MANUAL AdmonAUDITORIA

conalep 252
Admn. y Auditora de Centros de Datos
Manual
Febrero
Junio
2014
ADMINISTRACIN DE LOS CENTROS DE CMPUTO

Misin de un CC, planeacin y Niveles de Planeacin
L.I. Teresa Surez Reyes
En este documento encontrars los conceptos bsicos de administracin; mismos que podrs aplicar a la administracin de centros de cmputo. LI. Yadira Rojas Mata Semestre 108 09
informtica
CONTENIDO
Temas
UNIDAD I
Administracin del centro de cmputo o datos
A. Planeacin de las actividades. B. Distribucin de instalaciones y ubicacin fsica. C. Identificacin del entorno de un centro de cmputo. D. Descripcin de puestos E. Adquisicin de Software. F. Adquisicin de Hardware G. Obtencin de permisos y licencias.
UNIDAD II
Auditora del centro de cmputo o datos.
A. Identificacin del entorno de auditora. B. ane!o de controles
C. "valuacin de plan de contin#encias inform$ticas. D. Identificacin de revisiones de auditora. E. %so de &erramientas para auditora inform$tica. F. Aplicacin de la metodolo#a de auditora '. (onclusin ).* +iblio#rafa
2 L.I. Tere Surez Reyes

ADMON. Y AUDITORIA DE CENTROS DE DATOS
OBJETIVO GENERAL
Aplicar el proceso administrativo y auditora a centros de datos o de cmputo mediante la planeacin de actividades, or#ani-acin de recursos, y evaluacin de acciones para brindar un ptimo servicio en los procesos automati-ados de informacin de una entidad.

INTRODUCCIN
"l presente material contiene informacin acerca de los centros de computo, del los departamentos que pueden o deben componer un centro de computo, de las funciones que cada uno de ellos deber$n reali-ar, as como del perfil profesional que deber$n tener las personas que en determinado momento puedan ocupar esos puestos. .ambi/n contiene informacin acerca de las normas que ri#en las leyes de derec&os de autor, #arantas y restricciones acerca del uso de el &ardware y el software., as como la informacin acerca de los principales problemas que se pudieran presentar en un centro de computo

UNIDAD 1 Administracin del centro de cmputo o datos

Objetivo particular: Administrar$ los recursos materiales, &umanos y financieros, as como
las actividades de un centro de cmputo o datos con base en la aplicacin de las fases de planeacin y or#ani-acin del proceso administrativo que conlleven a la operacin ptima del mismo.
1.1.1
Realiza un plan de actividades de centro de cmputo o datos:
Objetivo especfico: 0eali-a la planeacin de las actividades del centro de cmputo de acuerdo
con las necesidades or#ani-acionales, estrate#ias a se#uir y mane!o de informacin.
ADMINISTRACIN DE LOS CENTROS DE CMPUTO
Misin de un centro de cmputo

1a computadora como &erramienta de solucin para problemas de c$lculo de operaciones, investi#acin de procesos, ense2an-a, etc. establece las bases para determinar el ob!etivo de un centro de cmputo, como es el de prestar servicios a diferentes $reas de una or#ani-acin ya sea dentro de la misma empresa, o bien fuera de ella, tales como3 produccin, control de operaciones, captura de datos, pro#ramacin, dibu!o, biblioteca, etc. 1os diversos servicios que puede prestar un centro de cmputo, pueden dividirse en departamentos a $reas especficas de traba!o.
Planeacin
Al#unas definiciones de la planeacin como parte de su si#nificado pueden ser3

Proceso por el cu$l se obtiene una visin del futuro, en donde es posible determinar y lo#rar los ob!etivos, mediante la eleccin de un curso de accin. Proceso que permite la identificacin de oportunidades de me!oramiento en la operacin de la or#ani-acin con base en la t/cnica, as como el establecimiento formal de planes o proyectos para el aprovec&amiento inte#ral de dic&as oportunidades.
"s la funcin que tiene por ob!etivo fi!ar el curso concreto de accin que &a de se#uirse, estableciendo los principios que &abr$n de orientarlo, la secuencia de operaciones para reali-arlo y las determinaciones de tiempo y n4meros necesarios para su reali-acin.
L.I. Tere Surez Reyes
5Hacer que ocurran cosas que de otro modo no &abran ocurrido5. "sto equivale a tra-ar los planes para fi!ar dentro de ellos nuestra futura accin. Determinacin racional de adnde queremos ir y cmo lle#ar all$
Ni!eles de Planeacin
1a planeacin considerada como uno de los principales elementos del proceso administrativo, es de fundamental importancia dentro de la estructuracin de un (entro de (mputo6 como tal considera los si#uientes niveles3
Planeacin estrat ica.! Se refiere a las estrate#ias a se#uir en la construccin del (entro de (mputo. 7Por que construirlo8. (uando se responde a este cuestionamiento, pueden inferirse los caminos a se#uir para la construccin del mismo.
Planeacin "e recursos.! Dentro de este $mbito deben considerarse los recursos econmicos que va a requerir la construccin del (entro de (mputo. 7(uanto dinero se va a ocupar8
Planeacin Operativa.! 7(mo va a funcionar el (entro de (mputo8, 79u/ Software ser$ necesario8. 79ue cantidad de personal ser$ necesaria8, etc. Planeacin "e personal.! 79uienes van a operar al (entro de (mputo8, 7(u$les ser$n sus funciones8, 79u/ cantidad de personal ser$ necesaria8, etc. Planeacin "e instalaciones fsicas.! 7"n donde estar$ ubicado el (entro de (mputo8, 7(u$ntas secciones ser$ necesario construir8, 7"n donde se colocar$ el centro de car#a8, 7"n donde ser$n ubicados los servidores o la macrocomputadora8, 79ue condiciones de ventilacin ser$n necesarias8, etc.
Planeacin de recursos
1a planeacin de recursos en para un centro de cmputo es aquella que establece los ob!etivos y determina un curso de accin a se#uir, de los si#uientes elementos3

Instalaciones3 "dificios y acondicionamiento del mismo, plantas de emer#encia, dispositivos de se#uridad, etc. "quipo3 "quipo de cmputo necesario para su funcionamiento, perif/ricos, etc.
! L.I. Tere Surez Reyes

ateriales de produccin3 directos e indirectos.
aterias primas para su funcionamiento, as como materiales
Planeacin operati!a
1a planeacin operativa de un centro de cmputo consiste en reali-ar un detallado an$lisis de necesidades de la empresa y definir en base a estas necesidades una plataforma tecnol#ica con una infraestructura en &ardware, software, personal operativo, etc. que soporte las operaciones de la empresa y se utilice como el medio de procesamiento de informacin.
"uer#a
"l sur#imiento y desarrollo de todo tipo de or#anismos as como la multiplicidad de relaciones entre ello, &an dado lu#ar a la e:istencia de diferentes tipos de administracin que a veces &acen confusas su clasificacin. Sin embar#o, la clasificacin mas com4n es aquella, que atiende al sector econmico UNIDAD DE MANDO: %na sola persona debe de mandar a todos los Subordinados. AUTORIDAD: .oda empresa debe de tener una persona que los diri!a. UNIDAD DE DIRECCIN: %n pro#rama para cada actividad. CENTRALIZACIN: .odas las actividades deben ser mane!adas por una sola persona. ;O.A3 Actualmente encontramos que debido a las estructuras esto no resulta muy funcional para las empresas.
E$iciencia de Planes
1a eficiencia de un plan se mide por su contribucin al propsito y al los ob!etivos que se persi#uen, equilibrado por los costos y otros factores que se requieren para formularlo y operarlo. %n plan puede facilitar la consecucin de los ob!etivos, pero a un costo e:cesivamente elevado. 1os planes son eficientes si lo#ran su propsito a un costo ra-onable, cuando el costo se mide no slo en
" L.I. Tere Surez Reyes

t/rminos del tiempo, dinero o produccin sino tambi/n por el #rado de satisfaccin individual y de #rupo.
"le%i&ilidad en la planeacin
%n pro#rama de planificacin y control de utilidades <o de otro instrumento de la administracin= no debe dominar a un ne#ocio. (uando se pon#an en pr$ctica los planes, debe e:istir una poltica 5suprema5 y absoluta de la administracin de modo que no puedan impon/rseles y que sean aprovec&adas todas las oportunidades favorables a4n cuando no est/n incluidas en el presupuesto. %n pro#rama de planificacin y control de utilidades aplicado sobre una base bien informada permite mayor libertad en todos los niveles de la administracin. "s posible este efecto porque todos los niveles de la administracin son comprometidos en el proceso de toma de decisiones al estar desarroll$ndose los planes. "ste plan coloca a la administracin en la posicin de poder evaluar, sobre una base m$s ob!etiva. "n las $reas de control la fle:ibilidad es particularmente importante. ;o deben interpretarse con ri#ide- los presupuestos de #astos y costos. "l presupuesto no debe coartar las decisiones racionales que &ayan de tomarse en relacin con los #astos simplemente porque no se previ un desembolso.
Planeacin
Para planear eficientemente es necesario tomar en cuenta los si#uientes principios3 Factibilidad.- 1o que se planee debe ser reali-able Objetividad y cua ti!icaci" .- (uando se planea es necesario basarse en datos reales y nunca en especulaciones u opiniones. 1a planeacin ser$ mas confiable en cuanto pueda ser cuantificada o sea, e:presa en tiempo, dinero, cantidades y especificaciones <porcenta!es, unidades, volumen= Fle#ibilidad.- Al elaborar un plan este debe de afrontar situaciones imprevistas, y que proporcionen nuevos cursos de accin que se a!usten f$cilmente a las condiciones
# L.I. Tere Surez Reyes

U idad.- .odos los planes especficos deben inte#rarse a un plan #eneral y diri#irse a lo#ros de los propsitos y ob!etivos #enerales Del ca$bi% de e&t'ate(ia&.- (uando un plan se e:tiende en relacin al tiempo, ser$ necesario re&acerlo completamente
Etapas de la Planeacin
)'%*"&it%&: Son las aspiraciones fundamentales o finalidades de tipo cualitativo que persi#uen en forma permanente o semipermanente, un #rupo social. Son los fines a los que se quiere lle#ar. I ve&ti(aci" : (onsiste en determinar todos los factores que influyen en el lo#ro de los propsitos, as de los medios ptimos para conse#uirlos. )'e$i&a&: Son suposiciones que se deben considerar ante aquellas circunstancias o condiciones futuras que afectar$n el curso en que va a desarrollarse el plan. Objetiv%&: Presentan los resultados que el (entro de (mputo espera obtener, son fines por alcan-ar, establecidos cuantitativamente y determinados para reali-arse transcurrido un tiempo especfico. E&t'ate(ia&: Son cursos de accin #eneral o alternativas que muestran la direccin y el empleo #eneral de los recursos y esfuer-os, para lo#rar los ob!etivos en las condiciones m$s venta!osas. )%l+tica&: Son #uas para orientar la accin, son criterios, lineamientos #enerales a observar en la toma de decisiones, sobre problemas que se repiten una y otra ve-. )'%('a$a&: "s un esquema donde se establece la secuencia de actividades especficas que &abr$n de reali-arse para alcan-ar los ob!etivos, y el tiempo requerido para efectuar cada una de sus partes y todos aquellos eventos involucrados. )'e&u*ue&t%&: 1os presupuestos son un elemento indispensable al planear, ya que a trav/s de ellos se proyectan, en forma cuantificada, los elementos que se necesitan para cumplir con los ob!etivos.
$ L.I. Tere Surez Reyes

%n presupuesto es un esquema escrito de tipo #eneral y>o especfico, que determina por anticipado, en t/rmino cuantitativo <monetario y>o no monetario=. "s un plan de todas o al#unas de las fases de actividades del (entro de (mputo e:presado en t/rminos econmicos. )'%cedi$ie t%&: "stablecen el orden cronol#ico y la secuencia de actividades que deben se#uirse en la reali-acin de un traba!o repetitivo.
Planeacin del personal

"n esta etapa de la planeacin, el administrador de centros de cmputo debe seleccionar al personal que se requiere para la operacin del centro de sistemas de acuerdo con su perfil profesional, su preparacin y su e:periencia en el $mbito laboral. %na de las partes m$s importantes dentro de la planeacin de la auditora en inform$tica es el personal que deber$ participar y sus caractersticas. %nos de los esquemas #eneralmente aceptados para tener un adecuado control es que el personal que interven#a est/ debidamente capacitado, con alto sentido de moralidad, al cu$l se le e:i!a la optimi-acin de recursos <eficiencia= y se le retribuya o compense !ustamente por su traba!o. (on estas bases se debe considerar las caractersticas de conocimientos, pr$ctica profesional y capacitacin que debe tener el personal que intervendr$ en la auditora. "n primer lu#ar se debe pensar que &ay personal asi#nado por la or#ani-acin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y pro#ramar las reuniones y entrevistas requeridas. "ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un #rupo multidisciplinario en el cu$l est/n presentes una o varias personas del $rea a auditora es casi imposible obtener informacin en el momento y con las caractersticas deseadas. .ambi/n se debe contar con personas asi#nadas por los usuarios para que en el momento que se solicite informacin o bien se efect4e al#una entrevista de comprobacin de &iptesis, nos proporcionen aquello que se est$ solicitando, y complementen el #rupo multidisciplinario, ya que se debe anali-ar no slo el punto de vista de la direccin de informacin, sino tambi/n el del usuario del sistema.

Para completar el #rupo, como colaboradores directos en la reali-acin de la auditora se deben tener personas con las si#uientes caractersticas3
./cnico en inform$tica ":periencia en el $rea de inform$tica ":periencia en operacin y an$lisis de sistemas (onocimientos de sistemas mas importantes
"n caso de sistemas comple!os se deber$ contar con personal con conocimientos y e:periencia en $reas especficas como base de datos, redes, etc. 1o anterior no si#nifica que una sola persona ten#a los conocimientos y e:periencias se2aladas, pero si debe intervenir una o varias personas con las caractersticas apuntadas. De&c'i*ci" de *ue&t%: (di#o del Puesto ;ombre del Puesto isin del Puesto
Ob!etivos especficos ?unciones especificas por puesto "ntorno operativo <relaciones con otros puestos ya sea dentro o fuera del departamento= Informacin que se #enera )e'!il de *ue&t%: "scolaridad <;ivel de estudios y #rado de avance= @reas del conocimiento que mane!a. ":periencia laboral <empresa, tiempo de traba!o, puesto, funciones= (ondiciones de traba!o <er#onmicas, turno, &orario, condiciones de estr/s= (apacidades #erenciales <visin estrat/#ica, lidera-#o, Orientacin a resultados, traba!o en equipo, ne#ociacin= nivel de dominio. (apacidades t/cnicas <Deber$n ser acordes al departamento donde se asi#ne el puesto=

Planeacin de instalaciones $'sicas

"sta etapa de la planeacin se refiere a todo lo que tiene que ver con el equipo que se debe de utili-ar y debe de estar contenido en el centro de cmputo. 1a ubicacin fsica e instalacin de un (entro de (mputo en una empresa depende de muc&os factores, entre los que podemos citar3 el tama2o de la empresa, el servicio que se pretende obtener, las disponibilidades de espacio fsico e:istente o proyectado, etc. Aeneralmente, la instalacin fsica de un (entro de (mputo e:i#e tener en cuenta por lo menos los si#uientes puntos3 Local fsico: Donde se anali-ar$ el espacio disponible, el acceso de equipos y personal, instalaciones de suministro el/ctrico, acondicionamiento t/rmico y elementos de se#uridad disponibles. Espacio y movilidad: (aractersticas de las salas, altura, anc&ura, posicin de las columnas, posibilidades de movilidad de los equipos, suelo mvil o falso suelo, etc. Iluminacin: "l sistema de iluminacin debe ser apropiado para evitar refle!os en las pantallas, falta de lu- en determinados puntos, y se evitar$ la incidencia directa del sol sobre los equipos. Tratamiento acstico: 1os equipos ruidosos como las impresoras con impacto, equipos de aire acondicionado o equipos su!etos a una #ran vibracin, deben estar en -onas donde tanto el ruido como la vibracin se encuentren amorti#uados. Seguridad fsica del local3 Se estudiar$ el sistema contra incendios, teniendo en cuenta que los materiales sean incombustibles <pintura de las paredes, suelo, tec&o, mesas, estanteras, etc.=. .ambi/n se estudiar$ la proteccin contra inundaciones y otros peli#ros fsicos que puedan afectar a la instalacin. Suministro elctrico: "l suministro el/ctrico a un (entro de (mputo, y en particular la alimentacin de los equipos, debe &acerse con unas condiciones especiales, como la utili-acin de una lnea independiente del resto de la instalacin para evitar interferencias, con elementos de proteccin y se#uridad especficos y en muc&os casos con sistemas de alimentacin ininterrumpida <equipos electr#enos, instalacin de bateras, etc.=.

1os principales requisitos de un centro de sistemas son3 (one:in a tierra fsica ;o +reaB <+ateras o pilas= 0e#uladores de corriente Aire acondicionado ":tin#uidores obiliario
"tc.
Construccin de la tierra fsica C. S/ deber$ ele#ir un !ardn o lu#ar en donde e:ista &umedad, en caso contrario es necesario colocar un ducto que aflore a la superficie para poder &umedecer el fondo. D. Hacer un po-o de ' metros de profundidad y EF centmetros de di$metro. '. "n el fondo se debe colocar una capa de )F cm. De carbn mineral sobre la cual descansara una varilla copperwel. ). "ncima del carbn se deber$ a#re#ar una capa de sal mineral de Gcm. H otra de padecera de aluminio y cobre de )F cm. (ubri/ndose despu/s con tierra &asta superficie. a= "l tablero principal para el equipo del computador se debe proveer trif$sico y con doble bus de tierra, <G &ilos=, uno par el neutro el/ctrico y otro para proveer tierra fsica a las maquinas. (omo una medida de se#uridad deber$ instalarse en un lu#ar pr:imo a la puerta un control para cortar la ener#a a todo el equipo de cmputo en cualquier situacin de emer#encia <" "0A";(H POI"0 O??=. "l espacio pr:imo al control de interruptores debe permanecer libre de obst$culos para su f$cil operacin. b= Se deber$ tener tantos circuitos como maquinas est/n indicadas que deben llevar conectivo, esto es3 la unidad central de proceso, impresoras, unidades de control de discos, cintas comunicaciones, pantallas, etc., la proteccin de estos circuitos debe ser interruptor termoma#n/tico. Se deben tener circuitos e:tras para cubrir ampliaciones con las caractersticas de los circuitos trif$sicos y monof$sicos. .odos los conductores electrnicos &acia el centro de car#a de la sala deben instalarse ba!o tubera met$lica r#ida y de di$metro adecuado, debidamente conectadas a tierra. 1os circuitos de la unidad central de proceso,

impresoras, unidades de control de discos, cintas, comunicaciones, se debe rematar con conectores tipo industrial a prueba de a#ua y e:plosin 0usell J Stoll o equivalente. c= Al efectuarse los c$lculos de la instalacin el/ctrica al tablero del equipo, los conductores, re#uladores de tensin, interruptores termoma#n/ticos, etc., se deben calcular teniendo en cuenta la corriente de arranque de cada maquina, la cual #eneralmente es superior a la nominal. Dic&a corriente de arranque debe ser mane!ada sin inconvenientes, por todos los elementos constructivos de la instalacin. Se debe considerar una e:pansin del GFK como mnimo. Estatica G. %na de las fallas m$s difciles de detectar en los equipos es ocasionada por la electricidad est$tica producida por la friccin entre dos materiales diferentes y la consi#uiente descar#a de este potencial. 1os materiales que son m$s propensos a producir est$tica son aquellos que est$n &ec&os de resina, pl$sticos, fibras sint/ticas. "l simple &ec&o de arrastrar una silla sobre el piso nos ocasionara que tanto la silla como la porcin del piso sobre el que se arrastro queden car#ados de electricidad est$tica. Si aquella silla o esta persona son apro:imadas a una mesa met$lica conectadas a tierra como los equipos de cmputo, ocasionara que se produ-ca una descar#a que puede ser o no sensible a una persona, pero si ser$ sensible a los equipos de cmputo. L. Para reducir el tama2o al mnimo la est$tica, se recomienda las si#uientes medidas3 a= (onectar a tierra fsica tanto el piso falso como todos los equipos e:istentes. b= "l cable para la tierra fsica deber$ ser recubierto y del mismo calibre que el de las fases y el neutro. c= 1a &umedad relativa deber$ estar entre )GKM*GK para que las car#as est$ticas sean menos frecuentes. d= Se recomienda usar cera antiest/tica en el piso. e= Si e:istieran sillas con ruedas, se recomienda que estas sean met$licas. Piso also:
Se debe tener en cuenta la resistencia para soportar el peso del equipo y del personal. "s me!or usar placas met$licas o de madera prensada para el piso falso con soportes y
amarres de aluminio.
Sellado &erm/tico

;ivelado topo#r$fico Posibilidad de reali-ar cambios en la ubicacin de unidades Se debe cubrir los cables de comunicacin entre la unidad central de proceso, los
dispositivos, las ca!as de cone:iones y cables de alimentacin el/ctrica.

1a altura recomendable ser$ de CN a 'F cm. si el $rea del centro de procesamiento de datos
es de CFF metros cuadrados o menos, con ob!eto de que el aire acondicionado pueda fluir adecuadamente. Puertas de !cceso
.ener en cuenta las dimensiones m$:imas de los equipos si &ay que atravesar puertas y
ventanas de otras dependencias.

1as puertas deben ser de doble &o!a y con una anc&ura total de C.)F a C.LF cm. "ste punto
ya no es tan importante ya que el equipo inform$tica est$ reduciendo su tama2o y no es necesario tener dos puertas para poder introducirlo=
(rear rutas de salida en caso de emer#encia.
1.2.1
Desarrolla un manual de procedimientos de la operacin de un centro de cmputo:
Objetivo Especfico: Or#ani-a los recursos fsicos y &umanos de acuerdo con las funciones,
$reas del centro de cmputo y las actividades inform$ticas de la entidad.
Identi$icacin del entorno de un centro de cmputo(

A veces cuando se pone en marc&a un ne#ocio o simplemente se traba!a para una compa2a o empresa, en el $rea de cmputo, no tenemos presente sobre cuales son nuestras responsabilidades al estar a car#o de un departamento de este tipo. "s muy importante no perder de vista el ob!etivo de dic&o espacio, pues su correcto funcionamiento nos a&orrar$ un sinfn de inconvenientes. De i#ual manera podemos conocer cuales son dic&as funciones, como son3 Operar el sistema de computacin central y mantener el sistema disponible para los usuarios.

"!ecutar los procesos asi#nados conforme a los pro#ramas de produccin y calendarios preestablecidos, de!ando el re#istro correspondiente en las solicitudes de proceso. 0evisar los resultados de los procesos e incorporar acciones correctivas conforme a instrucciones de su superior inmediato. 0eali-ar las copias de respaldo <bacB*up= de la informacin y procesos de cmputo que se reali-an en la Direccin, conforme a par$metros preestablecidos. arcar y>o se2ali-ar los productos de los procesos e!ecutados. recuperaciones y traba!os reali-ados. Oelar porque el sistema computari-ado se manten#a funcionando apropiadamente y estar vi#ilante para detectar y corre#ir fallas en el mismo. 0eali-ar labores de mantenimiento y limpie-a de los equipos del centro de cmputo. Aplicar en forma estricta las normas de se#uridad y control establecidas. antener informado al !efe inmediato sobre el funcionamiento del centro de cmputo. Aerencia para el desarrollo de las funciones asi#nadas. "sto solo por citar al#unas, espero que esta informacin les &aya sido de utilidad.
1levar re#istros de fallas, problemas, soluciones, acciones desarrolladas, respaldos,
(umplir con las normas, re#lamentos y procedimientos establecidos por la Direccin o
)reas o departamentos
)'i ci*ale& de*a'ta$e t%& de u Ce t'% de C"$*ut% Dentro de una empresa, el centro de proceso de datos o centro de cmputo cumple diversas funciones que !ustifican los puestos de traba!o establecidos que e:isten en /l, los cu$les se en#loban a trav/s de los si#uientes departamentos3 E"plotacin de sistemas o aplicaciones . 1a e:plotacin u operacin de un sistema inform$tico o aplicacin inform$tica o aplicacin inform$tica consiste en la utili-acin y aprovec&amiento del sistema desarrollado. (onsta de previsin de fec&as de reali-acin de traba!os, operacin #eneral del sistema, control y mane!o de soportes, se#uridad del sistema, supervisin de traba!os, etc. Soporte tcnico a usuarios# "l soporte, tanto para los usuarios cono para el propio sistema, se ocupa de seleccionar, instalar y mantener el sistema operativo adecuado del dise2o y control de la
1! L.I. Tere Surez Reyes

estructura de la base de datos, la #estin de los equipos de teleproceso, el estudio y evaluacin de las necesidades y rendimientos del sistema y, por 4ltimo, la ayuda directa a usuarios. $estin y administracin del propio centro de procesamiento de datos# 1as funciones de #estin y administracin de un centro de procesamiento de datos en#loban operaciones de supervisin, planificacin y control de proyectos, se#uridad y #eneral de las instalaciones y equipos, #estin financiero y #estin de los propios recursos &umanos.
Departamento o *rea de operacin

"sta $rea se encar#a de brindar los servicios requeridos para el proceso de datos, como son el preparar los datos y suministros necesarios para la sala de cmputo. perif/ricos y vi#ilar que los elementos del sistema funcionen adecuadamente. "n esencia el personal del $rea operativa se encar#a de alimentar datos a la computadora, operar el 5&ardware5 necesario y obtener la informacin resultante del proceso de datos. O*e'ad%'e& 1os operadores de computadoras preparan y limpian todo en equipo que se utili-a en el proceso de datos, mantienen y vi#ilan las bit$coras e informes de la computadora, montan y desmontan discos y cintas durante los procesos y colocan las formas continuas para la impresin. .ambi/n documentan las actividades diarias, los suministros empleados y cualquier condicin anormal que se presente. "l papel de los operadores es muy importante debido a la #ran responsabilidad de operar la unidad central de proceso y el equipo perif/rico asociado en el centro de cmputo. %n operador de computadoras requiere de conocimientos t/cnicos para los que e:isten pro#ramas de dos a2os de capacitacin terica, pero la pr$ctica y la e:periencia es #eneralmente lo que necesita para ocupar el puesto. ane!ar los equipos
Departamento o *rea de produccin + control

1" L.I. Tere Surez Reyes
.anto la Produccin como el (ontrol de (alidad de la misma, son parte de las funciones de este Departamento. ?unciones3
(onstruir
usuarios.
soluciones inte#rales <aplicaciones= a las necesidades de informacin de los
%sar las t/cnicas de construccin de sistemas de informacin orientadas netamente a la

productividad del personal y a la satisfaccin plena del usuario.
(onstruir
equipos de traba!o con la participacin del usuario y del personal t/cnico de
acuerdo a metodolo#as establecidas. antener comunicados a los usuarios y a sus colaboradores de los avances, atrasos y problemas que se presentan rutinariamente y cuando sea necesario a trav/s de medios establecidos formalmente, como el uso de correo electrnico, mensa!es rel$mpa#os o flas&.
antener pro#ramas de capacitacin para el personal t/cnico y usuarios.
Departamento *rea de an*lisis de sistemas

1os analistas tienen la funcin de establecer un flu!o de informacin eficiente a trav/s de toda la or#ani-acin. 1os proyectos asi#nados a los analistas no necesariamente requieren de la computadora, mas bien necesitan el tiempo suficiente para reali-ar el estudio y la proposicin de soluciones de los problemas, planteando diferentes alternativas. 1a reali-acin de cualquiera de las soluciones puede durar varias semanas o meses dependiendo de la comple!idad del problema. 1os proyectos tpicos de sistemas pueden implicar el dise2o de reportes, la evaluacin de los traba!os efectuados por el personal de los departamentos usuarios, la supervisin de cambios de equipo la preparacin de presupuesto en el $rea de cmputo. 1os analistas pueden ser e#resados de diferentes carreras y b$sicamente los requisitos para estos son3 educacin profesional formal y e:periencia pr$ctica, esta 4ltima solo se lo#ra despu/s de &aber traba!ado en el $rea de pro#ramacin. ":isten diferentes ttulos de analistas3 Analista Punior, Aprendi- de Sistemas y Analista Senior que indican diferentes #rados de e:periencia, entrenamiento y educacin. A su ve- estos pueden tener todava m$s clasificaciones dependiendo del tama2o de la or#ani-acin, o bien puede &aber
1# L.I. Tere Surez Reyes

analistas pro#ramadores que reali-an tanto la funcin de analistas como la de pro#ramadores, esto indica una doble responsabilidad.
Departamento o *rea de pro,ramacin

"l #rupo de pro#ramacin es el que se encar#a de elaborar los pro#ramas que se e!ecutan en las computadoras, modifican los e:istentes y vi#ilan que todos los procesos se e!ecuten correctamente. 1os pro#ramadores toman las especificaciones de los sistemas reali-ados por los analistas y las transforman en pro#ramas eficientes y bien documentados para las computadoras.As como los analistas, los pro#ramadores pueden clasificarse en3 5Pro#ramadores !unior5 o 5Aprendices de Pro#ramacin5 que son personas reci/n #raduadas, personal de operacin que demuestra inter/s en la pro#ramacin o #raduados de escuelas t/cnicas de computacin, 5Pro#ramadores Senior5 son los que ya tienen varios a2os de e:periencia en proyectos #randes. "s frecuente que en #randes or#ani-aciones a#rupen los pro#ramadores y e:ista un pro#ramador principal o lder de pro#ramacin que diri!a el traba!o de cada #rupo adem$s de establecer y reportar el traba!o del #rupo. 1os pro#ramadores de sistemas deben tener los conocimientos suficientes del &ardware para poder optimi-ar la utili-acin del equipo. Su funcin es e:tremadamente t/cnica y especiali-ada ya que deben seleccionar, modificar y mantener el comple!o software del sistema operativo.
Departamento o *rea de implementacin

"sta $rea es la encar#ada de implantar nuevas aplicaciones #aranti-ando tanto su calidad como su adecuacin a las necesidades de los usuarios. Al#unas funciones principales #enerales que reali-a esta $rea son3
(oordinar con las $reas de sistemas y usuarios la implantacin de las aplicaciones. Dise2ar los planes de calidad de las aplicaciones y #aranti-ar su cumplimiento. Oalidar
los nuevos procedimientos y polticas a se#uir por las implementaciones de los proyectos liberados.
Probar los productos y servicios a implementar antes de ser liberados al usuario final.
1$ L.I. Tere Surez Reyes
"laborar
con!untamente con el $rea de Pro#ramacin o Desarrollo, los planes de
capacitacin de los nuevos usuarios.
(oordinar la presentacin de las nuevas aplicaciones a los usuarios. Supervisar el cumplimiento de los sistemas con la normatividad establecida. Departamento o *rea de soporte t-cnico
@rea responsable de la #estin del &ardware y del software dentro de las instalaciones del (entro de (mputo, entendiendo por #estin3 estrate#ia, planificacin, instalacin y mantenimiento.Al#unas funciones principales #enerales que reali-a esta $rea son3 Planificar la modificacin e instalacin de nuevo software y &ardware. "valuar los nuevos paquetes de software y nuevos productos de &ardware. Dar el soporte t/cnico necesario para el desarrollo de nuevos proyectos, evaluando el impacto de los nuevos proyectos en el sistema instalado. Ase#urar la disponibilidad del sistema, y la coordinacin necesaria para la resolucin de los problemas t/cnicos en su $rea. 0eali-ar la coordinacin con los t/cnicos del proveedor con el fin de resolver los problemas t/cnicos y #aranti-ar la instalacin de los productos. Proponer las notas t/cnicas y recomendaciones para el uso ptimo de los sistemas instalados. Participar en el dise2o de la Arquitectura de Sistemas.
Descripcin de Puestos(
%na de las partes m$s importante dentro de cualquier or#ani-acin es sin duda el tenerla bien definida y saber perfectamente lo que cada persona, que forma dic&a or#ani-acin, &ace o debe de &acer dentro de ella, es por eso que se vuelve imprescindible traba!ar con descripciones de puestos. "n un departamento de sistemas e:iste puestos #en/ricos definidos los cuales son tomados por la or#ani-acin y adaptados se#4n sus necesidades. A continuacin damos un e!emplo de dic&os puestos #en/ricos y posteriormente de cmo /stos fueron adaptados a nuestras necesidades y casos especficos.

)'%!e&i" Inform$tico Aeneralista
Actividade& y c% %ci$ie t%& de&eable& (on e:periencia amplia en ramas distintas. Deseable que su labor se &aya desarrollado en ":plotacin y en Desarrollo de Proyectos. (onocedor de Sistemas.
":perto en Desarrollo de Proyectos
Amplia e:periencia como responsable de proyectos. ":perto analista. (onocedor de las metodolo#as de Desarrollo m$s importantes.
./cnico de Sistemas
":perto en Sistemas Operativos y Software +$sico. (onocedor de los productos equivalentes en el mercado. Amplios conocimientos de ":plotacin.
":perto
en
+ases
de
Datos
y (on e:periencia en el mantenimiento de +ases de Datos. (onocimiento de productos compatibles y equivalentes. +uenos conocimientos de e:plotacin de Alta especiali-acin dentro de la t/cnica de sistemas. (onocimientos profundos de redes. Subsistemas de teleproceso. uy e:perto en
Administracin de las mismas. ":perto en Software
(omunicacin
":perto en ":plotacin y Aestin de 0esponsable de al#4n (entro de ($lculo. Amplia (PDQS e:periencia en Automati-acin de traba!os. ":perto en relaciones &umanas. +uenos conocimientos de los sistemas. ./cnico de Or#ani-acin ./cnico de evaluacin de (ostes ":perto or#ani-ador y coordinador. "specialista en el an$lisis de flu!os de informacin. "conomista con conocimiento de Inform$tica. Aestin de costos. Dentro del departamento e:isten diferente puestos, a los cuales se les asi#nan diferentes actividades y responsabilidades, a continuacin se describen las caractersticas de cada uno de estos. Se cuenta con3 C Aerente C "ncar#ado de desarrollo C "ncar#ado de Soporte ./cnico C "ncar#ado de desarrollo en 0edes

C "ncar#ado de 0edes y (omunicaciones C Operador e Instalador C Secretaria
%ESC&IPCI'( %EL P)EST' ;ombre................3 Austavo +onifa- S. Departamento.......3 Sistemas Puesto...................3 Aerente Del Departamento de Sistemas %efinicin: "s el responsable ante la direccin del establecimiento y funcionamiento del departamento, de manera que satisfa#a las necesidades de la empresa a corto y lar#o pla-o. "s el asesor de la #erencia en cuanto a la utili-acin de las computadoras y es el director t/cnico y administrativo de todas las actividades del procesamiento de datos. Ayuda a la #erencia a determinar las necesidades en lo referente a la informacin y equipo necesario para que se puedan alcan-ar los ob!etivos de la empresa. Define y controla el presupuesto y medios necesarios para el departamento. Interpreta las necesidades de la empresa y confecciona y da a conocer el plan de automati-acin. Prepara los proyectos con los usuarios vi#ilando que los traba!os se inte#ren de un modo apropiado y sean !ustificados y aprobados. "labora estudios para la eleccin y adquisicin de equipo de cmputo y accesorios. Su#iere la ampliacin o substitucin de las instalaciones e:istentes "standari-a los m/todos y establece las normas de eficacia y los costos ase#ur$ndose que el personal las conoce y acepte. Se informa de los distintos problemas por medio de subordinados y da se#uimiento para aplicar soluciones r$pidas y efectivas.

"stablece la comunicacin entre el personal del departamento y fomenta las buenas relaciones entre ellos. Se ase#urara que los responsables de los servicios a usuarios cumplan de tal manera, que dic&o usuario quede satisfec&o.
%ESC&IPCI'( %EL P)EST' ;ombre................3 I#nacio +a2uelos. Departamento.......3 Sistemas. Puesto...................3 "ncar#ado de 0edes y comunicaciones. %efinicin: "s el responsable del establecimiento y funcionamiento de las redes computacionales del #rupo. "s el encar#ado del dise2o e implementacin de dic&as redes. "s el responsable de la confi#uracin e instalacin del software necesario. "s el responsable de los equipos de comunicacin. "s el encar#ado de mantener comunicados los equipos de cmputo. "s el encar#ado de investi#ar y proponer soluciones de redes y comunicacin. "s el responsable de mantener y controlar el cableado. %ESC&IPCI'( %EL P)EST' ;ombre................3 Ale!andro Solares. Departamento.......3 Sistemas Puesto...................3 "ncar#ado de desarrollo de software para 0edes y Pcs. %efinicin: "s el responsable de la elaboracin y mantenimiento de los sistemas que corren en la red y las pcs. "s el responsable de los paquetes instalados en la red y pcs. Interpreta las necesidades de los usuarios y confecciona las soluciones pertinentes.

Prepara los proyectos con los usuarios vi#ilando que los traba!os se inte#ren de un modo apropiado. "labora estudios para la eleccin y adquisicin de software para redes y pcs. "s el encar#ado de estandari-ar los paquetes y software que corre ba!o redes y pcs. "s el encar#ado de investi#ar y probar nuevos productos para redes y pcs. "s el responsable de la inte#ridad de la informacin que se #enera y manipula en las redes y pcs. %ESC&IPCI'( %EL P)EST' ;ombre................3 0odolfo Se#ura. Departamento.......3 Sistemas Puesto...................3 "ncar#ado de desarrollo de software %efinicin: "s el responsable de la elaboracin y mantenimiento de los sistemas. "s el responsable de los paquetes instalados. Interpreta las necesidades de los usuarios y confecciona las soluciones pertinentes. Prepara los proyectos con los usuarios vi#ilando que los traba!os se inte#ren de un modo apropiado. "labora estudios para la eleccin y adquisicin de software "s el encar#ado de estandari-ar los paquetes y software "s el encar#ado de investi#ar y probar nuevos productos "s el responsable de la inte#ridad de la informacin que se #enera %ESC&IPCI'( %EL P)EST' ;ombre................3 Puan Pos/ ?i#ueroa. Departamento.......3 Sistemas Puesto...................3 "ncar#ado de Soporte t/cnico As>)FF. %efinicin: "s el responsable de la instalacin y mantenimiento del sistema operativo "s el responsable de la confi#uracin de la "s el encar#ado de detectar fallas y de su correccin.

"s el encar#ado del buen rendimiento del equipo. "labora estudios para la eleccin y adquisicin de software para "s el encar#ado de instalar y confi#urar el software de emulacin y comunicacin "s el encar#ado de investi#ar y probar nuevos productos para
%ESC&IPCI'( %EL P)EST' ;ombre................3 Araceli Silva. Departamento.......3 Sistemas. Puesto...................3 Secretaria. %efinicin: "s la encar#ada de au:iliar en los procesos administrativos del departamento. "s la encar#ada de controlar las operaciones de mensa!era. "s la encar#ada de elaborar y recibir pedidos, correspondencia, memor$ndums, fa:es y documentos en #eneral. "s la encar#ada de recibir y contestar llamadas telefnicas. "s la encar#ada de or#ani-ar y mantener en ptimas condiciones el arc&ivo. "s la encar#ada de la ca!a c&ica. D"S(0IP(IO; D"1 P%"S.O ;ombre................3 a:imiano Perales. Departamento.......3 Sistemas. Puesto...................3 Operador e Instalador. %efinicin: "s el encar#ado de e!ecutar y controlar todos los respaldos de la informacin de los distintos equipos. "s el encar#ado de controlar el inventario de equipo, y accesorios as como de los paquetes de software para Pc.

"s el encar#ado de elaborar pedidos de consumibles <DisBettes, (intas, .onners, (artuc&os para respaldos, "tc.=. "s el encar#ado de dar mantenimiento preventivo a las P(s. "s el encar#ado de &acer las instalaciones de Hardware y Software a las Pcs. "s el encar#ado de &acer revisiones y reparaciones menores a las Pcs.
A ali&ta Aeneralmente se conoce el puesto como analista de desarrollo o analista pro#ramador. Su descripcin del puesto es3 0eali-ar el dise2o t/cnico de los nuevos proyectos y aplicaciones peque2as y pro#ramar los mdulos comple!os. Supervisar a los pro#ramadores que participan en el proyecto. Sus funciones especficas son3 !nalista de %esarrollo# 0eali-ar el dise2o t/cnico de los nuevos proyectos. Preparar la documentacin para la pro#ramacin y pruebas de los sistemas. 0evisar la codificacin y pruebas de los sistemas. 0eali-ar estudios de viabilidad t/cnica. Participar en el dise2o funcional de los nuevos proyectos. Diri#ir proyectos peque2os. !nalista programador# "studiar los requerimientos de los nuevos usuarios en cuanto a nuevos productos o servicios. "structurar la l#ica de los pro#ramas. Pro#ramar. 1levar a efecto pruebas de los sistemas desarrollados. Documentar los pro#ramas de acuerdo a los est$ndares establecidos.
#eali$ar el an%lisis "e las aplicaciones sencillas.
$erente de Procesos#

"ncar#ado de diri#ir y administrar el $rea de Procesamiento de Datos, as como relacionarse con las otras $reas del centro de cmputo. ?ormula y administra todo el procesamiento de la informacin que mane!a el (entro de (mputo. Programador de Sistemas# Aunque su funcin es muy similar a la de un analista pro#ramador, su descripcin del puesto es3 Pro#ramar y reali-ar la codificacin y documentacin de los pro#ramas o sistemas desarrollados. 1os pro#ramadores toman las especificaciones de los sistemas reali-ados por los analistas y las transforman en pro#ramas eficientes y bien documentados para las computadoras. Sus funciones especficas son: Anali-ar la l#ica de los pro#ramas a desarrollar. (odificar y documentar los pro#ramas de acuerdo con las normas de calidad y se#uridad establecidas. Pro#ramar.
Probar los pro#ramas reali-ados.

Supervisor de Capturista# Supervisa las actividades de in#reso de datos de documentos. "labora turnos de traba!o en base a la car#a de traba!o establecida. Capturista# 1os capturistas de datos son los primeros en mane!ar y convertir los datos de su forma ori#inal a un formato accesible para la computadora. "ste tipo de personal puede operar diferentes dispositivos de teclado para proporcionar los datos directamente a la computadora. ;o obstante la importancia del traba!o de los preparadores de datos su educacin no requiere una formacin t/cnica formal, un mecan#rafo competente puede adquirir en pocas &oras de instruccin especiali-ada las &abilidades necesarias para la preparacin de datos. %i*u+ante# 1as funciones principales son3 0eali-a los dise2os #r$ficos asi#nados al $rea de inform$tica. 0eali-a dise2os de portadas para informes finales. "labora presentaciones, formatos de papelera, lo#otipos

Ad.uisicin del /ard0are + so$t0are

"s muy com4n que se &a#an compras de equipo por costumbre o porque recibe al#una recomendacin, esto sucede porque no se tiene el conocimiento de las pre#untas que debemos &acernos para poder ele#ir adecuadamente un equipo, ya sea el software o el &ardware.
Ad.uisicin de /ard0are
Debemos considerar los si#uientes puntos para la adquisicin de &ardware3 Determinacin del tama2o y requerimiento de capacidad "valuacin y medicin de la computadora. (ompatibilidad. ?actores financieros. antenimiento y soporte t/cnico.
Al reali-ar la compra debemos considerar lo si#uiente3 .ama2o interno de la memoria Oelocidad de procesamiento ;4mero de canales para entrada>salida de datos y comunicaciones .ipos u n4meros de dispositivos de almacenamiento Software que se proporciona y sistemas desarrollados disponibles. Evaluacin y medicin de la computadora "s com4n que se efect4en comparaciones entre los diferentes sistemas de cmputo basados en el desarrollo y desempe2o real de los datos. 1os datos de referencia son #enerados a trav/s del empleo de pro#ramas sint/ticos <es un pro#rama que imita la car#a de traba!o esperada y determina resultados=, la cu$l permite comparar contra especificaciones t/cnicas. 1os pro#ramas sint/ticos se pueden correr pr$cticamente en cualquier tipo de ambiente y #eneralmente se toma como referencia3 Oelocidad de procesamiento .iempo de respuesta para envo de datos desde las terminales

Compati*ilidad Ocasionalmente por cuestiones econmicas se considera factible la compra de equipo llamado compatible. 1a venta!a de este equipo es un menor costo que el ori#inal, pero debe tenerse cuidado con los si#uientes puntos3 ;ivel de calidad. Desempe2o i#ual al ori#inal Aarantas Acuerdos de servicio Fact%'e& !i a cie'%& ":isten las si#uientes posibilidades de adquirir equipo de cmputo Por al,uiler o renta 1as venta!as son el que tenemos un alto nivel de fle:ibilidad, no se requiere pa#os altos y elevados, y a corto pla-o es mas econmico alquilar que comprar. (omo desventa!a podemos decir que a la lar#a puede resultar m$s costoso que comprar el equipo y adem$s podemos tener limitaciones en cuanto a uso. Por compra .iene como venta!a que puede pa#arse a cr/dito en pa#os predeterminados en periodos fi!os, no necesariamente se tiene que efectuar pa#os elevados y se puede disponer del equipo a la &ora que se quiera. .iene como desventa!as que es una decisin irrevocable, que se requiere capital mayor que en el caso anterior y el ries#o a la obsolescencia. Ma te i$ie t% y &%*%'te t,c ic% Los puntos de mayor inters son: uente de mantenimiento %na ve- que el sistema se &a entre#ado e instalado, e:iste un periodo de #aranta en el cu$l la unidad de ventas que efectu la operacin tiene la responsabilidad del mantenimiento, despu/s de este tiempo el comprador puede adquirir mantenimiento de varias fuentes

Trminos de mantenimiento "l contrato puede redactarse de manera tal que cubra tanto la mano de obra como las pie-as que se &ayan necesitado en el mantenimiento, o mano de obra y pie-as por separado. Servicio y respuestas "l apoyo de mantenimiento es 4til si se encuentra disponible cuando se requiere. Dos puntos de inter/s son el tiempo de respuesta y las &oras en las que se puede obtener el apoyo.
Ad.uisicin de so$t0are
%na ve- que cono-camos los requerimientos de los sistemas que vamos a desarrollar, debemos &acer una comparacin entre todos los paquetes que cumplen con las condiciones que requerimos y as ele#ir el m$s apto. )'e(u ta& -ue deb% .ace'$e e cua t% a 'e-ue'i$ie t%& de &%!t/a'e: 79u/ transacciones y que tipos de datos vamos a mane!ar8 79u/ reportes o salidas debe producir el sistema8 79u/ arc&ivos y bases de datos se mane!an en el sistema8 7(u$l es el volumen de datos a almacenar8 7(u$l es el volumen de operaciones8 79u/ &ardware y caractersticas de comunicaciones se requiere8 7(u$nto cuesta8 1as caractersticas a considerar en la adquisicin de software son3 fle:ibilidad, capacidades, previsin de auditoras, confiabilidad, contratos de software y apoyos del proveedor. 1as $reas donde la fle:ibilidad es deseable son3 "n el almacenamiento de datos "n la produccin de informes. "n la entrada de datos "n la definicin de par$metros Capacidad

"l tama2o de cada re#istro medido en bytes "l tama2o de cada arc&ivo medido en bytes "l n4mero de arc&ivos que pueden estar activos simult$neamente
;4mero de arc&ivos que pueden traba!ar

Previsin de auditora y confia*ilidad Se#uir las transacciones para e:aminar datos intermedios Imprimir de manera selectiva al#unos re#istros para verificar si cumplen los criterios.
Producir un re#istro diario de las operaciones y su efecto en los dat os

!poyos del proveedor ?recuencia del mantenimiento Servicios que se incluyen en el pa#o Saber si se incrementa el costo del mantenimiento Horarios disponibles de servicio Saber si tiene servicio de emer#encia Contratos de soft-are .ay dos tipos de contratos: Alquilar un paquete y software y asi#nacin de pro#ramacin al cliente Dentro del contrato se estipula la propiedad y mantenimiento del software Para determinar qu/ equipo es el m$s conveniente de adquirir &abr$ que definir con claridad la capacidad y los requerimientos t/cnicos de todos los mecanismos como son3 velocidad, capacidad de almacenamiento, dispositivos au:iliares <mouse, impresora, monitor, etc.= Se debe estudiar muy bien, cuando se surten a los proveedores de todos los sistemas mostrados, antes de esco#er al#uno de ellos. C%&t%

Inversin que se &ace para producir bienes o servicios, para adquirir mercancas para la venta. <"ro#acin o adquisicin de un bien= 0a&t%& Son las salidas o p/rdidas, resultantes del desarrollo y del uso de sistemas <un #asto, re#ularmente no estaba contemplado=. 1e e!ici% Son cada una de las venta!as que se obtiene de la instalacin y uso del mismo C%&t%& ta (ible& Son las salidas en efectivo, lo que si#nifica que se conoce y se puede estimar <precio de un monitor, 5el salario de un empleado5= C%&t%& i ta (ible& Se saben que e:isten al#unos costos cuyo monto apro:imado no se puede determinar con e:actitud, <el perder un cliente, 5"l descenso de la compa2a5= 1e e!ici%& Son m$s difciles de especificar en forma e:acta que los costos. "l valor de los beneficios es una venta!a que se #ana a trav/s de la utili-acin del sistema 1e e!ici%& ta (ible& Son aquellos que son cuantificables, <reduccin de #astos, menores tasas de error= 1e e!ici%& i ta (ible& Son aquellos que no se pueden cuantificar < e!ores condiciones de traba!o, me!or servicio a clientes, respuesta r$pida a las solicitudes de los clientes= 1e e!ici%& !ij%& Son aquellos costos y beneficios de sistemas que son constantes y no cambian, sin importar cuanto se utilice un sistema de informacin, e!emplo3 si una compa2a compra equipo de cmputo, el costo no va a variar, ya sea que el equipo se utilice muc&o o poco.

1e e!ici%& va'iable& Son aquellos donde incurre en proporcin a la actividad o el tiempo C%&t%& va'iable& "!emplo3 1os costos se suministro de computadora varan en proporcin con el monto del proceso que se lleva a cabo, ya que la impresin de mas p$#inas incrementa el costo del papel, por lo tanto, variar$ como resultado de la cantidad de impresin, sin embar#o se elimina si se cesa la preparacin de informes.
Costos + &ene$icios directos o indirectos

Di'ect%& Son atribuibles a un sistema de ne#ocio, un sistema de informacin. "n otras palabras el utili-ar el sistema produce costos y beneficios directos. "!emplo3 la utili-acin del papel, suministro de cintas, etc. I di'ect%& Son aquellos costos y beneficios que no est$n especficamente asociados con el sistema de informacin. "!emplo3 1a calefaccin, aire acondicionado, se#uros, el espacio, etc. 1e e!ici%& di'ect%& Son aquellos que se consi#uen como productos del sistema <0eportes= 1e e!ici%& i di'ect%& Se consi#uen como un subproducto de otro sistema. <%n sistema que da se#uimiento a las solicitudes de ventas que reali-an los clientes, proporciona informacin adicional de la competencia= Cla&i!icaci" del c%&t% (osto de equipo (ostos de operacin (ostos de personal

(ostos de suministros y #astos varios (ostos de instalacin
Permisos + Licencias(
"l uso de Software no autori-ado o adquirido ile#almente, se considera como PI0A.A y una violacin a los derec&os de autor. "l uso de Hardware y de Software autori-ado esta re#ulado por las si#uientes normas3 .oda dependencia podr$ utili-ar %;I(A ";." el &ardware y el software que el departamento de sistemas le &aya instalado y oficiali-ado mediante el 5Acta de entre#a de equipos y>o software5. .anto el &ardware y software, como los datos, son propiedad de la empresa. su copia o sustraccin o da2o intencional o utili-acin para fines distintos a las labores propias de la compa2a, ser$ sancionada de acuerdo con las normas y re#lamento interno de la empresa. "l departamento de sistemas llevara el control del &ardware y el software instalado, bas$ndose en el n4mero de serie que contiene cada uno. Peridicamente, el departamento de sistemas efectuar$ visitas para verificar el software utili-ado en cada dependencia. Por lo tanto, el detectar software no instalado por esta dependencia, ser$ considerado como una violacin a las normas internas de la empresa. .oda necesidad de &ardware y>o software adicional debe ser solicitada por escrito al departamento de sistemas, quien !ustificar$ o no dic&o requerimiento, mediante un estudio evaluativo. "l departamento de sistemas instalar$ el software en cada computador y entre#ar$ al $rea usuaria los manuales pertinentes los cuales quedaran ba!o la responsabilidad del Pefe del departamento respectivo. 1os disBettes que contienen el software ori#inal de cada paquete ser$n administrados y almacenados por el departamento de sistemas. "l departamento de sistemas proveer$ el personal y una copia del software ori#inal en caso de requerirse la reinstalacin de un paquete determinado.

1os tr$mites para la compra de los equipos aprobados por el departamento de sistemas, as como la adecuacin fsica de las instalaciones ser$n reali-adas por la dependencia respectiva. 1a prueba, instalacin y puesta en marc&a de los equipos y>o dispositivos, ser$n reali-ada por el departamento de sistemas, quien una ve- compruebe el correcto funcionamiento, oficiali-ara su entre#a al $rea respectiva mediante el 5Acta de "ntre#a de "quipos y>o Software5. %na ve- entre#ados los equipos de computacin y>o el software por el departamento de sistemas, estos ser$n car#ados a la cuenta de activos fi!os del $rea respectiva y por lo tanto, quedaran ba!o su responsabilidad. As mismo, el departamento de sistemas mantendr$ actuali-ada la relacin de los equipos de computacin de la compa2a, en cuanto a numero de serie y ubicacin, con el fin que este mismo departamento verifique, por lo menos una ve- al a2o su correcta destinacin. "l departamento de sistemas actuali-ar$ el software comprado cada ve- que una nueva versin sal#a al mercado, a fin de aprovec&ar las me!oras reali-adas a los pro#ramas, siempre y cuando se !ustifique esta actuali-acin.
Derec/os de autor + licencia de uso de so$t0are(

"l (opyri#&t, o los derec&os de autor, son el sistema de proteccin !urdica concebido para titular las obras ori#inales de autora determinada e:presadas a trav/s de cualquier medio tan#ible o intan#ible. 1as obras literarias <incluidos los pro#ramas inform$ticos=, musicales, dram$ticas, pl$sticas, #r$ficas y escultricas, cinemato#r$ficas y dem$s obras audiovisuales, as como las fono#ramas, est$n prote#idos por las leyes de derec&os de autor. "l titular de los derec&os de autor tiene el derec&o e:clusivo para efectuar y autori-ar las si#uientes acciones3 0eali-ar copias o reproducciones de las obras. Preparar obras derivadas basadas en la obra prote#ida por las leyes de derec&os de autor.

Distribuir entre el p4blico copias de la obra prote#ida por las leyes de derec&os de autor mediante la venta u otra cesin de la propiedad, o bien mediante alquiler, arrendamiento financiero o pr/stamo. 0eali-ar o mostrar la publicidad de la obra prote#ida por las leyes de derec&os de autor. Importar el traba!o, y reali-ar actos de comunicacin p4blica de las obras prote#idas.
UNIDAD 2 Auditor'a del centro de cmputo o datos(

Objetivo particular: 0eali-ar$ auditora inform$tica a un centro de cmputo o datos
evaluando el desarrollo de acciones de #aranta de se#uridad, as como el plan de contin#encias, mediante instrumentos y metodolo#a de auditora que conlleven a la preservacin e inte#ridad de las instalaciones, equipos e informacin.
2.1.1 Elabora una lista de chequeo para evaluar la seguridad y el cumplimiento normativo en un centro de cmputo o datos de una entidad Objetivo especfico: Oerifica las acciones de se#uridad y el cumplimiento normativo con base
en metodol#ica de auditora y empleo de &erramientas, instrumentos.
IDENTI"ICACIN DEL ENTORNO DE AUDITOR1A
Auditor'a
1a auditora es el e:amen crtico y sistem$tico que reali-a una persona o #rupo de personas independientes del sistema auditado. Aunque &ay muc&os tipos de auditora, la e:presin se utili-a

#eneralmente para desi#nar a la auditora e:terna de estados financieros que es una auditora reali-ada por un profesional e:perto en contabilidad de los libros y re#istros contables de una entidad para opinar sobre la ra-onabilidad de la informacin contenida en ellos y sobre el cumplimiento de las normas contables. "l ori#en etimol#ico de la palabra es el verbo latino RAudireS, que si#nifica RorS. "sta denominacin proviene de su ori#en &istrico, ya que los primeros auditores e!ercan su funcin !u-#ando la verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo
Auditoria in$orm*tica
1a auditora inform$tica es el proceso de reco#er, a#rupar y evaluar evidencias para determinar si un Sistema de Informacin salva#uarda el activo empresarial, mantiene la inte#ridad de los datos, lleva a cabo efica-mente los fines de la or#ani-acin y utili-a eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que est$n implantados en una empresa u or#ani-acin, determinando si los mismos son adecuados y cumplen unos determinados ob!etivos o estrate#ias, estableciendo los cambios que se deberan reali-ar para la consecucin de los mismos. L%& %bjetiv%& de la audit%'+a I !%'$2tica &% : "l control de la funcin inform$tica "l an$lisis de la eficiencia de los Sistemas Inform$ticos 1a verificacin del cumplimiento de la ;ormativa en este $mbito 1a revisin de la efica- #estin de los recursos inform$ticos. 1a auditora inform$tica sirve para me!orar ciertas caractersticas en la empresa como3 "ficiencia "ficacia 0entabilidad Se#uridad Aeneralmente se puede desarrollar en al#una o combinacin de las si#uientes $reas3

Aobierno corporativo Administracin del (iclo de vida de los sistemas Servicios de "ntre#a y Soporte Proteccin y Se#uridad Planes de continuidad y 0ecuperacin de desastres 1a necesidad de contar con lineamientos y &erramientas est$ndar para el e!ercicio de la auditora inform$tica &a promovido la creacin y desarrollo de me!ores pr$cticas como (O+I., ISO, (OSO e I.I1. Actualmente la certificacin de ISA(A para ser (ISA (ertified Information Systems Auditor es una de las mas reconocidas y avaladas por los est$ndares internacionales ya que el proceso de seleccin consta de un e:amen inicial bastante e:tenso y la necesidad de mantenerse actuali-ado acumulando &oras <puntos= para no perder la certificacin. C% t'%l i te' %: (ontrol Interno Inform$tico es una &erramienta enfocada a la adecuada #estin de los Sistemas de la Informacin. uc&os de los problemas inform$ticos se ori#inan dentro de la misma empresa. Por ello es cada ve- m$s necesario un completo an$lisis del tr$fico de3

1os correos electrnicos corporativos. 1as p$#inas web que se visitan desde los ordenadores de la empresa.
uncin del Control#/ %na definicin que es correcta y a la cual representa el valor de la ?uncin del (ontrol es la de ayudar a los ?uncionarios que tienen responsabilidad Administrativa, ./cnica y>u Operacional a que no incurran en falta. H es por ello que aqu el (ontrol es (reativo * Inteli#ente, y (onstructivo de asesoramiento oportuno a todas las Direcciones o Aerencias a fin de que la .oma de Decisiones sea acertada, se#ura y se lo#ren los ob!etivos, con la m$:ima eficiencia de que, en dic&a entidad, antes de reali-arse la auditora, ya se &aban detectado fallas. "l concepto de auditora es muc&o m$s que esto.

El C% t'%l de 3i&te$a& e I !%'$2tica4 consiste en e:aminar los recursos, las operaciones, los beneficios y los #astos de las producciones <servicios y>o productos de los Sistemas Inform$ticos=, de los Or#anismos su!etos a control, con al finalidad de evaluar la eficacia y eficiencia Administrativa ./cnica y>u Operacional de los Or#anismos, en concordancia con los principios, normas, t/cnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas <Planes, Pro#ramas y Presupuestos, Dise2o, Software, Hardware, Se#uridad, 0espaldos y otros= adoptados por la Or#ani-acin para su din$mica de Aestin en salva#uarda de los 0ecursos del "stado. ":iste otra definicin sobre el 5control t/cnico5 en materia de Sistemas e Inform$tica, y esta se orienta a la revisin del Dise2o de los Planes, Dise2os de los Sistemas, la demostracin de su eficacia, la Supervisin compulsa de rendimientos, Pruebas de Productividad de la Aestin * Demanda llamada 5Pruebas intermedias5, el an$lisis de resultados, niveles y medios de se#uridad, respaldo, y el almacenamiento. As mismo medicin de la vida 4til del Sistema Inform$tico adoptado por la Or#ani-acin ba!o control. Objetiv%& de la Audit%'+a y C% t'%l de 3i&te$a& e I !%'$2tica.1os principales ob!etivos que constituyen a la auditora Inform$tica son3
"l control de la funcin inform$tica <Sistema de Informacin * SI y la .ecnolo#a de la
Informacin *.I=.
"l an$lisis de la eficiencia de los SI y la .I. 1a verificacin del cumplimiento de la ;ormativa Aeneral de la Or#ani-acin. 1a verificacin de los Planes, Pro#ramas y Presupuestos de los Sistemas Inform$ticos. 1a revisin de la efica- #estin de los recursos materiales y &umanos inform$ticos. 1a revisin y verificacin de (ontroles ./cnicos Aenerales y "specficos de Operatividad. 1a revisin y verificacin de las Se#uridades.
De (umplimiento de normas y est$ndares. De Sistema Operativo. De Se#uridad de Software. De Se#uridad de (omunicaciones. De Se#uridad de +ase de Datos. De Se#uridad de Proceso.

De Se#uridad de Aplicaciones. De Se#uridad ?sica. De Suministros y 0eposiciones. De (ontin#encias.
"l an$lisis del control de resultados. "l an$lisis de verificacin y de e:posicin de debilidades y disfunciones.
El auditor inform0tico#/ "s el profesional que &a de cuidar y velar por la correcta utili-acin de los diversos recursos que la or#ani-acin y debe comprobar que se este llevando acabo un eficiente y efica- Sistema de Informacin y la .ecnolo#a de la Informacin. Pues estas dos puntos en la actualidad soporta la Auditora y (ontrol de los Sistemas e Inform$tica en la Aestin moderna.
De$inicin + tipo de controles internos

Se puede definir el control interno como 5cualquier actividad o accin reali-ada manual y>o autom$ticamente para prevenir, corre#ir errores o irre#ularidades que puedan afectar al funcionamiento de un sistema para lo#rar o conse#uir sus ob!etivos. 1os controles internos se clasifican en los si#uientes3 Controles preventivos: Para tratar de evitar el &ec&o, como un software de se#uridad que impida los accesos no autori-ados al sistema. Controles detectivos: (uando fallan los preventivos para tratar de conocer cuanto antes el evento. Por e!emplo, el re#istro de intentos de acceso no autori-ados, el re#istro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: ?acilitan la suelta a la normalidad cuando se &an producido incidencias. Por e!emplo, la recuperacin de un fic&ero da2ado a partir de las copias de se#uridad.
Implantacin de un sistema de controles internos in$orm*ticos

Para lle#ar a conocer la confi#uracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados3 Entorno de red: esquema de la red, descripcin de la confi#uracin &ardware de comunicaciones, descripcin del software que se utili-a como acceso a las telecomunicaciones, control de red, situacin #eneral de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la se#uridad de la red. Configuracin del ordenador *ase: (onfi#uracin del soporte fsico, en torno del sistema operativo, software con particiones, entornos <pruebas y real=, bibliotecas de pro#ramas y con!unto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de #estin de base de datos y entornos de procesos distribuidos. Productos y 1erramientas: Software para desarrollo de pro#ramas, software de #estin de bibliotecas y para operaciones autom$ticas. Seguridad del ordenador *ase: Identificar y verificar usuarios, control de acceso, re#istro e informacin, inte#ridad del sistema, controles de supervisin, etc. Para la implantacin de un sistema de controles internos inform$ticos &abr$ que definir3 $estin de sistema de informacin: polticas, pautas y normas t/cnicas que sirvan de base para el dise2o y la implantacin de los sistemas de informacin y de los controles correspondientes. !dministracin de sistemas: (ontroles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, inte#ridad del sistema, confidencialidad <control de acceso= y disponibilidad. $estin del cam*io: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la mi#racin de pro#ramas software aprobados y probados.
Normas(

Se#4n se describe en Tbib*imcpU, las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al traba!o que desempe2a ya la informacin que rinde como resultado de este traba!o. 1as normas de auditora se clasifican en3 a. ;ormas personales. b. ;ormas de e!ecucin del traba!o. c. ;ormas de informacin. (ormas personales son cualidades que el auditor debe tener para e!ercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento t/cnico, que le permita ser imparcial a la &ora de dar sus su#erencias.
(ormas de e+ecucin del tra*a+o Son la planificacin de los m/todos y procedimientos, tanto como papeles de traba!o a aplicar dentro de la auditora. (ormas de informacin Son el resultado que el auditor debe entre#ar a los interesados para que se den cuenta de su traba!o, tambi/n es conocido como informe o dictamen.
Normati!idad relati!a a In$orm*tica en M-%ico

1a re#ulacin de actividades, productos, servicios, etc. se reali-a en /:ico a trav/s de la
re#lamentacin diversa que las diversas entidades u or#anismo oficiales emiten. "sto toca elementos desde la misma (onstitucin Poltica, pasando por leyes, re#lamentos, acuerdos, manuales, nomas, etc. .ocante al tema tecnol#ico que nos ata2e <(omputacin y en particular la Auditora Inform$tica= esta normatividad se encuentra en leyes, re#lamentos y las normas ;O ;O y ; V. "n los casos en que no e:iste una ley especfica, la Secretara de "conoma <re#uladora de las y ; V= mane!a la normatividad ISO. A continuacin se enlistan una serie de normas que de una forma u otra tocan aspectos especficos o #enerales de esta actividad.

"n cuanto a las normas internacionales, se mane!a como RadecuadoS el cumplir con las normas ISO, en particular la ISO CFFCC <ISO CWFCC X DFFD= para los temas de RAuas de auditora a los sistemas de calidadS, R(riterios de calificacin y seleccin de auditoresS y RAdministracin de un pro#rama de auditoraS.
)reas de Auditor'a In$orm*tica de Sistemas

Se ocupa de anali-ar la actividad que se conoce como ./cnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones &a propiciado que las (omunicaciones, 1neas y 0edes de las instalaciones inform$ticas, se auditen por separado, aunque formen parte del entorno #eneral de Sistemas.
Sistemas 'perativos: "n#loba los Subsistemas de .eleproceso, "ntrada>Salda, etc. Debe verificarse en primer lu#ar que los Sistemas est$n actuali-ados con las 4ltimas versiones del fabricante, inda#ando las causas de las omisiones si las &ubiera. "l an$lisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software +$sico adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los par$metros variables de las 1ibreras m$s importantes de los Sistemas, por si difieren de los valores &abituales aconse!ados por el constructor. Soft-are 20sico: "s fundamental para el auditor conocer los productos de software b$sico que &an sido facturados aparte de la propia computadora. "sto, por ra-ones econmicas y por ra-ones de comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. "n cuanto al Software desarrollado por el personal inform$tico de la empresa, el auditor debe verificar que /ste

no a#reda ni condiciona al Sistema. I#ualmente, debe considerar el esfuer-o reali-ado en t/rminos de costes, por si &ubiera alternativas m$s econmicas. Soft-are de Teleproceso 3Tiempo &eal4: ;o se incluye en Software +$sico por su especialidad e importancia. 1as consideraciones anteriores son v$lidas para /ste tambi/n.
Mane2o de controles
(ontroles administrativos en un ambiente de Procesamiento de Datos 1a m$:ima autoridad del @rea de Inform$tica de una empresa o institucin debe implantar los si#uientes controles que se a#ruparan de la si#uiente forma3 C.* (ontroles de Preinstalacin D.* (ontroles de Or#ani-acin y Planificacin '.* (ontroles de Sistemas en Desarrollo y Produccin ).* (ontroles de Procesamiento G.* (ontroles de Operacin L.* (ontroles de uso de icrocomputadores
5#/ Controles de Preinstalacin Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automati-acin de los sistemas e:istentes. Ob!etivos3
Aaranti-ar que el &ardware y software se adquieran siempre y cuando ten#an la se#uridad
de que los sistemas computari-ados proporcionaran mayores beneficios que cualquier otra alternativa.
Aaranti-ar la seleccin adecuada de equipos y sistemas de computacin Ase#urar la elaboracin de un plan de actividades previo a la instalacin
Acciones a se#uir3

"laboracin de un informe t/cnico en el que se !ustifique la adquisicin del equipo, software
y servicios de computacin, incluyendo un estudio costo*beneficio.

?ormacin de un comit/ que coordine y se responsabilice de todo el proceso de adquisicin
e instalacin
"laborar un plan de instalacin de equipo y software <fec&as, actividades, responsables= el
mismo que debe contar con la aprobacin de los proveedores del equipo.
"laborar un instructivo con procedimientos a se#uir para la seleccin y adquisicin de
equipos, pro#ramas y servicios computacionales. "ste proceso debe enmarcarse en normas y disposiciones le#ales.
"fectuar las acciones necesarias para una mayor participacin de proveedores. Ase#urar respaldo de mantenimiento y asistencia t/cnica.
6#/ Controles de organi7acin y Planificacin Se refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del $rea PAD, en labores tales como3
Dise2ar un sistema "laborar los pro#ramas Operar el sistema (ontrol de calidad
Se debe evitar que una misma persona ten#a el control de toda una operacin. Acciones a se#uir3
1a unidad inform$tica debe estar al mas alto nivel de la pir$mide administrativa de manera
que cumpla con sus ob!etivos, cuente con el apoyo necesario y la direccin efectiva.
1as funciones de operacin, pro#ramacin y dise2o de sistemas deben estar claramente
delimitadas.
Deben e:istir mecanismos necesarios a fin de ase#urar que los pro#ramadores y analistas
no ten#an acceso a la operacin del computador y los operadores a su ve- no cono-can la documentacin de pro#ramas y sistemas.
Debe e:istir una unidad de control de calidad, tanto de datos de entrada como de los
resultados del procesamiento.

"l mane!o y custodia de dispositivos y arc&ivos ma#n/ticos deben estar e:presamente
definidos por escrito.

1as actividades del PAD deben obedecer a planificaciones a corto, mediano y lar#o pla-o
su!etos a evaluacin y a!ustes peridicos 5Plan
aestro de Inform$tica5
Debe e:istir una participacin efectiva de directivos, usuarios y personal del PAD en la
planificacin y evaluacin del cumplimiento del plan.

1as instrucciones deben impartirse por escrito.
8#/ Controles de Sistema en %esarrollo y Produccin Se debe !ustificar que los sistemas &an sido la me!or opcin para la empresa, ba!o una relacin costo*beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se &an desarrollado ba!o un proceso planificado y se encuentren debidamente documentados. Acciones a se#uir3 1os usuarios deben participar en el dise2o e implantacin de los sistemas pues aportan conocimiento y e:periencia de su $rea y esta actividad facilita el proceso de cambio
"l personal de auditora interna>control debe formar parte del #rupo de dise2o para su#erir
y solicitar la implantacin de rutinas de control

"l desarrollo, dise2o y mantenimiento de sistemas obedece a planes especficos,
metodolo#as est$ndares, procedimientos y en #eneral a normatividad escrita y aprobada.

(ada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas
u otros mecanismos a fin de evitar reclamos posteriores.

1os pro#ramas antes de pasar a Produccin deben ser probados con datos que a#oten todas
las e:cepciones posibles.

.odos
los sistemas deben estar debidamente documentados y actuali-ados. 1a
documentacin deber$ contener3 *Informe de factibilidad * Dia#rama de bloque * Dia#rama de l#ica del pro#rama * Ob!etivos del pro#rama * 1istado ori#inal del pro#rama y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones

* ?ormatos de salida * 0esultados de pruebas reali-adas

Implantar procedimientos de solicitud, aprobacin y e!ecucin de cambios a pro#ramas,
formatos de los sistemas en desarrollo.

"l sistema concluido ser$ entre#ado al usuario previo entrenamiento y elaboracin de los
manuales de operacin respectivos. 9#/ Controles de Procesamiento 1os controles de procesamiento se refieren al ciclo que si#ue la informacin desde la entrada &asta la salida de la informacin, lo que conlleva al establecimiento de una serie de se#uridades para3
Ase#urar que todos los datos sean procesados. Aaranti-ar la e:actitud de los datos procesados. Aaranti-ar que se #rabe un arc&ivo para uso de la #erencia y con fines de auditora Ase#urar que los resultados sean entre#ados a los usuarios en forma oportuna y en las
me!ores condiciones. Acciones a se#uir3

Oalidacin de datos de entrada previo procesamiento debe ser reali-ada en forma
autom$tica3 clave, d#ito autoverificador, totales de lotes, etc.

Preparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente
su correccin.
0ecepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un
&orario elaborado en coordinacin con el usuario, reali-ando un debido control de calidad.

Adoptar acciones necesarias para correcciones de errores. Anali-ar conveniencia costo*beneficio de estandari-acin de formularios, fuente para
a#ilitar la captura de datos y minimi-ar errores.

1os procesos interactivos deben #aranti-ar una adecuada interrelacin entre usuario y
sistema.
Planificar el mantenimiento del &ardware y software, tomando todas las se#uridades para
#aranti-ar la inte#ridad de la informacin y el buen servicio a usuarios.

:#/ Controles de 'peracin Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line. 1os controles tienen como fin3
Prevenir o detectar errores accidentales que puedan ocurrir en el (entro de (mputo
durante un proceso
"vitar o detectar el mane!o de datos con fines fraudulentos por parte de funcionarios del
PAD
Aaranti-ar la inte#ridad de los recursos inform$ticos. Ase#urar la utili-acin adecuada de equipos acorde a planes y ob!etivos.
Acciones a se#uir3
"l acceso al centro de computo debe contar con las se#uridades necesarias para reservar el
in#reso al personal autori-ado

Implantar claves o password para #aranti-ar operacin de consola y equipo central
<mainframe=, a personal autori-ado.

?ormular polticas respecto a se#uridad, privacidad y proteccin de las facilidades de
procesamiento ante eventos como3 incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos.
antener un re#istro permanente <bit$cora= de todos los procesos reali-ados, de!ando constancia de suspensiones o cancelaciones de procesos.
1os operadores del equipo central deben estar entrenados para recuperar o restaurar
informacin en caso de destruccin de arc&ivos.

1os bacBups no deben ser menores de dos <padres e &i!os= y deben #uardarse en lu#ares
se#uros y adecuados, preferentemente en bvedas de bancos.

Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso. .odas las actividades del (entro de (omputo deben normarse mediante manuales,
instructivos, normas, re#lamentos, etc.

"l proveedor de &ardware y software deber$ proporcionar lo si#uiente3

* * * *
anual de operacin de equipos anual de len#ua!e de pro#ramacin anual de utilitarios disponibles anual de Sistemas operativos
1as instalaciones deben contar con sistema de alarma por presencia de fue#o, &umo, as
como e:tintores de incendio, cone:iones el/ctricas se#uras, entre otras.

Instalar equipos que prote!an la informacin y los dispositivos en caso de variacin de
volta!e como3 re#uladores de volta!e, supresores pico, %PS, #eneradores de ener#a.

(ontratar pli-as de se#uros para prote#er la informacin, equipos, personal y todo ries#o
que se produ-ca por casos fortuitos o mala operacin. ;#/ Controles en el uso del <icrocomputador "s la tarea m$s difcil pues son equipos mas vulnerables, de f$cil acceso, de f$cil e:plotacin pero los controles que se implanten ayudaran a #aranti-ar la inte#ridad y confidencialidad de la informacin. Acciones a se#uir3
Adquisicin de equipos de proteccin como supresores de pico, re#uladores de volta!e y de
ser posible %PS previo a la adquisicin del equipo

Oencida la #aranta de mantenimiento del proveedor se debe contratar mantenimiento
preventivo y correctivo.
"stablecer procedimientos para obtencin de bacBups de paquetes y de arc&ivos de datos. 0evisin peridica y sorpresiva del contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la #estin de la empresa.
antener pro#ramas y procedimientos de deteccin e inmuni-acin de virus en copias no autori-adas o datos procesados en otros equipos.
Propender a la estandari-acin del Sistema Operativo, software utili-ado como
procesadores de palabras, &o!as electrnicas, mane!adores de base de datos y mantener actuali-adas las versiones y la capacitacin sobre modificaciones incluidas. Revi&i" de Ce t'%& de C"$*ut% (onsiste en revisar los controles en las operaciones del centro de procesamiento de informacin en los si#uientes aspectos3

5#/ &evisin de controles en el e,uipo Se &ace para verificar si e:isten formas adecuadas de detectar errores de procesamiento, prevenir accesos no autori-ados y mantener un re#istro detallado de todas las actividades del computador que debe ser anali-ado peridicamente.
6#/ &evisin de programas de operacin Se verifica que el crono#rama de actividades para procesar la informacin ase#ure la utili-acin efectiva del computador. 8#/ &evisin de controles am*ientales Se &ace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con des&umidificadores, aire acondicionado, fuentes de ener#a continua, e:tintores de incendios, etc. 9#/ &evisin del plan de mantenimiento Aqu se verifica que todos los equipos principales ten#an un adecuado mantenimiento que #arantice su funcionamiento continuo. :#/ &evisin del sistema de administracin de arc1ivos Se &ace para verificar que e:istan formas adecuadas de or#ani-ar los arc&ivos en el computador, que est/n respaldados, as como ase#urar que el uso que le dan es el autori-ado. ;#/ &evisin del plan de contingencias Aqu se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante.
E!aluacin del plan de contin,encias in$orm*ticas 0 L.I. Tere Surez Reyes

5)%' -u, &e ece&ita u )la de C% ti (e cia6 A medida que las empresas se &an vuelto cada ve- m$s dependientes de las computadoras y las redes para mane!ar sus actividades, la disponibilidad de los sistemas inform$ticos se &a vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y al#unas requiren incluso un nivel continuo de disponibilidad, ya que les resultara e:tremadamente difcil funcionar sin los recursos inform$ticos. 1os procedimientos manuales, si es que e:isten, slo seran pr$cticos por un corto periodo. "n caso de un desastre, la interrupcin prolon#ada de los servicios de computacin puede llevar a p/rdidas financieras si#nificativas, sobre todo si est$ implicada la responsabilidad de la #erencia de inform$tica. 1o m$s #rave es que se puede perder la credibilidad del p4blico o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. (abe pre#untarse 57Por se necesita un plan de contin#encia para desastres si e:iste una pli-a de se#uro para esta eventualidad85 1a respuesta es que si bien el se#uro puede cubrir los costos materiales de los activos de una or#ani-acin en caso de una calamidad, no servir$ para recuperar el ne#ocio. ;o ayudar$ a conservar a los clientes y, en la mayora de los casos, no proporcionar$ fondos por adelantado para mantener funcionando el ne#ocio &asta que se &aya recuperado. "n un estudio reali-ado por la %niversidad de innesota, se &a demostrado que m$s del LFK de ientras vaya en aumento la dependencia
las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldr$n del ne#ocio en dos o tres a2os. de la disponibilidad de los recursos inform$ticos, este porcenta!e se#uramente crecer$. Por lo tanto, la capacidad para recuperarse e:itosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estrat/#ico de se#uridad para una or#ani-acin. Ima#nese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes6 ima#ine la p/rdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema 7(mo se mane!ara seme!ante cat$strofe8 Si %d. se ve en esta situacin y lo 4nico que puede &acer es pre#untarse 57H a&ora qu/85 Yya es demasiado tardeZ 1a 4nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo.

57u, e& u de&a&t'e6 Se puede consider como un desastre la interrupcin prolon#ada de los recursos inform$ticos y de comunicacin de una or#ani-acin, que no puede remediarse dentro de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperacin. "!emplos obvios son los #randes incendios, las inundaciones, los terremotos, las e:plosiones, los actos de sabota!e, etc/tera. "stadsticas recientes sobre los tipos m$s
comunes de desastres que ocurren muestran que el terrorismo, los incendios y los &uracanes son las causas m$s comunes en muc&os pases. 1a alta #erencia tiene que decidir el periodo predeterminado que lleva una interrupcin de servicio de la situacin de 5problema5 a la de 5desastre5. 1a mayora de las or#ani-aciones lo#ran esto llevando a cabo un an$lisis de impacto en el ne#ocio para determinar el m$:imo tiempo de interrupcin permisible en funciones vitales de sus actividades. )la de c% ti (e cia 1a reanudacin de las actividades ante una calamidad puede ser una de las situaciones m$s difciles con las que una or#ani-acin deba enfrentarse. .ras un desastre, es probable que no &aya posibilidades de re#resar al lu#ar de traba!o o que no se dispon#a de nin#una de los recursos acostumbrados. Incluso, es posible que no se pueda contar con todo el personal. 1a preparacin es la clave del /:ito para enfrentar los problemas. ;o e:iste nin#una manera costeable para prote#erse completamente contra todo tipo de ries#os, particularmente amena-as naturales a #ran escala que pueden arrasar -onas e:tensas. (omo consecuencia, siempre se tiene que tolerar al#4n ries#o residual. 1a decisin sobre el alcance del desastre para el que &abr$ de prepararse debe tomarse en los m$s altos niveles de la empresa. Por e!emplo, la mayor parte de las empresas implementan una estrate#ia que prote!a contra desastres locales, pero pocas cubren desastres a nivel nacional o incluso internacional.

Asimismo, las or#ani-aciones que cuentan dos o m$s sitios, pueden tener una estrate#ia de recuperacin que funcione en caso de que un sitio sea destruido o da2ado, pero no si varios sitios son destruidos o da2ados al mismo tiempo. %n plan de contin#encia es el proceso de determinar qu/ &acer si una cat$strofe se abate sobre la empresa y es necesario recuperar la red y los sistemas.
Metodolo,'a para el plan de contin,encia

"l dise2ar e implementar un plan de contin#encia para recuperacin de desastres no es una tarea f$cil6 puede implicar esfuer-os y #astos considerables, sobre todo si se est$ partiendo de cero. %na solucin comprende las si#uientes actividades3 C. Debe ser dise2ada y elaborada de acuerdo con las necesidades de la empresa.
2. Puede requerir la construccin o adaptacin de un sitio para los equipos computacionales. 3. 0equerir$ del desarrollo y prueba de muc&os procedimientos nuevos, y /stos deben ser
compatibles con las operaciones e:istentes. Se &ar$ participar a personal de muc&os departamentos diferentes, el cual debe traba!ar en con!unto cuando se desarrolle e implemente la solucin. ). Implicar$ un compromiso entre costo, velocidad de recuperacin, medida de la recuperacin y alcance de los desastres cubiertos. (omo con cualquier proyecto de dise2o, un m/todo estructurado ayuda a ase#urar de que se toman en cuenta todos estos factores y de que se les trata adecuadamente. A continuacin se muestran las principales actividades requeridas para la planificacin e implementacin de una capacidad de recuperacin de desastres. C. Identificacin de ries#os D. "valuacin de ries#os '. Asi#nacin de prioridades a las aplicaciones ). "stablecimiento de los requerimientos de recuperacin G. "laboracin de la documentacin L. Oerificacin e implementacin del plan

E. Distribucin y mantenimiento del plan 5# Identificacin de riesgos 1a primera fase del plan de contin#encia, el an$lisis de ries#os, nos sit4a en el lu#ar de un asesor de una compa2a de se#uros. "n esta fase, la preocupacin est$ relacionada con tres simples pre#untas3 7qu/ est$ ba!o ries#o8, 7qu/ puede ir mal8 y 7cu$l es la probabilidad de que suceda8 5#5# =>u est0 *a+o riesgo? 1a primera de estas pre#untas, 7qu/ est$ ba!o ries#o8, necesita incorporar todos los componentes del sistema susceptibles de ser da2ados, dando lu#ar a la p/rdida de conectividad, computadoras o datos. %n dia#rama de la arquitectura de todos los componentes del sistema facilitar$ la reali-acin de un inventario de los elementos que pueden necesitar ser restituidos tras un desastre. ;o &ay que olvidar que tambi/n el software necesita ser reempla-ado, y que todos los productos software relevantes &an de ser identificados. "sto incluye cosas como las utilidades del sistema de arc&ivos empleados para facilitar las operaciones de red. %n inventario completo de una red muestra de manera clara la comple!idad de /sta. (ualquiera que realice inventarios de componentes para redes, comprende los problemas en el se#uimiento del &ardware y software utili-ado por los usuarios finales. Afortunadamente, e:isten al#unos productos disponibles, como los de las compa2as Sea#ate Software, construccin de un inventario de los sistemas. %na omisin en el inventario f$cilmente puede dar lu#ar a una recuperacin fallida tras un desastre. "l sistema de aplicacin puede no encontrarse preparado para su uso si al#uno de sus componentes no est$ disponible6 en tal caso, es aconse!able estar constantemente a la e:pectativa de los nuevos elementos que pueden &aberse olvidado. Por e!emplo, una aplicacin para acceso remoto no funcionara si los cables no est$n disponibles para conectar los mdem. %no de los aspectos menos a#radables a tener en cuenta, y que a menudo se pasa por alto, es que las personas esenciales se vean afectadas por el desastre y sea necesario recurrir a otras para reali-ar sus labores. %na formacin diversificada en los sistemas dentro de la or#ani-acin pude ayudar a reducir el impacto de la indisponibilidad de uno de los colaboradores. Al menos, los manuales de las aplicaciones m$s importantes para la empresa deberan encontrarse disponibles en un sitio e:terno. cAfee y otros, que facilitan la

6# Evaluacin de riesgos "s el proceso de determinar el costo para la or#ani-acin de sufrir un desastre que afecte su actividad. Si una inundacin impidiera la actividad comercial durante cinco das, la compa2a perdera cinco das de ventas, adem$s del deterioro fsico de los edificios e inventario. "n el caso de los sistemas inform$ticos, la preocupacin principal es comprender la cantidad de p/rdida financiera que puede provocar la interrupcin de los servicios, incluyendo los que se basan en las redes. Por e!emplo, si la empresa se anuncia a trav/s o reali-a ne#ocios en Internet, 7cu$l es el costo de tener el servidor web in&abilitado8 Si la red a trav/s de la cual se produce la solicitud de pedidos est$ cada, o si el sistema de control de inventario utili-a la red, 7cu$l es el impacto sobre la productividad de la empresa8 1os costos de un desastre pueden clasificarse en las si#uientes cate#oras3

(ostos reales de reempla-ar el sistema inform$tico (ostos por falta de produccin. (ostos por ne#ocio perdido (ostos de reputacin.
"l costo real de los equipos y el software es f$cil de calcular, y depende de si se dispone de un buen inventario de todos los componentes de la red necesarios. 1os costos de produccin pueden determinarse midiendo la produccin #enerada asociada a la red. 1a empresa tiene una correcta valoracin de la cantidad de traba!o reali-ado diariamente y su valor relativo. 1a p/rdida de produccin, debida a la interrupcin de la red, puede ser calculados utili-ando esta informacin. 1os costos por ne#ocio perdido son los in#resos perdidos por las or#ani-aciones de ventas y marBetin# cuando la red no est$ disponible. Si el sistema de solicitud de pedidos no funciona y la empresa slo es capa- de procesar el DGK del volumen diario &abitual de ventas, entonces se &a perdido el EGK de ese volumen de ventas.
L.I. Tere Surez Reyes
8# !signacin de prioridades en las aplicaciones Despu/s de que aconte-ca un desastre y se inicie la recuperacin de los sistemas, debe conocerse qu/ aplicaciones recuperar en primer lu#ar. ;o &ay que perder el tiempo restaurando los datos y sistemas equivocados cuando la actividad empresarial necesita primero sus aplicaciones esenciales. "sto implica la necesidad de determinar por anticipado cu$les son las aplicaciones fundamentales del ne#ocio. Si la empresa es como la mayora, se tendr$n aplicaciones 5muy importantes5 dependiendo de a qui/n se le pre#unte. "l departamento de recursos &umanos afirmar$ que el sistema de nminas es el m$s importante, el departamento de ventas dir$ que es su sistema de entrada de pedidos, el departamento de produccin insistir$ en su control de inventario y el departamento de compras asi#nar$ el papel de m$s importante a su sistema de facturacin. Des#raciadamente, no todos estos sistemas pueden ser el m$s importante6 por lo tanto, es fundamental que la direccin ayude a determinar el orden en que los sistemas ser$n recuperados. 9# Esta*lecimiento de re,uisitos de recuperacin 1a clave de esta fase del proceso de elaboracin del plan de mi#racin es definir un periodo de tiempo aceptable y viable para lo#rar que la red est/ de nuevo activa. .al y como se &a planteado en la seccin anterior, la preocupacin b$sica debera ser disponer de las aplicaciones m$s importantes en primer lu#ar. "l personal directivo de la or#ani-acin desear$ saber cu$ndo estar$n sus aplicaciones funcionando para planificar las actividades de la compa2a. :# Ela*oracin de la documentacin (rear un documento que muc&a #ente pueda tener como referencia es qui-$s lo m$s difcil del plan de contin#encia. ;o &ay que en#a2arse3 implicar$ un esfuer-o si#nificativo para al#unas personas, pero ayudar$ a aprender cosas sobre el sistema y puede que al#4n da salve la empresa. 1os recursos necesarios para escribir y mantener un plan de contin#encia representan m$s de lo que puede reali-arse en ratos libres y despu/s de &oras de oficina. 1a direccin de la or#ani-acin debe apoyar la iniciativa para que sea un /:ito. %no de los problemas del plan de contin#encia en un entorno de comunicaciones es que la tecnolo#a de redes cambia tan r$pidamente que resulta difcil permanecer al da. "sto incluye nuevos dispositivos, as como nuevos sistemas de aplicacin que introducen su propio nivel de comple!idad en este campo.

:#5# Contenido del plan de contingencia "l plan de contin#encia debe intentar definir las cinco $reas si#uientes3
1. 1istas de notificacin, n4meros de tel/fono, mapas y direcciones

D. Prioridades, responsabilidades, relaciones y procedimientos '. Informacin sobre adquisiciones y compras ). Dia#ramas de las instalaciones G. Sistemas, confi#uraciones y copias de se#uridad en cinta Hay que cerciorarse de que se sabe a qui/n notificar en primer lu#ar cu$ndo ocurre un desastre. Por e!emplo, si &ay un incendio, llamar primero a los bomberos y lue#o al director #eneral. Pueden e:istir otras personas o or#ani-aciones identificadas con caractersticas o conocimientos especiales que puedan ayudar a minimi-ar el da2o. Si no se dispone de n4meros de tel/fono o direcciones actuali-ados, se puede pasar muy mal contactando con las personas afectadas. ;# @erificacin e implementacin del plan %na ve- redactado el plan, &ay que probarlo. Hay que estar se#uro de que el plan va a funcionar. Para ello, se debe ser esc/ptico sobre el propio traba!o, de manera que pueda uno probarse a s mismo que funciona. Psicol#icamente, esto no es f$cil porque con toda probabilidad se &a invertido una #ran cantidad de tiempo y ener#a personal en este proceso, aunque lo me!or sera, si es posible, situarse de manera imparcial ante la confiabilidad del plan. Por consi#uiente, &an de reali-arse las pruebas para encontrar problemas, no para verificar que el plan funciona. Si e:isten errores en la informacin, tmese nota de ellos y corr!ase el plan. A# %istri*ucin y mantenimiento del plan Por 4ltimo, cuando se dispon#a de un plan definitivo ya verificado, es necesario distribuirlo a las personas que necesitan tenerlo. Int/ntese controlar las versiones del plan, de manera que no e:ista confusin con m4ltiples versiones. As mismo, es necesario ase#urar la disponibilidad de copias e:tra del plan para su depsito en la instalacin e:terior a en cualquier otro lu#ar adem$s del lu#ar de traba!o. ant/n#ase una lista de todas las personas y ubicaciones que tienen una copia del plan. (uando se actualice el plan, sustituya todas las copias y reco!a las versiones previas. "l mantenimiento del plan es un proceso sencillo. Se comien-a con una revisin del plan e:istente y se e:amina en su totalidad, reali-ando cambios a cualquier informacin que pueda &aber variado. "n ese instante, se debe volver a evaluar los sistemas de aplicacin y determinar cu$les son los m$s

importantes para la or#ani-acin. 1as modificaciones a esta parte del plan causar$n modificaciones consecutivas a los procedimientos de recuperacin. Sin embar#o, esto no debera verse como un problema porque probablemente la seccin de procedimientos ten#a que actuali-arse de todas formas debido a otros cambios. Si se &an reali-ado modificaciones al sistema de copias de se#uridad, &ay que cerciorarse de incluir la informacin sobre el funcionamiento del nuevo o actuali-ado sistema.
2.2.2 Elabora un informe de una auditor a hipot!tica en un centro de cmputo Objetivo particular: 0evisa la eficiencia de la informacin y la efica- #estin de los recursos
inform$ticos con base en metodol#ica de auditora y empleo de &erramientas, instrumentos.
Identi$icacin de re!isiones de auditor'a(

1a informacin es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el &ec&o de la perdida de informacin critica, y la post recuperacin con la cual la entidad podra retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la informacin adquiere una #ran importancia para la empresa moderna debido a su poder estrat/#ico y a que se invierten #randes cantidades de dinero en tiempo de proporcionar un buen sistema de informacin para tener una mayor productividad.
La importancia en .ue radica auditoria de sistemas en las or,ani#aciones

son
* Se puede difundir y utili-ar resultados o informacin errnea si los datos son ine:actos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la ima#en de la empresa. * 1as computa, servidores y centros de base de datos se &an convertido en blanco para fraudes, espiona!e, delincuencia y terrorismo inform$tico. * 1a continuidad de las operacin, administracin y or#ani-acin de la empresa no debe permanecer en un sistema mal dise2ado, ya que podra convenirse en un serio peli#ro para la empresa.
# L.I. Tere Surez Reyes

* ":isten #randes posibilidades de robo de secretos comerciales, informacin financiera, administrativa, * la transferencia ilcita de tecnolo#a y dem$s delitos inform$ticos.
ala ima#en e insatisfaccin de los usuarios porque no reciben el soporte t/cnico adecuado o no
se reparan los da2os de &ardware ni se resuelven los problemas en un lapso ra-onable, es decir, el usuario percibir$ que est$ abandonado y desatendido permanentemente, esto dar$ una mala ima#en de la or#ani-acin. * "n el Departamento de Sistemas se observa un incremento de costos, inversiones in!ustificadas o desviaciones presupuestarias si#nificativas. * "valuacin de nivel de ries#os en lo que respecta a se#uridad l#ica, se#uridad fsica y confidencialidad. * antener la continuidad del servicio, la elaboracin y la actuali-acin de los planes de
contin#encia para lo#rar este ob!etivo. * "l inadecuado uso de la computadora para usos a!enos a la or#ani-acin que puede lle#ar a producir problemas de infiltracin, borrado de informacin y un mal rendimiento. * 1as comunicaciones es el principal medio de ne#ocio de las or#ani-aciones, una d/bil administracin y se#uridad podra lo#rar una mala ima#en, retraso de ne#ocios, falta de confian-a para los clientes y una mala e:pectativa para la produccin. 1a Auditoria de la Se#uridad Inform$tica en la inform$tica abarca el concepto de se#uridad fsica y l#ica. 1a se#uridad fsica se refiere a la proteccin de &ardware y los soportes de datos, as tambi/n como la se#uridad del los edificios y las instalaciones que lo alber#an. "sto mismo contempla situaciones de incendios, inundaciones, sabota!es, robos, cat$strofes naturales, etc. Por su parte la se#uridad l#ica se refiere a la se#uridad del uso de software, proteccin de la informacin, procesos y pro#ramas, as como el acceso ordenado y autori-ado de los usuarios a la informacin. "l auditar la se#uridad de los sistemas, tambi/n implica que se debe tener cuidado que no e:istan
$ L.I. Tere Surez Reyes

copias piratas, o bien que, al conectarnos en red con otras computadoras, no e:ista la posibilidad de transmisin de virus. "n la auditoria para aplicaciones de internet se produce una verificacin de los si#uientes aspectos3
* "valuacin de los ries#os de Internet <operativos, tecnol#icos y financieros= y as como su probabilidad de ocurrencia. * "valuacin de vulnerabilidades y arquitectura de se#uridad implementada. * Oerificar la confidencialidad e inte#ridad de las aplicaciones y la publicidad ne#ativa como consecuencia de ataques e:itosos por parte de &acBers. )'i ci*i%& de audit%'ia ad$i i&t'ativa "s conveniente a&ora tratar lo referente a los principios b$sicos en las auditorias administrativas, los cuales vienen a ser parte de la estructura terica de /sta, por tanto debemos recalcar tres principios fundamentales que son los si#uientes3 Sentido de la evaluacin 1a auditoria administrativa no intenta evaluar la capacidad t/cnica de in#enieros, contadores, abo#ados u otros especialistas, en la e!ecucin de sus respectivos traba!os. as bien se ocupa de llevara cabo un e:amen y evaluacin de la calidad tanto individual como colectiva, de los #erentes, es decir, personas responsables de la administracin de funciones operacionales y ver si &an tomado modelos pertinentes que ase#uren la implantacin de controles administrativos adecuados, que ase#ures3 que la calidad del traba!o sea de acuerdo con normas establecidas, que los planes y ob!etivos se cumplan y que los recursos se apliquen en forma econmica.
Importancia del proceso de verificacin
!0 L.I. Tere Surez Reyes

%na responsabilidad de la auditoria administrativa es determinar que es lo que s/ esta &aciendo realmente en los niveles directivos, administrativos y operativos6 la practica nos indica que ello no siempre est$ de acuerdo con lo que /l responsable del $rea o el supervisor piensan que esta ocurriendo. 1os procedimientos de auditoria administrativa respaldan t/cnicamente la comprobacin en la observacin directa, la verificacin de informacin de terrenos, y el an$lisis y confirmacin de datos, los cuales son necesarios e imprescindibles. .a*ilidad para pensar en trminos administrativos "l auditor administrativo, deber$ ubicarse en la posicin de una administrador a quien se le responsabilice de una funcin operacional y pensar como este lo &ace <o debera &acerlo=. "n s, se trata de pensar en sentido administrativo, el cual es un atributo muy importante para el auditor administrativo. Importancia del proceso de verificacin %na responsabilidad de la auditoria administrativa es determinar que es lo que s/ esta &aciendo realmente en los niveles directivos, administrativos y operativos6 la practica nos indica que ello no siempre est$ de acuerdo con lo que /l responsable del $rea o el supervisor piensan que esta ocurriendo. 1os procedimientos de auditoria administrativa respaldan t/cnicamente la comprobacin en la observacin directa, la verificacin de informacin de terrenos, y el an$lisis y confirmacin de datos, los cuales son necesarios e imprescindibles. )so de 1erramientas para auditora inform0tica# "n la reali-acin de una auditora inform$tica el auditor puede reali-ar las si#uientes pruebas3
Prue*as sustantivas: Oerifican el #rado de confiabilidad del SI del or#anismo. Se suelen
obtener mediante observacin, c$lculos, muestreos, entrevistas, t/cnicas de e:amen analtico, revisiones y conciliaciones. Oerifican asimismo la e:actitud, inte#ridad y validede la informacin.
Prue*as de cumplimiento: Oerifican el #rado de cumplimiento de lo revelado mediante el
an$lisis de la muestra. Proporciona evidencias de que los controles claves e:isten y que son aplicables efectiva y uniformemente.

1as principales &erramientas de las que dispone un auditor inform$tico son3

Observacin 0eali-acin de cuestionarios "ntrevistas a auditados y no auditados
uestreo estadstico
?lu!o#ramas 1istas de c&equeo
apas conceptuales
Cue&ti% a'i%& 1as auditoras inform$ticas se materiali-an recabando informacin y documentacin de todo tipo. 1os informes finales de los auditores dependen de sus capacidades para anali-ar las situaciones de debilidad o fortale-a de los diferentes entornos. "l traba!o de campo del auditor consiste en lo#rar toda la informacin necesaria para la emisin de un !uicio #lobal ob!etivo, siempre amparado en &ec&os demostrables, llamados tambi/n evidencias. Para esto, suele ser lo &abitual comen-ar solicitando la cumplimentacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obli#atorio que dic&as personas sean las responsables oficiales de las diversas $reas a auditar. "stos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. E t'evi&ta& "l auditor comien-a a continuacin las relaciones personales con el auditado. 1o &ace de tres formas3 C. D. ediante la peticin de documentacin concreta sobre al#una materia de su
responsabilidad. ediante 5entrevistas5 en las que no se si#ue un plan predeterminado ni un m/todo estricto de sometimiento a un cuestionario. '. Por medio de entrevistas en las que el auditor si#ue un m/todo preestablecido de antemano y busca unas finalidades concretas.

1a entrevista es una de las actividades personales m$s importante del auditor6 en ellas, /ste reco#e m$s informacin, y me!or mati-ada, que la proporcionada por medios propios puramente t/cnicos o por las respuestas escritas a cuestionarios. C.ec8li&t "l auditor profesional y e:perto es aqu/l que reelabora muc&as veces sus cuestionarios en funcin de los escenarios auditados. .iene claro lo que necesita saber, y por qu/. Sus cuestionarios son vitales para el traba!o de an$lisis, cru-amiento y sntesis posterior, lo cual no quiere decir que &aya de someter al auditado a unas pre#untas estereotipadas que no conducen a nada. cumplimentacin sistem$tica de sus (uestionarios, de sus (&ecBlists. Hay opiniones que descalifican el uso de los (&ecBlists, ya que consideran que leerle una pila de pre#untas recitadas de memoria o ledas en vo- alta descalifica al auditor inform$tico. Pero esto no es usar (&ecBlists, es una evidente falta de profesionalismo. "l profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas co&erentes que permitan una correcta descripcin de puntos d/biles y fuertes. "l profesionalismo pasa por poseer pre#untas muy estudiadas que &an de formularse fle:iblemente. uy por el contrario, el auditor conversar$ y &ar$ pre#untas 5normales5, que en realidad servir$n para la
M e t o d o l o , ' a d e Tr a & a 2 o d e A u d i t o r ' a I n $ o r m * t i c a
El m-todo de tra&a2o del auditor pasa por las si,uientes etapas
Alcance y Ob!etivos de la Auditora Inform$tica. "studio inicial del entorno auditable. Determinacin de los recursos necesarios para reali-ar la auditora. "laboracin del plan y de los Pro#ramas de .raba!o. Actividades propiamente dic&as de la auditora. (onfeccin y redaccin del Informe ?inal. 0edaccin de la (arta de Introduccin o (arta de Presentacin del Informe final.
De$inicin de Alcance + O&2eti!os

"l alcance de la auditora e:presa los lmites de la misma. Debe e:istir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las or#ani-aciones a auditar. A los efectos de acotar el traba!o, resulta muy beneficioso para ambas partes e:presar las e:cepciones de alcance de la auditora, es decir cuales materias, funciones u or#ani-aciones no van a ser auditadas. .anto los alcances como las e:cepciones deben fi#urar al comien-o del Informe ?inal. 1as personas que reali-an la auditora &an de conocer con la mayor e:actitud posible los ob!etivos a los que su tarea debe lle#ar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fi!adas puedan ser cumplidas. %na ve- definidos los ob!etivos <ob!etivos especficos=, /stos se a2adir$n a los ob!etivos #enerales y comunes de a toda auditora Inform$tica3 1a operatividad de los Sistemas y los (ontroles Aenerales de Aestin Inform$tica. E&tudi% I icial Para reali-ar dic&o estudio &a de e:aminarse las funciones y actividades #enerales de la inform$tica. Para su reali-acin el auditor debe conocer lo si#uiente3
O'(a i9aci" : Para el equipo auditor, el conocimiento de qui/n ordena, qui/n dise2a y qui/n e!ecuta es fundamental. Para reali-ar esto en auditor deber$ fi!arse en3
C= 'rganigrama: "l or#ani#rama e:presa la estructura oficial de la or#ani-acin a auditar. Si se descubriera que e:iste un or#ani#rama f$ctico diferente al oficial, se pondr$ de manifiesto tal circunstancia.
&' De*a'ta$e t%&:

Se entiende como departamento a los r#anos que si#uen inmediatamente a la Direccin. "l equipo auditor describir$ brevemente las funciones de cada uno de ellos.
'= &elaciones Ber0r,uicas y funcionales entre rganos de la 'rgani7acin: "l equipo auditor verificar$ si se cumplen las relaciones funcionales y Per$rquicas previstas por el or#ani#rama, o por el contrario detectar$, por e!emplo, si al#4n empleado tiene dos !efes. 1as de Perarqua implican la correspondiente subordinacin. 1as funcionales por el contrario, indican relaciones no estrictamente subordinables. 94 lu+os de Informacin: Adem$s de las corrientes verticales intradepartamentales, la estructura or#ani-ativa cualquiera que sea, produce corrientes de informacin &ori-ontales y oblicuas e:tradepartamentales. 1os flu!os de informacin entre los #rupos de una or#ani-acin son necesarios para su eficiente #estin, siempre y cuando tales corrientes no distorsionen el propio or#ani#rama. "n ocasiones, las or#ani-aciones crean espont$neamente canales alternativos de informacin, sin los cuales las funciones no podran e!ercerse con eficacia6 estos canales alternativos se producen porque &ay peque2os o #randes fallos en la estructura y en el or#ani#rama que los representa. Otras veces, la aparicin de flu!os de informacin no previstos obedece a afinidades personales o simple comodidad. "stos flu!os de informacin son indeseables y producen #raves perturbaciones en la or#ani-acin. :4 (mero de Puestos de tra*a+o
"l equipo auditor comprobar$ que los nombres de los Puesto de los Puestos de .raba!o de la or#ani-acin corresponden a las funciones reales distintas. "s frecuente que ba!o nombres diferentes se realicen funciones id/nticas, lo cual indica la e:istencia de funciones operativas redundantes. "sta situacin pone de manifiesto deficiencias estructurales6 los auditores dar$n a conocer tal circunstancia y e:presar$n el n4mero de puestos de traba!o verdaderamente diferentes.

;4
(mero de personas por Puesto de Tra*a+o
"s un par$metro que los auditores inform$ticos deben considerar. 1a inadecuacin del personal determina que el n4mero de personas que reali-an las mismas funciones rara ve- coincida con la estructura oficial de la or#ani-acin.
E t%' % O*e'aci% al "l equipo de auditoria inform$tica debe poseer una adecuada referencia del entorno en el que va a desenvolverse. "ste conocimiento previo se lo#ra determinando, fundamentalmente, los si#uientes e:tremos3 a4 Situacin geogr0fica de los Sistemas: Se determinar$ la ubicacin #eo#r$fica de los distintos (entros de Proceso de Datos en la empresa. A continuacin, se verificar$ la e:istencia de responsables en cada unos de ellos, as como el uso de los mismos est$ndares de traba!o.
*4 !r,uitectura y configuracin de .ard-are y Soft-are: (uando e:isten varios equipos, es fundamental la confi#uracin ele#ida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. 1a confi#uracin de los sistemas esta muy li#ada a las polticas de se#uridad l#ica de las compa2as. 1os auditores, en su estudio inicial, deben tener en su poder la distribucin e intercone:in de los equipos. c4 Inventario de .ard-are y Soft-are:
"l auditor recabar$ informacin escrita, en donde fi#uren todos los elementos fsicos y l#icos de la instalacin. "n cuanto a Hardware fi#urar$n las (P%s, unidades de control local y remotas, perif/ricos de todo tipo, etc. "l inventario de software debe contener todos los productos l#icos del Sistema, desde el software b$sico &asta los pro#ramas de utilidad adquiridos o desarrollados internamente. Suele ser &abitual clasificarlos en facturables y no facturables.
!! L.I. Tere Surez Reyes

d4 Comunicacin y &edes de Comunicacin: "n el estudio inicial los auditores dispondr$n del n4mero, situacin y caractersticas principales de las lneas, as como de los accesos a la red p4blica de comunicaciones. I#ualmente, poseer$n informacin de las 0edes 1ocales de la "mpresa. A*licaci% e& ba&e& de dat%& y !ic.e'%& "l estudio inicial que &an de reali-ar los auditores se cierra y culmina con una idea #eneral de los procesos inform$ticos reali-ados en la empresa auditada. Para ello deber$n conocer lo si#uiente3 a4 *4 @olumenC antigDedad y comple+idad de las !plicaciones <etodologa del %iseEo
Se clasificar$ #lobalmente la e:istencia total o parcial de metodolo#a en el desarrollo de las aplicaciones. Si se &an utili-ados varias a lo lar#o del tiempo se pondr$ de manifiesto.
c4
%ocumentacin
1a e:istencia de una adecuada documentacin de las aplicaciones proporciona beneficios tan#ibles e inmediatos muy importantes. 1a documentacin de pro#ramas disminuye #ravemente el mantenimiento de los mismos. d4 Cantidad y comple+idad de 2ases de %atos y ic1eros#
"l auditor recabar$ informacin de tama2o y caractersticas de las +ases de Datos, clasific$ndolas en relacin y !erarquas. Hallar$ un promedio de n4mero de accesos a ellas por &ora o das. "sta operacin se repetir$ con los fic&eros, as como la frecuencia de actuali-aciones de los mismos. "stos datos proporcionan una visin aceptable de las caractersticas de la car#a inform$tica. Dete'$i aci" de 'ecu'&%& de la audit%'ia I !%'$2tica
!" L.I. Tere Surez Reyes

ediante los resultados del estudio inicial reali-ado se procede a determinar los recursos &umanos y materiales que &an de emplearse en la auditoria. &ecursos materiales "s muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. 1as &erramientas software propias del equipo van a utili-arse i#ualmente en el sistema auditado, por lo que &an de convenirse en lo posible las fec&as y &oras de uso entre el auditor y cliente. 1os recursos materiales del auditor son de dos tipos3 a4 &ecursos materiales Soft-are
Pro#ramas propios de la auditoria3 Son muy potentes y ?le:ibles. Habitualmente se a2aden a las e!ecuciones de los procesos del cliente para verificarlos. onitores3 Se utili-an en funcin del #rado de desarrollo observado en la actividad de ./cnica de Sistemas del auditado y de la cantidad y calidad de los datos ya e:istentes. *4 &ecursos materiales .ard-are
1os recursos &ardware que el auditor necesita son proporcionados por el cliente. 1os procesos de control deben efectuarse necesariamente en las (omputadoras del auditado. Para lo cu$l &abr$ de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc. Recu'&%& :u$a %&: 1a cantidad de recursos depende del volumen auditable. 1as caractersticas y perfiles del personal seleccionado dependen de la materia auditable.
"s i#ualmente rese2able que la auditora en #eneral suele ser e!ercida por profesionales universitarios y por otras personas de probada e:periencia multidisciplinaria.
)e'!ile& )'%!e&i% ale& de l%& audit%'e& i !%'$2tic%&
!# L.I. Tere Surez Reyes

Profesin Inform$tico Aeneralista
Actividades y conocimientos deseables (on e:periencia y amplia en en ramas de distintas. Proyectos.
Deseable que su labor se &aya desarrollado en ":plotacin ":perto en Desarrollo de Proyectos Desarrollo (onocedor de Sistemas. Amplia e:periencia como responsable de proyectos. ":perto analista. (onocedor de las metodolo#as de ./cnico de Sistemas Desarrollo m$s importantes. ":perto en Sistemas Operativos y Software +$sico. (onocedor de los productos equivalentes en el mercado. Amplios conocimientos de ":plotacin. ":perto en +ases de Datos y (on e:periencia en el mantenimiento de +ases de Administracin de las mismas. ":perto en Software Datos. (onocimiento de productos compatibles y equivalentes. +uenos conocimientos de e:plotacin de Alta especiali-acin dentro de la t/cnica de sistemas. (onocimientos profundos de redes. uy
(omunicacin
e:perto en Subsistemas de teleproceso. ":perto en ":plotacin y Aestin 0esponsable de al#4n (entro de ($lculo. Amplia de (PDQS e:periencia en Automati-acin de traba!os. ":perto en relaciones &umanas. +uenos conocimientos de ./cnico de Or#ani-acin ./cnico de evaluacin de (ostes los sistemas. ":perto or#ani-ador y coordinador. "specialista en el an$lisis de flu!os de informacin. "conomista con conocimiento de Inform$tica. Aestin de costes. Elab%'aci" del )la y de l%& *'%('a$a& de t'abaj% %na ve- asi#nados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de traba!o. Decidido /ste, se procede a la pro#ramacin del mismo. "l plan se elabora teniendo en cuenta, entre otros criterios, los si#uientes3 a= Si la 0evisin debe reali-arse por $reas #enerales o $reas especficas. "n el primer caso, la elaboracin es m$s comple!a y costosa.
!$ L.I. Tere Surez Reyes

b= Si la auditora es #lobal, de toda la Inform$tica, o parcial. "l volumen determina no solamente el n4mero de auditores necesarios, sino las especialidades necesarias del personal. "n el plan no se consideran calendarios, porque se mane!an recursos #en/ricos y no especficos. "n el Plan se establecen los recursos y esfuer-os #lobales que van a ser necesarios. "n el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. "l Plan establece disponibilidad futura de los recursos durante la revisin. "l Plan estructura las tareas a reali-ar por cada inte#rante del #rupo. "n el Plan se e:presan todas las ayudas que el auditor &a de recibir del auditado. %na ve- elaborado el Plan, se procede a la Pro#ramacin de actividades. "sta &a de ser lo suficientemente como para permitir modificaciones a lo lar#o del proyecto.
Actividade& de la Audit%'+a I !%'$2tica Auditora por temas #enerales o por $reas especficas3 1a auditora Inform$tica #eneral se reali-a por $reas #enerales o por $reas especficas. Si se e:amina por #randes temas, resulta evidente la mayor calidad y el empleo de m$s tiempo total y mayores recursos. (uando la auditora se reali-a por $reas especficas, se abarcan de una ve- todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene m$s r$pidamente y con menor calidad.
Tcnicas de Tra*a+o:
* An$lisis de la informacin recabada del auditado. * An$lisis de la informacin propia. * (ru-amiento de las informaciones anteriores. * "ntrevistas. * Simulacin. * uestreos.
"0 L.I. Tere Surez Reyes

.erramientas: * (uestionario #eneral inicial. * (uestionario (&ecBlist. * "st$ndares. * onitores. * Simuladores <Aeneradores de datos=. * Paquetes de auditora <Aeneradores de Pro#ramas=. * atrices de ries#o.
I !%'$e Fi al 1a funcin de la auditora se materiali-a e:clusivamente por escrito. Por lo tanto la elaboracin final es el e:ponente de su calidad. 0esulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor. Estructura del informe final: "l informe comien-a con la fec&a de comien-o de la auditora y la fec&a de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la !efatura, responsabilidad y puesto de traba!o que ostente.
De!i ici" de %bjetiv%& y alca ce de la audit%'+a.
Enumeracin de temas considerados: Antes de tratarlos con profundidad, se enumerar$n lo m$s e:&austivamente posible todos los temas ob!eto de la auditora.
Cuerpo e"positivo: Para cada tema, se se#uir$ el si#uiente orden a saber3

a= Situacin actual#
(uando se trate de una revisin peridica, en la que se anali-a no
solamente una situacin sino adem$s su evolucin en el tiempo, se e:pondr$ la situacin prevista y la situacin real b= Tendencias# Se tratar$n de &allar par$metros que permitan establecer tendencias futuras. c= Puntos d*iles y amena7as# d= &ecomendaciones y planes de accin# (onstituyen !unto con la e:posicin de puntos d/biles, el verdadero ob!etivo de la auditora inform$tica. e= 0edaccin posterior de la (arta de Introduccin o Presentacin.
M%del% c% ce*tual de la e#*%&ici" del i !%'$e !i al: * "l informe debe incluir solamente &ec&os importantes. 1a inclusin de &ec&os poco relevantes o accesorios desva la atencin del lector. * "l Informe debe consolidar los &ec&os que se describen en el mismo. "l t/rmino de R&ec&os consolidadosS adquiere un especial si#nificado de verificacin ob!etiva y de estar documentalmente probados y soportados. 1a consolidacin de los &ec&os debe satisfacer, al menos los si#uientes criterios3 C. D. '. ). "l &ec&o debe poder ser sometido a cambios. 1as venta!as del cambio deben superar los inconvenientes derivados de mantener la ;o deben e:istir alternativas viables que superen al cambio propuesto. 1a recomendacin del auditor sobre el &ec&o debe mantener o me!orar las normas y
situacin.
est$ndares e:istentes en la instalacin. 1a aparicin de un &ec&o en un informe de auditora implica necesariamente la e:istencia de una debilidad que &a de ser corre#ida. ?lu!o del &ec&o o debilidad3 5 F .ec1o encontrado# * Ha de ser relevante para el auditor y pera el cliente.

* Ha de ser e:acto, y adem$s convincente. * ;o deben e:istir &ec&os repetidos. 6 F Consecuencias del 1ec1o * 1as consecuencias deben redactarse de modo que sean directamente deducibles del &ec&o.
8 F &epercusin del 1ec1o * Se redactar$ las influencias directas que el &ec&o pueda tener sobre otros aspectos inform$ticos u otros $mbitos de la empresa.
9 F Conclusin del 1ec1o * ;o deben redactarse conclusiones m$s que en los casos en que la e:posicin &aya sido muy e:tensa o comple!a. : F &ecomendacin del auditor inform0tico * Deber$ entenderse por s sola, por simple lectura. * Deber$ estar suficientemente soportada en el propio te:to. * Deber$ ser concreta y e:acta en el tiempo, para que pueda ser verificada su implementacin. * 1a recomendacin se redactar$ de forma que vaya diri#ida e:presamente a la persona o personas que puedan implementarla. Ca'ta de i t'%ducci" % *'e&e taci" del i !%'$e !i al: 1a carta de introduccin tiene especial importancia porque en ella &a de resumirse la auditora reali-ada. Se destina e:clusivamente al responsable m$:imo de la empresa, o a la persona concreta que encar#o o contrato la auditora. As como pueden e:istir tantas copias del informe ?inal como solicite el cliente, la auditora no &ar$ copias de la citada carta de Introduccin.

1a carta de introduccin poseer$ los si#uientes atributos3 * * * * * * .endr$ como m$:imo ) folios. Incluir$ fec&a, naturale-a, ob!etivos y alcance. (uantificar$ la importancia de las $reas anali-adas. Proporcionar$ una conclusin #eneral, concretando las $reas de #ran debilidad. Presentar$ las debilidades en orden de importancia y #ravedad. "n la carta de Introduccin no se escribir$n nunca recomendaciones.
CONCLUSIN
"l auditor es el proceso de acumular y evaluar evidencia, reali-ando por una persona independiente y competente acerca de la informacin cuantificable de una entidad econmica especifica, con el propsito de determinar e informar sobre el #rado de correspondencia e:istente entre la informacin cuantificable y los criterios establecidas. Su importancia es reconocida desde los tiempos m$s remotos, teni/ndose conocimientos de su e:istencia ya en las le!anas /pocas de la civili-acin sumeria. "l factor tiempo obli#a a cambiar muc&as cosas, la industria, el comercio, los servicios p4blicos, entre otros. Al crecer las empresas, la administracin se &ace mas complicada, adoptando mayor importancia la comprobacin y el control interno, debido a una mayor dele#acin de autoridades y responsabilidad de los funcionarios. Debido a todos los problemas administrativos s/ &an presentado con el avance del tiempo nuevas dimensiones en el pensamiento administrativo. %na de estas dimensiones es la auditoria administrativa la cual es un e:amen detallado de la administracin de un or#anismo social, reali-ado por un profesional <auditor=, es decir, es una nueva &erramienta de control y evaluacin considerada como un servicio profesional para e:aminar inte#ralmente un or#anismo social con el propsito de descubrir oportunidades para me!orar su administracin. .omando en consideracin todas las investi#aciones reali-adas, podemos concluir que la auditoria es din$mica, la cual debe aplicarse formalmente toda empresa, independientemente de su

ma#nitud y ob!etivos6 aun en empresas peque2as, en donde se lle#a a considerar inoperante, su aplicacin debe ser secuencial constatada para lo#rar eficiencia.
Glosar o !e "#r$ %os "#&% &os !e au! "or a e% se'ur !a!
"l an$lisis de ries#o es un proceso sistem$tico para estimar la ma#nitud de los ries#os a que est$ e:puesta una or#ani-acin o empresa. "s la identificacin de las amena-as que acec&an a los distintos componentes pertenecientes o relacionados con un sistema de informacin <activos= para determinar la vulnerabilidad del sistema ante esas amena-as y para estimar el impacto o #rado de per!uicio que una se#uridad insuficiente puede afectar a la or#ani-acin. Acorde al punto G.) de a#erit <"spa2a= es importante crear escenarios de ataque, ima#inar
amena-as a los activos, pensar cmo un atacante se enfrentara a nuestros sistemas o activos. Hay que ponerse en la piel del atacante e ima#inar qu/ &ara con sus conocimientos y recursos. "s importante plantear diferentes situaciones dependiendo del perfil t/cnico del atacante o de sus recursos t/cnicos y &umanos. "stos escenarios de ataque o dramati-aciones son importantes para evaluar impactos y ries#os. Consideraciones

Pam$s olvide que en las empresas la se#uridad comien-a por dentro. (apacitando al personal, creando normas basadas en standards, anali-ando brec&as y puntos cie#os en la se#uridad l#ica y en la se#uridad de sistemas de informacin. "s fundamental la creacin de escenarios de conflicto en forma continua participando la #erencia de la empresa !unto con un auditor en se#uridad, a partir de estos escenarios pueden lo#rarse medidas para evitar eventos de se#uridad. !nticiparse a los 1ec1os Ima#nese el peor escenario posible. Piense cmo evitarlo. ":isten normas, procedimientos, protocolos de se#uridad e:istentes que pueden ayudar a crear y basar <val#a la redundancia= sus procedimientos internos para ale!ar la posibilidad de ries#o. Si su empresa opera a trav/s de internet o telecomunicaciones no olvide que es m$s probable tener una fu#a de informacin o problema interno de se#uridad con su personal a que un &acBer intente vulnerar sus sistemas, el fraude interno est$ a la orden del da. 0ealice peridicamente perfiles socioeconmicos de su personal, ten#a entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicolo#a laboral con e:periencia previa y capacitado en P;1 <nunca est$ de m$s que en estas entrevistas participe un auditor en se#uridad, el auditor debe ser capa- de percibir a un RinsiderS= "l si#uiente #losario es un compendio de t/rminos t/cnicos de auditoria en se#uridad que le permitir$ comprender diversos informes y #raficar situaciones eventuales en que su empresa podra verse comprometida. !ta,ue: (ualquier accin deliberada con el ob!etivo de violar los mecanismos de se#uridad de un sistema de informacin. !uditoria de Seguridad: "studio y e:amen independiente de re#istros &istricos y actividades de un sistema de informacin con el ob!etivo de comprobar la solide- de los controles del sistema, alinear los controles con la
"! L.I. Tere Surez Reyes

estructura de se#uridad y procedimientos operativos establecidos a fin de detectar brec&as en la se#uridad y recomendar modificaciones en los procedimientos, controles y estructuras de se#uridad. !utenticidad: Ase#uramiento de la identidad u ori#en. (ertificacin3(onfirmacin del resultado de una evaluacin y de que los criterios de la evaluacin utili-ados fueron correctamente aplicados.
Confidencialidad: Ase#uramiento de que la informacin es accesible slo por aquellos autori-ados a tener acceso.
%egradacin: P/rdida de valor de un activo como consecuencia de la materiali-acin de una amena-a %isponi*ilidad: Ase#uramiento de que los usuarios autori-ados tienen acceso cuando lo requieran a la informacin y a sus activos asociados. Estado de riesgo: (aracteri-acin de activos por ries#o residual. R1o que puede pasar tomando en consideracin que las salva#uardas &an sido desple#adasS. Evento de seguridad: omento en que la amena-a e:iste y pone en ries#o activos, procedimientos o informacin. Evaluacin de <edidas de Seguridad: "valuacin de las medidas de se#uridad e:istentes con relacin al ries#o que enfrentan. recuencia: .asa de ocurrencia de una amena-a
"" L.I. Tere Surez Reyes

$estin de riesgos: Seleccin de implementacin de medidas de se#uridad para conocer, prevenir, impedir, reducir o controlar los ries#os identificados. 1a #estin de ries#os se basa en resultados obtenidos en el an$lisis de ries#os. Impacto: (onsecuencia que sobre un activo tiene la materiali-acin de una amena-a.
Impacto residual: Impacto remanente en el sistema tras la implantacin de las medidas de se#uridad determinadas en el plan de se#uridad de la informacin. Insider: "mpleado desleal quien por motivos de desinter/s, falta de capacidad intelectual y>o analtica, problemas psicol#icos o psiqui$tricos, corrupcin, colusin u otros provoca da2os en forma deliberada en la empresa en que traba!a, incumpliendo concientemente con normas y procedimientos establecidos, robando o &urtando activos <fsicos o informacin= con ob!etivos econmicos o simplemente de da2o deliberado. Integridad: Aaranta de la e:actitud y completitud de la informacin y los m/todos de su procesamiento. <apa de riesgos: 0elacin de las amena-as a que est$n e:puestos los activos. Plan de seguridad: (on!unto de pro#ramas de se#uridad que permiten materiali-ar las decisiones de #estin de ries#os. Programa de seguridad:
"# L.I. Tere Surez Reyes

(on!unto de tareas orientadas a afrontar el ries#o del sistema. "sta a#rupacin se debe a que en sin#ular las tareas careceran de eficacia ya que todas tienen un ob!etivo com4n y porque competen a una 4nica unidad de accin. Proyecto de seguridad: Pro#rama de se#uridad cuya enver#adura es tal que requiere una planificacin especfica. &iesgo: "stimacin del #rado de e:posicin a que una amena-a se materialice sobre uno o m$s activos causando da2os y > o per!uicios a la Or#ani-acin. &iesgo acumulado: .oma en consideracin el valor propio de un activo y el valor de los activos que dependen de /l. "ste valor se combina con la de#radacin causada por una amena-a y la frecuencia estimada de la misma.
&iesgo repercutido: Se calcula tomando el valor propio de un activo y combin$ndolo con la de#radacin causa por una amena-a y la frecuencia estimada de la misma. <edida de seguridad: Procedimiento Seguridad: (apacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confian-a, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, inte#ridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dic&as redes y sistemas ofrecen o &acen accesibles. Sistema de informacin: (omputadoras y redes de comunicaciones electrnicas, datos electrnicos almacenados, procesados, recuperados o transmitidos por los mismos para su operacin, uso, proteccin y mantenimiento. o mecanismo tecnol#ico que reduce el ries#o.
"$ L.I. Tere Surez Reyes

(on!unto de elementos fsicos, l#icos, elementos de comunicacin, datos y personal que permiten el almacenamiento, transmisin y proceso de la informacin. Tra7a*ilidad: Ase#uramiento de que en todo momento se podr$ determinar quien &i-o qu/ y en qu/ momento.
@alor de un activo: "stimacin del costo inducido por la materiali-acin de una amena-a.
@alor acumulado: (onsidera tanto el valor propio de un activo como el valor de los activos que dependen de /l. @ulnera*ilidad: ($lculo o estimacin de la e:posicin efectiva de un activo a una amena-a. Se determina por dos medidas3 frecuencia de ocurrencia y de#radacin causada.
B (l o'ra)*a
Li*ros y <anuales:

Planeacin y Or#ani-acin de "mpresas > Auillermo Ame- (e!a > cArawHill. Administracin de la funcin inform$tica > 0icardo Hern$nde- Pim/ne- > .rillas. Administracin de centros de cmputo > 0icardo Hern$nde- Pim/ne- > .rillas. anual de Or#ani-acin de la Direccin Aeneral Ad!unta de Sistemas y Procedimientos de Arupo ?inanciero +ancrecer.
Internet:

&ttp3>>www.#rupoatn.com> &ttp3>>www.utp.ac.pa>centroin>ccomputo.&tml &ttp3>>d#ep.pos#rado.unam.m:>[depfe>compinfo.&tm
#0 L.I. Tere Surez Reyes

&ttp3>>www.uam.m:>infraestructura>documentos> &ttp3>>www.arear&.com>rr&&>descripciondepuestos.&tm &ttp3>>www.microsoft.com>spain>permission>copyr#t>w&atis.&tm &ttp3>>www.mono#rafias.com>traba!os>evoadmin>evoadmin.s&tml &ttp3>>www.mono#rafias.com>traba!osE>ceproc>ceproc.s&tml
#1 L.I. Tere Surez Reyes


MANUAL AdmonAUDITORIA

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MANUAL AdmonAUDITORIA

Transféré par

Droits d'auteur :

Formats disponibles

conalep 252

Admn. y Auditora de Centros de Datos

ADMINISTRACIN DE LOS CENTROS DE CMPUTO

L.I. Teresa Surez Reyes

Administracin del centro de cmputo o datos

Auditora del centro de cmputo o datos.

A. Identificacin del entorno de auditora. B. ane!o de controles

2 L.I. Tere Surez Reyes

3 L.I. Tere Surez Reyes

4 L.I. Tere Surez Reyes

UNIDAD 1 Administracin del centro de cmputo o datos

Realiza un plan de actividades de centro de cmputo o datos:

ADMINISTRACIN DE LOS CENTROS DE CMPUTO

Misin de un centro de cmputo

L.I. Tere Surez Reyes

ADMON. Y AUDITORIA DE CENTROS DE DATOS

! L.I. Tere Surez Reyes

ateriales de produccin3 directos e indirectos.

aterias primas para su funcionamiento, as como materiales

" L.I. Tere Surez Reyes

# L.I. Tere Surez Reyes

$ L.I. Tere Surez Reyes

Planeacin del personal

10 L.I. Tere Surez Reyes

11 L.I. Tere Surez Reyes

Planeacin de instalaciones $'sicas

12 L.I. Tere Surez Reyes

13 L.I. Tere Surez Reyes

14 L.I. Tere Surez Reyes

dispositivos, las ca!as de cone:iones y cables de alimentacin el/ctrica.

ventanas de otras dependencias.

Desarrolla un manual de procedimientos de la operacin de un centro de cmputo:

Identi$icacin del entorno de un centro de cmputo(

1 L.I. Tere Surez Reyes

1levar re#istros de fallas, problemas, soluciones, acciones desarrolladas, respaldos,

(umplir con las normas, re#lamentos y procedimientos establecidos por la Direccin o

1! L.I. Tere Surez Reyes

Departamento o *rea de operacin

Departamento o *rea de produccin + control

soluciones inte#rales <aplicaciones= a las necesidades de informacin de los

%sar las t/cnicas de construccin de sistemas de informacin orientadas netamente a la

equipos de traba!o con la participacin del usuario y del personal t/cnico de

antener pro#ramas de capacitacin para el personal t/cnico y usuarios.

Departamento *rea de an*lisis de sistemas

1# L.I. Tere Surez Reyes

Departamento o *rea de pro,ramacin

Departamento o *rea de implementacin

con!untamente con el $rea de Pro#ramacin o Desarrollo, los planes de

capacitacin de los nuevos usuarios.

20 L.I. Tere Surez Reyes

)'%!e&i" Inform$tico Aeneralista

":perto en Desarrollo de Proyectos

Administracin de las mismas. ":perto en Software

21 L.I. Tere Surez Reyes

C "ncar#ado de 0edes y (omunicaciones C Operador e Instalador C Secretaria

22 L.I. Tere Surez Reyes

23 L.I. Tere Surez Reyes

24 L.I. Tere Surez Reyes

2 L.I. Tere Surez Reyes

#eali$ar el an%lisis "e las aplicaciones sencillas.

2! L.I. Tere Surez Reyes

Probar los pro#ramas reali-ados.

2" L.I. Tere Surez Reyes

Departamento rea de anlisis de sistemas