Conceptos de Auditoría de Sistemas de la Información

• Procedimientos y tecnicas de auditoría de sistemas.

• Areas de la auditoría de sistemas: Las areas de las que se ocupa la auditoría de
sistemas son:

1. Revisión de controles generales

2. Revisión de centros de cómputo
3. Revisión de Seguridad
4. Recuperación de desastres
5. Revisión de Sistemas Operativos
6. Revisión en el ciclo de vida de las Aplicaciones
7. Revisión de controles en las Aplicaciones

Base de datos de Enlaces sugeridos

CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION

PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de
objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.
El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe
fortalezas y debilidades de los controles existentes basado en la evidencia recopilada,
y que prepare un informe de auditoría que presente esos temas en forma objetiva a la
gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y
asignación adecuada de recursos para realizar el trabajo de auditoría además de las
revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Planificación de la auditoría
Una planificación adecuada es el primer paso necesario para realizar auditorías de
sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en
el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado.
A continuación se menciona algunas de las áreas que deben ser cubiertas durante la
planificación de la auditoría:

a. Comprensión del negocio y de su ambiente.

Al planificar una auditoría, el auditor de sistemas debe tener una

comprensión de suficiente del ambiente total que se revisa. Debe incluir
una comprensión general de las diversas prácticas comerciales y
funciones relacionadas con el tema de la auditoría, así como los tipos de
sistemas que se utilizan. El auditor de sistemas también debe
comprender el ambiente normativo en el que opera el negocio. Por
ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de
información y de control que no están presentes en una empresa
manufacturera. Los pasos que puede llevar a cabo un auditor de
sistemas para obtener una comprensión del negocio son: Recorrer las
instalaciones del ente. Lectura de material sobre antecedentes que
incluyan publicaciones sobre esa industria, memorias e informes
financieros. Entrevistas a gerentes claves para comprender los temas
comerciales esenciales. Estudio de los informes sobre normas o
 reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de
informes de auditorías anteriores.

b. Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoría como aquellos riesgos de que la

información pueda tener errores materiales o que el auditor de sistemas
no pueda detectar un error que ha ocurrido. Los riesgos en auditoría
pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un
error material no se puede evitar que suceda por que no existen
controles compensatorios relacionados que se puedan establecer. Riesgo
de Control: Cuando un error material no puede ser evitado o detectado
en forma oportuna por el sistema de control interno. Riesgo de
detección: Es el riesgo de que el auditor realice pruebas exitosas a partir
de un procedimiento inadecuado. El auditor puede llegar a la conclusión
de que no existen errores materiales cuando en realidad los hay. La
palabra "material" utilizada con cada uno de estos componentes o
riesgos, se refiere a un error que debe considerarse significativo cuando
se lleva a cabo una auditoría. En una auditoría de sistemas de
información, la definición de riesgos materiales depende del tamaño o
importancia del ente auditado así como de otros factores. El auditor de
sistemas debe tener una cabal comprensión de estos riesgos de
auditoría al planificar. Una auditoría tal vez no detecte cada uno de los
potenciales errores en un universo. Pero, si el tamaño de la muestra es
lo suficientemente grande, o se utiliza procedimientos estadísticos
adecuados se llega a minimizar la probabilidad del riesgo de detección.
De manera similar al evaluar los controles internos, el auditor de
sistemas debe percibir que en un sistema dado se puede detectar un
error mínimo, pero ese error combinado con otros, puede convertiré en
un error material para todo el sistema. La materialidad en la auditoría de
sistemas debe ser considerada en términos del impacto potencial total
para el ente en lugar de alguna medida basado en lo monetario.

c. Técnicas de evaluación de Riesgos.

Al determinar que áreas funcionales o temas de auditoría que deben

auditarse, el auditor de sistemas puede enfrentarse ante una gran
variedad de temas candidatos a la auditoría, el auditor de sistemas debe
evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo
debe ser auditada. Existen cuatro motivos por los que se utiliza la
evaluación de riesgos, estos son: Permitir que la gerencia asigne
recursos necesarios para la auditoría. Garantizar que se ha obtenido la
información pertinente de todos los niveles gerenciales, y garantiza que
las actividades de la función de auditoría se dirigen correctamente a las
áreas de alto riesgo y constituyen un valor agregado para la gerencia.
Constituir la base para la organización de la auditoría a fin de administrar
eficazmente el departamento. Proveer un resumen que describa como el
tema individual de auditoría se relaciona con la organización global de la
empresa así como los planes del negocio.

d. Objetivos de controles y objetivos de auditoría.

El objetivo de un control es anular un riesgo siguiendo alguna

metodología, el objetivo de auditoría es verificar la existencia de estos
 controles y que estén funcionando de manera eficaz, respetando las
políticas de la empresa y los objetivos de la empresa. Así pues tenemos
por ejemplo como objetivos de auditoría de sistemas los siguientes: La
información de los sistemas de información deberá estar resguardada de
acceso incorrecto y se debe mantener actualizada. Cada una de las
transacciones que ocurren en los sistemas es autorizada y es ingresada
una sola vez. Los cambios a los programas deben ser debidamente
aprobados y probados. Los objetivos de auditoría se consiguen mediante
los procedimientos de auditoría.

e. Procedimientos de auditoría.

Algunos ejemplos de procedimientos de auditoría son: Revisión de la

documentación de sistemas e identificación de los controles existentes.
Entrevistas con los especialistas técnicos a fin de conocer las técnicas y
controles aplicados. Utilización de software de manejo de base de datos
para examinar el contenido de los archivos de datos. Técnicas de
diagramas de flujo para documentar aplicaciones automatizadas.

Desarrollo del programa de auditoría.

Un programa de auditoría es un conjunto documentado de procedimientos diseñados
para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa
de auditoría incluye lo siguiente:

a. Tema de auditoría: Donde se identifica el área a ser auditada.

b. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría
a realizar.
c. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades
de organización que se han de incluir en la revisión en un período de tiempo
determinado.
d. Planificación previa: Donde se identifica los recursos y destrezas que se
necesitan para realizar el trabajo así como las fuentes de información para
pruebas o revisión y lugares físicos o instalaciones donde se va auditar.
e. Procedimientos de auditoría: para:

• Recopilación de datos.
• Identificación de lista de personas a entrevistar.
• Identificación y seleccion del enfoque del trabajo
• Identificación y obtención de políticas, normas y directivas.
• Desarrollo de herramientas y metodología para probar y
verificar los controles existentes.
• Procedimientos para evaluar los resultados de las pruebas
y revisiones.
• Procedimientos de comunicación con la gerencia.
• Procedimientos de seguimiento.

El programa de auditoría se convierte también en una guía para documentar los

diversos pasos de auditoría y para señalar la ubicación del material de evidencia.
Generalmente tiene la siguiente estructura:
Procedimientos Luga Papeles Hecho
de r
 Trabaj.
Auditoría Por. Fecha
Referencia

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de

cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las
políticas y procedimientos establecidos y las pruebas sustantivas verifican si los
controles establecidos por las políticas o procedimientos son eficaces.
Asignación de Recursos de auditoría.
La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de
administración de proyectos las cuales tienen los siguientes pasos básicos: Desarrollar
un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de
manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la
actividad actual con la actividad planificada en el proyecto: debe existir algún
mecanismo que permita comparar el progreso real con lo planificado. Generalmente se
utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas:
si al comparar el avance con lo proyectado se determina avances o retrasos, se debe
reasignar tareas. El control se puede llevar en un diagrama de Gantt

Así mismo las hojas de control de tiempo son generalmente como sigue:

Los recursos deben comprender también las habilidades con las que cuenta el grupo
de trabajo de auditoría y el entrenamiento y experiencia que estos tengan. Tener en
cuenta la disponibilidad del personal para la realización del trabajo de auditoría, como
los períodos de vacaciones que estos tengan, otros trabajos que estén realizando, etc.
Técnicas de recopilación de evidencias.
La recopilación de material de evidencia es un paso clave en el proceso de la auditoría,
el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia
examinada. Algunas formas son las siguientes:

• Revisión de las estructuras organizacionales de sistemas de información.

• Revisión de documentos que inician el desarrollo del sistema, especificaciones
de diseño funcional, historia de cambios a programas ,manuales de usuario,
especificaciones de bases de datos, arquitectura de archivos de datos, listados
de programas, etc.; estos no necesariamente se encontrarán en documentos, si
no en medios magnéticos para lo cual el auditor deberá conocer las formas de
recopilarlos mediante el uso del computador.
• Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de
descubrimiento no de acusatoria.
• Observación de operaciones y actuación de empleados, esta es una técnica
importante para varios tipos de revisiones, para esto se debe documentar con el
suficiente grado de detalle como para presentarlo como evidencia de auditoría.
• Auto documentación, es decir el auditor puede preparar narrativas en base a su
observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de
técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas
(de cumplimiento o sustantivas) por muestras.
• Utilización de técnicas de auditoría asistida por computador CAAT, consiste en
el uso de software genérico, especializado o utilitario.

Evaluación de fortalezas y debilidades de auditoría.

Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el
siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una
opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará
el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de
errores que pueden presentarse en el área y un eje horizontal los controles conocidos
para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10
ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez
completada, la matriz muestra las áreas en que los controles no existen o son débiles,
obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si
es necesario el control. Por ejemplo:

En esta parte de evaluación de debilidades y fortalezas también se debe elegir o

determinar la materialidad de las observaciones o hallazgos de auditoría. El auditor de
sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la
gerencia y se debe informar de acuerdo a ello.
Informe de auditoría.
Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este
informe es utilizado para indicar las observaciones y recomendaciones a la gerencia,
aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles
o procedimientos revisados durante la auditoría, no existe un formato específico para
exponer un informe de auditoría de sistemas de información, pero generalmente tiene
la siguiente estructura o contenido:

• Introducción al informe, donde se expresara los objetivos de la auditoría, el

período o alcance cubierto por la misma, y una expresión general sobre la
naturaleza o extensión de los procedimientos de auditoría realizados.
• Observaciones detalladas y recomendaciones de auditoría.
• Respuestas de la gerencia a las observaciones con respecto a las acciones
correctivas.
• Conclusión global del auditor expresando una opinión sobre los controles y
procedimientos revisados.

Seguimiento de las observaciones de auditoría.

El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de
nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas
por la gerencia, se están realizando, para esto se debe tener un programa de
seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las
observaciones de auditoría. El nivel de revisión de seguimiento del auditor de sistemas
dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo
necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión
más técnica del sistema.

Revisión de los controles generales.

El objetivo de esta revisión es analizar y evaluar la estructura organizacional, las

políticas, los procedimientos operativos, el control de costos, El uso de los recursos
materiales y técnicos del departamento encargado de los sistemas de información
dentro de la empresa. Es decir evaluar la administración de la función de sistemas de
la empresa. Para conseguirlo, el equipo de auditoría realiza lo siguiente:

a. Revisión de documentación:

• Organigramas, diagramas de funciones. Los organigramas o diagramas de

funciones, le brindan al auditor de sistemas una clara comprensión de las líneas
de comunicación jerárquicas de un departamento u organización como un todo.
Muestran una división de funciones. Perfiles de personal. Los perfiles de
personal definen las funciones y responsabilidades de las diversas tareas de
una organización, también brindan a la organización la capacidad de agrupar
tareas similares en diferentes niveles de puestos para garantizar la
remuneración justa para su personal.
• Informes del comité de sistemas. Los informes del comité de sistemas brindan
información documentada acerca de los proyectos de nuevos sistemas. Estos
informes son revisados por la gerencia de nivel superior y distribuido entre las
diversas unidades funcionales de la empresa.
• Política de seguridad. La documentación de la política de seguridad da un
estándar de cumplimiento, esta debe definir la posición de la organización en
cuanto a cualquiera y todos los riesgos de seguridad. Debe identificar quien es
el responsable de la salvaguarda de los bienes de la empresa, incluyendo
programas y datos. Así mismo, debe expresar las medidas preventivas que han
de realizarse para dar una protección adecuada y las acciones que han de
emprenderse contra quienes la violen.
• Manuales de Políticas de personal. Los manuales de políticas de personal dan
las reglas y reglamentaciones determinadas por la organización sobre como se
espera que se comporten los empleados.
• Objetivos a Corto y Largo Plazo. Planes de trabajo a corto y largo plazo reflejan
estos objetivos de departamento, los cuales deberán estar de acuerdo con las
necesidades de los usuarios y debidamente autorizados.

b. Entrevistas al Personal:

• Personal relacionado a las operaciones del centro de cómputo. La realización de

entrevistas al personal de operaciones del centro de cómputo debe incorporar
garantías adecuadas de que el candidato tiene las destrezas técnicas
necesarias para realizar sus tareas. Este es un importante factor que contribuye
a una operación eficaz y eficiente.
• Personal usuario. La realización de entrevistas al personal usuario debe también
incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas
necesarias para realizar eficazmente la función específica de sus tareas.
• Otro personal pertinente. El Auditor a su criterio decidirá si es conveniente
entrevistarse con otro personal que tiene relación con el sistema y este deberá
cumplir con los estándares de la empresa y tendrá el mismo nivel de lealtad y
confianza.

c. observación de personal realizando sus tareas:

• Permite ver: Funciones Reales. La observación es el mejor método para

garantizar que la persona que esta asignada y autorizada a realizar
determinada función es la persona que en realidad esta cumpliendo la tarea.
Permite que el auditor de sistemas tenga oportunidad de ser testigo de cómo se
comprenden y aplican las políticas y procedimientos.
• Percepción de la seguridad. La percepción de seguridad debe ser observada
para comprobar la comprensión y práctica de buenas medidas de seguridad
preventiva y de detección por parte de la persona observada a fin de
salvaguardar los bienes y datos de la empresa.
• Relaciones de comunicación jerárquica. Deben observarse las relaciones de
quien reporta a quien a fin de asegurarse de que se ponen en práctica las
responsabilidades asignadas y una adecuada segregación de tareas.

d. Señales de peligro de auditoría:

Si bien existen innumerables condiciones de incumbencia para el auditor

de sistemas, algunos de los indicadores más significativos de problemas
potenciales son:

• Actitudes desfavorables de los usuarios finales.

• Costos excesivos.
• Exceso al presupuesto.
• Alta rotación de personal.
• Frecuentes errores de los computadores.
• Atraso excesivo de solicitudes de usuarios no satisfechas.
• Elevado tiempo de respuesta del computador.
• Numerosos proyectos de desarrollo abortados o
suspendidos.
 • Compras de Hardware y Software sin respaldo o
autorización.
• Cambios frecuentes a versiones superiores de Hardware y
Software.

e. Información que solicita el auditor:

El auditor Para evaluar los controles generales solicita lo siguiente:

A nivel organizacional.

• Objetivos del Departamento a corto y largo Plazo.

• Manual de la organización.
• Antecedentes o historia de la empresa.
• Políticas generales.

A nivel del área informática.

• Objetivos a corto y largo plazo.

• Manual de organización que incluya puestos, funciones y
jerarquías.
• Manual de políticas, reglamentos y lineamientos internos.
• Procedimientos administrativos del área.
• Presupuestos y costos en el área.
• Recursos materiales y técnicos.
• Solicitar un inventario actualizado de equipos, que incluya:
características, fecha de instalación, ubicación, etc. Contratos
vigentes de compra, renta y servicios de mantenimiento.
• Contrato de seguros.
• Convenios con otras instalaciones.
• Configuraciones de equipos.
• Planes de expansión.
• Políticas de uso y operación de equipos.

Revisión de Centros de Computo.

Consiste en revisar los controles en las operaciones del centro de procesamiento de

información en los siguientes aspectos:

1. Revisión de controles en el equipo: Se hace para verificar si existen formas

adecuadas de detectar errores de procesamiento, prevenir accesos no
autorizados y mantener un registro detallado de todas las actividades del
computador que debe ser analizado periódicamente.
2. Revisión de programas de operación: se verifica que el cronograma de
actividades para procesar la información asegure la utilización efectiva del
computador.
3. Revisión de controles ambientales: se hace para verificar si los equipos
tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire
acondicionado, fuentes de energía continua, extintores de incendios, etc.
 4. Revisión del plan de mantenimiento: Aquí se verifica que todos los equipos
principales tengan un adecuado mantenimiento que garantice su
funcionamiento continuo.
5. Revisión del sistema de administración de archivos: se hace para verificar
que existan formas adecuadas de organizar los archivos en el computador, que
estén respaldados, así como asegurar que el uso que le dan es el autorizado.
6. Revisión del plan de contingencias: Aquí se verifica si es adecuado el plan
de recupero en caso de desastre, el cual se detalla mas adelante.

Revisión de Seguridad.

El objetivo de esta revisión es analizar y evaluar los controles diseñados para

salvaguardar las instalaciones del centro de procesamiento de datos de eventos
accidentales, intencionales o naturales que puedan causar daños, pérdidas de
información o destrucción, la revisión de estos controles están relacionados con el
acceso lógico y acceso físico y con el ambiente en los centros de información. Se debe
tener en cuenta que la filosofía de la seguridad, esta basada en "saber quien es" para
"saber que puede hacer"

a) Controles de acceso lógico:

Se usan para limitar el uso de las aplicaciones de los computadores, algunos ejemplos
son: Login y passwords, estos sirven para identificar el usuario y por lo tanto con este
dato el sistema, otorgará niveles de acceso en las aplicaciones, es decir niveles como
los siguientes: solo lectura, lectura modificación, creación, eliminación de registros,
ejecutar, copiar, etc. Acceso a los sistemas utilizando tecnología biométrica, basados
en la voz, retina, huella digital, etc. Procedimientos de Dial-Back, que consiste en la
identificación del usuario a través de su número de línea y luego verificando si este
número de línea esta autorizado.

b) Controles de acceso Físico:

Se usan generalmente para el resguardo del centro de computo, o centros importantes

de procesamiento de datos son muy variados, he aquí unos ejemplos: Seguros en las
puertas, puertas con combinación, doble puerta, etc. Puertas electrónicas, con tarjetas,
digitación de código, con alarma silenciosa, etc. Puertas con sistema biométrico
basados en la voz, retina, huella digital, etc. Acceso controlado con fotocheks, guardias
de seguridad, etc. Escoltas para visitas. Omisión de letreros que indiquen las zonas del
centro de procesamiento de datos. Llaves en los terminales, etc.

c) Controles del ambiente:

Detectan peligros dentro del centro de cómputo, ejemplos: Detectores de agua.

Extintores de mano. Alarmas manuales. Detectores de humo. Sistemas para apagar
incendios, de Halón, de Agua Locación estratégica 3er, 4to, 5to o 6to piso. Inspecciones
regulares de medidas contra incendios. Uso adecuado de fusibles, relays, etc. UPS o
fuente de alimentación continua. Swicth de apagado de emergencia.

d) Labor de auditoría:

Consiste en la identificación del ambiente de procesamiento de información para tener

conocimiento general de este y para entender las necesidades de seguridad, el auditor
de sistemas revisa y evalúa los siguientes aspectos:
• Revisión de los diagramas de red: estos diagramas muestran los puntos de
conexión entre computadoras, terminales y equipos periféricos como módem,
Hubs, Routhers, etc. Esta información es importante porque se pueden enlazar
las direcciones físicas con los accesos lógicos de terminales, actualmente existe
software especializado de administración de redes que proveen esta
información.
• Revisión de las rutas de acceso: Las rutas de acceso son caminos de lógicos de
acceso a información computarizada, estas empiezan generalmente con un
terminal y terminan con los datos accesados. A lo largo de este camino existen
componentes de hardware y software. Conocer esta ruta es importante porque
permite al auditor de sistemas, determinar puntos de seguridad física y lógica,
la secuencia típica de estos caminos lógicos es:

1. Terminales: Son usados por el usuario final para

identificarse, estos deben tener restricción física de su uso y la
identificación de los usuarios o "login" de accesos debe ser
controlada con los "passwords" o claves.
2. El software de telecomunicaciones: El software de
telecomunicaciones es usado para dar o limitar el acceso a
aplicaciones o datos específicos.
3. El software de procesamiento de transacciones: Este
software utiliza la identificación del usuario realizada en los
terminales (User-Id) y asigna niveles y posibilidades de
transacción (añadir, modificar, eliminar, obtener reportes, etc.) en
una aplicación determinada basado en archivos o tablas de
usuario definidas y solo disponibles al administrador de
seguridad.
4. El software de aplicación: El software de aplicación tiene la
lógica del procesamiento de los datos definida, esta lógica debe
permanecer según las necesidades determinadas por la gerencia,
para esto se debe proteger el acceso a los programas que regulan
la lógica de estos procesos.
5. El software de administración de base de datos: Por el
medio del cual se accesa directamente a la información, este
debe tener la definición de los campos de datos y su ejecución
debe estar restringido al personal de administración de la base de
datos.

• Inspección de las facilidades del procesamiento de datos: Esta inspección sirve

para entender los controles físicos para el personal, visitantes, controles de
seguridad del ambiente como extintores, detectores de humo, protectores de
polvo, control de temperatura, fuentes alternativas de energía. Esta revisión
debe ser hecha en el centro de cómputo, área de programadores, librería de
cintas o cassettes, almacenes de útiles, etc.
• Entrevistas con personal de sistemas: Las entrevistas claves, generalmente son
con el administrador de la Red, el gerente de sistemas, quienes proveerán de
información sobre el control y mantenimiento de los componentes de las rutas
de acceso.
• Entrevista con el usuario final: Se entrevista una muestra de usuarios finales
para conocer las políticas respecto a la confidencialidad de los datos que
trabajan.
• Revisión de políticas y procedimientos. Consiste en revisar las políticas y
procedimientos para verificar si son adecuados y ofrecen la seguridad
apropiada, para esto el auditor debe verificar: Políticas de acceso físico Políticas
 de acceso lógico Entrenamiento formal sobre precauciones de seguridad.
Políticas sobre uso de internet

Recuperación de desastres.

El objetivo de esta revisión es analizar y evaluar las políticas y procedimientos

relacionados a la planificación de contingencia para asegurar la capacidad del ente
para responder eficazmente ante desastres y otras situaciones de emergencia. Para
conseguirlo, el equipo de auditoría realiza lo siguiente:

a) Revisión del plan de contingencia

Primero es necesario obtener una copia del plan o manual de recuperación de desastre
y hacer lo siguiente: Realizar un muestreo de las copias distribuidas del manual y
verificar que están actualizadas. Evaluar la eficacia de los procedimientos
documentados para iniciar el esfuerzo de recuperación de desastre, planteándose
preguntas como las siguientes:

1) ¿Identifica el plan los puntos de reunión del comité de administración de desastre o

del equipo de administración de emergencia para que se reúnan y decidan si debe
iniciarse la recuperación de desastre?

2) ¿Son adecuados los procedimientos documentados para una recuperación exitosa?

3) ¿Trata el plan de desastres de diverso grado?

Revisar la identificación y el soporte planificado de las aplicaciones críticas, incluyendo

sistemas basados en Pc o desarrollados por usuarios finales para esto:

1) Determine si se han revisado todas las aplicaciones en busca de su nivel de

tolerancia en caso de un desastre.

2) Determine si se han identificado todas las aplicaciones críticas, (incluyendo

aplicaciones en PC).

3) Determine si en el "Hot Site" tiene las versiones correctas de sistema operativo.

Revisar la corrección e integridad de la lista de personal de recuperación de desastre,

contactos de emergencia con el "Hot Site", contactos de emergencia con proveedores,
etc.

1) En la practica se sugiere realizar llamadas a una muestra de la gente indicada y

verifique que los números de teléfono y domicilios son correctos y que posean copia
del manual de recuperación de desastre.

2) Entrevistar al personal para obtener una comprensión de las responsabilidades que

tienen asignadas en una situación de desastre.

Evaluar procedimientos para actualizar el manual. ¿Se aplican y distribuyen las

actualizaciones de manera oportuna?. ¿Existen responsabilidades específicas respecto
a mantener el manual actualizado?.
Determinar si los elementos necesarios para la reconstrucción de la instalación de
procesamiento de información se almacenan en otra sede (planos, inventario de
hardware, diagramas de cableado, etc.

b) Evaluación del almacenamiento en sede alternativa.

Debe evaluarse la instalación de almacenamiento en sede alternativa para asegurarse

de la presencia, sincronización y actualización de los medios magnéticos y
documentación críticas. Ello incluirá archivos de datos, software de aplicaciones,
documentación de aplicaciones, software de sistemas, documentación de sistemas,
documentación de operaciones, insumos necesarios, formularios especiales, y una
copia del plan de contingencia. Para verificar las condiciones que se mencionaron, el
auditor de sistemas debe realizar un examen detallado de inventario. Ese inventario
debe incluir poner a prueba los nombres de correctos de los archivos, identificación de
cintas o cassettes, ubicación correcta en los depósitos de las cintas o cassettes así
como una revisión de la documentación y verificar que corresponda con
documentación actualizada.

c) Revisión de cobertura de seguros.

Es esencial que la cobertura de seguros refleje el costo actual de la recuperación, por

ende debe revisarse la adecuación de la cobertura de seguros para daños a medios
magnéticos, interrupción de negocio, reemplazo del equipo, y procesamiento de
contingencia. A fin de determinar la adecuación, obtenga una copia de las pólizas de
seguros de la empresa y evalúe la adecuación de la cobertura.

d) Conocimientos de los procedimientos de recuperación por parte del

personal.

El auditor de sistemas debe entrevistar al personal clave que se necesita para la

recuperación con éxito de las operaciones del negocio. Todo el personal clave debe
tener una comprensión de las responsabilidades asignadas, así como documentación
detallada y actualizada que describe sus tareas.

e) Seguridad física en la instalación en sede alternativa.

Debe evaluarse la seguridad física en la instalación alternativa, para asegurarse de que

tiene controles de acceso como ambientes apropiados, tales controles incluyen la
capacidad de limitar el acceso solo a los usuarios autorizados de la instalación, piso
sobre elevado, controles de humedad, controles de temperatura, circuitos
especializados, fuente ininterrumpida de energía, dispositivos de detección de agua,
detectores de humo y un sistema adecuado de extinción de incendios. El auditor de
sistemas debe hacer un examen del equipo en busca de etiquetas de inspección y
calibración vigentes.

f) Examen del contrato de procesamiento alternativo.

Debe revisarse el contrato con el proveedor de la instalación de procesamiento

alternativo, teniendo en cuenta lo siguiente: Que el proveedor sea confiable y de
prestigio. Que el proveedor ponga por escrito todo lo que promete. Asegurarse de que
el contrato es claro y es comprensible para un Juez. Asegurarse de que se puede
continuar trabajando con las reglas que son aplicables cuando se tenga que compartir
la sede con otros suscriptores. Asegurarse que la cobertura de seguro se vincula y
cubre todos o la mayoría de gastos del desastre. Prestar atención a los requerimientos
de comunicaciones para la sede alternativa

Sistema operativo.

Consiste en revisar las políticas y procedimientos de adquisición y mantenimiento de

software de sistemas operativos. Para lo cual el auditor revisa lo siguiente:

Los procedimientos relacionados con la identificación y la selección del

software del sistema.Mediante entrevistas a la gerencia, para identificar:

• Los requerimientos de software.

• Las fuentes potenciales de software.

Análisis de costo/beneficio del software del sistema, consiste en revisar la

documentación del análisis costo/beneficio y las alternativas que proponen y
determinan si cada alternativa potencial fue evaluada adecuadamente. Esta
documentación debe tener por lo menos:

• Costo directo financiado para la compra de software.

• Costo de la modificación necesaria para adaptar el software al ambiente de
sistemas de información de la organización (si fuera necesario).
• Los requisitos de equipo para ese software.
• Los requisitos de capacitación asociados con la utilización de ese software.
• Los requisitos de apoyo técnico asociado a ese software.
• Análisis de las facilidades del software para cumplir con los requisitos de
procesamiento de información.
• Análisis de la capacidad del software para cumplir con los requisitos de
seguridad.
• Análisis de la capacidad del software para cumplir con los requisitos técnicos de
la organización.

Instalación del software del sistema, Consiste en revisar el plan o procedimiento

para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo a ese
plan y en forma exitosa, de no ser así investigar si todos los problemas se evaluaron y
resolvieron antes de la instalación del software.
Mantenimiento del software del sistema, consiste en revisar la documentación
relacionada con el mantenimiento o upgrade del software y determinar lo siguiente:

• Si los estándares de instalación están de acuerdo con la documentación del

mantenimiento del software.
• Si los cambios en el software del sistema están debidamente explicados en
cuanto a su motivo y aprobación.
• Si existen pruebas de que el cambio realmente se hizo.
• Si el personal responsable del cambio del software del sistema no pertenece al
grupo de programadores.
• Si se proporciona a los usuarios del sistema documentación sobre los cambios
que se realizarán.
• Si existe un registro o una bitácora de los cambios realizados al sistema.
• Si existen los controles suficientes para asegurarse que los operadores no
podrán hacer cambio al sistema sin asesoría del grupo responsable de la
instalación de estos cambios.
Seguridad del software del sistema, consiste en revisar los procedimientos para el
acceso al software del sistema y a su documentación, para esto entrevistarse con la
gerencia de o personal de adecuado para identificar los procedimientos de seguridad
para restringir el acceso al software del sistema así como el personal que tiene acceso
al software del sistema y a su documentación
Revisión del ciclo de vida del desarrollo de Aplicaciones, adquisición o
mantenimiento.

El Objetivo de esta revisión es identificar, analizar y evaluar los requerimientos del

usuario, riesgos, exposiciones a ellos y los controles en aplicaciones específicas
durante la fase de desarrollo, adquisición o mantenimiento de las aplicaciones. Las
tareas del auditor de sistemas incluyen las siguientes:

• Determinar los componentes, objetivos y requerimientos principales de los

usuarios de la aplicación e identificar las áreas que exigen controles al hacer
entrevistas con miembros claves del proyecto.
• Determinar y clasificar los principales riesgos y exposición a riesgos de la
aplicación, para permitir controles por medio de discusiones con miembros del
equipo del proyecto.
• Identificar los controles para minimizar los riesgos y exposiciones a riesgos de la
aplicación por referencia a fuentes confiables y por medio de discusiones con
miembros del equipo del proyecto.
• Asesorar al equipo del proyecto respecto del diseño de la aplicación y la
implantación de controles al evaluar los controles disponibles y al participar en
discusiones con miembros del equipo del proyecto.
• Monitorear el proceso de desarrollo, mantenimiento o adquisición de las
aplicaciones para asegurarse de que se implantan los controles, se satisfacen
los requerimientos de los usuarios y se sigue la metodología mas adecuada en
cada caso, esto permite asegurarse que las aplicaciones son eficaces y
eficientes, al realizar reuniones periódicas con miembros del equipo del
proyecto y al hacer exámenes de la documentación y los productos en sus
diversas etapas.

a. Revisión de desarrollo de sistemas.

Cuando se revisa el proceso de desarrollo de sistemas, se espera que el

auditor de sistemas obtenga la documentación necesaria y disponible de
las diversas fases así como que asista a las reuniones del equipo del
proyecto ofreciendo asesoramiento durante todo el proyecto de
desarrollo de sistemas. También, el auditor de sistemas debe evaluar la
capacidad de los equipos del proyecto para producir los productos claves
a entregar para las fechas prometidas. Durante todo el proceso de
desarrollo de sistemas el auditor de sistemas debe analizar los riesgos
asociados y las exposiciones que son inherentes en cada fase y
asegurarse de que los mecanismos de control adecuados están vigentes
para minimizar esos riesgos y una forma que sea eficaz en cuanto a
costos. Debe utilizarse el tino para recomendar controles que no cuesten
mas administrarlos que los riesgos que deben minimizar.

1. Estudio de Factibilidad. El auditor de sistemas debe revisar

la documentación producida en esta fase y corroborar su
razonabilidad. Debe verificarse todas las justificaciones de costo /
beneficio junto con el cronograma de cuando se anticipaba que se
realizarían los beneficios. Identificar si la necesidad del negocio
que se utiliza para justificar el sistema, realmente existe, y hasta
que punto existe la necesidad. Determinar si puede obtenerse
una solución con los sistemas vigentes. De no ser así corroborar
la razonabilidad de la evaluación de las soluciones alternativas.
Determinar si finalmente se eligió la solución mas apropiada.
2. Definición de requerimientos. El auditor de sistemas debe
obtener el documento de definición de requerimientos detallados
y verificar su exactitud por medio de entrevistas con los
departamentos usuarios que lo solicitan. Identificar los miembros
clave del equipo del proyecto y verifique que todos los grupos
usuarios afectados tienen una adecuada representación. Verificar
que la gerencia aprobó la iniciación del proyecto y el costo del
proyecto. Revisar los diagramas de flujo de datos y el diseño
conceptual para asegurarse de que se trata las necesidades del
usuario. Revisar el diseño conceptual por el nivel adecuado del
control. Revisar las propuestas dadas a los proveedores para
asegurarse de que cubren el verdadero alcance del proyecto y los
requerimientos de los usuarios. Determinar si esta aplicación es
apropiada para el uso de una rutina de auditoría incorporada. De
ser así incorpore la rutina en el diseño conceptual del sistema.
3. Fase de diseño detallado y programación. Revisar los
flujogramas del sistema para observar el seguimiento del diseño
general, si se observan cambios, verifiquen que fueron dadas sus
aprobaciones apropiadas para los cambios y que los cambios han
sido discutidos y aprobados por los grupos de usuarios afectados.
Revisar los controles de entrada y salida diseñados dentro del
sistema, para comprobar que sean apropiados. Entrevistar a los
usuarios clave del sistema para comprobar su comprensión de
cómo operará el sistema y evaluar su nivel de entrada en el
diseño de los formatos de pantalla y los informes de salida.
Evaluar los rastros de auditoría que se programan, en el sistema
para rastrear la información fuente clave. Verificar la corrección
de los cálculos de los procesos claves. Verificar que el sistema
puede identificar y procesar correctamente datos erróneos.
Verificar que los procesos de prueba de los programas sean
desarrollados durante esta fase. Verificar que se hicieron las
correcciones recomendadas para los errores de programación y
que las pistas de auditoría recomendados o los módulos de
auditoría fueron incorporadas en los programas correctos.
4. Fase de Prueba. La fase de prueba es crucial para
determinar que los requerimientos han sido satisfechos y que el
sistema se comporta como se anticipaba. Por ende el auditor de
sistemas debe participar en forma intensa y revisar la fase.
Examinar el plan de prueba, para verificar que sea completo con
la evidencia indicada de la participación del usuario, tal como
escenario de situaciones de prueba creados por los usuarios y/o
aprobación escrita de aceptación de los resultados. Revisar todos
los resultados de pruebas en paralelo para comprobar su
exactitud. Verificar que la seguridad este funcionando
adecuadamente, probando intentos de acceso no permitidos.
Examinar comprobando la precisión de los mensajes de error para
reconocer los datos erróneos y la resolución de estos errores.
5. Implantación. Esta fase se inicia solo después de una
exitosa fase de prueba. Debe tenerse precaución al transferir un
nuevo sistema a situación de producción. El auditor de sistemas
 debe verificar que las aprobaciones necesarias existen antes de
implementar el nuevo sistema. Revisar los procedimientos
programados que se utilizan para hacer el cronograma y correr el
sistema junto con los parámetros del sistema que se utilizan al
ejecutar el cronograma de actividades. Revisar la documentación
del sistema a fin de asegurarse de que esta completo y que todas
las actualizaciones posteriores a la fase de prueba han sido
incorporadas. Verificar toda la conversión de datos para
asegurarse de que es correcta y esta completa antes de
implementar en producción al nuevo sistema.
6. Fase de Post-Implantación. Luego que el nuevo sistema ha
estado operando, por lo menos seis meses, el auditor de sistemas
independiente de las otras fases de la vida del sistema, revisará
lo siguiente: Determinar si el programa ha logrado los
requerimientos de los objetivos, se debe prestar especial atención
a la utilización y la satisfacción de los usuarios finales, ellos
constituirán un indicador excelente. Verificar que se miden,
analizan e informan adecuadamente a la gerencia los beneficios
identificados con el estudio de factibilidad. Revisar las solicitudes
de cambios a los programas que se han realizado, para evaluar el
tipo de cambios que se exigen al sistema, el tipo de cambios
puede indicar problemas de diseño, programación o
interpretación de los requerimientos de usuario.

b. Revisión de aplicaciones de software comprado.

Para tomar la decisión de comprar el producto de un vendedor en lugar

de crear una solución interna, debe existir en el estudio de factibilidad,
documentación sobre la decisión de "hacer vs. Comprar", esta
documentación debe ser analizada para determinar si la decisión de
comprar fue apropiada. y considerar lo siguiente respecto a los
proveedores: Estabilidad financiera. Número de años de experiencia
ofreciendo el producto. Número de sedes de clientes que usen el
servicio. Compromiso de servicio. Compromiso de desarrollar o mejorar
el producto. Nivel de satisfacción de otros clientes, si es posible visitar
sus instalaciones y ver como se utiliza en un ambiente real de
producción. Compromiso para la provisión de entrenamiento,
documentación y upgrades a los productos. Aceptación de pruebas de
productos antes de la compra. Adicionalmente el auditor de sistemas
deberá revisar el contrato en los siguientes puntos: Descripción
específica de los productos a entregar. Compromisos sobre fechas de
entrega de los productos. Compromiso de entrega de los upgrades y
entrenamiento. Entregas de licencias y permisos para copiar el software
para utilizarlo en esfuerzos de recuperación de desastres.

c. Revisión del Mantenimiento de aplicaciones.

El objetivo de esta revisión es identificar, analizar y evaluar normas,

tareas, procedimientos y controles en el proceso de control de cambios a
los programas. Las tareas de auditoría en este aspecto son:

• Evaluar los estándares y procedimientos para cambios a

programas para asegurar su adecuación por medio de examen de
 la correspondiente documentación, discusiones con personal
clave y observaciones.
• Probar los procedimientos de control de cambios para
asegurar que se explican según se describe en los estándares por
medio de discusión y examen de los registros respaldatorios.
• Evaluar el proceso de control de cambios para determinar
que los objetivos de control fueron cumplidos al analizar los
resultados de pruebas y otra evidencia de auditoría.
• Determinar la adecuación de la seguridad de la biblioteca
de producción para asegurar la integridad de los recursos de
producción al identificar y probar controles existentes.

Desde que un sistema es puesto en funcionamiento, se practican

cambios, los cuales deben tener en cuenta una metodología para realizar
y registrar estos cambios, esta metodología debe incluir:

• Procedimientos para autorización de los cambios a los

programas de producción. Documentación de programas, las
solicitudes de cambio deben ser archivadas con la documentación
del programa afectado y debe incluirse la documentación de la
razón del cambio (análisis del costo / beneficio) si es necesario.
• Rastros de auditoría de cambios, siempre debe llevarse un
rastro de auditoría de todos los cambios o manejo de versiones
de los programas, esto generalmente lo posee el software de
manejo de bibliotecas.
• Concordancia del código fuente y el ejecutable, se refiere a
que si un programa fuente es compilado nuevamente, el
programa ejecutable resultante es igual al programa que esta en
producción.
• Controles de acceso a los programas de producción, debe
existir un riguroso control de acceso a los programas de
producción, estos controles generalmente son manejados por el
software de acceso al mainframe.

Revisión de controles de aplicaciones.

El objetivo de esta revisión es analizar y evaluar la eficacia de los controles de los

sistemas o aplicaciones ya existentes, estos controles deben asegurar que solo se
ingresan y actualizan datos completos, exactos y válidos en un sistema, que el
procesamiento de estos datos es correcto, que los resultados del procesamiento
cumplen las expectativas; y que los datos se mantienen seguros. Quienes diseñan los
sistemas ubican controles en el ingreso de datos o input, en el procesamiento y en el
output del sistema.

1. Procedimientos de control de input. Controles de acceso: Con esto se

asegura que los datos ingresados al sistema son los autorizados y las
responsabilidades sobre el cambio de datos esta definida.
• Control de secuencia: Los registros de las transacciones llevan un
número que los identifica y son consecutivos, por lo que no pueden
haber duplicidades ni intervalos vacíos de secuencia.
• Control de límite: Se verifican los límites de valores que puede asumir
una variable de entrada y que se rechazara o advertirá en caso no
cumpla con los límites establecidos.
 • Control de Rango: Es similar al anterior, pero se trata de un par de
límites.
• Control de paridad: Se utiliza para verificar una transmisión de datos
(que puede ser la fuente para el ingreso de datos a otro sistema).
• Control de validez: Consiste en considerar como válidos aquellos campos
codificados con valores predeterminados.
• Control de razonabilidad: Los datos ingresados se comparan con límites
de razonabilidad o de ocurrencia de datos.
• Búsquedas en tablas: Se valida un campo con el contenido de una tabla
de datos, por ejemplo una tabla de códigos de países y los nombres de
países se utiliza para validar el campo país de una pantalla de ingreso de
datos.
• Control de existencia: Es un control que sirve para validar un dato que
ingresa al sistema y además asegura que el proceso sea según un orden
establecido, por ejemplo: la autorización electrónica de una orden de
trabajo, exige primero que esta haya sido ingresada y luego sea
marcada por otra persona como autorizada.
• Verificación de ingreso por teclado: Consiste en redigitar el ingreso de
datos por otra persona sobre el archivo digitado primero por otra
persona.
• Dígito de control: Consiste en agregar al dato ingresado un dígito, el que
se calcula matemáticamente por un algoritmo sobre los dígitos del dato
ingresado, los más comunes son el módulo 10 o módulo 11.
• Control de integridad: consiste en que un campo siempre debe contener
datos, no puede estar vacío,etc.
2. Procedimientos de Control de procesos.
• Recálculos manuales: Consiste en recalcular manualmente una muestra
de las transacciones a fin de asegurar que el procesamiento esta
realizando la tarea esperada.
• Edición: Consiste en comprobar que el input de datos es correcto, aquí
se interpreta el paso de input como parte del proceso.
• Verificación de razonabilidad de cifras calculadas: Consiste en probar la
razonabilidad de los resultados de las transacciones para asegurarse de
la adecuación a criterios predeterminados.
• Verificación de la cantidad de registros procesados.
• Manejo de archivo de errores para su posterior investigación.
• Verificación por rangos de fechas o períodos.
• Aprobación electrónica: Para que un determinado registro pase de un
estado a otro por la autorización de un usuario diferente al que genero el
registro.
• Archivos de seguimiento: que permiten identificar el status de una
determinada operación en un momento determinado.
3. Procedimientos de Output o salida.
• Resguardo de formularios negociables, sensibles o críticos: deben ser
adecuadamente controlados en un listado de formularios recibidos,
utilizados y dando razón de las excepciones, rechazos y mutilaciones
para protergerlos de robo o daño.
• Autorización de distribución: Las opciones de reporte del sistema deben
estar de acuerdo con las funciones que tiene el usuario en el sistema y
ser controlado por los accesos definidos en el sistema.
• Estructura estándar de los formatos de los reportes: como son el número
de páginas, la hora, fecha, nombre del programa que lo produce,
cabeceras, etc.
La auditoría de los controles de las aplicaciones tiene las siguientes tareas:

1. Examen de documentación de la aplicación: Donde se revisa

principalmente los siguientes documentos actualizados de: Documentos de la
metodología de desarrollo de la aplicación. Especificaciones funcionales de
diseño. Cambios a los programas. Manuales de usuario. Documentación técnica
de referencia.
2. Elaboración de un modelo de evaluación de riesgos para analizar los
controles de la aplicación. La evaluación de riesgos puede basarse en
muchos factores incluyendo: La calidad de los controles internos. Condiciones
económicas. Cambios recientes al sistema contable. Tiempo transcurrido desde
la ultima auditoría. Complejidad de las operaciones. Cambios recientes en los
puestos clave. Bienes en riesgo Cambio de personal. Volumen de transacciones.
Volumen monetario. Impacto de una falla de la aplicación.
3. Observación y prueba de los usuarios que realizan procesos. Esta
observación de debe estar enfocada a revisar que existe una segregación de
funciones y que esta debe mostrar que una persona no tiene capacidad de
realizar mas de una de las siguientes funciones referidas al procesamiento de
información: originarla, autorizarla, verificarla, y distribuirla.
4. Examen y prueba de autorizaciones y capacidades de acceso. Para esto
se revisan los siguientes aspectos: Tablas de control de acceso. Informes de
actividades. Informes de violaciones.
5. Selección del tipo de técnica de auditoría asistida por computador y
pruebas de auditoría con ayuda del computador. consiste en determinar
que metodología se utilizara para probar los datos o procesos del sistema,
generalmente se usa lo siguiente:
• Software de auditoría generalizado. Módulos de auditoría incorporados.
• Transferencia de información (downloading) a una Pc para tratarla con
software de análisis.
• Uso de sistemas expertos.

Con la ayuda de este software o técnica asistida por computador, se realizan

pruebas de auditoría, estas pruebas incluyen por ejemplo:

• Muestreo estadístico, con el cual se selecciona la muestra de

transacciones o del universo de datos que serán probados.
• Pruebas de rangos, se usan para probar que los datos en prueba son
válidos porque están en un rango de valores adecuado.
• Pruebas de excepciones, se usan para verificar que el procesamiento de
las transacciones es correcto que no existen excepciones en los datos
con los que trabaja el sistema.

Microsoft www.microsoft.com

Netscape home.netscape.com

Windows 95 http://ms.ctv.es/SW95/home1.html

Salva Pantallas. www.screensaver.com

(ScreenSaver)
Free Yourself (Software http://members.aol.com/freeyou/freeyou
gratís).
http://quatumxdyndns.com/freeware95
Freeware 95 (Software gratís)
http://www.freewarenow.com/apps/html
Freeware Now(Software
gratís) http://ded.com/nonags

NoNags www.cdcl.com/

FreeSoftware and more(Soft -

gratuito)
www.pnx.com/Jwelborn/Index.html
Jim's Shareware List (Soft
compartido y gratuito) www.halcyon.com/knopf/jim2.htm

The Father of Shareware www.download.net/download.shtml

Download.net http://starcreations.com/abstract/funhou

Funhouse (juegos y www.game_revolution.com/content

diversión)
www.gamesdomain.co.uk
Game Revolution
www.gamespot.com/index.html
GamesDomain
www.gamersinn.org
GameSpot
www.xs4all.nl/~gzbrn/GamePage.html
The Gamer's Inn
www.gamepen.com/
The Gamepage
www.gamespot.com/zdnet
GamePen
www.3dgaming.se/index.html
Zdnet Games
www.download.net
The New 3D Gaming
www.filemine.com
SceneDowload.net
(Shareware) www.galtech.com

File Mine (Share y freeware) www.jumbo.com

Galt (Share y freeware) www.shareware.com

Jumbo (Shareware y www.sharewaredirectory.com

freeware)
http://filepile.com/nc/start
Shareware
www.slaughterhouse.com/
Shareware Directory
http://tucows.phoenix.net/index.html
The Filepile (Share y
freeware) www.windows95.com/

TheSlaughterhouseSharfreew www.solidoak.com
are
-
Tucows (Share y freeware)
www.cyberpatrol.com
Windows95.com(SofwareW95
) -

CiberSitter (programa para www.hexabit.com/junior

restringir acceso a webs:
violencia, etc) -

Cyberpatrol (progr. para www.Bluesquirrell.com

controlar acceso a web:
(violencia, etc) www.casarramona.com/mt/programado

Hexabit (prog. para control. www.brainiac.com/thomas/tutorial.htm

el acceso a web : violencia,
etc) www.chez.com/scribe

Grab_a_site (prog. para www.arrakis.es/~jalarcon

almacenar webs completas)
www.webteacher.com/javatour
El Web del Programador
www.aui.es
Tutorial C++
-
Visual Basic Area 51
www.las.es/cam
Visual Basic Extremo
http://cyberweb.es/cucufata
JavaScripts Tutorial
www.cs.colorado.edu/homes/cboyd/pub
Asociación de Usuarios de me.html
Internet
http://rohan.sdsu.edu/home/vanzoest/w
Cámaras CAM (Oviedo), con nk
enlaces a otras en el mundo
www.galcit.caltech.edu/~ta/cgi_bin/asyl
Cucufata
http://crow.acns.nwu.edu:8082/index.ht
Navegación Virtual
www.l0pht.com/cdc.html
Realidad Virtual
(cibercultura) www.uio.no/~mwatz/cybermind

Cibercultura www.seas.upenn.edu/~mengwong/cybe
l
Cibercultura
www.intelligent.com.au/webcam
Cibercultura
www.dalnet.com
Cibercultura
www.undernet.org
Cibercultura
planeta.tierranet.com
Cámaras CAM en el mundo
www.exiled.net/~shadows
DalNet (Servidor de Chat)
www.irchelp.org
UnderNet (Servidor de Chat)
www.wmaestro.com/webmaestro
PlanetaChat MIRC
www.geocities.com/Athens/Delphi/6168
SCRIPTER
www.sitio.net/cursos/html
Ayuda IRC
www.etsit.upm.es/~alvaro/manual/manu
Tutorial de HTML
www.geocities.com/SiliconValley/Horizon
Curso de HTML
www.websistemas.com/farmacia/irc/mir
Curso de HTML 4.0
www.bendnet.com/users/brianhovis/tuto
Manual de HTML tm

Tutoriales www.yahoo.com
Tutorial de IRC MIRC(Chat) www.altavista.com,www.magallanes.ne

Tutorial GIF www.webcrawler.com

Yahoo ! www.hotbot.com

Altavista www.exite.com

Web Crawler www.es.lycos.com

HotBot www.infoseek.com

Excite www.mcinley.com

Lycos www.a2z.lcos.com

Infoseek www.ole.es

Magellan www.sol.es

a2z www.biwe.es

Ole www.trovator.combios.es

Sol www.donde.uji.es

Biwe www.telepolis.com

Trovator www.ozu.es

Donde? www.hispavista.com

Inpector de Telepolis www.ugabula.com

Ozu www.yupi.com

Hispavista www.terra.com.pe

Ugabula

Yupi

Terra