Todo sobre sistemas y auditoría informática

ANTIVIRUS NOD32 VERSION 4

2012-01-18T07:52:00.000-08:00

LES DEJO ALGUNOS KEY

Username:EAV-11032208

Password:wfr6bkc6vn

Username:EAV-11032229
Password:art5v8ussj

Username:EAV-11026187
Password:pxskajmhnt

Username:EAV-11257109
Password:f6vr48n834

Username:EAV-11257094
Password:7k8v5tsfnr

Username: TRIAL-12601210
Password: 2mx6d8rck4

Username:EAV-12687242
Password:5had4kau4v

Username:EAV-12684036
Password:uxrm8hvjxf

Username:EAV-12683972
Password:e2akjsekmd

Username:EAV-12687242
Password:5had4kau4v

Username:EAV-12684036
Password:uxrm8hvjxf

Username:EAV-12683972
Password:e2akjsekmd

Username:EAV-11257109
Password:f6vr48n834

Username:EAV-11257094
Password:7k8v5tsfnr

Username: TRIAL-12601210
Password: 2mx6d8rck4

UserName: TRIAL-12601210
PassWord: 2mx6d8rck4

UserName: EAV-11257109
PassWord: f6vr48n834

UserName: EAV-11257094
PassWord: 7k8v5tsfnr

UserName: EAV-12683972
PassWord: e2akjsekmd

UserName: EAV-12684036
PassWord: uxrm8hvjxf

UserName: EAV-12687242
PassWord: 5had4kau4v

HISTORIA DE GOOGLE PARTE 2

2011-10-26T08:02:00.000-07:00

HISTORIA DE GOOGLE PARTE 1

2011-10-18T09:29:00.000-07:00

AUMENTAR WIFI CON UN SERNIDOR

2011-10-06T09:04:00.000-07:00

INFORME DE AUDITORÍA

2011-03-30T14:12:00.000-07:00

EL INFORME DE AUDITORÍA

• Las Normas.

• La Evidencia.

• Las Irregularidades.

• La Documentación.

• El Informe

El Informe de Auditoría (Introducción)

• El Informe de Auditoría suministra a la administración de la empresa, información sustancial sobre su proceso administrativo, como una forma de contribuir al cumplimiento de sus metas y objetivos programados.

• El Informe de Auditoría Informática, es el objetivo de la Auditoría Informática.

• Podemos afirmar que nunca antes hemos sido tan dependientes de los SI. y nunca antes hemos necesitado tanto a expertos eficientes en Auditoría Informática.

• La Informática es muy joven; por tanto, la Auditoría Informática lo es más. No está todo sin hacer; pero sí quedan muchos cabos por atar y en ésto el tiempo no es neutral.

El Informe de Auditoría (Las Normas)

• ISACF – Information Systems And Control Foundation.

• LORTAD - Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

• ISO - International Standard Organization.

• Comité Europeo de Normalización.

• Asociación Española de Normalización y Certificación.

• ITSEC - Information Technologic Security Evaluation Criteria.

• ITSEM - Information Technologic Security Evaluation Method.

• TCSEC – Trusted Computer System Evaluation Criteria.

• ISO 17799.

El Informe de Auditoría (La Evidencia)

• La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.

• La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.

• La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.

• La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.

El Informe de Auditoría (Las Irregularidades)

• Recordemos que en los organismos y las empresas, la Dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección.

• Por prudencia y rectitud, convendrá aclarar al máximo de ser posible si el Informe de Auditoría es propiamente de auditoría y no de consultoría o asesoría informática, o de otra materia afín o próxima.

• Aunque siempre debe prevalecer el secreto profesional del auditor, conviene recordar que en el caso de detectar fraude durante el proceso de auditoría procede actuar delicadamente, sobre todo si afecta a los administradores de la organización objeto de auditoría. Ante un caso así, conviene consultar a la Comisión Deontológica Profesional, al asesor jurídico, y leer detenidamente las normas profesionales, el Código Penal y otras disposiciones.

El Informe de Auditoría (La Documentación)

• En el argot de auditoría se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión.

• Un Informe profesional tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.

• Se considera además en know how del auditor.

• Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.

El Informe de Auditoría (El Informe)

• Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:

– Identificación del Informe.
– Identificación del Cliente.
– Identificación de la entidad auditada.
– Objetivos de la Auditoría informática.
– Normativa aplicada y excepciones.
– Alcance de la Auditoría.
– Conclusiones: Informe corto de opinión.
– Resultados: Informe largo y otros informes.
– Informes previos.
– Fecha del Informe.
– Identificación y Firma del Auditor.
– Distribución del Informe.

El Marco Jurídico de la Auditoría Informática (Protección de Datos Personales)

• La mayoría de peruanos se ha encontrado muchas veces con llamadas telefónicas o correspondencia de instituciones privadas ofreciéndoles tarjetas de crédito, préstamos, afiliaciones y productos, entre otros. Queda en el misterio cuál fue la fuente de información de los números de teléfono, domicilio, ocupación, la edad o el estado civil de quienes eran contactados.

• Ante esta situación, el Ministerio de Justicia constituyó (mediante Resolución Ministerial N° 094-2002-JUS) la Comisión Especial para proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan.

• La Comisión a cargo presentó el 15/12/2003 el Proyecto de Ley No. 09371 donde en su artículos 61, 63, 69 se trata de la protección de datos personales de los ciudadanos y sus restricciones.

El Marco Jurídico de la Auditoría Informática (Protección Jurídica de los Programas de Computador)

• En el Perú, sólo el INDECOPI y el Poder Judicial son las únicas autoridades que pueden sancionar por reproducción o uso indebido de software.

• Para el INDECOPI, el software se protege como una obra literaria, fruto del ingenio humano. La tutela comprende al código fuente, código objeto, la documentación técnica y los manuales de uso, así como a las versiones sucesivas y programas derivados.

• Sin embargo, actualmente en nuestro país no existen leyes jurídicas que respalden drásticamente la protección de los datos de las empresas.

• Ante ésto, la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha elaborado la Norma Técnica Peruana en conjunto con el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), utilizando como antecedente a la Norma ISO/IEC 17799.

El Marco Jurídico de la Auditoría Informática (La Base de Datos)

• El INDECOPI establece que las bases de datos se protegen siempre y cuando sean originales en razón de la selección, coordinación o disposición de su contenido. Por ejemplo, las páginas blancas de las guías telefónicas no pueden ser protegidas ya que la información de los nombres y apellidos de las personas con sus números de teléfono ha sido puesta de manera alfabética, careciendo de la originalidad y creatividad que se requiere para la protección.

• Para poder incluir obras o parte de ellas en una base de datos se debe pedir permiso al titular del derecho de autor.

• En definitiva lo que se debe proteger en una base de datos no es simplemente el almacenamiento de obras, su ordenación y recuperación, sino que es todo el procedimiento de creación y el resultado final de la misma, en cuanto a su contenido, análisis, almacenamiento, clasificación, selección. y ordenación que caracteriza a la base de datos en sí.

SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN

2011-02-01T07:53:00.000-08:00

SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN

ANILLOS DE SEGURIDAD

Son los espacios físicos segmentados dentro de las instalaciones del establecimiento, dependencia o institución, a efecto de realizar un análisis cualitativo de la estructura física detectando zonas y puntos sensibles, vitales y vulnerables en las mismas.

SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN

Implementación de la seguridad física, lógica y condiciones de usuarios en un centro de tecnología de Información.

Condiciones iniciales.

Se realizan en base a la implementación de un sistema multiusuario con tecnología de base de datos relacionales que soporten transacciones en línea, servidores remotos, así como robustez

Sólida en las bases de datos

Seguridad Física.

Para considerar la seguridad física se pueden implementar diversos mecanismos tales como:

A nivel preventivo.

Acceso controlado al equipo en base a diversas políticas tales como:

Uso del equipo por personal autorizado (regla).

Solo podrá tener acceso al equipo aquel personal que cuente con conocimientos mínimos sobre computación (política).

El personal que carezca de todo conocimiento podrá solicitar la ayuda del centro de información o de los analistas de sistemas para hacer uso del equipo del sistema.

A nivel correctivo.

El aseguramiento del equipo en alguna agencia de seguros para que en caso de posible siniestro no exista una pérdida total por parte de los elementos físicos que controlan y dan soporte al sistema.

Seguridad Lógica

La seguridad lógica al referirse a controles lógicos dentro del software se implementa mediante la construcción de contraseñas en diversos niveles del sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar además a nivel código, algoritmos que generen claves para poder encriptar los archivos de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de red.

Conducta del Usuario

Para asegurar el éxito del sistema es necesario establecer campañas constantes sobre la funcionalidad y logros que se alcanzaran con el sistema los cuales creen una conciencia en el usuario y logren forman en él un interés en el uso del sistema. Mediante boletines, videos, conferencias que no entran en el adiestramiento sino que sirven para reforzar el uso y " amor " hacia el sistema por parte de los usuarios.

También es importante el análisis del uso y trayecto del sistema por parte de los usuarios para poder detectar fugas de información y posibles problemas con los datos accesados del sistema.

Otros Aspectos:

LAS REDES PRIVADAS VIRTUALES (VPN).

Las redes privadas virtuales (VPN) deben su creciente popularidad al hecho que las grandes y pequeñas empresas han buscado la forma de utilizar el Internet público para aumentar la movilidad, mejorar la productividad de los empleados y contribuir al desarrollo. Y las VPN han demostrado que lo han logrado de muchas maneras cuando le permiten a los trabajadores remotos que trabajan en la calle, en el hogar o en otras oficinas tener acceso a la red privada, LAN de la compañía desde cualquier parte del mundo utilizando su computadora portátil o computadora del hogar y el Internet público.

Costos de la tecnología.

Aunque una solución VPN es menos costosa que las redes WAN y otras soluciones de acceso remoto, se debe invertir una suma significativa para implementar una VPN patentada.

Problema de la seguridad:

El aspecto importante en las VPN o cualquier tecnología que comprometa la naturaleza típicamente restrictiva de una red privada es la seguridad. Los primeros detractores de las VPN fueron ágiles en demostrar la vulnerabilidad de la tecnología y muchos críticos señalaron a los protocolos mismos, particularmente el PPTP como el responsable del problema de la seguridad.

Seguridad de Activos de Información de las Empresas:

Las grandes pérdidas económicas sufridas por las empresas debido a los incidentes de seguridad de la información durante los últimos años a nivel mundial, ha traído consigo, una mayor concientización de la importancia de la Seguridad de Activos de Información, y en general, para la administración integral del riesgo.

Un análisis significativo constituye un importante esfuerzo en la obtención de estadísticas que intentan medir las tendencias locales en materia de Seguridad de Activos de Información respecto a las tendencias mundiales, y trata además, de identificar las prácticas de seguridad que hoy en día se están aplicando de manera consistente y masiva en las empresas.

ESCANEOS DE PUERTOS:

Una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda un escaneo de puertos, un portscan; esto le permitirá obtener en primer lugar información básica acerca de qué servicios estamos ofreciendo en nuestras máquinas y, adicionalmente, otros detalles de nuestro entorno como qué sistema operativo tenemos instalados en cada host o ciertas características de la arquitectura de nuestra red. Analizando qué puertos están abiertos en un sistema, el atacante puede buscar agujeros en cada uno de los servicios ofrecidos: cada puerto abierto en una máquina es una potencial puerta de entrada a la misma.

SPOOFING

Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes, el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.

NEGACIONES DE SERVICIO:

Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos contra un recurso informático (generalmente una máquina o una red, pero también podría tratarse de una simple impresora o una terminal) con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso a sus usuarios legítimos; constituyen en muchos casos uno de los ataques más sencillos y contundentes contra todo tipo de servicios, y en entornos donde la disponibilidad es valorada por encima de otros parámetros de la seguridad global puede convertirse en un serio problema, ya que un pirata puede interrumpir constantemente un servicio sin necesidad de grandes conocimientos o recursos, utilizando simplemente sencillos programas y un módem y un PC caseros.

INTERCEPTACIÓN.

Ya comentamos algunos aspectos relacionados con la interceptación de datos en tránsito o en proceso por parte de usuarios no autorizados; allí hablamos de los ataques y defensas desde un punto de vista casi exclusivamente físico, por lo que vamos a entrar ahora en algunos puntos más relacionados con la interceptación lógica. Y sin duda, la interceptación lógica de datos más conocida y extendida es el sniffing: en esa misma sección ya introdujimos este término y hablamos de dispositivos hardware como los sniffers de alta impedancia; sin embargo, en entornos de trabajo de seguridad media es mucho más común que el sniffing se produzca utilizando programas (sniffers) y no elementos hardware.

ATAQUES A APLICACIONES

CORREO ELECTRÓNICO.

Desde hace muchos años los sistemas de correo electrónico de una organización han sido para los piratas una fuente inagotable de puntos de entrada a la misma; lo más probable es que si le preguntamos a cualquier administrador de máquinas Unix con algo de experiencia cuál ha sido el software que más problemas de seguridad le ha causado nos responda sin dudarlo: sendmail, por supuesto. Y ya no sólo sendmail y el protocolo SMTP, sino que también, con la popularización de POP3, los servidores de este protocolo son un peligro potencial a tener en cuenta en cualquier entorno informático donde se utilice el correo electrónico: es decir, en todos.

ATAQUES VÍA WEB:

Durante los últimos años los servidores web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie, desde las más pequeñas a las grandes multinacionales, tiene una página web en las que al menos trata de vender su imagen corporativa. Si hace unos años un pirata que quisiera atacar a una empresa (y no a todas, ya que muy pocas tenían representación en la red) tenía que agenciarselas para obtener primero información de la misma y después buscar errores de configuración más o menos comunes de sus sistemas (o esperar al próximo bug de sendmail), hoy en día le basta con teclear el nombre de su objetivo en un navegador y añadir la coletilla `.com' detrás del mismo para contactar con al menos una de sus máquinas: su servidor web.

PRINCIPALES CONCLUSIONES

1. Evaluaciones recurrentes de Seguridad de Activos de Información: El panorama general del mercado peruano ante el reto de la Seguridad de Activos de Información, indica que entre las actividades consideradas por la mayoría de las grandes y medianas empresas, se incluye la realización de evaluaciones de seguridad, al menos una vez al año.

2. Presupuesto asignado a la Función de Seguridad de Activos de Información: En cuanto al presupuesto asignado a la Función de Seguridad de Activos de Información, es resaltante hacer mención cómo este aspecto ha presentado un mayor nivel de importancia en las empresas.

Ataques:

Robert Thomas Morris

El 3 de noviembre de 1988, equipos como VAX y SUN q p conectados a Internet se vieron afectados en su rendimiento y posteriormente se paralizaron. Se vieron afectados Bancos, Universidades e instituciones de gobierno, la causa fue un GUSANO, desarrollado por Morris recién graduado en Computer Science en la Universidad de Cornell.

Se estimó que en 90 minutos, el gusano logró infectar 6 000 equipos alrededor del mundo originando perdidas 6.000 entre 100.000 a 10.000.000.

Phreacker

Personas que intentan usar la tecnología para explorar y/o controlar los sistemas telefónicos.

Originalmente, este término se refería a los usuarios de las conocidas "blue boxes" (dispositivos electrónicos que permitían realizar llamadas gratuitamente).

Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los hackers.

Phreacker

Kevin Poulse paso a la fama al ganarse un Porsche, claro, de manera ilícita.

La estación de Radio KII-FM en los Angeles, celebró un aniversario organizando un concurso, el cual consistía en que la llamada número 102 que entrara a la Radio, sería la ganadora del Porsche 944 S2, Kevin había phackeado la central telefónica de “Pacific Bell” de tal forma que aseguro que su llamada fuese la 102.

Cracker

Kevin David Mitnick, es quizás el más famoso hackers de los últimos tiempos. Descubrió y reveló información de alta seguridad perteneciente al FBI, incluyendo cintas del Israel Ángeles consulado de Israel, en Los Ángeles.

Fue capturado en 1995 y liberado en el 2000, después de permanecer casi 5 años en un prisión federal

Le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas víctimas Motorola Novell mismas. (Unas de sus Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California).

Cracker

• Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015.

Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad

AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

2010-10-28T08:48:00.000-07:00

AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

Todos los desarrollos deben estar autorizados a distintos nivel según la importancia del proyecto a desarrollar, incluso autorizados por una comisión si los costos o riesgos superan ciertos umbrales.

Si la auditoria es externa se revisará la participación de los usuarios y de los auditores internos

     La metodología seguida

     Ciclos de vida

     Gestión de los proyectos, aplicaciones que traen términos

     De los contratos y cumplimiento

     Selección y uso de paquetes

     Realización de pruebas a varios niveles y mantenimiento posterior

El pase al entorno de la explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes, o por auditores preparados a fin de determinar los errores y la calidad de las aplicaciones

Auditoria De La Seguridad En El Área De Producción

Las organizaciones cuidan especialmente las medidas de protección en el caso de contratación de servicios: desde el posible marcado de datos, proceso, impresión de etiquetas, distribución, acciones comerciales, gestión de cobros, hasta el outsourcing mas completo.

AUDITORIA DE LA SEGURIDAD DE DATOS

I. INTRODUCCIÓN

Se propone una serie de aspectos para evaluar y mantener una adecuada seguridad de los datos que se requieran en una determinada organización, a fin de diferir en su funcionamiento y detectar las deficiencias, así como proponer los aspectos principales en los que se tiene que mejorar a fin de incrementar su eficiencia o mejorar su funcionalidad y su productividad.

Además de la seguridad física también implica una protección a los datos de nuestro sistema, tanto a la que esta almacenada y en él, cómo es que se transmite entre diferentes equipos.

Hay ciertos aspectos a tener en cuenta en la seguridad de los datos de nuestra organización; existen ataques cuyo objetivo no es destruir el medio físico de nuestro sistema, sino simplemente conseguir la información almacenada en dicho medio.

II. AUDITORIA A SISTEMAS DE BASES DE DATOS.

Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse en ellos para verificar el ambiente de control establecido en la instalación.

Características en la seguridad en los sistemas de bases de datos:

• Claves primarias.

• Dominio de los atributos

• Reglas de integridad

• Reglas de integridad del negocio

• Vistas

• Perfiles de usuario y acceso a objetos de la base de datos

• Auditoría

• Criptografía de datos

• Disparadores o triggers

III. METODOLOGIA DE SEGURIDAD DE DATOS.

1. Análisis y Diagnóstico Previos.-

       A.- Conocimiento del negocio y del Sistema

       B.- Aspectos del SGBD en la empresa.

       C.- Alcance de Auditoria.

2. Definir grupos de riesgos:

       1. Objetos de la base de datos y reportes.

       2. Programas de aplicación y utilitarios.

       3. Auditoría y Seguimiento

       4. Planes de Respaldo y Contingencia.

       5. Seguridad en la Red.

       6. Acceso a través de Internet.

       7. Seguridad Instalaciones y acceso físico.

       8. Diseño de la Base de Datos.

       9. Eficiencia y economía de recursos.

       10. Almacenamiento.

II. AUDITORIA A SISTEMAS DE BASES DE DATOS.

Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse

Características en la seguridad en los sistemas de bases de datos:

• Claves primarias.

• Dominio de los atributos

• Reglas de integridad

• Reglas de integridad del negocio

• Vistas

• Perfiles de usuario y acceso a objetos de la base de datos

• Auditoría

• Criptografía de datos

• Disparadores o triggers

III. METODOLOGIA DE SEGURIDAD DE DATOS.

1 . Análisis y Diagnóstico Previos.-

a. Conocimiento del negocio y del Sistema

b. Aspectos del SGBD en la empresa.

c. Alcance de Auditoria.

2. Definir grupos de riesgos:

1. Objetos de la base de datos y reportes.

2. Programas de aplicación y utilitarios.

3. Auditoría y Seguimiento

4. Planes de Respaldo y Contingencia.

5. Seguridad en la Red.

6. Acceso a través de Internet.

7. Seguridad Instalaciones y acceso físico.

8. Diseño de la Base de Datos.

9. Eficiencia y economía de recursos.

10. Almacenamiento.

3. Evaluación del estado de control existente (checklist)

Objetivos de la evaluación para cada grupo de riesgos

Preguntar para cada objetivo gravedad, probabilidad, impacto, referencias observaciones.

a. Problemas por seguridad en instalaciones y acceso físico.

b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.

c. Causado por la relación Sistema Operativo - DBMS.

d. Riesgos asociados a las aplicaciones y utilitarios.

e. Problemas relacionados con el Diseño de la Base de Datos.

f. Asuntos concernientes al Diccionario de datos y documentación

g. Problemas con el Respaldo y planes de contingencia

h. Riesgos por personal y organización.

i. Auditabilidad.

IV. ANÁLISIS DE RIESGOS.

1. Control del ambiente de login en Sistema Operativo

2. Asegúrese que cada usuario se autentica con la base de datos.

3. Si los usuarios se conectan a las bases de datos a través de interfaces de administración o desarrollo

4. Realice una detallada revisión de los login, procesos de autenticación, perfiles de usuario y roles y privilegios.

5. Si un programa es una aplicación Web a través de http:

a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.

b. Determine que son adecuados los controles de accesos al servidor web.

c. Que se realizan procesos de auditoría sobre los usuarios del sistema operativo y de la base de datos.

V. SEGURIDAD EN EL SISTEMA OPERATIVO

1. Usuario de base de datos y sistema operativo.

a. verifique que todos los usuarios creados en el sistema operativo representan un usuario valido.

b. Asegúrese que las conexiones remotas están controladas.

2. Seguridad de los archivos de bases de datos en el sistema operativo.

3. Auditoria a la seguridad de la base de datos para propietarios y grupos.

VI. PROCESOS DE CONEXIÓN Y AUTENTICACIÓN:

1. Sobre las tablas de usuarios:

a. Determine que todos los usuarios representan un usuario valido y autenticado.

b. Prueba que el passwords por defecto en las cuentas de administración del sistema han sido cambiadas.

c. Verifique que están definidos los procedimientos para cambios de claves periódicamente y que los passwords son seguros.

d. En caso de conexiones con parámetros string, verifique que a través de comandos como ps, no es posible ver la clave del usuario.

e. Si la conexión a la base de datos se hace a través de programas o utilidades, asegúrese que están protegidos por permisos de archivos y directorios.

2. En una impresión de la bitácora de sesiones de usuarios:

VII. CONTROL DE ACCESO A LA BASE DE DATOS.

1. Obtenga listado de todos los archivos de privilegios y roles de usuarios.

2. Obtenga listado de los archivos de logs:

VIII. DISPONIBILIDAD, RESPALDO Y RECUPERACIÓN.

1. Usando comandos

2. Obtenga un listado de los procedimientos de backup de la base de datos, cronogramas de backup y programas utilitarios de backup.

3. Evaluar los medios de almacenamiento, los procedimientos usados, la revisión de las copias, la correcta etiquetada (interna y externa), la seguridad del sitio de almacenamiento y la correcta rotación de las copias.

4. Obtenga y revise la documentación de los procesos de pruebas de recuperación.

IX. BASES DE DATOS EN RED:

1. Partiendo de un diagrama de red donde se especifique los servidores de bases de datos y sus conexiones físicas y lógicas al resto de la red:

a. Determine si los altos usos SQL entre componentes en la red (Servidor y aplicaciones) están soportados por canales de alta velocidad y alto ancho de banda.

b. Asegúrese que los enlaces redundantes son usados para soportar los sistemas de requerimientos de disponibilidad.

c. Usando comandos o aplicaciones tipo netstat (protocolo, dirección remota y local y estado) revise el ruteo y direccionamiento IP usado para los servidores de bases de datos.

d. Asegúrese que los dispositivos de control de acceso garantizan solo conexiones autorizadas.

AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES – REDES Y

AUDITORIA DE LA SEGURIDAD DE LA CONTINUIDAD DE LAS OPERACIONES

Auditoria Informática de Comunicaciones y Redes:

Los auditores de sistemas deben, en las empresas actuales, obligatoriamente enfrentar su labor profesional en Redes de Computadores, por donde se transporta información sensitiva y vital para las organizaciones. etc.

• Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.

• El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte.

• Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).

• El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso.

• Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática.

PUNTOS CRITICOS

1. Diseño e implementación de la red

a. Análisis de necesidades

d. diseño y selección de la arquitectura.

Revisar el procedimiento seguido en la selección, adquisición e instalación de la red LAN ela

Evaluar los estándares soportados en la arquitectura seleccionada

2. Documentación de la Red

a. Revisar los manuales de diseño.

b. Verificar que exista un plano de las instalaciones correctamente documentados los centros de cableado, los servidores, el cableado y los puntos de red.

DEAJA TU COMENTARIO..........................

TIPOS Y PLANEACIÓN DE AUDITORÍA

2010-06-28T10:30:00.000-07:00

TIPOS Y PLANEACIÓN DE AUDITORÍA

Planeación

• La función de auditoría en informática debe generar un plan de proyectos que justifique su trabajo durante cierto tiempo, con parámetros lo más tangibles y mensurables posibles.

• Cada proyecto de AI respalda los objetivos y requerimientos de tres entidades del negocio en alto o bajo grado: Alta Dirección, Auditoria e Informática.

• Es muy importante la comunicación entre la función de auditoría en informática y la alta dirección, así como las direcciones o gerencias de auditoría o informática.

• Para elaborar un plan maestro de auditoría que asegure un apoyo permanente y eficiente, se debe tener en cuenta:

Crear un comité de control y seguimiento

Analizar los proyectos de negocio en forma conjunta.

Establecer fechas de reuniones formales e informales

Planeación de la Auditoria:

La primera norma Relativa a la Ejecución del Trabajo es: "El trabajo debe ser técnicamente planeado y debe ejercerse una supervisión apropiada sobre los asistentes, si los hubiere".

La planificación de la auditoría comprende el desarrollo de una estrategia global con base en el objetivo, alcance del trabajo y la forma en que se espera que responda la organización de la entidad que se proponga examinar.

El alcance con que se lleve a cabo la planificación varía según el tamaño y la complejidad de la entidad, de la experiencia que el auditor tenga de la misma, del conocimiento del tipo de actividad en que el ente se desenvuelve, de la calidad de la organización y del control interno de la entidad

Al planear su trabajo, debe considerar, entre otros asuntos los siguientes:

Planes y Objetivos.

Examinar y discutir con la dirección el estado actual de los planes y objetivos.

Organización.

a) Estudiar la estructura de la organización en el área que se valora.

b) Comparar la estructura presente con la que aparece en la gráfica de organización de la empresa, (si es que la hay).

c) Asegurarse de si se concede o no una plena estimación a los principios de una buena organización, funcionamiento y departamentalización.

Hacer un estudio para ver qué acción (en el caso de requerirse) debe ser emprendida para mejorar la eficacia de políticas y prácticas.

Reglamentos.

Determinar si la compañía se preocupa de cumplir con los reglamentos locales, estatales y federales.

Sistemas y Procedimientos.

Estudiar los sistemas y procedimientos para ver si presentan deficiencias o irregularidades en sus elementos sujetos a examen e idear métodos para lograr mejorías.

Controles.

Determinar si los métodos de control son adecuados y eficaces.

Operaciones.

Evaluar las operaciones con objeto de precisar qué aspectos necesitan de un mejor control, comunicación, coordinación, a efecto de lograr mejores resultados.

Personal.

Estudiar las necesidades generales de personal y su aplicación al trabajo en el área sujeta a evaluación.

Equipo Físico y su Disposición.

Determinar si podrían llevarse a cabo mejorías en la disposición del equipo para una mejor o más amplia utilidad del mismo.

Informe.

Preparar un informe de las deficiencias encontradas y consignar en él los remedios convenientes.

Proceso de la Planeación de la Auditoria

• Definir un conjunto proyectos de evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas, financieras, operativas, etc. del negocio, con objeto de asegurar el buen manejo y administración de los recursos de la organización.

• En el negocio, los diferentes planes emanados del plan de auditoria son implantados y llevados a cabo en diferentes periodos, de acuerdo con los requerimientos y características del negocio.

• Los negocios deben tener un conjunto de políticas emanadas por la alta dirección que manifiesten la necesidad de contar con una función externa o interna del negocio que asegure la congruencia de todos lo estados financieros y contables con las operaciones y transacciones que se realicen en la empresa.

• Esta función ha de ser un área de control y aseguramiento, entidad independiente y capacitada.

Actividad Responsable de Ejecución Responsable del Seguimiento

Determinación de las áreas por auditar en el negocio Coordinador o supervisor de auditoría en informática Director o Gerente de auditoría en Informática

Elaboración del Plan en Auditoria Informática Coordinador o supervisor de auditoría en informática Director o Gerente de auditoría en Informática

Ejecución del Plan en Auditoría en Informática Director o Gerente de auditoría en Informática Alta Dirección del Negocio

Presentación del Plan a la alta dirección Supervisor o auditores de Informática (externos o internos) Gerente o supervisores de la función de auditoría en informática

• La función de auditoría se ocupa de la planeación, ejecución y seguimiento de las

Políticas, controles y procedimientos establecidos por la alta dirección.

Tareas Básicas del proceso de planeación de auditoría en informática y responsabilidades

Proceso detallado de la planeación de Auditoria Informática

Depende del diagnóstico previo que haga el auditor en informática de la situación que prevalece en cada una de las áreas o servicios de la función de informática.

El diagnóstico de la situación informática previo, deberá ser breve y objetivo.

El objetivo principal es determinar las áreas de mayor riesgo de la función de informática con base a diferentes criterios.

Actividades sugeridas para el proceso

Elaboración, Documentación, Autorización y Difusión Formal del Plan de Auditoría en Informática.

Identificar el nivel de Riesgo de cada uno de los elementos que integran la función de informática (diagnóstico de la situación actual).

Las áreas a ser diagnosticadas pueden variar de acuerdo al tamaño y estructura del negocio.

Algunos Servicios:

Sistemas de Información en operación.

Administración de Hardware y software.

Desarrollo de Sistemas de Información.

Soporte a Usuarios (capacitación, asesoría, etc.)

Administración de Telecomunicaciones.

Investigación y desarrollo tecnológico.

Otros.

Consideraciones a tener en cuenta para efectuar el diagnóstico de la situación actual:

El auditor en informática ha de conocer de manera aceptable los aspectos relativos a auditoría e informática que deben tener cada una de las áreas de Informática.

Se apoyará en la visión de los principales Usuarios del negocio y del responsable de Informática.

Diagnostico de la Situación actual de los SI en Operación.

Manera de llevar el diagnostico:

Obtener una lista de los principales SI y de sus usuarios principales.

Obtener comentarios positivos y negativos de los usuarios de cada SI.

Registrar fallas más comunes del Sistema de computo.

Anotar fecha de liberación de Sistemas y su última auditoría.

Revisar la configuración del equipo donde fue instalado.

Se estudia su integración a otros SI.

Evaluar otros aspectos de interés del auditor.

Debilidades que pueden motivar la Auditoria de un SI

Primero: Que el sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento.

Segundo: Que el sistema nunca haya sido auditado, esto sugiere una auditoria inmediata, intermedia o final.

Clasificación del Nivel de Riesgo que Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un ambiente tecnológico confiable, seguro y eficiente.

Equipos o Paquetes de Sw.

Mantenimiento de la tecnología del Equipo y Sw.

Diversos factores motivan la intensidad de la auditoria de Hw.

Evaluación del nivel de Riesgo que representa el uso inadecuado de Productos y Servicios

Se refiere al grado de conocimiento sobre uso de servicios, Sw y equipos.

Información de apoyo: Organigramas, descripción de puestos y políticas relacionadas a productos y servicios de informática.

Se debe determinar el grado de confianza del usuario con el manejo del sistema, paquetes de Sw y equipos.

Otros Aspectos: Telecomunicaciones, redes, automatización de procesos.

Estos se evalúan en base a estándares internacionales.

Considerar la proyección de uso que piensa darle el negocio a corto, mediano y largo plazo.

Tener en cuenta comentarios de personal especializado en el área.

Clasificación de Riesgos según criterios de la Función de Auditoría en Informática

Cumplimiento de Estándares.

Cumplimiento formal de políticas y procedimientos.

Grado de Satisfacción: Alta Dirección y personal usuario.

Prioridades de la alta dirección.

Prioridades de la función de auditoría en informática.

Otros de interés del auditor.

Elaboración de una matriz de Riesgos

Muestra las áreas de la función de informática susceptibles de auditoría.

Resultados en forma descendente.

Entidades o áreas con mayor y menor riesgo.

Elaboración de un Plan consolidado de Proyectos.

Fechas de inicio y final de cada Auditoria.

Etapas de cada auditoria.

Tareas principales de cada etapa.

Equipo de Trabajo (auditor, representantes, …)

Requerimientos (recursos, apoyo, capacitación, ...)

Revisión de la Matriz de Riesgos

Pronosticar proyectos de auditoría en informática con la gerencia.

Visto bueno antes de presentarlo a la alta dirección.

Se cubren los siguientes Aspectos:

Área por auditar, prioridad, Fechas de inicio y final, involucrados, responsables, fechas de revisión y otros.

Presentación del plan de proyectos a la alta dirección.

Tiene como finalidad:

Conocer los proyectos de auditoría informática.

Verificar contemplación de áreas fundamentales.

Compromiso de la alta dirección con los auditores.

Obtener la aprobación del plan de auditoría en informática por parte de la alta dirección.

Realización de cada proyecto de acuerdo con el plan de Auditoría en Informática.

Ejecución de actividades de seguimiento.

Revisión formal de cada proyecto.

Integración y formalización de Equipos de Trabajo.

Equipos Integrados por:

Gerente (s) de las áreas usuarias que se evaluarán.

Gerente de la Función de Informática.

Líder del proyecto de la función de AI. Planeación

Proceso de Planeación, pilar de todas las actividades que se ejecutan en la organización

Pérdidas Irreparables - Decepciones

“Planear es una pérdida de tiempo y un recipiente de buenos deseos”.

Si no se planea el trabajo, es lógico pensar que tampoco se planean las anomalías y decepciones que dicho trabajo acarreará.

Problema, proyectos mediano-largo plazo:

Falta de definición de función, responsabilidad, tiempos ni resultados.

“Dejemos de depender de la buena suerte”

No se vive de buenos deseos sino de metas claras, medibles y factibles.

Principal Beneficio: Poder asegurar, con alto grado de credibilidad, cuánto invertir y cuánto se obtendrá de beneficio; plazos claros y establecidos.

Un proceso formal contiene los siguientes elementos:

Etapas

Tareas

Actividades

Costos/Beneficios

Resultados esperados por actividad, tarea y etapa

Responsables de cada actividad ó tarea

Involucrados ó participantes

Revisiones Formales e informales

Técnicas para ejecutar actividades

Herramientas para realizar las actividades del proyecto

Requisitos mínimos para que la planeación en auditoría informática sea formal, permanente y exitosa:
Involucramiento directo del auditor en informática en el proceso de planeación estratégica
Requerimientos
Tiempos
Prioridades de cada proyecto
Compromiso del responsable de auditoría para implementar un esquema de control y seguridad preventivo
y completo.
Participación en el proceso de planeación de auditoría tradicional, para hacer control y medidas
correctivas.
Supresión de la participación:
Riesgos de no planear la auditoría
Responsables de tareas inadecuados
Falta de compromiso de los involucrados en el proyecto
Aparición de costos imprevistos
Retrasos en la obtención de beneficios
Mala calidad en los resultados
Rotación del personal clave
Inadecuada segregación de tareas y actividades, Etc.
Aprobación formal de la Alta Dirección del informe final de la Auditoría en Informática realizada
Se dará seguimiento oportuno y formal cada una de las recomendaciones contenpladas en el informe
Aplicación de políticas y controles estandarizados internacionalmente.
Implantación del proceso de planeación de auditoría en informática, permanente.

Tipo de proyectos con responsables e involucrados sugeridos

Tipo de Proyectos	Responsables	Involucrados
Auditoría
Financiera	Auditores internos o externos	Áreas de la empresa
Fiscal	Auditores internos o externos	Áreas de la empresa
Operativa	Auditores internos o externos	Áreas de la empresa
Auditoría en informática
Auditoría a sistemas de información	Auditores en informática internos o auditores externos	Informática, usuarios de los sistemas de información
Auditoría en seguridad	Auditores en informática internos o auditores externos	Informática, áreas usuarios de los recursos de informática
Auditoría en el mantenimiento de Hw y Sw	Auditores en informática internos o auditores externos	Áreas de operación informática y áreas usuarias

Metodología

Planificación

Concentración de objetivos

Áreas que cubrirá

Personas de la organización que se involucrarán en el proceso de auditoría

Plan de trabajo:

Tareas

Calendario

Resultados parciales

Presupuesto

Equipo auditor necesario

Desarrollo de la auditoría

Entrevistas

Cuestionarios

Observación de las situaciones deficientes

Observación de los procedimientos

Fase de diagnóstico

Meditación sin contacto con la empresa auditada

Factor decisivo será la experiencia del equipo auditor

Se deben definir los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución

y mejora

Presentación de conclusiones:

Se han de argumentar y documentar lo suficiente para que no puedan ser refutadas durante la

discusión

Es especialmente delicada por el rechazo que puede provocar en la organización auditada. Se

debe esmerar el tacto

En ocasiones serán necesarias tomar decisiones desagradables, pero es misión del auditor

informar a la dirección de la forma más objetiva posible.

Formación del plan de mejoras

Resumen de las deficiencias encontradas

Recogerá las recomendaciones encaminadas a atenuar las deficiencias detectadas

Medidas a corto plazo: mejoras en plazo, calidad, planificación o formación

Medidas a medio plazo: mayor necesidad de recursos, optimización de programas o

documentación y aspectos de diseño

Medidas a largo plazo: cambios en políticas, medios y estructuras del servicio

Toda organización se ordena mediante:

Plan estratégico

Plan táctico

Planes operacionales

Objetivos de la auditoría informática:

Qué planes del CPD están coordinados con los planes generales

Revisar los planes de informática

Contrastar su nivel de realización

Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación

PLAN DE CONTINGENCIAS

2010-06-23T09:45:00.000-07:00

PLAN DE CONTINGENCIAS

¿…Por qué se necesita un Plan de Contingencia?

A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos.

Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto periodo. En caso de un desastre, la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas, sobre todo si está implicada la responsabilidad de la gerencia de informática. Lo más grave es que se puede perder la credibilidad del público o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.

"¿Por qué se necesita un plan de contingencia para desastres si existe una póliza de seguro para esta eventualidad?“

La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organización en caso de una calamidad, no servirá para recuperar el negocio. No ayudará a conservar a los clientes y, en la mayoría de los casos, no proporcionará fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.

Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan Estratégico de Seguridad para una organización.

Imagínese una situación que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la pérdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destrucción de equipos vitales del sistema,

¿Cómo se manejaría semejante catástrofe?

Si Ud. se ve en esta situación y lo único que puede hacer es preguntarse

"¿Y ahora qué?"

¡Ya es demasiado tarde!

La única manera efectiva de afrontar un desastre es tener una solución completa y totalmente probada para recuperarse de los efectos del mismo.

Plan de Contingencia:

Hoy por hoy, la información es uno de los principales activos que la empresa debe cautelar mediante el desarrollo de un plan de contingencia, que permita el adecuado funcionamiento del negocio frente a un cese prolongado del servicio informático.

El objetivo del plan no es evitar los riesgos, sino minimizar el impacto que las incidencias podrían producir en la organización.

La alta dirección debe tomar conciencia que el desarrollo y la implantación de planes de contingencia comprende toda la organización, pues se trata de una situación de negocios y no puramente informática.

¿Qué es un desastre?

Se puede considerar como un desastre la interrupción prolongada de los recursos informáticos y de comunicación de una organización, que no puede remediarse dentro de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperación.

Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las explosiones, los actos de sabotaje, etcétera.

Estadísticas recientes sobre los tipos más comunes de desastres que ocurren muestran que el terrorismo, los incendios y los huracanes son las causas más comunes en muchos países.

La alta gerencia tiene que decidir el periodo predeterminado que lleva una interrupción de servicio de la situación de "problema" a la de "desastre". La mayoría de las organizaciones logran esto llevando a cabo un análisis de impacto en el negocio para determinar el máximo tiempo de interrupción permisible en funciones vitales de sus actividades.

Plan de Contingencia:

La reanudación de las actividades ante una calamidad puede ser una de las situaciones más difíciles con las que una organización deba enfrentarse. Tras un desastre, es probable que no haya posibilidades de regresar al lugar de trabajo o que no se disponga de ninguna de los recursos acostumbrados. Incluso, es posible que no se pueda contar con todo el personal. La preparación es la clave del éxito para enfrentar los problemas.

No existe ninguna manera costeable para protegerse completamente contra todo tipo de Riesgos, particularmente amenazas naturales a gran escala que pueden arrasar zonas extensas. Como consecuencia, siempre se tiene que tolerar algún riesgo residual. La decisión sobre el alcance del desastre para el que habrá de prepararse debe tomarse en los más altos niveles de la empresa.

“Un plan de contingencia es el proceso de determinar qué hacer si una catástrofe se abate sobre la empresa y es necesario recuperar la red y los sistemas.”

Desdichadamente, un plan de contingencia es como el ejercicio y la dieta: más fácil pensar en ello que hacerlo. Con la cantidad de trabajo que la mayoría de los gerentes tienen, el plan de contingencia tiende a dejarse para una ocasión posterior. Uno de los problemas asociados al plan de contingencia es saber por dónde empezar.

METODOLOGÍA PARA EL PLAN DE CONTINGENCIA

El diseñar e implementar un plan de contingencia para recuperación de desastres no es una tarea fácil; puede implicar esfuerzos y gastos considerables, sobre todo si se está partiendo de cero. Una solución comprende las siguientes actividades:

Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa.

2. Puede requerir la construcción o adaptación de un sitio para los equipos computacionales.

3. Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y éstos deben ser compatibles con las operaciones existentes. Se hará participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solución.

4. Implicará un compromiso entre costo, velocidad de recuperación, medida de la recuperación y alcance de los desastres cubiertos.

Principales actividades requeridas para la planificación e implementación de una capacidad de recuperación de desastres.

1. Identificación de riesgos

2. Evaluación de riesgos

3. Asignación de prioridades a las aplicaciones

4. Establecimiento de los requerimientos de recuperación

5. Elaboración de la documentación

6. Verificación e implementación del plan

7. Distribución y mantenimiento del plan

1. Identificación de Riesgos

La primera fase del plan de contingencia, el análisis de riesgos, nos sitúa en el lugar de un asesor de una compañía de seguros. En esta fase, la preocupación está relacionada con tres simples preguntas:

- ¿qué está bajo riesgo?,

- ¿qué puede ir mal? Y

- ¿cuál es la probabilidad de que suceda?

2. Evaluación de Riesgos:

Es el proceso de determinar el costo para la organización de sufrir un desastre que afecte su actividad. Si una inundación impidiera la actividad comercial durante cinco días, la compañía perdería cinco días de ventas, además del deterioro físico de los edificios e inventario. En el caso de los sistemas informáticos, la preocupación principal es comprender la cantidad de pérdida financiera que puede provocar la interrupción de los servicios, incluyendo los que se basan en las redes.

Los costos de un desastre pueden clasificarse en las siguientes categorías:

- Costos reales de reemplazar el sistema informático

- Costos por falta de producción.

- Costos por negocio perdido

- Costos de reputación.

3. Asignación de prioridades a las aplicaciones

Después de que acontezca un desastre y se inicie la recuperación de los sistemas, debe conocerse qué aplicaciones recuperar en primer lugar. No hay que perder el tiempo restaurando los datos y sistemas equivocados cuando la actividad empresarial necesita primero sus aplicaciones esenciales.

Esto implica la necesidad de determinar por anticipado cuáles son las aplicaciones fundamentales del negocio. Si la empresa es como la mayoría, se tendrán aplicaciones "muy importantes" dependiendo de a quién se le pregunte. El departamento de recursos humanos afirmará que el sistema de nóminas es el más importante, el departamento de ventas dirá que es su sistema de entrada de pedidos, el departamento de producción insistirá en su control de inventario y el departamento de compras asignará el papel de más importante a su sistema de facturación. Desgraciadamente, no todos estos sistemas pueden ser el más importante; por lo tanto, es fundamental que la dirección ayude a determinar el orden en que los sistemas serán recuperados.

Una vez conocido lo que se va a restaurar, debería disponerse de todo lo necesario para la disponibilidad de tales aplicaciones. Un sistema de aplicación en una red está compuesto por los sistemas servidores, donde las aplicaciones almacenan sus datos, los sistemas de estaciones de trabajo que los procesan, las impresoras o fax empleados para entrada/salida, la red que interconecta todo, y el software de las aplicaciones. Las aplicaciones cliente/servidor o distribuidas añaden un nivel extra de complejidad al requerir que distintas partes de la aplicación residan en máquinas separadas.

4. Establecimiento de los requerimientos de recuperación

La clave de esta fase del proceso de elaboración del plan de migración es definir un periodo de tiempo aceptable y viable para lograr que la red esté de nuevo activa. Tal y como se ha planteado en la sección anterior, la preocupación básica debería ser disponer de las aplicaciones más importantes en primer lugar. El personal directivo de la organización deseará saber cuándo estarán sus aplicaciones funcionadas para planificar las actividades de la compañía.

5. Elaboración de la documentación:

Crear un documento que mucha gente pueda tener como referencia es quizás lo más difícil del plan de contingencia. No hay que engañarse: implicará un esfuerzo significativo para algunas personas, pero ayudará a aprender cosas sobre el sistema y puede que algún día salve la empresa.

Los recursos necesarios para escribir y mantener un plan de contingencia representan más de lo que puede realizarse en ratos libres y después de horas de oficina

Contenido del Plan de Contingencia:

El plan de contingencia debe intentar definir las cinco áreas siguientes:

1. Listas de notificación, números de teléfono, mapas y direcciones

2. Prioridades, responsabilidades, relaciones y procedimientos

3. Información sobre adquisiciones y compras

4. Diagramas de las instalaciones

5. Sistemas, configuraciones y copias de seguridad

6. Verificación e implementación del plan:

Una vez redactado el plan, hay que probarlo. Hay que estar seguro de que el plan va a funcionar. Para ello, se debe ser escéptico sobre el propio trabajo, de manera que pueda uno probarse a sí mismo que funciona. Psicológicamente, esto no es fácil porque con toda probabilidad se ha invertido una gran cantidad de tiempo y energía personal en este proceso, aunque lo mejor sería, si es posible, situarse de manera imparcial ante la confiabilidad del plan. Por consiguiente, han de realizarse las pruebas para encontrar problemas, no para verificar que el plan funciona. Si existen errores en la información, tómese nota de ellos y corríjase el plan.

Revísese cada día la parte del plan relacionada con las operaciones de copias de seguridad verificando la finalización correcta de las mismas. Además, supervise esto asegurándose de que algunas personas de la organización saben realizar copias de seguridad adecuadamente, y comprobar su finalización.

7. Distribución y mantenimiento del plan

Por último, cuando se disponga de un plan definitivo ya verificado, es necesario distribuirlo a las personas que necesitan tenerlo. Inténtese controlar las versiones del plan, de manera que no exista confusión con múltiples versiones. Manténgase una lista de todas las personas y ubicaciones que tienen una copia del plan. Cuando se actualice el plan, sustituya todas las copias y recoja las versiones previas.

El mantenimiento del plan es un proceso sencillo. Se comienza con una revisión del plan existente y se examina en su totalidad, realizando cambios a cualquier información que pueda haber variado. En ese instante, se debe volver a evaluar los sistemas de aplicación y determinar cuáles son los más importantes para la organización. Las modificaciones a esta parte del plan causarán modificaciones consecutivas a los procedimientos de recuperación.

RIESGOS DE OPERACIÓN

2010-06-15T06:11:00.000-07:00

Riesgos de Operación: Es la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos (Según SBS)

evento externo: Un terremoto

Una definición aceptada universalmente

Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos

El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos.

El riesgo de pérdidas originadas por un procesamiento transaccional.

Adminstración de Riesgos de Operación: Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en la planeación estratégica y en todos los niveles de la organización, diseñado para identificar los eventos potenciales que puedan afectarla y administrar los riesgos de acuerdo a las políticas establecidas de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización

PERMANECER EN EL NEGOCIO

La Administración de Riesgos de Operación debe asegurar, que:

No se pierdan oportunidades

Mejore las ventajas competitivas. ventaja competitiva es una ventaja que una compañía tiene respecto a otras compañías competidoras

inca coca cola por la formula y no va poder igualar

Se realicen menos acciones correctivas.

¿Qué tópicos abarca el Riesgo de Operación?

PÉRDIDAS PORCENTUALES POR TIPO DE RIESGO

LOS ANÁLISIS SUGIEREN QUE LOS R.O. SON MAYORES QUE LO ESTIMADO EN EL PASADO

PIRÁMIDE DEL FRAUDE: VALIDO PARA LA GESTIÓN DE R.O.P

COSTOS DE NO GESTIONAR RIESGOS DE OPERACIÓN (IMPACTOS POSIBLES)

Responsabilidades legales

Interrupción del negocio

Pérdidas financieras

Costos financieros

Perdida de la reputación

Daño a las personas, y al entorno

Sanciones regulatorias

Suspensión del servicio al cliente

Salir del negocio

SE DEBEN ASUMIR RIESGOS

• Por la naturaleza de su actividad las empresas financieras asumen riesgos que pueden conllevar perdidas económicas

• Sin riesgos no hay actividad

• Por lo tanto, deben establecer mecanismos que permitan:

EXISTE EL RIESGO 0 ?

Elementos que Originan los Riesgos de Operación:

PERSONAL

Fraude interno y/o errores

Fraude a través del computador

Mal uso de información confidencial del cliente

SISTEMAS

Fallas de sistemas

Hardware

Software

Fallas no intencionales de operación

EVENTOS EXTERNOS

Satisfacción del cliente

Riesgo regulatorio

Servicios provistos por terceros

Fraude externo

Daño a los recursos físicos

PROCESOS

Prácticas de empleo y seguridad del lugar de trabajo.

Fallas de comunicación

Inadecuados reportes

Errores de entrada de datos.

Caso de Riesgo de Operación

Procesos:

Riesgos Típicos:

Definición inapropiada de requerimientos

Inadecuados formatos para ingreso de datos

Demora en la implementación del nuevo producto en el sistema.

Insuficiente capacidad de personas para hacer frente a volumen de nuevas operaciones.

Falta de reportes apropiados

Términos y cláusulas inadecuadas del contrato.

Impacto :

Servicios al cliente

Publicidad

Reputación

ADMINISTRACIÓN DE RIESGOS DE NEGOCIO

2010-06-10T06:34:00.000-07:00

ADMINISTRACIÓN DE RIESGOS DE NEGOCIO

En la actualidad, las organizaciones están enfocando los esfuerzos corporativos en la búsqueda de nuevas opciones para incrementar el valor para sus accionistas.

El riesgo genera oportunidades; las oportunidades generan valor y el valor se convierte en mejoras para el negocio y los accionistas.

Se puede resaltar que en la mayoría de las industrias y organizaciones, está reconociendo que los riesgos no son solamente peligros a ser evadidos sino que, en muchos casos, son oportunidades a ser asumidas. “El riesgo como tal no es malo, lo malo es el riesgo mal manejado, mal entendido, mal valorizado, no planeado” asegura Suzanne Labarage, CRO en el Royal Bank of Canadá.

Un enfoque orientado a lo integral, incorporado y con visión de futuro, ayuda a la organización a administrar sus riesgos claves de negocio y aprovechar sus oportunidades para maximizar el valor para los accionistas y del negocio como un todo.

Algunos modelos actuales sostienen que la administración de los riesgos debe estar intrínsecamente ligada a la estrategia del negocio, la cual incluye la visión, misión y objetivos ya establecidos; así como los procesos para definir sus operaciones de mayor importancia y sus filosofías, políticas, planes e iniciativas de crecimiento y desarrollo.

ENTORNO ACTUAL:

En la medida en la que los riesgos cambian y se incrementen, las administraciones de varias industrias buscan asegurar que se esté considerando adecuadamente tanto los riesgos como el monto de riesgos – comparado con el apetito de riesgos de sus unidades o divisiones en la organización y comparado con otras organizaciones dentro de sus mismos mercados e industria ó con la competencia. La tolerancia al riesgo de cada organización es única y varia de acuerdo a la cultura organizacional, así como a los factores externos. Un aspecto crítico de la responsabilidad de la administración es determinar qué riesgos serán prioridad y después reevaluar periódicamente esa elección conforme a las circunstancias.

ADMINISTRACIÓN DE LOS RIESGOS:

Es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que a las organizaciones minimizar pérdidas y maximizar oportunidades, es decir, es tanto identificar las oportunidades como también evitar o mitigar las pérdidas.

ESTABLECER EL CONTEXTO:

Establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.

IDENTIFICAR RIESGOS:

Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior.

ANALIZAR RIESGOS:

Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias.

Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de Riesgo.

EVALUAR RIESGOS:

Comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración.

Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento.

TRATAR RIESGOS:

Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración especifico que incluya consideraciones de fondo.

MONITOREAR Y REVISAR:

Monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo.

COMUNICAR Y CONSULTAR:

Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo.

ADMINISTRACIÓN DE LOS RIESGOS:

Una vez que se ha hecho un análisis de los riesgos existente en la organización, para algunos de ellos no se requerirá tomar acciones inmediatas, sin embargo cuando exista un riesgo con una probabilidad alta de ocurrencia y con un alto impacto, la administración deberá tomar acciones inmediatas para mover ese riesgo a un rango aceptable e incluso eliminarlo, basándose en un análisis de riesgo / beneficio para la organización.

Habiendo evaluado y clasificado sistemáticamente los riesgos y tal vez habiendo tratado de entender su impacto, muchas organizaciones pueden determinar qué riesgos deben ser administrados a nivel corporativo y cuáles riesgos deben ser administrados en los niveles medios dentro de la organización.

La administración de riesgo centralizada tiende a enfocarse a los riesgos que afectan el logro de los objetivos y estrategias claves de la organización y que afectan significativamente casi todas las funciones y casi todos los procesos (ejemplo; prestigio, imagen, etc.). La responsabilidad de estos riesgos debe recaer en la dirección general y/o consejo superior, los otros riesgos que podrían ser administrados de manera centralizada son aquéllos que requieren habilidades especializadas y que no pueden ser trabajados al nivel de división, o aquellos que requieran de contratación de servicios externos.

Los riesgos que deben administrarse de manera descentralizada podrían hacerse al nivel de división o proceso, aquéllos que son importantes únicamente en un proceso particular, pero que no afectan a la organización en la implementación exitosa de sus estrategias generales.

Acciones a seguir derivadas de la Evaluación de Riesgo:

La evaluación de riesgo ha probado ser un proceso altamente útil para identificar, categorizar y evaluar riesgos críticos, con base en su probabilidad de ocurrencia y magnitud de impacto. El punto clave que ha surgido, sin embargo, es ¿qué hacer con la información, cuando la evaluación de riesgo ha sido terminada?

En algunos casos, las organizaciones se encuentran con que el proceso ha identificado tantos riesgos que no es posible darle seguimiento a todos, y en otros casos, se encuentra con que no se ha podido trasladar la evaluación de riesgo a pasos de acción específicos - en el contexto de administración de apetito de riesgo – que aporten valor a la organización.

OPTIMIZACIÓN DE RIESGOS:

Comprende el concepto de alternativas; es decir, es un proceso repetitivo, mientras una táctica es implementada, los riesgos deben ser re - evaluados. Siendo que la re - evaluación no se puede hacer por cada acción, las organizaciones han empezado a dar surgimiento a las acciones relacionadas con los riesgos más importantes y materiales de la organización.

MEDICIÓN Y MONITOREO PARA INCREMENTAR VALOR:

La medición y el monitoreo se vuelven acciones necesarias, como un medio continuo de entendimiento y entrega de reportes para analizar el verdadero impacto de los riesgos. Las organizaciones deben definir los sistemas de monitoreo y medición que mejor les sirvan a sus estilos de trabajo y características de administración.

LA ESTRATEGIA Y LA ESTRUCTURA DE RIESGOS

La estrategia de riesgo proporciona los lineamientos para las actividades dentro de la organización; es la columna vertebral para dar a la organización la cultura del negocio central. La estrategia de riesgo debe llevarse a cabo con base en la estructura de riesgo, que engloba los roles y responsabilidades para la administración de riesgos.

Estas estructuras definen responsabilidades y líneas que reporten información, las cuales facultan a los administradores a actuar bajo límites relacionados con el apetito de riesgo.

La comunicación de la estrategia de riesgo es esencial y debe estar diseñada para asegurar que todos los empleados e inversionistas entiendan la misión, visión y objetivos de la organización.

Los líderes deben demostrar claramente la relevancia de la estrategia de la administración de riesgos, proporcionando historias de éxito, para maximizar valor en el proceso de la comunicación.

Habiendo establecido la responsabilidad y confianza, los lideres deben también ser cuidadosos al asegurarse que todo el personal de la organización tenga las habilidades necesarias para la ejecución y monitoreo de la administración de riesgo.

Comparación del tratamiento del riesgo, si existe una adecuada administración del mismo.

EN EL PASADO

Riesgos considerados individualmente

Identificación y evaluación del riesgo

Enfoque en todos los riesgos

Mitigación de riesgos

Limite de riesgo

Riesgos que no tienen responsables

Cuantificación de riesgos inconsistentes

Riesgo no es mi responsabilidad

HOY EN DÍA

Riesgos en el contexto de la estrategia

Desarrollo del portafolio del proyecto

Enfoque en los riesgos críticos

Optimización de riesgo

Estrategia del riesgo

Responsabilidad sobre riesgo definida

Monitoreo y medición

Riesgo es responsabilidad de todos

CONCLUSIONES

La administración de riesgo ayuda a la organización a tener más clara su situación tanto interna como externamente, ya que se convierte en un medio de ayuda para que la organización cambie su enfoque de respuesta, y pueda reaccionar de una manera proactiva y no reactiva hacia los eventos que puedan surgir. La evaluación de riesgos en algunos casos puede salvar a las organizaciones de irse a la quiebra, ya que protege contra sorpresas.

Al hacer una evaluación constante de riesgos se constituye en valor organizacional que permite el éxito futuro de la organización en un entorno cambiante y competitivo, obteniendo una mejora en el desarrollo y desempeño de la organización.

Identificar, optimizar y administrar el portafolio de riesgos permite a la organización tener un enfoque claro para mejorar la asignación de recursos; estabiliza los resultados y encuentra nuevas oportunidades para mejorar los aspectos críticos del negocio, obteniendo beneficios económicos medibles

La administración de riesgos permite adoptar uno de los elementos más importantes que apoyan la transparencia, certidumbre a terceros y confianza en los inversionistas. Da respuesta a las necesidades del consejo superior y al comité de auditoria, se reenfoca de este modo el concepto de auditoria interna, el plan y la ejecución de las auditorias.

“Si logramos los objetivos del negocio, seremos muy exitoso; si no los logramos, una de la razones será una deficiente Administración de Riesgos”.

CONTROL INTERNO Y AUDITORIA INFORMÁTICA

2010-03-01T12:04:00.000-08:00

CONTROL INTERNO Y AUDITORIA INFORMÁTICA

INTRODUCCIÓN

Tradicionalmente en materia de control interno se adoptaba un enfoque bastante restringido limitados a los controles contables internos.

Durante el ultimo decenio la prensa a informado sobre escándalos relacionados con errores en el otorgamiento de créditos con garantia de inmuebles inexistentes o sobrevalorados, la manipulacion de información privilegiada y otro fallos de los controles que han afectado a las empresas de diferentes sectores.

Por ello hay ambios en las empresas que comprometen los controles internos existentes:

La restructuración de los procesos empresariales.

La gestion de la calidad total.

El redimencionamiento por reducción y/o aumento del tamañphasta el nivel correcto.

La contratación externa

La descntralización

El mundo en general esta cambiando y somete a las empresas a la acción de muchas fuerzas externas tales como la creciente necesidad de acceder a los mercados mundiales de consolidación industrial la intensificación de la competencia y las nuevas tecnologias.

Tendencias externas que influyen en las empresas:

La globalización

La diversificación de actividades

La alimentación de ramas de negocio no rentable o antiguas

La introducción de nuevas productos como respuesta a la competencia

Las fusiones y la formación de alianzas estratégicas

Ante la rapidez de los cambieos los directivos tomam conciencia que para evitar fallos de control signficativos deben revaluar de manera proactiva antes de que surjan los, problemas tomando medidas audaces para su tranquilidad asi como para garntizar el consejo de administración, accionistas, comites y publico que los controles, que los controles internos de la empresa estan adecuadamente diseñada para hacer frente a los retos del futuron y asegurar la integridad en el momento actual.

Un centro de informática de una empresa suele tener una importancia crucial por soportar los sistema de información del negocio por el volumen de recursos y prpuestos que maneja. Por lo tanto aumenta las necesidades de control y auditoria, surgiendo en las organizaciones como medidas organizativas las figuras de control interno y auditoria informaticos.

La auditoráa a cambiado notablemente en los ultimos años con el enorme impacto que ha venido cobrando las técnicas informáticas en la forma de procesar la información para la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informáticos cad vez más acuciante.

Los auditores informáticos aportan conocimientos especializados, asi como su familiaridad con la tecnología informática. Se siguen tratando las mismas las mismas cuestiones de control de auditoría, pero los especialistas en auditoría informática de sistemas basados en ordenadores prestan ayuda valiosa a la organización y a los otros auditores en todo los relativo en los controles sobre dicho temas.

En muchas organizaciones el auditor a dejado de centrarse en la evaluación y la comprobación de resultados de proceos, desplazando su atención a la evaluación de riesgos y comprobación de controles.

Muchos de los controles se incorporan en programas de sistemas o se realizan por parte de la función informática de la organización, representado por el control interno informático.
El enfoque centrado en controles normalmente exige conocimientos informáticos a nivel de la tecnología utilizando en el área o la organización que se examina.

LAS FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA

CONTROL INTERNO INFORMÁTICO C.I.I:

Controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o dirección de informática, así como los requerimientos legales.

La misión del C.I.I es asegurarse que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Las función se le asigna a una unidad orgánica perteneciente al staff de la Gerencia de informática y debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su misión.

En los tratados de auditoría se le denomina CONTROL INTERNO INFORMÁTICO (C.I.I), definición que a nuestro concepto debe ser reemplazado por rl titulo de ADMINISTRACIÓN DE LA SEGURIDAD Y CONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y conceptos actualizados de las funciones especializadas de control y administración de riesgos.

C.I.I. PRINCIPALES OBJETIVOS

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijadas, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorarse sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorias externas.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.

C.I.I. PRINCIPALES FUNCIONES

Realizar en los diferente sistemas (centrales, departamentales, redes locales, pc's, etc) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:

Cumplimiento de diferentes procedimientos, normas y controles dictados, Ejemplo Control de cambio y versiones de software.

Controles sobre la producción diaria.

Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.

Controles de las redes de comunicaciones.

Controles sobre el software de base.

Controles en los sistemas microinformáticos.

La seguridad informática:

Usuarios responsables y perfiles de uso de archivos y bases de datos.

Normas de seguridad.

Control de información clasificada.

Control dual de la seguridad informática

Licencias

Contratos con terceros.

Asesorar y transmitir cultura sobre el riesgo informático.

AUDITOR INFORMÁTICO (AI):

Evalúa y comprueba en determinados momentos del tiempo, los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software

En muchos casos ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoria y otras técnicas asistidas por ordenador.

Es responsable de revisar e informar a la dirección de la empresa, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

EL AUDITOR INFORMÁTICO: Funciones principales

Se puede establecer tres grupos de funciones principales

1.- Participar en las revisiones durante y despues del diseño, realización, implantación y explotación de aplicaciones informaticas, así como es las fases análogas de realización de cambios importantes.

2.-Revisar y juzgar controles implantados en los sistemas informáticos, para verificar su adecuación a las órdenes y instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

3.- Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

CAMPOS ANÁLOGOS:

La evolución de ambas funciones ha sido espectacular en la ultima década. Muchas de los funcionarios de controles internos informáticos, fueron auditores. Han recibido formación en seguridad informática tras su paso por la formación en auditoría.

Hay una similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.

DASYCS - AI:ANALOGÍA

SISTEMA DE CONTROL INFORMÁTICO

DEFINICIÓN Y TIPOS DE CONTROLES INTEROS

Se puede definir el control interno como "cualquier actividad o acción realizada" manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Los controles cuando se diseñen, desarrollen y implanten han de ser al menos completos, simples, fiable, revisables, adecuados y rentables.

Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos.

Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

CONTROL INTERNOS INFORMÁTICOS:CLASIFICACIÓN

Controles Preventivos.- Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles Detectivos:- Cuando fallan los preventivos, para tratar de conocer cuando antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.

Controles Correctivos:- Facilitan la buelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

RELACIÓN EXISTENTE ENTRE LOS MÉTODOS DE CONTROL, LOS OBJETIVOS DE CONTROL Y LOS OBJETIVOS DE AUDITORÍA.

A medida que los sistemas se han vuelto más complejos, los controles informáticos han evolucionado hasta convertise en procesos integrados en los que se atenúan las diferencias entre las categorias tradicionales de controles informáticos.

Por ejemplo, en los actuales sistemas informáticos pueden resultar dificil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.

La relación entre los métodos de control y los objetivos de control puede demostrarse en el siguiente. Ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de programas:

Objetivo de control de mantemiento: Asegurar que las modificaciones de los procedimientos programados estén adecuadamente diseñadas, probadas, aprobadas e implantadas.

Objetivo de control de seguridad de programas: Garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.

IMPLANTACIÓN DE UN SISTEMA DE CONTROL INTERNO INFORMÁTICO

CRITERIO BÁSICO

Los controles pueden implantarse a varios niveles.
La evaluación de controles de tecnología de la información exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuración del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde puedan implantarse los controles, asi como para identificar los posibles riesgos.

CONOCER LA CONFIGURACIÓN DEL SISTEMA

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

Entorno de red.- Esquema de la red descripsión de la configuración de hardware de comunicaciones, descripción de software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de enternos de base que soportan las aplicaciones críticas y consideraciones relativas a la seguridad de la red.

Configuración del ordenador base:- Configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (Pruebas y real), bibliotecas de programas y conjunto datos.

Entorno de aplicaciones:- Proceso de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

Procesos y herramientas:- Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

Seguridad del ordenador base:_ Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

PARA LA IMPLANTACIÓN DE UN SISTEMA DE CONTROL INTERNO INFORMÁTICO DEBE DEFINIRSE:

Gestión de sistemas de informacón.- Política, Pautas y normas técnicas que sirvan para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas.- controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad.- incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión de cambio.- separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas software aprobados y probados.

RESPALDO PARA LA IMPLANTACIÓN DE UNA POLÍTICA Y CULTURA DE SEGURIDAD

Dirección de Negocio o Dirección de Sistemas de Información (S.I).- Define la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas.

Dirección de Informática.- Ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento.

Control Interno Informático.- ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarán en los oportunos procedimientos de control interno y podrán ser preventivos o de detección. Periódicamente realizará la revisión de controles establecidos de Control Interno Informático informando las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles, así como trasmitirá constantemente a toda la organización de Informática la cultura y políticas de riesgo informático.

Auditor interno/externo informático.- ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a os objetivos definidos por la Dirección de Negocio y la Dirección de Informática. Informará a la Alta Dirección de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que puedan originarse.
La creación de un sistema de control informático es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informático

CONTROL INTERNO Y AUDITORÍA

CONTROLES INTERNOS PARA SISTEMAS DE INFORMACIÓN

AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ

CONTROLES DE DESARROLLO, ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones.

Metodología del ciclo de vida del desarrollo de sistemas. Principales controles:

La Alta Dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida de desarrollo de sistemas y revisar ésta periódicamente.

La metodología debe establecer los papeles y responsabilidades de las distintas áreas del Departamento de Informática y de los Usuarios, así como la composición y responsabilidades del equipo del proyecto.

Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes e que comience el proceso de desarrollo.

Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos acompañadas de un análisis costo-beneficio de cada alternativa.

Cuando se seleccione una alternativa debe formularse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costos.

CONTROLES EN LA METODOLOGÍA DE DESARROLLO DE SISTEMAS

Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc.

Plan de validación, verificación y pruebas.

Estándares de prueba de programas, de pruebas de sistemas.

Plan de conversión: prueba de aceptación final.

Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la organización y dichos productos deberán ser probados y revisados antes de pagar por ellos y ponerlos en uso.

La contratación de outsourcing debe estar justificada mediante una petición escrita de un director del proyecto.

Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.

EXPLOTACIÓN Y MANTENIMIENTO

El establecimiento de controles asegurará que los datos se traten de forma congruente y exacta y que el contenido de sistemas sólo será modificado mediante autorización adecuada.

Algunos controles que deben implantarse:

      Procedimiento de control de explotación.
     Sistema de contabilidad para asignar usuarios de costos asociados con la explotación de un sistema de     información.
     Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información.

CONTROLES DE EXPLOTACIÓN DE SISTEMAS DE INFORMACIÓN

Planificación y Gestión de recurso: definir el presupuesto operativo del Departamento, Plan de adquisición de equipos y gestión de la capacidad de los equipos.

Controles para usar de manera efectiva los recursos en ordenadores:
Calendario de carga de trabajo.
Programación de personal.
Mantenimiento preventivo del material.
Gestión de problemas y cambios.
Procedimientos de facturación a usuarios.
Sistemas de gestión de la biblioteca de soportes.

Procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y control de cambios.

SEGURIDAD FÍSICA Y LÓGICA

Definir un grupo de seguridad de la información, siendo una de sus funciones la administración y gestión del software de seguridad, revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.

Controles físicos para asegurar que el acceso a las instalaciones del Dpto. de Informática quede restringido a las personas autorizadas.
• Control de visitas: personas externas a la organización.
• Instalación de medidas de protección contra el fuego.

• Formación y concientización en procedimientos de seguridad y evacuación del edificio.
• Control de acceso restringido a los ordenadores.
• Normas que regulen el acceso a los recursos informáticos.
• Existencia de un plan de contingencias para el respaldo de recursos de ordenador críticos y para la recuperación de los servicios del Dpto. Informático después de una interrupción imprevista de los mismos.

CONTROLES DE APLICACIONES

Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos.

Aspectos más importantes en el control de datos:

– Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos.

– Control de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados.

– Controles de salidas de datos: sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.

CONTROLES ESPECÍFICOS DE CIERTAS TECNOLOGÍAS

Controles en sistemas de Gestión de Base de datos.

Sobre el software de gestión de BD para preveer el acceso a la estructuración de y el control sobre los datos compartidos, deberá instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno.

Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos, es decir, un administrador de datos.

Que existen procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos.

Sobre el acceso de datos y la concurrencia.

Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la caída y minimizar el tiempo necesario para la recuperación

Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces físicos – punteros – asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas.

CONTROLES ESPECÍFICOS DE CIERTAS TECNOLOGÍAS

Planes adecuados de implantación, conversión y pruebas de aceptación para la red.

Existencia de un grupo de control de red.

Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.

Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los departamentos que usan la red.

Que se identifiquen todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.

Existencia de inventario de todos los activos de la red.

Existencia de mantenimiento preventivo de todos los activos.

Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino válidas.

Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de usuario.

Procedimientos de cifrado de información sensible que se transmite a través de la red.

Procedimientos de cifrado de información sensible que se transmite a través de la red.

Procedimientos automáticos para resolver cierres del sistema.

Monitorización para medir la eficiencia de la red.

Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local dentro de la organización.

Detectar la correcta o mala recepción de mensajes.

Identificar los mensajes por una clave individual de usuario, por terminal y por el número de secuencia del mensaje.

Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor.

Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lógica redundante y poder de respaldo con realimentación automática para casos de fallas.

Asegurarse de que haya procedimientos de recuperación y reinicio.

Asegurarse de que existan pistas de auditoría que puedan usarse en la reconstrucción de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario.

Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes de información provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso alguien intercepte los mensajes.

FUNCIÓN CONTROL EN LOS SISTEMAS

Función control esparcida en la empresa.

Consecuencia del desarrollo empresarial.

Especialización de sus áreas con infraestructura tecnológica.

Decisiones basadas en información confiable, adecuado en tiempo y forma.

Administración de empresas apoyada en tecnología.

Persona encargadas de control: cómo hacer para obtener efectividad en sus funciones, si no participan en el desarrollo de los sistemas.

Tendencia se invierte con activa participación de la función de control en el desarrollo, implementación y seguimiento de los sistemas de informática.

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

2010-02-24T11:10:00.000-08:00

DECRETO SUPREMO Nº 037-2005-PCM

• Que modifica el D.S. Nº 013-2003-PCM, fijando plazo para que las entidades públicas cumplan con inventariar los software que utilizan.

• Artículo 1º.- Modifíquese el texto del artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

• “En un plazo que no exceda del 31 de diciembre de 2006, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiere dicha licencia, o a la correspondiente regularización con los titulares de derechos cobre los mismos. Copia de dicho inventario será remitida a la Presidencia del Consejo de Ministros para coordinar el proceso de regularización al que hace referencia este artículo”.

DECRETO SUPREMO Nº 002-2007-PCM

“Mediante el cual modifican el Decreto Supremo Nº 013-2003-PCM y establecen disposiciones referidas a licenciamiento de software en entidades públicas.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM.

Modifíquese el texto del artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“En un plazo que no excederá del 31 de julio de 2008, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquéllos que no cuenten con la respectiva licencia, en tanto se requiera dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia de Consejo de Ministros”.

Artículo 2º.- Equivalencias.

En un plazo de 45 días calendario, contados a partir de la vigencia del presente Decreto Supremo, la Oficina Nacional de Gobierno Electrónico e Informática publicará en el Portal del Estado Peruano un informe conteniendo las equivalencias entre software privado y software de libre disponibilidad como recomendación para la implantación de software de libre disponibilidad en las instituciones públicas.

Artículo 3º.- Adquisiciones.

Los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoquen las entidades y dependencias del Sector Público durante el presente ejercicio fiscal, deberán considerar de manera obligatoria el sistema operativo y la herramienta ofimática base de acuerdo a los perfiles de usuario determinados por la institución.

Artículo 4º.- Responsable.

La Oficina Nacional de Gobierno Electrónico e Informática será responsable de determinar las condiciones necesarias para el correcto licenciamiento del software privado actualmente en uso de la administración pública.

DECRETO SUPREMO Nº 053-2008-PCM

Modifica en artículo 4º del Decreto Supremo Nº 013-2003-PCM para el cumplimiento de la Administración Pública de las normas vigentes en materia de Derechos de Autor en el Marco de la Reforma del Estado y la implementación del Acuerdo de Promoción Comercial Perú – Estados Unidos.

Establece en el Artículo 1º, se modifique el texto del Artículo 4º del D.S. Nº 013-2003-PCM en los términos siguientes.

“En un plazo que no excederá del 31 de octubre de 2008, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiera dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros”.

DECRETO SUPREMO Nº 077-2008-PCM

Modifican el Artículo 4º del Decreto Supremo Nº 013-2003-PCM para el cumplimiento en la Administración Pública de las normas vigentes en materia de derechos de autor en el marco de la reforma del Estado y la implementación del Acuerdo de Promoción Comercial Perú – Estados Unidos.

Que, luego de definirse los plazos para el uso de software legal por la administración pública, conforme al Artículo 4º del Decreto Supremo Nº 013-2003-PCM, modificado por los artículos 1º del Decreto Supremo Nº 037-2005-PCM, 1º del Decreto Supremo Nº 002-2007-PCM y 1º del Decreto Supremo Nº 053-2008-PCM, y mejorar los niveles de uso de software legal en todos los estamentos del Estado, de acuerdo a los informes de seguimiento realizados por la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros, se hace necesario adoptar acciones conducentes a garantizar su efectiva aplicación e implementación, y generar el marco adecuado para la reforma y modernización del Estado Peruano.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM. Modifíquese el artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“El Estado iniciará un programa de renovación del parque informático que permita acelerar el proceso de modernización de la infraestructura tecnológica estatal, reemplazando antes del 31 de diciembre de 2011 los equipos necesarios para tal fin, asegurando con ello el uso de software legal en la administración pública.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM. Modifíquese el artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

Las entidades y dependencias comprendidas en la presente norma deberán realizar anualmente el inventario del software con que cuentan, procediendo a la eliminación de aquel software que no cuente con la respectiva licencia en tanto ésta sea requerida para su uso, o procediendo a regularizar el uso de las licencias con los titulares de los derechos sobre el software respectivo. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros”.

RESOLUCION JEFATURAL Nº 199-2003-INEI.

Que en su artículo 1°, aprueba la Directiva Nº 008-2003-INEI/DTNP, sobre “Normas Técnicas para la administración del Software Libre en los Servicios Informáticos de la Administración Pública”.

DIRECTIVA Nº 008-2003-INEI/DTNP.

Referido a las normas técnicas para la administración del software libre en los servicios informáticos de la administración pública. Tiene como objetivo, dar lineamiento para el uso correcto y seguro del software libre.

II. Alcance: La presente Directiva es de cumplimiento por las entidades del Poder Ejecutivo, Legislativo y Judicial, Organismos Autónomos, Organismos Públicos Descentralizados, Gobiernos Regionales, Locales y Empresas Públicas a nivel nacional.

7.1 La Oficina de Informática (o la que haga sus veces) de cada entidad es la responsable de establecer, en el marco del Plan Estratégico de Tecnología de Información y de lo establecido en el Decreto Supremo Nº 013-2003-PCM, la implantación del software libre en una entidad pública.

RESOLUCIÓN MINISTERIAL Nº 073-2004-PCM.

Referido a la aprobación de la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Que en el Artículo 1º aprueba la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Así mismo menciona en el Artículo 2º que las entidades de la Administración Pública, integrantes del Sistema Nacional de Informática, deberán aplicar lo establecido en el Artículo 1º, siendo responsabilidad de las áreas de informática o de las que hagan sus veces, la implementación y aplicación de la presente norma.

En el artículo 3º indica que la áreas de informática o las que hagan sus veces, desarrollarán acciones informativas y de capacitación dirigidas al personal de cada institución, con el objeto de asegurar la correcta aplicación de lo establecido en el artículo 1º. Para tal efecto realizarán las coordinaciones correspondientes con las áreas de personal o las que hagan sus veces en la entidad.

GUÍA PARA LA ADMINISTRACIÓN EFICIENTE DE SOFTWARE LEGAL EN LA ADMINISTRACIÓN PÚBLICA

Establece:

En el Capítulo II, cuarto párrafo que garantiza el cumplimiento de la Ley, indica que; además de los acuerdos de licencia, la ley de derechos de autor protege, a los autores del software, de la reproducción y distribución no autorizada de software. La misma Ley prohíbe también que los usuarios carguen, descarguen o transmitan copias no autorizadas de software por Internet u otros medios electrónicos. Las violaciones de estas restricciones pueden constituir delitos, los cuales exponen al infractor a sanciones de hasta 8 años de pena privativa de la libertad, así como a multas de hasta 150 Unidades Impositivas Tributarias.

Control de costos de adquisición. Un proceso de administración eficaz reduce al mínimo los costos de adquisición de software a identificar y comunicar las necesidades de software actuales y futuras de una institución, elaborar oportunamente el presupuesto para la adquisición de software y concretar la compra solamente de aquellos recursos que se consideren necesarios en conformidad con los procedimientos de adquisición claramente identificados.

La preparación del presupuesto es clave. Deben identificarse los gastos planificados de software como una partida separada dentro del presupuesto para TI y realizar seguimiento de los gastos actuales en comparación con los proyectados. De esta manera puede evaluarse en forma más exacta las necesidades, garantizar que el software adquirido sea legal y planificar futuras adquisiciones. Como un dato adicional, cabe anotar que las organizaciones de envergadura a menudo dedican el 25 por ciento de sus presupuestos de TI a software.

Evitar procesos legales, sanciones y multas. Es deber de una institución evitar los costos en los procesos legales, las multas y las sanciones mediante la puesta en vigor del proceso de administración de activos de software descrito en la presente guía (al que hace referencia la Resolución Ministerial Nº 073-2004-PCM). El proceso generará un registro de los documentos necesarios para evitar estos riesgos.

El registro incluirá:

Una declaración escrita de la política de software de su organización

Pruebas de la aceptación y el entendimiento por parte de los empleados de la política, el proceso de administración y las responsabilidades

Un inventario completo y actual de los activos de software

Documentación sobre todas las medidas adoptadas en apoyo del proceso de administración y de aquellas señaladas en el Decreto Supremo Nº 013-2003-PCM.

En el Capítulo III, la guía en mención indica lo siguiente:

Realizar un inventario de software es un componente crítico del proceso de administración. Se debe identificar todo el software instalado en las computadoras de la institución, así como recopilar y almacenar en un depósito seguro las licencias y la documentación para el software cuyo uso en la institución haya sido aprobado.

el área de informática debe mantenerla actualizada mediante la renovación periódica de la lista de software autorizado por la institución y la actualización, en caso sea necesaria, de los términos de los acuerdos de licencias. Además, se deben adoptar medidas preventivas para reducir a un mínimo la necesidad de acciones correctivas en el futuro.

• Formular y comunicar una política de software. … la declaración política que formule la institución debe darse a conocer a los empleados a través de los diversos medios disponibles: correo electrónico, intranet, periódico mural, reuniones de trabajo, otros.

• Especificar, comunicar y solicitar la aceptación. Inicialmente, generar apoyo mediante la especificación y la comunicación clara de una política para software, una jerarquía de mando y las responsabilidades de cada empleado. Incluir la información en el manual de funciones del empleado. Distribuir la información en cursos de orientación para nuevos empleados.

• Evitar la confusión y solicitar a cada empleado que lea y acepte la declaración. Es necesario probar que cada empleado recibió información, ha entendido y aceptado cumplir la política interna para administración y uso de software.

Educar. La formación es un elemento importante para obtener la aceptación de los empleados. La institución debe diseñar un programa de formación que ofrezca preparación en tres áreas generales:

• Comprender la declaración de la política, incluido el proceso de administración, los procedimientos de compra y las responsabilidades de los empleados

• Saber determinar si el software o su uso es ilegal

• Reconocer cómo aprovechar las ventajas del activo del software utilizado por la organización

Formas de administración. Una correcta administración de software incluye dos etapas:

• Realizar un inventario inicial de software, y después

• Establecer políticas y procedimientos para mantener el software sobre una base continua.

Perfil del usuario. El perfil de Usuario de Software debe ser elaborado y administrado por la Oficina de Informática para la estandarización, control y optimización del uso de los programas, según las necesidades de la institución.

Sobre el Capítulo IV, menciona lo siguiente:

Lineamientos sobre el Uso del Software y del Perfil de Usuario.

• Los programas desarrollados en la institución y los encargados a terceros deben ser elaborados bajo los estándares de programación, leguajes y herramientas de desarrollo elaborados por la Oficina de Informática de la institución en coordinación con el área del usuario, de acuerdo con los requerimientos del Sistema definido por ellos.

• Todo software elaborado en la institución debe ser revisado y aprobado por la Oficina de Informática. Asimismo, se sugiere su registro ante la Oficina de Derechos de Autor del INDECOPI.

• Cada usuario debe utilizar únicamente el software que la oficina de Informática haya instalado de acuerdo al Perfil de Usuario para el uso de software, asignado según las actividades que desempeñan.

• La Oficina de Informática de la institución deberá evaluar constantemente los programas y/o actualizaciones existentes en el mercado tecnológico para su posible incorporación dentro de la lista de programas estandarizados. Un usuario puede poseer más de un Perfil de Uso.

• No deberá estar permitido instalar otros programas que no estén incluidos en el Perfil de Usuario, aún cuando sean éstos legales y de propiedad del usuario, salvo en casos autorizados por la Oficina de Informática con la licencia o certificado de autorización de uso del fabricante, demostrando además que son utilizadas por un periodo corto y su productividad en las labores asignadas. Igual caso se considera para los programas llamados “freeware” y “shareware”, salvo en este último caso el cual se debe eliminar una vez culminado su período de prueba. Dentro de los programas que pueden ser instalados, se encuentran los llamados “parches” o “actualizaciones” que los fabricantes distribuyen de forma gratuita para optimizar sus productos.

Lineamientos de instalación / desinstalación

• La Oficina de Informática deberá ser exclusivamente quien pueda instalar y desinstalar los programas en los equipos de los usuarios. Esta disposición deberá ser expresa.

• Todos los equipos que requieran la instalación de software deben cumplir los requerimientos mínimos para su funcionamiento.

• Es recomendable que toda solicitud de instalación de software debe estar debidamente justificada por intermedio y autorización del Jefe directo del usuario solicitante, mediante correo electrónico el cual deberá contener al menos: Nombre del Usuario del equipo a instalarse el software, Cargo, Código Patrimonial del CPU, programas requeridos, versión y período de uso así como la justificación de la solicitud.

Lineamientos para Software base, Aplicaciones, Manejadores de Base de Datos y/o utilitarios.

Es recomendable que la Oficina de Informática instale los programas en los equipos recientemente asignados según su Perfil de Usuario, eliminando aquellos que no correspondan con el nuevo perfil. En caso de no ser totalmente nuevo, se procederá a formatear el disco duro e instalar los programas.

DIRECTIVA Nº 007-95-INEI-SJI.

• Referido a las recomendaciones técnicas para la seguridad e integridad de la información que se procesa en la administración pública. En el numeral 5.1 estipula que; En los procedimientos administrativos es recomendable la identificación previa del personal que va a ingresar a las áreas de cómputo, verificando si cuenta con la autorización correspondiente y registrándose el ingreso y salida del área.

• En el numeral 5.11 de la presente Directiva, indica que; Cuando desee proteger especialmente una base de datos se preverá en su desarrollo, que esté garantizado un límite de instalaciones (licencias autorizadas), para su uso.

DIRECTIVA Nº 016-2002-INEI/DTNP.

Referido a las Normas Técnicas para el Almacenamiento y Respaldo de la Información Procesada por las Entidades de la Administración Pública. Establece que:

6.2.1 Copias de los medios de almacenamiento de la información se ubicarán en otro(s) local(es) distante(s) de la institución. La institución designará un responsable para realizar esta labor.

6.3.2 La Oficina de Informática especificará y documentará en el Plan de Contingencias institucional, los procedimientos utilizados en el respaldo de la información.

6.4.9 La Oficina de Informática (o la que haga sus veces) informará periódicamente a los usuarios, el cronograma de respaldo de información, asimismo, hará de conocimiento general las políticas de seguridad y respaldo de información.

RESOLUCIÓN JEFATURAL Nº 0181-2002-INEI

Referido a la aprobación de la Guía Teórico Práctica para la elaboración de Planes Estratégicos de Tecnología de Información – PETI. En su Artículo 2º establece que; Los órganos confortantes del Sistema Nacional de Informática deberán elaborar el Plan Estratégico de Tecnologías de Información de su institución, en base a la Guía Teórico Práctica aprobada en el Artículo 1º de la presente Resolución.

DIRECTIVA Nº 008-95-INEI/SJI.

Referido a las Recomendaciones Técnicas para la Protección de los Equipos y Medios de Procesamiento de la Información en la Administración Pública. Establece que:

– Evitar los cableados sueltos o dispersos, éstos deberán entubarse.

– Para combatir los incendios producidos por equipos eléctricos se deben utilizar extintores, hechos preferentemente de bióxido de carbono, productos químicos secos y líquido vaporizado. Estos estarán al alcance inmediato, preservando la vigencia química del extintor, e identificando su localización en el respectivo plano.

– 6.1 Es recomendable que el acceso a los centros de cómputo sea restringido al personal autorizado, contándose con un registro de entradas y salidas de visitantes.

– 6.8 Contará con un plan de contingencia, así como con estrategias adecuadas para hacer frente a los desastres. Entre el área de cómputo y las demás áreas, se establecerán acuerdos acerca de las condiciones bajo las cuales el plan de contingencias ha de ser activado, considerándose la duración probable de la falta de servicio, y la pérdida (total o parcial) de la capacidad de procesamiento en una o varias instalaciones, etc.

DIRECTIVA Nº 016-94-INEI/SJI.

Referido a las Normas para la Prevención, Detección y Eliminación de Virus Informático en los Equipos de Cómputo de la Administración Pública. Establece que:

Por ningún motivo debe usarse los servidores de red como estaciones de trabajo.

DIRECTIVA Nº 010-95-INEI/SJI.

Referido a las Recomendaciones Técnicas para la Organización y Gestión de los Servicios Informáticos para la Administración Pública. Establece que:

5.1. Los tipos o formas de brindar un Servicios Informático, son los siguientes:

Centro de Cómputo, es la dependencia responsable del procesamiento automático de datos, se caracteriza por disponer de equipos de cómputo de gran capacidad operativa. Este tipo de dependencia corresponde a una organización centralizada de servicios informáticos, por lo que su gestión está basada sobre Áreas Especializadas, …

5.12 Toda institución pública que disponga de un Centro de Cómputo, de Unidades de Cómputo de Usuario y Usuarios que dispongan de Computadoras deberá normar sus actividades, con la finalidad de garantizar un adecuado y ordenado desarrollo del Servicio Informático para la institución, a fin de evitar conflictos de índole técnico – administrativo que pudieran presentarse.

RESOLUCION MINISTERIAL Nº 139-2004-PCM.

Referido a la “Guía Técnica Sobre Evaluación de Software para la Administración Pública”. Establece que:

Artículo 1.- Aprobar el documento “Guía Técnica Sobre Evaluación de Software para la Administración Pública”, documento que será publicado en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe)

Artículo 2.- Las entidades de la Administración Pública, integrantes del Sistema Nacional de Informática, deberán aplicar lo establecido en la “Guía Técnica Sobre Evaluación de Software para la Administración Pública” en los productos de software que desarrollen o adquieran a partir de la fecha de publicación de la presente Resolución.

GUÍA TÉCNICA SOBRE EVALUACIÓN DE SOFTWARE PARA LA ADMINISTRACIÓN PÚBLICA

PARTE 2: MÉTRICAS.

2.2. Métrica Interna.- …En el desarrollo de un producto de software, los productos intermedios deben ser evaluados usando métricas internas que permitan medir las propiedades intrínsecas, incluyendo aquellas que puedan derivarse de comportamientos simulados. El propósito primario de esta métrica interna es asegurar que se logre la calidad externa y la calidad de uso requerida. La métrica interna proporciona a los usuarios, evaluadores, verificadores y desarrolladores el beneficio de que puedan evaluar la calidad del producto de software y lo referido a problemas de calidad antes de que el producto de software sea puesto en ejecución.

2.3. Métrica Externa.- …Antes de adquirir o usar un producto de software, éste debe ser evaluado usando las métricas basadas en los objetivos del área usuaria de la institución relacionados al uso, explotación y dirección del producto, considerando la organización y el ambiente técnico. La métrica externa proporciona a los usuarios, evaluadores, verificadores y desarrolladores, el beneficio de que puedan evaluar la calidad del producto de software durante las pruebas o el funcionamiento.

PARTE 3: PROCESO DE EVALUACIÓN DE SOFTWARE

Todo proceso de evaluación de software deberá partir de una evaluación cualitativa y derivar en una evaluación cuantitativa, siendo todo el proceso documentado, cumpliendo los siguientes pasos:

3.1 Establecer el propósito de la evaluación:

Productos intermedios:

• Decidir sobre la aceptación de un producto intermedio de un subcontratista o proveedor.

• Decidir cuándo un proceso está completo y cuando remitir los productos al siguiente proceso.

• Predecir o estimar la calidad del producto final.

• Recoger información con objeto de controlar y gestionar el proceso.

• Otros con justificación.

Producto final:

• Decidir sobre la aceptación del producto.

• Decidir cuándo publicar el producto.

• Comparar el producto con otros productos competitivos.

• Seleccionar un producto entre productos alternativos.

• Valorar tanto el aspecto positivo, como el negativo, cuando está en uso.

• Decidir cuándo mejorar o reemplazar un producto.

• Otros con justificación.

3.10 Documentación

• Todo el proceso de evaluación debe estar documentado, indicando nombres y apellidos, cargos, procedencia de las personas que participaron en el proceso de evaluación, especificando las etapas en las que participaron, si es necesario. Este documento deberá ser aprobado por el Jefe de Informática o quien haga sus veces.

COMENTARIOS

14.- Se realizó la verificación de adquisición de computadoras y licencias de software en los dos últimos años (2008 y 2009). De la verificación realizada en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado – SEACE, respecto a la compra de computadoras en el ejercicio 2008 por parte de la Institución, se pudo identificar que, con proceso de selección Nº XXXXX, se llevó acabo la adquisición de 4 computadoras y dos impresoras. En las bases de convocatoria para la adquisición de estos equipos no contempla el software que utilizarán las 4 computadoras, obteniendo la buena pro el 22/08/2008 la empresa SISTERET SRL. Del mismo modo en el ejercicio 2009, con proceso de selección Nº YYYYYY, se llevó acabo la adquisición de un equipo servidor y con proceso de selección Nº ZZZZZZ, se efectuó la adquisición de 10 computadoras, para ambas adquisiciones, las bases de convocatoria no contempla el software que utilizarán los equipos, obteniendo la buena pro el proveedor Cayo Julca.

CONCLUSIONES

4.- En los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoca la Institución, no considera el sistema operativo y la herramienta ofimática base, incumpliendo al artículo 3º del Decreto Supremo Nº 002-2007-PCM. (Comentario 14).

RECOMENDACIONES

4.- En los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoque la Institución, deberá considerar de manera obligatoria el sistema operativo y la herramienta ofimática base de acuerdo a los perfiles de usuario determinados por la institución, en cumplimiento al artículo 3º del Decreto Supremo Nº 002-2007-PCM. (Conclusión 4)

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

2010-02-23T12:04:00.000-08:00

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

Introcucción

El Estado Peruano, en el marco de la administración eficiente de los recursos, entre normativas que deberán ser implementadas por los responsables de la administración de cada institución.

Muchos de estas normativas están relacionadas a la Legalidad de la Adquisición de Software y Gestión de los Servicios y Bienes Informáticos.

NORMATIVAS

LEGALIDAD DE SOFTWARE

DECRETO LEGISLATIVO 822 - LEY SOBRE EL DERECHO DE AUTOR

Articulo 37º .- Siempre que la ley no dispusiere expresamente lo contrario, es ilícita toda reproducción , comunicación, distribución, o cualquier otra modalidad de explotación de la obra, en forma total o parcial, que se realice sin el consentimiento previo y escrito del titular del derecho de autor.

Artículo 188º.- La oficina de derechos de autor podrá imponer conjunto o indistintamente, las siguientes sanciones:

a) Amonestación

b) Multa de hasta 150 Unidades Impositivas Tributarias.

c) Reparación de las omisiones

d) Cierre temporal hasta por treinta dias del establecimiento

e) Cierre definitivo del establecimiento

f) Incautación o comiso definitivo

g) Publicación de la resolución a costa del infractor

DECRETO SUPREMO Nº 013 - 2003 - PCM. Referido a la legalidad de la adquisición de programas de software en entidades y dependencias del sector público, que menciona:

Artículo 3º. - Las entidades y dependencias del sector público, deberán implementar las medidas necesarias para asegurar que las partidas presupuestales que se elaboren a partr de la vigencia del presente decreto, incluyen recursos suficientes para el pago de las licencias de software por adquirir, en los casos en que proceda dicho pago.

Artículo 4º.- En un plazo que no exceda del 31 de marzo de 200, las entidades y dependencias comprendidas en la presente norma deberan inventariar los software con la que cuentan, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tonto se requiere dicha licencia, o la correspondiente regularización con los titulares del derechos sobre los mismos. Copia de dicho inventario será remitida a la Presidencia del Consejo de Ministros y al Instituto Nacional de Estadistica e Informática - INEI, para coordinar el proceso de regularizacion al que hace referencia este articulo.

Artículo 5º.- Las entidades y dependencias comprendidas en la presente norma, deberán adoptar las siguientes acciones:

Otorgar al jefe de informática o al funcionario que cada entidad señale, la responsabilidad de certificar el cumplimiento de las medidas señaladas en el decreto supremo.
Adoptar la guia para la aadministracion Eficiente del software legal en la Admininistración pública
Desarrollar y mantener un adesuado sistema de actualización del inventario de software de entidad dependencia segun sea el caso.
Incluir expresamente el requerimiento de autorización o licencia legalmente emitida de todo proceso de compra estatal de software legal, en tanto dicha autorización o licencia se requiera.
Desarrollar acciones informativas dirigidas al personal de cada institución con el objetivo de asegurar la correcta administración del software y el cumplimiento de las obligaciones contenidas en la presente norma. continuara..........

AUDITORÍA DE SISTEMAS –INTERNA / EXTERNA

2010-02-19T09:35:00.000-08:00

AUDITORÍA DE SISTEMAS –INTERNA / EXTERNA

INTRODUCCIÓN

La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un Mecanismo, para valorar y evaluar La Confianza Que se puede depositar en los sistemas de información

AUDITORÍA

Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados

American Accounting Association

La AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

CONCEPTO DE AUDITORÍA

· La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

· Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

MIGUEL ANGEL RAMOS (MIEMBRO DE LA O.A.I)

· La define como la revisión de la propia informática y de su entorno:

– Análisis de riesgos.

– Planes de contingencia.

– Desarrollo de aplicaciones.

– Asesoramiento en paquetes de seguridad.

– Revisión de controles y cumplimiento de los mismos, así como de las normas legales.

– Evaluación de la gestión de los recursos informáticos

AUDITORIA DE SISTEMAS

· El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

· La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa.

· En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

· Finalmente, debemos reafirmar que la Auditoria Informática, también conocida en nuestro medio como Auditoria de Sistemas, surge debido a que la información se convierte en uno de los activos más importante de las empresas, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones físicas de cualquier organización, sin que sufran daños los ordenadores, servidores o equipo de cómputo, la entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo contrario.

· A raíz de esto, la información adquiere gran importancia en la empresa moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y tiempo en la creación de sistemas de información con el fin de obtener una mayor productividad.

CONCEPTO DE AUDITORÍA

Se entiende por Auditoria “una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización. (B.Sawyer)”.

Los distintos tipos de auditorías que se pueden realizar se clasifican en:

Financieras

Verificadoras

Informáticas

Operativas o de Gestión

Técnicas.

AUDITORIAS FINANCIERAS: Las que se hacen con el fin de asegurar el adecuado registro de las transacciones, el cumplimiento de los principios de Contabilidad generalmente aceptados y los planes y regulaciones contables y financieros, que obligan a la organización.

LAS AUDITORIAS VERIFICATIVAS O DE CUMPLIMIENTO: Tratan de asegurar a la dirección de la organización, que sus políticas, programas y normas se cumplen razonablemente en todo el ámbito de la misma.

LA AUDITORÍA INFORMÁTICA: Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software.

LA AUDITORÍA OPERATIVA O DE GESTIÓN: Es una revisión que comprende las actividades, sistemas y controles dentro de la empresa para conseguir economía, eficiencia, eficacia u otros objetivos

LA AUDITORÍA TÉCNICA O DE MÉTODOS: Es una revisión de los métodos y técnicas utilizadas en la realización de las operaciones de la empresa.

¿QUÉ SE DEBE ASEGURAR?

Siendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estar debidamente protegida.

¿CONTRA QUÉ SE DEBE PROTEGER LA INFORMACIÓN?

La Seguridad de la Información, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

¿QUÉ SE DEBE GARANTIZAR?

CONFIDENCIALIDAD: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.

¿POR QUÉ AUMENTAN LAS AMENAZAS?

Las Organizaciones son cada vez más dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez más vulnerables a las amenazas concernientes a su seguridad.

FIREWALL RESET

2009-04-30T05:53:00.000-07:00

ABRIR INICIO > EJECUTAR Y TECLEAR…

rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf
2. Reiniciar el equipo.
3. Teclear: netsh firewall reset en la consola de símbolo de sistema.

Listo, tu problema esta resuelto ...Suerte

Software Malintencionado

2009-04-29T10:11:00.000-07:00

Herramienta de eliminación de software malintencionado de Microsoft® Windows® (KB890830).

Infecciones por software malintencionado (como Blaster, Sasser y Mydoom)

Descargar el software:

http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=es

WINDOWS 7

2009-04-28T22:11:00.000-07:00

Windows 7 llegaría en 2010

AMD “DRAGON"

2009-04-24T16:44:00.000-07:00

AMD ACELERA SU PLATAFORMA “DRAGON"

Al funcionar a una frecuencia de 3.2 GHz, el nuevo procesador AMD Phenom II X4 955 Black Edition se une a la plataforma Dragon para proporcionar a los usuarios velocidad y rendimiento.
AMD ha anunciado una actualización en su plataforma Dragon al incluir el nuevo procesador AMD Phenom II X4 955 Black Edition. El procesador AMD Phenom II 955 Black Edition es el procesador más rápido de la compañía y proporciona mayor rendimiento, imágenes HD, compatibilidad con placas AM2+ y soporte para DDR3. La actualización de la plataforma Dragon consiste en el nuevo procesador AMD Phenom II X4 955 Black Edition, el chipset AMD Serie 7 y las gráficas ATI Radeon HD 4890. Con esta renovación, AMD combina su procesador más rápido con su gráfica más potente para proporcionar entretenimiento multimedia de alta definición.

SABOTAJE CIBERNÉTICO

2009-04-23T06:19:00.000-07:00

PIRATAS ANUNCIAN SABOTAJE CIBERNÉTICO CONTRA BUFETE DE ABOGADOS

Organización de piratas planea un ataque masivo contra el bufete de abogados que ha representado a las industrias discográfica y cinematográfica en causas anti-piratería. Las reacciones de todo tipo no se han hecho esperar después que los propietarios de The Pirate Bay perdieran la semana pasada el juicio interpuesto en su contra por la industria del entretenimiento. Entre las reacciones más airadas y combativas figuran las de piratas indignados con tal industria, por haberles inflingido una derrota. El lunes 20 de abril, el sitio de IFPI fue atacado por hackers mediante un ataque de negación de servicio (DDoS) que desbordó el sitio dejándolo fuera de servicio durante varias horas. Ahora se espera un ataque contra el bufete de abogados MAQS, programado para el jueves 23 de abril. MAQS ha representado en varias oportunidades a las industrias discográfica y cinematográfica en causas civiles, por lo que para muchos piratas representa al "enemigo". El ataque del jueves 23 ha sido planeado en detalle y organizado en lo que parece ser el propio wiki de los piratas El ataque es denominado "Operation Baylout", y en la página se invita a los visitantes a participar en la jornada de vandalismo cibernético, que consistirá de ataques DDoS, envío por fax de imágenes, spam en el foro del sitio y campaña de desprestigio de MAQS frente a sus socios y colaboradores. Los propios titulares de The Pirate Bay pidieron durante el juicio a sus partidarios no realizar ataques de este tipo, ya que perjudican a los usuarios del servicio "que nada malo hacen".

PORNOGRAFÍA

2009-04-22T18:31:00.000-07:00

SIETE DE CADA 10 LAPTOPS CONTIENEN PORNOGRAFÍA

Cuando los responsables de soporte técnico en las empresas analizan los PC de los empleados detectan pornografía y otro material ajeno al trabajo, de tipo "inapropiado", en el 70% de todos los aparatos. No debería sorprender que los empleados de las empresas ocasionalmente usen el PC para fines ajenos a su trabajo. Nueva investigación realizada por Ponemon Institute, y referida por ComputerWorld especifica de qué tipo de navegación se trata. Entre 3.100 empleados encuestados en forma anónima, el 70% respondió haber usado en mayor o menor grado un laptop de la empresa para visualizar pornografía. El personal de soporte técnico pudo constatar que en los laptops de los empleados había pornografía en forma de fotografías, vídeos o restos de búsquedas. Asimismo, en el 63% de los PC se encontró material que revelaba que el empleado planeaba abandonar la empresa, como por ejemplo visitas a sitios de empleo o elaboración de CV. En la encuesta participaron empleados de soporte técnico en empresas de EEUU, Inglaterra, Alemania, Francia, México y Brasil.

INCAUTAN MP3 PIRATAS

2009-04-22T18:23:00.000-07:00

PROPONEN QUE ADUANAS INCAUTEN TÍTULOS MP3 PIRATEADOS

Acuerdo internacional podría calificar de contrabando la internación de música en formato MP3 almacenada en ordenadores portátiles y reproductores multimedia. Estados Unidos, la UE y una serie de países están en la etapa final de negociaciones del denominado pacto ACTA, tendiente a normar y armonizar las legislaciones sobre piratería en los países firmantes. Las negociaciones fueron iniciadas en 2006, y la semana pasada se publicó un resumen del texto de la propuesta. Una de las medidas que se propone adoptar es facultar a los servicios de aduana a revisar los PC portátiles y reproductores multimedia de los viajeros en búsqueda de archivos MP3 o DivX. En otras palabras, los viajeros internacionales podrían verse enfrentados a situaciones en que se les exija documentar haber comprado la música o películas contenidas en el PC. Organizaciones de defensa de la privacidad, como EFF, han expresado preocupación ante la propuesta, señalando que genera asociaciones con la sociedad descrita por George Orwell en su novela 1984. La propuesta implica además que las industrias discográfica y cinematográfica tendrán derecho a obtener información sobre la identidad de quienes descargan material ilegal de Internet. Esta información puede ser obtenida mediante la dirección IP desde la que se realiza la conexión. En caso de que la propuesta se convierta en ley internacional, los servicios de aduana revisarán los aparatos electrónicos de los viajeros con el mismo interés que ahora revisan sus equipajes. Imagen: Actualmente, los servicios de aduana buscan sustancias ilegales físicas. A futuro, lo mismo podría ocurrir con archivos digitales pirateados.

Manual de Sony Vegas 6 en Español

2009-01-03T07:35:00.000-08:00

manual para descargar video de YouTube

2009-01-02T07:57:00.000-08:00

Pasos para descargar un vídeo de YouTube

Aquí les dejo la pagina de descarga

Pagina de descarga http://www.bajaryoutube.com/

Por ultimo debe hacer click en DESCARGAR VÍDEO
De una ves que descargaste el vídeo lo tienes que convertir de formato avi a mp3
Para que l puedas visualizar
Y les dejo la pagina de descargar para que descargan el convertidor
http://www.freedownloadmanager.org/es/downloads/Xilisoft_MOV_Convertidor_40940_p/free.htm
lo instalan el programa y ya pueden convertir sus vídeos Cuando se termina la instalación del programa se crea un icono de acceso directo en el escritorio

El siguiente paso seria agregar los vídeos que has descargado al convertidor

Por ultimo click en ABRIR

Luego tienes que tener en cuenta donde se guardara tu vídeo
Y listo eso es todo ya puedes ver tu vídeo

Redes Informáticas

2008-12-31T08:42:00.000-08:00

A medida que la informática de escritorio maduraba en el lugar de trabajo, las compañías instalaban redes de área local (LANs) para conectar las PCs de escritorio de modo tal que las PCs pudieran compartir datos y periféricos, como impresoras. Instalar placas adaptadoras de red en las PCs y luego conectar los adaptadores utilizando alambre de cobre creó las LANs. Conectando las computadoras en red, el problema de una comunicación eficiente quedó resuelto, pero aparecieron nuevos.
Las primeras LANs basadas en PC necesitaban una forma de proporcionar seguridad a los archivos, acceso multiusuario a los recursos, y privilegios de usuarios. Las LANs basadas en PC también necesitaban una forma de comunicarse con los mainframes que aún eran el punto focal de los entornos informáticos corporativos.
Un enfoque para resolver estos problemas era desarrollar sistemas operativos especializados en funcionar en un entorno en red. Estos mal llamados sistemas operativos de red (NOSs) requerían más potencia informática que sus contrapartes de escritorio. Una nueva raza de PCs potentes se vio obligada a entrar en servicio como servidores de red. Estas computadoras corrían NOSs y se convirtieron en el punto focal de la LAN basada en PCs. En una red basada en el servidor, las máquinas clientes se conectan a y acceden a recursos en el servidor. Estas máquinas cliente pueden ejecutar sistemas operativos de escritorio, mientras que los servidores más potentes utilizan un sistema operativo de redes. Compañías de software como Novell y Microsoft diseñaron sus sistemas operativos de red para controlar entornos de red basados en PCs.
A medida que los servidores de red se hacían más poderosos, comenzaban a adoptar las funciones una vez manejadas por los mainframes y minicomputadoras. Compañías tales como Sun Microsystems y Hewlett Packard (HP) modificaron el sistema operativo UNIX para que corra en servidores extremadamente potentes. En el pasado, sólo los caros mainframes y minicomputadoras eran responsables de las aplicaciones y el almacenamiento de datos críticos. Pero al igual que los NOSs Novell y Microsoft, UNIX podía correr en microcomputadoras. Hoy, virtualmente todas las organizaciones se basan (al menos en parte) en microcomputadoras para almacenar datos críticos y proporcionar aplicaciones y servicios clave. El networking informático no se confina al lugar de trabajo. La mayoría de los usuarios hogareños esperan conectarse a la red más grande del mundo, Internet. La navegación por la web, el correo electrónico (e-mail), y otras aplicaciones relacionadas con Internet son ahora el centro de la informática en el hogar. Para proporcionar estas tecnologías de Internet, compañías tales como Microsoft han reconstruido sus sistemas operativos de escritorio. El OS de escritorio incluye ahora muchas de las funcionalidades y servicios que antes se reservaban a los NOSs.
___________________________________________________________________

EL KERNEL

Ya sea que esté diseñado para una computadora autónoma de escritorio o un servidor de red multiusuario, todo el software de los sistemas operativos incluye los siguientes componentes:
Kernel es el término más común para el núcleo del sistema operativo. El kernel es una porción relativamente pequeña de código que se carga en la memoria cuando la computadora arranca. Este código informático contiene instrucciones que permiten al kernel administrar dispositivos de hardware, tales como unidades de disco. El kernel también administra y controla la adjudicación de la memoria, los procesos del sistema, y otros programas. El software de aplicaciones y otras partes del sistema operativo se basan en el kernel para proporcionar servicios básicos de cronogramas y acceso al hardware y a los periféricos de la computadora.
Al utilizar un sistema UNIX o Linux, puede estar presente un archivo llamado "kernel". En algunos casos, el código del kernel puede tener que ser personalizado y compilado. Si este archivo se volviera corrupto, el sistema ya no funcionaría. En un sistema Windows, pueden verse nombres de archivos que incluyen la palabra "kernel" o "kern", por ejemplo "kernel32.dll". Estos son archivos críticos que son utilizados por el núcleo del sistema operativo. La Figura muestra el archivo kernel32.dll y dónde está ubicado dentro de los archivos del sistema central de Windows.

_____________________________________________________________________

LA INTERFAZ DEL USUARIO

La interfaz del usuario (UI) es la parte más visible del sistema operativo de una computadora. La UI es el componente del OS con el cual interactúa el usuario. Actúa como puente entre el usuario y el kernel. La UI es como un intérprete, traduciendo las teclas que presiona el usuario, los clics del mouse, u otras entradas para los programas apropiados. La salida del programa puede ser organizada y mostrada por la UI. En un sistema UNIX o Linux, una UI se denomina por lo general shell.

Las interfaces del usuario recaen en dos categorías generales:

La Figura muestra un ejemplo de la interfaz de línea de comandos (CLI) de Windows
La Figura muestra un ejemplo de la interfaz gráfica del usuario (GUI) de Windows

Los primeros sistemas operativos de PC utilizaban exclusivamente CLIs. La CLI proporciona al usuario un prompt visual, y el usuario introduce los comandos tipeándolos. La computadora da como resultado la salida de los datos a la pantalla tipográficamente. En otras palabras, un entorno CLI se basa completamente en texto y el usuario sólo puede hacer las cosas introduciendo comandos mediante el teclado.

Los usuarios de UNIX y Linux pueden elegir a partir de una variedad de CLIs, o shells, como el shell Bourne y el shell Korn. Los shells UNIX se tratan posteriormente en este módulo.
Hoy, todos los OSs de escritorio populares soportan GUIs. Una GUI permite al usuario manipular el software utilizando objetos visuales tales como ventanas, menús desplegables, punteros e íconos. La GUI permite al usuario introducir comandos mediante un mouse u otro dispositivo de apuntar y hacer clic. Los usuarios finales prefieren una interfaz gráfica porque hace que operar la computadora sea fácil e intuitivo. Un usuario puede llevar a cabo operaciones simples utilizando una GUI sin siquiera saber leer.
El inconveniente de simplificar la interfaz del usuario se da en el desempeño. Algún software de GUI puede consumir más de cien veces el espacio de almacenamiento que consume el software CLI. Puesto que las GUIs son más complicadas que las CLIs, el software GUI requiere significativamente más memoria y tiempo de la CPU.
Puesto que el usuario final promedio prefiere y espera una interfaz gráfica cuando utiliza una computadora, las GUIs se consideran ahora un requisito para los OSs de escritorio. No obstante, los sistemas operativos de red no han, tradicionalmente, asistido las necesidades de los usuarios inexpertos. Varios NOSs no soportan completamente GUIs. Hoy la mayoría de los NOSs soportan GUIs como módulos separados, que pueden cargarse y usarse como cualquier otro programa que se ejecute en el sistema. La mayoría no requiere que estos módulos GUI funcionen, no obstante resultan más fáciles y atractivos al usuario inexperto y más disponibles al público.
Los administradores de sistemas por lo general están cómodos trabajando en entornos CLI, porque pueden elegir preservar recursos del servidor no cargando el software GUI. Por ejemplo, tanto UNIX como Linux soportan GUIs, pero cuando se los implementa como NOSs, UNIX y Linux a menudo se configuran sin componentes GUI. En contraste, los servidores Windows siempre incluyen la GUI y por lo tanto demandan más a los recursos del sistema.

______________________________________________________________________

EL SISTEMA DE ARCHIVOS

El sistema de archivos de un OS determina la forma en la cual los archivos se nombran y cómo y dónde se colocan en los dispositivos de almacenamiento, como los discos rígidos. Los OSs Windows, Macintosh, UNIX y Linux emplean todos ellos sistemas de archivos que utilizan una estructura jerárquica.
En un sistema de archivos jerárquico, los archivos se colocan en contenedores lógicos que se disponen en una estructura de árbol invertido, como lo muestra la Figura. El sistema de archivos comienza en la raíz del árbol. UNIX y Linux llaman a un contenedor que reside en el nivel superior de un árbol, "directorio". Los contenedores dentro de cada directorio se llaman "subdirectorios". Los OSs Windows y Macintosh utilizan los términos "carpeta" y "subcarpeta" para describir a los directorios y subdirectorios.

El sistema de archivos de un OS determina más que tan sólo cómo se organizan lógicamente los archivos y carpetas. El tipo de sistema de archivos utilizado por la computadora determina si los archivos pueden o no asegurarse respecto a otros usuarios o programas. El sistema de archivos también define cómo se disponen físicamente los datos en el medio de almacenamiento, tal como un disco rígido. Algunos sistemas de archivos utilizan el espacio en disco más eficientemente que otros.
Un tipo común de sistema de archivos se denomina Tabla de Adjudicación de Archivos (FAT). Los sistemas de archivos FAT son mantenidos en el disco por el sistema operativo. La tabla contiene un mapa de archivos y dónde se almacenan en el disco. La FAT hace referencia a clusters de disco, que son la unidad básica de almacenamiento lógico en el disco. Un archivo determinado puede almacenarse en varios clusters, pero un cluster puede contener datos de sólo un archivo. Estos clusters pueden, o no estar uno junto a otro. El OS utiliza la FAT para hallar todos los clusters de disco donde un archivo está almacenado.
Existen tres tipos de sistemas de archivos FAT. Existe el sistema de archivos FAT original, al cual se denomina "FAT" y los dos otros tipos son FAT16 y FAT32, que son versiones avanzadas y mejoradas del sistema de archivos FAT original. Éste se utilizaba en las primeras versiones de DOS, no obstante, no podía ser utilizado con los discos rígidos más grandes y con sistemas operativos más avanzados como Windows 3.1, Windows 95 y Windows 98. El sistema FAT original estaba limitado en varios sentidos, como por ejemplo siendo sólo capaz de reconocer nombres de archivos de hasta ocho caracteres de largo. Otras limitaciones del FAT era que no podía ser una opción viable a utilizar en los discos rígidos más grandes y en los más avanzados sistemas operativos que rápidamente se estaban desarrollando. El sistema de archivos FAT original no podía apropiadamente hacer un uso eficiente del espacio en estas unidades de disco rígido más grandes. Esto uso ineficiente del espacio era el mismo problema que enfrentó FAT16, y un motivo principal para el desarrollo de FAT32. FAT16 fue creado para su uso en particiones más grandes de hasta 4 gigabytes (GB). Aunque los discos más grandes pueden formatearse en FAT16, hacerlo resulta en un uso ineficiente de espacio en disco porque en los sistemas FAT, particiones más grandes resultan en tamaños de cluster más grandes. Por ejemplo, con una partición de 512 megabytes (MB), el tamaño de los clusters, o unidades básicas de almacenamiento, es de 8 KB. Esto significa que si un archivo tiene un tamaño de sólo 1 KB, utiliza 8 kilobytes (KB) de espacio a causa de que más de un archivo no puede almacenarse en un cluster, los 7 KB extra se desperdician. Para superar este problema, se desarrolló FAT32. Este sistema de archivos de 32 bits utiliza tamaños de cluster más pequeños en los discos grandes. Soporta particiones de un tamaño de hasta 2 terabytes (TB).

La Figura muestra los sistemas de archivos de los sistemas operativos

Sistemas operativos diferentes utilizan sistemas de archivos diferentes, y algunos sistemas operativos pueden utilizar más de un sistema de archivos. Por ejemplo, aunque Windows 3.x puede utilizar sólo el sistema de archivos FAT16, Windows 2000 puede usar FAT16, FAT32, o el New Technology File System (NTFS).

El sistema de archivos determina las convenciones de nombrado de archivos y el formato para especificar un camino, o ruta, hasta la ubicación del archivo. Estas reglas para nombrar archivos varían dependiendo del sistema de archivos e incluyen varios temas.

Cantidad máxima de caracteres permitida en un nombre de archivo
Longitud máxima de las extensiones o sufijos de los archivos
Si se permiten espacios entre palabras en un nombre de archivo
Si los nombres de archivos son sensibles al uso de mayúsculas y minúsculas
Qué caracteres son legales para su uso en nombres de archivo.

El formato para especificar la ruta

SISTEMAS OPERATIVOS DE ESCRITORIO COMUNES

Durante los últimos veinte años, los sistemas operativos de escritorio han evolucionado para incluir GUIs sofisticadas y potentes componentes de networking como se muestra en la Figura

Microsoft Disk Operating System (MS-DOS) es un OS obsoleto que todavía se utiliza para soportar aplicaciones de negocios heredadas. Las versiones de Windows anteriores a Windows 95 eran esencialmente interfaces del usuario para DOS.

Microsoft Windows incluye Windows 95, 98, ME, NT, 2000 y XP.
Apple Macintosh OS (Mac OS) incluye OS 8, OS 9 y OS X (OS 10).
Linux incluye distribuciones de varias compañías y grupos, como por ejemplo Red Hat, Caldera, Santa Cruz Operation (SCO), SuSE, Slackware, Debian y otros.
UNIX incluye HP-UX, Sun Solaris, Berkeley System Distribution (BSD), y otros.

Hoy, los desarrolladores y usuarios de OS por igual reconocen a Internet como centro de la informática. Puesto que el networking e Internet se han convertido en parte tan integral del uso de una computadora, el sistema operativo de escritorio converge rápidamente con el sistema operativo de red

Microsoft Windows y Mac OS pueden remontar sus raíces a las primeras PCs de escritorio. Las últimas versiones de estos OSs tienen potentes componentes NOS en su núcleo. Windows XP está armado sobre tecnología NOS de Microsoft (NT y 2000), mientras que Mac OS está armado en torno a UNIX. UNIX es considerado el primer NOS. Y al igual que a UNIX, la industria de la Tecnología de la Información (IT) siempre ha considerado a Linux antes como a un NOS, y en segundo lugar como a un sistema operativo de escritorio

¿Son Windows, Linux y UNIX software de escritorio o software de servidor de red? La respuesta a esa pregunta depende de varios factores, incluyendo la versión específica del OS, los componentes instalados, y la configuración del sistema. En las secciones que siguen, Microsoft Windows y Linux se tratan como sistemas operativos de escritorio. Windows 2000 y Linux se tratan en términos de sistemas operativos de red posteriormente en este curso

Estaciones de Trabajo Una estación de trabajo Linux, también conocida como computadora de escritorio, es un sistema que comúnmente es una computadora autónoma que consiste en un monitor, teclado y mouse. Más a menudo una estación de trabajo se configurará con una conexión de red también, pero éste no es un requisito para una estación de trabajo o computadora de escritorio. La Figura muestra un ejemplo de una estación de trabajo típica sobre la que puede correr Linux.

Al evaluar los requisitos apropiados para una estación de trabajo Linux, es importante tener en cuenta que el usuario requrirá hardware y software específico instalados en el sistema. Por ejemplo, los requisitos para un sistema de baja potencia, que una persona podría necesitar para tareas simples como procesamiento de texto, no será un sistema con una unidad central de procesamiento (CPU) muy rápida o grandes cantidades de memoria y espacio en el disco duro. No obstante, estos requisitos para un sistema de alto desempeño para una persona que necesita hacer tareas más complejas, como edición de video o simulaciones científicas de alto consumo de recursos, serán mayores. Este sistema de alto desempeño tendrá de hecho un procesador muy rápido así como grandes cantidades de memoria rápida y espacio en el disco rígido.