Manual de Informatica (Ntci) Entregado

Manual sobre Normas, Procedimiento, Seguridad, para la Gerencia de Informática en la
Empresa Portuaria Nacional y Administraciones Portuarias

(EPN-AP).
I) NORMAS ESPECÍFICAS DE ACTIVIDADES DE CONTROL
EL Consejo Superior de la Contraloría General de la Republica en sesión Ordinaria Numero Trescientos

Ochenta y Seis (386) del 13 de Enero del 2005, aprobó por unanimidad de votos remitirle un ejemplar de las
Nuevas NORMAS TÉCNICAS DE CONTROL INTERNO (en adelante NTCI) para el Sector Publico
Aprobadas por este Consejo Superior y Publicadas en el diario oficial La Gaceta Números 234, 235 y 236 de
los Días 01, 02 y 03 de Diciembre del 2004.
Con esto EMPRESA PORTUARIA NACIONAL Y ADMINISTRACIONES PORTUARIAS (en adelante
EPN-AP), con Planes a corto y mediano plazo de implementar mediadas estratégicas, consolidando toda su
estructura de sistemas para mejor funcionamiento en brindar un buen servicios a nuestra diversidad de
clientes.
Se estarán implementando las (NTCI). Aplicadas a la GERENCIA DE INFORMÁTICA (en adelante GI) con
el fin de unificar las tareas funcionales de la (EPN-AP) y Salvaguardando bajo las mas estricta medidas de
procedimientos de privacidad de datos y flujo de datos según el nivel de seguridad a los accesos lógicos para
interrelacionar las distintas Gerencias de nuestra empresa. Con acciones proactivas, así, evitar desastres
futuros e incidentes de seguridad.
El buen resultado al implementar las (NTCI), será ir ejecutando o desarrollando con estricto cumplimiento,
todos los controles internos que le competan a la Gerencia de Informática reforzando las NORMAS DE
STANDARIZACIÓN (en adelante NS), así evitando la incompatibilidad, minimizar costos de desarrollo de
Proyectos y Mantenimiento de las Aplicaciones Aprobadas por la Presidencia de (EPN-AP). Que conlleven a
una unificación de criterios y una toma de dediciones en tiempo y forma según a las peticiones y necesidades
que ameriten las distintas Gerencias de nuestra (EPN-AP).
Asegurando una plataforma integral de información para las gestiones diarias en la (EPN-AP), que cubra en
forma adecuada desde el desarrollo eficiente y coordinado de los distintos procesos que conllevan las distintas
Administraciones Portuarias a lo largo y ancho de nuestras costas, incluyendo la comunicación con su entorno,
hasta el apoyo efectivo a la toma de decisiones y el control de gestión consolidada y fortalecida en el conjunto
de Gerencias.
II) SISTEMAS DE INFORMACION
La (GI), en la (EPN-AP). Tiene una compleja labor en cumplir con los requerimientos que exigen las (NTCI).
Teniendo bajo su responsabilidad la ejecución y el buen funcionamiento en lo que respecta a los accesos
lógicos, como los Procedimientos de privacidad de datos, flujos de datos, seguridad en los procesos
fundamentales (Sistemas involucrados en las actividades diarias en la (EPN-AP)), respaldos (backup), salida
de datos grabados en medios magnéticos, ópticos o otros medios ya sean impresos en papel. Proveer y
mantener la infraestructura computacional e informática adecuada para soportar los diversos procesos de la
organización y obtener mejores logros en la misión general de la (EPN-AP).
Para ello es necesario elaborar, proponer y poner en práctica, políticas y normas técnicas, validadas por las
distintas Gerencias de la (EPN-AP) destinadas a orientar, apoyar, facilitar y capacitar la solución de los
problemas tecnológicos para mejorar la gestión en las distintas Gerencias del (EPN-AP). Obtendremos un
buen criterio en el buen funcionamiento, en la (GI) acreditándonos y calificándonos bajo las estrictas
(NTCI). La (GI) para realizar esta grandiosa tarea, apoyándose en las (NS) estará uniendo criterios en dos
direcciones que con la estricta implementación y crear conciencia en el personal a su cargo como a los
usuarios finales, al finalizar todo el procedimiento de los datos finales, obtendremos unos excelentes
resultados, para conseguir dicha meta seria con los siguientes criterios :
Controles generales
Controles de aplicación
1
(EPN-AP).
II.A) CONTROLES GENERALES
La magnitud de los cambios e innovaciones tecnológicas que recaen en la (EPN-AP) en coordinación con la
(GI) y la importancia que existe en este sector en el avance de sus actividades y la toma de decisiones en
coordinación con la Gerencia Administrativa (en adelante GA), obliga a las mismas a realizar controles
objetivos, sistemáticos y profesionales de su acreditación y certificación sobre todas sus actividades según su
plan de trabajo anual o mensual, tanto como en lo administrativo, como lo lógico efectuándose con
posterioridad o en fechas oportunas, detectando así deficiencia o debilidades en el transcurso de sus
ejecuciones, con la finalidad de evaluar, verificar el seguimiento de los procedimientos que nos rigen como
institución Estatal, coordinadas por el ente regulador (CGR) sobre las nuevas (NTCI), en el Sector Publico,
que debe de llevar la (GI) es de vital importancia para el buen desempeño de los sistemas de información, ya
que proporciona los controles necesarios para que los software sean confiables y con un buen nivel de
seguridad. Además debe evaluar todo (informática, organización del centro de información, hardware y
software).
A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para
manejar sus actividades, la disponibilidad del software informático se ha vuelto crucial. Actualmente, la
mayoría de las Entidades Gubernamentales unificadas en un solo criterio de controles dentro de las (NTCI),
necesitan un nivel alto de disponibilidad y algunas requisen incluso un nivel continuo de disponibilidad, ya
que les resultaría extremadamente difícil funcionar sin los recursos informáticos. Los procedimientos
manuales, sólo serían prácticos por un corto periodo. En caso de un desastre, la interrupción prolongada de
los servicios de computación puede llevar a grandes pérdidas y atrasos significativos dentro de la integridad
institucional de la (EPN-AP), sobre todo si está implicada la responsabilidad de la (GI). Lo más grave es que
se puede perder la credibilidad de los clientes ya sean Nacionales o Extranjeros, como consecuencia, la (EPN-
AP) puede terminar en un fracaso total.
Para obtener excelentes resultados nos guiaremos con los siguientes procesos de controles:
CONTROLES A LAS OPERACIONES DE LA GERENCIA DE INFORMÁTICA.

Trabajos de Implementación y Rutina.
Acciones del Operador.
Generación de Copias de Seguridad y Recuperación de las Mismas.
Planificación de Contingencia para la Recuperación por Desastres.
CONTROLES AL SOFTWARE DEL SISTEMA.

 Sobre Adquisición de Software.
 Implementación y Mantenimiento de los Sistemas Operativos.
 Sistemas de Administración de Bases de Datos.
 Software de Telecomunicaciones.
 Software de Seguridad y Utilitarios.
CONTROLES DE ACCESO DE SEGURIDAD.
CONTROLES DE DESARROLLO Y MANTENIMIENTO DE APLICACIONES DEL SISTEMA.

Desarrollo de Software para Propósitos Específicos.
Controles para Diseño e Implementación de Sistemas.
Fases Específicas
Requerimiento de Documentación, Aprobación y Chequeo de Sistemas.
Controles para Cambios de Sistemas.
II.A.1) CONTROLES A LAS OPERACIONES DE LA GERENCIA DE INFORMÁTICA.

2
(EPN-AP).
El objetivo fundamental de Controles a los Sistemas y/o Procedimientos de Informática en los equipos de
cómputo, en su utilización, eficiencia y seguridad, por parte de la (GI) en el procesamiento de la información,
a fin de que por medio de señalamiento sobre impartir cursos alternativos a los integrantes de la Gerencia
como a los usuarios finales (INATEC) aprovechando su 2% o dirigida por el departamento de capacitación,
con apoyo de la (GI), así se obtendrá una utilización más eficiente y segura de la información que en el futuro
servirá para la toma de una adecuada decisiones en el buen funcionamiento de la (EPN-AP).
Teniendo la (GI) esta valiosa labor, le es asignada, al Responsable del Departamento de Soporte Técnico, (en
adelante DST) unificando un solo engranaje, en conjunto con su equipo de trabajo en implementar, preservar
el buen funcionamiento y mantenimiento en línea, como los accesos lógicos, el flujo de datos y
procedimientos de privacidad de datos de los usuarios finales. El Gerente de Informática junto a su unidad
funcional bajo las (NTCI) y apoyándose en las (NS), estaría rigiéndose así:
II.A.1.1) TRABAJOS DE IMPLEMENTACIÓN Y DE RUTINA
La (GI) bajo las directrices de la (EPN-AP), de seguir con un plan de trabajo mensual, donde se ira
ejecutando a diario y respetando los procedimientos apropiados para tal fin.
Dicho plan será ejecutado por el (DST), el cual se realizara en coordinación con las Gerencias y/o áreas que
conforman la (EPN-AP), toda Gerencia solicitante de los servicios debieran de llenar formulario de solicitud
con anticipación (caída de Internet, caída de red, mantenimiento y apoyo en los software de aplicaciones,
etc.), para aprovechar el tiempo a su máximo nivel. El cual ambas partes salgan beneficiadas en el transcurso
de la ejecución de dicho plan de trabajo. El plan de trabajo seria elaborado siguiendo los procedimientos (NS),
(Manual de Mantenimiento Preventivo, anexo) el cual seria de la siguiente manera:
Supervisar el buen funcionamiento del software bases de los servidores en la (GI).
Supervisar el buen funcionamiento del hardware en los servidores en la (GI)
Supervisar el plan de mantenimiento preventivo, de acuerdo a las (NS) y la cooperación en el acceso
a las distintas Gerencias y/o áreas que conforman la (EPN-AP), para su debida ejecución.
Supervisar los equipos de Telecomunicación, (conexiones de acceso lógico, accesos a Internet).
Evacuar cualquier duda o problema que presente el usuario final, con previa solicitud por escrito con
el debido Vo.Bo de su jefe inmediato, como el de la (GI).
Monitorear constantemente los niveles de seguridad de los datos y bases de datos, por cualquier
incidente de seguridad, activando sus sistemas destinados para tal fin.
Monitorear si los sistemas están realizando los debidos respaldos (backup) automáticamente en la hora
programada, para luego realizar su debida extracción por medio de CDs (este procedimiento se ejecuta
según orientación y Vo.Bo del jefe inmediato, podría ser semanal, quincenal hasta mensual) y
mandarlo a bóveda. Lo recomendable es dos (2) veces por semana e ir depurando los respaldos de las
bases de datos y tratar de mantener las 10 mas recientes, con el objetivo de no llenar el Servidor de
bases de datos con información repetitiva.
II.A.1.2) ACCIONES DEL OPERADOR
En la (GI) ejecutado por el (DST) en este caso por el jefe de dicho Departamento esta en la obligación de:
 Preservar el buen estado del equipo de cómputo siendo este un activo asignado, propiedad de la
(EPN-AP).
 La utilización del mismo tiene que ser exclusivamente con lo relacionado a su trabajo.
 Realizar los debidos permisos a los usuarios de nuevo ingreso por medio del Directorio Activo,
para controlar en que aplicación estará disponible su acceso para evitar que incurra en incidentes
de seguridad.
 Comunicarle a su jefe inmediato, por cualquier caída del sistema para realizar algún
mantenimiento correctivo estipulado por la (GI).
3
(EPN-AP).
 El administrador del Software de Sistema, es el único que puede instalar, asignar, publicar,
actualizar, reparar y eliminar Software a grupos de Usuarios y equipos que estén bajo este ambiente
del Directorio Activo.
 El (DST), prestar el servicio de Mantenimiento a los equipos de Cómputos, esto con avisos
anticipado por las distintas Gerencias según plan de trabajo mensual.
 Mantener el equipo asignado con la misma configuración e instalación de sus componentes como
Software de Administración. De lo contrario incurriera en fallas, por ende sanciones, según el
reglamento interno que rige al personal.
II.A.1.3) GENERACIÓN DE COPIAS DE SEGURIDAD Y RECUPERACIÓN DE LAS

MISMAS.
 El (DST) bajo la supervisión del Gerente de Informática tiene la responsabilidad de respaldar

según lo estipulado en plan de trabajo de la (GI), esta actividad la realiza el servidor de los sistemas
bases configurado para realizar tareas diarias programadas para tal fin y automáticamente
respaldar toda la información que se creo en la jornada laboral de los usuarios finales en sus bases
de datos de los sistemas de aplicaron respectivos y el responsable del (DST) tiene que realizar
monitoreos consecutivos a las unidades de discos duros locales para que la partición asignada a
los respaldos programados no se estén saturando al mantener demasiada información repetitivas y
por ende bajar el rendimiento de los mismos.
 El responsable del (DST) al momento de realizar la extracción de los respaldos a una unidad
externa (cinta magnética, cd´s o dvd) incluir los 10 últimos respaldos de cada base de dato o
respaldos programados y así garantizar que la información sea recuperada sin ningún problema
al momento de ocurrir algún desastre ya sea natural o maliciosos. En lo que nos regiremos a los
siguientes procedimientos para tal situación Para hacer copias de seguridad con el Asistente para
copia de seguridad
Abra copia de seguridad
 En la ficha Bienvenido, haga clic en Asistente para copia de seguridad para iniciar el asistente.
 Siga las instrucciones para indicar el contenido de la copia de seguridad, destino de la copia de
seguridad y características opcionales y avanzadas a utilizar.
 Sólo podrá hacer copias de seguridad de archivos y carpetas, si es administrador.
 Para iniciar Copia de seguridad, haga clic en Inicio, seleccione Programas, Accesorios,
Herramientas administrativas y, a continuación, haga clic en Copia de seguridad.
Restauración de archivos y carpetas
Una operación simple de restauración se compone de los siguientes pasos:

Seleccione los archivos y carpeta que desea restaurar.
Copia de seguridad muestra una vista e forma d árbol de los archivos y carpetas incluidos en la copia de
seguridad; en esa vista puede seleccionar los archivos y carpetas que desea restaurar. Puede usar esta
vista en árbol, de la misma forma que usa Explorador de Windows, para abrir unidades y carpetas y
seleccionar archivos.
Seleccione donde desea restaurar los archivos y carpetas seleccionados en la copia de seguridad
4
(EPN-AP).
Copia de seguridad permite seleccionar uno entre tres posibles destinos para los archivos restaurados.
Puede restaurar los datos de la copia de seguridad en la carpeta o carpetas originales, es decir, aquéllas
en las que se encontraban los datos cuando se realizó la copia de seguridad. Esta opción es útil para
restaurar archivos y carpetas que han sido dañados o se han perdido.
Puede restaurar los datos de la copia de seguridad en otra carpeta distinta. Si selecciona esta opción, en
esa carpeta alternativa se conservará la estructura que tienen los archivos y carpetas en la copia de
seguridad Esta opción es útil cuando sabe que necesita algunos archivos antiguos, pero no desea
sobrescribir ni cambiar ninguno de los archivos ni carpetas actuales del disco.
Puede restaurar los archivos de la copia de seguridad en una única carpeta. Esta opción no conserva la
estructura de los archivos y carpetas en la copia de seguridad. Los archivos de la copia de seguridad se
guardan en una única carpeta. Esta opción es útil si desea buscar un archivo y no conoce su ubicación.
Establezca las opciones de restauración
Copia de seguridad ofrece una ficha Restaurar, en el cuadro de diálogo Opciones, que le permite
seleccionar de qué forma desea restaurar los archivos y carpetas. Debe seleccionar una de las tres
opciones:
No reemplazar el archivo en mi equipo. Así impide que los archivos del disco se sobrescriban. Este es
el método más seguro para restaurar archivos.
Reemplazar el archivo en el disco sólo si el archivo en el disco es más antiguo que el de la copia de
seguridad. Si ha cambiado archivos desde que realizó la copia de seguridad de los datos, esta opción
garantiza que no perderá ninguno de los cambios efectuados en los archivos.
Reemplazar siempre el archivo en mi equipo. Esta opción reemplaza todos los archivos del disco por
los que están incluidos en la copia de seguridad Si ha realizado algún cambio en los archivos después
de la última copia de seguridad de los datos, esta opción borrará esos cambios.
Inicie la operación de restauración
Al iniciar una operación de restauración, Copia de seguridad le pedirá que confirme que está preparado para
restaurar los datos. También tendrá la oportunidad de seleccionar las opciones avanzadas de restauración,
entre las que se incluyen si desea o no restaurar la configuración de seguridad, la base de datos de medios de
almacenamiento extraíbles y los datos del punto de unión
Importante
 Puede utilizar Copia de seguridad para copiar y restaurar datos de volúmenes FAT o NTFS Sin embargo,
si ha realizado una copia de seguridad de datos de un VOLUMEN NTFS utilizado en Windows 2k3
Server, se recomienda que restaure los datos en un volumen NTFS utilizado en Windows 2k3 Server o
podría perder datos así como algunas características de los archivos y carpetas. Por ejemplo, si realiza
la copia de seguridad de los datos de un volumen NTFS utilizado en Windows 2k3 Server y los restaura
en un volumen FAT o en un volumen NTFS utilizado en Windows NT 4.0, se perderá la información
de permisos, la configuración de cifrado
 del sistema de archivos (EFS) , la información de cuota de disco, la información de la unidad montada
y la información de Almacenamiento remoto
 Sólo podrá hacer copias de seguridad de archivos y carpetas, si es administrador.
 El Registro, el servicio de directorios en el Directorio activo y otros componentes fundamentales del
sistema están incluidos en los datos de Estado del Sistema Si desea hacer copia de seguridad y restaurar
esos componentes, deberá hacer copia de seguridad de los datos de Estado del sistema.
 Si restaura los datos de Estado del sistema y no designa una ubicación alternativa para los datos
restaurados, Copia de seguridad borrará los datos de Estado de sistema que estén en ese momento en el
equipo y los reemplazará por los que esté restaurando. Además, si restaura los datos de Estado del
sistema en una ubicación alternativa, sólo se restaurarán en dicha ubicación los archivos del Registro,
los archivos del directorio SYSVOL, los archivos de información de la base de datos Clúster y el archivo
de inicio del sistema. Si indica que desea usar una ubicación alternativa, la base de datos de servicios de
5
(EPN-AP).
directorio en el Directorio Activo, la base de datos de Servicios de certificados y la base de datos de
Registro de clase COM+ no se restaurarán.
 Para restaurar los datos de Estado del sistema en un controlador de dominio, deberá iniciar antes su
equipo en el modo Restauración de servicios de directorio. Esto le permitirá restaurar el directorio
SYSVOL y el Directorio Activo.
 Sólo puede restaurar los datos de estado del sistema en un equipo local, No puede restaurar los datos de
estado del sistema en un equipo remoto.
 Los operadores de copia de seguridad y los administradores pueden realizar copias de seguridad y
restauraciones de archivos y carpetas cifrados sin descifrarlos.
II.A.1.4) PLANIFICACIÓN DE CONTINGENCIA PARA LA RECUPERACIÓN DE

DESASTRES.
La (GI) conjunto con los (DST- DDS). Tienen la responsabilidad de ejecutar el plan de contingencia aprobado
por las mas altas autoridades de la (EPN-AP) en caso de ocurrirse algún desastre, ya sea natural o
malintencionado por fuerzas externas o internas.
Se profundiza mas sobre el temas del plan de contingencia en el inciso (IV.F.5) de la pag # xxxx
II.A.2) CONTROLES AL SOFTWARE DEL SISTEMA.
La (GI) tiene la responsabilidad de ejecutar los procedimientos de la (NS) que rigen a la informática sobre la
adquisición, instalación y actualización de Software de Administración como de Aplicación que regirán la
(NTCI) en la (EPN-AP).
Cumpliendo todos estos requisitos se procede a la instalación del sistema operativo en este caso como
Administrador de Dominio en la (EPN-AP) esta como plataforma MICROSOFT WINDOWS SERVER 2003
ENTERPRISE EDITION.
La plataforma preferida tanto por las grandes compañías como por las de tamaño medio para implementar
aplicaciones de forma segura, así como servicios Web. Integrándose en infraestructuras aportando fiabilidad,
mejores rendimientos y un elevado valor empresarial, se presenta tanto en 32 como en 64 bit. Soporta hasta 8
procesadores, hasta 64 Gb de memoria RAM y permite clustering de hasta 8 nodos.
En el cual se interrelacionan los Software de Aplicación (sistemas donde se efectúan los procedimientos de
las actividades de la (EPN-AP)) para conformar la estructura del Directorio Activo siendo este el núcleo de
la flexibilidad y escalabilidad del modelo de seguridad del sistema operativo,
proporcionando un servicio de directorio jerárquico seguro, tanto como la información sobre todo los objetos
de la red y simplificando tareas de administración comunes.
I.I.A.2.1) SOBRE ADQUISICIÓN DE SOFTWARE
La (GI) de la (EPN-AP), elaboraran una planificación general donde incluirán, sus requerimientos y
necesidades para establecer los mecanismos de adquisición de Software de Administración de los Sistemas
informáticos.
La (GI) tendrá el control absoluto en la adquisición e Instalación del software de Administración, elaborando
un estudio de factibilidad para ver los costos – beneficios en dicha adquisición, para tal fin elaborara plan de
entrevistas a los Proveedores con credibilidad con el fin de obtener resultados que faciliten una buena
adquisición de Software.
La (GI) en licitaciones Públicas o Privadas, propiciará la adquisición de licencias en cantidad, para obtener
economías acorde al plan de austeridad del Gobierno de la República.
Corresponderá a la (GI) emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad,
certificación y vigencia del Software por adquirir.
De acuerdo a los objetivos globales de la (GI) se deberá propiciar la adquisición y asesoramiento en cuanto a
Software de vanguardia, que este en el mercado informático.
6
(EPN-AP).
La (GI) promoverá y propiciará que la adquisición de Software de dominio público provenga de sitios oficiales
y seguros. Cumpliendo todos los requerimientos para dicha licitación publica o privada.
La (GI) deberá enfocarse en el uso de Software de Administración de los sistemas, que tengan independencia
absoluta de las casas proveedoras.
La (GI) evitara conflictos de versiones en el Software de Administración como el de los usuarios de las
distintas Gerencias y/o Direcciones, implementando la standarización de dichos Software, reduciendo y
evitando tanto conflictos y/o colisiones en la (RED-EPN-AP).
II.A.2.2) IMPLEMENTACIÓN Y MANTENIMIENTO DEL SOFTWARE DEL SISTEMA

OPERATIVO
La (GI) de la mano con su responsable del (DST) en garantizar que el Software de administración llene todos
los requerimientos y procesos que la (EPN-AP) requiera, siendo los siguientes:
 Evaluar y seleccionar un Sistema Operativo adecuado.
 Enunciar los requerimientos del equipo para su correcta instalación.
 Establecer mecanismos y métodos de seguridad eficaces.
 Proporcionar Técnicas de protección.
 Presentar recomendaciones para el desempeño satisfactorio del sistema.
La seguridad en redes de telecomunicaciones está fundamentada en tres elementos:
La Integridad. Se refiere a que el contenido y el significado de la información no se altere.
La Confiabilidad. Implica que el servicio debe estar disponible en todo momento.
La Confidencialidad. Es quizá la parte más estratégica del negocio, ya que contribuye a impedir
que personas no autorizadas lean y conozcan la información que se transmite.
Para su debida administración se le da continuidad a los siguientes procedimientos
en los software de administración :
Instalación de software
Corresponde al (DST) cumplir las normas y procedimientos para la instalación y supervisión del software de
Administración para los equipos designados como Servidores. De acuerdo a Vo.Bo del (GI).
En los Servidores se instalaran dispositivos basados en sistemas de Cómputo, únicamente se permitirá la

instalación de un software de administración con licenciamiento apropiado y de acorde a la propiedad
intelectual.
Con el propósito de proteger la integridad de los Software de administración es imprescindible que todos y
cada uno de los equipos involucrados dispongan de Software de seguridad (antivirus, vacunas, privilegios de
acceso, y otros que se apliquen para los fines de la (EPN-AP).
La protección de los activos lógicos en los Servidores de Administración de los Sistemas de aplicación y le
compete notificar cualquier movimiento y/o cualquier modificación a la (GI).
Actualización del software
 Corresponde a la (GI) autorizar cualquier actualización o migración del Software de

Administración que va de acuerdo a las operaciones de la (EPN-AP).
 Las actualizaciones del Software de administración se llevarán a cabo de acuerdo a su vida útil del
mismo, autorizadas por la (GI).
 El Administrador del Software de Administración en la (EPN-AP), que desee actualizar o migrar
si así fuese el caso, tendrá que solicitarlo con suficiente tiempo, por escrito y con el debido Vo.Bo
del Gerente de Informática. Ya que el (DST) con apoyo del (DDS) tendrá que poner a prueba
dicho Software para su debida instalación.
7
(EPN-AP).
Software propiedad de la institución.
Todos los Software de Administración adquiridos por la (EPN-AP) sea por compra, donación o
desarrollado por el (DDS) son considerados activos lógicos como propiedad de la (EPN-AP) y
mantendrá los derechos que la ley de los Derechos del Autor le confiera.
La (GI) en coordinación con el (DST- DDS) deberán de tener un registro de todos los paquetes de
programación propiedad de las (EPN-AP).
Todos los Software (Sistemas Operativos Administradores de bases de datos, , interfases con Software
de Aplicación) comprados bajo licitaciones publicas y/o privadas o desarrollados por el (DDS) con o
a través de los recursos de la (EPN-AP) se mantendrán como propiedad de la misma, respetando los
Derechos del Autor del mismo.
La (GI) en conjunto con el (DST, DDS) propiciará la gestión de patentes y derechos de creación de
software propiedad de la (EPN-AP).
La (GI) administrará los diferentes tipos de licencias de software y vigilará su vigencia en
concordancia con la política informática.
II.A.2- 3) SISTEMAS DE ADMINISTRACIÓN DE BASES DE DATOS.
La (GI) regulándose sobre las (NS) de la informática, de mantener toda la información de alta prioridad o
sensible, almacenadas en bases de datos alojadas en el Servidor solo para tal fin, bajo plataforma de W2K3
Server Enterprise y como sistemas de administración de bases de Datos esta el SQL 2k Server . La
responsabilidad de la administración del Sistema base, labor exclusivamente del responsable del (DST) y
Administrando el Sistema de Bases de Datos por el responsable del (DDS), bajo todas las medidas de
Seguridad para preservar los datos generados por la (EPN-AP). El lenguaje de consulta estructurado (SQL)
es un lenguaje de base de datos normalizado, utilizado por los diferentes motores de bases de datos para
realizar determinadas operaciones sobre los datos o sobre la estructura de los mismos. Pero como sucede con
cualquier sistema de normalización hay excepciones para casi todo, de hecho, cada motor de bases de datos
tiene sus peculiaridades y lo hace diferente de otro motor, por lo tanto, el lenguaje SQL 2k Server El lenguaje
SQL está compuesto por comandos,
cláusulas, operadores y funciones de agregado. Estos elementos se combinan en las instrucciones para crear,
actualizar y manipular las bases de datos.
Existen dos tipos de comandos SQL:
DLL = Que permiten crear y definir nuevas bases de datos, campos e índices.
DML= Que permiten generar consultas para ordenar, filtrar y extraer datos de la base de datos.
II.A.2.4) SOFTWARE DE TELECOMUNICACIONES
LA (GI) debe de garantizar por medio de su (DST) de Administrar un Software de telecomunicaciones donde
regula las conexiones de Internet bajo todas las medidas de seguridad establecidas por la (NS).
El personal de la (EPN-AP) está conectado por medio del software de correo donde los usuarios de rangos
de confianza se les asigna una cuenta para uso exclusivo en desempeño de sus funciones lo que agiliza las
labores al requerir un usuario algún requerimiento, memorando realizándose esta acción en tiempo real ya
que el dominio esta alojado en el servidor del Proveedor y los buzones están administrados por el responsable
del (DST) en el servidor Local en la (EPN-AP).
II.A.2.5) SOFTWARE DE SEGURIDAD Y UTILITARIOS
En la (GI) del (EPN-AP), para obtener un alto nivel de seguridad, mantenemos protegido nuestros sistemas
de los accesos lógicos en los usuarios finales, bajo las (NS) de sistemas de seguridad. Esto estará controlado
8
(EPN-AP).
por el (DST) con apoyo del (DDS) para mantener la información y las bases de datos salvaguardados con los
mas altos niveles de seguridad que se apliquen a niveles de Software de Administración y en apoyo de los
Utilitarios.
En la (EPN-AP) se eligieron el software de seguridad más populares y usados por las distintas entidades del
estado y/o privadas tomando como parámetro las herramientas internas de los mismos para garantizar la
seguridad total, no obviando que siempre estaremos a merced de los piratas cibernéticos. Pero garantizamos
en un 100 % la seguridad con el Norton Corporativo versión 10 y Firewall el cual le damos una breve
explicación del funcionamiento e importancia de su implementación en la (EPN-AP).
Qué es un firewall
Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un
dispositivo físico o un software sobre un sistema operativo. En general debemos verlo como una caja con
DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una conexión
determinada puede establecerse o no. Incluso puede ir más allá y realizar modificaciones sobre las
comunicaciones, como el NAT=.( Traducción de direcciones de red (TDR)Traducción de la dirección del
Protocolo Internet (IP) de una red en una dirección IP diferente de otra red. Una red se designa como la interna
y la otra como la externa. La red interna aparece como una entidad para el mundo exterior).
Esa sería la definición genérica, hoy en dia un firewall es un hardware especifico con un sistema operativo o
una I/O ( Entradas / Salidas) que filtra el tráfico TCP/UDP/ICMP/IP y decide si un paquete pasa, se modifica,
se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas
de red. Esta sería la tipología clásica de un firewall:
Esquema de firewall típico entre red local e Internet
Esquema típico de firewall para proteger una red local conectada a Internet a través de un LINKSYS. El
firewall debe colocarse entre el LINKSYS (con un único cable) y la red local (conectado al switch o
al hub de la LAN)
II.A.3) CONTROLES DE SEGURIDAD DE ACCESOS
La (GI) deberá implementar no sólo Controles a los equipos de cómputo de un sistema o procedimiento
específico, sino que además habrá de especificar controles a los sistemas de información en general desde
9
(EPN-AP).
sus entradas, procedimientos, archivos, seguridad y obtención de información. Las medidas de seguridad
aprobadas por las (NS) y la (GI) en conjunto con las Gerencias involucradas. En la (EPN-AP) utilizamos e
implementamos los Sistemas de Seguridad más actuales y eficaces para la tranquilidad en la toma de
decisiones con lo relacionado a seguridad en los accesos lógicos y en la fluidez de los datos, serian las dos
siguientes:
II.A.3.1) PROTEGER EL SISTEMA DE ACCESO INAPROPIADO
En mandato a las políticas de la (EPN-AP) y debido a la naturaleza de estas áreas se llevará un control estricto
tanto de personal como de aplicación de sistemas ajenos a dicha (GI). Llevando un registro permanente del
tráfico de los usuarios elaborado con la bitácora de los accesos que efectúan los usuarios finales
(administrando carpetas compartidas) desde la línea de comandos para administrar los recursos compartidos
y control a los usuarios finales sin excepción, a manera de ejemplos describiremos unos cuantos comandos
utilizados para el control de los usuarios de red:
net file = Permite ver y controlar los recursos compartidos en la red. Para poder utilizar este comando, el
servicio Servidor debe estar en ejecución.
net config server = Permite ver el número máximo de usuarios que pueden tener acceso a un recurso
compartido y el número máximo de archivos abiertos por sesión.
net use = Permite conectar un equipo a o desconectarlo de un recurso compartido.

net share = Permite crear, eliminar, administrar o mostrar recursos compartidos.
10
(EPN-AP).
La (GI) deberá proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos
de cada Gerencia.( privilegios y/o restricciones a los accesos lógicos de los usuarios).
Todos y cada uno de los equipos son asignados a un usuario responsable, por lo que es de su competencia
hacer buen uso de los mismos.
II.A.3.2) PROTEGER EL SISTEMA DE ACCESO NO AUTORIZADO.
El acceso de personal se llevará acabo de acuerdo a las normas y procedimientos que dicta la (GI).
Las Gerencias donde se tienen equipos cuyas misiones sean críticas, con alto nivel de confidencialidad
estarán sujetas a los requerimientos que la (GI) emita.
Los accesos lógicos deberán de ser clasificadas de acuerdo a las (NTCI) que dicte la (GI) de Común acuerdo
con su personal a cargo,(Reuniones previas o cumplimiento de plan de trabajo, la (GI) y el (DST), en
conjunto con el Departamento de Desarrollo de Software (en adelante DDS).
Dada la naturaleza de inseguridad de los sistemas operativos y su conectividad en la red, la (GI) tiene la
facultad de acceder a cualquier equipo de cómputo. (Al realizar respaldo o controles de rutina tanto
mantenimientos preventivos como correctivos).
Para obtener una efectividad en los distintos controles de accesos lógicos al flujo de datos en (EPN-AP),
Aplicando las nuevas (NTCI), lo conseguiremos aplicando los siguientes controles:
Acceso local a la red.
El (DST) de la (GI) es responsable de proporcionar a los usuarios el acceso lógico a los recursos
informáticos.
La (GI) es la responsable de elaborar el Reglamento para el uso de la red y de procurar su
cumplimiento.
Dado el carácter unipersonal del acceso a la (RED-EPN-AP), el (DST), verificará el uso responsable,
de acuerdo al Reglamento para el uso de la red.
Los accesos lógicos a equipo y/o entre equipos especializado de cómputo (servidores, enrutadores,
bases de datos, etc.), conectados a la red, es administrado exclusivamente por el (DST).
Todo el equipo de cómputo que esté o sea conectado a la (RED-EPN-AP), o aquellas que en forma
autónoma se tengan y que sean propiedad o no de la (EPN-AP), debe de sujetarse a los
procedimientos de acceso que emite el (DST).
Acceso a los sistemas administrativos o sistemas bases.
11
(EPN-AP).
Tendrá acceso a los sistemas administrativos (Entiéndase a los sistemas instalados en los servidores
utilizados para tal fin) solo el personal de la (EPN-AP) que es titular de una cuenta en el Directorio
Activo y tenga los suficientes privilegios en el accesos a las bases de datos o bien tenga autorización
del responsable si se trata de personal de apoyo administrativo o técnico.
El manejo de información administrativa que se considere de uso restringido deberá ser cifrada con el
objeto de garantizar su integridad.
La instalación y uso de los sistemas de información se rigen por el reglamento de uso de (RED-EPN-
AP) y por las (NTCI) y procedimientos establecidos por el (DST). Con Vo.Bo del Gerente de
Informática con mutuo acuerdo con las diferentes Gerencias.
Los Servidores de bases de datos administrativos son dedicados, por lo que se prohíben los accesos a
personal ajeno a la (GI), excepto para los Responsable (DST – DDS).como apoyo del Gerente de
Informática si el caso lo amerita.
El control de acceso a cada sistema de información de la (GA) será determinado por la unidad
responsable de generar y procesar los datos involucrados.
II.A.4) CONTROLES DE DESARROLLO Y MANTENIMIENTO DE APLICACIONES

DEL SISTEMA
La (GI) orientada a implementar los procedimientos en el desarrollo de sistemas de aplicación para el buen
funcionamiento de las actividades en la (EPN-AP) a designado la responsabilidad al (DDS) para elaborar
todos los Controles aprobado por las (NS) e implementarlos en las (NTCI).
El (DDS) tiene controles estrictos, tanto en la adquisición de software nuevo o en desarrollo, ya sean de base
y aplicación dirigidas a los usuarios finales.
El (DDS) es el encargado de evacuar y darle soluciones a la brevedad posible a problemas en los sistemas
de aplicación desarrollados por los mismos.
Desarrollo de software para propósitos específicos
El (DDS) emplea la consecutividad de los procesos de desarrollo de sistemas como: el análisis,

Diseño, Implementación, e instalación de sistemas.
Donde se implementan un sin numero de entrevistas con los usuarios solicitantes de los
sistemas. Para evacuar cualquier falla que tengan en el proceso de desarrollo del sistema
solicitado.
Aplicar Ingeniería de requemitos.
Documentos de especificación de requerimientos de los sistemas solicitados.
Implementación del sistema.
Capacitación del uso del nuevo sistema de aplicación.
Corrección de errores detectados por el usuario.
Generación de nueva versión.
Instalación de nueva versión.
Controles para diseño e implementación de sistemas.
El (DDS) implementa herramientas para el control de desarrollo de los sistemas de aplicación, el cual le
facilita en los procesos de elaboración entre estas herramientas tenemos:
Edwin: Elabora el diagrama de entidad relación.
Bpwin: Elabora el diagrama de los flujos de datos.
Fases específicas
12
(EPN-AP).
El (DDS) en la elaboración de un sistema de aplicación para un desempeño específico se distribuye en distintas
fases en el desarrollo de los sistemas contando con los siguientes:
 Concepto del sistema
 Requerimientos
 Análisis
 Diseño Global
 Desarrollo de Versiones
 Entrega de Versiones
 Implementación
 Pruebas
 Evaluación, esta es repetida y refinada hasta que finalmente se cumplen los requerimientos del sistema
para que la aplicación se ponga en marcha.
Requerimiento de documentación, aprobación y chequeo de los sistemas
Los requerimientos son el punto de acuerdo entre el usuario y el (DDS), este entendimiento es necesario para
poder construir sistemas que satisfaga las necesidades de nuestros usuarios.
Si los requerimientos se enfocan a describir las necesidades del usuario, entonces es lógico que para
recabarlos haya que obtener la información de primera mano. Esto es, mediante entrevistas con el usuario o
recabando documentación que describa la manera en que el usuario desee que funcione el sistema de
Aplicación.
Las necesidades y/o requerimientos del usuario evolucionan con el tiempo y cada cambio involucra un tiempo.
Por eso es necesario tener archivada una copia de la documentación original del usuario, así
como cada revisión o cambio que se haga a esta documentación sin obviar que es administrada por el usuario
y aprobada por su jefe inmediato con VoBo de la (GI).
Como cada necesidad del usuario es tratada de diferente forma, es necesario clasificar estas necesidades para
saber cuales de ellas serán satisfechas por el sistema de aplicación y cuales no por algún otro producto del
sistema.
Para satisfacer las necesidades de los usuarios y basados en la documentación prestada por los mismos
obtendremos los siguientes requerimientos:
Requerimientos del "entorno"
El entorno es todo lo que rodea al sistema. Aunque no podemos cambiar el entorno, existen cierto tipo de
requerimientos que se clasifican en esta categoría por que:
El sistema usa el entorno y lo necesita como una fuente de los servicios necesarios para que funcione. Como
ejemplo del entorno podemos mencionar: sistemas operativos, sistema de archivos, bases de datos.
El sistema debe ser robusto y tolerar los errores que puedan ocurrir en el entorno, tales como congestión en
los dispositivos y errores de entrada de datos, por lo tanto el entorno se debe de considerar dentro de los
requerimientos.
Requerimientos "ergonómicos"
El mas conocido de los requerimientos ergonómicos es la interfase con el usuario o GUI (Graphic User
Interface). En otras palabras, los requerimientos ergonómicos son la forma en que el ser humano interactúa
con el sistema. Ejemplo: (es lo que observa y le facilita al buen entendimiento del manejo de los sistemas) a
través del monitor.
13
(EPN-AP).
Requerimientos de interfase
La interfase es como interactúa el sistema con el ser humano o con otros sistemas (el enfoque es prácticamente
el opuesto a los requerimientos ergonómicos), La interfase es la especificación formal de los datos que el
sistema recibe o manda al exterior. Usualmente se especifica el protocolo, el tipo de información, el medio
para comunicarse y el formato de los datos que se van a comunicar. Ejemplo: (tenemos los sistemas de caja
que hacen interfase con los sistemas de contabilidad)
Requerimientos funcionales
Estos son los que describen lo que el sistema debe de hacer. Es importante que se describa el ¿Que? Y no el
¿Como?. Estos requerimientos al tiempo que avanza en la elaboración del proyecto de sistema, se convierten
en los algoritmos, la lógica y gran parte del código del sistema. Ejemplo : Códigos Fuentes.
Requerimientos de desempeño
Estos requerimientos nos informan las características de desempeño que deben de tener el sistema. ¿Que tan
rápido?, ¿Que tan seguido?, ¿Cuantos recursos?, ¿Cuantas transacciones?, Este tipo de requerimientos es de
especial importancia en los sistemas de tiempo real en donde el desempeño de un sistema es tan crítico como
su funcionamiento.
Disponibilidad (En un determinado periodo de tiempo)
Este requerimiento se refiere a la durabilidad, degradación, flexibilidad y capacidad de actualización. En estos

requerimientos, es también muy importante en los sistemas de tiempo real, puesto que los sistemas manejan
aplicaciones críticas que no deben de estar fuera de servicio por periodos prolongados de tiempo. Ya que
incurriría a la (EPN-AP) en atrasos y hasta multas por la ineficiencia al momento del desarrollo del sistema
de aplicación.
Entrenamiento
En este requerimientos se enfoca a los usuarios que van operar el sistema. ¿Que tipo de usuarios son?, ¿Que
tipo de operadores?, ¿Que manuales se entregarán?.
Este tipo de requerimientos, aunque muchas veces no termina en un pedazo de código dentro del sistema, son
muy importantes en el proceso de diseño ya que facilitan la introducción y aceptación del sistema en donde
será implementado.
Restricciones de diseño
El Sistema de aplicación esta normada por leyes o estándares, este tipo de normas caen como "restricciones
de diseño". Tienen que estar regidas por la (EPN-AP) y supervisadas por el (GI).
Materiales
Es donde se especifica en que medio se entregara el sistema y como estará empaquetado. Esto con el fin de
determinar el proceso de instalación del sistema.
Controles de versiones del sistemas.
En el (DDS) al momento de elaborar un sistema de aplicaciones lleva a cabo:
14
(EPN-AP).
En el Control de las versiones de los sistemas de aplicación. Encontramos que en los Códigos Fuentes se
encuentran (Razón del Cambio, Fecha del Cambio, quien hizo el Cambio, Nuevo Numero de Revisión –
(x.xx.xxx) el primer numero es la versión del sistema, el segundo numero es la etapa del sistema, el tercer
numero de la revisión).
Para realizar el control del sistema por medio de software, se utiliza una herramienta integrada en el software
de desarrollo como es el SourceSafe
II.B) CONTROLES DE APLICACIÓN
 La (GI) con el (DDS) llevan el control estricto en los procedimientos de la comunicación Cliente /
Servidor donde cliente es el Sistemas de Aplicación que utiliza el usuario final para digitar o alimentar
las bases de datos con la información de su faena diaria.
 Conocer una arquitectura que en este momento es una de las más importantes y utilizadas en el ámbito
de enviar y recibir información, también es una herramienta potente para guardar los datos en una base
de datos como servidor.
 Con respecto a la definición de arquitectura cliente/servidor se encuentran las siguientes definiciones:
 La información de las Gerencias estará alojada en las bases de dato en el Servidor, el cual puede ser
solicitada por varias computadoras interfasadas por una carpeta compartida o una base de datos sin
necesidad de saber donde esta o quien mando y/o solicito la información.
 Es una arquitectura de procesamientos corporativo donde uno de los componentes pide servicios a
otro.
 Es un procesamiento de datos de índole comunicativa entre dos o más computadoras de una Gerencia
con las de otra Gerencia conectadas a sus bases de datos por medio de una red.
 El término cliente/servidor o Sistema de Contabilidades como Cliente/la base de dato alojada en el
Servidor, originalmente aplicado a la arquitectura de software que describe el procesamiento entre dos
o más programas: una aplicación y un servicio soportante.
 Se define al modelo Cliente/Servidor. Como la tecnología que proporciona al usuario final el acceso
transparente a las aplicaciones, datos, servicios de cómputo o cualquier otro recurso del grupo de
trabajo donde el Administrador del Sistema (Responsable del DST) le tenga autorizado a acceder, a
través de la organización, en múltiples plataformas. El modelo soporta un medio ambiente distribuido
en el cual los requerimientos de servicio hechos por estaciones de trabajo inteligentes o "clientes'',
resultan en un trabajo realizado por otros computadores llamados servidores".
 En los servidores toda restauración y uso de respaldos de información se hace clave en la seguridad
de lo contrario no se podrá usar. La información procesada de bases de datos en SQL, también tienen
su administrador y solo el puede utilizar esta información y designar quien mas puede usarla.
 Acá es donde hacen interfase los sistemas de aplicaron con las bases de datos en el Servidor de
Dominio
III) NORMAS ESPECÍFICAS DE INFORMACION Y COMUNICACIÓN
La (GI) con el apoyo de sus responsables de los (DST – DDS) están implementando los procedimientos de
resguardo de toda la información que genera la digitación de los usuarios finales, este siempre disponible para
cualquier solicitud de los mismos o la alta dirección de la (EPN-AP) en las bases de datos del Servidor tomar
decisiones como resultado del acceso en tiempo y forma de los involucrados a su información completa o
parte de ella y complementándola con el de otra Gerencia.
Cada área se hace responsable de guardar su información. A menos que sea de su conveniencia y por política
que se Genere una copia en el (DST).
III.A) LA INFORMACION
15
(EPN-AP).
El (DDS) con apoyo del (DST) y Vo.Bo del Gerente de Informática tiene la responsabilidad de cumplir los
(NS) para implementar las (NTCI), Hoy en día la (EPN-AP) necesita ser capaz de integrar las tecnologías
emergentes con las inversiones ya realizadas en aplicaciones e infraestructura de tecnología, por lo que se
requieren nuevas soluciones que permitan administrar y mantener su organización desde un punto de vista de
la Tecnología Informática, más fácil y con una reducción de la complejidad.
La información es una parte cada vez más importante de la arquitectura de informática, principalmente debido
a su capacidad de disminuir costos, aumentar la productividad de los usuarios finales y fortalecer las relaciones
con los clientes y los distintos Gerentes de la (EPN-AP) y homogenizar los procedimientos para incorporar la
utilización de la información en el uso diario en conjunto con los usuarios finales. Implementando los
procedimientos de manipulación de información, para obtener resultado óptimos en la recuperación de los
respaldos de las bases de datos y si tiene información personal de cada usuario siempre con el debido
consentimiento de los mismos, para tal fin deberá de llenar los siguientes requisito para la manipulación de
infamación y obtener calidad, seguridad, utilización y conservación de la información, así obtener de los
usuarios finales y de los propietarios de dichas informaciones la plena confianza de que el resultado será
positivo.
III.A.1) LA CALIDAD
La (GI) aplicando las (NS) e el cumplimiento de las (NTCI), de mantener el buen flujo de los accesos lógicos
y de mantener en línea a los usuarios finales, así obteniendo excelencia en la recuperación de
la información y la calidad de la misma para una buena toma de decisiones por parte de las altas autoridades
de la (EPN-AP).
III.A.2) LA SEGURIDAD
El (DST- DDS) con los procedimientos de implementación de seguridad bajo la plataforma de w2k3 Server
Enterprise. En la conformación de la estructura del directorio activo y las políticas de grupos de trabajo se le
asigna ciertos privilegios a cada usuario para el acceso de la información, la utilización y implementación del
destino que le asigne el usuario final. Administración basada en directivas de Grupos.
El servicio de Directorio Activo incluye un almacén de datos y una estructura lógica y jerárquica. Como
estructura lógica proporciona una jerarquía de contextos en los que se pueden aplicar las directivas. Como
directorio, almacena las directivas (denominadas objetos de Directiva de grupo) que se asignan a un contexto
determinado. Un objeto de Directiva de grupo establece un conjunto de normas de empresa que incluyen
opciones de configuración que pueden, en el contexto en que se aplican, determinar lo siguiente:
El acceso a objetos de directorio y recursos del dominio
Qué recursos del dominio, como aplicaciones, están disponibles para los usuarios
Cómo se configuran esos recursos para su utilización.
Por Ejemplo, un objeto de Directiva de grupo puede determinar qué aplicaciones pueden ver los usuarios en
sus equipos cuando inician una sesión, cuántos usuarios pueden conectarse a Microsoft SQL 2k Server cuando
se inicia en un servidor y a qué documentos o servicios tienen acceso los usuarios cuando pasan a otros
departamentos o grupos. Los objetos de Directiva de grupo permiten administrar un número reducido de
directivas en lugar de un número mucho mayor de usuarios y equipos. El Directorio Activo nos permite aplicar
la configuración de la Directiva de grupo a los contextos adecuados especificando el entorno del usuario. Un
objeto no es un perfil porque no es una configuración de entorno que un usuario pueda cambiar. Los
administradores administran y mantienen las directivas de grupos a través del complemento de edición de
directivas de grupo o a través de la consola de usuarios y equipos del directorio activo.
III.A.3) LA UTILIZACIÓN
16
(EPN-AP).
Es responsabilidad del (DST) de que el usuario final le de el uso apropiado a la información utilizadas de las
bases de datos o digitadas a modo personal por su jefe inmediato. De lo contrario si es detectada una mala
utilización de la información, según el criterio de los procedimientos el (DST) de vera en la obligación de
notificar la causa grave en que incurrió el usuario final el cual lo determinara el Reglamento que rige las
normas internas de la (EPN-AP) su debida sanción.
III.A.4) LA CONSERVACIÓN
Es obligación de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente
de la misma ya que se considera como un activo de la (EPN-AP) que debe preservarse.
El Software de Administración, las bases de datos, la información generada por el personal y los recursos
informáticos de la (EPN-AP) deben estar resguardados en lugares seguros o en otra (AP).
Corresponderá a la (GI) promover y difundir los mecanismos de respaldo y salvaguarda de los datos y de los
sistemas de Aplicación.
III.B) LA COMUNICACIÓN
El (DDS) con apoyo del (DST) y Vo.Bo del Gerente de Informática con el avance de la globalización se podrá
elevar la productividad a un nivel único en la historia de la (EPN-AP), tales desafíos requieren inicialmente
profundizar en la complejidad de las interrelaciones de los sistemas tecnológicos junto con los sistemas
naturales. La tecnología nace de las mismas necesidades, responde a demandas e implica el planteo y la
solución de problemas concretos ya sea de los usuarios, de la (EPN-AP) o del conjunto de ellos.
El uso de la comunicación como recurso didáctico puede reportarnos las ventajas de interdisciplinariedad
además del valor instructivo que tienen la (GI) en telemática en una determinada especialidad ya sea de los
(DST - DDS) que proporcionan otros valores añadidos a los usuarios finales como lo son:
Motivar al usuario consiguiendo que la asimilación de las (NTCI) sean más interesantes y
significativas.
Permitirle acceder a una información de la forma más sencilla.
Facilita la interacción entre usuarios y los Gerentes presentes en la (EPN-AP) como con otros usurarios
sin importar la distancia a que se encuentren.
Permite una comunicación individualizada y un ritmo de aprendizaje adecuado a cada usuario de la
manera de interactuar con su equipo.
III.C) NORMAS ESPECIFICAS DE MONITOREO
Para hacer una adecuada planificación en los monitoreos de la seguridad en informática, hay que seguir una
serie de pasos previos que permitirán dimensionar el tamaño y características del tipo de monitoreo a los
Sistemas ya sean de Aplicación o de Administración y los equipo distribuidos en las distintas Gerencias.
En el caso de los monitoreos de informática, la planificación es fundamental, pues habrá que hacerla desde
el punto de vista de los dos siguientes objetivos:
A nivel del área de informática:
Objetivos a corto y largo plazo.
.
Monitoreo de los sistemas y procedimientos
El monitoreo de los sistemas Informáticos tiene como principal objetivos, evaluar el grado de efectividad
de las Tecnologías de Información, dado que evalúa en toda su dimensión, en que medida se garantiza
la información a la (EPN-AP) en su alto grado de Eficacia, Eficiencia Confiabilidad e Integridad para
la toma de decisiones, convirtiéndola en el método más eficaz para tales propósitos.
17
(EPN-AP).
Su ámbito de acción se centra, en revisar y evaluar: los procesos de planificación; inversión en
tecnología; organización; los controles generales y de aplicación en proyectos de automatización de
procesos críticos; el soporte de las aplicaciones; aprovechamiento de las tecnologías; sus controles
específicos, los riesgos inherentes a la tecnología, como la seguridad de sus recursos, redes, aplicaciones,
comunicaciones, instalaciones y otras.
La generalizada informatización de los procesos y disciplinas que impactan directamente en la sociedad,
en especial las relacionadas con la gestión económica, que hace apenas una década se procesaban
manualmente, así como los propios cambios que introduce su tratamiento
informatizado, introducen transformaciones sustanciales sobre el concepto tradicional del control
interno, la estructura del registro y consecuentemente la práctica de los monitoreos.
Los monitoreos en pleno desempeño, tiene también la responsabilidad de velar por el adecuado empleo y
utilización de los recursos Informáticos y por el cumplimiento de la misión que a éstos le ha asignado la
(EPN-AP). De llevar un riguroso control apoyándose con los cuadros de control que fueron estipularon por
la (GI) y designando responsabilidades al (DDS) para salvaguardar lo activos lógicos como fijos de tomar
el control con los procedimientos en la elaboración de sistemas con la visión de futuro de tratar de
sistematizar y simplificar los sistemas en toda la (EPN-AP).
Haciendo una descripción general de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de la siguiente información:
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
Tal conclusión conduce, a la inexcusable necesidad de practicar "Monitoreos de Informáticas", a partir
de un conjunto de técnicas y procedimientos que evalúen los controles internos y específicos de los
Sistemas de Información; en consecuencia, determina, que conceptualmente, no es dependiente ni
evoluciona desde los monitoreos convencionales; sus puntos de partida son esencialmente diferentes ya
que no analiza la corrección o incorrección de cuentas contables, sino que constituye un instrumento de
control superior para valorar la correcta administración de los recursos de tecnología de informática
como: Datos, Aplicaciones, Tecnología, Instalaciones, y Personal para valorar la efectividad de la
información que requiere la organización. Su concepción se refiere a la integración de las técnicas
informáticas y de monitoreo para practicar un nuevo estilo de verificación, sobre un ambiente no
convencional, con herramientas de punta y con procedimientos inexistentes y que puede definirse como:
El conjunto de procedimientos y técnicas
Vienen a evalúan, parcial o totalmente los Controles Internos de los Sistemas de Información; la protección
de sus activos y recursos; verifica si su explotación se desarrolla con Eficiencia, de acuerdo con las políticas
y normativas establecidas por cada entidad y valora si se alcanza el grado de Organización previsto para el
marco donde participa y actúa".
Monitoreo de los equipos de cómputo.

La (GI) designara al (DST) a llevar un riguroso control apoyado con sus cuadros de control (Anexo # 2) y
estar actualizado sobre los movimientos y/o modificaciones que tengan los equipos de computo como sus
accesorios, rigiéndose bajo las (NS) y garantizando un buen desempeño en sus responsabilidad de
salvaguardar todos los activos lógicos como fijo propiedad de la (EPN-AP) y estar paralelamente a las (NTCI),
manteniéndose en un alto grado de disponibilidad al momento de una auditoria de informática. Siendo de la
siguiente manera:
Recursos materiales y técnicos:
18
(EPN-AP).
Solicitar documentos sobre los equipos, número de ellos, localización y características.
 Estudios de viabilidad.
 Número de equipos, localización y las características (de los equipos instalados y por instalar y
programados)
 Fechas de instalación de los equipos y planes de instalación.
 Contratos de seguros.
 Configuración de los equipos y capacidades actuales y máximas.

 Planes de expansión.
 Ubicación general de los equipos.
 Políticas de operación.
Políticas de uso de los equipos
Control de Hardware
La mayoría de las computadoras cuentan con una variedad de características de control automático para su
buen funcionamiento. Estos controles aparecen en forma de:
Controles de hardware integrado: Estos controles están construidos en los mismos circuitos de la
computadora para detección de errores que resultan de la manipulación, cálculo o transmisión de datos por
componentes de la computadora. Ejemplos:
Verificación de paridad.
Verificación de validez.
Verificación de duplicación.
Verificación de eco.
Controles de software del proveedor: Estos controles se diseñan en el sistema operativo y se refieren en
gran parte a las operaciones de entrada/salida. Ejemplos:
 Errores de lectura/escritura.
 Verificación de longitud.
 Control de acceso.
 Control de comparación de direcciones.
Controles de Operación de la computadora
Todo el personal de la (GI), especialmente los operadores, deben tener una supervisión directa. El responsable
establecerá las prioridades de los trabajos del día según plan de trabajo y pasar revisión a los parámetros del
sistema operativo que corre cada día, y el responsable deberá solicitar reportes de todas las operaciones
realizadas dentro de su área durante el día y el auditor del área de informática
deberá revisar los reportes periódicamente. El operador debe de ser el único que pueda operar la computadora;
se debe tener un control sobre los operadores cuando estos tengan accesos a cintas, discos, programas o
documentos importantes. El acceso al área de los Servidores deberá estar restringido, esto con el fin de tener
un control más exacto de las operaciones realizadas y las personas
que las realizan. Se debe dar mantenimiento periódico al equipo de cómputo así como a las instalaciones.
Controles de Seguridad
19
(EPN-AP).
Normalmente los controles de operación de la computadora no afectan al procesamiento correcto de las
transacciones tanto como los anteriores, aunque si lo hacen de forma indirecta, ya que estos controles ayudan
a asegurar normas y elevar el desempeño en los sistemas previniendo fallas de software, hardware y humanas.
La ausencia de seguridad aumenta la probabilidad de que sucedan entre otros percances:
 Pérdida de servicios.
 Pérdida de activos.
 Degradación de las operaciones.
 Daños al equipo, instalaciones o personal.
 Revelación no autorizada de información delicada.

Los principales objetivos de los controles de la seguridad son cinco y pueden verse más bien como niveles de
control, es decir, si llegase a fallar un nivel entonces entra en acción el nivel de control siguiente, y así
sucesivamente. He aquí estos niveles:
 Disuadir cualquier pérdida o desastre. (Según plan de contingencia)
 Detectar peligros potenciales.
 Minimizar el impacto de los desastres y pérdidas.
 Investigar que fue lo que sucedió.
 Recuperación.
Los equipos informáticos deben estar perfectamente identificados (marca, modelo, ubicación, fecha de
adquisición, etc.) y cubiertos por las correspondientes pólizas de seguros. Con la Dirección de la (EPN-AP)
decidirá si la cobertura ha de limitarse simplemente a la indemnización por destrucción física y sustracción,
o contemplará además compensaciones por la perdida de capacidad de procesamiento u otros aspectos.
Los elementos de seguridad física (localización de extintores manuales, salidas de emergencia etc.) deben
estar convenientemente señalizados. Análogamente, todo aviso o recomendación relativo a seguridad ha de
ser claramente visible (indicadores de prohibición de fumar, planos o croquis del edificio indicando el camino
a escaleras y salidas de emergencia, normas de actuación en caso de evacuación forzosa del edificio, etc.).
Importante
Todos estos procedimientos en el desarrollo de los monitoreos se deberán implementar en la (GI) para su buen
desempeño en la (EPN-AP)
III.C.1) MONITOREO SOBRE LA MARCHA
Actualmente en la (GI) y realizado por el (DST) estamos monitoreando con un programa llamado Sniffer
Portable Field. El cual facilita la labor de los monitoreo ya que con podremos visualizar el tipo de tráfico,
para detectar al usuario que esta consumiendo el % de ancho de banda.
A la vez se utiliza el comando del dos nbtstat para detectar que usuario tiene tal numero IP.
20
(EPN-AP).
También se utiliza la herramienta NetFlow el cual sirve para Analizar y monitorear quien esta en el dominio
y que IP tienen. Este último es para llevar un inventario de las PCS.
III.C.2) MONITOREO MEDIANTE EVALUACIONES SEPARADAS
Este tipo de monitoreo se elabora en la (GI) con el compromiso de obtener resultados paralelos con la
auditoria interna de la (EPN-AP)
ACTIVIADADES DE CONTROL APLICABLE A LOS SISTEMAS DE ADMINISTRACION
IV) TECNOLOGIA DE INFORMACION
IV.A.) ACCESO A FUNCIONES DE PROCESAMIENTO
En la (GI) se realiza a diario los procedimientos establecidos en las (NS), donde se especifican paso a paso
cada uno de ellos, lo cual conlleva a un mejor funcionamiento como (EPN-AP) en la integración de las
(NTCI), implementándose para brindar un mejor servicio a nuestros usuarios por ende a nuestros clientes
tanto extranjeros como nacionales, para tal fin se procede así:
IV.A.1) SEGREGACIÓN DE FUNCIONES
En la segregación de funciones como responsable del (DST), tiene el control total de los servidores a
nivel de administrador, junto con el Gerente de Informática. Cualquier cambio que se realice, primero
es notificado a la Gerencia por medio escrito y según el visto bueno se procede. El personal a cargo
realiza labores de soporte técnico.
Si se necesita la creación de un nuevo usuario; el responsable del (DST) realiza el trabajo en el
servidor por la seguridad que hay y con apoyo del resto del grupo, se encargan de configurarlo
localmente donde el cliente.
21
(EPN-AP).
Cabe señalar que el grupo del (DST), dominan paso a paso el procedimiento al realizar tareas de
administración. Pero en cumplimiento de las (NS), de cumplir con los procedimientos y
motivos de seguridad, estas funciones son delegadas únicamente al responsable del (DST). De igual
forma lo realiza el (DDS) al crear cuentas de nuevos usuarios para acceder a las bases de datos de los
sistemas de aplicación que usaran.
IV.A.2) MEDIOS DE CONTROL DE ACCESO
Actualmente hay una seguridad media en la (RED-EPN). Con los pocos equipos de seguridad .para
proteger dicha red. El cual se estará superando en corto plazo ya que la (EPN-AP) con visión de futuro
visualiza en la implementación de los sistemas integrados y interconectado por medio de la Wan.
En la actualidad garantizamos la seguridad interna de nuestra red, con un Router Linksys, siendo su
función de compuerta hacia el exterior.
Las medidas de seguridad son altas ya que para lograr violarlas y entrar al Router, tendrán que dominar
la (Dirección IP, User Name y Password de alta Seguridad)
El Router cuenta con señal inalámbrica pero esta propiedad esta deshabilitada. Ya que son poco los
equipos que tienen esta propiedad, pero se conectan físicamente.
El Router esta configurado para denegar y habilitar a quienes tengan el Privilegio con plena
Autorización de su jefe Inmediato y VoBo del Gerente de Informática poder navegar en Internet.
También tienen otras configuraciones para permitir y denegar otros servicios.
Otro control de acceso hacia los servidores por medio de la Red ejecutándole comando en el cmd de
mstsc.exe
Permitiéndonos el Acceso de Control Remoto desde una Terminal (PC´s) al Servidor. El cual el
Responsable del (DST) deberá de implementar todas las medidas de Seguridad altas (alfanuméricas y
signos)
No existe conexión por FTP o telnet, no están permitidas para que los usuarios puedan navegar.
Caso contrario a todas estas indicaciones el usuario que haga caso omiso a dichos procedimientos
incurrirá a una causal grave y será sancionado de acuerdo al Reglamento que rige al personal interno
de la (EPN-AP)
IV.A.3) IDENTIFICADORES DE USUARIOS
En la (GI) orientado en cumplir las (NS) en medidas de seguridad en conjunto con el (DST) en llevar
procedimientos estipulados para definir las normativas y privilegios que se le asigna a cada usuario que se
integre a la (RED-ENP-AP). Siendo estas las siguientes:
Para identificar a un usuario se diseña una nomenclatura con los nombre de las PCs, donde se identifica la
computadora con el nombre del área o departamento que pertenece y un número sucesivo. Por ejemplo: En el
área de contabilidad la PC numero 3 se llama: cnt03. a la vez esta PC tiene un
numero IP. El cual es asignado vía DHCP. Cuando se desee saber que usuario esta en “X” equipo, utilizamos
desde la línea de comando: nbtstat –a (numero ip) y me da el usuario o nombre de la PC.
22
(EPN-AP).
Si s e desea observar la lista de IP`s que hay en el DNS del servidor. Acá es donde se encuentran registradas
cada maquina que accesa a la red. Con nombre de la PC y numero IP.
Otra forma es utilizando el sniffer, quien me dice que IP esta ocupando el ancho de banda y al ejecutar el
comando: nbtstat –a (ip) y obtengo el usuario y el nombre de la maquina.
Por ultimo tenemos un registro llevado a mano donde están la lista completa por departamento, nombre,
usuario, Password de red, numero IP., Mac Address de la tarjeta de red, correo. Cuadro de control de accesos
a la red en Anexo.
IV.A.4) PERFILES DE ACCESOS
Los mecanismos de control de acceso determinan que usuario del cliente puede acceder a que archivo, con
alguna entrada del proceso de autenticación. Estos filtros de control de acceso son los permisos de de acceso
del Servidor, los permisos del sistema de archivos (NTFS) y la direccion de red del host cliente.
Existen dos perfiles de acceso a la hora de introducir el LOGIN (nombre de Usuario Y Password):
Administrador ya sea para la red o para una PC local, ambos tienen su clave específica. Esta clave es manejada
solo por el administrador de la red y el Gerente de informática.
Usuario de red. Con un nombre de usuario único y clave única. Creándose el perfil por cada usuario en cada
maquina que accesa.
Cada usuario crea su perfil y un escritorio único de la siguiente manera:
Permisos y derechos de usuario
Debe contar con ciertos permisos o derechos para realizar copias de seguridad de archivos y carpetas.
Si es administrador, puede realizar la copia de seguridad de cualquier archivo o carpeta
almacenada en el equipo local al que se aplique el grupo local. Del mismo modo, si es
administrador de seguridad en un controlador de dominio puede realizar la copia de seguridad de
cualquier archivo o carpeta del dominio o en cualquier equipo del dominio con el que tenga una relación
de confianza en ambos sentidos (salvo los datos del Estado del sistema. Sin embargo, si no es
administrador y desea realizar
23
(EPN-AP).
una copia de seguridad de los archivos, debe ser el propietario de los archivos y carpetas cuya copia de
seguridad desee llevar a cabo o tiene que contar con uno o varios de los permisos siguientes para esos
archivos y carpetas: Lectura, Lectura y ejecución, Modificación o Control total.
También debe asegurarse de que no existen restricciones de cuota de disco que puedan limitar su acceso
a un disco duro, lo que imposibilitaría la realización de una copia de seguridad de los datos. Para
comprobar si tiene alguna restricción de cuota del disco, puede hacer clic con el botón secundario del
mouse (ratón) en el disco cuyos datos desee guardar, en Propiedades y, después, en la ficha Quota.
También puede restringir el acceso a un archivo de copia de seguridad si activa Permitir sólo al
propietario y al Administrador el acceso a los datos de copia de seguridad en el cuadro de diálogo
Información sobre el trabajo de copia de seguridad. Si selecciona esta opción, sólo un administrador o
la persona que creó el archivo de copia de seguridad podrán restaurar los archivos y las carpetas.
Importante
Sólo puede realizar la copia de seguridad de los datos de Estado del sistema en un equipo local. No puede
realizar dicha copia de seguridad en un equipo remoto, incluso aunque sea un administrador de seguridad en
el equipo remoto.
IV.A.5) MENÚS
Entiéndase por Menú, relacionado con los ordenadores o computadoras, son las lista de opciones dentro las
cuales el usuario de un programa puede seleccionar una acción, por ejemplo, eligiendo un comando o dando
un formato particular a parte de un documento. Muchos programas de aplicaciones, especialmente aquellos
que ofrecen una interfaz gráfica de usuario, utilizan menús como un medio que proporciona al usuario una
alternativa fácil de aprender y de usar, diferente de la memorización de comandos de programa y su uso
apropiado. Al elegir dentro de un menú, a menudo se lleva al usuario a un segundo menús o a un cuadro de
diálogo que contiene opciones que concretan la selección realizada en los menús originales.
IV.A.6) ACCESO A LOS DATOS POR PROGRAMAS
Si un usuario quiere entrar a una conexión de red, primero debe de existir un permiso que es dado por una
solicitud previa a la (GI). Y en respuesta se da permisos para que pueda leer, acceder, guardar y crear
documentos nuevos. Estos documentos se encuentran alojados en un servidor. Donde se le asigna una carpeta
especial para un grupo determinado.
Si cierto usuario no perteneciente a este grupo quiere acceder a esta carpeta, no le dejara entrar y si el usuario
tiene permiso y ya ha introducido su login (Nombre de Usuario y Contraseña) para la red o dominio,
solamente así lo dejara acceder. De lo contrario también se le negara el servicio.
Una vez introducido a la red con su equipo de computo, el usuario inicia a introducir datos por medio del
sistema de Aplicación que le fue instalado para su trabajo especifico, dicho sistema hace interfase
lógica con el Servidor Administrador del Dominio por medio del sistema de administrador de bases de datos
donde están almacenadas todas las informaciones que los usuarios digitan a diario.
IV.A.7) DISPOSITIVOS DE ACCESO DE DATOS/ PROGRAMAS A TRAVÉS DE

RESTRICCIONES LÓGICAS DE LOS TERMINALES
El (DST) como único competente de realizar los procesos administrativos de los sistemas, por ende las
aplicaciones de las medidas de seguridad en el sistema de administración, cumpliendo dichas (NS) de la
siguiente manera:
 Todo equipo que no este en el dominio no podrá ver la red.
 Todo equipo que se conecte y no introduzca su loguin para acceder al dominio no podrá gozar de
navegar por la red. Imprimir en equipos compartidos. O compartir algún dispositivo.
 Cada equipo tendrá los debidos privilegios que lo amerite su trabajo sobre los archivos o carpetas
compartidas y las bases de datos donde su programa de aplicaron tenga acceso.
24
(EPN-AP).
IV.A.8) DISPOSITIVO DE SEGURIDAD DE TERMINALES Y REDES
El (DST) por medio de los usuarios a implementado standarizar las medidas de seguridad locales, evitándose
así los incidentes de seguridad ya sean involuntarios o voluntarios. Siendo los siguientes:
Primero que nada cada PC o usuario tienen su clave de acceso.
Cada Terminal se puede bloquear o enllavar cuando el usuario se aleja de ella.
Si no tiene que compartir nada puede deshabilitar las carpetas compartidas e incluso activar una clave de
acceso al dispositivo.
Si activa el protector de pantalla puede hacerlo con claves de acceso. Evitando así intrusos en su ausencia que
logren distorsionar su s archivos o información.
También se pueden proteger los documentos con claves de seguridad a dos niveles.
IV.A.9) DESACTIVACIÓN DE CÓDIGOS O CLAVES EN PODER DE SERVIDORES

PÚBLICOS QUE SE RETIRAN DE LA ENTIDAD, ASÍ COMO LA
SUSTITUCIÓN INMEDIATA DE DICHAS CLAVES Y LA ASIGNACIÓN
CORRESPONDIENTE DE RESPONSABILIDADES.
El (DST), tiene la obligación de monitorear y llevar registros estrictos, sobre las cuentas de usuarios que
conforman la estructura del directorio activo en el sistema principal. Ya que deberá de mantener un control
actualizado sobre los usuarios, ser proactivo y mantener el directorio activo solo con los usuarios físicos o
que se encuentren activos en la (EPN-AP).
Al momento de que un usuario se retira por “X” motivo, de la (EPN-AP), de forma inmediata el Departamento
de Personal le notificara por medio escrito o vía e-mail a su jefe inmediato para su debida autorización, y
remitirla a la (GI) para llevar acabo dicha cancelación de cuenta de correo y eliminación en el directorio
activo. Así no tendremos recursos subutilizados y mantendremos con un buen funcionamiento óptimo nuestra
estructura lógica en nuestros servidores. Los mismos procedimientos se efectúan al ingresar un nuevo usuario
a la (EPN-AP).
IV.B) INGRESOS DE DATOS
El (DDS) tiene la responsabilidad de salvaguardad la información digitada por los usuarios y que los sistemas
de aplicaron asignados a los mismos estén desarrollándose en óptimas condiciones llenando las expectativas
en los controles a los mismos, esto con el fin de darle seguimiento a los procedimientos de las (NS) siendo
estos controles los siguientes:
IV.B.1) CONTROLES DE EDICIÓN Y VALIDACIÓN
EDICIÓN: Es importante en este tipo de programas en los que la información que se trata es de vital
importancia. Por lo tanto, el programa debe permitir que los datos, por ejemplo una fecha, se
introduzcan de forma rápida y sin ambigüedades y además que se tenga la certeza de que siempre son
correctos. Por lo tanto, el control más importante es el que permite la introducción de números, fechas, cadenas
con formato, horas, cantidades monetarias, etc. Esto lo controlara por los acontecimientos que
le surjan al usuario en el desarrollo de dicho sistema de aplicación, ya que es el único que detectara alguna
falla o caída del sistema y obteniendo las propiedades más destacadas:
Edición con máscaras de números, fechas, horas, cadenas con formato y cantidades monetarias.
Avance y retroceso con Intro y las teclas del cursor.
Diferenciación visible de cuando es editable y cuando no.
Validación de los datos sin permitir que el cursor salga del control si los datos no son válidos.
25
(EPN-AP).
VALIDACIÓN: Consiste en comprobar que tanto el algoritmo como el programa cumplen la especificación
del problema. También es el proceso de comprobar la precisión de los datos, conjunto de reglas que se pueden
aplicar a un control para especificar el tipo y el intervalo de datos que los usuarios pueden especificar.
IV.B.2) CONTROLES DE LOTES
Ejemplo de Controles de Lote

Contraloría/Auditoria debería preparar y conservar el total control de los lotes de recibos por cobranzas en
efectivo. Estos totales deberían ser luego comparados con los totales según el listado diario de cobranzas en
efectivo.
IV.B.3) DOBLE DIGITACIÓN DE CAMPOS CRÍTICOS
La doble digitación se hace con el objetivo de garantizar la calidad de los datos en los puntos críticos, Ejemplo
En el control de Inventario físico se registran dos conteos con el objetivo de minimizar el error humano, el
control consiste en comparar los conteo registrados por personas diferentes y los casos en que existen
diferencia se ejecuta un tercer conteo que es el valor definitivo de inventario.
IV.C) TRANSACCIONES RECHAZADAS O EN SUSPENSOS
La Atomicidad significa que o todas o ninguna de las actualizaciones se ejecuten. La Consistencia significa
que si una transacción falla los datos son retornados al mismo estado que tenían antes de empezar la
transacción. El aislamiento significa que una transacción no sepa que otra transacción se está haciendo.
Finalmente, la Durabilidad significa que el estado de la transacción se guarda, no importa que pase en el
sistema
IV.C.1) CONTROLES PROGRAMADOS

El (DDS) tiene la responsabilidad de llenar todos los procedimientos establecidos por la (NS) y los
requerimientos de la (GI), para esto realizara los siguientes controles:
CONTROLES DE ENTRADA.
Claves de transacciones = para poder introducir transacciones al sistema, es necesario asignar una clave
específica, como identificación.
Formas = para la entrada de datos se utilizará un documento fuente o un formato de pantalla. "Aviso de
Renuncia" Nombre del empleado, Número del empleado, Fecha de renuncia, Motivo de la renuncia,
Departamento, Formas con títulos.
Verificación = Los documentos fuente preparados por un empleado pueden ser verificados o corregidos por
otro empleado para mejoras su exactitud.
Totales de control = Para asegurar que los datos no se hayan perdido y que las transacciones se hayan
procesado correctamente, se preparan totales de control para un lote específico de datos.
Dígito de verificación = Se emplea para claves importantes.
Etiquetas = Contienen datos como el nombre del archivo, la fecha de creación, la fecha de actualización, etc.,
ayudan para asegurar que se monte el archivo correcto, para su procesamiento.
Verificación de caracteres y campos = Se verifican que los caracteres sean los correctos: numéricos,
alfabéticos o alfanuméricos. Los campos se verifican para ver si se llenaron correctamente.
CONTROLES DE LA BASE DE DATOS.
26
(EPN-AP).
La excelente funcionalidad de la (EPN-AP) está en los archivos y la base de datos del sistema de información.
Por lo tanto, se debe tener mucho cuidado para asegurar su exactitud y su seguridad. Los siguientes controles
proporcionaran una eficiente seguridad:
1 - CONTROLES FÍSICOS.
Para soportar los esfuerzos y los desastres (como lo son los incendios) se debe contar con una bóveda de
almacenamiento fuertemente construida para almacenar los archivos y los documentos que se están utilizando.
Además, todos los archivos de respaldo, los programas y otros documentos importantes se deberán almacenar
en lugares seguros fuera de las instalaciones.
Los incendios, inundaciones, robos, empleados inconformes, huelgas y disturbios, representan peligros para
los registros vitales de la (EPN-AP). Los dispositivos para protección de archivos deberán emplearse para
evitar un borrado accidental bajo condiciones de temperatura y humedad.
2 - CONTROLES DE CONCURRENCIA DE LA BASE DE DATOS
Cuando se comparten datos entre usuarios, se deben establecer controles de concurrencia para asegurar la
consistencia en la actualización y lectura de la base de datos. Podría parecer que una solución clara a la
destrucción de datos o a la actualización incorrecta de valores en los procesos concurrentes consiste en impedir
el acceso a la base de datos a un usuario o proceso mientras está siendo accesada por otro usuario.
Un control ampliamente aceptado que ayuda a evitar los problemas de concurrencia y clausura es el bloque
de 2 fases.
3 - CONTROLES DE SALIDA.
Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribución correcta
de la salida, ya sea que se dé en pantalla, en forma impresa o en medios magnéticos. Los siguientes
procedimientos de control se refieren a la salida:
Se debe realizar un filtrado inicial para detectar errores obvios también llamada Auditoría de Base de
Datos.
La salida deberá dirigirse inmediatamente a un área controlada, y esa distribución solamente por
personas autorizadas a personas autorizadas.
Los totales de control de salida deberán reconciliarse con lo totales de control de entrada para asegurar
que ningún dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisión,
en caso de haber irregularidades, es decir, que no cuadren los totales de control, se aplicarán las
sanciones correspondientes, para evitar futuros errores.
Todas las formas vitales deberán estar prenumeradas y tener un responsable.
Cualquier salida altamente delicada que no deba ser vista por el personal de ala (GI) deberá ser
generada por un dispositivo de salida en un lugar seguro alejado de la (GI).
Cuando se vayan a imprimir instrumentos negociables, deben realizarse convenios de custodia dual
entre el departamento de sistemas y el del usuario para asegurar que todos los instrumentos tengan un
responsable y queden salvaguardados adecuadamente.
A pesar de todas las precauciones tomadas, se presentarán algunos errores. El punto de control
principal para la detección de dichos errores es, por supuesto, el usuario. Por lo tanto, el auditor debe
fijar los procedimientos para establecer un canal entre el usuario y el grupo de control para el reporte
sistemático de la ocurrencia de errores o de incongruencias.
Este diseño de sistemas empleará un ciclo de retroalimentación en el que los usuarios reporten todos
los errores al grupo de control (personal asignado a elaborar dicha tarea con Vo.Bo. de la (GI) y Altas
autoridades de la (EPN-AP)), y el grupo de control a su vez, tomará las acciones para corregir
cualquier inexactitud o inconsistencia que pudiera aparecer.
4 - CONTROLES DE DOCUMENTACIÓN.
27
(EPN-AP).
La característica general del control de la documentación es muestra al gerente, auditor, al usuario y a otros
lo que se supone que es el sistema y como debe funcionar. Los controles de documentación cumplen con los
siguientes propósitos:
Mejoran la comunicación.
Proporcionan material de referencia sobre lo que ha sucedido en el pasado.
Es una guía para el mantenimiento, modificación y recuperación de los sistemas.

Sirve como herramienta de capacitación y educación del personal.
Reduce el impacto de la rotación del personal clave.
5 - CONSECUENCIAS DE NO TENER UNA DOCUMENTACIÓN ADECUADA:
Operaciones ineficientes y no coordinadas.

Aumento en esfuerzos redundantes.
Decepción del personal de sistemas y de los usuarios.
La documentación relacionada directamente con el sistema de información basado en computadora consta de
tres tipos:
Documentación general de sistemas = Es una guía y proporciona reglas de operación para los usuarios
cuando interactúan con el sistema.
Documentación de procedimientos = Consta del manual de procedimientos el cual introduce a todo el
personal de operación, de programación y de sistemas al plan maestro del sistema. Este manual se actualiza
mediante el empleo de guías periódicas.
Documentación de programas = La componen todos los documentos, diagramas y esquemas que explican
los aspectos del programa que soporta un diseño de sistemas en particular.
IV.C.2) CONTROLES DEL USUARIO
Referente a: Dependencias Funcionales.

Cada dependencia funcional de la institución tiene sus procedimientos de trabajo los cuales ayudan a organizar
y ejecutar de una manera eficiente cada trabajo, esos procedimientos son conocidos como controles de usuario.
Referente a: Desarrollo de Software.
Los programadores pueden desarrollar sus propios controles conocidos como “controles hechos en casa, que
ayudan a la recursividad y reutilización de código para tareas comunes.
IV.D) PROCESAMIENTOS
Control de Calidad.
Es un modelo planeado y sistemático de todas las acciones necesarias para proporcionar la confianza de que
el artículo o producto se ajusta a los requisitos técnicos establecidos.
La preparación de un plan de Control de Calidad del software para cada proyecto de Software es una de las
principales responsabilidades del grupo de Control de Calidad de Software. Entre los temas que debe tocar el
Plan de Control de Calidad del Software se encuentran:
Propósito y alcances del plan.
Documentos referidos en el plan.
Estructura organizacional, tareas que se realizaran y responsabilidades específicas relacionadas con la
calidad del producto.
Documentos que se deben preparar y revisiones que deben efectuarse para la adecuación de la
documentación.
Estándares, prácticas y convenciones que se utilizarán.
28
(EPN-AP).
Revisiones y auditorias que deben llevarse a cabo.
Un plan de administración de la configuración que identifique a los elementos del producto del
software, controle e implante los cambios y que registre informe los estados modificados.
Prácticas y procedimientos que se deben seguir para informar, rastrear y resolver los problemas del
software.
Herramientas y técnicas especiales que se usarán para apoyar las actividades de control de calidad.
Métodos y facilidades que se emplearán para mantener y almacenar las versiones controladas del
software identificado.
Métodos y facilidades que servirán para proteger los medios físicos de los programas de computadora.
Suministros para garantizar la calidad del software proporcionados por vendedores y desarrollados
por (DDS).
Métodos y facilidades que se usarán para reunir, mantener y conservar los registros del control de
calidad.
Otras tareas desarrolladas por el personal de control de calidad son:
Desarrollo de políticas, prácticas y procedimientos.
Desarrollo de herramientas de pruebas y otros auxiliares para el control de calidad.
Ejecución de las funciones de control de calidad descritas en el plan de control de calidad de
software para cada proyecto.
Ejecución y documentación de las pruebas de aceptación del producto final para cada producto
de software.
Un grupo de control de calidad realizará las siguientes funciones:
Durante el análisis y diseño se preparan un Plan de Verificación del software y un Plan
de prueba de aceptación. El Plan de Verificación consiste en describir los métodos que
se ocuparán para revisar que los documentos de diseño satisfagan los requisitos, y que
el código fuente sea consistente con las especificaciones de requisitos y con la
documentación del diseño. El Plan de aceptación incluye casos de prueba, resultados
esperados y capacidades demostradas por cada caso de prueba.
Se realizaran auditorias en el proceso para verificar que los productos de trabajo sean
consistentes y estén completos.
Se realizará una auditoria funcional y una auditoria física. La funcional reconfirma el
cumplimiento de todos los requisitos. La física verifica que el código fuente y todos
los documentos asociados estén completos, sean consistentes tanto internamente como
unos con otros, y que estén listos para enviarse.
IV.D.1) FORMULARIO PRENUMERADO Y RUTINAS DE CONTROL DE SECUENCIA
A menudo, los archivos de procesamientos de datos se disponen en secuencia ascendente o descendente,

por ejemplo, por número de empleado, por número de cuenta, etc. Las instrucciones del programa
compara el campo de secuencia del registro o transacciones que le anteceden. Mediante esta técnica, se
detectará cualquier registro fuera de secuencia, evitándose que el archivo se procese incorrectamente.
Las razones normales para que se produzca un error de secuencia son :
 Uso de un archivo incorrecto.

 Que no se haya efectuado la clasificación correcta.
 Descomposturas de las máquinas.
 Intercalación indebida.
IV.D.2) TOTALIZACIÓN DE VALORES CRÍTICOS ANTES Y DESPUÉS DEL

PROCESAMIENTO
29
(EPN-AP).
Es posible diseñar varias rutinas de cálculo para validar el resultado de otro cálculo, o el valor de ciertos
campos. Un método de prueba aritmética es el llamado de cifras cruzadas, que significa sumar o restar dos o
más campos e igualar a cero el resultado comparado con el resultado original. Este método de control es
aplicable cuando se lleva por cada cuenta la suma de los cargos, la suma de los abonos y el saldo de adelantos.
Por ejemplo, en la cuenta de efectivo, si la suma de los cargos es de C$ 5000 y la suma de los abonos es de
C$ 4,000, el saldo de efectivo deberá ser de C$ 1,000.
IV.D.3) CONCILIACIÓN DE NÚMEROS DE MOVIMIENTOS

Y MODIFICACIONES DE LOS DATOS
Se realiza por medio de criterios parametrizados tales como tipo, fecha, referencia; estos criterios permiten
conocer el flujo final de los datos pasados ya por procesos
IV.D.4) UTILIZACIÓN CORRECTA DE ARCHIVOS PARA

PROCESAMIENTO
El control del procesamiento garantiza que los datos se están transformando en información, en forma exacta
y confiable. La recopilación de datos representa el subsistema vital de las operaciones generales de un sistema
de información.
IV.D.5) CONTROLES DE RÓTULOS DE ARCHIVOS
Los rótulos contienen informes tales como el nombre de archivo, la fecha de creación, la fecha de
actualización, el período de expiración, etc.
IV.D.6) CONSISTENCIA EN LA RECUPERACIÓN DE LAS TRANSACCIONES LUEGO DE

UNA INTERRUPCIÓN DEL PROCESAMIENTO
Operatibilidad en cuanto al manejo de seguridad y recuperación de errores Se determina si la aplicación

provee una partida, respaldo y recuperación de errores efectiva, lo que es estudiado en la fase de prueba del
sistema. Se verifica si la aplicación minimiza la necesidad de actividades manuales, tales como, montar cintas,
manipulación de papel, intervención directa de un operador, etc.
IV.D.7) VALIDEZ DE LOS DATOS GENERADOS AUTOMÁTICAMENTE
Depende en gran medida del control de procesamiento, si los datos introducidos al sistema están correctos
por consiguiente la salida deberá estar correcta, pero no es todo ya que se tiene que establecer controles de
programación que ayuden a detectar errores en la entrada y los que pueden producirse al procesar los datos,
para evitar eso se hacen comprobaciones de límites y racionalidad, pruebas aritméticas, identificaciones de
datos y comprobaciones de secuencias.
IV.D.8) GENERAR RASTROS O PISTAS DE AUDITORIA
El log de Transacciones se ocupa de registrar todas las operaciones ejecutadas por los usuarios, y los
sistemas de modo tal que los cambios sean rastreables a lo largo del tiempo (quien ejecutó, que ejecutó,
fecha y hora de ejecución).
IV.E) CAMBIOS DE LOS PROGRAMAS
30
(EPN-AP).
Fase de mantenimiento, viene después de la implementación del software, involucra cambios en orden de
corregir defectos y/o deficiencias encontradas durante el uso tanto como la adición de nuevas funcionalidades
para mejorar la usabilidad y aplicabilidad del software; por consiguiente se requiere una nueva Revisión
Técnica Formal (RTF).
IV.E.1) PROCEDIMIENTO DE INICIACIÓN, APROBACIÓN Y DOCUMENTACIÓN DE

LOS CAMBIOS DE LOS PROGRAMAS
Todo cambio se documenta llenando un formato de solicitud de cambios para sistemas, donde de especifica
el sistema al cual se le hará el mantenimiento, funcionalidad que se modificará o adicionará, así como detalles
de la misma funcionalidad; este formato tiene que ser firmado de aprobación por el jefe del área de donde se
solicita el cambio para ser enviado a la GI, el programador evalúa la envergadura de las modificaciones y
procede a solicitar el visto bueno del gerente de GI para llevar a cabo las tareas de modificaciones pasando
nuevamente por la etapa de especificación de requerimientos para esa funcionalidad.
Este formato sirve como aval de los cambios realizados al sistema.
REDISEÑO DEL DESARROLLO DE SOFTWARE
Los procedimientos en un rediseño de un software de aplicación se utilizarán para analizar y describir en

un lenguaje común los procesos que se realizan en la (EPN-AP), será basada en el rediseño mediante el uso
de procedimientos a niveles de las (NS).
Los procedimientos se basan en los conceptos de modelamiento y de orientación del cambio y consiste en un
conjunto de actividades, realizadas en un cierto orden, que conducen a la consecución de un objetivo.
El procedimiento consta de las siguientes actividades:
a) Definir el proyecto:
Esta actividad pretende establecer con precisión cuál es el proceso que debe ser diseñado y los objetivos
específicos que se tienen al enfrentar el rediseño. Aquí, la idea fundamental es la de elegir y priorizar aquellos
procesos que generen una mayor contribución al cumplimiento de los objetivos estratégicos de la (EPN-AP).
Por ello se subdivide en:
i. Establecer objetivo del rediseño, que deriva la visión estratégica que se tiene en mente al realizar el
diseño de procesos y los objetivos específicos asociados a éstos, a partir de la estrategia de negocios
de la (EPN-AP).
ii. Definir el ámbito del proceso a rediseñar, que selecciona los procesos que deben ser diseñados y
asegura que constituyen una unidad lógica que debe ser enfrentada en forma relacionada, delimitando
con esto el trabajo a realizar, para cumplir con los objetivos en (i). Como en (ii) se establecen los
objetivos específicos de los procesos, hay que reiterar, verificando que sus objetivos realmente
satisfagan la visión estratégica de la (EPN-AP) y si no, cambiar el ámbito.
iii. Establecer si hacer estudio de la situación actual.
b) Entender la situación actual aquí se quiere representar la situación actual de los procesos
seleccionados, para efecto de comprensión y comunicación con otras personas que participan en el
proyecto.
Se distingue:
i) Modelar la situación actual, donde se abstraen las características más importantes y relevantes de los
procesos elegidos para el rediseño.
En este caso, la representación formal del diseño se realizará mediante el uso de patrones de negocios.
ii) Validar y Medir, etapa en la cual se realiza una verificación de que los modelos de los procesos
representen fielmente lo que ocurre actualmente.
c) Rediseñar
Aquí se establecen los cambios que deberían efectuarse en la situación actual y se detalla cómo se ejecutarán
los nuevos procesos. Esta actividad se subdivide en:
31
(EPN-AP).
i) Establecer la dirección del cambio, que genera los cambios globales que conviene realizar.
ii) Seleccionar tecnologías abirritantes, que consiste en buscar y evaluar las tecnologías que hacen factible
el diseño definido en (i). Aquí se produce una nueva iteración, ya que no siempre existirá
la tecnología adecuada o se encontrará alguna que provea oportunidades mayores de cambio, lo cual
implicará volver a (i).
iii) Modelar y evaluar el rediseño, que consiste en realizar una representación de los nuevos procesos que
implementarán el cambio establecido en (i) y (ii).
En este caso, la representación formal del diseño, se realizará mediante el uso de patrones de negocios.
iv) Detallar y probar el rediseño, que implica diseñar y especificar en detalle los elementos de los nuevos
procesos. Para los componentes ejecutados por personas, deben confeccionarse procedimientos o libretos
que establezcan con precisión la actuación de ellas.
d)Implementación
Se llevan a la práctica los procesos especificados en el punto anterior. Esto implica lo siguiente:
i) Construir Software de acuerdo a lo especificado, lo cual lleva a adquirir el hardware y software
empaquetado necesario, de acuerdo a la solución propuesta.
ii)Implementar Software, que significa poner en marcha definitiva la solución computacional diseñada,
con todo lo que ello implica en cuanto a instalación de computadores, comunicaciones, software
empaquetado, etc. Esto incluye probar, en terreno, antes de llegar a una operación final, toda la
solución computacional. Esta prueba final puede requerir una vuelta atrás, para corregir problemas
en (i).
iii) Implementar procesos, lo cual conlleva el entrenamiento de los participantes en el proceso, una marcha
blanca para eliminar problemas de último minuto y una verificación de que el conjunto opera de acuerdo a lo
diseñado y produce los resultados esperados.
IV.E.2) INTERVENCIÓN DE LOS USUARIOS
El usuario final debe quedar satisfecho con la automatización del proceso que realizará el sistema informático,
pero para llegar a esta meta tiene que estar en constante comunicación con los programadores ya que él,
además de los manuales de operación de su dependencia funcional, es la principal fuente de información que
alimentará la especificación de requerimientos.
IV.E.3) PROCEDIMIENTO DE CATALOGACIÓN Y MANTENIMIENTO
Descripción del Proceso de Manutención Correctiva

Generación de la Solicitud: El usuario sufre una falla en una aplicación que le impide continuar con sus
funciones normales; si él considera que se trata de un requerimiento correctivo, envía la solicitud
al jefe inmediato de su área, para luego remitirla por escrito a la (GI) para que el responsable del (DDS).
Recepción de la Solicitud: Si la solicitud es recibida por el Gerente de la (GI), éste procede al análisis del
problema, que consiste en determinar qué medidas de corrección va a implementar.
Análisis de Requerimientos: En caso de que se necesiten más antecedentes, el responsable del (DDS) se
contacta con el usuario (por e-mail o teléfono) para solicitar la información necesaria. Una vez que tenga los
datos necesarios (especificaciones extras para obtener una clara definición del problema), Es transferirlo al
(DDS), para darle solución al sistema de aplicación a modificar.
Solución del Requerimiento: Una vez solucionado el problema, el encargado debe hacer pruebas a la
solución propuesta. Se hacen las pruebas y básicamente consisten en hacer funcionar el equipo, evacuar
cualquier duda que se presente en el momento de algún sistema de aplicación donde el (DDS) tomo el
sistema que fue modificado y ejecutarlo. Además, si la solución fue dada por un analista o programador ésta
se somete a una validación por parte del responsable
Recepción de la Solución: Cuando ya se han realizado las pruebas a la solución se da aviso al usuario. En
caso de que el usuario apruebe el proceso y esté satisfecho, éste firmara la ficha del servicio que le prestaren
por los (DDS).
32
(EPN-AP).
IV.E.4) PROCEDIMIENTOS DE PRUEBA
Un plan de prueba para el código fuente especifica:

 Los objetivos de las pruebas.
 Los criterios para la terminación de las pruebas.
 El plan de integración del sistema.
 Los métodos que se usará en módulos particulares.
 Entradas de pruebas particulares y resultados esperados.
 Existen 4 tipos de pruebas que el código fuente debe satisfacer :
Pruebas de función = Prueban el comportamiento exactamente dentro, sobre y más allá de las fronteras
funcionales.
Prueba de desempeño = Se proyectan para verificar el tiempo de respuesta bajo cargas variables,
porcentaje de tiempo empleado en varios segmentos de programas, el rendimiento, la utilización de la
memoria primaria y secundaria, y los tráficos en los canales de datos y los enlaces de comunicación.
Prueba de tensión = Se diseñan para sobrecargar un sistema de varias maneras.
Prueba estructural = Se relacionan con el examen de la lógica interna de procesamiento de un sistema de
software.
IV.E.5) SUPERVISIÓN CERTIFICADA
No Aplica. En la (EPN-AP) por no desarrollar software completamente apegado a los estándares de desarrollo
asociados a la ISO 9001:2000 o ISO 9003, ya que de hace uso de una metodología Extreme Programing.
IV.E.6) PROCEDIMIENTOS DE IMPLANTACIÓN
La implantación es el proceso de verificar e instalar nuevo equipo, entrenar a los usuarios, instalar la
aplicación y construir todos los archivos de datos necesarios para utilizarla.
Los sistemas de información deben mantenerse siempre al día, la implantación es un proceso de constante
evolución.
La evaluación de un sistema se lleva a cabo para identificar puntos débiles y fuertes. La evaluación ocurre a
lo largo de cualquiera de las siguientes dimensiones:
 Evaluación operacional
Valoración de la forma en que funciona el sistema, incluyendo su facilidad de uso, tiempo de respuesta, lo
adecuado de los formatos de información, confiabilidad global y nivel de utilización.
 Impacto organizacional
Identificación y medición de los beneficios para la organización en áreas como finanzas (costos, ingresos y
ganancias), eficiencia operacional e impacto competitivo.
 Opinión de los administradores
Evaluación de las actitudes de directivos y administradores dentro de la organización así como de los
usuarios finales.
 Desempeño del desarrollo
La evaluación del proceso de desarrollo de acuerdo con criterios tales como tiempo y esfuerzo de desarrollo,
concuerdan con presupuestos y estándares, y otros criterios de administración de proyectos.
Cuando la evaluación de sistema se conduce en forma adecuada proporciona mucha información que puede
ayudar a mejorar la efectividad de los esfuerzos cuando la evaluación de sistemas se conduce en forma
adecuada proporciona mucha información que puede ayudar a mejorar la efectividad de los esfuerzos de
desarrollo de aplicaciones subsecuentes.
IV.F) ESTRUCTURA ORGANIZATIVA Y PROCEDIMIENTOS CARACTERISTICAS Y
33
(EPN-AP).
ORGANIZACIÓN ESTRUCTURAL DE LA GERENCIA DE INFORMATICA EN
EMPRESA PORTUARIA NACIONAL (EPN – AP).
El objetivo principal de la Empresa Portuaria Nacional (EPN), aplicar de acuerdo a las (NTCI) de organizar
una (GI) en dicha Entidad es cumplir con las (NS) evitando así la incompatibilidad, minimizar costos de
desarrollo y mantenimiento de aplicaciones y hardware, obteniendo un mejor rendimiento, como una
capacitación fluida al personal de dicha Gerencia como a los usuarios finales.
Esto viene a simplificar las labores y eficiencia entre conectividad de las gerencias, mediante interfases vía
software, con accesos lógicos aplicados a cada Gerencia según sus especialidades.(UNIDAD DE
MEDICIÓN = hypack, INGENIERÍA = autocad, DIBUJO = photoshop, coreldraw, etc, BODEGA = salida
de materiales, kaedek, CONTABILIDAD = contabilidad, caja y activo fijo, etc) realizando la unificación de
las distintas portuarias, utilizando las telecomunicaciones para interconectarlas y poder realizar cualquier
consulta o tramite dentro de sus competencias en tiempo real .
Siempre con visión de futuro en brindar un mejor servicio a nuestros clientes, tanto nacionales como
extranjeros y así cumplir con nuestros niveles de servicio.
Teniendo a la disposición de datos en tiempo real, como garantizar su respectivo resguardo de los mismos,
así mismo garantizándole confidencialidad, protección y respaldo (encriptado) de dichos datos, evitando
incidentes de seguridad.
GESTIÓN Y ADMINISTRACIÓN DE LA GERENCIA DE INFORMÁTICA
Las funciones de gestión y administración de la Gerencia de Informática, en la (EPN-AP), se engloba en

operaciones de supervisión, planificación contra seguridad de proyectos, control de proyectos, seguridad
general de las instalaciones y equipos, gestión financiera y gestión de salvaguardar los
equipos de computo que estén bajo su plena responsabilidad, como adquiriendo seguros contra “ x “ catástrofe
que tengan ya sea Naturales y/o fortuitas , pudiéndose así recuperar algo de inversión
inicial. Previendo dichas acciones, la (GI) elaborara un plan de contingencia en coordinación con su equipo
de trabajo y las Gerencias competentes al tema.
UBICACIÓN DE LA GERENCIA DE INFORMÁTICA
La ubicación física e instalación de la (GI), en nuestra empresa depende de muchos factores, entre los que
podemos citar: el tamaño de la empresa, el servicio que se pretende obtener, las disponibilidades de espacio
físico existente o proyectado, etc. Generalmente, la instalación física de dicha Gerencia, exige tener en cuenta
los siguientes puntos:
 Disponer de un local con suficiente espacio, para poder realizar los trabajos que le corresponden
a dicha Gerencia, con su respectiva separación por medio de cubículos espaciados.
 Un acceso bien amplio para los equipos, el personal e instalaciones del cableado estructurado,
como el de suministro eléctrico.
 Acondicionamiento térmico y elementos de seguridad disponibles, ya que los equipos cuyas
funciones como: servidores y de Apoyo a la (GI), ya que los mismos requieren una temperatura
de 20o C.+ / - para un rendimiento optimo, brindaran un trabajo más confiable y eficiente.
 Espacio y movilidad: Altura, anchura, posición de las columnas, posibilidades de movilidad de
los equipos, ya que el personal del (DST), tiene que disponer de mucho espacio para poder realizar
un correcto mantenimiento a los equipos de cómputo.
 Iluminación: El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas,
falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos.
SEGURIDAD FÍSICA DEL LOCA
Se estudiará el sistema contra incendios, teniendo en cuenta que los materiales sean incombustibles (pintura
de las paredes, suelo, techo, mesas, estanterías, etc.). También se tomara en cuenta otros peligros físicos que
34
(EPN-AP).
puedan afectar a la instalación. Y suficientes medidas de seguridad en la entradas de acceso, ya que en dicha
gerencia se resguardara las bases de datos y archivos confidenciales del todas las gerencias que forman
nuestra empresa.
SUMINISTRO ELÉCTRICO
El suministro eléctrico en la (GI), y en particular la alimentación de los equipos, debe hacerse con unas
condiciones especiales, como la utilización de una línea independiente del resto de la instalación para evitar
interferencias, con elementos de protección, polos tierras y seguridad específicas y en muchos casos con
sistemas de alimentación ininterrumpida (instalación de baterías).
PERSONAL DE LA GERENCIA DE INFORMÁTICA
Si resulta difícil tratar de definir la organización de una (GI), tratar de definir cada uno de los puestos de
trabajo resulta aún más complicado debido a la gran variedad que se puede presentar de los mismos. Sin
embargo, es vital para el buen funcionamiento de una (GI), como norma de seguridad, el definir lo más
claramente posible las características de cada puesto de trabajo, indicando cuáles son las funciones, tareas
técnicas a realizar, tareas administrativas, las dependencias y puestos dependientes, así como los contactos
fuera y dentro del centro, y los puestos de promoción, para tratar de conseguir reducir al mínimo los problemas
de personal que repercutirían muy desfavorablemente en la seguridad y buen funcionamiento de la (GI).
Es el motivo principal de que dichos cargos son considerados como Cargos de Confianza en la Mayoría de
las Empresas, Ya sean Privadas o Estatales.
SOPORTE TÉCNICO, DESARROLLO Y ANÁLISIS DE PROYECTOS INFORMÁTICOS
El soporte técnico que se realiza en (EPN-AP), tanto para los usuarios como para el propio sistema, con la
competencia que rigen las (NS) y las (NTCI), la (GI) se ocupa de seleccionar, instalar y mantener el sistema
operativo adecuado, del diseño y control de la estructura de la base de datos, el estudio y evaluación de las
necesidades y rendimientos del sistema y, por último, verificar si se están llevando la medidas extremas de
seguridad para no tener incidentes de seguridad ya sean internos o externos.
Un sistema informático, es el conjunto de elementos necesarios para la realización de aplicaciones. Se trata
del conjunto de programas, junto con el equipo físico, que operan sobre unos datos de entrada para producir
unos de salida para que el usuario final llegue a tener un acceso lógico.
Con las (NTCI), el desarrollo de un sistema informático se compone de estudio y análisis del sistema actual
y el que se pretende crear, el diseño de todos sus detalles y elementos, el diseño y la programación de todos
sus algoritmos, las pruebas de buen funcionamiento de los mismos, la
implantación del sistema en la computadora donde va a realizar su trabajo y, por último, la evaluación del
sistema y su mantenimiento.
En la (EPN-AP), la (GI) consiste en la utilización y aprovechamiento del sistema desarrollado. Consta de
previsión de fechas de realización de trabajos, operación general del sistema, control y manejo de soportes,
seguridad del sistema, supervisión de trabajos, etc. La explotación u operación de un sistema informático o
aplicación informática, que conlleven a la (GI) a simplificar el trabajo y ampliar la eficiencia, para un resultado
de excelente servicio brindado a nuestros clientes por ser este el lineamiento de la (EPN-AP) .
IV.F.1) MANUALES DE OPERACIÓN Y CONTROLES OPERATIVOS DIARIOS
La (GI) tiene la responsabilidad e efectuar los procedimientos informáticos y dejar antecedentes de su

cumplimiento según las (NS), delegando la responsabilidad al (DST – DDS) para futuras auditorias de
informática en sistemas a realizársele.
35
(EPN-AP).
Anexamos estos manuales de operación y controles diarios de la (GI) en (anexos # 1- 2)
IV.F.2) SUPERVISIÓN DE USUARIOS PRIVILEGIADOS
Esta se realiza en la (GI) por medio de sus (DST – DDS) Los cuales tienen acceso especial a ciertos programas
y datos instalados en los servidores.
Luego tenemos a los usuarios de bajo rango en la nomenclatura de la (EPN-AP), que se les dificulta el
manejo de las aplicaciones de los sistemas y hay que brindarles el suficiente apoyo cunado lo soliciten, el
acceso lógico es limitado se acuerdo a sus obligaciones. El acceso de estos es vía red, sea
solo de lectura o escritura según el permiso que necesitan. Si acaso un usuario quiere navegar por la red y
trata de entrar a la carpeta sin autorización se le negara el servicio o se le pedirá un password. Asignado con
las medidas de seguridad alta.
IV.F.3) CONTROL SOBRE SOFTWARE SENSITIVO
En la (GI) se realizan todo los proceso de control a los sistemas de aplicación considerados sensitivos al
momento de manejar información susceptible para el funcionamiento de la (EPN-AP) dentro de
esos sistemas sensitivo tenemos los sistemas contables, sistema de administrar las bases de datos y sistema
de correo, etc.
IV.F.4) CONTROLES SOBRE EL DESARROLLO DE SISTEMAS
La (GI) en coordinación con las (AP) de los distintos Puertos tiene como función de garantizar que los
sistemas de computo realicen sus función de acuerdo a las (NS), reglamentos y procedimientos que el
competen a dicha Gerencia, para acoplarse a las (NTCI) donde tienen que regirse a muchos procesos de
servicio a las naves y a la carga desde su anuncio de llagada del buque y/o recepción de las mercaderías hasta
el fondeo final del mismo o entrega de la mercadería, incluyendo el análisis de las operaciones.
Para llevarse este sinnúmero de tareas tienen que regirse a muchos parámetros con una secuencia de
regulaciones, estando estas relacionadas o vinculadas a los software de aplicaciones desarrollados por el (GI)
de (EPN - AP). Ejecutándose interfaces a mediada que avanza el proceso, esto con el único fin de concentrar
recursos. Sin incluir los sistemas que utiliza las administraciones financieras, estas llegan a un numero de 27
tipos de operaciones con el mismo propósito de que el cliente obtenga su mercadería en el menor tiempo y la
misma calidad de cómo la obtuvo.
Generalidades:
Capaz de realizar una gestión eficiente y efectiva de la considerable variedad de recursos que representan
las tecnologías de información dentro de la (AP).
Consciente de las relaciones y el impacto de las tecnologías de información dentro de las estructuras y
estrategias de la (EPN – AP).
Actualizado y capacitado en el uso e implementación de las herramientas y tecnologías relacionadas con
la informática en general.
Garantizar el buen funcionamiento de los sistemas de aplicación ejecutándose por las distintas
direcciones en la (AP).
Garantizar todas las medidas de seguridad del flujo de los datos, accesos lógicos de la documentación,
como de las bases de datos.
Regirse a los procedimientos estandarizados del Manejo de carga y descarga de Mercadería en transito,
en el desarrollo de nuevas aplicaciones para la simplificación de labores en Nuestra Empresa. Para un
aumento cuantitativo y cualitativo de su eficiencia.
Actividades de la (AP):
36
(EPN-AP).
Se detallaran los procedimientos en la (AP) desde el punto de vista de la (GI), relacionándolos según el sistema
de aplicación y los flujos de interfase que se realiza de acuerdo al transito de la mercadería.
Son muchos los procedimientos que toma o afectan a la mercadería en transito en las portuarias, teniendo una
excelente relación y coordinación con la (GI) apoyada por los sistemas de aplicación elaborado por los (DDS),
todo los flujos e interfases lógicos de dichos sistemas logran prestar un excelente servicio a los solicitante de
los mismos.
Para el éxito del cumplimiento de las decisiones tomadas, desde el mismo momento que es solicitado dicho
servicio por alguna agencia naviera, aduanera o en consignación se llevan a cabo varias operaciones regida
por las (NS) y leyes aprobadas para tal fin, le son aplicadas a la mercadería en transito antes de que el barco
atraque a nuestros puertos.
Comenzando por la preparación del arribo del buque, acá es donde comienza a tomar forma el engranaje de
apoyo que forman los software de aplicación (Pro-forma, Muellaje, Facturación, Caja, Orden de Trabajo), en
este paso en proceso de mercadería en transito comienzan a ingresar datos desde que arriba el buque a la
estación piloto o antes de las 72 horas de su cabotaje.
La agencia naviera es quien a primer instancia solicita los costos por servicios a requerir (proforma por
servicio) brindando toda la información necesaria para obtener los cálculos que conlleva toda la operación de
la mercadería en transito.
El Conjunto de los Sistemas es conocido como Sistema de Gestión Portuaria el cual esta formado por los
siguientes Procesos:
AGEN. NAV.
LA SOLICITUD FACTURAR
AGENCIAS DOCUMENTO AGEN. ADU
ATENCION AL SEVICIOS
NAVIERAS DEL BUQUE
BUQUE
CONSIGNAT
SOLICITUD
AGENCIAS DESPACHO TRANSPOR
PREFORMAR
NAVIERAS PLANIFICAR TT
SEVICIOS
ADUANERA OPERACION
CONSIGNAT TRANSPORT
ACTA
PLANIFICAC
RECIBIR EMPRESA
DEPOSITOS ESTIBA
DEPOSITO
TALLY
INFORME
ORDEN PRESTAR CK
OPERATIVO
TRABAJO SEVICIOS
INFORME
SERV/PREST
CONSULTA SERVICIO
ELECTRONICA WEB
INTRANET
En estos procesos que tiene la mercadería en transito en las (AP) se involucran muchos sistemas de aplicación
elaborados por el (DDS) el cual se detallan a continuación varios de ellos, el cual se detallaran los manuales
en los anexos
Sistema de Proformar Servicios.
37
(EPN-AP).
El Agente Naviero solicita los servicios de atención al Buque para el descargue de mercadería a la (AP), para
estimar los valores de los servicios solicitados.
Con los datos suministrados por la Agencia Naviera como la solicitud de atención al buque y se comienza
a Digitar la Proforma y con los documentos del buque (donde se reflejan las características del buque) se
elabora el manifiesto de carga (características de la carga) para ingresar al muellaje, es con el fin de estimar
costos de Cargue / Descargue y pasa a Digitar la Proforma (completamiento de datos).
Se remite documento a la dirección de Operaciones donde se ingresan los datos al Sistema de Control del
Buque.
En resumen de todo este procedimiento de elaboración de Proforma en la digitalización de los datos al
SISTEMA DE PROFORMA es el siguiente:
CLIENTE: La Agencia Naviera que solicita el servicio.
BUQUE: Nombre del buque.
MONEDA: Pueda ser en dólares o córdobas según el tipo de servicio que solicito el Agente Naviero.
Términos: (se ingresa el dato según el tipo de servicio que este solicitado ya pueda ser FIO, que es cuando la
agencia naviera se encarga de los servicios solo del buque y el agente aduanero o el consignatario se encarga
del os servicios de la carga y su cancelación pueda ser en dólares o córdobas, pero los datos a digitar serán
en córdobas. LINER, es cuando la agencia naviera se encarga de los servicios a buque como el servicio a la
carga y su cancelación es solo en dólares.
Por su cuenta la usuaria del sistema de control de buque, lleva en forma manual, para luego digitarla en Excel
lleva tres formatos donde lleva el control de: consolidado de buques, movimientos de buques y tráfico de
buques.
IGV: Impuesto General al Valor. (Impuesto autorizado por las leyes de la Republica).
COCATRAN: Comisión Centroamericana de Transporte Marítimo (Organismo que se encarga de llevar las
estadísticas de los servicios y los tipos de cargamentos que se exportan e importan en los distintos puertos del
país).
DESCRIPCION: Es el tipo de servicio que se solicitud, que va dependiendo del tipo de carga que trae el
buque.
COMENTARIOS: Alguna observación que tenga la usuaria del sistema que va relacionado con el tipo de
trabajo que la agencia naviera solicita.
Ya digitado los datos administrado por la Agencia Naviera se graban, luego se pasa a digitar los detalles
generalizados de los servicios que la (AP) va a brindarle al buque.
Donde se reflejan los datos sobre la descripción del servicio, TEU (unidad de medida equivalente a un
contenedor equivalente a 20 pies), tarifas y totales. Este proceso es con fines de facturación.
Se graban estos detalles y se pasa a la ventana de TARIFAS (son mas detallados los servicios prestado al
buque). Esta proceso esta integrado por la siguiente información:
En dicha ventana nos encontramos con 8 opciones de los distintos servicios que presta la (AP) siendo los
siguientes:
SN= Servicios al buque, MC= Manipulación de los Contenedores, DC= Demoraje de los Contenedores,
ME= Muellaje de Exportación, MI= Muellaje de Importación, CD= Canon de arrendamiento, SE= Servicios
Especiales.
Donde en cada opción se ingresa la informaron del servicio que le estén prestando al buque.
Este sistema realiza una interfase lógica con el Sistema de Caja donde el agente Naviero cancela el total de la
Proforma, luego el Sistema de Muellaje, anexa los servicios de los insolicitados y lo transfiere al Sistema de
Facturación a su vez los transfiere al Sistema de Cartera y Cobro donde el Agente Naviero tiene que cancelar
el Total excedido en los servicios solicitados en la atención del Buque y cancelarlo en el Sistema de Caja,
para que le sea remitida la factura total de su cancelación y no incurrir en atrasos al cliente.
Sistema de Recibir Deposito (Caja)

En este proceso se recibe la cancelación del valor emitido en el documento Proforma a la agencia naviera,
depositando en caja, al mismo instante hace interfase lógica con el Sistema de Contabilidad, en las cuantas
por pagar de los clientes y cuentas por cobrara de los clientes.
38
(EPN-AP).
al final emite un recibo de caja que es con el cual se elabora la Orden de Trabajo a realizar al buque. Pasando
a su debida autorización y planificación. No omitiendo que el usuario del sistema al mismo tiempo elabora
cheques, depósitos, notas de debito y/o crédito y el informe diario de caja, por cada proceso hay una ventana
que podrá apreciar en los anexos de este manual.
Sistema Orden de Trabajo

Se procede a digitar la documentación de los servicios solicitados por el agente Naviero en la atención al
buque.
El usuario del Sistema Orden de Trabajo digita la documentación emitida por el Sistema de Caja, el cual fue
elaborado en el Sistema de Proforma.
Se digitan los siguientes datos:
El año que se esta cursando.
El No. que se le asigno a la Proforma.
Referencia que identifica a la Proforma.
La fecha en que fu emitida la Proforma.

Cliente es el código que se le asigna al cliente automáticamente desde que se inicia en Pro forma.
Nombre del Cliente que esta solicitando los servicios.
Tipo de Servicios es donde se clasifica los tipos de servicios que se le prestan al buque.
Sistema de aplicación (CONTROL DE BUQUE): Planificar Operaciones.
Su función comienza desde que el agente naviero pasa las características técnicas del buque que esta por
arribar a Puerto, esta información la recibe por escrito. Tiene como objetivo de crear buque, archivar la lista
de buques que ya zarparon o están por atracar.
Los datos que el usuario del sistema Control de Buque ingresa al sistema son los datos técnicos del usuario
que le facilito la naviera, entre ellos tenemos en orden de ingreso.
Nombre del buque ( es el nombre del buque que le facilito en documentación la agencia naviera.
Tipo: (es donde se especifica el tipo de buque que esta ingresando al puerto, esto con el objetivo de ver que
tipo de aparejos se va a utilizar en el descargue de la mercadería).
ETA: (Estimado tiempo de arribo) esta información es obtenida del documento que le brindo la agencia
naviera)
Agente naviero: (acá se ingresa el nombre de la agencia naviera que esta tramitando el servicio de descargue
de la mercadería del buque).
Estiba: ( se ingresa el tipo de servicios de la empresa de estiba que amerite el tipo de carga, excepto la carga
liquida ( combustibles ) que el dueño de la carga pone a sus trabajadores ), cargamento militar, turísticos y
barcos científicos.
Eslora: (se ingresa el tamaño del buque en metros, aunque la agencia naviera lo pase en metros y/o pies ya
que el muelle esta medido en pies.
Términos: (se ingresa el dato según el tipo de servicio que este solicitado ya pueda ser FIO, que es cuando la
agencia naviera se encarga de los servicios solo del buque y el agente aduanero o el consignatario se encarga
del os servicios de la carga y su cancelación pueda ser en dólares o córdobas, pero los datos a digitar serán
en córdobas. LINER, es cuando la agencia naviera se encarga de los servicios a buque como el servicio a la
carga y su cancelación es solo en dólares.
Por su cuenta la usuaria del sistema de control de buque, lleva en forma manual, para luego digitarla en Excel
lleva tres formatos donde lleva el control de: consolidado de buques, movimientos de buques y tráfico de
buques.
En el consolidado de buques lleva el control
Nombre del Buque: especifica el nombre del Buque.

No: Numero del buque
39
(EPN-AP).
PTO. ATC: Numero del atracadero o muelle donde se atendió el buque.
TIPO BUQ: Tipo del Buque.
LOA MTS: Eslora del buque expresada en metros.
TRB TONS: Tonelaje de registro bruto.
TRN TONS: Tonelaje de registro neto.
D.W.TONS: Peso muerto en toneladas.
MANGA MTS: medida de la parte más ancha del barco.
CAL MAX: Calado Máximo.
CALADOS
ENT: Calado a la entrada en mts.
SAL: Calado en las salida en mts.
TONELAJE
IMP: Tonelaje real de importación.
EXP: Tonelaje real de exportación.
PRODUCTO MANEJADO: Descripción del producto.
FONDEO
DATE: Fecha de fondeo (día y mes).
HRS: Hora de fondeo en formato marino (HH:MM, ej 15:00 y no 3:00 pm)
ATRAQUE
DATE: Fecha de atraque (día y mes).
HRS: Hora de atraque en formato marino (HH:MM, ej 15:00 y no 3:00 pm)
INICIO OP
DATE: Fecha de inicio de la operación. (Día y mes).
HRS: Hora de inicio en formato marino (HH:MM, ej 15:00 y no 3:00 pm)
FINAL OP
DATE: Fecha de finalización (día y mes).
HRS: Hora de finalización en formato marino (HH:MM, ej 15:00 y no 3:00 pm).
ZARPE
DATE: Fecha de zarpe (día y mes).
HRS: Hora de zarpe en formato marino (HH:MM, ej 15:00 y no 3:00 pm)
TIEMPO PUERTO: Consiste en el tiempo transcurrido desde que el buque fondeo hasta el zarpe del mismo.
En el reporte de movimiento de buques tiene el siguiente control:
No.: Numero consecutivo o Ítem.

NOMBRE DEL BUQUE: Nombre del buque.
LINEA NAVIERA: Nombre de la línea naviera.
BANDERA: Nacionalidad del buque.
ORIGEN: Ultimo Puerto Visitado por el buque.
DESTINO: Próximo puerto a ser visitado por el buque.
TONELAJE
40
(EPN-AP).
IMPORT: Es el tonelaje real de la importación. Puede diferir del tonelaje manifestado sea por exceso o por
falta de abordo.
EXPORT: Es el tonelaje real de la importación. Puede diferir del tonelaje manifestado sea por exceso o por
falta de abordo.
PRODUCTO
IMPORT: descripción del producto importado.
EXPORT: descripción del producto exportado.
AGENCIA NAVIERA: Nombre de la agencia naviera.

EMPRESA ESTIBA: Nombre de la empresa o empresas de estiba que manejaron la carga
Sistema de Muellaje
En este sistema se digitan los datos de las características del Buque y sus respectivos Bill of Lading (BL), la
ventana para digitar los datos esta dividida de la siguiente manera:
Encabezado del documento
Número (Nº): Es el que se le asigna al buque a su arribo al puerto. Este número está formado por el año y
número consecutivo, para una mejor diferenciación.
Nombre: Es el nombre del buque.
Fecha: Es la fecha de arribo al puerto del buque.
Agencia: Es el código que representa la agencia que atenderá el buque.
Bodega: Es la bodega o tipo de movimiento que tendrá la carga del buque.
Línea: Es el código que representa la línea naviera que atiende al buque
Nacionalidad: Es la nacionalidad del buque
Bultos: Es la cantidad total de bultos que trae el buque.
Unidad de Medida: Es la unidad de medida de los bultos.
Total Métricas: Es la cantidad total de toneladas métricas manifestadas por el buque
Total Cúbicas: Es la cantidad total de toneladas cúbicas manifestadas por el buque
Mes Proceso: Es el mes de la fecha de arribo, sin embargo, hay situaciones en que el buque se considera de
un mes posterior de cierre y acá se puede indicar.
Año Proceso: Es el año de la fecha de arribo, sin embargo, hay situaciones en que el buque se considera de
un mes posterior de cierre y acá se puede indicar.
Nota Un solo buque puede traer carga de importación, así como, llevar carga de exportación. Por lo que se
graba un registro diferente por cada tipo de carga. Uno para importación y otro para exportación.
Detalle del documento: El detalle de los documentos que se graba está dividido en importación (M) y
exportación (N).
Nº BL: Es el número del documento (BL) que se grabará.
Marcas: Es una referencia que se escribe para identificar el registro de la carga. Por lo general, se describe la
naturaleza de la carga o se graba el consignatario de dicha carga.
Referencia: Es el número interno asignado como control por la bodega del puerto para una mejor
identificación del documento. Es único dentro del buque, sin embargo, existen ocasiones donde es necesario
hacer uso de la Referencia Auxiliar.
Referencia Auxiliar: Es una letra o inciso asignado por Facturación al momento de codificar un BL debido a
que en ocasiones la carga que está manifestada en un solo documento es retirada por diferentes clientes y es
necesario dividir el documento para los cobros pertinentes.
Bultos: Es la cantidad de bultos que se manifiesta en un BL.
Unidad Bultos: Es la unidad de medida de estos bultos.
Procedencia: Es el código del puerto de procedencia del buque (Importación).
41
(EPN-AP).
Destino: Es el código del puerto de destino del buque (Exportación).
Grupo: Determina la naturaleza de la carga Importación (M) o Exportación (N).
Tipo: Es el código que determina el tipo de manejo que será aplicado a la carga.
Producto: Es el código del producto que maneja el buque.
Embarcador: Es el código del embarcador que está manejando la carga.
Métricas: Es la cantidad de toneladas métricas que tiene la carga.
Cúbicas: Es la cantidad de toneladas cúbicas que tiene la carga.
Agente: Es el código del agente que atenderá la carga.
Embalaje: Es el código que representa el tipo de embalaje que tiene la carga.
Es Adicional: Determina si la carga viene como manifiesto adicional.
En Tránsito: Determina si la carga es en tránsito.
Falta de Abordo: Determina si la carga es falta de abordo.
Acá se elabora si lo amerita la factura de lo insolicitado, que son los servicios extras que le fueron brindados
al Buque. Para que Facturación corrija el valor emitido por Proforma.
Sistema de Montacarga
El Usuario del sistema de montacargas tiene que digitar todas las actividades de los operaciones, con el fin
de obtener cálculos de las actividades diarias como horas extra, prestaciones y horas /hombres. Es casi similar
a las funciones que se desarrollan en el sistema de costos para taller.
Sistema de Costo para Taller

El Usuario del Sistema de Costos Para Taller Tiene la Responsabilidad de digitar todo los Costos para Talleres
donde facilita el control de las actividades de cada uno de los empleados, lleva el control de actividades de
los empleados por equipo, por oficina, centro de costo, por dirección, etc.
Con esta herramienta de trabajo se facilita la elaboración de los controles de trabajos de cada uno de los
empleados así como las reparaciones realizadas en los diferentes equipos.
El sistema tiene internas lógica con el sistema de contabilidad e costo.
IV.F.5) POLÍTICAS Y PLANES DE CONTINGENCIA
Con los nuevos acontecimientos climatológicos y en el incremento de la delincuencia informática, no estamos

exentos de caer bajo esas circunstancias, nos vemos con el compromiso de elaborar estas medidas correctivas
aplicando una serie de protocolos con un grado y/o niveles de privilegios de la siguiente manera:
¿POR QUÉ SE NECESITA UN PLAN DE CONTINGENCIA?
A medida que la (EPN-AP) se ha vuelto cada vez más dependientes de las computadoras y las redes para
manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la
mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requisen incluso un nivel continuo
de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos.
Lo más grave es que se puede perder la credibilidad del público o los clientes y como consecuencia, la (EPN)
puede terminar en un fracaso total.
Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo
predeterminado debe ser un elemento crucial en un plan estratégico de seguridad para una organización.
¿QUÉ ES UN DESASTRE?
Se puede considerar como un desastre la interrupción prolongada de los recursos informáticos y de

comunicación de la (EPN-AP), que no pueda remediarse dentro de un periodo predeterminado aceptable y
que necesita el uso de un sitio o equipo alterno para su recuperación.
42
(EPN-AP).
ACTIVAR EL PLAN DE CONTINGENCIA
La reanudación de las actividades ante una calamidad puede ser una de las situaciones más difíciles con las
que la (EPN-AP) deberá de enfrentarse. La preparación es la clave del éxito para enfrentar los problemas.
No existe ninguna manera costeable para protegerse completamente contra todo tipo de riesgos,
particularmente amenazas naturales a gran escala que pueden arrasar zonas extensas. Como
consecuencia, siempre se tiene que tolerar algún riesgo residual. La decisión sobre el alcance del desastre para
el que habrá de prepararse debe tomarse en los más altos niveles de la (EPN-AP).
Asimismo, la (EPN-AP) cuenta con varias Filiales en todo el país el cual le servirán de apoyo, ya que deben
de tener una estrategia de recuperación que funcione en caso de que la (EPN-AP) central o alguna Filial sea
destruida o dañada.
Un plan de contingencia es el proceso de determinar qué hacer si una catástrofe se abate sobre la (EPN-AP)
y es necesario recuperar la red y los sistemas.
El plan de contingencia es saber por dónde empezar por ende tenemos que anticiparnos a los hechos con una
buena planificación, diseño e implementación, para obtener una excelente recuperación.
METODOLOGÍA PARA EL PLAN DE CONTINGENCIA
El diseñar e implementar un plan de contingencia para obtener una buena solución comprende las siguientes
actividades:
Debe ser diseñada y elaborada de acuerdo con las necesidades de la (EPN-AP).
Implicará un compromiso entre costo, velocidad de recuperación, medida de la recuperación y alcance de los
desastres cubiertos.
Como el diseño que obtengamos de los acuerdos entre las distintas Gerencia, un método estructurado ayuda
a asegurar de que se toman en cuenta todos estos factores y de que se les trata adecuadamente.
El costo real de los equipos y el software es fácil de calcular, y depende de si se dispone de un buen inventario
de todos los componentes de la red necesarios.
ASIGNACIÓN DE PRIORIDADES EN LAS APLICACIONES
Después de que acontezca un desastre y se inicie la recuperación de los sistemas, debe conocerse qué
aplicaciones recuperar en primer lugar. No hay que perder el tiempo restaurando los datos y sistemas
equivocados cuando la actividad empresarial necesita primero sus aplicaciones esenciales.
Esto implica la necesidad de determinar por anticipado cuáles son las aplicaciones fundamentales de la (EPN-
AP) central y sus Filiales. Siendo este el objetivo de aplicar un sistema de inventario con sus niveles de
prioridad.
Para evitar atrasos en un momento de desastre. Esto se llegaría en consensos en reuniones previas a niveles
Gerenciales. Las áreas encargadas de coordinar las contingencias son:
(GA)
(GI)
(DST): Encargado de solucionar todo lo relacionado con redes, sistemas, servidores, hardware,
software, cableados de red, etc.
(DDS): Encargado de desarrollar e instalar cualquier software de aplicación que solucione en el
instante del desastre.
Encargado de Seguridad: Su función es custodiar las instalaciones del edificio.
Una vez que el desastre sucediera y la situación llegue a su normalidad y comencemos a normalizar toda la
situación operativa aplicada en un plan de contingencia, donde sabremos lo que vamos a restaurar, tendremos
que disponer de todo lo necesario posible, para la disponibilidad de dichas Gerencias. Un conjunto de sistema
aplicados en una red está compuesta por los sistemas en los servidores, donde las Gerencias almacenan sus
datos, los sistemas a nivel de estaciones de trabajo (usuarios finales) que los procesan, las impresoras o el
control de empleados para la entrada/salida, la
43
(EPN-AP).
red que interconecta todo, y el software de las aplicaciones. El tamaño de la red siempre podrá incrementarse
una vez el sistema esté en funcionamiento.
En esta etapa en la ejecución del plan de contingencia, es preciso conocer cómo funciona el sistema de copias
de seguridad (el tipo de backup que se lleva acabo en la (EPN-AP), ya pueda ser, el integrado en los sistemas
o un sistema especifico para tal fin), para realizar este tipo de recuperación selectiva. Aunque esto no supone
necesariamente una dificultad, no obstante esta operación debería ser familiar.
LAS COPIAS DE SEGURIDAD SE REALIZARÁN DE LA SIGUIENTE MANERA:
Al final de cada día la información, es decir la base de datos de la (EPN-AP) Central y sus Filiales, es realizar
una copia en un disco CD-ROM. Esto permite salvar la información, en caso de ruptura parcial o total, de uno
o ambos servidores, o de la propia base de datos. Además, existe una copia mensual, desde ese CD-ROM,
para archivar definitivamente. Esta copia, que se realiza en forma mensual, se debe de duplicar, para que de
esta manera, se pueda archivar una dentro de la (EPN-AP) y otra en una de sus (AP) o viceversa. De este
modo la (EPN-AP) se asegura de que en caso de robo o desastre dentro de las edificaciones, se cuente con
otra copia de dicha información.
La clave de esta fase del proceso en la elaboración del plan de migración es definir un periodo de tiempo
aceptable y viable para lograr que la red esté de nuevo activa.
Es muy importante concederse una cantidad de tiempo adecuada y no realizar estimaciones poco realistas
sobre las propias posibilidades. No es el deseo de nadie tener a un montón de gente alrededor esperando la
finalización de las operaciones de recuperación; una distracción de este tipo probablemente perturbe las
labores.
Para lograr tener estimados es saludable realizar ejercicios trimestrales sobre posibles desastres ya sean
naturales o mal intencionado y así manejar a nivel de la (GI) estimados reales del tiempo en que el
funcionamiento de los sistemas quede casi en su normalidad.
COMO SIMPLIFICAR EL TRABAJO DE NORMALIZACION EN LA (EPN-AP)
Esto se llevara acabo cumpliendo ciertas medidas o normas para su debida ejecución siendo la más importante
Los diagramas de red que simplifican en gran medida la labor de construir una red. Ya que sin ellas no
podríamos interconectar a todos los equipos de cómputos.
Un diagrama detallado de la red, seria necesario para las primeras aplicaciones, esto facilitaría y agilizaría la
reanudación de las actividades.
La asignación de etiquetas a los cables en una bitácora y su almacenamiento en un lugar reservado,
probablemente nos ahorrara mucho tiempo y evitará muchas confusiones con posterioridad.
VERIFICACIÓN E IMPLEMENTACIÓN DEL PLAN
Una vez estructurado el plan de contingencia con la colaboración de las Gerencias involucradas.
Redactar el plan de contingencia, luego hay que ejecutarlo y hay que estar seguro de que el plan de
contingencia va a funcionar.
Para ello, se debe ser escéptico sobre el propio trabajo, de manera que pueda uno probarse a sí mismo que
funciona.
Si existen errores en la información, tómese nota de ellos y corríjase el plan de contingencia.
Ya probado, llevado acabo su ejecución y comprobado su buen funcionamiento, pasara a firmarse para
oficializar su debido cumplimiento en cualquier desastre.
IV.F.6) PROCEDIMIENTOS Y LINEAMIENTOS DE SEGURIDAD
44
(EPN-AP).
Para llevar acabo las (NTCI) en la (GI), tendremos que involucrar a las diferentes Gerencia de la (EPN-AP),
para que tomen conciencia de la importancia de cumplir varios procedimientos bajo las (NS), detallándolas
de las siguientes maneras:
EXPOSICIÓN DE MOTIVOS
Ante el esquema de globalización que las tecnologías de la información han originado principalmente por el
uso masivo y universal de la Internet y sus tecnologías, las instituciones se ven inmersas en ambientes
agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informáticos universales
conocidos como: Hackers, Crakers, etc., es decir en transgresores.
En nuestro país no existe una sola institución que no se haya visto sujeta a los ataques en sus instalaciones,
tanto desde el interior como del exterior, basta decir que cuando nos encontramos ubicados en el centro
estamos sujetos a ataques. Es acá donde entra a funcionar la (GI), activando todas las medidas de seguridad,
involucrándose en llenos el personal del (DST) y están pendientes de éste, tratando de contrarrestar y anular
estas amenazas reales.
El objetivo principal de la (GI) es brindar a los usuarios los recursos informáticos con la cantidad y calidad
que demandan, los usuarios finales, esto es, que tengamos continuidad en el servicio los 365 días del año
confiable. Así, la cantidad de recursos de cómputo y de telecomunicaciones con que cuenta la (EPN-AP) son
de consideración y se requiere que se protejan para garantizar su buen funcionamiento.
La seguridad de las instituciones tanto del gobierno como privadas, se ha convertido en cuestión de seguridad
nacional, por ello contar con un documento de políticas de seguridad es imprescindible, y debe de plasmar
mecanismos confiables que con base a los requerimientos solicitados por las (NTCI) con el fin de proteger
los activos de la (EPN-AP).
Así pues, ante este panorama surge el siguiente proyecto de políticas rectoras que harán que la (GI) pueda
disponer de los ejes de proyección que en materia de seguridad la (EPN-AP) requiere.
POLÍTICAS DE SEGURIDAD
La (GI) esta implementado políticas standarizadas y Existen varias consideraciones sobre el diseño que se
deben hacer al revisar un bosque, dominio o Unidad organizacional (UO) para asegurar un ambiente.
Es importante investigar y documentar cualquier requisito de autonomía y aislamiento específico para la
organización. La autonomía política, el aislamiento operativo y el aislamiento legal o regulatorio son todas
razones válidas para considerar diseños complejos de un bosque.
Entender cómo controlar a los administradores de servicios es importante. Los administradores de servicios
maliciosos pueden representar un gran riesgo para una organización. A un nivel inferior, los administradores
maliciosos de dominios pueden acceder a datos en cualquier dominio en el bosque.
Aunque puede ser difícil cambiar el diseño del bosque o dominio en una organización, posiblemente sea
necesario solucionar algunos riesgos de seguridad para la empresa. También es importante planear la
implementación de (UO) en la organización según las necesidades de los administradores de servicio y los
administradores de datos. Este capítulo analizó a detalle la creación del modelo (UO) que soportará el uso de
GPOs para una administración continua de los diferentes roles del servidor en la (EPN-AP).
Finalmente el enfatizar la importancia de revisar las configuraciones a nivel de dominio en la organización.
Sólo se puede configurar un conjunto de políticas de contraseña, bloqueo de cuentas y protocolo de
autenticación Kerberos versión 5 para cada dominio. Otras configuraciones de contraseña y bloqueo de
cuentas afectarán sólo a las cuentas locales en el servidor miembro. Planee establecer configuraciones que
apliquen a el servidor miembro del dominio, y asegúrese de que éstas proporcionen un nivel adecuado de
seguridad en toda su organización.
SUPERVISIÓN Y EVALUACIÓN
45
(EPN-AP).
Cada uno de las Gerencias involucradas con la (GI) donde esté en riesgo la seguridad en las operaciones,
servicio y funcionalidad de la (EPN-AP), deberá emitir las normas y los procedimientos que correspondan.
Las auditorias de cada actividad donde se involucren aspectos de seguridad lógica y física deberán realizarse
periódicamente y deberá sujetarse al calendario que establezca la (GI) y/o los Departamentos especializado
en la seguridad.
SANCIONES
Cualquier violación a las políticas y normas de seguridad deberá ser sancionada de acuerdo al reglamento
emitido por la (GI).
Las sanciones pueden ser desde una llamada de atención o informar al usuario hasta la suspensión del servicio
dependiendo de la gravedad de la falta y de la malicia o perversidad que ésta manifiesta.
Corresponderá al (GI) hacer las propuestas finales sobre las sanciones a quienes violen las disposiciones en
materia de informática de la (EPN-AP) por ende estarán sujetas a las sanciones que se rigen los usuarios con
el reglamento interno de la (EPN-AP).
ACCIONES
Todas las acciones en las que se comprometa la seguridad de la (RED-EPN-AP) y que no estén previstas en
esta política, deberán ser revisadas por la (GI) y el (DST) para dictar una resolución sujetándose al estado de
derecho.
Para efectos de que la institución disponga de una red con alto grado de confiabilidad, será necesario que se
realice un monitoreo constante sobre todos y cada uno de los servicios que las tecnologías de la Internet e
Intranet disponen.
Los sistemas considerados críticos, deberán estar bajo monitoreo permanente.
.
IV.F.7) FUNCIÓN DE ADMINISTRACIÓN DE SEGURIDAD
Sobre (DST) recae la gran responsabilidad de Administrar la seguridad de los servidores, con accesos lógicos
a sus servicios.
Es responsable de Administrar los servicios del Directorio Activo, es responsable de configurar y ofrecer el
servicio de directorio. El cual le garantiza un nivel organizacional dentro de la empresa.
Mantiene, controla y asegura la disponibilidad de los servicios del controlador de dominio.
Siendo el Administrador de Directorio Activo en la (EPN-AP).
En la configuración de servicios Directorio Activo se determina por medio de los valores de atributos. Estos
valores de atributos corresponden a las configuraciones para sus objetos respectivos almacenados en el
directorio. Por lo tanto, El Administrador de servicios en Directorio Activo también es administrador de
datos. Dependiendo de sus obligaciones en la Empresa:
IV.F.8) ENTRENAMIENTO DE LOS SERVIDORES PÚBLICOS EN SEGURIDAD
En la (GI), tendrá que planificarse en plan de trabajo el constante entrenamiento de los responsables de los
(DST – DDS), siendo ellos en los que recae el aseguramiento y el buen funcionamiento de los servidores y el
resguardo de sus bases de datos como la privacidad de los mismos a niveles gerenciales
siendo esta tarea supervisada por el Gerente de Informática. Antes de instalar un software es probado en un
laboratorio pequeño para desarrollar las habilidades para enfrentar cualquier evento desconocido
y estar preparado. En el peor de los casos hay usuarios que exploran las cualidades de las maquinas. E instalan
y bajan todo tipo de software, causando daño y desperfecto en las PCS.
IV.G) USO, APROVECHAMIENTO Y SEGURIDAD DE RECURSOS DE TECNOLOGIA.
46
(EPN-AP).
En la (EPN-AP) se establecen todos los procedimientos de la (NS), para una explotación y vida útil de los
equipos, como el buen uso de los usuarios finales.
 Entre esas medidas tenemos las siguientes:
 Autenticación fuerte con el objetivo de mantener los puertos cerrados, así evitando varios agujeros de
seguridad (falsificaciones de IP, enrutamiento y DNS).
 Privacidad mejorada donde le garantizamos a todos los usuarios que el flujo de sus datos y las
comunicaciones se cifran de forma automática y transparente.
 El Servidor al principio de cada conexión realiza un proceso de autenticación para prevenir ataques
mediante intermediarios a través de troyanos (a través de falsificación del enrutamiento o de DNS).
 La distribución de la clave de autenticación del anfitrión puede estar centralizada por la administración
de forma automática cuando se realice la primera conexión.
 Cualquier usuario puede crear una cantidad cualquiera de claves de autenticación para su propio
particular.
 El programa servidor dispone de un servidor de claves propio que se regenera cada hora de forma
automática.
 Se puede usar un agente de autenticación que funcione en el portátil o la estación de trabajo local de
un usuario para que contenga las claves de autenticación del usuario.
 El programa puede ser instalado y usado incluso sin privilegios de usuario (root), aunque en este caso
con restricciones en sus funcionalidades.
 El cliente se puede personalizar en ficheros de configuración para todo el sistema o para usuarios
concretos.
 Compresión opcional de todos los datos con zip (incluidos los datos en el reenvío de X11 y puertos
TCP/IP), lo que puede resultar en un incremento significante de la velocidad en el caso de conexiones
lentas.
Las (EPN-AP) tienen secretos comerciales, información sobre precios, información sobre subcontratas, datos
de clientes, datos sobre personal, información contable y financiera, y un largo etcétera. Hoy en día
cualquiera que pueda acceder a la red (cualquier máquina dentro de la red) puede escuchar cualquier cosa que
se transmita por ella, sin que las restricciones normales de acceso constituyan ningún impedimento. Como
medida de seguridad se usaran políticas de seguridad a nivel del Directorio Activo, donde se definirán a que
tendrán acceso los usuarios y a que no. Además políticas de contenido. Para definir que podrán hacer en
Internet y que podrán ejecutar.
Con respecto a sus archivos o información personal a cada usuario se le enseña como protegerla y como
proteger la computadora. Por ejemplo: Como bloquearla, No compartir carpetas y no dar su contraseña.
Además se le enseña como manejar y proteger su correo.
Parte de la seguridad también se tiene el programa de Antivirus de Symantec Corporativo Norton.
IV.G.1) MANUAL OPERATIVO DE LOS DIFERENTES PROGRAMAS QUE MANEJA LA

(EPN-AP).
La (EPN-AP), bajo la Dirección de la (GI), para el buen funcionamiento de dicha Entidad, tiene su
Infraestructura Tecnológica dividida de la siguiente manera y Su Ubicación:
Software de bases:
Microsoft Windows Server 2k3 Enterprise
Microsoft SQL Server 2k
Software de Aplicación:
Microsoft Office 2003
Activo Fijo (Managua - Corinto) CONTABILIDAD
Archivo Intercambio de Almacén (Corinto)
47
(EPN-AP).
Bascula (Corinto) OPERACIONES
Caja General (Managua – Corinto) CONTABILIDAD
Cartera y Cobro (Corinto) CONTABILIDAD
Contabilidad (Managua – Corinto – Granada – Rama – Bluefields – Sjs – Sandino)
Conteo de Inventario (Corinto – Granada) CONTABILIDAD
Control de Asistencia (Corinto)
Control de Buques (Corinto)
Control de Pedidos (Corinto)
Control para Direcciones (Corinto)
Consolidados de Puertos (Managua – Corinto – Rama)
Costos para Talleres (Corinto)
Datos de Clientes (Corinto)
Datos de Empleados (Corinto)
Deudas Externas (Corinto)
Editor de Esquelas de Permiso (Corinto)
Facturación (Corinto)
FuelOne (Managua) NO HAY
Horas Extras (Corinto)
Horas Maquinas (Corinto)
Inventario (Corinto - Granada)
KardexOne (Managua) NOHAY
Manifiestos (Corinto)
Muellaje (Corinto)
Nominas (Managua – Corinto – Granada – Rama – Bluefields – Sjs – Sandino)
Ordenes de Trabajo (Corinto)
Presupuesto (Corinto)
Proformas (Corinto)
Personalote (Corinto – Rama - Bluefields – Sjs – Sandino)
Resúmenes de facturación (Corinto)
Salida de Materiales (Corinto)
Suministros (Corinto)
Tipos de Cambio (Corinto)
Transferencia de Facturas (Corinto)
Siendo estos los software de base y de Aplicación, como, sus ubicaciones, le brindamos los Manuales de
Usuarios Finales en el Orden Establecido. Mírese los anexos
IV.G.2) EL REGISTRO Y SEGUIMIENTO DE LA OPERACIÓN DE LOS

MISMOS
La (GI) junto con sus departamentos subordinados esta en la obligación de darle fiel cumplimientos a todas
estas normas que se rigen en este manual de informática para tener un desempeño al 100 % y no incurra en
errores al momento de implementarse un control de auditoria informática para cumplir las (NTCI).
IV.G.3) UNA ADECUADA CAPACITACIÓN A LOS SERVIDORES

PÚBLICOS Y USUARIOS DE LOS EQUIPOS
Las Gerencias de la (EPN-AP) esta en la obligación de mantener una estrecha interrelación con sus
departamentos a su cargo para facilitar a los usuarios y administradores de los (DST-DDS) en enviarlos a
capacitarse a las entidades adscritas al INATEC y así poder aprovechar el máximo el 2% que deducen de
planilla y por desconocimiento, otras empresas están aprovechando sus recursos que por ley le compete a los
48
(EPN-AP).
Usuarios de la (EPN-AP). Y así tener un usuario con más conocimientos que le dejara una buena utilización
de los equipos de cómputo y una buena explotación de los mismos.
IV.H) EVALUACIÓN PERIÓDICA DE LOS OBJETIVOS PREVISTOS (CUANDO EXISTA

UN CENTRO DE PROCESAMIENTO DE DATOS SE ESTABLECERÁN MEDIDAS
QUE LOS PROTEJAN Y SALVAGUARDEN CONTRA PÉRDIDAS Y FUGA DE LA
INFORMACIÓN) CONFORME A LAS SIGUIENTES MEDIDAS:
IV.H.1) RESTRICCIÓN EN EL ACCESO AL CENTRO DE

PROCESAMIENTO DE DATOS
En la (GI) se cumplen con las medidas de seguridad en el procedimiento de salvaguardar las bases de datos
en los servidores en el cual solo el responsable del (DST – DSS) tienen acceso a los mismos.
Si en caso contrario, algún miembro del personal de los (DST – DDS) o ajeno a la (GI), sea encontrado
cerca de los mismos con intenciones maliciosas o extrayendo información, serán sancionados con el
reglamento que rige al personal de la (EPN-AP).
IV.H.2) RESPALDAR EN CLAVES DE SEGURIDAD DE INFORMACIÓN

PROCESADA
En la (EPN-AP) el único medio de respaldar y salvaguardar la información obtenida de los datos almacenados
en los servidores de las bases de datos administradas por los (DST –DDS) es elaborada en cintas magnéticas
y cd¨s y mantenidas en la (GI), solo en la (AP) que se respalda y se salvaguarda la información en Cd´S y se
pone bajo custodia en su caja de seguridad, no pasando por alto que esa mismo procedimiento se debe de
llevar acabo en la (EPN) central para lograr salvaguardar las bases de datos como activos lógicos de las
mismas.
Se profundiza con mas claridad en el (Inciso IV.F.5, Pagina # 46).
IV.H.3) OBTENER MENSUALMENTE RESPALDOS DE LOS ARCHIVOS

QUE CONTIENEN LAS TRANSACCIONES DE LA
ENTIDAD EN DOS (2) COPIAS, UBICANDO UNA DE ELLAS EN UNA BÓVEDA
DE SEGURIDAD DE UN BANCO O EQUIVALENTE
En este manual se orienta en el (Inciso IV.F.5 Pagina # 46) todas las medidas de que los (DST-DDS) sigan
los procedimientos de las (NS) y las (NTCI) para que tengan un gran impacto en un futuro a corto plazo en
lo que se relaciona a las medidas de seguridad y resguardo de la información sensible y de alto costo para la
(EPN-AP).
IV.H.4) SEGURIDAD E INSTALACIÓN FÍSICA ADECUADA, QUE

PERMITA UNA PROTECCIÓN CONTRA INCENDIOS,
EXPLOSIONES E INUNDACIONES, ETC
En la (GI) mantiene una seguridad en un 75 %, no por se ineficientes si no por que las condiciones del
local no lo permiten, es por eso que las altas autoridades de la (EPN) central junto con el Gerente de
Informática deben de planificar un plan de cobertura y ampliación de una instalación de informática con
todos los procedimientos que se rigen en las (NS) para así tener todas las condicione y prestar una
cobertura al 100 %.
Donde se tiene que implementar una Red certificada por las entidades pertinentes.
Instalar adecuadamente una standarizacion de los sistemas, que están instalados o están por instalar en
los equipos de (EPN-AP).
49
(EPN-AP).
IV.H.5) EN EL CASO DE QUE LOS REGISTROS EN MEDIO MAGNÉTICOS SE GENEREN
Y CONSERVEN EN LAS UNIDADES QUE PROCESAN LA INFORMACIÓN O POR
EL SISTEMA DE REDES, TAMBIÉN DEBERÁN CUMPLIR CON LOS REQUISITOS
DE CONSERVACIÓN Y SEGURIDAD DE LOS ARCHIVOS MENCIONADOS EN EL
NUMERAL (IV.H.4) ANTERIOR
En la (GI) los respaldos se realizan en forma automática o sea por medio del sistema operativo Windows
2K3 Server en la opción de tareas programadas, para que se efectúen los respectivos respaldos de las bases
de datos en los servidores como la información sensible de los usuarios finales , para luego ser transferidas al
equipo del responsable del (DST) y a CD´s.
Pero se recomienda que sigan las instrucciones del (Inciso IV.F.5, Pagina # 46).
CONCLUSIONES
 La (EPN-AP) tiene en sus manos herramientas para fortalecer las medidas de

seguridad y el salvaguardo de la información sensitiva (bases de datos) donde los
usuarios finales alojan la faena diaria del trabajo de la (EPN-AP).
 La (GI) cuenta con un personal calificado para el desempeño de sus funciones
donde los usuarios finales tienen que tener la plena seguridad que el respaldo y el
salvaguardo de las mismas estará siempre en línea y accesible para el momento
que lo ameriten o al momento de un desastre natural o malintencionado.
 La (EPN) central tiene que prever las violaciones de las medidas d seguridad por
personas ajenas a la (EPN-AP) como los (HACKERS) de tratar de romper todas
las medidas de seguridad que el (DST) implementan en la (GI). De brindarle todo
el apoyo que este en sus manos para lograr implementar las nuevas (NTCI) en la
(EPN-AP)
50

Manual de Informatica (Ntci) Entregado

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual de Informatica (Ntci) Entregado

Transféré par

Droits d'auteur :

Formats disponibles

Manual sobre Normas, Procedimiento, Seguridad, para la Gerencia de Informática en la

Empresa Portuaria Nacional y Administraciones Portuarias

I) NORMAS ESPECÍFICAS DE ACTIVIDADES DE CONTROL

EL Consejo Superior de la Contraloría General de la Republica en sesión Ordinaria Numero Trescientos

II) SISTEMAS DE INFORMACION

CONTROLES A LAS OPERACIONES DE LA GERENCIA DE INFORMÁTICA.

CONTROLES AL SOFTWARE DEL SISTEMA.

CONTROLES DE ACCESO DE SEGURIDAD.

CONTROLES DE DESARROLLO Y MANTENIMIENTO DE APLICACIONES DEL SISTEMA.

II.A.1) CONTROLES A LAS OPERACIONES DE LA GERENCIA DE INFORMÁTICA.

II.A.1.1) TRABAJOS DE IMPLEMENTACIÓN Y DE RUTINA

II.A.1.2) ACCIONES DEL OPERADOR

II.A.1.3) GENERACIÓN DE COPIAS DE SEGURIDAD Y RECUPERACIÓN DE LAS

 El (DST) bajo la supervisión del Gerente de Informática tiene la responsabilidad de respaldar

Abra copia de seguridad

Restauración de archivos y carpetas

Una operación simple de restauración se compone de los siguientes pasos:

Inicie la operación de restauración

II.A.1.4) PLANIFICACIÓN DE CONTINGENCIA PARA LA RECUPERACIÓN DE

II.A.2) CONTROLES AL SOFTWARE DEL SISTEMA.

I.I.A.2.1) SOBRE ADQUISICIÓN DE SOFTWARE

II.A.2.2) IMPLEMENTACIÓN Y MANTENIMIENTO DEL SOFTWARE DEL SISTEMA

En los Servidores se instalaran dispositivos basados en sistemas de Cómputo, únicamente se permitirá la

Actualización del software

 Corresponde a la (GI) autorizar cualquier actualización o migración del Software de

Software propiedad de la institución.

II.A.2- 3) SISTEMAS DE ADMINISTRACIÓN DE BASES DE DATOS.

II.A.2.4) SOFTWARE DE TELECOMUNICACIONES

II.A.2.5) SOFTWARE DE SEGURIDAD Y UTILITARIOS

Esquema de firewall típico entre red local e Internet

II.A.3) CONTROLES DE SEGURIDAD DE ACCESOS

II.A.3.1) PROTEGER EL SISTEMA DE ACCESO INAPROPIADO

net use = Permite conectar un equipo a o desconectarlo de un recurso compartido.

II.A.3.2) PROTEGER EL SISTEMA DE ACCESO NO AUTORIZADO.

Acceso local a la red.

Acceso a los sistemas administrativos o sistemas bases.

II.A.4) CONTROLES DE DESARROLLO Y MANTENIMIENTO DE APLICACIONES

Desarrollo de software para propósitos específicos

El (DDS) emplea la consecutividad de los procesos de desarrollo de sistemas como: el análisis,

Controles para diseño e implementación de sistemas.

Requerimiento de documentación, aprobación y chequeo de los sistemas

Requerimientos del "entorno"

Disponibilidad (En un determinado periodo de tiempo)

Este requerimiento se refiere a la durabilidad, degradación, flexibilidad y capacidad de actualización. En estos

Controles de versiones del sistemas.

En el (DDS) al momento de elaborar un sistema de aplicaciones lleva a cabo:

II.B) CONTROLES DE APLICACIÓN

III) NORMAS ESPECÍFICAS DE INFORMACION Y COMUNICACIÓN

III.C) NORMAS ESPECIFICAS DE MONITOREO

El conjunto de procedimientos y técnicas

Monitoreo de los equipos de cómputo.

 Configuración de los equipos y capacidades actuales y máximas.

Controles de Operación de la computadora

 Revelación no autorizada de información delicada.

III.C.1) MONITOREO SOBRE LA MARCHA

III.C.2) MONITOREO MEDIANTE EVALUACIONES SEPARADAS

ACTIVIADADES DE CONTROL APLICABLE A LOS SISTEMAS DE ADMINISTRACION

IV) TECNOLOGIA DE INFORMACION

IV.A.) ACCESO A FUNCIONES DE PROCESAMIENTO

IV.A.1) SEGREGACIÓN DE FUNCIONES

IV.A.2) MEDIOS DE CONTROL DE ACCESO

IV.A.3) IDENTIFICADORES DE USUARIOS

IV.A.4) PERFILES DE ACCESOS