Vous êtes sur la page 1sur 22

Grupo 1 Auditoria en la funcin de Informtica

Una vez planeada la auditoria, se debe empezar la recoleccin de la informacin. Los elementos que deben ser revisados: Revisin de la estructura orgnica, Jerarquas, Funciones y Objetivos. Revisar la situacin de los recursos humanos, Indagar y revisar si el personal efectiviza los objetivos propuestos. Entrevistas con el personal de procesos electrnicos. Conocer la situacin en cuanto a presupuestos, recursos financieros y materiales, mobiliario y equipo, costos. Levantamiento del censo de recursos humanos.- Salarios, conocimientos, capacitaciones, etc. Revisar el grado de cumplimiento de los documentos administrativos.- Controles, estndares, polticas, normas, procedimientos, etc. Planes que se requieren dentro de la organizacin informtica: Estudio de Viabilidad.- Mejores alternativas. Planeacin de Cambios, Modificaciones y Actualizacin.- Metas y actividades que se deben realizar para lograr cambios sustanciales de hardware y software. Plan Maestro.- Objetivos estratgicos a largo plazo. Plan de Proyectos.- Identificar tareas, relaciones entre ellas, tiempo, recursos, restricciones. Plan de Seguridad: Seguros, contingencias y recuperacin en caso de siniestro.

Grupo 2 Evaluacin de la Estructura Orgnica


Unos de los elementos ms crticos es relativo al personal y a su organizacin un personal calificado, motivado, entrenado, y con la adecuada remuneracin repercute al buen desempeo. Para lograr la evaluacin de la estructura orgnica se deber solicitar el manual de la organizacin de la direccin el cual deber comprender como mnimo: Organigrama de jerarqua.- Colabora a un mejor entendimiento sobre los puestos de trabajo de forma jerrquica. Funciones. Objetivos y polticas.- Uno de los posibles descontento del personal es el desconocimiento de los objetivos de la organizacin lo cual pueda deberse a una falta de definicin de objetivos esto provoca que no se pueda tener una planeacin adecuada. Anlisis, descripcin y evaluacin de puesto Manual de Procedimientos, Manual de Normas. Instructivos de trabajo o guas de actividad. Objetivos, polticas, normas y planeacin de la direccin

Grupo 3 Auditoria de Recursos Humanos


Puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la Auditoria de Recursos Humanos es mostrar cmo est funcionado el programa, localizando prcticas y condiciones que son perjudiciales para la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse. Beneficios de la Auditoria Informtica de Recursos Humanos Identifica el grado de contribucin del departamento de personal a la organizacin. Mejora la imagen profesional del departamento de personal. Estimula una mayor responsabilidad y profesionalidad entre los miembros del departamento de personal. Clarifica los deberes y responsabilidades del departamento de personal. Detecta problemas crticos de personal. Estimula la uniformidad de las polticas y prcticas de personal, especialmente en empresas descentralizadas. Reduce los costes de recursos humanos a travs de procedimientos de personal ms eficientes. Sensibiliza hacia la necesidad de cambios en el departamento de personal. Garantiza el cumplimiento de las disposiciones legales.

Grupo 4 Situacin Presupuestaria y Financiera


La auditora presupuestaria tiene como objetivo analizar la forma de clculo de las cifras, as como verificar que tengan relacin con las circunstancias, supuestos o hiptesis bajo las cuales fueron determinadas, para otorgar una opinin profesional sobre la certeza de las cifras presupuestadas en el caso de darse los supuestos bajo los cuales fueron estimadas o proyectadas. Se obtendr informacin presupuestal y financiera del departamento as como del nmero de equipos y caractersticas para hacer un anlisis de su situacin desde un punto vista econmico entre esta informacin se encuentra: Costo del departamento, desglosado por reas y controles. Presupuesto de departamento, desglosado por reas. Caractersticas de los equipos, nmero de ellos y contactos. La administracin financiera consiste en: Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada unidad orgnica de la empresa que se trate, con el propsito de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o servicios.

Grupo 5 Evaluacin de Sistemas


Consiste en conocer si el proyecto en cuestin es viable de acuerdo a la disponibilidad de recursos materiales y tcnicos; si es rentable, si genera ganancias o prdidas y sobre todo de los resultados obtenidos, no solo en cuanto a de los objetivos o metas logradas, sino tambin de los efectos sociales y naturales que la operacin de dicho proyecto implica al entorno, tanto en el momento de su aplicacin como a futuro. Los objetivos de una evaluacin suelen ser alguno de los siguientes: 1. Comparar alternativas. 2. Determinar el impacto de una nueva caracterstica. 3. Sintonizar el sistema, es decir, hacer que funcione mejor segn algn punto de vista. 4. Identificar prestaciones relativas entre diferentes sistemas. 5. Depuracin de prestaciones, identificar los fallos del sistema que hacen que vaya ms lento. 6. Poner unas expectativas sobre el uso del sistema. Tipos de software 1. Elaborado por el usuario o comercial 2. Software compartido o regalado 3. Software transportable 4. Un solo usuario o multi usuario 5. Categorizacin del software de aplicacin por usuario 6. Software a la medida Qu se debe evaluar al momento de adquirir o desarrollar un sistema? 1. Existen realmente sistemas entrelazados o son programas aislados. 2. Existe un plan estratgico para la elaboracin de sistemas. 3. Los recursos utilizados son los adecuados y se utilizan de manera eficaz y eficiente. Qu debe establecer el Plan Estratgico? Todos los servicios que se prestaran a futuro: Cules servicios se implementaran? Cundo estarn a disposicin? Qu caractersticas tendr? Cuntos recursos requiere?

Qu debemos evaluar en la estrategia del desarrollo? Qu aplicaciones, leguajes, tipos de archivo, bases de datos y tecnologa ser utilizada y en cunto tiempo? Cuntos recursos se requieren? Cunto es el monto de la inversin?

Plan Estratgico Consulta a los Usuarios Qu estudios van a ser realizados al respecto? Qu metodologa se utilizar para dichos estudios? Quin administrar y realizar dichos estudios? Estudio de factibilidad El estudio de factibilidad de los diferentes sistemas que se encuentren en operacin, y los que estn en la fase de anlisis Evaluar si se considera la disponibilidad y caractersticas del equipo. S/O y lenguajes disponibles La necesidad de los usuarios Las formas de utilizacin de los sistemas El costo y los beneficios que reportar el sistema El efecto que producir en quienes lo usarn El efecto que stos tendrn sobre el sistema y la congruencia de los diferentes sistemas Pasos para evaluar un sistema Los sistemas deben ser evaluados de acuerdo a su ciclo de vida. Definicin del problema y requerimientos del usuario Estudio de factibilidad Diseo general y anlisis del sistema Diseo del sistema Diseo detallado Implementacin y desarrollo fsico Pruebas del sistema(evaluacin y aceptacin) Soporte cotidiano Problemas ms comunes en los sistemas Falta de estndares Falta de participacin de la gerencia y usuarios. Mala especificacin en la etapa de diseo Mal anlisis costo-beneficio Tecnologa no usada o usado incorrectamente Personal no capacitado Problemas de auditoria La mala documentacin o falta de la misma La integracin de sistemas Mala o falta de seguridad Malos procedimientos

Tcnicas de evaluacin de un sistema informtico Las tcnicas ms habituales usadas un sistema, que son las siguientes: medicin, modelado y simulacin. La medicin consiste en tomar medidas directamente sobre el sistema en el que uno est interesado, usando tambin la carga adecuada, o bien una parte de la misma, que es lo que se suele denominar, en general, carga sinttica. Modelado, cuando se trata de evaluar un sistema incompleto, o que no se ha construido an, hace falta construir un modelo analtico del mismo, es decir, usando frmulas y ecuaciones diferenciales, tratar de hallar a partir de los valores conocidos o estimados de ciertos parmetros, los valores de los que nos van a interesar. Por ltimo, se puede simular el sistema, usando algn lenguaje de simulacin, como el SIMULA, o cualquier otro lenguaje orientado a objetos con las herramientas grficas adecuadas. Generalmente se usa simulacin antes de construir un sistema. Evaluacin del Anlisis En esta etapa se evaluarn bsicamente tres aspectos importantes: 1. Polticas 2. Procedimientos 3. Normas Se deber evaluar la planeacin de las aplicaciones que pueden provenir de cuatro fuentes principales: 1. La planeacin estratgica: Agrupadas las aplicaciones en conjuntos relacionados entre s y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el momento de la planeacin. 2. Los requerimientos de los usuarios 3. El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron. 4. Los requerimientos de la organizacin y de los usuarios La situacin de una aplicacin en dicho inventario puede ser alguna de las siguientes: 1. Planeada para ser desarrollada en el futuro. 2. En desarrollo. 3. En proceso, pero con modificaciones en desarrollo. 4. En proceso con problemas detectados. 5. En proceso sin problemas. 6. En proceso espordicamente. Se deber documentar detalladamente la fuente que gener la necesidad de la aplicacin. Dentro del estudio de los sistemas en uso se deber solicitar: Manual de usuario. Descripcin del flujo de informacin. Descripcin y distribucin de la informacin. Manual de formas.

Manual de reportes. Lista de archivos y especificacin. Definicin de base de datos. Definicin de redes.

Anlisis Estructurado Se concentra en especificar lo que se requiere que haga el sistema o la aplicacin. Desarrollo Estructurado Tareas previas Obtener los detalles y procedimientos del sistema en uso Obtener una idea de las demandas futuras de la organizacin por factores externos Documentar el sistema actual Documentar el sistema nuevo Evaluar los sistemas actual y nuevo Fomentar la participacin del usuario en todo el proceso Componentes Smbolos grficos Diccionario de datos Descripciones de procesos y procedimientos Reglas: Diseo Estructurado Podemos decir que El diseo Estructurado es un elemento del mtodo de desarrollo Un Sistema de Informacin comprende varios componentes o pasos llevados a cabo durante la etapa del anlisis, el cual ayuda a traducir las necesidades del cliente en un modelo de Sistema que utiliza uno ms de los componentes: Software, hardware, personas, base de datos, documentacin y procedimientos.

Grupo 6 Evaluacin del Diseo Lgico del Sistema


Al utilizar un determinado software se debe evaluar lo siguiente: Interfaces de usuario grafico Enlace de objetos en los sistemas de informacin Capacidad de trabajar en multiplataforma. Capacidad de trabajar en redes. Licencias. Transportable Compatible con otro software Compatible con perifricos Fcil de usar Grado de sofisticacin Capacidad de utilizacin en red

De fcil instalacin Demanda de hardware Requerimientos de memoria Costo Seguridad y confidencialidad

En las bases de datos se debe evaluar: Independencia de los datos. Redundancia de los datos. Consistencia de los datos. En redes se deben evaluar: Confiabilidad de las redes Tiempo de respuesta Costo de la red Compatibilidad con otras redes Seguridad en las redes Los puntos a evaluar en el diseo lgico del sistema son: Entradas Salidas Procesos Especificaciones de datos Mtodos de Acceso Operaciones Proceso Lgico Software necesario, etc.

Grupo 7 Evaluacin para el Desarrollo del Sistema


En esta etapa del sistema se debern auditar los programas, su diseo, el lenguaje utilizado, la interconexin entre los programas y las caractersticas del hardware empleado (total o parcial) para el desarrollo del sistema. Puntos a evaluar en un Sistema Distribuidos son: Falta de personal calificado en todos los puntos del sistema. Estandarizacin. Documentacin. Perdida de datos. seguridad, consistencia de los datos y mantenimiento del sistema. Caractersticas que deben evaluarse en los sistemas: Dinmicos. Transportables. Estructurados.

Integrados. Accesibles. Necesarios. Comprensibles. Oportunos. Funcionales Estndar. Modulares. Jerrquicos. Seguros. nicos.

Grupo 8 Control de Proyectos


Para poder controlar el avance delos sistemas, ya que sta es una actividad de difcil evaluacin, se recomienda que se utilice la tcnica de administracin por proyectos para su adecuado control. Para tener una buena administracin por proyectos se requiere que se elabore un Plan de trabajo Cronograma en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado peridicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estndar de la planeacin de proyectos deber incluir la facilidad de asignar fechas predefinidas de terminacin de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisin, las cuales tendrn diferentes niveles de detalle Control de diseo de sistemas y programacin El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente informacin para su manejo, operacin y aceptacin. Las revisiones se efectan en forma paralela desde el anlisis hasta la programacin y sus objetivos son los siguientes: ETAPA DE ANLISIS: Identificar inexactitudes, ambigedades y omisiones en las especificaciones. ETAPA DE ESTUDIO DE FACTIBILIDAD: Elaborar el costo/beneficio del sistema, desarrollo lgico, hasta llegar a la decisin de elaborarlo o rechazarlo. ETAPA DE DISEO: Descubrir errores, debilidades, omisiones antes de iniciar la codificacin. ETAPA DE PROGRAMACIN: Buscar la claridad, modularidad y verificar con base en las especificaciones.

ETAPA DE IMPLEMENTACIN: Desarrollar la implementacin del sistema con datos de prueba y la carga de datos definitivos, evaluando el sistema, su seguridad y confidencialidad

Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programacin ser ms alto que si se detecta en la etapa de anlisis.

Grupo 9 Derechos de Autor y Secretos Industriales


Consiste en el conjunto de facultades morales y patrimoniales que corresponden en forma exclusiva al autor de una obra. El Derecho de Autor abarca entre otras: obras literarias, bases de datos, programas de computadora, pelculas, composiciones musicales o coreografas, obras artsticas, obras arquitectnicas, publicidad, mapas y dibujos tcnicos. Segn la Ley del Derecho de Autor y de los Derechos Conexos DECRETO No. 4-99-E
CAPTULO I ARTCULO 2. Son obras literarias o artsticas, todas las creaciones originales con independencia de su gnero y cualquiera que sea el modo o forma de expresin, calidad o propsito.

CAPITULO II Artculo 4. La presente Ley ampara los derechos de los autores hondureos, de los extranjeros residentes en el pas y las obras extranjeras publicadas por primera vez en Honduras.

Son cinco razones para proteger las obras intelectuales. Por una razn de justicia social Por una razn de desarrollo cultural Por una razn de orden econmico Por una razn de orden moral Por una razn de prestigio nacional DIGEPIH: Direccin General de Propiedad Intelectual de Honduras. La Propiedad Intelectual se divide en dos categoras: o Propiedad Industrial (Patentes y Signos Distintivos). o Derechos de Autor y Derechos Conexos. Dentro del derecho de autor, podemos encontrar diferentes aspectos, los cuales son: o Derechos morales: Que indican la paternidad de la obra, es decir, son los que ligan al autor de manera permanente con su obra. o Derechos patrimoniales: Tienen que ver con las regalas, permiten que el autor reciba pagos a cambio de la explotacin de su obra.

o Derechos conexos: Son aquellos que protegen a personas distintas al autor que haya participado en la obra, como los intrpretes, editores, productores, artistas, transmisores. Segn la Ley del Derecho de Autor y de los Derechos Conexos DECRETO No. 4-99-E Artculo 1. Los autores de obras literarias y artistas gozarn de la proteccin prescrita por la presente Ley la cual es de orden pblico y de inters social. Artculo 5. La proteccin que se otorga a los artistas intrpretes o ejecutantes se aplicar en cualquiera de los casos siguientes: Cuando el artista intrprete o ejecutante sea hondureo; Cuando la interpretacin o ejecucin haya tenido lugar en el territorio nacional Segn la Ley de Propiedad Industrial TITULO III, PROTECCION DEL SECRETO INDUSTRIAL dice: ARTCULO 73. Se considerar como secreto industrial cualquier informacin no divulgada que una persona natural o jurdica posea, que pueda usarse en alguna actividad productiva, industrial o comercial, y que sea susceptible de transmitirse a un tercero.

Importancia de salvaguardar los secretos industriales


Es importante e imprescindible para las empresas modernas contar con un reglamento interno de trabajo, en el que se especifiquen las polticas de la empresa en materia de informacin confidencial.

Secretos industriales - Polticas Entre Las polticas que deben observarse como mnimas en materia de secretos industriales se cuentan enunciativamente las consistentes en:
La identificacin de los materiales considerados como secreto de negocios. La prohibicin de la duplicacin de documentos sensibles sin autorizacin. El control de ingreso a las reas en que la informacin se concentra. La utilizacin de sistemas de seguridad y control. La implementacin de claves de acceso a las computadoras. La firma de convenios de confidencialidad con empleados y proveedores, etc.

Grupo 10 Evaluaciones de la Auditoria en Informtica


Polticas y Procedimientos. Las polticas existentes deben de estar actualizadas en todas las actividades, estar debidamente documentadas y ser del conocimiento del personal. No contar con polticas y procedimientos que rijan el rea de Administracin podran ocasionar: Administracin inadecuada de las operaciones. Relajamiento en el cumplimiento de las obligaciones del personal. Inadecuada distribucin del personal. Las polticas procedimiento deben incluir los siguientes puntos: Seguridad de la informacin( fsica y Lgico) Adquisicin de Hardware Y Software Operaciones de centros de computo Polticas de Respaldo: En toda empresa debe estar elaborado por escrito una serie de polticas y procedimientos para la elaboracin de los respaldos , contemplando los pasos a seguir la informacin que debe ser respaldada segn el periodo correspondiente as como el personal asignado. Poltica de Revisin de Bitcora(soporte tcnico): Debe existir bitcora de operaciones en los que se registren los procesos realizados , los resultados de su ejecucin, la concurrencia de errores, los procesos ejecutados en el equipo y la manera en que concluyeron. Control de las Licencias del Software: Toda la organizaciones debe tener un inventario de licencias de software actualizado que asegure que toda la paquetera y software en general se legal y este amparado por una licencia para evitar problemas legales. Polticas de Seguridad Fsica del Site: Las instalaciones del site (sitio) debe de ser las adecuadas para el buen funcionamiento y la continuidad en las operaciones. Deben de existir polticas y procedimientos que describan los aspectos mnimos que deben de regir dentro del departamento de sistemas. Seguridad fsica del centro de computo: disearlo para uso adecuado de equipos centrales Acceso restringido al centro de computo Debe existir un plan de contingencias que permita que el sistema siga funcionando en caso de siniestro. Control de los datos fuente y Manejo Cifras de Control

Grupo 11 Orden en el Centro de Computo


Una direccin de Sistemas de Informacin bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cmputo. Los dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma inadecuada y eso puede traducirse en prdidas irreparables de informacin

o en costos muy elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cmputo. Ubicacin Fsica El lugar donde debe estar ubicado el centro de cmputo debe de cumplir una serie de requisitos de entre los cuales podemos mencionar a los siguientes: Estar situado en un lugar donde no pueda acceder personal no autorizado. Que no entre mucha luz natural. Debe haber aire acondicionado. No debe haber entradas de aire natural. Extinguidores. Ruta de evacuacin. Forma de operar un centro de Cmputo Las formas de operar un centro de cmputo son consideradas por varios autores como simples restricciones, es decir, el encargado del centro de cmputo debe decidir (de acuerdo a las jerarquas existentes en el centro de cmputo) quienes tendrn acceso a todo tipo de informacin y quienes no lo tendrn de acuerdo al rea del centro de cmputo en que desempean sus labores.

Grupo 12 Evaluacin de la Configuracin del Sistema de Computo


Objetivo: Evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema. Evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin. Revisar las polticas seguidas por la unidad de informtica en la conservacin de su programoteca. Funciones del Administrador Centro de Cmputo Describir el equipo que est de acuerdo con la utilizacin de cada dispositivo, y tratar de reducir los costos. Tener un control del nmero de computadoras (nodos) que se encuentran conectadas a la red. Probar que la capacidad de memoria y almacenamiento del sistema es suficiente para atender el proceso de todos los usuarios que se encuentran conectados a la red. Estrategias para medir el comportamiento de los sistemas Medida de la carga del sistema Medidas de nivel de uso de los recursos. Incrementar la frecuencia de los requerimientos. Incrementar las aplicaciones que se estn ejecutando.

Estrategia para configurar el sistema Formulacin de los modelos Caracterizacin de la plataforma de ejecucin. Caracterizacin de las aplicaciones. Anlisis de los modelos Verificacin de los resultados Auditoria en el Centro de Cmputo El auditor debe de revisar: La configuracin del hardware y Software sea adecuada y equilibrada. El uso adecuado de los recursos existentes. Si estn previstos los caminos y dispositivos alternativos para casos de avera. Si estn previstos los caminos alternativos para casos de avera. Hay una serie de mdulos del sistema operativo (de contabilidad) que proporcionan informacin detallada sobre el uso de recursos (carga de UPS, carga de canales, de discos, etc.).

Grupo 13 Evaluacin del rea de Produccin


La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora. Los instructivos de operacin proporcionan al operador informacin sobre los procedimientos que debe seguir en las situaciones normales y anormales del procesamiento y si la documentacin es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo contundente, generando probablemente errores, re-procesos, desperdicio de tiempo de mquina. Controles necesarios para una eficiente productividad 1- Verificar que se cuente con una descripcin completa de las actividades que se ejecutan. 2- Verificar la existencia de un pronstico de cargas o trabajos que se efectan durante el ao. 3- Verificar si existe un programa de trabajo, diario, semanal, anual. 4- Verificar que se contemplen dentro de los planes de produccin, periodos de mantenimiento preventivo. 5- Verificar que se disponga de espacio y tiempo para realizar corridas especiales, corridas de pruebas de sistemas en desarrollo y corridas que deban de repetirse. 6- Verificar que se tengan definidos el espacio y el tiempo para el respaldo de la informacin. 7- Verificar el equipo de comunicacin, caractersticas, nmero de usuarios y tiempo de respuesta que se obtiene en un proceso normal. 8- Verificar si existe un proceso definido para el mantenimiento preventivo. 9- Verificar si existe un proceso definido para el respaldo de la informacin. 10- Verificar si se revisa el cumplimiento de los procesos establecidos, revisar evidencias. 11- Verificar que el personal del rea de produccin tenga el conocimiento de los prximos sistemas que entraran a produccin, con el objetivo de que se programe su incorporacin. 12- Verificar estadsticas de re-proceso por anomalas, cual es su frecuencia?

13- Verificar los estndares de produccin que se tiene en la direccin de Informtica, por tipo de equipo, por plataforma. 14- Verificar si existen ndices de error por cada tipo de equipo o plataforma. 15- Verificar cuando fue la ltima revisin de los estndares. 16- Verificar si el personal del rea de centro de datos conoce los estndares. 17- Verificar la existencia de medios utilizados para medir la eficiencia de los operadores del centro de datos. 18- Verificar si existen evidencias de medidas tomadas, cuando el rendimiento para un trabajo est abajo del estndar. 19- Verificar si existen evidencias que indiquen si hubieron incentivos para el personal que tenga un rendimiento superior al estndar. 20- Verificar cada cuanto se imparten cursos de capacitacin para el personal del centro de datos. 21- Verificar si se registran los tiempos de respuestas a las solicitudes realizadas al centro de datos.

Grupo 14 Seguridad Lgica


Se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. La seguridad lgica abarca las siguientes reas: Rutas de acceso: El acceso a la computadora no significa tener una entrada sin restricciones. Limitar el acceso solo a los niveles apropiados puede proporcionar una mayor seguridad. Claves de acceso: La identificacin es definida como el proceso de distincin de un usuario de otros. La identificacin proporcionara un reconocimiento individual, cada usuario debe tener una identificacin de entrada nica que debe ser reconocida por el sistema. Existen diferentes mtodos de identificacin para el usuario: Un password o cdigo Una credencial con banda magntica Algo especfico del usuario Software de control de acceso: Controla el acceso a la informacin, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de la identificacin del usuario. Encriptamiento.

Riesgos y Controles a Evaluar Los controles de seguridad general aplican para todos los tipos de software y recursos relacionados y sirven para:

El control de acceso a programas y a la informacin. Vigilar los cambios realizados. Las bitcoras de auditoria. Control de acceso a programas y datos. Este control de acceso se refiere a la manera en que cada software del sistema tiene acceso a los datos, programas y funciones. Los cambios realizados deben ser probados y revisados para ser autorizados, y una vez autorizados se asignan a los programas en aplicacin y datos. Es necesario que el auditor verifique que cada usuario solo pude acceder a los recursos que se le autorice, y con las posibilidades que el propietario haya fijado: lectura, modificacin, borrado, ejecucin, traslado a los sistemas lo que representaramos en una matriz de accesos. En cuanto a autenticacin, uno de los mtodos ms usado es la contrasea, cuyas caractersticas sern acordes con las normas y estndares de la entidad. Aspectos a evaluar respecto a las contraseas pueden ser: Quien asigna la contrasea inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia, incluso puede haberlas de un solo uso o dependientes de una funcin tiempo. Numero de intentos que se permiten al usuario. Controles existentes para evitar y detectar caballos de Troya.

Grupo 15 Seguridad del Personal


Es el cuidado que tienen las empresas hacia sus empleados, dndoles proteccin, ya sea con seguros, con polticas que ayudan a que no corran riesgos en su entorno laboral La seguridad ligada al personal debe ser meticulosamente planificada aplicadas a seres humanos, requiere tacto y requiere tener en cuenta que cada empleado tiene sus propias determinaciones y condiciones laborales. Aun as, es posible planificar la seguridad del personal como un conjunto de medidas de control general, que hagan que stas sean efectivas independientemente del sujeto afecto, y sin que stas medidas supongan un menoscabo de los derechos y el confort de los trabajadores. El objetivo principal de la auditora de la seguridad del personal es evitar, hasta donde humanamente se posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo. Planes de contingencia Es el control de las contingencias y riesgos que se pueden presentar en el rea de sistemas. Estas contingencias se pueden evitar a travs de planes y programas preventivos especficos, en los que se detallan las actividades antes, durante y despus de alguna contingencia.

Para cuidar el personal debemos: Tener una adecuada poltica de vacaciones. Se deben tener polticas de rotacin de personal. Evaluar la motivacin del personal. Planes de capacitacin al personal (interna y/o externa). Difusin de conocimientos y desarrollo general. Creacin de instructores propios de la compaa. Capacitacin permanente y motivacin general del personal. Los objetivos de los programas de auditora: Programas de auditora Determinar las formas en que se apliquen las disposiciones legales, con el fin de conservar y mejorar la salud de los trabajadores y evitar riesgos profesionales en el centro de trabajo. Prevenir los desperfectos que los riesgos de trabajo pueden ocasionar a instalaciones, equipos y materiales. Reducir los costos directos e indirectos ocasionados por riesgo de trabajo. Polticas Considerar todos los riesgos ocurridos: identificar sus causas. Mantener, una amplia colaboracin con empresas similares, para informarse sobre los ocurridos en ellas. Tcnicas y herramientas de auditora relacionadas con la seguridad Proteccin a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores: slo se debe permitir al personal autorizado que maneje los equipos de procesamiento. Slo se permitir la entrada al personal autorizado y competente. Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puede suceder que se tenga la pliza adecuada pero vencida. Acondicionar los locales, de acuerdo con las normas de seguridad. Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. Practicar con periodicidad exmenes mdicos al personal Seguros Existe un gran problema en la obtencin de los seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc. pero muy poco sobre computadoras y personal informtico. No cuenta con seguros especficos para personal de esta rea Seguros que debe tener el personal Seguro de gastos mdicos. Seguros en caso de accidentes del personal en el rea laboral. Seguro de vida.

Y dems seguros que sean necesarios segn sus campos laborales

Grupo 16 Seguridad Fsica


El objetivo es establecer polticas, procedimientos y prcticas para evitar interrupciones prolongadas del servicio de procesamiento de informacin debido a contingencias y a continuar en un medio de emergencia hasta que sea restaurado el servicio completo. Ubicacin y Construccin del Centro de Computo Ubicar el centro de cmputo en zonas no transitadas. Tomar en cuenta la visibilidad del centro de cmputo. Tipos de materiales de construccin. Temperatura ambiente. Dimensiones del centro de cmputo considerando los equipos perifricos. Piso elevado o cmara plena Ventajas: Organizar y proteger del cableado del sistema. Facilita el reacomodo del sistema. Mtodo para llevar el aire acondicionado a los equipos. Recomendaciones: El acabado del piso sea con plstico antiesttico. Elevacin del suelo: 45 cm Altura del plafn al piso falso 2,4 m. Fcil de remover y de limpiar. Aire Acondicionado Riesgos: Fuente de incendios frecuente. Ataques fsicos. Causa de polvo Recomendaciones: Instalar redes de proteccin. Detectores de humo. La presin de aire superior a las dems reas. Desastres provocados por el Agua Consideraciones: No situar el centro de cmputo en un stano o planta baja mxime en reas propensas a inundarse. No Situar en reas cercanas a tuberas de agua. Recomendaciones: Tener extractores de agua

Drenaje de agua en el rea. Aspersores de incendios que no rocen agua. Ubicacin de la tubera adecuada. Detectores de agua e inundacin.

Seguridad de Autorizacin de Acceso Los controles de acceso sean estrictos durante todo el da, y que incluyan a todo el personal, en especial durante los descansos y cambios de turnos. Para entrar al rea se debe identificar sin importar que sea personal de informtica o ajeno a la instalacin ya que el riesgo es el mismo. Deteccin de humo y fuego Recomendaciones: El sistema de deteccin no debe interrumpir el sistema elctrico del equipo de cmputo. Contar con un dispositivo manual para interrumpir la energa elctrica del equipo de cmputo, aire acondicionado. Estos dispositivos instalarse en cada salida del centro de cmputo. Temperatura y Humedad Recomendaciones: Instalar instrumentos registradores de temperatura y humedad. La disipacin trmica, mximos y mnimos de temperatura y humedad permitidos deben ser especificados por el servidor. Tomar en cuenta la humedad agregada.

Grupo 17 Seguridad contra virus


Un virus informtico es un programa o software que se auto ejecuta y se propaga insertando copias de s mismo en otro programa o documento. Daos ms comunes: 1. Suplantacin de datos. 2. Eliminacin aleatoria. 3. Destruccin de la produccin. 4. Modificacin de los cdigos de proteccin. 5. Bloqueo de redes 6. Cambios de informacin entre usuarios. 7. Cambiar, acceso o difundir claves de seguridad. 8. Modificacin de informacin de salidas. 9. Saturacin, reduccin de disponibilidad o cambio de parmetros. 10. Combinacin de los anteriores.

Elementos a auditar: 1. Proteccin y seguridad para los accesos al sistema computacional y a la informacin. 2. Proteccin contra virus informticos.

3. En el uso de contraseas 4. Para el uso de estndares de seguridad y proteccin. 5. Se debe utilizar contraseas difciles que combinen nmeros, letras y caracteres especiales, y se deben cambiar con frecuencia. 6. Se deben utilizar diferente contrasea para sitios en la red y aplicaciones para despistar a posibles hackers. 7. Se debe utilizar la versin ms actualizada del navegador de red, software de e-mail y otros programas. 8. Se deben enviar los nmeros o informacin confidencial solamente a sitios seguros. 9. Se deben usar programas de seguridad para controlar los cookies que envan datos de vuelta a los sitios web. 10. Se debe instalar software para inspeccionar el trfico de la red. 11. No se deben abrir agregados de e-mail a menos que se conozca la fuente del mensaje recibido. Medidas preventivas y correctivas: 1. Conocer cada cuanto tiempo la empresa hace respaldos de informacin. 2. Examinar si los programas instalados son originales y si no son descargados de pginas con alto riesgo de infecciones. 3. Revisar las polticas de correo electrnico de la empresa. 4. Observar si la empresa cuenta con equipo de firewall. 5. Verificar si los usuarios de la empresa pueden ejecutar archivos con extensin VBS (visual basic script). 6. Conocer si las pcs de la empresa tienen actualizados sus sistemas operativos.

Grupo 18 Seguridad en la Utilizacin del Equipo


En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se toman medidas.

Medidas para la ptima utilizacin del equipo: 1. Se debe restringir el acceso a los programas y a los archivos. 2. Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos. 3. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. 4. No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales. 5. En los casos de informacin confidencial, esta debe usarse, de ser posible, en forma codificada o criptografa. 6. Se debe realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. 7. Se debe monitorear peridicamente el uso que se les est dando a las terminales.

8. Se deben hacer auditorias peridicas sobre el rea de operacin y la utilizacin de las terminales. 9. El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto solo se lograra por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseo general del sistema. 10. Deben existir registros que reflejen la transferencia de informacin entre las diferentes funciones de un sistema. 11. Debe controlarse la distribucin de las salidas (reportes, cintas etctera).

Control de informacin confidencial: 1. Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin. 1.1. Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta. 2. Solo el personal autorizado debe tener acceso a la informacin confidencial. 2.1. Controlar el nmero de copias, y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales. Medidas de Alta Seguridad En los sistemas de cmputo en que se tiene sistemas en tiempo real, bases de datos y red de computadoras, se deben tomar medidas de alta seguridad en cuanto a: 1. Equipo, programas y archivos. 2. Control de aplicacin por terminal (definir que aplicacin se pueden correr en una terminal especifica). 3. Definir una estrategia de seguridad de la red y de respaldos 4. Estndar de aplicaciones y de control. 5. Estndar de archivos. 6. Auditora interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control. 7. Requerimientos fsicos.

La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin

Grupo 19 Seguridad al Restaurar el Equipo


Cuando ocurre una contingencia, es esencial que se conozca al detalle el motivo que la origino y el dao causado, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa. En una situacin ideal se debera elaborar planes para manejar cualquier contingencia que se presente. Analizando cada aplicacin, se deben definir planes de recuperacin y reanudacin, para asegurar que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperacin disponibles a nivel operativo pueden ser: 1. En algunos casos es conveniente no realizar ninguna accin y reanudar el proceso. 2. Mediante copias peridicas de los archivos se puede reanudar un proceso a partir de una fecha determinada. 3. El procesamiento anterior complementado con un registro de las transacciones que afectaron los archivos permitir retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo y a partir de este reanudar el proceso. 4. Analizar el flujo de datos, procedimientos y cambiar el proceso normal por un proceso alterno de emergencia. 5. Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones. (Deber ser planeado y probado previamente) Adems de los procedimientos de recuperacin y reinicio de la informacin, se deben considerar los procedimientos operativos de los recursos fsicos, como hardware y comunicaciones , planeando la utilizacin de equipos que permitan seguir operando en caso de falla de corriente elctrica, cambios alternos de comunicacin y utilizacin de instalaciones de computo similares. En el momento que se hacen cambios o correcciones a los programas y/o archivos se deben tener las siguientes precauciones: 1. Las correcciones de programas deben ser debidamente autorizadas y probadas. 2. Con esto se busca evitar que se cambien por nueva versin que antes no ha sido perfectamente probada y actualizada. 3. Los nuevos sistemas deben estar adecuadamente documentos y probados 4. Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas. Procedimientos de respaldo en caso de desastre Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo.

En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido. El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica.