centro de cmputo ............................................................................ 182
Evaluacin de la configuracin del sistema de cmputo .................................. 183
Productividad .......................................................................................................... 185
Puntos a evaluar en los equipos .................................................................... 186
CAPTULO 6: Evaluacin de la seguridad ....................................................... 191
Seguridad lgica y confidencialidad .................................................................... 194

Seguri,
Riesgo.
Encrip
Seguridad
Seguridad
Ubicae
Piso eh
Aire ac

Instala
Seguric
Seguric
Octecci
Tempe1
Seguridad
Protecc
Seguros .....
Con die
Seguridad E
Seguridad<
Plan de con
de desa
Plan de
&lecci
CAPITulO

Tcnicas pru
Anlisis
Me todo'
Evaluacin
Anlisis
Evaluacin'
Evaluad
Evaluad
Evaluad
E\aluaci
Controles ....
Presentacin
Conclusione
Bibliografa
fndice analt

84

85

86
89
90

95
97
98
98
, 99

100
102
103
113
113
115
116
117
119
132
133
133
133

134
134
138

142
144
145

155

156

161
164
170
171
173
176
182

Seguridad lgica ............................................................................................. 196


Riesgos y controles a auditar ........................................................................ 205
Encrip tam iento ................................................................................................ 216
Seguridad en el personal ...................................................................................... 218
Seguridad fsica ....................................................................................................... 219
Ubicacin y construccin del centro de cmputo ....................................... 220
Piso elevado o cmara plena ......................................................................... 221
Aire acondicionado ......................................................................................... 221
Instalacin e lctrica y suministro de energfa .............................................. 222
Seguridad contra desastres provocados por agua ...................................... 224
Seguridad de autorizacin de accesos .......................................................... 225
Deteccin de humo y fuego, extintores ........................................................ 226
Temperatura y humedad ................................................................................ 227
Seguridad en contra de virus ................................................................................ 236
Protecciones contra virus y elementos a audita r ......................................... 237
Seguros ..................................................................................................................... 240
Condiciones generales del seguro de equipo electrnico .......................... 241
Seguridad en la utilizacin del equ ipo ................................................................ 247
Seguridad al restaurar el equipo ......................................................................... 249
Plan de contingencia y procedimientos de respaldo para casos
de desastre ........................................................................................................ 251
Plan de contingencias ...................................................................................... 252
Seleccin de la estrategia ................................................................................ 262
CAPTULO 7: Interpretacin de la informacin ............................................. 269
Tcnicas para la interpretacin de la informacin ............................................. 270
Anlisis crtico de los hechos ......................................................................... 270
Metodologa para obtener e l grado de madurez del s istema .................... 271
Evaluacin de los sistemas .................................................................................... 272
Anlisis .............................................................................................................. 272
Evaluacin de los sistemas de informacin ........................................................ 276
Evaluacin en la ejecucin ............................................................................. 277
Evaluacin en el impacto ................................................................................ 278
Evaluacin econmica .................................................................................... 279
Evaluacin subjetiva ................................................................................ ....... 280
Controles .................................................................................................................. 281
Presentacin ............................................................................................................ 285
Conclusiones .......................................................................................................... 289
Bibliografa ............................................................................................................. 291

183

185
186
191
194

ndice analtico ....................................................................................................... 293

vii
CONTENIDO

INTRODUCCIN

En la actualidad el costo de los equipos de cmputo ha disminuido considerablemente, mientras que sus capacidades y posibilidades de utilizacin han aumentado en forma inversa a la reduccin de sus costos. Aunque los costos unitarios han disminuido {el de una computadora personal, "microcomputadora"),
los costos totales de la computacin (de equipos, sistemas, paquetes, recursos
humanos, consumibles, etc.) se han incrementado considerablemente. Ello se
debe a que, si bien la relacin precio/ memoria es menor, el tamao de la memoria de los equipos y sus capacidades son mucho mayores, con procesadores
y dispositivos que pemten acceso de ms datos en mucho menos tiempo y que
procesan la informacin en forma ms rpida {memorias RAM y ROM, discos
fijos, cte.). Esto hace que, aunque se han reducido los costos, al aumentar sus
capacidades y facilidades se ha incrementado el costo total, lo que ha tenido
como consecuencia que los costos totales del uso no hayan disminuido en todos
los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comulicacin, bases de datos, multimedia, etc.) hacen que tambin se pueda tener
acceso a mayor informacin, aunque el costo total de los sistemas, as como la
confiabilidad y seguridad con que se debe trabajar, sean muy altos.
En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se
tiene poca productividad en relacin con la informacin y uso que se da a stas.
Tambin se tiene poco control sobre la utilizacin de los equipos, existe un deficiente sistema de seguridad tanto fsica como lgica y se presenta una falta de
confidencialidad de la informacin. Lo que se debe incrementar es la productividad, el control, la seguridad y la confidencialidad, para tener la informacin
necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores
decisiones.
Los siguientes puntos de la tecnologa de informacin son particularmente
notables:

Una gran disponibilidad de hardware de computadoras muy poderosos y


baratos, incluyendo la incorporacin, a travs de la miniaturizacin de poderosas capacidades, en diferentes dispositivos diseados para usos personales y profesionales.
Una gran disponibilidad de software poderoso, barato y relativamente accesible, con interfases de uso grfico.
A la medida del diente, cambio de sistemas a ;oftware preempacado.
Cambio de computadoras principales (mnitiframe) a computadoras de uso
individual o aumentadas como parte de redes dedicadas a compartir informacin, as como computadoras corporativas con los correspondientes cam-

bios en 1.1 Mtura leza, o rgani7acin y loc,1 1izacin de actividades de los sis-

xii
INTRODUCCIN

n1a de organizar
control y adminis
En muchos ce
pico de herramier
puctu.. finanzas
rcpercutC.' en una i

temas de inftwmilcin, como el cambio a computadoras de u:;ulrio fina l.

Incremento en 1,1 habilidad de las comput.1doras para acccsardatos en tiempo


real o d~morado, ambos en forma loc.>l o a travs de acceso ,, facilidades
remot,ls, incluyendo va Internet.
Captura de nuevos datos y el lidcr.ugo en tecnologa en almacenamiento
mximo para incrementar la computari7<lCn, datos/ informacin en textO!>, gr.ificas )' ndeo, con nfasis en la administracin, prcscntaan y comunicacin de informacin, utilizando aproximaciones de multim<.>dia.
La cobertura de informacin y las tcrnologos de comunicacin ~fectan la
forma en que se trabaja y se compra.
Jncrctncnto del uso de Internet para un ir individuos, intraorgan izilcioncs, a
travs dl sistemas tales como com~o e lectrnico (E.-mai l), Internet, incluyendo world y widc web.
El incrt'mcnto en el uso de Internet p.1ra conducir comunicacin entre orgaIZ<Icioncs e individuos, a travs de bi~temas de comercio el~rnco, tales
como mtcrc,lmbio electrnico de dato~ (E DI) y sistema de transferencia electrnica de fondos (EFI'S).
Mercadeo mastvo y distribucin de productos de t('rnologa de informacin y Sl.'rvicios, tales como computadoras, software precmpac.1do, servicio
de recuperacin de datos en linea, correo electrnico y servicios fin~ncicros.
Reduccin de barreras de uso di.' sistemas, estimulando una gan penetracin de bistcmas de informacin dentro de organizaciones de tod<>s los tamaiio:;, de lucro o no lucrativas, part~ contadores y consejos de ,ldministracin, y p.~ra propsitos ('Stratgie<h e incremento de papele, del usuario
final de computadoras.
Una amplia penetr.1cin de tecnolog'a de informacin. tal como disci\o de
manufactura por medio de asistencia comput<lriZ<lda (CAD/ CAM), sistema de imgenes por computadora, sistema> de informacin para ejecuti\'OS
(EIS) )' sistemas de reuniones en f~>rma electrnica (EMS).
1\:uevas tcnicas de desarrollo de sistemas, basados en tecnologM de informacin, ta iC.'s como softwdfe dt' ingeniera de asistencia computarizada
(CASE), programacin orientada a objetos y tecnologa de flujos (WOR KFLOW).

Desarrollo continuo de soporte de sistemas inteligentes, incorpor~ndo sist('mas t>xpertos, redes neuronales, agentes inteligentes y otras ayudas de
solucin de problemas.
Acu><;O a reingeniera de nuevos negocios, basado en la integracin efectiva
de t('Cnologa de informacin y pi'()C('SOS de n~ocios.

nes ron

caract

resp"lldos, ,l.l<'gurida

No bc.htJ, pues, con


po' de c<lmputo, qu
ma tot.ll de infol'lllJ
L.l mform.tica 1
mos a~ . fn una g
pr<'ndt<l hace algun
creacin del horno ,
dcada hemos visto
era "ligo comtn lcl ta
rtn1oto, y considerar
r.,des. Esto ha provo
mtic,l. Ya no pode1r
con microcomputadc
conocJa en d('talle so
d< tener tspeciahstM
inform,itca, ven ella
rentt!s

Uno de lo<> problemas ms frecuentes en los centros de inform,tica es la


falta de una adecuada organizacin, que permita avanzar al ritmo de las exigencias de las organizaciones. A esto hoy que agregar la situacin que p resentan los nuevos equipos en cuanto "' l uso de bases d(' d atos, redes y sistemas de
informacin. Lo anterior, combinado con lt~ necesidad de Wla eliden te plc:mcacin
estratgiCa y corporativa de las organi>Jcioncs, y con una descentralit.acn de
equipos y centralizacin de la informacin, ha provocado que la complejidad
d(' las deci;ion('S, )' las dim('nSiones de los problemas en cuanto a la mejor for-

la~

hace que no se cu<


desv<n de los obj
L,, proliferaco
mando de control
vacid,ld de la info1
Adems, hay una 1
dad de la continuio
sistt!mc.lS ~caigan
incompatibii'S v el
Los oistcm~ ti
de 1.15 herramienl:.l
Para pod<r evaluar
larlo dcsd(' su inici
el<ctr<ln ico, o bim

ft!ncionc~ que

de la mtormJtica v dt
f'l principa l objet
los siguicntt.'S puntos

.1

p..ute ~u.iminist

Los

r~cu r.:;os.

mdte

1 os si'>tcmllS y pro
nece<.id.ldt.., de la

ssislal.
mpo
ades
iento
tex-

>mu-

an la
tes, a
ndu>rgatales
clecrma
vid o

eros.
etra>S la-

stra-

Jario

10de
;iste
ti vos

-orUida

lRK
) sis
s de
:tiva

es la
exi
sen-

ma de organizar el rea de cmputo, requieran aplicar tcnicas modernas de


control y adnnistracin.
En muchos centros de informtica tambin se desconoce el adecuado cm
pleo de herramientas administrativas, contables/ financieras, tales como presupuestos, finanzas, costos, recursos humanos, organizacin, control, etc. Esto
repercute en una inadecuada rea de informtica que no permite tomar decisiones con las caractersticas que deben tener las organizaciones actuales, lo cual
hace que no se cuente con los controles para asegurar que esas decisiones no se
desven de los objetivos.
La proliferacin de la tecnologa de informacin ha incrementado la demanda de control de los sistemas de itormacin, como el control sobre la pri
vacidad de la informacin y su integridad, y sobre los cambios de los sistemas.
Adems, hay una preocupacin sobre la cada de los sistemas y sobre la seguridad de la continuidad del procesam iento de la informacin, en caso de que los
sistemas se caigan. Otra rea de preocupacin es la proliferacin de subsistemas
incompatibles y el ineficiente uso de los recursos de sistemas.
Los sistemas tienen difcren tes etapas, y una de ellas puede ser la utilizacin
de las herramientas que nos proporcionan los mismos sistemas electrnicos.
Para poder evaluar un sistema de informacin es necesario conocerlo y controlarlo desde su inicio, siguiendo su proceso, que puede ser manual, mecnico,
electrnico, o bien la combinacin de stos, hasta llegar a su almacenamiento,
respaldos, seguridad y eficiencia en el uso de la informacin que proporcionan.
No basta, pues, conocer una parte o fase del sistema, como pueden ser los equipos de cmputo, que tan slo vienen a ser una herramienta dentro de un sistema total de informacin.
La informtica ha sido un rea que ha cambiado drsticamente en los tUtimos aos. En tma generacin, la tecnologa ha cambiado tanto que lo que sorprendi hace algtmos aos, como la llegada del hombre a la Luna, o bien la
creacin del horno de microondas, hoy nos parece algo muy familiar. En una
dcada hemos visto el cambio en la organizacin de la informtica: s i hace poco
era algo comn la tarjeta perforada, hoy la vemos como algo de un pasado muy
remoto, y consideramos como algo normal el uso de microcomputadoras y de
redes. Esto ha provocado que se tengan especialistas dentro del rea de la infor
mtica. Ya no podemos pensar en el personal de informtica que poda trabajar
con microcomputadores y con grandes computadoras, o bien en la persona que
conoca en detalle sobre bases de datos y de comunicaciones. Ahora se deben
de tener especialistas en cada una de las reas. Una de stas es la auditora en
informtica, y en ella debemos de tener especialistas para cada una de las diferentes funciones que se realizarn. Esto sin duda depende del tamao del rea
de la informtica y de la organizacin.
El principal objetivo del libro es evaluar la funcin de la informtica desde
los sigtticntcs puntos de vista:

IS de

dn
n de
idad
for-

La parte administrativa del departamento de informtica.

Los recursos materiales y tcnicos del rea de informtica.


Los sistemas y proccdimi<'ntos, y la eficiencia de su uso y su relacin con las
necesidades de la organiLaci6n.

xiii
INTRODUCCIN

xlv
INTRODUCCIN

Es conveniente precisar y aclarar que la funcin de la auditora en inform


tica se ubica dentro del contexto de la organizacin, dependiendo de su tamai\o
y caractersticas. La profundidad con la que se realice, depender tambin de
las caractersticas y del nmero de equipos de cmputo con que se cuente. El
presente libro sena la un panorama general, pero habr que adecuar ste y pro
fundizar de acuerdo a la organi.tacin de que se trate y de los equipos, software
y comurcacin que se auditen.
Para cualquier comentario sobre esta obra, los lectores pueden dirigirse a la
direccin del autor en Internet: jaeg@correo.uam.mx

CAPTU

Al flnali~

ormIIJiao
tnde
lte. El
y protware
sea la

CAPTULO

Concepto de auditora
en informtica
y diversos tipos
de auditoras

OBJETIVOS
Al finalizar este captulo, usted:
1. Analizar los conceptos de auditora e informtica.
2. Conocer los diversos tipos de auditora y su relacin con la auditora en
informtica.
3. Expondr cules son las tcnicas avanzadas que se utilizan en ta auditora
con nfonntca.
4. Describir las habilidades fundamentales que debe tener todo audttor de infonntica.
5. Definir cul es el campo de la auditora en tnfonntJCa.
6. Explicar cules son los principales objetivos de ta audttora en tnfonntJCa.

2
CAPn'ULO 1
CONCfPTO DE

CoNCEPTO DE AUDITORA

AUOITORIA

EN INfOI>MATlCA
Y DIVERSOS TIPOS
DE AUOITOAIAS

Definiciones

Y CONCEPTO DE INFORMTICA
Auditoria. Con frecuencia la palabra auditoria se ha empleado mcorrectamt.'nte ~ "'le ha conSJderado como una evalu.,an cuyo nico fin es dttectar ermrt>
y s..n.1lar fallas. Por eso St.' ha llegado a u'ar la fr.L'it' "tiene .1udlloria" como
sintlnmo de qu<', desde .mt~s de realil.lr'l', ya se l'ncontraron {,,nas y por lo
tanto"' est hacu:ndo la audtora. El concepto de auditora es mJs amplit>; no
slo dctt'Cta errort-,: $un e\ amen critico que se realiza con obdo de evaluar la
eficiencia y efico~cia de una ~cin o de un orgaru,mo, y dl.'tcrminar cursos
altetn,ltiVOS de <KCIn para mi.'JOrar la or;,uzacin, }'lograr los objetivos proput.,tos.
1 a palabra .1uditora \'ICnt.' del latn au,liforius, v de sta pmvi<"ne "auditt>r",
el qu~ llene la \ 1rtud de or: el diroonano lo dcfint como "Tl'\'l<or de cuenta'
cole;o.1do" 1 El .1uditor titnt 1.1 ,;rtud de or y revis.~r cuentas, pero debe estar
encammado a un objetivo especfico, que es el de evaluar la eficiencia y cficaci.l
con que se est opcrando pMa que, por me-dio del <tl1alamiento de cursos altl'r
nativo' de accitln. w tomt-n deci .. ione-- que permit,ln rorregh J~ erron~ en
ca <;o d~ que e\ist,m, o b1en mcorar la fom1a de actu,ldn.
S1 consultamos nuevamente el diccion,uioencontrJmos qU<.' thc:,lda es: "virtud, ,octividad, fuerza, para poder obrar";' mientras tue eficiencia es: "virtud y
facult.1d para lo:rar un efecto df.'terminado", es dec r. es el poder lograr lo planeado con lo- mtnores rl'<:UN" po-ibles. mientr,,, que eficac1a es lograr 1"'
ObJl'tlVl>S.
r:1 Bolel11 C de normas dt> ,lllditora' del Instituto Mexicano d<' Contadorc'
no... dic.::
Lo~ .Juditoria no es una ach\ adad meraml'nte mecjni('J que implique la aplic.1uun
c.lt. C:\.'ttos pmti.'dinliento-.. t.uyt..., r~ulti'~do-t, una ve1: lh~vJdos a c.l\xl, son de car~k

h.'r indudabh. 1~1 .1uditor.1 rt't)uicrt' el t.wrcicio dl' un 1uido pm\.-sional, c;.lido v

L.11BI ta~
c. l .Itu., .aunlJ~

m4duro, par.J ru;~ar l()'o. prcx'-c.hrmcntO!t "1ue d~n ".h wgu1~ v t~hmar lo-. n?Sul~
t.1Joc obten dO&

A.,, como existen normas y procedimientos espt'l:ficos para la realizacin


de audotoras contables, debe haber tambicn normas v procedimientos para la
reali?.lcin de auditoras en inform.itica como part de una prok... n. ttas
put~('n c... tar ba.,"ldtl~ en IJ' experiencia ... dt' otras proft~1ones~ pero con algun t'i
car.Ktcristicas propias y siempre guiJndtN! por el concepto de que la auditnr1a
debe ~r ms amplia que la simple deteccin de errort'' y que adems la audito

En
~ 1\!xican.l d

r..

i\'utt"' Ou.ttIJMrt' ,,,111ol !MJ'C'II'


Mtm.
" rnus y t'rottd 11u~ntos tk udtt<'tJJJ, lnst1tuto \1"-).icano dt- Con!.ddort"5 1\ihlanK.

nJ dl be evaluar para mejorar lo c'ic;ll'Otl', corrl'gir errores y proponer alterna

11\ J de ,u)uci6n.
Informtica. El concepto d~ mform.itll".l l'S m.is amplio que el simple uso d<
rqu1~'t>~ d~ cmputo o bit'n dl pro<.-l''n"" tlldrnicn~. Veamos lo que se dijo l'lllll

onfncnoa presentada deiS ,\)9 de doc1cmbre de 1983 en el Centro de Jnform,i


11ca dtla Facultad de Contadura v Administr,cin (CIFCA) de la Universidad
?\aonnal Autnoma de Mxico:

)I'J"CCtamcn-

'Ctar erro re-~


ra .. romo

por ll>
.amplio; no
e e\aluar la
las)

tinar curs<-)">
ljeh\"OS

pro-

e "auditor",
de cuenta>
~de~ est~r
:ia y ~ficaci a

::ursos .11tcr
errore~,

tn

acia es: .. vir

"\'irtud '
marlopla
"'lograr los

!S:

Contador."'

la llplicacu)n
son de CMtli.'

)naJ, slido v
mar lo~ rcsul

1 realizacin
ntos para la
~IO. ~tih

con algunas
Lt auditon,,
.isla audito-

N existe u.n.a sola conc:epa6n acerca dt. qut. es lnformabca: etimol~""lcam4..,-.h., la


palal>ra miormtJca dem a dd Irdn<"l'S rnfi,mn11411t Este """l~mo prov1me dt
la conunctn de JnfornutlWII (mlorm.lCJn) y oulom:rtuUL (autom.ihca). Su crea.~6n
fU<' e-stimulada por la mtenLln d, dar un.t alh:m.lh\ a rtlf'ru.~ te(n()(r.lh<a) m"OOS
mec-aruo~ta al concepto d~ pnX,"Sc.l dt- d.ltl)$'"'

En 1%6, la Academ1,1 Fr.mc..,,, nwn<xo este nuevo concepto y lo ddm1o


dd modo 'l!(Ulcnte:
( u:m.:1.1 dd tratamiento sistem.HH.:o y ~o'h<\lZ, rt>~thzado especialmente medJtH'ItC

nhutun;s automticas, de lol u,(orm.lt'u)n (OntcmpJ;da como vehculo dd s.1bcr


humano y de la comunic~1ci6n ('1'1 los ,\mbitos ttocnico, econmico v ~ial.

t l.ll.ld principios de los setlnt,, v ..t \'r,ul clar-.1' 1-.h limitacione~ de estLl dl'fini

sobre todo por el hmcapie en l'i u'o k la< m.quinas. El principalcslu<oo


por redefinir el concepto de informjtoca In realiz en esa poca la Otcma
1 t rgul>ernamental de lnformhca (1 Bl ), en aquel tiempo rgano asociado a la
ll\ES< O. Este organismo, a Ira\,:, de los comit' expertos comocado' para
lo fonnul en 1975 "''" dehnidn.
A lCaCln raoonal. c.,i_~tem.ahca Jt 1.-. m(unn.."'dn para el desarrollo l"(Onrruco.
soc 1 y poltico.

L,liBI tamb1n dio en esa p<ll' un,, dc,aipmn del concepto de inform.ti
Ci tJU~,

aunque no constituye unJ dcfinic:idn form,1l, resulta muy dcscriptivil

(ilnt:Ja de la poltica de la inforn,;1lWn

fn 1977,
~~.~"'"""de

con la intencin de .\Ctu.lli-.u y ,,finar el concepto, la Acad<mia


Informtica propu'i<> la sigull'ntl' dt>finicin:

(Jenna de lo~ sistemas lnh:hgt.nh."!<. dl

mh'~rm.1c16n.

En algunas ocas1on~., >e han empludo como smnimos los conreptos de


proceso dtrtTnico, computadora ,. mform.itic.l. El concepto de inform.itu:a e'
mpho, va que con.<idera eltot,ll dll ,,tcm.l v el manejo de la informac1n,
1 cual pul-de us.1r los equopo, <lt'<:lfllllll"<" como una de sus herramilnta'

Bclctrn Jd Ct'ntro d( lrrjmPfllllcfl dt la

HA 1 l1 lJ,\A \1, num

qq, vo1.

11. mayo dt>

l~iH

3
CONCEPTO DE
AUDITOAIAY
CONCEPTO DE
INFORMTICA

Tambin es comn confundir el concepto de dato con el de informacin. La


informacin
es una serie de datos clasificados y ordenados con un objetivo coCAPiTULO 1
mn. El dato se refiere nicamente a un smbolo, signo o a una serie de letras o
CONCEPTO DE
AUDITORiA
nmeros, sin un objetivo que d un significado a esa serie de smbolos, signos,
EN INFORMTICA
letras o nmeros.
Y DIVERSOS TIPOS
oe AUOITOAfAS -..!'
La info1maci., est orientada a reducir la incertidumbre del receptor y tie ne la caracterstic,, de poder duplicarse prcticamente sin costo, no se gasta.
,
Adems no exist~ por s misma, sino que debe expresarse en algn objeto (pai ; .. pel, cinta, etc.); de otra manera puede desaparecer o deformarse, como sucede
, / con la comunicacin oral, lo cual hace que la informacin deba ser controlada
( / '-.!.''-[// debida mente por medio de adecuados sistemas de seguridad, confidencialidad
..... :1 r
y respaldo.

La informacin puede comunicarse, y para ello hay que lograr que los medios de seguridad sean llevados a cabo despus de un adecuado examen de la
forma de transmisin, de la eficiencia de los canales de comunicacin(;l transmisor, el receptor, el contenid o de la comunicacin, la redundancia y el ruid<iJ
Niveles
(
La uormacin ha sido dividida en V"!ios nJvel!S. -Primero es el nivcl
de informacin
~meo, que ron_sd~a los aspectos de eficiencia y capacidad_sle los canales de
transmisin; el segundo es el nivel semntico, que se ocupa de la informacin
desde elpunto de vista de su significado; el tercero es el prapntico, ~ C':!_al
(::<? ._ =-e""'""',
considera al rtceptor en un contexto dado, y el cuarto mvel analiza_Et infor"!.acin de~de clj'unt<> dev is!-_normativo y d~ la parte tica, Q sejl considera cun:
1 "' '_._,...(\L
dO, dnde.x_a 'JUIPn se destina la informacin 0 )~que se Jed.
--\-" ,.,, ,.,.~-"'~ .Y
La inform, tica debe abarcar los cuatro niveleSiJer)rmacin~ En el cuarto
.....-( "-"' \ 1 , ~~,..,
nivel tenemos una serie de aspectos inlporta.nt.es, como la :;,arte legal del uso de
rr
la informacin, !os estud io1_g_ue se han hecho sg__bJ:e la r_ jur;Q, <:l_e la infor~~ ~
rticuJa cre1ci11 de la tica _en o~tica, que no slo debe incluir a los
~
E!Ofesiona les t. :n i~O.? y eSE<!cialistas en informtica, sino tambin a los usuarios tanto de gr Uldes c?mputadoras_como de computadoras personal~
La informa< in tradicional (oral y escrita) se ve afectada dentro de la informtica cuando .e introduce el manejo de medios electrnico;, lo cual la hace
fcilmente modficable y adaptable a las caractersticas de cada receptor. La
ormacin ta.mbi~n tiene la capacidad de manejarse en forma rpida y engrandes volmenes, lo cual permite generar, localizar, duplicar y distribuir la informacin de modu sorprendente, a travs de mtodos, tcnicas y herramientas
como microcomputadoras, procesos distribuidos, redes de comunicacin, bases de datos, etcJtera.
La nueva teo1ologa permite que el usuario d isponga de la informacin
en cualquier momento, ya sea para su acceso, actualizacin, cambio o explotacin o para que pueda distribuirse e intercambiarse entre tantos usuarios
como se desee. Aunque al mismo tiempo se plantea un gran problema en cuanto
al cuarto nivel de la informacin, que es su parte tica y el estud io de las
posibilidades del buen o mal uso de la informacin por parte de personas no
autorizadas.
La pla.neacin y control de la informacin nos ofrece nuevos aspectos importantes a considerar, entre los que estn la teora de sistemas, las bases de
datos, los sistema, de comunicacin y los sistemas de informacin, que van a
complementar el co11cepto de informtica y su campo de accin.
4

DIVE~
YSU R
EN INFj

Auon
Y AUDI
El Bolet11 E
interno:
El estud

la norm,

~studio ~

para det
permita1
procedi~

Fl o
proredir

guardar
finandcr

licas pr

Objetivos b
tro objetivo!

La prole
La obter
La prorr
Lograre
blecidas

Se ha es1
troles intem
nistrativos.

Objetivos g1
de el plan dE

proteccin d,

1
Boletn B
Pblico:..

Lla
IC(}-

aSO

nos,
tie-

\Sta.

DIVERSOS TIPOS DE AUDITORA


Y SU RELACIN CON LA AUDITORA
EN INFORMTICA

mele la

ansidi)

El estudio y e\aluacin del control int~rno se efecta con el objeto de cumplir con
la norma de ejecucin del trabajo que requiere qu~: el auditor debe efectuar un
estudio y evaluacin adecuados del control interno t>xistente, que le sirvan de base
para determinar el grado de confianza que va a depositar en ~1. as mismo, que le
permitan determinar la naturaleza, extensin y oportumdad que \'a a dar a los
procedimientos de auditora.
El control intemo comprende el plan de organizacin y todos Jos mtodos y J
procedjmientos que en forma coordinada ~e adoptan CJ"' un J"'cgocio para salva- 1
guardar sus activos, verificar la razonabilidad y confiabilidad de su informacin
financiera~ promover la eficiencia operacional y provocar la adherencia a las pol-.J
ticas prescritas por la administracin.

arto
o de
for-

, los

ntas

ba:in
plo-

rios
mto
las
; no

El Boletn E-02 del Instituto Mexicano de Contadores' seala respecto al control


interno:

tn.:

. La
ran1or-

,....JJ

DIVERSOS TIPOS DE
AUDITORA V SU
RELACIN CON
LA AUDITOAIA EN
INFORMA.TICA

Y AUDITORA CONTABLE/FINANCIERA

dn
cual
ma-

lace

AuDITORA INTERNA/EXTERNA

ove.!

Jor-

.,t'

' ;..
J

sde

;.u a-

">

(..

(pa-

:ede
lada
dad

,,e

Definicin y
objetivos del
control Interno

Objetivos bsicos del control interno. De lo anterior se desprende que los cuatro objetivos bsicos del control interno son:

La proteccin de los activos de la empresa.


" \ (.
v
.La obtencin de informacin financiera veraz, co1iable y oportuna.
La promocin de la eficiencia en la operacin del negocio.
\ <.?. >.'. / " '
Lograr que en la ejecucin de las operacione~ se cumplan las polticas esta
blecidas por los administradores de la empresa.

Se ha establecido que los dos primeros objetivos abarcan el aspecto de controles internos contables y los dos ltimos se refieren a controles internos administrativos.
Objetivos generales del control in terno- El control interno contable comprende el plan de organizacin y los procedimientos y registros que se refieren a la
proteccin de los activos y a la con1iabilidad de los registros financieros. Por lo

" Boletn E-02. Normas y proetdimit'ntos de JJuditorn, Instituto Mexicano de Contadores

Pblicos.

6
C APITULO 1
CONCEPTO DE
AUOITORIA

EN INFOA.t.tATICA
Y DIVERSOS TIPOS

tanto, est diseado en funcin de los objetivos de la organizacin para ofrecer


seguridad razonable de que las operaciones se realizan de acuerdo con las normas y polticas sealadas po r la ad ministracin.
Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles:

Objetivt
El acceso
adminish

0 AUOITOAiAS

A) Objetivos generales de control interno aplicables a todos los sistemas


B) Objetivos de control in terno aplicables a ciclos de transacciones

(i\Los objetivos generales de control aplicables a todos los sistemas se desarrOllan a partir de Jos objetivos bsicos enumerados anteriormente, y son ms
especficos, para faci li tar su aplicacin. Los objetivos de control de ciclos se desarroUa.n a partir de los objetivos generales de control de sistemas, para que se
apliquen a las diferentes clases de transacciones agrupadas en Wl ciclo.
G)Los objetivos generales de control interno de sistemas pueden resum irse a
continuacin.

Objetivos de autorizacin
Todas las operaciones deben rcaliz.arsc de acuerdo con autorizaciones generales o especificaciones de la ad mirustracin.
Las autori/.aciones deben estar de acuerdo con criterios establecidos por el
nivel apropiado de la administracin.
Las transacciones deben ser vlidas para conocerse y ser sometidas oportunamente a su aceptacin. Todas aquellas que renan los requ isitos establecidos
por la admirustracin deben reconocerse como tales y procesarse a tiempo.
Los resu ltados del procesamiento de transacciones deben comunicarse
oportunamente y estar respaldados por archivos adecuado>.

Objetivos del procesamiento


y clasificacin de transacciones
Todas las operaciones deben registrarse para permitir la preparacin de estados financieros en conformidad con los principios de con tabilidad generalmente aceptados, o con cualquier otro criterio aplicable a los estados y para
mantener en archivos apropiados los da tos relati vos a los activos sujetos a
custodia.
Las transacciones deben cla~i ficar>e en forma tal que permitan la preparacin de estad os financieros en conformidad con los principios de contabilidad
generalmente aceptados segn el cri terio de la administracin.
Las transacciones deben q uedar registradas en el mismo periodo con table,
cuidando de manera especifica que se registren aquellas que afectan ms de un
ciclo.

Objetive
Los datos
se con los
das aprop
Asimi

per idica
objetivo ce
Estos
todos lose
cas de cor
d esarrolla
q ue sean a
El rea
no. La prin
interno, r 1
informtic(

En el p
una organi

en el log ro
auditora. l
mtica. En
d ecir, come
adecuadam
se o btenga
mejore laef
y para que
polticas est,
control intet
Al estue
que, aunqUl

tener en cue
clo de trans
La audit
cin, proccst

da fsica, ver

rcnch1 entre
financie ro es
zacin medi

ti vos del com

irecer
s nor-

Objetivo de salvaguarda fsica

7
OIVI:RSOS TIPOS DE

EI.Kce-.> ,, los act,os slo debe x'mlltlr><' d~ acu~rdo con autorizacione' de la


adm1n1~truuun.

Objetivo de verificacin y evaluacin


dt>sa
nma~

'<'de-

ue-.c
ursea

por el

los d.uus n~g ...trados relath os .1Ju~ actl\ os SUJctns c1 custodia deben compararse ron los activos e"\btentes a mlt'r\ alos raznnabil'S,) se deben tomar la, nwd1

das aprnp>adas ""J'l'CtO a las dilcrt'flcms <JU<' ''"st.m.


A'm .. mo, deben existir cuntrolt.."S rd.Jh\ c.,... a la 'crificacin y evaluacin

pendic,, de los saldos que se incluyen l'n los ,.,t,ldos financieros, ya que e-.t<'
objdi\l> complementa en forma impt>rtant<' los m<ncionados anteriormente.
Estos objetivO'> general"' dd control mtcrno dl' Sistemas son aphcabl ..., a
todos 10" Cldos :\o se trat.l dl' que se US<'ll dmd.>mentc para evaluar la' t<'CO>
c:ts dt. t.ontrol interno de un4J organi7lll"1c.m. ptro rtpre-,ent.ln una b.,,c p ..tr.l
ds.1rrullar objetivos especficos de control inkrnn pt>r ciclos de transaccionc>
que'~"' olplicables a una empresa individt>.ll.
El .r~.l de informtica puede intcr.><tu.>r d do> m~neras en e l control in ter}
no. L.l primera cs servir de herramicnttl p._u'-llltv._u a cabo un adecuado control
inl<'rno, y],, segunda es tener un control int,rnn dl'i <ir<.'' y del dcpartamtnto dt
mfnrm.t1Ca.

portu
eado.

po.
ucar">C

r., el primer caso se lle\a el control interno 1"" m<.sdio de la evaluacin d


una or;amucin, utilizando la computadora como htrramienta que auxiliar,\
,..., el lo~ro de l<h objetivo, lo rual s.: put'<ll' h.1cer pllr medio de paqud<."> de
aud1toria. Esto debe ser con,id..,rado mmo partc <ll'l control interno con infor
m.iti<.l. fn d wgundo caso"' lleva a mbt> l'l wntwl mt..,mo de inform.tica. E'
J,,,r, n)mo ,.. seala en lo, objt'ti\l>S dd control interno, ..e deben proteger
adc'CUadolm..,nte los act\'<h d<' la organ>/.4C1on por m<.sdio del control. para qu
se obt,n)la la m formacin en forma 'l'raz. oportuna y confiable, para que "'
meort! lo1 dit:iencia de la oper.1cin de l.t urganll.l<i<ln mediante la informJtic.l,
v par,, t.lU~ ~n 141 ejecucin de las optr,lciont.., d1. mformtka se cumpi~Jn la~

ruJitir.IS estabkcidas por la ad ministr,ICitin t<lllu l'lio dtbe ser COnSiderado como
~:onlrol 1nterno de informtica.

le esta
rnrral
~ para
to~

repara
bil>dad
mtable
sdeun

Al estudiar los objetivos del control intcrno podemos ver en primer lugar
qul', Junyu~ en <1uditor-a en inform,ltk4l t.l c.)b)l'tivn t!'!-t ms amplio, ~e deben
tener en cuenta los objetivo; generaJc., tld wntrol mterno aplicables,, todo ci

do de tr,ln"-c.1Cdones.
1 a aud1toria en informtica debe t<'ll<'r prl'S<'llks k" obetivos de autoruaun, prlw:t"~mit:'nto y dasificactlln de tran.....l,aon("-. a!o. como los de sah aguarda tf,k,l 'cnfican y evaluaan dtlos <'<JU>pos' de la informacin La di te~
rtn<>a <'lllr<> 10'> t>bjetivo> de control mt.-mn d'Sd un punto de ,ista contable
hnancil'ro es que, mientras stos l.,tan nfo.:ado' a lo1 C\'aluacin de una organ

zac1on ml'<hantc la rc,isin contable fino1not'r.1' de otras operaciones, los obJeh\OS del Ct.lntrol intemo t!n inform.tit..:a t."St.ln or1t.!'nlJdu~ a todo~ los ~~~~mas en

AUOITORtA V SU

RE!.ACI()N CON
LA AUMORIA EN
INFORMATICA

8
CAPITULO 1
CONCEPTO DE
AUOITORIA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUOITORIAS

general, al equipo de cmputo y al departamento de informtica, para lo cual


se requ ieren conocimientos de contabilidad, finanzas, recursos humanos, ad
mWstracin, etc., as como de experiencia y un saber profundo en informtica.
La a uditora interna debe estar presente en todas y cad a una de las pa1tcs
de la organizacin. Ahora bien, 1,, pregunta que normalmente se p lantea es:
cul debe ser su participacin dentro del rea de informtica?
La informtica es en prime- lugar una herramjcnta muy valiosa que debe
tener un adecuado control y <'S un auxiliar de la auditora interna. !'ero, ~egn
~te concepto, la auditora interna puede considerarse como un usuario dc:'l .in.'J
de informtica.
Se ha estudiado que los objehvo~ generales del control interno son.

El auditor
p lanes a la rgo 1
d e ta 1 manera <
dad sean incor

Auo1ro
La tecnologa e
e stn estructur

Autorizacin.
Procesamiento y cla~ificacin de las transacciones.
Salvaguarda fsica.
Verificacin y evaluacin.

Con base en los objetivos y rc!oponsabilidades del control interno p<>demo>


hacer o tras dos pregunta~: De qud mJnera puede participar el personal de control interno en e l d iseo de los sistemas? Qu conocimientos debe t<'nN el per
sonaJ de control interno para poder c-umplir adecuadamente sus funciones den
tro del rea de informtica?
Las respuestas a estas preguntas dependern del nivel que tenga el control
interno dentro de la organiucin. Sin embargo, en el diseo general y detalla
do de los sistemas se detx- mcluir a personal de la contralora interna, que habr~
de tener conocimientos de informJtica, aunque no se requerir que sean l"-J'l"
cialistas, ya que slo intervendr,in en el diseo general del sistema, en <'1 di"""'
de controles, en los sistemas de "l'guridad, en el respaldo y confidencialidad del
sistema y en los sistemas de verificacin. Se habrn de comprobar las fnnulas
de obtencin del impuesto sobre el producto del trabajo, el clculo del pago del
seguro social, etc., pero no dctx-r,in intervenir en la elaboracin de los sistema,,
bases de datos o programacin. Tendrn que comprobar que lo se,1lar.lo en el
d iseo general sea igua l a lo obtenido en el momento de implantacin, para que
puedan dar su autorizacin a la corrida en paralelo.
El aud itor interno, en d monwnto en que se estn elaborando los sistemas,
debe participar en estas etapas:

Asegurarse de verificar que los requerimientos de seguridad y de auuitora


sean incorporado~. y participar en la revisin de puntos de verificacin.
Revisar la aplicacin de los sistemas)' de control tanto con el usuario como
en el centro de informtica.
Verificar que las polticas de seguridad y los procedimientos ~t~n incorporados al plan en caso de desa~tre.
Incorporar tcnicas avannda!o de auditora en los sistemas de cmputo.

Los sistemas de segt1ridad no pueden llevarse a cabo a menos que existan


procedimientos de control y un adecuado plan en caso de desastre, dab<>rados
{ desde el momento en el que se diseo l'i sistema.

son dramtiCO!
administrativo
p lan eacin adr
troJ interno del
de la tecnolog.
est soportado
nologa.
William !'.

El examen 1
cin, una 4oC
planes y ob
d~ humdn,

Se lleva a e
presa con el fir

Prd idas y
Mejores m
Mejores fo
Operacion
Mejor uso

La a uditor
del rea de inf<
auditora en inJ
aplicarlos al r
El departa'

Objetiv.,.,
Organizad
Estructura

Fundon~

\'\'iJljam

r.

El auditor interno desempea una importante funcin al participar en los


planes a largo plazo y en el diseo det,lllado de los sistemas} su implantacin,
de tal manera que se asegure que los procedimientos de audtora y de seguridad sean incorporados a todas y cada una de las fases del sistema.

AuDITORA ADMINISTRATIVA/OPERACIONAL
la tecnologa en informacin est afectando la forma en que lds 0rp,.mizacones
estn estructuradas, administradas y operadas. En alg<mos caso;, los cambios
son dramticos. Cuando existe la necesidad de un nuevo diseiio de sistemas
administrativos para lograr una efectiva administracin y contrd financiero, la
planeacin administrativa y el proceso de diseo y los requt'rimientos de control interno debern cambiar o necesariamente se modificarn con los cambios
de la tecnologa de informacin. El incremento de la tecnologa de in formacin
est soportado por una reestructuracin organizacional alredt!d<>r de esta tecnologa.
William P. Leonard' define la auditora administrativa com<:
El examen global y constructivo de la t>Structura de una empn sa de una institu
cin,. una seccin del gobierno o cualquier parte de un organh mo, t'n cuanto a sus
planes y objetivos, sus mtodos y controles, su forma de ope1adn y sus facilidades humanas y fislca.

Se lleva a cabo una revisin y consideracin de la organ >aLln de una cmpresa con el fin de precisar:

Prdidas y deficiencias.
Mejores mtodos.
Mejores formas de control.
Operaciones m.s eficientes.
Mejor uso de los recursos fsicos y' humanos.

La auditora administrativa debe llevarse a cabo como pa te de la auditora


del rea de informtica; se ha de considerar dentro del pwgr.. ma de trabajo de
auditora en inform tica, tomando principios de la auditor.1 administrativa para
aplicarlos al rea de informtica.
El departamento de informtica se deber evaluar de acuerdo con:

Objetivos, metas, planes, polticas y procedimientos.


Organi7aci6n.
Estructura orgnica.
Funciones y niveles de autoridad y responsabil idad.
Willi.1m P. LE.'()nard, AuditQra admmistratwa, editoriill Diana

9
DIVERSOS TIPOS DE
AUDITOR lA Y SU
RELACIN CON
LA AUOITORIA EN
INFOAMATICA

10
CAPm.ILO 1
CONcEPTO DE
AU'OrTOArA
EN INF<lfltAATICA
Y

DIVERSOS TIPOS
DE AUOITORIAS

~dcm.is, "' mx>rt,tnte tener en CUI!nta los 'gtuentt'S lacto...,.

Elcm<'nlo humano.
Orgam?.acin (mJnl~otl dt organ l-<aetn).
lntt-gr.lcion .
Di rcccin .
Su pervisidn.

intorm.1~

macen ~
Pru ba 1
la validJ(

Comunicacin } coordinadon .

ClOnt.~ .

Oeit>gacin .

Recursos JnateriaiC's.

tt'CJ1I(OS.
Recurso~ finan<ieros.
Control

R!X"lll>OS

C1a ficd(
Seleccin
cioncs .
Llevar o
!;.lO IOIICS

para

AuDITORA coN INFORMTICA

.lCI~

~.' del f.tl:

d., snftw4
,c. Sup\ r\'
udltona
"'Utih aoi

Concepto de auditora con informtica


Lo, prowdimientos de .tuditon.t con informllra ,,uian dt atuerdo con l<1 filosofa y tcnic.t d.- cdda organuadn v dep.trtamento de auditora en particul.tr.
Sin embMgo, existen cierta' tnucas y 1o proc.dimicntos que son comp.ttibhs
en la mavori,l de ros ,lmbientes de lnform,Hiccl. EstllS tccncas (aen en do~ catl'gori,h m~todos manualt'S y metod05 dMstido, por romputadora.

Utll

l'c.jUipO, t]CI

t. doro m
l'n.du-.ln
tll c.:r

blll,, t!Stn

cumentaootL r

adents dt.los

Utilizacin de las tcnicas de auditoras


asistidas por computadora

En J<)Uell.u
gados, los p~
' d p roti'\""CJ
Ja..o.; n..,truccionf

En gentral. d .tuditor dcbe u tilizar la com put.tdor.t en la <'j<'Cucin d<' la a u di tor.t.


ya que e:.t.t herram1enta f"'rmitir,i amplia r la cot>..rtura dtl l!xamen, reduci..,ndu
el tiempo 'costo dt Lb prud><h v proct>din\ientos de muestnx>. que d., otra mant>ra tt>ndrfan qu d<'ctuarsc manualmente. Fxi,tcn paquct<"> d computadora (softwarl') que per miten el,tborM aud 1tori,1s a SIStemas fin.mcierO> y contabi<'S que se
l'11CUcntran en med1os informtico-. Adem.is, d cmplt'Odc la computadora portl
auditor le permite f~miliari;o.l,..,.. con la <>peraci6n del equipo en l'l etntn> de cmputo dla Institucin. Un.t computador.t p uede ser ~mpleada por 1'1auditor en:

ransm isin dt informac-in de la contabilidad dl' la organi7aci6n a la


comput,tdora del aud 1tor, par.1 ser tr.lbaj.lda por <'>te, o b1en acceso,, shtema '" n.'d para que el.tudtor clabon- Ja, prul't>as.

d,,dt la l:>1bh
obJCto de ha
fin1r sus propi
Cuando los
m ternos d "be"l
troles adt'CUa.Jo

Mantlner
gad os en el
Ob<cnar dt
Otsa rroll.tr
s..HtUtnto d~
Ma ntener el
ta~.. In \ corr

Verificacin de cifras totales y clcu los para comprobar la exactitud de los


reportes de salida producidos por el departamento de informtica, de la
informacin enviada por medios de comunicacin y de la infom1acin al
macenada.

Pruebas de Jos registros de los archivos para veificar la consistencia lgica,


la validacin de condiciones y la razonabilidad de los montos de las operaciones.
Clasificacin de datos y anlisis de la ejecucin de procedi mientos.
Seleccin e impresin de datos mediante tacas de muestreo y confirmaciones.
Llevar a cabo en forma independiente una simu lacin del proceso de transacciones para verificar la conexin y consistencia de los programas de
computadora.

11
DIVERSOS TIPOS OE
AUOfTORIA Y SU

RELACION CON
LA AUOITORiA EN

INFORMATICA

Con fines de auditora, el auditor intemo puede emplear la computadora


para:
'!l.Utilizacin

de paquetes para auditora; por ejemplo, p,1quetes provenien1es del fabricante de equipos, firmas de contadores pbcos o compal''ias
de software.
ltSupervisar la elaboracin de programas que permitan el desarrollo de la
auditora interna. '

la filo
icular.
tibies
s cate-

itora,
iendo
nane(softue se
por el
mpun:

-;.Utilizacin de programas de auditora desarrollados por proveedores de


equipo, que bsicamente verifican la eficiencia en el empleo del compu
tador o miden la eficiencia de los programas, su operacin o ambas cosas.
Todos los programas o paquetes empleados en la auditora deben permanecer bajo estricto control del departamento de auditora. Por esto, toda la documentacin, materia l de pruebas, listados fuente, programas fuente y objeto,
adems de los cambios que se les hagan. sern responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibotecas de programas catalo
gados, los programas de a ud itora pueden ser guardados utiliLando contraseas de proteccin, situacin que sera aceptable en t.u1to se tenga el control de
las instrucciones necesarias para la recuperacin y ejecucin de los programas
desde la biblioteca donde estn almacenados. Los programas desarrollados con
objeto de hacer auditora deben estar cuidadosamente documentados para definir sus propsitos y objetivos y asegurar una ejecucin continua.
Cuando los programas de auditora estn siendo procesados, los auditores
internos debern asegurarse de la integridad del procesamien to mediante controles adecuados como:

a la
;iste-

Mantener el control bsico sobre los programas que se encuentren catalogados en el sistema y lleva r a cabo protecciones apropiadas.
Observar directamente el procesamiento de la aplicacin de auditora .
Desarrollar progra mas independientes de control que rnonitor~>en el procesamiento del programa de auditora.
Mantener el control sobre las especificaciones de los programas, documentacin y comandos de control.

,._ .... -Ir., .......... \. .......... ,. ..

...u

~J

J.+,.,

oP'

12
CAPITuLO 1
CONCEPTO DE
AUDITORIA
EN INFOAMTICA
Y DIVERSOS TIPOS
DE AUDITOAIAS

Controlar la integridad de los archivos que se estn procesando y las salidas generadas.

Tcnicas avanzadas
de auditora con informtica
Cuando en una instalacin se encuentren operando sistemas avanzados de
computacin, como procesamiento en lnea, bases de datos y procesamiento
distribuido, se podra evaluar el sistema empleando tcnicas avanzadas de
auditora. Estos mtodos requieren un experto y, por Jo tanto, pueden no ser
apropiados si el departamento de auditora no cuenta con el entrenamiento adecuado. Otra limitan te, incluyendo el costo, puede ser la sobrecarga del sistema
y la degradacin en el tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos mtodos superan la utilizacin en una auditora tradicional.
Pruebas integrales. Consisten en el procesamiento de datos de un departamento [icticio, comparando estos resultados con resultados predeterminados. En
otras palabras, las transacciones iniciadas por el auditor son independientes de
la aplicacin normal, pero son procesadas al mismo tiempo. Se debe tener especial cuidado con las particiones que se estn utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar situaciones anormales.

Seleccin de d
de un archivo 1
parcial el arcni
car en forma te

Resultados de
demos compar.

Las tcnica
una mctodolog
cin, empleand
actualmente se
nan los probler
venir en las act
al departament
dencia al audit
auditor puede t
redes de comw
El empleo'
mienta que faci

Trasladar le
Llevar a cal
Verificar la

Simulacin. Consiste en desarrollar programas de aplicacin para determinada prueba y comparar los resultados de la simulacin con la aplicacin real.

Ordenamie

Revisiones de acceso. Se conserva un registro computa rizado de todos los accesos a determinados archivos; por ejemplo, informacin de la identificacin
tanto de la terminal como del usuario.

sistemas, con e

Visualizacit

El auditor i

Operaciones en paralelo. Consiste en verificar la exactitud de la informacin


sobre los resultados que produce un sistema nuevo que sustituye a uno ya
auditado.
Evaluacin de un sistema con datos de prueba. Esta verificacin consiste en
probar Jos resultados producidos en la aplicacin con datos de prueba contra
los resultados que fueron obtenidos inicialmente en las pruebas del programa
(solamente aplicable cuando se nacen modificaciones a un sistema).
Registros extendidos. Consisten en agregar Wl campo de control a un registro
determinado, como un campo especial a un registro extra_ que pueda incluir
datos de todos los programas de aplicacin que forman parte del procesamiento de determinada transaccin, como en los sigtentes casos.
Totales aleatorios de ciertos programas. Se consiguen totales en algunas partes del sistema para ir verificando su exactitud en forma parcial.

con las poltica!


A continua
dencia que exis
puede cambiar.
Transacciones

ceso. En las apl


Por ejemplo, el
cuando el inve:
computadora s
orden de repos
blecido.
El registro man
En las apiicacio1
do la informad
nmina puede 1
travs de la red
tener una clave

lo y las sal

Seleccin de determinado tipo de transacciones como auxiliar en el anlisis


de un orchivo histrico. Por medio de .,te mtodo podemos anali7.ar en forma
ramal el archi\'O histrico de un 'istema, el cual sera casi imposible de verific:u '"" forma tota 1
Resultados de ciertos c~lculos para comparaciones posteriores. Con ellos podemo-. comparar cm el futuro los totales en diferentes fechas.

anzados de
.cesamiento
anzadas de
eden no ser
mientoadedelsistema
usan aprotora tradi
epartamennados. En
ndientes de
tener espe'para pruc
les.
determina
cin real.
)dos

los ac

~nticacin

1formacin
e a uno ya

Las tcnicas antenormente descritas ayudan al auditor interno a establecer


una metodolo~ia para la rev"on de lO sistemas de aplicacin de una institu

coon, emple,lndo como herramll'nt.l el mbmo equipo de cmputo. Sin embargo,


actualmente se han des.uroll,ldo programas y sistemas de auditora que eliminan los problemas de n.,ponsabilidad del departamento de auditora, al interwnor en las actividades e informacin cuyo control corresponde estrictamente
.11 departamento de informtica, lo cual proporciona una verdadera independencia al auditor en la rcvosin de los datos del sistema. En la actualidad, el
auditor puede e>tar desarrollando algunas de sus funciones al intervenir en las
rrdes de con'\unicadn intcrnc.1.
El empk'<> de la microcomputadora en la auditora constituye una herra
mienta que facilita la realizacin de actividades de revisin como:
Traslad.tr los d,llos dl'l sbtL'm<l a un ambiente de control del auditor.
llevar a cabo la seleccin de datos.
Verificar la exactitud d(' los clculos: muestreo estadstico.
Visualizaci(\n de datos.
OrdcMmocnto de la m formacin. Produccin de reportes e histogramas.
El auditor ontemo debt participar en el di<eo general y especfico de los
'istcmas, con el fin de ,,<.egurar que se tengan todos los controles de acuerdo
con las politocas internas antl'S de que se comience la programacin del sistema.
A continuacin se muL..,tran ejl'mplos de la~ formas tradicionales de evi
dmcia que existen en un pi'OC\'so manual y las maneras en que la computadora
puede camboarlas:
Transacciones originadas por personas y accesadas a un sistema para su pro-

ceso. En la' aplicacoonl'' comput.mzadas, pueden generarse automtican1ente.


CO!biste en
reba contra
1programa
un registro
eda incluor
ocesamicn

Por ejemplo, el ,;,tema puL>de emitir automaticamente una orden de repo'iicin


cuando el onventario '"t a un nivel por debao del punto de reorden. Sin la
computadora "' rt.'qUL'roa quL' una persona l>stuviera re,~sando y elaborara la
orden di' repo-ocin cuando el Lnwntario estuviera abajo del mnimo ya establl'Cido.
El registro manual de la informacin necesaria para originar una transaccin.
En las aplicacionl'S computari.tada' no se producen documentos impresos cuando la informacin es accc~1da. Por eemplo, un cambio hecho a las tarifas de
nmin,l puede "il'r iiCrP"iado ..1 un archivo maestro de nminas computarizado a

gunas par

travs de la red ontern,l, sin dejar registro impreso del cambio, aunque se debe
tener una clave de seguridad para poder acccsarlo y llevar un registro histrico

lltVERSOS nPOS DE
AUOO'ORIA Y SU
RElACIOH CON
lA AUOO'ORIA EN
INFORMATOCA

14
CAPrTULO 1
CONCEPTO DE
AUDITORA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUDITORAS

en el que se tenga la informacin sobre la persona y terminal en la que se acces


la i1ormacin.
La revisin de transacciones por el personal, que deja constancia con sus
firmas, iniciales o sellos en Jos documentos para indicar la autorizacin del
proceso. En las aplicaciones computarizadas la autorizacin puede ser autom
tica. Por ejemplo, una venta a crdito puede ser automticamente aprobada si
el lmite de crdito previamente determinado no est excedido. Otros mto
dos de autorizacin electrnica incluyen el acceso mediante claves de segu
ridad .
Anteriormente se tenan firmas en donde ahora slo se tiene una clave o
llave de acceso, que es equivalente a la autorizacin, dejando nicamente un
registro (en el mejor de los casos) de la llave de acceso utiliz.ada, el lugar donde
se tuvo acceso y la hora y dia en que fue autorizada.

El transporte de documentos de una estacin de trabajo a otra por personas,


correo o servicios similares de un Jugar del negocio a otro sitio completamcn
te distinto. Por estos medios se moviliza un documento fsicamente. En aplica
ciones computarizadas, los datos pueden ser enviados electrnicamente. La in
formacin es transcrita, codificada, frecuentemente condensada y entonces en
viada electrnicamente por lneas de comunicaciones, y al final queda wl regis
tro de cundo recibi la informacin el receptor.
Procesamiento manual. Generalmente, los documentos de las transacciones con
tienen espacio de trabajo para ejecutar el proceso necesario. En las aplicaciones
computarizadas, el proceso se efecta electrnicamente dentro de la memoria
del computador mediante procedimientos programados y siguiendo reglas pre
dt'tenn.inadas.

retcmda de

rton accin.

ben uti!lizar4
dios, 10'' Cl"ai
d<' bases de
Uso de doc
nuales esto~

mtodos de
suficiente p
partir de ste
lctS pistas d
rreen un a
servira de pl

dos. Las pisb


reglas del pr
eecutaron e
Uno o ms J
a las transac
cin y proccs

den ser inclu'


Revisin de

Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabi
lidad de error. En las aplicaciones computarizadas, el proceso puede ser extre
madamente complejo debido a la velocidad y exactitud del computador. Por
ejemplo, una compaa puede utilizar su computadora para calcular la efectivi
dad de cientos de posibles horarios o cdulas de produccin d fin de seleccionar
el ms adecuado, mientras que en los mtodos manuales esto sera casi impo
sible.
Mantenimiento en manuales de informacin de naturaleza fija que es necesaria para el proceso, como tarifas de nminas o precios de productos. En las
aplicaciones computarizadas, esta informacin se almacena en medios
computariLados o bien por medio de catlogos; en los mtodos manuales es
difcil tener catlogos muy amplios y con actu,ilizacin inmediata.
Listado de Jos resultados del proceso en documentos impresos, como che
ques y reportes. Frecuentemente, estos documentos contienen resultados de
procesos intermedios. En las aplicaciones computarizadas el proceso puede no
dar por resultado documentos impresos. Por ejemplo, los fondos pueden ser
transferidos electrnicamente. En algunos sistemas, la infom1acin rutmaria es

tninar su razt

nes computa
mente media
difcil para la
tacionales est
acorta; al misJ
dn es may01

La divisin d~
la distribuci1
pleados, sino t
zado. Por eje11
partes de una
tengan sistem;
en el caso de J,
Proceso de gr;
cruzamiento d
difcil y costoSI

n1emda dl rnJnera que slo se

l'l'Obt>

notlu.l <l< ,llJU~IIas partidas que r"quil'-

r~.:n ,,~.,~tdn.

con sus
cin del
autom.obada si
,~

mto-

le segu-

\lmacenamiento de documentos d~ entr.1da, proceso y salida en registro de


.uchivo o similares. Cuando 1,1 infnrm,Kin ._.., twn.,,lri,l, pu(.~e loca1izilr"'(' y
rc-u,t'lrM"'l' OMnttalmente del cirea de :dmtllt.-'I'IMll'lllU ft\ico. En las aplic..lciones
tt'mput,lril'..ld.ls, la mayora dl los ilrchivo~ l.,l,ln en nwdio& n1agnlicos. 0(1
l'lt.n uttliltlr...t.? programas extractivo., p.u,, t\.'COhrJr l~1 informacin de taltos ml'
d l'IS, los f1.J.llec.. c.;.on normalmentC' muv r.lpid<"s v exactos, por ..:jemplo, en el ca!-iu
4

d~ bas..~ de

da\'e o
oente un
rdonde

datos.

Uso d~ documentos impresos para con,truir d proce<o. En llh proet.'''" maUJ!es 6tos documentos contienen intllrm~",on tucntl' f1rm~s de autoriz~1cin,
Dltodos de proce:,o y resultados de s,llida Est~ tnfurmadun usualmentt' es
$\lhC'I~nh' r~u,l construir la transaccin\ ra..... trc,lrl,l haci~t totales de control o, ~l

ersonas,
rtamen-

~hr tlt_~l''-'lln> ha~ta el documento hlt'nh.. Fn 1.1"' .lplit:.Kionco.; computarizadil'>,


p~St.l-. de ~1uditora pueden verse fr.l~m"nt.l\.ld.'>, ((lffiU frecuentemt."nte t.>c:u

taphcae. La nnces enmregis-

""""un ambiente de base de datos. AdlnM<, gr,m p.1rte de la mformacin qu~

nesron-

~no o m~s manuales de procedimiento~ que contienen informacin relativa


lb transacciones del sistema. Estt" manu.llts glllan a la gente en la orculaoon v proceso d<' las transacciones. En las aplicac1one' computarizada.>, pueden s.. r mduidos en los sistemas mediante avudas (htl>).

:aoont.-~

Ck'lllOria
;las pr~4
orob~bi

rextre-

jor. Por
efcctivi~cdon,lr
~~

1mpo-

es nece
;. En las
4

medio!'t
iJa]..., l'S

no cheldos de

uedeno
tl'!l ser
nana e:;

~n m ..1 d~

pistil dt! auditoria puedt <.st.u JlmJrl'll..ldJ tn medios computarizil-

do:"'. 1\ls pist,ls de nuditora coJnputc1riZLld.ls J menudo tequieren entender las


r.gl.l' tltl prnreo;o dd sisttma y no sitmprc es obvio cu,h:s pasos del proceso se
fJ<'<:Ut.lron. om cspt'cial cuando el pmnso l'(lmput.lcinnalts complejo.

Rt>i>in de procesos por personas, generlmente <uperviores, para determ1ur >U razonabilidad, exactitud, totalidad y autorizacin. En las aphcaciolll""'S computdnzadas, gran p..1rtt' de c't\ m(lfllhltC(l l'' ejecutitdo automtica
mt nl\.' mcdt,lnt(' una lgica de progr,lm~l pr('dctcrminada. Celda vez e~ m.t~
thf~<il p.lr.l l.l ~~~nte montore,lf los proct'sos. conforme los sistemas compu
taciun.ll~"' e..,t,in m.ls integrados y son m,1c.. ..:umpkjo~o; v el ciclo del proceso se
dtlltt.l; .11 m"mo tiempo. el numero de usuMit" v rcspons,,ble, de la inform.lcion '-1 '-~ maynr.

la divisin de tareas entre los empleados. Cn 1." ,,plicJciones computarizadas,


la tl"tr~buc~t\n de dcber<>s implica no st\lo la d""in de tareas entre los emplt.\1do~, smu tantbin la divisin de t.lr\.'Cl!'t \.'l'ltr.. lu~ p ..ho"' del pru~so automJti
rado Por tymplo,los programas computart,adc" putdcn procesar d1fercnll'S
partes de una tran...,.,ccin en diwr.,os lugan$, y en oc,,,,on~-,,., reqUiere que
tengan "'temas de o;eguridad de ac~> a ni\ d sstcma. dato o programa, mmo
en< l<"'aSl> de los sistemas bancarios
Proceo de grandes cantidades de datos que pueden requerir la repeticin o
cruzamiento de diversos elementos de la informacin. Esto es frecuentemenlt
dihctl} co..tu-.o en un sistema manual y '>ulo se re..11i.a cuando es necesario. En

15
DIVERSOS TIPOS DE
AUOITORIA V SU
RELACIN CON
LA AUOITOHIA EN
INFORMTICA

16
CAPiTULO 1
CONCEPTO DE
AUDITORiA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUDITORIAS

las aplicaciones compu ta rizadas, grandes cantidades de datos pueden ser a~


macenadas en w1a base de datos. La velocidad y capacidades de proceso del
computador hacen que esta informacin est disponible en el formato deseado.
En un ambiente computarizado, son posibles los ms complejos anlisis y los
usos secundarios de los datos.

Planeacin de los procedimientos


de auditora con informtica

Habilidades
del auditor

El propsito principal de la planeacin de las medidas de auditora es incluir


dentro de las aplicaciones las facilidades que permitan realizar las actividades
de aud itora de la manera ms flu ida.
La planeacin de los servicios establece las facilidades tanto actuales como
futuras que ofrece la direccin de informtica. El auditor debe examinar este
plan para establecer los requerimientos de auditora necesa rios.
Para el funcionamiento de dimos procedimientos se requieren dentro de
los programas rutinas que permitan accesar la informacin y sistemas indepen
dientes para la seleccin, sumarizacin, comparacin y emisin de reportes.
El poder planear y realizar estas tareas implica un trabajo complicado pero
que es necesario hacer. La computarizacin de las organizaciones ha dado por
resultado una concentracin de datos y funciones, que son seleccionados.
correlacionados, resumidos y diseminados. En un ambiente computarizado tpico, normalmente Wl dato puede actualizar muellos archivos. Es necesario que
el aud itor cuente con las herramientas adecuadas para poder seguir el rastro
del mismo y tambin verificar que el sistema est realizando las funciones que
supuestamente debe ejecutar; estas herramientas computarizadas le deben per
mitir detectar los errores y corregirlos posteriormente.
Es comprensible pensar que el auditor no es un programador especializado, por lo que es obligacin de este grupo de proceso planear el desarrollo de
estas herramientas de cmputo, atend iendo las solicitudes y recomendaciones
de los auditores y aportando su propia experiencia.
Tambin debe participar en las pruebas en paralelo y en la inlplantacin del
sistema, para asegurarse de que todos los procedimientos, entradas y salidas son
los solicitados por el usuario en el momento del d iseo detallado, as como para
evaluar que los clculos realizados sean los correctos y, en generaL para dar la
aprobacin del sistema una vez verificado que cumpla con los objetivos, flujo de
informacin, controles y polticas del usuario y de la orga1tizacin.
La participacin del auditor interno en el diseo e inlplementacin de un
sistema es de suma inlportancia. Por ejemplo, la clasificacin de la evidencia
q ue se vena utilizando trad icionalmente, como la fi rma del fWlcionario para
autorizar una transaccin, se ve reemplazada por Wla clave de seguridad de
acceso o la firma electrnica, aunque la introduccin de un compu tador no necesariamente cambia las formas de la evidencia de aud itora.
El auditor interno debe estar presente en el desarroUo del sistema para eva
lua r que la informacin requerida por el usuario quede cu bierta y se cumpla

Las h,lll>lll<l
implantar,
de la teCIIlOI<021

Despus de
tipos de audi
ponder las
campo de
sta es la

Mientras
Auditora en

reas de la 0 1

!n

ser al-

xeso del
deseado.
:JSis y los

coo el grado de control que n~>cesita la infonnacin procesada por el sistema, de


acuerdo con lo:. objd1v0<> y polticas de la orgarz.lcin.
E"'ten cierta' hab1lidad~., fundamental._ que deben ser consideradas como
' 'mmmas que todo auditor de infonn.tica debe tener

Habilidad para maneJar paquet._ de procesadores de texto.


Habildadl., para man<:Jo de hoJaS de clculo.
Hab1hdad para el uso del E-ma1l y conocimiento de Internet_
Habilidad p.lra maneJO de ba!>CS de datos.
Habilidad para el uso de al meno un paquete bsico de contabilidad.
Como evaluador, tl auditor de informJtica debe ser capaz de distinguir en-

~incluir

11'1' los procesos de evaluacin de sitemas y las aproximaciones que son apro-

]vida des

piadas para encau7Jr los propsitos especficos de evaluacin relevante para el


rea de trabajo. En ctc sentido, el auditor en informtica debe tener los conocimientos de lo. pasos requeridos para aplicar tma evaluacin particular en d
contexto de la tecnologa de la informacin. Debe poseer estndares relevantes
)'prcticas que gobiernen la conduccin de una evaluacin particular. Su contribucin potencial a una evaluacin particular puede ser hecha en un contexto
especfico.
Las habi lidad!.'S t~cnicas requeridas por el auditor en informtica son las de
implantar, ejecutar y comunicar los re~ultados de la eva luacin en el contexto
de la tecnologa dl' informacin, de acuerdo con estndares profesionales que
gobiemcn el objltivo de la auditora.

!escomo
inar este
!entro de
indepenoortcs.
adopero
iado por
ionados,
izado tsarioque
el rastro
onesque
i>en perlecializarrollo de
daones
Kindel
tidasson
omopara
radar la
,flujo de
n de un
idencia
orlo para
ridad de
Jr no ne-

DEFINICIN DE AUDITORA EN INFORMTICA


CoNCEPTO DE AUDITORA EN INFORMTICA
Oespu~ de analizar lo:. conceptos de auditora

y de informtica, Jos diferentes

tipos de auditoa, a' como su interrelacin con la infonntica, debemos responder las siguientes preguntas: Qu es auditora en informtica? Cul es su
campo de accin?
Esta es la defmicin de Ron Weber en Auditlng Conct'plual Foundations and
Practict o;obre auditora infonntica:
Es una funcu.)n que ha ~ido des.Jrmllada para asegurar la salvaguarda de los acti-

vos de los "'tema' de romputadora~. mantener la integridad de los datos y lograr


los objetivos de la organi<.1cin en forma eficaz y eficiente.

Mientras qul' la dl'finicin de M a ir William es la siguiente:


mraevacumpla

Auditora en informtica es la v.:rificacin de los controles en las siguientes tres


reas de la organi1acin (informtica):

DAN1CION oe
AUOITORIA EN
INFOIWATICA

18

ApUcaCI<'Il<" tpro;yama de produ<an).

Desam,llo de <r>J!ott."lll~

CAPITULO 1
CONCI'PTO DE
AUDITOAIA
EN INFOAMATICA

In~tal.lc.:on

Por tanto, podt.mos decir qut. ~luttitorJ en inform..itic..1 (!S 1.1 revisin y C'vtl ..

V DIVERSOS IIPOS
DE AUDITORIAS

del centro de prt.k:C54.l.

luacin de los controles, sistem.ls v procedimientos de la informtica; dt 1<"


l'<UJ'OS de c<mputo, 'U utiliz.1<1n, tfk~tncia y ..eguridad; di.' la organuautin
que participa (n ('1 pro.::'oamJento di.''" rnformaon. a fin di.' que por mro1o dd
!'<'alamicnto d, cursos alternativos <e logre un.1 uhli/.acu>n ms l.'fioentc,
confiable v '''~r~ de la inform.tdn que servir pa. und adecuada toma de
decisione~.

nizacin~~

La in formaci(>n contenid a d<wnd<' de la hab il idad de red ucir la incLrti


dumbre alrcdLdor de las decis iom' El ,.,,lor de la reduccin de la inct>rtidum
bre depcnd, d<l pago a<;OCiado con la dtcisin qu e><' r.ahL..l.
los factmL'S qu" pul.'den influtr ''"una organiz.1dn a traws del conml '
1
1uditora l,.n antorllklhca son.
Influencia
de la auditorfa

;-.;ece,,dad di.' controlar el u<o l.'voluconado d(' las n>mputadoras.


Controlilr t.l usn de la comput,.H:Iur~l, que cada da se vu~lvc ms import.lntc

y costos.1.

qul.' mJnq.
aquellas qu
FlconD
bid o J lo iru
inad<cu.ldo
mas, debid<
na, y :oloJ
a la mfonru
El abuSI
informtu:a

Los aJto!-t nhts qut p rodunn los Prrores en una orgc.miztlcin .


Abu..o en l.h computadoras .
Posibt.:idad de ~rdida de capaCidad<"> de proct"Saml('Oto de datos .
Pesibthdad de dec"ione. mrorn'<ta'
\"alor dd hard\\are 'llftwar, \ JX'N>nal.
Necesidad de mantener la pm,Ktd.Jd rndividual.
Posibilidad de p<!rdida de inlorm.1cin o de m .ll oso de 1,1 m tsma.
Tom ad'-' dtci siones incorrect,t~.
Necesidad de mantener la privacidad de la organizacicn.

la informact6n '"'
recui'>O nccesano para 1.1 organtzaoon y para la amhnuidad de las operaciones, ya que pmwe de una imab"<.'Jl de su ambtente actual su p.bado} su futuro. Si la tma~en de la organiz.ll' n es apropiad> <-;t.
crecer adapt.\ndo~ a los cambio~ dt' c;u entorno.
En e l pro<.:t'Ml de 1..1 informa<.:i n ~e deben detectar sus errores u omisione~. y
evitar su destruccin por causas nt'ltllftl lcs (tcmblons, inundaciones) o C.:Utll
quier contingtnc1a que pud iera susc1t.1rse.
la toma di.' dl-.:istones incorn>cla,, producto de dato, erronL'Os proJ><rc1onados por los Sistema' trae como ron,...."Uenda efedO>o '';ntficab' os. qul.' afectan directam..,nte a la organizacin
El mavor ""t1mulo para el d'"''""'llo de la auditori.l <'n Informtica dentro
dt' la o rganizc.1onn nurma lmentt:est,l dJdo por el abuso en el uso de las compu
!adoras. El abuso ~:n com potador.1s es cua lquier in cid<n tt J sociad o con 1.1 tecnologa en conlpu tJci<ln, e n e l cual la victima sufra o putd ..l suf rir una prd idtl
\ un dao hL"<:ho, rnt~l\oonalmente o p.tra obtener una j\anancia. El probl<ma
ms c;.erio e-.t t.T\ lo.. -.:rrores u omiSh'~nt.-s que cau..;an pt~rdidas a la organiz.aon.
En -.egwda ~'St.1 el dt-,.htre de la> computadoras debtdo a Ol115as naturales, ta1('5 como fue;L>, agu.t o fallas en el '"llmlru,tro de en('rga 1~" tcnica> de control

de in form,H
cin del t'<Jt
infornlat.:Hlr
robos h<ll1JI
tamb1msor
L:t audil
t"quipos dl' e
ms hJbrc.t c.
das, pro~t1d
(desarrollad
ben incllllr 1
ncruna lnfo
cmpu to de
y el pcn;ona
Adem.s
son rccu rsos.
version<.~.t pr,

seguro adt'Cl
dao~ CJ\5"

inversin m
la o rgaruzad
recobrado S

dencial a la t
prdid,JS n
pre un rt C\ll"'
('Strenado.
1

La'corn
nuestr.t sooe
den ir desde
berta d o dt 11
Adcm\is
siderado 1.1 r
es respons.tb
redes d e rorr
integrada y E
quendas. E.J
que la mfol"lll

y eva
de los
izacin
dio del
.cien te,
Jma de.inccrti
tidummtrol v

orlan te

la con?nte ac
:Ja, sta

iones. y
o cualpordnue afee-

dentro
compu
1la lecprdida
vblema
izacin.
.>les. ta
control

qu~ manejan estos dos tipos de problemas han sido mejor desarrolladas que
aquellas que se relacionan con el abuso en las computadoras.
El control en el abu<O de las computadoras es normalmente ms difcil debido a lo inadecuado de las leyes. Es ms difcil condenar a alguien que hizo un
madecuado uso del hempo de las computadoras, o copias ilegales de programas, debido a que las leyes no consideran a las computadoras como una persoJld, y slo las personas pu~>den ser declaradas como culpables, o bien considerar
J la informacin como un bien tangible y un determinado costo.
El abuso tiene una importante influencia en e l desarrollo de la aud itorfa en
informtica, ya que en la mayora de las ocasiones el propio personal de la organizacin es el principa l factor que puede provocar las prdidas dentro del rea
de informtica. Los abusos ms frecuentes por parte del personal son la utiliza
on del equipo en trabaJOS distintos a los de la organiLacin, la obtencin de
nf<><macin para fin!$ P<'I"JJnales (Internet), lo.. uegos o pasatiempos, y lo
robos hormiga, adems de lo.. delitos informJhco:. que en muchas ocasiones
tambin son Uevadt>:. a cabo por el propio personal de la organizacin.
la auditora en informJtica deber comprender no slo la evaluacin de lo~
l'<JUipos de cmputo o de ull SIStema o procedimiento especfico, sino que adc
ms habr de evaluar lo> sistemas de informacin ('n general desde sus entra
das, procedimiento&, comu11icacin, controles, archivos, seguridad, perso1al
(desarrollador, operador, usuarios) y obtencin d( informacin. En esto se deben incluir los equipo& de cmputo, por ser la herramienta que permite obte
ner una informacin .1decuada y una organizacin especfica (departamento de
computo, departamento de informtica, gerencia de procesos electrnicos, etc.),
y el personal que har.1 posible el uso de los equipos de cmputo.
Adems de lo.. datos, el hardware de computadora, el software y personal
"'" recursos crticos de las organizaciones. Algunas organizaciones tienen inversion.,.; en equipo de hardware con w1 valor multimillonario. Aun con un
'eguro adecuado, las prdidas intencionales o no intencionales pueden causar
daos considerables. En forma similar, el softw.1re muchas veces consti tuye u11a
inversin importante. Si el software es corrompido o destruido, es posible que
la organizacin no pueda continuar con sus operaciones, si no es prontamente
rC<:obrado. Si el software es robado, se puede proporcionar informacin confi
dcncial a la competencia, y si el software es de su propiedad, pueden tener..e
prdidas en g.mancias o bien en juicios legales. Fmalmente, el personal es siem
pre un recurso valioso, sobre todo ante la falta de per>Onal de informtica bum
r-;trenado.
Las computadoras cj~>cutan automticamente muchas funciones crticas en
nuestra sociedad. Consecuentemente, las prdida& pueden ser muy altas y pu<'
den ir desde prdidas multimillonarias en lo econmico, hasta prdidas de li
bertad o de la vida en el caso de errores en laboratorios mdicos o en hospitales.
Adems de los a>p<><:tos constitu<"ionales y leg~lcs, muchos pases han con
siderado la privacidad como parte de los derechos humanos. Consideran que
es responsabilidad de 1Js personas que estn con las computadoras y con '"'
cde:. de comunicacin, ~segurar que el uso de la inform.cin sea recolectada,
integrada y entregada rpidamente y con la pnvacidad y confidencialidad l't'queridas. Existe una rc,pt>n'>abilidad adicional ~n el -.entido de asegurarse de
que la informaan sea uoada solamente para los props1tos que fue elaborada.

19
OEFINICION DE

AUOfTORIA EN
INFOAt.lAncA

Prdida
de informacin

20
CAPiTULO 1
CONCEPTO DE

AUOITOAiA
EN INFOAMTICA

Y DIVERSOS TIPOS
OE AUDITORiAS

En este caso se encuentran las bases de datos, las cuales pueden ser usadas para
fines ajenos para los que fueron diseadas o bien entrar en la privacidad de las
personas.
La tecnologa es neutral, no es buena ni mala. El uso de la tecnologa es lo
que puede producir problemas sociales. Por ejemplo, el mal uso de la tecnologa en Internet no es problema de la tecnologa, sino de la forma y caractersticas sobre las cuales se usa esa tecnologa. Es una funcin del gobierno, de las
asociaciones profesionales y de los grupos de presin evaluar el uso de la tecnologa; pero es bien aceptado el que las organizaciones en Jo individual tengan
una conciencia social_ que incluya el uso de la tecnologa en informtica.
Deber de existir una legislacin ms estricta en el uso de la tecnologa, en
la que se considere el anlisis y la investigacin para evitar e l mal uso de Internet
y otras tecnologas, para evitar situaciones como el suicidio colectivo de sectas
religiosas, como sucedi en Estados Unidos. Tambin se requiere de una tica
por parte de las o rganizaciones y de los individuos que tienen en sus manos
todo tipo de tecnologa, no slo la de informtica.

B) Evaluo

setien

Ev
E"
Ev
Fa,
Co
Co
Ins

Se~

CAMPO DE LA AUDITORA EN INFORMTICA


Campo
de la auditora

La evaluacin administrativa del rea de informtica.


La evaluacin de los sistemas y procedimientos, y de la eficiencia que se
tiene en el uso de la ilormacin. La evaluacin de la eficiencia y eficacia
con la que se trabaja.
La evaluacin del proceso de datos, de los sistemas y de los equipos de
cmputo (software, hardware, redes, bases de datos, comunicaciones).
Seguridad y confidencialidad de la informacin.
Aspectos legales de los sistemas y de la informacin.
Para lograr los puntos antes sealados se necesita:

A) Evaluacin administrativa del departamento de informtica. Esto comprende la evaluacin de:

Los objetivos del departamento, direccin o gerencia .


Metas, planes, polticas y procedimientos de procesos electrnicos est.n dares.
Organi.<acin del rea y s u estrueh1ra orgnica .
Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos.
Integracin de los recursos materiales y tcnicos.
Direccin.
Costos y controles presupuestales.
Controles administrativos del rea de procesos electrnicos.

Co1
Co
Uti
Pre
cup
Pro
Der

C) Evaluac
prende:

El campo de accin de la auditora en informtica es:

F01

D)

Con
Con
Con
Con
Con
Con
COill
Ordt

Segurid~

Segu
Conf
Rcsp
Segu
SeguJ

Segu
Plan
sastrE
Resta

Los princ

Salva

Integn

ware

adas para
lad de la~

81 Evaluacin de los sistema~ y procedimientos, y de la eficiencia y eficacia que

se t1enen en el uso de la informacin. lo cual comprende:

oga es lo
1 tecnolo

racterslide las
la tecnoal tengan
ica.
>logia, en
f Internet
de sectas
una tica
'10,

J.S man~

~A

Evaluacin de l anlisis de lo~ sistem as y sus dif~rentes etapas.


Evaluacin del diseo lgico del sistema.
Evaluacin del desarrollo fsico del sistema.
Facilidades para la elaboracin de los sistemas.
Control de proyectos.
Control de sistemas y programacin.
Instructivos y documentacin.
l'ormas de implantacin.
Scgu ridad fsica y lgica de los sistemas.
Confidencialidad de los bistemas.
Controles de mantenimiento y forma de respaldo de los sistemas.
Uhliz.-.cin de los sistl'mas .
Prevencin de factores que puedan causar contingencias; seguros y recupcracin en caso de desastre.
Productividad .
Derechos de autor y secretos industriales .

C) Evaluacin del proceso de datos y de los equipos de cmputo que com


prcnd!':

Controles de los datos fuente y manejo de cifras de control.


Control de operacin.

ia que se
( eficacia

uipos de
lllCS~

Control de salida .
Control de asignacin de trabajo .
Control de medios de a lmacenamiento masivos .
Control de otros elemento;, de cmputo .
Control de medios de comunicacin
Orden en el centro de cmputo .

D) Seguridad:

'Ompren

'OS estn

Segu ridad fsica y lgica.


Confidencialidad.
R(.'Spaldos.
Seguridad del per;onal
Seguros.
Seguridad en la utilu.acin de los equi>O'o.
Plan de contingencia y procedimiento de respaldo para casos de dcSii'Jtre.

le pro~-

Restauracin de equipo y de sistemas.

Los principales objetivos de 1~ auditoa en informtica son los siguientes:

S...haguardar los acti\'lh Se refiere a la prott'CCin del hardware, software y recursos humano:..
Integridad de datos. Los datos deben mantener consll>tcncia y no dupliGlroe.

OE
AUOITORI.A EN

DEFINICIN

INFORMATICA

22
CAPITULO 1
CONCEPTO DE

AUOJTORiA
EN INFORMTICA
Y DIVERSOS TIPOS
DE AUDITORIAS

Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la


organizacin.
Eficiencia de sistemas. Que se cumplan los objetivos con los menores recursos.
Seguridad y confidencialidad .

Para que sea eficiente la auditora en informtica, sta se debe realizar tambin durante el proceso de diseo del sistema. Los diseadores de sistemas tienen la difcil tarea de asegurarse que interpretan las necesidades de los usuarios, que disean los controles requeridos por los auditores y que aceptan y
entienden los diseos propuestos.
La interrelacin que debe existir entre la auditora en informtica y los diferentes tipos de auditora es la siguiente: el ncleo o centro de la informtica son
los programas, los cuales pueden ser auditados por medio de la auditora de
programas. Estos programas se usan en las computadoras de acuerdo con la
organizacin del centro de cmputo (personal).
La auditora en informtica debe evaluar todo (informtica, organizacin
del centro de cmputo, computadoras, comunicacin y programas), con auxilio
de los principios de auditora administrativa, auditora interna, auditora contable/financiera y, a su vez, puede proporcionar informacin a esos tipos de
aud itora. Las computadoras deben ser una herramienta para la realizacin de
cualquiera de las auditoras.
La adecuada salvaguarda de los activos, la u1tegridad de los datos y la eficiencia de los sistemas solamente se pueden lograr si la administracin de la
organizacin desarrolla un adecuado sistema de control interno.
El tipo y caractersticas del control u1terno dependern de una serie de factores, por ejemplo, si se trata de un medio ambiente de minicomputadoras o
macrocomputadoras, si estn conectadas en serie o trabajan en forma individua l, si se tiene Internet y Extranet. Sin embargo, la divisin de responsabilidades y la delegacin de autoridad es cada vez ms difcil debido a que mucho'
usuarios comparten recursos, lo que dificulta el proceso de control interno.
Como se ve, la evaluacin que se debe desarrollar para la realizacin de la
auditora en informtica debe ser hecha por personas con un alto grado de conocimiento en informtica y con mucha experiencia en el rea.
La informacin pwporcionada debe ser confiable, oportuna, verdica, y debe
manejarse en forma segura y con la suficiente confidencialidad, pero debe estar
contenida dentro de parmetros legales y ticos.

AuDITORA DE PROGRAMAS
La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de
diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organizacin.
La auditora de pwgramas tiene un mayor grado de pwfundidad y de detalle que la auditora en informtica, ya que analiza y evala la parte central del

m ..,~ se

tl!ngan lo'
general se
optimizar un

Para
del .
mentacitln

CIOn

'\'OS de la
JreS recur-

olzar tam
;tema) tie-

los usuaaceptan y

y los difcntica son


ditora de
Xlo con la
anizacin
on auxilio

tora contipos de

zacin de

.s y la efi1n de la

ie de factadora5 o
,. indi\'1
153bilida' much<b
temo.
;in de la

1ode co:a. y debe


ebee5tar

1 uso de
prograaluar el
ydedcntral del

u...o de las computadoras, que"" el programa, aunque se puede considerar como


parir de la auditoria en mformat1ca
Para lograr qut.> la auditora de programas sea eficiente, las personas que la
reahccn h.>n de ~r ronoc1m1entos profundos sobre sistemas operati\'OS, sistemas de admmistraon de b.15e de datos, lenguaJCS de programacin. u literas,
,....,.de datos. mt-dio- d<.' comunicacin y acerca del equipo en que fue escrito
el programa Asimismo, se deber comenzar con la re\isin de la documentaCin del m"mo. Para poder llevar a cabo una auditora adecuada de los progra
necc~ita qul) lth -.,istl'ma-., est~n trabajando correctamente, y que se obl<'ngan los rt.'Sultados rt.'qUCridos. ya que al cambiar el proceso del sistema en
general e cambiar.in posiblemente los programas. Sera absurdo intentar
optimizar un pn>grama dt un sistema que no est funcionando correctamente.
Par.> optimizar los programas se deber tener pleno conocimiento y aceptacin del sistcm.1 o shtcmas que usan l'SC programa, y disponer de toda la documentacin dctall,d,\ dl'l sistem.> total.

m.t.-. se

23

CAPTULO

Planeacin
de la auditora
en informtica

OBJETIVOS
Al finalizar este capitulo, usted:
1. Conocer las distintas fases que comprende la auditorla en informtica.
2. Comprender la importancia en el trabajo de auditorfa de la planeacin, el
examen y la evaluacin de la informacin, la comunicacin de los resultados
y el seguimiento.
3. Explicar el valor de la evaluacin de los sistemas de acuerdo al riesgo.
4. Oescnbir las fases que deben seguirse para realizar una adecuada investt
gacin preliminar.
5. Definir cules son las principales caracterfsticas que requiere el personal
que habr de participar en una aud~ora.
6. Conocer cmo se elabora una carta-convenio de servicios profesionales de
auditora.

26
CAPITU~O 2

dalts para

FASES DE LA AUDITORA

PlANEA<:ION

un.l -.ldecu

l.a ob

0( LA AUOHORIA

EN INFORMTICA

Auditora interna

mh.'rr'los de

la auditora en informJlca es el pl'OC\.':>0 de recoleccin y evaluacin de evidl'flcias para determinar cundo son s.11v,guard,ldos los activos de los sistemas
compu tarizados, de qu man~ra se m.mtiene la integridad d<' los datos y ctlmo
"' logran los obctivo. de la organi2.1cin ef1c.12mente y se u"3n lo, recur.o,
consumidos eficientemente. !.a .1ud itorr,, en informtica sigue los obctivos tradicionale-s de la auditora: aquellos que son de la audi tora <'xterna, de salvaguarda de los activos y la integndad de datos, y los objetivo, gerenciales, aquellos prop1os d e la aud itora int1ma que no slo logr.ln los objdivos sei\alados
'ino tambin los de eficiencia y eficacia.
la auditori.l interna l'S una funcin tndependientc de la evaluac1n qu<'"'
establece dentro de un,t urganihlcin p,'lra CXiU11inar y eva luar sus l1Ctividadcs.
El objetivo de la auditora interna consiste en apoyar a los mil'mbros de la organiLacin en el dl''Cmpeo de sus responsabilidades. Para ello, proporciona an.ilisis, evaluacionQs, recomendaciones, U'ieSOr a ~informacin concerniente a l..1s
aetividadl'S rev..-.das.
Los auditot<s miemos son responsables de proporcionar mform,Kin acerca de la adecuacin y cfl'Cti,idad del si,ll'ma d control interno de la organi7a
cin y de la cahd.1d de la geshn.
El m.mual d!' o rgani>acin deber establecer claramente los propsitos del
departamento de .1uditora interna, especificar que el alcance del trabajo no d<be
tener re.tricciont., y seal.lT que los auditores internos no tendr.n autoridad y/o
responsabilidad respecto de las .1cti vidades que aud it.ln.
El auditor interno debe ser independiente de las actividades que audita.
E'ta independencia perm1te que el auditor interno reahce su trabajo hbre y objetivame nte, ya q ue sin <'Sta indtpendcncia no se pueden obtener Jos resultados

d()~ados.

Las normas dc aud itora interna comprenden:

df.'b<-n subo
La ob,e
de t.11 man~
c.:uc no hay
~1udatorcs lf

po'Jhihtad~

1 os res
el rcspcctivl
de qut el tr
lliJUdit
ndus} con
11 depal
llas f"'tsOna
disciplina n,
her hegu
dii l ... St:an
1\o,;imis~

des

r>erial
L. dep.u

men los, ex

hihdadesde
tores ,alific
las nsponsa
nu~nto no n~
El depar

Que'" 1
t.'S

las acl\idades auditadas y la objdividad de los audilOTl'S internos.


El conocimiento tcmco, la c.1pacidad y el cuidado profesional de los audi
tores interno, con los que deb<-n ejercer su funcin. En el caso de la auditora
en informtica es de suma importancia el que el audttor cuente ron los ro
nocimicntos tC:cnicos nctua)iados y con la experiencia necesa ria en el rea.
El alcance d<l trabajo de aud1tora interna l'n el t<'.l de informhca .
El dcs.urollo de las ""'pon,abilidadl., asignadas a los auditores internos
responsables de la auditora ,, informtica.

los a ud itores mternos deb<-n ser independ1entl., de las actividades que


auditan, y deben de tener un amplio criterio para no tomar dccisione- subjetivas basadas en preferencias pel'<;()nales <;obre determinado equipo o software,
sin .1nalizar a profundidad las opiniones. Los aud itOr\'' internos son mdepen
du!ntes cuando pul-den d<'Sempear su trabajo ron libertad y objetividad. La
independencia permite a lo> auditores internos rendir ju1cios imparciak'S, esen-

un pr

trabajo d
Que los
tructivos

Quese 9
Que la a
dtnda u
Que los ~
Que los ~
d1sciplin
Cada au

54. requie
ca, de au1
pericia la

,;den.temas
cmo
cursos

os Irasalva-

aqucllldos
~uese

lades.
orga

a anea las
acerl!Za

os del
debe
dy/o
udita.
yobtados

cial"' para la ad('('Uada conducCIn de las auditoras; esto se logra a travs de


una adecuada obl<!tividad y c-rit~rio.
La obdindad '" una actitud de independencia mental que los auditores
mkm<h dd:":n mantf.'ncr al n..lhzar las auditoras. Los auditores internos no
deben <ubordmar 'u~ IUiCIO'> l'fl matena de auditora al de otros.
La obl"t" tdad R>quterl! <ue los audito,-e, internos realicen sus auditoras
d tal man~ra que tl.'ngan una honc:.ta conf1anza en el producto de su trabajo y
que no ha, an creado compromt..OS ~ignificatwos en cuanto a la calidad. Los
audttores miemos no deben colocar..e en stluaciones en las que se sientan im
>lhibilitad< para hacer jutCIOS profcstonales obetivos.
Lo, rl'Sult.ldos dtl trabao de auditora deben ser re,isados antes de emitir
d rt'Specii\O mformf.' de auditor.l, par.l proporcionar una razonable seguridad
de que el trabao se realiz obctivamente.
El auditor en inform.tica debe contar con los conocimientos tacos requcndos y con capacidad profi.'Sional.
El departamento de auditora interna deber asignar a cada auditora a aquellas person.1~ que tn su conjunto poscan los conocinlicntos, la experiencia y la
dtsciplina neccsMios p.1ra conducir apropiadamente la au d itora. Tambin deber} asegurilrsc qu(' la experiencia tcnica y la formacin acadmica de los auditores se.ln las apropiadas para realinr las auditoras en informtica.
Asimismo, se deber obtener una razonable segurid ad sobre las capacidades y pericias de cad a prospecto para auditor en informtica.
El dcpartam~nto de auditora interna deber contar u obtener los conocimientos, cxperienci.h y disciplin,ls nt>cesarias para lleva r a cabo sus responsabilidades de auditora en ill!ormtica. Deber tener personal o emplear consultores calificados en las dbciplinas de informtica necesarias para cumplir con
las r!'sponsabilidades de auditora; sin embargo, cada miembro del departamento no nl'Cl'sita estar calificado en todas las disciplinas.
El departaml.'nto de auditora interna deber asegurarse:

audiltoria
)S (O-

rea.

emos

; que
bjetiware,
!pen
d. La
esen-

FASES
DE LA AUOITORIA

Que las auditoras ~an supervi<.adas en forma apropiada. La supervisin


es un proceso continuo que comtenza con la planeacin y termina ron el
trabajo de auditora.
Que JQ<. informt'S de audttora sean prooSO<>, objetivos, claros, conciSO>, constructivo> y oportuno>.
Que se cumplan lo:. obcllvO!> de la auditora.
Que la auditora sea dtbidamente documentada y que se conserve la evidencia aprophlda de 1.1 supervistn.
Que lo> auditores cumplan con las normas profesionales de conducta.
Que los auditor~.., en informtica P<"'!ln 105 conocimientos, experiencias y
disciplinas t>scnci.lles p.ua realizar sus auditoras.
Cada auditor interno reqUiere de ciertos conocinlientos y experiencias:

Se r<'<)uicrl.' pericia en !.1 apltcacin de las normas, procedimientos y tcnicas de auditora interna par.l el d('sarrollo de las revisiones. Se entiende por
pericia la habilidad para aplicar los conocimientos que se poseen a las si-

Habilidades
de los auditores

28
CAPiTuLO 2
PLANEACION

DE LA AUDITORiA

EN INFORMTICA

tuaciones que posiblemente se encuentren. ocupndose de ellas sin tener


que recurrir en exceso a ayudas o investigaciones tcnicas.
Tener habilidad para: aplicar amplios conocimientos a situaciones que posiblemente se vayan encontrando, reconocer las desviaciones significativas
y poder llevar a cabo las investigaciones necesarias para a lcanzar soluciones razonables.
Entre las habilidades que deben tener los auctitores estn:

Habilidad para comwcarse efectivamente y dar un trato adecuado a las


personas. Los auditores internos deben tener habilid ad para comwcarse
tanto de manera oral como escrita, de tal manera que puedan transmitir
clara y efectivamente asuntos como: los objetivos d e la auditora, las evaluaciones, las conclusiones y las recomendaciones.
Los auditores en informtica son responsables de continuar su desarrollo
profesional para poder mantener su pericia profesional. Debern mantt'nerse informados acerca de las mejoras y desarrollos recientes.
Los auditores en informtica deben ejercer el debido cuidado profesional al
realizar sus auctitoas. El cuidado profesional, deber estar de acuerdo con
la complejidad de la auditora q ue se realiza. Los a uditores deben estar
atentos a la posibilid ad de errores intencionales, de errores omisiones, de la
ineficiencia, del desperd icio, de la inefectividad y del conflicto de intereses.
Tambin debern estar alertas ante aquellas concticiones y actividades en
donde es ms probable que existan irregularidades. Adems, debern de
identificar los controles inadecuados y emitir recomendaciones para promover el cumplimiento con procedimientos y prcticas aceptables.

El debido cuidado im plica una razonable capacidad, no infalibilidad ni acciones extraordinarias. Requiere que e l auctitor realice exmenes y verificaciones con un alcance razonable, pero no requiere auditoras detalladas de todas
las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguridad de que no existan incumplimientos o irregularidades. Sin embargo, la posibilidad de que existan irregularidades materiales o que no se cumplan las disposiciones debe ser considerada siempre que el auctitor emprende una auditora.
Cuando el aud itor detecte una irregularidad que va en contra de lo establecido
deber informarlo a las autoridades ad ecuadas de la organizacin. El a uditor
puede recomendar cualquier investigacin que considere necesaria en esas circunstancias. Posteriormente, el auditor deber efectuar su seguimiento para verificar que se ha cumplido con lo sealado.
El ejercicio del debido cu idado profesional significa e l uso razonable de las
experiencias y juicios en el desarrollo de la auditora.
Para este fin el auditor deber considerar:
Cuidado
profesional

El alcance del trabajo de auctitora necesario para lograr los objetivos de la


auditora.
La materialidad o importancia relativa de los asuntos a los que se aplican
los procedimientos de la auctitora.

revisar la a
sistema esta

y metas de !
Los obje

La confi
sar la co
dos par
Elcump
tos.

La salva

El uso e
Ellogrod
mas.

El sistem,
control y el Cl
deben examin

Quelo<re

Que los ce

tuna, com

Los audite
cumplimiento
que pueden te
ben determin<
La gerenci
mas diseado
polticas, plan
res son respor
y si las activid
piados.
Los auctitc

La correcc

existencia

s sin tener

tes quepo;nificativas
" ' solu do-

:uado a las
lmunicarse
. transmitir
.a. las eva

1 desarrollo

rn mantc-

ofesional al
tcuerdocon
~eben estar
;iones, de la
le intereses.
i,;dades en
debern de
$para pro'les.
ilidad ni acverificadolas de todas
>luta seguri.rgo, la posiplan las dis>a auditora.
cst<tbleddo
1. El auditor
'en esas cirto para veri-

l.a adecuacin y efectividad de los controles internos.


El costo de la auditora en relacin con los posibles beneficios.

mcuidado profesional incluye la evJ iuacin de los estndares establecidos,


determinando en consecuencia si tales estnda res son aceptables y si son cumplido. Cuando stos son vagos debern solicitJ rse interpretaciones autorizadas.
El alcance de la auditora debe abarcar el exa me n y evaluacin de lo adecuacin y efectividad del sistema de control interno de la organizacin y la calidad en el cumplimiento de las responsabi lidades asignadas. El propsito de
r~visar la adecuacin del sistema de control interno es el de cerciorarse si e l
si$tema establecido proporciona una razonable seguridad de que los objetivos
v metas de la organizacin se cumplirn eficiente y econmicamente.
Los objetivos elementales del control interno son para asegurar:
La confiabilidad e integridad de la informacin. Los auditores deben revisar la conabilidad e integridad de la informacin y los mtodos empleados para identificar, medir, clasificar y reportar dicha informacin
El cumplimiento de las polticas, planes, procedimientos, leyes y r<:>glamentos.
141 salvaguarda de los activos.
El uso eficiente y econmico de los recursos.
El logro de los objetivos y metas (.,;tablecidos para las operaciones o programas.

El sistema de informacin proporciona datos para la toma de decisiones, el


control y el cumplimiento con requerimientos externos. Por ello, los auditores
deben examinar los sistemas de informacin y cuando sea apropiado asegurarse:
Que los registros e informes contengan informacin precisa, confiable, oportuna, completa y til.
Que los controles sobre los registros e informes sean adecuados y efectivos .

ojetivos de la

los auditores deben revisar los sistemas establecidos para asegurarse del
rumplimiento de las polticas, p lanes y procedi mientos, leyes y reglamentos
tue pueden tener un impacto significativo en las operaciones e hormcs, y deben determinar si la organizacin cum ple con e llos.
La gerencia de informtica es responsable del establccintiento de los sistemas diseados para asegurar el cumplimiento de requerimientos tales como
polticas, planes, procedimientos y leyes y reglamentos aplicables. Los auditores son responsables de determinar si los sistemas son adecuados y efectivos
)'si las actividades auditadas estn cumpliendo con los requerimientos apropiados.
Los auditores debern revisar:

'"se aplican

.nable de las

La correccin de los mtodos de salvaguarda de los activos y verificar la


existencia de estos activos.

29
FASES
DE LA AUDITOAIA

Los mtodos empleados para salvaguardar los activos de diferente<~ hpo~


de rit'g<h tales romo: robo, incendio.., actividades impropias o ilegale.., as
como de elementos naturales como terremotos, inundaciones, etctera.

m.lSqul.'p
cf<'CtU<.' COl
fl trat
mcn' la e

Los audito,-.,, deber.in evaluar si el empleo de los recursos -;e ,-.,alin en


forma t'<'Onoimoca y eficiente.
La adminstr.1cin es n.-sponsable de establc.:er estndares de operacin para
medtr la tfioencia y economa en el uso de los recursos. Los auditores tntcmo-.
-.on n..,ponsables de determinar si:

~Ulllllt.'l'l

30
CAPmJL02
Pl.ANEACI()N

OE LA AUOOOOIA
EN INI'OAMATlCA

Uso eficiente
de recursos

L1 pla1

Lo> c~t.indare> para medir la economa y eficiencia en el uso de lo, rt'<:ttr>O>


-.on los adecuados.
Los l'St,\ndarc de oper.lcin e&tablecidos han sido entendidos y se cum
plen.
Las dcsvoacioncs a los estndares de operacin se identifican, anali;:an y se
comunican a los responsables para que tomen las medidas correctivas.
Se toman las medidas correctivas.

famol~ar

cttln dl'

J.as .1uditorCas relacionadas con el uso econmico y diciente de lo& recursos


debern identificar situaciones tales como:

Subutilizacin de instalaciones.
Trabajo no productivo.
Procl'<l imiento& que no justifican su costo.
Exceso o in;,uficicncia de personal.
Uso indebido de las instalaciones.

Los audotorl's debern revisar las operaciones o programas para cerciorar


los rL">ultados Mlll consistentes con los objetivos y metas establecido-. y"
la., operaaoncs o programas se llevan a cabo como se planearon.
~M

PLANEACIN DE LA AUDITORA
EN INFORMTICA
!'ara harer una adecuada planeacin de la auditora en informtica hay qur
seguir un.1 scrie de pasos previos que permitirn dimensionar el tamao y ca
ractl.'r~tic.lS del rea dentro del organismo a auditar, sus sistemas, organt.ta
con y l'qutpo. Con ello podremos determinar el nmero y caracterblicas del
pcl"oonal de auditora, las herr,lffiientas necesarias, el tiempo y costo, as como
defintr lo. alcances de la auditora para, en caso necesario, poder elaborar el

EIL"1.11
l..1 obtc
La delt
El est.ll
onvolu<
w real

pro mm
a pr"p
L, dtt"'
dos de 1
L.1 obtcr
1

En cJ ca
pUl'' IMbrJ (

llvaluaci
F.,aluaci
Evaluaci
Fvaluadt
lo (sofh,
!X-gund
Aspt-ctol>

Par.1lngr
tnturm,lon 1
evaluar Para
!re' ostas PI'(''
ddwr.i induu
soh<,l.tr o fon

1!1pro>Cl'SC

Mct,1.,.
Programa
Plant~ de
lnform~

contrato de servicios.

Dentro de la auditorra en general, la planeacin es uno de los pasos m~


tmportantes, ya que una inadecuada planeacin provocar una serie de proble-

1 'S md,\$
plunll'nto, sobi

ntes tipos
,;a les. a<

litera.

mas que pueden imx-dir que se cumpla con la auditora o bien hacer que no se
etede con el profc--onalismo qut> debe tener cualquier auditor.
B trabaJO dt> auditora d.,ber inclUir la planean de la auditora, el examm y la C\ aluacin de la informaon, la comunicacin de los resultados y el

31
FASES
DE V. AUOITORIA

~imi~'TltO.

'ealiza en

la plancacin debera ser documentada e incluir:


!cin para
;internos

El establemento de lo, objetivos y el alcance del trabajo.

la obtencin de mformacin de apoyo sobre las actividades que se auditarn.


La determin.lcin de lo' r.>curo;o, n~>ccsarios para realizar la auditora.

trecursos
r

se cum-

lizanyse
ti vas.

;recursos

Fl ~stablccimicnto de la comurucacin nccesaria con todos los que estarn


mvolucrados en la auditora.
La realizacin, en la form,l m.is apropada, de una inspeccin fsica para
familiarizarM.' con las .1ctivdadcs y controles a auditar, as como identificacin de las ,ircas en la, que se deberJ hacer nfasis al realizar la auditora y
promover comentarios y la promocin de los auditados.
La preparacin por c~crito del p rogra ma de auditora.
La determinacin de cmo, cundo y a quin se le comunicarn los resultados de la auditor,l.
La obtencin de 1,1 aprobacin del p lan de trabajo de la auditora .

En tl caso de la auditor,l en informtica, la planeacin es fundamental,


pues habr. que hacerla desde el punto de vibta de varios objetivos:

:erciorar-

jdos y si

hay que

mo )'ca'rganiza-

;ticas del
as como

1borar el
l50S

ms

e problc-

Evaluacin administrativa del .irea de procesos electrnicos.


Evaluacitln de lo' ssttmas y procedimientos.
Evaluacin de lo, equipos de cmputo.
Evaluacin del proce<o d~ datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, ba""" de datos, comunicaciones).
Seguridad y confidcnciahd,ld de la informacin.
A'pt.'Ctos legales de le><. ~"temas y dl' la nforman.

Para lograr una adt"CUada planl'acin, lo primero que se requiere es obtener


informacin general sobre la org.mizaon y sobre la funcin de informtica a
evaluar Para ello es preo>O ha"'r una investigacin preliminar y algunas en~ JSta' prevas, y con base en esto planear el programa de trabajo, el cual
deber inclUir hempos, costos, personal nccesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la auditora.
El proc..-so de planc.lcion comprende el establecer;

Metils.
Programas de trabarll de auditllria.
Planes de contrat,lcin de pcr>nnal y presupuesto financiero.
Informes de '"tividadc'>.

Las met.1S se debern c,t,lbk'Cer de tal manera que se pueda lograr su cumplimiento, sobrt.' la bas(' de los planes cspcficos de operacin y de los presu-

Objetivos
de la planeacln

32
CApjTULO 2
PLANEACIN
OE LA AUOITORIA
EN INFORMTICA

puestos, los que hasta donde S('a posible debern ser cuantificables. Debern
acompaarse de los criterios para med irlas y de fechas lmite pa ra su logro.
Los programas de trabajo de auditora debern incluir: las actividades que
se van a auditar, cundo ~n aud itadas, el tiempo estimado requeido, to
mando en consideracin el alcance del trabajo de auditora planeado y la natu
raleza y extensin del trabajo de auditora realizado por otros. Los programas
de trabajo deber,m ser lo su ficientemente lexibles para cubrir demandas im
previstas.
los planes de contratacin de empleados y los presuput!Stos financieros
-incluyendo el nmero de auditores, su conocimiento, su experiencia y las
disciplinas requeridas para realizar su trabajo-, debern contemplar.e al ela
borar los programas de trabaJO de auditora, as como las actividades adminis
trativas, la escolaridad y el adii.'Stramiento requeridos, la investigacin sobre
auditora y los esfuerzos de desarrollo.

La rev
zada por ur
no normaln

parle geren.
famil iarizad

causas de la
nes; el audi
considera<
si el auditor
gar de proc
con la fased
controles inl

Rev1s
ReviSiN PRELIMINAR
El primer paso en el desarrollo de la auditora, despus de la plancacin, es la
revisin preliminar del rea de in formtica. El objetivo de la revisin preli mi
nares el de obtener la informacin necesaria para que el auditor pueda tomar la
decisin de cmo proet.'<lcr en la auditora. Al terminar la revisin preliminar el
auditor puede proceder en uno de los tres caminos siguientes.

Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora.
Realizar una revi~in detallada de los controles internos de los ~i.,tema~ con
la esperanza de que se deposite la confianza en los controles de los sistemas
y de que una serie de prueba' sustantivas puedan reducir las consccuen
cias.
Decid ir el no confiar en los controles internos del sistema. Existen dos raw
nes posibles para esta decisin. Primero, puede ser ms eficiente desde el
punto de vista de costo-beneficio el realizar pruebas sustru1tivas directa
mente. Segundo, los controles del rea de informtica pu eden d uplicar los
controles existentes en el rea del usuario. El auditor puede decidir que se
obtendr un mayor costo-beneficio al dar una mayor confianza a los controles de compensacin y revisar y probar mejor estos controles.

La revisin preliminar significa la recoleccin de evidendas por medio de


entre,istas con el personal de la instalacin, la observacin de las actividades
en la instalacin y la revisin de la documentacin preliminar. Las e\idencias
se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de
entrevistas, o con documentacin narrativa. Debemos considerar que sta ser
slo una informacin inicial que nos permitir elaborar el plan de trabajo, la
cual se profundizar en el desa rrollo de la audito ra.

Los objetivo
para que el ,
dentro del '
El audite
timic nto, cot
de con troJ in
bas compem
puede, desp
internos 5(' b
alternos de a
En la fas.
las causas do
para reducir
sin detallad
dos reducen
tencin de in
usados en la
con que se ot
Como en
de log rar los
auditor inten
ciencia y efic.
suficientes pa
interno debe
sobrecontroL
nos controles
controles in te
tamente a rev

proced imient
de los sistcnu

Debern

ogro.
odes que
rido, tola natuwamas
odas im-

anderos
ja y las
.e alelatdminis>n sobre

La revisin prtliminar elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos. En primer lugar, el auditor interno normalmlnte reqmere de men<h revi>ione. y trabajos, especialmente en la
parte gerencoal y de organiz.lCJn, ya que l e.. parte de la organizacin y est
familiarizado con la misma. En wgundo, el auditor externo se enfoca ms en las
C!U!\olS de las prdidas y en los controles necesarios para justificar sus decisiones; el auditor interno hene una amplia perspectiva, la cual incorpora en sus
consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero,
SI el auditor onterno supone '>Crias debilidades en los controles internos, en lugar de prOCl'<ler direct.lmcnte ron las pruebas sustantivas, deber continuar
con la fase de revisin detallada para ~alar recomendaciones para mejorar los
cuntroles internos.

REVISIN DETALLADA

)n, es

la
prelimi:omar la
ninarel

rompe:nas con
jo;;temas

.secuenO>razo-

lesde el
directalicar los
rque se
los con-

edio de
vidades
dencias
ediode
sta ser
bajo, la

los objetivos de la fa,e detallada son los de obtener la informacin necesaria


para que e l aud itor tenga un profundo entend imiento de los controles usados
dentro del rea de informtica.
El auditor debe decidir s i debe de continuar elaborando pruebas de consentimiento, con la espcran>.a de obtener mayor confianza por medio del sistema
de control interno, o proceder directamente a la revisin con los usuarios (pruebas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor
puede, d<>spus de hacer un anlisis detallado, decidir que con los controles
ontemo.. se li<>n<> sufic1ente confianza, y en otros casos que los procedimientos
alternos de auditora purol'n ser ms apropiados.
En la fase de evaluacin dl'tallada es importante para el auditor identificar
las causas de las prdidas existentes dentro de la instalacin y los controles
para reducir las pt'rdidas y los efectos causados por stas. Al terminar la revi:o~n detallada el auditor debe evaluar en qu momento los controles establecidO!. reducen las prd1das esperadas a un nivel aceptable. Los mtodos de obtencin de mforn1acin al momento de la cvaluadn detallada son los mismos
usados en la Investigacin prelim1nar, y lo nico que difiere es la profundidad
con que se obtiene la inforn1acin y se evala.
Como en el ca'<l de la investigacin preliminar, se tienen diferentes forn1as
de lograr los obetivos desde el punto de vista del auditor interno o externo. El
auditor interno debe considerar las causas de las prdidas que afectan la eficiencia y eficacia, adems de evaluar por qu los controles escogidos son o no
suficientes p.1ra rroucir las prdidas esperadas a un nivel aceptable. El auditor
interno debe evaluar si los controles escogido.. son ptimos, si provocan un
sobrecontrol, o bien si '><' logra un satisfactorio nivel de control usando menos controles o controles menos costosos. Si e l auditor interno considera que los
controles internos dl'l sistema no son satisfactorios, en lugar de proceder directament<> a revisar, a probJr control;s a lternos o a realizar pruebas sustantivas y
procroimientos, debe se'alar las recomendaciones para mejorar los controles
de los sistemas.

33~---'

Tipos
de revisiones

34
CAPiTUL0 2
PlANEACION
DE lA AUOITOAIA
EN INFORMTICA

ExAMEN v EVALUACiN
DE LA INFORMACIN
Los auditores internos debern obtener, analizar, interpretar y documentar la
mformacin para apoyar los resultados de la auditora.
J::l proceso de examen y evaluacin de la in formacin es e l siguiente:

St debe obtener la informacin d e tod os los asun tos relacionados con los
objetivos y alcances de la auditora.
La informacin deber ser suficiente, competente, relev,1ntc y Litil para que
proporcione bases slid,,. en relacin con los hallazgos y rt'Comendaciones
de la auditora. La informacin suficiente significa que est basada en hechO>., que es adecuada y convincente, de tal forma que una pcr;ona prudente e mformada pueda llegar a las mismas conclusion~>;, que el auditor. La
informacin competen!(' significa que es confiable y puede obtenerse de la
mejor manera, usando las tcnicas de auditora apropiadas. La informacin
relevante apoya los hallazgos y recomend aciones de aud itora y es consistclltC co11 los objetivos de sto. l.a informacin til ayud a a la o rgan izacin
a lograr s us metas.
Los p rocedimientos de auditora, incluyendo el empleo de las tcrLicas de
pruebas selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modific,use cuando las circunst,,ncias lo requieran.
El proceso de recabar, anahzar, mterpretar y documentar la mformacin
deber supervisarse para proporcionar una seguridad ra1onable de que la
objetividad del auditor se mantuvo y q ue las metas de auditora se cump lieron.
Los d ocu me ntos de trabajo de lo aud itora d ebe rn ,;er preparados por los
au d itores y revisados por la gerencia de auclitora. Estos d ocumentos deber,in registra r la informacin obtenida y el anlisis realitado, y deben apoyar las bases de los hallazgos de aud itora y las recomendaciones q ue se
harn.

Lo' auditores debern reportar los resultados del trabao de auditora. El


audttor deber discutir las conclusiones y recomendacione; en los niveles aproptado> de la administracin antl'S de emitir su iJorme final. Los informes debern ser objetivos, claros, concisos, constru ctivos y oportunos. Los informes
prcsentar.ln el propsito, alcance y resultados de la auditora y, cuando se considere a propiado, conte ndrn la opin in de l aud itor.
Los informes pueden iJ1cluir recomendaciones para mejoras potenciales y
reconocer el trabajo sati; factorio y la> medidas correctivas. Los puntos de vista
de lo> auditados respecto a las concluiones y recomendactones pueden ser incluidos en el informe de auditora.
Lo' i\Uclitores internos re,1li.t.lrn el seguimiento de las r~'COmendaciones,
para a-egurarse que se tomaron las acciones apropiadas '>Obre los hallazgos de
,mditora reportados.

El dirE
selecciona

Descri

Selecc
Entrer
todos
Eva]u
ao.

Aseso:
sionaJ.

El trab
la adecuad
El diJE
ner un pro
lamento do
u na seguri
normas ap
Unpr<

Supen.
Revisi<
Rcvisic

La supo
ca lx) contir
las normas

Las re'
d e l de paru
l1uditora rE:
r.1 qu e cual
Para e\
pr,\c::ticarse

PRUEI
El objttivo
c-ontroles in
d e te rminar
.m confiablo
Adcm!

cut!ntemenl

asistidas po

El director de auditora en informtica deber establecer un programa para


seleccionar y desarrollar los recursos, el cual debe contemplar:

35
FASES
DE LA AUDITORA

mentar la

Descripciones de puestos por cada nivel de auditora en informtica.


Seleccin de individuos calificados y competentes.
Entrena miento y oportw dod de capacitacin profesional continua para
todos y cad a uno de los auditor~s.
Evaluacin del trabajo de cada uno de los aud itores por lo menos una vez al

nte:

ao.

>s con los

sional.

.para que
1dacioncs
da en he.aprudenodttor. La
terse de la
:Onnacin
es consis;anizadn

k nicas de
:con antetdo las cirformacin
de que la
a se cumlos por los
ntosdebe-

leben apones que se


ditorla. El
velesapro
formes des informes
tdose con~enales

y
"OS de vista
<len ser in

51dacioncs,
J]azgos de

Asesora a los auditores en lo referente a su trabajo y a su desarrollo profe-

El trabajo de auditora interna y etema deber coordinarse para asegurar


l.t adecuada cobertura y para minimizar la duplicidad de esfuerzos.
El director de auditora interna en informtica deber establecer y mantener un programa de control de calidad para evaluar las operaciones del dcpar
t.lml'nto de auditora interna. El propsito de este programa es proporcionar
una seguridad razonable de que el trabajo de auditora est de acuerdo con las
normas aplicables.
Un programa de control de ca lidad deber incluir los siguientes elementos:

Supervisin.

Revisiones internas.

Revisiones externas.
l..1 supervisin del trabajo de los auditores en informtica deber llevarse a

cabo continuamente para asegura~ de que estn trabajando de acuerdo con


las normas, polticas y programas de auditora en informtica.
Las re,isiones internas debern realizarse peridicamente por el personal
del departamento de auditora interna para evaluar la calidad del trabajo de
auditora realizado. Estas revisiones debern llevarse a cabo de la misma manera que cualquier otra auditora.
Para evaluar la calidad del trabajo de auditora en informtica debern
prc1cticars.e revisiones externas.

PRUEBAS DE CONSENTIMIENTO
El objetivo de la fase de prueba de consentimiento es el de determinar si los
controles internos operan como fueron diseados para operar. El auditor debe
determinar si los controles declarados en realidad existen y si realmente traba
jan confablemente.
Adems de las trnicas manuale:. de recoleccin de evidenas, muy frecuentemente el auditor debe recurrir a tcnicas de recoleccin de informacin
asistidas por computadora, para deternnar la existencia y confiabilidad de los

Programa
de control
de calidad

36
CAPITULO 2

PI.ANEACION

controles. Por ejemplo, para evaluar la existencia y con fiabilidad de los contro1('5 de un sistema en red, se requerir el entrar a la red y evaluar directamente al
sistema.

OE LA AUDITOAJA
EN INFORMATlCA

Elau

1 Tipos de pruebas

Dura
Dura
Dura

PRUEBAS DE CONTROLES DEL USUARIO

En ge
sidcran q
pendenci,

En algunos casos el auditor puede decidir el no confi~r en 1< controle, internos


dentro de las instalaciones informhc,,s, porque el usuario ejerce controles que
compensan cualquier debi lidad dentro de los controles in ternos de informMica.
Estas pruebas que corn pcnsan las deficiencias de los controles internos se pueden realizar median!.' CUt'Stionarios, t'ntrevistas, ''istas y evaluaciones lu'Chas
directamente con los u'uarios

nar esto:

PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que
permita al auditor emitir ~u juicio en la conclusiones acerca de cundo pueden
ocurrir prdidas materiales durante el procesamiento de la informacin. El a u
ditor e\temo expresar L.,.te juicio en forma de opinin <obre cundo puede
exshr un proceso equivocado o falta de control de la informacin. Se pueden
identificar ocho diferentes pruebas sustantivas:

Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.


Pruebas para asegurar la calidad de lo. datos .
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datO> o contadores fsicos.
Confirmacin de datos con fuentes externas.
Pruebas para confirmar la adecuada comunicacin.
Pruebas para determinar falta de -eguridad .
Pruebas para determinar problem,ls de legalidad .

Debemos cuestion,, rnos el beneficio de tener un excesivo control o bien evaluar tl beneficio marginal de tener mayo, control contra e l costo que representa
ste. Para ello es necesario evaluar el costo por falla del !.i&tema, y sus repercusiones para determinar el grado de ri('Sgo y confianza necesarios contra el costo
de implantacin de controles y el coo;to de recuperacin de la informacin o
elimmadn de las repercusiones.

Aum1
Asign
postl't
Crear
audite
Obten

Realiz
lograr los
..,ubsistem,
c,1s de cad
subsistem
evaluacin
sin ol\idar
la

SUil\

sistem

Lospa
llo, que se
m vestigaci(
dt cmo es
llUe son pr(
e-cm troles in
rol ~~audite
troles que"'
dimicntos. 1
,_.,, el audito
dt:r con pas;
DurantE
cilcs. Cada
quu~re de ev
eta' obtenid

ontroenteal

El aud1tor debe partiopar en tr<>s ~t.1do-. del "'tema:

temo'

Dur.ntc la fase de diseo del sistcm.l


[)ur.lnt<' !,1 fase de operacilln.
Dur.mte la fase posterior a 1.1 auditora.

En general, la opirun del gcrmte dt informtica y de la alta gerenci,, con


'idtran que el que el auditor participe tn la tao,e dt' d1seo disminuye la mdcpcnd.,ncia del auditor, pero existen vari,,_ formas l'n las cuales se puede clinll
nar t"to:

es que
ntica.
epue'oeehas

Aumentando lo:. conocimientO'> en informJtica del auditor.


,\s1gnar diferentes auditores a 1.1 fase de d1-co, al trabajo de auditora y al
po-.ttnor a la auditora.
(~ar una ..eccin de auditOra en infurm,lhC.l dentro del departamento dt'
,tud1tora interno~ especializado l'n Judltoriil ~n informtica.
Obtt.)ncr mayor soporte de 1~ alta g(rtmck

Rea!Jar una auditora en inform.ltic,, es un trabajo complejo. Por ello, para


objetivos, el auditor necesita dividir los si&lemas en una serie dt
~oub-.1"tt.1 nhlS, identificando los cump<mt.'ntt.)s qu~ nJii/._ln las actividades bjsica' de cada bubsistema, evaluar la etmfl,ma de c.1da componente, )' la de lo'
ub"'tt.'mas, y en forma agregada eval u M c,,d,l subsiStema hasta llegar a una
rl'aluaCJn global sobre la confian7a tot.1l dt>l ,btema. Esto se deber realiur
$111 oh1dar el postulado de investigacin de operaaones, que nos seala que:
logr.~r lob

te que
eden
El au,......,e
eden

i!gUri

l.a suma de los ptimos parcaalc--. de h)S .. ub,ao;tl'm~ no ~ agual al ptimo dd


..l .. tl'md. pero nos da una buena apnl,am.lun

Lo' pasos que involucran una auditor~, en mformtica son similares a aquclllh que ~ realizan para auditar un sistcm,l manual. Primero se realiza unil

levasenta
~rcu

costo
in o

mvt..,llg.,cin preliminar del rea d inform.itic.l, P"' lograr un entendimiento


d~ ct\mo o.'st siendo administrada la in,t,1lacin y de los principales sistema'
que son procesados. En segundo lug.u, si el auditor determina confiar en los
controles internos del sistema, se re liza una inw,llgacin detallada. En tercc
ro, 1 auditor, de acuerdo con su juicio, prueba la confianLa sobre aquellos controlt, qut' son crticos. En cuarto, se rt.'ah-.ln pruebas sustantivas de los procl'
d1m1cntos. Finalmente, el auditor debe d.u u11.1 opmilln. Despus de estos p.l
~" 1 auditor evala los control<" int,m" dtl ,i,tt>ma y decide si debe proceder con pasos alternativas.
Durante la aud.itoa en mformatica d<bcn tomarse muchas decisiones difi
o k"> Cada evaluacin sobre la confianza de lo> >bh!ma> de control in temo l't'
quire de evaluaciones complejas re.1luadas en forma conjunta con las e\iden''" obtenidas.

FASES
DE LA AUOITOfliA

-~-38
CAPITULO 2
PLANEACIN
OE LA AUOITORIA
EN INFORMATICA

EvALUACiN DE LOS SISTEMAS


DE ACUERDO AL RIESGO
Una de las formas de evaluar la importancia que pu ede tener par~ la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea
utilizado adecuadam('ntt', la prdida de la informacin o bien el que -.ea usado
por personal ajeno a la orgaiLlcin. Para evaluar el riesgo de un sistema con
mayor detalle va'>C ('] apartado "Plan de contingencia y pr()C('(jimientos de
respaldo para casos de d~tre", en el captulo 6.
Algunos sistemas de aplicacionc:> son de ms alto riesgo que om, dt-b1do a
que:

Ejemplo

Son susceptibles a diferentes tipos de prdida econmica.


Fraudes y desfalcos entre los cuales est n los sistemas financieros.

El auditor debe de poner L'Special a tencin a aquellos sistemas que requieran de un adecuado control financie ro.

Ejemplo

Flujo de caja, inversiones cuentas por pagar y cobrar, nm1na.

Ejemplo

Una falla en el procesamento de la nm111a puede tener como consecuencsa


el que se tenga una huelga.

Ejemplo

Interfieren con otr~ >blcmas, y los errores generados permean a otros sistemas.
Potencialmente, alto riL>sgo debido a daos en la competencia. Algunos sistemas le dan a la orgamz.tcin un nivel competitivo muy alto dentro de un
me rcado.
Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales
son tas mayores fuentes de recursos de la organizacin. Otros a travs de los
cuales su prdida puede destruir la imagen de la organizacin.

Las faUas pueden impactar grandemente a la organizacin.

Ejemplo

Sistemas de tecnologa de punta o avanzada. Si los ~istemas utiliLan tecnologa avanzada o de punta.
Sistemas de bases de datos, sistemas dstnbuidos o de comunicacl6n, teooologa sobre la cual la OfV81\IZ3cin tenga muy poca expenencsa o respaldo. la
cual es ms probable que sea una fuente de problemas de control.

Sistemas de alto costo. Si~temas que son muy costosos de dt'Silrrollar, '"'
cuales son frecuentemente sistemas complejos que pueden pre:<entar muchos p roblemas de control.

INVE
Es n~
quer
rpid
msmc

La 1n
troJ gcrer
troles ger
prcticas
de la inst.
los contrr
dos sobre
aplicacior

Sede\
mento po
documenl
p rograma
Sede~

dentro de
ria y la fec
En el e
cin prdin
pos de en
nar se deb
reas, ba.J
Admini$lr,
departam
dedocume
La efici
objetivos e
adapta a lo
Est,t ad
usuarios d
dirlccin v
dicho s~Sten
cutivos y u~
Asimisr.1

que el pen.t
dos que <;e e
troJ. nrcam

'Thc Sp

INVESTIGACIN PRELIMINAR
;.mizano sea
usado
na con
tos de
.,ido a

equic-

JS sislS sis-

deun

lS
lS

ecno-

E.< ne<..,.no iniciar el traba,o d~ obtencin dt> dato. con un contacto preliminar
que J"'nnota una pnmt>ra odea giOO..I El ~o dt> este primer contacto es percibir
rpidamente las "'tructuras fundamentales y di!erencias principales entre el orgaru ..mo a audltar y otras org.ltULloone que se hayan in\estigado. 1

L.1 investigacin preliminar debe incorporar fases de evaluacin del control gerencial y del control de las aplicaciones. Durante la revisin de los controles gerenciales e l audotor debe entender a la organizacin y las polticas y
prcticas gerenciales usadas en cada uno de los niveles, dentro de la jerarqua
de la instalacin en que se encuentran las computadoras. Durante la revisin de
los <Xlntroles de las aplicacione~, el auditor deb<: enten der los controles ejercidos sobre e l mayor tipo de transacciones que fluyen a travs de los sistemas de
aplicaciones ms significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin pMa obtener una visin general del departamento por medio de observaciones, e ntre vistas preliminares y solicitudes de
documentos; la finalidad es d efinir el objeti vo y alca nce del estudio, as como el
programa deta llado de la investigacin.
Se deb<:r observM el estado general del depa rtamento o rea, s u situacin
dentro de la organincin, si exisle la informacin solicitada, si es o no necesaria y la fecha de ;u ltima actualiacin.
En el caso de la auditora en ilormtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La ilwestigacin preliminar se debe hacer solicitando y revisando la ilormacin de cada una de las
reas, basndose en los siguientt!>. puntos:

Admin istracin. Se r<'COpla la informacin para obtener una visin general del
departamento por medio de ob:icrvacioncs, entrevistas preliminares y solicitud
de documentO'> para poder definir el obetivo y alcances del departamento.
La eficiencia en el departamento de ilormtica slo se puede lograr si sus
objetivo, ~tn integrados con los de la mstitucin y si permanentemente se
adapta a los posibles cambios de stos.
Esta adaptacin tinicamente puede ser posible si los altos ejecutivos y los
usuanos de los 5istemas toman parte activa en las decisiones referentes a la
direccin y utili7acin de loo; sistemas de Iormacin, y si el responsable de
dicho sistema constantemente consulta y pide asesora y cooperacin a los ejecutivos y usuarios.

Asimismo el control de la direccin de informtica no es posible, a menos


que el personal responsable aplique la misma disciplina de trabajo y Los mtodos que se exigen normalmente a los usuarios. Podemos habla r de tener el control, nicamente cuando se contemplaron los objetivos, se estableci un presu-

)-

a
tr~

los

r mu'"Tht. Spno~ding Dar.,;er u( Ctlmputl'r Cnme... l'n 8J4sme.;s Wk. 20 de abril de 1981

40
CAPiTULO 2
PLANEACIN
OE LA AUOITORiA
EN INFORMTICA

puesto y se registraron correctamente los costos en el desarrollo de la aplicacin_ y cuando sta contempla el nivel de servicio en trminos de calidad y
tiempos mnimos de entrega de resultados de la operacin del computador.
El xito de la direccin de informtica dentro de una organizacin depende
finalmente de que todas las personas responsables adoptan una actitud positiva respecto a su trabajo y evalen constantemente la eficiencia en su propio
trabajo, as como el desarrollado en su rea, estableciendo metas y estndares
que incrementen su productividad.
La direccin de informtica, segn las diferentes reas de la organizacin,
es evaluada desde diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta
para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de
informtica es una funcin de servicio. Cada grupo de usuarios tiene su propia
expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y
normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios.
Los altos ejecutivos consideran a la direccin de informtica como una inversin importante, que tiene la funcin de participar activamente en el cumplimiento de los objetivos de la organizacin. Por eUo, esperan un mximo del
retomo de su inversin; esperan que los recursos destinados a la direccin de
informtica proporcionen un beneficio mximo a la organizacin y que sta
participe en la administracin eficiente y en la minimizacin de los costos mediante informacin que permita una adecuada toma de decisiones. Los directivos, con toda la razn, consideran que la organizacin cada da depende ms
del rea de uormtica y consecuentemente esperan que se deba administrar lo
ms eficiente y eficaz posible.
Esencialmente, la meta principal de los administradores de la direccin de
informtica es la misma que inspira cualquier departamento de servicio: combinar un servicio adecuado con una operacin econmica.
El problema estriba en balancear el nivel de servicio a los usuarios, que
siempre puede ser incrementado a costa de un incremento del factor econmico
o \'iceversa.
Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
A nivel organizacin total:

Objetivos a corto y largo plazos.


Manual de la organizacin.
Antecedentes o historia del organismo.
Polticas generales.

Proc
Pres1
Recu

Solic

local.
prog:
Es tu<
Fech1
Conb
Cont1
Conv

Con6
Confi
locali.
Plane
Ubica
Polti<
Polti<
Poltic
extem
Sisterr

Descri
larse, e
Manu~

Manw

Descri
Diagra
Fecha
Proyec
Bases<
Proced
Sistem.

En el rr
cin, deben

A rvel del rea de informtica:

Se solic
o
o

Requerimientos
de una auditarla

Objetivos a corto y largo plazos.


Manual de organizacin del rea que incluya puestos, funciones, niveles
jerrquicos y tramos de mando.
Manual de polticas, reglamentos internos y lineamientos generales.
Nmero de personas y puestos en el rea.

No
No

Se tiene
o
o

No
Es i

la aplicacalidad y
utador.
1depende
ud positisu propio
stndares
lllizacin,
rramienta

-eccin de
su propia
mismo y
usuarios.
10 una innel cumxmo del
eccin de
que sta
~stos

me-

Procedimientos administrativos dl'l .>ro.>a .


Presupuestos y costos del rea.

PRELIMINAR

Ro.>cursos materiales y tcnicos:


Solicitar documentos sobre los equipos, as como el nmero de l'llos, MI
localizacin y sus caractersticas (de los equipos instalados, por instalar y
programados).
E.~tudios de viabilidad.
Fechas de instalacin de los equipos y planes dl' instalacin.
Contratos vigentes de compra, n.>nta y <.ervic10 de mantenimiento.
Contratos de seguros.
Convenios que se tienen ron otras mstalaoon~-,.
Configuracin de los equipos y capacidad~ actuales y mximas.
Configuracin de equipos de romuntcacin (redes internas y externas) y
Joc.1lizacin de Jos equipos.
Pl.1ncs de expansin.
Ub1cacin general de los equp<.
Politicas de operacin.
Polticas de uso de los equipos.
Polticas de seguridad fsica y prevencin contra contingencias internas y

lS directi-

externas.

ende ms

Sistemas:

nistrar lo
eccin de

cio: comrios, que


:onmico

solicitar:

0.,-.cnpcin general de lo- sistemas in~talados y de los que estn por in~ta
lan.e, que contengan volmenes di' informacin.
\lanual de formas.
Manual de procedimientos de lo, sistemas.
[k,.cripcin genrica.
()agramas de entrada, archi\'OS, 'Mllida.
F~ocha de instalacin de los si;tcmas.
Proyecto de instalacin de nuevos sstcmilS.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sbtcmas propios, rentados y adquiridos.

En el momento de hacer la planeacin de la auditora o bien en su realizacin, debemos evaluar que pueden pri'SI'ntan;c las siguientes situaciones.

Se solicita la informacin y se VI' que:


No se tiene y se necesita.
'lo se tiene y no se nC<.'CSita

, nil eles

INVESTIGACION

Se tiene la informacin pero:


o
o

:-lo se usa.
Es incompleta.

42

o
CAPfruLO 2
PLANEACIN
DE LA AUDITORfA
EN INFORMTICA

Uso
de infonnacin

No est actualizada.
No es la adecuada.
Se usa_ est actualizada, es la adecuada y est completa.

En el caso de que no se disponga d e la informacin y se considere que no se


necesita, se debe eva luar la causa por la q ue no es necesaria, ya que se puede
estar solicitando un tipo de informacin que debid o a las caractersticas del
organismo no se requiera. Eso nos dar un parmetro muy importante para
hacer una adecuada planeacin de la audito ra.
En el caso de que no se tenga la informacin pero que sea necesaria, se debe
recomendar q ue se elabore de acuerdo con las necesidades y con el uso que se le
va a dar.
En el caso de que se tenga la informacin pero que no se utilice, se debe
analizar por qu no se usa. El motivo p uede ser que est incompleta, que no est
actualizada, que no sea la adecuada_ etc. Hay que analizar y definir las causas
para seala r alterna tivas de solucin, lo q ue nos lleva a la utilizacin de la informacin.
En caso de que se tenga la informacin, se debe analizar si se usa, si est
actualizada, si es la adecuada y si est completa; de ser as, se considerar dentro de las conclusiones d e la evaluacin, ya que como se d ijo la aud itora no slo
debe considerar errores, sino tambin sealar los aciertos.
Antes de conclu ir esta etapa no se olvide que el xito del anlisis critico
depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la


informacin sin ftmd arnento). Investigar las causas, no los efectos.
Ate nder razones, no excusas.
No confiar en la memoria, pregunta r constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

En prime~
zacin, que dE
la auditora,
las reuniones
ste es UD
di rcccin, ni
una o varias

cin en el mo
Tambin s
en el moment
de comproba
do, y complen
slo el punto
del sistema.
Paracomp
de la auditora

Tcnico e
Conocimie
ExperiencH
Experienci
Conocimiet
Conocimi
caciones, d

Conocimiet

caso1

En el
mientes y expe1
caciones, etct<.>
Lo anterior

PeRSONAL PARTICIPANTE
Una de las partes ms importantes e n la pla neacin de la aud itora en informtica es el personal que deber participar.
En este pu nto no veremos el n mero d e personas q ue debern participar,
ya que esto depende de las dimensiones d e la organizacin, de los sistemas y de
los equipos; lo que se deber considerar son las ca ractersticas del personal que
habr de participar en la a uditora.
Uno de los esquemas generalmente aceptados para tener un adecuado control es q ue el personal q ue intervenga est debidamente capacitado, que tenga
un alto sentido d e moralidad, al cual se le exija la o ptimizacin de recursos
(eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocinentos, la prctica p rofesional y la capacitacin que debe tener el personal que intervendr en la auditoria.

y experiencias !
con las caracte
Una vez pla
bilidad de pre
de auditores ext
La carta con
su confirmaci"
auditora, las lin
dad y los inforrr

Una vez que


do en la figura 2.
Este formato de
cuado control d i
de formulacin, 1
dad, el nmero <
mutacin, el nf1

En primer lugar, debemos pensar que hay personal asignado por la organiz~on, que deba tener el suficiente nivel para poder coordinar el desarrollo de

la aud1toria, proporcionamos toda la inforrnacin que se solicite y programar


! nOse

ouede
del

!S

~para

!debe
ese le
debe

oest
ausas
la ini est
den)S)o

rtico

ni la

!dOS.

1rm:ipar,
.y de
lque
ron-

enga
lr.;()S

rofeora.

43
PERSONAL
PARTICIPANTE

la> reuniones y entrevistas requeridas.


~ste es un punto muy importante ya que, de no tener e l apoyo de la a lta
direccin, ni contar con un grupo mu ltidisciplinorio e n d cual estn presentes
una o varias personas del rea a auditar, ser casi imposible obtener inforrnaaon en el momento y con las caractersticas deseadas.
Tambuin se debe contar con personas a;ignadas por los usuarios para que
e1 el momento que se solicite inforrnacin, o bien se efecte alguna entrevista
de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, 1 ((Implementen el grupo multidisciplinario, ya que debemos analizar no
slo el punto de vista de la direccin de inforrntica, smo tambin el del usuario
Jet "stema.
Para complementar el grupo, como colaboradotl-s directos en la realizacin
de la auditora. se deben tener personas con las siguientes caractersticas:

Tcnico en informtica.
Conociffilentos de administracin, contadura y finanzas.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis d( s is temas.
Conocimientos y experiencia en psicologfa induotrial.
Conocimiento de los sistemas operativo~, baS('S de datos, redes y comunicaCiones, dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas ms 1mportantes.

Carac:terfslic:as

del personal

En el caso de sistemas complejos se deber contar con personal con conociuurntos y experiencia en reas especifica'> como bao,e de datos, redes, comunicaoo~~ e-tctera.
lo anterior no significa que una ~la persona deba tener los conocimientos
y tx]X'rienaas sealadas, pero s que deben intervenir una o varias personas
con lao caractersticas apuntadas
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibdidad de presentar la carta -convenio de servicios profesionales (en el caso
de auditores externos}- y el plan de trabajo.
La carta convenio es un compromiso que e l auditor dirige a su cliente para
su confirmacin de aceptacin. En ella se ('Sp<.ocifican el obj~tivo y alcance de la
auditora, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y loo informes que se han de entregar.
na nz que se ha hecho la planeaein, se puede utilizar el formato sealado<'ll la figura 2.1, el cual servir para resumir el plan de trabajo de la auditora.
Ete forrnato de programa de auditora no:. servir.i de base para llevar un adenudu ctmtrol del desarrollo de la misma. En l figuran el organismo, la fecha
<k formulacin. las fases y subfases que comprenden la descripcin de la acti\' idJ.l, el nmero de personas participantes. las fechas estimadas de inicio y tcrmmacln, el nmero de das haoiles y el nmero de das-hombre estimados.

Programa
de auditora

44

El control del avance de la auditorio lo podemos llevar m~diante el form>


CAPITuLO 2

PlAHEACION
DE LA UOrTOOI
EN INFORMTIC

de la figura 2.2. el cual nos permite cumplir con los procedimientos de control
ase;uramo-. que el trabajo<;(' est Jle,ando a cabo de acuerdo con el program.
de auditora, con 10!. ~cursos estimados yen el tiempo~>ealado en la planeaci6n.

El hecho de contar con la informacin del avance permite que el trab


elaborado pueda ser revisado por cualquiera de nuestros asistentes.
Como ejemplo de propu~-sta de auditorfa en informtica, vase la figura ~
y como ejemplo de contrato de auditora en informtica consltese la figura 24
Flgur11 2.

el formato

45

e control y

PERSOt4Al
PARTICIPANTE

programa
laneacin.
trabajo

rl

1 figura

2.3,

figura 2.4.

Agura 2.1. Programa de audltorla en Informtica

OACN."'SMO

HOJA MJIL;

DE

FECHA DE F<:JRtA~LACION

FA&l

DESCRIPCt()N

- --

ACTIVIDAD

-- --

NM. DEL
PERSONAL
PARTICIPANTE

PERIODO FSTIMADO
I~ICIO

TtA..,.INO

OlAS

olAs

HAO

HO..

EST

EST

46
CAPITULO 2
PLANEACIN
OE LA AUDITOA[A
EN INFORMTICA

Figura 2.2. Avance del cumplimiento del programa de auditora en Informtica

ORGANISMO

--

NM.

1.

OE - - -

HOJA NUf\L

PEfUOOO OUE REPORTA

SITUACIN DE LA AUOITOAIA

PERkXIO REAl DE lA AVDITORtA

FASE

NO INICIADA EN PROCESC TERM NADA

INtCIAOA

TERIIINAOA

OlAS

GRADO

olAs

REALES

OE

H<)M.

UTIUZA AVAN

oos

CE

BRE
EST

EXPLICAOH OE LAS VA.RI~

NES EN RElACIN CON' LO

PAOOIWAAOO

2.

3
11

1!
1'

jemplo de propuesta de servicios de auditarla en Informtica

:DENTES

ntecedentes especficos del proyecto de auditora.)

fOS DE LA AUDITORA EN INFORMTICA


jetivo especfico de la auditora.)

:es DEL PROYECTO


!l proyecto comprende:
n de la direccin de informtica en lo que corresponde a:
ganizacin.
iones.
tivos.
ctura.
rsos humanos.
1as y polticas .
.citacin.
!S de trabajo.
oles.
1dares.
iciones de trabajo.
cin presupuesta! y financiera.
m de los sistemas:
18Cin de los dilerentes sistemas en operacin (flujo, procedos, documentacin, organizacin de archivos, estndares de
amacin, controles, utilizacin de los sistemas, opiniones de
;u arios).
acin de avances de los sistemas en desarrollo y congruencia
1diseo general, control de proyectos, modularidad de los siste-

Anlisis de la segundad lgiCa y confidencialidad.


Evaluacin de los proyectos en desarrollo, prioridades y personal
as1gnado.
Evaluacin de la partJc1pac1n de auditora interna.
Evaluacin de controles .
Evaluac1n de las liCencias. la obtencin de derechos de autor y de
la confidenc1ahdad de la mfomnac1n.
Entrevistas con usuanos de los sistemas.
Evaluacin directa de la mfomnacin obtemda contra las necesida
des y requenm1entos de los usuanos.
Anlisis objetivo de la estructuracin y flujo de los programas .
Anhsis y evaluacin de la infomnacin compilada.
Elaboracin de infomne.

Para la evaluacin de los equipos se llevarn a cabo las siguientes acti


vidades:

oonti

o las

ones,

yen

Solicitud de los estudios de viabilidad, costo/beneficio y caractersti


cas de los equipos actuales, proyectos sobre adquisicin o amplia
cin de equipo y su actualizacin.
Solicitud de contratos de compra o renta de los equipos.
Solicilud de contratos de mantenimiento de los equipos .
Solicitud de contratos y convenios de respaldo.
Solicitud de contratos de seguros.
Bitcoras de los equipos.
Elaboracin de un cuestionarlo sobre la utilizacin de equipos, archi
vos, unidades de entrada/salida, equipos perifricos, y su seguridad.
Vis1ta a las 1nstalac1ones y a los lugares de almacenamiento de archivos magnticos .
Vis1ta tcnica de comprobac1n de segundad fsica y lgica de las
Instalaciones.
Evaluacin tcn1ca del s1stema elctrico y ambiental de los equipos,
del local utilizado y en general de las instalaciones.
Evaluacin de los SIStemas de seguridad de acceso.
Evaluacin de la 1nlomnacin recopilada, obtencin de grficas, por
centaes de utll1.2:acin de los equipos y su justificacin.
Elaboracin de 1nfomne.

4. Elaborac1n del infomne final, presentacin y discusin del mismo, y pre


sentac16n de conclusiones y recomendaciones.

V. TlEMPO Y COSTO
(Poner el tiempo en que se realizar et proyecto, de preferencia indicando el
bempo de cada una de las etapas: el costo del mismo, que incluya el perso
nal participanle en la aud1tora y sus caractersticas, y la forma de pago.)

49 _ _..J
PERSONAl.
PAATlCIPNITE

50

Segund~

Figura 2.4. Ejemplo de contrato de audltorfa en Informtica

El alcanc
contrato

CA PITULO 2

PLANEACOON
DE LA AUDITORIA

EN ONFORMATICA

Contrato de prestacin de servocios profesionales de auditarla en informtica


que celebran por una parte
. representado por _ _
en su carcter de
y que en lo sucesovo se denominar "el chente", por otra parte
,
representada por _ _
a
quien se denominar "el auditor", de conformidad con las declaraciones y
clusulas siguientes:

B) Eva

l.

a) Queesuna
b) Que est representado para este acto por
y que tiene como su domicilio

d
p

o
~
e
S

b)

e) Que requiere obtener servicios de auditora en informtica, por lo


q ue ha decidido contratar los servicios del auditor.

Ir

11. Declara el auditor:


a)

El cliente declara:

DECLARACIONES

Que es una socoedad annima, constituida y existente de acuerdo


con las leyes y que dentro de sus objetivos primordiales est el de
prestar auditora en onforrntica

te

b) Que est constituida legalmente segn escrilura nmero


de
fecha _ _
anle el notario pblico nm.
del
Lic.
e) Que seala como su domicilio _ _ __

S!

a) Que habiendo llegado a un acuerdo sobre lo anles mencionado, lo


formalizan otorgando el presente contrato que se contiene en las
siguientes:
CLUSULAS
Primera. Objeto
El auditor se obliga a preslar al cliente los servicios de auditarla en inform
toca para llevar a cabo la evaluacon de la direccin de onformtica del cliente.
que se detallan en la propuesta de servicios anexa que, formada por las par
tes, forma parte integrante del contrato.

101

e)

111. Declaran ambas partes:

E
P<

Evaluc

A~
Ci
Ut
Es
e~

Nu
A Ir
Co
Re
Eq
Re

nabca

Segunda. Alcance del trabajo


8 alcance de los trabajos que llevar a cabo el aud1tor 1ntemo dentro de este
contrato son

a) Evaluaciones de la direccin de inlormtca en lo que corresponde a:


[SUC8

a
lleSY

por lo

b) Evaluacin de los sistemas

oordo
el de

de
nm.

Su organizacin .
Funciones.
Estnuctura
Cumphm1ento de los obretiVOS
Recursos humanos
Normas y polticas .
Capacitacin .
Planes de trabajo .
Controles .
Estndares .
CondiCiones de trabaJO .
S1tuacin presupuestar y financiera .

Evaluacin de los diferentes sistemas en operacin (flujo, proced


mientos. documentacin, organizacin de archivos, estndares de
programacin, controles. Ulllizaein de los SIStemas).
Op1mones de los usuanos
EvaluaCin de avances de los sistemas en desarrollo y congrueooa
con el d1seo general. control de proyectos. modularidad de tos SIS
temas.
Evaluacin de prioridades y recursos asignados (humanos y equlpos de cmputo).
Seguridad lgica de los sistemas, confidencialidad y respaldos .
Derechos de autor y secretos Industriales. de los Sistemas propios y
los utflzados por la orgamzacin.
Evaluacin de las bases de datos.

e) Evaluacin de los equipos:


o, lo
en las

~rmlente,
par-

Adquisicin, estudios de viabilidad y costo-beneficio .


Capac1dades .
U!lhzac16n.
Estandarizacin .
Controles .
Nuevos proyectos de adqUISICin .
Almacenamiento .
Comunicacin .
Redes .
Equipos adicionales .
Respaldos de equipos .

51
PERSONAL
PARTICIPANTE

52

CAPTULO 2
PLANEACIN
DE LA AUDITORIA

Contratos de compra, renta o renta con opcin a compra.


Planes y proyecciones de adquisicin de nuevos equipos.
Mantenimientos.

EN INFOAMTICA

d)

Evaluacin de la seguridad:

Seguridad lgica y confidencialidad.


Seguridad en el personal.
Seguridad fsica.
Seguridad contra virus.
Seguros.
Seguridad en la utilizacin de los equipos.
Seguridad en la restauracin de los equipos y de los sistemas.
Plan de contingencia y procedimientos en caso de desastre.

e) Elaboracin de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos sealados en los incisos a, b, e, d de
esta clusula.
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisin las actividades a reali
zar por cada una de las partes, los responsables de llevarlas a cabo y las
fechas de realizacin.

Octava. 1
El person
queda ex
que el au
pecto al p
se derive
cualquier
Novena.!
El auditor
de este co
se firnne ~
estimado 1
dad con q1
cumplimieJ
por las pat
del cliente
cual deber
el program
Dcima. H
El cliente p

Cuarta. Supervisin
El cliente o quien designe tendr derecho a supervisar los trabajos que se le
han encomendado al auditor dentro de este contrato y a dar por escrito las
instrucciones que estime convenientes.
Quinta. Coordinacin de los trabajos
El cliente designar por parte de la organizacin a un coordinador del proyecto, quien ser el responsable de coordinar la recopilacin de la informa
cin que solicite el auditor, y de que las reuniones y entrevistas establecidas
en el programa de trabajo se lleven a cabo en las fechas establecidas.
Sexta. Horario de trabajo
El personal del auditor dedicar el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este contrato, de acuer
do al programa de trabajo convenido por ambas partes, y gozar de libertad
fuera del tiempo destinado al cumplimiento de las actividades, por lo que no
estar sujeto a horarios y jornadas determinadas.
Sptima. Personal asignado
El auditor designar para el desarrollo de los trabajos objeto de este contrato
a socios del despacho, quienes. cuando consideren necesario, incorporarn
personal tcnico capacitado de que dispone la firnna, en el nmero que se
requieran y de acuerdo a los trabajos a realizar.

inf
Undcima.
El importe!
dos, hono,
auditora, p
Duodcim
En caso de
cin, demor
table al clie
so y se se!
Decimoterc
De ser nec~
contrato, la~

Octava. Relacin laboral


El personal del auditor no tendr ninguna relacin laboral con el cliente y
queda expresamente estipulado que este contrato se suscribe en atencin a
que el auditor en ningn momento se considera Intermediario del cliente res
pecio al personal que ocupe para dar cumplimiento de las obligaciones que
se deriven de las retacoones entre l y su personal, y que exime al cliente de
cualquier responsabilidad que a este respecto exostiere.

:laao dde

ograreali
y las

se te
lo las

Novena. Plazo de trabajo


El auditor se obliga a terminar los trabajos seflatados en la clusula segunda
de este contrato en
d as hbiles despus de la fecha en que
se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo
estimado para la terminacin de los trabajos est con relacin a la oportuni
dad oon que el cliente entregue los documentos requeridos por el auditor y al
cumplimiento de las fechas estipuladas en el programa de trabajo aprobado
por las partes, por lo que cualquier retraso ocasiOnado por parte del personal
del cliente o de usuarios de tos sistemas repercutir en el plazo estipulado, el
cual deber incrementarse de acuerdo a las nuevas fechas establecidas en
el programa de trabajo, sin perjuicio alguno para el auditor.
Dcima. Honorarios
El cliente pagar al auditor por tos trabajos objeto del presente contrato, ho
norarios por la cantidad de
ms
el impuesto al valor agregado correspondiente. La forma de pago ser la
sogUiente:

a)
b)

% a la firma del contrato.


% a los
__ das hbiles despus de iniciados los
trabajos.

e)
proorma:idas

liC!o-

::uer
311ad
e no

trato

arn

ese

% a la terminacin de los trabajos y presentacin del


informe final.

Undcima. Alcance de tos honorarios


El importe sealado en la clusula dcima compensar al auditor por sueldos, honorarios, organizacin y direccin tcnica propia de los servicios de
auditora, prestaciones sociales y laborales de su personal.
Duodcima. Incremento de honorarios
En caso de que se tenga un retraso debido a la falla de entrega de informa
cin, demora o cancelacin de las reuniones, o cualquier otra causa impu
tabte al c liente, este contrato se incrementar en forma proporcional al retra
so y se sealar el incremento de comn acuerdo.
Decimotercera. Trabajos adicionales
De ser necesaria alguna adicin a los alcances o productos del presente
contrato, las partes celebrarn por separado un convenio que formar parte

53
PERSONAL
PARTICIPANT E

54
CAPITuLO 2
PLANEACIN
DE LA AUDIT OR lA
EN INFOAMATICA

integrante de este instrumento y en forma conjunta se acordar el nuevo


costo.
Decimocuarta. VIticos y pasajes
El importe de los viticos y pasajes en que incurra el auditor en el traslado,
hospedaje y alimentacin que requieran durante su permanencia en la ciu
dad de
, como oon
secuencia de los trabajos objeto de este contrato, ser por cuenta del cliente
Decimoquinta. Gastos generales
Los gastos de fotocopiado y dbu10 que se produzcan con motovo de este
contrato corrern por cuenta del cloente
Decimosexta. Causas de rescisin
Sern causa de resc1sin del presente contrato la violacin o 1ncumphmoento
de cualquiera de las clusulas de este contrato.
Decimosptima. Jurisdiccin
Todo lo no prev1sto en este contrato se regir por las disposiciones relativas,
contenidas en el Cdigo Civil del
y, en caso de contro
versia para su interpretacin y cumplimiento, las partes se someten a la juns
diccin de los tribunales federales. renunciando al fuero que les pueda co
rresponder en razn de su domicilio presente o futuro.
Enteradas las partes del contenodo y alcance legal de este contrato. lo
rubncan y firman de conform1dad. en original y tres copias. en la ciudad de
eldla

EL CLIENTE

EL AUDITOR

OeJ
Al finaliza

CAPTULO

Auditora
de la funcin
de informtica

OBJETIVOS
Al finalizar este capitulo, usted:

1. Explicar la Importancia de la recoleccin de informacon sobre la organizacin que se va a aud1tar.


2. Describir los pasos a seguir para realizar una adecuada evaluacin de la
estructura orgnica de la organizacin a auditar.
3. Definir los elementos a tomar en cuenta en la evaluacin del personal de
una organizaCin.
4. Manejar una gua para entrevistar adecuadamente al personal de informtica.
5. Conocer la importancia de evaluar los recursos financieros y materiales de
una organizacin.

56
CAPiTuLO 3
AU04TORIA DE
LA Fuo.coOif DE
INI'OAMTlCA

RecoPILACiN DE LA INFORMACiN

ORGANIZACIONAL

Una ve7 elaborada la planeacin de la auditora, la cual servir como plan


mae~tro de lo~ tiempos, costos y prioridades, y como medio de control de la
auditarla, se debe empezar la recoleccin de la informacin. Para ello se proceder.l a efectuar la revisin sistematizada del rea, a travs de los siguiente.
elementos:

F
E

e
e

Jerarquas (definicin de la autoridad lineal, funcional y de asesorta).


Estructura orgnica.
Funciones .
Objetivos .

8) Se deber revisar la situacin de los recursos humanos.


C) Entrevistas con e l personal de procesos electrnicos:

Jefatura .
AnJiisis.
Programadores .
Operadores .
Personal de bases de datos.
Personal de comunicacin y redes.
Per<onal de mantenimiento.
Personal administrativo.
Responsable de comunicaciones .
Responsable de Internet e Intranet.
Responsable de redes locales o nacionales.
Responsable de sala de usuarios.
Responsable de capacitacin.

D) Se deber conocer la situacin en cuanto a:

P~upuesto.
Recursos financieros .
Recursos materiales.
Mobiliario y equipo .
Costos.

E) Se har un levantamiento del censo de recursos humanos y anlisis de situadn en cuanto a:

lt
p

,.

A) Revisin de la estructura orgnica:

"..

F)

Por'
admlt

N
PI

c.

F.s
Pr

lA

s
m

<;,

s
s
s.

da
Sil

tl~

s..
qu.
Si
Si t
Sts

Sd

SI!

cor
Sis
Sis

Nmero de personas y distribucin por rt'as.


[nomin,lcin de puestos y personal d<' ron fianza y de base (sindica liza
do v no 'indicalizado).
S.1lario y ronormadn del mismo (prest.1dones y adiciones).
Movimientos salariales.
C.1p.1dtacin (actual y programa de capacitacin).

Con(')cimientos.

E-colaridad.
hpencnoa profesional.
'.nhguedad (en la organizacin. en el put-.to 1' t'n puestos sinulares
fuera de la organizacin).
H.-tonal de trabajo.
fndore de rotacin del personal.
Programa de capacitacin (vigente y capaotacon otorg.lda en el <ltimo .1no).

a
)o

'S

F) Por ultomt>, se deber revisar el grado de cumplomoento de los documentos


Jdm.nistriltivos:

Organizacin.
N<Jrma'> y polticas.
Plan"' de trabao.
Controle'
E.'t.indarcs.
l'rOC<.>dimitntos.
1..1 informacin nos sernr para detcrmonar

So la.' responsabilidades en la org.m"aon t>st.m defirudas adecuada-

S1 lil ~Mructu ra organizaciona1 est,l ac.h.cul~U,l J 1,1s necesidades.


So t'l control organizacional es el adecuado.
So '" tienen los objetivos y poltic," adtcuad,l'>, >i "' cnetoentran vigente;, y si estn bien deHnidas.
Si xish.' la documentacin de las actividade,, funciones y responsabili
d.ldE!b.
Si los puestos se encuentran definido'> y <,talada"us responsabilidades.
Si el an,lisis y descripcin de pue-tos cst.i de acuerdo ron el personal
que lo' ocupa.
e;, "'cumplen los lineamiento, organi>acitmale-.
So d ruwl de salarios est de acuerdo con d mercado de trabajo.
e;, "'tiene un programa de capacitacin adl'l'Uado y 'i se cumple ron l.
Si los planes de trabajo concuerdan ron los obclovos de la empres.1.
S1 "-4_) cuc-nta con los recurSO!!t humano"t nt..'tt_l~o~.lrios que garanticen la
continuidad de la operacin o si se cucnt.l con lo:, "indispensables".
S ~o,(' ~v,1lan los planes y se dctcrmanan la' dt.'!-.Vl.lClOnes.
So "'cumple con los procedimiento' y controlE!'> admtnistrativos.

m~nt(".

57
RECOPILACION OE
LA INFOf!W.CION
ORGANilACIONAL

58
C4PfTULO 3

AUOITOAfA OE
lA FUNCION DE
INFORMTICA

Funciones
de la gerencia

la organizacin df.'be estar l"'lructurada de tal forma que permita lograr


eficiente y eficazmente los objetivos, y que esto se logre a travs de una adecuada toma de decisiones.
Una forma de evaluar la form.1 en que la gerencia de informtica se est
desempeando I'S median te la !'valuacin de las funciones que la alta gerencia
debe rea liza r:

Planeacin. Determinar los objetivos del rea y la forma en que ;e van a


lograr estos objetivos.
O~cin. Pron-er de las facilidades, estructura, divisin del trabaJO,
responsabilidades, act1v1dades de grupo y personal necesario para realizar
las metas.
Recursos humanos. Selcooonando, capacitando y entrenando al personal
requerido para realizur las metas.
Direccin. Coord1nando las actividades, proveyendo lidcraLgo y gua, y
motivando al personal.
Control. Comparando lo real contra lo planeado, como base para real1zar
los ajustes necesarios.

PRINCIPALES PLANES
QUE SE REQUIEREN
DENTRO DE LA ORGANIZACIN
DE INFORMTICA

El o
(Ene
Cu
Cu
Sed
o biea
que So
Sed
cuaci(
Sed(
Sed(
creme
Qut!
Qu
Cu.~

Culo
Cul
Cul
Culo
Cul

Despu
cificac1one
a sesores, r
ycomogu

Planeacic
modifica<
Estudio de viabilidad
Investiga Jos costos y beneficios de los usos a largo plazo de las computadoras,
y recomienda cundo dl'be o no usarse. En caso de requerirse el uso de,, compu
!acin, sirve para definir el tipo de hardware, el software y e l equipo perifrico
y de comunicacin ncct'Sarios para lograr los objetivos de la organi~acin.
El estudio de viabilidad consiste en la evaluacin para determinar, primero, si la computadora puede resolver o mejorar un determinado prOCL'<iu:nienlo,
y, segundo, cul es la m,jor alternativa. Para lograr esto se deben de contL><;Iar
una serie de pregunta~. entre la~ cuales estn las siguiente-;:

la computadora r(";()lvcrJ o mejorar los procedimientos, funciones o ac


tividades que se rcali.tan?
La computadora mcjorarJ la informacin para lograr una adecuada toma
de decisiones?

Especifica l.
ymodificac
do la organ
hardware, (
Alguna

Espccif
pcrfn
Evaluac
Planeac
Prueba<
Envo e
Particip
Diseo o

nta lograr

na adecua-

lea se est
a gerencia

e se van a

el trabajo,
ra reai.Uar
1personal
y gua, y

ra realizar

El costo de la infonn.itica proporcionar una adecuada tasa de retomo?


(En este caso, uno de los mayores problemas es el de evaluar Jos intangibles.)

,Cul es elJ"'nodo di' recuperacin de la imersin?


,Cul es la relacin costo-beneficio que se obtendr?
Se debe d.,.,rrollar un nuevo s~tema o adquirir una nueva computadora.
o b1en hacer cambiOS al &~stema actual o actualizar el sistema de cmputo
que se tiene?
Se debe comprar o elaborar mtemamente los nuevos sistemas o las adecuaciones?
Se deben comprar Jos equ1po>, rentar o rentar ron opcin a compra?
Se delx>n hacer cambos estructurales en la organizacin para lograr el incremento en las capacidades de proa.>samiento?
Qu pnorid,ld tiene el proyecto y para cundo debe ser realizado?
Qu caracteri~ticas tiene el sistema actual?
Cules son las ,ireas potenciales en que se usar el nuevo sistema?
Cules son las fortale,as y debilidades del sistema actual?
Cules son los recursos adicionales que se requerirn?
Cul es el impacto a informtica a largo plazo?
Cules son las restricciones que se deben considerar?
Cul es el proyecto (PERT) que se tiene para su implementacin?
Despus de contestar estas preguntas, se debe elabora r un manual de especificaciones para ser distribuido al personal de informtica, a los vendedores o
asesores, para que les ~ltva de base para la contrataci11, elaboracin o compra,
l' como gua de referencia y control del proyecto.

Planeacln de cambios,
modificaciones y actualizacin
01tadora>,
Jacompuperilriro
>Cin.
lt, prime-

Espeafica las metas y actividades que se deben realizar para lograr los cambi~
y modificacioneo;, su indeJ"'ndencia, tiempos, responsables y restricciones, ruando la orgam1.acin toma la deci~in de hacer cambios sustanciales de software,
hardware, comuntcacin o eqwpo:> perifricos.
Algunas de la~ act1vidades tipcas en este plan son:

dimiento,
Es~cificacin

contestar

)nes o acada toma

completa de hardware, software, comunicacin, equipos


perifrico,.
Evaluacin y seleccin.
Planeacin fsica y preparacin del lugar.
Prueba~ finales de aceptacin.
Envo e instalacin .
Participacin del aud itor intemo y de los usuarios.
Diseo de 1.1 estructura organizadonal en caso de que se vea afectada.

59

60
CAPITULO 3
AUOITORfA OE
LA FUNCION OE
IN FORM TICA

Plan maestro
El p lan maestro o pla n cstr~tgico de una instalacin informtica define los
objetivos a la rgo pJao y las me tas necesarias para logra rlo.
Una de las p rincipaii'S obligaciones del rea de ge rencia en informtica es
la construccin d e ul\ p lal\ maestro. El plan maestro debe contener los objetivos, metas y actividades genera le~ a realizar d urante Jos siguielltcs ailos, incl uyendo los nuevos sistemas que se pretenden implementar. Puede comprellder
un periodo corto o largo, dependiel\do de las caractersticas y necesidades de la
organizacin, y de Jo cambiante de los sistemas. Una organiLacin consolidada
posiblemente requiera un plan maestro a ms largo plazo que una organincin
de reciente creacin.
El plan maestro puede comprender cuatro subplanes:
A) El p lan estratgico de organizacin. incluye los objetivos de la organizacin
a largo p lazo, el med io ambiente, los factores organizacionalcs que sern
afectados, as como sus priorid ades, el person al reqt crido, su actualizacin, d esarrollo y capacitacin.
B) El plan estratgico de sistemas de illformacin. Se debe elaboro , el plan

estratgico y Jos objetivos planteados a largo p lazo dentro de un plan estratgico de informacin, y las implicaciones que tendr dentro de la organizacin en general y en la organizacin de informtica.
C) El plan de requerimientos. Define la arquitectura necesaria para lograr los

objetivos planteados.
D) El plan de aplicaciones de sistemas de informacin. Define los sistemas de

Unpla'
gra r un det
cadas d entr

ldentif
ldentif
De tem
Detem
Dele m
Detern

Plan de!
continge
en caso
Una insta!.
razones: hr
mas d el ec
ocurre ncia

ni2acin. S
d eben lenE
d e recupcr
en cuentre~

topara la

aplicaciones que se desarrollarn, asociados con las prioridades y con el


periodo en que sern implantados:

Adquisicin o desarrollo de sistemas y su programa de trabajo.


Pla neacin de desarrollo y capacitacin de l personal llecesario, o bien
su contratacin.

Recursos financieros que se necesita rn.


Reque rimiento de (acilidades.
Requerimientos de cambios en la o rganizacin.

Plan de proyectos
Consiste en el plan bsico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organizacin
y con aquellos sealados en el plan maestro. Es importante que este p lan no
slo contemple los sistemas, sino tambin las prioridades y el momento en el
cual se desarrollarn los sistemas.

EvAL
Para logra
d e organi2

O rgan
Funcic
Objeti

Anli~

Manu;
Manu.
lnstru

Un plan de proyectos debe contener l,ls actividades bsicas para poder lograr un determinado proyecto. Las principale& tareas que deben estar especificadas dentro de un p lan de proyecto son:
1e

Jos

ica es

>bjetindu!'llder
de la
.dada
acin

Identificar las tareas a realizar.


Identificar las relaciones entre tareas.
Oo!terminar las restricciones de tiempo de cada tarea del proyecto.
0\,terminar los recursos necesarios para cada tarea.
0\,terminar cualquier otra restriccin que ..e tenga .
~terminar la secuencia de actividades.

acin
;ern

Plan de seguridad: seguros,


contingencias y recuperacin
en caso de siniestro

iliza-

plan
!Stragani~rlos

lSde

Una instalacin de informtica est expuesta a s ufrir un desastre po r muchas


razones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, probl<'mas del L'quipo. Se debe tener un plan que permita eliminar en lo posible la
ocurrencia de un desastre o de prdida por caus.1S m temas o externas a la organizacin. Se debe contar con una adecuada planeacin sobre los seguros que se
deb.:n tener en caso de que ocurra un desastre. Tambn se debe tener un plan
de rcruperacin para que en caso de que ocurra un desastre la instalacin se
enCUL'Iltre en funcionamiento en el menor tiempo p<>">ible y con el menor impacto para la organizacin.

on el

bien

EvALUACiN DE LA ESTRUCTURA ORGNICA


Para lograr la evaluacin de la estructura o rgnica se deber solicitar el manua l
de organizacin de la direccin. el cual deber comprender, como mnimo:

eguKin
n no

en el

Organigrama con jerarquas.


Funciones.
{)b<!tivos y polticas.
An.ilisJs, descripcin y evaluacin de pue:.tos.
Manual de procedimientos.
Manua 1de normas.
Instructivos de trabajo o guas de actividad.

61
EVALUACION DE
LA ESTRUCT\JAA
ORGNICA

Tambin se deben solicitar:

62
CAPfruLO 3

AUOITOAiA OE
LA FUNCIN DE
INFORMTICA

Objetivos de la direccin.
Polticas y normas de la direccin.
Planeacin.

El director de informtica y aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre estructura orgnica, funciones, objetivos y polfticas.
Bsicamente, el departamento de informtica puede estar dentro de a lguno
de estos tipos de dependencia:

Direccin
de informtica

A) Depende de alguna direccin o gerencia, la cual, normalmente, es la


d ireccin de finanzas. Esto se debe a que inicialmente informtica, o departamento de procesamiento electrnico de datos, nombre con que se le conoca,
procesaba p rincipalmente sistemas de tipo contable, financiero o administrativo; por ejemplo, la contabilidad, la nmina, ventas o facturacin.
El que informtica dependa del usuario principal, normalmente se presenta
en estructuras pequeas o bien que inician en e l rea de informtica. La ventaja
que tiene es q ue no se crea una estructura adicional para e l rea de informtica y
permite que el usuario p rincipal tenga un mayor control sobre sus sistemas.
La desventaja principal es q ue Jos otros usuarios son considerados como
secundarios y normalmente no se les da la importancia y prioridad requerida.
Otra desventaja es que, como la informacin es poder, a veces hace que un rea
tenga un mayor poder. Tambin, en ocasiones, sucede q ue el gerente o director
d el rea usuaria del cual depende informtica tiene muy poco conocimiento d e
uormtica; ello ocasiona que el jefe de informtica cree una isla dentro de la
gerencia y que acuerde directamente con otras gerencias usuarias, lo que da
lugar a problemas con las lfneas de autoridad. Este tipo de organizacin se usaba cuando comenz el rea de informtica, y en la actualidad slo es recomen d able para instalaciones muy pequeas.
B) La segunda posibi lidad es que la direccin de informtica dependa de la
gerencia general; esto puede ser en lfnea o bien en forma de asesora.
La ventaja de alguna de estas o rganizaciones es que el director de informtica podr tener wl nivel adecuado dentro de la organizacin, lo cual le permitir lograr una mejor comunicacin con los departamentos usuarios y, por lo
tanto, proporcionarles un mejor servicio y asignar las prioridades de acuerdo
con Jos lineamientos dados por la gerencia general.
La desventaja es que aumentan los niveles de la organizacin, lo que elevar e l costo de la utilizacin de los sistemas de cmputo.
C) La tercera posibilidad es para estructuras m uy grandes, en las que hay
bases de datos, redes o bien equipos en diferentes lugares.
En esta estructura se considera la administracin corporativa. La direccin
de informtica depende de la gerencia general, y existen departamentos de informtica dentro de las dems gerencias, las cuales reciben todas las normas,
polfticas, proced imientos y estnda res de la d ireccin de informtica, aunque
funcionalmente dependan de la gerencia a la cual estn adscritas. La direccin
de informtca es la responsable de las polticas, normatividad y controles.

Las n
perfectarr
lugares d
e n un lug
otro lugar
cio nesqu<
tener bien
La ve.
centraliza
se debe te1
dcpartam<
zos o la dl
En la a
dnde re<
uti lizadas
nizacins<
muy claro
es el respo
zacin del
Dentro
d e tener m
los sistema
te la creado
pero con la
sistema der
Laresp
y en qu gr
tralizada o'
ntacin ocu

minicompu
e l desarrolle
tener poltic
cin deequi
sicin de e<;
cual hace nE
mas y plata!
D) La Cl

pend iente <[1

EsrRu
Un o de los el
Un personal
repercute dir

cargo directijones, objeti1m de alguno

!mente, es la
:a, o departa;e le conoca,
administra tie se presenta
a. La ventaja
nformtica y
listemas.
~rados como
d requerida.
que un rea
te o director
>miento de
dentro de la
s, lo que da
tein se usaes recomenpenda de la
la.
demformalle pem;)5 y, por lo
de acuerdo

Las funciones, organuacin y poticas de los departamentos deben estar


f"'rl.clamente definida., para evitar la duplicidad de mando y el que en dos
lugares d1ferentes se ~hin desarrollando los mismos sistemas, o bien que slo
en un lugar se programe y no se permita usar los equipos para programar en
otro lugar que no sea la direccin de informtica. Esto se puede dar en instalaaonS que tengan equpo en varias ciudades o lugares, y para evitarlo se deben
ten<r ben definidas las polticas y funciones de todas las reas.
La ventaa pnncipal de esta organizacin consiste en que se puede tener
<~trali1ada la informacin (base de datos) y descentralizados los equipos; pero
;.>debe tener una adecuada coordinacin entre la direccin de informtica y los
J~artamcnt~ de inform.tica de bs reas usuarias para evitar duplicar esfuer105 o la duplicidad de mando.
En la actualidad, con la proliferacin de computadoras personales y la creaon de redes tanto internas como externas, as como de bases de datos que son
utilit.ndns por diferentes usuarios a diversas profundidades, este tipo de organiucin se puede considerar romo la ms recomendable. Lo que hay que tener
muy claro es que en eMe tipo de organizacin el departamento de informtica
"'el responsable de las normas y polticas de adquisicin de equipo y de utilizacin del mismo.
Dentro de esta misma forma de organiz.acin se debe evalua r la posibilidad
de tener uM estructura por proyectos, lo cual permitir que los diseadores de
los sistemas estn ms nrca de las drcas usuarias. Esto se puede lograr median~~ la creacin de una fuerza de trabajo independiente, con todos los recursos,
f"'rO con la obligacin de cumplir con los objetivos y metas sealados para un
ist~ma dentro de los diferentes planes.
la nespuesta a si un tipo de organizacin corporativa es la ms conveniente
en qu~ grado est en funcin de la decisin sobre tener una organizacin centralizada o descentralizada, La descentralizacin del procesamiento de la informacin ocurre cm la actuadad romo algo natural, debido al incremento de las
mmicomputadoras y a los sistemas en redes. Sin embargo, si se desea controlar
d d.'Sarrollo, implementacin y adquisicin de equipos y de software, se deben
tener politicas de descentralizacin muy bien definidas, para evitar la proliferaaon de equipo y de o;oftware que impida la adecuada comunicacin y la adqui'ICIn de equipo no compatible, y que dificulte la integridad de los datos, lo
cual hace necesario que el personal sea entrenado en diferentes equipos, si,;tem.lS y plataformas.
O) La cuarta forma de organi7.acin es la creacin de una compaa independiente que d servicio de mlorm.tica a la organizacin-

que ele,aas que hay

a direccin

EsTRUCTURA ORGNICA

ntos de in-

as normas,
:a, aunque
1 direccin

troles.

l..no de los elementos ms crticos e:, e l relativo al personal y a su o rgani<acin,


Un personal calificado, motivado, entrenado y con la adecuada remuneracin,
repercute directamente en el buen desempeo del rea de informtica.

63

64
CAPiTULO 3
AUOITORIA DE
LA FUNCIN D E
INFORMTICA

Bases jurdcas {principalmente


en el sector pblico)

Permil

A continuacin ofrecemos unos cuestionarios que servirn para evaluar la


orgnica y las bases jurdicas:

estructura

C<
C<
To

Si algun

Se ajusta la estructura orgnica actual a las disposiciones jurdicas vigenles?


s
NO
No, por qu razn?

Cules son tos ordenamientos legales en que se sustenta la direccin?

Ma
Me

Por qu

OBJETIVO DE LA ESTRUCTURA
La estructura actual est encaminada a la consecucin de los objetivos del
rea? Explique en qu forma.

Se consi
dida actu<
No, por e

Permite la estructura actual que se lleven a cabo con eficiencia:

Les atribuciones encomendadas?


Las funciones establecidas?
Le distribucin del lrabajo?
El control inlerno?

si
si
si

NO
NO
NO
NO

El rea y

No, qu

Si alguna de las respuestas es negativa, explique cul es la razn.

NIVELES JERRQUICOS
Es conveniente conocer los niveles jerrquicos para poder evaluar si son los
necesarios y si estn bien definidos.
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del rea?
SI
NO

Se debe te
to, ya que
dan a los p
Los pues
llevar a cab
No, porqc

Cules y por qu son sus recomendaciones?


El nmero
con las fun(
Permften los niveles jerrquicos actuales que se desarrolle adecuadamente la:
Solicile el m

Operacin?

Supervisin?
Control?

sr
sr
sr

NO
NO
NO

Anh~
Progra

65

Permiten los niveles actuales que se tenga una gil:


Comunicacin ascendente?
Comunicacin descendente?
Toma de decisiones?

sJ
sJ
sJ

NO
NO
NO

Si alguna de las respuestas es negativa, explique cul es la razn.


V19entes?
NO

.Considera que algunas reas deberan tener:


Mayor jerarqua?
Menor erarqula?

sJ
sJ

NO
NO

DEPAATAMENTALIZACIN
obetiVos del

Se cons1deran adecuados los departamentos, reas y oficmas en que est d1v1


d1da actualmente la estructura de la direccin?
si
NO
No, por qu razn?

0 EI

rea y sus subreas llenen delimitadas con clandad sus responsabilidades?


si

NO

No qu efectos provoca esta stuaCIC)n?

PUESTOS

s1

son tos

y suliclentes
SI

NO

Se debe tener cuidado de que estn bien definidas las funciones de cada pues
to ya que desafortunadamente ex1ste mucha confus1n en los nombres que se
dan a los puestos dentro del med10 de la Informtica.
Los puestos actuales son adecuados a las necesidades que tiene el rea para
si
NO
llevar a cabo sus funciones?
No. por qu razn?

El nmero de empleados que trabaa actualmente es adecuado para cumplir


SI
NO

con las funciones encomerldadas?

Sol10te et manual de descnpCIC)n de puestos de:


SI

si
si

NO
NO
NO

Anlisis.
Programacin.

EVALUACIN DE
LA ESTRUCTURA
ORGNICA

66

CAPITULO 3

AUDITOAAA DE
LA FUNCIO>I DE
INFORMTICA

Tcnocos.
Operacin.
Captura.
Admonostrador de bases de datos.
Comunicacin y redes.

Ooreccon
Admintstrativos.
Otros.

Poda la planlolla del personal. Se debe especolocar el numero de personas que


reportan a las personas que a su vez reportan a cada puesto, ya sea:

D~rector

Subdirector.
Jefes de depanamento.
Jefes de seccon.
Jetes de rea.

So exp que

El nmero de personas es el adecuadO en cada uno de los puestos?


SI

NO

S? Por qu?

-----

--

----

FuNel

No. cul es el nmero de personal que considerara adecuado? Seale el puesto

o los puestos

La fu ncwnes t
g nt'tl con

d
EXPECTATIVAS
Dentro de las expectatovas se po oeden detectar. en algunas ocasiones, detooer>coas y frustracoones de las personas.
COnsidera qua debe revisarse fa estructura actual. a f n de hacerla ms efiCiente?
s1
NO
S? Por qu razn?

Se han es
Por qu no?

(,Las

funr~vd

Por qu no
Cul es la estructura que propondra?
, Estn por e

------De reahznr una modificacin a la estructura, cundo considera que debera


hacerse?

cua

es 1a

AUTORIDAD

,Se encuentra definoda adecuadamente la linea de autondad?

67

SI

HO

--,su autondad va de acuerdo a su responsabilidad?

HO

SI

,No, por qu razn?


Que
En su rea se han presentado conflictos por el ejercicio de la aulondad?
SI

HO

S epl>que en qu casos.

Existe en el rea algn sistema de sugerencias y quejas por parte dol personal?

HO

FuNCIONEs
ISIO

L 'funciones en infonn.itica puedl'n diferir de un organismo a otro, aunque <oe


dr"gnen con d mismo nombre; por ejemplo, la funcin del programador en
~a organizacin puede <oer diferente en otra organizacin. Ofrecemos a conti
nuJdn un cuestionario para eva luar las funciones.
EXISTENCIA

Se han establecido funciones del area?

,,.

SI

HO

Porqu no?

,Les tunc.ones esln de acuerdo con las atribuciones legales?


SI

Por Qu no esln de acuerdo?

Estn por escnto en algun documento las runciOiles del rea?

EVAI.UACION OC
LA ESTRUCTURA
ORGNICA

,No por qu razn?

,Cul es la causa de que no estn por escnto?

--Cul os la forma de darlas a conocer?

--------

HO

68

Oun elabor las funcoones?

Sonada<~

CAPfT\11.0 3

AUDITORIA DE
LA F\JioiCIN DE
tN.OAMATICA

En caso
PartiCip el rea en su lormulacin?

Por qu causas no partiCip?

Quin las autonz o aprob?

COINCIDENCIAS
Se debe tener CUidado en que se conozcan las funciones del rea.
Las funciones estn encam1nadas a la consecucin de los objetivos lnshtuaona
les e internos?
s1 NO

No por qu?

No. por qu?


Cmo afecta
Las funciones del rea estn acordes al reglamento interior?

SI

NO

NO

SI

NO

No, en qu considera que difieren?

A qu n1vel se conocen las funciones del rea?


No por qu?
Conocen otras reas las funciones del rea?
No. por qu?

Consoelera que se deben dar a conocer?


No. por qu?

ADECUADAS
Debemos tener cudado. ya que en esta rea podemos detectar malestares ele\
personal, debido a que SI las funciones no son adecuadas a las necesidades
pueden ex1sttr problemas de deftnicin de funCiones o bien de cargas de trabao.
No. por qu?
Son adecuadas a la realidad las funciones?
En caso negativo, por qu no son adecuadas?

SI

NO

Las aCttVtd8~
astgnadas?

,Soo adecuadas a las necesidades actuales?

SI

EVALUACIN DE

En caso negatovo, por qu no?

lA ESTFIUCTURA

----------

ORGANICA

,CtJles son sus principales limitaciones?

Soo adecuadas a las cargas de trabao?


Ex sten conflictos por las cargas de trabao desequilibradas?

Sl

NO

SI

NO

SI

NO

,De qu bpo?

---- -----na

,Se toene contemplada la desconcentracon?


No, por Qu?

-Cmo afecta la desconcentracln a las funcoones?

---,Ou func:ones se van a desconcentrar?

-------- -

Partocop la direccion de onformtoca en su elaboracin?

SI

NO

No. por qu?

CUMPLIMIENTO

Esta seccin nos sirve para evaluar el grado de cumplimiento de las funciones
de! personal.
Estn delimitadas fas funcoones?
A Miel de departamento?
A novel de puesto?

69

NO

Si

NO

si

NO

No. porqu?

----

Las actovodades que realiza el personal son acordes a las runcoones que llene
asignadas?
SI
NO

70
CAPITULO 3
AUOITOAIA CE

No, qu t1po de act1v1dades realiza que no estn acordes a las func1ones


asignadas?
Para cum

LA FUNCIN DE
INFORMATICA

Cul es la causa?

De qu l1p

Quin las ordena?

Cul es el

Las actividades que realiza actualmente cumplen en su totalidad con las fun
aones confendas?
81
HO

Se lo prop
No, que le

No, cul es su grado de cumpllffilento?


No. cmo1

La falta de cumphm1ento de sus funciOnes es por.

Fatta de personal
Personal no capecltado.
Cargas de trabajo excesivas.
Porque realiza otras actividades.
La forma en que las ordena

SI
SI
si

SI
SI

HO
HO
HO
HO
HO

Para cumplh
Si, qu tiPQ

Cules funciones realiza en forma:


Perid1ca?

Con qu fn

A cuntas 1

Eventual?
Cules son

SIStemtiCa?
Otras?
Tienen programas y tareas encomendadas?

Ex1ste dupt

SI

NO

Si, qu conl
No, porqu?
Existe duphc
Permiten cumplir con los programas
operacin)?

y tareas encomendadas (necesidades de

NO

Si, cules y

No, por qu causas?


Qu conllic1i

OUJen es el responsable de ordenar que se eecuten las act11ndades?

La dupf!Cidae

En caso de realizar otras actJvidades. qwn las ordena y autonza?

S, cul es la

En caso de no encontrarse el jefe 1nmed1ato, qu.n lo puede realizar?

No, cul es s

es

APOYOS

71

Para cumpl~r con sus funciones requiere de apoyos de otras reas?

EVALUACIN DE

SI

1<0

si

NO

De qu topo?
Cul es el rea que proporciona el apoyo?

n-

--Sa lo proporcionan con oportunidad?

No. que le ocasoona?


No. como resuelve esa falta de apoyo?

------Con qu frecuencoa lo soliCita?

----Para cumplir con sus tunciooes, proporaona apoyos a ollaS areas?


SI

1<0

So que bpo de apoyo proporciona?

------A cuntas reas?

----Cules son?

------------DUPUCIDAD
Exoste duplicidad de !unciones en la misma rea?

S{

t-0

SI

1<0

S, qu conlhctos ocasiona y cules tuncoones?


EXIste duple>dad de funaones en otras areas?
Si. cules y dnde?
Qu oonlloctos ocasJona?

-- -la duplicidad de funciones se debe a quo el rea no puede realozanas?


1<0

Si, cul es la razn?


No, cul es su opinin al respecto?

- - - - - -- - -

lA ESTRUCTURA
OllGN<OCA

72

Se pueden eliminar func1ones?


CAPITULO 3
AUDITORiA DE
LA FUNCION DE
INFORMTICA

Cul?

Si, cules?
De qul
Se pueden transferir funcionas?

SI

NO

Cmo

Si, cules y adnde?


Permite la dupliCidad que se d el control 1ntemo?

Se har

No, por qu?

En

q.,.

Por qu1

OBJETIVOS

Qu pn

Uno de los posibles problcmds o descontentos que puede tener el peroon.1 l es l'l
desconocimiento de los objetivos de la organizacin, lo C\IOI puede deberse a
una falta de definicin de los objetivos; esto provoca que no se pueda tener una
planeacin adecuada.
Ofrecemos un cuc;honario que sirve para evaluar los ObJetivos.

Se han

EXISTENCIA

A quon

Se han establecido objetovos para et rea?

111

NO

Quien tos estableci?

t.Ou n q

Qu m6

Cul fue el mtOdo para el estabfec1moento de los obJetovos?


Particip el rea en su establecomiento?

NO

Por que

Cules fueron las principales ralones de la seleccin de tos objetovos?


Constde
Los objetivos establecidos son congruentes con:

Los de la direccin?
Los de la subdireccin?
Los det departamento/ohc1na?
Los de otros departamentos/ofoconas?

SI
SI
SI

NO
NO
NO

&1

NO

Cmo al
dado a ce

Abarcan

Por qu no se han establecido obJebvos para el rea?

<-Qu asp

Nadie le ex1ge establecerlos

&1

NO

Consodera Importante que Se establelcan.


Es responsabilidad de otra rea establecer los objetivos

Los obe
SI

NO

Son real

73
EVALUACION DE

LA ESTRUCTURA

,De qu manera planea el trabajO del area?

ClAGI<ICA

Cmo afecta la operactn del rea el no tener establectdos los obettvos?

FORMALES
,se han deltnido por escnto los obettvos del rea?

NO

sj

En qu documentos? (Recabartos.)
--~----~--

Por qu no estn defintdos por escnto?

- -- -- -- -- -- -- -- --

les el
~rse

runa

Ou problemas se han derivado de asta situacin?

-----------

-----

CONOCIMIENTO
Se han dado a conocer los obetivos?

SI

r-.'0

,A qutn se han dado a con~r?

Outn mas deberla conocerlos?

Qu mtodo se ha utilltado para dar a conocer los objetivos?


Por qu no se han dado a conocer los obetlvos?

---------, Considera tmportante que los conozca el personal?


Cmo afecta a la operacln del rea el hecho de que los obetivos no se hayan
oado a conocer o que su COilOClmtento sea parcial?

ADECUADOS
Abarcan los objetvos toda la operact6n del rea?

SI

NO

SI

NO

SJ

NO

, Ou aspectos no se cubren?

---Los objetivos son Claros y preosos?


Son realistas?

74

SI

Se pueden alcanzar?
CAPITuL03
AUOITORIA OE
lA fUNCI()tl OE
INFORMATOCA

NO

Quin

Por qu?

re~

De qu

Estn de acuerdo con las funciOnes del rea?

SI

NO

Se~alan cules

si

NO

Son congruentes con los obJeUvos Institucionales?

si

NO

Sirven de gua al personal?

SI

NO

Sirven para motivar al personal?

SI

NO

son las realizaciones esperadas?

Part1C1pa
Cundo
De qu
Por que

Se han estableCido para el corto, med.ano y largo plazos?


Qu adecuaciones puede sugenr para los objetivos actuales?

Qus

CUMPLIMIENTO
En qu grado se cumplen los obJetivos?
Existen mecan1smos para conocer el grado de cumpl1m1ento de los objetivos?
si
NO

ANL
l'ntr~

SI, cules?
No, de qu manera se establece el grado de cumplimiento?

M'

Se elabora algn reporte sobre el grado de avanoe en el cumplimiento de los


obehvos?
s;
NO
Para qu1n y con qu frecuenCia? (Recabar datos.)
Qwn elabom este reporte?
Qu se hace en caso de desv1acin en el cumplim1ento de los obetiVos?
Qu sugerencia puede hacer para lograr el cumplimiento lotal de los objetivos?

ACTUALIZACIN
Se reVIsan los objetiVOS?
Por s1stema?

las d

mformtic;
61,1. Las fu
m~1dor, en

si

NO

han di

m,1dor l, pi
F.sto h
nivLIes, fll

ellos consi
mdu el gra
l.ls que COl
analizar la
funciones
niv<'ll.'s de
S1 no 1
,,ctuol plaj
1m,1gen gt
Criter

Agrul

Agru)

Local
Local
realz

75

Quin revisa los objetivos?


EVALUACtON DE
LA ESTRUCTURA
ORGNICA

,De qu manera se lleva a cabo la revisin?


.Pat1Jcipa el rea en la actualizacin de los obetivos?

Sl

NO

,Cundo se hizo la illma revisin de los objetivos?


Oe qu manera se Incorporan las modificaciones denvadas de las revisiones?
,Por qu no se revtsan los obetivos?
Qu sugerencias tiene para que la actualizacin de los objetivos sea ms eficaz?

ANLISIS DE ORGANIZACIONES
Entre ldS diferentes formas de la estructura organizacional de la direccin de
mfonntica no existe una evaluacin concreta y aceptada de las funciones de
esta. Las funciones que en una organizacin son consideradas como de progra
mador, en otra pueden ser de analista o de analista programador, y en algunas
se han d ividido ciertas funciones con diferentes niveles, por ejemplo, progra
mador 1, programador 11, et~tcra.
Esto ha dado por resu ltado que, al no existir una definicin clara de los
niveles, funciones y conocmicntos, las personas se designen con el titulo que
ellos consideran pertinente; por ejemplo, ingeniero en sistemas (sin haber obte
nido el grado), analista de si<. temas, o bien que en algunos pases existan escuelas que confieran grados acadmicos que no son reconocidos oficialmente. Al
111alinr las organizaciones debemos tener muy en cuenta si estn definidas las
funciones y la forma de evaluar a las personas que ingresan a los diferentes
niveles de la organizacin.
Si no existe un organigrama, el auditor debe elaborar uno que muestre el
actual plan de organizacin, ya que esto facilita el estud io y proporciona una
imagen general de la organizacin.
Criterios para analizar o rganigramas:

Agrupar funciones similan.'S y relacionarlas entre s.


Agrupar funciones que sean compatibles.
Localizar la actividad cerca de la funcin a la que sirva.
Localizar la actividad cerca o dentro de la funcin meJOr preparada para
realizarla.

Elaboracin
del organigrama

76
CAPiTULO 3
AUDITORIA DE
LA FUNCION DE
INFORMTICA

No asignar la misma funcin a dos personas o entidades di ferentes.


Separar las funciones de control y aquellas que sern objeto del mismo .
Ningn puesto debe tener dos o ms lneas de dependencia jerrquica.
El tramo de control no debe ser exagerado, ni muy nu merosos los niveles
jer rquicos.

Cuando se estudia la estru ctura o rgnica es importante hacer algunas anotaciones sobre las tareas asignad as a cada puesto y responder las siguientes preguntas:

Existen lneas de autorid ad jus ti ficadas?


Hay una extra li mitacin de funciones?
Hay demasiada supervisin de funcionarios?
Es excesiva la supervis in en general?
Hay agrupamientos ilgicos en las unid ades?
Hay uniformidad en las asignaciones?

Se deja
Est cap

No, por e

Es eficaz
No, por q

Es adecu
No, por q1

Es freC<Jel

EvALUACiN DE Los RECURsos HUMANOS

El persoo

No, anote r

El desarrollo del personal implica:

Establecer p romociones y oportunidades de desarrollo.


Educacin y capacitacin. Estas actividades mantienen la moral y las habilidades de los empleados en w1 nivel adecuado para cumplir con los objetivos y metas encomendadas, y les permitir tener mayor motivacin y mejo
res rcmw1eracioncs. En el rea d e informtica es muy importante la capacitacin para tener actualizado a nuestro personal en una disciplina en la que
puede quedarse rezagado muy rpidamente, aunque, por o tro lado, debido
a la presin de tiempo con la que se trabaja, en muchas ocasiones no se le da
al personal la oportunidad para capacitarse.

Se deber obtener informacin sobre la situacin del personal del rea, para
lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin
de recursos humanos. A continuacin tm ejemp lo de cuestionario para obtener
informacin sobre los siguientes aspectos:

Desempeo y comportamiento.
Condiciones de ambiente de trabajo.
Organ izacin en el trabajo.
Desarrollo y motivacin.
Capacitacin y supervisin.

En general,
cidos?
No, por qu

Alguna de
trabajo?
Si, qu se

Respeta el
No, porqu

Existe coo~

No, por qu
--~

DESEMPEO Y CUMPLIMIENTO

El personal

Es suficiente el nmero de personal para el desarrollo de las funciones del


rea?
si
NO

Presenta el

10.

a.
veles

Se dea de realizar alguna actividad por falta de personal?

si
EVAlUACIN DE

lOS RECURSOS

Est capac1tado el personal para realizar con eficacia sus funciones?


Si

NO

s/

NO

SI

NO

No, por qu?


notapr!'Es ehcaz en el cumplimiento de sus funciOnes?

No, por qu?


Es adecuada la calidad del trabaJO del personal?

No. porqu?
Es frecuente la repetiCin de los trabaos encomendados?

El personal es d1screto en el manejo de lnformac1n confldenc1al?


Si

NO

No, anote repercusiones.

bi~ti-

;ociue
do
da

En general, acala el personal las poht1cas, s1stemas


Cidos?

y procedimientos estable

NO

No, porqu?

Alguna de las sotuac.ones antenores provoca un desequd1bno de las cargas de


~ba~

NO
$1, qu se hace al respecto?

ra
n
er

Respeta el personal la autoridad eslableclda?

SI

NO

No, por qu?

Exoste cooperacin por parte del personal para la realizacin del trabajo?
SI
NO
No, ,por qu?

El personal bene atan de superaCIn?

Sl

NO

Presenta el personal sugerencias para meorar el desempel\o actual?


SI

NO

HUMANOS

.___78

Cmo cons1dera las sugerencias?


CAPITULO 3
AUOOORIAOE
LA FUNCIN DE
INFORMATICA

~Cmo

Qu tratamiento se les da?

Se toman en cuenta las sugerencias de los empleados?


En qu forma?

Cmo se les da respuesta a las sugerencias?

Porqu

CAPACITA CIN

~Cmo

Uno de los puntos que se deben evaluar con ms detalle dentro del area de
mformtica es la capaotacin; esto se debe al proceso cambiante y al desarrolo
de nuevas tecnologlas en el rea.
Los programas de capacrtacin Incluyen al personal de:

Drreccin.
Anlisis .
Programacin
Operacin .
Administracin.
Admimstrador de bases de datos.
Comunlcac1onos redes.
Captura.
Otros (espeCJftque).

~Por qu

,cual es

(
(
(

)
)
)
( )
( )
( )
( )
( )
( )

Se han ldenbhcado las necesidades actUales y futuras de capaotacrn del per


nal del rea?
Sj
NO
No, por qu?

Se desarrollan programas de capacitacin para el personal del rea


SI

NO

Apoya la supenondad la realizacin de estos programas?

si

NO

Se evalan los resultados de los programas de capacrlaCJn?

SI

NO

No, porqu?

No, por qu?


SoriCrte el plan de capacrtacin para el presente ao.

Cua es

SUPERVISIN
f VAlUACION De

,Cmo se lleva a cabo la supervisin del personal?

LOS RECURSOS
HUMANOS

En caso de no realizarse, por qu no se realiza?

Cmo se controlan el ausenbsm() y los relardos del personal?

,Por qu no se llevan controles?

,Como se evalua el desempeo del personal?


:le

lo

,P., qu no se evala?
Cul es la ftnahdad de la evaluacin del personal?

LIMITANTES

Cules son los princtpales factores externos que limrtan el desempeo del personal del rea?

Cual es et

nctoc:e de ro1acin de personal en.

AnfiSIS?

Operactn?
Admtntstracln?
Captura?
Programacin?
Direccin?
Adm n straCtn de bases de datos?
ComuntC&CIOnes redes?
Tecnocos?
Otros? (espectftque).

( )
( )

( )
(
(

)
)

(
(
(
(
(

)
)
)
)

En trminos generales. se adapta el personal al mejoramiento administrativo


SI
NO
(resistencia al cambio)?
Cul es et grado de d scplina del personal?

80

Cul es el grado de asistencia y puntualidad del personal?


CAPTULO 3
AUOITORIA DE
LA FUNCION DE
INFORMTICA

Se lleva a efecto esta poltica?

SI

NO

Nor
tant
test
bier
pod

Puede el personal presentar queas y/o problemas?

8i

NO

Es

Existe una pollt1ca uniforme y consistente para sancionar la Indisciplina del


personal?
SI
NO

S cmo se SOiucoonan?
Otras reas externas presentan queas sobre la capacidad y/o atencin del
personal del rea?
SI
NO

SI,

S, qu tratamiento se les da?


No,
Cmo se otorgan los ascensos, promociones y aumentos salariales?
Co
Cmo se controlan las fallas y ausenllsmos?

2ac~

Cules son las pnncopales causas de faltas y ausentismo?

Elar
1mpo

CONDICIONES DE TRABAJO

El

Para poder trabaar se reqUiere que se tenga una adecuada rea de trabaJO. con
mayor razn en un rea en la que se debe hacer un trabaJO de 1nvest1gac1n e
intelectual.

No,,

Conoce el reglamento lnteroor de trabajo el personal del rea?

SI

NO

Cu

Se apoyan en l para solucionar los conflictos laborales?

si

NO

Cl

No, por qu?


So
Cmo son las relacoones labOrales del rea con el su\chcato?

Se presentan problemas con frecuencia?


SI. en qu aspectos?

Cmo se resuelven?

81

REMUNERACIONES
EVAlUACIN DE

el

Nonnalmente las personas estAr> onc:onformes con su remuneraCin. Es impor


ante evaluar que tan coerta es esta onconformidad o so est dada por otros ma
lestares aunque sean sealados como inconformodad en las remuneraciones, o
t>en puede deberse a que se desconoce cmo se evala a la persona para
poder darle una meor remuneracon.
,Est el personal adecuadamente remunerado con respecto a:

el

Trabajo desempe~ado?
Puestos simolares en otras organozacoones?
Puestos slmolares en otras reas?

SI. cmo repereuto?


No, cmo repercute?

Conseguir informacin sobre tos sueldos de tos mismos niveles en otras organi
zac1ones.
AMBIENTE
El ambiente en el rea de informtica, principalmente en programacin, es muy
importante para lograr un adecuado desarrollo.
El personal est Integrado como grupo de trabajo?
n

SI

NO

si
si
si

NO

No, por qu?

Cul es et grado de convovencia del personal?


Cmo se aprovecha esto para mejorar el ambiente de trabajo?
,Son adecuadas las condocoones amboentales con respecto a:

Espacio del rea?


llumonacin?
Ventolacin?
Equipo de oficina?
Moblllaroo?
Ruodo?
Limpieza y/o aseo?
Instalaciones sanotarlas?
Instalaciones de comunicacin?

SI
si
si
si
si
si

NO
NO
NO

NO
NO
NO
NO
NO

LOS RECURSOS

HUMANOS

82

dl>S<~:n ext
nado.... Ene
poder haet
qm la' op1
b .. to nc

ORGANIZACIN DEL TRABAJO


CAPIT\II.O 3

AUOITOAlA OE
LA FUNCION OE

IN"ORMATICA

Par1K:Ipa en la se18CCI6n del personal?

No. por qu?


Qu repercus100es llene?

Se prevn las neces1dades de personal con antenondad:

Gr.1do
Gr,ldo
h\OS.

En cant1dad?

sj

NO

En calidad?

SI

NO

SI

NO

~..lh ... ta

C.1paci

Ob>-crv

No. por qu?

Ofrtcc
Esl prevista la sustitucin del personal clave?
No, por qu?

1 No
DESARROLLO Y MOTIVACIN

2 Pue

Cmo se lleva a cabo la Introduccin y el desarrollo del personal del rea?

En caso de no realiZarse. por qu

6. 0..

no se realiza?

Cmo se realiza la mo~vacin del personal del rea?


Cmo se esbmuta y

3 Put
4. Pue
5. Nur

A~

Acd

9 C<

10 CO
11 Scll
12 En

se recompensa al personal del rea?

CS11
Exsta oportunidad de ascensos y promociones?

sj

NO

Qu pollttCB hay al respecto?

13
14

C6
,C6

15 C
16 ,eo
\7 Sd

ENTREVISTAS CON EL PERSONAL


DE INFORMTICA
5<- d~bt>r,in Cfl'Ctuar entrevistas con el personal de informtica, para lo cual puf.'de
entrevistarse a un grupo de personas elegidas, sin dejar de sealar que quienes

t8 Metl
allo
t9 Cl
20 Obsi
NOTA En e
lnlormt.ca
lnlcales E
nas y com

84

6.
CAPf'ruLO 3
AUDITORiAOE
LA FUNCIN DE
INFORMTICA

SITUACIN PRESUPUESTAL y FINANCIERA

t)
S

e
A
G
In

PRESUPUESTOS

Se obtendr informacin presupuesta) y financiera del departamento, as como


del nmero de equ ipos y caractersticas para hacer un anlisis de su situacin
desde un punto de vista econmico. Entre esta itormacin se encuentra:

7.

e
A1
Al

Costos del departamento, desglosado por reas y controles.


Presupuesto del departamento, desglosado por reas.
Caractersticas de los equipos, nmero de ellos y contratos.

Ro
MI

01

NOTA: Se debern pedir los costos, presupuestos y ca ractersticas de los equipos sealados en los puntos anteriores, adems de contestar el cuestionario, del
cual se ofrece un ejemplo a continuacin:

8.

Ce
RE
1.

2.

Cual es el gasto total anual del rea de informtica incluyendo renta del
equipo y administracin del centro de cmputo (gastos directos o indirectos)?

Existe un sistema de contabilidad de costos por:

3.

Conocen los usuarios los costos de sus aplicaciones?

4.

Los reportes de costo permiten la comparacin de lo gastado en la direcSI


NO
cin de informtica contra lo presupuestado?

5.

Cite a los principales proveedores de su direccin en materia de:

Mobiliario en general
Consumibles
Equipo
Software
Mantenimiento
Equipo auxiliar
Papelera
Cintas, discos, etctera

Ot

Pueden
este caSI

Usuario?
Por aplicacin?

Proveedor

El

sr

NO

A continua
recursos fu

Vol umen anual

Quin ir
Se respo
No, en q

6.

Cules cargos adicionales se manean por separado fuera del contrato?


Ponga una X en ellos.
Utilizacin del equipo.
Servicio de mantenimiento.
Capacitacin del personal.
Asesora en sistemas de cmputo.
Gastos de instalacin del equipo.
Impuestos federales, estatales, munocopales y especiales.
Seguros de transporte y compra de equipo.
Otros (especifquelos).

as romo
situacin

otra;

(
(
(
(
(
(
(
(

Cul es la situacin jurdiCa del equopo (especoflcar por equipo)?


Compra del equipo.

( )
( )
( )
( )
( )

Renta del equipo.


Renta con opcin a compra.
Renta de tiempo mquina.
Maquila.
Otro, cul?
loscqui1ario, del

del
rectos)?

8.

)
)
)
)
)
)
)
)

Cul es la situacin jurdica del software (especlhcar por software)?


Compra.
Renta.
Elaborado internamente.
Maquila.
Olro, cul?

(
(

(
(

Pueden exosbr drterentes situaciones juridocas de los equopos y del software; en


este caso se debe especifocar la situacin de cada uno.

Jire<:

RECURSOS FINANCIEROS

A oontio1uacin, se ofrecen algunas preguntas tiles para abordar e l tema de los

recu osos financieros.


FORMULACIN
Ouon ontervoene en la lormutacin del presupuesto del rea?

,Se respetan los planteamientos presupuestales del rea?


No. en qu partidas no se ha respetado y en qu monto?

SI

NO

85
SITUACION
PRESUPUESTAL
V FINANCIERA

.___ 86

ADECUACIN
CAPITuLO 3
AUOITORiA DE
LA F\JNCIN DE
INFORMnCA

Los recursos hnanc1eros con que cuenta el rea, son sufcenres para alcanzar
los objet1vos y metas establecdos?

NO
No, qu efectos se han tenido en el rea al no contar con suficientes recursos
financieros?

En cas
defic1e1

Qu 1

Se cu
desarrc

RECURSOS MATERIALES

(.POr q

PROGRAMACIN
Existe un programa sobre los requenmientos del area?

SI

NO

Qu personas del rea 1nterv1enen en su elaborac1n?


Actua
equ1po
Se respetan los planteamientos del rea?

SI

NO

Qu

No, en qu aspectos no se respetan?


ConO(

ADECUACIN
(.Qu r
Los recursos matenales que se le proporcionan al rea, son sui!Cientes para
cumplir con las funciones encomendadas?
81
NO
Exista

No, en qu no son sufiCientes?

(.EXIste
Los recursos malenates se proporcionan oportunamente?

81

Cules son las pnnclpeles hm1tac1ones que tiene el rea en cuanto


sos materiales?

NO

a los recur

Cuate

Qu sugerencias harlan para superar las limitaciones actuales?


Que

SERVICIOS GENERALES
Ex1ste un programa sobre los servicios generales que requiere el rea?
81
NO
Considera los S81'111C108 generales que se propo<coooan al rea

Adecuados?
Suficientes?
Oportunos?

Sobre

Con

(.Se rae

correctl

SITUACIN

s para aJcanz
SI

PRESUPUESTAI..

NO

YANANCIERA
IUgl<ei1CI8S

hanan para superar las Imitaciones actuales?

MOBILIARIO Y EQUIPO

r:~= coo el equ po y mob llano adecuados y en cantidad sufiCiente >ara

SI

NO

su trabao?

si

NO

adecuadamente d1st"buldos en el rea de trabajo?


menle se estn dejando de realizar actividades por falta de material y
1

SI

NO

NO

se hace para solucionar este problema?


oce esta SituaCin el jefe de la unidad?

et serviCIO de manten1m1onto del equipo?

NO

,Ou se hace con el equ1po en desuso?

,Sobre quin recae la responsabilidad del equipo?

10

Con qu frecuen1C1a se renuevan el equipo y mobiliario?

Se recogen op1n1ones y sugerencias que nos permitan establecer las medidas


oorrectivas con las cuales lograr un mojor funiCionamiento de estos recursos?

CAPTULO

Evaluacin
de los sistemas

OBJETIVOS
Al finalizar este captulo, usted:
1. Evaluar si las organi~aciones que se van a audilar cuentan con los slste
mas necesarios para cumplir con sus funciones.
2. Explicar la importancia de la evaluacin del disei'lo lgico de un sistema y
de su desarrollo.
3. Dehmr las caractersticas pnncipales del control de proyectos, ya que de
esto depende el adecuado desarrollo de un sistema.
4. Conocer el contenido mnimo que deben tener los instructivos de operacin
de los sistemas.
5. Describir cules son los trabajos que se deben realizar para iniciar la operacin de un sistema.
6. Explicar la importancia de las entrevistas a los usuanos para comparar los
datos con los proporcionados por la direccin de Informtica.
7. Conocer los sealamientos pnncipales relacionados con los derechos de
autor y la informtica.

90
CAPITUL04
EVALUACION
DE LOS SISTEMAS

E vALUACiN DE SISTEMAS
Existen dtversas formas por medio de las cuales las organizacione<; puedm cont.:
con el 5oftware necesario para cumplir con sus requerimientO!>; entre ella. se
encuenltan:
Elaborado por el usuario, o bien un software comercial. El que el usuario elabore un determmado software tiene las siguientes ventajas: normalmente e;
desarrollado para cubrir todas las necesidades del usuario; puede ser modifia~
do de acuerdo a las necesidades de la organilan; contiene si~temas de seguridad propios. Aunque tiene estas desventaas: es m.is costoso; su tiempo df
implementacin es ms largo, su m;mtenim iento y actua lizaciI'\, normalmente
no se hacen sobre una base peridica.

bien p u
paquetes
Por ~'ll'mll
disenadoE
tes llldl
pul.'d, tt!n
paqul'lc
por dos d
cu.11 p ued
'.vare <ue
mandos y
usar paq
tt!ner _, ir
nli(~ntos

Softwar~ compartido o regalado. Normalmente se trata de un 5oftware ;enaUo elaborado para computadoras personales, que puede ser conseguido o bajo
costo va Internet. El peligro de .,.;te tipo de <.Oftware es que puede no cumplir
con todas nuestras necesidades, adems de que se debe tener cuidado con los
programas pirata o con virus.
Se debe considerar la librera de programas de aplicacin. Sin importar la
forma de desarrollo, los prograrn<b siempre !>Dn escntos para correr en un determinado sistema operativo. Un elemento importante del sistema operativo ..
la cantidad y d iversidad de programds de aplicacin que son escritas en l, lo
cual se conoce como la librera de programas de aplicacin. Es 1mportante 1t>
mar en cuenta el Sistema operativo utilizado, ya que puede ser un tipo de <IS!ema operativo conocido como "propietario", e l cual slo puede ser usado en
mquinas de un determinado prove~.>dor.

Ald
de adquui

Software transportable (portability). Se cons1dcra que un software es portableo


transportable cuando 1) tiene d ifccntes versiones para diferentes sistemas
operativO!>, cuando 2) puede cambiarse entre dos o ms sistema~ operativo-.,
cuando 3) puede 5er fcilmente convertido de un sistema operatJvo a otro. t:r
software que es transportable permite, aparentemente, usar el mismo progra
ma de aplicacin sin importar e l sistema computacional. Se puede usar en una
gran computadora (mainframe) o en una minicomputador<~, o cambiar entre di
ferentes tipos de m1nicomputadoras. Una organizacin que obtiene un software
que tiene diferentes versiones, pero que en esencia es el mismo, lo cual signifia~
que es transportable, ahorra tiempo en entrenamiento y en personal, y permite
el que fcilmente se mueva de un trabajo a otro o bien en diferentes Jugare..

Un solo usuario o multiusuario. Como en el caso de los sistemas operativo,;,


los programas de aplicacin pueden 5er para un solo usuario o para una vari~
dad de usuarios.
Categoriucin del software de aplicacin por us11ario. El software puede o;cr
catalogado como: de prop>otos generales, de funciOne!> especficas o especifico
de la industria.

zacin

"'C

pero rcqu
L.1 cla
llc, pa ra 1
mas hasta

Existe
gram~

b."te
('htiln
\ (_}o.;._

lo,;n
t.~flcier

El pla
fu turo, co

,Cu)
,Cur
Qu
Cu~

1.1 cst

cursos q uo
.,;tar<>n fu

Qu
Qu
,Qu
Qu

llllar
ISse

ela-e es
fica-

'8">de
~nte

Softwu~ a la medida de la oficina. El software comercial puede ser vendido, o


l>i<!n puede -er elaborado Internamente como paquetes individuales o como
paquetes mtegrales v compatible~ que son diSeados para trabajar en conjunto.
Poretl'mplo, un paqu~tl' <>laborado en Cobol. o una hoja de clculo, pueden ser
dbtados para trabaar !o6lo con un determinado sistema operativo. Los paqueres indiiduales pueden oca~onar muchos problemas, ya que por ejemplo se
puede te.wr un magnifico paquete de presupuest~ que sea incompatible con el
paquete de contabahdad Sa dos paquetes son diseados en forma indi,idual
por dO!i difcrent"' compaas, es muy probable que no sean compatibles, lo
cual puede repercutir en aumento de llempo, costo y entrenamiento. Un software que es compatibl~ e integrado permite que sus mens, apuntadores, comandos)' ayudas sean aguak>s y que las salidas del sistema sean compatibles. El
u:.ar paquetes de software compatib le, tiene grandes beneficios, aunque puede
tener el inconvenacnte de que no lodO!> los paquetes cumplan con los requeri-

91 _

__)

EVALUACION

DE SaSTEJ.IAS

mientos de Jos usuJrios.

nci
>ajo
plir
los

rla
de>

Al dearrollar un dctcrmmado sistema se debe cuidar si habr necesidad


de adquirir sistt.>mas o lenguajes proptedad de una compaa, que para su utmzacin se requ ie ra de una licencia especfica, lo cu al p uede ser muy costoso, o
bien "casarnos" con un determinado proveedor, lo cual puede ser conveniente
pero requiere de una evaluacin muy deta llad a.
La elaboracin o adquisicin de sistemas debe evaluarse con mucho detalle, para lo cua l se debe revisar desde la planeacin y elaboracin de los sistemas hasta su desarrollo e implementacin. Se d eber evaluar s:

es

, lo
to.teen

Existen realmente sistemas entrelazados como un todo o bien si exist-en programas aislado..
Existe un plan e"tratt'gico para la elaboracin de los sistemas o b ien si se
estn elaborando Stn el adecuado !.ealamaento de prioridades y de objeti-

eo

Los recursos son los adl>cuados y sa se estn utilizando en forma eficaz y


eficiente.

vos.

aas
,o
Jn

na
Ji!fe

ca
t-e

El plan estratgaco debcr.i establecer los servidos que se prestarn en un


tuturo, conte.tando pr.'gUnla~ romo la.~ saguaentes:

Cuales <en,oos se tmplementar.in?


Cundo se pondrn a das~icin de los usuarios?
Qu caractersticas te-ndrn?
Cu.intos recur-os se requenran?

La estTatcgia de de,.,rrollo debcr.i e,tablecer las nuevas aplicaciones y recursos que proporcionar, la dareccin de uormtica y la arquitectura en que
estarn fundamentados:

:o

Qu aplicaciones o;cr,\n dcarrolladas y cundo?


Qu tapo de archavos se des.urollar.n y cundo?
Qu bases de datos serii n desarrolladas y cundo?
Qu lenguajes se uti li zarn y en qut! software?

El plan est111tglco

92
CAPTUL04
EVALUACI0tl
OE LOS SISTEMAS

Qu tecnologa ser utilir.ada y cundo se implementar?


Cuntos recursos se requerirn aproximadamente?
Cul es aproximadamente el monto de la inversin en hardware y soft
ware?

() Di se

En Jo referente a la consulta a los usuarios, el plan estratgico debe delirio


los requerimientos de informacin de la organizadn:

tl
d

Qu estudios van a ser realizados al respecto?


Qu metodologa :,e utilizar para d ichos estud ios?
Quin administrar y rea liza r estos estudios?

E
d

ll

O) Disd
;
ll

En el rea de auditora interna debe evaluarse cul ha sido la participaci6r


del auditor y Jos controles e~tablecidos.
Por ltimo, el plan cstr.ltgico determina la planeadn de los recursos.

Cules sern los conocimientos requeridos por los recursos humanos pb


neados?
Se contemplan en la estructura organizacional los nuevos niveles jerrqui
ros requeridos por d plan estratgico?
Cul es la inversin requerida en servicios, dcsanollo y consulta a los usu

aud itora.

Se deben reunir todos los sntomas y distinguirlos antes de sealar las causas, evitando tomar los ~in tomas como causas y dejando fuera todo lo que sean
rumores sin fundamento.
los sistemas deben !-<!r C\aluados de acuerdo con el ciclo de vida que nor
malmente siguen. Para ello, se recomiendan los siguientes pasos:

Dio;e,

f)

rios?

El proceso de planeacin de sistemas deber asegurarse de que todos lo!


recursos requeridos estn claramente identificados en el plan de desarrollo <le
aplicaciones y datos.
Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la estrategia de la arquitectura de la temologa con que se cuenta
actualmente.
Pa ra identificar Jos problemas de los sistemas primero debemos detectar
Jos sin tomas, los cuales son un reflejo del rea problemtim; despus de analizar Jos sfntomas podremos definir y detectar las causas, parte medular de la

Contempla el plan estr.ltgico las ventajas de la nueva tecnologa?

ll

f)

lm

G) Pn
COl

A) Definicin del problema y -equerimientos del usuario. Examinar y evaluar


los problemas y caractersticas del sistema actual, sea manual, mecnico o
electrnico, as como los requerimientos po r pa rte del usuario.
B) Estudio de factibilidad:

H) So
nu

fae

Desarrollo de los objetivos y del modelo lgico del sistema propuesto.


Anlisis preliminar de las diferentes alternativas, incluyendo el estudio de factibilidad tcnico y econmico de cada alternativa.

Ta

olgi


are y soft-

Desarrollo de recomendaciones para el proyecto de sistema, incluyendo)()!; tiemp< y co:>tos del proyecto.

93
EVALUACIN

OE SISlEMAS

C) Diseo general y anli~is del ~lStema:

lebe definir

rtidpacin
cursos.
a?
oanos pla-

E.<tud10 detallado del -.stema actual, mcluyendo Jos procedimientos,


d1agramas de flujo, mtodos de trabajo, organizacin y controL
Desarrollo del modelo l6g1co del sistema actual.

Des.umllo de los obehvos para el sistema p ropuesto .

Desarrollo del modelo lgico del sistema propuesto, incluyendo la de-

finicin lgica de los procesos, diccionario lgico de datos y diseo lgico de las base~ de datos.
Evaluacin dt:> la< d ifer~n tcs opciones de diseo.
Desarrollo del anlisb costo-beneficio para evaluar las implicaciones
~conmicilS

de cndJ oltcrnoHva.

s jerrquilos us uo-

todos Jos
urollo de
rcompa-

.e cuenta
detectar
de analilar de la
las caul'Jo.>sean

Dt:>sarrollo de las cspcciicacion~s para el sistema fsico, incluyendo el


diseo de reportes, archivos, e ntradas, pantallas y formas.
Diseo de las especificaciones del p rograma.
Diseo de la implementacin y e l tiempo y forma de Uevar a cabo las
pruebas.

F) Implementacin y desarrollo fsico:

Codificacin y documentacin del programa.


Evaluacin y seleccin del cqwpo de cmputo.
Desarrollo dt:> sistemas de auditora, control y seguridad, y desarrollo
de los proce<hmientos de prueba.
Desarrollo dt:> los programas de entrenamiento.

G) Pruebas del sistema, e\'aluacin y aceptacin por parte del usuario y de

contraloria interna:

evaluar
:nico o

Modificacionl>s y adecuaciones.
IMtalacin.
Carga de d.ltos.

H) Soporte cotidiano, cambios y mejoras al sistema. Despus de esto, se vuelve

puesto.
el estu-

nuevamente a 1 ciclo inicial, el cual a su vez debe comenzar con el estudio de


factibilidad.
Tambin se debe evaluar que un error o correccin en el momento del diseo lgico es de fcil solucin y bajo costo, pero que los errores o modificaciones

Evaluacin
de los sistemas

94
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS

entre ms adelantado est el dcsaxrollo del sistema son ms costosos y de ms


difcil implementacin. Hay ocasiones en que un sistema en su fase de implementacin tiene tantas modificaciones, que es preferible hacer uno nuevo, en
lugar de usar el diseado con demasiadas modificaciones.
La primera etapa a evaluar en el sistema es el estudio de factibilidad, el cual
debe analizar si el sistema es susceptible de realizarse, cul es su relacin beneficio-costo y si es conductualmente favorable.
Se deber solicitar el estudio de factibilidad de los diferentes sistemas que
se encuentren en operacin, as como de los qu~ estn en la fase de anlisis para
evaluar:

La disponibilidad y caractersticas del equipo.


Los sistemas operativos y los lenguajes disponibles.
Las necesidades de los usuarios.
Las formas de utilizacin de los sistemas .
El costo y los beneficios que reportar el sistema.
El efecto que producir en quienes lo usarn .
El efecto que stos tendrn sobre el sistema.
La congruencia de los diferentes sistemas .
La congruencia entre los sistemas y la organizacin.
Si estn definidos los procesos administrativos, la normatividad y las polticas para la utili::acin de los sistemas.
Su seguridad y confidencialidad.

En el caso de los sistemas que estn funcionando, se deber comprobar si


existe el estudio de factibilidad con los puntos sealados, y comparar con la
realidad lo especificado en el estudio de factibilidad .
Por ejemplo, en un sistema que el estudio de factibilidad seal determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario,
debemos comparar cul fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud
razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), el tiempo, el personal y la operacin. En la prctica, debemos de considerar los costos directos, indirectos y de operacin involucrados en un sistema.. para poderlos comparar con los beneficios obtenidos.
Los beneficios que justifican el desarrollo de un sistema pueden ser el ahorro en los costos de operacin, la reduccin del tiempo de proceso de un sistema, una mayor exactitud, un mejor servicio, una mejora en los procedimientos
de control, una mayor con fiabilidad y seguridad, una mejor comunicacin y en
forma ms eficiente.
Entre los problemas ms comunes en los sistemas estn los siguientes:

Falta de estndares en el desarrollo, en el anlisis y en la programacin .


Falta de participacin y de revisin por parte de la alta gerencia .
Falta de participacin de los usuarios.
Inadecuada especificacin del sistema al momento de hacer el diseo detallado.

Deficie1
Nueva
Inexpet
Diseo
Proyecc
Control
sobre el
Problen
01ento (
Inadect
Falta de
gramas
Docwn
Dificult
doCUJTIE
tna.

Problen
Proced

EvALU
En esta etap
para llevar
Sedebe1
cuatro fuent

La planE
nadoser
prender
cin. in<
justifica<
Los reqc
El in ven
bios que
Los requ
La situac

Planead<
En desar
En proce
En proce

de ms
imple
?VO, ('1)

el cual
, benes que
is para

Deficiente anlisis co~lo-beneficio.


Nueva tecnologa no u~ada o usada incorrectanwnt<'.
Inexperiencia por parte del personal de an.ilisi' v del de programacin.
D<Seo deficiente.
Proyeccin pobre de la forma en que se realiLar.i el ~1stema.
Control dbil o falta de control sobre las f.1scs de t>laboraon del SIStema y
sobre el sistema en si.
Problemas de auditora (poca participacin d<' auditora mterna en el mo
mento del diseo del sistema).
Inadecuados procedim ien tos de seguridad, de r<cuperacin y de archivos .
Falta de integracin de los sistemas (elaboracin de sistemas aislados o programas que no cst.n unidos como sistemas).
Documentacin 1nndccu.1da o inexistente.
Dificultad de dar mantenimiento al sistema, princopalmente por falta de
documentacin o por exce,;ivos camb1os y mod1hcac1ones hechos al s"te
ma.
Problemas en la convcrswn e implementacin.
Procedimientos incorrectos o no autorizados.

s pol

EvALUACiN DEL ANLISIS


>bar si
ron la
minauario,
.eccsi-

En l'Sta etapa se evaluar.in ),,s polticas, procedimiento' v normas que se tienen


pJra llevar a cabo el an.ilss.
Se deber evalu.1r 1,1 planeacin de las aplicacionc-; que pueden provenir de
cuatro fuentes pri ncpa l<s:

ctitud

;, pro,rcti-

La planeadn cstratl1gira: agrupando las apl ic;u:iont~h el'l conjuntos reJado ..


nados entre s y no como programas aislado,. las aplicaciones deben com

prender todos los ,;,temas que puedan ser d<',arrollados en la organi7a


cin, independientemente de los recursos que impliquen su desarrollo r
ustificacin en <'1 momento de la planeacn.

in\o-

idos.
lahosisteen tos
1yen

l.os requerimientos de Jo, usuarios.

El inventario de sistemas en proceso al recopilar 1.1 informacin de los ca m


bios que han sido solocit,>dos. sin importar si se clectu.lTOn o se registraron.
Los requerim i ento~ de l~1 organizacin y d(' los usucuios.

;;

La situacin d(' unil JplicJci<ln puede ser algunil de l,1s siguientes:

5n.
deta

Pl,uleada para "l'r d<"H!rrollada en el futun>.


En desarrollo.
En proceso, pero cun modificaciones en dl">.lrrollo.
En proceso con problemas d<tectados.

95
EVALUACIN
DEL ANAUSIS

96
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS

En proceso sin p roblemas.


En proceso espordicamente.

NOTA: Se deber documentar detalladamente la fuente que gener la necesidad


de la aplicacin. l a p rimera parte ser eva luar la forma en que se encuentran
especificadas las polticas, los procedi.mientos y los estndares de anlisis, si es
que se cumplen y si son los adecuados para la organizacin.
Es importante revisar la situacin en que se encuentran Jos manuales de
anlisis y ver si estn acordes con las necesidades de la organizacin. En algunas ocasiones se tiene w1a microcornputadora con sistemas sumamente senci
llos y se solicita que se lleve a cabo una serie de anlisis que despus hay que
plasmar en documentos sealados en los estndares, lo cual hace que esta fase
sea muy compleja y costosa. los sistemas y su documentacin deben estar acordes con las caractersticas y necesidades de una organizacin especifica; no se
deber tener la misma docwnentacin para tUl sistema que se va a usar en
computadoras personales, e l cu al debe de ser d ocumen tado en forma ms sencilla (el usuario no necesariamente debe de saber de computacin) que un sistema en red. Tambin deben de existir diferentes niveles de documentacin (documentacin para usuarios, para responsables de la informacin tcn ica).
Se debe evaluar la obtencin de datos sobre la operacin, el flujo, el nivel, la
jerarqua de la informacin que se tendr a travs del sistema, as como sus
lmites e interfases con otros sistemas. Se han de comparar los objetivos de los
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la
ejecucin deseada corresponde al actual.
la auditora en informtica debe evaluar los documentos y registros usados en la elaboracin del sistema, as como todas las salid as (pantallas, las cua
les deben tener una estructura "amigable") y reportes, la descripcin de las
actividades de flujo de la informacin y de proccdi.mientos, Jos archivos alma
cenados, las bases de datos, su uso y su relacin con otros archivos y sistemas,
su frecuencia de acceso, su conservacin, su seguridad y control, la documenta
cin propuesta, las entradas y salidas del sistema y los documentos fuente a
usarse.
Dentro del estudio de los sistemas en uso se deber solicitar:

Manual del usuario.


Descripcin de flujo de informacin.
Descripcin y distribucin d e informacin.
Manua 1de formas.
Manual de reportes.
Lista de archivos y especificacin.
Definicin de bases de datos.
Definicin de redes.

Con la informacin obtenida podremos dar respuesta a las sigttientes preguntas:

Se di
Se ti!
Est
Se d
tos)?
Los i
las f

El mayor
mientose>
turado cm

anlisis dE
error que
tras que e1
pru ebas d
sistemasd
que loserr
los sistem<
da osimpl
m.ientras q
sob re proc
d ecisiones
u sando he
El dia
requerimiE

grfico del
sarrollar Jo
Las m
de informa
rias para lo
son descrit
del nuevo:
El diag
la base par
nuevosiste
tado ra pri
computadc
soporte est.
tes de prog
sus caracte
COlllCnzar (

Se est ejecutando en forma correcta y diciente el proceso de informacin?


Puede ser simplificado para mejorar su aprovechamiento?

involucra e
vos y los pt

Se dl'tc tlner una mayor intNace~n con otros "~temas?


~ hene propuesto u.n adecuado control y '<!gundad sobre el sistema?
cesidad
uent1an
; is, si es

Est l'n e l anlisis la documentacin .1dt'cu.1da?


Se debe usar o tro tipo de tcnicas o de dispm.iti vos {redes, bases de datos)?
Los informes de salida son cmiables y adecuados?
L." pantallas y el sistema son amigables?

97
. ___ _
EVALUACION
DEL ANALISIS

1ales de
.n algu-

e scndtay que
Sta fase
uacorl; no se
lSar en

ls wnn st~t<.....

5n (do).
t..iveJ, Ja

no s us
.de los
o de la
>s usalS cua-

dc las
.almatemas,

neniaente a

ANLISIS y DISEO ESTRUCTURADO


El mavor obJeti,o del anlisis y diseo ~'Structur.ldO "'determinar los requeromoento,., e'acto,, de tal forma que.,., di.,.,o ol sistom.l rorr<>cto. El diseo estructurado <'mpl<'a una <erie de herrarruentas ;rafoc.1s y tcnocas que pernuten el
an.ili<s de tal forma que sea posoble conocor errores antes de que ocurran. Un
error que cJCurre durante la operacin puedo tcn<'r un costo de 30 a 90%, mien
tras que en la rase de aceptacin pued~ tenor un costo de 5 a 10%, en la fase de
prub,ls dl disei\o, de 4 a 7%, e n la de codificncin, d e 5%, e 11 la de diseo de
sisten1.1s dl' 3 a 6%, y en la d e anlisis de 1 ,, 4%, por lc1 cual es muy conveniente
qw lo-. errores sean detectados y elim i11.1dOs e11 las fases iniciales. En el caso de
k" <cstcma' tradtcionales la informacin pu~de c't"' mcompleta, no actuahzadd o 'impl<mente imprecisa, y esto" problema< put>do qu<.> no sean detectados,
mcntras qu<' en la programacin estrudur.lda el an.lhsta recolecta informaCin
sobre pro>ccdmiento> actuales, flujo- de mformaw\n, procesos de toma de
dt'Cl"ones v reportes, y as construye un modelo lo>goco de la situacin actuaL
""'ndo htrramienta, conocidas como d1agrama-. lgico- de flujo de datos.
El diagrama de flujo es muy til porque dctect.l los procesos lgicos, los
rrqucrimcnto, de mforrnacin, el fluj<> dt tnformacin, y provee un modl'lo
gr.ifiro do>l sistema actuaL que puede "l'r utoli7ado para detectar mejoras y de,uroll.lr los obetivos del nuevo sistema.
!.a' modificaciones mayores en lo-. pr<lCedomentos actuales, necesidades
de informacin y de los procesos de tomad~ decisiones, las cuales son necesanas pora lograr los objetivos, son constntid,h den tro del nuevo modelo lgico y
on dc;crit.lS gr.ficamente dentro de 1.1 propuesta del d iagrama lgico de flujo
dt 1nt.H'vo 'tistcma.
El diagr.lma lgico de flujo de datos dd sistcm.l propuesto se convierte en
la ba"l' para des.>rrollar y evaluar las diftmntc.. alternativas de diseo para el
nuevo ,,tema Las alternativas de diSeo puc'llcn mclmr las bases para la computadora proncipal (batclo), para el sistcm.l en lin<'a o distribuido, para las
romputador.ls dedicadas o rruncomputadt>r.h, \ para el rango de software que
<Oportc l"tas configuraciones, incluyendo tl dc..arrollo de software, los paquet,.., de programas, usando lenguaJes de cu.uta gcncr.lcin, las bases de datos y
'-U~ carach:r'tticao;. Una \ez que son wleccumada' f...,tac;; alternativas se puede
"'mtn>.u <'1 diSeo detallado y la m1plcmcntacin del sistema. Este proct'SO
'"' olu<ra el d'<!o de las salidas y de las entrada,, 1<" requerimientos de archovos v los procedimtentos de control.
1

'S pre-

tdn?

Diagrama
de llu)o de datos

98

Al utilizar
CAPITULO
EVALUACIN

EvALUACiN DEL DISEO

LGICO DEL SISTEMA

OE LOS SISTEMAS

En esta etapa se debern anali1.Jr las especificaciones del sistema:

Qu deber hacer?
Cmo lo deber hacer?
Cul es la ushficacin para que se haga de la manera senalada?
Cul es la secuencia y ocurrenaa de los datos?
La definicin del pr<><<"'<>.
Los archivos y ba~ de datos utiliz.ldos.
Las salidas y reportes.

Una vez que hemos anal"ado L>stas partes se deber estud1ar la pMhapacin que tuvo el usuario en la 1dentihcacin del nuevo sistema, la partiCipacitn
de auditora interna en el d,,.,,;o de los controles y la determmacin de los
procedimientos de operacitn y decbin.
Al tener el anlis is del disc1io lgico del sistema debemos compararlo con
lo que realmente se cst. obtenk'ndo: como en el caso de la administracin, en la
cual debemos evalu.1r lo planeado, cmo fue planeado y lo que rea 1mente se
est obteniendo (lo real).

PROGRAMAS DE DESARROLLO
Los programas de de<>.1rrollo mduyen software que slo puede '-Cr U'iildo por t'l
personal que ha ten1d0 entrenamiento y experiencia; este software mcluye:
A) Lenguajes de programacin:

Lenguaje de mquina .
Ensambladores.
De tercera generacin.
De cuarta generacin:
o
o

o
o
o

4GI.S.
Query languagt>s
Generadon.'S de "'portes.
Lengua,.., naturales.
Generadores de aphc.lCiones.

B) CASE (computa mdt<l ~ftware rt1mrrri11g).


C) Programacin ont'nt.ld.l ~ obctos.

Interfases<
dables y vi
Enlace de
determina
procesado'
un prograr
Capacidad
Capacidad
Licencias.
mltiple, e
T ransport.
Compatibl
Compab"bl
Fcil de u
Grado de'
Capacida
De fcil in
Demanda
Requerimi
Costo.
Seguridad

BAsEs
El banco de d.
temtica indq
La cantid,
grande, del or
Se consid
vos de datos
estn relacion
cirse que una
estructurado'

EIDBMS
de datos) es u
base de datos
El ronjunt<
m.acin de

Antonio V

AluWizar un determinado software se debe evaluar lo siguiente:

1icipapacin
de Jos
Jo con
,, en Ja

!nte se

Interfases de usuario grfico, para poder disear pantallas y reportes agradables y vi su a les.
Enlace de objetos en los sistemas de informacin. Esto nos permite unir
determinados o bjetos dentro de un documento, por ejem plo, unir un
procesador de palabra con tma hoja de clculo, o bien wr informacin de
un programa o sistema a otro programa o &i>tema.
Capacidad de trabajar <.>n multiplataformns.
Capacidad de trabajar en redes.
U~ncias. Verificar el tipo de licencia que se puede contratar (individual,
mltiple, corporativa).
Transportable.
Compatible con otro software.
Compatible con perifricos.
Fal de usar.
Grado de sofisticacin.
Capacidad de utilizacin en red.
De fcil instalacin.
Demanda de hardware.
Requerimientos de memoria.
Costo.
Seguridad y confidencialidad.

99
EVA~UACIN DEL

DISE~O ~OGICO
DE~ SISTEMA

BASES DE DATOS
por el
ye:

El banco de datos es el conjunto de datos que guardan entre s una coherencia


tem.ihca mdependiente del medio de almacenamiento.
La cantidad de informacin que contiene un banco de datos suele ser muy
grande, del orden de millones de datos.
Se considera que una base de datos es la organizacin sistemtica de archivos de datos para facitar su acceso, recuperacin y actualizacin, los cuales
I?Stn relacionados unos con otros y son trntados como una entidad. Puede decirse que una base de datos es un banco de datos organizado como tm tipo
I?Structurado de datos.
El OBMS (data base management system sistema de administracin de bases
de datos) es Wl conjunto de programas que permite manejar cmodamente una
ba..e de datos, o sea:
1'1 con1unto de facilidades y herramiru>tas de actuahz.lCin y recuperacin de informacin de una base de datos.'

Anton10 Vaqu('ro y Luis Jopnes, InformtiCa:

glO:~ilriO

dt tlrmin05 y siglas, McGraw-Hill.

Base de datos

En las bo~s de datos se debe evaluar:

100
CAPITULO 4
EVALUACIN
DE LOS SISTEMAS

La independencia de los da tos. Muchos de los p rogramas elaborados inter


na men te eran dependientes de los archivos creados por e llos mismos, o sea
que carecan de independencia. La falla de independencia significa que cada
vez que un archivo es cambiado, todo programa que acc~~ a ese archivo
debe ser cambiado.
Redundancia de los datos. Se deben evitar las redundancia~ en las bases de
datos.
tuv1semos el nombre completo de los alumnos en cada una de las bases
de datos en las que se accese. la cantidad de datos redundantes seria muy
alta.

Ejemplo

SI

Consistencia de los datos. El problema de redundancia en los datos no slo


provoca que se ocupe demasiado espacio en los discos, sino que tambin
puede causar el problema de inconsistencia en los datos, ya que se puede
cambiar en un archivo pero omitirse en algn otro de los archivos.
Un sistema de bases de datos es un conJunto de programas que:

Almacena los datos en forma uniforme y de manera consistente.


Organiza los datos en archivos en forma uniforme y consistente.
Permite el acceso a la informacin en forma wforme y consistente.
Elimina la redundancia innecesaria en los archivos.

ruy,1b funciones:
tl.u t-oporle a lo~
Dentro de la
1,, a1ta adnnistl
cion~s,

los usua:

Los modelo

jer.lrquicos.
De redes.
Relaciona le
Orientados

Entre las \'(

Compartir
Reduccin
Mejora de 1
lndcpende1
Incrementa
Mejora el e
l ncreJnentc

cia de la in

Los componentes a evaluar dentro de una base de dato~ son:

Diccionario/ directorio de datos .


Lenguajes de datos (lenguajcs dc descripcin de datos: DDL; lenguajes de
manipu lacin de datos: DML).
Monitorco de teleproceso .
r le rramientas de d esa rrollo de aplicaciones.
Software de seguridad .
Sistemas de almacenamiento, respaldo y recuperacin .
Rcportcadores .
Query lnr1guages (structured query lauguage: SQL; natura/lauguage queries, query
by rxample: QBE).
BaS(':, de datos de multiplataformas.
Web server software (u>Orld witle tueb: "ww).

EL ADMINISTRADOR DE BASES DE DATOS


El desarrollo de las bases de datos ha creado la necesidad dentro de la organiza
cin de contar con un organismo encargado de administrar las bases de datos,

Problemas e
de administl

Cuando varios:
no fue disead
no existe un Ct
m.is usuarios 1
momento, y n
vos. Este tipo
computadoras
cotCtualizacione
TambinF
to, lo cual se a
de datos.
Problema
trol para que!
dl'be definir E
acceder datos
tario de la~

cuya; funciones son las de planear, d isear, organizar, operar, entreruu, as como
d.~r soporte

in ter-

osea
~cada

chivo

a los usuarios, seguridad y mantenimiento.


Dentro de las funciones d e este organismo estn las de tener relaciones con
la nlta adminis tracin, Jos analistas de sistemas, los p rogramadores de aplica
ciones, los usuarios y los programadores de s is temas.
Los modelos de bases de datos pueden ser:

;es de

jerrquicos.
Dt- redes.
Relacionales.
Orientados a objetos.

oslo
nbin
Juede

Entre 1,1s ventajas del sistema de bases de da too. se encuentran:

Compartir datos.
Reduccin de redundan cia de datos.
Mejora de la consis tencia de los d atos.
Independencia de datos.
Incrementa la productividad del programador de aplicaciones y de usuarios.
Mejora el control y la administracin de los datos.
Incrementa el nfasis de Jos datos como un recurso. Aumenta la importan
cia de la informacin como parte fundamental de la administracin.

jes de

.query

:miza~

datos,

Problemas de los sistemas


de administracin de bases de datos
Cuando va rios usuarios utilizan una base de datos, pueden existir problemas si
no fue diseada para usuarios mltiples. Uno de estos p roblemas surge cuando
no existe un control sobre la actualizacin inmediata. Esto significa que dos o
ms usuarios pueden estar elaborando cambios a l mismo archivo en el mismo
momento, y no exis te control sobre la actua li zacin inmediata de los archi
vos. Este tipo de problemas existe principaln11mte eJt las bases de datos de
computadoras personales, ya que Jos grandes sist~mas tienen control sobre las
actualU..ciones inmediatas.
Tambin pueden existir problemas en el uso de recursos excesivos de c6mpu
lo, lo cual se agrava si no se tiene un mantenimiento constante sobre las bases
de datos.
Problemas de seguridad. Las bases de dat~ deben de tener suficiente ron
trol para que se asegure que slo personal autorizado pueda acceder datos, y se
debe definir el tipo de usuario que pueda adicionar, dar de baja, actualizar o
Jcccder datos dependiendo de su llave de entrada, as como el usuario propietario de la base de datos.

101
EVALUACIN DEL
DISE~O LGICO
DEL SISTEMA

102

Los
CAPITULO 4

EVALUACIN
DE LOS SISTEMAS

CoMUNICACiN

Se debe evaluar el modo de comunicacin y el cdigo empleado. Los diferentes


modos de comunicacin varan dependiendo del tipo de informacin que transmitimos y el costo del med io empleado.
El medio de comunicacin es tambin un factor importante a evaluar, y ste
depender de la velocidad y capacidad de transmisin, lo cual est directamente relacionado con el costo (cables trenzados, cable coaxial, fibra ptica, microondas, ondas de radio, infrarrojas).
Los componentes ms comunes dentro de lln sistema de comunicacin son:

Con
cin

Servidor y husped.
Terminal o estacin de trabajo.
Convertidores de protocolo.
Mdem.
Equipo de conexin de terminales.
Modo de comunicacin.
Medio de comunicacin.
Topologa de las redes:
o
o

o
o

De punto a punto o estrella y topologa jerrquica.


Mutidrop o bus y ring.
Mesh.
Sin cables (wireless ).

que
oca~

o
o

Cost

Corr

Segt

Los

Tipo de redes:

Local.
Wide area networks (WAN).
Enterprise.

Internacional.

En general las redes pueden ser caras y pueden crear complicaciones en el


sistema de informacin, pero pueden ser justificables por alguna o varias de las
siguientes razones:

Tier

Compartir perifricos.
Compartir arclvos.
Compartir aplicaciones.
Reducir costos de adquisicin, instalacin y manten imiento de software.
Conexin con otras redes.
Caphua de datos en lugares que son de infom1acin.
Aumentar productividad.
Permitir expansin.
Disminuir tiempo de comunicacin.
Aumentar control.
Seguridad.

Entr
Salic
Proc
Espe
Espe
Mtc
Ope
Man
tos).
Proo
ldent
Proo
Frea
Siste1

Siste1
Resp
la inf

Nm
Softv

Base!
Enci

INFOI
Cuandos
mente en

1M> pw1tos a revisar en las redes son:


Confiabilidad de las redes. Un sistema con redes que estn constantemente
"caldas", o que no sea confiable, provoca muchos problemas a la organizacin y cuestiona su funcionamiento.
~ren tes
~ trans-

Tiempo de respuesta. Una red que sea lenta en sus operaciones, provoca
que los usuarios la eviten o no la utilicen. Entre los problemas que puede
ocasionar esta lentitud estn:

, y ste

tamen-

icroon-

:Snson:

La distancia que tiene que recorrer y la forma en que se transmite.


La cantidad de trfico en la red.

La capacidad de los canales de comunicacin.


Factores externos a la red, como puede ser la estructura de las bases de
datos.

Costo de la red.
Compatibilidad con otras redes.
Seguridad en las redes.
Los puntos a evaluar en el d iseo lgico del sistema son:

~en el
.de las

Enhadas.
Salidas.
P1ocesos.
Espcclficaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
\<lanipulaciones de datos (antes y despus del proceso electrnico de datos).
Proceso lgico (necesario para producir informes).
ldcntficadn de archivos, tamao de los campos y registros.
P~ en lfnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables (tipos de usuarios, identificando los usuarios p ropietarios de
In informacin).
Nmero de usuarios.
Software necesario.
Bases de datos requeridos.
En ca&o de redes determinar su tipo y caractersticas.

vare.

INFORMES
Cuando se analiza un sistema de informtica es muy comn pensar exclusivamente en la parte relacionada con la informtica, olvid;\ndonos de que un siste-

103
EVALUACIN DEL
DISEAO LOOICO
DEL SISTEMA

104
CAPITulO

EVALU~CIN

DE LOS SISTEMAS

ma comprend~ d~e el momento en que se genera un dato, as como su proc


<amiento, retroalimentacin y salida. Es muy comro que solamente se evalerl
proce!.am1ento de la informacin y su almacenamiento dejando fuera la evalua
cin de aquello que es el inicio del sistema. el seguimiento admintstrativo y la
obtencin de los reportes y salidas de informacin.
Lo que debemos determinar en el sistema es:

tnform.
gr,lta r
\

t~rifiCI

~tuada

Rayad!
u~l cor

En el prOCL"<iamiento:

Quan hace la funcin. cundo y cmo?


Qu formas se utilizan en el sistema?
Son n~rias, se usan. estn duplicadas?
El nmero de copias es el adecuado?
Exi~t'n puntos de control o faltan?

ln stru1
a u tOlO$
qul'el)
De no:
p.~rd

s ltln

yt

En la grJfica de nujo de informacin:


o
o

o
o

"e

CXCl"'l \'

Es f.lcil de usar?
Es lgica?
Se encontraron lagunas?
Hay fa lta de control?

En las formas de diseo:


o
o
o
o
o

Cmo est.i usada la forma en el sistema?


Qu<' tan bien se ajusta la forma al procedimiellto?
Cul es el propsito, por qu se usa?
Se usa y es necesaria?
El nmero de copias es el adecuado?
Quin lo usa?

Entre los elementos a revisar en el diseo de formas estn:


Numeracin. E~t.i numerada la forma? Es necesaria su numeracin? E,tJ
situada en un solo lugar fcil de encontrar? Cmo se controlan las hoJaS numt
radas y 'u utili7.acin?
Ttulo. Da el ttulo de la forma una idea clara sobre su funcin b.isica?
Espacio. Si la forma va ser mecanografiada. hay suficiente espacio para escn
bir a m~quina rJpidamente, con exactitud y eficiencia? Si la forma se llenar a
mano, hay despacio adecuado para que se escriba en forma legible?
Tabulacin. Si la forma va ser mecanografiada, permite su tabulacin llenarla
umformemente? Es la tabulacin la mnima posible? Una excesiva tabulacin
dtsmanuye la velocidad y eficiencia para llenarla. Adems le da una aparienc1a
desigual y confu~.1.

Firmas.
d,lmlnl

c.:omo u
fi rm,H'I<

No mbr
cJuo en
rot.>ri<ll
Encabe
qu firn
Rtulo!
,\dl'CU,l(

uhacJci(

Ubcaci
dondt.'
n,;rafa

p..u,1 C'S(
Casiller
c,lCIn r
ce..,IVOS~

Tipo dt

U"-' PF
un man
p..lr..l fl'\

Tamac
Zonas. Est.ln juntos los datos relacionados entre s? Si los datos similares estn
agrupados por zonas, todas las personas que usan la forma ahorran tiempo. La

,,justa ,\
jo, tit_lmJ

su proceevale el
aevaluaativo y la

informacin s imilar reunida por zonas hace ms fcil su referencia, se mecanografa ms e ficientemente y se revisa con ms rapid~?.. Posteriormente, se debe
verificar que las zonas de las formas que sean utilizadas para captura estn
situadas de manera congruente con el diseo de las pantallas de captura.
Rayado. Da la forma una apariencia desordenada y difcil de entender por el
uso confuso y excesivo de lneas delgadas, gruesas o de doble raya?
Instrucciones. Se le dice al usuario cmo debe llenar la forma? Formas
autoinstructivas o que suministran la itormacin de cmo llenarlas permiten
que el personal nuevo y los otros trabajen con superv is in y errores mnimos.
De no ser as, existe un manual de llenado de rormas, el cual se debe revisar
para ver si las instrucciones son claras, si son congruentes con la forma y si son
excesivas, ya que un diseo excesivo de instrucciones puede provocar confusin y hacer que stas sean poco claras.
Firmas. Existe suficiente espacio para una firma legible? Est el espacio debidamente identificado rl!l>pecto a la fuma que se solicita? La firma se utiliza
como un mero trmite o realmente controla la persona que ftrma lo que se e;,t
rirmando?
Nombres. Se usan Jos nombres de los puestos en lugar del nombre de l individuo en la forma? No es conveniente itnprimir nombres de personas debido a la
rotacin de persona1.
Encabezados ambiguos. Se indica con exactitud qu fechas, qu nmeros o

qu firmas se requieren? Se deben evitar encabez.1dos dudosos o ambiguos.


Rtulos. Son demasiados llamativos? Son demasiado discretos? Existe un
adecuado contraste entre los rtulos y los textos respecto a su tamatio, color y
ubicacin, para que los datos solicitados sea11 identi ficados fcilmente?
n? Est
tS numt!t?

Ubicacin de los rtulos. Estn los rtulos o encabeados debajo de la l.nca en


donde se debe mecanografiar? Esto causa prdida de tiempo, porque la mecangrafa tiene que mover el carro para ver el rtulo y acomodarlo nuevamente
para escribir la informacin deseada.

ara escriJenar a

Casilleros. Se usan pequeos espacios enmarcados ()para con una sola indicacin reducir escritos largos o repetitivos? Los espacios son suficientes o excesivos?

llenarla
'uladn
ariencia

Tipo de papel. Son el peso y calidad d el papel apro piados para esa forma?
Use papel ms pesado y de mejor ca lidad pa ta aquellas formas que requieren
un manejo excesivo. Use papel de menor peso con formas que se usen poco,
para reducir costo y espacio en los archivos.

-es estn

mpo. La

Tamaos estndar.Tiene la forma un tamao estndar? El tamao estndar <e


ajusta a sobres) archivos estndar. Adems redure existencias de papel, manejo, tiempo y costo de impresin. Se debe considerar que el costo del papel que

105
EVALUACION DEL

DISEO LGICO

DEL SISTEMA

106
CAPITuLO 4

1Figura 4.1. Descripcin de informes 1

EVALUACiN

FECHA

DE LOS SISTEMAS

1 SISTEMA

NOMBRE DEL INFORME

1-PROPSITO

CLAVE

OUiN LO FORMULA

PERIODICIDAD

VOLUMEN EN HOJAS

EN VIGOR
DESDE _ _

FECHA EN OUE DEBE PRESENTARSE


NM. COPIAS

OPORTUNIDAD CONFIABILIDAD COMPLETO

COPIA

---

uso

USUARIO

ORIGINAL

1a.
2&.

3a.
4a

NUM.

DESCRIPCIN DEL PROCEDIMIENTO

'ANEXAR COPIA FOTOSTTICA DEL INFORME Y DEL DIAGRAMA OE FLUJO


jANALIZ

PG.

DE

1Figura 4.2. Anlisis de Informes

107.__

11

FUNCIN

DEl SISTEMA

>O.I8AE DEL INFORME


PIIOPOSITO DEl jf.fORMf!
CIUtN LO FORMUL.A
OU( LO ()RIGjNA
VOWUEN DE HOJAS O REGISmOS
FOAW. oe HACERt.O
P!lj00PAL USUAAIO

FECHA TliORICA OE PRESENTAaN


FECHA DE PRESENTAaN
NIVEL 0E INFOOMACION
EN 'IIGOR OESOE
UOOIFICACtONES

PERIOOtCIOAO

PERKXltCIOAD

OTROS GATOS

TANTOS

~-

CO~OR

1-

D"TOS QUE CONTIENE

1 -

FECHA

- f-

RECOPIL

EVALUACION DEL
DISEO LGICO

ORDEN DE LOS D"TOS

REVIS

iN DICE
PGINA

DE

__J

109
Figura 4.4. Evaluacin de formas

UTILIZACIN

EVALUACION DEl
DISENo lGICO
DEl SISTEMA

PREPARAC.ON

IW:A8EZAOOS EN ORDEN CRONOLGICO

SI NO

RENGLONES OE DATOS EN ORDEN


CRONOLGICO SEGUN FLUJO

SI NO

~MATOS ESTANOAR

SI NO

DATOS CONSTANTeS PREIMPRESO$

SI NO

OESCR S CLARAMENTE El
USUARIO

SI NO

ESPACIOS SUFICIENTES SEGUN


MANH4A DE PREPARACION

si

CCAAS FAQ. DE IOENTIACAR

si

NO

COPIA$ FACI. DE SEPARARSE

SI NO

CCPIAS C<AAAS PARA UN BUe<

si

NO

TA811 A00N U~FORME

SI NO

A(QISTAO

1FECHA

NO

SUfatNTe CAliDAD DEL PAPEl.


PAAA. LA VWlA DE LA FORMA

SI NO

ENCABE ZAOOS AAAI8A DE LAS


AAL4S PARA llEI<AR

si NO

F.ICIL DE ....,.EJAA V AACHVAA

si NO

4.I!'IUZ.A ESPAOOS ENW.ACAOOS

si

FACILDE t.t~MAO
REPf'OOUCIR

si NO

MEOtDA ESTNDAR DE PAPEL

SI NO

TlflllOS Y ENCABEZADOS BIEN

SI NO

CALIDAD DE PAPEl APROPIADO

SI NO

ES CONGRUENTE CON LAS


PANTALlAS OE CAPTURA

si

RfOUIERr: NU""EAO OE CONTAOL


SECUENCiAL

SI NO

~ALANCEADOS

NO

NO

'1()

NO
'1()

CONTROL

NUMERO 0E CLAVE

st NO

PlOU LRE AUtORIZACIN PARA


RE'IMffi M ASE

si

NO

-" '

ANALIZAOO POR

110

Figura 4.5. Evaluacin de formas


CAPfruLO
EVAI.UACIOH
DE LOS SISTEMAS

A OONOCE LA PEASONAOUE FORMULA


EL DOCUMENTO. EL 08JE1l\IO
Y LA IMPOfi'TANCIA DEL MISMO?

Si _ _ NO _ _
Sl

B OUE OPINIOH TIENE


EL EMPI.V4)() DEL MANEJO

DE ESTE OOCUMENTO'I

C OUe PROBLEMAS EXISTEN


EN SU ELABORACION?

AUTOAIZAI

O EXISTE RETRASO EN SU
FORMULACIN?

si _ _

NO

MOTIVO

E. SE USA LA FORMA

NO PARCIAL
MENTE

EN FORMA
INCORRECTA

El USO QUE SE DA A LA FORMA


EN LOS DIFEREN res LUGARES ES EL ADECUADO?
EN

EN FORMA
CORRECTA

SI _ _ NO

oue cASO v POR aue?

CONSIDERA OUE SE PUEDEN


HACER CAMBIOS A LA FORMA
PARA S MPUFICAR TRABAJO
Y PFIOCEDIIAIENTO'I

08JETIV(

13

SI _ _ NO _ _
DESTINO

CULES SON POR

oue Y CUALES

SERIAN LOS BENEFICIOS?

ta. COPIA
O OP NION GENERAL
2a. COPIA

3o COPIA
4a COPIA

FECHA - - - - - - - - - - AUDITOR

111.__~-

Figura 4.6. Descripcin de formas

10 _

_
SSTEMA

FOR'AA
EW!ORADA NOM8RE
PUESTO
AUTORIZADA NOMBRE

~~'"~"1
OOJETlVO

- -

EVAlUACIN OEL
DISEO L0Goco
DEL SISTEMA

__
DESTINO

1ORDEN

la COPIA

:U COPIA
Ja. COPIA

1---4a.COPIA
~COPIA

6a COPIA
. .

7a. COPIA

uso

DESTINO

ORKliHAL

no es de
estndar.

112
Figura 4.7. Descripcin de formas de papelera

CAP[TUL04
EVALUACIN
DE LOS SISTEMAS

1SISTEMA

C olot. Pe

1FECHA

mas encole
l"-, son di.((

NOMBRE

OBJETIVO _ _ _ _ _ __

FRECUENCIA - - - - - - -

QUIEN FORMULA - - - - - - - - -- - - -

VOLUMEN MENSUAL _ _ _ __

FORMA DE LLENARLA - - - - - -- - -

EN VIGOR OESOE - - - - -

FOLIO IMPFIESO
OU~

sr

NO

sin (.ne~rc)
cuid ado tar
estar ident'

Como
d escri pcit

NM. DE COPIA$ - - - - - -

LA ORIGINA _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __

ANL
A QU DA ORIGEN

Una vez q
in (ormesp;
la encuesta
se la figura
c ribir el cor

RECOMENDACIONES AL IMPRIMIR

COPIA NM.

COLOR

PROCEDIMIENTO, USO V DESTINO DE CADA COPIA

FIRMA NECESAR A

cin.

ORIGINAL

Ru10c

En la audito
que tie ne ce

En prin
La trans
prcnda.2

El ruidc
solamente le

OBSERVACIONES

Koontz/O'I

CualquiE
za la con
ANALIZ

PGINA

DE
2

Kooot...: :

no es de tamao estndar es considerablemente mayor que el de tamao


est.indar.
Color. Pemutc el contraste del color del papel una lectura eficiente? las for
mas en colore., como el anaranjado, el verdc, cl azul, el gris, etc., en tonos OSCU
ros. son difnlcs de leer porquc no ofrecen suficiente contraste entre la impre<.ln (negro) y el papel. Ciertos colores brillantes cansan la vista. Se debe tener
cuidado tanto en el color del papel como en el color de la tinta. Las copias deben
"'t..r identificada, de acuerdo con el color.
Como ejemplo de anlisis de formas vase las figuras 4.3, 4.4 y 4.5; para la
descripcin de formas vase las figuras 4.6 y 4.7.

ANLISIS DE INFORMES
Una vez que se han esnod iado los forma tos d e entrada debem os analizar los
informes para pobteriormcnte evaluarlos con la informacin p ro po rcionada por
la encuesta a los usuarios. Como ejemplo de la descripcin de los informes va
se la figura 4.1, y para el a nlisis de los informes la figura 4.2. Des pus de des
cribir e l contenido de los informes se debe tener el anlisis de d atos e informa
rin.

Ru10o, REDUNDANCIA, ENTROPA


En la auditora de sistemas hay que estudiar la redundancia, el ruido y la entropa
que tiene cada uno de los sistemas.
En primer lugar, debemos considerar como comunicacin:
la tr.anc;f~nmcia de mforrn..1dn del emisor al receptor de manera que ste la com
prenda.1

El ruido es todo aquello que interfiere en una adecuada comunicacin; no


solamente los sonidos sino todo aquello que 1mpida la adecuada comunican.
Koontz/O'Donnel definen el ruido como:
Cualquier COs.l (sea m el embor, en la transmito:in
za la comunicacin.

Koont:t

y O'Donncl, AdmimstrRr..dtr,

McCraw-JBll.

o en el receptor) que obstaculi-

113
EVAlUACIN DEL
DISEO LGICO
DEL SISTEMA

114
CAPITULO
4
EVALUACiN
DE LOS SISTEMAS

As, por ejemplo, si una persona se encuentra jugando, sin hacer necesariamente algn sonido, en el momento que otra est hablando, se considera como
tipo de ruido para el sistema.
En el caso de un sistema computarizado, el error en una captura, una pan
talla de la terminal demasiado llena de informacin y poco entend ible o un
reporte inadecuado se deben considerar como ruido en el sistema, ya que impi
den una buena comunicacin de la informacin. En el caso de los sistemas se
debe evaluar lo que se conoce como "sistema amigable", lo cual significa:

Que tenga las ayudas necesarias para el caso de alguna duda (help).
Que contenga los catlogos necesarios para el caso de referencias.
Que tenga las ligas automticas con otros sistemas para obtener informacin o para consulta (conexiones automticas a otras bases de datos o redes).
Que la informacin sea solicitada en forma secuencial y lgica.
Que sea de fcil lectura y, en su caso, escritura.
Que sea rpido, gil, y que contenga una limpieza que permita una fdl
visualizacin.

La redundancia es toda aquella duplicidad que tiene el sistema con la finalidad de que, en caso de que exista ruido, permita que la informacin llegue al
receptor en forma adecuada.
Podemos enviar un mensaje de la forma siguiente:

Ejemplo

Funcin de la
redundancia

Ejemplo

Lleg por avin el da martes 3 1 de octubre de 2000 del presente ao, a las
16:00 hrs. de la tarde a la ciudad de Cancn, Quintana Roo, Mxico.
En el mensaje anterior tenemos excesiva redundancia debido a que el31
de octubre de 2000 es martes y si estamos en 2000 es del presente ao. Las
16:00 hrs. siempre sern de la tarde y la ciudad de Cancn est slo en el
estado de Quintana Roo, Mxico. En cambio puede ser incompleta, ya que no
se especifica la lnea area ni el vuelo en que llegar.

La redundancia puede ser conveniente en el caso de que haya que cercie>rarsc de que la informacin se recibe correctamente. Esto estar en funcin de lo
delicada que sea la informacin y del riesgo que se corre en caso de una prdida
total o parcial de la misma.
Un ejemplo de redundancia dentro de las mquinas es el BIT de paridnd, el
cual permite que en caso de prdida de un BIT, se pueda recuperar la informa
cin que contiene el byte.
La redw1dancia es una forma de control que permite que, aunque exista
ruido, la comunicacin pueda llevarse a cabo en forma eficiente; deber haber
mayor redundancia entre ms arriesgada, costosa o peligrosa sea la prdida de
informacin, aunque, a la vez, debemos estar conscientes de que el exceso de
redundancia puede provocar ruido.
Es el caso de un profesor que por desear ser muy claro, se dedica a dar
demasiados ejemplos; puede provocar ruido en el sentido que llega a confundir o a aburrir a sus alumnos y que el nmero excesivo de ejemplos impida
una adecuada comunicacin.

En l.
ro adeCll
mita un~
redunda
Tam
increme1

de contr
bien que
requiere

Entropi
El dicciot
Can ti

Laer
el cual es
del sisteo
En la
entra
En ut
entropa,
nera quet
otro sistet
Al cap
de infc

EvAL
En esta et.
guaje utili
hardware
Aleva
debe propo
eficazyop
obtener un
se contar

Nuevo'

cesariaa como

na panle o t<n

eimpi ?mas se

ca:

'orma05 o re-

En la auditora se debe considerar que todo sistema ha de ofrecer un nmero adecuado de redundancia, segn su nivel de importancia, de modo que permita una buena comunicacin, aun en el caso de que exis ta ruido, pero s in ser la
1\?dundancia de tal magnitud que a su vez provoqU(' ruido.
Tambin debemos considerar que con un mayor control y redundancia se
incr~mcn ta tambin el costo de los sistema . llay qu(' tene r un adecuado nivel
dr control y redundancia, que no sea de tal magnitud que provoque ruido o
b1en que no sea demasiado costoso en relacin con e l nivel de segurid ad que
r.quiere el sistema.

115
EVALUACION DEL

DESARROU.O
DEL SISTEMA

Entropa
d diccionario la defme como:
Canhdad de energa que por su degradacin no puede aprove<harse.'

na fcil
1a entropa en un s is tema, por ejemplo de un motor, es el calor que genera,
1 cual es energa que por sus caractersticas no puede aprovecharse. En el caso

la fina-

egue a l

las

131

las
nel
HIO

cercio5nde lo
:>rdida
idad, el
ormae exista
haber
dida de
ceso de

del sistema llamado motor se utiliza esta entropa.


En la calefaccin del automvil o bien para calentar el aire y la gasolina que
entra at motor (en el caso de motores turbo).

Ejemplo

En un sistema computarizado debemrn. procurar reducir al mximo esta


entropa, y una de las formas de reducirla e:. interconectar sistemas, de tal mantra qu~ esa cantidad de energa no u !.<Ida en un &i~tema pueda ser utilizada en
ro sistema.
Al capturar el catlogo de clientes para el sstema de cobmnzas, con un poco
de Informacin adicional lo podemos utilizar en contabilidad.

EvALUACiN DEL DESARROLLO DEL SISTEMA


En esta etapa del s istema se debern aud itar los programas, su diseo, e l lenguaje utili1ado, la interconexin entre los programas y las caracters ticas del
hardwilrc empleado (total o parcial) para el desarrollo del sistema.
Al evaluar un sistema de informacin se tendr presente que todo sistema
debe proporcionar informacin para p lanear, organi>ar y controlar de manera
mea.< y oportuna, as como para reducir la duplicidad de datos y de reportes, y
obtener una mayor seguridad en la forma mjs econmica posible. De ese modo
!<!contar con los mejores elementos para una adecuada toma de decisiones.

dar
'un)ida
' Nrt'A'I diionario e.spool iltc.Sirado SoptmA.

Ejemplo,

116
CAPiTuLO 4
EVALliACION
DE LOS SISTEMAS

SISTEMAS DISTRIBUIDOS, INTERNET,

COMUNICACIN ENTRE OFICINAS


Los sistemas d1stribuido~ se pueden definir como el sistema en el cual Ir
computadoras y los dato.. estn en ms de un lugar (sllt'), asi como Jo, p~
mas de aplicacin. Ejemplos de esto son las redes W AN, PBX, LAN, 1ntemet.
Las razones pa ra implementar un sistema cstribuido son:

Mejora del hempo de respuesta.


Reduccin de costos.
Mejora de exactitud en la actual iLacin.
Reduccin del costo de la computadora principal (mainframt) y la depe~>
dencia a una sola computador,,,
Puede tener<;e un cr~cimicnto planeado. En lugar de grandes equipos que
dificultan su administracin, organizacin, y que requieren de espacio- m
amplios, se tienen equipos d~-.centrali7.1dos que son ms fcil('S de adm.
nis trar y de controlar su crecimiento.
Incremento de confian..a, ya que si falla l'l equipo principal no significa que
falle todo el sistema.
Compartir r~'CUrsos.
Aumenta la satisfaccin de los usuarios, Y' que las computadoras y el desarrollo pueden estar ms cerca del usuario.
En bases d~ datos se puede usar el concepto clumte/serv1dor y Strrt

Qmry La11guage (SQL).

Los puntos que se deben co~iderar al evaluar un ~istema di!>tribuido"-"'

Evaluacion
de sistemas

Falla de personal calificado en todos los puntos dl'l sis tema.


Estandari7...ad6n.
Documentacin.
Prd1da de datos.
Seguridad.
Co~istencia de los datos.
Mantenimiento del SIStema.

Al tener un proceso d i~tribuido es preci~o consid(rar la seguridad del m<


vimiento de la informacin entn> nodos. El proceso de planeacin de <i'tl~
debe definir la red ptima de comurucacion~, recordando que el plan de p.
caciones proporciona informacin de la ubicacin p lanead a de las terminales.
los tipos de mensajes requeridos, el trfico ~perado en las lnea., de comuruc.~
cin y otros factores que afl'Ctan el diseo.
Es importante considerar las variables que afectan a un sistema: ubiC.lCion
en los niveles de la organir-<lcin, tamao y recursos que utili?a.
Las caractersticas que deben evaluarse en los sistemas son:

Dinmicos (susceptibles de modificarse).

Com
Opq
run
1S
11 1 V~

Mo
J<'ra

S...'g
U ni

ln

st.l no"'

Co~
Deb1do

f reCUllJlt

una pe
nd.1dese
d e into

de un,1 a
la tcmc~

,Que
de l pr~s
del m1s
menteup
porqu" e
e.-ta , u.11'
poroonar
l'.ua l
t.~ l

an,llist

el cu. l o;e
plan .,.
para t:val

el cual las
los progra1, Internet.

y la depenquipos que
oadosmuy
s de adngnifica que

Transportables (que puedan ser usados en diferentes mquinas y en diferentes plataformas).


Estructurados (las interacciones de sus componentes o subsistemas deben
actuar como un todo).
1tegrados (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados.
Accesibles (que estn disponibles).
Necesarios (que se pruebe su utilizacin).
Comprensibles (que contengan todos los atributos).
Oporhmos (que est la informacin en el momento que se requiere).
Funcionales (que proporcionen la informacin adecuada a cada nivel).
Estndar (que la informacin tenga la misma interpretacin en los distintos
niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
Seguros (que slo las personas autorizadas tengan acceso).
nicos (que no dupliquen informacin).
En relacin con otros sistemas deben de estar interconectados de tal forma que permitan un sistema integral, y no una serie de programas o sistemas
aislados.
Se deben de tener sistemas que tengan la necesaria redundancia, pero que
sta no sea tan grande que provoque que el sistema sea lento o ineficiente.

syel desa-

Struct ured

CoNTROL DE PROYECTos

)uido son:

ddel mo:sistemas
nde aplirminales,
omunica-

Jbicacin

Debido a las caractersticas propias del anlisis y de la programacin es muy


frecuente que la implantacin de los sistemas se retrase, y Ucga a suceder que
una persona trabaje varios aos en un sistema o bien que se presenten irregularidades en las que los programadores realizan actividades ajenas a la d i(eccin
de informtica. Para poder controlar el avance de los sistemas, ya que se trata
de una actividad intelectual de difcil evaluacin, se recomienda que se utilice
la tcnica de administracin por proyectos para su adecuado control.
Qu significa que un sistema sea liberado en el plaw establecido y dentro
del presupuesto? Pues sencillamente que el grado de control en el desarrollo
del mismo es el adecuado o tal vez el ptimo. Pero esto no se consigue gratuitamente o porque la experiencia o calidad del personal de desarroUo sea alta, sino
porque existe lUl grado de control durante su desarrollo que permite obtener
esta cualidad. Cabe preguntar aqu: qwn es el elemento adecuado para proporcionar este grado de control?
Para poder tener una buena administracin por proyectos se requ iere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en
el cual se especifiquen actividades, metas, personal participante y tiempos. Este
plan debe ser revisado peridicamente (semanal, mensual o bimestralmente)
para evaluar el avance respecto a lo programado.

117
CONTROl.
DE PROYECTOS

118
CAPTUL04

EVALUACIN
DE LOS SISTE..AS

La cslruclura estndar de la plancacin de proyectos deber incluir la faci


lidad de osignar fechas predefinidas de terminacin de cada tarea. Entre esla~
fechas debe estar el calendario de reuniones de revisin, las cuales tendrn dJ.
ferentes niveles de detalle. Son nere&arias las reuniones a nivel tcnico con la
participacin del personal especializado de la direccin de informtica, para
definir la factibilidad de la solucin y los resultados planeados. Son muy ll'
portantes las reuniones con los usuarios finales, para verificar la validez de lo!
resultdos esperados.
L.l evaluacin de proyectos y su control puede realizar'!(! de acuerdo con
d iferentes autores. A manera de ejemplo presentamos el siguiente cueslionaria
1. Existe una lista de proyectos de sistema de procesamiento de infolllla
cin y fechas programadas de implantacin que puedan ser considerados
como plan maestro?
2. Est relacionado el plan maestro con un plan general de desarrollo de la
dependencia?
3. Ofrece el plan maestro la atencin de solicitudes urgentes de los usuarios?
4. Asigna el plan maestro un porcentaje del tiempo total de produin aJ
reproceso o fallas de equipo?
Poner la lista de proyectos a corto y a largo plazos.
Poner una lista de sistemas en proceso de periodicidad y de usuanos.

5.
6.
7
8.
9.
10.
11
12.
13.
14.
15.
16.

QUin autoriza los proyectos?


Cmo se asignan los recursos?
Cmo se estiman los toempos de duracon?
Quien interviene en la planeacin de los proyectos?
Cmo se calcula el presupuesto del pnoyecto?
Qu tcnicas se usan en el control de los proyectos?
QUin asigna las prlordades?
Cmo se asignan las prioridades?
Cmo se controla el avance del proyecto?
Con qu periodicidad se revtsa el reporte de avance del proyecto?
Cmo se estima el rendimiento del personal?
Con qu frecuencia so estiman los costos del proyecto para compararlo
con lo presupuestado?
17 Qu acciones correcttvas se toman en caso de desviaciones?
18. Qu pasos y tcrucas se siguen en la planeacin y control de los proyec
los? Enumrelos secuencialmente.
(
(
(
(
(
(
(
(
(
(

)
)
)
)
)
)
)
)
)
)

Determinacin de los objetivos.


Se~alamiento de las poliUcas.
Designacin del funcionario responsable del proyecto.
Integracin del grupo de trabajo.
Integracin de un comit do decisiones.
Desarrollo do la investigacin.
Documentacin do la nvestgacin.
Factibilidad de los sistemas.
Anlisis y valuacin de propuestas.
Seleccin de eqwpos

t 9.
De anlisis
De programE
Observaco

lllduir el 1
el departa
'"~i .1, s~gun la si
Como ejer
r.ll<'ndilrio de
s,>ll'' del sistf
ftgura 4.12; de
los m formes d
avanc<:> de pro
<Jll<'

~dcbcrJ

tran en procc:
<Umple con s~

CoNTR
V PROGf
1 1ol>Jctivo de
fu
p~lr,"' su mane:_
Lc.l::; rcv-isi
~r~.unacin, y
ctfa4.:.JC'iune~

Etapa de anl
ob)l.'livo del s
1.1~ ..~pt?dficat

F. tapa de estu
rroll,lndo el rr
mduy~:ndo el
(tapa de dis

lgico; cva.luc:

omisiones/ an
qu<' t'l costo 1
qtu.' st' detectt
tl costo que s

nar la d ..scriF
Vtsla del USut
lgic.l de cad

irla faoltre estas


1drn d tro con la
ica, pa ra
muy im
ez de los
erdo con
tionano:
foona.
!rados
!Cie la

usua:tn al

19 Se llevan a cabo revs10nes peridocas de los SIStemas para determ1nar SI


aun cumplen con los obet1vos para los cuales fueron dtseados?

119 _ _..J
CONTROl OE DISEO

OE SISTEMAS

0e 1nhSIS
De programacin
OOservaclones

SI (
si (

NO (
NO (

Incluir el pla.<o estimado de acuerdo con los proyectos que se tienen para
departamento de informtica s.ltfaga las necesidades de la dependenCI.I, S<'glin la situacin actual.
Como ejemplo de formato de control de proyectos vase la figura 4.8; del
altndano de actividades vase las figuras 4.9 y 4 10; del reporte de Jos respon
l.lbb del istema, vase la figura 4.11; del control de programadores, vase la
figura 4 12; de planeacin de la programacin, vase las figuras 4.13 y 4.14; de
los tnformes de avance de la programacin, va<.e la figura 4.15; de control de
l\lnct' de programacin vase figur" 4 16 y 4 17.
Se debern revisar tanto los proyecto> terminados como Jos que se encuen
lun en proceso, para verificar si se ha cumplido con el plan de trabajo o si
cumple con su funcin de medio de control.
tt~t el

arios.

CoNTROL DE DISEO DE SISTEMAS

YPROGRAMACIN
OO,.,tivo de esto es asegurarse de que el istema funcione conforme a las espeocacione. funcionales, a fin de que el usuario tenga la suficiente informacin
para <u manejo, operacin y aceptacin.
las revisiones se efectan en forma paralela, desde el anlisis hasta la programacin, y sus objetivos son los stgutent<>s:
Etapa de anlisis y definicin del problema. Identificar con claridad cul es el
obJetivo del sistema, eliminando inexactitudes, ambigedades y omisiones en
las e,pecificaciones.
oyec-

Etapa de estudio de factibilidad. Elabo rar el costo/ beneficio del sistema, desa
rrollando el modelo lgico, hasta llegar a la decisin de elaborarlo o rechazarlo,
incluyendo el estudio de factibilidad tcnico y las recomendaciones.
Et.lpa de diseo. Desarrollar los ob,cltvo<; del sistema; des.1rrollar el modelo
ogtco, evaluar diferentes opciones de dt~o, y descubrir errores, debilidad~-,,
omisione>, antes de iniciar la codificacin. E.~ta actividad es muy importante ya
que el co>to de corregir errores es directamt>nte proporcional al momento en
que se detectan: si se descubren en el momento de programacin ser ms alto
el costo que si se detectan en la etapa de anlisis. El anlisis deber proporcionar la descripcin del funcionamiento del sistema funcional desde el punto de
'i<ta del usuario, indicando todas las interacciones del sistema, la descripcin
16pca de cada dato, las estructuras que stos forman, el flujo de informacin

Y PROGRAM!.CIN

Figura 4.8. Control de proyectos


NOMBRE DEL PROVECTO

PROVECTO NM - -

COOAOINAOOA

FECHA

(anotar t n la primera linea las fe<:has e-&1mBdas y en lo. Sgunda las reales)

......

ACTIW>ADES

Rt~!J.A8lf

ENEROI FEB.

MARZO-

MA'1'0

JUNIO

JUU0 1 N:Jil

SCPT

OCT.

""'

OIC

....
"'
"'"

121.___ _
Figura 4.9. Calendario de actvldades
ANLISIS Y PROGRAMACIN

1=

...,..
HOJA

O<

....E AVJ>HOE

..
"''

NuM

DUC,_~II>t

MES

'

o
ooo ooo oo o o
' 1 3 .. 5 G 1 1

........

......,.,

SE""""")

........

llUA~

E
A

f---

..

11

1~

1-1-

1-

'-[ . dt-.wlO

Af'EAl

.____ 1. 22
Figura 4.10. Control de actividades del programador
SISTEMA _ _ _ _ _ _ - - - - - - - - - - -

PROGRAMA---PROGRAMAOOR _ _

ACTIVIDAD

REAL

PLANEADO

r-~,N~00~~~11t~RW~NO~~O~F~t-~IN~OO~~~T~RM~NO--r-~-F~

~---------1-1 AHAUSrS

CNF

2. DIAGRAMA I.OoiCO

3 CREAC DE PRUEBAS
4 PRUEB ESCR TORIO

5 ~FICACION

6. CAPTURA
7 COMPlLACION

8 GENER PRUEBAS
9 DEPURACfON
10 PRUEBAS
11 VERIF PRUEBAS
12 CORRECCIONES

13 DOCUMENTACtON
FINAL

ESPECIFICAR El NUMERO
DE COMPILACIONES REAI.IZAOAS - - --

- - - - - --

-------

-===================-1

PRUEBAS REAI.IZAO::A:s_ _ _
OOSERVACIONES

123

Figura 4.11. Reporte semanal de los responsables de sistemas

1 r--;STEMAS

,-.
METAS FIJADAS

METAS ALCANZADAS

COMENTARIOS

lf

lf=

RECURSOS

SISTEMAS

HAS. PROGRAM.

- ,__

HAS. PRUEBA

HRS. ANLISIS

.---f.--

n
u

1
1

1
1

-.

Figura 4.12. Control de programadores


PAOGRAMA
A
REALIZAR

NOM~

OtAGRA.MA

CODIFICACI"f

CAPTURA

Pf:IU(aAS

IMPLANTACIN

OPERACION

OEL

RESPONSAatf

FECHA
INIC

FECHA
FINAL

FECHA
INIC

FECHA
~NAt.

FECfiA
INIC

FECHA
FINAL

rCCiiA
INIC

FECH A
FINAL

FECHA
INIC.

F=EatA
FIHAL

FECWI.
INIC

FECHA
FINAL

rTrr

SISTEMA

PR:XiROOA

BASE

OURAC.

11 PROGRAMA
I~MJM

DtAS

DESCRIPCION PRODUCTO A OOTENEA

..

11 '

1 1

1 --

FECHA DE ENmEGA

EN

PRIORI.

-,

125_~

Figura 4.13. Planeacln de programacin

OAJGI. ACT\JA. REAL

126

Figura 4.14. Hoja de planeacln de actividades


1

FECHJ

SISTEMA

SISTE'
USUARIO
RESP~

PROGRAMADOR - - - - - - - - - - - -- - - - -- - PROGRAMA _ _ _ _ __

FASE

PRO~

NM. FA~
CLAVE

ACTl-

V!DAO

FECHAS REAlES

MJI

FECHA 0E ENTREGA

AClMOADES
INIC.

TERM

PROO

HOJA

ORlO

DE

ACT\1

REAl

Figura 4.15. Informe de avance de programacin

,,

!'-

L__

FECiiA

HOJA

RESI'ONSABl.E

PROGRAMAS TERMINADOS A LA FECHA

--

IAAtFASE,NMPAOG

PRDO CON DESVIAC10N O CANCELACION

FECHA ENTREGA

!NTFlEGP.

1-,._

DE

S STEMA

NU1oL FASE f NUM PROO.

HUEVA FEC>iA

11

REAl.

1~
l

'

1i

IT

l---

11
1

~-

rf
il

,,

------

NUEVOS PROGRAMAS A INClUIR EN

11
1

--

NUM. FASE

NUM. PROG.I

DESCRIPCION

El PLAN

--r---

OURACION
OlAS

FECHA El'lTREGA
DEL PROGRAMA

---

f--

128

Figura 4.16. Control de avance de programacin


SISTEMA------------

FECHA _ _ _ __

SISTEMA

PROGRAMADOR _ _ _ _ _ __ _ _ _ ___

FECHA. REAl

ov.s

NOt.l

INICIO TEAM.

N)l

OE

O<

COMPIL

PRl.

CLAVE
ACTI
VI DAD

COOIGO DE ACTIVIDADES
A
8
C
O
E

OBSERVACIONES

- - - - - - - - - - - - - - - - - --ti,

IHTERPAETACION
OlAORAUACION l OGICA
CfiEACION 0 PAUEBAS
PRUEB.AS DE
COOIFJCACK>N

F CAPTURA
O COMf>ti.ACIN

H CREACI()N EN P.-,RALElO
1 DEPURACiN
J PRUEBAS EN PAAAI.fl.O
K VERIFIC. DE PRUE8AS

l CORFIECOONES
M OOCVMEf<ITACIH

HOJA

DE

Figura 4.17. Hoja de planeacln de actividades y control de avance

11

SISTEt.IA

CU~NTE

,..-PIIOGRAMAOOA
PAOGRAW.

FASE

lf--CV.VE

FECHAS REN..ES

NUM.

FECHA DE ENTREGA

ACT~

V10AD

ACTIVIDADES

1-

r-

INIC.

T~RM.

OAIG.

PROO

ACTU.

1--~

1
1
1

FECHA

HOJA

DE

REAL

130
CAPiruL04
EVALUACIN
OE LOS SISTEt.IAS

que tiene lugar en el si,tema. Asimismo, ..e indicar Jo que el sistema


romo entradas, los proet.'WS que sern realizado,, las salidas que deber.i
porcionar, los controles que se efectuar.in para cada variable y los
men tos.

Etapa de programacin. Buscar la claridad, modalidad y verificar con


1,1s especificaciones.
Etapa de implementacin y pruebas del sistema. D.!sarrollar la implement<ll
del sistema con datos de prueba y la carga de datos definitivos, evaluando
SIStema, su seguridad y confidencialidad y dando entrenamiento a los u
nos. L,ls prueb.h del sistema trat.ln de garantizar que se cumplan lo. requ
de las t">pecificaciones funcionales, verificando datos est<~dsticos, transac,
nes, reportes, archivos, anotando las fallas que pudieran ocurrir y
Jo, ajust('s nece<.arios. Lo. niveles de prueba pueden ser agrupados en
los, programas y sistem.1 total.
Esta funcin tiene una gran importancia en el ciclo de evaluacin aeao.uc..1
eiones de los si.~temas de informacin y bu-<a comprobar que la aplicacin e
pie las especificaciones dl'l usua ro, que se haya desarrollado dentro de lo
"upuestado, que tenga los controles necesarios y que efectivamente cumpla o
105 objetivos y beneficios esperado,.
Un cambio hecho a un sistema existente, romo la creacin de uno nu,
presupone necesariamente cambios en la forma dl' obtener la informacin 1"'
~to ad1aonal. Ambos d<-bern ser e,aluados.
Se debe evaluar el CJmbio (SI lo hay) de la forma en que S<' l'Jl'CUtan
operaciones; se dl'be comprobar si mejora la exactitud de la informacin g~
rada, si la obtencin de Jo, reportl., efecti, amente reduce el tiempo de en
o ~i es mJs completa. Se debe determinar cunto afecta las actividades del pr.~onal usuario o si aumenta o disminuye el personal de la organizacin. as
lo, camb1os entre las interacciolll'S entre lo-. miembr05 de la organ.aon. Ji
ello, a fin de sa~r si aumt>nta o d1sminuyl' el esfucr.to re.11izado y su
costo/~neficio para generar la informacin destinada a la toma de dccisio
ron objeto de est<~r l"n rondicionl'S de determinar la producti\'idad y calidad
SIStema.
Como ejemplo de cuestionario para la evaluacin del diseo y prueba
Jo, sistemas presentamo-. el siguiente;

Esm1
dndoll' 1
amtstad (
hma, n

1. Ou1nes 1nterv1enen al disellar un sistema?

Usuario.
Ana Sta

Gerente de departamento.
Adm.nistradores de bases de datos
Personal de comunlcaCIOOes y redes.
Audrtores Internos
Asesores.

Otros.

grave de1
son los lU
Que
"~te no lu
e rntalad
nes o nue
En tl !

de sus rl'C
flma
c.id de~,ur
hles y h.'t.r

tomar
!r pro-

131

2 , Ou lenguae o lenguaes conocen los analistas?

COHmOI. DE DISENO
DE SISTEMAS
Y PAOGAAMACION

>rocedi3. Cuntos analistas hay y qu expenencla llenen?

base en
4 Cmo se controla el trabajo de tos analistas?

ntacin

mdo el

5 lnd1que qu pasos se siguen en et desarrollo de un s1stema:

s usuaui~itos

saccio-

zando
mduaplicancumlo pre>la con
1uevo,

ny un
an las

gene>trega
~1 percomo
Todo

lacin
wnes,
1ddel
ba de

DehnlCin del problema


Desarrollo de objetivos del SIStema
EStudiO de facbbWdad
EstudiO costoJbenefiCio
Estudio de lactibildad tcnoco
Oehrncoon de bempos y costo del proyecto
Desarrollo del modelo lgiCO
Propuesta de diferentes altemat1vas
Especaf1cacoones para el s1stema fls1co
EspecilicaCJones de programas
01seo de implementacin
Diseo de carga de datos
Codilicacin
Programa de entrenamiento
EstudiO de la detinocin
Discusin con el usuario
Elaborar datos de prueba
Rellisln de resultados
Documentacin
Someter resultados de prueba

(
(
(
(

)
)
)
)

(
(
(

)
)

( )
( )
( )

( )
( )
( )

( )
( )
(
(
(

)
)
)

( )
(

6 Ou documentacin acompaa al programa cuando se entrega?

Es muy frecuente que no se libere un sistema, esto es, que alguien contine
dJndole mantenimiento y que sea el nico que lo conozca. Ello puede deberse a
amstad con el usuario, falta de documentacin, mal anlisis preliminar del sish~ml, resistencia a cambiar a otro proyecto, o bien a una situacin que es muy

gr.wc dentro del rea de informtica: la aplicacin de "indispensables", que


son lo~ nicos que tienen la informacin y, por lo tanto, son inamovibles.
Qu sucede respecto al mantermiento o modificacin de un sistema cuando
ste no ha sido bien desarrollado (anali1.ado, di~ado, programado, probado)
~ 1n<,talado? La respuesta es sencilla: nccc,itar cambios frecuentes por omisionl" o nuevos requerimientos.
En el caso de sistemas, muchas organl'.aCJOne!o estn gastando rerca de 80%
de <us recursos de cmputo en mantt'111m1ento.
El manterrrento excesivo es con.secuencia de falta de planeacin y control
del des.>rrollo de sistemas; la planeacin debe contemplar los recursos disponibil>s y tcnicos apropiados para el de<;arrollo.

Diseo
del sistema

.___ 132
CAPTUL04
EVALUACION
OE lOS SISTEMAS

Por <u part~. ~1 wntrol debe tener como soporte el ~tabloomento de


mas de desarrollo que han de <er verificadas continuamente en todas laS&;::
del desarrollo de un sistl'ma. Estas normas no pueden estar 3JSI,ldas,
del contexto particul,lr de la direccin de informtica (ambientt) y, ~unJ
los lineamientos generales de la organizacin, para lo cual es nccesano
con personal en desJrrollo que posea suficiente experiencia en tl csl:able<lJ-1
to de normas de desarn>llo de sistemas. Estas mismas caractersticas ae;DI!~'e"cl
en el personal de aud llorla de sistemas.
Es poco probable que un proyecto llegue a un final feliz cu.mdos.? ha 1111
do sin xito.
Difcilmente estaremos controlando realmente el flujo de la inllonma,mn,J!<.I
un sistema quc dcsdc su inioo ha sido mal analizado, mal diM'ado, JThll
gramado e mcluso mal documentado.
El cxresivo manh:mmiento de los sistemas generalmente,., OC<l>i<>NdoJlZI
un mal desarrollo. Esto o;e inicia de:>rle que el usuario establt'CC sus ~
mientos (en ocasiones sm saber qu desea) hasta la instalaon del s~.>tem~,
que se haya establecido un plan de prueba de ste para med~r su
conabilidad en la oper.1cin que se efectuar.
Para verificar si existe esta situacin, se debe pedir a los anal"tas
dades que est.n desarrollando en el momento de la audJtori.J y evaluM ''
efectuando actividades de mantenimiento o si se estn realiz.1ndo nuevo<
yectos. En ambos casos se deber evaluar el tiempo que llevan dentro deiJnJ
mo sistema, la prioridad que se le asign y cmo est el tiempo real en rd,lO"<
con el tiempo estin1.1do en e l p lan maestro.
El que los analistas, los programadores, o unos y otros, tengan ae<~<. .l
todo momento a los si>temas en operacin puede ser un grave probl<m 1 OC>
sionar fallas di' seguridad.

1,,...,

INSTRUCTIVOS DE OPERACIN
Debemos evaluar los in5tructivos de operacin de los sistemas para evit.uq
los programadores tengan acceso a los sistemas en operacin. F.l contenido m
ni m o de los instructivos de operacin deber comprender:

Diagrama de flujo por cada programa.


Diagrama particular de entrada-salida.
Mensaje y su explicacin.
Parmetro~)' su t'Xplicitcin.
Diseo de mprc"n de resultados.
Cifras de control.
Frmulas de verificacin.

Observaciones.

Instrucciones en caso de error.


Calendario de proreso y resultados.

2 En J.-.
rcnca

forma

Eau1
L1 ..,,,.,.,,...

de num1ni
si!'tttma

qul'tc de
cion de

equipos
ret1cin

de noretapas
rimero,

ndo, de
contar
cimicn
1 existir
1 inicia-

cin de
.al protdopor
equerima, sin

ado de
activ-i

j estn

os proel miselacin

:eso en
1yoca-

FoRMA DE IMPLANTACiN

ENTREVISTAS
A USUARIOS

l.l finalidad es la de evaluar los trabajos que se realizan para iniciar la operade un sistema; esto comprende: pru<ba integra l del sistema, adecuacin,
accpt.1cin por pa rte de l usuario, cn lrenam{'11IO de los responsables del sis tema. Para ello deben de conside rarse los siguientes aspectos:
CIn

l. Indicar cules puntos se toman en cuenta para la prueba de un sistema:

Prueba particular de cada programa.


Prueba por fase, validacin, actuah1acin .

Prueba integral del paralelo .


Prueba en sistema paralelo.
Pruebas de seguridad y confidenciald.1d .
Otros (especificar).

2. En 1.1 Implantacin se debe de anah7M l,t forma en que se van a cargar


Jni(Jalmente los datos del sistema, lo cual ptllde ser por captura o por transferencia de informacin. Estos datos pul>den ser de todo el sistema, o bien en
forn1a parcial. Lo que es necesario evaluar ~5 la forma en que se van a car
gn r las cifras de control o bien los datos acumu lados.
En et caso de una nmina. tos dfas trabajados por los empleados a la fecha
de Iniciacin del sistema, o bien sus acumulados en percepciones y en im
puestos retenidos.
3. Tamb1n se debe de hacer un plan de trabajo para la implantacin, el cual
debe contener las fechas en que se reali1.ar.in c~da uno de los procesos.

EauiPO v FACILIDADES DE PROGRAMACiN


tarque
do m-

133

!..1 sell'Ccin de la configuracin de un sistema de cmputo incluye la interaccin


de numerosas y complejas decisiones de car~ctcr tcnico. El impacto en e l rendimiento de w1 sistema de cmputo debido a cambios trascendentales en el
si't~ma opera tivo o en e l equ ipo, p uede M'r dct('l'minado por medio de u n paquete de pruebas (bet~chamark) que haya sido elaborado pa ra este fin en la direccin de informtica. Es conveniente solicitar pruebas y comparaciones entre
equipos (l>rltchamark) para evaluar la situacin del equipo y del software en
relacin con otros que se encuentran en el mercado.

ENTREVISTAS A USUARIOS
l,a,. entrevj,tas se debern llevar a cabo para comparar los datos proporcionados y
la situaon de la direccin de inform.ihca desde el punto de vista de los usuarios.

Ejemplo

134
CAPITuLO
EVALUACION

DE lOS SISTEMAS

Su objeto es conocer la opinin que tienen los usuarios sobre !0<


proporcionados, as como la difusin de las aplicaciones de la ronp,ult:!::
de lo- si,temas en operacin.
Las entrev~tas se debern hacer, en caso de ser posible, a tode
ri~, o bien en forma aleatoria a algunos de ellos, tanto a los ms
como a los de menor importancia en cuanto al uso del equipo.

ENTREVISTAS
Aunque la entrevista es una de las fuentes de informacin ms importan!<
cmo opera un sistema, no siempre tiene la efectividad que sed
que en ocasiones las personas entrevistadas pueden ser presionndas r
ana listas de sistemas, o piensan que si se hacen a lgunos cambios, 6tos
afectar su trabajo. El gerente debe de hacer del conocimiento de 1<><> entre1
dos el propsito del cstudjo.
Una gura para la entrevista puede ser la siguiente:
~aber

Preprese para la entrevista estudiando los puestos de las per'>Onill


van a ser entrevistadas y sus funciones dentro de la organizacin.
Presntese y d un panorama del motivo de la entrevista .
Comience ron preguntas generales sobre las funciones, la orgarti~d&:l
los mtodos de trabajo.
Haga pregw1tas especificas sobre los procedimientos que puedan
resultado el sealamiento de mejoras.
Siga los temas tratados en la entrevista .
Limite el tomar notas a lo ms relevante, para evitar distractores.
Al final de la entrevista, ofrezca un resumen de la informacin obtmd:.:l
pregunte cmo se le podr dar seguimiento.

CuESTIONARIO
El diseo de un cuestionario debe tener W1a adea.ada preparacin,.
cn, preevaluacin y evaluacin. Algunas guas generales son:
l.

2.
3.
4.

Identificar el grupo que va a ser evaluado.


Escribir una introduccin clara, para que el investigado conozca los
vos del estudio y el uso que se le dar a la informacin.
Determine qu datos deben ser recopilados.
Elabore las preguntas con toda precisin (no haga preguntas en ncgallv
de tal forma que 1,1 persona que las responda lo pueda hacer con toda el
dad. Estructu re las preguntas en forma lgica y secuencial de tal formaq

los servicios
nputadora y

OS Jos USUtl
importante.;

6.

7.
b

9.

>rtante para
ya
das por los
tos podra11
entrevista-

el tiempo de respuesta y de escritura sea breve (aunque se deben dejar abiertas las observaciones). Elimine todas aquellas preguntas que no tengan un
objetivo claro, o que sean improcedentes.
Limite el nmem de preguntas para evitar que sea demasiado el tiempo de
contestacin y que se pierda e l inters de la persona.
Implemente un cuestionario p iloto, p,lTa cv~luar que todas las p regu11tas
sean claras y gue las respuestas sean J,s esperadas.
Disee e implemente un p lan de recoleccin de datos.
Determine e l mtodo de anlisis que ser usado.
Distribuya los cuestionarios y dles seguimiento para obtener las respuestas deseadas; asimismo, analice los resultados.
Procure que su cuestionario responda a las siguientes preguntas:

;e desea,

rsonas que
in.

2.
3.
~

;
;.

6.

.lbtenida y

7.

Qu reas pueden ser mejoradas?


Qu informacin ne.:esita que actualmente no tiene o que es difcil de
obtener?
Qu cuellos de botella ocurren durante el da? Cmo se pueden di-

minar?
Cmo se p uede cambiar el procedim ien to para eliminarlos?
Existe un proced imiento que sea redundante o repetitivo?
Cmo se podra eliminar esta repeticin?

Cumplir con los requerimientos totales del usuario.


Cubrir todos los controles necesarios.
No exceder las estimaciones del presupuesto inicial, en tiempo y costo.
Ser fcilmente modificables.
Ser confiables y seguros.
Poderlos usar a tiempo, y con el menor tiempo y esfuerzo posible.
Ser amigables.
Para que un sistema cumpla con los requerimientos del usuario se necesita

unn comunicacin completa entre ste y e l responsable del desarrollo del siste-

elabora-

los objeti-

-.egativo),
odaclariormaquc

ENTREVISTAS
A USUARIOS

Desde el punto de vista del usuario los sistemas deben:

mizacin y
1darcomo

135

m~. En ella se deben definir claramente los e lementos con que cuenta el usuario, las necesidades del proceso de informacin y los reque rim ientos de orm~cin d e salida, a lmacenada o impresa.
En esta misma etapa debi haberse definido la calidad de la ormacin
que ser p rocesada por la computadora, establecindose los riesgos de la misma y la forma de minimizarlos. Para eUo se debieron definir los controles adecuados, establecind ose adems los ni veles de acceso a la informacin, es decir,
quin tiene privilegio de consultar, modificar o incluso borrar informacin.
E.\ta etapa habr de ser cuidadosamente verificada por el auditor interno
.,pecialista en sistemas y por el auditor en informtica, para comprobar que se
logr una adecuada comprensin de los requerimientos del usuario y un control "'tisfactorio de informacin.
Para verificar si los servicios que se proporcionan a los usuarios son los
rl>queridos y que se estn proporcionando en forma adecuada, cuando menos
serJ preciso considerar la siguiente informacin:

Requerimientos
del usuario

136
CAPiTULO
EVALUACIN
0E LOS SISTEMAS

Descripcin de los servicios prestad os.


C1iterios que utilizan los usuarios para evaluar el nivel del servicio prcst.>l
Reporte peridico del uso )' concepto del usuario sobre el servicio .
Registro de los requerimientos planteados por el usuario .
Tiempo de uso .

Con esta informacin > puede comenzar a reali7ar la entrevista para dt


minar si los servicio, proporcionados y planeado, por la direccin de infor
tica cubren las necesidadl"i de informacin de la organincin.
A continuacin se prNenta una gua de cuestionario para aplicarse dur
la entrevista con el usuario.

8.

1. Considera que la direccin de informtica le da los resultados esperados'

sr

Por qu?

t.o

2. Cmo considera usted, en general, el servicio proporcionado por la dro


cin de infonntica?
A. Defictente

B. Aceptable

C. Satisfactono

10

O. Excelente

Por qu?

3. Cubre sus neces1dades de procesamiento?


A No las cubre

B. Parcialmente

11

C. La mayor parte

D. Todas

Porqu?

4. Cmo consdera la cattdad del procesamiento que se le proporciona?


A. Deficiente

B. Aceptable

C. Sahsfactono

D. Excelente

12

Por qu?

5. Hay disponibilidad de procesamiento para sus requerimientos?


A. Generalmente no exste

B. Ocasoonalmente

C. Regularmente

D. Siempre

o.

Por qu?

13
6. Conoce los costos de los serv~cios proporcionados?

Si

NO

7. Qu opina det costo del servicio proporcionado por el departamento de procesos electrnicos?
A. Excesivo
Por qu?

B. Mlnimo

C. Regular O. Adecuado

14

E. No lo conoce

15

8 <Son entregados

con puntuarodad los trabajOs?

A. Nunca

8 Rara vez

O. Generalmente

E. S1empre

137
ENTREVISTA$
A USUARIOS

C. Ocas1ona1mente

para deterde inform-

--9 Qu piensa de la presentacin de los trabajos solicitados?


A. Defociente

B. Aceptable

C. Satisfactoria

D. Excelente

Por qu?

------

-----

10. Qu p1ensa de fa ateoon brondada por el personal de procesos electr


nocos?

A Insatisfactoria

B. Satisfactoria

C. Excelente

Por qu?

o Todas

11. Que p1ensa de la asesorla que se Imparte sobre 1nformt1ca?

A. No se proporc1ona
C. SatiSfactoria

B.

Es insuficiente

D. Excelente

Por qu?

------12. <Qu poensa de la segundad en el maneJO de la infO<maeln proporcionada


para su procesamiento?

A. Nula

B Aiesgosa

D. Excelente

E. lo desconoce

C Satisfactoria

Porqu?

13. <.EXISten fallas de exact1tud en los procesos de 1ntormae>o?


Cules?

conoce

14 Cmo ut iza los reportes que se le proporcjonan?

15. Cuales no Ut1l1za?

SI

NO

138
CAPITULO 4
EVALUACIN
OE LOS SISTEMAS

16. De aquellos que no utiliza, por qu razn los recibe?


17. Qu sugerencias hace en cuanto a la eliminaCin de reportes: modifi<:a001

fusin, divisin de reporte?


18. Se cuenta con un manual del usuario por sistema?

SI

19. Es claro y objetivo el manual del usuario?

20. Qu opinin tiene sobre el manual?


NOTA:

Pida el manual del usuario para evaluarlo.

21. De su departamento, quin interviene en el diseo de sistemas?


22. En qu sistemas tiene actualmente s u servicio de computacin?
23. Qu sistemas deseara que se incluyeran?
24. Observaciones.

DeRECHOS DE AUTOR
Y SECRETOS INDUSTRIALES
En relacin con las disposiciones jurdicas adecuadas para la actividad info:
mtica, la Cmara de Diputados y el instituto Nacional de Estadstica, Geogr
fa e Informtica (TNEG!) organizaron un foro de consulta sobre derecho e.,.
formtica. Como resultado, se recopilaron opiniones, propuestas y experier
cias re lacionadas con diversos aspectos, entre los que destacan: las garantias
para la informacin personal almacenada en bases de datos y la proteccin jurid ica de datos de carcter estratgico; la tipificacin de deUtos informticO>;
valor probatorio del documento electrnico, y la proteccin de derechos de~"
tor para quienes desarrollan programas para computadora.
Dentro del concepto de propiedad inte lech1aL uno de los aspectos ms im
portantes es el que se refiere a los derechos de autor, el cual involucra la p.m.
ms importante del desarrollo intelectual de las personas, ya que se refiere a la;
ramas Utcraria, cientfica, tcnica. jurdica, musical, pictrica, escultrica, arqm

mejor sus e
patrimonio
El prog
pn francs e
dor, es un co
blc por m'l
mcntodela
dos determ
Cadav
obras acree(
ltimas adiq
parar entre
Articul(,
todo cr

en virtut

privileg
La legi
catlogo de

tectmca, fotogrfica, cinematogrfica, televisiv,l, a5 como los programas de cmpu


los medios de comunicacitln, entre la.~ ms importantes.
Fn la m.1yorfa de los pases existen leyes protector,ls de las obras intelectua
h que producen los poetas, los novelistas, los compositores, los pintores, los
tSC\IIiOI'es, y de manera reciente se hon protegido los p rogramas de compuMdora y las bases de datos. J>cro adems d( M I ll'gh;lc:lcin domstica~ las nado
lo, la, baS<'S de datos y

~n.

139
DERECHOS
DE AUTOR
Y SECRETOS
INDUSTRIALES

nrs~ltJbrJn compromisos unas con otras plrn dJr una proteccin internacional
a los autores. En general, se admite qut> Wll cinco las rawnes de la proteccin.

nfor-

::>gra-

e inrien-

ntias
juri-

En pnmer lugar, por una razn de justicia social: el autor debe obtener pro
100>0 de su trabajo. Los ingresos que perciba, d~>ben e~tar en funcin de la aco
g.da del pblico a sus obras y de sus cond1cion,.., de explotacin: las "regalas"
l(ln. en cit.'rlo modo, los salarios de los trab.11adores intelectuales.
En ...gundo, por una razn de des.urollo cultural; 'i ""t protegido, el autor
"A' \cr~ estimulado para crear nuevas obras, enriqueciendo de esta manera la
reraturd, el teatro, la msica, los programas de computacin elaborados en su
pafs. Nad1e debe realizar un trabajo sin que sea debidamente remunerado; del
m1!tmo modo, los que, por su trabajo, 'jU int{ligtmci.l, hU experiencia, contribu
)~na la elaboracin de programas y sistemas de cmputo, deben de ser debidamente remunerados.
En tercero, por una raz6n de orden econmico; las inversiones que son necesarias, por ejemplo, para la elaboracin de un sistema de cmputo ser n ms
fcilr~ de obtener si existe una protecci11 efectiva.
En cuarto, por w1a razn de orden moral; a l ~er la obra la expresin personal
MI pr11samieUo del autor, ste debe tener del'('cho a que se respete, es decir,
defl'Cho a decidir s1 puede ser reproducida o (*'CUlada en pblico, cundo y cmo,
ydefl'<'ho a oponerse a toda deformacill o mutilacin cuando se utiliza la obra.
En qumto lugar, por una razn de prc>ligo nacional: el conjunto de las
obra' de los autore. de un pas reflea el alma de 1.1 nacin y permite conocer
~r ous costumbres, sus usos, sus a'piracion'"' S la proteccin no existe, el
p.>lnmonio cultural ser escaso y no se desarroiiMan la' artes.
El program,l de computacin, conocido en ~ngls como computer progmm y
en franco!' como program~ d 'ordinal~ur, y tambi(on llamado programa de ordena
dor, es un conjunto de instrucciones que, cuando se incorpora a un soporte legi
ble por m,quina, puede hacer que una m.iqu111a con capacidad para el trata
mic1110 de la informacin ind ique, realice o consiga lUla funcin, ta rea o resu lta
dos determinados.
Cada vez se acepta con mayor frecuencia que los programas originales son
obras acreedoras a la proteccin que otorga el derecho de autor. Una de las
ltimas adiciones de que fue objeto la precedente ley a u toral, consisti en incor
porar entre las obras protegidas a los programas de computacin.

::>S; el

ArtiC14IO ll El derecho de autor es el reronocimlt.-nto que. hace el Estado a favor de

eau

; im-

tc.ldo <'f\'ador de obras literarias y artsticas. pn.v1"ttd.., ('n t.~l artculo 13 de esta Ley,
,.., \'ortud del cual otorga su proteccin para qw d aut<>r goce de prerrogab\'as y
privllegit~ exclusivos de carcter peff.Onal y patrimonial

parte
a las
rqui-

La legislaCIn actual, adems de conservar dichos programas en un similar


cat.1logo de las obras para las que se reconoc~n lo; derechos de autor (art. 13,

Programa de
computacin

140
CAPITULO 4
EVALUACIN

OE LOS SISTE~S

LFDA), les ded ica un captulo especial (captulo IV <.1 ~1 tftulo IV) con reg\
particu la res tam bin sobl"(' prOll'cdn.
Artculo 13. Los dl... tl>thtl' dt. autor a que~ refien. t."Sta Ll'y M.- rt!("()nocen re>r>il
de las obras de la~ 'Jguu.nt~~ ramas:
[...[
XI. Program.- <.1~ <mpuh>;

1--1

Las dcm.is obra-. qut por analoga puedan C\)n.,lder.u..,.. obras literaria!~ o utsticas se incluirn {In 1.1 r~1ma qu~ les sea ms afio a su n.t~turaleza.
Artculo 83. Salvo patto en contrario, la personn fc:ict"l o moral que comiiolllf :1
la produccin d(' un.l Hbr.l o que Ja prod.u:tca con 1.1 c.:oltlbor.lcin remunerada
o trcls, gozar de )1 titulnridad de los derechos patrimon~tllt.>s sobre la misma y 1.:
correl:ipondern facultadt~ rt:'l.1tlvas a la divulgnci~n. mt~gridad d e la obra y dt
coleccin sobtl' c...t~ hpo dt cl\'acion,;s.
La per:c;ona qut> partkape ttn la realizacin de la obra. en forma remunerad4.
hndr el derecho a que ~ le mencione expresamente "'U cahdad de autor, artiq4.
mtrprete o qecutant~ "-.t>re la p.>rte o parte> m ruva Cl\'aon haya participado.
Artt(u!o 8-1 Cuando se tr.ltl' de una obra reahz.1da como C()l"b'Uencia de UN
relacin laboral e.tabll'\:ld.i a trav~ de un contrato mdav1du~l de trabajo que CONte por escrito, a f.llt,l tll p.1rto ~n contrario, se prt.~umu.l c.ru~ los dt>rechos patnm&nialcs se dividen por part('s igu.lle:; entre empleador y l'mplt.ado.
El empleador podr.t davulga.r la obra sin autori7;can del empleado, pero 1\1
.11 contrario. A falta dr ro, tr.Ho ind ividual de t rabHjo poi' (':;Crito, los derech os patri monia les oo rre~po n llt r,,n al timp lead o.

1
marr
de r<
el P'
p ren

por
pro
incl

ma
ma<
ni <.k

Did

n.as
pub
dieh

C..pltulo IV

Artrculo JO!. Se <>nhcnd< por programa de romput.h on l.t ~'pre-.in original m


nMiquier forma. lt.nguall" o cdago, en un conjunto de.~ in.~trucaones que, con uN
o;.ecuencia, estructura y OrX,lOilacin detennmada, tu.nl' (('lmO propsitO que \.111-1
computadora o di-.pc.)..,ltivo rt..l1ite una tarea o funcin t.~J'l-dllct"t.
Artfcrllo 102. L<h pros;r~lmJs de compu tacin se prolt.~t.n '-'" los mismos t~rmi
nos que las obras htrrMiols. Dichcl proteccin S<' <'xtitndt t.:~nto a los programa
operativos como a lo!-. prngrMnas 4plicativ~.. ya <.Aa en forma de cdigo fuentt.> o
de cdigo objeto. Se e'etpluan aquellos programa> d< cmputo que tengan 1""
ob,eto causar efectos nocav~ a ot ro~ programa.; o t.-quipo~.
ArUcu/o lO.l. 5.11\'tl P''" h> l'n contrario~ J(.)oo. dlrt>chO!i p.atnmoniaJes sobre w:
programa de computa,in y 'u dorumenLldn. ruando h.tyn <ido creados por
uno o varios empl,.!dos '"" t.~ll"J''rcicio de SU!t funci<'llt"S o Mgult:ndo las instn1C"C
nt..~ del empleador~ Ct,rr\~pon~l>n a ste.
Como e.xcepcin a lo prc\ l~to por el artculo 33 dl l.:a pn.>scntc Ley, el plaLO dr
la cesin de dercch()!'. t.n m.Jh.ria de programas dt. rtlmput.a(rn no est SUJdV 11
limitacin algunit.
Artculo UN. Como ('\ccpcin a lo previ~to en l'l .utkulo 27 fraccin IV, ti
titular de los dcrcc:hos dl au tor c;obrc u n program,l dt~ computdcin o sobre una
ba~~ de datos cort~l'n',trot, tHrn d4.:'~pus de la venta dt.~ l~,~.~mplar!!s de los mismos, cl
derecho de autori1.ar o proh1b1r e l arrendamiento d<' d1cho,. cemplarcs. Este p~
cepto no se aplicar.:i cuando eltJc-mpJar del program.1 dt cumputacil)n no coo ..tituva f'n o;i mismo un obttto t""n<i.a1 de- la licencia dt. u~l.
Artimlo 105. El usu.UI\> kgohmo de un programa de computacin podc ,....t;.
.ur el nmero dt" copu.s qut lt autorice la littnda cona'"hda por el titular dt" b
derecho; de autor, O una 'Ola ropoa de dJcho progtdm.l Slt'mpre }' ru<mdo:

den
ha><
dio

las e

m en
Ley
Z.JO(

tl.m

ele(t
l< e

dcct

y l~l J
onda'
centt
51001

cond

eglas

o arsione
la de
1 y le

dt...

rada,
11sla,
ado.
!una

rons-unoro no

pa-

oJ en
una

una

hrru-

am"-'
nte o
por

.,. un

; por
CCIO-

tode
eto a
\,el
una

"" el
pre;btu-

1 ~a UldlSpensable para la uhhzaon dd P"''trna. o


IJ_ Sl-.a dt~tinad.J exdusi,amente cvmo ''-*"'SU"rdo p.trd ...ustituir la copia h:gitlm.unente adqwnda, cuando :.ta no put-d~ utohL>....., por dao o prdida. La rupoa
de r.'5paldo deber ser destruida cuando ex~ el derecho del usuario para uhlizar
t"l progr.1ma de computacin.
1\rth.ulo 106. El derecho patrimon~tll "ubn. un ptograma de computacin com
prend~,~" ltl facultad de autorizar o proh1bu.
l. La reproduccin pcrmancntC' o provi~o,ionJI del p rogra ma en todo o e n parte,
ror cu.tlquicr medio y forma;
11 L1 traduccin, la adaptacin, e-l Mn~lu o t.u.llqui~r otra modificacin d(" un
programa y la reproduccin del programa rt..ultant~;
Jll. Cualquier forma de distribucin drl programa o de una copia del mo'mo,
mduldo el alquiler. r
1\ Li d~mpilacin, los ph"K'eSollS p.sra f\'\ .:rhr la angeruera de un program.l dt n...,mputacin }' el descn!oo.lmblaw.
Artocu/p 107. Las bases dt> dalt'> o dt lltros mattnal"' legibles por medoo de
m.iqu.na .. o m otra forma, que- por razone5 til 'f.'lt."C."um ) dispo-.icin de ..u oonterudo constituyan creaciones mtelectuales. qut-dar.in prutl-gidcb romo compilaci\.)~.
O.ch.J proteccin no se e.-x1ender a los dJtPS y mah:naleo en &i mismos.
Nlfcu/o 111.~ Las ba,es de dat"" q~ "'' e< M ""ll'""Jeo; quedan. sin embargo, prok'gld.JS ...n .,u u -.o t:\dusivo por quien Lls h..l\ o1 d.l,or.ki(\, durante un lapso de 5 aos.
A.riJckltl 109. El acceso a informa~.:1n dt \:drd"ll'r pn\ctdo relativa a las pt..f'O-o
~\ C\'IOlcmda en las bases de datos a qut~ .,..~ 1\.'(u..'r\' d a.rhculo anterior, a..,1 como la
pubhc.uin, reproduccin, divulg,lcin, '-"'<'~munic.lcit~n pblica y tran~misin de
dichol informacin, requerir.\ la autoriJ.l,in previ._1 de l._ts personas de que M' tr4.1tt.
Qulodan exceptuados de lo <mtcrior 1.1s inV(.'StigndO"'I(.'S d~ las autoridades cncar
Jo;old.t~o, dt 1.1 procuracin e imparticin de ju~hda, dt Jcucrdo 0011 la legislacin n..--spcc
hva., .t.., L:Omo el a~ a ard'liv~ pbliet\lo. J"'("'r 1~1s f'114:rson..s autori:tadas por la l"y,
'":mpf\" que la consuJta sea realil'ada amfpmw a Jos proa..>dirruent~ respectiv~.
A.rtftu/(J 110. El titular del den.chl\ p.1tnmc:wu.ll 'obrl~ una base de datos kndr
dt"n.'Cho t\.dusi\'o,. respecto de la forma de t'\presi'm dt" la ~tructura de d1cha
N'('~ dt' Autorizar o prohibir:
J. "u n'productin pennncnte o temporaL total o prcial, por cualquier medo<> ' de cuolqwer forma;
11 Su tr.1ducon.- adaptacin. reordt.naon ) cudlqu1er otn modificacin;
111 1 .1 dic;;tribucin del original o cupttlS t.h... 1.1 bd~ d..-. d.1t~;
1\ . La romunicacin al pbliC\) y
\' La n'produccin. distnbucoon o comunocactn pubhca M los resultados de
las operadon~ mt!nclonada~ (n la tramn n dd pn<nte articulo.
ArlrUio 111. Los programas ek<tuadtJs dedromcamente que contengan ele
mt.'nt~ \ 1suales, ~noros" tndimefb1on.1h.... o .JOimold'~ quedan protegidos, por ~-.t"
l.ty tn lo.., tIC'mentos primigenios qut ctmtt.ngdn.
Artfrulo l 12. Queda prohibida la 1mport.tc1n, f~.lbnc4lc;:an, distribucin y utili
..-.lCIil dl' ~tp,u~tt os o la prestacin dl' . . . . . rvido~ dl'Stil'hld05 d eliminar la proteccin
fli.ulica de los programas de cmputo, <.h ),\\ trnnsmic;.ioncs n travs del espe<tro
l.'lt~lrfm.lgntico y de redes de tclecomunicaciunts y dt.' )()S programas de elemen
t(,.. l'll"(trtlnicoc; o;.calados en el artculo anhmor
Artu 11let 113 l...a!t obras e inh?rpf\1,1~o.-lnr'k'S o ".,..._"l"Ue&one transmitidas por mcdi~
ekctr6nro> a travs del espectro elt-..in>mas~toco y de red'"' de telecomuncaci<>n....,
\ d "'"ull.ldo que se obtenga de t,la trammoOK>n ,.,taran protl'!)lda:. por,...,. l.c1'
J\rtocu/o 114. La transmosoon de obra:. protegodas por e.'ta l.c1 mediante cat>le,
ondas r.ldJC:~Jt.:""'""tn~o.a-. . satlite v otras !'lmalAn...... dl>ht: rJn .ldt"CUarse, en lo condu
n-ntc, a lc11l~laon me:xican y n~pt.-t.ar en todo cao;o y en todo tiempo la~ dic;;-poSlCJOI'\C."S ~re la materia.
1\.rtatUlo 231 Constituven mfra<o<mc.--s t"ll matt"na de comercio la:, ~igu(>nh.~
rondu~.~ta .. ~.""'liando sean rehzadas con hnes d .... lul"ro dtrt:-..:hl o mdirecto:

141
DERECHOS
DE AIJTOfl
V SECRET06
INDUSTRIALES

Derechos
de autor

l. Comunicar o utilizar pblicamente una obra protegida por cualquier me1

142
CAPiTUL04
EVALUACIN
DE LOS SISTEMAS

y de cualquier forma, sin la autorizacin previa y expresa del autor.. de sus~


mos herederos o del titular del derecho patrimonial de autor;
JI. Utilizar la lmagen de una persona sin su autorizacin o la de sus cau~
bientes;
In. Produci r, reproducir, almacenar, d istribuir, transportar o oomerciali
copias de obras.. fonogramas, videogramas o libros, p rotegidos por los derechos
autor o p<>r los derechos conexos, sin la autorizacin de los respectivos titulares
los trminos de esta Ley;
IV. Ofrecer en venta, almacenar, transportar o poner en circulacin obraspr

tegidas por esta Ley que hayan sido deformadas, modificadas o mutiladas sin"
tori?.acin del titular del derecho de autor;
V. Importar, vender, arrendar o realizar cualquier acto que permita tener

d ispositivo o sistema cuya finalidad sea desactivar Jos dispositivos electrniro;~


proteccin de un programa de computacin;
VI. Retransmitir, fijar, reproducir y difundir al pblico emisiones de organi:mos de radiodjfusin y sin la autorizacin debida, y
VII. Usar, reproducir o explotar una reserva de derechos protegida o un pro

grama de cmputo sin el consentimiento del titular.


Artculo 232. Las infracciones en materia de comercio previstos en la preserm
Ley sern sancionadas por el rnstituto Mcxic.lnode la Propiedad Industrial conm11!!..
l. De cinco mil hasta diez mil das de salario mnimo en los casos previstos ea

las fracciones 1, III, IV, V, vn, VIJI y IX del artculo anterior;

n. De mil hasta cinco m il das de salario mnimo en los casos previs tosenb

fracciones 11 y VI del artculo anterior, y

nr. De quinientos hasta mil das de salario mnimo en los dems casos a qutw

refiere la fraccin X del artculo anterior.


Se aplicar multa adicional de hasta q uinientos das de salario mnimo general v igente por da a quicl':. persista en la infraccin.
Artculo 233. Si el infractor fuese un editor, organismo de radiodifusin. o Clll!q uier persona fsica o moral que explote obras a escala comercial, la multa podrJ
incrcmentatSC hasta en un cincuenta por ciento respecto de las cantidades pre\1,tasen el artculo anterior.

INTERNET
El Internet, considerado como tma coleccin de red es interconectadas o como
un conjunto de computad oras u nidas e ntre s, no ha sido tomado en cuentl
entre las disposiciones que se acaban de mencionar.
Pa ra obtener acceso a Internet se requ ie re u n equipo q ue est al a lcance de!
pblico en general, por lo que cualquier persona puede entrar a la red de redes
de comunicacin si contrata los servicios de un p roveedor de acceso.
Recientemente h an surgido empresas proveedoras de servicios dedicados
a ofrecer en renta conexiones a Inte rnet, ya sea de manera d irecta, indirecta o
parcial, siendo las propias empresas las que proporcionan el equipo necesario
para tener acceso.
Los proveedores de servidos son los responsables de la informacin que
ponen al servido de sus usuarios, ya que dichas comp a\ias son encargadas de
d ivulgar y contro la r la informacin transmitida por Internet.

polmicas
trumento
Internet. S
disco duro
In ternet. E
una ova
Cuand
atribuye g1
pus,extra
cookiesu, e
Estop
visitantes J
entre vari1
que permi
electrnic
anuncianb
El e~
todo en e<
lnea, la ce
todepaga
grabando
Teri<

un servid~
Las re
nes han al
verdader
cin de d <
do su nav
den borra
programa
La sit
determim
de Intern<

:med io,

legti

IS

ausaha-

tiali.t:ar

c:hos de
lares en

:as prosin au-

:mer un
.icosde

rganis-

m proresente
multa:
;tos en
en

la~

que se
gene>cual-

podr
te\"S-

:omo
Jenta
del
-edes

"e

ados
cta o
sario
que

ISde

Son muy complejos los aspectos tcnicos que implica conocer las acciones
llevadas a cabo en Internet para determinar cu lcs pudieran constituir alguna
mfr,1ccin a los derechos de autor. No obstante, se pt1ede pensar que este sisteI!IJ de comunicacin puede originar las siguientes violaciones: al derecho moral de modificar la obra; al derecho moral de indito; al derecho de publicar la
obra bajo el propio nombre o de manera annima. Tamb1n pueden producirse
olaciones a los derechos patrimoniales cuando se transmiten obras intelectua
!..;en forma de archivos por medio de Internet, ya que se realiza una utilizacin
pblica de una obra sin la remuneracin para el autor de la creacin intelectual.
Tambin puede ser fci lmente violado el derecho de autor cuando la red
utiliza la propia imagen, de la que son titulares Jos artistas, intrp retes y ejecutan
tes, por cuanto que en Internet es posible e ncontrar un gran nmero de imge
nesque pueden ser reproducidas imprimindolas sobre papel, como carteles, o
sobre tela para obtener prendas de vestir (como playeras con la imagen del
artista preferido).
El debate sobre la proteccin de Jos datos personales en Internet reabre la
POlmica sobre el papel desempeado por los cookie, que sirven ms como inslnlmento de mercadotecnia que como medio para espiar a los usuario> de
Internet. El trmino cookie <;e aplica a un simple archivo de datos situado en el
d1sco duro del computador de una persona o compaa que ofrece servicios de
Internet. El cookie y su contenido son creados por un servidor que almacena
una o va rias pgi na~ ln tcmct.
Cuando un visitante accede a una pgina web por primera vez, e l servidor le
tribuye generalmente un nmero de identificacin con atributos, e l cookie. Despus, extrae su nombre de un fichero empleado en las plataformas Unix, los "magic
rookies", con lo que el visitante ser identificado en sus visitas ulteriores.
Esto permite al propietario de la pgina analizar el comportamiento de sus
1isitantes y personalizar sus visitas. El desplazamiento de los usuarios de Internet
entre varias pginas de una direccin se puede identificar a la perfeccin, lo
que permite "tomar not.1" del recorrido utililado ms a menudo. La direccin
electrnica podr ser modificada para satisfacer a la vez al visitante y a los
anunciantes, que pueden colocar su publicidad en el lugar ms adecuado.
fll cookie sirve tambin para g rabar lo que ocurre en estas visitas, sobr
todo en caso de compra. Si se elige, por ejemplo, un libro en una librera en
linea, la compra queda grabada en un cookie, antes de reaparecer en el mom~n
to de pagar la factura en la caja virtual. la visita tambin puede ser personalizada
grabando en el archivo cookie las informac;iones fac;ilitadas por el usuario.
Tericamente la seguriddd de estas inform.1ciones est garantizada, ya que
un servidor slo puede obtener la informacin del cookie que ha producido.
Las redes de publicidad en lnea s tienen esta capacidad. Estas innovacioll!'S han alarmado a algunas asociaciones, para quienes este sistema supone w1a
erdadcra intrusin en la vida privada de los usuarios de Internet. Esta captacin de datos se realiza s in que el usuario Jo sepa, a menos que haya configurado su navegador para ser advertido. Los que no disponen de este sist~ma pue
den borrar peridicamente el fichero cookie de su disco duro o recurrir a un
programa especial.
la situac:in de los cookie debe ser evaluada dentro de la auditora, para
determinar si se considera como una intromisin la pnvacidad de los usuarios
de Internet de una compaa.

143
DERECHOS
DE AUTOR
Y SECRETOS
INDUSTRIALES

144
CAPiTULO 4

EVALUACIN

PROTECCIN DE LOS DERECHOS DE AUTOR

DE LOS SISTEMAS

Las obras protegidas por la ley debern ostentar la expresin "Derechos Reo
dos" o su abreviatura D.R., seguida por el smbolo e dentro de un crculo:
embargo, la omisin de estos requisitos no implica la prdida de los dercdl
autor, aw1que sujeta al responsable a las sanciones establecidas en la 1~
La reserva de los derechos de autor es la facultad para usar y
forma exclusiva ttulos, nombres, denominaciones, caractersticas 11su:as '"
colgicas distintivas o caractersticas de operacin originales. Ahora
proteger los derechos de autor se han establecido diversos procedimien!
primero relacionado con los delitos que pueden cometerse al invadirse
cho de autor, por lo cual se estableci el artculo 215 de la Ley de
Autor, que corresponde conocer a los tribunales de la Federacin, sobre
titos relacionados con el derecho de autor, los cuales debern estar pre<Jslr"
el Cdigo Penal para el Distrito Federal, que regula los delitos en maten'~
fuero comn y para toda la Repblica en materia del fuero federal.
Independientemente de solicitar el ejercicio de la accin penaL la
afectada por Wl derecho protegido por la Ley de Derechos de Autor,
optar entre hacer va ler las acciones judiciales que le correspondan o sujeta"'
procedimiento de avenencia.
El procedimiento de avenencia tiene por objeto dirimir de manera am>
ble un conflicto surgido con motivo de la interpretacin o aplicacin de la t..
se inicia con la queja, que se presenta directamente ante el Instituto NaO"'
del Derecho de Autor.
Mediante la aplicacin del artculo 2o. de la Ley de Derechos de Au
corresponde al Instituto Nacional del Derecho de Autor su aplicacin adm
trativa, y en los casos previstos por dicha ley al Instituto Mexicano de la Proo
dad Industrial.
Mediante el arbitraje las partes podrn resolver todas las controversias ~]U<
hayan surgido en materia de derechos de autor, y podrn someterse por roed
de clusula compromisoria o compromiso arbitral.
Es de sealar que el artculo 223 de la Ley de Derechos de Autor sealaq
para ser rbitro se requiere el ser licenciado en derecho, pero no es requisilo
ser especialista en el rea en que se va a arbitrar, como sera el ser experto e
programacin, informtica o bases de datos.
Las penalidades en caso de delitos se han incrementado notablemente d.
acuerdo con lo sealado en el:

CDIGO PENAL PARA EL DISTRITO FEDERAL EN MATERIA


DE FUERO COMN Y PARA TODA LA REPBLICA EN
MATERIA DE FUERO FEDERAL
"TTULO VIGSIMO SEXTO"

Artculos
en Materi

DE LOS DEUTOS EN MATERIA DE DERECHOS DE AUTOR


Artfcrtlo 424. Se impondr prisin de seis meses a seis aos y de trescientos a tre;
mil das de multa:
J. Al que especule en cualquier forma con los libros de texto gratuitos~

distribuye la Secretara de Educacin Pblica;

A rt. 82.
ocomcra

~ i gnifique

-:serva-

. Sin

hosde

,taren
y psi-

t. para

tos, el

dere-

'105 de

os detosen

;a del

rsona

podr

use al

migaley, y
jonal
t.UtOr,

ninis-

opiesque
1edio

lque

11 Al t.'ditor, productor o grabador que a S3btenda~ produzca ms n meros de


Federal del Dcre.:ho de Autor, que los

r<mplar~ de una obra protegida por la Ley


autMI/;ldo~ por el titular de los derechos;

IJI. A quien produzca, reproduzca~ unport~, nlm<lcene, tra nsporte, distrib uya,
n-ndl'l o a rl'iendc copias de obras, fonogramcls, vid~ogramas o libros, protegidos
por 1.1 Ley Fcd('raJ del Derecho de Autor, ~n forma dolosa; a escala comercial y sin
la autoril..ncin q ue e n los tm1inos de la ciL.1di1 ley deba o torgar el titular de los
dt.rcchos de autor o de los derechos conex(Y.ol;
fV.las mismas sanciones se impondrn a qUien use en forma dolosa, a escala
oomC'rcial y sin la autorizacin correspondiente. obras protegidas por la mendonadal<y;)
V. A qmen fabrique con fines de luc-ro un d1spo!'ilivo o c;istema cuya finalidad
~-..tdt....lchvar los dispositi\'OS elOO:rrcos de proteccin de un programa de compub<in.
Articulo 425. Se impondr prisin de """ me<e< a dos aos o d~ trescientos a
ti\., mil das multa, al que a sabiendas y sm dercdlo ~'plote ron fines de lucro una
mterpret.lcin o una ejecucin.
A.rtit,fo 416. Se impondr prisin de S('iS llH'M"Ct a cuatro aos y de trescientos
a ti'C!. mil das multa, en los casos siguicnl._"s:
1 A quien f4'brique, importe, venda o arri{ll,d(' un d ispositivo o sistema para
desclfrnr una seal de satlite cifrada, portadora de p rog ra mas. sin autorizacin
del d i<l l'ibuidor legtimo de dd'u scl'ial, y
11. A qui~ n realice con fines d e lucro cualquic1 acto con la finalidad de descitrar u nn seal de satlite cifrad a, portadora de progr:unns, sin autorizacin del
dbtrbuidor legtimo d e dicha seal.
Arllcu/o 427. Se impondr prisin d~ seis mcs.cs a seis aos y de trescientos a
tre~ mil dfas multa, a quien publique a sab1endas una obra su~tituyendo el nombre
del autor por otro nombre.
Arlic~tlo 428. Las sanciones pecuru.1ria.li pre\'ista-; ~n t'l presente ttulo se apli
c.aran sm ~rjuicio de la reparadn del dao, cuyo monto no podr ser menor .11
cuarmta por ciento del precio de \'cnt.l al publico de cada producto o de la prestaen dl~ wrvdos que impliquen violacin a alguno o algunos de los derechos
tuteladO> por la Ley Federal del Dcnx-ho de Autor.
Artlmlo 429. Los delitos previstos m ..,.te titulo se perseguirn por querella de
parte ofendida, salvo el caso previsto en el artculo 424, fraccin 1, que ser perse-

guido de oficio.

;to el

toen
te de

SecRETos INDUSTRIALES
Artculos de la Ley de la Propiedad Industrial
en Materia de Secretos Industriales
tres

que

Arl 82. Se con<idera secreto industrial a toda inf<>nnacin de aplicacin industrial


o comercial que guarde una persona fsica o moral con carcter ronfidendal, queJe
,ignifique obtener o mantener una ventaja competitiva o econmica frente a tercc

145_
DERECHOS
DE AUTOR
Y SECRETOS
INDUSTRIALES

__,

146
CAPITVlO

EVALUACION
DE lOS SISTEMAS

I"'!t en la relo1cin de actividades econmicas y respecto de la cual h~a


loo;, medios o c;,1stemas suficientes para presenar su confidencialidad y el
~tnngido

a la misma.
la informacin de un secreto industrial necesariamente deber"'"''"'!::
a natural~7a, caractt"ri~hcas o finalidades de los productQS; ao II~O<~;:::ii
a.~ de produccin; o a los medios o formas de distribucin o o
productO> o prestacin de servicios.
No o;,e oon~idcrar..i secreto industrial aquella informacin que sea
pubhro la que resulte evidente para un totico en la materia. con ba,.. m
con pro.>n.uncnte dJsportible o la que deba ser divulgada por

por orden judocial. No se considerar que entra al dominio pblico o~


gada por <fuJ'OO>iOn legal aqueUa informacin que sea proporcionada aLI!;:':II
autoridad por una persona que la posea como secn>to ondu<tral. cuando
porc1n l..., para el efl'd:o de obtener licencias, permi~. autOriL41ciOne.., wgioc::f
cuah..">Squ.ersl otros act~ de autoridad.
Se ronsidera Sreto industrial "toda informacin de aplicacin '"""""q
comercild". En principio, respecto de la aclaracin de que la informacn
de cMct~r industrial o comercial, la cua~ aun y cuando pi'! rece ele,m<nt.l'l (!j
lugar a que en ciertos casos la voluntad del legislador pretendier.t inttrpl\'l!
un b4.!ntido r~strictvo, limitando la proteccin exclusivamente a 1.1 mform
f:Strictamentc de carcter industriaL
Por otro lado, t>SpeciaJ peso debe concederse al trmino "aplicacin" q
duy~ d pn><:epto al referirse a los secretos industriales. ya que 1,1 inform.'"'
ber s.jltisf.lcer ese pa rticular requisito. De hed1o, en este punto podcmO!t Pnnm:
una relativa equiva14mcia con e l requisito que al efedo se esta bl('ce ('n matlr
p.ltcn tcs~ consistente en que las invenciones sean susceptibl('s de aphcac)n n
tria l.
Es cJaro que la expresin "aplicable", en este particular contexto, dcbl\
terpretad.1 en su (orm.l ms amplia,. ya que pudiera presentarse el ca~
Cierta informacin que aun y cuando en la prctica an no hubiese sido
practica., sus posibilidades de ser implementada le ubiquen como onfc>rm1o<f;j
mere"-<dora de la tutela de este rgimen.
fn ara. de que e) rgimen tutelar de Jos secretOS ondu<triales VCirda,d tt,= ::!
ronM1tuya un medio de proteccin de informacin confidencial que !'ecshm,a:c;]
bien l"CCn6micamente \'alioso, la limitacin que (') precepto reali1a del
formacin que cAlifica como constitutiva de secretos indu<triale<, n<'"l""'
labra "referida a. ron lo que el legislador parece establecer
ba<ta
marin guarde cit>rta liga o est asociada alas actividades fuo,d;smenttalc,.d~O::::!
t."CCnmiro o h1en una \entaja competitiva para poder "'t"r con,.iderad ...,""~...,
p.u ron.c..htuir un c;ecrcto indu..~triat lo cual puede ser ruestion01blfo,
toda> la' copoas. por <'JI'mplo, de programas, tienen una finalidad de .,_,,do<io~
nmico o una ''"-~ruaj.a competitiva.
Entre la informaon tpicamente considerada como conshtuto'"a dt
ondu<trale<> se cuenta la relativa a listas de clientes y pro,eedore<. formuLlcl~
prOC\"< ondustral.,, e:;trategias de mercado, laruamiento de prc:od<octc.,,
do' de estudiO'< comerciales y de mercado, sueldos, proct'SOo. lega le< l"t"' cltllltl
cil". ba"-'S de datos. y en general, cualquier informacin sensoble
un valor econnuro para la empresa. este tipo de informacin la pocteono><<mlilol
ror Wtl'Ctamente bgada con bases de datos.
Respecto de la condion de que el secreto industrial sea guardado por
persona fsica o moral con carcter confidencial, puede consideraro.,e qu~ ~1n
constituye l'st.l el ncleo fundamental que imprime a este topo de informaci<lo
car.lCtt!rCstica. que le califica corno sec'.reto industrial.

lo1

adoptado
el acceso

.r referida
los o pro.zacin d~

ldominio
informa;n legal o
es divulrualquier
lo la progistros, o

lustrial o

;,uede ser
.tal, daba

-etarse en

)rmadn

.. que in-

acin de:noontrar

ateria de
ln indusJeser in' de que

ouesta en
nnacin
Tamente

na como
de inIa lapaJa infor?lagente
mo apta
>O

que n o

ido ecosecretos
aciones,
resulta...

d pre>resente
:onside-

por una
in duda

acin la

Es importante considerar que el precepto no e-tob)('((' condicin alguna resJ'tf'do del origen de la informacin que guarda su poseedor, es decir, no se establc-ct romo rondicin el que la informacin hubiKl' sido generada por su poseedor, o
bien, que la misma hubiese sido obtenido por algn ttu lo legal romo p ueda ser su
trJnsmsin por parte de u n tercero, por lo que la informacin conten.id a en una
hJ.,(\ de datos, es cons iderada como u n sc<:n.to industrio l. s in importar si sta fue o
no crcadt'l por la persona q ue la poM!C y q ue In pueden difund ir.

Obviamente se abre aqu( el planteami~nto de si In informacin que eventual


m('nte ha sido obtenida de manera ilegal, en caw de seguir cumpliendo las condiciones d~ confidencialidad extgtdas por el precepto, debe ser merecedora de '"
proteccin conferida a Jos secretos mdustraales. Seria el caso. por ejemplo.. de infor
mJrin que indebidamente revele un l~x empll't~do d su nuevo patrn,. y que ste
pn:h_
. ,da conservar y proteger como St.~reto indus-trial propio, o bien ropias de
program..lS que posea un empleado y que Ll) proporc1one a su nuevo empleador.
En trminos del tercer prrafo de t~tt mi'->mo artculo, se establece que no se
ron,tdera que entra al dommio pbhro o que'"' divulgada por disposicin legal
aquella informacin que sea proporcionada a cualquier autoridad por una persona
que la posea como secreto industrial cuando -,e proporcione para el objeto de obtener licC'ncias, permisos, autorizaciones, regi!)lrO:-t, o cuale-squiera otros actos de au
toridad.
las bases de datos que son del dominio pblico, pero que son modificadas,
l'tWjoradas o ampliadas, para lo cuJI se emple~n tiC'mpo y recursos, se convierten
en propiedad industrial. Es d caso, por ejemplo, de m ltiples bases de datos que
hon obtcnldas a partir de informacin accc~ib ll' pMn el pblico, pero que al imprimin;c unn dosis significativa de recu rsos, tilmpo y talento, la informacin es tratada y depurada hasta el grado de convertirla Cl"' un producto nuevo y diferente, que
por ese solo hecho merece la protecc1n t.JUC la legislacin confiere a los secretos
mdustriales, Siempre que, desde luego, Sol' ttah~fdgan las otras condiciones exigtdas
para esta figura.
E.~te mismo criterio puede aplican;e a ciertos programas de computadn que
p.or >U ronforman han requerido d la part~<ipacin di' especialistas que han
onwrtido en la inwstigacin cantidad<> notabk., de e<fueno y erudicin, de ma""'" que el resultado puede ser considerado romo S<"creto industrial.
Un aspecto que es convcnicnt(' d~tat"ar l>s que en este punto la disposicin
p.t""' apartarse del texto del Tratado dt 1 ibrt> Comercio entre Mxico, Estados
Unidos y Canad, en su articulo 1711, mcamente requiere que quien posee el
secreto hubiere tomado ''medidas a &u alc~nce... El punto parece mnimo, pero es
cl~ro qu<' l'xiste una gran distancia entre hober tomado "medidas al a lcance" que
hnber tomado ulas medidas necesarias", t\\1oomo la Ley de Propiedad Industrial lo
detcnnina.
Resulta imprescindible para las empn:qas n"'OdC'Tnfl<:; contar con un reglamento int<'rno de trabajo, en el que se espec1f1qucn )(1-S poHlicas de la empresa en mah..""'
rinde informacin confidencial. Dicho r\glamento debe ser conocido por todos len;
l'mplendos }' funcionarios de la empres-.1, y su pu("<)ta (Ion prctka debe ser un asunto prkoritario para cumplir con los rt"CJUCrimicntos que la ley determina para la
constitucin y preservacin del S{I'C'ft!to industrial. Entre las polticas que deben
observarse como mnimas en mateua dt> ..,ecretos industriales se cuentan
enunciati,tame-nte las consistentes en la 1dentificacin de los materiales considera
do' romo <ec<eto de negoci<>'-, la prolubletn de la duphcan de documentos
~n'->ib1~ sin autonzadn, el control de mgn..'M) a la~ areas en que la infonnadn ~
ronf1:ntra~ la utilizacin de sistemas de seguridad y control~ la implementacin decl.lv~ de a~ a las computadoras, la hrm.l de comenios de confidencialidad
ron empleados y proveedores, etc E.'tos punto.. -.on tratados ron mayor amplitud
tn Ll tema relacionado a la segurdad.

147_ _
DERECHOS
DE Al/TOA
Y SECRETOS
INDUSTRIALES

148
CAP1TUL04

EVAt.UACION
DE LOS SISTEMAS

Entn> otras diSpo>iciones aplicables se rocurotran la> de la l..t-.r~),,:~;::i]


Re-ponsabilidad<'S d~ los Servidores Pblicos, que en su artculo 47 d
lodo '5Crvidor pblico tendr la obligacin de custodiar)' cu1dar la docul,,.,.,:;:
e mformacan que por razn de su empleo. argo o comi(;in, ron.wn ..CUid.ldO o a la cual tenga acceso, impidiendo o e-itando el uo,o, la su';tr~tt,l
dL..,Iruroon, oc:ullanuenlo o inutilizacin indebida de la mi>ma
En relaon ron el llamado "know how", cabe tambin h.lccr la dt>llft<itt~;
que no toda la miormacin de este tipo es necesariamente ronfidenciat )O
rono.>pto >e drrige a rekrir aquel conjunto de ronocimiroto. }' habihdad<..
miiLn a una persona o grupo de personas desarrollar, producir, di<lnbuir
caah1Au un bien o un ti(>n-icio ron ventajas frente a Otrc)t; competadon..... pt'I'O OMI,I
c~lrJdembca de que dcha informacin bien puede estar en el domanao
'U c..\!10 !oOn elementos como la experiencia y la destreza lo que penn':1~1e~~:'~~:~
ventaa M es<' "saber hacer'". Es decir, en el caso del "know how" p
rar que un.a de sus diferencias b.isicas con los ~tos indu<.Jtrialcs es que no
ri<1mentc es lnformacin que deba considerarse como confidencial
L. definicin de la "Uniform Trade Secrets Act", legbladn que l'n
Unidos habla wbre los se<:retos industriales es la siguiente:
"Un S<"<' reto industrial podr consistir en cualquier frmula, patrn, d~-tp
vo o compill.lcin de i nformacin que se usen en una cmp~a y que den al cmp~
sario 1 ~1 oportunidad de obtener una ventaja sobre los competidores qut.. no l\,
nocl'n o no lo us-~1. Puede ser la frmula de un compuesto qumiro, un prod '
manufactura, de tf<\tamiento o de conservacin de materiales, C'l patrn par.l UJ
mquina u o tro dispositivo, o una lista de clie ntes."
Art, 83. La informacin a que se refiere el artculo anterior, debt.r ron,t.u
documentos, med1os electrnicos o magn~ticos, discos pticos, microhlmr,,
las u o tros i nstrumentos similares.

Es importante considerar que este precepto adiciona u"' ciC'mc,to mde;,)'


hl"Cho de que la informacin respectiva debe lonstar en un soporte maten.al
problt>mtl que se tiene est en que para que Jos documentos que rontlenL'n
lo indu,lrial sean registrados a nte el Registro Nacional de Oc~X'<:ho do
pendi~nl<' del ln,llluto Nacional del Derecho de Autor, d~ben ~r Pf1"-ntdlt
un soporte matenal, y al tratarse de un regastro pblico la informaotln ~ hiCI
acres1ble a terceros perdiendo, precisamente por ese hl'Cho, cualqu1er tipo d< 1'11>
ll'<:Cin legal que como secreto industrial le hubiere correspondido
A.rl. 8-1. La pet'iOna qu~ guarde un secreto induc>ttial podr tran~mthrloo
tonzar su uso a un tercero. El usuario autorizado tendr.i la obhgadn de no dt
gar el M-"Creto mdu11otnal por ningn medio.
En .,. conwruo. por los que se transmitan ronocimiroto l<~mro. ..;,~~coa 1
t<'cmca. provt<1on de 1ngerueria bsica o de detalle, se podran ,..,tabl<''r d.l....!
de ronfdenciahdad para proteger los secretos industriales que contemplen.
cuaJe; deber.in precisar los aspectos que comprenden como ronfidenoak-.,..
Art. 85. Toda aquella persona que, ron motivo de su trabaJO, emplro, ~
pul~lo, dl"S(.mpco de ~u profesin o relacin de negocios. t('ng~ .1cn~ a un ltOt"
lo mdustnal del cual "" haya prevenido sobre su confidencialidad. dob.ra bs::
neN." de revel,ulo sin causa justificada y sin consentimiento de la person.1
gu,ude dicho M"Cn"to, o de su usuario autorizado.
Tod.ac; hl'., (X"tson,.,s mencionadas en el precepto pare(('n cubrir l:~t> dtvt1'f.IS
opciones de quienes pueden tener legal acceso a los secretos indu ..trlalt"'i dt'
~or, e:.to es, trabaadores, empleados, asesores, y en general. cualqulln qut
h.>ng.J t'IC'C~SO _. los sretos por virtud de sostener una relacin de mgoci<)'; l'"\ll1 d
1uc guarda el 'ecreto. De acuerdo con las fracciones 111, IV y V d~l.trlfculo 223d<
,, ley de Propiedad Industrial, no slo la revelacin del secreto <'SI.i vedada ~""
t.lmb1Cn su utiHz...1cin y aprovechamiento.

l..l~

ro

dn~l' ~
l~nnr"'

c.1nn

cxdu
1

que d (
~h

cont.:

do N

admt
dL' lnl
~>hat

s1ne
~
pu<.J
1

tmnll
SltH.lS

dom

tntlrl
d,\,

y, r

Ley Federal clt


'determina que
documentacin

Arl. 86. La persona fsica o moral (lliC C'ontrdte a un trabaJador que est~ labo~
rando o haya laborado o a un pro(esi<H'Iista. Jscsor o consultor que prestl> o hay~
prestado sus servicios pa ra o tra pt."l'bOna, con el fi n de obtener secre tos industrini('S

mserve bajo

de 6$tn, ser responsable del pago de duos y perjuicios que le ocasione a dichn

DERECHOS
DE AUTOR
V SECRETOS

~r>onn.

I NOUSTRIA~ES

bU

la sustraccin~

Tambin ser responsable del pago de da1\o y perjuicios la persona fsica o


la distindn dC'

moral

~aL

creto industrial.
El artculo 223 de la l.ey de Propiedad lndu>lrial define y sanciona los conduc
las delictivas en relacin ron <;('(Tt'tO. industriales. Al propio tiempo, ~1 articulo

ya que est('
idades que perlibuir o rom~r
f't'S.. pero ron ltl

io pblico, y en
te consolidar la
:lemos considcque no ot'C<.'S.l
JUe en

qu~

por cualquier med io ilcito obteng.1 informacin que contemple u n se..

incurre en otra intrascendencia por obvit'dad, al sealar que quien reciba S<'Cl'Ct<X
industriales de terceros por va de contrtlt.u a sus empleados o ex empleados, ac;e~
SOt'CS o ex asesores, ser responsable de l<b da~ )' perjuicios que oca5lone, siendo

que dicha obligacin deviene de rualqu1cr h,'Cho ilcito que lesione a una persona,
tal como lo prescribe el artculo 1910 del Cdigo Civil.

Estado~

trn, disposi tden al empn..""i que no lo co

un proceso de
trn para una

Consideraciones legales sobre


el empleo de nombres de dominio
frente al rgimen de marcas

er constar en

filmes, pelcuto ms,)' es el


'nutenal. Un
ienen el secr<'de Autor, del'fSentado;, en
aan se hace
" tipo de pro
smitirlo o a u-

, de no divul

:os, asistcr'lcia
:><:er dusu l a~
1templer\~

Jos

1dales.

-upleo, cargo,
so a un se-cre-

deber abstepersona que

las diersas
:triales de su

taJquiera que

go<ios con el
tculo 223 de
vedada, sino

Las posibilidades de la comunicacin va Internet son inagotables, comprcndin


do;,e dentro de ellas la posibilidad de ofertar productos y prestar servicios al
enonne mercado potencial que acude a los sitios en la red, mediante la obten
cin de un nombre de dominio que refiera a los usuarios de la red a un sitio
tclusivo destinado a promover sus bienes y 1o .ervicios.
Los nombres de dominio son denominaciones nicas asignadas a personas
que de:,ean tener un domicilio que pueda ser visitado por usuarios en la red. El
sistema de dominio interpreta los nombre, como nmeros y cada computadora
conectada a la red cuenta con un nmero nico.
La concesin de nombres de dominio es coordinada por un organismo llamado Network Solutions lnc, a travs de lnterNIC, quien trabaja en conjunto con
administradores de dominio, coordinadores de redes y proveedores de servicio
de lnternet. Los nombres de dom inio son registrados a travs de una forma de
solicitud estndar disponible en la red y el nico criterio seguido para su conccsill es el de verificar que no exista un nombre de dominio, idntico, previamente
asignado. Lo anterior, resulta necesario desde el punto de vista tcnico, ya que no
pueden existir dos rutas de acceso idnticas de sitios distintos en la red.
El comercio de bienes y servicios a lravs de la red ha propiciado la con
frontacin de los intereses de titulares de marcas registradas con dueos de
<~tos en la red que adopt.ln marcas propiedad de terceros como nombres de
dominio.
Desde fines de 19951os gobiernos de los estados y distintas organizaciones
internacionales han encaminado sus esfuerzos a balancear de manera adecuada, por un lado, la necesidad de proteger los derechos de propiedad intelectual
y, por otro, las innegables ventajas del acceso a la in formacin va Internet.

149

150

Mantiene ellideraLgo de dicha empresa NNwork Soluhons, lnc (NSI), que a


brazo operativo de 1,1 US National Scencc Foundation, au toridad que reguLl
asignacin de dominios en Internet.
DE LOS SISTEt.IAS
En el dcimo Congreso de las :-.Jaciont>s Unidas sobre previ~in del deli
tratamumto de delincuentes celebrado en Viena del lO al17 de octubre del2f
se lleg a la conclusin sobre lus delitos rt'lacionados con las redt-, informtic
"Para combatir eficazmente lo~ delitos cibernticos es necesario un enfoque
temacional coordinado a difennll'S nivcJ,.,_ A ni'el nac1onal. la JO\"l'Stiga<>
de eso:. delitos requiere person.ll, conocimientos especializados y procedimJ.
tos adl'C\Jados. Se ahcnta a los EMados a que consideren la posibilidad de ere
mecanlsmos que permitan obtener de manera oportuna datos exactos de 1
~istemas y redes informticas ruando estos datos se requieran como pruebo
los prOC\'<hmientos JUdiciales. A nivel internacional. la mvestigao6n eficaz
los delitos cibemhcos reqUiere un.l adecthlCin oportuna, facilitad,, por la a
ord inacin entre los organismos nacionales de aplicacin de la ley y la institucin de la autoridad legal pertinente."

rJ

f
~

CAPITULO
EVALUACIN

~
d)

t
(

e
(

d
d

<
r

/1 !
Como ejemplo de legislaciont>s relacionadas con mformtica en lalinoami!:
ca tenemos el caso de Colomb1a:
Poder PbJjco Rama legisi;~Hva
LEY 527 DE 199'1 lgosto 18)

por medio de 1,, cual se define y reglamenta el acceso y uso de los m<,ns.>..s do
dat~. del comercio electrnico y de las firma~ digitales, y -.e estable('(.>n las
d"' de certificacin y .e dictan <>tras dispoo.1ciones.

PARTEI
PARTE GENERAL
CAPTULO L Disposiciones gonor..Jes

datOI

Art1.r1/<l 2o. Odm1cones. Para 1., efectO> de la presente ley .e entender por.
a)

Mensaje de datos. La in(urmaci6n g<'nt.rada~ envi~'d41. rt."'C'ibida. almacenada


comunicada por medi~ dt"Ctrni~, pticos o coimilart.""-. como pud .....,.-.m
entre otros. el Intercambio Electrnico de Datos (EOJ~ Internet, ~1 corroo elo:
trruco, el telegrama. el telex o el telefa;

b)

Comercio el~ctr6nico Ab.uca Las cue~o,tiones suscitadds por tod.1 rt>l.tcin


indole con,..mal. >ea o n<> contractual. <>-tructurada a partir de la utiliz.acD
de uno o m." meru.aje> de dato. o de cu.1lqu1er otro m<-dJO similar. la> rel.ldont.-s de ndolt l..'t.lmerda.l comprenden.''" hm.itafSl> a ellas, las sgut..-nte:;oprraciones: toda operacin comercial d<' suministro o mtercambio d( bien('(; o
~rvicios; todo acuerdo d~ dLstribucin; toda operacin de rcprt.'"'l'nlaciM
mmdato comtrciaJ. todo hpo de operac1ones finan-..'~t.ra.... buNIIt-s y de segcf'U"t, de constn1con de obrd~; de con!'tultoria; de ingl'ruera; de t.:on~1n dt
li!ncias; todo dcuerdo dt' concesin o expJotadn de un sel'\acao pbli
dl! tmpresa conjunta y otra~ formas de ('()()peradn industrial o oon1ercial; de

transporte de> m{l'rcanas o de pasajeroc, por va an.'a, martima y frrea, opa:


c11rrctera:

fiiU

.t\riU:
s1do
anten
m asn.

usoc

.que es el

e)

regula la

!l delito y

del2000,
rmticas:

foque in-

d)

Entidad de certificacin. Es .-.quclla persona que, autorizada conforme a la


presente ley, est facultada para emitir certificados e n relacin con las firmas
digitales de las personas, ofreo!r o tncihtar los servicios de registro y estampa
do cronolgico de la transm151n y recepcin de mensajes de datos, asf romo
cumplir otras funciones relativas a la!; comunicaciones basadas en las fuma.s
digitales;

t)

lntercombio Electrnico de Datos (EDI). la transmisin electrnica de dato:.


dt.' una computadora a otr~ que ~IJ t~tructurada bajo normas tcnicas con,enidas al efecto;

/)

Sistema de informacin. Se t!nt~ndert\ todo ~isrema utilizado para generar,


enviar, recibir, archivar o procesar de nlglma o tra forma mensajes de datos.

stigaci n

:edimlenl de crea r

os de

los

rueba en
eficaz de

X>r la coa institu-

noamri-

Firma digital. Se entender romo un valor num~riro que se adhiere a un men


saje de datos y que.. utilizando un procedimiento matemtico conocido, vinculado a Ja clave del iniciador y al texto del mC'n~a;c permite determinar que este
valor se ha obtenido exclusivamente oon In clave del iniciador y que el mensaje inicial no ha sido modificado despus de ef~ctuada la transforn1acin;

CAPTULO U. Aplicacin de los requisitos jurfdicos


de los mensajes de datos

11sajes de
lsentida-

ArUculo 9o. Integridad de un mcns.ajco d<! d.,tos.


Arltculo 10. Admisibilidad y fuer/o probatoria de los mensajes de datos.
ArUculo 11. Criterio para valorar probotoriom~nte un mensaje de datos.
Articulo 12. Conservacin de los mcnsaj~ de datos y documentos.
CAPTULO UJ. Comunicacin de los mensajes de datos

por:
cenada o
ieran ser..
rreoeJec

lacin d~
tilizacin
$celado'~ opebienes o
ltacin o

desegu'eSIn d~

pblico;
>1tial; de
e.l,Opor

Arti<ulo 17. Presuncin del ongen de un mensaje de datos.


Artcul<> 18. Concordancia del mensae de datos en,iado con el mensaje de
datM recibido.
Artrulo 19. Mensajes de datos duplicadM.
Arttculo 20. Acuse de recibo.
Arttculo 21. Presunci n de recepcin de un mensaje de datos.
!'ARTE 11
COMERCIO ELECTRNICO EN MATERIA DE TRANSPORTE
DE MERCANCfAS
PARTE 111
fiRMAS DIGITALES, CERTIFICADOS Y ENTrDADES DE CERTifiCACIN
CAPITULO l. Fnnas digitales

Artnllo 28. Atributos jurdicos de una firma d1gital Cuando una fuma digital haya
sido fijada en un mensaje de datos!><' presume que el suscriptor de aqulla tena la
tntenon de acreditar ese mensaje de datos y de ser vinculado ron el conterudo del
MISMO.

Pargrafo. El uso de una fuma digJtaltcndr.i la misma fuerza)' efectos que el


uso d~ una firma manuscrita, si aqulla incorpora lo~ siguie ntes atributos:

151
DERECHOS
OE AUTOR
Y SECRETOS
INDUSTRIALES

152
CAPiTUlO 4
EVAlUACION
DE LOS SISTEMAS

l.
2.
3.
4.
5.

Es nicii ~ la perwnil que la usa.


Es susccphblc di.' ~r verificada.
Est bajo d control ~elusivo de la perwna que la ""''
Est hgadn c1la informacin o mensaje, d" tal mon~r.1 que si stos son
dos, la finna digital es invalidada.
Est conforme a la reglamentaciones adnptada por el Gobierno Noc.

CAPITuLO IL Entiddes dt ctrtificn


CAPTULO 111. Ctrtifiudos
CAPTULO IV. Suscriptorts dt frms digitales
CAPfTULO V. Superintendencia de Industria y Comercio
Arl1'culo 42. Sancinn....,.

DECRETO NMERO 1747 DE 2000


(septiembre 1 H
por el cual M" reglamo:ntap.lroalmente la Le 527 d~ 1999. en lo rel.acion.ad,><onlll
entidades de rertoficao11. los certificados y la' lonn,,_ dogitale>.
CAPTUlO l. Aspectos generales
Artculo 1o. Definiciones. Para efectos del pres.ntc d<creto se entender por:

1. Jnitiador. pt.'l"ttnJ qu actuando por su cuenta, o en cuyo nombre st: 1\J


actuado, envlc o gcncrt' un mensaje de dJt~.
2. Suscriptor p<.'r.ona a cuyo nombre se expide un certificado.
3. Repositorio; .,,..,h,.m..J de informacin utibzado para almacenar y recupem
tificad<K y otr.l .nfotm.acin reladonada con 1~ m~mos.

4. Clave privad.1: Vdlor o valores numricos que, util~:ados conjuntamente


un procedimknto m.ltemtico conocido, sirven para generar la firma dig1
de un mcn<taj(' dt.) datos.

S. Clave pblica valor o valores numricos que son utilizados para verificar
que una firma dig1tal fue generada con la dan priv.lda del iniciador
6. C.rtificodo tn rtlocin ron los fumas digitoi<S: mensa~C de dat(>S fo~
por la entidad d~ Ct'rtificacin que odenhfoc.l, tanto a la entidad de certohcm
que lo expide. e<>mu al uscriptor y ronhene la da. e pblica de ste.
7. Estampado cronolgico: mensaje de dato; firmado pur una entidad dea.rtif>
cacin que si rvt. r.ua verificar que otro mcn~ooaJe de datos no ha camb1ado
un periodo CJlH.' comienza en la fecha y hora en que se presta el <tcrvicif!)
termina rn 1{'1 fecha l'n que la firma del mensaje de datos generado por
prestador d~l ""rvido, de estampado, pierde v,lhdez.
8. Entidad de certifico~ci6n cerrada: entidad qut- ofrece ~rvidos propios de las

entidades dt.) ~:rhficacin slo para el intct'C'ambo de mensajes entre la mbo


dad y el <u<enptor. ''"exigir remuneracin por ello.

ambiaional.

9. Entid.1d de certificacin abierta: la que ofre~ servicios propios de las entida


des de certificadn, tales q ue;
u) Su uso no se mita al intercambio de mcns.1.s entre la entidad y el suscriptor, o
b) Rec1be remuneracin por stos.
'lO. Declaracin de Prcticas de Certificacin (OPC): manifestacin de la entidad
de certificacin sob re las polticas)' p roccdimitm tos que aplica para la p restncin de sus servicios.

CAPTULO 11. De las entidades de certificacin


y certificados dig.ita.les

Se<:cin 11. l l.fls tntidadt~ dt cntifcncin tdriertas

con las

r:

:e haya

rar cer1te con


d igital
crifica r

m1ado

icacin

certifiadoen

'\1dO

por el

de las
la enti-

Articulo 6<>. Declaracin d Prcticas de Ccrtfi.-41cill (DPCJ. La Superintendencia de


Industria v Comercio definir el conten1do de,, Declaracin de Prcticas de Ccrti
flcadn.. PC, la cual deber inclu ir, al m1mos lo o,iguiente:
1. ld~ ntificacin de la e ntidad de ~rtificdcit.~n.
2. I'otica de manejo de los certific;~dos.
3. ObligaciOMS de la e ntidad y de los suscriptores del certificado y p recauciones
que deben observar los terceros.
4 Mant>jO de la informacin suminis.lrtuJtl por J<nt ~uscriptores.
5. Garantfas que ofrece para el cun1plimicnto de las obligaciones que se deriven
dt.~ c;us actividades.
. Limite.. de responsabilidad por el <'jercicio de su actividad.
7. Tarifas de expedicin y revocacin de ccrtificado8. P~imientos de seguridad para el manqo de los siguientes e\'entos:
a) Cuando la seguridad de la cia.-e privada de la entidad de certifican&e ha
\isto comprometida;
b) Cuando el sistema de seguridad de la entidd de ~rtifican ha sido .-ulncrado;
e) Cuando se presenten fallas en el sitttcma de Id t!ntidad de certificadn q ue
comprometan la prestacin del servido;
d) Cuando los sistemas de cifrado p ie rdan vigt>ncia por no ofre~r el nivel de
seguridad contratados por el suscrip tor.
9. El p lan de contingencia e ncaminado a go ra ntiza1 La contin uidad del servicio
de certificacin.
lO. Modelos y minutas de los contratos q ue u li li1:u.in con Jos usuarios.
11. Polftica de manejo de otros servicios qu\! fut:re n prestar, detaUando sus condi ..
dones.

J\rlfculo 11. Informe de Auditora.


Arlculo 12. Requisitos de las firmas aud1tOr.1s.
Artculo 14. Certificaciones reciproca< El n.'<'nocimento de los certificados de
f~rma.s dtg1tales emitidos por entidades d~ c~rtifican extranjeras, realizado por
entidades de certificacin autorizadas ~ua tal dt."Cto en Colombia, se har constar
en un certificado expedido por estas llhm:.o,
Artculo 15. Uso del certificado d1gtal.
Articulo 16. Unicidad de la firma digital.

153
DER.CHOS
DE AliTOR
Y SECRETOS
INDUSTRIAlES

...__ _154

Seccin 111. De la decrsin V las rtspvnsabilidad,,


CAPiTULO 4
EVALUACIN
DE LOS SISTEMAS

Seccin IV. De los Ct'rtifirados digital..,

Artculo 14. Regtstro de c.>rti/cados. Toda enhdad de certificacin autorizada d.-.


ber llevar un registro de publiro, acceso que conttnga todos lo.. certificados etru
tidos y sus ft..'t'has de emisin. explradn o rt"vOc.:..,lcin.
Art;(do 25. lnformac16n. Las entidades de -rtificad6n estar.in ob1igada~ a
respetar IM condiciones de confidencialidad y M"guridad, de acuerdo con las nor
mas vigentc."'t respectivas.

Salvo la informacin rontC'nida en el certificado, Ja sumini\trada por IO<o


suscripto...,. a las entidades dt certificacin ""consoderar privada )' confidencial
CAP(TULO m. Facultades de la Superintendencia de Industria
y Comercio

Artlculo 27. Estndares. La Superintendencia de Industria y Comercio determinar.\


los estndarr~ admisibles con respecto a los cuall~ las entidades de certificacin
debern am~1t.tr el cumplimiento de los requ1c.,itos relativos a
J.
2.
3.
4.
5.
6.
7.

la g...neran de pares de claves.


La generacin de firma~.
los ccrtllicudos.
Los sistemas de cifrado.
Las comunicaciones.
la ""Suridad de los si>temas de informaan ' de las instalaaones. o
Cualqucr otro aspecto que redunde en la confiabilidad y -.qundad de loo
certificados, o de la inform,lcin que repose en la entidad de ccrtafcacin.

Para la determinacin de lo., estndares admisibles, la supcrint~ndencia deber adoptar aquellos que tengon carcter internacional y que estn vigtntcs tecnolgicamente o los des.arrolladl.,.., ror el organi~mo nadona1 de normaliucin o b.
que sean amphamente reconoodos para los prop<tos perseguido.. tn todo ca:.o.
deber tener en cuenta su aplicabilidad a la lu de la legislacin ngen!(>.

rizada deemi

:ado~

)ligJdas ~1
., las nor

CAPfTULO

Evaluacin del proceso


de datos y de los equipos
de cmputo

a por lo<
tfid,.,cial.

ernunar.l
tilkacin

OBJETIVOS
Al finalizar este capitulo, usted:

1de los
:in.

1. Explrcar por qu los datos de las organizac100es son valiosos recursos y


por qu es necesario tener estrictos controles sobre ellos.
2. Conocer los distintos tipos de control que deben ejercerse sobre los datos
de las organizaciones.

a debc-

3. Describir las reglas relativas al orden y cuidado que deben observarse en el


cenrro de cmputo.

ecnolno los
loca~,

4. Explicar la importancia de evaluar el grado de eficiencia del sistema operativo para satisfacer las necestdades de una instalacn.
5. Conocer los puntos principales que debern ser evaluados en los equipos
de cmputo de una organizactn.

156
CAPITULO 5
EVALUACIN
DEL PROCESO
OE DATOS
Y DE LOS EOUIPOS
DE CMPUTO

d
y

CoNTROLES
Los datos son uno de los rCOJ rsos ms valiosos de las organizaciones, y, aunque
son int.1 ngibles, nccc,itan ser controlados y aud itados con el mismo cuidado qlli
los dems inventMios de la organizacin, por lo cual se debe te ner presente:

E
punb

dos~
caso

La responsabilidad de los d atos es compartida conjuntamente por algum


funcin determinada de la organizacin y la direccin de informtica.
Un problema que se debe considerar es el que se origina por la duplicida
de los datos, el cual consiste en poder determinar los propietarios o usuanos posibles (principalmente en el caso de ~des y banco de datos) y~
resport'labilid,ld de su actualizacin y consistencia.
Los datos deber.in tener una clasificacin estndar y un mt.>canismo de id...
tificacin que permita detectar duplicidad y redundancia dentro de un,
aplicacin y de todas las aplicaciones en general.
Se d eben relacionar los elementos de los datos con las bases de datos donde
estn a lmacenados,,,. como los reportes y grupos de procesos donde son
generados.

form
dad

En todo cen tro de informtica se debe contar con una serie de polticas que
pcrmi tan la mejor operacin de los sistemas. Estas polticas son evaluadas durante el transcurso de la aud itoria, por lo que slo son mencio~>adas en es~
seccin, pero se encuentran estudiadas en detalle en diferentes captulos.
Entre las polticas de operacin del computador se encuentran las siguientrs

que r
resp
a ce
actu

Polticas de respaldos

S
elab~

que
mest
1
bas;
dos j
lacio
cont

d ei s

Pol

Lds 1

Los respaldos di! la informacin deben realizarse mensual, semanal o diario. T


se deben observan los siguientes puntos:

debil
tracit

Contor con polticas formales por escrito para efech.1ar los respaldos mm
sua les, semana les y diarios de la informacin .
Todos los med ios magnticos de respaldo no deben estar a lmacenados en
un mismo luga r, aunque se tengan los medios magnticos de operaciner
el sile, por lo que si hubiera una contingencia grave (incend io, inundacin
no se tendra el riesgo de perder parte o la tola lidad de la uonnacin, Y
que se cuenta en otro lugar con los respaldos.
Debe tenerse acceso restringido al rea en donde se tienen almacenados k.
medios magnticos, tanto de operacin como de respaldo.
Se d!!ben tener identificadas las cintas por fecha, concepto y consecutivo,
es convemente !!laborar y actualizar una relacin sobro:! las cintas, el cooiPnido de los datos de registro y los responsables de efectuarlos.
Se debe contar con una poltica que indique los procedimientos a seguir e:
cuanto a l almacenamiento de las cintas de respaldo en un lugar diferente

vers

por

de la ubicacin del site, en donde se pued a tener acceso las 24 horas del d a
y donde se designen responsables de mantener actualizada la informacin
vital de la organizacin.

;,y, aunque
uidado que
resente:
por algun a
ntica.

duplicidad
ioso usuadatos) y la
no de identro de una
llosdonde
donde son
lticas q u e
uadas d u as en esta
ulos.
>iguientes:

El hecho de no contar con estas polticas de respaldo que contemplen los


puntos anteriores puede p rovocar que no se sigan los procedimientos adecuados para realizar los respaldos, que haya riesgo de prdida de informacin en
caso de alguna contingencia y no tener una d ispon ibilidad inmediata de la informacin de respaldo para recuperar la itormacin y conseguir lma continuidad en la organizacin.
Se debe elaborar por escrito lma serie de polticas y procedimientos para la
elaboracin de los respaldos, contempla ndo los pasos a segu ir, la informacin
que debe de ser respaldada.. segn el periodo correspondiente (mensual, semestral o anual), as como al personal asignado para cada caso.
Tambin se debe especificar la forma de etiquetaci n, nomenclatura, pruebas, rotacin de cintas, los nombres de Jos responsables de efectuar los respaldos y las cintas que sern designadas para ser resguardadas fuera de las instaladones. Tamb in se debe tener una relacin por escrito de la ubicacin y el
contenido de las cintas, que debe ser entregada al responsable de la segu ridad
del site, as como al gerente del rea de informtica.
Dentro de las polticas de resp aldo, se debe con tar con un punto que ind ique los procedimientos a seguir en cuanto al almacenamiento de las citas de
respaldo en u n lugar d iferente al de la ubicacin de l site, donde se p ueda tener
aa:eso las 24 horas del dia y donde se designen responsabilidades de mantener
actualizada la informacit\n vital de la o rganizacin.

Polticas y procedimientos
>diario, y

las polticas existentes deben estar actua lizadas en todas las actividades, estar
debidamente documentadas y ser d el conocimiento del personal.
No contar con polticas y p rocedimientos actua lizados que rijan la administracin del rea de sistemas podra ocasionar:

dosmenAdministracin inadecuada de la operacin.


Relajamiento en el cumplimiento de las obligaciones del personal.
Inadecuada divisin de labores.

nados en
racin e n
mdacin)
acin, ya

nados los

Segu ridad de la ilormacin (fsica y lgica).


Adquisicin de hardware y softwa re.
Operacin de centro de cmputo.

'CUtivo, y
el conte>eguir en
'ercnte al

Las polticas y procedimientos deben incluir los siguientes puntos:

Es recomendable que se documenten todos los procedimientos de las d iversas actividades. stos, al igual que las normas y polticas, se manifestarn
por escrito en manuales de operacin.

157
CONTROLES

Polticas para el
computador

Al proceder de esta manera, se obtendrian las siguientes ventajas:

158
CAPITULO S

EVALUACIN

OEL PROCESO
DE DATOS
Y DE LOS EOUIPO$
DE COMPUTO

Se tiene una base uniforme, estable y forma l para capacitacin, consulta


supervisin, y se fomenta la eficiencia del persona 1en sus funciones.

Ante la rotacin del personal, se evita el desvi tuamicnto de las nn,rm<~<r"


procedim ientos originales creados.
Se precisa la rcspo11sabilidad ind ividual de los pa rticipantes en una opera
cin, en caso de e rrores y omisiones.

Adems, dichas polticas y proced imientos a desarrollar, debern ser dd


conocimiento dt!l personal.

Poltica de revisin de bitcora


(soporte tcnico)
Deben existir bitcora> de operacin en las que se registren los procesos realiu
dos, los resultados de su ejecucin, la concurrencia de errores, los procesos ercutados en el equipo y la manera en que concluyeron.
No contar con una poltica de revisin de las bitcoras de operacin de lo!
diferentes p rocesos puede ocasionar problemas como:

Ca recer de bases pa ra e l ra~treo de errores d e procesam ic11to .


Falta de parmetros de evaluacin respecto a l funcionam iento del equipo y
del departamento de sistemas.
Ausencia de controles en cuanto a registro de seguimiento de problemas.
Falta de parmetros para determinar las causas de una falla signicativaer
el sistema y dar seguimiento a su correccin.
Dependencia del personal para solucin de errores.
Los errores pueden presentarse en forma recurrente y no ser detectados. lo
cual caul'a prdidas de tiempo en la correccin.
Puede presentar..e una prdida de tiempo al no programarse adecuadamente las funciones, lo que tiene como consecuencia una confu~in en l'l rea
respecto a los procesos que ya se han realizado y los que se deban reaJiar.

Es necesario establecer una poltica de revisin de las bitdcoras de opera


cin, asignando responsables por proceso y fw1cin, lo que traera como benefi
cio d etectar y corregir a buen tiempo los e rro res recurrentes y poder toma
medidas preventivas para q ue stos ya no se presenten.
Pa ra la adquisicin, ma ntenimiento y desarrollo de s istemas S<) deben cons iderar:

legal y
por pa
Al
provee
con tar

nnlerq
e n una
muy fc

Por

Ac~

que
es tl

fn 1

del
m~

Elal
paq
Dc
ten
Pro
se i
apll

Politio

Las insl
nanlicn
y p roct>
deben e
Por
siguicn

El ~
lUU

!rol
as .
tar
Se e
!cldo

Control de las licencias del software

Dct
m ir
El ~

tam
Todas las orga~.uciones deben de tener un inventario de las licencias del son
ware actuali7ado, que asegure que toda la paquetera y software en generalw

No
poto

"'1\'1 y e>t amparada por una licencia, para evitar posibles problemas legales
pur p.tgo de derechos de uso y explotacin del software.
Al no contar con las licencias correspondientes, no se le puede exigir al
pmvt'l.'<lor el servicio de soporte o actu.tli,aci6n de software, ya que para poder
c.>ntarcon estos servicios es necesano pre'lCntar las licencias de adquisicin o el
numero de serie instalado dentro de la licencia, el cual se encuentra clasificado
en una base de datos dentro de los equipos del proveedor. Por tal motivo es
muv fcil detectar si la licencia'" ptrata o ya wnci.
l'or ~JI o, es muy importante:

1, consu Ita y
:iones.

ilS norn1as

tuna opera-

?rn ser del

159
CONTROlES

Actuali:zar el inventario de hardwdrc y software, sealando 10'> paquch.><,


que se tienen instalados por mquina y venficando que cada uno de stO'>
'"'t amparado por una licenci.1.
En caso de no contar con las licencias, t'S nt'Ce!Huio contactar al proveedor
del soCtware o del paquete en cuestin para actualizarlas o adquirirla' lo
m.ls pronto posible.
Elaborar un plan verificador de softwarl, para revisar que no se instale
paquetera pirata.
Designar a una persona responsable d~l n'a de informtica par\1 gurdar y
tener actualizadas las licencias.
rromover un plan de concicntacin <'ni re d personal con el fin de que no
'<' instale paquetera pirata en las mJqUJn.lS propiedad de la empre...,, y
aplicar sanciones al personal que no acate estas medidas.

"SOS realizarocesos ej<.~

tcin de los

el equipo y
roblemas.
ificati\a en

teclados, lo
ruada menen el rea
'1 realizar.

Polticas de seguridad fsica del site


J.a, mstalaciones del site deben ser '" .><ll>cu.ldas para asegurar el buen functo'1.lmtcnto y la continuidad necesaria en 1,1\ opcr.1ciones. Deben existir polhca~
\ proct>dimientos que describan los aspectos de seguridad fsica mnimos que
deben de regir dentro del departamnto dc ~istcmas.
Por tal motivo, durante la visit,l a las inMalaciones se deben observar los
<iguientes puntos:

, de operaroo benefioder tomar


febencon-

lS del soft;eneral sea

El acce:;o al site debe estar restrlllgido por una puerta, la cual contar con
una chapa adecuada de segurid,ld, o con un di~posi tivo electrnico de control de acce:;o. Se deben tener dispositivos .1dccuadosde deteccin de humo,
as como aspersores de calor para la C\hncin de incendios, adems de conlar con extintores.
Se debe tener proteccin en lo. ..._rvidt>rl., para que no puedan ser de-.ronectados accidental o intencionalmente y provocar a>. serios daos al equipo.
Deben existir documentos o cartel~ que indiquen las normas de seguridad
mm1ma que deben de obse!'\a.-;c alt"tar en el >~1<.
El personal operativo no debe pcnn1hr el accl'SO a personal aeno al depar
lamento.
No debe tenerse papel para mprestn dentro del site, el cual es un objeto
potencial de algn desastre.

Cuidado del s ite

160
CAPITULO 5
EVALUACIN
DEL PROCESO
DE DATOS
Y DE LOS EQUIPOS
DE CMPUTO

Los equipos que se utilizan para la limpieza dentro del si le no deben do


estar directamente conectados a la toma de corriente en la que estn COIIK'
tados Jos equipos de cmputo y Jos servidores.
Los equipos elctricos, interruptores o de comunicacin, no deben estara
alcance de cualquie r persona.

Hay que elaborar polfticas formales de segu rid ad y d isear las caracters~
cas para el sile, por Jo que se recomienda lo siguiente:

Seguridad fsica del centro de cmputo. Disear un lugar exclusivo y ad


ruado para los equipos centra les. Implementar dispositivos adecuados par
la prevencin y extincin de incendios que garanticen la salvaguarda dil
equipo e informacin que se encuentre dentro de l site.
Acceso a l centro de cmputo. El acceso al centro de cm puto debe est11
restringido po r llaves e lectrnicas, chapas magnticas, e tc.; adems, es""
cesario que se implemente alg n procedim iento de control de acceso pa.o
personal no autorizado a las instalaciones. Asimismo, se debe de realiu
una distribucin correcta de las polticas y proced imientos de seguridad
fsica, con el objetivo de que el personal conozca las responsabilidades!
acciones que les corresponde, y con el fin de promover el cum plimientod<
los objetivos y metas.
Plan de contingencias. Debe existir un plan de contingencias que pe rmita que
los s istemas sigan funcionando en caso de algn siniestro o en caso de alguna
huelga. Debe verificarse que se cumplan con tod as las caractersticas que un
documento de esta importancia requiere. Un p lan de contingencias puedt
asegurar que se est preparado para enfrentar imprevistos y desastres de
cualquier indole, asegurando una continuidad en la operacin de los sistemas de cmputo. Ejemplos de contingencias pueden ser. incendios, tormer>
tas, inundaciones y actos vandlicos, Jos cuales p ueden ocasionar una dismi
nucin en el a provechamiento de la com putadora po r un periodo considera
ble. Con la importancia y dependencia que se tiene de la computadora, una
prd ida de iJormacin o la iJnposibilidad potencial para procesarla originada por una contingencia puede ser muy significativa. Se sugiere la revisio
del plan de contingencias para que contenga los siguientes controles:

una d
cera t

La m
de d<

,
i'

usuar
o

Delegacin de funciones y entrenamiento de personal.


Resumen de actividades a seguir en caso d e contingencias.
Estudio detallado d e las que, d e acuerdo con la zona geogrfica, tieneo
ms probabilidad de ocurri r y Jos impactos q ue cada una de stas oc"

Por e.
de lm
dato),

s ionaria.

gund
tas, y
se pu

Realizar un estudio de tiempo estimado de restablecimiento de opetr


dones de acuerdo a una determinada contingencia, as como un estu
dio de consecuencias potenciales que se desprenderan por la inoperatr
vidad de los sistemas.
Identificar las ap licaciones y archivos de datos crticos para la operr
cin de los servicios computacionales, as como determinar las priondades de restablecimiento de stos. Se deben incluir especificadone;
de hardware y software, tiempo de procesamiento, programa_ archin>
y documentacin de programas y operacin.

,.

crbir
tura (:
(captt
read
rio, JX
dad d

no deben de
eestn conec-

o
o

Jeben estar al
o

S caracterstio

:lusivo y adelecuados para


vaguarda del

sistemas.
o

to debe estar
dems, es nec acceso para
:>e de realizar
de seguridad
sabilidades y
1plimiento de

e permita que
aso de alguna
sticas que un
;encas puede
desastres de
' de los sistedios, tormen.at una dismido considera>utadora, una
'Safla originare la revisin
<troles:
s.
;rfica, tienen
de stas ocanto de operaomo un estur la inoperatiara la operalarlas prioriJecificacioncs
1ma, archivos

Proveer los lineamientos necesarios para el restablecimiento de operaciones a partir de los respaldos de informacin.
Desarrollo de pruebas peridicas del plan de contingencia, as como el
establecimiento de niveles de autoridad y responsabilidades para garantizar el buen resultado de la prueba.
Establecer procedimientos y responsabilidades para mantener el plan
de contingencias.
Procedimientos o planes para la reconstruccin de los site despus de
una contingencia.
Establecimiento de procedimientos manuales de operacin por parte
de los usuarios para restablecer operaciones mientras se recuperan los
Lineamientos para garantizar que clicho plan sea probado y actualizado peridicamente.

El plan de contingencias, revisado y aprobado, debe ser distribuido a cada


una de las reas de la divisin de informtica de la empresa y ser dado a conocer a todo el personal que labora en ellas.

CoNTROL DE DATos FUENTE


YMANEJO DE CIFRAS DE CONTROL
la mayora de los delitos por computadora son cometidos por modificaciones
de datos fuente al:
Suprimir u omitir datos .
Adicionar datos.
Alterar datos.
Duplicar procesos.
Esto es de suma importancia en el caso de sistemas en lnea, en los que los
usuarios son los responsables de la captura y modificacin de la informacin.
Por ello, se debe tener un adecuado control con sealamiento de responsables
de los datos (uno de los usuarios debe ser el nico responsable de determinado
dato}, con claves de acceso de acuerdo a niveles.
El primer nivel es en el que se pueden hacer nicamente consultas; el segundo nivel es aquel en el que se puede hacer captura, modificaciones y consultas, y el tercer nivel es aquel en el que se puede hacer todo lo anterior y adems
se pueden realizar bajas.
NCYfA: Debido a que se denonna de diferentes formas la actividad de transcribir la ilormacin del dato fuente a la computadora, sugerimos llamarla captura o captacin, por considerarla considerndola como sinnimo de digitalizar
(capturista, cligitalizadora), anteriormente la nesponsabilidad de captura era del
rea de informtica; en la actualidad es principalmente responsabilidad del usuario, pero esto no elimina la posibilidad de errores y consecuentemente la neccsid.ld de auditar sus controles. Ahora existen diversas formas de captura de la

161
CONTROLES

162
CAPiTUlO 5
EVAlUACII'<
DEl. PROCESO
DE DATOS
V DE lOS EQUIPOS
DE CMPliTO

informacin, por e~mplo, SC<~nners, pero debe existir una pe"'<ma que <ea
ponsable del contrul de esta mformacin y asegrese que es COI1fi<lbl~ yox>rtu:~l
Lo primero que debemos evaluar es la entrada de la in.,,.m,rotln
tengan las cifra~ de contro l necesarias para determinar lo ver01cidad
para lo cual S<' puede utili,u d siguiente cuestionario, el cunl est dirigi<joil
captura en el rea de informtica, independientemente de la c.lptura qu~
responsabilidad del usuMio:

C)

D)

1. Existen normas que definan el contenido de los instruct1vos de captaon di


datos?
El

2. lnd.que el po<centate de datos que se recoben en el rea de captacon y !.que si cont- su 1nstruc!JVo correspondente. En caso de que el usun
sea el responsable de la captura. debe eXJsbr un manual det usuano. o bie!l
ayuda (help) dentro del Sistema.

3. Indique el contenido de la orden de trabajo que se rec1be en el rea de captacin de datos def area de lnfoontJca:
Nmero de follo.
Fecha y hora de recepc1n.
Nombre del documento.
Volumen aproximado de
registros.
Clave de cargo (nmero de
cuenta).
Nmero de reg1stros

(
(
(
(
(

)
)
)
)
)

Fecha y hora de entrega de


documentos y reg1stros
captados.
Clave del capturlsta
Nmero(s) de formato(s).
Nombre, departamento, usuario.
( ) Nombre del responsable
( ) Fecha est1mada de entrega

(
(
(
(
(
(

1
)
)
)
)

4. Indique cul(es) controf(es) ~ntemo(s) existe(n) en et rea de captacon de


datos:

Firmas de autonzaci6n.
Recepcl6n de trabajOS.
R8VISi6n del documento fuente
(leg btlidad. venhcaCIOO de
datos completos, etc.).
Pnondades de captacin.
Produccin de trabao.
Costo mensual por trabajo.

) VerifiCacin de c1fras de
( ) control de entrada con l8a
de salida
Control de trabajOS atrasados
( ) Avance de trabaos.
( ) Verificacin.
( ) Errores por trabajo.
( ) Correccin de errores.
Entrega de trabajos.

5. Exista un programa de trabajo de captacin de datos?

10 O
(
(

Ss

1
(
( l
( l
( )

11 . Se

12 Se

A) Se elabora ese programa para cada tumo?

13.Se
Dianamente (
Semanalmente(
Mensualmente (
B) La

)
)
)

14 Se

etaboraCIOO del programa de trabaJO se hace:

Internamente
Se les seala a los usuanos las prioridades
Se les senala a los usuarios fa posible lecha de entrega

15.

P~

Cftel

rt.~

una.
te se

sta,
a la
S<>il

le

SI()

NO()

0) Indique el contenido del programa de trabajo de captacin.


) Hora programada de entrega. (
Nombre de usuario.
Clave de trabajo.
) Volumen estimado de
Fecha programada de
registros por trabajo.
recepcin.
( ) Fecha programada de
Hora programada de recepcin. ( ) entrega
E) Qu accin(es) se toma(n) si el trabajo programado no se recibe a tiempo?

lo

"'

6 Cuando la carga de trabajo supera la capaCidad 1nstaJada se requoere:


Tempo extra. (
Se subcontrata. (

)
)

7 Qun controla las entradas de documentos fuente?

8. En qu forma las controla?

le

9. Qu edras de control se obtienen?


Sstema

Cotras que se
obbenen

Observaciones

10. Qu documentos de entrada se llenen?


Sstemas Documentos

Oepto que
proporciona
el documen1o

Penodcidad

Observaciones

J
)

163_

C) El programa de trabao es congruente con el calendano de producc1n?

11 Sa ano1a qu persona recobe la 1nlormacn y su volumen?


SI

NO

12. Se anota a qu capturista se entrega la Informacin, el volumen y la hora?

sr

No

13. Se venfiCa la calidad de la informacin recibida para su captura?


SI

NO

SI

NO

14. Se revsan las cUras de contro4 antes de enviarlas a captura?

15. Para aquellos procesos que no tragan cofras de contro4 se han establecodo
cntenos a Ion de asegurar que la mlO<lli8Cin es completa y vfoda?
si
NO

CONTROLES

__

164

16 Exlste un proced1m1ento escrito que 1nd1que cmo tratar la 1nfonnac16n 1nv


CAPiTuLO 5

llda? (S1n flnna. degble, no corresponden las edras de control.)

si

EVALUACION

DEL PROCESO
DE DATOS
Y OE LOS EOUIPOS
DE Ct.<PUTO

NO

17 En caso de resguardo de infonnaoon de entrada en sistemas, ,se custod.an


en un lugar seguro?
st
NO

18. S1 se queda en el departamento de sistemas. por cunto tiempo se guarda?


19. Ex1ste un registro de anomalfas en la Informacin debido a mala coofi
C8C1n?
Si
NO
20. EXJste una relacin oompleta de dstnbuon de fiStados, en la cual se.,..
quen personas. secuellCia y SIStemas a los que pertenecen? 81
NO
21. Se verifica que las Cifras de las valldac1ones concuerden con los documentos de entrada?
SI
NO
22. Se hace una relacin de cundo y a qun lueron distribwdos los listados?
si
NO
23. Se controlan separadamente los documentos oonfidenoales?
Si

NO

24. Se aproveche adecuadamente el papel de los listados inservbles?


S

NO

si

NO

25. Existe un regostro de los documentos que entran a captura?


26. Se hace un reporte dl8no, semanal o mensual de captura?

27. Se hace un reporte diario, semanal o mensual de anomalas en la Informacin de entrada?


s1
NO

28. Se lleva un control de la produccin por persona?

SI

NO

29 Quin reVisa este control?


30. Exlsten instruroones escntas para capturar cada aplicaci6n o, en su defecto, existe una relac1n de programas?
1
NO

Vase en la figura 5.1 un ejemplo del formato de mesa de controL


l.os sistemas en lnea, redes y comunicacin son evaluados en la seccin de
sistemas, y esta evaluacin debe ser confirmada con el usuario.

CoNTROL DE OPERACiN
La eficiencia y el costo de la operacin de un s is tema de cmputo ~e ven fuert~
mente afectados por la calidad e integridad de la documentacin requerida par

165

la informacin inv-

Fig ura 5.1 - Mesa de control

>nttot.)
SI

CONTROLES

NO

FECHA

nas. se custodian
SI

NO

tiempo se guarda?

DE

HOJA

SISTEMA

DOREOCIN

FORMUL

ido a mata codifiSI

NO

NUt.C.

DOCUMENTOS FUEHTE

ORIGEN

FRECUENCIA

RECEPCIN
HORA liMITE

en la cual se indiln? Si
NO
con los documenSl

NO

1dos los listados?


SI

NO

Si

NO

Jes?
leM bies?

Si

NO

SI

NO

SI

NO

OPEAAQON~

REVISAR CAPTURAR. PAOCESAA_ ETC.

TIEMPO

PERSONAL

HOAA SAL

11

ts en la informaSi

NO

SI

NO

INSPECCIN DE 'REVISIN

o, en su defecSI

NO

control.
. en la seccin de

()se ven fuerterequerida para

i=tEPORTE

FIE.POf\TE

REPORTE

OISTR18UC OlA_ HORA_

OtSTR18UC. Oi"- HORA_

OISTRJSUC. otA.,_ HOAA _

166
CAPlTULO 5
EVALUACIN
DEl PROCESO

DE DATOS
Y DE LOS EQUIPOS
DE CMPUTO

1 Sistemas en lot e

el proceso en la computadora. Los instructivos de operacin proporci()flal'


operador informacin sobre los procedimientos que debe seguir en silttacilr--1
normales y anormales del procesamiento, y si la documentacin es incomp
o inadecuada lo obliga a improvisar o suspender los procesos mientras inl'e!:
ga lo conducente, generando probablemente errores, reprocesos, desperdi.
de tiempo de mquina; se incrementan, pues, los costos del procesamie!l!o'
datos.
Debemos de considerar la operacin de los sistemas en lnea, los cu;
deben de estar residentes en todo momento, con su correspondiente sistema
comunicacin, mientras que en cuanto a los sistemas en lote (batch) se di
planear y programar su operacin. Para lograr esto existen instalaciones<<
tienen equipos de computacin y comunicacin dedicados exdusivameolt
los sistemas en lnea, y otros equipos dedicados nicamente a proceso en lol
(batch).
El objetivo del siguiente ejemplo de cuestionario es sealar los procedimk
tos e instructivos formales de operacin de sistemas en lote (batch), analizar
estandarizacin y evaluar el cumplimiento de los mismos.

1. Existen procedimientos formales para la operacin del sistema de crnPIJ~

2. Esos prooadimientos describen detalladamente tanto la organizacin de~


sala de mquinas como la operacin del sistema de cmputo?

..:>

3. Estn actualizados los procedimientos?

SI

..:>

Otr
12.L
an

4. Indique la periodicidad de la actualizacin de los procedimientos:


Semestral
Anual
Cada vez que haya cambio de equipo

(
(
(

S. Obsetve la forma en que est operando la mquina, cmo se distnbuyon


los trabajos en lotes? Cul es el limite de trabajos en lotes y si se tiene un
adecuado orden y control en los procesos por lotes?
si
t10
6. Indique el contenido de los instructivos de operacin para cada aplicaCIn:
Identificacin del sistema.
Periodicidad y duracin de la corrida.
Especificacin de formas especiales.
Etiquetas de archivos de salida, nombre del archivo
lgico y fechas de creacin y expiracin.
Instructivo sobre materiales de entrada y salida.
Allos programados y las aociones requeridas.
Instructivos especficos para los operadores en caso de falla
del equipo.
Puntos de reinicio, procedimientos de recuperacin
para proceso de gran duracin o criterios.

( )
( )

( )

17.

( )
( )
( )

18.

( )

19.

( )

oporcionan ..11
en situacion!'s
es incomplet,
entras investi
s, desperdicio
~ientode

ea, los cu;\le~


tte sistema de
1atch) se debe
alaciones qu!'

usivamentc a

xeso 1'11 lotes

167

Identificacin de todos los dispositivos de


la mquina a ser usados.
Especificaciones de resuHados
(cifras de control, registros de salida por archivo, etc.).
lnslruchvos de plan de contmgenca.
lns11\Jct1V06 de prooedmoentos de recuperacon.

CONTROLES

)
)
)

7. EXIslen roenes de proceso para cade cornda en computadora (ncluyendo


pruebas. compilaciOnes y producon)?
SJ
NO

8. Son suficientemente claras para los operadores estas rdenes?


SI

NO

9. Existe una estandarizacin de las rdenes de proceso?

NO

si

10. Exoste un control que asegure la justolicac16n de los procesos en el compu


procedimien1}. anali:.car su

de cmpu

""
aCI6n de la

tador? (Que los procesos que se estn trabaando estn autonzados y ten
gan una razn de ser procesados.
Si
NO

11 Cmo programan los operadores los trabajOS dentro de la sala de rnaquonas?


Pnmero que entra, pnmero que sale.
Se respetan las prioridades.
Otra (especifique).

12. Los retrasos o 1ncumphmiento del programa de operacin diaria, se revisa y


analiza?
si
NO
13. Quien r8V1sa este reporte en su caso?

14. Cmo controlan los operadores las versiones correctas y cmo se ldentl
can las que son de prueba?
istnbuyen
le tiene un

""

15. Analice la eloclencia con que se ejecutan los lrabajos dentro de la sala de
mquinas, tomando en cuenta equ1po y operador, mediante una InSpeccin
visual, y descnba sus obseiVaciones.

pliCaO<)n:
16. EXIsten procedom1entos escrttos para la recuperacin del sistema en caso
de fallas?
SJ
NO
17. Cmo se ectua en caso de errores?
( )
( )
( )

18. Ex1sten Instrucciones especficas para cada proceso, con las Indicaciones
NO
pertinentes?
si
19. Se t1enen procedimientos especfiCOs que 1ndquen al operador qu hacer
cuando un programa onterrumpe su eecucin u otras dificultades en proceso?
Si
NO

168
CAI'tTULO $
EVALUACIN
DEL PROCESO
DE DATOS
Y DE LOS EQUIPOS
OE CMPl/TO

20. Puede el operadOr mod1hcar los datos de entrada?

11

NO

35.oS

rut
21. Se prohibe a analistas y otro personal aeno al rea la operacin de la m
quina?
si
NO
22. Se prohibe al operador modif1car informacin de archivos o biblioteca de
programas?
si
NO
23. El operador realiza funciones de mantenimiento diano en dlspos111vos que
as lo requieran?
s1
NO

24. Las intervenciones de los operadores:

Son muy numerosas?

NO

Se r.mrtan a los mensees esenaales?

NO
NO

Otras? (espec~hque).

37.E
h
m
38.E
cal

39. O

25. Se t1ene un control adecuado sobre los s1stemas que estn en operacl6n?
SI

NO

40

oO

26. Cmo se controlan los trabajos dentro de la sala de mqUinas?


27. Se rola al personal del control de informacin con los operadores. procu
rando un entrenamiento cruzado y evitando la manipulacin fraudulenta de
datos?
.,
NO

41 O
m

42 M
en

28. Cuentan tos operadOres con una bitcora pera mantener reg1stros de cuaJo
quier evento y accin tomada por ellos?

43 1

SI

Por mqu1na
Escnta manualmente

811
prc

( )
( )

NO

29. Venf1can que ex1sta un reg1stro de func1onam1ento que muestre el bempo


de paros y manten1m1ento o instalaciones de software?

NO

44 E
to?
45.

30. Existen procedimientos para evitar las corridas de programas no auton


zados?
sl
NO
31. Existe un plan defln1d0 para el cambio de tumo de operacin que av1te el
descontrol y dlsconllnuidad de la operacin?
111
NO
32. Venf~<:an que sea razonable el plan para coord~nar el cambio de turno?
Gf
NO
33. Se hacen InspecciOneS pendiCaS de muestreo?
34. EnUllCl8 los procedutuentos menaonadOs en el 10caso antenor

Po
Po

35. Se controla estrictamente el acceso a la documentacin de aplicaciones


ruManas?
Si
NO

m
Cmo?
~de

36. Verifican que los privilegios del operador so restrinjan a aquellos que le son
que

asignados a la clasificacin de seguridad de operador?

si

NO

37 Existen procedimientos formales que se deban obseNar antes de que se


hayan aceptado en operac1n. sistemas nuevos o modificaciones a los missi
NO
mos?

38. Estos proced1m1entos ~ncluyen corndas en paralelo de los sistemas modificados con las versiones antenores?

NO

39. Durante cuanto tiempo?

n?

40. Que precauciones

oCU

se toman durante el penodo de Implantacin?

4t . Quin da fa aprobacin formal cuando las corridas de prueba de un sistema


modificado o nuevo estn acordes con los Instructivos de operacin?

de

Jal-

42 Mencione qu instructivos se proporcionan a las personas que intervienen


en la operacin rutinaa de un sistema.

43 lnd1que qu tipo de controles se tienen sobre los archivos magnticos de los


archivos de datos, que aseguren la ubhzac.n de los datos precisos en los
procesos correspondientes.

PO

44 Ex1ste un lugar para archivar las bitcoras del Sistema del eqUipo de cmpu
to?
sr
NO

45. Indique cmo est organizado este archivo de bitcora.


ti
el

Por fecha
Por fecha y hora
Por turno de operacin
O Iros
46. Cul es la utilizacin sistemtica de las b1tcoras?

47 Adems de las mencionadas anlenormenle. qu olras funaones o reas se


encuentran en la sala de mquinas actualmente?

169
CONT~ES

170

48. Se verifica que se lleve un registro de utilizacin del equipo diario, siSten11
en lnea y batch, de tal manera que se pueda medir la eficiencia del uso ce
equipo?
SI
"'

CAPiTULO 5
EIIA~VACIN
Oa PROCESO

OE DATOS
Y OE LOS EOVIPOS
DE CMPUTO

49. Se tiene un 1nventano actualizado del total de tos equipos, de su localu


cin?
Si
110
50. Cmo se controlan tos procesos en lnea?

51. Se tienen seguros sobre todos los equipos?

SI

Con qu companra?

Solicitar plizas de seguros y verificar tipo de seguro y montos.

52. Cmo se controlan las llaves de acceso (password)?

Se debe veri ficar que el instructivo de operacin contenga l os siguienlt>


datos:

Diagramas.
Mensajes y su explicacin.
Parmetros y su explcacin.
Frmulas de verificacin.
Observaciones e instrucciones en caso de error.
Calendario de proceso y de entrega de resultados.

CoNTROL DE SALIDA

Se o&ece el siguiente cuestionario en relacin con el control de salida:


1. Se tienen cop1as de los archivos magnticos en otros lOcales?
si

2. Dnde se encuentran esos locales?


3. Qu seguridad ffslca se tiene en esos locales?
4. Qu confideroarJdad se t1ene en esos locales?

kO

done~

les int
"''

p~

rados

171

5. Quin entrega los documentos e salida de los procesos en lotes (batch)?

stemas
uso del

CONTROLES

o
6. En qu forma se entregan?

leal izaNO

7. Qu documentos?

S1stema

Documentos

A quin se

Periodicidad

Observaciones

entregan
NO

8. Que controles se tienen?


S1stema

Control

Observaciones

Comentarios

9. Se tiene un responsable (usuano) de la informacin de cada s1stema en


lfnea y en lotes (batch)?
SI
NO
tO. Cmo se atienden solicitudes de lnlormacln a otros usuarios del mismo
sistema?
1guientes

11. Se destruye la informacin no utilizada, o bien qu se hace con ella?


Destruye (

Vende ( )

Tira ( )

Otro (

CoNTROL DE ASIGNACIN DE TRABAJO


Esta parte se relaciona con la direccin de las operaciones de la computadora en
trminos de la eficiencia y satisfaccin del usuario. Esta seccin debe ser comparada con la opinin del usuario. La funcin clave del personal de cargas de
m~quina est relacionada con el logro eficiente y efectivo de varios aspectos:

Satisfacer las necesidades de tiempo del usuario.


Ser compatible con los programas de recepcin y transcripcin de datos.
Permilir rveles efectivos de utili zacin de los equipos y sistemas de opera
cin.
Volver la utilizacin de los equipos en lnea.
Entregar a tiempo y correctamente los procesos en lotes (batclr).

La experiencia muestra que los mejores resultados se logran en organiza


ciones que utilizan sistemas formales de programacin de actividades, los cuales intentan balancear los factores y medir resultados.
Se debern evaluar los procedimientos de programacin de cargas de mquina para determinar si se ha considerado atenuar los picos de los procesos generados por cierres mensuales, o bien los picos de los sistemas en lnea.. y poder

172
CAPITULO S

EVAWACIN
DEL PROCESO
DE DATOS
Y DE LOS EOU POS

DE COMPUTO

balanceM las cargas de trabajo de Jotes (bntclr) y lfnea, dando priorid


los prtX't"SOS en lnea, o contar con equipos qut- pt-rmitan en forma mdcpm..
le cumplir con las n~idad~ de procesos en linea. con su comunicadn.
proc..>SQS en lote.
En relacin ron 1~ programas de trabao proponemos el sigu1t-nte
nario:

Ca
DE~
l.us d
c.<)Jnp

1 Opera la sala de mquinas sobre la base de programas de trabajo?


NO

2 lndque los penodos que abarcan los programas de trabao.

pudn
ono<S
tiC<! b
de ala

3. lnd1que el puesto o departamento responsable de la elaborac10 de los programas de trabajo.

4. Se cambian frecuentemente tos programas de trabajo?


5. Cul es la causa pnnc pal?

6. Se comumca oportunamente a los usuanos las modificaciones a los programas de trabajo?

SI

NO

Cmo se comunican?

7 Denlro del programa de trabao de fa rnaqu na, se henen preVIStas

Demandas 1nesperadas?
Fallas de la mquina?
Soporte de los usuanos?
Mantenimiento prevenhvo?
Otras? (espeofque).

( )
( )
(

8. Con que frecuenc1a se as1gna fa computadora. en su totalidad o en un g~an


porcentaje, pera una sola aplicacin (la de mayor utilizacin)?

9 . Esp8Cifque los elementos que s1rven como base para programar las cargas
de rnqulllB.

Se deberJ procurar que la distribucin fi,ica delL'qUipo sea func1onal, qu.


la programacin de las cargas de mquina satisfaga en forma eficaz al usuario
Asimismo, se tendr cuidado con los controles que se tengan para la utilizado
de equipo y que el mantenimrento satisfaga las nl'CeSidades.

173 _ ____,

oridad a
'P"ndienIn, y con

CoNTROL DE MEDIOS

ecuestio-

DE ALMACENAMIENTO MASIVO

0$ pro-

HO

CONTROlES

los dispo,itivos de almacenamiento representan, para cualquier centro de


cmputo, archivos extremadamtnte importante;, cuya prdida parcial o total
podria tener repercusiones muv serias, no slo en la unidad de inform.itica,
sino en la dependencia en la cual -.e presta serviciO. Una direccin de informtica b1en administrada debe tener perfectamente protegidos estos di~positivos
de almaC<'namicnto, adem,ls de mantener registros sistemticos de la utili?.a
cindc estos archivos, de modo que sirvan de bas.. a los programas de limp ieza
(borrado de informacin), principalmente en el c.1so de las cintas.
Adcm.\s, se deben tener perfectamente identificados fisicarnente lo, archivos para r<-ducir la posibilidad de utilizacin errnea o destruccin de 1.. mformacin

Un manejo adecuado de e;tos dispositivos permitir una operacin ms


eficiente y segura, mejorando adems los tiempos de proceso.
El sigtlicnte cuestionario puede ser extensivo a todo tipo de almacenamiento
magntico; como ejemplo de fonn.ttO para el anlisis de archivos, va"' figura 5.2.

progra
NO

1. Los locales astgnados a almacenamientos magootJCOS toenen:


Aore acondocoonado.
Proteccin contra el fuego
(soilalar qu tipo do proteccin).
Cerradura especial.
Otro

2. Tl<!nen el almacn do arch1vos proteccon aulomatoca contra el fuego?


S>

NO

(Sollalar qu tipo.)

3. Qu Informacin mlnima contiene el inventarlo do la cintoteca y la disco


Jl1 gran

car!jiiS

onal, que
1usuario.
tiliulcin

teca?
Numero de serie o carrete
Nombre o clave del usuano
Nombre del archiVO lgoco.
Nombre del sistema que lo genera.
Fecha de generacon delarchovo.
Fecha de expiracon del archivo.
Numero de volumen.
Otras.

( )
( )
( )

( )
( )
( )
(

( )

4 Se venhcan con frecuenc1a la vahdez de los Inventarios de los archovos


s1
HO
magnllcos?

174
CAPiTuLO S

EVALUACIN
DEL PROCESO
DE DATOS
Y DE LOS EOUIPOS
DE CMPUTO

5. En caso de exiSbr discrepancta entre archivos y su contenido. se resuetveo


y expltean satisfactonamente las discrepancias?
s
NO

17.
ce

6 . Qu tan frecuentes son estas drscrepancias?


18. ~~
7 . Se tienen procedimientos que permitan la reconstruccin de un archivo en
cinta o disco, el cual fue inadvertidamente destruido?
sf
NO

8. Se tienen identtflcados los archivos con informacin confidencial y se cuen


ta con claves de acceso?

si

NO

Cmo?

9. ExiSte un control estncto de las copas de estos archovos?

81

22.E

1O. Qu mediO se ubhza para almacenarlos?:


Mueble con cerradura.
Bveda.
Otro (espectflque).

No

~~
A

11. Este almacn est situado:

Fo

Ci

En el mismo edrliclo de la direccin de informtica.


En otro lugar.
Ambos.

d
N

12. Se borran los archivos de los dispositivos de almacenamiento, cuando se


desechan stos?

SI

NO

23 1
ti

Cules?

24. ~
lO

13 . Se cerllfica la destruccin o baja de los archivos defectuosos?


SI

25.

14. Se registran como parte del inventario los nuevos elementos magntiCO$
que se reciben en la biblioteca?
sr
NO
15. Se tiene un responsable, por tumo, de los archivos magnticos?
SI

NO

16. Se realizan audrtorlas peridicas a los medros de almacenamiento?


SI

Con qu periodocidad?

NO

26.

Qu medidas se lOman en el caso de extr8vi o de algun diSpositivo de almacenamiento?

18 Se restnge el acceso a los lugares asignados para guardar los dispositivo. de almacenaml&nto. a cargo de personal autonzado?
SI
NO

,.,
,.,

wen

cuan-

19. Se tiene relacin del personal autorizado para firmar la salida de archivos
confidenciales?
Si
NO

20 EJUSte un proced1<Tl1Gnto para rGglstrar los archiVos que se prestan y la fecha en que se devolvern?
SI
NO
21. Se lleva control sobre los archivos prestados por la Instalacin?
SI

NO

22. En caso de prstamo. oon qu inlormae~n se documentan?


FORMATO PARA PR~STAMO
Nombre de la ll'lstJ!ucin a qUI&n se hace el prstamo.
Fecha de recepcin
Fecha en que se debe devolver
Archivos que cont~e~~e
Formatos
Cifras de control
Cdigo de grabacin
Nombre del responsable que los prest
~ros
;lose

(
(
(
(
(
(
(
(

)
)
)
)
)
)
)
)

23. Indique qu procedimiento se sigue en el reemplazo de las cintas que con


t1enen los archivos maestros.

24. El cintotecano controla la cinta maestra anteor prev1endo su uso 1noorrec


lo o su elim1nacin prematura?
SI
NO

25. La operacin de reemplazo es cootrolada por el oototecao?


SI

ilcos
110

26. Se utiliza la polltlca de conservacin ele archivos hijo-padre-abuelo?


SI
NO

27. En los procesos que manean archiVOS en linea. existen proced1m1entos


para recuperacin de archrvos?
SI
NO
28. Estos procedimientos los conocen los operadores?

Cmo los COOSIQUe?

NO

175

176

1 1 tcrcl

29. Con qu periodicidad se rev1san estos procedimientos?


CAPITULO!
EVALUACIN

DEL PAOCESO
DE DATOS
Y DE LOS EOUif'OS

DECOW>IITO

Mensual.

Anual.
Semesltal.
Otra.

(
(
(
(

llflu.ltn el

un.1 l'otizcl
ft.: f lli..IOO('

)
)

t dora~ pcl

)
)

Al e\ al
p<

30. Ex1ste un responsable en caso de falla?

so

31. Explique qu polticas se siguen para la obtenctn de archivos de respaloo.

32. Existe un procedimiento para el manejo de la 1nlonnacin de la cintoteca1


SI

,.,

,.,. el qu

um detalle
hv od.td r

PL1rL1

puedPn utj

33. Lo conoce y lo sigue el contotecario?


1

34 Se distribuyen en fonna peridoca entre tos efes de SIStemas tnformes dt


arch1vos para que loberen los dosposrtivos de almacenamoento?
SI

,.,

2
Con qu frecuencia?

3 <.Se

El objetivo del cuestionario l'S evaluar la forma como se administran


de almacenamumto b.bico de la direccin Al ;ealar arch11
magnticos nos refer m~ a cmtas, discos, disquetes, CD, OVO y cualquier
me<tio de almacenamiento ma,ivo de informacin.
dlSpo~itivos

CoNTROL DE MANTENIMIENTO

4 Ex

5 St
c.GU

6 Soto
por
7 Ex

aut
Existen bsicamente tres tipos de contrato de mantenimiento. El contrato de
mant~nimiento total. qul' incluye el mantenimil'nto com-ctivo y pre,enti\0.
cual a su vez puede dtndr.e en aquel que incluye las park>s dentro del ronoto y d que no las incluye. El contrato que incluye refaccones es propiaocomo un seguro, ya que en caso de descompostura el proveedor debe PCOf""
donar las partes sin costo alguno. Este tipo de contrato es normalmente el m
caro, pero se d eja al proveedor la responsabilidad tola! d el mantenimiento
excepcin de daos por negligencia en la utilizacin d e los equipos. (Este hp<
de manten imiento normalmente se emplea en equipos gr,lndcs.)
El segundo tipo de mantenimiento es "por llam~da", en el cual se llama
provt.'(.-dor en caso de descompostura y ste cobra de acuerdo a una tarifa y
tiempo que se requiera para componerla (casi tod~ Jo, proveedores incluo,
en la cotizacin de compostur.l el tiempo de traslado de su oficina a donde~
encuentre el equipo y viccwl'>.l). Este tipo de mantenomiento no incluye ref
don~-,.

c.C

Se
SIStt

~~

El tercer tipo de mantertimiento es el que se conoce como #en banco", y es


"']IICI en el cual el cliente lleva a las oficinas del proveedor el eqlpo, y ste hace

unJ cotizacin de acuerdo con el tiempo necesario para su compostura, ms las

paldo.

es de

refacciones (este tipo de mantenim iento puede ser el adecuado para compu~tdoras personales).
Al evaluar el man tenim iento debemos primero analizar cul de los tres ti
pos es el que ms nos conviene, y en segundo lugar x>dir los contratos y revisar
con delallc que las clusu las estn perfectamente deinidas, que no exis ta subje
bvidad y que haya penalizacin en caso de incumplimiento, para evitar contra
10< que sca11 parciales hacia el proveedor.
Para poder exigir el cumplimiento del contrato se debe tener un estricto
rontrol sobre las fallas, la frecuencia y el tiempo de reparacin.
Para evaluar el control que se tiene sobre el mantermiento y las fallas se
pueden utili7ar los siguientes cuestionarios:
1. Especfique el tipo de conlrato de mantenim1ento que se hene (solicitar copla
del contrato).

NO

2. Existe un programa de mantenimiento preventivo para cada dispositivo del


sistema de cmputo?
si
NO
3. Se lleva a cabo tal programa?

tran los
rchivos
ticr otro

rato de
ttivo, el
contraamente
~ ropor

elms
iento a
ste tipo

lama al

ifa y al

tduyen
mde se
~ refac-

SI

NO

4. Existen tiempos de respuesta y de compostura estipulados en los contratos?


SI
NO
S. S1 los uempos de reparacin son superiores a los estipulados en el contrato.
qu acciones correctivas se toman para ajustarlos a lo convenido?

6. SoliCite el plan de manten1miento prevenuvo. que debe ser proporcionado


por et proveedor.

7. ,Existe algn tipo de mantemmiento preventiVO que pueda dar el operador


si
NO
autonzado por el proveedor?
Cul?

Cmo se notifican las fallas?

Cmo se les da seguimiento?

CONTROL DE FALLAS
1. Se mantienen registros actualozados de las fallas de los dispositivos del
s1stema de cmputo y servicios auXIliares (aire acondicionado. SIStema de
energfa Ininterrumpida. etctera)?
SI
NO
(Solicitar los registros de los ltomos seis meses.)

CONTROLES

Tipos
de mentenlmlento

178

Figura 5.2. Anlisis de archivos

CAPITuLO 5
EVALUACIN
DEL PROCESO
DE OATOS
Y DE LOS EOUIPOS
DE COt.tPIJTO

NOMOAEOELARCHNO _________________________________________

ARCHIVO'------------------------------------------N

TIPO DE
OESCRPCIOH
_ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _ _ __ __

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __

VOLUMENDEAACHNOS~--------------------~~~----------VOLUMEN DE ACTUALJL<CIOH _________________ FRECUENCIA-----

ENV~ORDE~--------------------------------------------

POR------------------------------------------

CLASIFICAOO
OOCUMENTOS O INFORMES A OUE DA OAIGEN - - - - - - - - - - - - - -- - - - - - - - - - -

usa

USUARIO

FRECUENCIA

CONTENIDO DEl ARCHIVO

FECHA

RECOPILO

Eva

REVISO
PGINA

OE

Cua
d.ld

2 Es posible odenllflear por medoo de estos registros tos problemas ms


recurrentes o las tallas mayores que afectan en forma determinante el
funcoonamoento de la sala de mquonas?
s
"'

3. Toempo de respuesta promedoo que se ha tenido oon el contrato de mantenimoento (bempo de respuesta es el penOdO entre la notifocacin o aviso de la
exostencoa de un problema y la llegada del personal tcnoco que realiz las
reparaoones del equ1po)

Cuales son las acttudes de los ongenoeros de servicio que mantienen sus
equ1pos?

5. Cul consodera que es la competencoa tcnica de los ingenieros de servicoo


que dan manten1moento a sus equ1pos? Por qu?

6. Cul es el t1empo promedoo que toma investigar y resolver el problema?

7 Cul es la disponibilidad de refacciones necesarias para dar mantenimiento a sus equopos?

8. Cul es la efectividad del proveedor para resolver sus problemas de mantenimiento?

9 Cules son las medidas do mantenimiento preventovo reahzadas al dar servocoo a su equ1po?

10. Cul es en general fa calidad de los serviCIOS ofrecidos bajo su "Contrato de


mantenimiento"?

Evaluacin del mantenimiento


Cuando se evala la capacidad de los equipos, no se debe olvidar que la capaddad bruta disponible se deber disminuir por las actividades de mantenimiento preventivo, falla' interna .. y e~ temas no previstas, y mantenimiento e instalacin de nuevo:. si,tcma~
El enfoque de eMa ~cin se orienta a evaluar, mediante los controles
que se tengan en la direccin, la utili~.acin del sistema de cmputo. Un con
trol adecuado permitir sustentar slidamente cualquier solicitud de expansin dt> la configuracin pre,ente. Se debe tener control de las fallas y del

179 _
CONTI\Ot.ES

___J

180
CAPITULO 5

EVAI.UACtON
OELPA<laSO
OEOATOS

Y oe LOS EOUIPOS

oe CO&APVTo

mantenimiento no slo del equipo central, sino del total de los t'quipos.
cluyendo computadoras personales, impresoras, equipo de comunicao6a
perifrico~.

El Siguiente cuestionario sirve para evaluar el mantenimiento:

1. lndoque lOS reg1stros que se llevan de la Uhlozacin del S<stema de cmpiJto


(especofocando la penocfocdad).
Toempo de prueba de programas.
Tempo dedoc:ado a produccin.
T1empo dedoc:ado a manten~tnento correctrvo del SIStema operatrvo.
Toempo dedoc:ado a mantenimoento preventivo.
Tiempo de lalla de los dospos1tivos del S<stema de cmputo.
T1empo de uso de cada unidad de cinta.
Tiempo oooso.
Tiempo de uso de Impresora.
Toempo de reproceso.
Tiempo de la computadora uhlizado en demostraciones.
Toempo de falla por servocios auxiliares.

(
(
(
(
(
(
(
(
(
(
(

)
)
)
)
)
)
)
)
)
)
)

2. Anote los soguientes datos:


Tiempo promedio de operaciones por da. - - - - - - - - - - hrs

Tiempo promedio de respuesta para programas de produccin. ___ hrs


Numero promedio al dia que se consideran como horas de produccin.
Nmero promedio de trabaos en cola de espera de ejecucin en horas ptCO
Nmero promedoo de trabajos en cola de espera de impresin en horas poco

Numero promediO de trabaos de eecucon en horas pico.


3. Evale la relaCIn de uso de 1mpresoras respecto a la mezcla de lrabajo.
Determ&ne S< se debe

Incrementar el nmero de ltnpresoras.


Restaurar las cargas de trabajo.
Ublozar otro hpo de saldas (dderentes a impresorns).
Utolozar ompresora de mayor velocidad
Es excesovo el volumen de 1mpres1n?.

(
(
(
(

7,

)
)
)
)
SI NO

En caso de contestar s, seale las causas'


Reportes muy largos.
Reportes no utilizados.
Procesos en lote que deben estar en lnea.
Otros (especol1car cules).

(
(
(
(

)
)

10

ipos, in-

:actn y

1puto

CONTROLES

4. Evale la utilizacin del sistema de cmputo a travs de las siguientes relaciones:


SI el tiempo ocioso excede el 35%.
El equipo instalado puede estar sobrado de capacidad para la carga de trabajo actual.
Si el ttempo de mantenimiento al eqUipo sobrepasa el 5%.
Se deber exigir al proveedor que metore la calidad de soporte de mantenimiento.
S el \lempo de falla del sistema de omputo es mayor al 5%.
Se le deber ex19ir la reparacin y dsmnucin de los tiempos de falla al
proveedor.
NOTA !Ostos son solamente ejemplos de factores que pueden obtenerse, los
cuales pueden ser ampliados, y los porcentaes dependern del tipo de equpo y la experiencia que se tenga.

(Esta seccin est orientada a revisar las acciones que realiza la direccin
de informtica para evaluar, mantener y auditar los sistemas implantados.)
hrs.
hrs.

5. IndiQue qu tipo de evaluacin se realiza a los sistemas implantados:


Ninguna.
Econmica.
De beneficios.
Otros (especificar).

( )
( )
( )
( )

De objetivos.
De oportunidad.
De operacin.

(
(

)
)

( )

ICO.

ico.

181

Especificar si existen procesos que deben cambiarse de batch a lnea o

viceversa.

6. lndoque qu instructivos se elaboran:


Interno del SIStema (help).
Del usuariO.
Otros (espechcar).

(
(
(

De captacin.
De operacin.

)
)

1)0.

7. Qu porcentaje del personal de programacin se dedica a dar mantenimiento a los sistemas existentes?

8. El responsable del rea de produccin formula las estadsticas de utiliza


cln de equipos, mostrando la frecuencia de fallas de los mismos y las esta
dislocas de produocon por aplicacin? (Especifique cmo se realiza y d un
oemplo.)
Si
NO
9 En qu poroentaje se cumplen los calendariOs de produccin?
tO Ex1sten:

182
CAPiTuLO 5
EVALUACIN
OEL PROCESO
DE DATOS
Y DE LOS EOUIPO$
DEOMPUTO

r ejemplo

Programadores que utilizan el equipo o el tiempo para aplic;cicmesa~'"'


a la organizacin.
Personal que utiliza la computadora para trabajos personales, trali>ajo;o
autorizados o juegos.
Programas que, por estar mal elaborados (generalmente cuando se
grandes archivos), degradan la mquina.
Degradacin del equipo por fallas en equipos perifricos. La computa&..
puede considerarse como un proceso en lnea el cual, al fallar alguna
unidades principales (memoria, urudad central), no permite la utilizacir
del resto del equipo. Pero existen uJdades secundarias (cintas, impresora;
termina les, discos) que a l fallar provocan que se vea reducida la posibih
dad de utilizacin del equipo.
Si tenemos una impresora y se descompone, un alto porcentaje de utilizacin
del equipo se ve disminuida, aunque el proveedor considere que slo una
unidad secundaria fue la daada. Lo mismo sucede si se tienen dos unidades
de disco y se descompone una (en caso de tener slo una unidad de discos,
la falla es total).
Para controlar este tipo de degradacin se puede tener un reporte que
contenga:

Dispositivo que integra la configuracin del equipo (por ejemplo, cinta.


disco, impresora).
Nmero del dispositivo; si tenemos por ejemplo 2 cintas, se anota 1 y 2,
dependiendo de cul fue la que fall.
Tipo de falla. Se anotar una buena descripcin del tipo de falla, para lo
cual se puede elaborar un catlogo.
Porcentaje de degradacin. Este dato deber ser anotado por los res
pon sables de la direccin de informtica basndose en la experiencia y
en las implicaciones que tenga en el sistema total (por ejemplo, si se
tienen 2 unidades de disco la degradacin es del 50%, si se descampo
nen las dos es el lOO% y si se tiene slo una, tambin el lOO%; en el caso
de la impresora si se tiene slo una puede ser el 66.6%, etc.).
Nmero de horas que dur la falla, desde el momento de la descom
postura hasta el momento en que la entregue reparada el proveedor.

ORDEN EN EL CENTRO DE CMPUTO

Cuidado de la
sala de mquinas

Una direccin de informtica bien administrada debe tener y observar reglas


relativas al orden y cuidado de la sala de mquinas. Los dispositivos del siste
m a de cmputo y los archivos magnticos pueden ser daados si se manejan en
forma inadecuada, lo que puede traducirse en prdidas irreparables de infor
macin o en costos muy elevados en la reconstruccin de archivos. Por ello, se
deben revisar las disposiciones y reglamentos que coadyuven al mantcnimien
to del orden dentro de la sala de mquinas.
El siguiente cuestionario ayuda a evaluar el orden que existe en la sala de
mquinas.

!S ajenas

bajos no

se usan
utadora
"'de las
lizacin
resoras,
posibili -

1. Indique la periodictdad con que se hace la hmp1eza de la sala de mqu1nas y


de la cmara de aire que se encuentra abao del piso falso y los duetos de rure:
Semanalmente.
Mensualmente.
No hay programa.

( )
(

Oulncenalmente.
Bimestralmente.
Otro (especifique).

( )
( )
( )

2 Ex1ste un lugar asignado a las c1n1as y d1scos magntocos?

si

3 Se t1ene asignado un lugar especifiCO para papelerfa y utensilios de tra


bajo?

si

NO

4 Son funcionales los muebles aSignados para la cintoteca y doscoteca?


SI

cos,
>rte que

o, cint.J,
ltal y 2,
. para lo

NO

5. Se t1enen disposiciones para que se acomoden en su lugar corresponden


te, despus de su uso, las cintas, los discos magnticos, ta papelera, etc
tara?
SI
NO

6. Indique la periodicidad con que se limpian las unidades de cinta:


Al cambio de turno.
Cada da.

( )
( )

Cada semana.
Otra (especificar).

( )
( )

7. Ex1sten prohibiciones para lumar, tomar alomentos y refrescos en la sala de


mquinas?
51
NO

los R'S-

8. Se cuenta con carteles en lugares viSibles que recuerden dicha prohlbocln?


si
NO

encia y
Jo, si se

9 Se t1ene restringida la operacoon del SIStema de cmputo nocamente al

compolel caso

lescom-

personal especializado de la direccin de Informtica?

si

NO

10. Mencoone los casos en que personal aeno al departamento de operacin


opera el sostema de cmputo.

eedor.

11 . Evale los niveles de iluminacin y ruido y senate cuando estn fuera del
rango estipulado en los estndares.

r reglas
el sist('leJan en
emforello, se

nlmien-

salad('

EvALUACiN DE LA coNFIGURACiN
DEL SISTEMA DE CMPUTO
Los objetivos son evaluar la configuracin actual, tomand o en consideracin las
aplicaciones y el nivel de uso del sMema, evaluar el grado de eficiencia con ~1
cu al el sistema operativo satisface las necesidades de la instalacin y revisar la

183
EVALUACIN
DE LA CONFIGUR.ACION
DEL SISTEMA
DE CMPUTO

184
CAPiTuLO S
EVALUACIN
DEL PROCESO
OE DATOS
V OE LOS EOUIPDS
DE CMPUTO

polticas seguida~ por la unidad de informtica en la conservacin de su progr..


motee,
Esta seccin l'St ori~ntada a:

Evaluar posibl~s ca mbios en el hardware a fin de nivelar e l sistema de


cmputo (computadoras, unidades perifricas, redes, sistemas de comunicacin) con la carga de trabajo actual, o de comparar la capacidad instalada
con los planes de dl-sarroUo a mediano y largo plazos.
Evaluar la~ posibilidades de modificar el equipo p.1ra reducir el costo
bien el tiempo de proceo.
Evaluar la utilizaon de los diferentes dispositivo:. perifricos

El o
._irea,
1
2

OfrecemO el ~igmentc cuestionario, que sirve par.l h.1cer C'-.lS evaluaciones:


1. De acuerdo con los tiempos de utilizacin de cada dospoSIIIVO del sostema de
cOmputo, exoste eQUipo:
Con poco uso?
Ocioso?
Capacidad superior a la necesaria?

si
SI
SI

NO
NO

NO

Describa cul es:

2. El equipo mencoonado en el inciso anterior puede reemplazarse por otro


ms rpodo y de menor costo?
SI
NO
3. El sostema de cOmputo llene capacidad de red?

SI

4. Se utlloza la capacidad de red?

81

5. En caso negatovo. exponga los motivos por los cuales no se ubtoza la red.

6. Especofoque qu sistema de comunocacon se bene.


7. Cuntas terminales. computadoras personales. penfncas. se toenen conectadas al sistema de cmputo?

1 .

Cantidad
Tipo _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __
1

8. Se ha onvestlgado si el !lempo de respuesta satisface a los usuanos?


si

NO

9. IndiQue si axostan poltllcas para aplicacoones soportadas en red.


Tamai\o mxomo de programas.
Nmero de archovos
Tamai\o mxomo para cada archiVo.
Novel de acceso.

SI
SI
si
si

1~
NO
NO
NO
NO

1O. El afmacanamoento mximo del sistema de cOmputo es sufocoente para ateP.


der el proceso por lotes y en ffnea?
SI
NO

185 _ _

progra-

PRODUCTIVIDAD

2'ma de
omunistalada

tosto o

PAOOUCTlVIOAO

El obctivo del siguiente cuestionario es evaluar la eficiencia con que opera el


rea de captacin y produccin.
1. Verifique que se cuente con una descripcin completa de los trabajos que se
corren y la descripcin de las caracterlstlcas de carga.

2. Verifique la extstencia de un pronstico de cargas o trabajos que se efectua-

dones:

a de

,,,

rn durante el ao, con el objeto de que se prevean los picos en las cargas
de trabao y se puedan dtstnbuir adecuadamente estas cargas.

3. Se tiene un programa de trabaJO dlllriO? Semanal? Anual?


Sl

1<0

4 En caso de que no se tenga la programacin dtarlll, cmo se realiza la


producctn?

5. Venfique que se contemplen dentro de los planes de produccin periodos de


mantentmlento p reventivo.

otro

6. Venflque que se disponga de espacio y 1iompo para realizar corridas especiales, corridas de prueba de sistemas en desarrollo y corridas que deben
repetirse.
7. Venfique que se tengan dehnidos el espacio
la Informacin.

y el hempo para el respaldo de

l.
8 Venfque el equipo de comunocacin, caractersticas nmero de usuarios y
toempo de respuesta que se obhene en un proceso normal.
9. Se tiene una programacin del mantenomtento previo?
::0-

10. Se tiene un plan defimdo de respaldo de ta lnformactn?

SI

1<0

SI

NO

11. Se revisa el cumplimtento de los programas do produccin establecidas?


si

NO

12. Venflque que se tenga conocimiento de los prximos sistemas que entrarn
on produccin, con objeto de que se programe su incorporacin.
Si

NO

13. Quin revisa estos planes?

14 Se cumplen generalmente estos planes? St no, explique por qu.

15. Se repiten con frecuencia corndas por anomalas?

SI

NO

SI

1<0

186
CAPITULO S

16. Indique los estndares de produccin que se tienen en la d~reccin di


informhca.

gan
prob

eVALUACIN

oeL PROCeso
oe DATOS
Y Dl LOS eOUIPOS
oe CMPUTO

Por tipo de equ1po ( )

Por plataforma (

<

cad3
los Cl
nqui

17. Ex1sten 1nd1ces de error aceptables para ceda t1po de trabato?


SI

18. Cundo fue la "lma revi.~ de esos estndares?

NO

l.ldt

19. El personar de captacin

equi l

conoce esos estndares?

tado1

SI

20. lnd1que los med1os utilizados para madir la eficiencia de los operadores de
captacin.

de d

Estadst1ces mensuales de produccin por trabao y por operador.


Estadsticas mensuales de error por trabajo y por operador
Estadsticas mensuales de producon por trabajo.
EstadsticaS mensuales de error por trabao.
Estadsticas de produccin por trabajo y operador por hora.
Otros (especflcar).

(
(
(
(
(
(

)
)
)
)
)
)

21. Indique qu med1da(s) se toma(n) cuando el rendimiento para un trabajo est


abato del estndar

,,

Se consulta a los operadores sobre los problemas observados


en el trabaJO.
Se capac1tan los operadores sobre el maneto del equ.po.
Se Imparten plticas sobre el trabajo.
Otros

(
(
( )

( J

22. Se llenen Incentivos para el personal que tenga un rendimiento superior al


estndar?

tacto

s1

NO

23. Cada cundo se Imparten cursos de capacttacln sobre fa operacin det


equipo?

1ncrt

requl
I<"S pi

t>val~

cqui
d e pe
tal e~

tad01
pubh
ronp
velll
as cQ

cost

ta d or
pOO<'
sasa
e star

11efici
24. Se registran los tiempos de respuesta a fas solicitudes?

SI

NO

~ e tu a

25. Cul es el ttempo de respuesta promediO?

Renl

PuNTos A EVALUAR EN Los EQUIPOS

l.as <1
pra,a
)"S)

espe
El equipo que se adquiere dentro de una orgamzacin debe de cumpltr con
esquema de adquisicin de toda la organizacin. En lo posible, se deben tener
equipos estndares dentro de la organizacin. a menos que por requerimiento>
especficos se necestte un equipo con caractersticas distintas. Esto no impltca qut.
los equipos tengan que ser del mismo proveedor, aunque s deben tener In misma

supe
E

1
.~

c1n de

NO

NO

ores de
(

(
(
(
(
(

)
)
)
)
)

ajo est

(
(
(
(

)
)
)
)

>enor al
1)

Cin del

filosofa. Las compras por impulso u oportunistas pueden provocar que se ten-

gan diferentes equ ipos, modelos, estructuras y filosofas. Esto puede provocar
problemas de falta de compatibilidad, expansin y de confianza.
Si no se tienen polhcas y estndares d e compra de equ ipos de cmputo,
tada departamento o empleado puede decidir el adquirir diferentes equipos,
los cuales pueden no ser compatibles, o bien el conocimiento y entrenamiento
requerir de mayor tiempo y costo. La conexin de un tipo de terminal o computadora personal a una computadora principal (mniufrnme) puede requerir de
equipo o de software adicional. los sistemas elaborados para un tipo de computadora pueden no servir en otro tipo de mquina. El mantenimiento es otro
factor que puede incrementarse en caso de no tener compatibilidad de equipos.
Tener diferentes plataformas de programacin, sistemas operativos, bases
de datos, equipos de comunicacin y lenguajes propietarios, provoca que se
incrementen los costos, que se haga ms problemtico el mantenimiento, que se
requiera personal con diferente preparacin tcnica, y que se necesiten diferentes programas de capacitacin.
La posibilidad de que se pueda expandir un equipo es otro de los factores a
evaluar. Al crecer una organizacin, es muy probable que se requiera que los
equipos tambin crezcan y sean ms r pidos. Esto es de mayor importancia
dependiendo del tamao de las computadoras, ya que es un factor fundamental en los grandes equipos y de relativamente poca importancia en las computadoras personales, debido a que no es tan alto su costo de reemplazo.
En muchas ocasiones se cambia o se compra una computadora por el factor
publicitario, sin que se tenga la evaluacin real de los equipos, o bien se adquieren equipos (principalmente computadoras personales) que son ensamblados
con partes de diferentes proveedores a costos muy bajos. Se deber evaluar la
ventaja de adquirir lo ltimo en tecnologa, contra el costo que esto representa,
as como el tener equipos muy baratos pero con baja confianza en el proveedor.
En la actualidad cada da las computadoras son ms poderosas y menos
costosas, y las organizaciones tambin cada da dependen ms de las computadoras, as es que existe la tendencia de comprar cada da computadoras ms
poderosas, sin considerar que en el futuro existirn computadoras ms poderosas a menor precio. La decisin de adquirir o cambiar w1a computadora deber
estar basada en un estudio muy d etallado que demuestre el incremento de beneficios en relacin con su costo, y en la relacin costo/beneficio de los equipos
actuales.

Renta, renta con opcin a compra o compra

~r con el
!ben tener

rimientos

1plica que
rlamisma

las computadoras y el software pueden rentarse, rentarse con opcin a compra, comprarse, y en el caso del software, producirse. Cada una tiene sus ventajas y desventajas, y es funcin del aud itor el evaluar en cada instalacin en
especfico por qu se escogi una o pcin, y si las ventajas que se obtienen son
superiores a sus desventajas.
El auditor deber evaluar:

Existe un comit de compra de equipo?


Quin participa en el comit?
Existen polticas de adquisicin de equipos?

187
PRODUCTIVIDAD

Adquisicin
da equipos

188
CAPITULO 5
EVALUACION
OEL PROCESO
OE OATOS
V DE LOS EOUIPOS
DE COMPUTO

organiLold

miento?

este punt<
computad

Cmo sc evala el costo de operacin y el medio ambiente requeridor:


cada eqUipo?
Se evalan las opciones de compra, renta y renta con opcin a comprl

Los factores a considerar d~ntro de estas opciones ~on los siguientes:

Compromiso a corto plazo.


Menor riesgo de ob;olescencia.
No requiere de invel"!>in inicial.

"SI

Renta con opcin a cornpr;t:


o
o
o

Centrali,

Rento:
o

USUclrJ(),

Ventajas

a la orga11

Cmo se determina el proveedor del equipo?


Cmo :.e evalan las propuestas de instalacin, mantenimiento y tnt~

Menor riesgo de obsolescencia.


No requiere de invc.-in inicial.
Se puede ejercer la opcin de compra.
lo> p.1gos normalm<'nt<' incluyen servicio<..
\<tenor costo que renta.

d
ll

0""'1
o

Compra:

S
o

o
o

Se puede tener valor de recuperacin.


Normalmente es menor su costo que el de compra a largo plazo.

"

Desventajas

Renta:
o

o
o

M.s caro que compra o renta con opcin a compra.


El equ ipo puede ser usado.
Algunos vendedores de equipo no lo rentan.

v~n

1
J

Renta con opcin a compra


o
o

oe-cent

Es ms caro que compra.

No tiene valor de recuperacin para el comprador.

<

Compra:
o
o

Requiere de inversin inicial o de prstamo.


Amarra al comprador a su decisin.
El comprador debe conseguir u obtener servido de mantermiento.

Centralzacin

Dt~

vs. descentralzacin
o

El tener equipos en forma centralizada o descentra lizada puede tener ventaa;


y desventajas, dependiendo del tipo de organi.tacin. El auditor deber evaluar

~la or;aniLaon y la justificacin que ,._. ti~n<' pM.\ que en una deterrnin.lda
Mgano.tacon "~ tengan equipos m forma C<ntr,lli;ad,, o descentralizada En
"'t~ punto'<' evalan las grandes comput,\uOr,\s e onstal,lciones, eliminando 1.1s
(\'lmputlldor._l~ persona les, y~1 qul sta't dl'l1l'f,1n l1 St~l r dt.>sccntraliz(ldas paril cada

) par.1

U"tllllrio.

>ra?

Ctntrlincin

Economa de escala .
Acc.."<l a grandes capacidad,..,.
Operaciones y adnunistraoun ms pror,....,onalc."'
Ac~"' mltiples a dato-. comurn-..
Sl'b>undad, control y prot<'CClon d,, lo- dato-..
Un meJor reclutamiento y entn.'namwnto tfd pt.f'tOnal especializado.
lina mejor planeacin de la carrtr,\ prof<-.tonal del personal de tnfor
m.ticJ.

Control de los gastos de tnform<~ll~.l


Estanu.tri.tacin de equipos y de softw.uc.

[)('svtntcljas:

1alta de control de los usuarios 1hrc d desarrollo v operacin de los


..,,,t('mas.
La responsabilidad del desarrollt> d.- l<>s proyectos est limitada a un
wlecto personal.
l'osibh. frustracin dentro de la organuaoon p<'r desconocimiento de
1<-... cambtos en los sentcios d< inf<>rrn.llc.t

De.cen traliucin de proces.>miento de datos

'

O..w,wnta.ls:

ajas
luar

Autonoma local y control por p.1rte de lo-. usuarios.


Mayor responsabilidad ant< las n<'n..,td,llics de los usuarios.
R<duccin de los costos de telecomunic,\Cin.
Acceso inmediato a las bases de d.1tos d~snntralizadas.
Los analistas de sistcmrls loc,1les titml'n l'nt'~'or ..1tcncin a las nccesida
d<'S de los usuarios.
Oportunidad de crear una carrera profc,ll>nal dentro de las reas fun
Clonale~ de los usuanos.
C<>nsistente con la desccntralizam;n tstahll'Cida dentro de una estruc
tura corporativa.

r ..rdda de control gerencial c..ntral.


P<hibtlidad de incompahbihd,\d d< d,lt<ls. l'(jWpo5 }' so!tware .
l'ostbk'S errores para seguir los e-.tndMl'' de sistemas dentro de las
pr.cli~as de desarrollo.
Duplicacin de personal v de cs(u,rLo .

189
PAOOUCTIVIDAD

CAPTULO

Evaluacin
de la seguridad

OBJETIVOS
Al finalizar este captulo, usted:

1. Conocer la importancia de salvaguardar la integridad de la informacin que


se almacena en una computadora.
2. Explicar por qu es importante conservar la 1ntegdad, confidencialidad y
dispon1billdad de los sistemas de 1nformac1n
3. Entender que un buen centro de cmputo depende, en gran medida. de la
1ntegndad. estabilidad y lealtad del personal.
4. Descnbir las polticas. proced1m1entos y prcticas necesanos para mantener la seguridad tsica de un centro de cmputo.
5. Conocer los distintos tipos de daos q ue provocan los virus en las
computadoras. y las maneras de evita~os.
6. Defimr las caractersticas de tos seguros ex1stentes para enfrentar los nes
gos relaCIOnados con los eqUipos de cmputo
7. ExpliCar qu elementos debern considerarse para tener una adecuada segundad en el uso de los equ1pos y sistemas. as como en su restaurac16n.

L.l' computadoras son un instrumento que estructura gran canhdad d(


CAPIT\/Loe macin. la cual puede ser confidencial para individuos, empresas o Jns,htuj
n~>s. y puede ser mal utilizada o divulgada. Tambin pueden ocurnr roo:q,uo
EVALUACION
DE lA <;OUfiiDAD d~.., o .abota,es que provoquen la destruccin total o parcial de la
com pu taciona l.
Esta informacin puede ser de suma importancia, y no tenerla en
mtmto preciso puede provocar retrasos sumamente CO'>tO'<h. Ante ,.,1.1
cin, en el transcurso de este siglo el mundo ha sido te<;tigo de la rran'll~
cin de algun05 aspectos de seguridad y derecho.
Imagnese que, por una u otra razn, el centro de cmputo o la,
;ean destrUidos o usados inapropiadamente, cunto tiempo pasaria parJ
c'ta organizacin estuviese nuevamente en operacin? El centro de crnpc~l
puede ser el .1ctivo ms valioso y al mismo tiempo el ms vulnerablt>
En la situacin actual de crimino loga, en los delitos de "cuello hl.tnr,o
Delitos
por computadora
incluye la modalidad de los delitos hechos mediante In computadora o
m.ts de informacin, de los cuales 95% de los detectados han >ido Ol"OCUIW""'
por accidente, y la gran mayora no han sido divulgados p.tra evitar dar id,
personas mal intencionadas. Es as como la computadora ha modi(icado
ci rcun,tancias trad icionales del crimen. Muestra de ello son los fraudes, lal
caciones y venta de in(ormacin hechos a las computadoras o por m!'dio
stas. Existen di fcrcntcs estimaciones sobre el costo de los delitos de curllo b
co, las cuales dependern de la fuente que haga estas estimaciones, peru
todos lo; casos se considera que los delitos de cuello blanco en Estado> Un
su pcran los miles de millones d e d lares.
Durante mucho tiempo se consider que los procedimientos de au'""'""l
seguridad eran responsabilidad de la persona que elabora los sistemas,""
;id~rar que son responsabilidad del rea de in(ormtica en cuanto a la elalxmcin d~ los s is temas, del usuario en cuanto a la utilizacin que .e le d a
informacin y a la forma de accesarla, y del departamento de auditora
en cuanto a la supervisin y diseo de los controles nece>ario,,
La ;eguridad del rea de informtica tiene como objetivos:
192

Proteger la mtegridad, exactitud y confidencialidad de la 1nCormaon.


Proteger los activos ante desastres provocados por la mano del hombtt
de actos hostiles.
Proteger a la organizacin contra situaciones externas como d.,.>tll.'S
raJes y sabotaje:>.
En ca '\O de desastre, contar con los planes y polticas de contingt>llCia$
lograr una pronta recuperacin.
Contar con los seguros necesarios que cubran las prdidas e>nimJCISC:
caso de desastre.
Los motivos de los delitos por computadora normalmente son por:

Beneficio personal. Obtener un beneficio, ya sea econmico, poltico


o de poder, dentro de la organizacin.
B~ncficios para la organizacin. Se considera que a l cometN algndeht
otra computadora se ayudar al desempeo de la organitacin en l~cull t
trabaja, s in evaluar sus repercusiones.

~de

infnr-

institucin-

:>bos, frau
acthidad
en el moesta situ.J~
ansformn--

s libreras
a para que
'cmputo
:>lanco" se
olossistescubiertos
lar ideas a
ificado las
les, falsifimedio de
uello b lans, pero en

os Unidos
tuditora y
ts.,sin con
la elaborale d a la
ra intern a

1.acin.

hombre y
.stres na tu-

:mdas para
1micas en

>Or:

itico social

<ndelito en
nlacual se

, Sndrome de Robn Hood (por beneficiar a otras personas). Se <'Stn haci~ndo copias ilegales por considerar qu<' al infectar a las computadoras, o b1en
al alterar la informacin, se ayudar a otras plo'rsonas.
Jugando a jugar. Como diversin o pasatiempo.
Fcil de desfalcar.
El individuo tiene problemas financieros.
.
La computadora n(l tiene sentimientos. La computadora es una herramienta que es fcil de desfalcar, y es un reto poder hacerlo.
E\ departamento es deshonesto.
Odio a la or;ani-z.acin t(evancha). Se considera que el departamento o la
organizacin es deshonesta, ya que no ha proporcionado todos los beneficios a \os que se tiene derecho .
Equivocacin de ego (deseo de sobresalir en alguna forma).
Mentalidad turbada. Existen individuos con problemas de personalidad que
ven en elaborar un virus un reto y una superacin, los cuales llegan a *r
tan cnicos que ponen su nombre y direccin en el virus, para logr.u e,.;
reconocimiento.
En la actualidad, principalmente en las computador,ls personales, se ha dado
otro factor que h ay que cons iderar: el llamado "virus" d e las computadoras, el
cuat aunque tiene difcrcntes intenciones~ se encuentra p rincipalmente en paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco.
Se trata de pequeas subrutinas escondidas en los programas que se acli,-an cuando se cumple alguna condicin, por ejemplo, haber obtenido una copia en forma ilegal, y puede ejecutarse en una fecha o situacin predeterminada. El virus normalmente es puesto por Jos dseado= de algn tipo de programa (software) para "castigar" a quienes lo roban o copian sin autoriz,lcin o
bien por alguna actitud de venganza en contra de la organizacin. {En la actualidad existen varios prod uctos para detectar los virus.)
Existen varios tipos de v irus pero casi todos actan como "caba llos de
Troya", es decir, se encuentran dentro de un programa y actan con determinada incticacin.
Un ejemplo es la destruccin de la informacin de la compaa USPA &
IRA de Forth Worlh. Cuando despidieron a un programador en 1985, ste dej
una subrutina que destrua mensualmente la informacin de las ''entas. li.'te
incidente provoc el primer juicio en Estados Unidos contra una persona por
sabotaje a una computadora.
Al auditar los sistem,ls, se debe tener cuidado que no se tengan cop1as "p
ratas" o bien que, ni conectarnos en red con otras computadoras, no exista lo
posibilidad de tra1smisi1 de l virus. Tambin se d~be cuidar que e n ocasiones
se loma como pretexto el virus y se producen efectos psicolgicos en los usuarios, ya que en e l momento de Wla falla de la computadora o del s istema, lo
primero que se piensa es que estn infectados.
Se considera que hay cinco factores que han permitido el incremento en los
crmenes por computadora:

El aumento del nmero de personas que se encuentran estudiando computacin.

193
EVALUACiN
DE LA SEGURIDAD

=:J
Los virus

194
CAPiTULO 6
EVALUACIN
DE LA SEGURIDAD

El aumento del nmero de empleados que tienen acceso a los equipos.


La facilidad en el uso de los equipos de cmputo .
El incremento en la concentracin del nmero de aplicaciones y, consecuente
mente, de la informacin.
El incremento de redes y de facilidades para utilizar las cornp1uta,dcm~&;
cualqu ier lugar y tiempo.

Estos cinco factores, aunque son objetivos de todo centro de cmputo,ta"


bin constituyen una posibilidad de uso con fines delictivos.
El uso inadecuado de la computadora comienza desde la utilizaci6ndellelnpo de mquina para usos ajenos al de la organizacin, la copia de progrillllif
para fines de comercializacin sin reportar los derechos de autor, hasta elamso por va telefnica a bases de datos a fm de modificar la informacin c:oo
propsitos fraudulentos. Estos delitos pueden ser cometidos por personasc-.
no desean causar un mal.
En la actualidad las compaas cuentan con grandes dispositivos para h
seguridad fsica de las computadoras, y se tiene la idea que los sistemas r
pueden ser violados si no se entra al centro de cmputo, olvidando que se pulden usar terminales y sistemas remotos de teleproceso. Se piensa, como en
caso de la seguridad ante incendio o robo, que "eso no me puede sucederallll
es poco probable que suceda aqu".
Algunos gerentes creen que las computadoras y sus programas son tan complejos que nadie fuera de su organizacin los va a entender y no les van a senir
Pero en la actualidad existe un gran nmero de personas que puede captan
usar la informacin que contiene un sistema y considerar que hacer esto es comr
un segundo ingreso. Tambin se ha detectado que el mayor mmero de fraude;,
destruccin de informacin o uso ilegal de sta, provienen del personal intem
de una organizacin. Tambin se debe considerar que gran parte de los fraude>
hechos por computadora o el mal uso de sta son realizados por personal de la
misma organizacin.
En forma paralela al aumento de los fraudes hechos a los s istema
computarizados, se han perfeccionado los sistemas de seguridad tanto fsia
como lgica; la gran desventaja del aumento en la seguridad lgica es que-<
requiere consumir un nmero mayor de recursos de cmputo para lograr tener
una idnea seguridad, lo ideal es encontrar un sistema de acceso adecuado~
nivel de seguridad requerido por el sistema con el menor costo posible. En lo!
desfalcos por computadora (desde un punto de vista tcnico), hay que tener
cuidado con los "caballos de Troya" que son programas a los que se les enea..
rutinas que sern activadas con una seal especfica.

SEGURIDAD LGICA y CONFIDENCIALIDAD


La seguridad lgica se encarga de los controles de acceso que estn diseados
para salvaguardar la integridad de la informacin almacenada de una compu

si

uipos.
1secuenteadoras en
)Uto, tamndetiemrogramas
ta el acceacin con

lOnas que

>s para la
temas no
ese pueomo en e l
lera m o
tancomta servir.

captar y
>escomo
'fraudes,

ti interno

s fraudes
onaldela
;istemas

1to fsica
!S que se
Tt1t

tener

cuado al
e. En los
ue tener
;encajan

)
sea dos

compu-

!>dora, as como de controlar el mal uso de la informacin. Estos controles reducen el riesgo de caer en situaciones adversas.

Se puede decir entonces que un inadecuado control de acceso lgico


JOCrementa el potencial de la organizacin para perder informacin, o bien para
'{UC sta sea utilizada en forma inadecuada; asimismo, esto hace que se vea
disminuida su defensa ante competidores, el crimen organizado, personal desleal y violaciones accidentales.
La seguridad lgica se encarga de controlar y salvaguardar la informacin
gffierada por los sistemas, por el software de desarrollo y por los programas en
aplicacin; identifica individualmente a cada usuario y sus actividades en el
sostema, y restringe el acceso a datos, a los programas de uso general, de uso
especifico, de las redes y terminales.
La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:

Cambio de los datos antes o cuando se le da entrada a la computadora.


Copias de programas y 1o informacin.
Cdigo oculto en un programa.
Entrada de virus.

La seguridad lgica puede evitar una afectacin de prdida de registros, y


ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas.
El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o password) hasta los sistemas ms complicados, pero se debe evaluar
que cuanto ms complicados sean los dispositivos de seguridad ms costosos
resultan. Por lo tanto, se debe mantener una adecuada relacin de seguridadcosto en los sistemas de informacin.
Los sistemas de seguridad normalmente no consideran la posibilidad de
fraude cometida por los empleados en el desarrollo de sus funciones. La in
lroduccin de informacin confidencial a la computadora puede provocar que
sta est concentrada en manos de unas cuantas personas, por lo que existe
una alta dependencia en caso de prdida de los registros. El ms comn de
estos delitos se presenta en el momento de la programacin, en el cual por
medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al mo
mento de programar un sistema de nmina se puede incluir w1a rutina que
verifique si se tiene dentro del archivo de empleados el registro federal de
causantes del programador. En caso de existir, contina el proceso normalmente; si no existe significa que el programador que elabor el sistema renun
ci o fue despedido y en ese momento pudo borrar todos los archivos. Esta
rutina, aunque es fcil de detectar, puede provocar muchos problemas, en
caso de que no se tenga los programas fuente o bien que no se encuentren
debidamente documentados. Tambin en el caso de programadores honestos,
en ocasiones en forma no intencional, se pueden tener fallas o negligencia en
los sistemas. La dependencia de ciertos individuos clave, algunos de los cua
les tienen un alto nivel tcnico, comnmente pone a la organizacin en manos
de unas cuantas personas, las cuales suelen ser las nicas que conocen los
sistemas debido a que no los documentan.

195

SEGURIDAD LGICA
v coNFIDENCIAliDAD

196
CAPiTuLO 6
EVALUACIN
OE LA SEGURIDAD

Control
de acceso

Un mtodo efica1 para proteger sistemas de computacin e!> el soh:~~!t.


control de acceso. Dicho de manera simple, los paquetes de control de
protegen contra el .1cceso no autorizado, pues piden al usuario una corttm~:
antes de permitirle el acceso a informacin confidencial. Otchos paquet"
sido popularl'S desde hace muchos aos en el mundo de las computadoras~
des, y los principales proveedores ponen a disposicin de los cbcntcs
estos paquetes. Sin e mb.11-go, los paquetes de control de acceso basadooenc"
trasef\as pueden ser eludidos por delincuentes sofisticados en computaciI\ p
lo que no es cotweliente depender de esos paque tes por s solos para lenerw
seguridad adecuada.
El sistema integral de seguridad debe comprender:

Elementos administrativos.
Definicin de una poltica de seguridad.
Organi7.acin y divisin de responsabilidades.

SEGURIDAD LGICA
guie

Uno de los puntos m s importantes a considerar para poder ddinir la segun


dad de un sistema es el grado de actuacin que puede tener un usuariod!'llm

de un sistemn, yt~ sea que la informacin se encuentre Cll un archivo nonna

o en una base de dJto&, o bien que se posea una minicompu la dora, o un sister:
en red (intem3 o externa). Para esto podemos definir los sigu ientes tipo;

usuarios:

1 npos de usuarios

Prcr>idario. E.~, como su nombre lo indica, el dueo de la informa<i<II,


responsable de sta, y puede realizar cualquier funcin {consultar,~
car, actu~li1~r, dar autorizacin de entrada a otro u~uario). Es respons.l!i
de la segundad lgica, en cuanto puede realizar cualquier accin y po;&
autorizar a otros usuarios de acuerdo con e l nivel que desee darles.
Admimslrndor. Slo puede actualizar o modificar el softwore con la debido
autorizacin, pero no puede modificar la informacin. Es responsable de u
seguridad lgica y de la integridad de los datos.
Usuario priucipnl. Est ,lutorizado por el propietario para hacer modifir,.
ciones, cambios, lectu ra y utilizacin de los datos, pero no p uede dar aul~
rizacin pcua qut? otros usuarios entren.
Usuario de rousultn. Slo puede leer la informacin pero no puede modiJi
carla.

Usuario de cxplotnriu. Puede leer la informacin y utilizarla para exploocin de la misma, principalmente para hacer reportes de diferente nckle
los cuales, por eemplo, pueden ser contables o estadi~ticos.
Usuario tlt nudolora. Puede utilizar la informacin y rastrearla dentro M
sistema p~ra fines de auditora.

Ru
El ~
mi~
~cg

opt
il

1~

ble
dt!l

>oftwnre de
'1 de acceso

.~os usuarios pu~cn S<'r mltiples, y pueden ser el resultado de la combi

contr;~sea

:::~\os ~n=a\ados. Se recomienda que exista slo un usuario propie-

tquet':i han

trador sea una pero;ona design.tda por la g<'rencia de in-

ronr:tica~e e a

dor~sgran

salguno de

P";a ~nserva~ la integridad, confidencialidad y disponibilidad de los si

emas e mformaan se debe tomar en cuenta lo siguiente:

do:, en con-

rt.lo<n, por
a tlner una

SEGURIDAD LOGicA
Y CONFIOENCIAUOAO

~ _tnt~srillad es responc;abilidcld de Jos individuos ~1utorizados para mo

clificar datos o programas (usuario administrador) o de los usuarios a


los que S<' otorgan clCC'<'SOS a aplicaciones de sistema o funciones fuera de
sus responsabilidadt~ normales dt.lr-lbajo (u~u.Jrio respon:,.lbl< y prin-

cipal).
La collfilttlrralidad es re:.ponsabilidad de los indrviduos autonL<OdOS para
coru.ultar (usuario de consulta) o para bajar archhos importantes pa
ra microcomputadoras (usuario de explotacin).
La disxmrbilidnd es responsabilidad de individuos autorizados para alterar
los parmetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomu
nicadones (usuario admrnrstrador).

El control im plantado para minimizar estos riesgos debe considerar los si


guientes factores:
la scguri-

El valor de los datos srendo proce.ad<b.


La probabilidad de que ocurra un a(('(':() no autonzado.
Las con!;Ceuencias par,l la organizacin si ocurre un acceso no autorizado.
El riesgo y repercusiones e n caso de que un usuario no autorizado utilice la
informacin.

to d~ntro
o normal
nsistema

tipos de

La seguridad lgica abarca las sgurentes reas:


tacin, el

, modifipon~.tble

y puede
S.

Rutas de acceso.
Clave, de acceso.
Software de control de acceso.
Encriptamiento.

a debida
blede la
lOdrfic.l
lar automodifinplota
ndole,
otro del

Rutas de acceso
El acceso a 1~ computadora no significa tener una entrada sin restricciones. Li
mitar el acceso slo a los niveles apropiados puede proporcionar una mayor
o;eguridad.
El obehvo de la seguridad de lo.> s~>temas de rnformacin es controlar las
operadon~ y ~u ambiente mediante el monitoreo del acceso a la informacin y
a los programas, para poder darle un seguimiento y determinar la causa proba
ble de desviaciones. Por ello es conveniente al utilit.ar algn tipo de software
dentro de un sistema, contar con una ruta de acceso.

Control
de acceso

198
CAPfl1JLO 6
EVALUACIN
DE LA SEGURIDAD

Cada u no de los sistemas de informacin tiene u na ruta de acceso, la od


pued e d efini rse como la trayectoria seguida en e l momento de acxeso al .,.
tema.
Como se ha sealado, un u~ua rio puede pasar por uno o m ltiples ni1e~
d e segurid ad a ntes de obtener el acceso a los p rog ramas y datos. Los tipos&
restricciones de acceso son:
o
o
o

Slo lectura.
Slo consulta.
Lectura y consulta.
lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar.

El esquema identifica a los usuarios del sistema, los tipos de dts>O<'im


por los cuales se accesa al sistema, el software usado para el acceso al
los recursos que pueden ser accesados y los sistemas donde res1den estos nnr
sos. Los s istemas pueden ser en lnea, fuera d e lnea, en batclt, y rutas de tclecr
municacin.
El esque ma de las ru tas d e acceso sirve para id entific,tr todos los puntosd1
contro l que p ueden ser usados para p rotege r los d atos e n el s istema. mauditcr
debe conocer los rutas de acceso para la eva luacin de los p untos de contn:l
apropiados.

Claves de acceso

Lit~

quf

La~

nas
bi.,
al6
u s

Crede
frecue
bancat
la
p o sto
se det:
cid a
Va lid
que es
nocim
pit'S. 1

(J

L
L

Un rea importante en la seguridad lgica es el control de las claves de aro'!<


de los usuarios. Existen diferentes mtodos de identificacin par., el usuario:
o
o
o

Un ptiSSTL>ord o cdigo.
Una credencial con banda magntica.
Algo especifico del usuario (caracters ticas propias).

La iden tificacin es d efinida como e l p roceso d e d istincin d e un usuario


de otros. la identificacin d e entrada proporcionar un reconocimiento indili
dual; cada us uario debe tener una identificacin de en trado n ica que debe SE!
reconocida por e l s is tema.
Pnssword, cdigo o llaves de acceso. La identificacin de los individuos es
usualmente oonocida y est.l asociada con un password o clave de acceso. La;

claves de acceso pueden ser usadas p ara controlar el acceso a la computadora,


a sus recursos, as como definir nivel de acceso o funciones especficas.
las llaves de acceso deben tener las siguientes caractersticas:
o

El sistema debe verificar primero que el usuario tenga una llave de ac:as>
vlida.
La llave de acceso debe ser de una longitud adecuada para ser un secreto.
la llave de acceso no debe ser d esplegada cuando es tecleada .

Soft'
ste
contt

r
1

1
1

real

Las llaves de acceso deben ser encriptadas, ya que esto reduce el riesgo de
que alg uien obtenga la llave de acceso de otras personas.
L1s llaves de acceso deben de prohibir el uso de nombres, palabras o cadenas de caracteres d ifci les de retener, adem~s el pnssword no debe ser ca m
bi.1do por un valor pasado. Se recomienda la combinacin de ca racteres
alfabticos y numricos. No debe ser particularmente identificable con e l
usuario, como su nombre, apellido o fecha de nacimiento.

eso, la cual
ceso al SJS1les ni velt.s
os tip os dL

Crtdenciales con banda magntica. La banda magntica de las credenciales es


~L'Iltemcntc usada para la entrada al '>IStcma. Esta credencial es como una
JC.lN, pero se recomienda que tenga fotografa y firma.
la ventaja ms importante de la credencial es prevenir la entrada de ml""lores al sistema. Una credencial ordmaria es f.cil de falsificar, por lo que
lt' debe elaborar de una manera e'pecial, que no permita que sea reproduCida

ar.
;positivo..
dsistema
~tosrecu r

de teleco>untos de
<!auditor
e contro l

hlidacin por caractersticas. Es un mtodo para la identificacin del usuario,


que e, implantado con tecnologa biomtrica. Consiste en la verificacin y reco
nacimiento de la identidad de l~s personas, basndose en caractersticas propias. Algunos de los dis pos itivos b iomtricos son :
Las huellas dactilares.
La retina.
la geometra de la mano.
la firma.
La voz.

e acceso
suario:

Software de control de acceso


~-~~ puede ser definido como el software diseado para permitir el manejo y
control del acceso a los s iguientes recursos:
usuario
>ind ivilebc ser

Programas de librerias.

fo/Js

Mdulos de funciones.

Diccionario de datos.
Archivos.
l'rogramas.
Comunicacin.

Archivos de datos.
Programas en ap licacin .

duos es
!SO. La~

1tadora,

ecreto.

Utileras.

Controla el acceso a la informacin, grabando e investigando los eventos


realizados y el acceso a los recursos, por medio de la identificacin del usuario.
El software de control de acceso, tiene la~ Siguientes funciones:

199
SEOUAIOAD LGICA
Y CONFIDENCIALIDAD

Identificacin
del usuario

200
CAPh1JLO 6
EVALUACIN
DE lA SEGURIDAD

Definicin de usuarios.
Definicin de las funciones del usuario despus de accesar el sistema.
Establecimiento de auditora a travs del uso del sistema .

El software de seguridad p rotege los recursos mediante la identificacind<


los usuarios autorizados con las llaves de acceso, que son archivadas y guard
das por este software.
Esto puede ser efectuado a travs de la creacin de archivos o tablas de
seguridad. Los paquetes de seguridad frecuentemente incluyen facilidades paz.
encriptar estas tablas o archivos.
A cada usuario se le debe asignar w1 alcance en el acceso y por cada reruN
Wl grado de proteccin, para que los recursos puedan ser protegidos de un
acceso no autorizado.
Algunos paquetes de seguridad pueden ser usados para restringir el ami<
a programas, libreras y archivos de datos; otros pueden adems limitar el u~
de terminales o restringir el acceso a bases de datos, y existen otros ms p~
confirmar y evaluar la au torizacin de la terminal remota para utilizardeterm>
nada irormacin. stos pueden variar en el nivel de la seguridad brindada '
los archivos de datos. La seguridad puede estar basada en e l tipo de acW<r
usuarios autorizados para agregar registros a un archivo o los que nicament.
leen registros.
La mayor ventaja del software de seguridad es la capacidad para prot~
los recursos de accesos no autorizados, incluyendo los siguientes:

Paquetes
de seguridad

Procesos en espera de modificacin por un programa de aplicacin.


Accesos por los editores en lnea.
Accesos por u tileras de software.
Accesos a archivos de las bases de datos, a travs de un manejador de [)as(
de datos (DBMS).
Acceso de terminales o estaciones no autorizadas.

Estos paquetes pueden restringir el acceso a los recursos (archivos de datos), reduciendo as el riesgo de los accesos no autorizados.

Ejemplo

En el caso de lerminales de compra de boletos de pronsticos, se puede


restringir la entrada a terminales no autorizadas o en tiempo no autorizado.
Otra caracterstica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas:

Terminaciones de procesos.

Forzar a las terminales a apagarse.


Desplegar mensajes de error.
Escribir los registros para la auditora.

La bitcora de auditora es seleccionada durante la implementacin.

Ejemplo

La bitcora puede consistir en registrar los accesos no ex~osos, slo los in


tentos, un registro de todos los accesos vlidos y los recursos proteg1dos.

Algunos paquetes contienen datos especlflcos para ser 1nclu1dos en la bitco19 de aud1torra.

tem a.

Cada bitcora debe incluir la identificacin del usuario: s i el acceso es exitoso, deben consignarse los recursos accesados, dfa, hora, terminal y un dato esf'l'<ifico de lo que fue modificado durante el acceso; si el acceso no fue exitoso la
m.tyor ilormacin posible sobre da, hora, terminal y claves de intento usadas.

icacin de
y guard,l tablas de

201
SEGURIDAD LGICA
Y CONFIDENCIAliDAD

adespar~

Otros tipos de software


de control de acceso

la r<"CUrso
los dt> un
-el acceso
tar el uso
ms

Algun< tipos de software son diseados con caractersticas que pueden ser
u<,~das para proveerles seguridad. Sin emb.1rgo, es preferible usar un software
J< control de acceso para asegurar el ambiente total y completar las caractcrs
locas de seguridad con un software especfico.
Como existen diferentes tipos de software, explicaremos las caractersticas
de seguridad de los siguientes:

par~l

determi'indada a
le acceso:
Ucamcnte

proteger

5n.
rde base

Sbternas operativos.

Manejadores de bases de datos.


Software de consolas o termina les maestras.
Software de libreras.
Software de utileras.
Tclecomwcaciones.
A) Sistemas operativos

JS

de da-

uede
odo.

So! trata de una serie de programas que se encuentran dentro de los sistemas
opcr.\ti\'OS, los cuales manejan los recu!'S05 de la~ computadoras y sirven como
int~rla;,e entre el software de aplicaciones y el hardware.
Estos programas proporcionan seguridad ya que, internamente, dentro
de los sistemas operativos manejan y controlan la ejecucin de p rogramas
de aplicacin y proveen los servicios que estos programas requieren, dependiendo del usuario y d el s istema que se est~ t1obnjando. Cada serv icio debe
incluir un calendario de trabajo (Job Sdoerloole), manejador de equ ipo pcrifrieos, un contador de trabajo y un compi lador de programas, pruebas y debugs
(d~puraciones). El grado de protecci611 sobre estos servicios depende de los
~istemas operativos.
Los elementos de seguridad de los si;,tcm~ operativos incluyen lo siguiente:

n.

sin

dos.

Control de salidas de los programas al modificarse cdigos. stos usualmente tienen accesos a los elementos m.is umport.mtes del sistema, y sus
actividades deben ser monitorcadas.
Los sistemas operativos usan claves de ac~o (passwords, ID) para prevenir
uM1arios no autorizados a funciones y utilera;, del sistema operativo. Muchas veces, estas claves de acceso estn definidas en una tabla del sistema

Elementos
de seguridad

202
CAPITuLO
6
EVALUACiN

DE LA SEGURIDAD

que es activada cuando un sistema es utilizado. Las claves de acceso deber


ser cambiadas nmediatamente por las nuevas claves de acceso.
Algunos sistemas operativos proveen una caracterstica que puede limit&
el nmero de accesos no autorizados y autorizar usuarios a los recursc.
protegidos, si este nmero es excedido, el usuario no autorizado es prel\'
nido para el nuevo acceso a estos recursos.
Los sistemas o pe rativos permiten una instalacin para la implementaI'
opcional de caractersticas de seguridad cuando el sistema es instalado. Algunos sistemas operativos contienen sus propias caractersticas de segundad y muchas veces stas no son adecuadas; en este caso es aconsejabll
integrar al sis tema operativo un software de seguridad para proteger k>
recursos. El valor de stos es un factor determinante cuando se decide'!"'
tanta proteccin es necesaria.
Los sistemas operativos tienen tm completo control sobre las actividades
de todas las aplicaciones que estn corriendo en el sistema. Si un usuario no
autorizado puede lograr accesar a los recursos del sistema operativo, pu<
de hacer modificaciones que alteren el proceso normal del flujo del sisteml
El sistema operativo tiene autoridad para dar facilidades de seguridad'
para accesar recursos confidenciales. Esto implica que en algunas ocasione;
se requerir del uso de algn producto de seguridad adicional. El sofhvaN
de funciones de contro l del sistema operativo debe proveer una bitcoradt
auditora.
Tanto e l administrador del sistema o el administrador de la seguridad dt
datos establecen sus privilegios a travs del sistema operativo. Individual
mente, con estos privilegios tienen completo control sobre el sistema operativo y su ambiente; ellos pueden otorgar la autoridad para mod ificar usuarios y accesar secciones, alterar la generacin de procedimientos del sistema y modificar las prioridades de trabajos (jobs) que corren dentro del rootroJ del sistema. Debe existir una bitcora de las actividades del administrr
dor del sistema o del admin is trad or de la seguridad de datos.
Los sistemas operativos permiten la definicin de consolas o terminales
maestras desde las cuales los operadores pueden introducir comandos
sistema operativo. Las consolas no requieren wta seal en proceso para~
emisin de comandos. Por lo tanto, el acceso a reas fsicas en donde esta.
las consolas debe ser restringido. Adems, las caractersticas del sistem<
que permiten a una terminal ser asignada con el estatus de consola deben
ser guardadas a p rueba de accesos no autorizad os.

por

1
arel~
1
rest~

los

cio

datoj
cos. l
nistr

respl
esta<
adert
1
par~

dad
bit
un n
rrid<
C)i

El se
pros
term

dato

defu

c-ad<

el ac
func

B) Software manejador de base de datos

acce

Es un software cuya finalidad es la de controlar, orgarzar y manipular los d..


tos. Provee mltiples caminos para accesar los datos en una base de datos. M.lneja la integridad de datos entre operaciones, funciones y tareas de la orgaruzacin.
Cuando un usuario inicialmente requie re del uso de l sistem a de admini~
!racin de bases de datos (Data Base Ma11agemerrt System, OBMS) se establece un
identificador para e l usuario y la sesin. Inmed iatamente, el usuario puedesa
identificado por ellO-usuario, ID-terminal, y por una aplicacin o funcin.

0)

El S
cjec-

ene
soft
a es

deben
imitar
:ursos

?revetacin
o.AI~guri

~able

er los
e qu
1ade.

;o no
puetema.
lady
iones
ware

ra de
td de
:lualperaJSua-

,isteronistrala les
os al
rala
:stn

:ema
eben

;daMa;ani-

En ~pera del modo de modificaciones, el usuario podr ser identificado


x>r el trabajo (job), por la aplicacin o por la funcin.
El identificador del usuario ser usado para rastrear todos los accesos a los
trehtvos de datos a travs del administrador de la base de datos (OBMS).
Lns caractersticas de segu ridad del soft warc DBMS pueden ser usadas para
n'tringir el acceso a un us uario espcdfico, a un cierto archivo o a vistas lgicas,
los acc~sos a procedimientos, funciones o softwar~ en aplicaciones lim itado a
U>uarios autorizados ron el propsito de ejecutar sus tareas asignadas. Las vis
l.b de datos lgicos estn colocadas en archvos para usuarios particulares, fun.
wnes o aplicaciones, y puede ser representado todo o parte del archivo de
JJtos fsicos o una combinacin de c.lmpos de mltiples archivos de datos fst
ro- Estas caractersticas son usadas para controlar funciones nicas en el admi
ru-trador de la base de datos (OBMS).
Las utileras de la base de datos proveen funciones de mantenimiento, como
""paldos y restauracin de la base de datos, reorganizacin de datos, reportes
"'tadsticos de las bases de datos y sus relaciones. stos pueden ser usados
'dcm.s para adicionar o borrar datos y provl.'er seguridad.
El diccionario de datos (00) es un software que gua y provee un mtodo
para documentar elementos de la base de datos, as como un mtodo de scguri
dnd de datos en un administrador de base~ de datos (DBMS).
Todos las modifi cacio nes a l d irectorio de datos (DO) d eben produ cir una
bit~cora de auditora, como un registro automtico de todos los cam bios y
un medio de recuperacin despus de alguna interrupcin que hubiese ocu
rrido.

C) Software de consolas o terminales maestras

El software de consolas o terminales maestras puede ser definido como varios


programas del sistema operati\'0 que pro,een <;<>porte y sef\icio para que las
t~nntnales en linea accesen a los programa<. en aplicaon.
Las consolas incluyen funcione. de seguridad para restringir el acceso a los
datos, va programas en aplicacin.
Estas funciones frecuentemente estn basadas en una serie de tablas que
definen a los usuarios autorizados, as como los recursos y programas en apli
racin que ellos pueden accesar. Generalmente las consolas pueden slo limitar
el acceso al usuario para entrar a un programa en aplicacin, no para el uso de
funciones especficas de un programa.
La mayor parte de las consolas mantienen un registro de uso de llaves de
acceso (password) diario vlidas o no vlidas.
O) Software de libreras

El <;<>iware de libreras consta de datos y programas especficos escritos para


una funcin en la organizaon.
Los programas en aplicacin (Libreras) pueden ser guardados en archivos
en el \tstcma, y el acceso a estos programas puede ser controlado por medio del
software (software de control de acceso general) usado para controlar el acceso
a estos archivos.

c~t.'CUtar
IS-

e un
~ser

203. __-...J
SEGURIDAD LGICA
v CONFIDENCJAUDAD

__::jBMS

204
CAPiTULO 6
EVALUACIN
DE LA SEGURIDAD

El software de manejo de libn.'ras puede ser usado para mantener y prottger los recursos de programas de libreras, la ejecucin de jobs, y en alguna!
instancia~, los archivos de datos pueden ser utilizados por stas.
Estas libreras deben ser soportadas por un adecuado control de cambios y
procedim ientos de documentacin.
Una importante funcin del soft ware controlador de ltbre,as es controlar y
describir los cambios de programas en una bitcora. El software de libreras
provee d iferentes niveles de seguridad, los cuales se reflejJn en las bitcoras de
auditora.
Los controles de cambios de emergencia deben estar en algn lugar debid
a la n.lturaJe,, de estos cambios (frecuentemente son realiados fuera de hora<
de trabajo normal, son cortos, no se comunican):

f
las

rt

t
1
F

Accesos de emergencia. Pueden ser concedidos con el propsito de resol-e

el problema, y S(>r inmediatamente revocados desput$ de que el problem1


es resuello.
Todas lasaccioms realizadas durante la emergencia debt>rn ser automtic.lmente registradas.

Cuando se instala el softwa re de libreras se definen las libreras y sus re;.


pectivos niveles de proteccin.
Los tipos de acceso a la librera pueden ser restringidos durante la instala
cin. Por ejemplo, un programador deber ser autorizado para k'Cr o modificar
un programa.
E) Software de utileras

Existen dos tipos de '<>ftware de utileras. El primero es usado en los stStem.b


de desarrollo para proe<>r productividad. El desarrollo de programas y L>,
editores en lnea o;on los eemplos de este tipo de software. El segundo es u<iado
para asstir en t>l manejo de operaciones de la computldora. Monitoreos, call'l>
darios de trabajo, ~istema manejador de disco y cinta son eJemplo de t>ste tipo
de software.
El software de utilcras tiene privilegios de acceso todo el tiempo, algn
tiempo o nunca. Los aOO'sos privilegiados se otorgan a programadores o a usua
rios que ejecutan funciones que sobrepasan la segUJidad norma l.
Entre los ejemplos de utileras de software estn:

J OSI

den t
Conl
segu
dos :

Utilcras de monitores.
Sistemas manejadores de cinta.
Sistem,lh manejadores de disco.
Calendarios de JObs.
Editores en lnea.

Debugers.

Scanner de virus.
Software de telecomunicaciones.

Ciertos tipos de software de telecomunicaciones pueden restringir el acceso a las redl'S y a aplicaciones especficas localizadas en la red,

imp
incl
Los
real

~y proten algunas

El software de telecomunicaciones provee la tnterfase entre las terminales y


las redes )' tiene la capacidad para:

::ambios y

Controlar la invocacin de los programas de aplicacin.


Verificar que todas las transaccloncs estn completas y sean correctamentt!

Rtstring ir a los usuarios para actuar en funciones seleccionadas.


Restring ir e l acceso al s is tema a ciertos ind ividuos.

ontrolar y

libreras

:coras de

transmitidas.

ardebido
tdehoras

RIESGOS y CONTROLES A AUDITAR


~resolver

problema
W, controles de software de segurid,ld general y de software especfico pue-

tomtica-

d~n

sus res-

Controles del software de seguridad general. Los controles del software de


seguridad general aplican para todos los tipos de software y recursos re lacionados y sirven para:

ser implantados para minimizar el riesgo de la seguridad lgica.

a instalanodificar

sistemas
y los
es usado
>S, caleneste tipo

Las bitcoras d e aud itora.

Control de acceso a programas y datos. Este control de acceso se refiere a la


manera en que cada software del ststema tiene acceso a los datos, programas y funciones. Los controles son u~ualmente a tra,s del ID (identific,ldor)
o del pa;sword para identificar a usuarios no autorizados y para controlar el
acceso trucial al software.
Cambios realizados. Deben ser prob.ldOS y revisados para ser autorizado>,
y una vez autorizados se asignan a los programas en aplicacin y datos.
Dependiendo de la aplicacin, el ambtcntc y el potencial del efecto de los
cambios, ste puede ser muy informal o extremadamente rgido. Los proced imientos a seguir para Jos cambios 1-calizados pueden ser los sigu ientes:

lllS

o, algn
:>ausua-

El control de acceso a p rogramas y a la informacin.


Vigilar los cambios realizados.

el acce-

Diseo y cdigo de m odificaciones.


Coordinacin con otros cambios.
Asignacin de responsabilidades.
Revisin de estndares y aprobadn .
Requerimientos mnimos de prueb,l
Procedimientos del respaldo en el evento de interrupcin.

1..1 bit,kora de auditora del><! rl.'gistrar cambio' en el software antes de (,,


implementacin. Los procedimiento:, de cambios de software deb<!n adems
incluir notificaciones escritas para 1.'1 departamento apropiado de c.1da cambio.
Los cambios realizados deben inclwr mdependtentemcnte una fase de pruebas
realizadas por un grupo fuera del ambiente de desarrollo.

205
SEGURIDAD LOGICA
Y CONFIDENCIALIDAD

206

CAPTULO 8
EVALUACION
OE LA SEGURJDAD

Bitcoras de auditora. l.as bitcoras de auditora son usadas para moniton,


los accesos permitidos y negados. El software debe contener una bitooradt
auditora del uso dl la~ funciones que el software ejecuta, particulann11111t
cambian las funcione, o se modifican datos. E.'b btt.icora de auditora P'
blemente sea mantentda ~n un archi"o separado, y puede ser manejada
las acti'idades del si.,tcm.1, o tal vez sea un.1 parte del registro. El tipo &
bitcoras de auditora vana gradualmente de acuerdo al software y al~
dor; por ejemplo, un software puede guardar ante. y despus imgent~ !Ir
los cambios, mientr.1s que otros solamente tienen una tcnica de recuperr
cin que puede ser usada para seguridad en ca50' necesarios.

Las bitcoras de auditora generalmente estn relacionadas con el sistel1'4


operativo o con el software de control de acceso.
Estas bitcoras de auditora registran las actividades y opcionalmente mu<
tran el registro de los cambios hechos en el archivo o programa. Son importar,
tes para el seguimiento de lo:. cambios.

o
o

Se

Controles de software especifico. A continuacin pre.cntamos algunos de los


controles usados por 1~ diferentes tipos de software ~spt'Cifico:

El acceso al sistema debe ser restringido para individuos no autorizados.

Se debe controlar el acceso a los procesos y a las apli caciones permitiendo a


los usuarios autorizado& ejecutar sus obligaciones asignadas y evitando qu

personas no autori7ada., logren el acceso.


Las tablas de acnso o d<N:ripciones debern ser l'Stabloodas de manm
que se restrinja a lo:. ubuario:. ejecutar funcionL>s tncompatibles o ms aiJJ
de sus responsabilidade-;.
Se deber contar con procedunientos para que 11>'> programadore:, de apcaciones tengan prohibtdo realizar cambios no autorizados a los programas.
Se limitar tanto a usuarios como a programador~& de aplicaciones a un
tipo especfico de acc~ d~ datos (por ejemplo: lectura y modificacin).
Para asegurar las rutas de acceso deber restringir~e el acceso a secciones o
tablas de seguridad, mi~mas que debern ser !'ncriptadas.
Las bitcoras de auditora debern ser protegidas de modificaciones,-.
autorizadas.

Debern restringirse las modificaciones o cambios al software de control dt


acceso, y stos debern ser rt!alizados de acuerdo a procedimientos auton
Lados:

Software de sistemas operativos. Entre los controles se incluyen lo> siguientes:

Los pnssword e identificadores debern ser confidenciales. Los usuarios


no autorizados que logran accesar al sistema pueden causar modific.
ciones no autorizada,,
El acceso al software de sistema operativo dcb<,r.i ser restringido.

S
g

S
o

'

1onitorear
.jtcora de

:mnente si

tora posi
\ejada por
El tipo dl'
al vende~genes de

recupera
o

,1 sistema

Los administradores de la segundad de~rn ser los nicos con autori-

dad para modificar funciones del Sistema, incluyendo procedimientos


y tablas de usuarios.
El acceso a utileas del sistema operativo ser restringido.
Las instalaciones de s iste mas y las reins talaciones deben ser
mo nitoreadas porque la realizacin no autorizada puede resultar invlida .
El uso de todas las funciones del software (editores de lnea, consolas)
es restringido a individu os autori~ados.
Debern revisarse las bitcoras de auditora para determinar si ocurre
un acceso no autorizado o si se reali.am modificaciones.

Software manejador de base de datO'-. Los controles incluyen lo siguiente:

\temues1\portan-

os de los

izados.
itiendo a
ondoquc

o
o

El acceso a los archivos de datos de~r ser restringido en una vista de


datos lgica, a nivel de tipo de campo. La seguridad en el campo ser
dada de acuerdo al contenido del campo (validacin de campos).
De~r controlarse el acceso al diccionario de datos.
La base de datos debe ser segura y se usarn las facilidades de control
de acceso construidas dentro del software DSMS.
La bitcora de auditada debe r!'portar los accesos al diccionario de
datos.
Las modificaciones de capacidades desde e l DBMS para las bases d e
datos debern limitarse al persona l apropiado.

manera

ms all

de aplilos proJeS

Software de consolas o terminales maestras. Estos controles incluyen lo siguiente:

a un

n).

oneso

Software de libreras. Los controles mcluyen los siguientes:

ones no
otro! de
autori-

o
o

los si-

suarios

:xtifica-

o.

Los cambios realizados al software de consolas o terminales maestras


debern ser protegidos y controlados.

El software de libreras mantiene una bitcora de auditora de todas las


actividades realiz.adas. La uormacin provista en la bitcora incluye
el nombre del programa, el nmero de la versin, los cambios especficos realizados, la fecha de mantenimiento y la identificacin del prog ramador.
El software de libreras tiene la faci lid ad de comparar dos versiones de
p rogramas en cdigo fuente y reportar las diferencias.
Dc~n limitarse e l acceso a programas o datos almacenados por el software de libreras.
Deber impedirse el acceso a password o cdigos de autorizacin a individuos no autorizados.
Los cambios realizados al software de libreas tendrn que ser protegidos y controlados.
Las versiones correctas de los programas de produccin deben corre!.ponder a los programas objeto.

207
SEGURIDAD LGICA
V COOFIDENCIALIDAD

208

CAPITULO 6
EVALUACIN
DE LA SEGURIDAD

Software de utileras. Los controles incluyen lo siguiente:


o

o
o

o
o

Deber restringirse el acceso a archivos de utileras.


Algunas utileras establecen niveles de utilizacin por cada funcin
verifican cada nivel de autorizacin del usuario antes de darle acce;c
utilizando password para prever accesos no autorizados.
El software de utileras genera una bitcora de auditora de usos y a~.
vidades. Algunas proveen bitcoras detalladas de actividades con d>
tos protegidos, libreras y otros recursos. Estas bitcoras de auditor.
proveen informacin de cada identificador (fO), fecha y hora de aCCfS.'
recursos accesados y tipo de acceso.
Esta bitcora sirve como un registro de eventos, incluyendo violaciooo
a la seguridad y accesos no autorizados. Cada paquete de softwatt
puede tener diferentes capacidades de control.
Tomar precauciones para asegurar la manipulacin de datos (cop;a
borrar, etc.), los protege de un uso no autorizado.
Asegurar que nicamente personal autorizado tenga acceso a oomr
aplicaciones.
Las utilerias no deben ser mantenidas en e l ambiente de produccin yst
debe asegurar que nicamente usuarios autorizados tengan acceso aellas.
Las bitcoras de auditora producidas por utileras deben ser cuidadosamente revisadas para identificar alguna violacin a la seguridad.

guie'

m as
todo
liza<
warc

de a

Software de telecomun icac;iones. Los controles incluyen lo siguiente:


o

Controlar el acceso a datos sensibles y recursos de la red de la siguicntt


forma:
-

Verificacin de login de aplicaciones.


Control de las conexiones entre sistemas de telecomunicaciones r
termina1cs.

Restriccin al uso de aplicaciones de la red.


Proteccin de datos sensibles durante la transmisin, terminando la
sesin automticamente.

Los comandos del operador que pueden dar shoutdown a los componentes de la red slo pueden ser usados por usuarios autorizados.
El acceso diario al sistema debe ser monitoreado y protegido.
Asegurar que los datos no sea.n acccsados o modificados por un usuario no autorizado, ya sea durante la transmisin o mientras est en almacenamiento temporal.

Consideraciones al auditar
Cuando se realiza una revisin de seguridad lgica, el auditor intemo deber evaluar y probar los siguientes tres controles implantados para minimizar riesgos:

mar
gn
apr<
los<
apr<
Inst
en 1.

Control d.- acceso a programas v a la ~nftlrm.KIn.


Control de cambios.
B1t.cmas de audttora.
cin y
tcceso,

y actim dalitora
cceso.

209
SEOUAIOAO LOOICA
Y CONflOENCIAltOAO

la ,.,.lluacin de todos los tipO'i d< <;O(tw,lro deber asegurar que los sigui<'nt<>s obj~tivos sean cumplidos:

!:1 .1cceso a funciones, datos y progr.>m," asociados con el software debe


<'>IM re>tringido a individuos autor~-.>dos v debe <.er consistente con documentos esperados.
Todos lo> cambio. del sofh, are deben '<'r r~?aluado> de acuerdo con el
m.>noo del plan de trabajo y con la autori7aon del usuario.
Sto d<be de mantener una bot.icora d, audlloria d< todas las acti,idad<>
'1gnahcattva"-.

orrer

y S<'
ellas.
adoi.

ente

es y
ola

po-

uaa l-

(;na

aud1toria de seguridad lgica pUN<' ,..r reali7.ada de diferente> for-

mas l..1 .1udotoria puede enfocar,.. en arca> de ..egundad que >On aphcables a
todo llpo de software y pueden cubnr 1,1 ln>l.>l.>con, d rnantenmtiento y la uh
h~c.l..:tn

Uel ~oftware.

Tambon debe tomarse en cuenta las caractcrshca~ de ~idad del softwan, ~ncluytmdo el control de acceso, la odentoficac1n del usuario y el proceso
de aull'ntificacin del usuario, ejecutado por <'1 softw.ue.
Fntrt' las consideraones esp<>dfica" al uuditJr e!-.t.in:

Software de control de acceso.


Software de telecomunicaciones
Software manejador de libreras.
5oft" are manejador de bas..>s de datOs.
Sofh,
de uWcras.
Sofh~are de sistema operativo.

ar.-

Durant< t'l ciclo de ,;da del software d<'bcn ">Cr evaluadas su mstalacin,
mantcnim1ento y operacin. Se debe utili1ar 1,1 aud>toria para asegurar que algn c.1mb1o hecho al software no comprometa la mtegridad, confidencialidad o
apmwcham11?nto de los datos o recu~os del sostema.
El '<Jftware de aud itora especializ.ldu plll'dt wr usado para revisar todos
lu, rambo. y asegurarse que son ejecutado, dt acuerdo con los procedimientos
aprobados por la gerencia.
Instalacin y mantenimiento. E.~ la pnm,r f,1o,e dd codo de vida del o;oftware,
en la l'Ual d audttor debe re,;sar lo soguwnte:

a-

I'rt>n-dimentos para nuevas prueba' o modifocaaorH.>s al software, indu


Hmdo al persorcal responsable, "lecum>n de pru!!ba.,, respaldo de softwan
c"stcnte, pruebas de funciones, dO<-umtnt.lCIn de cambios, notificacin
de C.lmboo., re,~sin y redencin de pruebas de "'!ida v aprobacin de pnond.-.dl!j, para la implementacin.

Ciclo de vida
del sotware

210

CAPiTULO 6
EVALUACIN
DE LA SEGURIDAD

Procedimientos para 11\Jci,lcin. documentacin. pruebas y aprobacin lit


modificaciones al software.
Procedimientos para la generacin y modificacin al software.
Procedimientos usado~ para ejecutar software y mantenimiento del di
nario de datos para un mayor grado de modificacin.
Procedim ientos de emergencia usados para d ar solucin a un problema"
pecfico de software.
Mantenimiento y contenido d e las bitcoras de auditora de todos los DBMS
y modificaciones del diccionario de da tos.
Bitcoras a los parmetros del software y de las sentencias dellcnguojedt
aplicaciones en ejecucin.
Acceso a libreras de programas.

otra~ 1

lacion
usada

D
f(

Operacin. En la ..egunda fase del ciclo de vida del software debern revisa"'

Controi<'S de acceso para lus programas, libreras, parmetros, ~


archivos de software ~ados.
Procedimientos dscados para asegurar que el sistema no es instalado(c.uy
inicial del programa) sin el software original_ creando as un proccdimienro
de seguridad.
Disponibilid,Jd y control de acceso a los comandos que pueden ~r usadcs
para desactivar el software.
reas de rcsp011sabilidad para el control del software, operacin y conss.
tencia de capacidad de acceso.
Horas dura11tc las cuales el software <'St disponible.
Procedimientos para la iniciacin y terminacin del uso del software.
Control de acceso sobre consolas y terminales maestras.
Proccdimicntos para registrar terminacin anormal o errores, los cual"
pueden indicar problemas en la integridad del softwar<' y documentar lo;
resultados en programas de seguridad.
Controles de acceso sobre escritura de programas y lcnguaes de libreras y
de aplicaciones en ejecucin.
Bitcoras de auditora sobre las actividades del software.
D<'pendcncia de otro software para continuar la operacin, operac;iooo
automatizadas o dependencia del calendario de acti vidade&.

Software de control de acceso. Entre las consideraciones de auditora para el


software de control de acceso estn:

Diseo y adm ir\istraci6n.


Procedimientos de identificacin del usuario.
Proccdimicntos de autentificacin del usuario.
Recursos para controlar el acceso.
Reportes )' ''igilancia del software de control de acceso reportando)' ,;glando.

El software d(' control de acceso usualmente prov~ utilera~ que puedm


ser usadas en la ejecucin de una auditora. Los eventos pueden ser registrados
en un archivo de auditor!a (cambios en el sistema, as como la ocurrenaa de

cin de

otras numerosas actividades: logi11, archivos de acceso, recursos de acceso, vioJaciones y cambios de acceso). los reporteadores y otras utileras pueden ser
usadas para presentar esta informacin continuamente.

diccioDiseo y ad ministracin. En estos aspectos Jos auditores internos deben


revisar lo sigu iente:

ema es~ DBMS

;uaje d e

localizacin de archivos de seguridad y tablas para asegurar que los


archivos del software de control de acceso estn protegidos.
Uso de recursos o controles de acceso a nivel del usuario para asegurar
que el software de control de acceso protege da tos y recursos en un
nivel correcto.

visa rse:
o

iones o
o

a(carga
lmiento

o
o

usados
o

cons is o

re.
cuales
ntar los

reras y
aciones
para el

Procedimientos de identificacin del llSUario. los auditores debern revisar y aprobar los mtodos usados para definir usuarios para el software.
Las siguientes situaciones debern ser revisadas por un apropiado nivel de direccin:
o
o

y vigi-

pueden
strados
nda de

Archivos de seguridad o encriptacin de tablas usadas para prohibir la


vista de tablas individuales.
Limitaciones de acceso para archivos de seguridad que contienen descripciones y passwords.
Lintaciones de acceso a archivos de seguridad a travs de la administracin de comandos de segu ridad en lnea o uti leras.
La jerarqua de seguridad.
Los usuarios encargados de la administracin de la seguridad pueden
tener g ran capacidad para cierto software.
Mtodos y limi taciones sobre archivos de seguridad o modificacin de
tablas.
Responsabilidades del usuario par~ la admin istracin de la seguridad, pa rticularmen te en un ambiente descentra li Lado, para asegurar
que las capacidades definidas son consistentes con las responsabilidades.
Definicin de parmetros de seguridad, como los recursos definidos,
reglas de password, defaull de niveles de acceso y o pciones de login con
aprobacin de la gerencia, considerando pruebas de proteccin para
accesar recursos protegidos.

Las identificaciones del usuario para corroborar gue sean individuales


y no compartidas.
Probar la revocacin de usuarios inactivos.
El despliegue de la ltima fecha y hora en que algn ID especfico fue
usado. Esta informacin podr ayudar para identifica r actividades
ilcitas.
Revocacin o desconexin de identificaciones del usuario siguiendo un
nmero especifico de acceso invlido. Este control puede tambin limitar actividades ilcitas.
El uso de comienzo y fin de fechas para ID de usuario de empleados
contratados.

211
SEGURIDAD LGICA

y CONFIDENCIALIDAD

212
CAPITULO 8
EVALUACIN

DE LA SEGUAlOAO

El uso de grupos d~ usuarios para el recurso de acceso a los archios.


Los usuarios de~rn ser asignados a los grupos apropiados.
Propietario:. de datos y recursos para asegurar que ellos son los resm
sables apropiados.

o
o

Procedimientos de autentificacin del usuario. Los auditores intemOO\ "''


sa rn lo sigu iente:
o

o
o

Deber ser eval u ado el uso de passwords o informacn personal duran

te la sesin.
o
o
o
o
o
o

sean usuarios autorizados.

Siste

Los procedimientos para el uso de passwords para asegurarse que h.'.r


est protegido cuando es usado por el usuario.
La mscara del password para asegurarse que el rea donde Jos car.Jdtres son tecleados no se desplieguen.
La sintaxis del pnssword. Algn software de control de acceso pued<
restring ir e l uso de ciertas palabras o cadeo1as de caracteres.
El mantmmicnto de la historia del password. ste puede ser usado 1"'"
prevenir a usuarios que reutilizan un pnssword por un periodo especifico
Procedimientos para suplir identificaciones de usuarios y password> p>.
procesos batdt.

dim~

Los recursos para controlar el acceso. Los auditores internos debern rel
sar lo siguiente:
o

o
o
o

o
o

o
o

Deber ser identificada la disponibilidad de automatizar funciones un~


vez identificado el usuario, as como la autenticacin de procedimiento
Deber ser identificado el uso de password< por otro personal que"'

Posibles n iveles de acceso.


Niveles de acceso por defaollt, pa rticu la rmente para usuarios o jobsqu~
no tienen un ID de usuario.
El acceso del usuario a archivos de seguridad.
Que la seguridad sea implantada en el nivel correcto.
Procedimientos para asegurar la proteccin automtica.
Procedimientos para la proteccin de recursos.
Uso de rutas rpidas o funciones aceleradas a travs de controles.
Controles de accew sobre aplicaciones loca les o remotas.
Restricciones de acceso sobre recursos crticos del sistema, tales como
sistemas, programas y aplicaciones en ejecucin, libreras del lenguaje.
catlogos del sistema y directorios, diccionarios de datos, logs y archi
vos de pnssword, tablas de definicin dt privi legios, a lgoritmos de
encriptan y tablas de datos.

Reportes y vigilancia del software de control de accesos. El auditor interno


deber revisar:
o

vo, e

So:
tlCf

tos

pro

Login, identificacin del acceso autorizado .11 sistema y el uso de recursos.

lAs identificaciones de acceso no autori.<ado.


La identificacin de archivos de seguridad, mantenimiento a tabla y el
USO de comandos sensibles.
Ellogi11 de usuarios p rivilegiados y sus actividades.
Las restricciones de acceso a archivos de /og del sistema. Estos archivos
frt'cucntcmente contienen las bitcoras de auditora del control de acceso.
Ststcma operativo o software de control de acceso existente.
Las violaciones a la seguridad.
los archivos de seguridad y la generacin de reportes de las actividades
del usuario para asegurar que los proptctari<l'o de datos y recursos son
notificados de los eventos de seguridad en un periodo determinado.
' ttmas operativos. El auditor deber revisar, evaluar y probar el uso y proce1\tos que gobiernan programas, usuarios y funciones del sistema operati pt'Cialmente los siguientes:
, 1..1s facilidades del sistema operativo, como son In supervisin y privilegios
para programas y usuarios.
, Controles de acceso sobre tablas que definen privilegios de usuarios, programas y funciones.
, Controles de acceso sobre consolas o terminales maestras y privilegios asociados
Bitcoras de auditora.

, Posibilidad y uso del control de acceso sobre los drfault de inicio de 10 de


u.._:uariO!'t y pn..-.words.
, Comandos de software o funciones que son con,ideradas importantes, como
mantenimiento de seguridad al archivo de descripciones.
, OaagnO>hro de utileras del sistema operativo que pueden ser usados para
lwr o almacenar reas que contienen tnformacin importante.
Software del sistema manejador de bases de datos. En relacin con las funcio""'del S()ftu>arr que restringen el acceso a dato y recursos, y los procedimientos qur gobiernan el uso de estas funciones, <'1 auditor dcbcr; revisar, evaluar y
prob,H lo ; igu ien te:
Procedimientos usados por el software de control de acceso para restringir
el acceso a la base de datos y al diccionario de datos.
El diseo de una restriccin de acceso en los archivos por niveles, incluyendo restricciones sobre archivos fsicos y lgicos en el DBMS y en el diccionario de datos.
Seguridad de campos, uso de secciones de usuarios y fiOSSurords y restriccion<., de acceo;o.
Si el software ejecuta la furicin de identificacin del usuario y procedimi<>ntos de autentificacin.
Comandos y funciones del diccionario de datos (utileras del administrador de la base de datos, comandos para modificar DSMS, archivos o definiCIOnes de archivo).

213
SEGURIDAD LGICA
Y CONFIDENCI-'LIOAO

214
CAPiTulO 6
EVAlUACIN
DE lA SEGURIDAD

Acct'SOS de los programadores, acce>.o a DBMS y comandos o fUJncie>ne;di


directorio de datos.
Bitcora~ de auditora .
El software de desarrollo que afecta a la seguridad del DBMS.

El malle)ador de la baoe de datos y el diccionario de datos uS1"almentef<J'f


n-en utilerias para revL"'r e 1mprimir las capacidad"' de accew, nlfon""":u.l
del u~ario y bit.koras de auditoras.

Software del m anejo de libreras. L<ts funciones del software restringen el

f
d re
trole
m o ni

Sofh
es po
tl'led
lo~ si

ce:,o a librera~ crticas; los procedlln.ient<>s que gobiernan el uso de~

nes debern -.er revisado,, evaluados y probados. El auditor debcrJ


evaluar y probar lo siguiente:

Documentacin de librtras.
Programas fuentes y ei('CUtables.
fobs en cccuctn y lineamientos de control
Parmetros de corrida.
Uso de software para restringir e l acn~so a libreras.
Restriccin del acceso a libreras de produccin.
Restricdont."> de funcioncs que pueden ser usadas para modificar el es!
de un programa (pruebas a produccin).
Acceso a ltbrcras en prueba.
Convenciones para dar nombre a libreras que son usadas para faolttarb
seguridad.
Mtodo' para clasificar y restringir el acceso a ltbrcras por tipo (fue
objeto, carga y control de job).
Si el software ejecuta func1ones de Identificacin de usuario y proct'<II\JtC
tos de a u tmtificacin.
Procedimientos inusuall's de las librl'ras.
Capacidades de la bitcora de auditora.
Los nmc.>ros de ver<;in del software.

Los reportes escritos pueden ser usados para organiar las actividad., d.
las libreras de logs de acceso al software manejador de libreras o bitJcora>de
auditora.
Software de utileras. El auditor deber evaluar, revi"'r y probar los <ig..procedimicnto, diseados para lintar el.lcceso a comandos de utileri,lS o fun.
ciones:

Funcione.. o comandos de utileras.


Los controlt'"i de acreso ..obre comandos o funcionC'- de u literas.

Seguridad de acceso a lo> programadores para la u titiLacin de funciOill'S


comandos de utileras.
Si el software ejecuta las funciones de identificacin del usuario y prt>e~<t.
mientos de autentificacin.
Capacidad<'< de uso de uhlcra para cada grupo de usuarios.
Bitcoras de auditoras

R
te

1'

F
l

rp

r.

R
L

e
e

e'
d

"'p,
Cl

L
red, d
1-stos
L,

Pe
Sl

si

lci

Id
u

ca

Li

iones del

El software de utileras no provee bitcoras de auditora, por ello debe usarse


el reporte escrito del software, para lo cual puede utilizarse el software de controJ de acceso, si ste est integrado al software. Debern usarse reportes para
monitorear el control de acceso.

ente pro)rmacin

Software de telecomunicaciones. El auditor deber revisar, evaluar y probar si

es posible usar las funciones del software que restringe el acceso en las redes de
telecomunicaciones y los procedimientos que gobieman su uso, especialmente
los siguientes:

;en el aciS fundo revisar,

Restricciones al acceso de la red basados en tiempo, da, usuario, lugar y


terminal.

el estado

cilitar la
(fuentes,
edimien-

Jades de
icoras de

guientes
aso fun-

Apagado automtico de terminales inactivas en un tiempo especifico (terminales que pueden ser usadas}.
Facilidad de acceso no autorizado basada en protocolos de transmisin y
lneas para la conexin rpida.
Nmero de seguridad de entrada (revisar la posib ilidad de este nmero
para acceso local o tableros de boletn nacional.)
"Autorrespuesta", facilidad de uso sobre mdem.
Horas durante las cuales la lnea est disponible.
Recursos y fw1eiones posibles a travs del acceso de entrada.
Uso de identificacin de la terminal fsicamente.
Controles de acceso sobre los recursos de la red.
Controles de acceso sobre tablas de configuracin de red.
Controles de acceso a funciones de la red.
Seguridad fsica sobre lneas telefnicas y telecomunicaciones.
El uso de red de rea local y la conectividad para otras LAN, W AN o redes
en otro lugar.
Si el soft-ware ejecuta las funciones de la identificacin del usuario y procedmientos de autentificacin.
Proced imientos para la proteccin de comunicaciones (desde las conexiones hasta la recepcin no autorizada).
Posibilidad y uso de encriptacin de datos o mensajes tcnicos de identificacin.
Los reportes escritos pueden ser usados para reportar las actividades de la
red, de logs de acceso a software de telecomunicaciones o bitcoras de auditora.
stos pueden adems hacerlo con e l software de control de acceso.
Los reportes especiales de auditora debern contener Jo siguiente:

lciones o
proced -

Personal registrado por el sistema en el q ue no corresponde el password con


su identificador, o el que ha intentado ms de dos veces entrar al sistema
s in un password autorizado.
Identificaciones de usuarios no usados hace seis meses.
Identificaciones de usuarios con privilegios especiales.
Un reporte de referencias cruzadas que debe mostrar a los ID usuarios con
cada acceso a las aplicaciones.
Listar todos los lO usuarios por grupos.

215
SEGURIDAD LGICA

v CONFIOENCIALIDAO

216
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD

Definicin

Firma digital

ENCRIPTAMIENTO
Encriptar es el a rte de p ro teger la informacin transformndola con undtia
minado algoritmo den tro de un formato para que no pueda ser leda
mente. S lo aque ll os usuarios que posean la clave de acceso
"d esencriptar" un texto para q ue p ueda ser ledo. Las tecnologas moderna<
encriptamiento nacen casi imposible que una persona no autori<ada util!ol!
informacin.
Encriptar es 1.1 tranformacin de los datos a una forma en que no S< f"'
ble leerla por cualqu1er persona, a menos que cuente con la lla,c de
cin. Su propsito es a.-.egurar la privacidad y mantener la informacin
de personal no autorindo, aun de aquellos que la puedan ver en fonru
lada.
Debido a que Internet y otras formas de comunicacin electrnica
wnvcrtido en algo normal y rutinario, la seguridad se na convertido en
tor muy importantt:'. El t:'ncrip tamiento se usa para proteger meMajesde
e lectrnico (E-mail), firmas electrnicas, llaves de aCC\!SO, informacin 1
financiero e informacin confidencial. Existen en el mercado diferentes paqu.
tes y formas para cncriptar la informacin.
Los sistemas de e ncripta miento pueden ser clasificados e11 sistemas del&
ve s imtrica, los cuales usan una llave comn pa ra e l que N\Vil informadn
para el que la recibe, y sistemas de llave pblica, el cua1 u ti liza dos llav~
que es pblica, conocida por todos, y otra que solamente conoce el recept
Para generar una firma digita l, se usan algunos algoritmos pblicos. u
ma digital es un conjunto de datos que son creados u!><!ndo una lla\'e "-"'
aunque existe una lla\'e pblica que es usada para verilicar que la fllllll
realmente generada usando la llave privada correspondiente. El alg;orlmoll<l>
do para generar la firma electrnica es de tal naturaleza, que si no se us.l~l:"
secreta no es po~ible us.u la firma electrnica.
L.a autentificacin en sentido digital es el proceso por medio drl cual
emisor y 1o receptor de un mensaje digital confide11cial tiene una identifica
vlida para enviar o recibir un me11saje. Los protocolos de autentificacin>
den estar basados en sistemas convencionales de encriptamiento de llavl'\!<
cretas, o en sistemas pblicos de encriptamien to. En lo autenti ficacin de si;!
mas d e llaves pblicas se usan las fumas digitales.
La firmo d igital tiene la misma funcin que la firma escrita en cualquin&
cumento. La firma digita l es un fragmento de informacin confidencial y pn'fl
de cada usuario que asegura a la persona que enva o autori?:a un documentu

receptor o terceras persona~ pueden verificar que el documento y la firma <.'M,


ponden a la persona que lo firma, y que el documento no ha sido alterado.
La firma digital es usada para verificar que el mensaje re.1lmente ~-w
la persona que se seala como la que lo enva. Tambin puede ser u<ad
certificar que una persona envi un documento o una autorizacin en
po determinado. E>.i~te una serie de fll'ffias digitales que identifican y """"'"' '
desde el usuario inicial hasta el ltimo usuario.

vtn

permaa

l:Oll~

~~:~:!

se

).,;

En el caso de envo de documentos pueden certificar la organizacin que


enva el documento, su departamenlo y la persona que lo manda o autoriza.

deterormalodr n
-nas d e
mee la
a posi
escrip
alejada
encrip
se han

Un sistema seguro de firmas digitales debe com prender dos pa rtes: un


mtodo para firmar el documento que sea de tal manera confiable que no pue
da ser usado por otras personas, y otro que verifique que la firma fue realmente
generada por el que ella representa, de tal forma que posteriormente no pueda
ser cuestionada.

El resultado de un conjunto de datos encriptados es la firma digi tal. Normal


mente, junto con la informacin, la Uave pblica que es usada para firmar. Para
verificar la informacin, el receptor primero determina si la Uave pertenece a la
persona a la cual debe pertenecer, y despus de desencriptarla verifica si la infor
macin corresponde al mensaje; entonces la firma es aceptada como vlida.
Criptoanlisis es el arte de desencriptar comunicaciones sin conocer las lla
ves apropiadas. Existen muchas tcnicas para logra rlo, y entre las ms comunes
estn:
o

un faccorreo

je tipo
paque-

de lla
1ci6n y
es, tma

olor.

La fir
:ecreta,
ma fue
10

usa-

laUave
cual el
icaci<ln
n pueves see sistetier do-

propia
mto. El
corres>.
ene de
la para
n tiemttifican

Elemplo

Ataque a textos encriptados. sta es una situacin en la cual el atacante no


conoce nada acerca del contenido del mensaje, y debe de trabajar nica
mente en el contenido del mensaje. En la prctica es muy posible adivinar
el contenido de algn texto, ya que normalmente tienen encabezados fijos.
Ataque conociendo el texto original. El atacante conoce o puede adivnar el
contenido del texto debido a algunas partes del texto encriptado. El objeti
vo es desencriptar el resto del texto usando esta ormacin. Esto tambin
puede ser hecho al determinar la llave usada para cncriptar.
Ataque hecho por medio de escoger un texto encriptado. El atacante tiene
el objetivo de determinar la llave con la cual se encript el texto.
Atacar en la parte centra l. Este tipo de ataque es relevante para la comuni
cacin criptografiada y para los protocolos clave de intercambio. La idea es
que cuando dos personas estn ntercambiando Uaves de seguridad para
lograr la comunicacin, el atacante se pone en medio d e la lnea de comwti
cacin. El atacante realiza un intercambio separado de llaves. Posteriormente, el atacante, con las llaves de acceso, puede realizar cualquier fun
cin. Una forma de prever este tipo de ataques es encriptar la Uavc de acce
so al momento de enviar; asL una vez enviada_ el emisor y receptor verifi
can la firma digital para realizar las operaciones necesarias.
Ataque en el tiempo. ste es un nuevo tipo de ataque y est basado en la
med icin repetitiva de los tiempos exactos de ejecucin .

Aunque existen di versas formas para atacar la informacin encriptada, es


conveniente que el programador conozca las formas d e encriptarniento, sus
ventajas y desventajas, as como su costo, para determinar la mejor para cada
uno de los sistemas, y que el auditor verifique la forma de encriptamiento y su
seguridad de acuerdo con los requerimientos de seguridad de cada sistema.
Existen diferentes protocolos y estndares para la criptografa, entre los cua
les estn:

DNSSEC (Domaiu Name Serucr Security). ste es un protocolo para servicio


seguro de d istribucin de nombres.

Criptoanlisis

218

CAPITULO 6

EVALUACIN
DE LA SEGURIDAD

GSSAPI (Geueric Security Services, APl). Provee una autentificacin gennca, llaves de intercambio e interfases de encriptamiento para diferentes si~
temas y m todos de autentificacin.
SSL (Secure Socket Layer). Es uno de Jos dos protocolos para una conexin
segura de web.
SHTIP (Secure Hypertext Transfer Protocol). Pro tocolo para dar ms seguri
dad a las transacciones de web.
E-Mail (Semrity nnd Related Seruices).
o

MSP (Messnge Security Protocol).

PKCS (Public Key Encryption Sta11dnrds).


SSH2 (Protocol).
Algoritmos de encriptam.iento:
o

DIFflE HELLMAN.

DSS (Digital Signnture Stnudnrd).

ELGAMAL.
LUC.

Symetricos.

+ DES.
BLOWFlSH.
IDEA (lnteruntiounl Dntn Eucryptiou Algorith).
RC4.
+ SAFER.

Varios algoritmos de llave pblica, a lgunos con promisorio futuro; sin em


bargo, el ms popular es el RSA (Rivest Slrnmir Adelman). En algoritmos simtricos el ms famoso es el denominado DES y su variante OES-CBC.
pero el ms reciente es RC4.

SEGURIDAD EN EL PERSONAL

Caracterlstlcas
del personal

Un buen centro de cmputo depende, en gran med ida, de la integridad, estabi


Ji dad y lealtad del persona 1, por lo que al momento de reclutarlo es conveniente
hacerle exmenes psicolgicos y mdicos, y tener muy en cuenta sus ante<:e
dentes de trabajo.
Se debe considerar sus valores sociales y, en genera l, su estabilidad, ya que
normalmente son personas que trabajan bajo presin y con mucho estrs, porlo
que importa mucho su actitud y comportamiento.
El personal de informtica debe tener desarrollado un alto sistema tico y
de lealtad, pero la profesin en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo que el auditor tiene que examinar no
solamente el trabajo del personal de informtica, sino la veracidad y confiabilidad
de los programas de procesamiento.

gran
depe1
crea ti
riesgt
vaca~

y evil
<lO

en

pue

zaci(~
T
posib
b1a a
sabra
Esto
aunq
n1ite,
S<

dono
lidad
la mo
as COl

El
ligro l
audit(
fraud1
E1
est d1
nallc1
citado
ver la
contro
palme
dente

perwr

El obj
intern
bido a
ter re m
sea res

genrintes sis;mexin

segun-

En los ~u po~ de cmputo es normal que se trabajen horas extra, con


ran pre:.in, y que no haya una adecuada poltica de vacaciones debido a la
.ltpendencia que se tiene de algunas personas, lo cual va haciendo que se
.1tan "mdiSpen,.lble,,que son muy difciles de sustituir y que ponen en gran
!11.">80 a la organizaCin. Se debe verificar que existan adecuadas polticas de
\'JQC~Ones (lo cual no~ P<'rmite evaluar la dependencia de algunas personas,
u\ltar e:.ta de!'<'ndencia) y de reemplaLo. La adecuada poltica de reemplazo en caso de renuncia de alguna persona permitir que, en caso necesario, se
pueda cambiar a una p<!rSOna sin arriesgar el funcionamiento de la organiucin.

;inem-

mos si-

5-CBC,

Tarnb1<in se debe tener polticas de rotacin de personal que disminuyan la


poo;ib1lidad de fraude. Si un <'mpl<'ado est cometiendo un fraude y se le cambia a otra actividad al mcs, '>Cra muy arriesgado cometer un fraude porque
>o\bra que la nueva P<'r-.ona que est en su lugar puede detectarlo fcilmente.
bto se debe hacer principalmente en funcin de un alto nivel de confianza,
aunque mplique un alto costo. Este procedimiento de rotacin de personal permite, adems, d<'tectar quines son indispensables y quines no.
Se deb<'r.i evaluar la motivacin dd personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, con lo que disminuir la posibilidad de ataques int('ncionndos a la organizacin. Una de las formas de lograr
la motivacin e& darle al ptrsonalla capacitacin y actualizacin que requiere,
as como proporcionarle 1,,., retribuciones e incentivos justos.
El programador hom">to en oca5iones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se considera un procedimiento de
~uditora dentro de los programas para disminuir o limitar las posibilidades de
fraude.
En muchas ocasiones el m.1yor riesgo de fraude o mal uso de la informacin
c.t dentro del mismo personal, y la mayor seguridad est en contar con personal leal, hone:.to y con <'tica. Para lograr esto se debe contar con personal capacit.ldo, motivado y con rcmuneracione. adecuada~. Pero tambin se debe preer la po-ibHidad dl' personal mal intencionado, para lo cual se debe tener los
rontroles de seguridad sealados. los cuales deben de ser observados principalmente por el per<onal del .rea de informtica. El auditor debe de estar consciente que los pnmeros que deben implantar y obsenar los controles son los del
personal de mform.ihca

estabi!niente

mteceya que
por lo
tico y
esub,ar no
1ilidad

SEGURIDAD FSICA
El objetivo es establecer polticas, procedimientos y prcticas para evitar las
interrupciones prolongadas del servicio de procesamiento de informacin, debido a contingencias como incend1o, mundacin, huelgas, disturbios, sabotaje,
terremotos, hur.1cancs etc., y continuar en un medio de emergencia hasta que
sea restaurado el servicio completo.

219
SEGURIDAD

F1$1CA

220
CAPTUL08
EVALUACION
DE LA SEGURIDAD

UBICACIN y CONSTRUCCIN

P1so

DEL CENTRO DE CMPUTO

OCN

En el pasado se acostumbraba colocar los equipo> de cmputo en un


v1s.ble, con grande> ventanales, ya que constituan el orgullo de la orgar
cin y se consideraba necesario estuviesen a la vist., del pblico, inclusolutu
S''" cantidad de invitados par., conocerlos. Esto ha ca1nbiado de modora
ca l, principalmente por el riesgo de terrorismo o sabotaje. Pinsese que
per'>Ona que desea perjud1car a la organizacin qu<'rr.i daar el centro ck
formacin, por lo que en la actualidad se considera extremadamente peh,.
'<> tener el centro de cmputo en las reas de alto trfico de personas, o
en un lugar cercano a la calle o ron un alto nmero de ln\'ltados, adetN~,
eXC....,I\'0 flujo de per;onalmtl'rf1ere con la eficiencia en el trabajo y disnunc::
la seguridad.
Otros elementos referente' al m.1terial y construccin dell'(tifido del""'=
de cmputo con los que~ debe tener precaucin o;on lo' materiales altam
in na mables, que despiden humos sumamente txicos, o las paredes que noqt~.
dan perfectamente selladas y despiden polvo (por ejemplo, el tiro! planciMdl
a menos que tenga sellador), los cuales deben ser evitados.
En lo posible tambit'n se debe tomar precaucionls en cuanto a la orier.
cin del centro de cmputo (por eemplo, lugares >um,lmente calurosos a
que todo el da les est dando l'l sol), y se debe "'~lar, cn lo posible, los grande
\'entanales, los cuales adem.is de que permiten la entrada del sol, pueden
riw,go-os para la seguridad del centro de cmputo.
Las dimensiones mmmas del centro de cmputo deben determina"" pa
la c.1ntidad de componentes del sistema, el espacio requcndo para cada urdad, para su mantenimiento, el .Srca de operacin. Por tllo, las paredes y 1"'"'
les removibles pueden ser uti lizados para faci litar ampliaciones futuras. [
general, au nque los equipos de cmp uto se han reducido en tamao, se deJ>o
considerar el incremento en el nmero de stos y en equ ipos perifricos.
Adems, en el centn> dl' cmputo se debe prev('r .>spacio para lo igu

[ n !.1 anti:
piSOS e le\'
dl cn1pu

Almacenamiento d(' <'qUI!'O' magnticos.


Formatos y papel para impre>ora.
Mesas de trabajo y muebles.
rea y mobiliario par.> mantenimiento.
Equ ipo de telecomunicaciones.
rea de programacin.
Consolas del operador.
rea de recepcin.
Microcomputadoras.
Fuentes de poder.
Bveda de seguridad . Los ardu ,.os maestros y 1o registro<. debern ser gua:
dados en una bveda antuncendio bajo mxima protecon.

t.u.1or,1s,

P.

c.on plsos
t.lll'nlc COl

Una e
y prot~>ec
Adems.
cerca d e 1
rcpllas d e
Un p i
du con lcu
d.1d de s<:
Se re<
<Jll<' la su
camara p
terminad
p<>der seJ
1stema y

El t>qup<
tipo d e e
cual >.e n
m.l~ ;~si e
Los

las princ
Las i
tncucnb
duetos.~
to t.xtcri

1ndiquer
Sen
superior
uci'<iac

221

P1so ELEVADO
OCMARA PLENA
~n un Jug..lr

la organi/,1
1cluso hab..

modo rdd t
qut! un..
entro de in
nte peligro
~

)na5,

o bit.~

adem.is, d
dismmun
o del centro
s altamen ll'
que no que-

planchado,
la orient.J.
rosos a lo...
los grandes
pueden ser
1inarse por
uni
les y pan e
'uturas. En
1o, se d~bc
iros.
><iguientc;

[n la antigedad era un requerimiento en todos los centros de cmputo tener


ptsoS elevados o pisos falsos. En la actualidad, COl\ los cambios de los sistrmas
de cmputo, este requerimiento slo es ne-cesario o deseable para macrocompuladoras, por lo que habr que verificar con el provredor la 1\ecesidad de contar
ron pisos elevado~. o bien la conveniencia de tener una mejor instalacin que
ruente con el cableado dentro del piso elevado.
Una de las ventajas de los pisos falsos es que permiten organizar el tendido
~- proteccin del c.1bleado del sistema, y facilitan el rcacomodo del sistema.
Adems, proveen de un excelente mtodo para llevar el aire acondicionado
cerca de las unidad~ del sistema, permitiendo la adicin o recolocacin de la~
rejillas de aire cuando son agregadas o recolocada' mquinas en la sala.
Un piso elevado debe ser capaz de soportar una carga uniforme, de acuerdo con las especHicacio1les del proveedor; tambi~" debe considerarse la capacidad de soportar u1lidades adicionales segn el potencial de crecimiento.
Se recomienda que el acabado del piso sea hecho con p lstico antiest~tico y
que la superficie del piso elevado tenga 45 cm de alto, cuando es usado como
cmara plena de ;me acondicionado. La altura del plafn, desde el p150 falso
terminado, debo! ~r de 2.4 m. Asimismo, los paneles del piso elevado dcb.!n
poder ser removidos fcilmente para permitir 1,, mstalacin del cableado del
sistema y ser de fcil limpieza con trapo hmedo o asptradora.

1 cada

nserguar

ARE ACONDICIONADO
El equipo de a m~ acondicionado es otro de los di,positivos que dependerJn del
tipo de computadora que se utilice y del lugar donde est instalado, para lo
cual se rccomumda verificar con el proveedor la temperatura mnima y mxima, as como la huml>dad relativa en la que dcb.!rn trabajar los cqui~.
Los duetos de aire acondicionado deben estar li mpios, ya que son una de
las principales causas de polvo.
Las instalaciones del aire acondicionado son una fuente de i1lcendio muy
frecuente, son su~ccptibles de ataques fsicos, especialmente a travs de los
duetos. Se deb.!n instalar redes de proteccin en todo el sistema de duetos, tan
to exteriores como interiores, y deber de contarse con detectores de humo que
indiquen la ~ible presencia de fuego.
Se recomienda que la presin de aire en la sala de cmputo sea ligeramente
superior a la de las reas adyacentes, pMa n.>ducir as la entrada de polvo v
suciedad.

SEGURIDAD
FISICA

222
CAPITULO 8
EVALUACION
DE lA SEGURIDAD

INSTALACIN ELCTRICA
Y SUMINISTRO DE ENERGA

ll
cquif
l.1dor
on (
nhca
carga

car <p

Proteccin del
sistema elctrico

Uno de los disposihv~ que deben de ser evaluados y controlados ron m.JI'W
cuidado es la instalacin ek~trica, ya que no solamente puede provocar falll!
de energa que pueden producir prd idas de informacin y de trabajo, sinoqut
es uno de los principales provocadores de incelldios.
El auditor debe au,iliar-.e de un especialista para t'valuar el adecuado fun.
cionamiento del sistema elctrico y el suministro de energa.
Los cables del sistema elt~ico deben t>star perfectamente identificados
(positivos, negati,os y herra fs1ca); lo ms frecuente es identificarlos por mtdo de colores (positivo, roo). !ben de existir conexiones indepen<lientes p.m
los equipos de cmputo; este cuidado se debe tener en las oficinas dond~ lvy
conL'ctadas terrninalt>s o m1croromputadoras, y adcm~s dt>ben estar idMbto
das, contar con tierra fsica~ lo cual proteger a los equipos contra un cortoru
cu ito en caso de una descarga. Se debe revisar que se cuente ron los plan<>< d

mstalacin elctrica debidamente actualizados.


Es comn en las oficinas que, al no tener ide1llificados los contactos para 1
computadoras, stos sean utili7..ldos para equipos que pueden producir p1oo
ya que utilizan grandi'S cargas de corriente, como fotocopadoras o aires am
d1oonados.
Las variaciones de energa en una lnea pueden ser causados por el enftldido o apagado de mquinas elt'ctricas, tales como motores, ascensores. eqmpos de soldadura, sistemas de aire acondicionado, etc. El flujo de corriente
un sistema de iluminacin puede producir "picos de rwdos" que podriant
Cl.'der el nivel de energa aceptable para alguna unidad del sistema. Porellot
alt,>mcllc recomendado que e l sistema elctrico uti li/ado en los equipos d.
informtica cuente con tierra ffsica, y de ser posible sistemas de corriente cootinua (uo-break) y estn aislados con contactos independientes y perfectamen
te identificados. En zonas grandes con cargas elctricas industriales o con ro"
d1ciones de entrada de potencia marginales puede ser nece5ario un aislanu.
to adicional para prevl'nir interrupciones de energa l.'n el sistema.
La tierra fsica debe t>star perfectamente in~talada de acuendo con las especificaciones del proveedor, dependiendo de la zona en que est mstalado el
equipo y de las caractersticas de ste.
Se debe tent>r una protL'Ccn contra roedori'S o fauna nociva en los cab!-s
de sistema elctrico y de comunicaciones. Es comn que los roedores se com.1n
e l p lstico de los cables, por lo que se d ebe tener cuidado de combatir esta faun.1
nociva, y tener la prt'Caucin de que el veneno o e l fumigan te que se use para
combatirla no provoque problemas al personal.
Los reguladores son diSpositivos elctricos que reducen el riesgo de tl'll!f
un accidente por los camb1os de corriente. D1chos protL'ctore. son rom!Uilt'It
construidos dentro de un sistema de corriente ininterrumpido UPS (Uninltrrllpliblr PllUvtr Supply Sy>lmr).

qul! e

comp
f,lx, y
tci<.'vi
no p n
<apac
v cor.
T.
'., m.
la d1'i1
ele' ar
una b
pocol
ttcamc

u
gas o !

rrum (
mvt'le
p1d0.

u
sea d e
tl\ o d
l:Otrl

t,,,, e

rrumF
p<.ri~

de hol
mi1ci
8
zona ~

lntern
nocor
mayor

archiv
presot
Er
maba1
l:OS00

do se 1
E~

sus di

)n mayor
..:ar fallas
sino que
oado funrtificados
; por mentes para
mde hay
lentificacortocir!anos de
.para las
:ir picos,
'eS acon-

lencen~. equiiente de
ran exrello es
pos de
ntecon:tamenon conlamien
lSespeuado el
; cables

coman
a fauna

se para
e tener
unen te
tmtpti-

Los reguladores que existen en el mercado pueden funcionar para vanos


equ1pos, o bien estar Jjntados para un reducido nmero (parecidos a los reguladores existentes para las casas). Si M.' til'ne un regulador para toda la instalacin de informtica (incluyendo terminok'S y microcomputadoras), se de~ vcrificM y controlar que el nmero de equipos cont'Ctados sean acordes con las
cargas y especificaciones del regulador. Si son equipos pequeos se debe verificar que e l regulador sea suficiente para el nmero de equipos conectados, ya
que es muy frecuente en las oficmas que se conecte al regulador no solamente la
computadora personal, sino otros dispositivos perifricos, como impresora o
fax, y que se llegue hasta conectar otro tipo de equipo elctrico como radios o
tele\isores. Esto puede provocar dos problemas: el primero es que el regulador
no proteJa a todos los <.'qUipos, ya que .'1 R'quenm1ento elctrico sobrepa"' sus
capaCidades, y el otro es que se puede provocar una sobrecarga en los contactos
) consecuentemente una posibilidad de mcend1o.
Tambin se debe tener cuidado en adqu1rir reguladores que tengan un nivel m.<Jmo y un mnimo, ya que existen algunos que en caso de una sobrt'Carga
),\ dismmuyen hasta el nivel acept.lblc, pero SI exiSte una baja de corriente no l,l
elevan a niveles mnimos aceptables. En ocas1ones perjudica ms a un eqUipo
una baJa de energa prolongada, que no l'S detectada y provoca que el C<lUIpo contine prend ido en un nivel bajo, que un,l sobrecarga, que hace que autom.l
ticamente el regulador o equipo ~e ap.tgue.
Uno form a pa ra asegurarnos di' quC' u11 rtgu lildor actuar en una sobr0car~
gas o en bajos niveles, es contar con un regu lador que tenga un s is tema no interrumpido (t~o-break), ya que en caso de que exist.l una variacin que pase los
niveles mnimos y mximo~~ autom,Hicamentt.' t.tntrar el sistema no inttrrum
p1do.
Un sistema de energa no interrump1do (UI'S) consiste en un generador, ya
-.,a de batera o de gas, que hace interfa..e entre la energa elctrica y el dispositivo de entrada de energa elctrica a la computadora. Dar una consistencia a la
corriente elctrica que hace funCionar a l.> computadora en caso de haber un,t
falla en el abastecimiento de l'ncrga l'll'ctnca. El sist!'ma de energa no mt<'rrumpoble {UPS) pro,ee de energa elt'ctrica a la computadora por un cierto
periodo; dependiendo de lo sofisticado que sea, la corriente elctrica puede ser
de horas o de algunos minutos, de ta l forma que permita respalda r la informacin.
Es conveniente evaluar la probabilid,ld de <JUC no se tenga corriente en la
ton,\ en la que se trabaja, para dctermin,lf e l tiempo que necesita el sistema no
interrumpido. Tambin se deben tva luar 1~ problemas que puede provocar el
no contar con electricidad y las prioridades y necesidades que se tienen. En la
mayora de los casos se necesita un d(ttrminado periodo para respaldar los
archivos de computadoras per<;onalcs, y se puede esperar para utilizar la om
pr<'"lra.
En el caso de sistemas de alto ne-.go o e<><. tOSO'-, como por eJemplo un sistema banca no, no solamente se de~ contar con Sistemas de reguladores y d&:triCOs no mterrumpidos, sino tambin con planta.' de lw: de emergencia, para ruando se pierda la energa elctrica por un periodo prolongado.
En algn momento tal ve exi,ta la nt'R'Sidad de apagar la computador,\ y
""dispositivos perifricos en caso de qul' el centro de cmputo donde e en-

223
SEGURIDAD
FISICA

Reguladores

224
CAPITULO

6
EVALUACIN
DE LA SEGURIDAD

cuentre la computadora se incend ie o si hubiera una evacuacin. Los switch de


emergencia sirven para este propsito: uno en el cuarto de mquinas y el otro
cerca, pero afuera del cuarto. stos deben ser claramente identificados con Ull
letrero, accesibles e inclusive estar a salvo de gente que no tiene autorizacin
para utilizarlos. Los switch deben estar bien protegidos de una activacin aro.
dental.
Los incendios a causa de la electricidad son siempre un riesgo. Para rcdu
cirio, los cables deben ser puestos en paneles y canales resistentes al firego. Estos canales y paneles generalmente se encuentran en el piso del centTo de cmpu
to. Los cables deben estar adecuadamente aislados y fuera de los lugares de
paso del personal. Se debe cuidar no slo que los cables estn aislados sino
tambin que los cables no se encuentren pnr toda la oficina.
Los circuitos ramificados para la iluminacin y los sistemas de aire no debern estar conectados a los tableros de potencia utilizados por el sistema.
El proveedor debe proporcionar un tablero de distribucin, el que deber
contar con interruptor general, vol ti metro, ampermetro, frecuentnetro e interruptor individual pnr cada una de las unidades que configuren en el sistema.
El tablero debe ubicarse en un lugar accesible y cada interruptor debe cs!.lr
debidamente rohtlado para su fcillocaijzacin.

SE
Es irnf
el da,
d u ran
El

dcbei
organ:
perso1

i ngre~

SI

re

tE

Co

je
p,

ti o

SEGURIDAD CONTRA
DESASTRES PROVOCADOS
POR AGUA

P'

tr.

ta

t\(

Los centros de cmputo no deben colocarse en stanos o en reas de planta


baja, sino de preferencia en las partes altas de una estructura de varios piS<:<;
aunque hay que cu idar que en zonas ssm icas no queden en lugares donde cl
peso ocasionado por equipos o papel pueda provocar problemas.
Se debe evaluar la mejor opcin, dependiendo de la seguridad de acceso al
centro de cmputo, cuando en la zona existen problemas de inundaciones oson
ssmicas. En caso de ser zona de inundaciones o con problemas de drenaje la
mejor opcin es colocar el centro de cmputo en reas donde el riesgo de inundacin no sea evidente.
Algtmas causas de esto pueden ser la ruptura de caeras o el bloqueo del
drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputo es
wta decisin importante, as como considerar el nivel del manto fretico.
Debe considerarse el riesgo que representa el drenaje cuando el centro de
cmputo se localiza en un stano. Deben insta larse, si es el caso, detectores de
agua o inundacin, as como bombas de emergencia para resolver inundaciones inesperadas.
Otro de los cuidados que se deben tener para evitar daos por agua es po
seer aspersores contra incendio especiales que no sean de agua.

ce
fe
el
cr
ci

SE

P'

E:

bt
te

pd

la
A

C(

S<

e'

eJ

225

SeGURIDAD DE AUTORIZACiN DE Accesos

SEGURIDAD
FiSICA

utorizacin

acin acci-

Para redu1fuego. Esdecmpu lugares de


slados sino
aire no destema.
que deber
netro e in te~ el sistema.
r debe estar

Es importante asegurarse que los controles de acceso sean estrictos durante todo
el da. y que stos incluyan a todo el personal de la organizacin, en especial
durante los descansos y cambios de turno.
El personal de informtica, as como cualquier otro ajeno a la instalacin, se
debe identificar antes de entrar a sta. El riesgo que prov iene de alguien de la
organizacin es tan grande como el de cualquier otro visitante. Solamente el
personal autorizado por medio de una llave de acceso o por la gerencia debe
ingresar a dichas instalaciones.
En los centros de cmputo se pueden utilizar los siguientes recursos:

Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe


ser difcil de duplicar.

Puerta de combinacin. En este sistema se usa una combinacin de nmeros para permitir el acceso. La combinacin debe ser cambiada regularmente o cuando el empleado sea transferido o termine su funcin laboral dentro
de ese centro de cmputo. Esto reduce el riesgo de que la combinacin sea
conocida por gente no autorizada.
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico magntica como llave de entrada. Un cdigo especial interno en la taxjeta es ledo por un sensor activando el seguro de la puerta.
Puertas sensoriales. Son activadas por los propios ind ividuos con alguna
parte de su cuerpo, como puede ser la huella dactilax, voz, retina, geometra de la mano o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visitantes indicando su nombre, su compaa, la razn para la visita, la persona a la que visita. El registro se encuentra en la recepcin del centro de
cmputo. Es importante que el visitante proporcione una identificacin con
foto (licencia de manejo o credencial), ya que de otra forma podra inventar
el nombre y no se tendra seguridad. Los empleados deben de portax la
credencial de la empresa con foto, la cual adems de servir de identificacin, se utilizax para sealax las reas de informtica a las cuales tiene
autorizacin de entrar.
Videocmaras. stas deben ser colocadas en puntos estratgicos para que
se pueda monitorear el centro. Los casetes deben ser guardados para su
posible anHsis.
Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompaados por un empleado responsable. Se consideran visitantes: amigos, prov~>edores, ingenieros de mantenimiento y auditores externos.
Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se trata de dos puertas, donde la segtmda slo se pueda abrir cuando
la primera est cerrada.
Alaxmas. Todas las reas deben estar protegidas contra robo o accesos fsicos no autorizados. Las alarmas contra robo deben ser usadas hasta donde
sea posible en forma discreta, de manera que no se atraiga la atencin hacia
este dispositivo de alta seguridad . Tales medidas no slo se deben aplicar
en el centro de cmputo sino tambin en reas adyacentes.

Puertas
de seguridad

Sedeb

226
CAPiTULO&
EVALUACIN
OE LA SEGURIDAD

DETECCIN DE HUMO
Y FUEGO, EXTINTORES

Detectores
de humo

Equipos contra
incendio

Los detectores de fuego y humo se deben colocar tomando en cuenta la w.:


o no con los aparatos de aire acondicionado, ya que stos pueden difnnd11
ca lor o el humo y no permitir que se active e l detector.
El que se elija deber ser capaz de detectar los distintos tipos de g=q
desprenden los cuerpos en combustin. Algunos no detectan el humo o e!
por que proviene del plstico quemado que se usa como aislante en electl'
dad, y en consecuencia los incendios ocasionados por un cortocircuito tal 1
no sean detectados.
Los de tectores de humo y calor se deben instalar en el centro de cmpu
en las reas de oficina, incluyendo el depsito de papelera y el permetrol<i
de las instalaciones. Es necesario colocar detectores de humo y de calor bajo
piso y en los conductos de aire acondicionado.
Las alarmas contra incendios deben estar conectadas con la alarma C!!n
del lugar, o bien directamente con el departamento de bomberos.
La orgaruzacin se debe cerciorar que los controles de seguridad cow
incendios satisfagan los estndares mnimos del departamento de bomben~
La documentacin sobre los sistemas, la programacin y las operadoll!l
necesitan una proteccin contra incendios y debe tenerse un sistema de ""P"
do especfico en el plan de contingencias. Se deben establecer procedimien'"de respaldo que garanticen la actualizacin de toda la documentacin de marr
ra rutinaria; las copias de seguridad se deben almacenar en wl lugar alejado,
como las copias de segu ridad de los programas y los archivos, los cualesdellm
estar debidamente actualizados, documentados y fechados, para cuando !e
requeridos.
Debe existir un sistema de deteccin de humo por ionizacin para '"''
anticipado. Este sistema debe hacer sonar una alarma e indicar la situacin !l..
detector activado. El sistema de deteccin no debe interrumpir la corriente~
energa elctrica al equ ipo de cmpu to. Se debe contar con un dispositivo 11\lnual de emergencia para cortar el sistema elctrico y el aire acondicionado
deben instalarse en cada salida del centro de cmputo.
Se deben colocar en lugares estratgicos del centro de cmputo extintO!<'
porttiles de CO (recomendable para equipo elctrico). El equipo para pooo
respirar debe estar a la mano, tanto en el rea de cmputo como para elnsod<
los bomberos en caso de incendio. Se deben sealizar las salidas de emerger.:u
(es conveniente que este sealamiento se encuentre en la parte inferior, cerca~
al piso, ya que en caso de humo slo podrn ser visibles en la parte inferior
En cuanto a los extintores, se debe revisar el nmero de stos, su ca pacida.
fcil acceso, pesos y tipo de producto que utilizan. Es muy frecuente qut~
tengan extintores, pero puede suceder que no se encuentren recargados o b.o
que sean de tan dificil acceso o de Wl peso tal que sea difcil utilizarlos.l~
extintores deben estar a la altura o tener un peso proporcional al de una muj!J
para que pueda utilizarlos.

vocar

ma.~

gases tx~
Tamo
dio y si h<
das de err
Los
produce!]
Los ~
falso, rep;
control e~
dt O a 60
boquilla)
permitir
que el m
los equi
Es ne
en caso<:

mente p
de su u
d<.'bcn hJ
Las
debe co
Esta sal
cesaras

propio
en arm

dos hor

ala cercana
t difundir el
le gases que
Jrno o e l va

en electricicuito tal vez


~e cmputo,
metro fsico
calor bajo el

arma central
ridad contra
bomberos.
operaciones
1a de respal,cedimientos
ndemane11' alejado, as
:uales deben
cuando sean
n para aviso
situacin del
corriente de
positivo m a
tdicionado y

lo extintores
>para poder
ara el uso de
e emergencia
~rior, cercano
te inferior).
ru capacidad,
uente que se
gados o bien
ilizarlos. Los
de una mujer

Se debe cuidar que los de extintores no sean inadecuados, q ue puedan pro\'OCa!l' mayor perjuicio a las mquinas (extintores lquidos) o que produzcan
gases txicos.
Tambin se debe evaluar si e l personal sabe usar Jos equipos contra incendio y si ha habido prcticas en cuanto a su empleo; que existan suficientes salidas de emergencia, debidamente controladas para evitar robos.
Los materiales ms peligrosos son las cintas magnticas que, al quema!l'se,
producen gases txicos, y el papel carbn, que es altamente inflamable.
Los detectores de ionizacin del aire deben colocarse en el techo y en el piso
falso, repartirse de manera uniforme y estar conectados al tablero del equipo de
control contra incendio. En este tablero se localiza un reloj que puede calibrarse
de Oa 60 segundos; para provocar un disparo de gas debe jalarse a travs de
boquillas de aspersin estratgicamente colocadas en el techo de la sala, para
permitir la evacuacin d el personal y desconectar el sistema. Se debe verificar
que el material utilizado para extinguir los incendios no provoque problemas a
los equipos electrnicos.
Es necesario definir y documentar los procedimientos que se deben seguir
en caso de incendio. Los planes de evacuacin del centro d eben estar plenamente probados y docu mentados. Adems, se debe entrenar a l personal acerca
de su uso, ya que con frecuencia muchos empleados no saben exactamente qu
deben hacer en caso de incendio.
Las cintas y discos magnticos deben a lmacenarse en una sala aparte y se
debe contar con un acceso al rea en donde se localiza el equipo de cmputo.
Esta sala debe contar con todas las condiciones ambientales y de seguridad necesarias, ya que la informacin almacenada al tiene ms importancia que el
propio equipo de cmputo. Las cintas y d iscos magnticos deben almacenarse
en armarios con pa!l'edes fabricadas especialmente para resistir por lo menos
dos horas de fuego.

TEMPERATURA y HUMEDAD
Algunos equipos grandes de cmputo (mainframes), o bien las computadoras
personales que son usadas en zonas muy clidas o desrticas, necesitan de un
sistema de aire acondicionado d iseado para estar en operacin constante, con
base e n los sigu ientes parmetros:

Disipacin trmica (6TU). La disipacin trmica de cada unidad de sistemas es mostrada en unidades trmicas britnicas por hora.
Movimiento de aire (CFM). Los movimientos de aire se muestran en pies
cbicos por minuto.
Prdidas por transferencia de calor. Existen prdidas por transferencia de
ca lor, por las siguientes curvas: n) A travs de paredes, pisos y techos, o por
la iluminacin; b) diferencias en temperatura entre la sala de cmputo y
reas adyacentes, y e) ventanas expuestas a los rayos del sol.

227
SEGURIDAD
FiSICA

228
CAPiTuLO

EVALUACi~
DE LA SEGUAIOAD

Los cambro~ de temperatura durante la operacin del computador


ser disminuidos. La variacin cclica de temperatura sobre el rango c,m
de operacin no debe na li7arsc en menos de ocho horas.
La di~ipacin trmica, el movimiento de aire, as como los mnimos y"
mos de tempera tu m y humedad permitidos deben ser especificados por~p
veedor del equipo, aunque la temperatu ra ideal rccome11dada es de 22"C.C..
neralmente la hum~d,ld debe ser agregada, ya que al enfriar el aire '('l<'mu..
la mayora del vapor de agua por condensacin.
Se recomiend.1 que se instalen instrumentos registradores de tempmhc
humedad. Dichos instrumentos son necesarios para prove<)r un conhnuo
tro de las condrcone:, ambientales en el rea del eqUipo.
Los duetos del aire acondicionado deben estar limpios, ya que son Ulll
las prindp.1les caus.1s de polvo, y se habr de contar con detecto"" de
que indiquen la posible presencia de fuego.
Tomando en cuenta lo anterior, en el siguiente cuestionario se cort-.1
las caracterMica nect>sarias para evaluar una adecuada seguridad lsrca

11

12.

13

UBICACIN Y CONSTRUCCIN DEL CENTRO DE CMPUTO

1. El edificio donde se encuentra la computadora est situado a salvo de:

En
14.

Inundacin?
Terremoto?
Fuego?
Sabotaje?

15.
16.

2. El centro de cmputo da al exterior?

NO

17.

3. Describa brevemente la construccin del centro de cmputo; de preleret"Oa


tomando en cuenta el material con que fue construdo. asl como et equco
(muebles, sollas, etc.) del centro.
19

4. nene el cuarto de mqu~nas una instalacin de escaparate y, si es as.


pueden ser rotos los Vidrios con facilidad?
s
o

20

5. Est el centro de cmputo en un lugar de alto trfiCO de personas?

21

SI

NO

6. Se tiene materiales o paredes inflamables dentro del centro de cmputo?


SI

NO

7. Se Uene paredes que despiden polvo?

SI

NO

8. Se bene paredes que no estn adecuadamente se radas?

SI

NO

9. Se bene grandes ventanales orientados a la entrada o saltda del sol?


si
1O. Ex1ste lugar sul!c1ente para los equipos?

22

2<

NO
NO

2!

~tador

deben

ngo completo
l imos y mxi
Jos por el pro-

1de 22"C. Gcre se remueve


lemperatura y
regs-

)ntinuo

"'son una de
)res de humo
se consignan
td fsica:

11. Est sobresaturada la instalacin?

alvo de:

SEGURIDAD
FfSICA

Almacenamiento de equipos magnticos.


Si
NO
Formatos y papel para impresora.
si
NO
Mesas de trabajo y muebles.
Si
NO
rea y mobiliario para mantentmiento.
si
NO
Equtpo de telecomunicacones.
Si
NO
rea de programacin.
Si
NO
Consolas del operador.
Si
NO
rea de recepcin.
SI
NO
Mocrocomputadoras.
SI
..o
Fuentes de poder.
Si
..o
Bveda de segundad (bveda ant11ncendto bao mxima proteccin).
si
NO
PISO ELEVADO O CMARA PLENA
SI

NO

SI

NO

SI

NO

SI

NO

En caso afirmativo:

14. Est limpia la cmara plena?


15. Es de fcil limpieza?
16. El piso es antiesttico?
AIRE ACONDICIONADO

17. La temperatura en la que trabaan los equipos es la recomendada por el


proveedor?
SI
NO

18. Los duetos del a~re acondtetonado cuentan con alarmas contra tntrusos?
si

19. Los duetos de aire acondicionado estn ltmptos?


SI

NO

20. Se controla la humedad de acuerdo con las especificaciones del proveedor?


SI

NO

es asf,
NO

NO

mputo?
t.O

NO

2 1. De qu forma?
22 Con qu periodicidad?

INSTALACIN ELCTRICA Y SUMINISTRO DE ENERGA


23. Se cuenta con lterra fstca?

sol?

229

NO

12. Se !lene lugar previsto? ste es el adecuado para:

13. Se tiene piso elevado?

JTO

Si

$1

NO

'lO

24. La tierra fSica cumple con las dtsposictones del proveedor de equipos de
cmputo?
Si
NO

NO

25. Et cableado se encuentra debidamente instalado?

NO

230
CAPITULO 6
EVALUACIN
OE LA SEGURIOA()

26. los cables se encuentran debidamente identificados (positivo. negativo. be<rJ


flslca)?

si

NO

27. los contactos ele eqwpo ele cmputo estan debidamente IdentifiCados?
NO

SI

28 En los contactos. est idenhfJCado el posotiVO, negatiVO y toerra fisiea'


Si

HO

29. Se cuenta con los planos de instalacin elctnca actualizados?


si

N()

30. Se llene conec!ado a los contactos de equopo de cmputo otro equipo ello
trn1co?
s1
10
31 Se tiene Instalacin elctrica de equ1po de cmputo Independiente de ot:u
InstalaCIOnes elctncas?
SI
110
32. Se tiene precaucin contra fauna nOCiva?
33. El equ1po contra fauna nOCiva est deb1damente proteg1do y cu1dado p&.'l
no producir problemas al personal?
si
10
34 Se ub 1Za matenal anbesttoco?
35 Se tienen reguladores para los equ1pos de cmputo?

110

36. Se venf1ca la regulacin de las cargas mximas y mfnimas? si


En caso positivo. con qu periodocldad?

NO

37. Se tiene equipo inonterrumplble?


38. Dura el t1empo suficiente para respaldar tos arch1vos o para conbnua1 ti
proceso?
si
..:>
39. Se tiene generadores de comente Ininterrumpida?
En caso poSitivo. de qu topo?

SI

40. Se prueba su funcionamiento?


En caso pos1tovo, con qu periodicidad?

41. Se tiene switch de apagado en caso de emergencia en lugar visible?


si
42. los cables estn dentro de paneles y canales elctricos?
43. Exosten tableros de diSinbocin elclnca?

SI

N()

vo. tierra

231

SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA

NO

44. Se cuenta con alarmas contra Inundaciones?

Si

Idos?
'O

ca?
NO

NO

SEGURIDAD DE AUTORIZACIN DE ACCESOS


45. Se han adoptado medidas de seguridad en la direccin de informtica?
si
NO

6. Existe una persona responsable de la seguridad?


47 Existe personal de vigilancia en la lnstotucin?

NO

SI

po ele<:
HO

48. Se investiga a los vgolantes cuando son contratados dorectamente?


si
NO

:le otras
NO

49. Se controla el trabajo fuera de horario?

NO

50. Se registran las acciones de los operadores para evitar que realicen alguna

do para
NO

que pueda da~ar el sistema?

51. Se identifica a la persona que Ingresa?

si

si

NO

NO

SI

52. De qu forma?
53. Cmo se controla el acceso?

1uar el
NO
NO

Vigilante.
Recepcionista.
Ta~eta de control de acceso.
Puerta de combinacin.
Puerta con cerradura.
Puerta electrnica.
Puerta sensorial.
Registro de entradas.
Puertas dobles.
Escolta controlada.

Alarmas.

NO

Tarjetas magnticas.
Control biomtrico.
Identificacin personal.
54 Existe vigilancia en el cuarto de mquinas las 24 horas?

>

t()

( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
( )
SI

55 Se ha instruido a estas personas SObre qu medodas tomar en caso de que


alguien pretenda entrar son autonzacin?
si
NO
56 Son controladas las vosrtas y demostraciones en el centro de cmputo?
si

NO

NO

Cmo son controladas?

NO

SEGURIDAD
FfSICA

232
CAPITULO 6

57. Se reg1stra el acceso al cuarto de personas ajenas a la direCCin de lllf


maUca?
S<
>tJ

66.S

EVALUACIN
0E LA SEOt/AIOAO

(NO

DETECCIN DE HUMO Y FUEGO. EXTINTORES

67 SI
au

58. Existe alarma para:

Detectar fuego (calor o humo) en forma automhca?


AVIsar en forma manual la presencia del fuego?
Detectar una fuga de agua?
Oetectar magnetos?

No existe?

68 SI

( l

pa

( )

( l
)

69 SI

( l

pa

70

59. Estas alarmas estn:

au

En el cuarto de mquinas?
En la cintoteca y discoteca?
En las bodegas?
En otros lados?

(
(
(

60. Ex1ste alarma para detectar condociones anormales del ambente:


En el cuarto de mquinas?
En la cintoteca y discoteca?
En la bodega?
En otros lados?

71
si

( )
( )
)

72

Cules?
73

61. La alarma es perfectamente audible?

SI

74.
62. La alarma est conectada:
Al puesto de guardias?
A la estacin de bomberos?
A algun otro lado?

Otro.

75.
(

(
(
(

63. Existen extintores de fuego:


Manuales?
Automticos?
No ex1ston.

76.
(
(
(

77

64. Se ha adestrado el personal en e manejo de los eXhntores? s

NO

65. Los exhntores, manuales o automticos, funcionan a base de:


Agua.

( l

Gas.

Otros.

( )

78

de mfor-

233

66. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

'o

SI

NO

(NOTA: Verifique el nmero de extintores y su estado.)


67. Si es que existen extintores automticos, son actovados por los detectores
automticos de fuego?
si
NO

68. Silos extintores automticos son a base de agua. se han tomado medidas
para evitar que el agua cause ms dallo que el luego?

s1

NO

69. Si lOs extintores automticos son a basa de gas, se han tomado medidas
para evitar que el gas causa ms dao que el fuego?

SI

NO

70. Existe un lapso de tiempo sufociente. antes de que funcionen los extintores
automtiCOS, para que el personal:
Corte la accin de los extintores por tratarse de falsa alanna?
Pueda cortar la energia elctrica?
Pueda abandonar el local sin peligro de intoxicacin?
Es inmediata su accin?

SI

NO

si
Si
si

NO

NO

NO

71. Los interruptores de energfa estn debidamente protegidos, etiquetados y


sin obstculos para alcanzarlos?

Sl

NO

72. Saben qu hacer los operadores del cuarto de mquinas en caso de que
ocurra una emergencia ocasonada por fuego?

Si

NO

73. El personal ajeno a operacin sabe qu hacer en el caso de una emergenca

(IncendiO}?

SI

NO

74. Exste salida de emergencia?

fl()

75. Esta puerta slo es posible abnrta:


Desde el interior?
Desde el exterior?
Por ambos lados?
76. Se revisa frecuentemente que no est abierta o descompuesta la cerradura
de esta puerta y de las ventanas, si es que exsten?
s1
NO
77. Se ha adiestrado a todo el personal en la forma en que se deben desaloar
las instalaciones en caso de emergencia?
Si
NO
78. Se han tomado medidas para nMiffiiZar la posibilidad de fuego:

Ev1tando artculos inftamables en el cuarto de mquinas?


Prohbendo fumar?
Vglando y manteniendo el sistema elctroco?
No se ha previsto.

}
)
)
)

SEGURIDAD
FISICA

234
CAPITUlO 6
EVALUACIN
OE lA SEGURIDAD

79. Se tienen identificadas y sealadas las salidas de emergenc1a?


sA

11)

80. Se encuentran las sei\ahzaciones en la parte onfenor y supenor de los pa


sillos?
si
""

81 . Se cuenta con mscaras contra gases o sistemas porttiles de oxigeno?


si
""
SI

82. Se llene bveda contra incendio?

""

SEGURIDAD EN GENERAL
83. Se controla el prstamo de:
Elementos magnticos?
Equpo?
Software?

( )
( )

84. Explique la forma en que se ha clashcado la informacin: v1tal. esencaa~ no


esenoal. etctera.
85. Se cuenta con copias de los archivos en un lugar distinlo al de la oo~u
tadora?
SI
"
86. Explique la forma en que estn protegidas ffsicamente estas cop1as (bveoa.
cajas de seguridad, etc.) para garantizar su integndad en caso de lncendo,
.nundacio, terremoto. etctera.
87. So tienen establecidos procedimientos de actualizacin para estas coplas?
SI

88. lndoque el nurMro de copi8S que se llenen de dCUerdo con la forma en Cl


se aas1f1CB la 1nformac6n
89. Exste departamento de audtora Interna en la ins!ltucl6n?

10

SI

90. Este departamento de auditora ~ntema conoce todos los aspectos de los
sistemas?
s
NO

91. Qu llpos de controles ha propuesto?


SI

92. Se cumplen?

NO

1<0

93. Se audrtan los s1stemas en operaan?


94. Con qu frecuencia?:
Cada se1s melles.
Cada ai\o.
Otra (especifique).

( )
(

( )

235
95. Cundo se efectan modificaciones a los programas, a iniciativa de quin?:
NO

los

pa

NO

~no?

usuano.
Dtrector de nfonmbca.
Jefe de anlisis.
Programador.
Otras (especrt1que).

(
(
(
(
(

FISICA

)
)
)
)
)

NO
NO

96. La sohc;tud de modificaciones a los programas se hacen en fonma:


Oral.
Esenia.
(En caso de ser esenia solic1te fonmatos.)

97. Una vez efectuadas las modificaciones, se presentan las pruebas a los
interesados?

si

NO
NO

98. Exoste control estncto en las modfiC3CI009S?


compu-

99. Se revisa que tengan la fecha de las modificaciones cuando se hayan


efectuado?
si
NO

NO

100. Se venf;ca ident,hcaCI<I:


De la tenm,nai?
Del usuario?
No se pide identificacin.

( )
( )
( )

cop<as?
NO

NO

101 Se ha estabfecodo el mvel de usuano de la tnfonmacin?

en que

102. Se ha establecido un numero mx1mo de violaciones en sucesin para


que la computadora cierre esa lenminal y se d aviso al responsable de
ella?
1
NO
; de los
NO

103. Se reg1stra cada VIOlacin a los procedimientos con el fin de llevar esta
dsticas y frenar las tendenc1as mayores?

SI

NO

104. Ex1sten controles y med1das de segudad sobre las sigUientes operacaones?


NO
Cules son?
NO
NO

Recepcin de documentos.
Informacin confidencial.
Captacin de documentos
Cmputo electrniCO.
Programas.
Discotecas y clntotecas.
Documentos de salida.
Archivos magnticos.

)
)
( )
( )
( )
( )
( )
( )

(
(

SEGURIOAil

236

Operacon del equrpo de computacin.


En cuanto al acceso de personal.
Identificacin del personal.
Pohcla .
Seguros contra robo e incendio.
Caas de seguridad.
Otras (especifique).

CAPITuLO 6
EVALUACIN

DE LA SEGURIDAD

)
)
)
)

( )
(
(

)
)

SEGURIDAD EN CONTRA DE VIRUS


Un virus de computadora es un programa o serie de intruccione. que al~
tar otros programas pro\'oca que se modifiquen sus mstruccion~. o bren qut
infectar los datos y la informacin provoque variaciones en 1<> re:.ultados
cialmente previstos. Su comportamiento y consecuencias pueden evoluaca
mediante un nmero finito de instancias.
Los daos tuc puede provocar un virus son de muy diversa ndole, por
uno de los principales e; el psicolgico, ya que muchos usuarios, cuando ti""
cualquier tipo de problema, lo primero que piensan es que es un virus, srneuminar si se equivocaron o s i el sistema tiene problemas (bugs), lo primero en que
se piensa es en un vi1us.
Los daos ms comunes son los siguientes:

Oal'los de virus

Suplantacin de datos.
Eliminacin aleatoria.
Destruccin de la produccin.
Modificacin de lo; cdigos de proteccin.
Bloqueo de redes.
Cambios d.> mformacin entre usuarios.
Por medio de un canal encubierto, cambiar, acce<;.u o difundir cLm~sd!
seguridad.
Modificacin de informacin de salida o de pantallas.
Saturacin, reduccin de disponibilidad o cambio de parmetros.
Combinacin dl' los anteriores.

En un principio los virus infectaban la parte protegido de la memoria o de lo


p rogramas; dcspu6s, se extendieron, en el sentido de que no slo infectdban al
usuario, sino o otros posibles usuarios de la info rmacin. Esto se presentaba pri~>
cipalmente en l~s redes y en las bases de datos, pero en la actualidad tambin SE
tiene el problema de persistencia, ya que el virus puede estar encapsulado, has~
que suceda un evento (fecha), o bien tenga posibilidades de irectar al 'i>tem.
Para evitar que los virus se diseminen por todo el sistema computanzadv
por las redes se debe:

Utilizar paquete!> y programas originales.


Limitar la utili?.lcin en comn. Slo permitir el acceso,, la parte del''*
ma o del programa autorizado para cada usuario.

Sed
el p
clp

Limitar el trnsito. Evitar que todos los usuarios puedan navegar por todos
los sistemas. Restringir el trnsito entre usuarios o entre sistemas (lo cu al es
difcil y va en much os casos en contra de la filosofa de uso de la informacin y de comunicacin).
limitar la programacin y controlarla adecuadamente.
El problema de los virus en muchas ocasiones son los ciclos interminables;

ya que se desinfecte u na parte del sistema o algunos usua rios, el virus puede

al infecn que a l

dos in ilucionar
le, pero
o tiene n
sin exa-

)enque

seguir latente e infectar nuevamente a 1sistema. Esto sucede sobre todo cuando
el sistema se encuentra en operacin. Para poder tener u na cura parcial se debe
di,idir el sistema o los usuarios de tal forma que se pueda desinfectar una parte
sin suspe nder totalmente la operacin del sistema. Por lo anterior se recomienda que a la primera posibilidad de virus se apague el sistema y se evale hasta
<er desinfectado, lo cual a su vez puede provocar tambin el problema psicolgico de estar pensando que la primera falla que se tenga, se trate de un virus.
Se debe tener vacunas contra virus; el problema es que generalmente estas
vacunas no cubren todos los virus, por lo que se requiere achta lizarlas constantemente.
Otra forma de protegerse es a travs de analizadores de virus. Estos pro
gramas detectan la existencia de un virus en el momento de la inicia lizacin
(llootstrap) de las computadoras personales. Estos analizadores presentan p roblemas, ya que son costosos y poco efectivos para todos los diferentes virus,
aunque son actualmente muy populares en el mercado. Un analizador realmente efectivo debe detectar e l virus antes de que ataque.
Entre los problemas en la utilizacin de ana lizadores y de vacunas contra
virus estn:

aves de

o de los
aban al
oa prin>bin se
o, hasta
;tema.
izado o

Son efectivos solamente contra virus conocidos o patrones de ataques cono


cid os.
Utilizan mu chos recursos y tiempo para de tecta r v irus e n red es pa ra anali
zar un sistema en busca de los patrones conocidos.
En algunos de los casos, los ataques vienen del interior de la organizacin.
Para que puedan seguir siendo efectivos se deben actualizar constantemente.
Algunos no son efectivos para de tectar virus evolutivos, los cuales cada da
son ms frecuentes.
Algunos p roducen resultados positivos falsos, creando efectos psicolgicos.
Las personas no utilizan los programas analizadores de manera confiable.

PRoTECCIONES coNTRA VIRUS


Y ELEMENTOS A AUDITAR
Se debe evaluar y auditar que todos los paquetes que se utilicen sean originales;

el siste-

el problema est en descubrir qu elemento puede servir para determi nar que
el paquete es orig inal.

237
SEGURIDAD
ENCONffiADE
VIRUS

Analizadores
de virus

238
CAPITUl.O e
EVALUACIN
OE l.A SEGURIDAD

Para ello se tiene la f~ctura, el disquete o rigina l, tl monu~ l. la hoja drg


ta, aunque en algunos casos se compra la au tori..~:acin corporativa (licero.
para el uso de un nmero determinado de copias, lo cual d ificulta evalua
todas las copias que se tienen sean autorizadas.
En Wl principio, los virus se encontraban principalmente en los progr
de juegos, por lo que se deben eliminar los juegos en todo los equipo- ele
oficinas, ya que <to,, en primt>r lugar, no tient>n por qu estar en rompu
para trabajo y, en segundo, esto disminuye la posib1hdad de mfectar las
tildoras.
Se debe verificar que todas las computadoras tengan ana lizador
desinfectadores de vi rus instalados y actualizados.
Los sistemas deben estar debidamente aislados, de ta l forma que un <i
ma slo p ueda accesar 1.1 in formacin que requiera y no pueda entrar a
s istema o base de datos.
Se debe prohib r la utilizacin de diquetes externos, a menos que sean
damente probados y desmfectados.
Se debe vigilar como parte esencial y primaria que exista una defen-..
Ira la introduccin de algn v1rus, y en caso dcqut> se nfl'Cicn las comput
tener un adecuado procedimiento para desinfcct.ul~~Deben de existir polticas y procedimientos de actuacin en caso d
exista un virus, tanto para computadoras personalet. como para redes, y la
ma de desinfectarlos y restau rar el sis tema (poltica de e ncuntralo, elimnalo
a ljate). En algunas portes se han creado los equ ipos conocidos como CER
(Computer Emergmcy Rr,,.orrsr Team: equipo de respu<>sta de emergencia
computadora), cuya funcin es preparar a la organi7acin para dar I"CSJ'U'
problemas relacionad"' con la computadora, lo' cuales tienen bajo su ""f"'>
sabilidad Jos planes de contingencia, emergencia y contra virus.
El equipo tiene la n.'SpollSilbilidad de detectar cualquier problema de'
capacitar a los usuari(h, determinar las precaudo~ tl'cnicas necesanas. y
gu rar que los sistemas tcruco:. y humanos funcionen adecuadamente en
de una emergencia.
Desafortunadamente, las leyes contra los virus, principa 1mente los m.1ha
sos, no han evolucionado a l ritmo de la tecnologra (se consid era delito slo cu.m
do la persona actu en forma maliciosa e intenciona l), y la dctecdn del ori
de los virus es cada da mJs complicada.

Internet
1nernet es Wla asombrosa creacin q ue ha reforzado nuestra economa; rep
scnta todavia un trabajo en m.1rcha, capaz de ser derrumbado con sorprend
te facilidad.lncluso los gig,1ntes del cibercomercio no son ms resistentes. TOO:
lo que se necesita es un bien dirigido ataque de degeneracin de servicios (DOS
por sus siglas en ingls) para causa r daos, al menos temporalmente.
La degeneracin dl'l servicio se hace por medio de plantar, primero,
software "esclavo en computadoras de terceras partes o zombies". En
momento, esos programas esclavos utilizan la capacidad de procesamientu dt

sus'"'"

dore' (
ataque
l n los

no .. es
vulnc~

Ce
de cab
ra~ la

vulne

odega(aJ1' (licencia)
raluar que
nogramas
po$ de las
putadoras
3SCOmpuoadores y
~un sisterar a otro

;ean debi-

fensa con'utadoras,
;o de que
;, y la forimnalo y
no CERT
encas de
spuesta a
u respon-

de virus,
tas, y asee en caso
>malido-

locuanlel origen

la; repreprendentes. Todo


os(OOS,

sus anfit(iones para enviar una torre de me nsajes destructivos a los servido res
que son su verdadero blanco.
En 1998, el Equipo de Respuestas a Emergencias Informticas (CERT) de
Estados Unidos comenz a prevenir a la comunid ad ciberntica sobre las incursiones de DOS, y admiti que: "No podrn prometer q ue esto desaparezca a
corto plazo."
La solucin es la proteccin de todo ciberespacio contra programas depredadores q ue reclutan a decenas y hasta cientos de mqu inas inocentes para l ll1
ataque d e DOS. Los proveedores de servicio de Internet debern instalar filtros
en los datos que transmiten, y los auditores debern cu idar que slo se utilicen
servicios de Internet con p roveedores que p roporcionen este servicio. Las agenas de seguridad debern introducir agentes zombies que husmeen en b usca
de informacin indeseada, o bien por medio de rompecabezas criptogrficos
que abnt111en a las mquinas agresoras.
Los lwckers malvolos, que intentan obtener ganancias financieras, o los
hackers conocidos como de sombrero negro, que intentan d ivertirse al echarle a
perder el da a un usuario de Internet, en la actualidad son combatidos por
medio de hackers de sombrero blanco, que trabajan en firmas d e segu ridad.
La misma conexin que hace a la red tan robusta, ta mbin la deja vulnerable al efecto del eslabn dbil de la cadena. La apertura y facilidad con que
millones de personas pueden compartir la informacin, tambin pone en peligro la intimidad. La mayorfa de los ataques no son diseados para introd ucirse
en los sistemas, sino simplemente para hacerlos ms lentos. Pero los allanamientos no son d ifciles y pueden venir ms problemas.
Si los datos no se pro tegen apropiad amente, la informacin personal que se
transmite en lnea deja a la Web vulnerable al robo de identidad. Los funcionarios estadounidenses admiten que atrapan a 10 por ciento de quienes tratan de
vulnerar o penetrar las computadoras del gobie rno.
Con un nmero creciente de conexio nes pe rmanentes, tales como mdem
de cable, los hackers malvolos podran husmear digitalmente por las cerraduras las vidas de las personas y la p rivacidad de las empresas.
Los hackers usan herramientas de software para merodear por el sistema, a
fin de encontrar debilidades que los ope rado res de redes no han enmendado.
Se est a merced de los administradores de sitios web y de provl>edores de
servicios de Internet para mantenemos a resguardo contra los defectos y remedios de segu ridad. Lo ms pelig roso es q ue los lwckers podran obtener empleos
legtimos en cualquiera de las organizaciones que han sido afectadas por ellos.
Por lo anterio r, para que el auditor se asegure que la informacin no sea tan
vulnerable:

Se debe utilizar siempre software antivirus y actualizarlo con frecuencia

para alejar programas destructivos.


No se debe permitir que comerciantes en lnea almacenen informacin d e
la empresa o de las personas.

l\ero, un
".En un

tiento de

Nt".A.>SU!ttk,

23 de febrero de 2000.

239
SEGURIDAD

EN COI'll'AA OE
VIRUS

La degeneracin
del servicio DOS

240

CAPTuLO 1
EVALUACIN
0E LA SEGURIDAD

Se debe utilizar contraseas difciles que combinen numeros y letra<,


deben cambiar con frecuencia.
Se deben utilizar diferentes contraseas para sitios ~n la red y aplicacion
para despistar a posible~ lrnckers.
Se debe utilizar la ver.1n ms actualizada dl'l na\'l'gador de red, sofu
de E-mail y olro' programas.
Se deben enviar los nmeros o informaon confidencial solamente a ''bOl
seguros; se debe bu...:ar el icono de candado o llave en el navegador.
Se debe confirmar que~ trata del sitio que se busc,l Hav que tener cwd
al teclear.
Se deben usar programas de seguridad para controlar los cookies quern
van datos de vuelta a los sitios wcb.
Se debe instalar software para inspeccionar el trJfico si se usa DSL u
mdem de cabl< para con<'Ctarse a la red.
No se deben abnr agregados de E-mail a menos que se conozca la fuetllf
del mensaje recibido.

SEGUROS

Capacidad
del seguro

Los seguros de los equipos en a lgunas ocasiones se d<jan en segundo trmin"


aunque son de gran importancia. Se tiene poco conodmiento de los riesgosq
entraa la computacin, ya que en ocasiones el ri<-.;go no l'S daro para lasCO"'
paas de seguros, deb1do a lo nuevo de la herramienta, a la poca e>penl'!>
existente sobre di'Sa,trl'S y al rpido avance de la ti'Cilologa.
Como ejemplo di' lo anterior tenemos las plins de S<'gUrDS contra d<'Stre-, ya que algunos conceptos son cubiertos por el pro\'eedor del seninod!
mantermiento, lo cual hace que .e duplique el "11\lrtl, o bll'n que sobre\'engaa
dl>saStrcs que no son norm.llcs en cualquier otro tipo de ambiente.
Se deben verificar las fl'chas de vencimiento de las plizas, pues puede,..
ceder que se tenga la pli/,1 adecuada pero vencida, y que se encuentre actual
Lada con los nuevos equipos.
El seguro debe cubrir todo el equ ipo y su instalacin, por lo que es prob.1blt
que una sola pliza no pueda cubrir todo el eqUipo con las diferentes caractl'l
licas (existe equipo que pu<>de ser transportado, como computadoras pcl'<l>N1<....,, y otras que no se pueden mo,er, como unidadl.,. de di'>C'O duro), por lo que
tal vez con\'enga tener dt"- o ms plizas por <;eparado, cada una con las espeoficaciones necesanas.
Se debe tomar en cuenta que existen riesgos que '-On difciles de e\'alu
de asegurar, como la negligencia.
El costo de los equ ipos puede variar, principa lmente en aquellos pase.qu;:
tienen grandes tasas de inOacin o de devaluacin, por lo que los segurosdelll'n
t'Star a precio de compra (valor de adquisicin de nuevo equipo con iguaks
caractersticas) y no a precio al momento de contratacin del seguro.
El seguro debe cubnr tanto daos causados p.>r factores externos (terremoto, inundacin, etc.) romo miemos (daos ocasionados por negligencia de b
operadores, daos debdos al a1re acondicionado. etc.!tt'ra).

de,
rarl'

varn
ront
dest
lo p
siste
pr.ic
1

cm

!
(

1
1

1
1

o
DE
F.n la
do a
cin
" en

C'otlp

1s, y se

Lo un

Tambin se debe asegurar contra la prdida de Jos programas (software),


de la ormacin, de Jos equipos y el costo de recuperacin de lo anterior.
SEGUROS
En el caso de los programas se tendr en cuenta en el momento de asegurarlos el costo de elaboracin de determinado equipo, el costo de crearlos nuevamente y su valor comercial. En el caso del personal, se pueden tener fianzas
contra robo, negligencia, daos causados por el personal, sabotaje, acciones
deshonestas, etctera.
Es importante que la direccin de informtica est preparada para evitar en
lo posible el dao fsico al personal, oficinas, equipo de cmputo, as como al
sistema de operacin. Adems, deber tener cu idado de que existan normas y
prcticas eficaces.
Como ejemplo y en forma genrica, por lo comn un seguro de equipo de
cmputo considera Jo siguiente:

fuente

ciones,
fhvare

a sitios
r.
Jidado
1ue en-

rmino,

os que
scomriencia
desasido de
engan
-de suctuali-

obable

Sienes que se pueden amparar. Cualquier tipo de equipo electrnico, como:


de cmputo, de comunicacin, de transmisin de radio y televisin, etc.
Con excepcin de los que formen parte de equipo especial en automviles,
camiones, buques, aviones.
Riesgos cubiertos. La cobertura bsica cubre contra todo riesgo de prdida
sbita, accidental e imprevista, con excepcin de las exclusiones que se indican en las condiciones generales de la pliza. Esta cobertura ampara riesgos como: incendio, rayo, explosin, nplosin, arcos voltaicos, cortocircuitos, sobretensiones, etctera.
Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso,
como son: terremoto y erupcin volcnica; huracn. cicln y tifn; equipos
mviles o porttiles; huelgas y motn; hurto.
Exclusiones. Las indicadas en las condiciones generales de cada seguro.
Suma asegurada. En todos los casos se tiene que reportar como suma asegurada el valor de reposicin de los equipos a asegurar (a valor nuevo sin
descontar depreciacin).
Primas, cuotas y deducibles. Dependen del tipo de equipo.
Indemnizacin en caso de siniestro. Las prdidas pa rcia les se indemnizan a
valor de reposicin (valor nuevo) y las prdidas totales a valor real (valor
nuevo menos depreciacin).

ICters-

rSonalo que
!Speci-

tluar y

es que
deben
guaJes
-remo-

de los

CoNDICIONEs GENERALES DEL sEGURO


DE EQUIPO ELECTRNICO
En la pliza de seguro se certifica que, a reserva de que el asegurado haya pagado a los aseguradores la prima mencionada en la parte descriptiva, y con sujecin a los dems trminos, exclusiones, disposiciones y condiciones contenidas
o endosadas, los aseguradores indemni7.arn en la iorma y hasta los lmites
estipulados en pliza.

241

242
CAPITULO 6
EVAI.UACION
DE LA SEGURIDAD

Una vez que la insta lacin inicial y la puesta Cll marcho de los bienesaS<gu
rodos haya finalizado satisfactoriamente, este seguro se aplica, ya sea quel
bienes estn opera!ldo o Cll reposo, o hayan s ido dcsmolltados con el props1
de ser limpiados o reparados, o mientras sean trasladado;, dentro de los pmt..
el.tipulados, o mientras se e;,tn ejecutando las operaciones menonac
durante el remontaje subsiguiente.

pt'rdd
t~~tar;..\
no~

Cond

Exclusiones generales

Lo~ aseguradore~

no indcmllizarn a l asegurado espccto a prdidas o da


directa o indirectamelllC causados o agravados por:

Guerra, invasin, actividades de enemigo extranjero, hostilidades (ro:


sin declaracin de guerra, guerra civil, rebelin, revolucin, I1.SUrl'em.'ll
motn, tumulto, huelga, paro decretado por el patrn, conmoi'l ri\il.
der militar o usurpado, grupos de personas maliciosas o personas adu.
do a favor o en conexin con cualquier organizacin poltica, conspira<l.
confiscacin, requisicin, destruccin o dao por orden de cualquier~
bierno de jure o de fncto, o de cua lquie r autoridad pblica.

"

l.a

eu
qu
El

sa

F.

Reaccin nuclear, radiacin nuclear o contaminacin radiactiva.

Acto intenciona l o negligencia man ifiesta del asegurado o de sus reprtscrtantes.

La compaa aseguradora en ningn caso ser responsable por: prdidl


daos materiales, perjuiciO!> o gastos causados, directa o indirectamente. rx
falta de funcionamiento o por (all,ls, errores o deficiencias de cualquier d;,p
tivo, aparato, mecani5mo, equipo, instalacin o sistema, sea o no propiedad del
asegurado o que est bajo control o simple posesin, como consecuencia d; ~
incapacidad de sus com ponentes fsicos o lgicos.
Para efectos de esta cl usula, se entiende por componentes lgicos lossisll>mas operativos, prog ramas, bases de datos, lneas de cdigo, aplicaciones v
dems elementos de computacin electrnica, tamb in denominados softwar~
y por componentes fsicos, los dispositivos electr"icos o electromecnicos. .,.
les como procesadores, microprocesadores, tarjetas de circuitos impresos. dt.
co;., unidades lectoras, impn.>soras, reproductoras, conmutadores, equipos
control y dems elementos conocidos bajo la denominacin genrica de hanl-

A
g

ware.
No obstante lo anterior, y nica mente aplicable para los riesgos de inrndio, rayo y 1o explosin, cada de aviones (u objetos cados de ellos), vehcul<>
y humo, granizo, terremoto; erupcin volcn ica e inundacin, un dao diredo
ocurrido de forma accidental, sbita e imprevista, gc11cmdo consccuencialml'!llt
por las prdidas o da1ios <:'xcluidos por la presente clu~ula, gozar de coberlu
ra, s iempre y cuando se establezca como amparado en las condiciones del con
trato de seguro.
En cualquier accin, litigio y otro procedimiento en el cual los asegurad"""
alegaran que, a causa de la~ di~posiciones de las exclusiones anteriores, alguru

noh
pu
rep
lo~

lSasegu' que los


1ropsito
;predios
nadas, o

prdida, destruccin o dao no estuviera cubierto por este seguro, entonces


estar a cargo del asegurado el probar que tales prdidas, destrucciones o daos s estn cubiertos por este seguro.

Condiciones generales
La responsabilidad de los aseguradores slo proceder si se observan
o daos

>s

(con o

:reccin,

:ivil poactuan:>iradn,
uier go-

~presen-

rdidas,
nte, por
disposi~ad del
::ia de la

ossiste:ioncs y
oftware,
licos, tasos, dislipos de
le harde incen!hculos
directo
almente
:obertudel conradorcs
alguna

cumplen fielmente los trminos de la pliza, en lo relativo a cualquier cosa


que debe hacer o que deba cumplir el asegurado.
El asegurado, por cuenta propia, tomar todas las precauciones razonables
y cumplir con todas las recomendaciones hechas por los aseguradores,
con objeto de preven ir prdidas o daos y cumplir con los requerimientos
legales y con las especilicaciones tcnicas del fabricante.
Los representantes de los aseguradores podrn en cualquier fecha razonable inspeccionar y examinar el riesgo, y el asegurado suministrar a los
representantes de los aseguradores todos los detalles e itormacioncs necesarias para la apreciacin del riesgo.
El asegurado notificar inmediatamente a los aseguradores, por telegrama
y por carta, cualquier cambio material en el riesgo y tomar a su propio
costo todas las precauciones adiciona les que las circunstancias requieran
para garantizar un funcionamiento confiable de la maquinaria asegurada.
Si fuera necesario, se ajustarn el alcance de la cobertura y 1o la prima,
segn las circunstancias. El asegurado no har ni admitir que se hagan
cambios materiales que aumenten el riesgo, a menos que los aseguradores
le confirmen por escrito la continuacin del seguro.
Al ocurrir cualquier siniestro que pudiera dar lugar a una reclamacin, segn esta pliza, el ase,'Uiado deber:

o
o

Notificar inmediatamente a los aseguradores, por telfono o telgrafo,


y confirmarlo por carta certificada indicando la naturaleza y la extensin de la prdidas o daos.
Tomar todas las medidas dentro de sus posibilidades para minimizar
la extensin de la prdida o dao_
Conservar las partes daadas y ponerlas a disposicin de un representante o experto de los aseguradores para su inspeccin.
Suministrar toda aquella informacin y pruebas documentales que los
aseguradores le requieran.
Jrormar a las autoridades judiciales respectivas, en caso de prdidas o
daos debidos a robo con violencia, asalto y 1o hurto_

Los aseguradores no sern responsables por prdidas o daos, de los cuales


no hayan recibido notificacin dentro de un determinado nmero de dias despus de su ocurrencia.
Una vez notificado a los aseguradores, podr el asegurado llevar a cabo las
reparaciones o reemplazos de prdidas de menor cuanta, debiendo en todos
los dems casos dar a un representante de los aseguradores oportunidad de

243
SEGUROS

244
CAPiTULO 6
EVALUACIN
OE LA SEGURIOAO

inspeccionar la prdida antes de que se efecten las reparaciones o alteraoones. Si el r~present,lnte d~ los aseguradores no Uevara a cabo la inspecci<n dfli
tro de un lapso considerado como razonable bajo estas Circunstancias, el
rado estar autorizado a realizar las reparaciones o rccmp1i'170S respectiv~
La responsabilidad de los asegurados con respecto a cualquier boen lSe!!Y.
rado bajo la pliza cesar; s i dicho bien contina operando desputfs de un
reclamacin, sin habt.!r sido reparado a satisfaccin de los asegu radores o soso:
realizaran las r~paracioncs provisionales sin consentimiento de los aseguradore;

ast,

El asegurado, por cuenta de Jos aseguradores, ha o y permitir reali<art~


dos aque llos actos que puedan ser necesarios o requeridos por Jos aS<'gur
dores para dcf~ndcr derechos o interponer recursos o para obtener ro.
pensaciones o indemnizaciones de terceros (que no estn asegurado<
esta pli7a), y respecto a Jos cuales los aseguradores tengan o tu\ierao derecho a subrogacin en virtud del pago de dichas comx-nsaci011<!
indemni7aciones por cualquier prdida o dao, ya sea que d1chos act01
cosas fueran o lleg.lsen a ser necesarias o requeridas antes o despu<; deqae
los aseguradores indemnizaran al asegurado.
Si en los trminos de la pliza surgiera alguna di(cr~ncia rc.pccto a la <u:r.
a pagar (habindose por otro lado admitido la responsabilidad), tales do
vergencias sern sometidas a la decisin de un rbitro designado pore:.:n
to por las partes en conflicto.
Los beneficios dcdvados de la pliza se perdern:
o

Si la informacin proporcionada por e l asegurado no correspondealai


realidades existentes, si la reclamacin fuera en alguna forma fraudu
l~nta, o si s~ hicieran o se emplearan declaraciones falsa~ para apo1aJ
la reclamacin.
Si al harer una reclamacin_ sta es rechazada por los aseguradores y
no se iniciara accin o demanda.

El
P
m

ol

p~

sir

p~

de
re
llc

PE
ci

o
p,
ni
di

m
<M

dt
di
p,
d

li
d
p
p

Cl

Daos materiales

Alcance de la cobertlora. Los aseguradores, en caso de que est pagada la po.i


z.a, se encuentre vigente y que la prdida o dao no se encuentren cspecficamen
excluidos, indcmni2a 1n al asegurado por tales prdidas o daos, en efectivo, o
reparando o reem pla1..ndolos (a eleccin de los aseguradores) hasta una suma
que por cada anualidad de seguro no exceda de la suma asegurada a~ignad"
cada bien asegurado en la pa rte descriptiva y de la cantidad total garantizada
por la p liza.

Exclusiones especiales
Sin embargo, los aeguradores no sern responsables, a menos que se estipwll
lo contrario ~n las plizas, de:

L.
m en
das
se en

rado-

nden-

El deducible ~tipulado.

ISegUlOS.

begu-

e una
o si se
dores.
!.ar

to--

~gura

comlos en
ln de~nes o
ctos o
le que

suma
es di-

escri-

ea las
audupoyar
es y si

plinente
ivo, o

suma

.adaa
izada

tipule

Prdida' o daos cauo;.1dos dol'ffta o indil'fftamcnte por resultantes de terremoto, t<:mblor, gol~ de mar por maremoto y erupcin volcnica, cidn
o huracan.
Prdida' o dao~ cau,.1dtl' directa o indirectamente por hurto, robo con o
san voolc:-noa )' 1o ao;.1lto.
Prdida'> o daoo- cau~dtl' por cualquier fallo o defecto existente al inicio
del seguro, que sean conocidos por el asegurado o por sus representantes
<L>!>pon'>abl~ d~ los boenl'S a~gurados, sin tomar en cuenta que dichos falltl' o dcfl>ctos fueran o no conocidos por los aseguradores.
Prdida'> o daos cauados directa o indirectamente por fallo o interrupcin en el aprovi.,ionamiento de comente elctrica de la red pblica, de gas
o agua.
Prdida; o daos que .can consecuencia directa del funcionamiento continuo (desgaste, cavilacin, erosin, corrosin, incrustaciones) o deterioro gradual debido a condiciones atmo>fricas.
Cualquier gasto incurrido con objeto de eliminar fallos operacionales, a
meno& que dicho& fallos fucrcn causados por prdidas o dao indemnizable
ocurrido a los bienes aseguradas.
Cualquier ga;,to cro;ado rCS)X'CtO al manten imiento de los b ienes asegurados; tal exclusin se plica 1,1mbin a las partes recambiadas en el curso de
dichas operacimws dc mantenimiento.
Prdidas o da'ios cuya rcspons,1bilidad recaiga en e l fabricante o el proveedor de lo; bient'' asegurado~. ya sea legal o contractualmente.
Prdidas o daos a equipos arrendados o alquilados, cuando la responsabi
lidad reca iga tnel propietario, ya sea legalmente o segn conveniodearrendamoento )/o mantenimiento.
Prdida o re:.pon<abilidadl'S consccucnciales de cualquier tipo .
Prdida' o daos a partes desgastables, tales como bulbos, vlvulas, tubos,
bandas, fusibll'S, scllos, cintas, alambres, c.1denas, neumticos, herramientas recambiable>, lente,, rodillos, grabados, objetos de vidrio, porcelana o
cermica a cualquier medio de operacin (por ejemplo: lubricantes, combustibl~, agentt>s qumiCO).
Ddcclo>t'Stdoro.., tale:. como raspaduras de superficies pintadas, pulidas o
bami,ad,ls.

Los ascguradore<; ser.in empero rcspon~bles re:.pecto a prdidas o daos


mencionados anterionnente, cuando las partes espeaficadas hayan sido afectadas por una prdida o dao ondcmnizable ocurrido a los bienes asegurados.
Entre las exclusoon"' que pueden contratarse mediante convenio expreso
se encuentran:

Terremoto y erupcin volc.inoca.


Huracn, cicln y tifn.
Huelgas y conmocin civil.
Hurto y 1o robo sin violencia.
Robo con violencia y 1o asalto.

245
SEGUROS

Disposiciones aplicables

246
CAPITULO 6
EVALUACIN
DE LA SEGURIDAD

Es requisito indispensable del seguro que la suma asegurada sea igual al 1


de reposicin del b ien asegurado por otro bien nuevo de la misma clasey "'i
cidad, incluyendo fletes, impuestos y derechos adu aneros, si los hubiese, YS"'
tos de montaje.
Si la suma asegurada es inferior al monto que debi asegurarse, los a,.,"
radores indemnizarn solamente aquella proporcin que la suma asegu
guarde con el monto que debi asegurarse. Cada uno de los bienes estar su
a esta condicin separadamente.
Bases de la indemnizacin:
a) En aquellos casos en que pudieran repararse los daos ocurridos a losbJeftES
asegurados, los aseguradores indemnizarn aquellos gastos que sean ne<N
rios erogar para dejar la unidad daada en las condiciones existentes inmt'di>
tamente antes de ocurrir el dao.
Esta compensacin tambin inclu ir los gastos de desmontaje y remont.;
incurridos con el objeto de llevar a cabo las reparaciones, as como tamb
fletes ordinarios al y del talle r de reparacin; impuestos y derechos aduanen
si los hubiese, o siempre que tales gastos hubieran sido incluidos en la swr
asegurada. Si las reparaciones se llevaran a cabo en un taller propiedad d
asegurado, los aseguradores indemnizarn los costos de materiales y jo""""
No se har reduccin alguna en concepto de depreciacin respecto a p.ut<!
repuestas, pero s se tomar en cuenta el va lor de cua lquier salvamento que
produzca.
Si el costo de reparacin igualara o excediera e l valor actual que tenan kl!
bienes asegurados inmediatamente antes de ocu rrir el dao, se har el au.'te
sobre la base de lo estipulado en e l siguiente prrafo.
b) En caso de que el objeto asegu rado fuera totalmente daado, robad
destruido, los aseguradores indemnizarn hasta el monto del valor actual qlk
tuviere el objeto inmed iatamente antes de ocurri r e l siniestro, incluyendoga.
tos por fletes ordinarios, montaje y derechos aduaneros, si los hubiera, y siem
pre q ue tales gastos estuvieran incluidos en la suma asegurada.
Se calcular el susodicho valor actual deduciendo del valor de reposict
del objeto una cantidad adecuada por concepto de depreciacin. Los asegur..
dores tambin indemnizarn los gastos que normalmente se erogaran parad"'
montar el objeto destruido, pero tomando en consideracin el valor de sallamento respectivo. El bien destruido ya no quedar cubierto por la plila. debindose declarar todos los datos correspondientes al bien que los reemplace
con el fin de incluirlo en la parte descriptiva de la pliza.
A partir de la fecha en que ocurra un siniestro indemnizable, la suma ase
gurada quedar reducida, por el resto de la vigencia, en la cantidad indemnJLa
da, a menos que fuera restituida la suma asegurada.
Cualquier gasto adicional erogado por concepto de tiempo extra, trabao
nocturno y trabajo en das festivos, fletes expreso, cte., slo estar cubierto Jx.
el seguro si as se hubiera convenido por med io de un endoso.

-l.

5.
6.
7.
8.

9.

'1

1al valor
e ycapa;e, y gasISaseguegurada
r sujeto

Segn la pliza no sern recuperables los gastos por modificaciones, adiciones, mejoramiento, mantenimiento y reacond icionamiento.
Los aseguradores respondern por el costo de cualquier reparacin provisionaL siempre que sta forme parte de la reparacin final, y que no aumente
Jos gastos totales de reparacin.
los aseguradores slo respondern por daos despus de haber recibido a
satisfaccin las fach.tras y documentos comprobantes, de haberse reali:tado las
reparaciones o efectuado los reemplazos, respectivamente.

SEGURIDAD EN LA UTILIZACIN DEL EQUIPO


JS bienes

necesanmediamontaje
tambin
Janeros,
la suma
dad del
ornales.
a partes
o que se
nan los
:1 ajuste

)bado o
:ual que
tdo gasysiemJosicin

seguraara des-

e salvaiza, demplace,

ma ase~mni2a-

trabajo
1rto por

En la actualidad los programas y equipos son altamente sofis ticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo
que puede provocar que puedan producir algn deterioro a los sistemas si no
se toman las siguientes medidas:
l. Se debe restringir e l acceso a los programas y a los archivos.
2. Los operadores deben trabajar con poca supervisin y sin la participacin
de los programadores, y no deben modificar los programas ni los archivos.

3. Se debe asegurar en todo momento que los datos y archivos usados sean los
adecuados, procurando no usar respaldos inadecuados. Como ejemplo de
los problemas ocasionados por un mal uso de los respaldos est el de aquella instalacin en que al mismo tiempo que se capturaba informacin para
el archivo maestro, el programador haca pruebas y cambios a los programas. El capturista capturaba el15 de enero y en ese momento el programador deseaba que pusie ran en e l mismo usuario que e l capturista la informacin dcl13 de enero. El cap turista continuaba capturando pero ya no en los
archivos del 15 sino del da 13, y cuando volvan nuevamente a poner la
infonnacin del da 15 descubran que exista la informacin que haban
capturado pero no la encontraba.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar
las terminales.
5. En los casos de informacin confidenciaL sta debe usarse, de ser posible,
en forma codificada o criptografiada.
6. Se debe realizar peridicamente una verificacin fsica del uso de term inales y de los reportes obtenidos.
7. Se debe monitorear peridicamente el uso que se les est dando a las terminales.
8. Se deben hacer auditoras perid icas sobre el rea de operacin y la utilizacin de las terminales.
9. El usuario es el responsable de los datos, por lo que debe asegurarse que los
datos recolectados sean procesados completamente. Esto slo se lograr por
medio de los controles adecuados, los cuales deben ser definidos desde el
momento del diseo general del sistema.

247
SEGURIDAD
EN LA UTILIZACIN
D EL EQUIPO

248
CAPh'uLO 6

EVALUACION
DE LA SEGURIDAD

JO. Debe existir una perfecta divisin de responsabilidades entre loscaptu


de datos y los operadores de computadora, y entre los operadores ,
personas respon,able~ de las libreras.
11. Deben existir registros que reflejen la transferencia de informacin entr'
d iferentes funciones de un sistema.
12. Debe controlarse lo d is tribucin de las salidas (reportes, cintas, etctera).
13. Se deben guardar copias de los archivos y programas en lugares ajenO<
centro de cmputo y e n las instalaciones de alta seguridad; por ejemplo: 1
bancos.
14. Se debe tener un estricto control sobre el transporte de discO'l y cint.t<dr
sala de cmputo al local de almacenaje distante.
15. Se deben identificar y controlar perfectamente los archivos.
16. Se debe tener el>tricto control sobre el acceso fsico a los archtvo..
17. En el caso de programas, se debe asignar a cada uno de ellos unacla>'t<p
identifique el sistema, subsistema, programa y versin. Esto nos set'\r~
identificar el nmero de veces que se ha compilado o corrido un progr
y permitir costear en el momento que se encuentre un sistema en pl{)llcin. Tambin evitar que el programador ponga nombres que no >il;!l
quen nada y que sean difciles de identificar, y que el programadur uhl
la computadora para trabajos personales.

En loi
de datos }
cuanto a:

Equi'
Con ti

corre

De fin
Rcqu

Est~

r:~t(lr.

Aud1
punb

Sea
En un m

Otro de los puntos en los q ue hay q ue tener seguridad es en el manejo


informacin. Po r ejemplo, exis te un gran robo de informacin confidencial f!
medio del fotocopiado. Se da el caso de compaas en que sus competidor<
han conocido los planes confidenciales por medio del desperdicio de papel.
bien el caso de una compaa que e labor una serie de polticas de pc!'Onal
sumamente confidencia les y que los operadores y, consecuentemente, tod
compaa, conoci la m formacin al momento de obtener los listados por modio de la computadora. Lo ms drstico en este caso es que lo:. listados
obtuvieron eran planes que serviran como alternativas de solucill. pero IJl!
no haban sido autori1ados. Para controlar este tipo de informacin sed~

q"""

Cuidar que no se obtengan fotocopias de informacin confidencial SJr t


debida au lori~cin.
Slo el personal .1utorizado debe tener acceso a la informacin confidencial
Contro lar los lis tados tanto de los procesos coHectos como aqucll05 procesos con tcrmint~cin incorrecta.

Contxolar el nmero de copias, y la destruccin de la informacin y del


papel carbn de los reportes muy confidenciales.

las comp
siniestro
el motiv
menor ti
futuro~

cin mg
En~

extsteu
establee
que~

le pos1
En
contin;
An
nud"lC

en casq
operali'

El factor ms importante para la e liminacin de riesgos en la programaci.ia


es que todos los progr.1mas y archivos estn debidamente documentados. >.'f
lo cual se debe considerar la necesidad de tener un alto grado de seguridild
desde el momento de hacer el diseo preliminar del sistema, siguocndo los~
sos del diseo detallado y de la programacin.
El siguiente factor en importancia es contar con los respaldos)' duplicados
de los sistemas, programas, archivos y documentacin necesarios para que puedA
funcionar el plan de emergencia.

En
prc
o

capturistas
ldores y las

En los sistemas de cmputo en que se tiene sistemas en tiempo real, ba".


de datos y red de computadora~. se deben tomar medidas de alta seguridad en
cuanto a:

n entre las
1 etctera).

-es ajenos a 1
fjemplo: los
cintas de la

r-.a clave que


se!\ir para
lprograma,
en produce no signifiJador utilice
!manejo de
idencial por
1mpetidorcs
de papel, o
de personal
~te, toda la
dos por meFdos que'><!
o, pero que
hsedebe:
encial sin la
onfidencial.
tuellos pro-

1acin y del

rgramacin
ntados, por
seguridad
dolos pa-

Equipo, programas y archivos.


Control de aplicaciones por t('rm inal (defin ir qu aplicaciones se pucd('n
correr en u na terminal especfica).
Definir una estrategia de seguridnd de la red y de respaldos.
Requerimientos fsicos.
Estndar de aplicaciones y de control.
Estndar de archivos.
Auditora interna en el momento del diseo del sistema, su implantacin y
puntos de verificacin y control.

SeGURIDAD AL RESTAURAR EL EQUIPO


En un mundo que depende cada da m~> de los servicios proporcionados por
las computado ras, es vital definir proccdimi~ntos en caso de una posible falla o
siniestro. Cuando ocurre una contingencia, es esencial que se conozca al detalle
e l motivo que la orig in y e l dao causado, lo que permitir recuperar en ('(
menor tiempo posible el proc!'so perdido. rambin se debe analizar el impacto
futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa.
En todas las actividades relacionadas con las ciencias de la computacin
ex1ste un riesgo aceptable; es ni'CCSarlo anali7.ar y entender estos factores para
establecer los procedimientos qut' permitan eliminarlos al mximo, y en c., >O de
que ocurran_ poder reparar el dao y reanudar la operacin lo ms rpidam!'nte po:.ible.
En una situacin ideal se deberan elaborar planes para manejar cualquier
contingencia que se presente.
Analizand o cada aplicacin, se deben definir planes de recuperacin y reanudacin, para asegurarse que los usuarios se vean a fectados lo menos posible
en caso de falla o siniestro. Las acciones de recuperacin d is ponibles a nivel
operativo pueden ser:

En algu nos casos es conveniente no realizar ninguna accin y reanudar e l


proceso.
o
o

\>fediante copias peridicas de lo~ archivos se puede reanudar un proceso a partir de una fecha determinada.
El procesamiento anterior complementado con un registro de las tran
sacciones que afectaron los archi\'OS permitir retroceder en los mo\'imientos realiLados a un archtvo al punto de tener la seguridad del con
tenido del mismo y a partir de &te reanudar el proceso.

249
SEGURIDAD
AL RESTAURAR
EL EQUIPO

250
CApjTULO 6
EVALUACIN
DE LA SEGURIDAD

Analizar el flujo de datos y p rocedim ientos y cambiar el proceso nor


mal por un proce~o alterno de emergencia.

Reconfigurar lo recu~ disponibles, tanto de equipo y sistemas como de


comunicaciones:
o

Cualquier proccdrmiento que se determine que es el adecuado pau


caso de emergencia deber ser planeado y probado previamente.

Este grupo de emergencia deber tener un conocimiento de los proced1


rnientos que puede utili zar, adems de un conocimiento de las caracterstic,
de las aplicaciones, tanto desde el pw1to tcn ico como de su prioridad, nivel d<
servicio planeado e influjo en la operacin de la organiracin.
Adems de los procedimientos de recuperacin y reinicio de la inform;.
dn, se deben considerar los procedimientos operativos de los recursos IL~
como hardware y comumcacioncs, planeando la utilizacin de equipos que pe
nutan seguir operando en caso de falla de la corrient(' elctrica, caminos alt.-rm~
de comunicacin y utili?acin de instalaciones de cmputo similares. std>'
otras medidas de recuperacin y reinicio deben de ser planeadas y probad
previamente, como er1 el caso de la informacin.
Con frecuencia un problema en a lgn programa, un error en los dato;, ur
error de operacin o una falla del equipo hacen que uno corrida en la mquuu
aborte antes de terminar el proceso.
Cuando esto sucede, generalmente no se puede iniciar el trabajo dondr>t
produjo la interrupcin.
El objetivo del siguiente cuestionario es evaluar los procedimientos de r&
tauracin y repeticin de procesos en el sistema de cmputo:

DE

Lo~.

gli
o bl

sib"

po.
tivo
plat
ble

em
nt~c

sast

e
sist

cq
pl)C:

pi
m

1. Existen procedimientos relativos a la restaurac.n y repeticin de procesos


en el sistema de cmputo?
si
""
2. Enuncie los procedimientos mencionados en el Inciso anterior.

qu
qu

3. Cuentan los operadores con alguna documentacin en donde se guarden


las instrucciones aC1uahzadas para el manejo de restauraciones?

da
ca

bli

SI

""

4. En el momento en que se hacen cambios o correcclones a los programas


y/o archivos se deben tener las siguientes precaucrones:

Las correcciones de programas deben ser debidamente autorizadas ~

probadas. Con esto se busca evitar que se camb1en por una nueva ver
sin que antes no ha s ido perfectamente probada y actualizada.
Los nuevos sistemas deben estar adecuadamente documentados y probados.
Los errores corregidos deben estar adecuadamente documentados y las
correcciones autorizadas y verifiCadas.
Los arch1vos de nuevos registros o correcciones ya ex1stentes deben esta'
documentados y venfcados antes de obtener reportes.
Los datos de entrada debetl estar debidamente probados y verificados
contra ta entrada de datos durante el procesamoento.

d
ct
te

fi
e

~eso

nor-

como de
,para

proceditersticas
nivel de
informa,s fsicos,
que per;altemos
l. stas y
robadas
latos, un
mquina
se

ISde res>eesos
>lO

uarden

IdaS y
a ver-

y pro-

s y las

PLAN DE CONTINGENCIA y PROCEDIMIENTOS

DE RESPALDO PARA CASOS DE DESASTRE

DE RESPALDO

Wl

nte.

~onde

251
PLAN DE

los accidentes pueden surgir por un mal manejo de la administracin, por ne


gligencia o por ataques deliberados hechos por lad rones, por fraudes, sabotajes
o bien por situaciones propias de la o rganizacin (huelgas). El trabajar con posibilidad de que ocurra W\ desastre es algo comn, aW\que se debe evitar en lo
posible y planear de antemano las medidas en caso de que esto ocurra.
La organizacin debe tener todos los controles, las fWlciones y los disposi
tivos para evitar W\ desastre, pero en caso de que ocurra, debe contar con un
plan de contingencia que permita restaurar el equipo en el menor tiempo posi
ble y con las mnimas consecuencias.
En cada direccin de informtica se debe establecer y aprobar un plan de
emergencia, el cual debe contener tanto el procedimiento como la informacin
necesarios para reanudar la operacin del sistema de cmputo en caso de desastre.
Algunas compaas se resisten a tener un plan para casos de desastre o
emergencia, pues consideran que es imposible que ocurra un accidente. En los
sistemas en linea o en tiempo real, el plan difcilmente puede ser usado en otro
equipo, por lo que la nica alternativa es tener una alta seguridad en los equi
pos o bien computadoras en forma de tndem, sin embargo, es necesario que el
plan de contingencia con el que se cuenta, permita restaurar el servicio en el
menor tiempo posible, con la mejor afectacin a la organizacin.
El sistema debe ser probado y utilizado en condiciones anormales, para
que en caso de usarse en situaciones de emergencia se tenga la seguridad de
que funciona r.
Segn W\a de las ocho grandes firmas estadounidenses de contadores p
blicos, los planes de seguridad deben garantizar la integridad y exactitud de los
datos; permitir identificar la informacin confidencial, de uso exclusivo o delicada en alguna otra forma; proteger los activos de desastres provocados po r la
mano del hombre y por actos abiertamente hostiles y conservarlos, asegurar la
capacidad de la organizacin para sobrevivir a accidentes; proteger a los em
pleados contra tentaciones o sospecl1as innecesarias y la ad ministracin contra
cargos por imprudencia.
La prueba del plan de contingencia o emergencia debe hacerse sobre la base
de que un desastre es posible y que se han de utilizar respaldos (posiblemente
en otras instituciones). Habr que cambiar la configu racin y posiblemente se
tengan que usar algunos mtodos manuales, no slo simulando un ambiente
ficticio cercano a la rea lidad sino considerando que la emergencia puede
existir.

~estar

ICados

Se deben evitar suposiciones que, en un momento de emergencia, vuelvan


inoperante el respaldo. En efecto, aW\que el equipo de cmputo sea aparentemente el mismo, puede haber d iferencias en la configuracin, el sistema opera
tivo, discos, etctera.

CONTINGENCIA
Y PROCEDIMIENTOS
PARA CASOS
DE DESASTRE

252
CAPiTULO 6
EVAlUACIN
DE LA SEGURIDAD

Las rl'viSIOncs al plan se deben realizar ruando se haya efectuado algtl'


cambio en la conligur,1cin del equ ipo o bien cada Sl'is ffil'S\'S. Una de las prir.
cipales objl'cioncs al p lan de emergencia es su costo; p>ro, como en el caso de"'
seguro contra inc,nd io, slo podemos evaluar sus vcnt,lj.ls si d\'safortunad.lmente el desasir(.' ocurre.
El p lan di' i'rnergencia, una vez aprobado, se debe distribuir entre persono.
responsable de su operacin. Por precaucin, es conven il'n te tener una oopw
fuera de la diri'Cdn de irormtica.
Las organi,acionL'!. pueden ser afectadas en menor o mayor grado ante lo!
djferente, hpo de dt~stres en informtica y las rep>rcuMone.. variarn Sl'plll
la dependenCia que tenga la organizacin respecto a la ti'Cnologia.
Las organiuc1ones deben de identificar su proa.~ crihco., el tiempo y los
recursos para n..,tableccr el servido ante una contingencia, por lo que el proyecto del plan debe tener un.t alta prioridad.
El plan di' Ctlntingencias anteriormente slo tomaba en cuenta los proce<obasados en la comput.1dora. Sin embargo, se debe cons1dl'rar todo aquello qut
asegure la continu1dad de la organizacin, incluyendo registros manuales'
documentacin fuente.
En virtud de la informacin que contiene e l plan de emergencia, se considerar como confide ncial o de acceso restring ido.
La l'laboracin del p lan y de los compo nentes puede hacerse en forma independiente de acu,rdo con los requerimientos de ~mcr;cncia. La estructura debe
considi'rar facJiit,u su actualizacin.

PLAN DE CONTINGENCIAS
El plan de contingencia' y el p lan de seguridad tienen como finalidad proveer a
la organi?acin de r~>qu~>rimientos p;ua su recuperacin ,m te desastres.
Los tles,1strcs pueden clasificarse de la siguiente manera:
Tipos
de desastres

Destruccin completa del centro de cmputo.


Destruccin parcial del centro de cmputo.
Destruccin o mal funcionamiento de los equ ipos auxiliare;, del centro de
cmputo (electricidad, aire acondicionado, etctl'ra).
Destruccin pardal o total de los equipos descentrali.tados .
Prdida total o parcial de informacin, manuali's o documentacin.
Prdida de p.!rsonal clave.
Huelga o problemas laborales.

L.1 metodologa tiene como finalidad conducir de la manera ms efectia


un plan de recuperacin ante una contingencia sufrida por la organizacin.
El plan de contingencia es definido como: la idenltficacin y proteccin de
los procesos crticos de la organizacin y los recursos requeridos para mantener
un aceptable mvel de transacciones y de ejecucin, protegii'ndo estos recursos y

e
CJ
\

e
(
(

P.
rl

ll

algn
princasode un
fortunada-

de las

tre personal

runa copia
adoante los
segn

rarn

~empoy los
que el proos procesos
aquello que
anuales y
seconsiderorma indeructura debe

preparando procedimientos para asegurar la sobrevivencia de la organizacin


en caso de desastre.
En la elaboracin del plan de contingencias deben de intervenir los niveles
ejecutivos de la organizacin y el personal usuario y tcnico de los procesos.
Para la preparacin del plan se seleccionar el personal que realice las acti
\'dades clave de ste. El grupo de recuperacin en caso de emergencia debe
estar integrado por personal de administracin de la direccin de informtica
(por ejemplo, los jefes de operacin, de anlisis y programacin, y de auditora
interna). Cada uno de ellos debe tener tareas especficas, como la operacin del
equipo de respaldo, la interfase administrativa y la de logstica, por ejemplo, el
proporcionar los archivos necesarios para el funcionamiento adecuado. Cada
miembro del grupo debe tener asignada una tarea y contar con una persona de
respaldo. Se deber elaborar un directorio de emergencia con telfonos particulares que contenga adems los nombres y direcciones. ste deber estar a !macenado en un lugar seguro y accesible.
Entre los objetivos del plan de contingencia se encuentran:

Minimizar el impacto del desastre en la organizacin.


Establecer ta reas para evaluar los procesos indispensables de la organi
zacin.
Evaluar los procesos de la organizacin, con el apoyo y autorizacin res
pectivos a travs de una buena metodologa.
Determinar el costo del plan de recuperacin, incluyendo la capacitacin y
la organizacin para restablecer los procesos crticos de la organizacin cuan
do ocurra una interrupcin de las operaciones.

253
PV.N DE
CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALDO
PARA CASOS
DE DESASTRE

Objetivos
del plan de
contingencia

La metodologa del plan de contingencias determina los procesos crticos


de la organizacin para restablecer sus operaciones y debe tomar en cuenta ser
eficaz y eficiente, Jos aspectos legales, el impacto de servicio al cliente y los
riesgos para que sobreviva la organizacin.
El plan de contingencias debe contemplar lo sigu iente:

La naturaleza, la extensin y la complejidad de las actividades de la organi


zaci6n.
El grado de riesgo al que la organizacin est expuesto.
El tamao de las instalaciones de la organizacin (centros de cmputo y
nmero de usuarios).
La evaluacin de los procesos considerados como crticos.
El nmero de procesos crticos.
La formulacin de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido.
La justificacin del costo de implantar las medidas de seguridad.

Metodologa
del plan de
contingencia

Entre las etapas del proyecto del plan de contingencias estn:

Anlisis del impacto en la organizacin.


Seleccin de la estrategia.
Preparacin del plan.
Prueba.

Mantenimiento.

Etapas del plan


de contingencias

254
C4PfrULO 6
EVALUACIN
DE LA SEGURIDAD

El proyecto comienza ron el anlisis del impacto en la organizacin. Durar


te ste se identifican sus procesos crticos o esenciales y sus repercusiones !ji
caso de no estar en funcionamiento:

Impacto en la
organizacin

Clasificar la instalacin en trminos de riesgo (alto, mediano, pe<ueo) e


identificar las aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquelt.,
aplicaciones con un alto riesgo.

Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo;;


por lo que, si es que e l servicio se interrumpe cierto periodo, la organiz.lcino
la comunidad sufrir un gran impacto; otras pueden fcilmente continuar sus
operaciones sin afectar grandemente a la organizacin por medio de la uti(,,..
cin de mtodos manuales.
Se debe evaluar el nivel de riesgo de la informacin para hacer un adecua
do estudio costo /beneficio entre el costo por prdida de informacin y el coslo
de un sistema de segUlidad.
Para clasificar el riesgo e identificar las aplicaciones de alto riesgo debemo;;
preguntamos qu sucedera si no se puede usar el sistema. Si la respuesta es
que no se podra seguir trabajando, entonces estamos situados en un sistema de
alto riesgo.

Ejemplo

Procedimientos
alternos

El sistema de reservaciones de boletos de avin. ste es un sistema de alto


riesgo. De menor riesgo podra ser la nmina y por ltimo el de la contabilidad
(en periodos nonmales, no en periodos de entrega de informacin contable).

La siguiente pregunta es: qu implicaciones tiene el que no se recupere e!


sistema y cunto tiempo podramos estar sin utilizarlos?
En e l caso de reservaciones en tinca y en tiempo real, no se puede trabajar<i
no se cuenta con el sistema, y no podemos estar sin l ms que unos minutos. En
el caso de la nmina depende de cundo se debe entregar (semanal, quincenal
mensualmente), lo mismo que la contabilidad.
Existe un procedimiento alterno y qu problemas nos ocasionara? En la<
reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la com
paa no es posible debido a las redes y a los bancos de datos. El procedimiento
alterno consistira en que slo se reciban reservaciones en w1a oficina o bien que
se estn comunicando por telfono para que una oficina concentre las
reservaciones. Sin embargo, esto provocara una gran ineficiencia y un psimo
servicio. Al terminar la emergencia se deben dar de alta en el sistema las
reservaciones captadas manualmente.
En el caso de la nmina se puede hacer de forma manua 1 (lo cual puede
resultar muy complicado) o bien pagar lo nsmo que la nmina anterior (lo que
provocara reclamos por parte del personal al que se le pague menos) y despus
de la emergencia procesar la nmina nueva y sacar un programa que permita
pagar la diferencia de ms o de menos y ajustar los impuestos. En caso de con
tar con respaldos se puede tener como procedimiento alterno procesarlo en otro
sistema.
La contabilidad puede hacerse en forma manual o bien, en caso de tener
respaldo, procesarse en otro sistema.

Q
der~

probl
pasar
dos en
energ
deben

q
m

le

U!

dJ
SI

o
o
n

naci
pal

l
vele
mie

tuaCj
ci

defir
trat~

Duran;iones en

Qu se ha hecho en un caso de emergencia? En el caso de sistemas como el

1.

queo) e
aquellas
!

de reservaciones, de bancos o casas de bolsa, el nico procedimiento para evitar

problemas es tener sistemas simultneos (tndem o en paralelo) que permitan


pasar de un equ ipo a otro en forma instantnea, disponer de sistemas duplicados en reas crticas (aires aconcticionados, discos, etc.) y contar con sistemas de
energa no interrumpible (no-break), ya que debido a su alto riesgo son los que
deben tener mayor seguridad.
Para evaluar la instalacin en trminos de riesgo se debe:

255
PLAN DE
CONTINGENCIA
Y PROCEDIMIENTO$
DE RESPALDO
PARA CASOS
DE DESASTRE

riesgos,

izacin o
nuar sus

a utili>:a.adecua/ el costo

Clasificar los datos, la informacin y los programas que contengan informacin confidencial de alto valor dentro del mercado de competencia de
una organizacin, as como la informacin que sea de d ifcil recuperacin.
Identificar aquella informacin gue tenga un gran costo financiero en caso
de prdida o bien que pueda provocar un gran impacto en la toma de decisiones.

debemos
mesta es
stema de
) atto

lidad
,ble).
:upere el
abajar si
mtos. En
Jincenal,
~?En las
tlacomlimiento
bien que
ntre las
t psimo
:ema las

Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo


nacional o bien la informacin sobre el mercado y la publicidad de una compaa.
Para cuantificar el riesgo es necesario efectuar entrevistas con los altos niveles administrativos directamente afectados por la suspensin en el procesamiento para que cuantifiquen el impacto que les puede causar este tipo de situaciones.
Existe una importante etapa para identificar cada proceso de la organizacin, para determinar los procesos que son crticos en su continuidad y para
definir los procesos que debern estar inclu idos en el plan de contingencias. Se
trata de un paso vital en la implementacin del plan de contingencias.
Existen diferentes mtodos para determina r los procesos crticos de una
organizacin:

ll puede
+r (lo que

despus
permita

t de conoen otro
de tener

Determinar la informacin que pueda representar una gran prdida en la


organizacin y, consecuentemente, provocar incluso la posibilidad de que
no se pueda sobrevivir sin esa informacin.

Todos los procesos crticos. Con este mtodo, la decisin es tomada por
todos los departamentos y se parte de que todas las funciones de cada departamento son crticas. Por lo generaL se eliminan uno o dos departamentos, pero casi todo es clasificado como crtico.
Si se elige este mtodo, se deben enlistar todas las funciones de cada
departamento. Este mtodo no es recomendable porque elaborar el plan de
contingencias requerir de mucho tiempo. Serta costoso y llevada tiempo
respaldar todas las funciones en todos los departamentos.
Mandatos de los gerentes. Este mtodo asume que los gerentes conocen los
elementos crticos para mantener un aceptable nivel en la organ izacin. ta
identificacin de funciones crticas es hecha en base a la inttcin de los
gerentes. El beneficio de este mtodo es el tiempo que se ahorra durante la
fase inicial. Lo peligroso es que est basado en una intuicin y ste no es un
anlisis riguroso.

Mtodos para

determinar los
procesos crltlcos

256

CAPiruLOf
EVAlUACION
DE LA SEGURIDAD

AnJhsis de riesgos fnancieros. Consiste en la determinacin de perd


financieras por cada funcin y proceso de la organi7.acin. Esto ' f
por la determnacin de la probabilidad de un desastre y la prd1da anut
Es comparado con el nivel de prdida fnanciera aceptable para la orgmZ.lcin. Son crticos aquellos procesos de los que se esperan grandes pda,. Sm embargo, no se puede determnar exactamenh.' el riesgo.
An.lisis delmpacto en la organi7.acin. La metodologa del plan de ct111
gcncias se basa en la tcnica de anlisis de impacto en la orgamzaon P
ello !><! d1stnbuyen cuestionarios para todos los departamentos de la ort
nizacin. Los cuestionarios completos y la informacin obtenida durariir
las entrevbtas definen los criterios para determinar los procl'W' critum.
Es le mtodo tal vez tome m.s tiempo nicialmente que el de "todth los po>
n-,o, :,on cnticosn. Sin embargo, disminuye ronsiderablemenlc el titmpo
el dinero cuando se desarrolla el plan de recuperacin.
Los cuestionarios y entrevistas persiguen los siguientes objetivos:

Objetivos de la

tcnica de anlisis
del Impacto

Identificar lo8 procesos crticos y necesarios de la organi>acin, as como


las dependencias crticas de los sistemas.
Identificar los procesos crticos en cuanto a la imagen y operacionalidadJc
la organizacin, as con1o sus repercusiones en caso de suspenderse su uh

C16n, es
menh: e
de dt..:J!
Flp

l.as
Los
Los
De

De

Pt.'r
s.:g

Cu
Rl"'
f)l..

Nu

Mt

l'rQ
Pri

lizacin.

Dclcrmi nar los procesos con probabilidad de ser destr uidos, tomando tn
cuenta periodos de prdida especficos (tres horas, un da o unn 8Cmanal

Dcrinlr recursos alternativos de informacin y servicio .


Determinar el costo financiero de un desastre y e l probable tiempo de'"

Informacin
preliminar

pcracin.
Identificar amenazas especficas de cada proceso crtico (instalacin de lu~
localizacin geogrfica, e tctera).
F~pccificar los s istemas que ponen en riesgo la continuidad de las Op<'raaoncs de la organizaon.

0..'8pus de que la informacin est reunida gracias a 1.- entrevi,ta' y los


cuesttonari05, se analiz.u para determnar cada proceso crtico. La cta-fo
cin de 108 pron>sOS l><.'r el resultado del anlisis, discutido con la ger..-noao
direccin, para asegurar que todos los procesos son apropiados, se indu1anm
el plan de contingencias. LO> procesos que son identificad08 como crih<'OS m
esta fa;e, deb.>r.n ser considerados en el plan de contingencias.
El ob)l'tivo de la m formacin preliminar es crear una muestra de CU<"!Jonl.
riO> y conducir las entrevistas preliminares con el fn de identificar pi'OC'tSOS
crticos para la continUidad de las operaciones fundamentales de la organ11.1citln.
Est.l tarea comienza con el diseo, la creacin y la prueba de los C\J~
narith:

LO> cul'81ionanos en el an..ilisis del impacto de la organizacin son u>JJQ5


para dirigJt las entrevistas.
Los cuestionarios debern servir para analizar a detalle las funciones crih
cas de la organizacin.

1...1
,,sistir

duycn
h'rn ..lli1
Co

c.;.1dos
1ncncio

pruns(
t.ldura
!Jeas.

oc

un,1 re

ta" e

An
tra
,\r
Jnl

s..,
t>rj
Al
la
Ce
du
<JI

Al

prdidas
obtiene
da anual.
la organiles prdi;e

:le contindn. Para


e la orgaa durante
s crticos.
lS los

protiempo y

Un beneficio adicional al de analizar los procesos crticos de la organiza


cin, es conocer la documentacin e integracin de la informacin que usualmente est en propiedad de diversos individuos, lo que ayuda a la mejor toma
de decisiones.
El propsito de las entrevistas preliminares es para identificar lo sigu iente:

Las reas vitales de la organizacin pa ra que la corporacin sobreviva .

Los sistemas esenciales para cada rea de la organ izacin .


Dependencia y facilidades de soporte.
Dependencia e impacto en otras reas de la organizacin.
Prdidas financieras directas y costos de recuperacin involucrados en el
seguimiento de las prdidas.
Costos de un probable desastre como repercusin en las ventas.
Responsabilidad de los entrevistados.
Descripcin del trabajo realizado y procesos involucrados .
Nmero de personas y habilidad requerida para realizar el proceso .
Mtodos alternativos de posibles procedimientos.
Procedimientos sugeridos de recuperacin.
Prioridades de recuperacin .

Los componentes crticos entre cada rea de la organizacin.

as como
talidad de
rse su u timando en
semana).
o de recu-

n de luz,
.operacioislas y los
clasificagerencia o
tcluyan en
crticos en
cuestionar procesos
;anizadn.
os cuestio-

usados

OE AESPALOO
PARA CASOS

Propsitos
de las entrevistas

Las guas de anlisis de las reas de la organizacin deben ser usadas para
asistir en la generacin de discusione~ en d iferentes procesos crticos. stos incluyen componentes esenciales sugeridos, dependencias crticas, recursos al
lernativos y probabilidad del impacto de destruccin para diferentes reas.
Como la mayora de los planes de contingencias en el pasado estaban enfo
cados en las operaciones basadas en los sistemas automticos, es necesario
mencionar en las entrevistas que el plan de contingencias debe cubrir todos los
procesos de la organizacin. Algunos de los que no estn basados en la computadora deben ser discutidos y debe llenarse el cuestionario de las funciones cr
ticas.
Deben realizarse entrevistas con los jefes de departamento para obtener
una revisin inicial de la organizacin y confirmar la naturaleza y sus procesos.
Estas entrevistas deben incluir lo siguiente:

Antecedentes de la orgruzacin, como su naturaleza, lneas de productos,


transacciones anuales (compras y ventas), mercado y competidores.
reas de la organizacin y jefes de departamento.
Informacin estratgica y decisiones de operacin.
Seguridad en el centro de cmputo y en las reas ms importantes de la
organizacin.

JOn

PLAN DE
CONTINGENCIA
Y PROCEDIMIENTOS

OE DESASTRE

257

iones crti

Algunos riesgos especficos que pongan en peligro los procesos crticos de


la organizacin.
Conocimiento de los requerimientos legales (mu ltas, estnda res de la industria, requerimientos de auditora en relacin con el plan de contingen
cias).
Algn plan de contingencias emprendido.

Elementos
de las entrevistas

258
CAPITULO 6
EVALUACION

OE LA SEGURIDAD

Recoleccin
de datos

Los dite<:tiv~ deben conocer la informacin general para el manterumld!IO


de la organizacin, pero tal V<>.< no tengan el conocimiento ~pecifiro de laJno
formacin.
La informacin requerida para el proyecto del p lan de contingencias putdt
existir en varias formac; en Ja organizacin.
Se deber obtener la documentacin existente que contenga antcct'd~nle;
de la organizacin. ~stos deben incluir:

Cues
delil

O rganigrJmas.

enge

Descripcin de procesos operativos.


Medidas de seguridad existentes contra desastre.
Seguros.
Proc:edimientos de dcs.1stres existentes.

den t
dad

Adems de las entrevistas generales, se requiere informacin ms drulada sobre los sistemas automticos. Durante las entrevista!> con el jefe de irfur
mtica y con especialistas se debern revisar los s istemas y sus compoll!'ni<S
esenciales, como ~on:

Componentes
de los sistemas
automticos

Trminos de in formacin, estrategias tecnolgicas y propsitos de desarrollo de sistemas.


Personas de informtica y d etalles de escritorio .
Instalaciones de informtica y funciones especficas .
Hardware requerido, modelo y configuracin .
Comunicacione,, redes, LAN, WAN (incluyendo microcomputadoras~
Perifricos, como terminales, impresoras y capacidad de disco.
Facilidades es<!nciales de soporte.
Tiem~ de proceso.
Procesos en lnea y l>atclr .
Lista de las aplicaciones mayores .
Plan de contingencias existente.
Locali.~:acin y frecuencia de respaldos de programas y datos .
Historia de fallas en el sistema .

Los cuestionarios d<bcn distribuirse en todos los niveles de la organiz..


cin, principalmente entre los empleados que usan y manejan s istemas diariamente, par,1 asegurar que tod~ la informacin relevante sea revisada.
Los cu~tionarios de las funciones criticas deben ser distribuidos al mismo
tiempo que los cuestionarios del impacto en la organizacin y junto con infur
macin concemil'nte a los propsitos de las entrevistas, procedimientos, dur.r
ciones y tiem~.

Las <.-1
debet
E
basar:
E

"
"

vista

tenimiento
Xl

de la in-

Cuestionarios para anlisis


del impacto en la organizacin

ciaspuede
tecedentes

s detallae de infornponentes

le desarro-

Las entrevistas y cuestionarios sobre e l anlisis del impacto de la organizacin


debern basarse en las discusiones con los jefes de departamento.
Estos cuestionarios sobre el anlisis del impacto de la organizacir. debern
basarse en las discusiones con los jefes de departamento.
Estos cuestionarios no deben plantear preguntas especficas, sino de las reas
en general. Las entrevistas debern ser consistentes.
Tambin tendrn que ser incluidas otras reas no automatizadas que pueden tener informacin crtica y recursos fsicos (maquinaria) para la continuidad del funcionamiento de la organizacin.
A continuacin ofrecemos un ejemplo de cuestionario para guiar la entrevista sobre el anlisis del impacto en la organizacin:
CUESTIONARIO SOBRE EL IMPACTO
1. Cules reas del negocio son de mayor responsabilidad?

De stas, identifique los componentes que en su opinin son:


Lo esencial para que la organizacin sobreviva.

Lo esencial para mantener las funciones ms importantes de la organi-

doras).

zacin.
Funciones no crticas para la organizacin y que pueden ser suspendidas
temporalmente en un evento de emergencia.

2. Cules son las consecuencias fnancieras de la prdida de un componente


clave de la organizacin?

organiza-

nas diaria-

'

; al misnlo
con inforltOS, dura-

Cules son las consecuencias del deterioro de la imagen ante la prdida


de un componente clave de la organizacin?
(Ejemplo: problemas laborales).
Provea la informacin bsica de cada componente de tu responsabilidad.
Esto puede ser en fonna de diagrama de flujo, el cual deber identificar
entradas y salidas en las reas de la organizacin. Debe incluir funciones
sistematizadas, funciones manuales y sus interdependencias.
3. C<>n qu informacin y facilidades cuenta en cada rea de la organizacin?

259
PLAN DE
CONTINGENCIA
Y PROCEDIMIENTOS
OE RESPALDO
PARA CASOS
OE DESASTRE

260
CAPiTULO 6

EVAWACIN
DE LA SEGURIDAD

Se deben identific~r todos los re<:Ursos internos y externos de datos, ap


ciones ;:>or compu tador~ y l~s facilid ades con las que se cuen ta, incluyendo~
sonal clave y comun icaciones.
Los cuestionarios de funciones crticas son diseados para recolectar m
macin que refleje la import~ncia de cada proceso en la organizacin,)' ,.00
evaluar qu tan crtic~ puede ser una funcin, o si es posible que sta se del
durante un periodo determinado. Deber ser aplicado un cuestionariopatHJi
pr<X'CSO.
Para determinar lo que es "critico", se debe usar la medida de Htolerar.:
que es definida como la capacidad de continuar con los procesos durante
interrupcin de las actividades normales de la organizacin. Si la toleranaa
un proceso particular es pequea, el proceso es probablemente crtico. Lalt
mncia puede y debe ser cuanti fic~da en trminos monetarios, de impacto,,~
organizacin y de impacto a la imagen de la organiLacin.
Los usuarios deben conocer el valor de los sistemas crticos, porque e 1
son los responsables. L..1 experiencia muestra que son normalmente imparcialfs
para evaluar lo crtico de sus sistemas.
Las preguntas deben ser directas para determinar procesos criticos ysedd>c
buscar mtodos alternativos.

CUESTIONARIO DE FUNCIONES CRITICAS


Departamento-- - - -- - - - - - -- -

Divisin-=============-:_

Telfono_
Oficina _ __ _
Nombre de la funcin _,.._ __ _ _ _ _ __ _
_ _ __ _ _ _ __ _ __ _ _ _ ____
De~ndelafunon

COMENTARIO
Con qu frecuenc1a es realizada la funcin?
Anual

Semestral

Mens ual

Semanal

Diario

Otra explicacin:
1. Cul sera el costo para la organizac1n si esta func16n no fuera rea11zaoa

~~=====================

Por semana? S
Por
mes?$
Pordfa?
S

2. Estimar cul serta el costo adicional (mullas, prd1das de arrendamiento,


contratos cancelados) en qu organizacin puede inclurrir si esta funcin no
es realizada:

$--:~===========-=~~=======

Por semana$
dia
Por
mes$ _ __ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ ___

, aplicaldo per-

SI

Ir infor-

ypoder

NO

4. La organizacin tendr conflictos si esta funcin no es realizada?


Si

jetenga

tra cada

261

3. La vida humana es puesta en riesgo si esta funcin no se realiza?

NO

5. Esto impactara a la operacin eficiente dentro de la organizacin?


SI

NO

anda",
nte una

ncia de
_a tolecto a la

6. El servicio a los clientes es afectado por la no realizacin de esta funcin?


si
NO
7. Los requerimientos legales pueden no ser cumplidos sin esta funcin?
SI
NO

1e ellos
orciales
deben

CUESTIONARIO DE OPERACIN
1. Impacto de una hora de interrupcin en el centro de cmputo:
La mayor interrupcin operacional en el servicio al cliente es tener gru
pos de personal totalmente parado.
( )
lnconvemente, pero el centro de las actividades del negocoo contona
intacto.
( )
Esencialmente insigmficante.
( )
2. Impacto de una interrupcin total en el centro de cmputo, durante dos o tres

semanas:
Casi fatal, no hay fuentes de respaldo.
Facilidades de respaldo externas, menores ingresos y
mayores costos.
Caro. Algunos procesos pueden ser preservados.

(
(

3. Aptitud del personal observado en caso de emergencia:


En el centro de cmputo la luerza de trabajo es organizada.( )
Son inexpertos (medios organizados).
( )
Son desorganizados.
( )

Ja:

4. Nmero de operaciones criticas en sistemas en lfnea o en sistema en batch:


10oms.

69 .
35.
O,

02.

10

5. Localizacin de los sistemas:


En un rea especifica.

En dos o tres reas.


Corre por mltiples departamentos.

PLAN DE
CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALOO
PARA CASOS
DE DESASTRE

262

dida.
copia,
mentt
L

6. De fc11 recuperacin despus de la interrupcin:


CAPIT\JLO 6
EVALUACI~
DE LA SEGURIDAD

3 o 4 das en sistemas crticos.

12 o 24 horas en sistemas crticos.


Sin problemas (recuperacin inmediata).

7. Control da recuparacn despus de la interrupcin:


Mucho tiempo consumido y costoso por los sistemas
interrelacionados.
Alguna Interrupcin.
Relativamente rpido. dao controlado.
Parcialidad de cop1as manuales.
Imposible.
Algo posoble.
Relativamente fcil.

)
)
)
)
)

T.
le
1\

A
1\

li
o

o
o
o

SeLECCiN oe LA ESTRATEGIA

l!
do. S.
est e

Una vez que hemos definido el grado de riesgo, hay que e labora r una lista de
los s is temas con las medidas preventivas que se deben tomar, as como la<
correctivas en caso de desastre, sealndole a cada funcin su prioridad.
El siguiente paso es identificar y comentar procesos alternativos para procesos identificados como crticos en la organizacin. Si existen otros procedl
mientos con recursos similares aprovechables, stos podrn ser considerad '
como posibles procedimientos alternos.
En caso de desastre se procurar trabajar los sistemas de acuerdo con""
prioridades, ya que no M! podr hacer en otra instalacin en la misma formo
como se venan trabaJando en la instalacin original.
Cada uno de los riesgos y su probabilidad de ocurrencia deben M!r identffi.
cados.
Las medidas de prevencin de desastre deben estar respaldadas en un lu
gar seguro. Se debe considerar y evaluar rangos de estrategias de recuperacin
posibles, para que a l final de esta etapa de seleccin una sea elegida.
El plan de ccuperacin de la organizacin es proyectado y probado. Su
preparacin requiere de la participacin de l personal de la organizacin para
asegurar que stos sean miembros del plan y que estn disp011 ibles cuando ste
se lleve a la p rctica.
Es importante contar con la documentacin completa del p lan de contin
gencia para ser us.1da en caso de desastre. sta debe ser evaluada y aprobada)
peridicamente rcvi;ada para actualizarla. Toda la documentacin asociada con
el plan de conhngencias y el control de procedimientos juega un import.mte
papel dentro de la organizacin.
Despus de que el plan de contingencias sea desarrollado, los documentos
debern archivarse en un lugar que est protegido de des.1~tre, deterioro o per

laim
aplic,

Documentacin
del plan de
contingencia

part~

conOt
J

-1

1[

r
'

doda, pero accesible en caso de rontlngenci.-. A cada director se le dar una


copia, la cual deber incluir la verson, la fecha y el lugar donde estar el documento.
Los datos que contendr para su identificacin son:

263
PLAN DE
CONTII'IGENCIA
V PAOCEDtMENTOS

DE RESPALDO
PARA CASOS

i'tiJio del documento.


lden lificacin o nmero de referencia.
Nmero de la versin y fecha.
Autor.
Nmero de versin. La vida del documento tendr varios cambios. Los
lineamientos a seguir para controlar las versiones son:
o

Historia.

Nmero de pginas.
Aprobacin del documento.
Control de cambios.
Distribucin del documento.

1a lista

de
como las
dad.
para pro; procedisiderados
o ron sus
mafonna
T

identifi-

en un luJperacin
)bado. Su
cin pc.ua
ando ste
le rontin!robada y
ciada con
1portante
:umentos
>roo pr-

DE DESASTRE

Elementos de la
documentacin

Los departamentos deben tener omplantada su propia estrategia de respaldo. Se debe asegurar que el personal asignado a la tarea de recoleccin de datos
est correctamente instruido.
El personal de p rocesamiento de datos frecuentemente no est enterado de
la im po rtancia funcional de los sistemas que soporta. Es ms a propiado en las
aplicaciones crticas automatizadas consultar a los usuarios o a los jefes de departamento. De cualquier manera, el departamento de procesamiento de datos
conoce el procesamiento a detalle de l'Stas aplicaciones.
Al finalizar el plan de contingencia, ste debe contener:

El sealamiento de los proccso<> crticos.


Su impacto.
Prioridad.
Tiempo en que puede estar fuera de <.ervicio.
Informacin existente de cada proceso (procedimientos y polticas).
Documentacin para la recuperacin.
Por cada proceso, se requiere del usuario de:
o
o
o
o
o

o
o
o
o

Software.
Ha rdware.
Recursos materiales.
Personal.
Consumibles.
Utileras.
Sistemas de comunicacin.
Redes.
Transporte.
Bases de datos.
Archivos (respaldos).

Elementos
del plan
de contingencias

Para evaluar las medidas de seguridad, se debe especificar:

264
CAPiTuLO 6
EVALUACIN
DE LA SEGURIDAD

La aplicacin, los programas y arclvos.


Las medidas en caso de desastre, prdida total, abuso y los planes necesarios.
Las prioridades que se deben tomar en cuanto a las acciones a corto y largo
plazos.
El plan en caso de desastre debe incluir:

La documentacin de programacin y de operacin.


Los equipos.
El equipo completo.
El ambiente de los equipos.
Datos, arclvos, papelera, equipo y accesorios.
Sistemas (sistemas operativos, bases de datos, programas de utilera, programas).

Al final de esta etapa, el plan de recuperacin entra en una fase de prueba,


para asegurar que se trabaja en forma eficiente.
El plan en caso de desastre debe considerar todos los puntos por separado
y en forma integral como sistema. La documentacin estar en todo momento
tan actualizada como sea posible, ya que en muchas ocasiones no se actualizan
las ltimas modificaciones, lo que provoca que el plan de emergencia no pueda
ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deber:
Pruebas

det plan
de recuperacin

Asegurar que todos los miembros sean notificados.


Wormar al director de informtica .
Cuantificar el dao o prdida del equipo, arclvos y documentos para defi
nir qu parte del plan debe ser activada.
Determinar el estado de todos los sistemas en proceso.
Notificar a los proveedores del equipo cul fue el dao.
Establecer la estrategia para llevar a cabo las operaciones de cmcrgena
tomando en cuenta:
o

Elaboracin de una lista con los mtodos disporbles para realizar la


recuperacin.
Sealamiento de la posibilidad de alternar los procedimientos de operacin (por ejemplo, cambios en los dispositivos, sustitucin de procesos en linea por procesos en lote).
Sealamiento de las necesidades para armar y transportar al lugar de
respaldo todos los arclvos, programas, etc., que se requieran.
Estimacin de las necesidades de tiempo de las computadoras para un
periodo largo.

Cuando ocurra la emergencia, se deber reducir la carga de procesos, ana


lizando alternativas como:

de~

forr
dej<
COCI

corr
reSf
rn

pun

une
les e
ofre

"\CS

265
PLAN DE

nec;e..

:o y largo

~ra~

Posponer las aplicaciones de prioridad ms baja.


Cambiar la frecuencia del proceso de trabajos.
Suspender las aplicaciones en desarrollo.

Por otro lado, se debe establecer w1a coordinacin estrecha con el personal
de seguridad a fin de proteger la informacin.
Hay que tener mucho cuidado con la ormacin que sale de la oficina, y la
forma en que es utilizada as como preveer que sea borrada al momento de
dejar la instalacin que est dndole respaldo.
Respecto a la configuracin del equ ipo, hay que tener toda la informacin
correspondiente al hardware y software del equipo propio y del respaldo.
Debern tenerse todas las especificaciones de los servicios auxiliares, tales
como energa elctrica, aire acondicionado, etc. A fin de contar con servicios de
respaldo adecuados y reducir al nnimo las restricciones de proceso, se debern tomar en cuenta las siguientes consideraciones:

pro-

prueba,
;eparado
nomento
:tualizan
tO pueda
deber:

Mllino de memoria prmcipal requerida y el equipo perifrico que permita


procesar las aplicaciones esenciales.
Se debe tener documentados los cambios de software.
En caso de respaldo en otras mstituciones, previamente se deber conocer
el tiempo de computadora disponible.

Es conveniente incluir en el acuerdo de soporte recproco los siguientes


puntos:

Configuracin de equipos.
Configuracin de equ ipo de captacin de datos.
Sistemas operativos.
Co1iguracin de equipos perifricos.

ara defi-

ergencia

ali2ar la
deope-

e proceugar de
para un

;os, ana-

Finalmente, se deber tener una lista de los requerimientos mmimos para


un efectivo plan de recuperacin en caso de desastre.
Lo ms importante es identificar el nmero y tipo de componentes esenciales que puedan ser crticos en caso de emergencia o de desastre, para lo cual
ofrecemos el siguiente cuestionario:
A) Equipo principal (equipo, canales de comunicacin, memoria, etctera).

Equipo
fabricante

Es esencial
para procesar?

Proyecto en
el equipo

B) Unidades de disco (incluyendo controladores, nmero de unidades, paque-

tes de discos, nmero de discos por paquete).


Fabrican le

Nmero de
unidades

C) Unidades de cinta.

Capacidad

Proyectos

Es esencial
para procesar?

CONTINGENCIA
Y PROCEDIMIENTOS
DE RESPALDO
PARA CASOS
OE DESASTRE

266

-~~

O) Unidades de almacenamoento (en linea o fuera de lnea).


CAPITULO 5
EVALUACIN
DE LA SEGURIDAD

discil
tar p
de vi

E) Equipo periflico (lectoras, impresoras, etctera).


F) Unidades de comunicacin, controladores.
Numero de
equipos

Proyecto en
equipo

1
gad(
Es esencial

para procesar?

G) Sistemas operatvos.

vari
si de

H) Terminales.
1)

terne
omo

Equipo adocoonal.
Electrocodad KVA.
Aire acondicionado BTU.
Temperatura requerida
Humedad requelida.

RED DE COMUNICACIN

1. Descnpcon de la red de comurucacin.

2. En caso de emergencia, es esencial el uso de la red de comunicacin?


Descnba el porqu de su respuesta.
sr
""'
3. Programas necesarios pera la comiJI\icacln.

4. Se debe contar con:


Copla de programas de produccon.
( )
Copoa de archivos maestros de las apfocaclones clave y sostemas operativos
( )
Copia de fa dOC<.Jmentacin de los sistemas e onstructivos de operacn.

( )
Copla de los archivos necesarios para procesar las transacciones.
(

Inventa roo de tonnas especiales utdozadas en la operacin normal (se deben 1ncluor tambin papelera nonnal, c1ntas magnticas). ( )
Un local con las instalacoones necesanas (energa, aore acondocoonado,
poso adecuado, etctera)
( )
Convenios para el uso de computadoras compatibles.
( )

Es importante que en la prueba del plan exista disciplina en la ej(.'CUcin. La


disciplina es importante no slo para facilitar la recuperacin, sino para detectar problemas (en el momento del desastre), con el fin de minimizar la prdida
de vidas y costos.
Deber existir un coordinador de la recuperacin, quien debe ser el encargado de las pruebas.
El plan de contingencias debe ser elaborado asegurndose de que sea mantenido y revisado regularmente para que refleje los cambios en la organizacin
o modificado adaptando los procedimientos.
Despus de la creacin inicia l, e l plan debe ser formalmente revisado, por
varios meses se debe asegurar que los prooed.imientos de recuperacin hayan
sido mantenidos y probados apropiadamente.

cin?
NO

!rativos.

acin.

(se de-

:ionado,

267
PlAN DE
CONTINGENCIA
Y PROCEDIMIENTOS

DE RESPALDO
PARA CASOS
DE DESASTRE

Mantenimiento

del plan de

contingencias

CAPTULO

Interpretacin
de la informacin

OBJETIVOS
Al finalizar este capitulo, usted:
1.
2.
3.
4.
5.

Conocer las tcnicas para la interpretacin de la informacin del sistema.


Comprender cmo se evala el grado de madurez del sistema.
Definir los diferentes tipos de evaluacin de los sistemas de informacin.
Describir la importancia de los controles en la auditora.
Conocer cmo realizar la presentacin de las conclusiones de la auditorfa.

270
CAPITuLO 7
INTERPRETACIN
OE LA INFORMACIN

TCNICAS PARA LA INTERPRETACIN


DE LA INFORMACIN

3.

'

Para interpretar la informacin se puede utilizar desde tcnicas muy sencilla,


hasta tcnicas compleja;, de auditora.

4.

ANLISIS CRTICO DE LOS HECHOS


Una de las primeras tcrucas es el anlisis crtico de los hechos. Esta tcniG
sirve para discriminar y evaluar la informacin; es una herramienta muy valio
sa para la evaluacin y se ba'>a en la aplicacin de las siguiente, pregunta'
Pregunta

Finalidad que determina

Qu
Dnde
Cudndo
Quin
Cmo
Cunto

El props ito
El lugar
El orden y el momento, sucesin
La persona
Los medios
La cantidad

S. l\

6. d

La pregunta ms 1mportante es qu, pues la respuesta permitir ;aber'

puede ser:

Eliminada
Modificada o camb1ada
Simplificada.

Las respuestas que se obtengan deben ser sometidas a una nueva pre;unt.l
"Por qu", la cua l planteJr un nu evo examen que habr d e justificar la infor
macin obtenida. Cada interrogante se debe descomponer dl la siguiente ma

M
EL

nera:

Para 1
de m.

1.

Propsito:

2.

Qu se hace.
Por qu se naC\',
Qu otra cosa podra hacerse.
Qu debera hacerse.

Lugar:

Dnde sc hace.
Por qu se nace .1h.

V
1)

e
[

li
8
R

En qu otro lugar podra hacerse.


Dnde deberla hacerse.

271 -----'
TCHICAS
PARA LA
INTERPRETACIN
DE LA INFORMACIN

3. Sucesin:

Cu,lndo se hace.
Por qu se hace entonces.
Cundo podra hacerse.
Cundo deber hacerse.

4. Persona:

QUJn lo hace.
Por qu Jo hace esa persona .
Que! otra persona podra hacerlo.
Quin debera hacerlo.

5. Medios:

Cmo w hace .
Por qu se hace de ese modo .
De qu otro modo podra hacerse.
Cmo debera hacerse.

6. Cantidad:

Cunto se hace.
Por qu se hace esa cantidad (volumen).
CuJnto podra hacerse.
Cunto debera hacerse.

METODOLOGA PARA OBTENER


EL GRADO DE MADUREZ DEL SISTEMA
Para poder interpretar la informacin de los sistemas M! debe evalu<tr el grado
de madurez de los mismos:

Verificar si e l sistema est definido.


Verificar si el si<.tema est estructurado.
Vcnficar si el sistema es relativamente estable.
Verificar" los resultados son utilizados o no.
Cuactersticas

Maduro

Inmaduro

Definido
Estructurado
E..stablc
Resultados

Completamente
Alta
No cambia
Utilizados

Incompleto
8.1a
Muchos cambios
No utilizado

272
CAPlTULO 1

INTERPRET.t.CION
DE lA INFORIMCIN

Depend iendo dd grJdo de madurez y de su grado de estructuracnio. "'


determina s i debe estar a u tomati,,ado y la posible mndu rc7 que repercutir,>
una mejor utilizacin y en disminucin de cambios.
Si el sistema e..t. e;tructurado y maduro se dl'bi usar la tcnica de sbt
de informacin; si est.i estructurado pero no cst.i maduro se debi <egu~r luciendo manualmentt; "<">t.i ..emiestructurado y maduro se podr usar Lllalo
c.-. de soporte en la toma de las decisione.. (DSS - DN<III Systror Supporl
Si el sistema l">t.i "'mrcstnucturado pero no cst. maduro debr segt
haciendo en forma mJOUtll; s no est estn1ctur;edo y maduro, es un sb!lt
guiado por la intuici(n y deber seguir.... haciendo en forma manual. Si no e

C!:ltructurado nl maduro ~1 sistema no tiene ran)n d(' existir.

Nivel madurez
Nivel estructu r~

Maduro
Estructurado

Semiestnucturado

Sistema de
soporte
Intuitivo

No estructurado

Inmaduro

Sistema de
informacin
general
:'1.1anual
de decisiones
Sin razn

2.

Uso de diagramas
Otra forma de an.1 li Lilr lo~ hechos es segu ir la ruta de la informacin desdes
origen hasta su destino, y disponer de este camino en una '><'Cllencia cronolgia.
con el fin de clarificar dndt> aparece, cmo avanz,1 .1 lo largo del siskma
cmo llega a su dcshno. E.sta hicnica ayuda a hacer un ,.,tudio objeti,o de todos
los pasos por los cuales dt>ber pasar la informacin .
Se considera ncce,.uio agregar algunas caracterishc.-.s que definan an ws
este estudio como frecucnci,,, tiempo, costo y diSt~ncia fsica de cada p.150
coadyuvando a una ev.1 lu~cin ms objetiva del sistema.

Ev
Cl(

de
vit

EvALUACiN DE Los SISTEMAS


SI

Se debe evaluar el dt..,.rrollo que ha tenido el sistema mediante el anJr,., dt


los pasos que comprendr el desarrollo del sistt>ma, y comparar lo que '<' pUne contra lo que realmente se est obteniendo.

,,
m

eo
e

t.

ANLISIS
ni

Se debe evaluar la informacin obtenida en lo' sistemas para poder:

Determinar el obeto y compararlo con lo obtenido.


Buscar la rnterrelacin con otros sistemas.

uacin.. se
!rcutir en

de sistema
segu ir haar la tcnipport).

l.

. Si no est

2.

ronolgica,
l sistema y
;o de todos
anan ms
cada paso

anlisis de
que se pla-

odcr:

EVALUACIN
DE LOS SISTEMAS

Anlisis conceptual:

.m sistema

n desde su

273

Entre las etapas del anlisis estn:

seguirse

es

Evaluar la secuencia y flujo de las interacciones.


Evaluar la satisfaccin del usuario.

Evaluar el sistema funcional.


Evaluar la modularidad del sistema .
Evaluar la segmentacin del sistema .
Evalua r la fragmentacin del sistema.
Evaluar la madurez del sistema.
Evaluar los objetivos particulares del sistema.
Evaluar el flujo actual de informacin.
Definir el contenido de los reportes y compararlo con el objetivo.

Evaluar los modelos de reportes:

Evaluar los controles de operacin.


Cuantificar el volumen de uormacin.
Evaluar la presentacin y ajustes.

Se debe conocer en trminos generales el nivel del sistema funcional para


obtener los elementos suficientes que permitan evaluar el nivel de interaccin,
su grado de estructuracin y la madurez del sistema con el fin de determinar si
se justifica su automatizacin
Entre las evaluaciones que deben hacerse estn:
Evale el objetivo. Evale que el objetivo general y el alcance del sistema fun
cional estn definidos en forma clara y precisa. Esta actividad se encarga de
delimitar el sistema obteniendo todo lo relacionado con l, mediante las entrevistas a los usuarios involucrados con el fin de eva luar si se cu mpli con el
objetivo. Las versiones que ofrezcan los usuarios debern ser confrontadas para
verificar su compatibilidad.
Evale la interaccin con otros sistemas. Se debi analizar la informacin del
sistema con el propsito de loca lizar sus interacciones y sus contactos con otros
sistemas, a fin de determinar si existe un sistema integral de informacin, sistemas aislados o simplemente programas, o si existe redundancia y ruido, as
como cules son los controles con que cuenta el sistema. Para evaluar todas las
entradas y salidas que tienen lugar en el sistema, esta parte de la auditora determina el flujo de operacin y tambin todas las entradas y salidas que ocurren
internamente. La manera de desarrollar esta actividad es usar aquellos docu
mentos de informacin que maneja el sistema, rastreando las fuentes y destinos, elaborando o reservando la matriz de recepcin 1distribucin de los documentos, y la matriz de entradas/salidas.
Evale si se obtiene la secuencia y flujo de las interacciones. Para llevar a
cabo esta actividad es necesario establecer el flujo de informacin a travs del

Tipos
de evaluaciones

274
CAPITULO 7
INTERPRETACIN
DE LA INFORMACIN

sistema, tomas de la matriz de entradas/ salidas y agregar e l orden de ocurrencia, as como la periodicidad. G rafquela en un plano horizontal para tratar de
encontrar duplicidad de itormacin. Este plano debe hacerse de tal manera
que refleje un periodo, as como el o rden de ocurrencia.

e
I
(

Evale el sistema funcional. Dado que ya se evalu el objetivo, las interacciones


y su flujo, lo que s igue es analizarlos p:ra tener una idea ms clara de su funcin. Tomando como base los elementos de Jos primeros tres pasos, se debe
verificar si es congruente con su objetivo, es decir, si la descripcin define sus
propsitos. En esta etapa se evala "qu hace" el sistema.
Evale la modularidad del sistema. Esta actividad subdivide el sistema en partes
que pueden ser procesadas en forma independiente, pero cuyo objetivo particular es buscar el objetivo general del sistema funcional, correspondiendo a
cada mdulo una funcin general del s istema. Asimismo, u na funcin general
del sistema consis te en identificar aquellas prutes de ste donde ocurre una entrada, un proceso, y se obtiene un resultado parcial.
Evale la segmentacin dcl sistema. Este paso tiene por objeto subdividir los
mdulos en funciones particulares, de tal manera que el conjunto de funciones
defina al mdulo en cuestin. En esta parte deben evaluarse aquellas funciones que son realizadas para distintos mdulos (interconexin modu lar); cada
funcin extrada del mdulo debi ser consistente y validada con el usuario.
Evale la fragmentacin del sistema. Se subdivide e l segmento en funciones
especficas o procedimientos, pues cada funcin particular o segmento puede
contener uno o ms procedimientos. A su vez, cada procedim iento puede estar
formado por dis tintos niveles Uerarqua de procedimientos); dependiendo de
su complejidad en esta parte se debe evaluar haciendo nfasis en "qu hace")'
no en el "cmo lo hace", ya que esto se evala en el anlisis detallado.
Evale el flujo de informacin del sistema funcional. Identi fique en cada documento su origen y su seguimiento a travs de las diferentes entidades o deparlamentos por donde transita; a la vez vaya identificando sus adiciones y
supresiones de informacin. Por ltimo, identifique cmo y dnde llega a su
destino. Se recomienda el uso de l d iagrama de flujo de informacin.
Una forma de analiza r los hechos es seguir la ruta de la informacin desde
su origen hasta su destino y disponer de este camino en una secuencia cronolgica
con el fin de clarificar d nde aparece, cmo avanza a lo largo del sistema y
cmo llega a su destino. Esta tcnica ayuda a hacer un estudio objetivo de todos
los pasos por los cuales deber pasar la informacin. Se considera necesario
agregar algw1as caractersticas que definan an ms este estudio, como frecuencia, volumen, tiempo, costo y distancia fsica de cada paso, lo cual ayudar a un
mejor anlisis y a una evaluacin ms objetiva del s is tema.
Evale los documentos de entrada y el contenido de los reportes. Se deben
evaluar las formas de entrada, su contenido, claridad, controles, copias solicitadas y autorizaciones, verifica r que los reportes o pantallas de salida contengan

CAPhuL07
INTERPRETACIN
DE LA INFORMACIN

Usuario.
Conterudo.

Pruebas y revisiones. El objetivo es a&egurarsc que el siMema funcione&


acuerdo con la; csp~ificaciones funcionales, a fin de que el usuario tenga
suficiente itormacin para su manejo, operacin y a~ptacin (utilice la infor
macin obtcnid en las opiniones de los usuarios). Est actividad es muy importante ya qut el costo de corregir errores es directmente proporcional al
momento que se dct(cta. Las pruebas del sistema buscan asegurar que se cumplan los reqlsitos de las especificaciones funcionales, venfic.1ndo datos estadsticos, transacciones, reportes, archivos, anotando las fallas que pudieran ocurrir y realizando los ajustes necesarios. Los rveles de prueba pueden ser agrc
pados en mdulos, programas y en el sistema total

1
e
r

EvALUACiN DE Los SISTEMAS


DE INFORMACIN

o
e
()

e
Esta funcin tiene una gran importancia en e l ciclo de evaluacin de las aplica
cioncs de sistemas de informacin por computadora. Ousca comprobar que la
aplicacin cumpla la~ especificaciones requeridas por el usuario, que se haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla con ll>
objetivos y beneficios l'~perados.
Un camb1o a un sistema existente, como la cn:acin de uno nuevo, introdu
ce necesariamente c.lmbios en la forma de obtener 1~ informacin r un ro-tu
adicional. Ambo>, debern ser evaluados antes y despu.;, dtl desarrollo.
Se debe evaluar el cambio (si Jo hay) de la forma en que las operaciones soo
ejecutadas, comprobar si mejora la exactitud de la informacin generada. <i la
obtencin de lrn. reportes efectivamente reduce el tiempo dl' l'ntrega, SI es m.i>
completa, l'n qu tanto afecta las actividades del personal usuario, si aumenta~
dismmuye el personal de la organizacin. y los cambio~ de las interaccione;
entre los miembros de la organizacin. De ese modo .e !>Jbr si auml'nta o d.,.
mmuye el esfuerzo por generar la informacin para la toma de decisiones, con
el objeto de estar en condiciones de determinar ,, productividad y calidad del
sistema.

El an.llis is deber proporcionar: la descripcin dd funcionamiento del sistema desde e l punto de vista del usuario, mdicando todas las interacciones del
sistema, la dc;cripcin lgica de cada dato, las estructuras que forman stos yel
flujo de informacin que tiene lugar en el sistema; lo que el >istema tomari
como entradas, lo~ procesos que sern realizados, as como las salidas que deber proporcion.u, los controles que se efectuarn para cada variable y los procedimient~.

De este modo se agruparn en cuatro grandes tem.ts:

Evaluacin en la ejecucin.
Evaluacin l'n cl1mpacto.

Evaluacin econmica.
Evaluacin subjetiva.

277
EVALUACIN
DE LOS SISTEMAS
DE INFORMACIN

EvALUACiN EN LA EJECUCIN
Se refiere al uso de cuestionarios para recabar datos acerca de la actuacin de la
aplicacin en la computadora, con objeto de conocer qu tan bien o qu tan mal
est siendo usada y si opera eficientemente.
Los cuestionarios son medios para recopilar datos acerca del uso de los
recursos de la computadora y pueden ser cuestionarios manuales, encuestas de
opiniones, evaluacin de documentacin, obtencin de informacin electrnica integrada al equipo (hardware) y de programas ejecutndose (software),
obtenindose en ambas las estadsticas acerca de su uso.
Los dispositivos de hardware son dispositivos electrnicos que pueden ser
conectados a varios puntos del equipo, como Jo son en la unidad de control, los
canales de comunicacin, etc., que durante la ejecucin de una aplicacin regis
tran cantidad, frecuencia y direccin de los componentes del equipo. Los datos
son almacenados normalmente sobre cinta magntica o disco, para que puedan
ser analizados despus; por ejemplo, algunos de stos contabilizan la frecuen
cia de uso de la unidad central de proceso en relacin con la espera para operaciones de entrada-salida. Analizando estos datos quiz se detecte la necesidad
de agregar procesadores de entrada-salida con objeto de acortar la espera del
procesador central, eliminando los cuellos de botella que por esta causa se ge
neran.
Las estadsticas de software son juegos de instrucciones ejecutables conectadas al sistema operativo con el fin de colectar datos acerca de la operacin del
sistema y acerca de los programas de aplicacin. Este tipo de monitor requiere
memoria y proceso adicional, lo que disminuye la rapidez del procesador. Los
datos tambin son almacenados en cinta magntica o cualquier otro dispositivo
de almacenamiento secundario con el fin de analizarlos despus. Este monitor
ayuda a detectar qu recursos adicionales se necesitan o qu recursos existentes
deben ser ejecutados para lograr ms eficiencia.
Una estadstica de hardware puede ser utilizada para medir la cantidad de
tiempo de la unidad de procesamiento central, pero tambin podr ser concentrada en los canales de comunicacin y dispositivos de almacenamiento secun
dario para determinar la frecuencia y cantidad utilizada. Su importancia se puede
evaluar con el siguiente ejemplo.
Si estamos considerando agregar una nueva aplicacin al sistema, el anlisis del monitoreo ayuda a determinar si la computadora podr soportarla, si
puede ayudar al administrador a decidir si se agregan nuevas unidades de almacenamiento, lneas de comunicacin, terminales, etc. Asimismo, puede usar-

se para determinar s todo el equipo es necesario, si se deben redisear losarchivos, etctera.

Uso
de cuestionarios

278
CAPitvLO 7
INTERPRETAaN
DE LA INFORMACIN

Las estadsticas del software nos pueden ayudar a identificar cules son los

lenguaje> ms usados, qu<' tipo de proceso es ms comn (alto volumen de actualizaciones contra ><.'Cuencia de clculos, complejos procesos en lotes contra
procesos en lnea, frecuencia de corridas, frecuencia de pruebas, programas terminados anormalmente, etctera).
Estas evaluaciones son generadas automticamente mostrando a qu horas
del da los trabajos son corridos y tambin qu recursos del sistema fueron utilizados y qu tan grandes son las aplicaciones en relacin con el equipo.
Basndose en estos datos, el auditor contar con la informacin necesaria
pa ra hacer las eva luaciones tendientes a mejorar el S<)rvicio e incrementar la
eficiencia.
Estos dos tipos de monitores normalmente son proporcionados por el fabricante de computadoras, pero algunos monitores de software pueden S<)r desarrollados por la propia organizacin.

t.

EvALUACiN EN EL IMPACTO
Es la evaluacin que se hace !K>bre la manera en que afecta a la gente que inter-

viene en la aplicacin (usuarios) con el objeto de determinar cmo la impl antacin y el uso del sistema de informacin afecta a la organizacin d istinguiendo
qu factores son directamen te atribu ibles al sistema. Las principa les reas que
deben inten:sar son las que intervienen en la toma de dedsione& y en las actividades de operacin.
Esta evaluacin se hace con el fin de detectar a la gente involucrada; las
actividades qu~ son ncccs.uias realizar, la calidad de la inform.tcin, y el costo
de operacin resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de empezar a disear el sistema ron el fin de que, cuando se instale, &e compruebe si Jos
resultados satisfacen plenamente lo planeado. Estos datos tambon son omportantcs para guiar futuros proyectos.
Asimismo ;e debe evaluar el efecto que tiene sobre el ambiente del sistema
(personas, leyes, etc.). Para el lo contamos con varias tcnicas que nos ayudan
en este propsito, las cuales son: bitcora de eventos, regi;tro de actitudes, con
tribucin, peso y anlisis de sistemas.

Bitcora de eventos
Esta informacin se obtuvo en la seccin de la opinin del usuario donde se
registraron losewnttlS relacionados ron la introduccin de una aplicacin. Cual
quier evento que influya en el sistema y cualquier nuevo evento introducido
por l, es registrado en forma de notas, y al fmal se agrupan. Para un estudio
sistemtico no ;e requiere equipo adicionaL y debe usarse cuando la medicin
tiene lugar en periodos largos o cuando se desean medir varios tipos de impac

f
[

e
E

280
CAPITULO 7

INTERPRETACION
DE LA INFORMAc10N

Tcnicas
da la evaluacin

econmico del SIStema domtro de la organizacin en relacin con lO> bcnefioa.


obterudo.. por 6te
En el imp.lctO .,.. m1de cmo una aplicacin de sistema> de mformaon ha
contribuido o meJOrado 1.1 eficiencia en el rea donde'><! usa. Asim1,mo la evaluacin despus di' su omplementacin es crtica para conocer cmo el >istema
opera y dnde pueden IWCestarse cambios.
La evaluacin tnmmica es importante puesto que el capita l de 1.1 organizacin no es gratuito, dtbindose cuantifica r los beneficios y los costos del sbtema en trminos monclanos para estar en condiciones de JUstificar o no su
desarrollo e implantacin.
Cuando la aplicacin ha sido realizada, se busca obtener o! costo real contra
el beneficio real para comprobar o determinar el porqu de l.1 difel'\!naa con lo
presupuestado y 1o la calidad de la aplicacin.
Estas tecncas nos ayudan a obtener los elemento.. necesarios par.1 evaluar
por medio de un an.ilisi de costo/beneficio de la aplicacin. !'>:os permite adems evaluar s fue dl'S.lrrollado en las condiciones econmiC.ll> l"'peradas. por
lo que este anli~1s deber.i efectuarse antes y despus del de...-.rrollo de la aplicacin. La JUstificaci<n la omcontramos en el hecho de que cualquocr tipo de
organizacin busca ,,Jcan.tar sus objetivos con recursos econm1cos li m1tados.
El administrador de !>!!>lemas de informacin deberJ veroficM y cu1dar que
estas activ;dades se realicen en (orma sistemtica y completa para evitar crear
sistemas que perjudiqun a la organizacin y minen su economa. Fstt punto es
de suma importancia dado ~1 momento actual en donde los recu rsos computacionales se ven afectados constantemente por las devaluaciones y l'l costo del
capital. Hay qu~ tratar do obt~ner d mayor beneficio con el t>quipo dsponble e
invertir en equpos adicionales !O<IIo cuando est plenament~ justificada la in
versin por los beneficio' que >.e obtendrn.

EvALUACiN suBJETIVA
Partiendo de la premi'>il de que los usuario~ son lo.. principall., ak>ctados directamente por el sistema, sus puntos de vista y necesidades debern ser considerados para la eva 1uacin.
Los que proccs.m los datos, el personal de sistemas y e l persona l de alta
direccin debern t.lmbi~n participar en la determinacin de los btneficios econmicos de la actividad particular a ser desarrollada.
Un enfoque experimt.'ntal propone un mecanismo para obtener los factores,
adems del ahorro de costos, que habrn de ser considerados tn 1.1 o.>valuaci6n
del sistema de mformae~n.
Nect.'Sitamo.. mrorporar a nuestra contribucin de beneficios los puntos de
vista y opiniones de la g<"nlc que usar o ser afectada por la aphc.leton del
sistema de mformacin .
La justificacin de evaluaan subjetiva se centra en que la opm1<\n del grupo usuario propomona un punto de vista ms completo de la aphcaon, ayudando a obtener aquellos factOrL'S que hubiramos pasado por alto

sea

par.
cin
y SI
del
tierr
mi e
sus
la"
gar
cir
val<
imr
tro
pro
de<
est~

can

vah
del
fcc

e
la
el u

282
CAPITULO 7
INTERPRETACIN
DE LA INFORMACIN

Los controles operativos comprenden cada uno de los


individual y constan de:

Control de Aujo de la informacin.


Control de proyectos.
Organizacin del proyecto.
Reporte de avance.
Revisiones del d iscilo del sistema.
Tcnicas:
o

De usuario.

De control.

Control de cambios a programa:


o
o
o

o
o
o

o
o

Mantenimiento y documentacin.
Produccin.
Controles de documentacin.
Documentacin:
o

Del sistema.
Del programa

Mantenimiento y acce&o a la documentacin.


Control de s istemas y programas. '
Sistemas en lote (bntch ):
o
o
o

Requisicin de cambio.
Razn del cambio.
Naturaleza del cambio.
Persona que lo solicita.
Persona que 1evisa y autori za.
Frecuencia de cambios.
Persona asignada ul mantenimiento.
Bitcora de cambios.

De entrada.
Autorizacin de t.mtrada.
Armado de lotes.
Verificacin de lotes.

Control de programas.
Reporte de control:
o

o
o

Balanceo de lote;,.
Reporte de errores.
Reporte de excepcin.

s1stema~

en forma

ten forma

o
o

Validacin d e entradas:
o
o
o
o
o
o
o
o

o
o

o
o

o
o

Acceso a terminales.
Acceso a programas, archivos, datos y a la computadora.
Comunicaciones.

Informacin confidencia l.

Control de programa:
o

Control de programa a programa .


Verificacin de etiquetas de archivo.
Intervencin d el o pe rado r.
Punto de verificacin y reini cio.
Control de salida.
Formato d e sa li da .
Control de formas de salida .
Correccin de errores.
Controles corrida a corrida.
Sistemas en lnea .

Controles de entrada:

Verificacin d e secuencia.
Campos omitidos.
Totales de control.
Transacciones vlidas.
Caracteres vlidos.
Campos vlidos.
Cdigos vlidos.
Pruebas de razonabilidad .
Dgito verificador.
Etiquetado de archivos.

Controles de programas miscel,ineos:


o

Reporte de transacciones.
Reporte de cambios en el arch1vo maestro.

Reportes de control.
Validacin de en trada.

Correccin de errores.
Puntos de verificacin y reinicio.
Controles de salida:
o

Formatos de reporte.
Formas de control de "<llida.
Informacin confidencial.

283
CONTROlES

284

Los controle, t~'ncos <IUC ~e deben evaluar son:

C4PITULO 7
IN r ERPRETACIN
OE lA INFOAM4CIN

Controles de opcr,lCitSn y u>o de la computadora.


Supervisor.

Cap tu ristas.

Bibliotecario.
Operadores.
Controles de erurada y salida.
Recepcin de inform.lcrn.
Deteccin y com>ccrn de errores.
Distribucin de la informacin .
Calendarizacin.
Reporte de fallas ) mant.:nrmrento preventivo.
Controle, '-<>brt archrv~.
Recuper.lcin de des,l\tres
Controles de u ... u..ui<l....
De origen de dato,.
Origen de document.lCrn fuente.
Autorizacin de documentacin fuente.
Recoleccin y prepnr.1ci.Sn d < <ntrada y d ocu mentacin fuent<.
Manejo de e rrores de docu mer1taci n fuente:
o
o

Tipos de errores que pueden aparecer.


Pasos a seguir pdra ~u correccin.

Los mtodos a utili>ar para r.'CUperar documento- fuente corregidos son:

Retencin de documentos fuente


Controles de entrada de dato-.
Conversin de datos\ c.1ptura .
Validacin de datos.
Manejo de errort.., l'n d.ltos y captura.
Controles de sa lrda de d.lto-.
Balanceo y conciliacitSn de s.11id.1;.
DistribucitSn de s.1lidas.
Procedimientos documentados que describen los m<'todos de distribucin.
Calcndarizacin, rcvrsi<ln y d istribucin de salida por part< de los usua
rios.

Bitcoras de rt'IX>rtl's.
Manejo y retencin dt rcgistros de sa lida y documentos contabl<s.
Formatos de salrda:

e
E
R

E
L

\
e
(

S
S
S

S
S

e
e

F
1
~
(

5
senta
du~.;i

cuan

p,

Frecuenc~a.

\:mero de copras

Controles tcnico.:

Programtica
Aplicaciones.
Sistemas.

Lap
te fo
l.

285

RI'C'IUSOS de los programas por aplicacin:


PRESENTACIN

Calendario de programas.
Errores y recuperacin.
Registro contable:

Equipo;.
Unidad control de procesos.
Memoria >CCUndaria.
Dispositivos perifricos.
Controles lgicos do:>! "stema:

Sistemas operativos.

Sisto:>mas de ulilera.
Sistemas de bibliott-cas.
Sistemas de 'llantenimento de archivo.
Sistemas de seguridad.
Control de acceso al sistema.
Control de cambios al sistema:

Redundancia en la informacin.
Inconsistencia de d atos.
Seguridad
Controles de seguridad, respaldo y confidencialidad.

Sobre las bases de lo objetivos de la auditora en inform.itica se debom prcS<mtar, de acuerdo con la informacin obtenida, lo; controle!. e~istentes, 1.- conclu,iones, opaniones y altmativas de S<>lucin debidamente fundamentadas en
cuanto a:

tnbucin.
Jo,. u;ua-

E\'aluacin de los '"temas.


E,aJuaon de los eqUipos.

'

PRESENTACIN
L.1 presentacin de las conclusiones de la auditora podr hacerse en la siguiente forma:

l.

Una breve descripcin de la situacin actual c11la cual se reflejen los puntos
ms importantes. (bta p resentacitn es para d nivel m.i~ alto de la organizacin.)

286

2.

CAPITULO 7
INTERPRETACIN
OE LA INFORMACIN

Una descripcin detallada que comprende:

Los problemas detectados.


Posible> causas, problemas y fallas que originaron la situacin presentada.
Repercusionc~ que pueden tener los problemas detectados.
A lternativas de solucin.
Comentarios y observaciones de la direccin de informtica y de los
usuario' sobre la'> wlucioncs propuestas.

Si se opta por alguna alternativa de solucin, cules son sus "'percusiones.


ventajas y deS\'entaJaS, y hempo estimado para efectuar el camb1o.

l.

2.

Se debe hacer hincapi en cmo se corregir el problema o se mejorar una


determinada situacin, se obtendrn los beneficios, en cu,intu tiempo y cuk.,.
son los punto'> db1IL>s.
Se debe romper la fl">istcncia a la lectura que tienen algunos CJCcutivos por
medio de conclusiones concretas que sean sencillas (se procurar que se
entiendan los trm inos tcnicos y, si es posible, usar tcnicas audiovisuales).

Como ejemplo de formato de presentacin de las conclusiones de la aud itora


en informtica, vase la figura 7.1, y como ejemplo del seguimiento de la .lUdito
ra en informtica, vase la figura 7.2.

287

~ ~~~
3~

npresen1

~!

ay de los

jorar una
:l<lycules

utivos por
u que se
)Visuales).
auditorfa
la audito-

~n

~
:

<VE

-..
~

o
.5
e:

Trusiones,

PRESENTACION

11

i!!!

~g
~

~g~ ~

!1!
o
;'::!
~

..
,....
..

:;J

.!!!

"'

e:

o;

:;J

e:

..

,..;
~

:;J

tll

'

~
~

~!
~~

i
2

Figura 7.2. Seguimiento de las recomendaciones de la auditorfa en Informtica


PERIODO OVE SE REPORTA
OIRECCION

DE
-FECHA OEN\JM
TERMII'/0 DE LA AUOJTORIA
HOJA

AUOITORIA A

......
ces

fECHA

EST'MOA

OECOUEt<DACoOI<

OEIIUOL

FECHA
REAL DE

RESOL

MOTIVO POA: EL
CUAL NO HA SO:>
RfSUQ.To\

R(PI..AHT'EAM E~TO
OE LA SOL\JCIIOH

FECHA

-.;RVAOC)H

"ESPO"oi:S
CELA

"""""

-~

l
(")

Conclusiones
1

El avance tecnolgico que se ha logrado en los ltimos aos ha sido impresionante. El avance se ha reflejado ms posiblemente en el rea de informtica, lo
cual ha provocado que se tenga microcomputadoras con un bajo CO'>tO y con
una gran capacidad de procesamiento y que se cuente con computadoras que
permitan desde el control del proceso de ensamble de automviles en forma
completamente autom~tica, hasta que en la dc!cada de los sesenta se haya pod ido llega r a la Luna. En el rea educativa este avance ha influido en todas las
carreras, desde los subtcnicas y subprofcsionales hasta las tcnicas y profesionales. Nos ei1C011lramos as con que los nios de primaria )'3 estn usando las
computadoras y no hay profesin que no necesite en forma directa o indirecta
su utilizacin.
Si analizamos que aproximadamente 80 por ciento de las computadoras
digitales son utilizadas en las organizacion~ con fines de informacin, de toma
de decisiones, contables y administrativos, y si evaluamos el costo que representa la utilizacin de estas computadora~. podremos ver la importancia que
tiene para la alta direccin poder evaluar la adecuada utilizacin de esta herramienta. Esto trae como consecuencia que el profesiorsta deba actualizarse en
el uso adecuado de lo nueva tecnologa, asr como en la evaluacin que se haga
de este recurso tan costoso. Tambin deben adecuarse las normas de auditora
y del control interno pa ra que sean congruen tes con el desarrollo tecnolgico.
La aud itora en informtica es una nuev,1 materia que es consecuencia directa

del desarrollo en el rea y de la necesidad de evaluar la adecuada utili>acin,


respaldo y confidencialidad de la informacin de la organizacin.
Esta nueva rea evala la informacin desde su generacin (dato) hasta su
utilizacin (informacin), y debe considerar la herramienta que se utiliza, su
optimizacin, el respaldo de la informacin, la seguridad y confidencialidad de
la misma, y conseguir el mejor uso de la informacin al menor costo, evitando
duplicidad.
Para logrnr esta evaluacin se requ iere que el auditor cono:<ca no slo sobre
las materias que le son propias, sino que tenga una capacitacin tcnica en el
rea de sistemas computacionales e informtica.
La auditora no debe terminar con la presentacin. sino ser el inicio de una
serie de auditoras y revisiones peridicas, con un adecuado seguimiento de las
observaciones, para lograr las correcciones a los problemas y las mejoras a los
sistemas que lo ameriten.

Bibliografa

Aunles de auditora adnrinistralim, Lic. y C.P. Jorge lvarez Anguiano. Facultad


de Contadura y Administracin, Uni"ersidad Nacional Autnoma d~
Mxiro.
1.n a11ditora administrativa, Lic. Jos Antonio Fernndez Arena, editorial D1.lna.
Admi111straci11, Koont2, O'Donl't'l y Wcihrich, e-ditorial McGraw-Hill.
Arufrtora de estados JitlatiC/aos, wt m<o midrw, Gabriel Snchez Curiel, editorial
McGraw-Hill, 1997.
A11ditorn de sistemas electrnicos, Portcr Jr., W. Thomas, ed itorial Herrero licrmanos~ sucesores, 2a. ed i cin~ Mxico, D.F.
Auditora m informtica, 1111 mfoqw prrfctiro, Mal'io G. Piattin i, Emilio del Peso,
ed itorial Ra-Ma, 1998.
A11ditora m informrftica, un rnfoqm 111rlodolgiw y prctico, Enrique Hcrnndc;
Hcrnndez, editorial Continental, 1996.
Control y a11ditorm del computador, ln;tilulo Mexicano de Contador>s Pblicos,
A C., Mxiro, D. F.
C.mtnl/ Objrctives, EDP Auditors Found.ltion for Education and R>g>arch, U.S.A
U. computaci6n "' Mixico, diagm;istrco, ~rs>litw y estrategias de desarrollo, Fun
dacin Arturo Rosembleuth, A.C., 1982.
Computer A11dit G11idelines, Canadian lnstitute of Chartered Acrount>., Toronto,
Canad.
Oerrclro intelectual, David Rangcl Medina, la. edicin, editorial McGrawHtl,
1998.

EOI' A11diting Coucept11al Fo11ndatwns tlltd Practice, Ron Weber, editori~l McGraw
Hill.
EOP Auditiug, Ke!Ulth, W. Clowews, tlolt, Rinchart y Winston, Canad~ Lim itcd.
Formdafiotrsoflnfomration Systl'llr<, V Lod imi Zwass, editorial McGraw-1 lill, 1997.
La gestin de los nombrr:s y direccionl'S de lntemet: cuestiones de propiedad intelectflal,
30 de abril de 1999, Organi.oacin Mundial de la Propi>dad Intelectual
(0MP1).
Gua 11, lntematonal Federation of Accountants (IFAC), Revisado, 1998.
Jnfomration SystrJII Ma11agement, James A. Senn, Satate Univ>rsity of New York
Bringhamtor, editorial Wadsworth Publishing Company, lnc.. Belmont,
CaliJornia; !978.
Jnformation System in Mlllragemt'llt, editorial Restan Publishing Company, tnc.,
la. edin, Reston Virginia.
lltgt'lliera computacional, 1lrsetio tfr lrarfwarr, M. Morris Mano, editorial l'renticc
Hall, 1991.

292

Mmwgement An ExperiuwJtal Appronch, Knudson, Harry R., Woodworth, Robcrl,


BIBLIOGRAFfA

BeU, Cecil H., editorial McGraw-Hill, la. edicin_ Nueva York.

Management lnformn tion Sysllm, Thc Mnnngement View, Robcrt Schu ltheN~, Mary
Suomer, editorial McCrnwlli ll, 1998.

Management Jnfornwtiou n111f Control System, R.J. Trickner, Oxford Ccntcr for
Management Studics, ed itorial Willer-lnterscience Publication, 1976/
Management Juformatiou Systems, Stephen Haag, Maeve Cummings, James
Dawkans, editorial McCraw-ll ill, 2a. edicin, 2000.
Standards for Data Proctssit~g, Brandon, Oick H., editorial Van
Nostrand Reinhoold Company, la. edicin, :--lueva York. USA.
Mat~ual de infom~e del aud1tor, Instituto Mexicano de Contadores Pblicos.
Metodologn y tcnicas de it~wstigaci6tJ e11 ciencias sociales, Felipe Pardinas, editorial Siglo XXI, 1981.
Modern Control Systems, Richard C. Dorf, Robert H. Bishop, e<litorial Add ison
Wesley, 1995.
Normas y procedimientos dt n11dilorfa, Instituto Mexicano de Contadore> Pblicos.
Procedimimtos de control en computacin, Canadian lnstitute of Charte red
Accounts, Ins tituto Mexicano de Contadores Pblicos, A.C.
Protecci6n ir~formtica, Pierre Cratton, editorial Trillas, 1998.
La proteccin jurdica de los pro,~ramas de computacin, Universidad Nacio"al A u
tnoma d e Mxico, 1998
Redes de computacin, Andrew S. Tanenbaun, 3a. edicin, ed itoria l Prenticc J lall,
1997.
Mat~agenumt

Secretos industriales, coml!tltarios sobre aspectos relevantes de Sil rcglamentaci6tl en


Mmco, Mauricio Jalife Daher.
Seg11ridad en centro. de cmputo, Lronard H. Fine, editorial Trillas, 1988.
Seguridad t11 computaci6n, William P. Martin_ Interface Age, febrero, 1984.
Seguridad en infomtica, jao Marcos Fantinatti, editorial McGrawHill.
Sistenras operativos, amccpto.. fmJdamenlales, A. Silberschatz, J. Peterson, P. Calvin,
3a. edicin, editonal Addison Wesley Iberoamericana, 1994.

Sistemas de infomwcin administratiw, Robert G. Murdic, 2a. edicin, editorial


Prenticc Hall.

The Syslem Dl'tlelopmcnl Aurlit, Horeld Werss, PTH lnterna tional Conference of
EDP, Auditor Association.

Tcnicas de iJ1 audit~Ka cu informtica, Yan Derrien, editorial Al faomega Ma rcomoo,


1995.

INr

th, Robert,
~ers, Mary

,
INDICE ANALTICO

Center for

1976/

tgs, )ames

!orial Van

icos.

-A-

~.edito-

Addison

;Pblicos.
:harte red

:ional A u

1tice Ha ll,

ntacitJ en
.S.
984.
J.
P.Gah'in.
editorial

'erence oC

.arrombo,

Acceso
dav.,. de, t 9S. t 99
control.,. de, 225
llaves de, 19s-199
rutas de, 197198
Actividadt...~

calendario de, 121


control de, 122
hoja de plnn~ncin de, 126
Admin;trllcin <.1~ la investigacin
preliminar, 39
Agua, de;astn.'S por, 224
Aire
acondicionado. 221
duetos de, 228
movimiento de (CFM), 227
Ala.rm.a contra .ncendio, 226
Alcance de la cobertura, 244
Al.mattnamiento
de documcnte>S de entrada, proceso y
.alida. 15
dispositivo. de. 173-177
Alt.'l gerencia, 37
Anlisis
crtico de los hechos, 270271
de informes, 107, 113
de la situJcin, 56
d e organizaciones, 7576
de sistemas, 279
del impacto de la o rganizacin, 259
del sistema, 93
evaluacin del, 95-97
manuales de, 96
y d""'o estructurado, 97
An.>liLldO""' de virus. 237
Aplicaan(es)
ciclo de evaluacin de las, 276
planeacin de las, 95
situacin de una, 95-96
A5eguradon.-s, 244

Asegurado>. 241
respon.abihdad de 106, 2-14
Asignacin de trabajo. control de. 171172
Auditor(es). 16. 32, 239
independencia del. 37
nmero de, 32
particopacin, 92
respon.o;abolidades de los, 2930,
187 188
Auditor interno, 8-9, 26, 34
conocimhmto y l'xpcriencia del, 27-29
habilidades del, 1617, 28
objetividad de l, 27
Audito ra
asistida por computfldora, 10
conclusiones de la, 287
dcfinidn, 2

de programas, 2223
personal de la, 43
plancacin de, 16, 30-31. 41-12
p.....mtacin de la, 285-286
procedimo<>ntO' de, 34
programa(s) d. 11, 43-44
programa de trabaJO de, 32
report<>S e<pialcs, 215
requerimil'fltos de una, 40-42:
seguimiento de la, 288
tcnica't avnn7ndas de, 12-16
Auditora adminislrativa, 9-10
A udi toda con i nform:tic.1, 10
Auditora en inrormtica, L7- l8
campo de accin de la, 20
concepto, 1718, 26
d irector de, 35
elementos que debe evaluar la, 96-97
la, y los tipos de auditorio, 22
objetivos de la, 21-22
pasos de una. 37
planeaon de la. 30-32
Auditora mtt."ma. 26
norma~ de, 26
relipont>abtlidadcs del departamento
de, 27

294
INDICE AHALirtCO

Autentificacin
del usuario, 212
en sentido digital, 216
Au torizacin de accesos, bl'gurtdad de., 225

-BBases
de indemni,d<'in, 246-247
jurdicas del depart.lm<'fllo de
inform.itic~l. 6467
Bases de datos, 99-100, 249
administrador de. 100-101
componentes .1 eva1uu t."T\ una, 100
modelos de, 101
sistema de admini!:JtraC'in de-, 99

software manl')oH.Ior de (DilMS),


202-203
Batch, tJnsc Sistema; '-'" lote
Bitoora(s), 158
de audilo d a, 200-201, 205, 206
de eventos, 278-279
Bolet11 C. 2
Bolef11 E-{}2, 5
Bootstrap, 237
BTU. vast Dbipdcin t~rmica
Bugs. 236

-CCAD/CA.\i, '"""" Daser\o d~ m.mulactura por medio de J!!t!-ttt.ru'ia


.
computarizada

Calendario de actividad<'' 121


Calor, prdidas por tr.ln>fcrcncia dr, 227
Cambios y mt>joras al siMl'ln.:l, 93
CASE, vase Softwan d< ingcnlcdo de
asistencia computttrizoildil

Categoriz.1cin d<l software, 90


Centralizacin, t88-189
Centro de cmputo, 182-111-1
segundad de ac.:e.o. 22-'i
ubicacin y construccitSn dll. 220,
228-230
CERT, <o6zs< Eqwpo de "''PU<.,.ta de
emergencias de computc1dora
mi, tr6be Mo\'imirnto de aire
Gclo de e-valuacin d~ la ... aphc.1dOn("!,, 276
aa~ificadn

de desastres, 252

de tra.nsacciones, 6
del riesgo, 254
Cobertura. alcance de la, 244
Componentes
de un sistema dC' comunlc,lci'. 102
lgicos, 242
Compu tadora
crmenes por, t93-191
delitos por, 192, 193
vrus de, 193
Comunicacin, 102-103, 113
sistema de, 102
Condu.iones, 289
Confidencialidad, 197
Configuracin del <'qUipo, 265
Consideraciones al audator, 208-215
autentificacin dc-1 usuario, 212
instalacin y m,'lntenmicnto, 209-210
operacin, 210
recursos para controlar el acre.o, 212

control dC' O<'C'~so, 196,


199-205. 212-215
Consulta a los usuarios, 92
Contingencia(s)
e tapas del proyt><to del plan de, 253
metodologa del p lan de, 253
plan de, 251, 252. 257, 263
Contratacin de emplados, plan"' de, 32
Contribucin y peso, 27'1
Control(es)
a auditar, 205-208
de acceso, 225
de asignacin de trabal'' 171-ln
de avance, 129
de avance de prosraml'cin, 128
de calidad, programa de, 35
de datos fuont~. t61-162
de diseo de sist<'mas, 119, 130132
de mantenimiento, J77.. 179
de medios de ,lhn~tecnnmiC'nto
masivo, 173-177
de proyecto. 117-119
de seguridad, 285
generales, 281
mesa de, 16ol, 165
operativos, 282-283
salida, 170-171
tcruoos, 28-1-2!15
Control interno, S
objetivo(s)
autoril.clcin, 6
bsicos, 5
de salvaguardJ Hsic..d, 7
sofh..rare c.le

de verificacin y evaluacan, 7

generales, 5-6
procesamiento, 6
utilidad de los objetivos clemcntal<':'t

)n, 102

del, 29
Cookie, 143
Copias ''piratas", 193
Costo
de In operacin, 164, 166
de un sistema. 94
del equipo de cmputo, xi, 240

Credl>nciales con banda magntica, 199


Criptoanlisis, 217
Criptografa, 217-218, 247
Cul'>tionario(s). 134-138, 2.56
de fundones crticas. 260
de operacin, 261-262
de seguridad fsica, 228-236
para g uiar la entrevista, 259
sobre el impacto de la orgamza.cinl
259

15
12

209-210

212
SO, 196,
~so.

y cmtrevistas.. 256
Cumplimiento de los documentos

administrativos, 57

1e, 253

-0~de,

-172

128

L>e...:ripcin

295

de forrnas, 111

eJe formas de papelera, 112


de informes, l 06
Deteccin de humo y fuego, 226, 232-234
Diagrama(s)
de flujo, 97
uso de, 272
Oio;;co

de formas, 104- 113


de manufactura por medto de
~istencia

computariz..1.da

(CAD/CAM). .ni
del 'btema. 93
detallado, 93
estructurado, anlisis y, 97
evaluacin del, )3()..131
fonnas de, 104

general, 93
lgico del sistema, eva luacin t.lel,
98-103
t~nn ica (BTU), 227
l) in..)('cin del autor en lntt>rnet. .tlt'
Dhponibilidad, 197
Divisin de tareas entre los empleado~. 15
Dominio, nombres de, 149-154
DSS, ll/ase Soporte en la toma de dec1~ionc-~

Di<ipacin

32
Datos, 156
DBMS, "~Si>tema de adnurustracin de
~ de datos
D-..>cisiones, soporte en la toma dt.~, 2n
0..-gradaan del equipo, 182
Delitos por computadora, 192
motivos, 192-193
Departamento (o rea) de in!ormJtico
ba<es jurdicas. 64-67

- EJl)J, ~ Intercambio electrruro de dato.

('valuacin administrativa del, 20


funciones en el.. 67-72
obj~t i vos. 72-75

Hiciencia de la operacin. 164, 166


EFTS, rtia~ Sistema de transferencia
electrnica de fondos
EIS, l'insf" Sistemas de infonnacin p.uJ
ejecutivos
Elementos de las cnt~vistas, 257
EMS, t~nse Sislemas de rcunion<'S t"n
forma electrnica

~suridad

Encrptamie nto, 216-218

del. 192-193
tipo> de dependencias del, 62-63
Derechos de autor, 138-142
proteccin de los, 144-145
Dcs..urollo
del siStema, evaluacin. 115
estrategia de, 91-92
tmplementacin y, fisiro, 93
programas de, 98-99
))o.><;.1Stre(S)

clasificacin de, 252-253


plan en caso de, 264
por agua, 224

~n t revista(s)

a usuarios, 133-134
con el jefe de informtica y con
especialistas, 258
con el personal de inform.itica,
82-83
cuestionario para guiar la,. 2.59
elementos de las, 257
propsito de las, 257
)'cuestionarios, 256, 259
Ent ropa, 115

lquipo(s)

INDtCE ANAUnCO

296
fNDICE AN ALITICO

configuradn del, 265


d e cmputo, scgu l'idad de, 241
de respuesta dt: ~mergcncicls de
comput.Jdora~ 238
seguridad al n-;taurar el, 249
S<!guridad en l uhli/adn del, 247
seguros de los, 240
Estrategia
de desarrollo, 91-92
de respaldo, 263
Estudio
de factibilidad, 92, 94, 119
de viabilidad, 58-59
Etapas del proye<:to del p lan de
contingencias, 253-254
Evaluacin

-FFactibihdd, estudio de, 92, 94


Firma dgtal, 2lt>-217

Forma.c,
de d~o, 104
do;crlpcin de, 111, 112
evaluacin de, 108, 109, 110
Forma' tradJC'ionaJes de evidenda

almacena miento de documC'ntos de


C'nlrndl, proceso)' salidfl,. 15

divisin de tareas entre los


cmpl(.\ados, 15
listado de los resultados del prO<\...,,
14 15
mantenimiento en manuales df?
informacin~ 14
manual~ de procedimjentos con
lnfonnaCJn relativ~ 15

adminstrativ dtl departamento de


informtica, 21
ciclo de, de las aplicaciones, 276
de formas, 103-110
Pr'OCCS..lmiento manual, 14
de la configuracn del sistema de
prore.o de grandes cantidades de
cmputo, 183-189
dntos, 15-16
de la estn octura orgnica, 61-1\3
proc~tJO t;implificado, 14
de la gerencia de in(ormtica, 58
rC'gislro manual de la informacin,
de la instalacin en t~rminos de
13 t4
riesgo, 255-256
revisin de procesos, 15
de los recursos humanos, 76-82
revi.:.in de transacciones por eJ
de los sistcm..,. d<' informacin,
personal, 14
276-277
transacciones originadas por
de sistemas, 90-95, 272-276
per<on.><, 13
de acuerdo con l'l n~go, 38
transporte de documentos, 14
distribuidos, 116
uso de docum~ntos tmpresos, 15
y procedin\Jentos, 21
Fraude, 194, 195
de software, 99
Fuego y hwno, 226-227
de un sistema con datos d(l prueba. 12
detecc<ln de, 226, 232-234
del desarrollo del sistcm,,, 115
Funciones
del diseo, 130
crticas, cuestionarios de, 260
del diseo lgico del btema, 98, 103
en informtica_ 67-72
del mantenimiento, 179-182
del proceso de dato<., 21
detallada, 33
-Geconmica, 279-280
en el impacto, 278-279
Grado de madul'('z del $istema, 271
en la ejecucin, 277-278
Grica
de Oujo de la infon nacin, 104
subjetiv'l, 280-281
Grupo de recuperacin, 253
Exnrnen y evaluacin de la in(omldcin
pruebas de consentJl(.nto, 35-36
pruebas de controles del usuario, 36
- Hpn1ebas sustantivas, 36-37
Etntores (o extinguido..,., 22t>-227,
Hockcrs, 239
232-234
Hardware,
277
Extranet*" :ri
Hechos, anJ,.,. crtico de los, 270

92,94

112
09,110

evidencia
d<XUmentos de
y salida. 15
ll'l'los

:los del proci.'SO,

lnuales de

ruentos con
jva, 15
J, 14
.ntidades de

14
ironnncin~

5
""'por el
tS

por

tos, 14
>resos, 15
34
!, 260

Humedad, temperatura y, 227228


Humo, fuego y, 226227
deteccin de, 226, 232234

-1Implantacin, 133
Implementacin y desarrollo fbioo, 93
lncendios, 224

Indemnizacin, bases de, 246


lnfonnacin, 4

oonfiabilidad e integridad de la. 29


de niveles, 4
entrada de la, 162164
~xamen y evaluacin de la. 3437
grfica de flujo de la, 104
manejo de la. 248
prdida de, 1920
planeacin y control de la, 4
sistema de, 29

utilidad de la, 5758


h>formtica, 3, 8
departamento de, 20, 6263
entrevistas oon el personal de, 82-83
funciones en, 67 72
gerencia de, 58
Informes, 103-113
anlisis de, 107, 113
descripcin de, 106
lntciahzacin. 237
Instalacin elctrica., 222-224

ln<tructivo(s) de operacin. 132. 170


Integridad, 197
Intercambio electrnico de datos (EDI), xri
Internet, :r:i, 142-144. 238
direccin del au tor en, xiv
Investigacin preliminar, 39-42

en manuales de informacin, 14
evaluacin deL 179-182
excesivo, 131-132
instalacin y, 209-210
tipos de contratos de, 177 '1 79
Mnnual(cs)
de anlisis, 96
de o rganizacin, 26, 61
de procedimientos con informacin
relativa., 15
Memorias RAM y ROM. .t i

Meta>, 31-32
Metodologa del plan de oontingencia-, 253
Mo"imiento de aire (CFM). 227

-NNombres de dominio, 149-154

-0Objctivo(s)
de la auditora en informtjcct,

21-22
de la ""guridad en el rea de
informtica. 192
del departamento de mformtJca_
7275
del libro, :riii

del plan de oontingencias, 253


Operacin(es)
consideraciones a auditar, 210
de los sistemas en lote, 166-170
en paralelo, 12
instructivos de, 132, 170
Organizacin(es)

-L~m

cin, 104

L<>nguajes de programacin. 98
Lbtado de los resultados del pro.'liO,
14-15
Llaves de acceso, 198-199

-M-

anlisis de, 75-76


nnlisis del impacto de la_ 259
antecedentes de la, 258
manual de, 26

plan de recuperacin de la, 262


pr()('f)S()S crticos de una, 255-256

- PPa>>11>ord, 198

170

Mninframe, xi, '227


Manojo de informacin, 248

297

Mant~mie-nto

Prdida de la informacin, 19-20


Prdidas por transferencia de calor, 227

INDtCE ANALJnCO

298

11

Pt"rsonttl
NDICE ANAlfncO

de cargas de mquina, 171


de prucl~sos electrnicos, 56
part>opante, 42->t
l'i'O elevado, 221
!'Jan(~)

de conhngencias, 251-263
de provectos, 60-61
de recu~racrn de la organizacin.
262. 264
de -eguridad, 61. 252
<'>lral~gico, 91-92
mdestro~ 60
PJant"aon

Propsito d~ las cntrevi,ta ..., 257


Proteccin conlra VIrus, 237
Proyecto(S)
control de, 117119, 120
del plan de contingellcia'. 252-25-1
Pruebas de COns('nlimiento. 3536
Pruebas integrales, 12

-R-

RAM,xi
Recuperacin
de .lctividade,, hoja de, 126, 129
grupo de, 253
dt. dUdrtoriit., 16
plan de, 265
dl' Cilmbros, 59
Recopilacin de la inform,lcin, 56-SH
d'-' J~1 .1uditori.o en informtica, 30-32
Recursos financ1cros, 85-86
de programacin. 125
Recursos h uma nos, 56-57
dl' srstem.ls, 92
RccunK>S materi:~les, 86-87
Red(es)
docunwnt~rdt\ 3 1
t.~str.t (Cgictt, 95
de computadoras, 249
pmce.,o de, J I
puntos a revisar en lt~s, 103
Polltica(s)
tipos)' topologa, 102
de re>paldo, 156-157
Redundancia, ll4-IJ5
Registro(s)
de revisin Ue br t~cor.1, 158
de actitudes, 279
de :.eguridad fka del si/e, 159-161
y procedimjentos, 157
extendidos, 12
Pli,a de seguro, 241
Regu ladores, 222-223
Pre.&,upue.stos, 84~85
Relacin precio/ memorin, XI
Re nta, 187188
Pmbll'mas de Jos sistemas de
admin.~tradn de bases Ue datos, 101 Repeticin de procesos, 250
Reportes, 212-213
PrOt."edimient~ de rt>stduracin., 250
PrCl<:'e~lll\if!nto manual, 14
especiales de audllora, 215
Proa.">>(s)
Respaldo(s)
crticos d..- una organizadn,. 255-256
de informacin, 156-157
estrategia de, 263
de grand<'S canhdades de datos, 15-16
<ef'<'hon de, 250
Responsabilidad de los asegurados, 244
'Jmplificado, 14
Restauracin.. Pro<'edirnientos d(>, 250
Productividad, 1~186
Resultados de clculO> para
Programaon
comparaciones, 13
Revisin(es)
control de avance de, 128
facJ!idades de, 133
de acceso, 12
informe de avance de. 127

plan,acin de, 125


nesgo:. en la. 248
Program,ldor(es)
control d<, 12~
control de actividades del, 122
Progrdm,u
copias de. 193, 194
de des.1rrollo, 98-99
de trab,lo, 172

dep~,l5

detaUada, 33
prelimin.lr, 32-33

Resgo{s)
cla.<ificacin del, 2->t
en la programacin, 2~8
evaJuactn de la instaritcin l'n

trntinas de, 255-256


ROM, .ri
Ruido, 113
Rutas de acceso, 198

ISf,lS, 257

S, 237

l, 120
gmcia;, 2522~
ento, 35-:16

49
las, 103
)2

-SSalida. control de, 170- L71


Souetos mdl"lri"l''"' 14S.149
Seguridad. 21
al n:-taurar el equopo, 249-250
conlra dc-.."1""- por agua, 224, 231
de autoraacal'l de accesos, 225,
231-232
en contra dl\ vin1s, 236
en el l'''"onnl, 2 18-2 19
en 1,> util izacin del equipo, 247-249
ffsoc.t, 219, 228-236
lgoca, 194197
obJetivn,o, de la, C'n el rea de
anformJtic.:d, 192
plan d<, 2.~2
c;Jstcma mtt.-~ral de, 196
Seguro(>)
condicione 1\encralo.>s, 243-244
de lO> e<]uipo<, 240, 241
excl u s i om~s ('Speciales, 244-245
exdu ... i on~.~ gtnerales, 242..243
pli'a de, 24 1242
Sclccdn
d(' dl'h!rminJdo tipo de transacciones,

13

ia,215

157
;egurado,, 244
ntos de. 250

48
]acin en

26

de la l'Sir,ll<gm, 262-267
Somulacin, 12
Sislema(')
cambl()~ y mrjora .. al. 93
odo de vod.> de lo<, 92-93
componc 11h~.. ~nciilll'S, 258
confklt.nd,\lidnd de los, de
in formacin, '1 97
crtin~~.

2fl0

de admmJ'itradn dii' bases de dJtll'o,


(OBMS). 99
pn>bl<ma .. de lo:, 101
deba"" d< d.11"'. 100
\it>nl,lJ.l"t de los, 101
de cmputo, evaluacin de la
conlogurnci<ln del, 183-189
di_) COnlLJJliC\lcin, 102
de cncr~r~, no i nterrumpido (UPS),
223
de informacin, 29
l'v,,luacin de los, 276-277
dt' informadun par,l ejecuti,-os (EIS). xu
de r..-umont.(O en forma electrmc.J
(E\15).m

de lrani!-l't'nna electrnica de fond\l..,


(1 ITS), .ni

d isponibilidad de los, d~ i n (ormt~cin,


197
distribuidos, 116
en lnea o en liempo r.,,,l, 249, 251
n lole (batch). 166-170
,.._tudio de los, 96
evaluaan de, 90-95, 2n-276
\'Valuacin del desarrollo dtl, 115
evaluacin del di~o klgico dtl, 98,
103
;o-.>do de madu rez del, 27 1
inlcgrdl de segu ridl.ld, 196
integridad de los, d<.' i nformt~dn. 197
operJtivos, 201-202
planeaan de, 92
problema.~ ms comu""' de la<, 9-1-95
procedimiento en el, 104
prucb.>s del, 93
n.porte semanal de lo~ n.. rtms.abl~
del, 123
Srlt
caractcr~ticas del. 160
ln<lalaciones del, 159-160
5ihMci6n de los recursos humllnos, 56
Sultwdre
,, Id medida de la oficn~1, 9l9r;
categorizacin del, 90
comercial, 90
compartido o regalado, 90
rontrol de las licenc1as dtl, 15S159
de ingeniera de asic..hncJ.l
rompularizada (CASE), .lli, 9!1
de eguridad, 200
de seguridad gencr.l, 205
t.'lnborado por el usuilrio, 90
t"dilVO, 238
'"'P''<firo, 206
e\,1luadn de, 99. 209
transportable, 90
un solo usuario o mulhu .. uano. 90
Sollwarc de control de .u:ce<o, 196,
199-205
consideraciones a audildr, 210-211
rl'JlOrtes y vigilancia, 212-213
s is tem as opera ti vos, 201202, 206-207,
213
!'Oftware de collSolas o tl'nnil'l;li("C;
maestras. 203, 207
'><lflware de libreras. 203-204 207, 214
wftware de telecomunc.lclont..~. 205,
208,215
roflw.>re de ulikri.-.>, 204-205, 20K,
214-215

299
NDICE ANAUTlCO

300
fNDICE ANAL.Jnco

software man~jador de bases de


datos, 202-203, 207, 213-214
Soporte
cotidiano, 93
<'n Ll toma de decisiones COSS1 2n
Subplan<>s del plan maestro, 60

-u-

-TTmicas de auditoa
an.ilisi> crbco de los hechos, 270-271
evaluacin de un Sistema con datos de
prueba, 12
grado de madurez, 271-272
operaciones en paralelo, 12

prueba, integrales, 12

IJPS, vi~ Sistema de energa no


interrumpido, 22.1
Uso de documenlos imp,..,...,. para
construir el proceso, 15
Usuario(s)
aceptacin por p.1rte del, 93
aul(>ntificacin de, 212
consulta a los. 92
ruesbonano para los, 211212
entrevistas a, 133-134
"'<fuelimientos del, 92. 135
tipos de, 196-197
Utileras, 20-1
Utilizacin del <'quipo, seguridad en la, 247

regstros e>tendidos, 12
resultados de ciertos clcu los para
comparaciones posteriores, 13
revisiones de acceso, l2
seleccin de detcrmjnado tipo de
lransaccioncs, 13

simulaci6n, 12

- VVacunas contra virus, 237


Va(idactn por caractersticas, 199
Virus

anaJi?'adores de, 237


daos por, 2.'!6
de computadorn, 193, 236
proteccin contra, 237-24()
seguridad en contra de, 236-237
vacunas contra, 237

totales aleatorios de ciertos


programas, 12

Tecnologa
de flujos (WORKFLOW), xii
neutral, 20
Tcleoomunkaciones, software, 205, 208
Temperatura y humedad_ 227

Tierra fl,ica, 222


Tipos y topologa de n>des, 102
Tol~randa, 260
Tom.1 de decitJiont?s incorrectas, 18
Totak'1, aleatorios de ciertos programas, 12
Tran_<acdn(<'S)
da~ificacin de, 6
oliginadas por personas, 13
regi$tro manual di?' la informadn
para oligmar Un.J. 13-14
revLin de, por el personal, 14

- WWORl<Flow. re.._ T<'mologa de fluo.

- ZZombies, 238-239

AUDITORA
EN INFORMTICA

La auditora en informtica es una prctica


administrativa por dems sana en empresas y
organizaciones, sobre todo en esta poca donde
las caractersticas del software y del hardware
varan con el fin de satisfacer necesidades muy
diversas.
Presentamos la esperada segunda edicin de
Auditora en informtica, obra que se ha
actualizado para responder a los cambios ms
actuales que la industria informtica ha
generado en sus mltiples reas.
De manera indudable, quien tenga necesidad
de saber cmo realizar la tarea de la auditora
informtica, encontrar aqu todos los elementos para cumplir su cometido.