Manual Administración de Centros de computo
82
CONALEP 252 Febrero Junio 2014 Admón. y Auditoría de Centros de Datos Manual L.I. Teresa Suárez Reyes INFORMÁTICA
-
Upload
karemita-castro -
Category
Documents
-
view
33 -
download
0
description
planeación y auditoría de un centro de computo.
Transcript of Manual Administración de Centros de computo
ADMINISTRACIÓN DE LOS CENTROS DE CÓMPUTO Misión de un CC, planeación y Niveles de Planeación En este documento encontrarás los conceptos básicos de administración; mismos que podrás aplicar a la administración de centros de cómputo. LI. Yadira Rojas Mata Semestre 108 – 09
CONALEP 252
Febrero
Junio
2014
Admón. y Auditoría de
Centros de Datos
Manual
L.I. Teresa Suárez Reyes
INFORMÁTICA
2
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
CONTENIDO
Temas
U N I D A D I Administración del centro de cómputo o datos
A. Planeación de las actividades.
B. Distribución de instalaciones y ubicación física.
C. Identificación del entorno de un centro de cómputo.
D. Descripción de puestos
E. Adquisición de Software.
F. Adquisición de Hardware
G. Obtención de permisos y licencias.
U N I D A D I I Auditoría del centro de cómputo o datos.
A. Identificación del entorno de auditoría.
B. Manejo de controles
C. Evaluación de plan de contingencias informáticas.
D. Identificación de revisiones de auditoría.
E. Uso de herramientas para auditoría informática.
F. Aplicación de la metodología de auditoría
3. Conclusión 4.- Bibliografía
3
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
OBJETIVO GENERAL
Aplicar el proceso administrativo y auditoría a centros de datos o de
cómputo mediante la planeación de actividades, organización de recursos, y
evaluación de acciones para brindar un óptimo servicio en los procesos
automatizados de información de una entidad.
4
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
INTRODUCCIÓN
El presente material contiene información acerca de los centros de computo, del los
departamentos que pueden o deben componer un centro de computo, de las funciones que
cada uno de ellos deberán realizar, así como del perfil profesional que deberán tener las
personas que en determinado momento puedan ocupar esos puestos. También contiene
información acerca de las normas que rigen las leyes de derechos de autor, garantías y
restricciones acerca del uso de el hardware y el software., así como la información acerca
de los principales problemas que se pudieran presentar en un centro de computo
5
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
UNIDAD 1
A d m i n i s t r a c i ó n d e l c e n t r o d e c ó m p u t o o d a t o s
Objetivo particular: Administrará los recursos materiales, humanos y financieros, así como
las actividades de un centro de cómputo o datos con base en la aplicación de las fases de planeación
y organización del proceso administrativo que conlleven a la operación óptima del mismo.
1.1.1 Realiza un plan de actividades de centro de cómputo o datos:
Objetivo específico: Realiza la planeación de las actividades del centro de cómputo de acuerdo
con las necesidades organizacionales, estrategias a seguir y manejo de información.
A D M I N I S T R A C I Ó N D E L O S C E N T R O S D E C Ó M P U T O
Misión de un centro de cómputo:
La computadora como herramienta de solución para problemas de cálculo de operaciones,
investigación de procesos, enseñanza, etc. establece las bases para determinar el objetivo de un
centro de cómputo, como es el de prestar servicios a diferentes áreas de una organización ya sea
dentro de la misma empresa, o bien fuera de ella, tales como: producción, control de operaciones,
captura de datos, programación, dibujo, biblioteca, etc. Los diversos servicios que puede prestar un
centro de cómputo, pueden dividirse en departamentos a áreas específicas de trabajo.
Planeación:
Algunas definiciones de la planeación como parte de su significado pueden ser:
Proceso por el cuál se obtiene una visión del futuro, en donde es posible determinar y lograr
los objetivos, mediante la elección de un curso de acción.
Proceso que permite la identificación de oportunidades de mejoramiento en la operación de
la organización con base en la técnica, así como el establecimiento formal de planes o
proyectos para el aprovechamiento integral de dichas oportunidades.
Es la función que tiene por objetivo fijar el curso concreto de acción que ha de seguirse,
estableciendo los principios que habrán de orientarlo, la secuencia de operaciones para
realizarlo y las determinaciones de tiempo y números necesarios para su realización.
6
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
"Hacer que ocurran cosas que de otro modo no habrían ocurrido". Esto equivale a trazar los
planes para fijar dentro de ellos nuestra futura acción.
Determinación racional de adónde queremos ir y cómo llegar allá
Niveles de Planeación:
La planeación considerada como uno de los principales elementos del proceso administrativo, es de
fundamental importancia dentro de la estructuración de un Centro de Cómputo; como tal
considera los siguientes niveles:
Planeación estratégica.- Se refiere a las estrategias a seguir en la construcción del
Centro de Cómputo. ¿Por que construirlo?. Cuando se responde a este cuestionamiento,
pueden inferirse los caminos a seguir para la construcción del mismo.
Planeación de recursos.- Dentro de este ámbito deben considerarse los recursos
económicos que va a requerir la construcción del Centro de Cómputo. ¿Cuanto dinero se va
a ocupar?
Planeación Operativa.- ¿Cómo va a funcionar el Centro de Cómputo?, ¿Qué Software
será necesario?. ¿Que cantidad de personal será necesaria?, etc.
Planeación de personal.- ¿Quienes van a operar al Centro de Cómputo?, ¿Cuáles serán
sus funciones?, ¿Qué cantidad de personal será necesaria?, etc.
Planeación de instalaciones físicas.- ¿En donde estará ubicado el Centro de
Cómputo?, ¿Cuántas secciones será necesario construir?, ¿En donde se colocará el centro de
carga?, ¿En donde serán ubicados los servidores o la macrocomputadora?, ¿Que
condiciones de ventilación serán necesarias?, etc.
Planeación de recursos:
La planeación de recursos en para un centro de cómputo es aquella que establece los objetivos y
determina un curso de acción a seguir, de los siguientes elementos:
Instalaciones: Edificios y acondicionamiento del mismo, plantas de emergencia,
dispositivos de seguridad, etc.
Equipo: Equipo de cómputo necesario para su funcionamiento, periféricos, etc.
7
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Materiales de producción: Materias primas para su funcionamiento, así como materiales
directos e indirectos.
Planeación operativa:
La planeación operativa de un centro de cómputo consiste en realizar un detallado análisis de
necesidades de la empresa y definir en base a estas necesidades una plataforma tecnológica con
una infraestructura en hardware, software, personal operativo, etc. que soporte las operaciones de
la empresa y se utilice como el medio de procesamiento de información.
Fuerza:
El surgimiento y desarrollo de todo tipo de organismos así como la multiplicidad de relaciones
entre ello, han dado lugar a la existencia de diferentes tipos de administración que a veces hacen
confusas su clasificación. Sin embargo, la clasificación mas común es aquella, que atiende al sector
económico
UNIDAD DE MANDO: Una sola persona debe de mandar a todos los Subordinados.
AUTORIDAD: Toda empresa debe de tener una persona que los dirija.
UNIDAD DE DIRECCIÓN: Un programa para cada actividad.
CENTRALIZACIÓN: Todas las actividades deben ser manejadas por una sola persona.
NOTA: Actualmente encontramos que debido a las estructuras esto no resulta muy funcional para
las empresas.
Eficiencia de Planes:
La eficiencia de un plan se mide por su contribución al propósito y al los objetivos que se
persiguen, equilibrado por los costos y otros factores que se requieren para formularlo y operarlo.
Un plan puede facilitar la consecución de los objetivos, pero a un costo excesivamente elevado. Los
planes son eficientes si logran su propósito a un costo razonable, cuando el costo se mide no sólo en
8
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
términos del tiempo, dinero o producción sino también por el grado de satisfacción individual y de
grupo.
Flexibilidad en la planeación:
Un programa de planificación y control de utilidades (o de otro instrumento de la administración)
no debe dominar a un negocio. Cuando se pongan en práctica los planes, debe existir una política
"suprema" y absoluta de la administración de modo que no puedan imponérseles y que sean
aprovechadas todas las oportunidades favorables aún cuando no estén incluidas en el presupuesto.
Un programa de planificación y control de utilidades aplicado sobre una base bien informada
permite mayor libertad en todos los niveles de la administración. Es posible este efecto porque
todos los niveles de la administración son comprometidos en el proceso de toma de decisiones al
estar desarrollándose los planes.
Este plan coloca a la administración en la posición de poder evaluar, sobre una base más objetiva.
En las áreas de control la flexibilidad es particularmente importante. No deben interpretarse con
rigidez los presupuestos de gastos y costos. El presupuesto no debe coartar las decisiones
racionales que hayan de tomarse en relación con los gastos simplemente porque no se previó un
desembolso.
Planeación:
Para planear eficientemente es necesario tomar en cuenta los siguientes principios:
Factibilidad.- Lo que se planee debe ser realizable
Objetividad y cuantificación.- Cuando se planea es necesario basarse en datos reales y nunca
en especulaciones u opiniones. La planeación será mas confiable en cuanto pueda ser cuantificada
o sea, expresa en tiempo, dinero, cantidades y especificaciones (porcentajes, unidades, volumen)
Flexibilidad.- Al elaborar un plan este debe de afrontar situaciones imprevistas, y que
proporcionen nuevos cursos de acción que se ajusten fácilmente a las condiciones
9
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Unidad.- Todos los planes específicos deben integrarse a un plan general y dirigirse a logros de los
propósitos y objetivos generales
Del cambio de estrategias.- Cuando un plan se extiende en relación al tiempo, será necesario
rehacerlo completamente
Etapas de la Planeación:
Propósitos: Son las aspiraciones fundamentales o finalidades de tipo cualitativo que persiguen en
forma permanente o semipermanente, un grupo social. Son los fines a los que se quiere llegar.
Investigación: Consiste en determinar todos los factores que influyen en el logro de los
propósitos, así de los medios óptimos para conseguirlos.
Premisas: Son suposiciones que se deben considerar ante aquellas circunstancias o condiciones
futuras que afectarán el curso en que va a desarrollarse el plan.
Objetivos: Presentan los resultados que el Centro de Cómputo espera obtener, son fines por
alcanzar, establecidos cuantitativamente y determinados para realizarse transcurrido un tiempo
específico.
Estrategias: Son cursos de acción general o alternativas que muestran la dirección y el empleo
general de los recursos y esfuerzos, para lograr los objetivos en las condiciones más ventajosas.
Políticas: Son guías para orientar la acción, son criterios, lineamientos generales a observar en la
toma de decisiones, sobre problemas que se repiten una y otra vez.
Programas: Es un esquema donde se establece la secuencia de actividades específicas que
habrán de realizarse para alcanzar los objetivos, y el tiempo requerido para efectuar cada una de
sus partes y todos aquellos eventos involucrados.
Presupuestos: Los presupuestos son un elemento indispensable al planear, ya que a través de
ellos se proyectan, en forma cuantificada, los elementos que se necesitan para cumplir con los
objetivos.
10
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Un presupuesto es un esquema escrito de tipo general y/o específico, que determina por
anticipado, en término cuantitativo (monetario y/o no monetario). Es un plan de todas o algunas
de las fases de actividades del Centro de Cómputo expresado en términos económicos.
Procedimientos: Establecen el orden cronológico y la secuencia de actividades que deben
seguirse en la realización de un trabajo repetitivo.
Planeación del personal:
En esta etapa de la planeación, el administrador de centros de cómputo debe seleccionar al
personal que se requiere para la operación del centro de sistemas de acuerdo con su perfil
profesional, su preparación y su experiencia en el ámbito laboral.
Una de las partes más importantes dentro de la planeación de la auditoría en informática es el
personal que deberá participar y sus características.
Unos de los esquemas generalmente aceptados para tener un adecuado control es que el personal
que intervenga esté debidamente capacitado, con alto sentido de moralidad, al cuál se le exija la
optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y
capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe
pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar
el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las
reuniones y entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un
grupo multidisciplinario en el cuál estén presentes una o varias personas del área a auditoría es casi
imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se
solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos
proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que
11
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
se debe analizar no sólo el punto de vista de la dirección de información, sino también el del
usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben
tener personas con las siguientes características:
Técnico en informática
Experiencia en el área de informática
Experiencia en operación y análisis de sistemas
Conocimientos de sistemas mas importantes
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en
áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga
los conocimientos y experiencias señaladas, pero si debe intervenir una o varias personas con las
características apuntadas.
Descripción de puesto:
Código del Puesto Nombre del Puesto Misión del Puesto Objetivos específicos Funciones especificas por puesto Entorno operativo (relaciones con otros puestos ya sea dentro o fuera del departamento) Información que se genera
Perfil de puesto:
Escolaridad (Nivel de estudios y grado de avance) Áreas del conocimiento que maneja. Experiencia laboral (empresa, tiempo de trabajo, puesto, funciones) Condiciones de trabajo (ergonómicas, turno, horario, condiciones de estrés) Capacidades gerenciales (visión estratégica, liderazgo, Orientación a resultados, trabajo en
equipo, negociación) nivel de dominio. Capacidades técnicas (Deberán ser acordes al departamento donde se asigne el puesto)
P l a n e a c i ó n d e i n s t a l a c i o n e s f í s i c a s
Esta etapa de la planeación se refiere a todo lo que tiene que ver con el equipo que se debe de
utilizar y debe de estar contenido en el centro de cómputo.
12
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
La ubicación física e instalación de un Centro de Cómputo en una empresa depende de muchos
factores, entre los que podemos citar: el tamaño de la empresa, el servicio que se pretende obtener,
las disponibilidades de espacio físico existente o proyectado, etc.
Generalmente, la instalación física de un Centro de Cómputo exige tener en cuenta por lo menos
los siguientes puntos:
Local físico: Donde se analizará el espacio disponible, el acceso de equipos y personal,
instalaciones de suministro eléctrico, acondicionamiento térmico y elementos de seguridad
disponibles.
Espacio y movilidad: Características de las salas, altura, anchura, posición de las columnas,
posibilidades de movilidad de los equipos, suelo móvil o falso suelo, etc.
Iluminación: El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas,
falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos.
Tratamiento acústico: Los equipos ruidosos como las impresoras con impacto, equipos de aire
acondicionado o equipos sujetos a una gran vibración, deben estar en zonas donde tanto el ruido
como la vibración se encuentren amortiguados.
Seguridad física del local: Se estudiará el sistema contra incendios, teniendo en cuenta que los
materiales sean incombustibles (pintura de las paredes, suelo, techo, mesas, estanterías, etc.).
También se estudiará la protección contra inundaciones y otros peligros físicos que puedan afectar
a la instalación.
Suministro eléctrico: El suministro eléctrico a un Centro de Cómputo, y en particular la
alimentación de los equipos, debe hacerse con unas condiciones especiales, como la utilización de
una línea independiente del resto de la instalación para evitar interferencias, con elementos de
protección y seguridad específicos y en muchos casos con sistemas de alimentación ininterrumpida
(equipos electrógenos, instalación de baterías, etc.).
Los principales requisitos de un centro de sistemas son:
Conexión a tierra física
13
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
No Break (Baterías o pilas)
Reguladores de corriente
Aire acondicionado
Extinguidores
Mobiliario
Etc.
Construcción de la tierra física
1. Sé deberá elegir un jardín o lugar en donde exista humedad, en caso contrario es necesario
colocar un ducto que aflore a la superficie para poder humedecer el fondo.
2. Hacer un pozo de 3 metros de profundidad y 70 centímetros de diámetro.
3. En el fondo se debe colocar una capa de 40 cm. De carbón mineral sobre la cual descansara una
varilla copperwel.
4. Encima del carbón se deberá agregar una capa de sal mineral de 5cm. Y otra de padecería de
aluminio y cobre de 40 cm. Cubriéndose después con tierra hasta superficie.
a) El tablero principal para el equipo del computador se debe proveer trifásico y con doble bus de
tierra, (5 hilos), uno par el neutro eléctrico y otro para proveer tierra física a las maquinas.
Como una medida de seguridad deberá instalarse en un lugar próximo a la puerta un control
para cortar la energía a todo el equipo de cómputo en cualquier situación de emergencia
(EMERGENCY POWER OFF). El espacio próximo al control de interruptores debe permanecer
libre de obstáculos para su fácil operación.
b) Se deberá tener tantos circuitos como maquinas estén indicadas que deben llevar conectivo,
esto es: la unidad central de proceso, impresoras, unidades de control de discos, cintas
comunicaciones, pantallas, etc., la protección de estos circuitos debe ser interruptor
termomagnético. Se deben tener circuitos extras para cubrir ampliaciones con las
características de los circuitos trifásicos y monofásicos. Todos los conductores electrónicos
hacia el centro de carga de la sala deben instalarse bajo tubería metálica rígida y de diámetro
adecuado, debidamente conectadas a tierra. Los circuitos de la unidad central de proceso,
impresoras, unidades de control de discos, cintas, comunicaciones, se debe rematar con
conectores tipo industrial a prueba de agua y explosión Rusell & Stoll o equivalente.
14
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
c) Al efectuarse los cálculos de la instalación eléctrica al tablero del equipo, los conductores,
reguladores de tensión, interruptores termomagnéticos, etc., se deben calcular teniendo en
cuenta la corriente de arranque de cada maquina, la cual generalmente es superior a la
nominal. Dicha corriente de arranque debe ser manejada sin inconvenientes, por todos los
elementos constructivos de la instalación. Se debe considerar una expansión del 50% como
mínimo.
Estatica
5. Una de las fallas más difíciles de detectar en los equipos es ocasionada por la electricidad
estática producida por la fricción entre dos materiales diferentes y la consiguiente descarga de
este potencial. Los materiales que son más propensos a producir estática son aquellos que están
hechos de resina, plásticos, fibras sintéticas. El simple hecho de arrastrar una silla sobre el piso
nos ocasionara que tanto la silla como la porción del piso sobre el que se arrastro queden
cargados de electricidad estática. Si aquella silla o esta persona son aproximadas a una mesa
metálica conectadas a tierra como los equipos de cómputo, ocasionara que se produzca una
descarga que puede ser o no sensible a una persona, pero si será sensible a los equipos de
cómputo.
6. Para reducir el tamaño al mínimo la estática, se recomienda las siguientes medidas:
a) Conectar a tierra física tanto el piso falso como todos los equipos existentes.
b) El cable para la tierra física deberá ser recubierto y del mismo calibre que el de las fases y el
neutro.
c) La humedad relativa deberá estar entre 45%+-5% para que las cargas estáticas sean menos
frecuentes.
d) Se recomienda usar cera antiestética en el piso.
e) Si existieran sillas con ruedas, se recomienda que estas sean metálicas.
Piso Falso:
Se debe tener en cuenta la resistencia para soportar el peso del equipo y del personal.
Es mejor usar placas metálicas o de madera prensada para el piso falso con soportes y
amarres de aluminio.
Sellado hermético
Nivelado topográfico
Posibilidad de realizar cambios en la ubicación de unidades
15
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Se debe cubrir los cables de comunicación entre la unidad central de proceso, los
dispositivos, las cajas de conexiones y cables de alimentación eléctrica.
La altura recomendable será de 18 a 30 cm. si el área del centro de procesamiento de datos
es de 100 metros cuadrados o menos, con objeto de que el aire acondicionado pueda fluir
adecuadamente.
Puertas de Acceso
Tener en cuenta las dimensiones máximas de los equipos si hay que atravesar puertas y
ventanas de otras dependencias.
Las puertas deben ser de doble hoja y con una anchura total de 1.40 a 1.60 cm. Este punto
ya no es tan importante ya que el equipo informática está reduciendo su tamaño y no es
necesario tener dos puertas para poder introducirlo)
Crear rutas de salida en caso de emergencia.
1.2.1 Desarrolla un manual de procedimientos de la operación de un centro de
cómputo:
Objetivo Específico: Organiza los recursos físicos y humanos de acuerdo con las funciones,
áreas del centro de cómputo y las actividades informáticas de la entidad.
I d e n t i f i c a c i ó n d e l e n t o r n o d e u n c e n t r o d e c ó m p u t o .
A veces cuando se pone en marcha un negocio o simplemente se trabaja para una compañía o
empresa, en el área de cómputo, no tenemos presente sobre cuales son nuestras responsabilidades
al estar a cargo de un departamento de este tipo.
Es muy importante no perder de vista el objetivo de dicho espacio, pues su correcto
funcionamiento nos ahorrará un sinfín de inconvenientes.
De igual manera podemos conocer cuales son dichas funciones, como son:
Operar el sistema de computación central y mantener el sistema disponible para los
usuarios.
16
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Ejecutar los procesos asignados conforme a los programas de producción y calendarios
preestablecidos, dejando el registro correspondiente en las solicitudes de proceso.
Revisar los resultados de los procesos e incorporar acciones correctivas conforme a
instrucciones de su superior inmediato.
Realizar las copias de respaldo (back-up) de la información y procesos de cómputo que se
realizan en la Dirección, conforme a parámetros preestablecidos.
Marcar y/o señalizar los productos de los procesos ejecutados.
Llevar registros de fallas, problemas, soluciones, acciones desarrolladas, respaldos,
recuperaciones y trabajos realizados.
Velar porque el sistema computarizado se mantenga funcionando apropiadamente y estar
vigilante para detectar y corregir fallas en el mismo.
Realizar labores de mantenimiento y limpieza de los equipos del centro de cómputo.
Aplicar en forma estricta las normas de seguridad y control establecidas.
Mantener informado al jefe inmediato sobre el funcionamiento del centro de cómputo.
Cumplir con las normas, reglamentos y procedimientos establecidos por la Dirección o
Gerencia para el desarrollo de las funciones asignadas.
Esto solo por citar algunas, espero que esta información les haya sido de utilidad.
Áreas o departamentos:
Principales departamentos de un Centro de Cómputo
Dentro de una empresa, el centro de proceso de datos o centro de cómputo cumple diversas
funciones que justifican los puestos de trabajo establecidos que existen en él, los cuáles se engloban
a través de los siguientes departamentos:
Explotación de sistemas o aplicaciones. La explotación u operación de un sistema informático o
aplicación informática o aplicación informática consiste en la utilización y aprovechamiento del
sistema desarrollado. Consta de previsión de fechas de realización de trabajos, operación general
del sistema, control y manejo de soportes, seguridad del sistema, supervisión de trabajos, etc.
Soporte técnico a usuarios. El soporte, tanto para los usuarios cono para el propio sistema, se
ocupa de seleccionar, instalar y mantener el sistema operativo adecuado del diseño y control de la
17
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
estructura de la base de datos, la gestión de los equipos de teleproceso, el estudio y evaluación de
las necesidades y rendimientos del sistema y, por último, la ayuda directa a usuarios.
Gestión y administración del propio centro de procesamiento de datos. Las funciones de gestión y
administración de un centro de procesamiento de datos engloban operaciones de supervisión,
planificación y control de proyectos, seguridad y general de las instalaciones y equipos, gestión
financiero y gestión de los propios recursos humanos.
Departamento o área de operación:
Esta área se encarga de brindar los servicios requeridos para el proceso de datos, como son el
preparar los datos y suministros necesarios para la sala de cómputo. Manejar los equipos
periféricos y vigilar que los elementos del sistema funcionen adecuadamente.
En esencia el personal del área operativa se encarga de alimentar datos a la computadora, operar el
"hardware" necesario y obtener la información resultante del proceso de datos.
Operadores
Los operadores de computadoras preparan y limpian todo en equipo que se utiliza en el proceso de
datos, mantienen y vigilan las bitácoras e informes de la computadora, montan y desmontan discos
y cintas durante los procesos y colocan las formas continuas para la impresión.
También documentan las actividades diarias, los suministros empleados y cualquier condición
anormal que se presente.
El papel de los operadores es muy importante debido a la gran responsabilidad de operar la unidad
central de proceso y el equipo periférico asociado en el centro de cómputo.
Un operador de computadoras requiere de conocimientos técnicos para los que existen programas
de dos años de capacitación teórica, pero la práctica y la experiencia es generalmente lo que
necesita para ocupar el puesto.
Departamento o área de producción y control:
18
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Tanto la Producción como el Control de Calidad de la misma, son parte de las funciones de este
Departamento. Funciones:
Construir soluciones integrales (aplicaciones) a las necesidades de información de los
usuarios.
Usar las técnicas de construcción de sistemas de información orientadas netamente a la
productividad del personal y a la satisfacción plena del usuario.
Construir equipos de trabajo con la participación del usuario y del personal técnico de
acuerdo a metodologías establecidas.
Mantener comunicados a los usuarios y a sus colaboradores de los avances, atrasos y
problemas que se presentan rutinariamente y cuando sea necesario a través de medios
establecidos formalmente, como el uso de correo electrónico, mensajes relámpagos o flash.
Mantener programas de capacitación para el personal técnico y usuarios.
Departamento ó área de análisis de sistemas:
Los analistas tienen la función de establecer un flujo de información eficiente a través de toda la
organización. Los proyectos asignados a los analistas no necesariamente requieren de la
computadora, mas bien necesitan el tiempo suficiente para realizar el estudio y la proposición de
soluciones de los problemas, planteando diferentes alternativas. La realización de cualquiera de las
soluciones puede durar varias semanas o meses dependiendo de la complejidad del problema.
Los proyectos típicos de sistemas pueden implicar el diseño de reportes, la evaluación de los
trabajos efectuados por el personal de los departamentos usuarios, la supervisión de cambios de
equipo la preparación de presupuesto en el área de cómputo.
Los analistas pueden ser egresados de diferentes carreras y básicamente los requisitos para estos
son: educación profesional formal y experiencia práctica, esta última solo se logra después de haber
trabajado en el área de programación.
Existen diferentes títulos de analistas: Analista Junior, Aprendiz de Sistemas y Analista Senior que
indican diferentes grados de experiencia, entrenamiento y educación. A su vez estos pueden tener
todavía más clasificaciones dependiendo del tamaño de la organización, o bien puede haber
19
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
analistas programadores que realizan tanto la función de analistas como la de programadores, esto
indica una doble responsabilidad.
Departamento o área de programación:
El grupo de programación es el que se encarga de elaborar los programas que se ejecutan en las
computadoras, modifican los existentes y vigilan que todos los procesos se ejecuten correctamente.
Los programadores toman las especificaciones de los sistemas realizados por los analistas y las
transforman en programas eficientes y bien documentados para las computadoras.Así como los
analistas, los programadores pueden clasificarse en: "Programadores junior" o "Aprendices de
Programación" que son personas recién graduadas, personal de operación que demuestra interés
en la programación o graduados de escuelas técnicas de computación, "Programadores Senior" son
los que ya tienen varios años de experiencia en proyectos grandes.
Es frecuente que en grandes organizaciones agrupen los programadores y exista un programador
principal o líder de programación que dirija el trabajo de cada grupo además de establecer y
reportar el trabajo del grupo.
Los programadores de sistemas deben tener los conocimientos suficientes del hardware para poder
optimizar la utilización del equipo. Su función es extremadamente técnica y especializada ya que
deben seleccionar, modificar y mantener el complejo software del sistema operativo.
Departamento o área de implementación:
Esta área es la encargada de implantar nuevas aplicaciones garantizando tanto su calidad como su
adecuación a las necesidades de los usuarios. Algunas funciones principales generales que realiza
esta área son:
Coordinar con las áreas de sistemas y usuarios la implantación de las aplicaciones.
Diseñar los planes de calidad de las aplicaciones y garantizar su cumplimiento.
Validar los nuevos procedimientos y políticas a seguir por las implementaciones de los
proyectos liberados.
Probar los productos y servicios a implementar antes de ser liberados al usuario final.
20
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Elaborar conjuntamente con el área de Programación o Desarrollo, los planes de
capacitación de los nuevos usuarios.
Coordinar la presentación de las nuevas aplicaciones a los usuarios.
Supervisar el cumplimiento de los sistemas con la normatividad establecida.
Departamento o área de soporte técnico
Área responsable de la gestión del hardware y del software dentro de las instalaciones del Centro de
Cómputo, entendiendo por gestión: estrategia, planificación, instalación y mantenimiento.Algunas
funciones principales generales que realiza esta área son:
Planificar la modificación e instalación de nuevo software y hardware.
Evaluar los nuevos paquetes de software y nuevos productos de hardware.
Dar el soporte técnico necesario para el desarrollo de nuevos proyectos, evaluando el
impacto de los nuevos proyectos en el sistema instalado.
Asegurar la disponibilidad del sistema, y la coordinación necesaria para la resolución de los
problemas técnicos en su área.
Realizar la coordinación con los técnicos del proveedor con el fin de resolver los problemas
técnicos y garantizar la instalación de los productos.
Proponer las notas técnicas y recomendaciones para el uso óptimo de los sistemas
instalados.
Participar en el diseño de la Arquitectura de Sistemas.
D e s c r i p c i ó n d e P u e s t o s .
Una de las partes más importante dentro de cualquier organización es sin duda el tenerla
bien definida y saber perfectamente lo que cada persona, que forma dicha organización,
hace o debe de hacer dentro de ella, es por eso que se vuelve imprescindible trabajar con
descripciones de puestos. En un departamento de sistemas existe puestos genéricos
definidos los cuales son tomados por la organización y adaptados según sus necesidades. A
continuación damos un ejemplo de dichos puestos genéricos y posteriormente de cómo
éstos fueron adaptados a nuestras necesidades y casos específicos.
21
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Profesión Actividades y conocimientos deseables
Informático Generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de
proyectos. Experto analista. Conocedor de las
metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico.
Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y
Administración de las mismas.
Con experiencia en el mantenimiento de Bases de
Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de
explotación
Experto en Software de
Comunicación
Alta especialización dentro de la técnica de
sistemas. Conocimientos profundos de redes. Muy
experto en Subsistemas de teleproceso.
Experto en Explotación y Gestión de
CPD´S
Responsable de algún Centro de Cálculo. Amplia
experiencia en Automatización de trabajos.
Experto en relaciones humanas. Buenos
conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista
en el análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática.
Gestión de costos.
22
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Dentro del departamento existen diferente puestos, a los cuales se les asignan diferentes
actividades y responsabilidades, a continuación se describen las características de cada uno
de estos.
Se cuenta con:
1 Gerente
1 Encargado de desarrollo
1 Encargado de Soporte Técnico
1 Encargado de desarrollo en Redes
1 Encargado de Redes y Comunicaciones
1 Operador e Instalador
1 Secretaria
DESCRIPCION DEL PUESTO
Nombre................: Gustavo Bonifaz S.
Departamento.......: Sistemas
Puesto...................: Gerente Del Departamento de Sistemas
Definición:
Es el responsable ante la dirección del establecimiento y funcionamiento del departamento, de
manera que satisfaga las necesidades de la empresa a corto y largo plazo.
Es el asesor de la gerencia en cuanto a la utilización de las computadoras y es el director técnico y
administrativo de todas las actividades del procesamiento de datos.
Ayuda a la gerencia a determinar las necesidades en lo referente a la información y equipo
necesario para que se puedan alcanzar los objetivos de la empresa.
23
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Define y controla el presupuesto y medios necesarios para el departamento.
Interpreta las necesidades de la empresa y confecciona y da a conocer el plan de
automatización.
Prepara los proyectos con los usuarios vigilando que los trabajos se integren de un modo
apropiado y sean justificados y aprobados.
Elabora estudios para la elección y adquisición de equipo de cómputo y accesorios.
Sugiere la ampliación o substitución de las instalaciones existentes
Estandariza los métodos y establece las normas de eficacia y los costos asegurándose que el
personal las conoce y acepte.
Se informa de los distintos problemas por medio de subordinados y da seguimiento para
aplicar soluciones rápidas y efectivas.
Establece la comunicación entre el personal del departamento y fomenta las buenas
relaciones entre ellos.
Se asegurara que los responsables de los servicios a usuarios cumplan de tal manera, que
dicho usuario quede satisfecho.
DESCRIPCION DEL PUESTO
Nombre................: Ignacio Bañuelos.
Departamento.......: Sistemas.
Puesto...................: Encargado de Redes y comunicaciones.
Definición:
Es el responsable del establecimiento y funcionamiento de las redes computacionales del grupo.
Es el encargado del diseño e implementación de dichas redes.
Es el responsable de la configuración e instalación del software necesario.
Es el responsable de los equipos de comunicación.
Es el encargado de mantener comunicados los equipos de cómputo.
Es el encargado de investigar y proponer soluciones de redes y comunicación.
24
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Es el responsable de mantener y controlar el cableado.
DESCRIPCION DEL PUESTO
Nombre................: Alejandro Solares.
Departamento.......: Sistemas
Puesto...................: Encargado de desarrollo de software para Redes y Pcs.
Definición:
Es el responsable de la elaboración y mantenimiento de los sistemas que corren en la red y las pcs.
Es el responsable de los paquetes instalados en la red y pcs.
Interpreta las necesidades de los usuarios y confecciona las soluciones pertinentes.
Prepara los proyectos con los usuarios vigilando que los trabajos se integren de un modo
apropiado.
Elabora estudios para la elección y adquisición de software para redes y pcs.
Es el encargado de estandarizar los paquetes y software que corre bajo redes y pcs.
Es el encargado de investigar y probar nuevos productos para redes y pcs.
Es el responsable de la integridad de la información que se genera y manipula en las redes y pcs.
DESCRIPCION DEL PUESTO
Nombre................: Rodolfo Segura.
Departamento.......: Sistemas
Puesto...................: Encargado de desarrollo de software
Definición:
Es el responsable de la elaboración y mantenimiento de los sistemas.
Es el responsable de los paquetes instalados.
Interpreta las necesidades de los usuarios y confecciona las soluciones pertinentes.
Prepara los proyectos con los usuarios vigilando que los trabajos se integren de un modo
apropiado.
Elabora estudios para la elección y adquisición de software
Es el encargado de estandarizar los paquetes y software
25
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Es el encargado de investigar y probar nuevos productos
Es el responsable de la integridad de la información que se genera
DESCRIPCION DEL PUESTO
Nombre................: Juan José Figueroa.
Departamento.......: Sistemas
Puesto...................: Encargado de Soporte técnico As/400.
Definición:
Es el responsable de la instalación y mantenimiento del sistema operativo
Es el responsable de la configuración de la
Es el encargado de detectar fallas y de su corrección.
Es el encargado del buen rendimiento del equipo.
Elabora estudios para la elección y adquisición de software para
Es el encargado de instalar y configurar el software de emulación y comunicación
Es el encargado de investigar y probar nuevos productos para
DESCRIPCION DEL PUESTO
Nombre................: Araceli Silva.
Departamento.......: Sistemas.
Puesto...................: Secretaria.
Definición:
Es la encargada de auxiliar en los procesos administrativos del departamento.
Es la encargada de controlar las operaciones de mensajería.
Es la encargada de elaborar y recibir pedidos, correspondencia, memorándums, faxes y
documentos en general.
Es la encargada de recibir y contestar llamadas telefónicas.
26
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Es la encargada de organizar y mantener en óptimas condiciones el archivo.
Es la encargada de la caja chica.
DESCRIPCION DEL PUESTO Nombre................: Maximiano Perales. Departamento.......: Sistemas. Puesto...................: Operador e Instalador.
Definición:
Es el encargado de ejecutar y controlar todos los respaldos de la información de los distintos
equipos.
Es el encargado de controlar el inventario de equipo, y accesorios así como de los paquetes de
software para Pc.
Es el encargado de elaborar pedidos de consumibles (Diskettes, Cintas, Tonners, Cartuchos para
respaldos, Etc.).
Es el encargado de dar mantenimiento preventivo a las PCs.
Es el encargado de hacer las instalaciones de Hardware y Software a las Pcs.
Es el encargado de hacer revisiones y reparaciones menores a las Pcs.
Analista
Generalmente se conoce el puesto como analista de desarrollo o analista programador. Su
descripción del puesto es: Realizar el diseño técnico de los nuevos proyectos y aplicaciones
pequeñas y programar los módulos complejos. Supervisar a los programadores que participan en el
proyecto. Sus funciones específicas son:
Analista de Desarrollo.
Realizar el diseño técnico de los nuevos proyectos.
Preparar la documentación para la programación y pruebas de los sistemas.
Revisar la codificación y pruebas de los sistemas.
Realizar estudios de viabilidad técnica.
27
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Participar en el diseño funcional de los nuevos proyectos.
Dirigir proyectos pequeños.
Analista programador.
Estudiar los requerimientos de los nuevos usuarios en cuanto a nuevos productos o
servicios.
Estructurar la lógica de los programas.
Programar.
Llevar a efecto pruebas de los sistemas desarrollados.
Documentar los programas de acuerdo a los estándares establecidos.
Realizar el análisis de las aplicaciones sencillas.
Gerente de Procesos.
Encargado de dirigir y administrar el área de Procesamiento de Datos, así como relacionarse con
las otras áreas del centro de cómputo. Formula y administra todo el procesamiento de la
información que maneja el Centro de Cómputo.
Programador de Sistemas.
Aunque su función es muy similar a la de un analista programador, su descripción del puesto es:
Programar y realizar la codificación y documentación de los programas o sistemas desarrollados.
Los programadores toman las especificaciones de los sistemas realizados por los analistas y las
transforman en programas eficientes y bien documentados para las computadoras.
Sus funciones específicas son:
Analizar la lógica de los programas a desarrollar.
Codificar y documentar los programas de acuerdo con las normas de calidad y seguridad
establecidas.
Programar.
Probar los programas realizados.
Supervisor de Capturista.
28
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Supervisa las actividades de ingreso de datos de documentos. Elabora turnos de trabajo en base a la
carga de trabajo establecida.
Capturista.
Los capturistas de datos son los primeros en manejar y convertir los datos de su forma original a un
formato accesible para la computadora. Este tipo de personal puede operar diferentes dispositivos
de teclado para proporcionar los datos directamente a la computadora. No obstante la importancia
del trabajo de los preparadores de datos su educación no requiere una formación técnica formal, un
mecanógrafo competente puede adquirir en pocas horas de instrucción especializada las
habilidades necesarias para la preparación de datos.
Dibujante.
Las funciones principales son: Realiza los diseños gráficos asignados al área de informática. Realiza
diseños de portadas para informes finales. Elabora presentaciones, formatos de papelería,
logotipos
A d q u i s i c i ó n d e l h a r d w a r e y s o f t w a r e
Es muy común que se hagan compras de equipo por costumbre o porque recibe alguna
recomendación, esto sucede porque no se tiene el conocimiento de las preguntas que debemos
hacernos para poder elegir adecuadamente un equipo, ya sea el software o el hardware.
A d q u i s i c i ó n d e h a r d w a r e
Debemos considerar los siguientes puntos para la adquisición de hardware:
Determinación del tamaño y requerimiento de capacidad
Evaluación y medición de la computadora.
Compatibilidad.
Factores financieros.
Mantenimiento y soporte técnico.
Al realizar la compra debemos considerar lo siguiente:
Tamaño interno de la memoria
29
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Velocidad de procesamiento
Número de canales para entrada/salida de datos y comunicaciones
Tipos u números de dispositivos de almacenamiento
Software que se proporciona y sistemas desarrollados disponibles.
Evaluación y medición de la computadora
Es común que se efectúen comparaciones entre los diferentes sistemas de cómputo basados en el
desarrollo y desempeño real de los datos. Los datos de referencia son generados a través del
empleo de programas sintéticos (es un programa que imita la carga de trabajo esperada y
determina resultados), la cuál permite comparar contra especificaciones técnicas. Los programas
sintéticos se pueden correr prácticamente en cualquier tipo de ambiente y generalmente se toma
como referencia:
Velocidad de procesamiento
Tiempo de respuesta para envío de datos desde las terminales
Compatibilidad
Ocasionalmente por cuestiones económicas se considera factible la compra de equipo llamado
compatible. La ventaja de este equipo es un menor costo que el original, pero debe tenerse cuidado
con los siguientes puntos:
Nivel de calidad.
Desempeño igual al original
Garantías
Acuerdos de servicio
Factores financieros
Existen las siguientes posibilidades de adquirir equipo de cómputo
Por alquiler o renta
Las ventajas son el que tenemos un alto nivel de flexibilidad, no se requiere pagos altos y elevados,
y a corto plazo es mas económico alquilar que comprar. Como desventaja podemos decir que a la
30
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
larga puede resultar más costoso que comprar el equipo y además podemos tener limitaciones en
cuanto a uso.
Por compra
Tiene como ventaja que puede pagarse a crédito en pagos predeterminados en periodos fijos, no
necesariamente se tiene que efectuar pagos elevados y se puede disponer del equipo a la hora que
se quiera. Tiene como desventajas que es una decisión irrevocable, que se requiere capital mayor
que en el caso anterior y el riesgo a la obsolescencia.
Mantenimiento y soporte técnico
Los puntos de mayor interés son:
Fuente de mantenimiento
Una vez que el sistema se ha entregado e instalado, existe un periodo de garantía en el cuál la
unidad de ventas que efectuó la operación tiene la responsabilidad del mantenimiento, después de
este tiempo el comprador puede adquirir mantenimiento de varias fuentes
Términos de mantenimiento
El contrato puede redactarse de manera tal que cubra tanto la mano de obra como las piezas que se
hayan necesitado en el mantenimiento, o mano de obra y piezas por separado.
Servicio y respuestas
El apoyo de mantenimiento es útil si se encuentra disponible cuando se requiere. Dos puntos de
interés son el tiempo de respuesta y las horas en las que se puede obtener el apoyo.
A d q u i s i c i ó n d e s o f t w a r e
Una vez que conozcamos los requerimientos de los sistemas que vamos a desarrollar, debemos
hacer una comparación entre todos los paquetes que cumplen con las condiciones que requerimos
y así elegir el más apto.
Preguntas que debo hacerme en cuanto a requerimientos de software:
¿Qué transacciones y que tipos de datos vamos a manejar?
31
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
¿Qué reportes o salidas debe producir el sistema?
¿Qué archivos y bases de datos se manejan en el sistema?
¿Cuál es el volumen de datos a almacenar?
¿Cuál es el volumen de operaciones?
¿Qué hardware y características de comunicaciones se requiere?
¿Cuánto cuesta?
Las características a considerar en la adquisición de software son: flexibilidad, capacidades,
previsión de auditorías, confiabilidad, contratos de software y apoyos del proveedor.
Las áreas donde la flexibilidad es deseable son:
En el almacenamiento de datos
En la producción de informes.
En la entrada de datos
En la definición de parámetros
Capacidad
El tamaño de cada registro medido en bytes
El tamaño de cada archivo medido en bytes
El número de archivos que pueden estar activos simultáneamente
Número de archivos que pueden trabajar
Previsión de auditoría y confiabilidad
Seguir las transacciones para examinar datos intermedios
Imprimir de manera selectiva algunos registros para verificar si cumplen los criterios.
Producir un registro diario de las operaciones y su efecto en los datos
Apoyos del proveedor
Frecuencia del mantenimiento
Servicios que se incluyen en el pago
Saber si se incrementa el costo del mantenimiento
Horarios disponibles de servicio
32
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Saber si tiene servicio de emergencia
Contratos de software
Hay dos tipos de contratos:
Alquilar un paquete y software y asignación de programación al cliente
Dentro del contrato se estipula la propiedad y mantenimiento del software
Para determinar qué equipo es el más conveniente de adquirir habrá que definir con claridad la
capacidad y los requerimientos técnicos de todos los mecanismos como son: velocidad, capacidad
de almacenamiento, dispositivos auxiliares (mouse, impresora, monitor, etc.)
Se debe estudiar muy bien, cuando se surten a los proveedores de todos los sistemas mostrados,
antes de escoger alguno de ellos.
Costo
Inversión que se hace para producir bienes o servicios, para adquirir mercancías para la venta.
(Erogación o adquisición de un bien)
Gastos
Son las salidas o pérdidas, resultantes del desarrollo y del uso de sistemas (un gasto, regularmente
no estaba contemplado).
Beneficio
Son cada una de las ventajas que se obtiene de la instalación y uso del mismo
Costos tangibles
Son las salidas en efectivo, lo que significa que se conoce y se puede estimar (precio de un monitor,
"el salario de un empleado")
Costos intangibles
Se saben que existen algunos costos cuyo monto aproximado no se puede determinar con exactitud, (el perder un cliente, "El descenso de la compañía")
33
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Beneficios
Son más difíciles de especificar en forma exacta que los costos. El valor de los beneficios es una
ventaja que se gana a través de la utilización del sistema
Beneficios tangibles
Son aquellos que son cuantificables, (reducción de gastos, menores tasas de error)
Beneficios intangibles
Son aquellos que no se pueden cuantificar (Mejores condiciones de trabajo, mejor servicio a
clientes, respuesta rápida a las solicitudes de los clientes)
Beneficios fijos
Son aquellos costos y beneficios de sistemas que son constantes y no cambian, sin importar cuanto
se utilice un sistema de información, ejemplo: si una compañía compra equipo de cómputo, el
costo no va a variar, ya sea que el equipo se utilice mucho o poco.
Beneficios variables
Son aquellos donde incurre en proporción a la actividad o el tiempo
Costos variables
Ejemplo: Los costos se suministro de computadora varían en proporción con el monto del proceso
que se lleva a cabo, ya que la impresión de mas páginas incrementa el costo del papel, por lo tanto,
variará como resultado de la cantidad de impresión, sin embargo se elimina si se cesa la
preparación de informes.
Costos y beneficios directos o indirectos
Directos
Son atribuibles a un sistema de negocio, un sistema de información. En otras palabras el utilizar el
sistema produce costos y beneficios directos. Ejemplo: la utilización del papel, suministro de cintas,
etc.
34
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Indirectos
Son aquellos costos y beneficios que no están específicamente asociados con el sistema de
información. Ejemplo: La calefacción, aire acondicionado, seguros, el espacio, etc.
Beneficios directos
Son aquellos que se consiguen como productos del sistema (Reportes)
Beneficios indirectos
Se consiguen como un subproducto de otro sistema. (Un sistema que da seguimiento a las
solicitudes de ventas que realizan los clientes, proporciona información adicional de la
competencia)
Clasificación del costo
Costo de equipo
Costos de operación
Costos de personal
Costos de suministros y gastos varios
Costos de instalación
P e r m i s o s y L i c e n c i a s .
El uso de Software no autorizado o adquirido ilegalmente, se considera como PIRATA y una
violación a los derechos de autor.
El uso de Hardware y de Software autorizado esta regulado por las siguientes normas:
Toda dependencia podrá utilizar UNICAMENTE el hardware y el software que el
departamento de sistemas le haya instalado y oficializado mediante el "Acta de entrega
de equipos y/o software".
Tanto el hardware y software, como los datos, son propiedad de la empresa. su copia o
sustracción o daño intencional o utilización para fines distintos a las labores propias de
la compañía, será sancionada de acuerdo con las normas y reglamento interno de la
empresa.
35
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
El departamento de sistemas llevara el control del hardware y el software instalado,
basándose en el número de serie que contiene cada uno.
Periódicamente, el departamento de sistemas efectuará visitas para verificar el software
utilizado en cada dependencia. Por lo tanto, el detectar software no instalado por esta
dependencia, será considerado como una violación a las normas internas de la empresa.
Toda necesidad de hardware y/o software adicional debe ser solicitada por escrito al
departamento de sistemas, quien justificará o no dicho requerimiento, mediante un
estudio evaluativo.
El departamento de sistemas instalará el software en cada computador y entregará al
área usuaria los manuales pertinentes los cuales quedaran bajo la responsabilidad del
Jefe del departamento respectivo.
Los diskettes que contienen el software original de cada paquete serán administrados y
almacenados por el departamento de sistemas.
El departamento de sistemas proveerá el personal y una copia del software original en
caso de requerirse la reinstalación de un paquete determinado.
Los trámites para la compra de los equipos aprobados por el departamento de sistemas,
así como la adecuación física de las instalaciones serán realizadas por la dependencia
respectiva.
La prueba, instalación y puesta en marcha de los equipos y/o dispositivos, serán
realizada por el departamento de sistemas, quien una vez compruebe el correcto
funcionamiento, oficializara su entrega al área respectiva mediante el "Acta de Entrega
de Equipos y/o Software".
Una vez entregados los equipos de computación y/o el software por el departamento de
sistemas, estos serán cargados a la cuenta de activos fijos del área respectiva y por lo
tanto, quedaran bajo su responsabilidad.
Así mismo, el departamento de sistemas mantendrá actualizada la relación de los
equipos de computación de la compañía, en cuanto a numero de serie y ubicación, con el
fin que este mismo departamento verifique, por lo menos una vez al año su correcta
destinación.
El departamento de sistemas actualizará el software comprado cada vez que una nueva
versión salga al mercado, a fin de aprovechar las mejoras realizadas a los programas,
siempre y cuando se justifique esta actualización.
36
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Derechos de autor y licencia de uso de software.
El Copyright, o los derechos de autor, son el sistema de protección jurídica concebido para titular
las obras originales de autoría determinada expresadas a través de cualquier medio tangible o
intangible.
Las obras literarias (incluidos los programas informáticos), musicales, dramáticas, plásticas,
gráficas y escultóricas, cinematográficas y demás obras audiovisuales, así como las fonogramas,
están protegidos por las leyes de derechos de autor.
El titular de los derechos de autor tiene el derecho exclusivo para efectuar y autorizar las siguientes
acciones:
Realizar copias o reproducciones de las obras.
Preparar obras derivadas basadas en la obra protegida por las leyes de derechos de
autor.
Distribuir entre el público copias de la obra protegida por las leyes de derechos de autor
mediante la venta u otra cesión de la propiedad, o bien mediante alquiler,
arrendamiento financiero o préstamo.
Realizar o mostrar la publicidad de la obra protegida por las leyes de derechos de autor.
Importar el trabajo, y realizar actos de comunicación pública de las obras protegidas.
UNIDAD 2
A u d i t o r í a d e l c e n t r o d e c ó m p u t o o d a t o s .
37
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Objetivo particular: Realizará auditoría informática a un centro de cómputo o datos
evaluando el desarrollo de acciones de garantía de seguridad, así como el plan de contingencias,
mediante instrumentos y metodología de auditoría que conlleven a la preservación e integridad de
las instalaciones, equipos e información.
2.1.1 Elabora una lista de chequeo para evaluar la seguridad y el cumplimiento
normativo en un centro de cómputo o datos de una entidad
Objetivo específico: Verifica las acciones de seguridad y el cumplimiento normativo con base
en metodológica de auditoría y empleo de herramientas, instrumentos.
I D E N T I F I C A C I Ó N D E L E N T O R N O D E A U D I T O R Í A
Auditoría
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza
generalmente para designar a la auditoría externa de estados financieros que es una auditoría
realizada por un profesional experto en contabilidad de los libros y registros contables de una
entidad para opinar sobre la razonabilidad de la información contenida en ellos y sobre el
cumplimiento de las normas contables. El origen etimológico de la palabra es el verbo latino
“Audire”, que significa “oír”. Esta denominación proviene de su origen histórico, ya que los
primeros auditores ejercían su función juzgando la verdad o falsedad de lo que les era sometido a
su verificación principalmente oyendo
Auditoria informática
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en
una empresa u organización, determinando si los mismos son adecuados y cumplen unos
38
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos.
Los objetivos de la auditoría Informática son:
El control de la función informática
El análisis de la eficiencia de los Sistemas Informáticos
La verificación del cumplimiento de la Normativa en este ámbito
La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protección y Seguridad
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría
informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, ISO, COSO e
ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una
de las mas reconocidas y avaladas por los estándares internacionales ya que el proceso de selección
consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado
acumulando horas (puntos) para no perder la certificación.
Control interno:
39
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Control Interno Informático es una herramienta enfocada a la adecuada gestión de los Sistemas de
la Información.
Muchos de los problemas informáticos se originan dentro de la misma empresa.
Por ello es cada vez más necesario un completo análisis del tráfico de:
Los correos electrónicos corporativos.
Las páginas web que se visitan desde los ordenadores de la empresa.
Función del Control.- Una definición que es correcta y a la cual representa el valor de la Función
del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica
y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo -
Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin
de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima
eficiencia de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.
El concepto de auditoría es mucho más que esto.
El Control de Sistemas e Informática, consiste en examinar los recursos, las operaciones,
los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas
Informáticos), de los Organismos sujetos a control, con al finalidad de evaluar la eficacia y
eficiencia Administrativa Técnica y/u Operacional de los Organismos, en concordancia con los
principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas
(Planes, Programas y Presupuestos, Diseño, Software, Hardware, Seguridad, Respaldos y otros)
adoptados por la Organización para su dinámica de Gestión en salvaguarda de los Recursos del
Estado.
Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se
orienta a la revisión del Diseño de los Planes, Diseños de los Sistemas, la demostración de su
eficacia, la Supervisión compulsa de rendimientos, Pruebas de Productividad de la Gestión -
Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de
seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema
Informático adoptado por la Organización bajo control.
Objetivos de la Auditoría y Control de Sistemas e Informática.-
40
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Los principales objetivos que constituyen a la auditoría Informática son:
El control de la función informática (Sistema de Información - SI y la Tecnología de la
Información -TI).
El análisis de la eficiencia de los SI y la TI.
La verificación del cumplimiento de la Normativa General de la Organización.
La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos.
La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad.
La revisión y verificación de las Seguridades.
De Cumplimiento de normas y estándares.
De Sistema Operativo.
De Seguridad de Software.
De Seguridad de Comunicaciones.
De Seguridad de Base de Datos.
De Seguridad de Proceso.
De Seguridad de Aplicaciones.
De Seguridad Física.
De Suministros y Reposiciones.
De Contingencias.
El análisis del control de resultados.
El análisis de verificación y de exposición de debilidades y disfunciones.
El auditor informático.- Es el profesional que ha de cuidar y velar por la correcta utilización de
los diversos recursos que la organización y debe comprobar que se este llevando acabo un
eficiente y eficaz Sistema de Información y la Tecnología de la Información. Pues estas dos
puntos en la actualidad soporta la Auditoría y Control de los Sistemas e Informática en la Gestión
moderna.
Definición y tipo de controles internos
41
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido
incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.
Implantación de un sistema de controles internos informáticos
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red,
así como los distintos niveles de control y elementos relacionados:
Entorno de red: esquema de la red, descripción de la configuración hardware de
comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los ordenadores de entornos de
base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
Configuración del ordenador base: Configuración del soporte físico, en torno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y
entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de gestión de
bibliotecas y para operaciones automáticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.
42
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Para la implantación de un sistema de controles internos informáticos habrá que definir:
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.
Administración de sistemas: Controles sobre la actividad de los centros de datos y otras
funciones de apoyo al sistema, incluyendo la administración de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software
del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestión del cambio: separación de las pruebas y la producción a nivel del software y
controles de procedimientos para la migración de programas software aprobados y
probados.
Normas.
Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de calidad
relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como
resultado de este trabajo.
Las normas de auditoría se clasifican en:
a. Normas personales.
b. Normas de ejecución del trabajo.
c. Normas de información.
Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un
sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser
imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo
43
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a
aplicar dentro de la auditoría.
Normas de información
Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su
trabajo, también es conocido como informe o dictamen.
Normatividad relativa a Informática en México
La regulación de actividades, productos, servicios, etc. se realiza en México a través de la
reglamentación diversa que las diversas entidades u organismo oficiales emiten. Esto toca
elementos desde la misma Constitución Política, pasando por leyes, reglamentos, acuerdos,
manuales, nomas, etc. Tocante al tema tecnológico que nos atañe (Computación y en particular la
Auditoría Informática) esta normatividad se encuentra en leyes, reglamentos y las normas NOM y
NMX. En los casos en que no existe una ley específica, la Secretaría de Economía (reguladora de las
NOM y NMX) maneja la normatividad ISO. A continuación se enlistan una serie de normas que de
una forma u otra tocan aspectos específicos o generales de esta actividad.
En cuanto a las normas internacionales, se maneja como “adecuado” el cumplir con las normas
ISO, en particular la ISO 10011 (ISO 19011 – 2002) para los temas de “Guías de auditoría a los
sistemas de calidad”, “Criterios de calificación y selección de auditores” y “Administración de un
programa de auditoría”.
Áreas de Auditoría Informática de Sistemas:
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.
Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones,
Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del
entorno general de Sistemas.
Sistemas Operativos:
44
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc. Debe verificarse en primer lugar
que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas
de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite
descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por
la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de
las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados
por el constructor.
Software Básico:
Es fundamental para el auditor conocer los productos de software básico que han sido facturados
aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de
que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al
Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste
no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos
de costes, por si hubiera alternativas más económicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Básico por su especialidad e importancia. Las consideraciones
anteriores son válidas para éste también.
M a n e j o d e c o n t r o l e s :
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Área de Informática de una empresa o institución debe implantar los
siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
45
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
1.- Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de
computación y obviamente a la automatización de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad
de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra
alternativa.
Garantizar la selección adecuada de equipos y sistemas de computación
Asegurar la elaboración de un plan de actividades previo a la instalación
Acciones a seguir:
Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software
y servicios de computación, incluyendo un estudio costo-beneficio.
Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición
e instalación
Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el
mismo que debe contar con la aprobación de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de
equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas
y disposiciones legales.
Efectuar las acciones necesarias para una mayor participación de proveedores.
Asegurar respaldo de mantenimiento y asistencia técnica.
2.- Controles de organización y Planificación
46
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes
unidades del área PAD, en labores tales como:
Diseñar un sistema
Elaborar los programas
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.
Acciones a seguir:
La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera
que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
Las funciones de operación, programación y diseño de sistemas deben estar claramente
delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas
no tengan acceso a la operación del computador y los operadores a su vez no conozcan la
documentación de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los
resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente
definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo
sujetos a evaluación y ajustes periódicos "Plan Maestro de Informática"
Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la
planificación y evaluación del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.
3.- Controles de Sistema en Desarrollo y Producción
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación
costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han
desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
47
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan
conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio
El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir
y solicitar la implantación de rutinas de control
El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos,
metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas
u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Producción deben ser probados con datos que agoten todas
las excepciones posibles.
Todos los sistemas deben estar debidamente documentados y actualizados. La
documentación deberá contener:
-Informe de factibilidad
- Diagrama de bloque
- Diagrama de lógica del programa
- Objetivos del programa
- Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobación de modificaciones
- Formatos de salida
- Resultados de pruebas realizadas
Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas,
formatos de los sistemas en desarrollo.
El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los
manuales de operación respectivos.
4.- Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta
la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
48
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las
mejores condiciones.
Acciones a seguir:
Validación de datos de entrada previo procesamiento debe ser realizada en forma
automática: clave, dígito autoverificador, totales de lotes, etc.
Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente
su corrección.
Recepción de datos de entrada y distribución de información de salida debe obedecer a un
horario elaborado en coordinación con el usuario, realizando un debido control de calidad.
Adoptar acciones necesarias para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para
agilitar la captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y
sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para
garantizar la integridad de la información y el buen servicio a usuarios.
5.- Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de
almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de
comunicación por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo
durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del
PAD
49
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Garantizar la integridad de los recursos informáticos.
Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Acciones a seguir:
El acceso al centro de computo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado
Implantar claves o password para garantizar operación de consola y equipo central
(mainframe), a personal autorizado.
Formular políticas respecto a seguridad, privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de
violación y como responder ante esos eventos.
Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos.
Los operadores del equipo central deben estar entrenados para recuperar o restaurar
información en caso de destrucción de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bóvedas de bancos.
Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deberá proporcionar lo siguiente:
- Manual de operación de equipos
- Manual de lenguaje de programación
- Manual de utilitarios disponibles
- Manual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así
como extintores de incendio, conexiones eléctricas seguras, entre otras.
Instalar equipos que protejan la información y los dispositivos en caso de variación de
voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo
que se produzca por casos fortuitos o mala operación.
50
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
6.- Controles en el uso del Microcomputador
Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero
los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la
información.
Acciones a seguir:
Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisición del equipo
Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento
preventivo y correctivo.
Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de
aplicaciones no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de detección e inmunización de virus en copias no
autorizadas o datos procesados en otros equipos.
Propender a la estandarización del Sistema Operativo, software utilizado como
procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener
actualizadas las versiones y la capacitación sobre modificaciones incluidas.
Revisión de Centros de Cómputo
Consiste en revisar los controles en las operaciones del centro de procesamiento de información en
los siguientes aspectos:
1.- Revisión de controles en el equipo
Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir
accesos no autorizados y mantener un registro detallado de todas las actividades del computador
que debe ser analizado periódicamente.
2.- Revisión de programas de operación
51
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Se verifica que el cronograma de actividades para procesar la información asegure la utilización
efectiva del computador.
3.- Revisión de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con
deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc.
4.- Revisión del plan de mantenimiento
Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que
garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos
Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador,
que estén respaldados, así como asegurar que el uso que le dan es el autorizado.
6.- Revisión del plan de contingencias
Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas
adelante.
E v a l u a c i ó n d e l p l a n d e c o n t i n g e n c i a s i n f o r m á t i c a s :
¿Por qué se necesita un Plan de Contingencia?
A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las
redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto
crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y
algunas requiren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente
difícil funcionar sin los recursos informáticos.
52
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto periodo. En caso
de un desastre, la interrupción prolongada de los servicios de computación puede llevar a pérdidas
financieras significativas, sobre todo si está implicada la responsabilidad de la gerencia de
informática. Lo más grave es que se puede perder la credibilidad del público o los los clientes y,
como consecuencia, la empresa puede terminar en un fracaso total.
Cabe preguntarse "¿Por se necesita un plan de contingencia para desastres si existe una póliza de
seguro para esta eventualidad?" La respuesta es que si bien el seguro puede cubrir los costos
materiales de los activos de una organización en caso de una calamidad, no servirá para recuperar
el negocio. No ayudará a conservar a los clientes y, en la mayoría de los casos, no proporcionará
fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.
En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más del 60% de
las empresas que sufren un desastre y que no tienen un plan de recuperación ya en
funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia
de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.
Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un
periodo predeterminado debe ser un elemento crucial en un plan estratégico de seguridad para una
organización.
Imagínese una situación que interrumpa las operaciones de las computadoras durante una semana
o un mes; imagine la pérdida de todos los datos de la empresa, todas las unidades de respaldo del
sitio y la destrucción de equipos vitales del sistema ¿Cómo se manejaría semejante catástrofe? Si
Ud. se ve en esta situación y lo único que puede hacer es preguntarse "¿Y ahora qué?" ¡ya es
demasiado tarde! La única manera efectiva de afrontar un desastre es tener una solución completa
y totalmente probada para recuperarse de los efectos del mismo.
¿Qué es un desastre?
Se puede consider como un desastre la interrupción prolongada de los recursos informáticos y de
comunicación de una organización, que no puede remediarse dentro de un periodo
predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperación.
53
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las explosiones, los
actos de sabotaje, etcétera.
Estadísticas recientes sobre los tipos más
comunes de desastres que ocurren muestran que
el terrorismo, los incendios y los huracanes son
las causas más comunes en muchos países.
La alta gerencia tiene que decidir el periodo
predeterminado que lleva una interrupción de
servicio de la situación de "problema" a la de "desastre". La mayoría de las organizaciones logran
esto llevando a cabo un análisis de impacto en el negocio para determinar el máximo tiempo de
interrupción permisible en funciones vitales de sus actividades.
Plan de contingencia
La reanudación de las actividades ante una calamidad puede ser una de las situaciones más difíciles
con las que una organización deba enfrentarse. Tras un desastre, es probable que no haya
posibilidades de regresar al lugar de trabajo o que no se disponga de ninguna de los recursos
acostumbrados. Incluso, es posible que no se pueda contar con todo el personal. La preparación es
la clave del éxito para enfrentar los problemas.
No existe ninguna manera costeable para protegerse completamente contra todo tipo de riesgos,
particularmente amenazas naturales a gran escala que pueden arrasar zonas extensas. Como
consecuencia, siempre se tiene que tolerar algún riesgo residual. La decisión sobre el alcance del
desastre para el que habrá de prepararse debe tomarse en los más altos niveles de la empresa. Por
ejemplo, la mayor parte de las empresas implementan una estrategia que proteja contra desastres
locales, pero pocas cubren desastres a nivel nacional o incluso internacional.
Asimismo, las organizaciones que cuentan dos o más sitios, pueden tener una estrategia de
recuperación que funcione en caso de que un sitio sea destruido o dañado, pero no si varios sitios
son destruidos o dañados al mismo tiempo.
54
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Un plan de contingencia es el proceso de determinar qué hacer si una catástrofe se abate sobre la
empresa y es necesario recuperar la red y los sistemas.
M e t o d o l o g í a p a r a e l p l a n d e c o n t i n g e n c i a
El diseñar e implementar un plan de contingencia para recuperación de desastres no es una tarea
fácil; puede implicar esfuerzos y gastos considerables, sobre todo si se está partiendo de cero. Una
solución comprende las siguientes actividades:
1. Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa.
2. Puede requerir la construcción o adaptación de un sitio para los equipos computacionales.
3. Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y éstos deben ser
compatibles con las operaciones existentes. Se hará participar a personal de muchos
departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e
implemente la solución.
4. Implicará un compromiso entre costo, velocidad de recuperación, medida de la
recuperación y alcance de los desastres cubiertos.
Como con cualquier proyecto de diseño, un método estructurado ayuda a asegurar de que se toman
en cuenta todos estos factores y de que se les trata adecuadamente.
A continuación se muestran las principales actividades requeridas para la planificación e
implementación de una capacidad de recuperación de desastres.
1. Identificación de riesgos
2. Evaluación de riesgos
3. Asignación de prioridades a las aplicaciones
4. Establecimiento de los requerimientos de recuperación
5. Elaboración de la documentación
6. Verificación e implementación del plan
7. Distribución y mantenimiento del plan
1. Identificación de riesgos
55
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
La primera fase del plan de contingencia, el análisis de riesgos, nos sitúa en el lugar de un asesor de
una compañía de seguros. En esta fase, la preocupación está relacionada con tres simples
preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad de que suceda?
1.1. ¿Qué está bajo riesgo?
La primera de estas preguntas, ¿qué está bajo riesgo?, necesita incorporar todos los componentes
del sistema susceptibles de ser dañados, dando lugar a la pérdida de conectividad, computadoras o
datos. Un diagrama de la arquitectura de todos los componentes del sistema facilitará la realización
de un inventario de los elementos que pueden necesitar ser restituidos tras un desastre. No hay que
olvidar que también el software necesita ser reemplazado, y que todos los productos software
relevantes han de ser identificados. Esto incluye cosas como las utilidades del sistema de archivos
empleados para facilitar las operaciones de red.
Un inventario completo de una red muestra de manera clara la complejidad de ésta. Cualquiera que
realice inventarios de componentes para redes, comprende los problemas en el seguimiento del
hardware y software utilizado por los usuarios finales. Afortunadamente, existen algunos productos
disponibles, como los de las compañías Seagate Software, McAfee y otros, que facilitan la
construcción de un inventario de los sistemas.
Una omisión en el inventario fácilmente puede dar lugar a una recuperación fallida tras un
desastre. El sistema de aplicación puede no encontrarse preparado para su uso si alguno de sus
componentes no está disponible; en tal caso, es aconsejable estar constantemente a la expectativa
de los nuevos elementos que pueden haberse olvidado. Por ejemplo, una aplicación para acceso
remoto no funcionaría si los cables no están disponibles para conectar los módem.
Uno de los aspectos menos agradables a tener en cuenta, y que a menudo se pasa por alto, es que
las personas esenciales se vean afectadas por el desastre y sea necesario recurrir a otras para
realizar sus labores. Una formación diversificada en los sistemas dentro de la organización pude
ayudar a reducir el impacto de la indisponibilidad de uno de los colaboradores. Al menos, los
manuales de las aplicaciones más importantes para la empresa deberían encontrarse disponibles
en un sitio externo.
56
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
2. Evaluación de riesgos
Es el proceso de determinar el costo para la organización de sufrir un desastre que afecte su
actividad. Si una inundación impidiera la actividad comercial durante cinco días, la compañía
perdería cinco días de ventas, además del deterioro físico de los edificios e inventario. En el caso de
los sistemas informáticos, la preocupación principal es comprender la cantidad de pérdida
financiera que puede provocar la interrupción de los servicios, incluyendo los que se basan en las
redes.
Por ejemplo, si la empresa se anuncia a través o realiza negocios en Internet, ¿cuál es el costo de
tener el servidor web inhabilitado? Si la red a través de la cual se produce la solicitud de pedidos
está caída, o si el sistema de control de inventario utiliza la red, ¿cuál es el impacto sobre la
productividad de la empresa?
Los costos de un desastre pueden clasificarse en las siguientes categorías:
Costos reales de reemplazar el sistema informático
Costos por falta de producción.
Costos por negocio perdido
Costos de reputación.
El costo real de los equipos y el software es fácil de calcular, y depende de si se dispone de un buen
inventario de todos los componentes de la red necesarios.
Los costos de producción pueden determinarse midiendo la producción generada asociada a la red.
La empresa tiene una correcta valoración de la cantidad de trabajo realizado diariamente y su valor
relativo. La pérdida de producción, debida a la interrupción de la red, puede ser calculados
utilizando esta información.
Los costos por negocio perdido son los ingresos perdidos por las organizaciones de ventas y
marketing cuando la red no está disponible. Si el sistema de solicitud de pedidos no funciona y la
empresa sólo es capaz de procesar el 25% del volumen diario habitual de ventas, entonces se ha
perdido el 75% de ese volumen de ventas.
57
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
3. Asignación de prioridades en las aplicaciones
Después de que acontezca un desastre y se inicie la recuperación de los sistemas, debe conocerse
qué aplicaciones recuperar en primer lugar. No hay que perder el tiempo restaurando los datos y
sistemas equivocados cuando la actividad empresarial necesita primero sus aplicaciones esenciales.
Esto implica la necesidad de determinar por anticipado cuáles son las aplicaciones fundamentales
del negocio. Si la empresa es como la mayoría, se tendrán aplicaciones "muy importantes"
dependiendo de a quién se le pregunte.
El departamento de recursos humanos afirmará que el sistema de nóminas es el más importante, el
departamento de ventas dirá que es su sistema de entrada de pedidos, el departamento de
producción insistirá en su control de inventario y el departamento de compras asignará el papel de
más importante a su sistema de facturación. Desgraciadamente, no todos estos sistemas pueden ser
el más importante; por lo tanto, es fundamental que la dirección ayude a determinar el orden en
que los sistemas serán recuperados.
4. Establecimiento de requisitos de recuperación
La clave de esta fase del proceso de elaboración del plan de migración es definir un periodo de
tiempo aceptable y viable para lograr que la red esté de nuevo activa. Tal y como se ha planteado en
la sección anterior, la preocupación básica debería ser disponer de las aplicaciones más
importantes en primer lugar. El personal directivo de la organización deseará saber cuándo estarán
sus aplicaciones funcionando para planificar las actividades de la compañía.
5. Elaboración de la documentación
Crear un documento que mucha gente pueda tener como referencia es quizás lo más difícil del plan
de contingencia. No hay que engañarse: implicará un esfuerzo significativo para algunas personas,
pero ayudará a aprender cosas sobre el sistema y puede que algún día salve la empresa.
Los recursos necesarios para escribir y mantener un plan de contingencia representan más de lo
que puede realizarse en ratos libres y después de horas de oficina. La dirección de la organización
debe apoyar la iniciativa para que sea un éxito. Uno de los problemas del plan de contingencia en
un entorno de comunicaciones es que la tecnología de redes cambia tan rápidamente que resulta
difícil permanecer al día. Esto incluye nuevos dispositivos, así como nuevos sistemas de aplicación
que introducen su propio nivel de complejidad en este campo.
58
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
5.1. Contenido del plan de contingencia
El plan de contingencia debe intentar definir las cinco áreas siguientes:
1. Listas de notificación, números de teléfono, mapas y direcciones
2. Prioridades, responsabilidades, relaciones y procedimientos
3. Información sobre adquisiciones y compras
4. Diagramas de las instalaciones
5. Sistemas, configuraciones y copias de seguridad en cinta
Hay que cerciorarse de que se sabe a quién notificar en primer lugar cuándo ocurre un desastre.
Por ejemplo, si hay un incendio, llamar primero a los bomberos y luego al director general. Pueden
existir otras personas o organizaciones identificadas con características o conocimientos especiales
que puedan ayudar a minimizar el daño. Si no se dispone de números de teléfono o direcciones
actualizados, se puede pasar muy mal contactando con las personas afectadas.
6. Verificación e implementación del plan
Una vez redactado el plan, hay que probarlo. Hay que estar seguro de que el plan va a funcionar.
Para ello, se debe ser escéptico sobre el propio trabajo, de manera que pueda uno probarse a sí
mismo que funciona. Psicológicamente, esto no es fácil porque con toda probabilidad se ha
invertido una gran cantidad de tiempo y energía personal en este proceso, aunque lo mejor sería, si
es posible, situarse de manera imparcial ante la confiabilidad del plan. Por consiguiente, han de
realizarse las pruebas para encontrar problemas, no para verificar que el plan funciona.
Si existen errores en la información, tómese nota de ellos y corríjase el plan.
7. Distribución y mantenimiento del plan
Por último, cuando se disponga de un plan definitivo ya verificado, es necesario distribuirlo a las
personas que necesitan tenerlo. Inténtese controlar las versiones del plan, de manera que no exista
confusión con múltiples versiones. Así mismo, es necesario asegurar la disponibilidad de copias
extra del plan para su depósito en la instalación exterior a en cualquier otro lugar además del lugar
de trabajo. Manténgase una lista de todas las personas y ubicaciones que tienen una copia del plan.
Cuando se actualice el plan, sustituya todas las copias y recoja las versiones previas.
El mantenimiento del plan es un proceso sencillo. Se comienza con una revisión del plan existente
y se examina en su totalidad, realizando cambios a cualquier información que pueda haber variado.
59
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
En ese instante, se debe volver a evaluar los sistemas de aplicación y determinar cuáles son los más
importantes para la organización. Las modificaciones a esta parte del plan causarán modificaciones
consecutivas a los procedimientos de recuperación. Sin embargo, esto no debería verse como un
problema porque probablemente la sección de procedimientos tenga que actualizarse de todas
formas debido a otros cambios. Si se han realizado modificaciones al sistema de copias de
seguridad, hay que cerciorarse de incluir la información sobre el funcionamiento del nuevo o
actualizado sistema.
2.2.2 Elabora un informe de una auditoría hipotética en un centro de cómputo
Objetivo particular: Revisa la eficiencia de la información y la eficaz gestión de los recursos
informáticos con base en metodológica de auditoría y empleo de herramientas, instrumentos.
I d e n t i f i c a c i ó n d e r e v i s i o n e s d e a u d i t o r í a .
La información es el activo mas importante para las empresas, lo cual se puede confirmar si
consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la
entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario.
Por este motivo la información adquiere una gran importancia para la empresa moderna debido a
su poder estratégico y a que se invierten grandes cantidades de dinero en tiempo de proporcionar
un buen sistema de información para tener una mayor productividad.
La importancia en que radica auditoria de sistemas en las
organizaciones son:
- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los
mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones,
tomas de decisiones o la imagen de la empresa.
- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes,
espionaje, delincuencia y terrorismo informático.
- La continuidad de las operación, administración y organización de la empresa no debe
60
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la
empresa.
- Existen grandes posibilidades de robo de secretos comerciales, información financiera,
administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.
- Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no
se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el
usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala
imagen de la organización.
- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o
desviaciones presupuestarias significativas.
- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y
confidencialidad.
- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de
contingencia para lograr este objetivo.
- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a
producir problemas de infiltración, borrado de información y un mal rendimiento.
- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil
administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza
para los clientes y una mala expectativa para la producción.
La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y
lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así
también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo
contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.
Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la
información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la
61
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
información.
El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan
copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad
de transmisión de virus.
En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:
- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su
probabilidad de ocurrencia.
- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.
- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como
consecuencia de ataques exitosos por parte de hackers.
Principios de auditoria administrativa
Es conveniente ahora tratar lo referente a los principios básicos en las auditorias administrativas,
los cuales vienen a ser parte de la estructura teórica de ésta, por tanto debemos recalcar tres
principios fundamentales que son los siguientes:
Sentido de la evaluación
La auditoria administrativa no intenta evaluar la capacidad técnica de ingenieros, contadores,
abogados u otros especialistas, en la ejecución de sus respectivos trabajos. Mas bien se ocupa de
llevara cabo un examen y evaluación de la calidad tanto individual como colectiva, de los gerentes,
es decir, personas responsables de la administración de funciones operacionales y ver si han
tomado modelos pertinentes que aseguren la implantación de controles administrativos adecuados,
que asegures: que la calidad del trabajo sea de acuerdo con normas establecidas, que los planes y
objetivos se cumplan y que los recursos se apliquen en forma económica.
62
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Importancia del proceso de verificación
Una responsabilidad de la auditoria administrativa es determinar que es lo que sé esta haciendo
realmente en los niveles directivos, administrativos y operativos; la practica nos indica que ello no
siempre está de acuerdo con lo que él responsable del área o el supervisor piensan que esta
ocurriendo. Los procedimientos de auditoria administrativa respaldan técnicamente la
comprobación en la observación directa, la verificación de información de terrenos, y el análisis y
confirmación de datos, los cuales son necesarios e imprescindibles.
Habilidad para pensar en términos administrativos
El auditor administrativo, deberá ubicarse en la posición de una administrador a quien se le
responsabilice de una función operacional y pensar como este lo hace (o debería hacerlo). En sí, se
trata de pensar en sentido administrativo, el cual es un atributo muy importante para el auditor
administrativo.
Importancia del proceso de verificación
Una responsabilidad de la auditoria administrativa es determinar que es lo que sé esta haciendo
realmente en los niveles directivos, administrativos y operativos; la practica nos indica que ello no
siempre está de acuerdo con lo que él responsable del área o el supervisor piensan que esta
ocurriendo. Los procedimientos de auditoria administrativa respaldan técnicamente la
comprobación en la observación directa, la verificación de información de terrenos, y el análisis y
confirmación de datos, los cuales son necesarios e imprescindibles.
Uso de herramientas para auditoría informática.
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen
obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez
de la información.
63
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el
análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son
aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
Observación
Realización de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadístico
Flujogramas
Listas de chequeo
Mapas conceptuales
Cuestionarios
Las auditorías informáticas se materializan recabando información y documentación de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor
consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo,
siempre amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios
preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
Entrevistas
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres
formas:
64
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto
de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y
busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste
recoge más información, y mejor matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
Checklist
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios
son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que
haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la
cumplimentación sistemática de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no
es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de información a fin de obtener respuestas coherentes que permitan una
correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy
estudiadas que han de formularse flexiblemente.
M e t o d o l o g í a d e T r a b a j o d e A u d i t o r í a I n f o r m á t i c a
El método de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditoría Informática.
Estudio inicial del entorno auditable.
Determinación de los recursos necesarios para realizar la auditoría.
Elaboración del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditoría.
65
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Confección y redacción del Informe Final.
Redacción de la Carta de Introducción o Carta de Presentación del Informe final.
Definición de Alcance y Objetivos
El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van
a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos
a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma
que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales
y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles
Generales de Gestión Informática.
Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informática.
Para su realización el auditor debe conocer lo siguiente:
Organización:
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es
fundamental. Para realizar esto en auditor deberá fijarse en:
66
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
1) Organigrama:
El organigrama expresa la estructura oficial de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto
tal circunstancia.
2) Departamentos:
Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El
equipo auditor describirá brevemente las funciones de cada uno de ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:
El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas
por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos
jefes.
Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario,
indican relaciones no estrictamente subordinables.
4) Flujos de Información:
Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera
que sea, produce corrientes de información horizontales y oblicuas extradepartamentales.
Los flujos de información entre los grupos de una organización son necesarios para su eficiente
gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de información,
sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se
producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los
representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales
o simple comodidad. Estos flujos de información son indeseables y producen graves
perturbaciones en la organización.
5) Número de Puestos de trabajo
67
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la
organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la
existencia de funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal
circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
6) Número de personas por Puesto de Trabajo
Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal
determina que el número de personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organización.
Entorno Operacional
El equipo de auditoria informática debe poseer una adecuada referencia del entorno en el que va
a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
a) Situación geográfica de los Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la
empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos,
así como el uso de los mismos estándares de trabajo.
b) Arquitectura y configuración de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de
ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La
configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las
compañías.
Los auditores, en su estudio inicial, deben tener en su poder la distribución e
interconexión de los equipos.
68
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
c) Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los elementos físicos y
lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control
local y remotas, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema, desde el
software básico hasta los programas de utilidad adquiridos o desarrollados internamente.
Suele ser habitual clasificarlos en facturables y no facturables.
d) Comunicación y Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y características
principales de las líneas, así como de los accesos a la red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de
los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo
siguiente:
a) Volumen, antigüedad y complejidad de las Aplicaciones
b) Metodología del Diseño
Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de
las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.
c) Documentación
La existencia de una adecuada documentación de las aplicaciones proporciona beneficios
tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los mismos.
d) Cantidad y complejidad de Bases de Datos y Ficheros.
69
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
El auditor recabará información de tamaño y características de las Bases de Datos,
clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas
por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de
actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la carga
informática.
Determinación de recursos de la auditoria Informática
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoria.
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el
cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y
cliente.
Los recursos materiales del auditor son de dos tipos:
a) Recursos materiales Software
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se
añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de
Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
b) Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los
procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impresoras
ocupadas, etc.
70
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Recursos Humanos:
La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal
seleccionado dependen de la materia auditable.
Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
Perfiles Profesionales de los auditores informáticos
Profesión Actividades y conocimientos deseables
Informático Generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos.
Experto analista. Conocedor de las metodologías de
Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico.
Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y
Administración de las mismas.
Con experiencia en el mantenimiento de Bases de
Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de explotación
Experto en Software de
Comunicación
Alta especialización dentro de la técnica de
sistemas. Conocimientos profundos de redes. Muy
experto en Subsistemas de teleproceso.
Experto en Explotación y Gestión
de CPD´S
Responsable de algún Centro de Cálculo. Amplia
experiencia en Automatización de trabajos. Experto
en relaciones humanas. Buenos conocimientos de
los sistemas.
71
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Técnico de Organización Experto organizador y coordinador. Especialista en
el análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática.
Gestión de costes.
Elaboración del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un
plan de trabajo. Decidido éste, se procede a la programación del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la
elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el
número de auditores necesarios, sino las especialidades necesarias del personal.
En el plan no se consideran calendarios, porque se manejan recursos genéricos y no
específicos.
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.
En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las
prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.
Actividades de la Auditoría Informática
Auditoría por temas generales o por áreas específicas:
La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y
mayores recursos.
72
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades
que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor
calidad.
Técnicas de Trabajo:
- Análisis de la información recabada del auditado.
- Análisis de la información propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulación.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estándares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditoría (Generadores de Programas).
- Matrices de riesgo.
Informe Final
La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración
final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir
fallos de apreciación en el auditor.
73
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo.
Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con
indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
Enumeración de temas considerados:
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los
temas objeto de la auditoría.
Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no
solamente una situación sino además su evolución en el tiempo, se expondrá la situación
prevista y la situación real
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.
c) Puntos débiles y amenazas.
d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el
verdadero objetivo de la auditoría informática.
e) Redacción posterior de la Carta de Introducción o Presentación.
Modelo conceptual de la exposición del informe final:
- El informe debe incluir solamente hechos importantes.
La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
74
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
El término de “hechos consolidados” adquiere un especial significado de verificación objetiva y de
estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al
menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situación.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y
estándares existentes en la instalación.
La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una
debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 – Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y además convincente.
- No deben existir hechos repetidos.
2 – Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.
3 – Repercusión del hecho
- Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos
informáticos u otros ámbitos de la empresa.
75
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
4 – Conclusión del hecho
- No deben redactarse conclusiones más que en los casos en que la exposición haya sido
muy extensa o compleja.
5 – Recomendación del auditor informático
- Deberá entenderse por sí sola, por simple lectura.
- Deberá estar suficientemente soportada en el propio texto.
- Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
- La recomendación se redactará de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
Carta de introducción o presentación del informe final:
La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría
realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta
que encargo o contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no
hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
- Tendrá como máximo 4 folios.
- Incluirá fecha, naturaleza, objetivos y alcance.
- Cuantificará la importancia de las áreas analizadas.
- Proporcionará una conclusión general, concretando las áreas de gran debilidad.
- Presentará las debilidades en orden de importancia y gravedad.
- En la carta de Introducción no se escribirán nunca recomendaciones.
76
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
CONCLUSIÓN
El auditor es el proceso de acumular y evaluar evidencia, realizando por una persona independiente y competente acerca de la información cuantificable de una entidad económica especifica, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidas. Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria. El factor tiempo obliga a cambiar muchas cosas, la industria, el comercio, los servicios públicos, entre otros. Al crecer las empresas, la administración se hace mas complicada, adoptando mayor importancia la comprobación y el control interno, debido a una mayor delegación de autoridades y responsabilidad de los funcionarios. Debido a todos los problemas administrativos sé han presentado con el avance del tiempo nuevas dimensiones en el pensamiento administrativo. Una de estas dimensiones es la auditoria administrativa la cual es un examen detallado de la administración de un organismo social, realizado por un profesional (auditor), es decir, es una nueva herramienta de control y evaluación considerada como un servicio profesional para examinar integralmente un organismo social con el propósito de descubrir oportunidades para mejorar su administración. Tomando en consideración todas las investigaciones realizadas, podemos concluir que la auditoria es dinámica, la cual debe aplicarse formalmente toda empresa, independientemente de su magnitud y objetivos; aun en empresas pequeñas, en donde se llega a considerar inoperante, su aplicación debe ser secuencial constatada para lograr eficiencia.
77
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Glosario de términos técnicos de auditoria en
seguridad
El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una organización o empresa.
Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o
relacionados con un sistema de información (activos) para determinar la vulnerabilidad del
sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad
insuficiente puede afectar a la organización.
Acorde al punto 5.4 de Magerit (España) es importante crear escenarios de ataque, imaginar
amenazas a los activos, pensar cómo un atacante se enfrentaría a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es
importante plantear diferentes situaciones dependiendo del perfil técnico del atacante o de sus
recursos técnicos y humanos. Estos escenarios de ataque o dramatizaciones son importantes para
evaluar impactos y riesgos.
Consideraciones
Jamás olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad lógica y
en la seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia
de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse
medidas para evitar eventos de seguridad.
Anticiparse a los hechos
Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas, procedimientos,
78
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus
procedimientos internos para alejar la posibilidad de riesgo.
Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener
una fuga de información o problema interno de seguridad con su personal a que un hacker intente
vulnerar sus sistemas, el fraude interno está a la orden del día.
Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de
sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología
laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas
participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider”)
El siguiente glosario es un compendio de términos técnicos de auditoria en seguridad que le
permitirá comprender diversos informes y graficar situaciones eventuales en que su empresa
podría verse comprometida.
Ataque:
Cualquier acción deliberada con el objetivo de violar los mecanismos de seguridad de un sistema de
información.
Auditoria de Seguridad:
Estudio y examen independiente de registros históricos y actividades de un sistema de información
con el objetivo de comprobar la solidez de los controles del sistema, alinear los controles con la
estructura de seguridad y procedimientos operativos establecidos a fin de detectar brechas en la
seguridad y recomendar modificaciones en los procedimientos, controles y estructuras de
seguridad.
Autenticidad:
Aseguramiento de la identidad u origen.
Certificación:Confirmación del resultado de una evaluación y de que los criterios de la evaluación
utilizados fueron correctamente aplicados.
79
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Confidencialidad:
Aseguramiento de que la información es accesible sólo por aquellos autorizados a tener acceso.
Degradación:
Pérdida de valor de un activo como consecuencia de la materialización de una amenaza
Disponibilidad:
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información
y a sus activos asociados.
Estado de riesgo:
Caracterización de activos por riesgo residual. “Lo que puede pasar tomando en consideración que
las salvaguardas han sido desplegadas”.
Evento de seguridad:
Momento en que la amenaza existe y pone en riesgo activos, procedimientos o información.
Evaluación de Medidas de Seguridad:
Evaluación de las medidas de seguridad existentes con relación al riesgo que enfrentan.
Frecuencia:
Tasa de ocurrencia de una amenaza
Gestión de riesgos:
Selección de implementación de medidas de seguridad para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados. La gestión de riesgos se basa en resultados obtenidos en el
análisis de riesgos.
Impacto:
Consecuencia que sobre un activo tiene la materialización de una amenaza.
80
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Impacto residual:
Impacto remanente en el sistema tras la implantación de las medidas de seguridad determinadas
en el plan de seguridad de la información.
Insider:
Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica,
problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma
deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y
procedimientos establecidos, robando o hurtando activos (físicos o información) con objetivos
económicos o simplemente de daño deliberado.
Integridad:
Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.
Mapa de riesgos:
Relación de las amenazas a que están expuestos los activos.
Plan de seguridad:
Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de
riesgos.
Programa de seguridad:
Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupación se debe a que en
singular las tareas carecerían de eficacia ya que todas tienen un objetivo común y porque competen
a una única unidad de acción.
Proyecto de seguridad:
Programa de seguridad cuya envergadura es tal que requiere una planificación específica.
Riesgo:
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños y / o perjuicios a la Organización.
81
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Riesgo acumulado:
Toma en consideración el valor propio de un activo y el valor de los activos que dependen de él.
Este valor se combina con la degradación causada por una amenaza y la frecuencia estimada de la
misma.
Riesgo repercutido:
Se calcula tomando el valor propio de un activo y combinándolo con la degradación causa por una
amenaza y la frecuencia estimada de la misma.
Medida de seguridad:
Procedimiento o mecanismo tecnológico que reduce el riesgo.
Seguridad:
Capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de
confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Sistema de información:
Computadoras y redes de comunicaciones electrónicas, datos electrónicos almacenados,
procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y
mantenimiento.
Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten
el almacenamiento, transmisión y proceso de la información.
Trazabilidad:
Aseguramiento de que en todo momento se podrá determinar quien hizo qué y en qué momento.
82
L.I. Tere Suárez Reyes ADMON. Y AUDITORIA DE CENTROS DE DATOS
Valor de un activo:
Estimación del costo inducido por la materialización de una amenaza.
Valor acumulado:
Considera tanto el valor propio de un activo como el valor de los activos que dependen de él.
Vulnerabilidad:
Cálculo o estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos
medidas: frecuencia de ocurrencia y degradación causada.
Bibliografía
Libros y Manuales:
Planeación y Organización de Empresas / Guillermo Gómez Ceja / McGrawHill. Administración de la función informática / Ricardo Hernández Jiménez / Trillas. Administración de centros de cómputo / Ricardo Hernández Jiménez / Trillas. Manual de Organización de la Dirección General Adjunta de Sistemas y Procedimientos de
Grupo Financiero Bancrecer.
Internet:
http://www.grupoatn.com/ http://www.utp.ac.pa/centroin/ccomputo.html http://dgep.posgrado.unam.mx/~depfe/compinfo.htm http://www.uam.mx/infraestructura/documentos/ http://www.arearh.com/rrhh/descripciondepuestos.htm http://www.microsoft.com/spain/permission/copyrgt/whatis.htm http://www.monografias.com/trabajos/evoadmin/evoadmin.shtml http://www.monografias.com/trabajos7/ceproc/ceproc.shtml
