Seguridad y Control de

Sistemas de Informacin

Retos Gerenciales

ndice

Vulnerabilidad y abuso en los sistemas.

o Hackers & Virus de computadoras.
o Desastres y errores en los sistemas de informacin
o Problemas de calidad en los sistemas: datos y software
Creacin de un entorno de control
o Controles generales.
o Controles de aplicacin.
o Seguridad e Internet.
Como asegurar la calidad de los sistemas.
o Aseguramiento de calidad del software.
o Aseguramiento de calidad de los datos

Objetivos
Explicar por que los SI son tan vulnerables a la destruccin, los
errores, el abuso y los problemas de calidad de sistemas.
Comparar los controles generales y los de aplicacin para SI,
incluido los controles para proteger el uso de Internet.
Seleccionar los factores que es preciso considerar al desarrollar
los controles de los SI
Describir las tcnicas ms importante de aseguramiento de
calidad de software
Demostrar la importancia de auditar los SI y salvaguardar la
calidad de de los datos

Por que son vulnerables los Sistemas

Falla de hardware

Incendio

Fallo de Software

Problemas Electrnicos

Acciones del Personal

Errores de usuario

Penetracin por terminales

Cambio de Programas

Robo de datos, servicios, equipos Problemas de telecomunicacin

Razones
Un SI complejo no se puede reproducir manualmente.
Los procesos de Computacin son invisibles y no es fcil
entenderlos ni auditarlos .
Los efectos de un desastre, pueden destruir e incluso perder
irremediablemente los registros.
Usuarios autorizados logran tener acceso a datos que no tienen
permiso

Hackers y Virus
Hacker. Persona que accede sin autorizacin a una red de
computadoras, para lucrar, causar daos, o por placer personal.
Virus de computadoras. Programas de software fuera de control que son
difciles de detectar y que se propagan rpidamente por los sistemas
Informticos, destruyendo datos o perturbando el procesamiento y la
Memoria.
Software antivirus. Software diseado par detectar, y a menudo
eliminar, virus de computadoras de un sistema de informacin.
Desastres
Sistema de computadoras que toleran fallos. Sistema que contienen
componentes adicionales de hardware , software y alimentacin de
energa, que pueden respaldar un sistema y mantenerlo en operacin
para evitar que falle.

Virus de computadoras comunes

Nombre del Virus

Descripcin

Concept

Virus de Macro que se plega a documentos de

Word, se propaga por correo electrnico y borra
archivos.

Form

Produce un chasquido cada vez que se prime una

tecla cada 18 de cada mes, altera datos del disquete.

One_Half

Codifica el HD de modo que slo el virus puede

leer los datos que contiene, destella en la pantalla
de la PC cuando le falta la mitad para terminar su
actividad. Puede sufrir mutaciones.
Hace que parezca que le HD fallo, por que
Windows no funciona.

Monkey
Junki

Multipartita, puede infectar archivos y el MBR,

puede causar conflictos de memoria.

Ripper (o Jack de Ripper)

Altera datos del HD aproximadamente una vez cada

mil operaciones.

Blaster y el Issas

Ataca al XP, 2000, NT. Tediosos virus que hacen

apagar la computadora al conectarse al Internet

SEGURIDAD

Se refiere a la poltica, procedimientos y las medidas

tcnicas que se toman para evitar el acceso no autorizado o
la alteracin, robo y daos al SI.
Exiten una serie de herramientas para proteger el HW, SW y
las redes de comunicacin y datos.

Ejem.

Backup en cintas magnnitas o PCS remotas, sistemas RAID

(Redundant Arrays of Inexpensive Disks).

ERRORES
Las computadoras tambien pueden actuar como
instrumentos de error al alterar gravemente o destruir
los expedientes de una organizacin.
Se pueden presentar errores en la introduccin de los
datos, en los programas, en las operaciones
computarizadas, y en el Hardawre.
Los errores pueden provocar fallos.

Causa ms frecuentes de los errores:

Especificacin incompleta o errnea (EIE)

Mala implementacin de la comunicacin del cliente (MCC)
Desviacin deliberada de las especificaciones (DDE)
Incumplimiento de los estndares de programacin (IEP)
Error en la representacin de los datos (ERD)
Interfaz de mdulo inconsistente (IMI)
Error en la lgica de diseo (ELD)
Prueba incompleta o errnea (PIE)
Documentacin imprecisa o incompleta (DII)
Error en la traduccin del diseo al lenguaje de
programacin (TLP)
Interfaz hombre-mquina ambigua o inconsistente (IHM)
Varios (VAR)

Puntos del ciclo de procesamiento en los que pueden

haber errores
Preparacin de
Datos
Transmisin

Conversin

Introduccin de Datos
en Lnea

Llenado de Formato
Perforacin, Exploracin
ptica y otras entradas

Validacin
Procesamiento de
archivos

Salida

Transmisin

Distribucin

Problemas de calidad de los sistemas: Software y Datos

Fallos
Fallosenenelelsoftware
software

Prdida en productividad

Errores y defectos del software

Bugs.- error de cdigo oculto de software, estos errores son casi imposible
eliminarlos si es un programa grande y su principal fuente es la
complejidad de las lneas de cdigo
La eliminacin de errores de software es una actividad que produce
menos beneficios conforme avanza
A mayor complejidad de
cdigo

Mayor dificultad
al documentar y disear

Problemas de calidad de los sistemas: Software y Datos

Porque se producen errores de software?

Los errores se producen debido a los riesgos de software que se

pueden presentar y al control de calidad.
El riesgo es la probabilidad que se produzca un resultado no satisfactorio
Estos fallos se expresan en trminos de dinero por ejemplo:
Resultados contables negativos.
Prdida de oportunidades (renovar nuevos contratos con un cliente)
Prdida financiera.
Perdidas humanas( p.e Sistema de control de trfico areo, un sistema de
respiracin artificial, sistema de control de planta nuclear).

Problemas de calidad de los sistemas: Software y Datos

Los riesgos mas graves en los errores de software son:
1. Tiempo de desarrollo
- Lo que causa mayor presupuesto.
- Problemas operacionales debido a errores (Una aplicacin que calcule
mal los sueldos)
- Pobre rendimiento de las aplicaciones (Por ejemplo no contemplar el
el volumen de datos que puede manejar el sistema y por lo tanto
degrada el rendimiento del sistema
- Interfaces mal diseadas ( induce a errores por parte de los usuarios
en la carga de datos y seleccin de acciones)
2. Riesgo Tcnico
Problemas de implementacin, verificacin y mantenimiento

Problemas de calidad de los sistemas: Software y Datos

La pesadilla del mantenimiento
Proceso de modificar un sistema que se usa. Es la fase mas costosa del
desarrollo de sistemas.

Casi la mitad del tiempo del personal lo destina a mantenimiento.

Problemas de calidad de los sistemas: Software y Datos

Porque son tan altos los costos de mantenimiento?
Estructura
Cambio en la
organizacin

Liderazgo

afectan las necesidades de

informacin

Entorno

Nmero de lneas

Complejidad
del software

Tamao del programa

Subprogramas
Complejidad de la lgica

afectan la depuracin y
reingeniera de software

Problemas de calidad de los sistemas: Software y Datos

Porque son tan altos los costos de mantenimiento?

Si se detectan pronto los

errores en esta etapa

Anlisis y
Diseo
defectuoso

El costo de desarrollo del

sistema es pequeo

Caso contrario si se detectan en las dems

Etapas los costos pueden elevarse demasiado

Un error de lgica corregirla tomara 1-2 hr, en las siguientes

etapas tomara 10,40 hasta 90 veces mas de tiempo.

Problemas de calidad de los sistemas: Software y Datos

5
4
3
2
1

Problemas de calidad de los sistemas: Software y Datos

Problemas de calidad de datos
Datos inexactos, atrasados o que no concuerdan con otras fuentes
de informacin suelen crear problemas operativos y financieros
Graves.
Pueden causar malas decisiones como obligar a retirar productos de
Mercados.

Mala calidad de datos

Errores de ingreso
Defecto en el diseo de informacin
Defecto en la base de datos

Creacin de un entorno de
Control
La combinacin de medidas manuales y
automatizadas que salvaguardan los SI y cuidan
que funcionen segn las normas gerenciales
recibe el nombre de control.
Controles. Todos los mtodos, polticas y
procedimientos de la organizacin que cuidan la
seguridad de sus activos.

Los sistemas de computacin se controlan

mediante una combinacin de:

Controles
Generales

Controles amplios que establecen un

marco dentro del cual se controla el
diseo, la seguridad y el uso de los
programas de computadora en toda la
organizacin

Controles de
Aplicacin

Controles especficos, exclusivospara cada

aplicacin computarizada.

CONTROLES
GENERALES
1. Controles sobre
el proceso de
Implementacin
del Sistema.
6. Disciplinas,
estndares y
procedimientos
administrativos

5. Controles de
Seguridad de los
Datos

2. Controles de
Software

3. Controles
fsicos de
Hardware.

4. Controles de
operaciones de
computacin

1. Controles de
Implementacin
Concepto.- Audita el proceso de desarrollo de sistemas
en diversos puntos para asegurar que se le maneje y
controle debidamente.
La auditoria de sistemas debe examinar el grado de
participacin de los usuarios en cada etapa de la
implementacin.
La auditoria debe examinar el uso de controles y
tcnicas de aseguramiento de la calidad en el desarrollo
de programas.

2. Controles de
Software
Concepto.- Monitorea el uso del software de sistemas y
evita el acceso no autorizado a los programas de
aplicacin y al software de sistemas.

3. Controles de
Hardware

Concepto.- Cuidan que ste este protegido fsicamente,

y detecten fallos en el funcionamiento de los equipos.

4. Controles de Operaciones
de Computacin
Concepto.- Procedimientos que cuidan que los
procedimientos programados se apliquen de forma
congruente y correcta al almacenamiento y
procesamiento de datos.
Incluye controles sobre la preparacin de trabajos para
procesarse en computadoras, sobre el software de
operaciones y los procedimientos de respaldo y
recuperacin.

Los controles sobre el software de operaciones incluyen

procedimientos, manuales diseados para prevenir y
detectar errores.

5. Controles de Seguridad
de los Datos
Concepto.- Controles que cuidan que los archivos de
datos grabados en disco o cinta no sufran accesos no
autorizados, alteraciones o destruccin.
P.E. Alterar una nota de crdito, de modo que coincida
con una factura de venta archivada. Se puede cuidar la
seguridad en varios niveles:
Los terminales se pueden restringir fsicamente, a fin
de que solo personas autorizadas accedan a ellas.
El software de sistemas puede incluir el uso de
contraseas asignadas slo a personas autorizadas.
Pueden crearse series de contraseas adicionales y
restricciones de seguridad para sistemas y aplicaciones
especficos.

6. Controles
Administrativos
Concepto.- Son normas, reglas, procedimientos y
disciplinas de control formalizados, que aseguran que
los controles de la organizacin se apliquen y cumplan.
1. Segregacin de Funciones.- Principio de control que
divide responsabilidades y asigna tareas a las
personas, de modo que las funciones no se traslapen
y se minimice el riesgo de errores y manipulacin
fraudulenta.
2. Polticas y Procedimientos por escrito.- Establecen
normas formales para controlar la operacin de los
sistemas de informacin.
3. Supervisin.- Asegura que los controles de un
sistema de estn operando como debe ser.

Efectos de los puntos dbiles sobre los

controles generales
Controles de
Implementacin
Controles de Software
(seguridad de programas)
Controles de Software
Controles fsicos de
hardware

Los sistemas nuevos o modificados tienen errores o no

funcionan como es debido.
Se pueden hacer cambios no autorizados al procesamiento. La
organizacin quiz no este segura de qu programas o
sistemas se modificaron
Estos controles quiz no tengan un efecto directo sobre
aplicaciones individuales.
Podra tener fallos graves o dejar de funcionar y, as,
introducir numerosos errores o destruir seguros.

Controles de operaciones
de computo

Podran ocurrir errores aleatorios en el sistema (casi todo el

procesamiento ser correcto pero de vez en cuando no).

Controles de seguridad de
archivos de datos

Se podra alterar sin autorizacin datos almacenados en

sistemas, o personas no autorizadas podran acceder a
informacin confidencial

Controles Administrativos

Todos los dems controles talvez no se apliquen o cumplan

debidamente.

Son especficos dentro de cada aplicacin de computadora individual,

como nmina o procesamiento de pedidos. Incluyen procedimientos
automatizados y manuales que aseguran que la aplicacin slo
procesar datos autorizados

2. Controles de
Procesamiento

1. Controles de
entrada

3. Controles de
Salida

1. Controles de
Entrada
Concepto.- Procedimientos que verifican la exactitud e
integridad de los datos cuando entran al sistema.

1. Totales de Control.- Requiere contar las

transacciones o los campos de cantidades antes del
procesamiento.
2. Verificaciones de Edicin.- Rutinas para verificar los
datos de entrada y corregir errores de
procesamiento.

Tcnicas de Edicin Importantes

Tcnicas de
edicin

Descripcin

Ejemplo

Verificaciones
de lo razonable

Para ser aceptados los datos deben

quedar dentro de ciertos lmites
preestablecidos; si no, sern
rechazados.

Si un pedido es por 20,000 unidades y el

ms grande registrado es por 50
unidades, la transaccin se rechazar.

Verificaciones
de Formato

El sistema verifica caractersticas

del contenido (letra/dgito), de la
longitud y del signo de campos de
datos individuales.

Un nmero de Seguro Social de nueve

cifras no debe incluir caracteres
alfabticos.

Verificaciones
de existencia

La computadora compara datos de

entrada de referencia con tablas o
archivos maestros, para comprobar
que se estn usando cdigos
vlidos.

El cdigo de la Ley de Normas Justas

del Trabajo de un empleado slo puede
ser 1, 2, 3, 4 o 5. Todos los dems
valores para este campo se rechazan.

La computadora verifica si se
mantiene una relacin lgica entre
datos de la misma transaccin.

Una transaccin de prstamo para un

automvil debe contener una relacin
lgica entre el monto del prstamo, el
nmero de pagos del prstamo y el
monto de cada abono.

Verificaciones
de dependencia

2. Controles de
Procesamiento
Concepto.- Rutinas para comprobar que los datos estn
completos y sean exactos durante la actualizacin.

1. Totales de Control de Serie.- Procedimientos para

controlar el grado de actualizacin por computadora
generando totales de control que concilian los totales
antes y despus del procesamiento.
2. Cotejo por Computadora.- Control de procesamiento
que compara los datos de entrada con informacin
guardad en archivos maestros.

3. Controles de
Salida
Concepto.- Medidas que aseguran que los resultados del
procesamiento computarizado sean correctos, estn
completos y se distribuyan debidamente.

Cotejar los totales producidos con los totales de

entrada y de procesamiento.

Revisar las bitcoras de procesamiento

computarizado para comprobar que datos de
computacin correctos se hayan ejecutado como es
debido.

Procedimientos y documentacin formales que

especifican a los destinatarios autorizados de los
informes, cheques u otros documentos crticos
producidos.

Seguridad e Internet
Implantar medidas de seguridad
especiales.
Uso de Firewall entre (LAN) y
(WAN) e Internet.

Apoderados
Inspecciones
estados.

(proxies)
plenas

e
de

Seguridad y Comercio electrnico

Confidencialidad de los datos
(compradores, vendedores)
Uso de Cifrado.
DES, RSA, SSL, S-HTTP

Mensaje
Cifrado

Remitente
Cifrar
con Clave
pblica

Destinatario

Descifrar
con Clave
privada

Seguridad y Comercio
electrnico
Rubrica Digital.
Certificado Digital.
Transmisin electrnica inviolable
(SET).

Seguridad y Comercio electrnico

Rubrica Digital.
Certificado Digital.
Transmisin electrnica inviolable
(SET).

DESARROLLO DE UNA
ESTRUCTURA DE CONTROL:
COSTOS Y BENEFICIOS

ANALISIS DE COSTO BENEFICIO: Para

determinar que control se va utilizar sin
disminuir la operatividad y con el menor
costo posible.
CRITERIOS PARA DETERMINAR EL CONTROL:
*Importancia de los datos.
*Solo datos crticos
*Nivel de riesgos

EL ROL DE AUDITORA EN EL PROCESO

DE CONTROL
Auditorias exhaustivas y sistemticas.
El auditor debe entender perfectamente:
- Las operaciones
- Las instalaciones fsicas
- Las telecomunicaciones
- los sistemas de control
- Los objetivos de seguridad de datos
- La estructura de la organizacin
- El personal
- Los procedimientos manuales
- Aplicaciones personales

ACTIVIDADES DEL
AUDITOR
Entrevista a personas claves.
Examina los controles de aplicacin, de
integridad generales y las disciplinas de
control.
*Sigue el flujo de transacciones sencillas a
travs del sistema
*Efecta pruebas mediante el uso de
software para auditoria automatizada.
*Enumera y ordena todas las deficiencias de
control.
*Estima la probabilidad de que ocurran.
*Evala el impacto sobre las finanzas y
sobre la organizacin

COMO ASEGURAR LA CALIDAD

DE LOS SISTEMAS
MEDIANTE:
Uso de tcnicas de aseguramiento de la
calidad del software.
Mejora de la calidad de sus datos.

Aseguramiento de la calidad
del software:
Usar metodologas apropiadas
Asignar correctamente los recursos durante el
desarrollo de los sistemas.
Utilizar mtricas.
Prestar la debida atencin a las pruebas
Emplear herramientas de calidad.

METODOLOGIAS
Confiere disciplinas a todo el proceso de
desarrollo.
Establece normas para disear, programar y
probar necesidades que abarcan a toda la
organizacin.
Estipula documentos de requisitos y
especificaciones del sistema que sean
completos detallados y exactos.

ASIGNACIN DE RECURSOS
DURANTE EL DESARROLLO DEL SISTEMA
Determina la forma de cmo se reparten los
costos, el tiempo y personal entre las diferentes
fases del proyecto.

MTRICAS DEL SOFTWARE

Son evaluaciones objetivas en forma de mediciones
cuantificadas.
Mide el desempeo del sistema.
Identifica a los problemas conforme se presenta.

PRUEBAS
Se inicia en la fase del diseo.
Para probar se hace un recorrido.
El cdigo se prueba en computadora.
Si hay errores de eliminan mediante la
depuracin.

HERRAMIENTAS DE
CALIDAD
Software de administracin de proyectos
documentan las especificaciones y el diseo de
los productos en formas textuales y grficas.
Las herramientas de programacin incluyen
diccionarios de datos
Bibliotecas para manejar mdulos de programas
y herramientas que
producen cdigos de programas .

AUDITORIA DE CALIDAD DE DATOS

Se realiza con los siguientes mtodos:

Realizar una encuesta a los usuarios finales
para determinar que opinin tienen de la
calidad de los datos.
Examinar archivos de datos enteros
Examinar muestras de archivos de datos.

Resumen
Los sistemas actuales estn concentrados en forma electrnica y muchos de sus
procedimientos son invisibles ocasionando que estn expuestos a desastres y
abusos de datos siendo catastrfico los daos comparando con un sistema
manual, por ejemplo los sistemas en lnea y los que usan internet son
especialmente vulnerables. Otro problema son los errores de software debido a su
alto costo de mantenimiento y es imposible eliminar totalmente los Bugs lo que se
puede hacer es tomar medidas ante riesgos de fallos para minimizarlos.
Existe tambin ciertos tipos de controles que nos ayudan a protegernos como son
los controles generales y de aplicacin, los generales cuidan el diseo global, la
seguridad y uso de los programas y archivos de la empresa en su totalidad
(controles de soft., Hard.,archivos, operaciones, etc), los de aplicacin son
exclusivos para aplicaciones computarizadas se concentran en verificar que los
datos de entrada sean correctos y completos( controles de entrada,
procesamiento, salida).
Existe factores a considerar para el diseo de estos controles de SI para esto se
necesita identificar los puntos y deficiencias del control y efectuar un anlisis de
riesgo, anlisis costo beneficio.
Tambin el captulo habla sobre las tcnicas de proteccin de la calidad del
software como son metodologas estndares, mtricas, procedimientos, y
asignando mayor recurso a la etapa de anlisis y diseo que es la etapa mas
crtica del desarrollo del software para no tener despus problemas en la
implementacin y prueba del sistema causando errores a los usuarios en la
entrada de datos.

Bibliografa
SISTEMA DE INFORMACION GERENCIAL - LAUDON

Preguntas y Respuestas
1. La importancia de los datos de una empresa es fundamental para disear un sistema de
control?
Resp: Existen datos de suma importancia en una empresa que es imprescindible protegerlos
mediante un buen sistema de control, por ejemplo: un sistema de nmina, un registro de
la bolsa de valores. Tambin existen datos que no necesitan protegerse con mucha
cautela por ejemplo una lista de clientes de un odontlogo para curarse los dientes y otros.
Por lo tanto la importancia de los datos es vital para el uso de control de sistemas.
2. Como se puede evitar los problemas de software o minimizarlos?
Resp: Se puede minimizar mas no eliminar los Bugs y se hace mediante un plan adecuado y
realista de desarrollo, control y seguimiento de software.
3. Es seguro los SI en internet?
Resp: Realmente ningn sistema es 100% seguro, en Internet estos sistemas son mas
vulnerables debido a tantos hackers y personas muy hbiles en burlar sistemas de seguridad,
pero se puede tomar medidas necesarias de seguridad para no ser tan afectos a violaciones de
sistemas.
4. Cmo se asegura la calidad de los sistemas?
Resp: Mediante el uso de tcnicas de aseguramiento de la calidad del software, y la mejora
de la calidad de los datos.

Preguntas y Respuestas
5. Cul es la diferencia entre errores y fallos?
Resp: Los fallos ocurren si no existe un adecuado tratamiento de los errores que pueden
presentarse. De ah su diferencia. Los fallos son consecuencia de los errores.
6. Qu son los controles? Cul es la diferencia entre controles generales y controles de aplicacin?
Rpta: Los controles son todos los mtodos, las polticas y procedimientos que cuidan la
seguridad de los activos de la organizacin.
Los controles generales son de control amplio en el cual se controla el diseo, la seguridad y el
uso de los programas de toda la organizacin.