UNIDAD I

INTRODUCCION Y CONCEPTOS BASICOS

Informatique
Ciencia del tratamiento racional y automtico de la informacin, considerando esta como soporte de los conocimientos humanos y
de las comunicaciones en los campos tcnicos, econmico y social

INFORMACIN AUTOMTICA
Conjunto de conocimientos cientficos y tcnicas que hacen posible el tratamiento automtico de la informacin por medio de
ordenadores.
En la informtica convergen los fundamentos de:
Ciencias de la computacin.
Programacin y metodologas para el desarrollo de software.
Arquitectura de computadores.
Redes de computadores.
Inteligencia artificial.
Electrnica.

Hardware
Representa la parte fsica de una computadora o sistema informtico, es decir, todos los elementos materiales que lo componen.

Software
El software de un sistema informtico es el conjunto de elementos lgicos necesarios para realizar las tareas encomendadas al
mismo.
El software es la parte lgica que dota al equipo fsico de capacidad para realizar cualquier tipo de trabajos.
Datos
Son smbolos que describen hechos, condiciones, valores o situaciones.
Un dato puede ser una letra, un nmero, un signo ortogrfico o cualquier smbolo y que representa una cantidad, una medida, una
palabra o una descripcin. Por s mismos los datos no tienen capacidad de comunicar un significado.
Informacin
Es el elemento a tratar y se define como todo aquello que permite adquirir cualquier tipo de conocimiento. Existir informacin
cuando se da a conocer algo que se desconoce
Los datos, una vez procesados, constituyen informacin til.
Proceso
Conjunto de operaciones necesarias para transformar los datos iniciales en los resultados que se desean obtener en un
determinado trabajo.

Aplicacin informtica
Conjunto de uno o varios programas que realizan un determinado trabajo completo.
Ejemplo: procesadores de texto, hojas de clculo, gestores base de datos, etc

Auditoria
Es el examen profesional, objetivo e independiente de las operaciones financieras y/o administrativas, que se realiza con
posterioridad a su ejecucin en las entidades pblicas o privadas, y cuyo producto final es un informe, conteniendo opinin sobre la
informacin financiera y/o administrativa auditada, as como conclusiones y recomendaciones tendientes a promover la
economa, eficiencia y eficacia de la gestin empresarial o gerencial.
-

Este examen comprende:

Determinar el grado de cumplimiento de objetivos y metas de los planes administrativos y financieros.
Forma de adquisicin, proteccin y empleo de los recursos materiales y humanos.
Racionalidad, economa, eficiencia y eficacia en el cumplimiento de los planes financieros y administrativos.

Caractersticas de la auditora
Es objetiva

Significa que el examen es imparcial, sin presiones ni halagos, con una actitud mental independiente, sin influencias personales ni
polticas.

En todo momento debe prevalecer el criterio del auditor, que estar sustentado por su capacidad profesional y conocimiento
pleno de los hechos que refleja en su informe.

Es sistemtica y profesional:
La auditora debe ser cuidadosamente planeada y llevada a cabo por profesionales conocedores del ramo que cuentan con la
capacidad tcnica y profesional requerida, los cuales se atienen a las normas de auditora establecidas, a los principios de
Contabilidad generalmente aceptados y al cdigo de tica Profesional.
El desarrollo de la auditora se lleva a cabo cumpliendo en forma estricta los pasos que contienen las fases del proceso de la
auditora:
Planeacin, Ejecucin e Informe.
Informe final:
Finaliza con la elaboracin de un informe escrito (dictamen) que contiene los resultados del examen practicado, el cual debe
conocer de previo la persona auditada, para que tenga a bien hacer las correspondientes observaciones del mismo; adems el
informe contiene las conclusiones tendientes a la mejora de las debilidades encontradas.

Auditoria Informtica
Es el proceso de recolectar y evaluar evidencias para determinar si los Sistemas Informticos y recursos relacionados:
Salvaguardan adecuadamente los activos
Mantienen la integridad de los datos y del sistema
Proveen informacin confiable y oportuna
Logran efectivamente las metas de la organizacin
Consumen los recursos de manera eficiente
Tienen en vigor los controles internos que proveen una garanta razonable de que se alcanzarn los objetivos del negocio,
operativos y de control.
Auditoria Informtica
Es una revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas,
normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados,
con el fin de emitir una opinin profesional (imparcial) con respecto a la:
Efciencia y eficacia en la utilizacin de los recursos informticos
Seguridad de los recursos informticos
Efectividad de los controles establecidos.

Es un proceso formal ejecutado por especialistas del rea de auditoria y de informtica cuyo objetivo es el de verifcar y asegurar
que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa en la organizacin se realicen de
manera eficiente y efcaz.
Dicha evaluacin deber ser la pauta para la entrega del informe de auditoria en informtica, el cual debe contener las
observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin permanente de la tecnologa de
informtica en el negocio.
Antecedentes
El incremento constante de las expectativas y necesidades relacionadas con la informtica, al igual que la actualizacin
continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que la aplican, a disponer de
controles, polticas y procedimientos que aseguren a la alta direccin la correcta utilizacin de los recursos humanos,
materiales, y financieros involucrados, para que se protejan adecuadamente y se orienten a la rentabilidad y competitividad del
negocio
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una herramienta estratgica que brinda rentabilidad
y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas
si no es bien administrada por el personal encargado
La
solucin clara es entonces realizar evaluaciones oportunas y completas de la funcin informtica, a cargo de personal
calificado, consultores externos, auditores en informtica o evaluaciones peridicas
Entonces la auditora en informtica se encarga de evaluar y verifcar polticas, controles, procedimientos y seguridad en los
recursos dedicados al manejo de la informacin, mediante la aplicacin de una metodologa que debe de ejecutarse con formalidad y
oportunidad.
El rol del auditor en informtica es el de funcionar como un punto de control y confianza para la alta direccin o los dueos de
la empresa, adems debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la
empresa a optimizar el uso de los recursos informticos
La auditora
- Seguridad
- Integridad
- Eficiencia
- Eficacia
- Rentabilidad

informtica

sirve

para

mejorar caractersticas importantes en la empresa como:

reas de revisin de la Auditoria Informtica

Generalmente la A.I. se puede desarrollar en alguna o combinacin de las siguientes reas:
- Gobierno corporativo de TI
- Proteccin y Seguridad del ambiente TI
- Administracin del Ciclo de vida de los sistemas
- Servicios y Soportes
- Planes de contingencias y recuperacin ante desastres
Objetivos de la Auditoria Informatica

Conocer la situacin actual del rea informtica y

las actividades y esfuerzos necesarios para lograr

los objetivos propuestos.

Verificar la implantacin y cumplimiento de normativas establecidas y recomendar las necesarias en este

mbito.

Verificar la gestin
Asegurar

la

eficaz

integridad,

de los recursos informticos.

confidencialidad

y disponibilidad de la informacin

mediante

recomendaciones de seguridad y controles

Verificar el apoyo de la funcin informtica al cumplimiento de metas y objetivos de la organizacin

Minimizar riesgos existentes en el uso de T.I

Justifcativos para efectuar una auditoria informtica

Desconocimiento en el nivel directivo de la situacin informtica de la empresa.

Falta total o parcial de seguridad que garantice la integridad del personal, equipos e informacin.
Descubrimiento

de

fraudes

efectuados

con

el computador

Aumento considerable e injustifcado del presupuesto del rea de Informtica.

Falta de planifcacin informtica

Descontento
general
de
los
usuarios
por incumplimiento de plazos y mala calidad de los resultados

el

Falta
mantenimiento

de
de

documentacin
los

sistemas

documentacin incompleta de sistemas que revela la difcultad de efectuar

en produccin

Perfl del Auditor Informatico

A un auditor informtico se le presupone cierta formacin informtica y experiencia en el sector, independencia y objetividad,
madurez, capacidad de sntesis y anlisis y seguridad en s mismo.

En nuestro pas existe un vaco legal por la ausencia de normativas que defina claramente:
-

Quin puede realizar auditora informtica?

- Cmo se debe realizar una auditora informtica?

-

En

que

casos

es

necesaria

una

auditora informtica?

Tipos de Auditoria Informtica

Auditora de la gestin de TI:
Referido al gobierno de TI, plan corporativo, a la contratacin de bienes y servicios, gerenciamiento de proyectos de TI, etc.
Auditora de las bases de datos:
Controles de acceso, de actualizacin, de integridad y calidad de los datos, errores, fraudes.
Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad,
confidencialidad, autenticacin y no repudio
Auditora de Redes: comprende administracin, configuracin, transmisin de datos, etc.
Principales

pruebas

para

realizar

una auditoria

- Prueba Clsica:
Consiste en probar las aplicaciones/sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida.
Existen paquetes que permiten la realizacin de estas pruebas.

- Pruebas de Cumplimiento o Control

Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y
segn las polticas y procedimientos de la organizacin).
Tienen como objetivo conocer el nivel de seguridad que los controles brindan y el nivel de aplicacin de dichos controles.
Implican:
- Anlisis de la documentacin, los procedimientos y los programas.
- Estudio de causas de riesgos y controles existentes.
- Estudio de controles dbiles y ausentes.
- Pruebas Sustantivas

Revisin exhaustivas del objeto de auditora.

- Aportan al auditor informtico de suficientes
evidencias para que se pueda formar un juicio.
- Obtenidas mediante clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones.
- Verifican asimismo la exactitud, integridad y validez de la informacin.
- Buscan determinar pruebas de situaciones inadecuadas o incorrectas.
Principales herramientas del Auditor y tcnicas de AUD INF.
Observacion:
La observacin de procesos y desempeo de empleados es una tcnica clave de auditoria para muchos tipos de revisiones.
El auditor no debera obstaculizar las funciones del proceso al realizar sus observaciones y debera documentear todo con
suficiente detalle como para presentarlo.

Cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio

que dichas personas sean las responsables ofciales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especfcos para
cada situacin.
Esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos
preimpresos hubieran proporcionado.
Entrevistas
El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma
de una conversacin correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparacin muy elaborada
y sistematizada, y que es diferente para cada caso
particular.

Checklist
El auditor conversar y har preguntas que servirn para complementar la informacin obtenida de los cuestionarios.
El conjunto de preguntas realizadas por el auditor, recibe el nombre de checklist. Salvo excepciones, los checklist deben ser
contestadas en forma oral, ya que superan en riqueza y generalizacin a cualquier otra forma.

Software de interrogacin
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces
de generar programas para auditores escasamente cualifcados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de
consecuencias e hiptesis de la situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que
permiten la interrogacin de fcheros y bases de datos de la empresa auditada.
TAACS (TECNICAS DE AUDITORIA ASISTIDA POR COMPUTADORAS)
Son programas y datos de computadora que el auditor utiliza como parte de los procedimientos de auditoria para

procesar datos importantes para la Auditoria en los Sistemas de Informacin de una organizacin.

Propsito
-

Identifcar tendencias

Sealar excepciones

Localizar errores y posibles irregularidades

Permiten:
-

Extraer informacin para su revisin

Obtener informacin de los sistemas automatizados

UNIDAD II
AUDITORIA INFORMATICA
Auditoria Informtica
Es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin,
efciencia y seguridad de la organizacin que participan en el procesamiento de la informacin, a fn de que por medio del
sealamiento de cursos alternativos se logre una utilizacin mas efciente y segura de la informacin que servir para una
adecuada toma de decisiones.

Una metodologa de auditora es un conjunto de procedimientos documentados de auditora diseados para alcanzar los
objetivos planeados de la auditora .

Componentes
- Declaracin del alcance,
- Declaracin de los objetivos de la auditoria y
- Declaracin de los programas de auditora

La metodologa de auditora debera ser formalizada y comunicada a todo el personal de auditora

Se debe tener un conocimiento general del negocio

- Organigrama
- Estructura del rea o departamento de TI
- Relaciones funcionales y jerrquicas
- Recursos con los que se cuenta
- Aplicaciones en desarrollo
- Aplicaciones en produccin
- Infraestructura tecnolgica.

Planificacin de una Auditoria Informtica

- Defnicin de objetivos y alcance de la auditoria
- Personas de la organizacin que se involucrarn en el proceso de auditora

- Plan de trabajo
Tareas

Calendario

Resultados parciales

Presupuesto

Metodologa de Auditoria Informtica

Desarrollo de la auditora
- Recopilacin de evidencias.
- Cuestionarios, Entrevistas
- Observacin de las situaciones deficientes
- Observacin de los procedimientos
Fase de diagnstico
- Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejora
Presentacin de conclusiones
- Integracin de soporte documental
- Formulacin de observaciones y papeles de trabajo
Informe final

Formacin del plan de mejoras

Objetivo de auditora Alcance de la auditora Planifcacin previa a la auditora Programa de auditoria Recopilacin de evidencias
Evaluacin de los resultados de pruebas y revisiones
Preparacin del informe de auditora

Objetivos de Auditoria
Se refieren a la metas especficas que deben cumplirse por parte de la auditora. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.
Los objetivos de auditora se enfocan a menudo en validar: Que existan controles internos para minimizar los riesgos
del negocio, y que estos funcionen como se espera.
Asegurar que se estn cumpliendo los requerimientos legales, y exista una seguridad razonable implementada sobre los activos,
como ser: confidencialidad, integridad y disponibilidad de los recursos de informacin.
Ejemplo de definicin de objetivo
Determinar un nivel de confiabilidad e integridad de los datos, sistemas y programas con relacin al entorno de procesamiento
electrnico de datos.
Identificar y medir los riesgos relativos al negocio y ambiente de Tecnologa Informtica, comunicando las recomendaciones para
mitigar los riesgos.
Fases de la Auditoria
Planeacin Ejecucin Informe
Planeamiento de una Auditoria
Toma de contacto: Conocimiento de la organizacin y del objeto de la auditoria
Anlisis inicial:
1 Sobre la organizacin global
2 Sobre la estructura del departamento y recursos
Anlisis detallado:
Se analiza la informacin anterior y se generan los papeles de trabajo
La planifcacin de la auditoria requiere:
1 Obtener informacin general sobre la organizacin
2 Revisar la documentacin de la organizacin

Se determinan:
Objetivos Alcance - Programas y procedimientos
3 Realizar una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo.
Se deber incluir:
1 Tiempo,
2 Costo,
3 Personal necesario
4 Documentos auxiliares a solicitar o formular durante el desarrollo de la misma
Objetivos de la Auditora
Metas especfcas que deben cumplirse por parte de la auditora. Deben comprender los deseos y pretensiones del cliente, de
forma que las metas fjadas puedan ser cumplidas.
Los objetivos de auditora se enfocan a menudo en validar:
- Que existan controles internos para minimizar los riesgos del negocio, y que estos funcionen como se espera.
- Asegurar que se estn cumpliendo los requerimientos legales, y exista una seguridad razonable implementada
sobre los activos, como ser:
1 Confdencialidad
2 Disponibilidad
3 Integridad
OBJETIVO DE LA REVISION.
- Determinar un nivel de confabilidad e integridad de los datos, sistemas y programas con relacin al entorno de
procesamiento electrnico de datos.
- Identifcar y medir los riesgos relativos al negocio y ambiente de Tecnologa Informtica, comunicando las
recomendaciones para mitigar los riesgos.
ALCANCE DE LA AUDITORIA
Se ha de defnir con precisin el entorno y los lmites en que va a desarrollarse la auditoria.
Tiene que ver con:
La extensin y profundidad del examen,
El rea o actividad en particular se va a verifcar,
El perodo a examinar (actividades desarrolladas en un ao, de un mes, etc.)
Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a
auditar y las excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van a ser
auditadas. Tanto los alcances como las excepciones deben fgurar al comienzo del Informe Final.
PROGRAMA DE AUDITORIA

Calendario de actividades a realizar, aprobado por responsables del rea y de auditoria

Este identifca:
Los procedimientos de auditora para lograr evidencia sufciente y competente para obtener y sustentar las conclusiones y
opiniones de auditora.
EJECUCION DE LA AUDITORIA
Consiste en llevar a cabo las actividades planeadas.
Los procedimientos generales de auditora son los pasos bsicos en la ejecucin de una auditora y habitualmente incluyen lo
siguiente:
Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditora
Evaluacin de riesgos
Evaluacin del rea/objeto de auditora
Verifcacin y evaluacin de la correccin de los controles diseados para cumplir los objetivos de control.
EJEMPLOS DE PROCEDIMIENTOS APLICADOS
-

Relevamiento de las normas, polticas y procedimientos del rea de Tecnologa Informtica.

Visita al Centro de Cmputos.
Verifcacin de la estructura organizativa existente en el rea de tecnologa informtica.
Verifcacin de las tareas correspondiente a la continuidad de procesamiento de datos.
Verifcacin de las polticas de seguridad existentes.
Anlisis de los usuarios que acceden al sistema operativo...

RECOPILACION DE EVIDENCIAS
Se llama evidencia de auditoria "Cualquier informacin que utiliza el auditor para determinar si la informacin cuantitativa o
cualitativa que se est auditando, se presenta de acuerdo al criterio establecido".
Para que la evidencia tenga valor de prueba, debe ser:
Relevante: tiene relacin lgica con el objeto de auditoria.
Sufciente: si el alcance de las pruebas es adecuado. Solo una evidencia encontrada, podra ser no suficiente para demostrar
un hecho.
Adecuada: es de tipo cualitativo para afectar a las conclusiones del auditor
Fiable: es vlida y objetiva, aunque con nivel de confanza
EVIDENCIA DE AUDITORIA
Permite demostrar un hecho.
Evidencia = prueba adecuada de auditoria.

La evidencia adecuada es la informacin que cuantitativamente es sufciente y apropiada para lograr los resultados de la
auditoria y que cualitativamente, tiene la imparcialidad necesaria para inspirar confanza y fabilidad.
Tipos de Evidencias:
1.
2.
3.
4.

Evidencia Fsica: muestra de materiales, mapas, fotos.

Evidencia Documental: cheques, facturas, contratos, etc.
Evidencia Testimonial: obtenida de personas que trabajan en el negocio o que tienen relacin con el mismo.
Evidencia Analtica: datos comparativos, clculos, etc.

TECNICAS DE RECOPILACION DE EVIDENCIA DEL AREA INFORMATICA

Revisin de estructuras organizativas de SI
Una slida estructura organizativa con adecuada segregacin de funciones es un control general clave en SI
Revisin de los estndares de documentacin de SI
Se debe buscar un nivel mnimo de documentacin de SI
Documentos que inician el desarrollo de sistemas
Especifcaciones de diseo funcional
Manuales de documentacin de usuario
Manuales de operaciones del ordenador
Documentos sobre la seguridad
Revisin de la documentacin de sistemas
Revisar la documentacin de un sistema en particular
Evaluar si cumple los estndares de la organizacin
Entrevistas del personal apropiado
Su propsito es recopilar evidencias de auditora
Destreza importante, necesaria para los Auditores de SI
Planifcar la entrevista
Documentar la con notas
Formularios de entrevistas
Listas de control
Naturaleza de descubrimiento y no acusatoria
Observacin de operaciones y actuacin de los empleados
Tcnica de auditora clave para muchos tipos de revisiones
No ser inoportunos al hacer la observacin
Documentarlo con sufciente grado de detalle para poder presentarlo como evidencia

Papeles de Trabajo
Son los archivos o legajos que maneja el auditor y que contienen todos los documentos que sustentan su trabajo efectuado
durante la auditoria y constituyen la principal evidencia de la tarea de auditora realizada y de las conclusiones alcanzadas que
se reportan en el informe de auditoria.
Estos archivos se dividen en Permanentes y Corrientes;
Archivo permanente: conformados por documentos que tienen el carcter de permanencia en la empresa, es decir, que no
cambian y que por lo tanto se pueden volver a utilizar en auditorias futuras; como los Estatutos de Constitucin, contratos de
servicios, informe de auditorias anteriores,etc.
Archivo corriente: est formado por todos los documentos que el auditor va utilizando durante el desarrollo de su trabajo y
que le permitirn emitir su informe previo y fnal.
Los papeles de trabajo son utilizados para:
a) Registrar el conocimiento de la entidad y su sistema de control interno.
b) Documentar la estrategia de auditoria.
c) Documentar la evaluacin detallada de los sistemas, las revisiones de transacciones y las pruebas de cumplimiento.
d) Documentar los procedimientos de las pruebas de sustentacin aplicadas a las operaciones de la entidad.
e) Mostrar que el trabajo de los auditores fue debidamente supervisado y revisado.
f) Registrar las recomendaciones para el mejoramiento de los controles observados durante el trabajo.
EL INFORME
El informe de Auditora debe contener a lo menos:
1-Dictamen sobre el rea auditada.
2-Informe sobre la estructura del Control Interno de la entidad.
3-Conclusiones y recomendaciones resultantes de la Auditora.
4-Deben detallarse en forma clara y sencilla, los hallazgos encontrados.
HALLAZGOS
Se considera que los hallazgos en auditoria son las diferencias signifcativas encontradas en el trabajo de auditoria con relacin
a lo normado o a lo presentado por la gerencia.
Atributos del hallazgo:
1. Condicin: la realidad encontrada
2. Criterio: cmo debe ser (la norma, la ley, el reglamento, lo que debe ser)
3. Causa: qu origin la diferencia encontrada.
4. Efecto: qu efectos puede ocasionar la diferencia encontrada.
Al plasmar el hallazgo el auditor deber indicar:

El ttulo del hallazgo

Los atributos
La opinin de las personas auditadas sobre el hallazgo encontrado
Conclusin sobre el hallazgo
Las recomendaciones.

UNIDAD III
RIESGOS INFORMATICOS
La Organizacin Internacional de Normalizacin (ISO) defne riesgo tecnolgico como:
La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de
un activo, generando un impacto especfco, el cual puede estar representado por prdidas y daos.
Riesgo Informtico O tecnolgico
Riesgos: La incertidumbre que ocurra un evento que podra tener un impacto negativo en el logro de los
objetivos.
Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar
una prdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
Para el auditor informtico el riesgo est defnido como el potencial de prdida de confdencialidad, disponibilidad o
integridad de la informacin.
Amenaza: cualquier circunstancia que posee el potencial de daar un recurso de TI.
Ej: destruccin, revelacin, modifcacin de datos, negacin de servicio
- Amenazas ms comunes:
- Errores, Fraude
- Desastres naturales, incendios accidentales, tormentas e inundaciones.
- Dao intencional / Ataque
- Falla de hardware/ software
- Disturbios, sabotajes internos y externos deliberados.

Tipos de Amenazas
- Factor Humano: Esta formada principalmente por personas malintencionadas o por incumplimiento de medidas de
seguridad. Ejemplos: curioso, intruso remunerado, personal de la organizacin, terroristas, robo, sabotaje, fraude,
ingeniera social
- Hardware: fallas fsicas de los dispositivos de computo de la organizacin, pueden ocurrir por un desperfecto de
fabrica, por una mala utilizacin o descuido en el mantenimiento.
- Red de datos: se presentan cuando la red de comunicacin no se encuentra disponible para su uso, puede ser
provocado por un ataque deliberado o por un error fsico o lgico. Las principales amanezas para una red son la no
disponibilidad de la red o la extraccin de informacin no autorizada a travs de ella
- Software: fallas lgicas en los sistemas. Pueden ser causadas por otro software que ha sido diseado para atacar
un sistema, por cdigo malicioso diseado para afectar un sistema o errores de programacin o de diseo del
mismo.
- Desastres naturales: eventos que tienen su origen en las fuerzas de la naturaleza, no solo pueden afectar la
informacin contenida en los sistemas, sino tambin la integridad del sistema completo. Ejemplos: inundaciones,
terremotos, incendios, huracanes, tormentas elctricas, etc.)
Vulnerabilidad
Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se
manifestan como debilidades o carencias
Las amenazas ocurren por causa de las vulnerabilidades asociadas con el uso de los recursos de TI.
Ejemplo de debilidades:
Falta de conocimientos del usuario
Falta de conocimientos de la funcionalidad de la seguridad
Eleccin deficiente de contraseas
Tecnologa no probada
Transmisin por comunicaciones no protegidas
Impacto
Consecuencias de la ocurrencia de las distintas amenazas: pueden ser fnancieras o no fnancieras.
Prdidas de uno u otro tipo
-Prdida directa de dinero
-Prdida de reputacin
-Prdida de oportunidad de negocio
-Reduccin en la efciencia / desempeo operativo
-Interrupcin de la actividad del negocio

Riesgo = Impacto * Probabilidad

Impacto: es el efecto o consecuencia cuando el riesgo se materializa
Probabilidad: representa la posibilidad que un evento dado ocurra.
Agente Amenazante
-Hacker
-Espionaje Industrial
-Criminales Profesionales
-Usuarios
-(Daos intencionales o no)
Objetivos: Desafo, ganancia fnanciera/poltica, dao
Causa Fsica (Natural o no)
-Concrecin de la Amenaza
Nivel de Vulnerabilidad?
Dao a los equipos, datos o informacin
Confdencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa
Proceso de identificar las vulnerabilidades y las amenazas para los recursos de TI y
recomendar contramedidas a tomar, si hubiere, para reducir el riesgo a un nivel aceptable basado en el valor del
recurso.
Estudio del riesgo: determina la forma en que deberan administrarse los riesgos hasta un nivel aceptable.
Riesgo Total = Amenazas x Vulnerabilidades x
Valor del Activo
Anlisis del Riesgo de Sistemas - Defnicin
Proceso de Anlisis de Riesgos de Sistemas
1er. Paso: Identificacin y clasificacin de los recursos de TI
Clasificacin simple
Basada en el valor de los activos

Clasificacin en trminos de criticidad y sensibilidad

Datos, Hardware, Software
Servicios , Documentos , Personal
Otros activos tangibles: edificios
intangibles: imagen /reputacin
2do. Paso: Estudiar las amenazas y vulnerabilidades
Asociadas con el recurso de TI y la probabilidad de que ocurran.
3er. Paso: Mitigar el riesgo
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo fnaliza con la determinacin de
las acciones a seguir respecto:
Mitigar el riesgo fortaleciendo los controles existentes o agregar nuevos controles.
Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero
(Ejemplo: aseguradoras o proveedores).
Aceptar el riesgo, no se realiza ninguna accin a sabiendas, siempre y cuando el riesgo cumpla con las polticas y
criterios de la organizacin para la aceptacin de riesgos.
Evitar el riesgo, al no permitir acciones que provocaran los riesgos
TCNICAS DE EVALUACIN DE RIESGOS
Existen muchas metodologas disponibles de evaluacin de riesgos, automatizados o no automatizados, que puede
elegir el auditor.
Sistema de puntuacin: considera variables tales como la complejidad tcnica, el nivel de procedimientos de
control establecidos y el nivel de prdida fnanciera. Los valores de riesgo se comparan entre s y las auditoras se
programan en consecuencia.
Dependiente del juicio profesional: en la que una decisin independiente es tomada en base al conocimiento del
negocio, las directivas de la direccin ejecutiva, las perspectivas histricas, las metas del negocio y los factores
ambientales.
Ejemplos de riesgos
Indisponibilidad de plataforma y sistemas tecnolgicos
Interrupciones de servicios de tecnologa que impiden la continuidad del proceso tales como: cada de procesos,
cada de comunicaciones, fallas en servicio de proveedores, cadas de plataformas que soportan el proceso.
Errores de Integridad y veracidad de la informacin que entregan los sistemas.
Defectos en los sistemas de informacin debido a la falta de controles de integridad en la entrada y custodia de la
informacin, lo que puede generar aceptar informacin errnea o modifcacin de ella por personal no autorizado.
Asignacin de perfiles de acceso inadecuados

Error en la asignacin o defnicin de perfles debido al cual se otorgan ms privilegios de lo necesario, permitiendo
la ejecucin de transacciones por personal sin las debidas atribuciones.
Ejemplos (Cont )
Prdida de confidencialidad de la informacin sensible
Exposicin no deseada de la informacin que es sensible que puede producir perjuicios a la organizacin o a sus
clientes al ser conocida por personas no autorizadas.
Comunicacin / Informacin defectuosa
Errores de comunicacin entre sistemas o plataformas tecnolgicas que pueden generar interrupcin de servicios,
informacin errnea, confusa o incompleta, de forma voluntaria o intencional.
Error en abonos / cargos de dineros en cuentas de clientes
Defciencias en el procesamiento de operaciones fnancieras y/o contables, con contrapartes comerciales, que
signifcan cargos o abonos a clientes que no corresponden.
Tipos de riesgos
Riesgo de Crdito
Riesgo Financiero
Riesgo Operacional
Riesgo de Tecnologa de la Informacin
Riesgo Calidad de Servicio y transparencia de la Informacin
Aspectos a considerar en la gestin del riesgo.
La gestin de riesgo debe considerar los siguientes aspectos:
Identificacin de activos
Identificacin de la Amenazas
Identificacin de las Vulnerabilidades
Determinar la Probabilidad de ocurrencia
Anlisis de Impacto
Determinacin del Riesgo
Recomendacin de Controles
Documentar los Resultados
Riesgos de Tecnologa de la Informacin
Agrupa todos los riesgos asociados con:
- la autorizacin,
- la integridad, y
- exactitud de las transacciones

Segn:
- se ingresan,
- se procesan,
- se resumen y
- se informan en los sistemas computacionales de una organizacin
Se manifestan en los siguientes componentes de un sistema:
Interfaz usuaria: se refiere a si existen restricciones que hagan que los trabajadores de una organizacin estn
autorizados a desarrollar funciones del negocio con una razonable segregacin de funciones.
Procesamiento; se relacionan a la existencia de controles que aseguran que el procesamiento de datos se ha
completado y realizado a tiempo.
Interface: Los riesgos en esta rea generalmente se relacionan con la existencia de controles adecuados,
preventivos o de deteccin, que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos
adecuada y completamente a otro sistema de aplicacin que se alimente de estos datos/informacin y sean
procesados por dicho sistema.
Administracin del Cambio: Los riesgos en esta rea pueden ser generalmente considerados parte del Riesgo de
Infraestructura, pero ellos impactan signifcativamente sobre los sistemas de aplicacin. Estos riesgos estn
asociados con procesos inadecuados de administracin del cambio incluyendo tanto la participacin y
entrenamiento del usuario como el proceso por el cual los cambios de cualquier aspecto del sistema de aplicacin
son comunicados e implementados.
Riesgos de Tecnologa de la Informacin
Riesgo de Acceso no autorizado: puede ocurrir en los siguientes cinco niveles:
Red, el riesgo en esta rea est generado por el riesgo de acceso no autorizado a la red a pcs y servidores.
Ambiente de Procesamiento, el riesgo se genera con el acceso indebido al ambiente de procesamiento a los
programas y datos que estn almacenados en ese ambiente.
Sistemas de Aplicacin, est dado por una inadecuada segregacin de funciones que podra ocurrir si el acceso a
los sistemas estuviese concedido a personas con necesidades de negocio sin defniciones claras.
Acceso Funcional, dentro de aplicaciones (Cdigo fuente)
Acceso a nivel de campo o dato.
Riesgo de Disponibilidad
Riesgos asociados con la interrupcin de los sistemas a corto plazo donde las tcnicas de restitucin/recuperacin
se pueden utilizar para minimizar el alcance de la interrupcin.
Riesgos asociados con desastres que causan interrupciones en el procesamiento de la informacin a largo plazo y
que se centran en controles como backups y planes de contingencia.

La capacidad de la empresa para continuar con sus operaciones y procesos crticos puede depender en gran medida
de la disponibilidad de determinados sistemas de informacin. Si no se dispusiera de sistemas crticos o importantes
por un perodo importante, la compaa podra experimentar difcultades para continuar con sus operaciones.
Sistemas de informacin crticos e importantes que no estn disponibles para dar soporte a determinadas
operaciones pueden provocar:
Prdidas de ingresos,
Prdidas de ventajas competitivas,
Insatisfaccin de clientes y
Prdida de participacin de mercado,
Problemas de imagen,
Multas y sanciones.
Riesgos de Tecnologa de la Informacin
Riesgo de Infraestructura
El riesgo de que una organizacin no tenga una infraestructura efcaz de informacin tecnolgica (HW, SW, personas
y procesos) para apoyar las necesidades actuales y futuras del negocio de una forma efciente y efcaz en trminos
de costos y controles.
Principalmente estn relacionados con:
Planificacin organizacional; el riesgo de que los planes de informacin tecnolgica no estn integrados con los
planes del negocio presentes y futuros, afectando el proceso de toma de decisiones y planifcaciones inadecuadas.
Definicin requerimientos de sistemas de aplicacin; el riesgo de que las definiciones y necesidades de los
usuarios para nuevas soluciones de sistemas provoquen diseos inefcaces o incompletos. Los esfuerzos de
desarrollo no siguen un enfoque consistente para confrmar la satisfaccin del usuario y del negocio. Los esfuerzos
de implantacin no consideran adecuadamente el entrenamiento usuario.
Seguridad Lgica y Administracin de Seguridad; el riesgo de
acceso no autorizado a los sistemas, datos o transacciones crticos, tanto por personal de la compaa como
externos, resultando en prdida de la integridad de los datos/informacin y la exposicin o mal uso de informacin
confdencial..
Operaciones con computador y red; es el riesgo que los computadores y/o redes no sean eficientemente
administrados derivando en problemas de desempeo o de capacidad de los usuarios.
Administracin de Bases de Datos; es el riesgo de que los datos carezcan de la integridad necesaria para dar
apoyo a las decisiones de negocio.
Recuperacin del centro de proceso de datos; es el riesgo de que los sistemas, procesos y datos/informacin no
puedan ser restablecidos luego de una interrupcin del servicio de manera oportuna para las necesidades del
negocio.

Riesgo de tercerizacin de Servicios

Generar e implementar una Metodologa de Anlisis de Riesgo que permita evaluar en forma sistemtica los
procesos y recursos, sus vulnerabilidades y las amenazas para los procesos que la organizacin terceriza. Incorporar
un proceso sistemtico por el cual el administrador de la empresa con el servicio externalizado, evala y reduce la
exposicin al riesgo identifcado a un nivel aceptable por la organizacin.
Aspectos a considerar en la Seguridad de Informacin.
Desde el punto de vista de los servidores:
Anlisis de Vulnerabilidad de los servidores que darn el servicio
Antivirus instalado y actualizado en los servidores que darn el servicio
Parches de seguridad evaluados e instalados segn corresponda en los servidores que darn el servicio
Desde el punto de vista de la transferencia de informacin:
Encriptacin de la comunicacin entre la organizacin y la empresa prestadora de servicios
Desde el punto de la continuidad operacional:
Servidores de respaldo
Sitio de respaldo
Pruebas de contingencia
Riesgos de Tecnologa de la Informacin
Encriptacin:
Es una tecnologa que permite la transmisin segura de informacin, al codifcar los datos transmitidos usando una
frmula matemtica que desmenuza los datos.
La encriptacin utiliza una llave pblica para encriptar datos, y una llave privada para descifrar o desencriptar la
informacin. Sin el decodifcador o llave para desencriptar, el contenido enviado se ve como un conjunto de
caracteres extraos, sin ningn sentido y lgica de lectura.
Aspectos a considerar en la Gestin del Riesgo.
Mitigar los Riesgos: La metodologa a implementar debe considerar opciones de mitigacin de los riesgos:
Prevencin: Implementacin de Controles, Tecnolgicos, administrativos y operacionales
Transferencia de los riesgos: seguros
Eludir: Cambiando la forma de hacer las cosas
Aceptar: Vivir con el riesgo
CONTROLES INTERNOS INFORMATICOS
Clasifcacin de los controles
Principales controles fsicos y lgicos
Controles de aplicaciones

 Controles de procesamiento y de operacin

Es un proceso, mediante el cual la administracin ,los directivos y/o la alta gerencia le proporcionan a sus
actividades, un grado razonable de confanza, que le garantice la consecucin de sus objetivos, tomando en cuenta:
la eficacia y efciencia de las operaciones, fiabilidad de la informacin financiera y cumplimiento de las leyes y
normas aplicables, con la finalidad de dotar a la organizacin medidas preventivas, deteccin y correccin de
errores, fallos y fraudes o sabotajes
Conjunto de polticas,
reducir riesgos.

procedimientos,

prcticas

y estructuras organizacionales implementadas para

Son desarrollados para proveer certeza razonable de que se alcanzarn los objetivos del negocio
de una organizacin y que los eventos de riesgo no deseados sern evitados o detectados y corregidos, ya
sea por cumplimiento de los controles o por iniciativa de la direccin.

La alta direccin es responsable de establecer la cultura apropiada para facilitar un sistema efectivo y
eficiente de control interno y de supervisar continuamente la efectividad del sistema de control interno
Control: actividad realizada manual o automticamente
para prevenir, corregir errores o irregulares que puedan afectar al funcionamiento de un sistema a la hora de
conseguir sus objetivos.
El Control Interno Informtico controla diariamente que todas las actividades de los sistemas de informacin sean
realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la
Direccin de Informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y vlidas.
Objetivos
Verificar que todo se hace segn los procedimientos internos y normas legales se debe controlar que
todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas al resto de la organizacin.
Colaborar y apoyar al trabajo de la Auditora Informtica, as como de las auditoras externas al Grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del
servicio informtico
ACTIVIDADES QUE CONTROLAR:
Se debe realizar en los diferentes sistemas y entornos informticos
el control de las diferentes actividades operativa sobre:
El cumplimiento de procedimientos, normas y controles dictados.
Controles:
Sobre la produccin diaria.
Sobre la calidad y eficiencia del desarrollo y mantenimiento
del software y del servicio informtico.
En las redes de comunicaciones
Sobre el software de base.
En los sistemas microinformticos.
La seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesor y transmitir cultura sobre el riesgo informtico.
Los controles sirven para prevenir, detectar o corregir eventos ilcitos.
Clasifcacin de los controles:
Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores.
Funcin:
Detectar problemas antes que surjan, realizar ajustes
Monitorear tanto las operaciones como las entradas de datos
Impedir que ocurra un error, una omisin o un acto malicioso

Ejemplos:

Emplear solo personal calificado

Segregar funciones
Controlar el acceso fsico a las instalaciones
Usar documentos bien diseados
Establecer
procedimientos
bien
adecuados

para

la autorizacin de transacciones, etc.

Detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta
forma sirven para evaluar la eficiencia de los controles preventivos.
Funcin:
Usar

controles

que

detecten

reporten

que

ha ocurrido un error, una omisin o un acto malicioso

Ejemplos
Puntos de verifcacin en los trabajos de produccin
Funciones de auditora interna
Doble verifcacin de clculos
Reportes de cuentas de usuarios caducados
Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo
FUNCION
Minimizar el impacto de una amenaza
Remediar problemas descubiertos por controles
detectivos
Identifcar la causa de un problema
Corregir errores resultantes de un problema
Planeamiento de contingencias
Procedimientos de respaldo

Implantacin de un sistema de controles internos informticos.

Los controles pueden implantarse a varios niveles diferentes.
Para llegar a conocer la confguracin del sistema es necesario documentar los detalles de la red, as como los
distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar:

Entorno de red.
Confguracin del ordenador/es central/es (hots).
Entorno de aplicaciones.
Productos y herramientas de desarrollo de software.
Seguridad (en especial del ordenador central y bases de datos).

Para la implantacin de un sistema de controles internos informticos habr que defnir objetivos, mtodos y
poltica de control para:
Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el
diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.
Administracin de sistemas.: a travs de controles sobre la actividad de los centros de datos y otras funciones de
apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: que debe incluir las tres clases de controles fundamentales implantados en el software del sistema,
como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos,
para la migracin de programas software aprobados y probados.

A continuacin algunos controles internos, agrupados por secciones funcionales, y que seran los que el Control
Interno Informtico y la Auditora Informtica deberan verificar para determinar su cumplimiento y validez:

1. Control generales organizativos: engloba una serie de elementos, tales como:

Polticas generales.
Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de emergencia
ante desastres).
Estndares de adquisicin.
Procedimientos.
Organizar el departamento de informtica.
Descripcin de las funciones y responsabilidades dentro del departamento.
Polticas de personal.
Asignacin de funciones y responsabilidades.
Asegurar que la direccin revisa todos los informes de control y resuelve las
excepciones que ocurran.
Asegurar que existe una poltica de clasificacin de la informacin.
Designar oficialmente la figura del Control Interno Informtico y de la Auditora
Informtica
2. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin: se utilizan para que se
puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y
cumplimiento con las leyes y regulaciones. Se compone de:
Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares de pruebas, pases a
produccin, roll-back, etc).
Explotacin y mantenimiento.
3. Controles sobre la explotacin de los sistemas de informacin:
Consta de
Planificacin y gestin de recursos.
Presencia de personal en momentos crticos .
Reparto de costes informticos a la organizacin.
Controles propios (por ejemplo, accesos muy restringidos al host).

Revisiones tcnicas preceptivas.

Controles para usar de manera efectiva los recursos en ordenadores.
Procedimientos de seleccin del software del sistema, de instalacin, de
mantenimiento, de seguridad y de control de cambios.
Seguridad fsica y lgica (como definir un grupo de seguridad de la informacin, controles fsicos, formacin y
concienciacin de procedimientos de seguridad, seguridad contra incendios/inundaciones, control de acceso
restringido, normas que regulen el acceso a los recursos informticos, existencia de un plan de contingencias, etc).

Controles sobre las aplicaciones

Cada aplicacin debe llevar
mantenimiento de los datos:

controles

incorporados

para garantizar la entrada, actualizacin, y

Control de entrada de datos (validaciones, conversiones, formatos, procedencias).

Controles de tratamiento de datos (sobre usos no previstos).
Controles de salida de datos (dem entrada+seguridad).
Controles de calidad
Existencia de un Plan General de Calidad basado en el Plan de la
Entidad a Largo Plazo, y el Plan a Largo Plazo de Tecnologa.
Metodologa de Desarrollo de Sistemas.
Actualizacin de la Metodologa de Desarrollo de Sistemas respecto a cambios en la tecnologa.
Coordinacin y comunicacin.
Relaciones con proveedores que desarrollan sistemas.
Normas de documentacin de programas.
Normas de pruebas de programas.
Normas respecto a la Prueba de Sistemas,
Pruebas piloto o en paralelo.
Documentacin de las pruebas de sistemas.
Evaluacin del cumplimiento de garanta de Calidad de las Normas de
Desarrollo.
Principales Controles Fsicos y Lgicos

Autenticidad.-

Permiten verificar la identidad.

Passwords
Huellas digitales
Iris, etc.
Exactitud.- Aseguran la coherencia de los datos
Validacin de campos
Validacin de excesos o casos de borde

Conteo de registros
Cifras de control.
Redundancia.- Evitan la duplicidad de datos.
Verificacin de secuencias
Privacidad.- Aseguran la proteccin de los datos.
Encriptacin.
Proteccin de Activos.Destruccin o corrupcin de
informacin o del hardware.
Extintores
Passwords.
Efectividad.- Aseguran el logro de los objetivos.
Encuestas de satisfaccin
Medicin de niveles de servicio.
Eficiencia.- Aseguran el uso ptimo de los recursos.
Anlisis costo-beneficio
Ej. Gestin de accesos de usuarios - Controles
Objetivo: Asegurar el acceso del usuario autorizado y prevenir el
acceso no autorizado a los sistemas de informacin.
Registro de usuarios.
Control.- Debe existir un procedimiento formal para el registro y cancelacin de usuarios con el fin de conceder y revocar acceso a
todos los servicios y sistemas de informacin.
Gestin de privilegios

 Control.- La asignacin y uso de privilegios deben ser restringidos

y controlados.
Gestin de contraseas de usuarios
Control.- La asignacin de contraseas debe ser controlada a travs de un proceso formal de gestin. Revisin de los derechos de
acceso de usuario
Control.- La direccin debe revisar los derechos de acceso de
los usuarios a intervalos regulares usando un proceso formal.
Controles de Sistema en Desarrollo y Produccin
Controles de Desarrollo de Aplicaciones:
Los usuarios deben participar en el diseo e implantacin de
los sistemas pues aportan conocimiento y
experiencia de su rea y esta actividad facilita el proceso de cambio
El personal de auditora interna debe formar parte del grupo de diseo para sugerir y solicitar la
implantacin de rutinas de control
El desarrollo, diseo y mantenimiento de sistemas obedece a planes
especfcos,
estndares, procedimientos y en general a normatividad escrita y aprobada.

metodologas

Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros
mecanismos a fn de evitar reclamos posteriores.
Controles de Desarrollo de Aplicaciones (Cont)
Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones
posibles.
Todos los sistemas deben estar debidamente documentados y actualizados
Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas
en desarrollo.

 El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin
respectivos

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida
de la informacin, lo que conlleva al establecimiento de una serie de medidas de seguridad para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la
gerencia y con fnes de auditora (Log)
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
Controles de Operacin
Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de
almacenamiento, la administracin de discos, la operacin de terminales y equipos de comunicacin por parte
de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir
en el Centro de Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos
por parte de funcionarios del Centro de Procesamiento
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos

UNIDAD IV

COBIT

COBIT es una herramienta de gobierno de TI, se aplica a los

sistemas de informacin de toda la empresa, vinculando
tecnologa informtica y prcticas de control.
Esta basado en la flosofa de que los recursos de TI necesitan ser
administrados por un conjunto de procesos naturalmente
agrupados para proveer la informacin pertinente y confable que
requiere una organizacin para lograr sus objetivos

Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de
control interno o un marco de trabajo.
COBIT contribuye a esto de la siguiente manera:
1. Identifcando los principales recursos de TI a ser utilizados
2. Organizando las actividades de TI en un modelo de procesos generalmente aceptado
3. Estableciendo un vnculo con los requerimientos del negocio
Defniendo los objetivos de control gerenciales a ser considerados
Objetivo del COBIT
El objetivo de COBIT es:

Brindar buenas prcticas a travs de un marco de trabajo de dominios y procesos, y

Presentar las actividades de una manera manejable y lgica.

Estas prcticas estn enfocadas ms al control que a la ejecucin.
BENEFICIOS
Mantener informacin de alta calidad para apoyar la toma de decisiones.
Alcanzar los objetivos estratgicos y benefcios de negocio a travs del uso efectivo e innovador de las TI.
Lograr la excelencia operativa a travs de una aplicacin fable, efciente de la tecnologa.
Mantener los riesgos relacionados con TI a un nivel aceptable.
Optimizar servicios y recursos de TI.
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las polticas.
Usuarios del COBIT
La Gerencia: para apoyar la toma de decisiones y control sobre el rendimiento de las mismas.
Los usuarios fnales: para obtener garanta sobre la seguridad y el control de los productos que adquieren
interna y externamente.
Los auditores: para dar soporte a sus opiniones sobre los controles de los proyectos de TI, impacto en la
organizacin y determinar el control mnimo requerido.
Los Responsables de TI: para identifcar los controles que requieren en sus reas.
Requerimientos de informacin del negocio
Requerimientos de Calidad:
o Calidad,
o Costo y
o Entrega

Requerimientos Fiduciarios:
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser
proporcionada en forma oportuna, correcta, consistente y utilizable.
Efciencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva
y econmica).
Confabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas
para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la
empresa
Requerimientos de seguridad:
o Confdencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada
o Integridad: Refere a lo exacto y completo de la informacin as como a su validez de acuerdo
con las expectativas de la empresa.
o Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI
El COBIT establece los siguientes recursos de TI necesarios para alcanzar los objetivos del negocio
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grfcas,
sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y
sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de
datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los SI.
Niveles de COBIT
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad
organizacional
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Dominios del COBIT

Planear y Organizar (PO)

Adquirir e Implementar (AI)
Dar soporte y Entrega (DS)
Monitorear y Evaluar (ME)

Planear y Organizar (PO)

Cubre estrategias y las tcticas del rea TI, de manera que TI contribuya de la mejor manera al logro de
los objetivos del negocio.
La realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas.
Se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.
Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Adquirir e implementar (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identifcadas, desarrolladas o adquiridas
as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los
sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los
objetivos del negocio
Este dominio, cubre los siguientes cuestionamientos de la gerencia:

Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?

Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?

Trabajarn adecuadamente los nuevos sistemas una vez sean implementados?

Los cambios afectarn las operaciones actuales del negocio?
Dar Entrega y Soporte (DS)
Este dominio cubre la entrega en s de servicios requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los
datos y de las instalaciones operacionales.
Por lo general aclara las siguientes preguntas de la gerencia:
Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio?
Estn optimizados los costos de TI?

Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?

Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Monitorear y evaluar (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de
los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control
interno, el cumplimiento regulatorio y la aplicacin del gobierno.
Abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde?
La Gerencia garantiza que los controles internos son efectivos y efcientes?
Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio

Ejemplo Descripcin de un proceso

Adquisicin e implementacin
AI4 Facilitar la Operacin y el Uso
El conocimiento sobre los nuevos sistemas debe estar disponible.
Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona
entrenamiento para garantizar el uso y la operacin correcta de las aplicaciones y la infraestructura que satisface el
requerimiento del negocio de TI para garantizar la satisfaccin de los usuarios fnales mediante ofrecimientos de
servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de
los procesos del negocio
Enfocndose en
Proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el
conocimiento necesario para la operacin y el uso exitosos del sistema.
Se logra con
- El desarrollo y la disponibilidad de documentacin para transferir el conocimiento
- Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de
operacin
- La generacin de materiales de entrenamiento
Y se mide con
- El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los
procesos de negocio
- El porcentaje de dueos de negocios satisfechos con el entrenamiento de aplicacin y los materiales de
apoyo.
- El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operacin

DOMINIOS

PROCESOS

PLANEACIN Y ORGANIZACIN (PO):

Cubre la estrategia y las tcticas, se refiere a la identificacin de la
forma en que la tecnologa de la informacin puede contribuir de la
mejor manera al logro de los objetivos de la organizacin. La
consecucin de la visin estratgica debe ser planeada, comunicada
y administrada desde diferentes perspectivas y debe establecerse
una organizacin y una infraestructura tecnolgicas apropiadas.

PO1 Definir un Plan Estratgico de TI: El objetivo es lograr un balance ptim

oportunidades de tecnologa de informacin y los requerimientos de TI de negoci
logros futuros.
PO2 Definir la Arquitectura de la Informacin: El objetivo es satisfacer los
organizacin, en cuanto al manejo y gestin de los sistemas de informacin, a tra
mantenimiento de un modelo de informacin de la organizacin.
PO3 Determinar la direccin tecnolgica: El objetivo es aprovechar al mxi
disponible o tecnologa emergente, satisfaciendo los requerimientos de la organiz
creacin y mantenimiento de un plan de infraestructura tecnolgica.
PO4 Definir la Organizacin y Relaciones de TI: El objetivo es la prestacin
medio de una organizacin conveniente en nmero y habilidades, con tareas y re
y comunicadas.
PO5 Manejar la Inversin en TI: El objetivo es la satisfaccin de los requerim
organizacin, asegurando el financiamiento y el control de desembolsos de recur
PO6 Comunicar las directrices y aspiraciones gerenciales: El objetivo es a
comprensin de los usuarios sobre las aspiraciones de la gerencia, a travs de po
transmitidas a la comunidad de usuarios, necesitndose para esto estndares pa
estratgicas en reglas de usuario prcticas y utilizables.
PO7 Administrar Recursos Humanos: El objetivo es maximizar las contribuc
procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcni
administracin de personal.
PO8 Asegurar el cumplir Requerimientos Externos: El objetivo es cumplir
regulatorias y contractuales, para ello se realiza una identificacin y anlisis de lo
externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas p
PO9 Evaluar Riesgos: El objetivo es asegurar el logro de los objetivos de TI y
amenazas hacia la provisin de servicios de TI, mediante la participacin de la pr
identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econ
riesgos.
PO10 Administrar proyectos: El objetivo es establecer prioridades y entregar
de acuerdo al presupuesto de inversin, para ello se realiza una identificacin y p
proyectos en lnea con el plan operacional por parte de la misma organizacin. Ad
deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cad
PO11 Administrar Calidad: El objetivo es satisfacer los requerimientos del clie
planeacin, implementacin y mantenimiento de estndares y sistemas de admin
parte de la organizacin.

ADQUISICIN E IMPLEMENTACIN (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, as como implementadas e
integradas dentro del proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento realizados a sistemas
existentes.

AI1 Identificar Soluciones: El objetivo es asegurar el mejor enfoque para cum

requerimientos del usuario, mediante un anlisis claro de las oportunidades alter
contra los requerimientos de los usuarios.
AI2 Adquirir y Mantener Software de Aplicacin: El objetivo es proporcionar
que soporten efectivamente la organizacin mediante declaraciones especficas s
funcionales y operacionales, y una implementacin estructurada con entregables
AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las p
para soportar aplicaciones de negocios mediante la realizacin de una evaluacin
hardware y software, la provisin de mantenimiento preventivo de hardware y la
control del software del sistema.

AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El objetiv

apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas, medi
enfoque estructurado del desarrollo de manuales de procedimientos de operacion
requerimientos de servicio y material de entrenamiento.
AI5 Instalar y Acreditar Sistemas: El objetivo es verificar y confirmar que la s
para el propsito deseado mediante la realizacin de una migracin de instalacin
aceptaciones adecuadamente formalizadas.
AI6 Administrar Cambios: El objetivo es minimizar la probabilidad de interrupc
autorizadas y errores, mediante un sistema de administracin que permita el an
seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructur

SERVICIOS Y SOPORTE (DS)

En este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad.
Con el fin de proveer servicios, debern establecerse los procesos
de soporte necesarios. Este dominio incluye el procesamiento de los
datos por sistemas de aplicacin, frecuentemente clasificados como
controles de aplicacin.

DS1 Definir niveles de servicio: El objetivo es establecer una comprensin co

requerido, mediante el establecimiento de convenios de niveles de servicio que fo
desempeo contra los cuales se medir la cantidad y la calidad del servicio.
DS2 Administrar Servicios de Terceros: El objetivo es asegurar que las tarea
las terceras partes estn claramente definidas, que cumplan y continen satisfac
mediante el establecimiento de medidas de control dirigidas a la revisin y monit
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto
organizacin.
DS3 Administrar Desempeo y Calidad: El objetivo es asegurar que la capac
disponible y que se est haciendo el mejor uso de ella para alcanzar el desempe
controles de manejo de capacidad y desempeo que recopilen datos y reporten a
cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos.
DS4 Asegurar Servicio Continuo: El objetivo es mantener el servicio disponib
requerimientos y continuar su provisin en caso de interrupciones, mediante un p
probado y funcional, que est alineado con el plan de continuidad del negocio y r
requerimientos de negocio.
DS5 Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la info
autorizados, divulgacin, modificacin, dao o prdida, realizando controles de a
que el acceso a sistemas, datos y programas est restringido a usuarios autoriza
DS6 Identificar y Asignar Costos: El objetivo es asegurar un conocimiento co
servicios de TI realizando un sistema de contabilidad de costos que asegure que
calculados y asignados a los niveles de detalle requeridos.
DS7 Capacitar Usuarios: El objetivo es asegurar que los usuarios estn hacien
tecnologa y estn conscientes de los riesgos y responsabilidades involucrados re
de entrenamiento y desarrollo.
DS8 Asistir a los Clientes de TI: El objetivo es asegurar que cualquier problem
usuarios sea atendido apropiadamente realizando una mesa de ayuda que propo
de primera lnea.
DS9 Administrar la Configuracin: El objetivo es dar cuenta de todos los com
alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base
cambios realizando controles que identifiquen y registren todos los activos de TI
fsica y un programa regular de verificacin que confirme su existencia.
DS10 Administrar Problemas e Incidentes: El objetivo es asegurar que los p
sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a s
sistema de manejo de problemas que registre y haga seguimiento a todos los inc

DS11 Administrar Datos: El objetivo es asegurar que los datos permanezcan com
durante su entrada, actualizacin, salida y almacenamiento, a travs de una com
controles generales y de aplicacin sobre las operaciones de TI.
DS12 Administrar Instalaciones: El objetivo es proporcionar un ambiente fsic
el equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesi

cual se hace posible con la instalacin de controles fsicos y ambientales adecuad

regularmente para su funcionamiento apropiado definiendo procedimientos que p
del personal a las instalaciones y contemplen su seguridad fsica.
DS13 Administrar Operaciones: El objetivo es asegurar que las funciones imp
estn siendo llevadas a cabo regularmente y de una manera ordenada a travs d
actividades de soporte que sea registrada y completada en cuanto al logro de tod

MONITOREO (M)
Todos los procesos de una organizacin necesitan ser evaluados
regularmente a travs del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad.

M1 Monitorear los procesos: El objetivo es asegurar el logro de los objetivos e

procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e ind
gerenciales y la implementacin de sistemas de soporte, as como la atencin reg
emitidos.
M2 Evaluar lo adecuado del control interno.: El objetivo es asegurar el logro
control interno establecidos para los procesos de TI.
M3 Obtener aseguramiento independiente: El objetivo es incrementar los niv
organizacin, clientes y proveedores externos. Este proceso se lleva a cabo a inte
tiempo.
M4 Proveer auditoria independiente: El objetivo es incrementar los niveles d
de recomendaciones basadas en mejores prcticas de su implementacin, lo que
auditorias independientes desarrolladas a intervalos regulares de tiempo.

UNIDAD V
SEGURIDAD INFORMATICA
NDICE
Seguridad Informtica
Caractersticas
Objetivos de la Seguridad Informtica
Trminos relacionados con la Seguridad Informtica
2. Polticas de la Seguridad Informtica
3. Clasifcacin de la informacin
4. Auditoria de la Seguridad Informtica
5. Tipos de medidas de seguridad

Medidas Fsicas

Medidas Lgica

Seguridad Informtica
Podemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese
sistema est libre de peligro, dao o riesgo.
Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo.
Consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de
una organizacin sean utilizados de la manera que se decidi, y que el acceso a la informacin all contenida

as como su modifcacin slo sea posible a las personas que se encuentren autorizadas y dentro de los lmites
de su autorizacin.
Trminos relacionados con la Seguridad Informtica
Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos
materiales o prdidas inmateriales en sus activos.
Vulnerabilidad: es una debilidad que puede ser utilizada para causar un dao.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs
de computadoras necesarias para la operacin normal de un negocio.
Objetivos de Seguridad para satisfacer necesidades del negoci
Asegurar la disponibilidad de los sistemas de informacin
Asegurar la integridad de la informacin en sus sistemas informticos (almacenada y en transito)
Preservar la confdencialidad de los datos sensibles mientras estn almacenados y en transito
Asegurar el cumplimiento de leyes, regulaciones y estndares aplicables
Asegurar que todos los datos sensibles estn protegidos cuando se almacenan y cuando estn en transito,
en funcin a los requerimientos del negocio

Polticas de Seguridad Informtica

La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se defnen las distintas
medidas a tomar para lograr la seguridad del sistema, las funciones y responsabilidades de los distintos
componentes de la organizacin y los mecanismos para controlar su correcto funcionamiento.
Las polticas generalmente son establecidas por la gerencia y aprobadas por la alta direccin.
Caractersticas de la seguridad de la informacin

Para que un sistema se pueda defnir como seguro debe tener estas cuatro caractersticas:
Integridad: La informacin slo puede ser modifcada por quien est autorizado.
Confdencialidad: La informacin slo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora.
Confdencialidad, Integridad y Disponibilidad
La Seguridad de la Informacin protege la confdencialidad, integridad y disponibilidad de los sistemas de
informacin.
Confidencialidad busca asegurar que la informacin no es revelada a personas o procesos sin
autorizacin.
La prdida de confdencialidad puede ocurrir de varias maneras tal como:
1 La revelacin intencional de informacin privada de la organizacin o
2 Por medio de la mala aplicacin de derechos sobre la red informtica.
Integridad se refere al control de la informacin a travs de la preservacin de la consistencia
de los sistemas de informacin.
Disponibilidad busca asegurar que usuarios autorizados a un sistema posean acceso oportuno
e ininterrumpido a la informacin del sistema.
Clasifcacin de activos
Un control efectivo requiere de un inventario y una clasifcacin de activos de informacin, dicha lista es el primer
paso para clasifcar los activos y determinar el nivel de proteccin que se debe proveer a cada uno de ellos.
La clasifcacin de activos debe defnir:
- Quien es el propietario?
- Quien tiene derechos de acceso (necesita saber)
- Nivel de acceso otorgado
- Responsable de determinar sus derechos
y nivel de acceso
- Aprobaciones que se requieren para su acceso?
- Grado de controles de seguridad a aplicar
Tipos de Activos
Informacin
Bases de datos y archivos de datos
Contratos y acuerdos
Documentacin impresa o en lnea
Informacin de investigacin

 Manuales y material de entrenamiento

Procedimientos
Pistas de Auditora
Software
Software de aplicacin
Software de base
Herramientas y utilitarios de desarrollo
Hardware
Equipos de computacin
Equipos de comunicaciones
Medios de almacenamiento
Centros de cableados
Servicios
Servicios de computacin y comunicaciones
Servicios de soporte (electricidad, aire acondicionado, iluminacin, calefaccin, etc.)
Personas, junto con
su experiencia,
capacidades y
competencias
Bienes Intangibles
Reputacin
Marcas
Imagen de la organizacin
Clasifcacin de la Informacin
Las razones principales para clasifcar la informacin son:
Demostrar el compromiso de la organizacin hacia la proteccin de los datos.
Ayuda a identifcar cual informacin es la ms sensible o vital para la organizacin.
Soportar los principios de confdencialidad, integridad y disponibilidad en lo pertinente a los datos.
Ayuda a identifcar que tipo de proteccin es aplicable a que tipo de informacin.
Cumplir posibles requerimientos legales o regulatorio
Esquema sencillo de clasifcacin de la informacin
Uso Pblico
Informacin que es segura de revelar pblicamente
Uso Interno Solamente

Informacin que es segura de revelar en forma interna pero no externamente

Confdencial
La informacin ms confdencial de la organizacin.
Existen varios pasos para establecer un esquema de clasifcacin de la informacin, por ejemplo:
Identifcar el administrador / custodio
Especifcar el criterio por el cual se clasifcar la informacin
Clasifcar los datos
Documentar las excepciones a la regla de clasifcacin
Establecer los controles que se aplicarn para cada nivel de la clasifcacin
Establecer los procedimientos para desclasifcar la informacin o para transferir la custodia a otra entidad
Desarrollar un programa de concientizacin empresarial.
Roles de clasifcacin
Propietario: un propietario de informacin podr ser un ejecutivo / gerente responsables de usar
informacin para ejecutar y controlar el negocio.
Algunas responsabilidades del propietario son:
Determinar el nivel de clasifcacin que requerir la informacin.
Revisar las asignaciones de clasifcacin de manera peridica y realizar cambios que sean
aplicables.
Autorizar el acceso y asegurarse de que estn actualizadas las reglas de acceso
Delegar la responsabilidad de la proteccin al custodio.
Custodio: se le delega la responsabilidad de proteccin de los datos de parte del propietario. Este rol
es ejecutado normalmente por personal de TI. Sus tareas son:

Realizar backups peridicos y probar la restauracin de los datos respaldados.

Restaurar los datos del backup cuando sea necesario.

Mantener la informacin de acuerdo con el esquema de clasifcacin vigente.

Ocasionalmente administrar el esquema de clasifcacin.

Usuarios: un usuario fnal es considerado aquel que utiliza la informacin del sistema en forma
rutinaria como parte de su puesto de trabajo en la organizacin.
Los usuarios deben seguir los procedimientos operativos defnidos en la poltica de seguridad.
Auditoria de la Seguridad Informtica
La Auditoria de la seguridad en la informtica abarca los conceptos de seguridad fsica y lgica.
La seguridad fsica se refere a la proteccin del hardware, as como la seguridad de los edifcios e
instalaciones que los albergan.

El auditor informtico debe contemplar situaciones de incendios, inundaciones, robos, sabotajes, catstrofes
naturales, etc.
La seguridad lgica se refere a la seguridad en el uso del software, la proteccin de los datos y procesos
as como la del acceso ordenado y autorizado de los usuarios a la informacin.
El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias
piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de
virus.

Tipos de medidas de seguridad

Las medidas de seguridad que pueden establecerse en un
sistema informtico son:
Medidas Fsicas
Medidas Lgicas
Seguridad Fsica
Aplican mecanismos para impedir el acceso directo o fsico no autorizado al sistema. Tambin protegen al
sistema de desastres naturales o condiciones medioambientales adversas. Se trata fundamentalmente de
establecer un permetro de seguridad al sistema.
Existen tres factores fundamentales a considerar:
El acceso fsico al sistema por parte de personas no autorizadas
Los daos fsicos por parte de agentes nocivos o contingencias
Las medidas de recuperacin en caso de fallo
Tipos de controles que se pueden establecer, estos incluyen:
Control de las condiciones medioambientales (temperatura, humedad, polvo, etc....)
Vigilancia (cmaras, guardias , etc.)

 Sistemas de contingencia (extintores, fuentes de alimentacin ininterrumpida, estabilizadores de corriente,

fuentes de ventilacin alternativa, etc.)
Sistemas de recuperacin (copias de seguridad, servidor redundante, sistemas alternativos geogrfcamente
separados y protegidos, etc.)
Seguridad Lgica
Entre los tipos de controles lgicos que es posible incluir en una poltica de seguridad podemos destacar los
siguientes:
Establecimiento de una poltica de control de accesos. (sistema de identifcacin y autentifcacin de
usuarios autorizados y un sistema de control de acceso a la informacin)
Defnicin de una poltica de instalacin y copia de software.
Defnicin de una poltica de copias de seguridad.
Defnicin de una poltica de monitorizacin y auditoria del sistema.
Dentro de las medidas lgicas se incluyen tambin aquellas relativas a las personas, se trata de defnir las
funciones, relaciones y responsabilidades de distintos usuarios potenciales del sistema. Se tratara
entonces de responder a preguntas tales como:
A quin se le permite el acceso y uso de los recursos?
Qu recursos puede acceder cada usuario y qu uso puede hacer de ellos?
Cules son las funciones del administrador del sistema y del administrador de la seguridad?
Cules son los derechos y responsabilidades de cada usuario?

A la hora de responder a las preguntas anteriores hemos de diferenciar cuatro tipos fundamentales de
usuarios. A cada tipo se le aplicar una poltica distinta de control de accesos y se le imputaran distinto
grado de responsabilidad sobre el sistema:
El administrador del sistema y en su caso el administrador de la seguridad.
Los usuarios del sistema.
Las personas relacionadas con el sistema pero sin necesidad de usarlo
Las personas ajenas al sistema

Consideraciones de software
Tener instalado en la mquina nicamente el software
necesario reduce riesgos.
Tener controlado el software asegura la calidad de la
procedencia del mismo (el software pirata o sin garantas aumenta
los riesgos).
Un inventario de software proporciona un mtodo correcto de
asegurar la reinstalacin en caso de desastre.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de fcheros
desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados
propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha
introducido el virus.

Phishing es utilizado para referirse a uno de los mtodos mas

utilizados por delincuentes cibernticos para estafar y obtener
informacin confdencial de forma fraudulenta como puede ser
una contrasea o informacin detallada sobre tarjetas de crdito
u otra informacin bancaria de la victima

Computadora: es el objeto del delito y el criminal utiliza otra

computadora para perpetar el ataque

Ataque de alteracin: Modifcacin NO autorizada de datos o

cdigo, afectan la integridad de datos
Ataque fuerza bruta: ataque por un intruso, utilizando muchas herramientas de decodifcacin de contraseas
encriptadas para obtener acceso no autorizado a una red o a sistemas basados en un host
Virus: Un virus informtico o virus computacional es un malware que tiene por objetivo alterar el normal
funcionamiento del ordenador, sin el permiso o el conocimiento del usuario.
El funcionamiento de un virus informtico es conceptualmente simple. Se ejecuta un programa que est
infectado, en la mayora de las ocasiones, por desconocimiento del usuario. El cdigo del virus queda residente
(alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contena haya terminado de
ejecutarse. El virus toma entonces el control de los servicios bsicos del sistema operativo, infectando, de
manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del
virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa

Concienciacin, polticas de seguridad, administrador de

seguridad, acceso fsico, proteger la red, antivirus

Ejercicio
Una compaa dedicada a la produccin y distribucin de videos
clips, ha respaldado activamente el uso de notebooks por su
personal, de modo que cuando ellos viajan o trabajan desde sus
casas, puedan utilizarlas.
A travs de Internet, ellos pueden acceder a las bases de datos de la compaa y proveer informacin en lnea
a clientes.
Esto ha tenido un aumento en la productividad de los empleados . Basado en procedimientos escritos y
capacitacin, los empleados aprenden procedimientos de seguridad para evitar el acceso no autorizado a los datos
de la compaa.
Para el acceso, los empleados utilizan un inicio de sesin y contraseas para el servidor de aplicacin. Las
contraseas iniciales son asignadas por el administrador de seguridad y cuando el empleado inicia por 1ra vez, el
sistema fuerza un cambio de contrasea para mejor confdencialidad.

Actualmente, la gerencia esta considerando formas de mejorar la proteccin de seguridad para el acceso
remoto de sus empleados, ayuda a la gerencia contestando las siguientes preguntas:
Cul de los siguientes niveles crees que un grado mas alto de proteccin al aplicar un control de acceso para
evitar riesgos de acceso no autorizado?
1 Nivel de red
2 Nivel de aplicacin
3 Nivel de base de datos
4 Nivel de archivo de registro de auditoria
Cuando un empleado notifca a la compaa que ha olvidado su contrasea Qu te parece que debe hacer
PRIMERO el administrador?
1 Permitir que el sistema genere aleatoriamente una nueva contrasea.
2 Verifcar la identifcacin del usuario a travs de un sistema de pregunta/respuesta
3 Proveer al empleado la contrasea predeterminada y explicar que la cambie lo antes posible
4 Pedir al empleado que se traslade a la computadora del administrador para generarle una nueva
contrasea para asegurar la confdencialidad
Cual de las siguientes remocomendaciones es MAS probable que reduzca el riesgo de acceso remoto no
autorizado?
1 Mantener un registro de acceso (fecha, hora)
2 Actualizar polticas de corta fuegos (frewall) y verifcar su implementacin
3 Tener instalado un software antivirus en el servidor

Tarea de investigacin
Auditoria del ciclo de vida de los sistemas
1 Objetivos de control a auditar
2 Importancia de la auditoria del desarrollo
3 Tareas del auditor en:
El estudio de factibilidad /viabilidad, la defnicin de requerimientos, el proceso de adquisicin de
software, el diseo de sistemas, el desarrollo de sistemas, la etapa de implementacin, la etapa
de pruebas, el mantenimiento de los sistemas, la revisin posterior a la implementacin, la
administracin y gestin de proyectos

Revisin del ciclo de vida del desarrollo de Aplicaciones, adquisicin o mantenimiento.

El Objetivo de esta revisin es identifcar, analizar y evaluar los requerimientos del usuario, riesgos, exposiciones a ellos y los
controles en aplicaciones especfcas durante la fase de desarrollo, adquisicin o mantenimiento de las aplicaciones. Las tareas
del auditor de sistemas incluyen las siguientes:

Determinar los componentes, objetivos y requerimientos principales de los usuarios de la aplicacin e identifcar las
reas que exigen controles al hacer entrevistas con miembros claves del proyecto.

Determinar y clasifcar los principales riesgos y exposicin a riesgos de la aplicacin, para permitir controles por medio
de discusiones con miembros del equipo del proyecto.

Identifcar los controles para minimizar los riesgos y exposiciones a riesgos de la aplicacin por referencia a fuentes
confables y por medio de discusiones con miembros del equipo del proyecto.

Asesorar al equipo del proyecto respecto del diseo de la aplicacin y la implantacin de controles al evaluar los
controles disponibles y al participar en discusiones con miembros del equipo del proyecto.

Monitorear el proceso de desarrollo, mantenimiento o adquisicin de las aplicaciones para asegurarse de que se
implantan los controles, se satisfacen los requerimientos de los usuarios y se sigue la metodologa mas adecuada en
cada caso, esto permite asegurarse que las aplicaciones son efcaces y efcientes, al realizar reuniones peridicas con
miembros del equipo del proyecto y al hacer exmenes de la documentacin y los productos en sus diversas etapas.

Revisin de desarrollo de sistemas.

Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de sistemas obtenga la documentacin
necesaria y disponible de las diversas fases as como que asista a las reuniones del equipo del proyecto ofreciendo
asesoramiento durante todo el proyecto de desarrollo de sistemas. Tambin, el auditor de sistemas debe evaluar la capacidad
de los equipos del proyecto para producir los productos claves a entregar para las fechas prometidas. Durante todo el proceso
de desarrollo de sistemas el auditor de sistemas debe analizar los riesgos asociados y las exposiciones que son inherentes en
cada fase y asegurarse de que los mecanismos de control adecuados estn vigentes para minimizar esos riesgos y una forma
que sea efcaz en cuanto a costos. Debe utilizarse el tino para recomendar controles que no cuesten mas administrarlos que los
riesgos que deben minimizar.

Estudio de Factibilidad. El auditor de sistemas debe revisar la documentacin producida en esta fase y corroborar
su razonabilidad. Debe verifcarse todas las justifcaciones de costo / benefcio junto con el cronograma de cuando
se anticipaba que se realizaran los benefcios. Identifcar si la necesidad del negocio que se utiliza para justifcar
el sistema, realmente existe, y hasta que punto existe la necesidad. Determinar si puede obtenerse una solucin
con los sistemas vigentes. De no ser as corroborar la razonabilidad de la evaluacin de las soluciones
alternativas. Determinar si fnalmente se eligi la solucin mas apropiada.

Defnicin de requerimientos. El auditor de sistemas debe obtener el documento de defnicin de requerimientos

detallados y verifcar su exactitud por medio de entrevistas con los departamentos usuarios que lo solicitan.
Identifcar los miembros clave del equipo del proyecto y verifque que todos los grupos usuarios afectados tienen
una adecuada representacin. Verifcar que la gerencia aprob la iniciacin del proyecto y el costo del proyecto.
Revisar los diagramas de flujo de datos y el diseo conceptual para asegurarse de que se trata las necesidades
del usuario. Revisar el diseo conceptual por el nivel adecuado del control. Revisar las propuestas dadas a los
proveedores para asegurarse de que cubren el verdadero alcance del proyecto y los requerimientos de los
usuarios. Determinar si esta aplicacin es apropiada para el uso de una rutina de auditora incorporada. De ser as
incorpore la rutina en el diseo conceptual del sistema.

Fase de diseo detallado y programacin. Revisar los flujogramas del sistema para observar el seguimiento del
diseo general, si se observan cambios, verifquen que fueron dadas sus aprobaciones apropiadas para los
cambios y que los cambios han sido discutidos y aprobados por los grupos de usuarios afectados. Revisar los
controles de entrada y salida diseados dentro del sistema, para comprobar que sean apropiados. Entrevistar a
los usuarios clave del sistema para comprobar su comprensin de cmo operar el sistema y evaluar su nivel de
entrada en el diseo de los formatos de pantalla y los informes de salida. Evaluar los rastros de auditora que se
programan, en el sistema para rastrear la informacin fuente clave. Verifcar la correccin de los clculos de los
procesos claves. Verifcar que el sistema puede identifcar y procesar correctamente datos errneos. Verifcar que
los procesos de prueba de los programas sean desarrollados durante esta fase. Verifcar que se hicieron las
correcciones recomendadas para los errores de programacin y que las pistas de auditora recomendados o los
mdulos de auditora fueron incorporadas en los programas correctos.

Fase de Prueba. La fase de prueba es crucial para determinar que los requerimientos han sido satisfechos y que el
sistema se comporta como se anticipaba. Por ende el auditor de sistemas debe participar en forma intensa y
revisar la fase. Examinar el plan de prueba, para verifcar que sea completo con la evidencia indicada de la
participacin del usuario, tal como escenario de situaciones de prueba creados por los usuarios y/o aprobacin
escrita de aceptacin de los resultados. Revisar todos los resultados de pruebas en paralelo para comprobar su
exactitud. Verifcar que la seguridad este funcionando adecuadamente, probando intentos de acceso no
permitidos. Examinar comprobando la precisin de los mensajes de error para reconocer los datos errneos y la
resolucin de estos errores.

Implantacin. Esta fase se inicia solo despus de una exitosa fase de prueba. Debe tenerse precaucin al
transferir un nuevo sistema a situacin de produccin. El auditor de sistemas debe verifcar que las aprobaciones
necesarias existen antes de implementar el nuevo sistema. Revisar los procedimientos programados que se
utilizan para hacer el cronograma y correr el sistema junto con los parmetros del sistema que se utilizan al
ejecutar el cronograma de actividades. Revisar la documentacin del sistema a fn de asegurarse de que esta
completo y que todas las actualizaciones posteriores a la fase de prueba han sido incorporadas. Verifcar toda la
conversin de datos para asegurarse de que es correcta y esta completa antes de implementar en produccin al
nuevo sistema.

Fase de Post-Implantacin. Luego que el nuevo sistema ha estado operando, por lo menos seis meses, el auditor
de sistemas independiente de las otras fases de la vida del sistema, revisar lo siguiente: Determinar si el
programa ha logrado los requerimientos de los objetivos, se debe prestar especial atencin a la utilizacin y la
satisfaccin de los usuarios fnales, ellos constituirn un indicador excelente. Verifcar que se miden, analizan e
informan adecuadamente a la gerencia los benefcios identifcados con el estudio de factibilidad. Revisar las
solicitudes de cambios a los programas que se han realizado, para evaluar el tipo de cambios que se exigen al
sistema, el tipo de cambios puede indicar problemas de diseo, programacin o interpretacin de los
requerimientos de usuario.

Revisin de aplicaciones de software comprado.

Para tomar la decisin de comprar el producto de un vendedor en lugar de crear una solucin interna, debe existir en el estudio
de factibilidad, documentacin sobre la decisin de "hacer vs. Comprar", esta documentacin debe ser analizada para
determinar si la decisin de comprar fue apropiada. y considerar lo siguiente respecto a los proveedores: Estabilidad fnanciera.
Nmero de aos de experiencia ofreciendo el producto. Nmero de sedes de clientes que usen el servicio. Compromiso de
servicio. Compromiso de desarrollar o mejorar el producto. Nivel de satisfaccin de otros clientes, si es posible visitar sus
instalaciones y ver como se utiliza en un ambiente real de produccin. Compromiso para la provisin de entrenamiento,
documentacin y upgrades a los productos. Aceptacin de pruebas de productos antes de la compra. Adicionalmente el auditor
de sistemas deber revisar el contrato en los siguientes puntos: Descripcin especfca de los productos a entregar.
Compromisos sobre fechas de entrega de los productos. Compromiso de entrega de los upgrades y entrenamiento. Entregas de
licencias y permisos para copiar el software para utilizarlo en esfuerzos de recuperacin de desastres.

Revisin del Mantenimiento de aplicaciones.

El objetivo de esta revisin es identifcar, analizar y evaluar normas, tareas, procedimientos y controles en el proceso de control
de cambios a los programas. Las tareas de auditora en este aspecto son:

Evaluar los estndares y procedimientos para cambios a programas para asegurar su adecuacin por medio de
examen de la correspondiente documentacin, discusiones con personal clave y observaciones.

Probar los procedimientos de control de cambios para asegurar que se explican segn se describe en los
estndares por medio de discusin y examen de los registros respaldatorios.

Evaluar el proceso de control de cambios para determinar que los objetivos de control fueron cumplidos al
analizar los resultados de pruebas y otra evidencia de auditora.

Determinar la adecuacin de la seguridad de la biblioteca de produccin para asegurar la integridad de los

recursos de produccin al identifcar y probar controles existentes.

Desde que un sistema es puesto en funcionamiento, se practican cambios, los cuales deben tener en cuenta una metodologa
para realizar y registrar estos cambios, esta metodologa debe incluir:

Procedimientos para autorizacin de los cambios a los programas de produccin. Documentacin de programas,
las solicitudes de cambio deben ser archivadas con la documentacin del programa afectado y debe incluirse la
documentacin de la razn del cambio (anlisis del costo / benefcio) si es necesario.

Rastros de auditora de cambios, siempre debe llevarse un rastro de auditora de todos los cambios o manejo de
versiones de los programas, esto generalmente lo posee el software de manejo de bibliotecas.

Concordancia del cdigo fuente y el ejecutable, se refere a que si un programa fuente es compilado nuevamente,
el programa ejecutable resultante es igual al programa que esta en produccin.

Controles de acceso a los programas de produccin, debe existir un riguroso control de acceso a los programas de
produccin, estos controles generalmente son manejados por el software de acceso al mainframe.

PANORAMA DEL DESARROLLO DE LOS SISTEMAS

Un marco de referencia que contiene los procesos, las actividades y las tareas involucradas en el desarrollo, la
explotacin y el mantenimiento de un producto de software, abarcando la vida del sistema desde la defnicin de los

requisitos hasta la fnalizacin de su uso

En la mayor parte de las situaciones dentro de una empresa todas las actividades estn muy relacionadas, en
general son inseparables, y quiz sea difcil determinar el orden de los pasos que se siguen para efectuarlas.
Las diversas partes del proyecto pueden encontrarse al mismo tiempo en distintas fases de desarrollo; algunos
componentes en la fase de anlisis, mientras que otros, en etapas avanzadas de diseo.
Las actividades tpicas del ciclo de vida son:
1- Estudio de factibilidad.
2- Anlisis (de requerimientos).
3- Diseo
4- Implementacin
5- Validacin y prueba
6 - Operacin y mantenimiento
OBJETIVOS DE UN CICLO DE VIDA DE LOS SISTEMAS DE INFORMACION
Defnir las actividades a llevarse a cabo en el desarrollo
Lograr congruencia entre los proyectos de desarrollo al interior y exterior de la organizacin
Proporcionar puntos de control y revisin administrativos
Organizar las actividades de manera lgica
Controlar la calidad del sistema
1. ESTUDIO DE FACTIBILIDAD
Un resultado importante de la investigacin preliminar es la determinacin de que el sistema solicitado sea factible.
En la investigacin preliminar existen tres aspectos relacionados con el estudio de factibilidad.
1. Factibilidad Tcnica. El trabajo para el proyecto, puede realizarse en el equipo actual, la tecnologa existente
del software y el personal disponible? Si se necesita nueva tecnologa cul es la posibilidad de desarrollarla?
2. Factibilidad Econmica. Que los benefcios (tangibles e intangibles) y horros superen a los costos; que los
ndices fnancieros que se calculen sean aceptables, de acuerdo con polticas y estndares generales y especfcos;
que el proyecto tenga contenido econmico y est contemplado en el presupuesto respectivo.
Como mnimo deben calcularse las siguientes razones:
a. Tasa Interna de Retorno.
b. Valor Neto Presente.
c. Perodo de Recuperacin.

d. Y, el total de los benefcios netos.

Dependiendo de los resultados de este estudio se determinar si se contina o no con el proyecto.
3. Factibilidad Operacional. Si se desarrolla e implanta, ser utilizado el sistema?, existir cierta resistencia al
cambio por parte de los usuarios que de cmo resultado una disminucin de los posibles benefcios de la
aplicacin?
El estudio de factibilidad lo lleva a cabo un pequeo equipo de personas (en ocasiones una o dos) que est
familiarizado con tcnicas de sistemas de informacin; dicho equipo comprende la parte de la empresa u
organizacin que participar se ver afectada por el proyecto y es gente experta en los procesos de anlisis y diseo
de sistemas. En general, las personas que son responsables de evaluar la factibilidad son anlisis capacitados o
directivos.
2. ANLISIS DE SISTEMAS
El aspecto fundamental del anlisis de sistemas es comprender todas las facetas importantes de la parte de la
empresa que se encuentra bajo estudio. Los analistas, al trabajar con los empleados y administradores, deben
estudiar los procesos de una empresa para dar respuesta a las siguientes preguntas:
1.
2.
3.
4.
5.
6.
7.
8.

Qu es lo que hace?
Cmo se hace?
Con qu frecuencia se presenta?
Qu tan grande es el volumen de transacciones o de decisiones?
Cul es el grado de efciencia con el que se efectan las tareas?
Existe algn problema?
Si existe un problema. Qu tan serio es?
Si existe un problema. Cul es la causa de lo que origina?

Para contestar estas preguntas, el analista conversa con varias personas para reunir detalles relacionados con los
procesos de la empresa, sus opiniones sobre porque ocurren las cosas, las soluciones que proponen y sus ideas para
cambiar el proceso. Se emplea cuestionarios para obtener esta informacin cuando no es posible entrevistar, en
forma personal, a los miembros de grupos grandes dentro de la organizacin.
As mismo, las investigaciones detalladas requieren el estudio de manuales y reportes, la observacin en
condiciones reales de las actividades de trabajo y, en algunas ocasiones, muestras de formas y documentos con el
fn de comprender el proceso en su totalidad.
Conforme se renen los detalles, los analistas estudian los datos sobre requerimientos con la fnalidad de identifcar
las caractersticas que debe tener el nuevo sistema, incluyendo la informacin que deben producir los sistemas
junto con caractersticas operacionales tales como controles de procesamiento, tiempos de respuesta y mtodos de
entrada y salida.

3. DISEO DEL SISTEMA.

El diseo de un sistema de informacin produce los detalles que establecen la forma en la que el sistema cumplir
con los requerimientos identifcados durante la fase de anlisis. Los especialistas en sistemas se referen, con
frecuencia, a esta etapa como diseo lgico en contraste con la de desarrollo del software, a la que denominan
diseo fsico. Los analistas de sistemas comienzan el proceso de diseo identifcando los reportes y dems salidas
que debe producir el sistema. Hecho lo anterior se determinan con toda precisin los datos especfcos para cada
reporte y salida. Es comn que los diseadores hagan un bosquejo del formato o pantalla que esperan que aparezca
cuando el sistema est terminado. Lo anterior se efecta en papel o en la pantalla de una terminal utilizando para
ello algunas de las herramientas automatizadas disponibles para el desarrollo de sistemas.
Los documentos que contienen las especifcaciones de diseo representan a ste de muchas maneras (diagramas,
tablas y smbolos especiales). La informacin detallada del diseo se proporciona al equipo de programacin para
comenzar la fase de desarrollo de software .
Los diseadores son los responsables de dar a los programadores las especifcaciones de software completas y
claramente delineadas. Una vez comenzada la fase de programacin, los diseadores contestan preguntas, aclaran
dudas y manejan los problemas que enfrentan los programadores cuando utilizan las especifcaciones de diseo
Fases del Diseo:
Eleccin de una solucin de diseo entre las soluciones candidatas..
Evaluacin del hardware y software requeridos
Diseo e Integracin del nuevo sistema
CLASE DE DISEO DE SISTEMAS
1. Diseo General. El mtodo comnmente utilizado es la modelizacin (acto
de elaborar una o ms representaciones grfcas del sistema).Los modelos de diseo general describen:
-La estructura de los archivos y las bases de datos (diagrama de estructuras de datos)
-Los mtodos y procedimientos de proceso (diagrama de flujo)
-La estructura de la red informtica (diagrama de flujo).
2. Diseo Detallado. Se divide en:
-Diseo Externo. (conjunto de especifcaciones de la interfaz del sistema con sus usuarios incluyen entradas,
consultas, salidas, diseo de ventanas y transicin entre ventanas.
-Diseo Interno. Especifcaciones de aplicacin del sistema, los archivos, diseo de la base de datos.
4. IMPLANTACIN Y EVALUACIN
La implantacin es el proceso de verifcar e instalar nuevo equipo entrenar a los usuarios, instalar la aplicacin y

construir todos los archivos de datos necesarios para utilizarla. Dependiendo del tamao de la organizacin que
emplear la aplicacin y el riesgo asociado con su uso, puede elegirse comenzar la operacin del sistema slo en un
rea de la empresa (prueba piloto). Cada estrategia de implantacin tiene sus mritos de acuerdo con la situacin
que se considere dentro de la empresa. Sin importar cul sea la estrategia utilizada, los encargados de desarrollar el
sistema procuran que el uso inicial del sistema se encuentre libre de problemas.
Una vez instaladas, las aplicaciones se emplean durante muchos aos. Sin embargo las organizaciones y los
usuarios cambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y los meses.
Por consiguiente, es indudable que debe darse mantenimiento a las aplicaciones, realizar cambios y modifcaciones
en el software, archivos o procedimientos para satisfacer las nuevas necesidades de los usuarios. Dado que los
sistemas de las organizaciones junto con el ambiente de las empresas experimentan cambios de manera continua,
los sistemas de informacin deben mantenerse siempre al da. En este sentido la implantacin es un proceso en
constante evolucin.
La evolucin de un sistema se lleva a cabo para identifcar puntos dbiles y fuertes. La evaluacin ocurre a lo largo
de cualquiera de las siguientes dimensiones:
1. Evaluacin operacional: Valoracin de la forma en que funciona el sistema, incluyendo su facilidad de uso, tiempo
de respuesta, lo adecuado de los formatos de informacin, confabilidad global y nivel de utilizacin.
2. Impacto organizacional: Identifcacin y medicin de los benefcios para la organizacin en reas tales como
fnanzas, efciencia operacional e impacto competitivo. Tambin se incluye el impacto sobre el flujo de informacin
externo e interno.
3. Opinin de loa administradores: evaluacin de las actividades de directivos y administradores dentro de la
organizacin as como de los usuarios fnales.
4. Desempeo del desarrollo: La evaluacin de proceso de desarrollo de acuerdo con criterios tales como tiempo y
esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros criterios de administracin de proyectos.
Tambin se incluye la valoracin de los mtodos y herramientas utilizados en el desarrollo.
Desafortunadamente la evaluacin de sistemas no siempre recibe la atencin que merece. Sin embargo, cuando se
conduce en forma adecuada proporciona mucha informacin que puede ayudar a mejorar la efectividad de los
esfuerzos de desarrollo de aplicaciones subsecuentes.
5. PRUEBA DE LOS SISTEMAS
Durante la fase de prueba de sistemas, el sistema se emplea de manera experimental para asegurarse de que el
software no tenga fallas, es decir que funcione de acuerdo con las especifcaciones y en la forma en que los usuarios
esperan que lo haga. Se alimentan como entradas conjuntos de datos de prueba para su procesamiento y despus

se examinan los resultados. En ocasiones se permite que varios usuarios utilicen el sistema para que los analistas
observen si tratan de emplearlo en formas no previstas. Es preferible descubrir cualquier sorpresa antes de que la
organizacin implante el sistema y dependa de l.
En muchas organizaciones, las pruebas son conducidas por personas ajenas al grupo que escribi los programas
originales; con esto se persigue asegurar, por una parte, que las pruebas sean completas e imparciales y, por otra,
que el software sea ms confable.
PRODUCCIN Y MANTENIMIENTO
Es el soporte continuado de un sistema despus de que se ha puesto en funcionamiento. Incluye el mantenimiento
de aplicaciones y mejoras al sistema.
Esta fase incluye actividades como:
-Correccin de Errores
-Recuperacin de datos por fallas del sistema
-Adaptacin del sistema a nuevas necesidades