s7- auditoria_de_sistemas.pdf

RED NACIONAL UNIVERSITARIA UNIDAD ACADEMICA DE ORURO

FACULTAD DE CIENCIAS Y TECNOLOGIA

INGENIERIA DE SISTEMAS

SEPTIMO SEMESTRE

SYLLABUS AUDITORIA DE SISTEMAS

Realizado por: Ing. Rosmery Luizaga Salinas

Gestión Académica I/2011

UDABOL UNIVERSIDAD DE AQUINO BOLIVIA

Acreditada como PLENA mediante R. M. 288/01

VISION DE LA UNIVERSIDAD

Ser la Universidad líder en calidad educativa.

MISION DE LA UNIVERSIDAD

Desarrollar la Educación Superior Universitaria con calidad y competitividad al servicio de la sociedad.

I.

SYLLABUS GENÉRICO

Asignatura: Auditoria de Sistemas Código: CMP 425 Requisito: CMP 326 Carga Horaria: 60 horas Créditos: 6

II. OBJETIVOS GENERALES DE LA ASIGNATURA. • Presentar las herramientas y mecanismos adecuados para realizar la Auditoria de Sistemas, con

el más alto grado de profesionalidad e idoneidad, a través del estudio teórico y desarrollo de proyectos prácticos, insertos en situaciones reales de trabajo.

• Fundamentar las bases teóricas fundamentales de la auditoria de Sistemas como sustento esencial para la realización de auditorias prácticas.

III. PROGRAMA ANALÍTICO DE LA ASIGNATURA.

UNIDAD I. OBJETIVOS Y MÉTODOS DE LA AUDITORÍA INFORMÁTICA

1. CONCEPTOS GENERALES 1.1 Auditoria 1.1. Clases de Auditorias 1.2. Herramientas de la Auditoria 1.3. Evolución 2. OBJETIVOS DE LA AUDITORIA INFORMÁTICA 2.1. El estudio de la fiabilidad del entorno de sistemas 2.2. Es estudio de la eficacia y de las actuaciones de la actividad de la auditoria informática 2.3. Los objetivos de la auditoria informática 2.4. Los demandantes de la auditoria 2.5. Los métodos de auditoría informática 3. CONTROL INTERNO INFORMÁTICO 3.1 Conceptos y definiciones de Control 3.2 Control Interno Informático 3.3 Elementos del Control Interno Informático 3.4 Controles Internos Informáticos 3.5 Metodología de control interno UNIDAD II. EVOLUCION DE LA AUDITORIA INFORMÁTICA Y SU MARCO JURIDICO 4. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA INFORMÁTICA 4.1 Antecedentes 4.2 Clases y Tipos de Auditoria Informática 4.3 Perfiles Profesionales de la Función de la Auditoria Informática 4.4. Funciones a desarrollar por la función de la Auditoría Informática 4.5 Organización del la función

5. MARCO JURÍDICO DE LA AUDITORIA INFORMÁTICA 5.1 Protección de datos 5.2 Los delitos informáticos 5.3 El intercambio electrónico de Datos 5.4. El documento electrónico 5.5 Derecho Informático UNIDAD III. METODOLOGÍA PARA REALIZAR LA AUDITORIA INFORMÁTICA 6. PLANEACION DE LA AUDITORIA DE SISTEMAS 6.1 Origen de la Auditoría 6.2 Visita Preliminar 6.3 Establecimiento de Objetivos 6.4 Determinación de puntos que deben ser evaluados 6.5 Elaborar Planes, Presupuestos y Programas 6.6. Seleccionar Herramientas, Técnicas y Métodos a Utilizar 6.7 Asignar Recursos 7. PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS 7.1 Contenido del Legajo de papeles de Trabajo 7.2 Cuadros estadísticas y documentos concentradores de información 7.3 Diagramas de Sistemas 8. INFORMES DE AUDITORIA DE SISTEMAS 8.1 Procedimiento para elaborar el informe 8.2 Características del informe de auditoría 8.3 Estructura del informe de Auditoría 8.4 Formatos para el informe de auditoría 9. TECNICAS DE EVALUACIÓN APLICABLES EN AUDITORIA DE SISTEMAS Y TÉCNICAS

ESPECIALES 9.1 El Examen 9.2 La inspección 9.3 Confirmación 9.4 Comparación 9.5 Revisión Documental 9.6 Acta Testimonial 9.7 Matriz de Evaluación 9.8 Matriz DOFA 9.9 Guías de Evaluación 9.10 Ponderación 9.11 Lista de verificación 9.12 Análisis de diagramas de sistemas 9.13 Diagramas de seguimiento de una auditoria de sistemas UNIDAD IV. AUDITORÍA DE SISTEMAS 10. AUDITORIA DEL DESARROLLO DE SISTEMAS 10.1 Evaluación de los sistemas 10.2 Evaluación del Análisis

10.3 Evaluación del diseño lógico 10.4 Evaluación del desarrollo 10.5 Forma de Implantación 10.6 Equipo 10.7 Entrevistas a usuarios 10.8 Evaluación en el impacto 11. AUDITORIA DE LA SEGURIDAD INFORMÁTICA 11.1 Evaluación de riesgos 11.2 Evaluación de la seguridad física 11.3 Evaluación de la seguridad Lógica 11.4 Evaluación de la seguridad y el desarrollo de aplicaciones 11.5 Evaluación de la seguridad en el área de producción 11.6 Evaluación de la seguridad de los datos 11.7 Evaluación de la continuidad de operaciones 12. AUDITORIAS DE SISTEMAS DISTRIBUIDOS 12.1 Conocimiento del área de procesamiento 12.2 Redes y Sistemas 12.3 Topologías lógicas y físicas 12.4 Procedimientos de auditoria IV. EVALUACIÓN DE LA ASIGNATURA

• Procesual o Formativa A lo largo del semestre se realizarán exposiciones, repasos cortos y otras actividades de

aulas. Cada uno se tomará como evaluación procesual calificándola entre 0 y 50.

• De resultados de los Procesos de aprendizaje o sumativa (examen parcial o final)

Se realizará 2 evaluaciones parciales con contenido teórico y práctico. El examen final

consistirá en un examen escrito que se calificará con el 50% de la nota del examen final V. BIBLIOGRAFÍA .

El estudiante tiene acceso a la Biblioteca de la Carrera y también al material que proporciona la Docente. Otra fuente de información es Internet, los Work Papers y Difs.

ECHENIQUE, JOSÉ ANTONIO, “Auditoria en Informática”, McGraw Hill, México 2001

PIATTINI, MARIO G. Y EMILIO DEL PESO, “Auditoria Informática Un Enfoque Práctico”,

Alfaomega, Bogotá

ALONSO RIVAS, DÍAZ DE SANTOS, “Auditoria en Informática”

DERRIEN, “Técnicas de Auditoria Informática”, Marcombo

Auditoria de Sistemas, Echenique

Auditoria Informática, Piattini, Alfaomega, Bogotá

VI. CONTROL DE EVALUACIONES

1° evaluación parcial

Fecha

Nota

2° evaluación parcial

Fecha

Nota

Examen final

Fecha

Nota

APUNTES

VII. PLAN CALENDARIO

SEMANA DEL AL ACTIVIDADES OBSERVACIONES

1ra. 09-mar 12-mar Avance de materia Unidad I,Objetivos y Métodos

2da. 14-mar 19-mar Avance de materia Unidad II. Evol. Y Marco Jurídico

3ra. 21-mar 26-mar Avance de materia Unidad II. Evol. Y Marco Jurídico

4ta. 28-mar 02-abr Avance de materia Unidad III.Planeac. de la Auditoría

5ta. 04-abr 09-abr Avance de materia Unidad III.Papeles de Trabajo

6ta. 11-abr 16-abr Avance de materia Inicio Primera Evaluación Parcial Presentación de

Notas

7ma. 18-abr 23-abr Avance de materia

Conclusión Primera Evaluación Parcial

Presentación de Notas

8va. 25-abr 30-abr Avance de materia Unidad III.Papeles de Trabajo

9na. 02-may 07-may Avance de materia Unidad III.Informe Auditoria

10ma. 09-may 14-may Avance de materia Unidad III.Técnicas de Evaluación

11ra. 16-may 21-may Avance de materia Unidad IV.Auditoría del Desarrollo

12da. 23-may 28-may Avance de materia Inicio Segunda Evaluación Parcial Presentación de

Notas

13ra. 30-may 04-jun Avance de materia

Conclusión Segunda Evaluación Parcial

Presentación de Notas

14ta. 06-jun 11-jun Avance de materia Unidad IV.Auditoría del Desarrollo

15ta. 13-jun 18-jun Avance de materia Unidad III.Técnicas de Evaluación

16ta. 20-jun 25-jun Avance de materia Unidad IV.Auditoria de la Segurida

17ma. 27-jun 02-jul Avance de materia Unidad IV.Auditoria de Redes

18va. 04-jul 09-jul Inicio Evaluación Final Presentación de Notas

19na. 11-jul 16-jul Conclusión Evaluación Final Transcripción de Notas

20va. 18-jul 23-jul Evaluación del segundo turno Transcripción de Notas

21ra. 25-jul 26-jul Cierre de Gestión

FERIADOS

22 de abril Viernes Santo

1 de mayo Día del Trabajo

23 de junio Corpus Christi

PLANIFICACIÓN DE ACTIVIDADES

CONTENIDO MÍNIMO CONTENIDO ANALÍTICO ACTIVIDAD PERIODOS

ACADÉMICOS RECURSOS DIDÁCTICOS

PLANEACION DE L AUDITORIA DE SISTEMAS

-Orig. Auditoria -Visita Preliminar -Esta. Objetivos -Determinación de punto deben ser evaluados

Visita a INSERPAZ

4 Periodos Data Display Cámaras fotográficas, Filmadoras

PLANEACION DE L AUDITORIA DE SISTEMAS

-Elabo. Planes, -Presupuestos y Program -Seleccionar Herramient Técnicas y Métodos a Ut

Seminario CALIDAD TOTAL

4 Periodos Data Display Software de Monitoreo de Procesos Instrumentación

PAPELES DE TRAB PARA LA AUDITOR SISTEMAS

-Contenido del Legajo de papeles de Trabajo - Cuadros estadísticas y documentos concentrado de información - Diagramas de Sistemas

Visitas SFIDAS

6 Periodos Data Display Equipo de Computación Papelógrafos Software

INFORMES DE AUDITORIA DE SISTEMAS

-Procedimiento para elab el informe -Características del infor auditoria -Estructura del informe d Auditoria 8.4 Formatos para e informe de auditoria

Visita SONAPTO

6 Periodos Data Display Software Pizarras Presentaciones

AUDITORIA DE SISTEMAS

-Auditoria de la Seguri

Informática, Auditoria d

desarrollo de Sistemas

Auditoria de Sistemas

Distribuidos

Visita E.M.V.

8 Periodos Data Display Software Pizarras Presentaciones Soporte CDs

WORK PAPER # 1

PROGRAMA DE CONTROL DE CALIDAD

No. DE PROCEDIMIENTO: APRO 07 No. DE HOJAS: 10

ELABORÓ: Ing.Rosmery Luizaga Salinas CÓDIGO: CMP 425

TÍTULO DEL WORK PAPER: EJEMPLO DE CONTROL INTERNO LEY 527 DEL COMERCIO ELECTRÓNICO

DPTO.: Facultad de Ingeniería

DESTINADO A:

DOCENTES ALUMNOS X ADMINIST. OTROS

OBSERVACIONES: Carrera Ingeniería de Sistemas, Asignatura Auditoria de Sistemas Unidad 1, tema No.

FECHA DE DIFUSIÓN: Marzo/2011

FECHA DE ENTREGA: Marzo/2011

EJEMPLO DE CONTROL INTERNO: LEY 527 DEL COMERCIO ELECTRÓNICO

Se le conoce como Ley de Comercio Electrónico, aunque sus alcances van más allá de las transacciones que se puedan realizar en línea. Lo más importante es su significado para el país. "La ley número 527 del 18 de agosto de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones." Sin embargo, es cierto: Que Colombia es uno de los primeros países en el mundo, después de los que conforman la Unión Europea, que cuenta con una legislación sobre el tema. Aunque a la Ley 527 de 1999 se le conoce como Ley de Comercio Electrónico, sus alcances van más allá de las transacciones que se puedan realizar en línea. Por ejemplo, les otorga reconocimiento jurídico a los documentos electrónicos, tal como en este momento lo tienen los documentos en papel, y los admite como pruebas en procesos legales. La Ley también tiene en cuenta aspectos como el transporte de mercancía derivado de una transacción electrónica, y le dedica un capítulo completo a las entidades de certificación. La Ley de Comercio Electrónico entró en rigor desde la fecha de su publicación (Diario Oficial número 43.673, del 21 de agosto de 1999). Su desarrollo fue un esfuerzo conjunto entre los ministerios de Justicia, Desarrollo, Comercio Exterior, Transporte y él Congreso de la República. La Ley de Comercio Electrónico es un logro muy importante porque nos ponemos a tono con la informática y los negocios modernos. Facilita de una manera enorme los negocios que se están realizando por vía electrónica, da seguridad a quien compra o vende, y es un mecanismo de control del gobierno a un sin número de actos que estaban sucediendo sin que hubiera regulación estatal. La ley 527 de 1999 es un avance que facilita el comercio interno y el internacional. Los negocios hoy día son muy dinámicos y muy rápidos, por lo que estamos dando un paso hacia adelante. Todos vemos con muy bueno ojos que exista esta ley (...) pues nos permite entrar a jugar en el mercado internacional y ser parte de la globalización. La aprobación de esta ley significa que el país tomó seriamente los grandes cambios en los procesos comerciales que están ocurriendo en el mundo con el surgimiento de una herramienta y medio como Internet, y se colocó a tono con esta globalización comercial legislando sobre el tema de Comercio Electrónico. Frente al contexto internacional, nos permite adoptar estándares de comercio electrónico internacional para que los exportadores e importadores puedan establecer relaciones de negocios más ágiles y efectivas (...), y para que nuestros comerciantes encuentren una nueva alternativa de negocios. Aprobar una Ley de Comercio Electrónico en Colombia es dar un paso hacia adelante. Es formalizar y habilitar la entrada del país a la nueva economía. Es meternos e insertarnos en lo que es la economía mundial... El que no esté en esto, no está en nada.

PARTE I

CAPITULO I DISPOSICIONES GENERALES

Artículo 1 Ámbito de aplicación. La presente ley será aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos: a) En las obligaciones contraídas por el Estado colombiano en virtud de Convenios o Tratados internacionales.

b) En las advertencias escritas que por disposición legal deban ir necesariamente impresas en cierto tipo de productos que implique su comercialización. Artículo 2 Definiciones. Para los efectos de la presente ley se entenderá por: a) Mensaje de Datos. La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como: El Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax. b) Comercio electrónico. Abarca las cuestiones de toda relación de índole comercial, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier otro medio similar. C) Firma Digital. Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que utiliza un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje. d) Entidad de Certificación. Es aquella persona que autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, facilitar los servicios de registro, transmisión y recepción de mensajes de datos, e) Intercambio Electrónico de Datos (EDI). Es la transmisión electrónica de datos de una computadora a otra, estructurada bajo normas técnicas. f) Sistema de Información. Es todo sistema utilizado para generar, enviar, recibir, archivar o procesar mensajes de datos. Articulo 3 Interpretación: En la interpretación habrá de tener en cuenta su origen internacional, la necesidad de promover la uniformidad de su aplicación y observancia de la buena fe. Articulo 4 Modificación Mediante Acuerdo: Salvo que se disponga otra cosa, en las relaciones entre partes que generan, envían, reciben, archivan o procesan mensajes de datos, podrán ser modificadas mediante acuerdo. Articulo 5 Reconocimiento jurídico de los mensajes de datos: No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos.

CAPITULO II APLICACIÓN DE LOS REQUISITOS JURIDICOS DE LOS MENSAJES DE DATOS

Articulo 6 Escrito: Cuando cualquier norma requiera que la información conste por escrito, este requisito quedara con un mensaje de datos. Articulo 7 Firma: Cuando cualquier norma exija la presencia de una firma, que establezca la relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento sí: Si ha utilizado un método que permita identificar el mensaje de dato y el contenido cuenta con su aprobación. Si el método es confiable, que cumpla con el propósito del mensaje. Articulo 8 Original: Cuando cualquier norma requiera que la información sea presentada y conservada en su original. Este requisito queda satisfecho sí: Cuando existe garantía de que se ha conservado la integridad de la información a partir del momento en que se genero por primera vez en su forma definitiva como un mensaje de datos De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona.

Articulo 9 Integridad de un mensaje de datos: Para efectos del capitulo anterior, se considera que la información consignada en un mensaje de datos es integra, si esta ha permanecido completa e inalterada. El grado de confiabilidad requerido, será determinado a la luz de los fines por los que se genero la información. Articulo 10 Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán admitidos como medios de prueba. No se negará eficacia, validez, fuerza obligatoria o probatoria a todo tipo de información en forma de un mensaje de datos. Su fuerza probatoria es la otorgada en las disposiciones del capitulo VIII del Titulo XIII, Sección Tercera, Libro segundo del código de procedimiento civil. Articulo 11 Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas " La confiabilidad del mensaje. " Articulo 12 Conservación de los mensajes de datos y documentos. Cuando la ley requiere que ciertos documentos, registros o informaciones sean conservados, quedara satisfecho si cumplen las siguientes condiciones: 1. Que la información que contengan sea accesible para su posterior consulta. 2. Que el mensaje de datos o el documento sea conservado en él formato que se haya generado, enviado o recibido. 3. Toda información debe determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento. CAPITULO III COMUNICACIÓN DE LOS MENSAJES DE DATOS

Articulo 14 Formación y Validez de los contratos: En la formación del contrato, salvo acuerdo expreso entre las partes, la oferta y su aceptación podrá ser expresadas por medio de un mensaje de datos. No se negara un contrato sin haber utilizado mensaje de datos. Articulo 15 Reconocimiento de los mensajes de datos Las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negaran efectos jurídicos, validez, a una manifestación de voluntad por la sola razón de haberse hecho en forma de mensaje de datos. Articulo 16 Atribución de un mensaje de datos Se dice que un mensaje de datos proviene de un iniciador cuando este ha sido enviado por: El iniciador Por alguna persona que actúe en nombre del iniciador. Por un sistema de información programado por el iniciador. Articulo 17 Presunción del origen de un mensaje de datos Se presume que el mensaje ha sido enviado por el iniciador cuando: Haya aplicado el procedimiento acordado por el iniciador, para establecer de donde proviene.

Cuando el mensaje de datos que reciba el destinatario resulta de una persona cercana al iniciador para identificar el mensaje da datos como propio. Articulo 18 Concordancia del mensaje de datos enviado con el mensaje recibido. Siempre que el mensaje de datos provenga del iniciador o siempre que el destinatario tenga derecho de actuar sobre él. El destinatario tendrá derecho a considerar a que el mensaje recibido sea el mismo enviado. Articulo 19 Mensaje de datos duplicados Se presume que cada dato recibido es un mensaje diferente, si se duplican, este debe actuar con debida diligencia. Articulo 20 Acuse de recibo Cuando el iniciador o destinatario solicita que se acuse recibo del mensaje de datos, se podrá acusar recibo mediante: Cuando la comunicación del destinatario es automática Cuando basta para indicar al iniciador de que es recibido el mensaje de datos. Articulo 21 Presunción de recepción de un mensaje de datos Se presume que el mensaje ha sido recibido cuando el iniciador recepcione acuse recibo del destinatario. Es decir cuando el mensaje cumple con los requisitos técnicos. Articulo 22 Efectos jurídicos Los artículos 20 y 21 únicamente rigen los efectos relacionados con el acuse de recibo. Articulo 23 Tiempo del envío de un mensaje de datos El mensaje datos se tendrá por expedido cuando ingresa en un sistema de información bajo control del iniciador. Articulo 24 Tiempo de la recepción de un mensaje de datos El momento de la recepción se determina: Si el destinatario ha designado un sistema de información para la recepción, la recepción tendrá lugar: En el momento que ingrese el mensaje de datos en el sistema de información. De enviarse el mensaje de datos a un sistema de información del destinatario, que no sea el sistema de información designado. Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar cuando el mensaje ingrese a un sistema de información. Articulo 25 Lugar del envío y recepción del mensaje de datos Se tendrá por expedido en el lugar cuando el iniciador tenga su establecimiento y por lugar donde el destinatario tenga el suyo.

PARTE II COMERCIO ELECTRONICO EN MATERIA DE TRANSPORTE DE MERCANCIAS

Articulo 26 Actos relacionados con los contratos de transporte de mercancías

Lo previsto en la primera parte será aplicable a cualquiera de los actos que guarde relación con un contrato de transporte de mercancías. Indicación de marcas, número, cantidad, peso. Declaración del valor Emisión de recibo Confirmación de envío Notificación de cláusulas Instrucciones al transporte Reclamación de la entrega Autorización de entrega Notificación por perdida. Articulo 27 Documentos de transporte En caso que los actos enunciados anteriormente se lleve a cabo por escrito o emitido por papel, ese requisito quedara satisfecho si se realiza por medio de mensajes de datos.

PARTE III FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACION

CAPITULO I Articulo 28 Atributos jurídicos de una firma digital: Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar una firma manuscrita, incorpora los siguientes atributos: 1. Es única a la persona que la usa. 2. Es susceptible de ser verificada. 3. Está bajo el control exclusivo de la persona que la usa. 4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada. 5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.

CAPITULO II LAS ENTIDADES DE CERTIFICACIÓN

Artículo 29 Características y requerimientos de las entidades de certificación. Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de comercio, que sean autorizados por la Superintendencia de Industria y Comercio. Debe cumplir las siguientes condiciones: a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación. b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados. c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena privativa de la Libertad, excepto por delitos políticos o culposos. Artículo 30 Actividades de las entidades de certificación. Las entidades Autorizadas por la Superintendencia de Industria y Comercio para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades: Emitir certificados en relación con las firmas digitales de personas naturales o jurídicas. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados.

Ofrecer o facilitar los servicios de creación de firmas digitales certificadas. Ofrecer o facilitar los servicios de registro en la generación, transmisión y recepción de mensajes de datos. Ofrecer los servicios de archivo y conservación de mensajes de datos. Articulo 31 Remuneración por la prestación de servicios La remuneración por los servicios de las entidades de certificación será establecida libremente por estas. Articulo 32 Deberes de las entidades de certificación Emitir certificados conforme a lo solicitado Implementar los sistemas para garantizar la emisión de firmas digitales. Garantizar la protección, confidencialidad suministrada por el suscriptor. Garantizar la prestación del servicio Suministrar información que requieran entidades Elaborar reglamentos de las relaciones del suscriptor. Llevar un registro de los certificados Articulo 33 Terminación Unilateral La entidad podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un previsto no menor a (90) días. Articulo 34 Cesación de actividades por parte de las entidades de certificación Pueden cesar en el ejercicio de actividades, siempre y cuando haya certificación.

CAPITULO III CERTIFICADOS

Articulo 35 Contenido de los certificados Un certificado emitido por la entidad de certificación, debe contener lo siguiente: Nombre, dirección y domicilio Identificación del suscriptor El nombre, dirección y lugar donde realiza actividades La clave del usuario La metodología para verificar la firma digital del suscriptor. El número de serie del certificado Fecha de emisión y expiración Articulo 36 Aceptación de un certificado Cuando la entidad de certificación, a solicitud de este o de una persona lo ha guardado en un repositorio. Articulo 37 Revocación de certificados El suscriptor podrá solicitar a la entidad que expidió un certificado, la revocación del mismo. Estará obligado a solicitar revocación: Por perdida de la clave La clave privada expuesta se le dé uso indebido La entidad revocara un certificado cuando: A petición de un tercero o suscriptor Por muerte del suscriptor Por liquidaron del suscriptor

Por confirmación de alguna información Por cese de actividades de la entidad de certificación Por orden judicial o entidad competente. Articulo 38 Termino de conservación de los registros Los registros deben ser conservados por él término exigido en la ley.

CAPITULO IV SUSCRIPTORES DE FIRMAS DIGITALES

Articulo 39 Deberes de los suscriptores Son deberes: Recibir la firma digital por parte de la entidad de certificación Suministrar la información que requiere la entidad Mantener el control de la firma Solicitar la revocación de los certificados Articulo 40 Responsabilidad de los suscriptores Serán responsables por la falsedad, error en la información suministrada por la certificación.

CAPITULO V DISPOSICIONES GENERALES Y COMERCIO

Artículo 41 Funciones de la Superintendencia. La Superintendencia de Industria y Comercio ejercerá las facultades que legalmente le han sido asignadas respecto de las entidades de certificación, y adicionalmente tendrá las siguientes funciones: Autorizar la actividad de las entidades de certificación en el territorio nacional. Velar por el funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación. Realizar visitas de auditoría a las entidades de certificación. Revocar o suspender la autorización para operar como entidad de certificación. Solicitar la información pertinente para el ejercicio de sus funciones. 6. Imponer sanciones a las entidades de certificación, en caso de incumplimiento de las obligaciones. Ordenar la revocación de certificados cuando la entidad de certificación los emita sin el cumplimiento de las formalidades legales. Designar entidades de certificación en los eventos previstos en la ley. Emitir certificados en relación con las firmas digitales de las entidades de certificación. Velar por la observancia de las disposiciones constitucionales y legales sobre la promoción de la competencia y prácticas comerciales, competencia desleal y protección del consumidor, en los mercados atendidos por las entidades de certificación. Impartir instrucciones sobre el adecuado cumplimiento de las normas a las cuales deben sujetarse las entidades de certificación. Articulo 42 Sanciones La superintendencia de industria y comercio podrá imponer según su naturaleza las siguientes sanciones: Amonestación Multas hasta de (2000) salarios mínimos legales mensuales. Suspender todas las actividades de la entidad Prohibir a la entidad prestar los servicios Revocar definitivamente la entidad de certificación

CAPITULO VI DISPOSICIONES VARIAS

Articulo 43 Certificación reciprocas Los certificados de firmas digitales emitidos por la entidad de certificación extranjeras, podrán ser reconocidos con los mismos términos y condiciones exigidos en la ley. Articulo 44 Incorporación por remisión Cuando el mensaje de datos se haga remisión total o parcial a normas, acuerdos, cláusulas, condiciones.

PARTE IV REGLAMENTACION Y VIGENCIA

Articulo 45 La superintendencia de industria y comercio contara con un termino adicional de (12) meses, contados a partir de la publicación de la ley, para organizar y asignar la función de control y vigilancia. Articulo 46 Prevalencia de las leyes de protección al consumidor La presente ley se aplicara sin perjuicio de las normas vigentes de protección al consumidor. Articulo 47 Vigencia y derogatorias La presente ley rige desde la fecha de su publicación y deroga las disposiciones que sean contrarias.

Cuestionario:

1. ¿Cuándo fue creado esta ley y en que país? 2. ¿Cuáles son los alcances de esta ley? 3. Cual es el ámbito de aplicación definido en su Art. 1 4. En su Art. 2 como define firma digital? 5. Como se interpreta el Art. 5 de esta ley? 6. Indique tres requisitos jurídicos de los mensajes de datos explicados en el capítulo II de esta Ley 7. Interprete en sus palabras el artículo 18. concordancia de datos enviados con el mensaje recibido 8. Cuales son los actos relacionados con los contratos de transporte de mercadería y cuando quedan

satisfechos según el art 26 y art. 27? 9. Cuales son los atributos que establece el art. 28 para una firma digital? 10. Que es una entidad de certificación y Cuáles son las actividades y deberes de las entidades de

certificación? 11. Qué debe contener un certificado emitido por la entidad certificadora? 12. Cuáles son los deberes y responsabilidades de los suscriptores de firmas digitales? 13. Que es la Superintendencia de Industria y Comercio? 14. Que sanciones puede imponer la Superintendencia de Industria y Comercio? 15. De sus comentarios y conclusiones

WORK PAPER # 2



ELABORÓ: Ing. Rosmery Luizaga Salinas CÓDIGO: CMP 425

TÍTULO DEL WORK PAPER: CONTROL INTERNO EN DANSOCIAL


DESTINADO A:


OBSERVACIONES: Carrera Ingeniería de Sistemas Asignatura Auditoria de Sistemas Unidad 1, Tema No.

FECHA DE DIFUSIÓN: Abril/2011

FECHA DE ENTREGA: Abril/2011

CONTROL INTERNO EN DANSOCIAL

RESOLUCIÓN NO. 442 del 19 de AGOSTO DE 2003

“POR MEDIO DE LA CUAL SE EXPIDE EL REGLAMENTO INTERNO PARA EL USO DEL INTERNET, EL RECURSO INFORMATICO Y LA RED EN DANSOCIAL

EL DIRECTOR DEL DEPARTAMENTO ADMINISTRATIVO NACIONAL DE LA ECONOMIA SOLIDARIA –DANSOCIAL. En ejercicio de sus atribuciones legales y en especial de las conferidas artículos 64 y 66 de la Ley 489 de 1998 y artículo 5 del Decreto 1798 del 2003. CONSIDERANDO: Que la expedición de reglamentos de carácter general es facultad del Representante Legal de la entidad. Que las tecnologías de información son herramientas que permiten el desarrollo de una nueva economía, la construcción de un Estado más moderno y eficiente, la universalización del acceso a la información, y la adquisición y eficaz utilización del conocimiento, todos estos elementos fundamentales para el desarrollo de la sociedad moderna. Que el DANSOCIAL cuenta con dichas tecnologías de información para cumplir a cabalidad con las funciones que la Ley le otorga. Que se hace necesario reglamentar el uso de las mismas en Departamento en aras a que se utilicen de una manera adecuada y racional, dentro de los parámetros constitucionales y legales que no impliquen violación alguna de Derechos Fundamentales. Que los funcionarios del Departamento, por su carácter de servidores públicos deben usar para asuntos exclusivamente institucionales las herramientas informáticas y tecnológicas a su cargo . En mérito de lo anteriormente expuesto;

R E S U E L V E :

ARTICULO PRIMERO.- Reglamentar en el interior del Departamento Administrativo Nacional de la Economía Solidaria DANSOCIAL, el Uso del Internet, el Recurso Informático y la Red por las razones expuestas en la parte motiva de este acto administrativo. ARTICULO SEGUNDO.- DEL INTERNET: Los Servidores Públicos del DANSOCIAL para el uso del Internet deberán tener en cuenta lo siguiente:

a) El criterio primordial para el uso del Internet Corporativo debe ser institucional. Para asuntos personales, los servidores públicos deberán valerse de otros proveedores como yahoo, hotmail.

b) Como regla general la cuenta de correo electrónico corporativa ([email protected]) es personal e intransferible y su uso y acceso es responsabilidad estricta de cada servidor público.

c) En caso que las herramientas tecnológicas al servicio del Departamento no suplan ciertas necesidades de los usuarios, el uso de instrumentos como Messenger, o e-groups como herramienta de comunicación institucional externa, es permitida siempre y cuando se utilice de una manera racional. En todo caso los servidores deberán procurar el uso solo el Outlook y de su cuenta corporativa.

d) Queda prohibido el envío de cadenas de mensajes de cualquier tipo cuyo objetivo sea traer buena suerte, contar chistes, buscar personas o enviar mensajes para apoyar causas ajenas al Departamento a través de las cuentas corporativas, teniendo en cuenta que aumenta el tráfico en la red y la congestiona.

e) DANSOCIAL se reserva el derecho de otorgar cuentas de correo institucionales, teniendo en cuenta el vinculo de los funcionarios con la entidad y desarrollo de los roles en ella.

f) En ningún caso el usuario podrá descargar archivos que comprometan la instalación de software no licenciados por el Departamento de acuerdo con los estipulado en la Ley 44 de 1993.

g) Al momento de descargar archivos de las cuentas de correo de los usuarios se debe verificar la procedencia de éste con el fin de evitar la proliferación de virus y daños en el sistema.

h) Para todos los casos, es responsabilidad exclusiva del funcionario manejar esta herramienta de comunicación de una forma adecuada, racional y oportuna.

ARTÍCULO TERCERO.- DEL RECURSO INFORMATICO: Los Servidores Públicos de DANSOCIAL, para el uso del recurso informático en general, deberán tener en cuenta lo siguiente:

a) Cualquier modificación a la configuración de los programas de los computadores, por ejemplo: cambio de número IP asignado por el área de sistemas, en las claves asignadas para el inicio de sesión para acceder a la Red, el arranque de la máquina (setup) y el protector de pantalla, etc deberá reportarse al Administrador de la Red. Lo anterior teniendo en cuenta que la información que contiene el equipo se desarrolla en función de la entidad y por lo tanto es propiedad del Departamento.

b) Los sistemas de seguridad o realizar labores de administración del sistema o de la red es una función que compete única y exclusivamente al área de sistemas, de la Coordinación de Comunicaciones y Conectividad.

c) Cada funcionario es responsable de velar por el equipo que le ha sido asignado, para lo cual se compromete a darle un correcto y buen uso tanto al computador como a la impresora; y en caso de que una persona ajena a la institución lo manipule será responsabilidad de aquel, el uso que le dé al mismo, respondiendo en todo caso el funcionario al cual se le asignó el equipo de cómputo.

d) El traslado o retiro de los equipos a cargo de cada servidor deberá hacerse en coordinación con el área de apoyo logístico y con su autorización expresa.

ARTÍCULO CUARTO: DE LA RED: Los Servidores Públicos de DANSOCIAL, para el uso de la Red deberán tener en cuenta lo siguiente:

a) No se permite bajo ninguna circunstancia cualquier decodificación del tráfico de la Red o cualquier intento de obtención de información confidencial que se trasmita a través de la misma.

b) Queda prohibido cualquier uso malicioso, violento u obsceno de la Red o aquellos que lesionen la integridad de las personas y de la institución.

c) No se permite el montaje de servidores de correo electrónico Gopher, FTP, WWW o cualquier servidor TCP/IP sin la autorización previa y escrita por parte del área de sistemas.

d) No deberán enviarse archivos tipo: imágenes *mp3, *gifs, entre otros, es decir, todo aquello que no sea de carácter institucional.

ARTICULO QUINTO: DEL AREA DE SISTEMAS: La Coordinación de Comunicación y Conectividad deberá:

a) Controlar e informar a la oficina de Control interno, que el software instalado en cada computador,

pertenezca a la entidad y sea el licenciado por el Departamento. Para tal caso deberá entregar a cada servidor una copia de la hoja de vida de su equipo discriminando el inventario de software instalado y aprobado por DANSOCIAL, así como presentar un informe anual consolidado con esta información.

b) Actualizar cuando haya lugar los usuarios del Outlook y del correo corporativo. c) Atender al usuario que le notifique de algún inconveniente en la red, Internet o recurso informático a la

mayor brevedad posible, siempre y cuando no se trate de mantenimiento que deba ser atendido por el área de apoyo logístico de la entidad.

ARTICULO SEXTO: DEL USUARIO: Además de las anteriores obligaciones el usuario deberá:

a) Mantener desocupadas las bandejas de entrada y salida de su Outlook y de la cuenta corporativa, para lo

cual se podrá guardar copias de los mensajes enviados y recibidos en una carpeta creada en su disco duro para tal fin.

b) Realizar cada semana las copias de seguridad solo de sus archivos institucionales, en las carpetas destinadas en su computador para tal fin.

c) Avisar al área de sistemas de la presencia de un virus en el equipo para que se tomen las medidas del caso.

ARTICULO SEPTIMO: DE LA OBLIGATORIEDAD: El presente reglamento es de carácter obligatorio y su violación constituye una presunta falta disciplinaria previa el estudio respectivo.

COMUNÍQUESE Y CÚMPLASE

Dada en Bogotá D.C., a los días del mes de

ALFREDO SARMIENTO NARVAEZ Director.

CUESTIONARIO:

1. ¿Cree que la resolución 442 es una buena medida de control Interno en DANSOCIAL? ¿Por qué? 2. Tomando en cuenta las consideraciones escritas en esta resolución, le parecen ¿razonables?,

¿completas?, ¿aumentaría alguna? 3. Mencione un caso en el que se puede incumplir en el artículo segundo. 4. ¿De que trata el artículo tercero? 5. De acuerdo al artículo quinto. De un ejemplo de una hoja de vida de un equipo que se entregará al

empleado. 6. ¿Cuál será la finalidad del inciso b del artículo sexto? 7. Complete la disposición con un artículo adicional que crea pertinente. 8. ¿Cuál su relación con el control interno informático? 9. ¿Qué clase de control interno es? ¿Preventivo?¿Correctivo? ¿Detectivo? 10. ¿Es un documento específico de la entidad, o es una norma para varias instituciones? 11. Los aspectos contemplados en el articulo segundo acerca del Internet son suficientes, ha que están

orientados, permitirán lograr una eficiencia y eficacia en el uso de Internet dentro de DANSOCIAL? ¿Qué aspectos no contemplan?

12. Los aspectos contemplados en el articulo tercero acerca del uso del recurso informático son suficientes, ha que están orientados, permitirán lograr una eficiencia y eficacia dentro de DANSOCIAL? ¿Qué aspectos no contemplan?

13. Los aspectos contemplados en el articulo cuarto referido al uso de la red son suficientes, ha que están orientados, permitirán lograr una eficiencia y eficacia en el uso de la Reden DANSOCIAL? ¿Qué aspectos no contemplan?

14. ¿Qué opina de los artículos quinto y sexto? ¿Son completos, suficientes, operables?

WORK PAPER # 3



ELABORÓ: Ing. Rosmery Luizaga Salinas. CÓDIGO: CMP 425

TÍTULO DEL WORK PAPER: PROTECCIÓN CONTRA LOS DELITOS INFORMÁTICOS EN CUBA


DESTINADO A:


OBSERVACIONES: Carrera Ingeniería de Sistemas Asignatura Auditoria de Sistemas Unidad II, Tema No.

FECHA DE DIFUSIÓN: Mayo/2011

FECHA DE ENTREGA: Mayo/2011

PROTECCIÓN CONTRA LOS DELITOS INFORMÁTICOS EN CUBA. Lic. Siura L. Arregoitia López

Facultad de Derecho. Universidad de La Habana

En la especialidad de penal existen protecciones privativas y no privativas, aquellas que llevan implícito o no el derecho de última ratio, donde nos encontramos ante la posibilidad de ser sometidos a una sanción de privación de libertad. Dentro de las no privativas se encuentran: la protección penal que trata de aplicar a la materia las normas sobre violación de secreto de empresas, secreto profesional y corrupción administrativa; y la protección civil que se puede dar en el marco de un contrato o en el plano extracontractual que incluye responsabilidad civil, la concurrencia desleal y el enriquecimiento sin causa. La privativa se da mediante un mecanismo sui - géneris de protección, como lo es el derecho de propiedad intelectual ya sea por vía de derecho de autor o por la vía de propiedad industrial. En Cuba se dió el primer paso en este sentido, con la promulgación de textos legales, aunque no precisamente penales. Entre ellos aparece el Reglamento de Seguridad Informática emitido por el Ministerio del Interior, que entró en vigor desde Noviembre de 1996, el cual estipula que en todos los Órganos y Organismos de la Administración Central del Estado se deberán analizar, confeccionar y aplicar el "Plan de Seguridad Informática y de Contingencia"; y el Reglamento sobre la protección y seguridad técnica de los sistemas informáticos, emitido por el Ministerio de la Industria Sideromecánica y la Electrónica, también en vigor desde Noviembre de 1996. Ejemplo propio de los reglamentos internos tomamos por referencia a los que rigen a todas las sucursales de Copextel S.A. La función primaria, indispensable en toda entidad radica en la necesaria existencia de un conjunto de aspectos a observar y a cumplimentar que garanticen un adecuado control interno; la actividad informática al igual que cualquier otra función de la entidad, está sometida al control interno correspondiente, de ahí que sea susceptible de ser auditada, o sea a ser sometida a un control objetivo. En el primer caso el control interno se materializa mediante su adecuada aplicación como parte de la organización, utilizando la computadora como herramienta que participa y la vez auxilia a la entidad en el logro de los objetivos de control interno, lo cual se puede hacer por medio de paquetes. En el segundo caso se puede llevar por el control intrínseco de la informática. Así se logra la protección del activo de la entidad y el logro de las mejoras de las operaciones de organización y ejecución del tipo informáticas, cumpliéndose con ello las políticas establecidas por la administración, y todo ello se considera Control Interno Informático. Los riesgos que se pueden devengar de la insuficiencia de los controles están estrechamente relacionados con la mayor exposición de información sensitiva, nuevas tecnologías sin controles apropiados, autorizaciones electrónicas, concentración de funciones, integridad de datos, escasez de herramientas de auditorias y con la conocida Seguridad Informática. Esta seguridad aunque es responsabilidad de todas las personas capaces de afectar la seguridad de datos y de los sistemas computarizados, existen funciones muy específicas que se encuentran directamente involucradas con esta parte, ellas son: la gerencia, el responsable del plan de seguridad, los responsables funcionales y autores de las aplicaciones, los administradores de los sistemas y en última instancia los usuarios de los sistemas. Además ha de tenerse en cuenta la manutención adecuada de costo-beneficio. Toda entidad que emplea sistemas informáticos para el control de su gestión implementa un plan de seguridad informática y un plan de contingencia que garantiza la adecuada función de estos tanto desde el punto de vista físico como lógico. Estos programas permiten asegurar la existencia de una seguridad apropiada, así como un costo efectivo para cada sistema de aplicación que se encuentre en explotación. Este programa incluye los controles a implementar, la adquisición e instalación de tecnología de apoyo a las medidas de seguridad, la administración de la seguridad informática, la evaluación de las vulnerabilidades y debilidades de los sistemas y las soluciones a los problemas de seguridad. Actualmente la auditoria informática definida sencillamente como el conjunto de técnicas y procedimientos destinados a la evaluación y control de los Sistemas Informáticos entendidos estos en su amplia acepción ; es la encargada del cumplimiento de los controles internos de las entidades que utilicen en nuestro país sistemas de

este tipo; despliega por esto la función de revisión en un ciclo: administración de la seguridad de la red, seguridad de las comunicaciones, seguridad de las aplicaciones y seguridad física. Técnicamente este sistema de protección tecnológica debe estar aparejado al establecimiento de las normas penales pertinentes que se ajusten al nuevo problema en nuestro caso particular como nación, donde ya se han registrado casos delictivos de esta índole. La ley penal como última ratio podrá dar frente a las situaciones que se ventilen ante el incumplimiento de los reglamentos internos de las entidades, sancionando las acciones negativas que se produzcan. Podemos apreciar que la legislación informática hace referencia a los rasgos característicos de este programa de seguridad informática, tales como: integrabilidad, confidencialidad y disponibilidad de la información. La Seguridad Informática además de ser el bien jurídico tutelado, puede conceptual izarse como la operación de los sistemas de información, rigiéndose por las características que las distingue anteriormente mencionadas, tenemos que la información debe ser fidedigna y completa, nadie que no sea el usuario tiene derecho a cambiarla; que el usuario debe tener la información en el momento que la necesite; y sin su consentimiento nadie debe tener acceso y menos a divulgarla. A estas características principales por las que se distingue, le acompañan otras dos: la consistencia, mediante la cual el sistema debe comportarse siempre igual aun después de un cambio; la de control de usuario teniéndose aquí el control sobre quién entra al sistema y qué hace. Por otro lado, constituye el núcleo del control interno, y su principal objetivo es documentar las directivas o decisiones generales referentes a la seguridad de los sistemas, estableciendo las metas a alcanzar y asignando las responsabilidades. Actualmente dicha seguridad es atacada por : -Uso de passwords capturados -Uso de vulnerabilidades conocidas -Uso de brechas en protocolos -Examen de fuentes para descubrir nuevas brechas -Empleo de ataque ICMP -Abuso del FTP( File Transfer Protocol) anónimo -Empleo de programas " Sniffers " -Spoofing de dirección IP fuente Tomando en cuenta las amenazas debe hacerse un cálculo de costo de la concurrencia de cada una de ellas por un lado (teniendo en cuenta sus posibilidades de concurrencia) y el costo de las medidas para protegerse contra ellas por el otro. Hay que tener presente, sin embargo, que no se hayan considerado todas las amenazas posibles a nuestra seguridad. Los riesgos pueden minimizarse pero siguen existiendo potencialmente. Para ello se a creado una Política de Seguridad que consiste en establecer medidas de protección en nuestras instituciones con una adecuada relación costo - beneficio; Mantener una política de monitoreo y control constante y perfeccionando el sistema en cuanto se descubra una debilidad. Esta política la hace un conjunto de técnicos y jefes; y los elaborados deben tener autoridad para ponerla en práctica. Están implicados en la ejecución de esta política en principio todos los usuarios (responsables de administrar su password personal) y los administradores de sistemas. Los valores que se protegen son : Hardware - tarjetas, teclados, terminales, impresoras, servidores de terminales. Software - programas fuente, utilitarios, programas de diagnóstico, sistemas operativos, programas de comunicación. Datos - durante la ejecución, almacenados, resultados de auditoría, bases de datos, en tránsito sobre medios de comunicación. Personas - usuarios, empleados que operan en los sistemas Documentación - manuales de programas, hardware, sistemas, procedimientos locales de administración, reglamentos útiles - papel, cintas, medios magnéticos de almacenamiento. Se han considerado e identificado como posibles amenazas:

- Accesos no autorizados - el más común de los riesgos, la utilización de la cuenta de otro usuario para acceder a recursos no autorizados. Tomando como cuenta de usuario a la identificación de una persona en el sistema digitalizado, donde se asientan las partidas del deber y el haber de las personas, y que a su vez constituye el registro regular de transacciones pecuniarias de esos haberes y de los créditos. - Fuga de información - en todo sitio existe información sensible que debe ser protegida. Ejemplo fichero password de cualquiera de nuestros servidores (equipo suministrador de información a la red. Unidad central de procesamiento donde se almacena gran cantidad de programas durante las 24h del día para después distribuirla a través de la red de computadoras a la que sirve) . - Negociación de servicio a los usuarios - El usuario no puede recibir un servicio. Existen varios mecanismos para garantizar la seguridad contra algunas de las amenazas tenidas en cuenta a la hora de elaborar la política de seguridad y que persigue algunos de los objetivos de la misma. Aunque no es menos cierto que no existe una solución que satisfaga todos los objetivos ni nos proteja de todas las amenazas. Solo la combinación de varios mecanismos puede lograr un alto nivel de efectividad aunque nunca llega a ser perfecto. Estos mecanismos nunca deben faltar dentro de una buena política de seguridad que llevará a cabo la entidad. Entre estos mecanismos se puede encontrar como principal el monitoreo. Aquí se realiza un examen de los "ficheros log " que producen y guardan la mayoría de los sistemas de manera regular, es esta la primera línea de defensa. Por otro lado está la utilización de herramientas de los sistemas operativos para constituir herramientas propias tales como: elecklists de usuarios, permisos, propiedades de files. Además se deben efectuar constantes variaciones en el calendario y el cronograma del monitoreo, ya que cuando la administración del sistema ejecuta diferentes acciones de monitoreo en diversos momentos del día hace más difícil para los intrusos predecir las acciones de la administración y mantenerse encubiertos. Hay que reconocer que monitorear no es suficiente para garantizar que su sistema sea seguro ya que se puede monitorizar todo el tráfico que se mueve a través del conmutador. Por el medio utilizado para la difusión de este delito donde Internet es el instrumento de difusión, tan difícil es detectar el delito como probarlo. El elemento probatorio como en todos los delitos que se cometen es la base de su juzgar y por ende de su sanción. Esta búsqueda se torna mucho más compleja por el medio que se utiliza para ello y por las características del mismo; ya que no existe forma de determinar fehacientemente cuál era el estado anterior de los datos, puesto que la información en estado digital es adulterable, y la simple auditoría contable o financiera común pierde su eficacia ante este nuevo tipo de figura delictiva. Inclusive a manera de referencia, la sanción puede llegar hasta ser compleja su determinación, partiendo de que por ejemplo en el caso de la responsabilidad civil sería difícil determinar el valor que dicha información tenía, debido a que el valor de la misma es subjetiva, dependiendo por ello de cada uno a quién le pertenezca y del contexto de la misma. La complejidad de su determinación se incrementa si tenemos en cuenta que los medios empleados son sólo conocidos por especialistas, que el autor de la conducta antijurídica tiene, la facilidad del autor de borrar las huellas o rastros de identificación, así como que dicho sujeto tiene a su favor el tiempo que puede mediar entre la acción y el efecto. La situación se facilitaría algo más si las entidades y organizaciones víctimas los denunciaran, pero sucede que no lo hacen por considerar que tales hechos pueden poner en tela de juicio, en ocasiones, la fiabilidad de los sistemas informáticos. El reparo de las víctimas según una encuesta realizada en los Estados Unidos por la American Bar Association en la década del 80 en denunciar los delitos sufridos no es en realidad un hecho irracional: es decir que existen uno o varios motivos que determinan la reacción de las personas afectadas. Los especialistas norteamericanos han individualizado una serie de factores que podrían influir en el comportamiento de las víctimas, específicamente en las personas jurídicas, estas son: -El temor de que se pierda la confianza o la estima por la organización y que las pérdidas económicas que ello acarrearía sean probablemente superiores a las derivadas del delito sufrido. -El temor de las pesquisas de la policía, sobre todo si son profundas, puedan evidenciar, de un modo o de otro, manejos turbios de la dirección de la entidad.

-Los inconvenientes relacionados con el desarrollo del proceso, como por ejemplo: el tiempo resultante de la necesidad de proporcionar a la policía y luego a las autoridades judiciales el material probatorio y asistirles en la realización de experimentos de instrucción. -La dificultad en probar en forma adecuada los hechos y el temor a verse inculpados por una denuncia falsa. -El temor de la dirección a que las pesquisas hagan públicas las estrategias de comercialización de la organización y los secretos comerciales y científicos. -La preocupación de que la descripción detallada del hecho y las revelaciones relativas a la vulnerabilidad del sistema puedan incitar ulteriores ataques. Estas motivaciones están presentes en la casi totalidad de los países desarrollados donde el delito informático alcanza elevados índices, no siempre registrados. En la actualidad nuestro ordenamiento penal deja desprotegido aparentemente a la víctima de los ataques de delincuentes informáticos por no recoger en su articulado normas específicas que tipifiquen cada una de los casos que pudieran darse. Nuestros tribunales por su parte con todas las intenciones de impartir justicia tiene en cuenta estas actividades delictivas atendiendo a la acción del comisor y los resultados que esta provoca, asemejándola a aquella que está recogida en el Código Penal. Siendo así entendida una violación del correo electrónico que ataca la intimidad del usuario como una mera violación de la correspondencia pues el bien jurídico que se daña será en ambos casos la información. En este supuesto la acción del comisor será apropiarse o tener conocimiento del contenido del texto que por cualquiera de ambas vías se envía, sin el autorizo previo de su destinatario, y mucho menos sin una autorización legal que fundamente estos actos en el caso de que el transgresor de esta norma fuera una persona jurídica que actúe mediante acuerdo de los socios o en representación de la misma en buscas de pruebas que demuestren que el destinatario utiliza la red para cometer posteriores delitos que atacan la propiedad de dicha entidad. Bibliografía: - Zavaro Babari, León y Maitines García, Cerafino: Auditoria Informática. Consultoría Jurídica Internacional. Cuba - Balluja García, Walter Ing. :Fire Walls. Grupo de Redes. ISPAJE, La Habana, Cuba 1998. - Álvarez Calderón. Presidente del Proyecto Cibertribunal Peruano. Instituto Peruano de Comercio Electrónico. El Cibertribunal Peruano. http://vlex.com/pe/canales/derecho%20inform%E1tico/ Cuestinario:

1. De un concepto de delito informático. 2. Mencione tres características de los delitos informáticos. 3. Mencione cuatro formas de control preventivo y correctivo de los delitos informáticos. 4. De ejemplos de países que cuentan con legislación al respecto. 5. Mencione las características de la legislación Alemana. 6. Por que se dice que Internet propicia la Delincuencia. 7. Explique qué son los CiberPunks? 8. Que es un Escaner, quienes lo utilizan y para qué? 9. Que son los Spoofings y snifers ? 10. Cuál la diferencia y similitud entre un Hacker y un Craker? 11. ¿Cómo afecta a Cuba la proliferación de delitos informáticos? 12. ¿Qué medidas se ha tomado al respecto? 13. ¿Cómo se materializa el control informático interno en una organización? 14. ¿Cuáles son los riesgos que devenga la insuficiencia de los controles? 15. ¿Por qué es necesario un Plan de Seguridad y un Plan de contingencia? 16. ¿En cuba como se encuentra atacada actualmente la seguridad de los sistemas 17. ¿Cuáles son los mecanismos existentes que garantizan la seguridad contra amenazas? 18. ¿Por qué las entidades y organizaciones que son victimas de delitos informáticos no denuncian los

mismos?

WORK PAPER # 4



ELABORÓ: Ing. Rosmery Luizaga Salinas CÓDIGO: CMP 425

TÍTULO DEL WORK PAPER: AUDITORIA AL MODULO DE FACTURACIÓN DEL SISTEMA CRESCENDO DE LA EMPRESA MEGABYT CENTER


DESTINADO A:


OBSERVACIONES: Carrera Ingeniería de Sistemas Asignatura Auditoria de Sistemas Unidad III, Tema No

FECHA DE DIFUSIÓN: Junio/2011

FECHA DE ENTREGA: Junio/2011

Auditoria al Modulo de Facturación del Sistema Crescendo

de la Empresa Megabyte Center Autores: Betzaida Harper Pablo Caso Resumen Cada día es mayor el número de situaciones irregulares que se presentan, como consecuencia del uso y aplicación de la Tecnología de Información (T. I.), en las diferentes organizaciones, entidades, empresas y compañías en general. Es por esto que se necesita que se aplique la auditoria de los sistemas de información que no es más que cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Antecedentes de la Empresa Management Information Systems, S.A. (Megabyte Center) ubicada en Plaza Regency, Vía España, es una empresa que cuenta con más de 10 años de experiencia en el mercado, Se dedica actualmente a la venta de equipos de código de barra, computadoras, desarrollo de software, y a la vez se encarga de distribuir y trabajar con un sistema llamado Crescendo. Diagrama de la Empresa

Antecedentes del Sistema

Junta De Accionistas

Junta Directiva

Secretaria

Gerente General

Departamento de Código de Barra

Departamento de Computadoras

Departamento de Contabilidad

Departamento Técnico

Gerente de Ventas

Secretaria

Vendedores

Gerente de Ventas

Secretaria

Vendedores

Contador

Asistente de Contabilidad

Secretaria

Técnicos de Computadoras

Técnicos de Código de Barras

Área a Auditar en la Empresa

Crescendo es un Sistema de Información diseñado para la Alta Dirección de organizaciones dedicadas a la actividad comercial, que involucra y beneficia a todos los niveles de la empresa constituyéndose como un sistema de administración y dirección de negocios integral. Esta poderosa herramienta tiene características que permite proporcionar el control general de la información de la empresa por medio de análisis estratégicos como: análisis de inventarios, de cartera y de ventas entre otros., generando paralelamente la información estratégica para la toma de decisiones acertadas mediante su operación; minimizando el tiempo y costo del mismo. Diagrama del Sistema

Objetivo General Evaluar la Precisión e Integridad de los datos almacenados e introducidos en el proceso de facturación del sistema Crescendo de la empresa Megabyte Center. Ejecución de la Auditoria AL Modulo De Facturación Del Sistema Crescendo:

Otras Salidas

Crescendo

Catálogos Operación Procesos Reportes

Productos

Ventas Compras

Entradas Facturación

Otras Entradas

Salidas Productos

Proceso a Auditar

Actividad 1.1.1.1

Aplicación de los derechos de Usuarios

EEvvaalluuaacciióónn GGeenneerraall ddee llaa AAuuddiittoorriiaa eenn BBaassee aa EEnnttrreevviissttaass

Objetivo General: Evaluar la Precisión e Integridad de los datos almacenados e introducidos en el proceso de facturación Preguntas: Usuario # 1 (Vendedora Mayra Miur) 1¿A qué departamento pertenece? Departamento de Ventas (Código de Barra) 2¿Qué función realiza en ese departamento? Venta de Hardware(equipo para realizar lectura e impresión de código de barra). 3¿ Tienes acceso al modulo de facturación?

OObbjjeettiivvooss EEssppeeccííffiiccooss

CCoonnttrroolleess

TTééccnniiccaass

AAccttiivviiddaaddeess

1. Evaluar que el usuario conozca y cumpla con los permisos asignados del sistema.

1.1 Niveles de Acceso por tipo de usuario

Entrevista Confirmación de los

permisos de acceso de los usuarios al módulo de facturación

.1 Se aplicará la entrevista a los usuarios definidos del área para obtener los permisos al sistema.

2.1 Se verificará que el módulo de Facturación cuente con un control de acceso al mismo.

2.2 Se Conseguirá los permisos que tienen los usuarios del área por medio del administrador del sistema (Gerente del Departamento)

2.3 Comparar los permisos obtenidos por el administrador con los obtenidos por los usuarios

Aplicación de los derechos de Usuarios

Actividad 1.1.2.1

Aplicación del Acceso al Módulo de Facturación

Aplicación del Acceso al Módulo de Facturación

FFeecchhaa:: 2244 ––33--22000033 NNºº ddee PPáággiinnaa:: 22 ddee 1188 AAccttiivviiddaadd NNºº:: 11..11..22..11 DDeeppaarrttaammeennttoo:: CCóóddiiggoo ddee bbaarrrraa RReessppoonnssaabbllee:: PPaabblloo CCaassoo

Situación Encontrada (Hallazgo)

Duración en Horas/ minutos

Se observó el acceso de los usuarios al sistema para confirmar la entrada al módulo de facturación, y se encontró que el propio sistema de Crescendo cuenta con un control de acceso por medio de contraseña, pero el modulo de facturación no cuenta con ningún tipo de control de acceso al mismo. Ocasionando que los usuarios puedan acceder con el password de otra persona a dicho modulo teniendo acceso a alterar (modificar, eliminar, elaborar, consultar pedidos) alguna transacción sin ningún tipo de permiso previo.

30 minutos

Actividad 1.1.2.2

Aplicación de los Permisos por Usuario

EEvvaalluuaacciióónn GGeenneerraall ddee llaa AAuuddiittoorriiaa eenn BBaassee aa EEnnttrreevviissttaass

Objetivo General: Evaluar la Precisión e Integridad de los datos almacenados e introducidos en el proceso de facturación Preguntas: Usuario (Administrador Alvaro Bernal) 1¿Con que tipo de permisos cuenta le modulo de facturación del sistema Crescendo? Elaborar, Consultar, Modificar, Eliminar Pedido. Seleccionar el local de la venta, Escoger el cliente de la venta, Seleccionar al vendedor encargado de la venta, Escoger le código del producto, Escoger Precios, Seleccionar tipo de Pago (crédito, contado), Facturar venta, Registrar. 2¿Qué permisos al modulo de facturación son asignados a la secretaria? Elaborar, Consultar, Modificar Pedidos. Registrar clientes en ventas, Modificar local, vendedor, precios ne ventas que no excedan los precios minimos, Facturar en ventas, seleccionar precios, Modificar nombre de clientes, Reimpresión de Facturas. 3¿Qué permisos al modulo de facturación son asignados a los vendedores? Elaborar Pedidos (venta), Modificar precios en ventas, Reportes de Comisiones, Lista de precios, Ventas por cliente. Consulta de Inventario. 4¿ Qué permisos al modulo de facturación son asignados a los Técnicos? Elaborar Pedidos (venta), Modificar precios en ventas, Reportes de Comisiones, Lista de precios, Ventas por cliente. Consulta de Inventario.

Actividad 1.1.2.3

Análisis de Hallazgos del objetivo 1 Hallazgo de la Actividad 1.1.1.1

FFeecchhaa:: 2244 ––33--22000033 NNºº ddee PPáággiinnaa:: 44 ddee 1188 AAccttiivviiddaadd NNºº:: 11..11..22..33 DDeeppaarrttaammeennttoo:: CCóóddiiggoo ddee bbaarrrraa RReessppoonnssaabbllee:: PPaabblloo CCaassoo


Duración en Horas/

minutos Se compararon los resultados obtenidos de la entrevista aplicada

tanto a los usuarios como al administrador del sistema para comprobar el grado de conocimiento de los derechos asignados al modulo de facturación del sistema Crescendo.

30 minutos

Usuarios Permisos Conocidos

Vendedores

1. Elaborar, Eliminar y consultar Pedidos 2. Modificar pedidos propios y datos de Usuario 3. Acceso a Reportes(Ventas al Mes, Cobros, Ventas por Producto)

Técnicos

1. Elaborar, Eliminar y consultar Pedidos 2. Modificar pedidos propios y datos de Usuario 3. Acceso a Reportes(Ventas al Mes, Cobros, Ventas por Producto)

Secretaria

1. Elaborar, Eliminar y consultar Pedidos 2. Modificar pedidos propios y datos de Usuario 3. Acceso a Reportes(Ventas al Mes, Cobros, Ventas por Producto) 4. Creación e Impresión de Facturas

Hallazgo de la Actividad 1.1.2.1 El sistema solo cuenta con un control de Acceso a través de contraseñas de entrada al mismo. Sin embargo en el modulo de facturación no existe un control de este tipo permitiendo que los usuarios a través del conocimiento del password o por negligencia al modulo, dejando sin protección otro usuario podría alterar o elaborar algún pedido a su nombre sin ningún problema, sin darse cuenta de la irrupción a su privilegio. Hallazgo de la Actividad 1.1.2.2 El sistema cuenta con 250 permisos exclusivamente para el Modulo de Facturación de los cuales aproximadamente 37 permisos son asignados a cada usuario. Entre lo permisos mas relevantes al modulo por tipo de USUARIO Vendedores Técnicos Secretaria Permisos 1. Elaborar pedido

2. Modificar prec Ventas

3. Reportes de co 4. Reporte de

Precios 5. Reportes de Ve

Clientes 6. Consulta de Inv

7. Elaborar pedidos 8. Modificar preci

Ventas 9. Reportes de comi 10. Reporte de li

Precios 11. Reportes de Ven

Clientes 12. Consulta de Inven 13. Local

14. Elaborar, Modificar, C pedidos

15. Registrar Clientes en Venta 16. Modificar local, Vendedor,

y Precio en Ventas 17. Seleccionar precio 18. Modificar nombres de Clie 19. Reimpresión de doc

(Facturas)

Hallazgo de la Actividad 1.1.2.3 Comparando los permisos entre el administrador y los Usuarios encontramos que: Usuarios Permisos Desconocidos Vendedores 1. Modificar precio en Venta

2. Reporte de Comisiones 3. Reporte de Lista de Precios 4. Ventas por Cliente, Consulta de Inventario

Técnico 1. Modificar precio en Venta 2. Reporte de Comisiones 3. Reporte de Lista de Precios 4. Ventas por Cliente, Consulta de Inventario

Secretaria 1. Modificar Local, Vendedor, precios en Venta 2. Seleccionar precios 3. Modificar nombres de Cliente

Debilidades, Fortalezas y Recomendaciones Debilidades Fortalezas Recomendaciones 1. Existencia de permisos desconocido usuarios 2. Inexistencia de un co acceso al modulo de Fac

1. Conocimiento por los Usuarios de los p mas Utilizados

1. Procurar que al entrenar al persona especifique o proporcione un folleto que los distintos permiso que le corresponde d los módulos a fin de evitar malas acc sistema.

2. Crear un control de acceso por tipo de u modulo de Facturación y tomar med seguridad para no permitir alteraciones f los pedidos realizados

Ejecución de la Auditoria AL Modulo De Facturación Del Sistema Crescendo

Objetivo Control Técnica Actividad 7. Verificar la existencia y funcionamiento de las operaciones de respaldo sobre los datos suministrados y almacenados al proceso de facturación y todos los módulos ligados a este.

7.1 Procedimiento de creación de backups

7.1.1 Encuesta 7.1.2 Datos de Prueba

1.1 Aplicar una encuesta a los usuarios del sistema para determinar la existencia de operaciones de respaldo sobre los datos manejados.

2.1 Aplicar al proceso de facturación datos de prueba creados para verificar el funcionamiento de respaldo de dichos datos en el sistema.

Actividad 7.1.1.1

Actividad 7.1.2.1

EEvvaalluuaacciióónn GGeenneerraall ddee llaa AAuuddiittoorriiaa eenn BBaassee aa EEnnccuueessttaa

Objetivo General: Evaluar la Precisión e Integridad de los datos almacenados e introducidos en el proceso de facturación Encuesta: Usuario (Administrador Alvaro Bernal) 1. ¿Crees que la información suministrada al proceso de facturación está realmente protegida de algún peligro? Si X No 2. Existen procedimientos de backup a los datos almacenados? Si X No 3.¿Con qué frecuencia se realizan los procedimientos de backup a los datos? Cada día Anualmente Semanalmente X 2 o 3 veces a la semana Mensualmente Nunca 4. ¿Qué procedimiento de backup utilizan? CD Rom

Disco 3 ½ Zip X Otros Especifique: Disco Duro 5 ¿Son estos procedimientos efectivos? Si X No Si su respuesta es NO Explique: 6. ¿Qué sucede los días que no se realizan las operaciones de Backup a los datos? Tengo Protección Adicional X Queda Desprotegido el sistema No tengo Idea Otros Si su respuesta es Otros Especifique:

Aplicación de Datos de Prueba

Análisis de Hallazgos del objetivo 7 Hallazgo de la Actividad 7.1.1.1 Basándonos en la encuesta realizada al administrador del sistema, podemos afirmar que si existen operaciones de respaldo sobre los datos almacenados. Sin embargo, estás operaciones solo se llevan a cabo los días Lunes, Miércoles y Viernes quedando los días Martes y Jueves sin esta operación y los datos desprotegidos sin importar que tan grande haya sido la transacción realizada esos días. Hallazgo de la Actividad 7.1.2.1 Con los datos de prueba aplicados sobre el modulo de facturación para la verificación del funcionamiento de respaldo, pudimos comprobar que estos se lograron respaldar perfectamente. No obstante, el procedimiento de backup utilizado es el Disco Duro de una computadora disponible actualmente y hasta ahora este medio les ha sido efectivo pero consideramos que es totalmente inseguro ya que si se llegará a dañar no habría manera de recuperar los datos y además no es efectivo realmente porque si se perdieran los datos de los días en que estos no son respaldados la única manera sería tomar la información del día anterior respaldada para rescatar ciertas transacciones hechas y eso representa un retraso en las funciones diaria del usuario encargado de esas transacciones.

Campos en Pantalla

Datos de Prueba

Datos de Prueba

Datos de Prueba

# Cliente

000053

001134

000370

Cliente

Cuernavaca Business

Nestle Panamá

Local

0

0

0

Vendedor

AE

PC

MC

Producto

Etiquetas Zebra 2 ¼ * 1 – ¼

Bateria PPDT 6800

Ribbon 5319KB08945

Cantidad

1

1

1

Precio

45.00

85.00

1044.00

Detalle de la venta

Debilidades, Fortalezas y Recomendaciones Debilidades Fortalezas Recomendaciones

1. El procedimiento es porque el medi almacenamiento de respaldos es un disco d

2. El funcionamiento operaciones de respal datos no es efectivo p solo tres veces a la sem

1. Cuenta con un p amigable para h backups de los d

2. Se recomienda que al rea operaciones de backup por l se cuente con un disco duro exclusivo para esas operac contar con otro med almacenamiento físico co ejemplo, CD ROM.

3. Procurar realizar las operac respaldo sobre los datos to días en la semana para que efectivo si ocurre alguna p ataque a la información.

Ejecución de la Auditoria AL Modulo De Facturación Del Sistema Crescendo

Actividad 8.1.1.1

EEvvaalluuaacciióónn GGeenneerraall ddee llaa AAuuddiittoorriiaa eenn BBaassee aa EEnnccuueessttaa

Objetivo General: Evaluar la Precisión e Integridad de los datos almacenados e introducidos en el proceso de facturación Encuesta: Usuario (Administrador Alvaro Bernal) Objetivo Nº 8 Control Nº 8.1 Técnica Nº 8.1.1 Actividad Nº 8.1.1.1 1. ¿Crees que los datos almacenados están guardados en un lugar seguro dentro del sistema? Si X No 2. ¿Alguna vez se ha infectado el sistema con un virus, ocasionando la perdida total de los datos del proceso sin posibilidad de recuperarlos? Si X No 3. ¿Qué antivirus utilizan para proteger los datos del sistema? Norton Mc Caffee Panda X Otros Si su respuesta es OTROS Especifique: En proceso de estudio, es decir, el antivirus más fiable y seguro para nuestras necesidades.

Objetivo

Control

Técnica

Actividad

8. Verificar que la protección de los datos sean efectivos.

8.1 Procedimiento de seguridad a los datos

8.1.1 Encuesta 8.1.2 Observación

8.1.1.1 Aplicar una encuesta al administrador para corroborar la efectividad de la protección de los datos contra los virus. 8.1.2.1 Verificar si se cuenta con una seguridad a los datos almacenados en la red.

Actividad 8.1.2.1

Análisis de Hallazgos del objetivo 8 Hallazgo de la Actividad 8.1.1.1 Pudimos darnos cuenta que al aplicar la encuesta al administrador que el sistema: No cuenta con un antivirus que lo proteja contra los virus informáticos. Ocasionando la perdida ya sea parcial o total de los datos si ocurre este tipo de daño. Hallazgo de la Actividad 8.1.2.1 Se pudo observar que al entrar a la red, el sistema no cuenta con ningún tipo de control si tratamos de ingresar a la carpeta que cuenta con los datos almacenados de las transacciones realizadas. Control de Entrada a la Red

4. ¿ Se puede acceder fácilmente a los datos almacenados dentro de la red? Si X No 5. ¿Los datos dentro de la red tienen alguna protección contra los hackers corporativos? Si No X Por favor, Explique cualquiera que haya sido su respuesta: No contamos con los recursos tecnológicos para evitar ese tipo de daño al sistema.

FFeecchhaa:: 2288 ––33--22000033 AAccttiivviiddaadd NNºº:: 88..11..22..11 DDeeppaarrttaammeennttoo:: CCóóddiiggoo ddee bbaarrrraa RReessppoonnssaabbllee:: PPaabblloo CCaassoo


Duración en Horas/ minutos

Se observó si al entrar a la red donde se almacenan los datos de las transacciones realizadas se cuenta con algún tipo de control a las carpetas allí contenidas para verificar si la seguridad a los datos es efectiva.

30 minutos

Control de Entrada a los Datos

Debilidades, Fortalezas y Recomendaciones Debilidades Fortalezas Recomendaciones

1. No existe ningún para acceder a la red

1. Por medio del prove

servicio de red se hackear los almacenados de transacciones.

1. Hacer un segurity Polic restringa la entrada a la

2. Cambiar el password usuarios eventualment

3. Utilizar una máscara de

Conclusión Esta auditoria nos permitió comprobar que todo sistema aún tan perfecto y completo como parezca cuenta con errores que deben corregirse. La auditoria a los sistemas de información debe ser de carácter obligatoria no importa por pequeña o grande que sea la empresa, ya que esta nos permite cumplir con los objetivos que toda empresa busca: SATISFACER A LOS USUARIOS realizando las funciones diarias de una forma segura, integra, precisa y correcta para llegar al éxito. CUESTIONARIO:

1. Que área de la empresa Megabyte Center se Audita en este ejemplo? 2. Que tipo de sistema es Crecendo y que características posee? 3. Para evaluar que el usuario conozca y cumpla con los permisos asignados del sistema qué técnicas esta

utilizando? 4. Fue favorable o desfavorable el informe respecto al punto anterior, porque piensa asi?

5. Para Verificar la existencia y funcionamiento de las operaciones de respaldo sobre los datos suministrados y almacenados al proceso de facturación y todos los módulos ligados a este.

6. qué técnicas esta utilizando? 7. Concuerda con las debilidades y fortalezas encontradas respecto al punto anterior, porque piensa así? 8. Comente los resultados de la evaluación respecto a la integridad y fiabilidad de los datos. 9. Comente los resultados de la evaluación respecto a la s políticas de seguridad del sistema. 10. De una recomendación aplicable que mejore el sistema en conjunto.

WORK PAPER # 5



ELABORÓRosmery Luizaga Salinas CÓDIGO: CMP 425

TÍTULO DEL WORK PAPER: CÓDIGOS DE BUENAS PRÁCTICAS DE SEGURIDAD. UNE-ISO/IEC 17799


DESTINADO A:


OBSERVACIONES: Carrera Ingeniería de Sistemas Asignatura Auditoria de Sistemas Unidad IV, Tema No.


FECHA DE ENTREGA: Junio/2011

CÓDIGOS DE BUENAS PRÁCTICAS DE SEGURIDAD. UNE-ISO/IEC 17799

Autor: Antonio Villalón Huerta Grupo S2 Contenidos ● Introducción. – Problemática de seguridad. – ¿Qué es ISO 17799? – Historia ● Estructura de la norma. – Dominios de control. – Objetivos de control. ● Trabajando con ISO 17799. – Auditoría. – Consultoría. – Implantación. ● Ventajas. ● Conclusiones. Introducción: problemática ● ¿Cómo establecer qué entendemos por ‘seguridad'? ● Diferentes criterios de evaluación de la seguridad: internos a una organización, sectoriales, nacionales, internacionales... ● Multitud de estándares aplicables a diferentes niveles: – TCSEC (Trusted Computer Security, militar, US, 1985). – ITSEC (Information Technology Security, europeo, 1991). – Common Criteria (internacional, 1986-1988). – *7799 (británico + internacional, 2000). – ... ● Actualmente, tras adoptar *7799 como estándar internacional, es el más extendido y aceptado. Introducción: ¿qué es ISO 17799? ● ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ● ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. ● La seguridad de la información se define como la preservación de: – Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. – Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento. – Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. ● El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. ● La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

● Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE. Introducción: historia ● En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. ● En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002. ● Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: – Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. – Aplicable por toda organización, con independencia de su tamaño. – Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología. ● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

Estructura: dominios de control ● La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información: 1. Política de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificación y control de activos. 4. Seguridad ligada al personal. 5. Seguridad física y del entorno. 6. Gestión de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestión de continuidad del negocio. 10.Conformidad con la legislación. ● De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo). Estructura: objetivos de control POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información.

• La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la información. • La política se constituye en la base de todo el sistema de seguridad de la información. • La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

• Gestionar la seguridad de la información dentro de la organización. • Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de

la organización que son accedidos por terceros. • Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a

otra organización. • Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. • Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos. CLASIFICACIÓN Y CONTROL DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. • Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos. • Las implicaciones del factor humano en la seguridad de la información son muy elevadas. • Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. • Diferentes relaciones con los sistemas de información: operador, administrador, guardia de seguridad, personal de servicios, etc. • Procesos de notificación de incidencias claros, ágiles y conocidos por todos. SEGURIDAD FÍSICA Y DEL ENTORNO Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. • Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio...). GESTIÓN DE COMUNICACIONES Y OPERACIONES Asegurar la operación correcta y segura de los recursos de tratamiento de información. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la información. Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo. Evitar daños a los activos e interrupciones de actividades de la organización. Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.

• Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos para el negocio. CONTROL DE ACCESOS Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Protección de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la información contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. • Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Asegurar que la seguridad está incluida dentro de los sistemas de información. Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la información. Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevadas a cabo de una forma segura. Mantener la seguridad del software y la información de la aplicación del sistema. • Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento... GESTIÓN DE CONTINUIDAD DEL NEGOCIO Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres. • Todas las situaciones que puedan provocar la interrupción de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. • Los planes de contingencia deben ser probados y revisados periódicamente. • Se deben definir equipos de recuperación ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre. CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas. • Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrándola en el sistema de seguridad de la información de la compañía y garantizando su cumplimiento. • Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información. ● ¿Somos seguros? ¿Muy seguros? ¿Poco seguros? ¿Relativamente seguros?... ● Trabajo de auditoría ISO 17799: valoración del nivel de adecuación, implantación y gestión de cada control de la norma en la organización: – Seguridad lógica. – Seguridad física. – Seguridad organizativa. – Seguridad legal. ● Referencia de la seguridad de la información estándar y aceptada internacionalmente. ● Una vez conocemos el estado actual de la seguridad de la información en la organización, podemos planificar correctamente su mejora o su mantenimiento.

● Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.

● Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mínimo aceptable y el nivel objetivo en la organización: – Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa. – Nivel objetivo. Estado de seguridad de referencia para la organización, con un alto grado de cumplimiento ISO 17799.

● A partir del nivel mínimo aceptable y el nivel objetivo, podemos definir un plan de trabajo para alcanzar ambos a partir del estado actual. – Nivel mínimo aceptable. Implantación de los controles técnicos más urgentes, a muy corto plazo. – Nivel objetivo. Se desarrolla en el tiempo dentro del Plan Director de Seguridad corporativo, y es el paso previo a la certificación UNE 71502.

Implantación ● ISO 17799 no es una norma tecnológica. – Ha sido redactada de forma flexible e independiente de cualquier solución de seguridad específica. – Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado. ● Estas características posibilitan su implantación en todo tipo de organizaciones, sin importar su tamaño o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma. ● ¿Cómo traducir especificaciones de alto nivel a soluciones concretas, para poder implantar ISO 17799? – Trabajo de consultoría, interna o externa. ● Dominio de control: Gestión de comunicaciones y operaciones – Objetivo de control: proteger la integridad del software y de la información. • Control: Controles contra software malicioso. ● “Se deberían implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concienciar a los usuarios”.

– Normativa de uso de software: definición y publicitación en la Intranet. – Filtrado de contenidos: X - Content Filtering v3.4. – Antivirus de correo: Y – Antivirus v2.0. – Antivirus personal: Z - Antivirus v4.5. Ventajas de la norma ● La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización: – Aumento de la seguridad efectiva de los sistemas de información. – Correcta planificación y gestión de la seguridad. – Garantías de continuidad del negocio. – Mejora contínua a través del proceso de auditoría interna. – Incremento de los niveles de confianza de nuestros clientes y partners. – Aumento del valor comercial y mejora de la imagen de la organización. – ... – ¡CERTIFICACIÓN! (UNE 71502) Conclusiones

● ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información, adoptada en España como norma UNE-ISO/IEC 17799. ● La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. ● Implantar ISO 17799 requiere de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización concreta. ● La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.

Ni la adopción de ISO 17799, ni la certificación UNE 71502, ni... garantizan la inmunidad de la organización frente a problemas de

seguridad. CUESTIONARIO

1. ¿Qué entiende por seguridad? 2. ¿Cuál es el objetivo de la seguridad de la información? 3. ¿Cuál es el Objetivo de la Norma ISO 17799? 4. ¿Cuáles son los diez dominios de control que establece la norma UNE-ISO/IEC 17799? ¿Cuántos objetivos

de control ha creado y cuántos controles? 5. Mencione dos aspectos organizativos para la seguridad e indique la forma de cumplirlos 6. ¿Que contempla la seguridad en el desarrollo y mantenimiento de sistemas? 7. ¿A través de qué técnicas ofrece una Auditoria ISO 17799 información precisa del nivel de cumplimiento? 8. ¿Con que criterio se puede establecer un nivel aceptable de cumplimiento de cualquier aspecto de control? 9. Mencione tres ventajas de la aplicación de la norma ISO 17799 10. Cree que la Aplicación de la Norma ISO 17799 ayudará a la creación de sistemas de seguridad

informática de alta calidad?

WORK PAPER # 6



ELABORÓ Rosmery Luizaga Salinas CÓDIGO: CMP 425

TÍTULO DEL WORK PAPER: INTRODUCCIÓN A LA CALIDAD TOTAL


DESTINADO A:


OBSERVACIONES: Carrera Ingeniería de Sistemas Asignatura Auditoria de Sistemas Unidad IV, Tema No.


FECHA DE ENTREGA: junio/2010

INTRODUCCIÓN A CALIDAD TOTAL La calidad es el factor básico de decisión del cliente para un número de productos y servicios que hoy crece en forma explosiva. La calidad ha llegado a ser la fuerza más importante y única que lleva al éxito organizacional y al crecimiento de la compañía en mercados nacionales e internacionales. Los rendimientos de programas de calidad fuerte y eficiente están generando excelentes resultados de utilidades en empresas con estrategias de calidad eficientes. Esto está demostrado por los importantes aumentos en la penetración del mercado, por mejoras importantes en la productividad total, por los costos muchos menores de calidad y por un liderazgo competitivo más fuerte. Cuando se menciona el término "calidad", por lo general lo asociamos con productos o servicios excelentes, que satisfacen nuestras expectativas y, más aún, las rebasan. Tales expectativas se definen en función del uso que se le dará al producto o servicio en cuestión y de su respectivo precio de venta. Cuando un producto mejora nuestras expectativas estamos hablando de calidad. Es decir, se trata de una cualidad cuya valoración dependerá de lo que se perciba. De acuerdo a la norma A3 – 1987 ANSI / ASQC, Calidad es la totalidad de aspectos y características de un producto o servicio que permiten satisfacer necesidades implícita o explícitamente formuladas.

Estas últimas se definen mediante un contrato, en tanto que las primeras se definen según las condiciones que imperen en el mercado, aunque es necesario también determinarlas y definirlas. Debido a la gran variación de resultados de calidad, la búsqueda genuina del éxito en la calidad se ha convertido en un asunto de gran interés en la administración de las compañías de todo el mundo. Y la experiencia está abriendo una base fundamental para lograr ese éxito. La calidad es en esencia una forma de administrar a la organización. Como finanzas y mercadotecnia, la calidad ha llegado a ser ahora un elemento esencial de la administración moderna. Y la eficiencia en la administración de la calidad se ha convertido en una condición necesaria para la eficiencia de la administración industrial en sí. El presente trabajo no pretende ser una recopilación completa respecto a lo que son los sistemas de calidad y los costos que ella involucra; solo es un breve resumen de algunos puntos de importancia que las empresas hoy en día deberían tomar en cuenta con la finalidad de ser más competitivas en el mercado mundial cambiante. ORIGEN DE LA CALIDAD TOTAL Origen de la técnica de la calidad total Como nos tienen acostumbrados, los japoneses fueron los pioneros. La II Guerra Mundial dejó la economía nipona en una situación catastrófica, con unos productos poco competitivos que no tenían cabida en los mercados internacionales. Los japoneses no tardaron en reaccionar: se lanzaron al mercado gracias a la adopción de los sistemas de calidad. Los resultados fueron que Japón registró un espectacular crecimiento. La iniciativa nipona pronto se transmitió a otras zonas del planeta. Europa tardó algo más, pero también fueron los años 80 los del impulso definitivo. En 1988 nace la European Foundation for Quality Managment (EFQM), organización que apuesta por los modelos de gestión de calidad total (GTC o TQM), estrategias encaminadas a optimizar los recursos, reducir costes y mejorar los resultados, con el objetivo de perfeccionar constantemente el proceso productivo. La implantación de la calidad total es un proceso largo y complicado, supone cambiar la filosofía de la empresa y los modos de gestión de sus responsables; se debe elegir un problema concreto, y analizar el punto en donde esté fallando la empresa. Los principios de gestión de la calidad total son sencillos de entender, pero complicados de asimilar:

• El sistema parte de la búsqueda de la satisfacción del cliente, en todos sus aspectos. • Un primer paso es la búsqueda de la calidad de los productos/servicios. • Pero habrá que tener en claro que el producto/servicio ya no será el punto principal de calidad.

Los principios elementales son los siguientes: • De poco sirve imponer de forma autoritaria la mejora en cada puesto de trabajo. • La calidad la produce el último eslabón que termina el producto ó que está en contacto con el

cliente pero nunca el director general. • El directivo tiene que estar convencido de la necesidad de la calidad.

CONCEPTO DE CALIDAD Es cuando en una organización se determinan las actividades y los integrantes de la misma se encuentran haciendo lo que tienen que hacer, lo están haciendo bien, para brindarle una satisfacción total al cliente. Análisis del concepto “haciendo lo que tienen que hacer”, se refiere a:

• Determinación de las actividades • Conocimiento de los requisitos a cumplir • Adiestramiento sobre esos requisitos (capacitación) • Cumplimiento estricto de esos requisitos

Si se conocen los requisitos no se necesita supervisión, ya que se sabe qué hacer. “lo están haciendo bien” Implica la predisposición o la integración de la organización (el compromiso). Es la diferencia entre tener y querer ir a trabajar, creando un mejor ambiente de trabajo. “brindar satisfacción total al cliente” Calidad Total es cuando en la organización, los integrantes se encuentran cumpliendo exactamente con todos los requisitos establecidos y normalizados hacia la del la búsqueda del Cero Defecto, para brindarle satisfacción total al cliente.

Cliente es todo aquel que se ve afectado por lo que haga o deje de hacer. Es aquel que depende de mí, es decir, tiene una dependencia directa; aquel que me sigue en la línea (cliente interno) y todos aquellos que me dependen (razón trascendental). PROGRESO DE SIGNIFICADO DE CALIDAD Calidad Total no se limita a una técnica administrativa o de gestión, sino que su concepción es mucho más profunda, ya que empieza y termina con las personas, es decir que es una filosofía que se demuestra en el ser, pensar y actuar de las personas de Calidad. Personas de Calidad obtienen productos de calidad y brindan servicios de calidad. Progreso del significado de la calidad total La transformación de las empresas y la globalización de las economías, han ocasionado un sinnúmero de problemas y dificultades en los gobiernos de América Latina. Explicar como analizar el hecho, de que la clave del éxito de la fuerza del año 2000, dentro de la organización es la Calidad Total en las empresas, para dar a conocer a la comunidad el porqué sé realiza esta transformación, es una acción complicada. Para el análisis de la competitividad y la calidad total en las empresas; existen algunas preguntas obvias: ¿Cómo afectó a las empresas la incorporación del concepto de calidad total? ¿Cómo la calidad total impresionó en las empresas que intervienen en el proceso de Globalización? Se ha definido al Mejoramiento del personal como una forma de lograr la calidad total, y como una conversión en el mecanismo viable y accesible al que las empresas de los países en vías de desarrollo cierren la brecha tecnológica que mantienen con respecto al mundo competitivo y desarrollado. Para mejorar un proceso y llegar a la calidad total, y ser en consecuencia más competitivos, es necesario cambiar dicho proceso, para hacerlo más efectivo, eficiente y adaptable. Qué cambiar y cómo cambiar depende del enfoque específico del empresario y del proceso. LA CLAVE DEL ÉXITO ES LA CALIDAD TOTAL DE MANTENER SISTEMÁTICAMENTE VENTAJAS QUE LE PERMITAN ALCANZAR DETERMINADA POSICIÓN EN EL ENTORNO SOCIOECONÓMICO. El término calidad total es muy utilizado en los medios empresariales, políticos y socioeconómicos en general. A ello se debe la ampliación del marco de referencia de nuestros agentes económicos que han pasado de una actitud auto protectora a un planteamiento más abierto, expansivo y proactivo. La ventaja comparativa de una empresa estaría en su habilidad, recursos, conocimientos y atributos, etc., de los que dispone dicha empresa, los mismos de los que carecen sus competidores o que estos tienen en menor medida, que hace posible la obtención de unos rendimientos superiores a los de aquellos. El uso de estos conceptos supone una continua orientación hacia el entorno y una actitud estratégica por parte de las empresas grandes como en las pequeñas, en las de reciente creación o en las maduras y en general en cualquier clase de organización. Por otra parte, el concepto de éxito nos hace pensar en la idea "excelencia", o sea, con características de eficiencia y eficacia de la organización. Ecuador está sufriendo ya hace algunos años los cambios de la calidad total; pero aún existen algunas empresas en nuestro país que no mostraban estas nuevas formas de hacer empresa y poco a poco están haciendo los cambios y otras ya fueron absorbidas por otras para no tener que cerrar sus puertas, la calidad de los productos, la red de distribución, las relaciones con la comunidad, el desempeño de los trabajadores, son puntos primordiales en la lucha para desarrollar empresas en estos tiempos. EL CONCEPTO DE CALIDAD TOTAL TIENE CUATRO ETAPAS: 1) hacer de la calidad un socio pleno e igual de la innovación, desde el comienzo del desarrollo del producto. 2) Poner énfasis en que el diseño de un producto de alta calidad y el proceso coincidan en forma ascendente – no después que la planeación de la manufactura haya congelado ya las alternativas.

3) hacer de todos los servicios de los proveedores un socio de calidad al comenzar el diseño; en lugar de un problema de vigilancia de la calidad, más adelante. 4) hacer de la aceleración de la introducción de un nuevo producto – no su retardamiento – una medida primaria de la eficacia del programa de calidad de una compañía. El cuarto punto fundamental es que la calidad y el costo son complementarios y no objetivos conflictos del negocio. Estos fundamentos aclaran que el liderazgo de la calidad es hoy en día la clave del éxito del negocio de las compañías y que ello se suma a las economías nacionales. En correspondencia, las iniciativas nacionales y regionales están resultando de importancia creciente en el fomento del liderazgo de la calidad. ¿Qué es calidad total? La calidad total es un concepto, una filosofía, una estrategia, un modelo de hacer negocios y está localizado hacia el cliente.

La calidad total no solo se refiere al producto o servicio en sí, sino que es la mejoría permanente del aspecto organizacional, gerencial; tomando una empresa como una máquina gigantesca, donde cada trabajador, desde el gerente, hasta el funcionario del más bajo nivel jerárquico está comprometido con los objetivos empresariales. Para que la calidad total se logre a plenitud, es necesario que se rescaten los valores morales básicos de la sociedad y es aquí, donde el empresario juega un papel fundamental, empezando por la educación previa de sus trabajadores para conseguir una población laboral más predispuesta, con mejor capacidad de asimilar los problemas de calidad, con mejor criterio para sugerir cambios en provecho de la calidad, con mejor capacidad de análisis y observación del proceso de manufactura en caso de productos y poder enmendar errores. El uso de la calidad total conlleva ventajas, pudiendo citar como ejemplos las siguientes:

• Potencialmente alcanzable si hay decisión del más alto nivel. • Mejora la relación del recurso humano con la dirección. • Reduce los costos aumentando la productividad.

RELACION REINGENIERIA CALIDAD TOTAL La reingeniería junto con la calidad total puede llevar a la empresa a vincularse electrónicamente con sus clientes y así convertirse en una empresa ampliada. Una de las estructuras más interesantes que se están presentando hoy en día es la formación de redes, que es una forma de organizar a una empresa y que está demostrando su potencial con creces. La calidad total es un sistema de gestión de calidad que abarca a todas las actividades y a todas las realizaciones de la empresa, poniendo especial énfasis en el cliente interno y en la mejora continua. PRINCIPIOS DE LA CALIDAD 1. Cumplir con los requisitos. Para ello los directivos deben:

• Establecer los requisitos a cumplir • Suministrar los medios necesarios para que los empleados cumplan • Motivar y estimular para que los requisitos sean cumplidos

2. La Calidad es la Prevención, no la verificación

3. El estándar de realización es el Cero Defectos

4. La medida de la Calidad es el precio por el incumplimiento

Trabajo Es un valor propio del ser humano, a través del cual desarrolla sus potencialidades. Un buen trabajador es el que tiene una permanente BUENA DISPOSICIÓN. Ese es el desafío, facilitar que se tenga una buena predisposición, la cual se logra (o se mejora) si a la gente le gusta su trabajo. Claves de la Calidad Identificación empresarial: formulación, creación y desarrollo de la Visión y la Misión de Calidad Trabajo en función del cliente: interpretación de sus necesidades, diseño interpretativo, creatividad para satisfacer sus necesidades y demandas. Trabajo en equipo: crear un buen ambiente de trabajo, coordinación, comunicación, objetivos comunes, liderazgo para lograr una sinergia que permita satisfacer más rápido y mejor las demandas y necesidades del cliente. Factores esenciales para introducir el Control Total de Calidad

• Conciencia: en todos los niveles de la organización • Trabajo en equipo: es el pilar de la Calidad, trabajar en mutua cooperación y sin autoritarismo. • Control y mejoramiento: mejorar sobre lo medido, ya que solo se puede mejorar lo que se

puede medir. Planes de mejora. • Sistematización: en busca de la perfección de las actividades de la organización. • Conocimiento y comparación de costos • Evaluación: debe ser constante y retroalimentadora, a la vez que debe ser imparcial sobre los

esfuerzos de los trabajadores en la actividad. • Difusión: se debe comunicar qué se hace y qué pasa en la organización en todos los niveles.

IMPORTANCIA DE LA CALIDAD TOTAL La calidad total en la organización de una empresa, debe ser el nervio y motor de la misma; si de verdad la empresa desea alcanzar el éxito debe cimentarse en estas dos palabras. El mensaje de la calidad total debe ser comunicado a tres audiencias que son complementarias entre sí: Los Trabajadores. Los Proveedores; y, Los Clientes.

Los fundamentos de la calidad total son los siguientes: • El objetivo básico: la competitividad • El trabajo bien hecho. • La Mejora continuada con la colaboración de todos: responsabilidad y compromiso individual

por la calidad. • El trabajo en equipo es fundamental para la mejora permanente • Comunicación, información, participación y reconocimiento. • Prevención del error y eliminación temprana del defecto. • Fijación de objetivos de mejora. • Seguimiento de resultados. • Indicadores de gestión. • Satisfacer las necesidades del cliente: calidad, precio, plazo.

Los obstáculos que impiden el avance de la calidad pueden ser: • El hecho de que la dirección no defina lo que entiende por calidad. • No se trata de hacer bien las cosas, sino de que el cliente opine igual y esté satisfecho. • Todos creen en su concepto, pocos en su importancia y son menos los que la practican.

EL CONTROL DE LA CALIDAD TOTAL El Control de la Calidad se posesiona como una estrategia para asegurar el mejoramiento continuo de la calidad. Es un programa para asegurar la continua satisfacción de los clientes externos e internos mediante el desarrollo permanente de la calidad del producto y sus servicios. Es un concepto que involucra la orientación de la organización a la calidad manifestada en sus productos, servicios, desarrollo de su personal y contribución al bienestar general. El mejoramiento continuo es una herramienta que en la actualidad es fundamental para todas las empresas porque les permite renovar los procesos administrativos que ellos realizan, lo cual hace que las empresas estén en constante actualización; además, permite que las organizaciones sean más eficientes y competitivas, fortalezas que le ayudarán a permanecer en el mercado. Para la aplicación del mejoramiento es necesario que en la organización exista una buena comunicación entre todos los órganos que la conforman, y también los empleados deben estar bien compenetrados con la organización, porque ellos pueden ofrecer mucha información valiosa para llevar a cabo de forma óptima el proceso de mejoramiento continuo. La definición de una estrategia asegura que la organización está haciendo las cosas que debe hacer para lograr sus objetivos. La definición de su sistema determina si está haciendo estas cosas correctamente. La calidad de los procesos se mide por el grado de adecuación de estos a lograr la satisfacción de sus clientes (internos o externos). Es el proceso de alcanzar los objetivos de calidad durante las operaciones. Para el efecto, se deberán desarrollar los siguientes pasos:

a) Elegir qué controlar. b) Determinar las unidades de medición. c) Establecer el sistema de medición. d) Establecer los estándares de desempeño. e) Medir el desempeño actual. f) Interpretar la diferencia entre lo real y el estándar. g) Tomar acción sobre la diferencia.

El término calidad se ha convertido en una de las palabras clave de nuestra sociedad, alcanzando tal grado de relevancia que iguala e incluso supera en ocasiones al factor precio, en cuanto a la importancia otorgada por el posible comprador de un producto o servicio. Las necesidades de quienes compran nuestros productos o servicios no son estáticas, sino que evolucionan de forma continua. Esto supone la permanente adaptación de todos nuestros procesos productivos y comerciales a dichas necesidades, si queremos seguir contando con SU FIDELIDAD Gestión de la calidad es el conjunto de actividades llevadas a cabo por la empresa para obtener beneficios mediante la utilización de la calidad como herramienta estratégica. PASOS PARA PONER EN MARCHA EL CONTRO TOTAL DE CALIDAD EN SU EMPRESA Cada uno de los conceptos de la estrategia del Control Total de Calidad conlleva muchas actividades. Por lo tanto se hace necesario establecer un plano o programa cuyo desarrollo asegure el éxito de su aplicación en la empresa. Un plan para poner en práctica el Control Total de Calidad, podría contener las siguientes actividades: COMPROMISO Y ORGANIZACIÓN. 1. Establecimiento del compromiso de la alta dirección con la implementación del CTC y con las actividades de los círculos de control de calidad. Debe establecerse el por que de esta decisión. Para ello es básico conocer los conceptos básicos de CTC, sus beneficios, la importancia del cliente, el

valor del recurso humano, la necesidad de optimizar recursos y tecnología, lo vital del ciclo de control y aspectos similares. 2- Organización de un comité directivo o de un consejo. 3- Designación de los miembros del comité de CTC. 4- Organización de una oficina de CTC para los miembros del comité o consejo, así como para la promoción CTC. 5- Designación del director de la oficina de CTC así como de los facilitadores de CTC. Estos últimos son el apoyo metodológico para la implantación del CTC en toda la organización. PLANEACIÓN 6- Establecimiento de la política de implementación del CTC y del programa para lograrlo. Esto debe hacerlo el comité o el consejo. 7- Visitas a otras empresas o países para visualizar la operación del CTC, por parte de la alta dirección, los gerentes, así como del director de la oficina de CTC y de los facilitadores. 8-Establecimiento de una plan adecuado a las condiciones de la empresa y de su correspondiente calendario de implementación; esta actividad es responsabilidad del director de la oficina de CTC. EDUCACIÓN Y ENTRENAMIENTO 9- Realización de eventos de educación, dirigidos a la alta dirección. 10- Realización de actividades educativas dirigidas a la gerencia, al director de la oficina de CTC y a los facilitadores de CTC. 11- Preparación del material educativo para la aplicación del CTC y de las 7 herramientas básicas de control de calidad. El material deberá ser diseñado para directores, gerencia media, staff y supervisores. 12- Puesta en práctica del programa de educación y entrenamiento a cada nivel, según lo programado. Esto incluye la aplicación de los conceptos aprendidos. PRIMERAS ACCIONES 13- Una vez terminado el entrenamiento, "sacudida" de cada sección o departamento para identificar, con ayuda de los subordinados de cada sector, sus fuerzas y debilidades. 14- Diseño de un proyecto (uno fácil), como ejercicio de los casos de Ruta de Calidad (o de mejoramiento del control de calidad) y de la utilización efectiva de los datos: desarrollo de este con aplicación del ciclo de control (los ocho pasos de la ruta de calidad). Repetición de este ejercicio para el siguiente aspecto de menor dificultad. Cuando ya se esté familiarizado con el proceso, enfrentamiento con los proyectos críticos o importantes para el mejoramiento. 15- Realización de eventos educativos para los supervisores, en aspectos relacionados con los Círculos de Control de Calidad. 16- Promoción e instalación de Círculos de Control de Calidad piloto, voluntarios y con supervisión también voluntaria, para practicar de nuevo los ocho pasos de la Ruta de la Calidad. Repetición de estas actividades hasta terminar con lo estipulado en el plan y en el programa. ADMINISTRACIÓN POR POLÍTICA Y ESTANDARIZACIÓN. 17- Preparación de un borrador de administración por políticas, por parte de la oficina de CTC. 18- Obtención de la aprobación por la alta dirección y el consejo de CTC.

La evolución del concepto de calidad en la industria y en los servicios nos muestra que pasamos de una etapa donde la calidad solamente se refería al control final. Para separar los productos malos de los productos buenos, a una etapa de control de calidad en el proceso, con el lema: "la calidad no se controla, se fabrica". Finalmente llegamos a una calidad de diseño que significa no solo corregir o reducir defectos sino prevenir que estos sucedan, como se postula en el enfoque de la calidad total. El camino hacia la calidad total además de requerir el establecimiento de una filosofía de calidad, crear una nueva cultura, mantener un liderazgo, desarrollar al personal y trabajar un equipo, desarrollar a los proveedores, tener un enfoque al cliente y planificar la calidad. Demanda vencer una serie de dificultades en el trabajo que se realiza día a día. Se requiere resolver las variaciones que van surgiendo en los diferentes procesos de producción, reducir los defectos y además mejorar los niveles estándares de actuación. Para resolver estos problemas o variaciones y mejorar la calidad, es necesario basarse en hechos y no dejarse guiar solamente por el sentido común, la experiencia o la audacia. Basarse en estos tres elementos puede ocasionar que en caso de fracasar nadie quiera asumir la responsabilidad. De allí la conveniencia de basarse en hechos reales y objetivos. Además es necesario aplicar un conjunto de herramientas estadísticas siguiendo un procedimiento sistemático y estandarizado de solución de problemas. Existen siete herramientas básicas que han sido ampliamente adoptadas en las actividades de mejora de la calidad y utilizadas como soporte para el análisis y solución de problemas operativos en los más distintos contextos de una organización. El ama de casa posee

ciertas herramientas básicas por medio de las cuales puede identificar y resolver problemas de calidad en su hogar, estas pueden ser algunas, tijeras, agujas, corta uñas y otros. Su fin es el de ejercer un tipo de revisión o feedback de lo planificado con lo con lo realizado, estos tipos de controles dan soluciones a los diferentes problemas que se presentan en la empresa. De este modo un grupo de personas como Deming, Pareto y otros gracias a sus estudios aplicaron la estadística para poder establecer herramientas de control de la calidad a la empresas y poder así buscar el principal objetivo de la calidad que es la satisfacción del cliente. Estas herramientas son:

1. Hoja de control (Hoja de recogida de datos) 2. Histograma 3. Diagrama de Pareto 4. Diagrama de causa efecto 5. Estratificación (Análisis por Estratificación) 6. Diagrama de Scadter (Diagrama de Dispersión) y grafica de control. 7. Diagrama de flujo.

Que a su vez se deben de validarse o apoyarse en otros tipos de herramientas como: • La lluvia de ideas (Brainstorming) • La Encuesta • La Entrevista • Diagrama de Flujo • Matriz de Selección de Problemas

Hay personas que se inclinan por técnicas sofisticadas y tienden a menospreciar estas siete herramientas debido a que parecen simples y fáciles, pero la realidad es que es posible resolver la mayor parte de problemas de calidad, con el uso combinado de estas herramientas en cualquier proceso de manufactura industrial. Las siete herramientas sirven para:

• Detectar problemas • Delimitar el área problemática • Estimar factores que probablemente provoquen el problema • Determinar si el efecto tomado como problema es verdadero o no • Prevenir errores debido a omisión, rapidez o descuido • Confirmar los efectos de mejora • Detectar desfases

HOJA DE CONTROL. La Hoja de Control u hoja de recogida de datos, también llamada de Registro, sirve para reunir y clasificar las informaciones según determinadas categorías, mediante la anotación y registro de sus frecuencias bajo la forma de datos. Una vez que se ha establecido el fenómeno que se requiere estudiar e identificadas las categorías que los caracterizan, se registran estas en una hoja, indicando la frecuencia de observación. Lo esencial de los datos es que el propósito este claro y que los datos reflejen la verdad. Estas hojas de recopilación tienen muchas funciones, pero la principal es hacer fácil la recopilación de datos y realizarla de forma que puedan ser usadas fácilmente y analizarlos automáticamente. De modo general las hojas de recogida de datos tienen las siguientes funciones:

• De distribución de variaciones de variables de los artículos producidos (peso, volumen, longitud, talla, clase, calidad, etc.…)

• De clasificación de artículos defectuosos • De localización de defectos en las piezas • De causas de los defectos • De verificación de chequeo o tareas de mantenimiento.

Una vez que se ha fijado las razones para recopilar los datos, es importante que se analice las siguientes cuestiones:

• La información es cualitativa o cuantitativa • Como, se recogerán los datos y en que tipo de documento se hará • Cómo se utiliza la información recopilada • Cómo de analizará • Quién se encargará de la recogida de datos • Con qué frecuencia se va a analizar • Dónde se va a efectuar

Esta es una herramienta manual, en la que clasifican datos a través de marcas sobre la lectura realizadas en lugar de escribirlas, para estos propósitos son utilizados algunos formatos impresos, los objetivos más importantes de la hoja de control son:

• Investigar procesos de distribución • Artículos defectuosos • Localización de defectos • Causas de efectos

Una secuencia de pasos útiles para aplicar esta hoja en un Taller es la siguiente: 1. Identificar el elemento de seguimiento 2. Definir el alcance de los datos a recoger 3. Fijar la periodicidad de los datos a recolectar

Diseñar el formato de la hoja de recogida de datos, de acuerdo con la cantidad de información a recoger, dejando un espacio para totalizar los datos, que permita conocer: las fechas de inicio y término, las probables interrupciones, la persona que recoge la información, fuente, etc.… VENTAJAS. Supone un método que proporciona datos fáciles de comprender y que son obtenidos mediante un proceso simple y eficiente que puede ser aplicado a cualquier área de la organización. UTILIDADES. En la mejora de calidad, se utiliza tanto en el estudio de los síntomas de un problema, como en la investigación de las causas o en la recogida y análisis de datos para probar alguna hipótesis. También se usa como punto de partida para la elaboración de otras herramientas, como por ejemplo los gráficos de control. EJEMPLO: A continuación se presenta una hoja de control o planilla de inspección, la cual presenta algunos componentes básicos como la frecuencia y las diferentes medidas que se pueden presentar, y datos generales que deben añadirse a la hoja de control.

2. HISTOGRAMAS Es básicamente la presentación de una serie de medidas clasificadas y ordenadas, es necesario colocar las medidas de manera que formen filas y columnas, en este caso colocamos las medidas en cinco filas y cinco columnas. La manera más sencilla es determinar y señalar el número máximo y mínimo por cada columna y posteriormente agregar dos columnas en donde se colocan los números máximos y mínimos por fila de los ya señalados. Tomamos el valor máximo de la columna X+ (medidas máximas) y el valor mínimo de las columnas X- (medidas mínimas) y tendremos el valor máximo y el valor mínimo. Teniendo los valores máximos y mínimos, podemos determinar el rango de la serie de medidas, el rango no es más que la diferencia entre los valores máximos y mínimos. Rango = valor máximo – valor mínimo EJEMPLO: Rango = 3.67 –3.39 milímetros Rango = 0.28 N = numero de medidas que conforman la serie N = 25 Es necesario determinar el numero de clases para poder así tener el intervalo de cada clase. Ejemplo: 28=4.6 numero de clase 6 intervalo de cada clase4.6 El intervalo de cada clase lo aproxima a 5 o sea que vamos a tener 6 clases y un intervalo de 5 por clase. La marca de clase es el valor comprendido de cada clase y se determina así: X = marca de clase = limite máximo + limite mínimo con la tabla ya preparada se identifican los datos de medida que se tiene y se introducen en la tabla en la clase que le corresponde a una clase determinada. El histograma se usa para:

• Obtener una comunicación clara y efectiva de la variabilidad del sistema • Mostrar el resultado de un cambio en el sistema • Identificar anormalidades examinando la forma • Comparar la variabilidad con los límites de especificación

Procedimientos de elaboración: 1. Reunir datos para localizar por lo menos 50 puntos de referencia 2. Calcular la variación de los puntos de referencia, restando el dato del mínimo valor del

dato de máximo valor 3. Calcular el número de barras que se usaran en el histograma (un método consiste en

extraer la raíz cuadrada del número de puntos de referencia) 4. Determinar el ancho de cada barra, dividiendo la variación entre el número de barras

por dibujar 5. Calcule el intervalo o sea la localización sobre el eje X de las dos líneas verticales que

sirven de fronteras para cada barrera 6. Construya una tabla de frecuencias que organice los puntos de referencia desde el

más bajo hasta el más alto de acuerdo con las fronteras establecidas por cada barra. 7. Elabore el histograma respectivo.

VENTAJAS • Su construcción ayudará a comprender la tendencia central, dispersión y

frecuencias relativas de los distintos valores.

• Muestra grandes cantidades de datos dando una visión clara y sencilla de su distribución.

UTILIDADES. • El histograma es especialmente útil cuando se tiene un amplio numero de

datos que es preciso organizar, para analizar mas detalladamente o tomar decisiones sobre la base de ellos.

• Es un medio eficaz de para transmitir otras personas información sobre un proceso de forma precisa e intangible.

• Proporciona mediante el estudio de la distribución de los datos, un excelente punto de partida para generar hipótesis acerca de un funcionamiento insatisfactorio.

En el siguiente ejemplo se presenta una grafica de un histograma, con su respectiva tabla de frecuencias, la cual presenta datos o información numérica ( intervalos de pesos de las aves) y con que frecuencia se esta repitiendo los diferentes rangos o intervalos de pesos en la linea de producción:

Inte (Pes

Nº Pacien (Frecu

<50 0

50-5 0

55-6 1

60-6 17

65-7 48

70-7 70

75-8 32

80-8 28

85-9 16

90-9 0

95-1 3

100- 0

105- 0

>11 1

3. DIAGRAMA DE PARETO. Es una herramienta que se utiliza para priorizar los problemas o las causas que los genera. El nombre de Pareto fue dado por el Dr. Juran en honor del economista italiano VILFREDO PARETO (1848-1923) quien realizó un estudio sobre la distribución de la riqueza, en el cual descubrió que la minoría de la población poseía la mayor parte de la riqueza y la mayoría de la población poseía la menor parte de la riqueza. El Dr. Juran aplicó este concepto a la calidad, obteniéndose lo que hoy se conoce como la regla 80/20. Según este concepto, si se tiene un problema con muchas causas, podemos decir que el 20% de las causas resuelven el 80 % del problema y el 80 % de las causas solo resuelven el 20 % del problema. Seta basada en el conocido principio de Pareto, esta es una herramienta que es posible identificar lo poco vital dentro de lo mucho que podría ser trivial. Procedimientos para elaborar el diagrama de Pareto:

1. Decidir el problema a analizar. 2. Diseñar una tabla para conteo o verificación de datos, en el que se registren los totales. 3. Recoger los datos y efectuar el cálculo de totales. 4. Elaborar una tabla de datos para el diagrama de Pareto con la lista de ítems, los totales

individuales, los totales acumulados, la composición porcentual y los porcentajes acumulados.

5. Jerarquizar los ítems por orden de cantidad llenando la tabla respectiva. 6. Dibujar dos ejes verticales y un eje horizontal. 7. Construya un gráfico de barras en base a las cantidades y porcentajes de cada ítem. 8. Dibuje la curva acumulada. Para lo cual se marcan los valores acumulados en la parte

superior, al lado derecho de los intervalos de cada ítem, y finalmente una los puntos con una línea continua.

9. Escribir cualquier información necesaria sobre el diagrama. Para determinar las causas de mayor incidencia en un problema se traza una línea horizontal a partir del eje vertical derecho, desde el punto donde se indica el 80% hasta su intersección con la curva acumulada. De ese punto trazar una línea vertical hacia el eje horizontal. Los ítems comprendidos entre esta línea vertical y el eje izquierdo constituyen las causas cuya eliminación resuelve el 80 % del problema. VENTAJAS

• Ayuda a concentrarse en las causas que tendrán mayor impacto en caso de ser resueltas. • Proporciona una visión simple y rápida de la importancia relativa de los problemas. • Ayuda a evitar que se empeoren algunas causas al tratar de solucionar otras.

UTILIDADES • Determinar cual es la causa clave de un problema, separándola de otras presentes pero

menos importantes. • Contrastar la efectividad de las mejoras obtenidas, comparando sucesivos diagramas

obtenidos en momentos diferentes. • Pueden ser asimismo utilizados tanto para investigas efectos como causas.

• Comunicar fácilmente a otros miembros de la organizaron las conclusiones sobre causas, efectos y costes de los errores.

4. DIAGRAMA DE CAUSA EFECTO O ESPINA DE PESCADO. Sirve para solventar problemas de calidad y actualmente es ampliamente utilizado alrededor de todo el mundo. ¿Como debe ser construido un diagrama de causa efecto?, dicho de otra forma es una herramienta que ayuda a identificar, clasificar y poner de manifiesto posibles causas, tanto de problemas específicos como de características de calidad. Ilustra gráficamente las relaciones existentes entre un resultado dado (efecto) y los factores (causas) que influyen en ese resultado. Por ejemplo, tenemos el cocinado de un arroz especial del cual consideraremos el sabor como si esto fuera una característica de la calidad para lograr su mejora. Analiza de una forma organizada y sistemática los problemas, causas y las causas de estas causas, cuyo resultado en lo que afecta a la calidad se denominara efecto. Existen dos aspectos básicos que definen esta técnica: ordena y profundiza. El problema está identificado y queremos resolverlo. VENTAJAS.

• Permite que el grupo se concentre ene. Contenido del problema, no en la historia del problema ni en los distintos intereses personales de los integrantes del equipo.

• Ayuda a determinar las causas principales de un problema, o las causas de las características de calidad, utilizando para ello un enfoque estructurado.

• Estimula la participación de los miembros del grupo de trabajo, permitiendo así aprovechar mejor el conocimiento sobre un proceso.

• Incrementa el grado de conocimiento sobre un proceso. UTILIDADES.

• Identificar las causas – raíz, o causas principales, de un problema o efecto. • Clasificar y relacionar las interacciones entre factores que están afectando al resultado de un

proceso. • A continuación se presenta un ejemplo el cual la flecha del centro representa las operaciones o

los flujos de información centrales que se manejan o son generados por la problemática que se este sucediendo las flechas laterales son factores que inciden de manera directa en la solución del problema.

5. LA ESTRATIFICACIÓN Es lo que clasifica la información recopilada sobre una característica de calidad. Toda la información debe ser estratificada de acuerdo a operadores individuales en máquinas especificas y así sucesivamente, con el objeto de asegurarse de los factores asumidos; Usted observara que después de algún tiempo las piedras, arena, lodo y agua puede separase, en otras palabras, lo que ha sucedido es una estratificación de los materiales, este principio se utiliza en manufacturera. Los criterios efectivos para la estratificación son:

• Tipo de defecto

• Causa y efecto • Localización del efecto • Material, producto, fecha de producción, grupo de trabajo, operador, individual, proveedor, lote

etc. El método consiste en clasificar los datos disponibles por grupos con similares características. A cada grupo se le denomina estrato. Los estratos a definir lo serán en función de la situación particular de que se trate, pudiendo establecerse estratificaciones atendiendo a :

• Personal, maquinaria y equipo, Materiales, áreas de gestión, Tiempo, Entorno, Localización geográfica, otros.

VENTAJAS • Es muy completa para la calidad de la empresa.

UTILIDADES. • Permite aislar la causa de un problema, identificando el grado de influencia de ciertos factores

en el resultado de un proceso. • La estratificación puede apoyarse y servir de base en distintas herramientas de calidad, si bien

el histograma más habitual de presentarla. 6. Diagrama de dispersión. Es el estudios de dos variables, tales como la velocidad del piñón y las dimensiones de una parte o la concentración y la gravedad especifica, a esto se le llama diagrama de dispersión. Estas dos variables se pueden embarcarse así:

• Una característica de calidad y un factor que la afecta, • Dos características de calidad relacionadas, o • Dos factores relacionados con una sola característica de calidad.

Para comprender la relación entre estas, es importante, hacer un diagrama de dispersión y comprender la relación global. Cuadro de los datos de presión del aire de soplado y porcentaje de defectos de tanque plástico.

Fecha Presión de aire

(Kg./cm2)

Porcentaje de

Defectos (%)

Fecha Presión de aire

(Kg./ cm2)

Porcentaje de

Defectos (%)

Oct. 1

2

3

4

5

8

9

10

11

12

15

16

17

18

19

8.6

8.9

8.8

8.8

8.4

8.7

9.2

8.6

9.2

8.7

8.4

8.2

9.2

8.7

9.4

0.889

0.884

0.874

0.891

0.874

0.886

0.911

0.912

0.895

0.896

0.894

0.864

0.922

0.909

0.905

Oct. 22

23

24

25

26

29

30

31

1

2

5

6

7

8

9

8.7

8.5

9.2

8.5

8.3

8.7

9.3

8.9

8.9

8.3

8.7

8.9

8.7

9.1

8.7

0.892

0.877

0.885

0.866

0.896

0.896

0.928

0.886

0.908

0.881

0.882

0.904

0.912

0.925

0.872

7. Gráficas de dispersión. Se utilizan para estudiar la variación de un proceso y determinar a que obedece esta variación. Un gráfico de control es una gráfica lineal en la que se han determinado estadísticamente un límite

superior (límite de control superior) y un límite inferior (límite inferior de control) a ambos lados de la media o línea central. La línea central refleja el producto del proceso. Los límites de control proveen señales estadísticas para que la administración actúe, indicando la separación entre la variación común y la variación especial. Estos gráficos son muy útiles para estudiar las propiedades de los productos, los factores variables del proceso, los costos, los errores y otros datos administrativos. Un gráfico de Control muestra:

• Si un proceso está bajo control o no • Indica resultados que requieren una explicación • Define los límites de capacidad del sistema, los cuales previa comparación con los de

especificación pueden determinar los próximos pasos en un proceso de mejora. Este puede ser de línea quebrada o de círculo. La línea quebrada es a menudo usada para indicar cambios dinámicos. La línea quebrada es la gráfica de control que provee información del estado de un proceso y en ella se indica si el proceso se establece o no. Ejemplo de una gráfica de control, donde las medidas planteadas versus tiempo. En ella se aclara como las medidas están relacionadas a los límites de control superior e inferior del proceso, los puntos afuera de los límites de control muestran que el control esta fuera de control. Todos los controles de calidad requieren un CIERTO SENTIDO DE JUICIO Y ACCIONES propias basadas en información recopilada en el lugar de trabajo. La calidad no puede alcanzarse únicamente a través de calcular desarrollado en el escritorio, pero si a través de actividades realizadas en la planta y basadas desde luego en cálculos de escritorio. El control de calidad o garantía de calidad se inició con la idea de hacer hincapié en la inspección. VENTAJAS

• Se trata de una herramienta especialmente útil para estudiar e identificar las posibles relaciones entre los cambios observados en dos conjuntos diferentes de variables.

• Suministra los datos para confirmar hipótesis acerca de si dos variables están relacionadas. • Proporciona un medio visual para probar la fuerza de una posible relación.

EJEMPLO.

8. DIAGRAMA DE FLUJO. Es un diagrama que utiliza símbolos gráficos para representar el flujo y las fases de un proceso. Está especialmente indicado al inicio de un plan de mejora de procesos, al ayudar a comprender cómo éstos se desenvuelven. Es básico en la gestión de los procesos. VENTAJAS.

• Facilita la comprensión del proceso. Al mismo tiempo, promueve el acuerdo, entre los miembros del equipo, sobre la naturaleza y desarrollo del proceso analizado.

• Supone una herramienta fundamental para obtener mejoras mediante el rediseño del proceso, o el diseño de una alternativo.

• Identifica problemas, oportunidades de mejora y puntos de ruptura del proceso. • Pone de manifiesto las relaciones proveedores – cliente, sean éstos internos o externos.

EJEMPLO:

En el primer grafico se detalla las posibles formas geométricas que se pueden utilizar para graficar el diagrama de flujos, en el grafico segundo se presenta un proceso de producción de bolsas (reacción de polimerización) el cual conlleva el inicio luego se coloca la materia prima, luego se coloca a un reactor y se espera una reacción química, si es aceptable es decir pasa la prueba de viscosidad, pasa al ultimo momento es enfriar y descargar, y termina el proceso.

NECESIDAD DE LA PARTICIPACIÓN TOTAL Para aplicar desde el comienzo la garantía de calidad en la etapa de desarrollo de un producto nuevo, será preciso que todas las divisiones de la empresa y todos sus empleados participen en el control de calidad. Cuando el control de calidad sólo hace hincapié en la inspección, únicamente interviene una división, bien sea la división de inspección o la división de control de calidad, y ésta se limita a verificar en la puerta de salida para impedir que salgan productos defectuosos. Sin embargo, el programa de control de calidad hace hincapié en el proceso de fabricación, la participación se hace extensiva a las líneas de ensamblaje, a los subcontratistas y a las divisiones de compras, ingeniería de productos y mercadeo. En una aplicación más avanzada del control de calidad, que viene a ser la tercera fase, todo lo anterior se toma insuficiente. La participación ya tiene que ser a escala de toda la empresa. Esto significa que quienes intervienen en planificación, diseño e investigación de nuevos productos, así como quienes están en la división de fabricación y en las divisiones de contabilidad, personal y relaciones laborales, tienen que participar sin excepción.

CUESTIONARIO 1. ¿ Qué es Calidad Total?. 2. ¿Cuál es su origen 3. ¿Cuáles son las etapas de la Calidad total? 4. ¿ Cual es la importancia de la Calidad Total? 5. ¿Qué es un Histograma? 6. ¿Qué es el diagrama de Pareto? 7. ¿Qué es un diagrama de causa y efecto? 8. ¿Qué es un diagrama de dispersión? 9. ¿Qué es un diagrama de flujo?

PROGRAMA DE CALIDAD UDABOL DIF – 001 2011

AUDITORIA DE SISTEMAS

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

• Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

http://www.monografias.com/trabajos14/auditoria/auditoria.shtml�

http://www.monografias.com/trabajos11/curinfa/curinfa.shtml�

http://www.monografias.com/trabajos11/conce/conce.shtml�

http://www.monografias.com/trabajos11/teosis/teosis.shtml�

http://www.monografias.com/trabajos13/mapro/mapro.shtml�


http://www.monografias.com/trabajos11/veref/veref.shtml�

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml�

http://www.monografias.com/trabajos6/napro/napro.shtml�

http://www.monografias.com/trabajos7/sisinf/sisinf.shtml�

http://www.monografias.com/Links/Cursos/index.shtml�


http://www.monografias.com/trabajos12/decis/decis.shtml�








http://www.monografias.com/trabajos7/arch/arch.shtml�












http://www.monografias.com/Computacion/Hardware/�

http://www.monografias.com/Computacion/Software/�


http://www.monografias.com/trabajos7/plane/plane.shtml�

http://www.monografias.com/trabajos10/carso/carso.shtml�




http://www.monografias.com/trabajos16/objetivos-educacion/objetivos-educacion.shtml�







http://www.monografias.com/trabajos11/norma/norma.shtml�

http://www.monografias.com/trabajos12/recoldat/recoldat.shtml#entrev�

http://www.monografias.com/Computacion/Programacion/�

http://www.monografias.com/trabajos6/meti/meti.shtml�

http://www.monografias.com/trabajos7/coad/coad.shtml#costo�

http://www.monografias.com/trabajos11/fuper/fuper.shtml�

http://www.monografias.com/trabajos14/comer/comer.shtml�

http://www.monografias.com/trabajos12/desorgan/desorgan.shtml�

http://www.monografias.com/trabajos12/elorigest/elorigest.shtml�





http://www.monografias.com/trabajos12/foucuno/foucuno.shtml#CONCEP�


PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:

A NIVEL DEL ÁREA DE INFORMÁTICA Objetivos a corto y largo plazo.

RECURSOS MATERIALES Y TECNICOS Solicitar documentos sobre los equipos, número de ellos, localización y características.

• Estudios de viabilidad. • Número de equipos, localización y las características (de los equipos instalados y por instalar y

programados) • Fechas de instalación de los equipos y planes de instalación. • Contratos vigentes de compra, renta y servicio de mantenimiento. • Contratos de seguros. • Convenios que se tienen con otras instalaciones. • Configuración de los equipos y capacidades actuales y máximas. • Planes de expansión. • Ubicación general de los equipos. • Políticas de operación. • Políticas de uso de los equipos.

SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

• Manual de formas. • Manual de procedimientos de los sistemas. • Descripción genérica. • Diagramas de entrada, archivos, salida. • Salidas. • Fecha de instalación de los sistemas. • Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

• No tiene y se necesita. • No se tiene y no se necesita.

Se tiene la información pero:

• No se usa. • Es incompleta. • No esta actualizada. • No es la adecuada. • Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

http://www.monografias.com/trabajos15/todorov/todorov.shtml#INTRO�

http://www.monografias.com/trabajos14/propiedadmateriales/propiedadmateriales.shtml�




http://www.monografias.com/trabajos14/verific-servicios/verific-servicios.shtml�

http://www.monografias.com/trabajos15/mantenimiento-industrial/mantenimiento-industrial.shtml�

http://www.monografias.com/trabajos5/segu/segu.shtml�




El éxito del análisis crítico depende de las consideraciones siguientes:

• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)

• Investigar las causas, no los efectos. • Atender razones, no excusas. • No confiar en la memoria, preguntar constantemente. • Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE

Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características:

• Técnico en informática. • Experiencia en el área de informática. • Experiencia en operación y análisis de sistemas. • Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.

Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El control del avance de la auditoría lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación.

http://www.monografias.com/trabajos11/metods/metods.shtml#ANALIT�

http://www.monografias.com/trabajos16/memorias/memorias.shtml�

http://www.monografias.com/trabajos14/informeauditoria/informeauditoria.shtml�

http://www.monografias.com/trabajos11/basda/basda.shtml�




http://www.monografias.com/trabajos14/control/control.shtml�


http://www.monografias.com/trabajos4/refrec/refrec.shtml�



http://www.monografias.com/trabajos/adpreclu/adpreclu.shtml�







http://www.monografias.com/trabajos15/direccion/direccion.shtml�

http://www.monografias.com/trabajos14/dinamica-grupos/dinamica-grupos.shtml�


http://www.monografias.com/trabajos15/hipotesis/hipotesis.shtml�





http://www.monografias.com/trabajos5/andi/andi.shtml�


http://www.monografias.com/Computacion/Redes/�

http://www.monografias.com/trabajos7/perde/perde.shtml�

http://www.monografias.com/trabajos15/fundamento-ontologico/fundamento-ontologico.shtml�




http://www.monografias.com/trabajos/fintrabajo/fintrabajo.shtml�




El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes. Como ejemplo de propuesta de auditoría en informática véase el anexo 3.

EVALUACIÓN DE SISTEMAS

La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.

El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes:

• ¿Cuáles servicios se implementarán? • ¿Cuándo se pondrán a disposición de los usuarios? • ¿Qué características tendrán? • ¿Cuántos recursos se requerirán?

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados:

• ¿Qué0 aplicaciones serán desarrolladas y cuando? • ¿Qué tipo de archivos se utilizarán y cuando? • ¿Qué bases de datos serán utilizarán y cuando? • ¿Qué lenguajes se utilizarán y en que software? • ¿Qué tecnología será utilizada y cuando se implementará? • ¿Cuantos recursos se requerirán aproximadamente? • ¿Cuál es aproximadamente el monto de la inversión en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.

• ¿Qué estudios van a ser realizados al respecto? • ¿Qué metodología se utilizará para dichos estudios? • ¿Quién administrará y realizará dichos estudios?

En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos.

Por último, el plan estratégico determina la planeación de los recursos.

• ¿Contempla el plan estratégico las ventajas de la nueva tecnología? • ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?

El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.









http://www.monografias.com/trabajos11/henrym/henrym.shtml�



http://www.monografias.com/trabajos6/arma/arma.shtml�




http://www.monografias.com/Tecnologia/index.shtml�


http://www.monografias.com/trabajos12/cntbtres/cntbtres.shtml�




http://www.monografias.com/trabajos11/metods/metods.shtml�

http://www.monografias.com/trabajos15/auditoria-interna/auditoria-interna.shtml�




http://www.monografias.com/trabajos12/cntbtres/cntbtres.shtml�



http://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCE�





http://www.monografias.com/trabajos/lacomunica/lacomunica.shtml�

http://www.monografias.com/trabajos6/arma/arma.shtml�


http://www.monografias.com/trabajos16/proyecto-inversion/proyecto-inversion.shtml#CICLO�

http://www.monografias.com/trabajos5/esfa/esfa.shtml�

http://www.monografias.com/trabajos13/diseprod/diseprod.shtml�



http://www.monografias.com/trabajos12/romandos/romandos.shtml#PRUEBAS�



La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo.

Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.

En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad

Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

EVALUACIÓN DEL ANÁLISIS

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis.

Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:

• La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación.

• Los requerimientos de los usuarios. • El inventario de sistemas en proceso al recopilar la información de los cambios que han sido

solicitados, sin importar si se efectuaron o se registraron.

La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:

• Planeada para ser desarrollada en el futuro. • En desarrollo. • En proceso, pero con modificaciones en desarrollo. • En proceso con problemas detectados. • En proceso sin problemas. • En proceso esporádicamente.

Nota: Se deberá documentar detalladamente la fuente que generó la necesidad de la aplicación. La primera parte será evaluar la forma en que se encuentran especificadas las políticas, los procedimientos y los estándares de análisis, si es que se cumplen y si son los adecuados para la dependencia.






http://www.monografias.com/Computacion/Sistemas_Operativos/�










http://www.monografias.com/trabajos4/costos/costos.shtml�

http://www.monografias.com/trabajos15/ahorro-inversion/ahorro-inversion.shtml�







http://www.monografias.com/trabajos10/poli/poli.shtml�

http://www.monografias.com/trabajos4/leyes/leyes.shtml�


http://www.monografias.com/trabajos10/formulac/formulac.shtml#FUNC�

http://www.monografias.com/trabajos10/historix/historix.shtml�


http://www.monografias.com/trabajos11/conin/conin.shtml�





http://www.monografias.com/trabajos15/calidad-serv/calidad-serv.shtml#PLANT�



Es importante revisar la situación en que se encuentran los manuales de análisis y si están acordes con las necesidades de la dependencia. En algunas ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y se solicita que se lleve a cabo una serie de análisis que después hay que plasmar en documentos señalados en los estándares, lo cual hace que esta fase sea muy compleja y costosa. Los sistemas y su documentación deben estar acordes con las características y necesidades de una dependencia específica.

Se debe evaluar la obtención de datos sobre la operación, flujo, nivel, jerarquía de la información que se tendrá a través del sistema. Se han de comparar los objetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecución deseada corresponde al actual.

La auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo de la información y de procedimientos, los archivos almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, la documentación propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.

Con la información obtenida podemos contestar a las siguientes preguntas:

• ¿Se está ejecutando en forma correcta y eficiente el proceso de información? • ¿Puede ser simplificado para mejorar su aprovechamiento? • ¿Se debe tener una mayor interacción con otros sistemas? • ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema? • ¿Está en el análisis la documentación adecuada?

EVALUACIÓN DEL DISEÑO LÓGICO DEL SISTEMA

En esta etapa se deberán analizar las especificaciones del sistema.

¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes?

Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión.

Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo.

Los puntos a evaluar son:

• Entradas. • Salidas. • Procesos. • Especificaciones de datos. • Especificaciones de proceso. • Métodos de acceso. • Operaciones. • Manipulación de datos (antes y después del proceso electrónico de datos). • Proceso lógico necesario para producir informes. • Identificación de archivos, tamaño de los campos y registros. • Proceso en línea o lote y su justificación. • Frecuencia y volúmenes de operación.

http://www.monografias.com/trabajos6/maca/maca.shtml�




http://www.monografias.com/trabajos6/diop/diop.shtml�


http://www.monografias.com/trabajos7/regi/regi.shtml�





http://www.monografias.com/trabajos10/formulac/formulac.shtml#FUNC�



http://www.monografias.com/trabajos15/auditoria-interna/auditoria-interna.shtml�





• Sistemas de seguridad. • Sistemas de control. • Responsables. • Número de usuarios.

Dentro del estudio de los sistemas en uso se deberá solicitar:

• Manual del usuario. • Descripción de flujo de información y/o procesos. • Descripción y distribución de información. • Manual de formas. • Manual de reportes. • Lista de archivos y especificaciones.

Lo que se debe determinar en el sistema:

En el procedimiento:

• ¿Quién hace, cuando y como? • ¿Qué formas se utilizan en el sistema? • ¿Son necesarias, se usan, están duplicadas? • ¿El número de copias es el adecuado? • ¿Existen puntos de control o faltan?

En la gráfica de flujo de información:

• ¿Es fácil de usar? • ¿Es lógica? • ¿Se encontraron lagunas? • ¿Hay faltas de control?

En el diseño:

• ¿Cómo se usará la herramienta de diseño si existe? • ¿Qué también se ajusta la herramienta al procedimiento?

EVALUACIÓN DEL DESARROLLO DEL SISTEMA

En esta etapa del sistema se deberán auditar los programas, su diseño, el leguaje utilizado, interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema.Al evaluar un sistema de información se tendrá presente que todo sistema debe proporcionar información para planear, organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma más económica posible. De ese modo contará con los mejores elementos para una adecuada toma de decisiones.Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la información entre nodos. El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, los tipos de mensajes requeridos, el trafico esperado en las líneas de comunicación y otros factores que afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los niveles de la organización, el tamaño y los recursos que utiliza.Las características que deben evaluarse en los sistemas son:

• Dinámicos (susceptibles de modificarse). • Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo)


http://www.monografias.com/trabajos11/travent/travent.shtml�


http://www.monografias.com/trabajos15/logica-metodologia/logica-metodologia.shtml�






http://www.monografias.com/trabajos15/kinesiologia-biomecanica/kinesiologia-biomecanica.shtml�



http://www.monografias.com/trabajos12/fundteo/fundteo.shtml�

http://www.monografias.com/trabajos12/guiainf/guiainf.shtml#HIPOTES�




• Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados.

• Accesibles (que estén disponibles). • Necesarios (que se pruebe su utilización). • Comprensibles (que contengan todos los atributos). • Oportunos (que esté la información en el momento que se requiere). • Funcionales (que proporcionen la información adecuada a cada nivel). • Estándar (que la información tenga la misma interpretación en los distintos niveles). • Modulares (facilidad para ser expandidos o reducidos). • Jerárquicos (por niveles funcionales). • Seguros (que sólo las personas autorizadas tengan acceso). • Únicos (que no duplique información).

CONTROL DE PROYECTOS

Debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la dirección de informática. Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil evaluación, se recomienda que se utilice la técnica de administración por proyectos para su adecuado control.

Para tener una buena administración por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.

CUESTIONARIO

1. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedan ser considerados como plan maestro? 2. ¿Está relacionado el plan maestro con un plan general de desarrollo de la dependencia? 3. ¿Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios? 4. ¿Asigna el plan maestro un porcentaje del tiempo total de producción al reproceso o fallas de equipo? 5. Escribir la lista de proyectos a corto plazo y largo plazo. 6. Escribir una lista de sistemas en proceso periodicidad y usuarios. 7. ¿Quién autoriza los proyectos? 8. ¿Cómo se asignan los recursos? 9. ¿Cómo se estiman los tiempos de duración? 10. ¿Quién interviene en la planeación de los proyectos? 11. ¿Cómo se calcula el presupuesto del proyecto? 12. ¿Qué técnicas se usan en el control de los proyectos? 13. ¿Quién asigna las prioridades? 14. ¿Cómo se asignan las prioridades? 15. ¿Cómo se controla el avance del proyecto? 16. ¿Con qué periodicidad se revisa el reporte de avance del proyecto? 17. ¿Cómo se estima el rendimiento del personal? 18. ¿Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado? 19. ¿Qué acciones correctivas se toman en caso de desviaciones? 20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?







http://www.monografias.com/Administracion_y_Finanzas/index.shtml�

http://www.monografias.com/trabajos12/pmbok/pmbok.shtml�












http://www.monografias.com/trabajos16/estrategia-produccion/estrategia-produccion.shtml�


http://www.monografias.com/trabajos13/clapre/clapre.shtml�






http://www.monografias.com/trabajos4/acciones/acciones.shtml�

Enumérelos secuencialmente. ( ) Determinación de los objetivos. ( ) Señalamiento de las políticas. ( ) Designación del funcionario responsable del proyecto. ( ) Integración del grupo de trabajo. ( ) Integración de un comité de decisiones. ( ) Desarrollo de la investigación. ( ) Documentación de la investigación. ( ) Factibilidad de los sistemas. ( ) Análisis y valuación de propuestas. ( ) Selección de equipos. 21. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún cumplen con los objetivos para los cuales fueron diseñados? De análisis SÍ ( ) NO ( ) De programación SÍ ( ) NO ( ) Observaciones 22. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento de informática podría satisfacer las necesidades de la dependencia, según la situación actual.

CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN

El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente información para su manejo, operación y aceptación. Las revisiones se efectúan en forma paralela desde el análisis hasta la programación y sus objetivos son los siguientes:

ETAPA DE ANÁLISIS Identificar inexactitudes, ambigüedades y omisiones en las especificaciones.

ETAPA DE DISEÑO Descubrir errores, debilidades, omisiones antes de iniciar la codificación.

ETAPA DE PROGRAMACIÓN Buscar la claridad, modularidad y verificar con base en las especificaciones.

Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan: si se descubren en el momento de programación será más alto que si se detecta en la etapa de análisis. Esta función tiene una gran importancia en el ciclo de evaluación de aplicaciones de los sistemas de información y busca comprobar que la aplicación cumple las especificaciones del usuario, que se haya desarrollado dentro de lo presupuestado, que tenga los controles necesarios y que efectivamente cumpla con los objetivos y beneficios esperados.

El siguiente cuestionario se presenta como ejemplo para la evaluación del diseño y prueba de los sistemas:

1. ¿Quiénes intervienen al diseñar un sistema?

• Usuario. • Analista. • Programadores. • Operadores. • Gerente de departamento. • Auditores internos. • Asesores.




http://www.monografias.com/trabajos11/funpro/funpro.shtml�


http://www.monografias.com/trabajos11/funpro/funpro.shtml�













http://www.monografias.com/trabajos15/disenio-cuestionarios/disenio-cuestionarios.shtml�

• Otros.

2. ¿Los analistas son también programadores? SÍ ( ) NO ( )

3. ¿Qué lenguaje o lenguajes conocen los analistas?

4. ¿Cuántos analistas hay y qué experiencia tienen?

5. ¿Qué lenguaje conocen los programadores?

6. ¿Cómo se controla el trabajo de los analistas?

7. ¿Cómo se controla el trabajo de los programadores?

8. Indique qué pasos siguen los programadores en el desarrollo de un programa:

• Estudio de la definición ( ) • Discusión con el analista ( ) • Diagrama de bloques ( ) • Tabla de decisiones ( ) • Prueba de escritorio ( ) • Codificación ( ) • ¿Es enviado a captura o los programadores capturan? ( ) • ¿Quién los captura?___________________________________________ • Compilación ( ) • Elaborar datos de prueba ( ) • Solicitar datos al analista ( ) • Correr programas con datos ( ) • Revisión de resultados ( ) • Corrección del programa ( ) • Documentar el programa ( ) • Someter resultados de prueba ( ) • Entrega del programa ( )

9. ¿Qué documentación acompaña al programa cuando se entrega?

Difícilmente se controla realmente el flujo de la información de un sistema que desde su inicio ha sido mal analizado, mal diseñado, mal programado e incluso mal documentado. El excesivo mantenimiento de los sistemas generalmente ocasionado por un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en ocasiones sin saber qué desea) hasta la instalación del mismo, sin que se haya establecido un plan de prueba del sistema para medir su grado de confiabilidad en la operación que efectuará. Para verificar si existe esta situación, se debe pedir a los analistas y a los programadores las actividades que están desarrollando en el momento de la auditoría y evaluar si están efectuando actividades de mantenimiento o de realización de nuevos proyectos. En ambos casos se deberá evaluar el tiempo que llevan dentro del mismo sistema, la prioridad que se le asignó y cómo está en el tiempo real en relación al tiempo estimado en el plan maestro.

INSTRUCTIVOS DE OPERACIÓN

Se debe evaluar los instructivos de operación de los sistemas para evitar que los programadores tengan acceso a los sistemas en operación, y el contenido mínimo de los instructivos de operación se puedan verificar mediante el siguiente cuestionario.

El instructivo de operación deberá comprender.

http://www.monografias.com/trabajos16/desarrollo-del-lenguaje/desarrollo-del-lenguaje.shtml�

http://www.monografias.com/trabajos16/desarrollo-del-lenguaje/desarrollo-del-lenguaje.shtml�









- Diagrama de flujo por cada programa. ( ) - Diagrama particular de entrada/salida ( ) - Mensaje y su explicación ( ) - Parámetros y su explicación ( ) - Diseño de impresión de resultados ( ) - Cifras de control ( ) - Fórmulas de verificación ( ) - Observaciones ( ) - Instrucciones en caso de error ( ) - Calendario de proceso y resultados ( )

FORMA DE IMPLEMENTACIÓN

La finalidad de evaluar los trabajos que se realizan para iniciar la operación de un sistema, esto es, la prueba integral del sistema, adecuación, aceptación por parte del usuario, entrenamiento de los responsables del sistema etc.

Indicar cuáles puntos se toman en cuenta para la prueba de un sistema:

Prueba particular de cada programa ( ) Prueba por fase validación, actualización ( ) Prueba integral del paralelo ( ) Prueba en paralelo sistema ( ) Otros (especificar)____________________________________________

ENTREVISTA A USUARIOS

La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamento de Sistemas de Información .

Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de las aplicaciones de la computadora y de los sistemas en operación.

Las entrevistas se deberán hacer, en caso de ser posible, a todos los asuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo.

Desde el punto de vista del usuario los sistemas deben:

• Cumplir con los requerimientos totales del usuario. • Cubrir todos los controles necesarios. • No exceder las estimaciones del presupuesto inicial. • Serán fácilmente modificables.

Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicación completa entre usuarios y responsable del desarrollo del sistema.

En esta misma etapa debió haberse definido la calidad de la información que será procesada por la computadora, estableciéndose los riesgos de la misma y la forma de minimizarlos. Para ello se debieron definir los controles adecuados, estableciéndose además los niveles de acceso a la información, es decir, quién tiene privilegios de consulta, modificar o incluso borrar información.

http://www.monografias.com/trabajos12/diflu/diflu.shtml�

http://www.monografias.com/trabajos14/flujograma/flujograma.shtml�

http://www.monografias.com/trabajos14/mocom/mocom.shtml�




http://www.monografias.com/trabajos15/computadoras/computadoras.shtml�


http://www.monografias.com/trabajos13/clapre/clapre.shtml�


http://www.monografias.com/trabajos11/conge/conge.shtml�




http://www.monografias.com/trabajos13/progper/progper.shtml�

Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informática, para comprobar que se logro una adecuada comprensión de los requerimientos del usuario y un control satisfactorio de información.

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada, cuando menos será preciso considerar la siguiente información.

• Descripción de los servicios prestados. • Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado. • Reporte periódico del uso y concepto del usuario sobre el servicio. • Registro de los requerimientos planteados por el usuario.

Con esta información se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados por la dirección de Informática cubren las necesidades de información de las dependencias.

A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con el usuario.

1. ¿Considera que el Departamento de Sistemas de Información de los resultados esperados?.- Si ( ) No ( ) ¿Por que?

2. ¿Cómo considera usted, en general, el servicio proporcionado por el Departamento de Sistemas de Información? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por que?

3. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) ¿Por que?

4. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) ¿Por que?

5. ¿Son entregados con puntualidad los trabajos? Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( ) ¿Por que?

6. ¿Que piensa de la presentación de los trabajadores solicitados al departamento de cómputo? Deficiente ( ) Aceptable ( ) Satisfactorio ( )



http://www.monografias.com/trabajos10/prens/prens.shtml�

http://www.monografias.com/trabajos10/teca/teca.shtml�








Excelente ( ) ¿Por que?

7. ¿Que piensa de la asesoría que se imparte sobre informática? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) ¿Por que?

8. ¿Que piensa de la seguridad en el manejo de la información proporcionada por el sistema que utiliza? Nula ( ) Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) ¿Por que?

9. ¿Existen fallas de exactitud en los procesos de información? ¿Cuáles?

10. ¿Cómo utiliza los reportes que se le proporcionan?

11. ¿Cuáles no Utiliza?

12. De aquellos que no utiliza ¿por que razón los recibe?

13. ¿Que sugerencias presenta en cuanto a la eliminación de reportes modificación, fusión, división de reporte?

14. ¿Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( )

15. ¿Es claro y objetivo el manual del usuario? SI ( ) NO ( )

16. ¿Que opinión tiene el manual? NOTA: Pida el manual del usuario para evaluarlo.

17. ¿Quién interviene de su departamento en el diseño de sistemas?

18. ¿Que sistemas desearía que se incluyeran?

19. Observaciones:

CONTROLES

Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización, por lo cual se debe tener presente:

a) La responsabilidad de los datos es compartida conjuntamente por alguna función determinada y el departamento de cómputo.

b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles(principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualización y consistencia.


http://www.monografias.com/trabajos6/fuso/fuso.shtml�










http://www.monografias.com/trabajos14/responsabilidad/responsabilidad.shtml�



http://www.monografias.com/trabajos11/bancs/bancs.shtml�


c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia dentro de una aplicación y de todas las aplicaciones en general.

d) Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes y grupos de procesos donde son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL

La mayoría de los Delitos por computadora son cometidos por modificaciones de datos fuente al:

• Suprimir u omitir datos. • Adicionar Datos. • Alterar datos. • Duplicar procesos.

Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en línea, en los que los usuarios son los responsables de la captura y modificación de la información al tener un adecuado control con señalamiento de responsables de los datos(uno de los usuarios debe ser el único responsable de determinado dato), con claves de acceso de acuerdo a niveles.

El primer nivel es el que puede hacer únicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer nivel es el que solo puede hacer todos lo anterior y además puede realizar bajas.

NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la información del dato fuente a la computadora, en el presente trabajo se le denominará captura o captación considerándola como sinónimo de digitalizar (capturista, digitalizadora).

Lo primero que se debe evaluar es la entrada de la información y que se tengan las cifras de control necesarias para determinar la veracidad de la información, para lo cual se puede utilizar el siguiente cuestionario:

1. Indique el porcentaje de datos que se reciben en el área de captación 2. Indique el contenido de la orden de trabajo que se recibe en el área de captación de datos: Número de folio ( ) Número(s) de formato(s) ( ) Fecha y hora de Nombre, Depto. ( ) Recepción ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Número de cuenta) ( ) Número de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) Fecha estimada de entrega ( )

3. Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos: Firmas de autorización ( ) Recepción de trabajos ( ) Control de trabajos atrasados ( ) Revisión del documento ( ) Avance de trabajos ( ) fuente(legibilidad, verificación de datos completos, etc.) ( ) Prioridades de captación ( ) Errores por trabajo ( ) Producción de trabajo ( ) Corrección de errores ( ) Producción de cada operador ( ) Entrega de trabajos ( )


http://www.monografias.com/trabajos11/grupo/grupo.shtml�


http://www.monografias.com/trabajos10/delipen/delipen.shtml�








Verificación de cifras Costo Mensual por trabajo ( ) de control de entrada con las de salida. ( )

4. ¿Existe un programa de trabajo de captación de datos? a) ¿Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) b) La elaboración del programa de trabajos se hace: Internamente ( ) Se les señalan a los usuarios las prioridades ( )

c) ¿Que acción(es) se toma(n) si el trabajo programado no se recibe a tiempo?

5. ¿Quién controla las entradas de documentos fuente?

6. ¿En que forma las controla?

7. ¿Que cifras de control se obtienen?

Sistema Cifras que se Observaciones Obtienen

8. ¿Que documento de entrada se tienen? Sistemas Documentos Depto. que periodicidad Observaciones proporciona el documento

9. ¿Se anota que persona recibe la información y su volumen? SI NO

10. ¿Se anota a que capturista se entrega la información, el volumen y la hora? SI NO

11. ¿Se verifica la cantidad de la información recibida para su captura? SI NO

12. ¿Se revisan las cifras de control antes de enviarlas a captura? SI NO

13. ¿Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la información es completa y valida? SI NO

14. ¿Existe un procedimiento escrito que indique como tratar la información inválida (sin firma ilegible, no corresponden las cifras de control)?

15. En caso de resguardo de información de entrada en sistemas, ¿Se custodian en un lugar seguro?

16. Si se queda en el departamento de sistemas, ¿Por cuanto tiempo se guarda?

17. ¿Existe un registro de anomalías en la información debido a mala codificación?

18. ¿Existe una relación completa de distribución de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen?

19. ¿Se verifica que las cifras de las validaciones concuerden con los documentos de entrada?



http://www.monografias.com/trabajos5/volfi/volfi.shtml�







20. ¿Se hace una relación de cuando y a quién fueron distribuidos los listados? _________________________________________________________________________

21. ¿Se controlan separadamente los documentos confidenciales? _________________________________________________________________________

22. ¿Se aprovecha adecuadamente el papel de los listados inservibles? _________________________________________________________________________

23. ¿Existe un registro de los documentos que entran a capturar? _________________________________________________________________________

24. ¿Se hace un reporte diario, semanal o mensual de captura? _________________________________________________________________________

25. ¿Se hace un reporte diario, semanal o mensual de anomalías en la información de entrada?

26. ¿Se lleva un control de la producción por persona?

27. ¿Quién revisa este control?

28. ¿Existen instrucciones escritas para capturar cada aplicación o, en su defecto existe una relación de programas?

CONTROL DE OPERACIÓN

La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora.

El objetivo del presente ejemplo de cuestionario es señalar los procedimientos e instructivos formales de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.

1. ¿Existen procedimientos formales para la operación del sistema de computo? SI ( ) NO ( )

2. ¿Están actualizados los procedimientos? SI ( ) NO ( )

3. Indique la periodicidad de la actualización de los procedimientos:

Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( )

4. Indique el contenido de los instructivos de operación para cada aplicación:

Identificación del sistema ( ) Identificación del programa ( ) Periodicidad y duración de la corrida ( ) Especificación de formas especiales ( ) Especificación de cintas de impresoras ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lógico, y fechas de creación y expiración

http://www.monografias.com/trabajos5/recicla/recicla.shtml#papel�





http://www.monografias.com/trabajos11/conge/conge.shtml�




http://www.monografias.com/trabajos2/mercambiario/mercambiario.shtml�

http://www.monografias.com/trabajos11/trimpres/trimpres.shtml�

Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos específicos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperación para proceso de gran duración o criterios ( ) Identificación de todos los dispositivos de la máquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc. ) ( )

5. ¿Existen órdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y producción)? SI ( ) NO ( )

6. ¿Son suficientemente claras para los operadores estas órdenes? SI ( ) NO ( )

7. ¿Existe una estandarización de las ordenes de proceso? SI ( ) NO ( )

8. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que se están autorizados y tengan una razón de ser procesados. SI ( ) NO ( )

9. ¿Cómo programan los operadores los trabajos dentro del departamento de cómputo? Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) Otra (especifique) ( )

10. ¿Los retrasos o incumplimiento con el programa de operación diaria, se revisa y analiza? SI ( ) NO ( )

11. ¿Quién revisa este reporte en su caso?

12. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cómputo, tomando en cuenta equipo y operador, a través de inspección visual, y describa sus observaciones.

13. ¿Existen procedimientos escritos para la recuperación del sistema en caso de falla?

14. ¿Cómo se actúa en caso de errores?

15. ¿Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?

16. ¿Se tienen procedimientos específicos que indiquen al operador que hacer cuando un programa interrumpe su ejecución u otras dificultades en proceso?

17. ¿Puede el operador modificar los datos de entrada?

18. ¿Se prohibe a analistas y programadores la operación del sistema que programo o analizo?

19. ¿Se prohibe al operador modificar información de archivos o bibliotecas de programas?

20. ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo requieran?

21. ¿Las intervenciones de los operadores:










http://www.monografias.com/trabajos10/ponency/ponency.shtml�

http://www.monografias.com/trabajos7/mafu/mafu.shtml�


Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique)______________________________________________________

22. ¿Se tiene un control adecuado sobre los sistemas y programas que están en operación? SI ( ) NO ( ) 23. ¿Cómo controlan los trabajos dentro del departamento de cómputo?

24. ¿Se rota al personal de control de información con los operadores procurando un entrenamiento cruzado y evitando la manipulación fraudulenta de datos? SI ( ) NO ( )

25. ¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y acción tomada por ellos? Si ( ) por máquina ( ) escrita manualmente ( ) NO ( ) 26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software.

27.¿Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( )

28. ¿Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operación.

29. Verificar que sea razonable el plan para coordinar el cambio de turno.

30. ¿Se hacen inspecciones periódicas de muestreo? SI ( ) NO ( )

31. Enuncie los procedimientos mencionados en el inciso anterior:

32. ¿Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera del departamento de cómputo? SI ( ) NO ( )

33. ¿Se controla estrictamente el acceso a la documentación de programas o de aplicaciones rutinarias? SI ( ) NO ( ) ¿Cómo?_______________________________________________________________

34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificación de seguridad de operador.

35. ¿Existen procedimientos formales que se deban observar antes de que sean aceptados en operación, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( )

36. ¿Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( )

37. ¿Durante cuanto tiempo?

38. ¿Que precauciones se toman durante el periodo de implantación?

39. ¿Quién da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo están acordes con los instructivos de operación.

http://www.monografias.com/trabajos14/mocom/mocom.shtml�







http://www.monografias.com/trabajos11/tebas/tebas.shtml�

http://www.monografias.com/trabajos14/flujograma/flujograma.shtml�

40. ¿Se catalogan los programas liberados para producción rutinaria? SI ( ) NO ( )

41. Mencione que instructivos se proporcionan a las personas que intervienen en la operación rutinaria de un sistema.

42. Indique que tipo de controles tiene sobre los archivos magnéticos de los archivos de datos, que aseguren la utilización de los datos precisos en los procesos correspondientes.

43. ¿Existe un lugar para archivar las bitácoras del sistema del equipo de cómputo? SI ( ) NO ( )

44. Indique como está organizado este archivo de bitácora.

• Por fecha ( ) • por fecha y hora ( ) • por turno de operación ( ) • Otros ( )

45. ¿Cuál es la utilización sistemática de las bitácoras?

46. ¿Además de las mencionadas anteriormente, que otras funciones o áreas se encuentran en el departamento de cómputo actualmente?

47. Verifique que se lleve un registro de utilización del equipo diario, sistemas en línea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo.

48. ¿Se tiene inventario actualizado de los equipos y terminales con su localización? SI ( ) NO ( )

49. ¿Cómo se controlan los procesos en línea?

50. ¿Se tienen seguros sobre todos los equipos? SI ( ) NO ( )

51. ¿Conque compañía? Solicitar pólizas de seguros y verificar tipo de seguro y montos.

52. ¿Cómo se controlan las llaves de acceso (Password)?.

CONTROLES DE SALIDA

1. ¿Se tienen copias de los archivos en otros locales?

2. ¿Dónde se encuentran esos locales?

3. ¿Que seguridad física se tiene en esos locales?

4. ¿Que confidencialidad se tiene en esos locales?

5. ¿Quién entrega los documentos de salida?

6. ¿En que forma se entregan?

7. ¿Que documentos?

8. ¿Que controles se tienen?

9. ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se atienden solicitudes de información a otros usuarios del mismo sistema?










http://www.monografias.com/Fisica/index.shtml�

10. ¿Se destruye la información utilizada, o bien que se hace con ella?

Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________

CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO

Los dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias, no sólo en la unidad de informática, sino en la dependencia de la cual se presta servicio. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que servirán de base a registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de información), principalmente en el caso de las cintas.

Además se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilización errónea o destrucción de la información.

Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura, mejorando además los tiempos de procesos.

CONTROL DE ALMACENAMIENTO MASIVO

OBJETIVOS

El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento básico de la dirección.

1. Los locales asignados a la cintoteca y discoteca tienen:

• Aire acondicionado ( ) • Protección contra el fuego ( ) • (señalar que tipo de protección )__________________________________ • Cerradura especial ( ) • Otra

2. ¿Tienen la cintoteca y discoteca protección automática contra el fuego? SI ( ) NO ( ) (señalar de que tipo)_______________________________________________

3. ¿Que información mínima contiene el inventario de la cintoteca y la discoteca?

Número de serie o carrete ( ) Número o clave del usuario ( ) Número del archivo lógico ( ) Nombre del sistema que lo genera ( ) Fecha de expiración del archivo ( ) Fecha de expiración del archivo ( ) Número de volumen ( ) Otros

4. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? SI ( ) NO ( )

5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( )

http://www.monografias.com/trabajos14/medios-comunicacion/medios-comunicacion.shtml�

http://www.monografias.com/trabajos12/dispalm/dispalm.shtml�
















6. ¿Que tan frecuentes son estas discrepancias? _________________________________________________________________________

7. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco, el cual fue inadvertidamente destruido? SI ( ) NO ( )

8. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) ¿Cómo?_______________________________________________________________

9. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( )

10. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bóveda ( ) Otro(especifique)_______________________________________________________

11. Este almacén esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) ¿Cual?_________________________________________________________________

12. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( )

13. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( ) 14. ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( )

15 ¿Se tiene un responsable, por turno, de la cintoteca y discoteca? SI ( ) NO ( )

16. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO ( )

17. ¿Que medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?

18. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( )

19. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( )

20. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán? SI ( ) NO ( )

21. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO ( )

22. En caso de préstamo ¿Conque información se documentan? Nombre de la institución a quién se hace el préstamo.

• fecha de recepción ( ) • fecha en que se debe devolver ( )

http://www.monografias.com/trabajos12/alma/alma.shtml�



http://www.monografias.com/trabajos10/ponency/ponency.shtml�

http://www.monografias.com/trabajos14/medios-comunicacion/medios-comunicacion.shtml�




• archivos que contiene ( ) • formatos ( ) • cifras de control ( ) • código de grabación ( ) • nombre del responsable que los presto ( ) • otros

23. Indique qué procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros:

24. ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta? SI ( ) NO ( )

25. ¿El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminación prematura? SI ( ) NO ( )

26. ¿La operación de reemplazo es controlada por el cintotecario? SI ( ) NO ( )

27. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI ( ) NO ( )

28. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar los archivos? SI ( ) NO ( )

29. ¿Estos procedimientos los conocen los operadores? SI ( ) NO ( )

30. ¿Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( )

31. ¿Existe un responsable en caso de falla? SI ( ) NO ( )

32. ¿Explique que políticas se siguen para la obtención de archivos de respaldo?

33. ¿Existe un procedimiento para el manejo de la información de la cintoteca? SI ( ) NO ( )

34. ¿Lo conoce y lo sigue el cintotecario? SI ( ) NO ( )

35. ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( )

¿Con qué frecuencia?

CONTROL DE MANTENIMIENTO

Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede

http://www.monografias.com/Politica/index.shtml�




http://www.monografias.com/trabajos6/cont/cont.shtml�


dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente mas caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepción de daños por negligencia en la utilización del equipo. (Este tipo de mantenimiento normalmente se emplea en equipos grandes).

El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo(casi todos los proveedores incluyen, en la cotización de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones.

El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y este hace una cotización de acuerdo con el tiempo necesario para su compostura mas las refacciones (este tipo de mantenimiento puede ser el adecuado para computadoras personales).

Al evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que más nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las cláusulas estén perfectamente definidas en las cuales se elimine toda la subjetividad y con penalización en caso de incumplimiento, para evitar contratos que sean parciales.

Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las fallas, frecuencia, y el tiempo de reparación.

Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios:

1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).

2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? SI ( ) NO ( )

3. ¿Se lleva a cabo tal programa? SI ( ) NO ( )

4. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( )

5. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué acciones correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( )

6. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.- SI ( ) NO ( ) ¿Cual?

8. ¿Cómo se notifican las fallas?

9. ¿Cómo se les da seguimiento?

ORDEN EN EL CENTRO DE CÓMPUTO

Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cómputo. Los dispositivos del sistema de cómputo, los archivos magnéticos, pueden ser dañados si se manejan en forma inadecuada y eso puede traducirse en perdidas irreparables de información o en costos muy elevados en la reconstrucción de archivos. Se deben revisar






http://www.monografias.com/trabajos6/lacali/lacali.shtml#influencia�



http://www.monografias.com/trabajos11/sercli/sercli.shtml�





http://www.monografias.com/trabajos11/mpt/mpt.shtml�



http://www.monografias.com/trabajos11/mpt/mpt.shtml�


las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.

1. Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:

Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otra (especifique) ( )

2. Existe un lugar asignado a las cintas y discos magnéticos? SI ( ) NO ( )

3. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo? SI ( ) NO ( )

4. ¿Son funcionales los muebles asignados para la cintoteca y discoteca? SI ( ) NO ( )

5. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente, después de su uso, las cintas, los discos magnéticos, la papelería, etc.? SI ( ) NO ( )

6. Indique la periodicidad con que se limpian las unidades de cinta:

Al cambio de turno ( ) cada semana ( ) cada día ( ) otra (especificar) ( )

7. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cómputo? SI ( ) NO ( )

8. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( )

9. ¿Se tiene restringida la operación del sistema de cómputo al personal especializado de la Dirección de Informática? SI ( ) NO ( )

10. Mencione los casos en que personal ajeno al departamento de operación opera el sistema de cómputo:

EVALUACIÓN DE LA CONFIGURACIÓN DEL SISTEMA DE CÓMPUTO

Los objetivos son evaluar la configuración actual tomando en consideración las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática en la conservación de su programoteca.

Esta sección esta orientada a:

a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo.

b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.

c) Evaluar la utilización de los diferentes dispositivos periféricos.

1. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, ¿existe equipo? ¿Con poco uso? SI ( ) NO ( )

http://www.monografias.com/trabajos/aire/aire.shtml�



http://www.monografias.com/trabajos7/alim/alim.shtml�




http://www.monografias.com/trabajos5/losperif/losperif.shtml�

¿Ocioso? SI ( ) NO ( ) ¿Con capacidad superior a la necesaria? SI ( ) NO ( )

Describa cual es ____________________________________________________

2. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo? SI ( ) NO ( )

3. Si la respuesta al inciso anterior es negativa, ¿el equipo puede ser cancelado? SI ( ) NO ( )

4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser cancelado o cambiado. ________________________________________________________________

5. ¿El sistema de cómputo tiene capacidad de teleproceso? SI ( ) NO ( )

6. ¿Se utiliza la capacidad de teleproceso? SI ( ) NO ( )

7. ¿En caso negativo, exponga los motivos por los cuales no utiliza el teleproceso? SI ( ) NO ( )

8. ¿Cuantas terminales se tienen conectadas al sistema de cómputo?

9. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI ( ) NO ( )

10. ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente para atender el proceso por lotes y el proceso remoto? SI ( ) NO ( )

SEGURIDAD LÓGICA Y CONFIDENCIAL

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.

Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situación, en el transcurso del siglo XX, el mundo ha sido testigo de la transformación de algunos aspectos de seguridad y de derecho.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ""virus" de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los

http://www.monografias.com/trabajos13/memor/memor.shtml�




http://www.monografias.com/trabajos11/empre/empre.shtml�

http://www.monografias.com/trabajos13/trainsti/trainsti.shtml�


http://www.monografias.com/trabajos5/virus/virus.shtml�




http://www.monografias.com/trabajos5/virus/virus.shtml�



http://www.monografias.com/trabajos/comercializa/comercializa.shtml�

derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

El sistema integral de seguridad debe comprender:

• Elementos administrativos • Definición de una política de seguridad • Organización y división de responsabilidades • Seguridad física y contra catástrofes(incendio, terremotos, etc.) • Prácticas de seguridad del personal • Elementos técnicos y procedimientos • Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes

como terminales. • Aplicación de los sistemas de seguridad, incluyendo datos y archivos • El papel de los auditores, tanto internos como externos • Planeación de programas de desastre y su prueba.

Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por perdida de información y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:

• Clasificar la instalación en términos de riesgo (alto, mediano, pequeño). • Identificar aquellas aplicaciones que tengan un alto riesgo. • Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto

riesgo. • Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se

requiera. • La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e

identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: o Que sucedería si no se puede usar el sistema? o Si la contestación es que no se podría seguir trabajando, esto nos sitúa en un sistema de

alto riego. • La siguiente pregunta es:

o ¿Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo?

o ¿Existe un procedimiento alterno y que problemas nos ocasionaría? o ¿Que se ha hecho para un caso de emergencia?

Una vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas con las medias preventivas que se deben tomar, así como las correctivas en caso de desastre señalándole a cada uno su prioridad .

Hay que tener mucho cuidado con la información que sale de la oficina, su utilización y que sea borrada al momento de dejar la instalación que está dando respaldo.

Para clasificar la instalación en términos de riesgo se debe:

http://www.monografias.com/trabajos16/derecho-autor-venezuela/derecho-autor-venezuela.shtml�



http://www.monografias.com/Computacion/index.shtml�






http://www.monografias.com/trabajos/sismologia/sismologia.shtml�



http://www.monografias.com/trabajos13/ripa/ripa.shtml�







• Clasificar los datos, información y programas que contienen información confidencial que tenga un alto valor dentro del mercado de competencia de una organización, e información que sea de difícil recuperación.

• Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien puede provocar un gran impacto en la toma de decisiones.

• Determinar la información que tenga una gran pérdida en la organización y, consecuentemente, puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa información.

Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles administrativos que sean directamente afectados por la suspensión en el procesamiento y que cuantifíquen el impacto que les puede causar este tipo de situaciones. Para evaluar las medidas de seguridad se debe:

• Especificar la aplicación, los programas y archivos. • Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios. • Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. • En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las

cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización. o El personal que prepara la información no debe tener acceso a la operación. o Los análisis y programadores no deben tener acceso al área de operaciones y viceversa. o Los operadores no debe tener acceso irrestringido a las librerías ni a los lugares donde

se tengan los archivos almacenados; es importante separar las funciones de librería y de operación.

o Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.

Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia.

SEGURIDAD FÍSICA

El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, información debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea restaurado el servicio completo.

Entre las precauciones que se deben revisar están:

• Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del polvo y se habrá de contar con detectores de humo que indiquen la posible presencia de fuego.

• En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso.

• En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difícil acceso de un peso tal que sea difícil utilizarlos.

• Esto es común en lugares donde se encuentran trabajando hombres y mujeres y los extintores están a tal altura o con un peso tan grande que una mujer no puede utilizarlos.

• Otro de los problemas es la utilización de extintores inadecuados que pueden provocar mayor perjuicio a las máquinas (extintores líquidos) o que producen gases tóxicos.

http://www.monografias.com/trabajos14/nuevmicro/nuevmicro.shtml�

http://www.monografias.com/trabajos13/mercado/mercado.shtml�

http://www.monografias.com/trabajos7/compro/compro.shtml�







http://www.monografias.com/trabajos14/datos/datos.shtml#pro�

http://www.monografias.com/trabajos/aireacondi/aireacondi.shtml�



http://www.monografias.com/trabajos12/elproduc/elproduc.shtml�

http://www.monografias.com/trabajos11/lamujer/lamujer.shtml�


http://www.monografias.com/trabajos13/termodi/termodi.shtml#teo�

• También se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso.

• Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente controladas para evitar robos por medio de estas salidas.

• Los materiales mas peligrosos son las cintas magnéticas que al quemarse, producen gases tóxicos y el papel carbón que es altamente inflamable.

Tomando en cuenta lo anterior se elaboro el siguiente cuestionario:

1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? SI ( ) NO ( )

2. ¿Existen una persona responsable de la seguridad? SI ( ) NO ( )

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( )

4. ¿Existe personal de vigilancia en la institución? SI ( ) NO ( )

5. ¿La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO ( )

7. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( )

8. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( )

9. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?. SI ( ) NO ( )

10. ¿Existe vigilancia en el departamento de cómputo las 24 horas? SI ( ) NO ( )

11. ¿Existe vigilancia a la entrada del departamento de cómputo las 24 horas? a) Vigilante ? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( )

12. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? SI ( ) NO ( )

13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? SI ( ) NO ( )

14. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundación? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )


http://www.monografias.com/trabajos13/termodi/termodi.shtml#teo�









15. El centro de cómputo tiene salida al exterior al exterior? SI ( ) NO ( )

16. Describa brevemente la construcción del centro de cómputo, de preferencia proporcionando planos y material con que construido y equipo (muebles, sillas etc.) dentro del centro.

17. ¿Existe control en el acceso a este cuarto? a) Por identificación personal? ( ) b) Por tarjeta magnética? ( ) c) por claves verbales? ( ) d) Otras? ( )

18. ¿Son controladas las visitas y demostraciones en el centro de cómputo? SI ( ) NO ( )

19. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? SI ( ) NO ( )

20. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( )

21. ¿Existe alarma para a) Detectar fuego(calor o humo) en forma automática? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnéticos? ( ) e) No existe ( )

22. ¿Estas alarmas están a) En el departamento de cómputo? ( ) b) En la cintoteca y discoteca? ( )

23. ¿Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cómputo? ( ) b) En la cíntoteca y discoteca? ( ) c) En otros lados ( ) 24. ¿La alarma es perfectamente audible? SI ( ) NO ( )

25.¿Esta alarma también está conectada a) Al puesto de guardias? ( ) b) A la estación de Bomberos? ( ) c) A ningún otro lado? ( ) Otro_________________________________________

26. Existen extintores de fuego a) Manuales? ( ) b) Automáticos? ( ) c) No existen ( )

27. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( )

28. ¿Los extintores, manuales o automáticos a base de TIPO SI NO a) Agua, ( ) ( )

http://www.monografias.com/trabajos16/kaizen-construccion/kaizen-construccion.shtml#CARATER�

http://www.monografias.com/trabajos15/etica-axiologia/etica-axiologia.shtml�

http://www.monografias.com/trabajos16/comportamiento-humano/comportamiento-humano.shtml�

http://www.monografias.com/trabajos7/imco/imco.shtml�

http://www.monografias.com/trabajos11/fraer/fraer.shtml#fra�

http://www.monografias.com/trabajos15/transf-calor/transf-calor.shtml�


http://www.monografias.com/trabajos14/problemadelagua/problemadelagua.shtml�

http://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtml�




b) Gas? ( ) ( ) c) Otros ( ) ( ) 29. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( )

30. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego? SI ( ) NO ( )

31. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el agua cause mas daño que el fuego? SI ( ) NO ( )

32. ¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el gas cause mas daño que el fuego? SI ( ) NO ( )

33. ¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para que el personal a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energía Eléctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( ) d) Es inmediata su acción? SI ( ) NO ( )

34. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? SI ( ) NO ( )

35. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( )

36. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( )

37. ¿Existe salida de emergencia? SI ( ) NO ( )

38. ¿Esta puerta solo es posible abrirla: a) Desde el interior ? ( ) b) Desde el exterior ? ( ) c) Ambos Lados ( )

39. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( )

40. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( )

41. ¿Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el departamento de cómputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( )

http://www.monografias.com/trabajos10/gase/gase.shtml�





http://www.monografias.com/trabajos13/genytran/genytran.shtml�

c) Vigilando y manteniendo el sistema eléctrico? ( ) d) No se ha previsto ( )

42. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo? SI ( ) NO ( )

43. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )

44. ¿Se controla el acceso y préstamo en la a) Discoteca? ( ) b) Cintoteca? ( ) c) Programoteca? ( )

45. Explique la forma como se ha clasificado la información vital, esencial, no esencial etc.

46. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( )

47. Explique la forma en que están protegidas físicamente estas copias (bóveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundación, terremotos, etc.

48. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO ( )

49. Indique el número de copias que se mantienen, de acuerdo con la forma en que se clasifique la información: 0 1 2 3

50. ¿Existe departamento de auditoria interna en la institución? SI ( ) NO ( )

51. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? SI ( ) NO ( )

52. ¿Que tipos de controles ha propuesto?

53. ¿Se cumplen? SI ( ) NO ( )

54. ¿Se auditan los sistemas en operación? SI ( ) NO ( )

55.¿Con que frecuencia? a) Cada seis meses ( ) b) Cada año ( ) c) Otra (especifique) ( )

56.¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién es? a) Usuario ( ) b) Director de informática ( ) c) Jefe de análisis y programación ( ) d) Programador ( ) e) Otras ( especifique) ________________________________________________

57.¿La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( )

http://www.monografias.com/trabajos14/consumoahorro/consumoahorro.shtml�

http://www.monografias.com/trabajos7/alim/alim.shtml�

http://www.monografias.com/trabajos/sismologia/sismologia.shtml�

b) Escrita? ( ) En caso de ser escrita solicite formatos,

58.Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados? SI ( ) NO ( )

59.¿Existe control estricto en las modificaciones? SI ( ) NO ( )

60.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO ( )

61.¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación? SI ( ) NO ( )

62.Se verifica identificación: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificación ( ) 63.¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( )

64.¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( )

65.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? SI ( ) NO ( )

66.¿Existen controles y medidas de seguridad sobre las siguientes operaciones? ¿Cuales son? ( )Recepción de documentos___________________________________________ ( )Información Confidencial____________________________________________ ( )Captación de documentos____________________________________________ ( )Cómputo Electrónico_______________________________________________ ( )Programas_______________________________________________________ ( )Discotecas y Cintotecas_____________________________________________ ( )Documentos de Salida______________________________________________ ( )Archivos Magnéticos_______________________________________________ ( )Operación del equipo de computación__________________________________ ( )En cuanto al acceso de personal_______________________________________ ( )Identificación del personal___________________________________________ ( )Policia___________________________________________________________ ( )Seguros contra robo e incendio_______________________________________ ( )Cajas de seguridad_________________________________________________ ( )Otras (especifique)_________________________________________________

SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO

En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas dentro del centro de cómputo conocen al detalle el diseño, lo que puede provocar que puedan producir algún deterioro a los sistemas si no se toman las siguientes medidas:

1) Se debe restringir el acceso a los programas y a los archivos.


http://www.monografias.com/trabajos15/estadistica/estadistica.shtml�



2) Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos.

3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. 4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. 5) Se deben realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos. 6) Se deben monitorear periódicamente el uso que se le está dando a las terminales. 7) Se deben hacer auditorías periódicas sobre el área de operación y la utilización de las terminales. 8) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseño general del sistema. 9) Deben existir registros que reflejen la transformación entre las diferentes funciones de un sistema. 10) Debe controlarse la distribución de las salidas (reportes, cintas, etc.). 11) Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. 12) Se debe tener un estricto control sobre el acceso físico a los archivos. 13) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versión.

También evitará que el programador ponga nombres que nos signifiquen nada y que sean difíciles de identificar, lo que evitará que el programador utilice la computadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo de información. Para controlar este tipo de información se debe:

1) Cuidar que no se obtengan fotocopias de información confidencial sin la debida autorización. 2) Sólo el personal autorizado debe tener acceso a la información confidencial. 3) Controlar los listados tanto de los procesos correctos como aquellos procesos con terminación incorrecta. 4) Controlar el número de copias y la destrucción de la información y del papel carbón de los reportes muy confidenciales.

El factor más importante de la eliminación de riesgos en la programación es que todos los programas y archivos estén debidamente documentados.

El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentación necesarios para que pueda funcionar el plan de emergencia.

• Equipo, programas y archivos • Control de aplicaciones por terminal • Definir una estrategia de seguridad de la red y de respaldos • Requerimientos físicos. • Estándar de archivos. • Auditoría interna en el momento del diseño del sistema, su implantación y puntos de

verificación y control.

SEGURIDAD AL RESTAURAR EL EQUIPO

En un mundo que depende cada día mas de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falta o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño causado, lo que permitirá recuperar








http://www.monografias.com/trabajos13/progper/progper.shtml�



en el menor tiempo posible el proceso perdido. También se debe analizar el impacto futuro en el funcionamiento de la organización y prevenir cualquier implicación negativa.

En todas las actividades relacionadas con las ciencias de la computación, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitan analizarlos al máximo y en caso que ocurran, poder reparar el daño y reanudar la operación lo mas rápidamente posible.

En una situación ideal, se deberían elaborar planes para manejar cualquier contingencia que se presente.

Analizando cada aplicación se deben definir planes de recuperación y reanudación, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperación disponibles a nivel operativo pueden ser algunas de las siguientes:

• En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso. • Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha

determinada. • El procesamiento anterior complementado con un registro de las transacciones que afectaron a

los archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo a partir de él reanudar el proceso.

• Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia.

• Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.

Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deberá ser planeado y probado previamente.

Este grupo de emergencia deberá tener un conocimiento de los posibles procedimientos que puede utilizar, además de un conocimiento de las características de las aplicaciones, tanto desde el punto técnico como de su prioridad, el nivel de servicio planeado y su influjo en la operación de la organización.

Además de los procedimientos de recuperación y reinicio de la información, se deben contemplar los procedimientos operativos de los recursos físicos como hardware y comunicaciones, planeando la utilización de equipos que permitan seguir operando en caso de falta de la corriente eléctrica, caminos alternos de comunicación y utilización de instalaciones de cómputo similares. Estas y otras medidas de recuperación y reinicio deberán ser planeadas y probadas previamente como en el caso de la información.

El objetivo del siguiente cuestionario es evaluar los procedimientos de restauración y repetición de procesos en el sistema de cómputo.

1) ¿Existen procedimientos relativos a la restauración y repetición de procesos en el sistema de cómputo? SI ( ) NO ( )

2) ¿ Enuncie los procedimientos mencionados en el inciso anterior?

3) ¿Cuentan los operadores con alguna documentación en donde se guarden las instrucciones actualizadas para el manejo de restauraciones? SI ( ) NO ( )

En el momento que se hacen cambios o correcciones a los programas y/o archivos se deben tener las siguientes precauciones:

http://www.monografias.com/trabajos11/concient/concient.shtml�

http://www.monografias.com/Computacion/index.shtml�



http://www.monografias.com/trabajos/epistemologia2/epistemologia2.shtml�

http://www.monografias.com/trabajos/epistemologia2/epistemologia2.shtml�



1) Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se busca evitar que se cambien por nueva versión que antes no ha sido perfectamente probada y actualizada.

2) Los nuevos sistemas deben estar adecuadamente documentos y probados.

3) Los errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas.

Los archivos de nuevos registros o correcciones ya existentes deben estar documentados y verificados antes de obtener reportes.

PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRE

Se debe establecer en cada dirección de informática un plan de emergencia el cual ha de ser aprobado por la dirección de informática y contener tanto procedimiento como información para ayudar a la recuperación de interrupciones en la operación del sistema de cómputo.

El sistema debe ser probado y utilizado en condiciones anormales, para que en casó de usarse en situaciones de emergencia, se tenga la seguridad que funcionará.

La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se ha de utilizar respaldos.

Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en efecto, aunque el equipo de cómputo sea aparentemente el mismo, puede haber diferencias en la configuración, el sistema operativo, en disco etc.

El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su operación, por precaución es conveniente tener una copia fuera de la dirección de informática.

En virtud de la información que contiene el plan de emergencia, se considerará como confidencial o de acceso restringido.

La elaboración del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia, La estructura del plan debe ser tal que facilite su actualización.

Para la preparación del plan se seleccionará el personal que realice las actividades claves del plan. El grupo de recuperación en caso de emergencia debe estar integrado por personal de administración de la dirección de informática, debe tener tareas específicas como la operación del equipo de respaldo, la interfaz administrativa.

Los desastres que pueden suceder podemos clasificar así:

a) Completa destrucción del centro de cómputo, b) Destrucción parcial del centro de cómputo, c) Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire, acondicionado, etc.) d) Destrucción parcial o total de los equipos descentralizados e) Pérdida total o parcial de información, manuales o documentación f) Pérdida del personal clave g) Huelga o problemas laborales.

El plan en caso de desastre debe incluir:

• La documentación de programación y de operación. • Los equipos:

o El equipo completo o El ambiente de los equipos




http://www.monografias.com/trabajos10/nofu/nofu.shtml�



http://www.monografias.com/trabajos11/huelga/huelga.shtml#hu�



o Datos y archivos o Papelería y equipo accesorio o Sistemas (sistemas operativos, bases de datos, programas).

El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentación estará en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las últimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado.

Cuando el plan sea requerido debido a una emergencia, el grupo deberá:

• Asegurarse de que todos los miembros sean notificados, • informar al director de informática, • Cuantificar el daño o pérdida del equipo, archivos y documentos para definir que parte del plan

debe ser activada. • Determinar el estado de todos los sistemas en proceso, • Notificar a los proveedores del equipo cual fue el daño, • Establecer la estrategia para llevar a cabo las operaciones de emergencias tomando en cuenta:

o Elaboración de una lista con los métodos disponibles para realizar la recuperación o Señalamiento de la posibilidad de alternar los procedimientos de operación (por

ejemplo, cambios en los dispositivos, sustituciones de procesos en línea por procesos en lote). o Señalamiento de las necesidades para armar y transportar al lugar de respaldo todos los

archivos, programas, etc., que se requieren. o Estimación de las necesidades de tiempo de las computadoras para un periodo largo.

Cuando ocurra la emergencia, se deberá reducir la carga de procesos, analizando alternativas como:

• Posponer las aplicaciones de prioridad más baja, • Cambiar la frecuencia del proceso de trabajos. • Suspender las aplicaciones en desarrollo.

Por otro lado, se debe establecer una coordinación estrecha con el personal de seguridad a fin de proteger la información.

Respecto a la configuración del equipo hay que tener toda la información correspondiente al hardware y software del equipo propio y del respaldo.

Deberán tenerse todas las especificaciones de los servicios auxiliares tales como energía eléctrica, aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y reducir al mínimo las restricciones de procesos, se deberán tomar en cuenta las siguientes consideraciones:

• Mínimo de memoria principal requerida y el equipo periférico que permita procesar las aplicaciones esenciales.

• Se debe tener documentados los cambios de software. • En caso de respaldo en otras instituciones, previamente se deberá conocer el tiempo de

computadora disponible.

Es conveniente incluir en el acuerdo de soporte recíproco los siguientes puntos:

• Configuración de equipos. • Configuración de equipos de captación de datos. • Sistemas operativos. • Configuración de equipos periféricos.



http://www.monografias.com/trabajos12/elorigest/elorigest.shtml�





http://www.monografias.com/trabajos13/genytran/genytran.shtml�





http://www.monografias.com/trabajos13/trainsti/trainsti.shtml�


NEXO 1

PROGRAMA DE AUDITORIA EN SISTEMAS

INSTITUCION________________________ HOJA No.__________________ DE_______

FECHA DE FORMULACION____________

FASE DESCRIPCION ACTIVIDAD

NUMERO D PERSONA

PERIODO ESTIMAD DIAS

HAB

EST.

DIAS

HOM.

EST. PARTICIPAN INICIO TERMIN

ANEXO 2

AVANCE DEL CUMPLIMIENTO DEL PROGRAMA

DE AUDITORIA EN SISTEMAS

INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_

PERIODO QUE REPORTA____________________________

FASE

SITUACION DE LA AUDITORIA

PERIODO REAL D AUDITORIA DIAS REA

UTILIZAD GRAD

AVA DIAS H

EST

EXPLICACIO LAS VARIACI EN RELACION LO PROGRAM NO INIC EN PRO TERMI INICIADA TERMINA

ANEXO 3

Ejemplo de Propuesta de Servicios de Auditoria en Informática

I. ANTECEDENTES

(Anotar los antecedentes específicos del proyecto de Auditoria)

II. OBJETIVOS

(Anotar el objetivo de la Auditoria)

III. ALCANCES DEL PROYECTO

El alcance del proyecto comprende:

1. Evaluación de la Dirección de Informática en lo que corresponde a:

o Capacitación o Planes de trabajo o Controles o Estándares

2. Evaluación de los Sistemas

a. Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas)

b. Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

c. Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

d. Seguridad física y lógica de los sistemas, su confidencialidad y respaldos

3. Evaluación de los equipos

o Capacidades o Utilización o Nuevos Proyectos o Seguridad física y lógica o Evaluación física y lógica

IV. METODOLOGIA

La

metodología de investigación a utilizar en el proyecto se presenta a continuación:

1. Para la evaluación de la Dirección de Informática se llevarán a cabo las siguientes actividades:

o Solicitud de los estándares utilizados y programa de trabajo o Aplicación del cuestionario al personal o Análisis y evaluación del a información o Elaboración del informe






2. Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:

o Solicitud del análisis y diseño del os sistemas en desarrollo y en operación o Solicitud de la documentación de los sistemas en operación (manuales técnicos, de

operación del usuario, diseño de archivos y programas) o Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de

información, formatos, reportes y consultas) o Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos o Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado o Entrevista con los usuarios de los sistemas o Evaluación directa de la información obtenida contra las necesidades y requerimientos

del usuario o Análisis objetivo de la estructuración y flujo de los programas o Análisis y evaluación de la información recopilada o Elaboración del informe

3. Para la evaluación de los equipos se levarán a cabo las siguientes actividades:

o Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización

o Solicitud de contratos de compra y mantenimientos de equipo y sistemas o Solicitud de contratos y convenios de respaldo o Solicitud de contratos de Seguros o Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos,

unidades de entrada/salida, equipos periféricos y su seguridad o Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la

Dirección de Informática o Evaluación técnica del sistema electrónico y ambiental de los equipos y del local

utilizado o Evaluación de la información recopilada, obtención de gráficas, porcentaje de

utilización de los equipos y su justificación

4. Elaboración y presentación del informe final ( conclusiones y recomendaciones)

ACTIVIDAD. Realice un resumen y sus conclusiones del tema

PROGRAMA DE CALIDAD UDABOL







http://www.monografias.com/trabajos12/guiainf/guiainf.shtml�

DIF – 002 /2011

AUDITORÍA Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN AUDITORÍA DEL “SISTEMA DE REPARACIONES DE CALZADOS” DE REPARACIONES LUIS PRESENTADO POR: FRANK RIVERA EDWIN GUILLERMO ABRIL DEL 2003 INTRODUCCIÓN Los sistemas de información proporcionan una herramienta útil a las empresas, administrando la información para proporcionar resultados precisos en el momento indicado. La auditoría aplicada a un sistema de información permite asegurar que la información que se maneja sea íntegra, segura y capaz de suministrar respuestas adecuadas. El objetivo de esta auditoría consiste en evaluar los controles que utiliza la empresa Reparaciones Luis en su “Sistema de Reparaciones de Calzados”, aplicando técnicas que permitan verificar la integridad de la información contenida en el mismo. La auditoría se aplicará a cinco módulos de este sistema, siendo estos: generales del cliente, generales del operario, calzados, ventas diarias y ventas mensuales. La evaluación corresponderá primero a los módulos de generales del cliente y del operario, seguido del módulo calzados que mantiene estrecho enlace con estos y finalmente los módulos de ventas diarias y mensuales donde se verificará si se obtienen los resultados deseados. La auditoría permitirá realizar un análisis sobre estos módulos de manera que al detectar situaciones no controladas se proporcionen recomendaciones para contar con un sistema íntegro. ANTECEDENTES DE LA EMPRESA Reparaciones Luis, es un taller de reparaciones de calzados que fue fundado en junio de 1996, ofreciéndole servicio de reparaciones de calzados en general. En esta empresa se trabaja de lunes a sábado de 8:00 a.m. a 5:00 p.m y los domingos y días feriados de 10:00 a.m. a 3:00 p.m. Gracias a su calidad en el servicio y buena atención al cliente, Reparaciones Luis se ha colocado en un importante lugar entre los demás talleres dentro de la Ciudad de Panamá. Descripción del Personal Esta empresa cuenta con un Gerente General, un Administrador y Jefe de Personal, una Ejecutiva en Ventas, cinco Operadores y una Secretaria, a continuación se detallan las funciones de cada uno de ellos:

ORGANIGRAMA DE LA EMPRESA

ANTECEDENTES DEL SISTEMA El sistema de reparaciones de calzados inició sus operaciones en mayo de 2001 y administra la información concerniente a los clientes, operarios y calzados que envían los clientes a reparar. Comprende los módulos de generales del cliente, generales del profesor, calzados, ventas diarias, ventas mensuales, calzados a reparar por cliente y calzados a reparar por operario. La auditoría que se realizará involucra los cinco primeros módulos. Primero se procede a capturar las generales del cliente y del operario, a partir de ello se realiza la captura de calzados, para proceder a emitir el listado de las ventas que se dieron por día y por mes con el total de las mismas. Este sistema comprende tres tablas: - Clientes: Contiene los datos generales del cliente. - Operarios: Almacena los datos generales del operario. Calzados: Contiene la información de cada calzado, así como del costo por la reparación del mismo. Ambiente de Desarrollo del Sistema a Auditar Software Sistema Operativo: Microsoft Windows 98. Programa de Aplicación: Microsoft Visual Basic 6.0. Manejador de la Base de Datos: Microsoft Access 97.

Hardware Memoria Ram: 256 MB. Procesador: Intel Pentium III, 750 Mhz Disco Duro: 10 GB, IDE.

OBJETIVO GENERAL DE LA AUDITORÍA Evaluar la integridad y controles de la información contenida en los módulos generales del cliente, generales del operario, calzados, ventas diarias y ventas mensuales del Sistema de Reparaciones de Calzados de la empresa Reparaciones Luis. OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR

PROCEDIMIENTOS DE ACCESO

OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ACCESO

ACTIVIDADES TECNICAS A USAR CONTROL A EVALUAR OBJETIVOS ESPECÍFICOS OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ACCESO

1.2.1.1. Verificar que se le haya asignado al personal autorizado una contraseña de acceso única. 1.2.2.1. Analizar las políticas a seguir para asignar contraseñas al personal. 1.2.3.1 Interrogar al personal sobre la asignación de contraseñas que se les ha dado.

1.2.1. Observación. 1.2.2. Análisis de políticas 1.2.3. Entrevista.

1.2. Políticas de asignación de passwords.

1. Revisar la existencia de controles de acceso al sistema.

ACTIVIDADES TECNICAS A

USAR CONTROL A EVALUAR OBJETIVOS

ESPECÍFICOS

1.1.1.1. Verificar que el personal que entra al sistema cuente con una contraseña de acceso. 1.1.2.1. Preparar un conjunto de datos de prueba para introducir las claves de acceso al sistema. 1.1.2.2. Aplicar las pruebas. 1.1.2.3. Realizar un análisis de las pruebas.

1.1.1. Verificación de existencia. 1.1.2. Datos de prueba.

1.1. Contraseñas. 1. Revisar la existencia de controles de acceso al sistema.



ESPECÍFICOS

OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ACCESO

EJECUCIÓN DE LA AUDITORÌA

1.4.1.1. Observar que sólo las personas autorizadas entren al sistema. 1.4.2.1. Analizar el acceso al sistema que tienen las personas autorizadas.

1.4.1. Observación. 1.4.2. Análisis de perfil.

1.4. Perfiles de Usuarios




ESPECÍFICOS

1.3.1.1. Preparar un conjunto de datos de prueba para el acceso de usuarios que ocupan diferentes niveles en cuanto a la utilización el sistema 1.3.1.2. Aplicar las pruebas. 1.3.1.3. Realizar un análisis de las pruebas.

1.3.1. Datos de prueba

1.3. Niveles de Acceso al sistema.




ESPECÍFICOS

CUMPLIMIENTO DE LOS CONTROLES DEL OBJETIVO N°1 1.1. Contraseñas: El sistema no cuenta con contraseñas de acceso. 1.2. Políticas de asignación de passwords: No existen políticas de asignación de contraseñas. 1.3. Niveles de acceso al sistema: Debido a que no se cuenta con contraseñas de acceso, no existen niveles de acceso a los diferentes módulos del sistema. 1.4. Perfiles de usuarios: Cualquier persona puede accesar al sistema ya que no existen contraseñas de acceso.

INFORME DETALLADO DE LA AUDITORÍA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES PROCEDIMIENTOS DE ACCESO

RECOMENDACIONES DEBILIDADES FORTALEZAS OBJETIVOS ESPECÍFICOS ACTIVIDADES TECNICAS A USAR CONTROL A EVALUAR OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE ENTRADA


2.1.1.1. Preparar un conjunto de datos de entrada para verificar los datos que se pueden ingresar al sistema. 2.1.1.2. Aplicar las pruebas. 2.1.1.3. Realizar un análisis de las pruebas. 2.2.1.1. Preparar un conjunto de datos de prueba para validar el control de máscaras de entrada 2.2.1.2. Aplicar las pruebas. 2.2.1.3. Realizar un análisis de las pruebas.

2.1.1. Datos de prueba 2.2.1. Datos de prueba.

2.1. Validación de datos de entrada. 2.2. Máscaras de entrada.

2. Evaluar los niveles de integridad de los procedimientos de validación.



ESPECÍFICOS

Contar con contraseñas de acceso para que cada usuario autorizado pueda ingresar al sistema. Establecer políticas de asignación de passwords como es el caso de asignar una contraseña única a cada usuario. Definir niveles de acceso al sistema para el ingreso a los diferentes módulos por los usuarios Definir perfiles de usuarios de manera que sólo el personal autorizado pueda ingresar al sistema.

No se cuenta con contraseñas de acceso para ingresar al sistema, No existen políticas para asignar contraseñas a los usuarios. No hay definidos niveles de acceso al sistema. No existen perfiles de usuarios.

Ninguna. 1. Revisar la existencia de controles de acceso al sistema.

RECOMENDACIONES DEBILIDADES FORTALEZAS OBJETIVOS

ESPECÍFICOS

CUMPLIMIENTO DE LOSCONTROLES DEL OBJETIVO N°2 2.1. Validación de datos de entrada: Se puede introducir cualquier valor en los campos. 2.2. Máscaras de entrada: No existen máscaras de entrada. INFORME DETALLADO DE LA AUDITORÍA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES PROCEDIMIENTOS DE ENTRADA

Controlar la entrada de datos erróneos al sistema de forma que no se guarden registros con información inadecuada. Contar con máscaras de entrada de manera que sólo se permita introducir los valores correctos en los

En los campos numéricos y de fecha se pueden introducir valores alfabéticos y en los campos alfabéticos se pueden introducir valores numéricos. No existen máscaras de entrada.

Ninguna. 2. Evaluar los niveles de integridad de los procedimientos de validación.

RECOMENDACIONES DEBILIDAD

ES FORTALEZAS OBJETIVOS

ESPECÍFICOS

OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE PROCESO


4.1.1.1. Preparar un conjunto de datos de prueba para calcular totales. 4.1.1.2. Aplicar las pruebas. 4.1.1.3. Realizar un análisis de las pruebas. 4.1.2.1 Calcular automatizadamente y manualmente los totales de las capturas. 4.1.3.1. Comparar el resultado del cálculo automatizado con el manual.

4.1.1. Datos de prueba. 4.1.2. Cálculos 4.1.3 Comparación.

4.1. Comparación de cálculos automatizados con los manuales.

4. Verificar que la operación de cálculo de totales proporcione el resultado esperado.

ACTIVIDADES TECNICAS A USAR CONTROL A EVALUAR OBJETIVOS

ESPECÍFICOS

CUMPLIMIENTO DE LOS CONTROLES DEL OBJETIVO N°4 4.1. Comparación de cálculos automatizados con los manuales: Los cálculos automatizados de las ventas diarias coinciden con los cálculos manuales, los cálculos automatizados de las ventas mensuales no coinciden con los cálculos manuales. INFORME DETALLADO DE LA AUDITORÍA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES

PROCEDIMIENTOS DE PROCESO

OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA, PROCEDIMIENTOS DE CONTROL Y CONTROLES A APLICAR PROCEDIMIENTOS DE SALIDA


5.1.1.1. Verificar la consistencia de los reportes. 5.2.1.1. Preparar un conjunto de datos de prueba para observar la salida del reporte por pantalla e impreso. 5.2.1.2. Aplicar las pruebas. 5.2.1.3. realizar un análisis de las pruebas.

5.1.1. Observación. 5.2.1. Datos de prueba.

5.1. Estandarización de reportes. 5.2. Generación de reporte por pantalla e impreso.

5. Verificar los procedimientos de consultas (reportes) del sistema.



ESPECÍFICOS

Modificar la rutina en el módulo Ventas Mensuales para que calcule adecuadamente el total de las ventas de un mes determinado.

En el módulo Ventas Mensuales los totales no son los esperados.

En el módulo Ventas Diarias los totales son los esperados.

4. Verificar que la operación de cálculo de totales proporcione el resultado esperado.

RECOMENDACIONES DEBILIDAD

ES FORTALEZAS OBJETIVOS

ESPECÍFICOS

CUMPLIMIENTO DE LOS CONTROLES DEL OBJETIVO N°5 5.1. Estandarización de reportes: Los reportes cumplen con los estándares establecidos. 5.2. Generación de reportes por pantalla e impreso: Los reportes se presentan por pantalla no así impresos. INFORME DETALLADO DE LA AUDITORÍA, FORTALEZAS, DEBILIDADES Y RECOMENDACIONES PROCEDIMIENTOS DE SALIDA OBJETIVOS ESPECÍFI FORTALEZAS DEBILIDADES RECOMENDACIONES

5. Verificar los proced de consultas (report sistema.

Los reportes en guardan la consistenci datos.

No existen impresos.

Contar con reportes impr manera que se documentación archivada mismos.

CONCLUSIÓN El objetivo de esta auditoría consiste en contar con los controles necesarios para mantener un sistema óptimo de manera que no se presenten incongruencias en el mismo. Mediante las adecuadas técnicas y actividades aplicadas al Sistema de Reparaciones de Calzados de la empresa Reparaciones Luis se logró detectar las debilidades de los módulos generales del cliente, generales del operario, calzados, ventas diarias y ventas mensuales. Entre estas debilidades se encuentran: -La falta de contraseñas de acceso al sistema, de políticas de asignación de passwords, niveles de acceso al sistema y de perfiles de usuarios -La introducción de datos erróneos al sistema y la falta de máscaras de entrada. -Los totales erróneos de las ventas mensuales. -La falta de reportes impresos. -La no existencia de procedimientos de respaldo y recuperación, de una bitácora y de manuales de ayuda y de manejo y corrección de errores. A estas debilidades se aplicó las adecuadas recomendaciones de manera que se puedan realizarse las mejoras y modificaciones al sistema. Además se detectaron fortalezas en el sistema, como las siguientes: -El procedimiento de almacenamiento de registros en la base de datos y en el sistema se realizó exitosamente. -Los totales de las ventas diarias fueron los esperadas. -Los reportes por pantalla guardan la consistencia de los datos. Recomendamos al lector tomar como referencia este trabajo ya que el mismo nos a permitido ganar una buena experiencia sobre los procedimientos que debemos seguir al aplicar una exitosa auditoría en una empresa. ACTIVIDAD Realice un resumen y conclusión del tema

PROGRAMA DE CALIDAD UDABOL DIF – 003 /2010

Auditoróa del Módulo de Reclamos del Sistema de Administración de Planes de Salud de la Compañía HNA Panamá

Autores: Lic. Alexander Taylor Lic. Mildred Echezano Introducción Como auditores de sistemas, nuestra labor es la de verificar si los controles en el área auditada funcionan correcta y efectivamente, a través de la identificación y análisis de vulnerabilidades, amenazas, y riesgos potenciales, con el fin de dar una opinión objetiva y hacer algunas recomendaciones que ayuden a mejorar el desempeño del área auditada y de esta forma servir de apoyo a la alta gerencia para la toma de decisiones. Antecedentes HNA Panamá, es una empresa dedicada desde 1998 a administrar el plan de beneficios de salud del Área del Canal de Panamá. Cuenta actualmente con aproximadamente 71 empleados en los diferentes departamentos (figura 1). El módulo auditado (Módulo de Reclamos (figura 3)) es parte del Sistema de Administración de Planes de Salud (figura 2), fue instalado en Panamá en el año de 1998 con el inicio del funcionamiento de la empresa, el mismo fue desarrollado en New Yersey, su plataforma de desarrollo es AIX V 4.3.3.0 (UNIX) .

OBJETIVO GENERAL EVALUAR EL NIVEL DE CONFIABILIDAD DEL MÓDULO DE RECLAMOS DEL SISTEMA DE ADMINISTRACIÓN DE PLANES DE SALUD DE LA EMPRESA HNA PANAMA. OBJETIVO ESPECÍFICO POR FASE • FASE: ACCESO

OBJETIVO ESPECIFICO CONTROL A EVALUAR TECNICAS A USAR

1. Verificar procedimiento al modulo, y a la informaci

1.1 Procedimientos de acc

1.1.1 Cuestionario 1.1.2 Datos de prueba.

• FASE: CAPTURA Y VALIDACION DE ENTRADA OBJETIVO ESPECIFICO CONTROL A EVALUAR TECNICAS A USAR

2.Verificar los procedimie captura y validación de dat módulo de reclamos.

2.1 Procedimientos de c validación.

2.1.1 Cuestionario 2.1.2 Datos de pru

• FASE PROCESO OBJETIVO ESPECIFICO CONTROL TECNICAS A USAR

3. Verificar procedimi cálculo en el modulo de r para calcular el monto a los proveedores.

3.1 Procedimientos de ve de cálculo.

3.1.1 Comparación 3.1.2 Cálculos.

• FASE ALMACENACIÓN Y RECUPERACIÓN

OBJETIVO ESPECIFIC CONTROL TECNICAS A USAR

4. Evaluar la exist disponibilidad procedimientos de resp

4.1 Procedimiento de e y disponibilidad de respa

4.1.1 Observación 4.1.2 Comparación

Nota: Por traslado del equipo no se pudo ejecutar este objetivo • FASE: SALIDA OBJETIVO ESPECIFICO CONTROL TECNICAS A USAR

5. Evaluar que los resul los reportes sean c precisos para su uso pos la toma de decisiones.

5.1 Procedimiento evaluación de resulta reportes.

5.1.1 Observación 5.1.2 Comparación 5.1.3 Datos de prueba

• FASE: DOCUMENTACION OBJETIVO ESPECIFICO CONTROL TECNICAS A USAR

6. Evaluar que los m existentes estén acorde funcionamiento real del módu

6.1 Procedimientos de rev manuales existentes. 6.2 Procedimientos de actu de manuales 6.3 Supervisión de actualiza manuales.

6.1.1 Cuestionario 6.1.2 Comparación

ANALISIS DE RESULTADOS Objetivo Específico Debilidad Recomendaciones 1. Verificar procedim acceso al módulo, información.

• No hay problemas con e lógico, el mismo esta co En cuanto al acceso fí terminales de entrada d no tienen ningún t seguridad física, no son bajo llave y no se encue un cuarto físicamente cualquiera puede tener a las mismas, son puesta suelo donde están expu riesgos .

• Uso de mecanism seguridad, como llaves o electrónicas para cont acceso al departame reclamos.

• Instalar cámaras de s

para vigilar que las perso accesan al departamen las autorizadas y superv vez las labores del perso

0 Objetivo Específico Debilidad Recomendaciones

2. Verificar los proced de captura y valida datos en módulo de rec

• Inadecuada validación datos de específicamente de dato número de miembro, pr número de reclamo, etc.

• Verificar los procedimie validación en la lóg programas.

Evidencia 00 0

Objetivo Específico Debilidad0 Recomendaciones 3. Verificar procedim cálculo en el mód reclamos para cal monto a pagar a prove

• El procedimiento den módulo para el pago en que el tratamiento hecho miembro sea un lab presenta problemas, p mismo no tiene un valor t el cual validar si el co laboratorio es correcto o n cálculos errados para pa factura. Los laboratorios s al 75 ó 80 % del valor to factura.

• Revisión de la lóg programa, específicam los cálculos que re módulo para el pago laboratorios.

Evidencia

Objetivo Específico Debilidad Recomendaciones 5. Evaluar que los re de los reportes sean precisos para su uso en la toma de decision

• Los reportes omiten en o información procesada, s por los usuarios.

Verificar la lógic programa.

Revisar el diseño reportes, con el rediseñarlos si es neces

Objetivo Específico Debilidad 6. Evaluar que los m existentes estén acord funcionamiento real del

No todo el personal del departam reclamos está al tanto de la existe manual de usuarios del mó reclamos.

No todos tienen a su disposic copia del manual de usuario.

El manual de usuario no refleja las modificaciones hechas al mód reclamos

Recomendaciones Comunicar a los miembros del departamento de reclamos la existencia de los m de usuario del módulo de reclamos. Las personas asignadas a la capacitación del personal nuevo deben entregar u del manual a los nuevos usuarios del módulo de reclamos. Hacer una revisión del manual de usuario con la finalidad de actualizar el conte mismo, para que refleje las últimas modificaciones hechas al módulo de reclamo Distribuir una copia a todo el personal del departamento de reclamos con t modificaciones.

CONCLUSIONES La Auditoría de Sistemas consiste en una revisión de los controles internos del área auditada, pero la misma debe estar encaminada a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, y que por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. ACTIVIDAD Realice un resumen y conclusión del tema

PROGRAMA DE CALIDAD UDABOL DIF – 004 /2011

SEGURIDAD Y RIESGOS INVOLUCRADOS

Introducción Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer el resultado de mil batallas” Sun-Tzu, El Arte de la Guerra Definiciones de seguridad Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando. ROLES INVOLUCRADOS INVOLUCRADOS EN SEGURIDAD EN SEGURIDAD Usuarios comunes Los usuarios se acostumbran a usar la tecnología sin saber cómo funciona o de los riesgos que pueden correr. Son las principales víctimas. También son el punto de entrada de muchos de los problemas crónicos. “El eslabón más débil” en la cadena de seguridad. enfoques para controlarlos Principio del MENOR PRIVILEGIO POSIBLE: Reducir la capacidad de acción del usuario sobre los sistemas. Objetivo: Lograr el menor daño posible en caso de incidentes. EDUCAR AL USUARIO: Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los mecanismos de seguridad. Objetivo: Reducir el número de incidentes CREADORES DE SISTEMAS DE SISTEMAS SEGURIDAD Creando Software: El software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidades de seguridad. Un mal proceso de desarrollo genera software de mala calidad. “Prefieren que salga mal a que salga tarde”. Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad en los productos de SW. Propiedades de la Información en un “Trusted System” Confidencialidad: Asegurarse que la información en un sistema de cómputo y la transmitida por un medio de comunicación, pueda ser leída SOLO por las personas autorizadas. Autenticación: Asegurarse que el origen de un mensaje o documento electrónico esta correctamente identificado, con la seguridad que la entidad emisora o receptora no esta suplantada. Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la información o recursos de cómputo. No repudiación: Asegurarse que ni el emisor o receptor de un mensaje o acción sea capaz de negar lo hecho. Disponibilidad: Requiere que los recursos de un sistema de cómputo estén disponibles en el momento que se necesiten. Ataques contra el flujo de la información

FLUJO NORMAL: Los mensajes en una red se envían a partir de un emisor a uno o varios receptores. El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.

INTERRUPCION El mensaje no puede llegar a su destino, un El mensaje no puede llegar a su destino, un recurso del sistema es destruido o recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Este es un ataque contra la Disponibilidad Disponibilidad Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación, hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración o deshabilitar los sistemas de administración de archivos.

INTERCEPCION Una persona, computadora o programa sin Una persona, computadora o programa sin autorización logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento citas de programas o datos, escalamiento de privilegios.

MODIFICACION • La persona sin autorización, además de lograr el acceso, modifica el mensaje. • Este es un ataque contra la Integridad. • Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre

programas para que se comporten diferente.

Emisor Receptor

Atacante

Emisor Receptor

Atacante

Emisor Receptor

Atacante

Emisor Receptor

Atacante

FABRICACION • Una persona sin autorización inserta objetos falsos en el sistema. • Es un ataque contra la Autenticidad. • Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP,

etc... • Es muy difícil estar seguro de quién esta al otro lado de la línea.

Para que esperar… “Si gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más,

mereces ser hackeado” Richard “digital armageddon” Clark, USA DoD

La mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. ¿para que esperarse?

Razones para vulnerar la seguridad:

• $$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,… • Empleados descontentos, fraudes, extorsiones, (insiders). • Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo,

etc… • Objetivo de oportunidad.

Pregunta: ¿Cuánto te cuesta tener un sistema de cómputo detenido por causa de un incidente de seguridad?

o Costos económicos (perder oportunidades de negocio). o Costos de recuperación. o Costos de reparación. o Costos de tiempo. o Costos legales y judiciales. o Costos de imagen. o Costos de confianza de clientes. o Perdidas humanas (cuando sea el caso).

¿Qué hacer? • Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de seguridad. • Las políticas y mecanismos de seguridad deben de exigirse• Con su apoyo se puede pasar fácilmente a enfrentar los problemas de manera proactiva (en lugar de

reactiva como se hace normalmente)

para toda la empresa.

ADMINISTRADORES

• Son los que tienen directamente la responsabilidad de vigilar a los otros roles. (aparte de sus sistemas) • Hay actividades de seguridad que deben de realizar de manera rutinaria. • Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.

Emisor Receptor

Atacante

• También tiene que ser hackers: Conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.

Qué Información proteger: • En formato electrónico / magnético / óptico • En formato impreso • En el conocimiento de las personas

Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran lo menos posible:

• sin grandes inversiones en software • sin mucha estructura de personal

Tan solo: • ordenando la Gestión de Seguridad • parametrizando la seguridad propia de los sistemas • utilizando herramientas licenciadas y libres en la web

Recomendaciones

• Política de seguridad, objetivos y actividades que reflejen los objetivos del proyecto • Una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; • Apoyo y compromiso manifiestos por parte de la gerencia • Un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la

administración de los mismos • Comunicación eficaz de los temas de seguridad a todo el personal involucrado en el proyecto • Distribución de guías sobre políticas y estándares de seguridad de la información a todos los

empleados y contratistas • Instrucción y entrenamiento adecuados • Un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión

de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo. ACTIVIDAD Realice un resumen y conclusión del tema

Comunicaciones

Almacenamiento de datos

Sistema Operativo

Servicios Públicos

Aplicación

Usuarios

Servicios Internos


DIF – 005 2011

NORMALIZACIÓN Y CERTIFICACIÓN DE SISTEMAS DE GESTIÓN SISTEMAS DE GESTIÓN DE SEGURIDAD

DE LA INFORMACIÓN División de Desarrollo Estratégico y Corporativo AENOR

La Asociación Española de Normalización y Certificación (AENOR) es una entidad española, privada, independiente, sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional, contribuye, mediante el desarrollo de las actividades N+C, a mejorar la calidad en las empresas, sus productos y servicios, así como proteger el medio ambiente y, con ello, el bienestar de la sociedad. Reconocida como Organismo de Normalización y para actuar como Entidad de Certificación por el R.D 2200/1995, en el desarrollo de la Ley 21/1992 de Industria. AENOR: ACTIVIDADES • Elaborar Normas Técnicas Españolas con la participación abierta de todas las partes interesadas y colaborar impulsando la aportación española en la elaboración de normas europeas e internacionales

- 20000 normas UNE publicadas -159 Comités Técnicos de Normalización

• Certificar productos, servicios y empresas (sistemas de gestión), contribuyendo a favorecer los intercambios comerciales y la cooperación internacional

-58000 productos o servicios certificados - 13500 sistemas de gestión certificados

AENOR es organismo acreditado por ENAC para la certificación de sistemas de calidad ISO 9000, sistemas de gestión medioambiental ISO 14001, verificación medioambiental y sistemas de calidad QS 9000. AENOR es también organismo autorizado a certificar según la ISO/TS 16949 REPUTACIÓN CORPORATIVA (Sistemas de gestión de reputación corporativa) 1. Eficacia económico-financiera (solvencia) 2. Gestión medioambiental de sistemas, productos y servicios 3. Gestión ético y social 4. Gestión de la calidad de sistemas, productos y servicios 5. Gestión de la I+D+I (Innovación) 6. Gestión de la Seguridad de la Información 7. Internacionalización (Globalización) NECESIDAD DE LA NORMALIZACION DE LA SEGURIDAD DE LA INFORMACIÓN • No existen reglas y criterios únicos para definir cuando un SGSI se puede considerar que salvaguarda y protege la información. • No existe aún una referencia internacional de actuación. Van elaborándose iniciativas en diferentes países. • Existe amplia diversidad de criterios con que las organizaciones evalúan sus riesgos y valoran sus activos de información. VENTAJAS DE NORMALIZAR LAS ACTIVIDADES DE SI • Facilitar la sistematización de las actividades de SI

• Orientar sobre la implantación de un SGSI según una norma reconocida y aceptada. Proporcionar indicaciones para organizar y gestionar eficazmente la SI • Dar directrices para evitar accesos indebidos. Las empresas que no aborden actividades de SI pueden ver amenazados sus activos de información y su competitividad. NORMALIZACIÓN DE ACTIVIDADES DE SI NORMAS ELABORADAS AÑO 2001 TECNOLOGÍA DE LA INFORMACIÓN (TI). GUÍAS PARA LA GESTIÓN DE SEGURIDAD DE LA TI. -UNE 71501-1 IN Parte 1: Conceptos y Modelos para la Seguridad de la TI -UNE 71501-2 IN Parte 2: Gestión y Planificación de la Seguridad de TI -UNE 71501-3 IN Parte 3: Técnicas para la Gestión de la Seguridad de TI NORMALIZACIÓN DE ACTIVIDADES DE SI • AÑO 2002 TECNOLOGÍA DE LA INFORMACIÓN (TI). CÓDIGO DE BUENAS PRÁCTICAS -UNE-ISO 17799:2002: Tecnología de la Información. Código de Buenas Prácticas de la Gestión de la seguridad de la Información Especifica 127 controles técnicos agrupados en 10 temáticas de gestión • AÑO 2003 TECNOLOGÍA DE LA INFORMACIÓN (TI). ESPECIFICACIONES SGSI -UNE-71502:2003: Tecnología de la Información. Especificaciones para los sistemas de Gestión de Seguridad de la Información Referencia para los procesos de certificación VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI • Sistematizar las actividades de SI • Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados • Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial • Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad • Planificar, organizar y estructurar los recursos asignados a seguridad de la información • Identificar y clasificar los activos de información • Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización • Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información • Establecer planes para adecuada gestión de la continuidad del negocio • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información • Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial • Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas • Asegurar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, otros relacionados • Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa NORMA UNE-ISO 17799:2002 Tecnología de la Información. Código de Buenas Prácticas de la Gestión de la seguridad de la Información

10 TEMÁTICAS • Política de Seguridad de Información • Estructura organizativa de la SI • Clasificación y control de activos • Seguridad en el personal • Seguridad física y del entorno • Gestión de comunicaciones y operaciones • Control de accesos • Desarrollo y mantenimiento de sistemas • Continuidad del negocio • Cumplimiento legislación 1 Política de Seguridad de Información

Documento de política. Revisión y evaluación 2 Estructura Organizativa de la SI:

Comité de SI, Coordinador de SI, Asignación de responsabilidades. Armonización de recursos. Asesoramiento de especialistas. Cooperación de Organizaciones. Revisión independiente

3 Clasificación y control de activos Clasificación e inventario. Marcado y tratamiento de la información

4 Seguridad en el personal Responsabilidades del personal en SI. Selección y política de personal. Confidencialidades. Términos y condiciones de la relación laboral

5 Seguridad física y del entorno Disposiciones de SI para áreas, equipos y otros controles

6 Gestión de comunicaciones y operaciones Procedimientos de operaciones. Planificación y aceptación de capacidades y sistemas. Protección frente a software dañino. Gestión interna de respaldos y recuperación. Redes y soportes de información. Intercambio de información

7 Control de accesos Políticas de accesos. Gestión de accesos de usuarios. Responsabilidades. Control de accesos a la red, sistema operativo, y aplicaciones. Seguimiento de accesos y usos. Informática móvil y teletrabajo.

8 Desarrollo y mantenimiento de sistemas Requerimientos. Sistemas de aplicaciones. Criptografía. Seguridad de ficheros. Seguridad de procesos de desarrollo y soporte

9 Continuidad del negocio Análisis de impactos. Planes para la continuidad. Pruebas y reevaluación.

10 Cumplimiento legislación Actualización de la legislación e impacto en políticas y técnicas. Auditorías.

DEFINICION DE SISTEMA DE GESTION DE SI Aquella parte del sistema general de gestión parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información. Es la herramienta de que dispone la Dirección para implantar las políticas y objetivos de SI. Conjunto de normas reguladoras, reglas y prácticas que determinan el modo en que los activos, incluyendo la información considerada como sensible, son gestionados, protegidos y distribuidos dentro de una organización. NORMA UNE 71502:2003 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información

INDICE 1 OBJETO Y CAMPO DE APLICACIÓN 2 NORMAS PARA CONSULTA 3 TÉRMINOS Y DEFINICIONES 4 MARCO GENERAL DEL SGSI 5 IMPLANTACIÓN DEL SGSI 6 EXPLOTACIÓN 7 REVISIÓN DEL SGSI 8 PROCESO DE MEJORA Objeto y Campo de Aplicación Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI de acuerdo con la UNE-ISO 17799. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad. Otras definiciones: • Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo. • Evento: Ocurrencia de un conjunto determinado de circunstancias. • Documento de selección de controles: documento que describe los objetivos de control y los controles relevantes aplicables en la organización. Se basa en los resultados del proceso de análisis y valoración de riesgos. • Incidencia / Incidente: cualquier evento no esperado o no deseado que puede causar el compromiso de las actividades de negocio o de la SI. 4 MARCO GENERAL DEL SGSI Requisitos generales. Planificación y diseño del SGSI Selección de controles. Documentación y Control de documentación. Registros Responsabilidades de la Dirección 5 IMPLANTACIÓN DEL SGSI: Implantación y análisis de la eficiencia de los controles 6 EXPLOTACIÓN: Provisión de recursos materiales y humanos 7 REVISIÓN DEL SGSI: Auditorías internas. Revisión por Dirección 8 PROCESO DE MEJORA: Mejora continua. Acción correctora y preventiva ULTIMAS NOVEDADES DEL PROCESO – FINALIZACIÓN DE LA PREPARACIÓN DE LA NORMA EN JULIO 2003 AEN/CTN71/SC27 – RECEPCIÓN ÚLTIMOS COMENTARIOS HASTA 10/07/03 – PERIODO DE INFORMACIÓN PÚBLICA: 30 DÍAS A PARTIR DE SU PUBLICACIÓN EN BOE EL 26 SEPTIEMBRE 03 – ESTIMACIÓN DE LA DIVISIÓN DE NORMALIZACIÓN PARA SU APROBACIÓN POR EL COMITÉ Y PUBLICACIÓN: FIN DE NOVIEMBRE 03 – COMIENZO DE PROCESOS DE CERTIFICACIÓN: DICIEMBRE 03 PROCESO DE CERTIFICACIÓN (DDEC) • Esquema de certificación • Solicitud de certificación

• Reglamento en preparación (similar a otros) • Documento de Tarifas • Modelos de informe de observaciones a la documentación, visita previa y auditoría. Hoja de datos • Modelos de solicitud de oferta y oferta • Adenda al modelo de contrato de entidades de evaluación • Criterios de cualificación para auditores (Auditores con formación específica en legislación y tecnologías de información

CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SI. ESTADO ACTUAL • AÑO 2003 PROYECTO PILOTO EN UNA EMPRESA. • DICIEMBRE 2003 COMIENZO PROCESOS CERTIFICACIÓN SISTEMAS DE GESTIÓN DE LA SI CERTIFICADOS VARIAS EMPRESAS IMPLANTANDO EL SISTEMA DE GESTIÓN NUMEROSAS SOLICITUDES DE INFORMACIÓN RECIBIDAS

- Servicios Profesionales de Asesoría Técnica y Jurídica - Empresas de distintos sectores:

Banca Tecnologías de la Información Telecomunicaciones Informática

ACTIVIDAD Realice un resumen y conclusión del tema


Sistemas Integrados de Gestión

DIF – 006 2011

ISO 9000 – ISO 14000 – OHSAS 18000

1. LA GESTIÓN EMPRESARIAL

En el desarrollo normal de sus actividades, las empresas deben afrontar en todo momento ciertas condiciones de rigor extremo determinadas por variaciones internas, de la entidad misma; y variaciones externas, provenientes del entorno y normalmente fuera de control. Estos acontecimientos crean con urgencia la necesidad de una gestión empresarial capaz de lograr en cualquiera de estos momentos la mejor solución disminuyendo gradualmente la improvisación y el riesgo en la toma de decisiones.

2. GESTION DECALIDAD -NORMA ISO 9000:2000

El crecimiento de la competitividad empresarial obligó a las organizaciones a idear e implementar nuevas y mejores prácticas empresariales relacionadas con la calidad. Estas prácticas, eran muy diversas y dificultaban el intercambio comercial de bienes y servicios entre los diferentes países por poseer cada uno características (costumbres, idioma, idiosincrasia, etc.) particulares y diferentes al resto de los demás países.

Los países involucrados se vieron en la necesidad de crear un parámetro internacional que regule las prácticas organizativas y que permita un intercambio confiable de bienes y servicios de calidad. Es así que surgen las normas ISO 9000, como estándares que permiten seleccionar, implementar y mantener sistemas que aseguren realmente la calidad de los bienes producidos y que respalden el prestigio de unas empresas frente a otras.

La norma ISO 9000 contiene las directrices para seleccionar y utilizar las normas para el aseguramiento de la calidad, es decir, es la que permite seleccionar un modelo de aseguramiento de calidad, entre las que se describen las ISO 9001/9002/9003 que en la actualidad están siendo resumidas en lo que el ISO 9001.

La norma ISO 9004 establece directrices relativas a los factores técnicos, administrativos y humanos que afectan a la calidad del producto, es decir, establece directrices para la gestión de la calidad.

La norma ISO 9004-2 establece directrices relativas a los factores técnicos, administrativos y humanos que afectan a la calidad de los servicios, es decir, se refiere especialmente a los servicio.

Las normas ISO 9001/9002/9003 establecen requisitos de determinan que elementos tienen que comprender los sistemas de calidad, pero no es el propósito imponer uniformidad en los sistemas de calidad. Son genéricas e independientes de cualquier industria o sector económico concreto.

Las tres normas tienen igual introducción y antecedentes, pero en lo referido a los requisitos del sistema encontramos diferencias. La primera diferencia es relativa al número de temas abarcados, y la segunda es relativa a la exigencia. La más completa es la 9001 mientras que la 9003 es la mas escueta y sencilla.

Otra diferencia la encontramos en el objeto y campo de aplicación que detallamos a continuación:

ISO-9001: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en el diseño, desarrollo, producción, instalación y servicio posventa del producto suministrado, con la finalidad de satisfacer al cliente.

ISO-9002: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrata entre dos partes exige que se demuestre la capacidad de un proveedor en la producción, Instalación y servicie' posventa del producto suministrado, con la finalidad de satisfacer al cliente.

ISO-9003: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en la inspección, y ensayos finales del producto suministrado, con la finalidad de satisfacer al cliente.

Las normas ISO 9000 no implican la adopción de un Sistema Estándar de Gestión de la Calidad, menos la adopción de algún tipo de cultura organizacional o algún tipo de tecnología específica. Con el objetivo de que su adopción sea asequible a la mayoría de empresas del entorno, estas normas ofrecen amplia flexibilidad en su aplicación pues se pueden resumir en:

“Documente lo que hace Haga lo que documente

Verifique que lo esté haciendo”

Es decir, las empresas deben documentar todos los procedimientos de trabajo que realizan y controlar que se realicen en el futuro como se estableció que se debían

realizar. En el proceso de documentación es donde las organizaciones descubren procedimientos redundantes e innecesarios y es donde la verdadera mejora toma lugar.

3. ESTRUCTURA ISO 9000

El presente cuadro muestra cada una de las cláusulas o requisitos que deben cumplir los sistemas ISO 9001, ISO 9002 e ISO 9003 en las diferentes áreas de la calidad. Actualmente, se están simplificando el ISO 9002 y el ISO 9003, introduciéndose dentro de lo que es el ISO 9001, como norma general.

CUADRO DE ESTRUCTURA ISO

PÁRRAFO 9001 9002 9003

1. Responsabilidad Administrativa √ √ √

2. Sistemas de Calidad √ √ √

3. Revisión de Contratos √ √ √

4. Proyectos √ 5. Control de Documentación e

Información √ √ √

6. Compras √ √ 7. Control de Productos

Proporcionados por el Cliente √ √ √

8. Identificación y Rastreabilidad del Producto √ √

9. Control de Procesos √ √

10. Inspección y Pruebas √ √ √

11. Control de Inspección √ √ √

12. Estado de Inspección y Prueba √ √ √ 13. Control de Productos que no llenan

Requisitos √ √ √

14. Acciones Correctivas y Preventivas √ √ √

15. Manejo, Almacén, Embalaje y Envío √ √ √

16. Control de Registros de Calidad √ √ √

17. Auditorías Internas de Calidad √ √ √

18. Capacitación √ √ √

19. Servicio √ √

20. Técnicas Estadísticas √ √ √

4. GESTIÓN AMBIENTAL - NORMA ISO 14000:2004

Un sistema de gestión ambiental es un mecanismo de regulación de la gestión de las organizaciones relacionada con el cumplimiento de la legislación vigente en cuanto a

emisiones y vertidos; y el alcance de los objetivos ambientales de la organización. Los sistemas de gestión ambiental están basados en dos principios fundamentales:

1. Programar previamente las situaciones y las actividades.

2. Controlar el cumplimiento de la programación.

Lo que se busca es conseguir la inocuidad de las emisiones y vertidos mediante la adecuación de las instalaciones y de las actividades conseguidas. La primera de ellas mediante un proyecto y un mantenimiento eficiente y la segunda mediante la definición de los procesos a realizar por las personas y la necesidad de que se conviertan en repetibles y mejorables.

Un sistema de gestión ambiental será un conjunto de procedimientos que definan la mejor forma de realizar las actividades que sean susceptibles de producir impactos ambientales. Para ello se han establecido ciertos modelos o normas internacionales que regulan las condiciones mínimas que deben cumplir dichos procedimientos, lo cual no significa que dichas condiciones no puedan ser superadas por voluntad de la organización o por exigencias concretas de sus clientes.

Existen varios modelos de gestión ambiental, pero el modelo más extendido es la Norma ISO 14001:2004 que en particular busca el logro de los siguientes objetivos:

– Identificar y valorar la probabilidad y dimensión de los riesgos a los que se expone la empresa por problemas ambientales.

– Valorar que impactos tienen las actividades de la empresa sobre el entorno.

– Definir los principios base que tendrán que conducir a la empresa al ajuste de sus responsabilidades ambientales.

– Establecer a corto, mediano, largo término objetivos de desempeño ambiental balanceando costes y beneficios.

– Valorar los recursos necesarios para conseguir estos objetivos, asignando responsabilidades y estableciendo presupuestos de material, tecnología y personal.

– Elaborar procedimientos que aseguren que cada empleado obre de modo que contribuya a minimizar o eliminar el eventual impacto negativo sobre el entorno de la empresa.

– Comunicar las responsabilidades e instrucciones a los distintos niveles de la organización y formar a los empleados para una mayor eficiencia.

– Medir el desempeño con referencia en los estándares y objetivos establecidos.

– Efectuar la comunicación interna y externa de los resultados conseguidos para motivar a todas las personas implicadas hacia mejores resultados.

4.1. NORMA ISO 14000:2004

La Norma ISO 14000 es un conjunto de estándares internacionales que definen los requisitos necesarios para el desarrollo e implementación de un sistema de gestión que asegure la responsabilidad ambiental de la empresa previniendo la contaminación pero considerando las necesidades socioeconómicas de la compañía.

Esta norma no tiene categoría de ley, es decir, su adopción no es de carácter obligatorio en las empresas. Sin embargo, la no adopción de esta norma limita a las empresas a competir únicamente en el mercado nacional hasta el momento en que sea el propio gobierno el que obligue a la industria a la adopción de la misma. Ni que hablar de competir internacionalmente, a este nivel es ya requisito contar con un sistema de gestión ambiental regido por el ISO 14000

En este sentido, podría considerarse casi imperativo para toda empresa que quiera hacerse de un lugar dentro de la competitividad mundial reconocer una variable ambiental dentro de todos sus métodos y procedimientos. De esta manera, una industria limpia nos permitirá tener mejor calidad de vida sin dañar el ecosistema que nos rodea.

4.1.1. PRINCIPIOS ISO 14000

Todas las normas de la familia ISO 14000 fueron desarrolladas sobre la base de los siguientes principios:

– Deben resultar en una mejor gestión ambiental.

– Deben ser aplicables a todas las naciones.

– Deben promover un amplio interés en el público y en los usuarios de los estándares.

– Deben ser costo efectivo y flexible para poder cubrir diferentes necesidades de organizaciones de cualquier tamaño en cualquier parte del mundo. Como parte de su flexibilidad, deben servir a los fines de la verificación tanto interna como externa.

– Deben estar basadas en conocimientos científicos.

– Deben ser prácticas, útiles y utilizables.

4.1.2. ISO 14000 FRENTE AL ISO 9OOO

El ISO 14000 y el ISO 9000 comparten principios comunes relacionados con los Sistemas de Gestión. Sin embargo, la aplicación de los mismos está determinada por los objetivos buscados y las diferentes partes interesadas. Mientras que los Sistemas de Gestión de la Calidad (SGC) tratan las necesidades de los clientes, los Sistemas de Gestión Ambiental (SGA) están dirigidos hacia las necesidades de un amplio espectro de partes interesadas y las necesidades que se desarrollan en la sociedad por la protección ambiental.

Para el ISO 9000, el cliente es quien compra el producto, para el ISO 14000 son las "partes interesadas", donde éstas incluyen desde las autoridades públicas, los seguros, socios, accionistas,

bancos, y asociaciones de vecinos o de protección del ambiente.



http://www.monografias.com/trabajos10/soci/soci.shtml�



En cuanto al producto, para el ISO 9000 el producto es la calidad, es decir, es un producto intencional resultado de procesos o actividades. Para el ISO 14000 los productos son no intencionales como los residuos/contaminantes.

Una de las mayores diferencias estriba en el hecho de que los requerimientos de desempeño del ISO 9000 se relacionan con asegurar que el producto conforme a los requerimientos especificados donde el cliente específica el nivel de calidad. En el caso de un SGA, no hay un cliente directo, por lo que los modelos para estos sistemas introducen por sí mismos los requerimientos fundamentales de desempeño y cumplimiento de todos los requerimientos legislativos y regulatorios con un compromiso a la mejora continua de acuerdo con la política de la empresa basada en una evaluación de sus efectos ambientales.

Aún no es posible saber con exactitud el costo de este tipo de certificación, pero comparándola con la certificación ISO 9000 se puede concluir que la ISO 14000 debería ser más costosa, primero por razones de amplitud de la norma, ya que el área de investigación para determinar posibles impactos ambientales

sobrepasa los límites físicos de la empresa (El medio ambiente en este contexto se extiende desde dentro de la organización hasta el sistema global). Además, muchas empresas deberán invertir en tecnologías limpias, incluso para cumplir con los planes de descontaminación.

4.1.3. PROCESO DE IMPLEMENTACIÓN SGA - ISO 14000

En este punto es necesario tener en cuenta que pese a que las Normas ISO 9000 e ISO 14000 permiten la correcta implementación de Sistemas de Gestión de diferente naturaleza, uno relacionado a la calidad y el otro relacionado con el cuidado del impacto ambiental, al final resultan siendo Sistemas de Gestión. En consecuencias, es lógico inferir que el proceso de implementación es similar en casi su totalidad, presentando pequeñas variaciones de enfoque vistas en el punto anterior.

El proceso de implementación de un Sistema de Gestión Ambiental (SGA) que permita alcanzar la certificación ISO 14000 puede desarrollarse en los mismos seis pasos que desarrollan el proceso de implementación de un Sistema de Gestión de la Calidad y que vienen representados por seis palabras claves: idea, decisión, compromiso, actuación, control y mejora continua.

http://www.monografias.com/trabajos15/indicad-evaluacion/indicad-evaluacion.shtml�

http://www.monografias.com/trabajos/adolmodin/adolmodin.shtml�





http://www.monografias.com/trabajos6/lide/lide.shtml�


5. GESTIÓN DE LA SEGURIDAD Y SALUD OCUPACIONAL - NORMA OHSAS 18000:1999

Un Sistemas de Gestión de la Seguridad y Salud Ocupacional (OHSMS) o Sistema de Prevención de Riesgos Laborales es un mecanismo de regulación de la gestión de las organizaciones en los siguientes aspectos:

– Cumplimiento de la legislación vigente en cuanto al estado de las instalaciones en relación con las causas de posibles riesgos.

– Eliminación total de riesgos laborales en las actividades de la organización.

Los OHSMS están basados en dos principios fundamentales:

1. Programar previamente las situaciones y las actividades.

2. Controlar el cumplimiento de la programación.

Lo que se busca es conseguir la protección total de la salud y la vida de los empleados y del resto del personal interesado mediante la adecuación de las instalaciones, a través de un proyecto y un mantenimiento eficientes; y de las actividades, a través de la definición de los procesos a realizar por las personas y la necesidad de que se conviertan en repetibles y mejorables.

Un Sistemas de Gestión de la Seguridad y Salud Ocupacional (OHSMS) será, por tanto, un conjunto de procedimientos que definan la mejor forma de realizar las actividades que sean susceptibles de producir accidentes o enfermedades profesionales. Para ello se han establecido ciertos modelos o normas internacionales que regulan las condiciones mínimas que deben cumplir dichos procedimientos, lo cual no significa que dichas condiciones no puedan ser superadas por voluntad de la organización o por exigencias concretas de sus clientes.

Existen varios modelos de gestión medioambiental entre los que podemos citar la norma británica OHSAS 18000.

5.1. NORMA OHSAS 18000:1999

La preocupación de las organizaciones por la implementación de sistemas para la gestión de la seguridad y la salud en el trabajo eficaces aumenta día a día. En la prensa se publican continuamente accidentes, algunos graves y otros mortales, que han tenido lugar en el trabajo. En consecuencia, las inspecciones por parte de la administración cada vez son más numerosas y severas pues son muchas las empresas que padecen ausentismo laboral o que se quejan del gran número de accidentes que tienen, sin poder evitar (aparentemente) que se produzcan.

Toda práctica laboral, comporta determinados riesgos, de mayor o menor nivel, y todas las partes implicadas tienen el deber de lograr que ésta se realice sin perjuicio de la seguridad y la salud del trabajador.

Es por esta razón que la preocupación en torno a la seguridad y la salud laboral afecta a todas las organizaciones, independientemente de su tamaño y sector al que pertenecen. En este sentido, por fin se están decidiendo a tomar medidas importantes, tanto para fomentar la seguridad en sus estructuras organizativas e instalaciones, como para cumplir con las obligaciones legales aplicables en estas materias. Por tanto, en la actualidad, la prevención de riesgos laborales se ha convertido en un factor más a tener en cuenta en la gestión diaria de las empresas.

La Norma OHSAS 18000 (Occupational Health and Safety Assessment Series) establece un modelo para la Gestión de la Prevención de los Riesgos Laborales. Fue publicada en 1999 por el BSI (British Standards Institute).

El fin de esta norma consiste en proporcionar a las organizaciones un Sistema de Gestión de la Seguridad y la Salud Ocupacional (OHSMS), que permita identificar y evaluar riesgos laborales desde el punto de vista de requisitos legales y definir la estructura organizativa, las responsabilidades, las funciones, la planificación de las actividades, los procesos, procedimientos, recursos necesarios, registros, etc, que permitan desarrollar una Política de Seguridad y Salud Ocupacional.

Al igual que Norma ISO 9000 e ISO 14000, la Norma OHSAS 18000 también está basada en la mejora continua y utiliza el ciclo Planificar – Hacer –Comprobar - Ajustar (PDCA) para su implementación. En este sentido, se hace compatible con la Gestión de la Calidad y la Gestión Ambiental.

La Norma OHSAS 18001 no es de carácter legal. Sin embargo, la adopción de la misma está íntimamente relacionada con la responsabilidad social y deber moral de las organizaciones velando por el bienestar de sus trabajadores.

6. SISTEMAS INTEGRADOS DE GESTIÓN

Toda operación de tipo industrial está propensa a sufrir una serie de fallos, los cuales pueden tener efectos negativos en la calidad del producto, en la seguridad y la salud de los trabajadores, y en el ambiente. Aunque es posible también que, actividades que aumentan la calidad, repercutan negativamente en el ambiente y la salud de los trabajadores o viceversa.

En consecuencia, las empresas deben buscar alternativas que garanticen la seguridad y la protección del ambiente aumentando su vez la productividad y la calidad. Normalmente las empresas con sistemas de gestión de la calidad o ambientales implantados, son más receptivas a los sistemas de gestión de la seguridad y salud ocupacional.

La preparación de un sistema integrado de gestión de la calidad, gestión ambiental y gestión de la seguridad y salud laboral exige adoptar una táctica determinada, ya que, a pesar de que las normas correspondientes a cada uno de los aspectos ofrecen ciertas similitudes, no señalan una común metodología para el desarrollo de un sistema integrado, salvo el modelo PDCA de mejora continua.

Al momento de implementar un Sistema Integrado de Gestión deben tenerse en cuenta tres aspectos fundamentales: los organizativos, los dinámicos y los estáticos.

Los aspectos organizativos son los referidos a la descripción de la empresa y a la preparación del sistema. Definen los procesos que han de llevarse a cabo para que la organización cumpla sus fines, los objetivos que debe alcanzar y la forma como está estructurado el personal y los cuadros directivos, así como las condiciones de competencia y formación de dicho personal y las relaciones de comunicación internas.

Los aspectos dinámicos contemplan la preparación y ejecución de los procesos y son característicos de la gestión de calidad, ya que definen las actividades del personal, tanto en la realización de los trabajos como en el control de los resultados.

Los aspectos estáticos son característicos de la gestión ambiental y de la seguridad y salud ocupacional. Describen fundamentalmente la situación en que deben encontrarse las instalaciones a fin de que no sean agresivas para el personal ni para el entorno circundante y las protecciones que han de ser utilizadas para eliminar o disminuir dicha agresividad.

ACTIVIDAD Realice un resumen y conclusión del tema

s7- auditoria_de_sistemas.pdf

Documents

Transcript of s7- auditoria_de_sistemas.pdf