You are on page 1of 188

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA


PROGRAMA: ESPECIALIZACIN EN SEGURIDAD INFORMTICA

MDULO RIESGOS Y CONTROL INFORMTICO

Mirian del Carmen Benavides Ruano


Francisco Nicols Javier Solarte Solarte

PASTO
Febrero de 2012

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO


El presente mdulo ha sido compilado y diseado en el ao 2012 por los
Ingenieros de Sistemas Mirian del Carmen Benavides y Francisco Nicols Javier
Solarte Solarte, docentes de la UNAD, quien a la fecha laboran en el CEAD de
Pasto, dentro de su currculo formativo cuenta con los siguientes estudios:
Mirian del Carmen Benavides: Ingeniera de Sistemas de la Universidad Antonio
Nario, Especialista en Docencia Universitaria de la Universidad de Nario,
Especialista en Informtica y Telemtica de la Fundacin Universitaria del rea
Andina; con experiencia en docencia universitaria desde el ao 2001.
Francisco Nicols Javier Solarte Solarte: Ingeniero de Sistemas de la Universidad
INCCA de Colombia, Especialista en Multimedia educativa, y Especialista en
Auditoria de Sistemas de la Universidad antonio Nario y Magister en Docencia de
la Universidad de La Salle. Adems cuenta con experiencia en Docencia
Universitaria desde 1995 en las diferentes universidades de la ciudad de san Juan
de Pasto y actualmente se desempea como docente auxiliar de la UNAD.
Esta es la primera versin del curso y en el proceso de revisin participa la
Escuela ECBTI con respecto a los contenidos, y la VIMMEP en la revisin del
CORE, ellos brindarn apoyo el proceso de revisin del estilo del mdulo y darn
recomendaciones disciplinares, didcticas y pedaggicas para acreditar y mejorar
el curso.
El mdulo fue iniciado en el mes de julio de 2011, y se termin su compilacin en
el mes de diciembre del mismo ao, a peticin de la Directora Nacional del
Programa de Sistemas, Ingeniera Alexandra Aparicio Rodriguez.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

INTRODUCCIN
En la actualidad el uso de recursos informticos y nuevas tecnologas para los
procesos de procesamiento de informacin, hacen que el campo de la seguridad
en la informacin cobre ms vigencia y es por eso que las organizaciones han
venido implementando planes de seguridad informtica y Sistemas de Gestin de
la Informacin (SGSI) que permitan brindar un sistema de control acorde a las
nuevas circunstancias.
En este sentido uno de los procesos ms importantes para la deteccin de
vulnerabilidades, riesgos, amenazas y fallas es el anlisis de riesgos, que no solo
busca sus causas, sino tambin trata de encontrar las posibles soluciones que
minimicen al mximo las causas que la originan. Para realizar este proceso se
hace necesario conocer los estndares internacionales ms usados, dentro de los
cuales se tratar el estndar COSO que es usado para el anlisis de riesgos en
los procesos, el MAGERIT que es usado para el anlisis de riesgos informticos y
el COBIT que es el ms completo para determinar riesgos y objetivos de control
para el manejo de tecnologa de la informacin (TI).
Posteriormente se conocer ms internamente como esta dividido el estndar
COBIT y cmo se seleccionan los diferentes dominios, procesos y objetivos de
control, para evaluar los riesgos dentro del proceso de auditoria informtica y de
sistemas.
Finalmente se buscar conocer algunos de los procedimientos para cada uno de
los objetivos de control, tanto para centros de cmputo como para el proceso de
desarrollo de software y el producto software. Los procedimientos contribuyen al
entendimiento de los activos que se deben proteger, adems de establecer a que
apuntan cada uno de los objetivos de control.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

JUSTIFICACIN
La importancia del curso de Riesgos y Control Informtico radica en el
conocimiento y comprensin de los procesos que se llevan a cabo para llegar a
establecer planes, polticas, estrategias, y procedimientos que permitan construir
mejores condiciones de seguridad para los activos informticos, llmense estos
redes, equipos de cmputo, personal, instalaciones e infraestructura tecnolgica o
la informacin misma.
El curso esta dirigido principalmente a los ingenieros de sistemas, industriales y
administradores interesados en conocer ms profundamente los sistemas de
control interno informtico y que trabajen como desarrolladores de productos
software, como administradores de centros de cmputo o reas de informtica, o
simplemente que quieran profundizar un poco ms en los temas de seguridad
informtica.
El curso proporciona los conocimientos tericos para llevar a cabo procesos de
anlisis y evaluacin de riesgos informticos en las organizaciones que les ayude
a establecer planes de contingencia, planes de seguridad fsica y lgica, polticas
de seguridad, estrategias y procedimientos que permitan establecer mejores
condiciones para el manejo y administracin de recursos informticos, dentro de
una organizacin.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

INTENCIONALIDADES FORMATIVAS

PROPSITO
Fundamentalmente, el curso pretende desarrollar las capacidades, habilidades y
destrezas de los estudiantes para conocer, comprender y aplicar procesos de
anlisis y evaluacin de riesgos informticos y establecer polticas, estrategias,
planes y procedimientos para asegurar los activos informticos
Adems el curso permite conocer los estndares de anlisis de riesgos que le
permitan establecer las vulnerabilidades, riesgos y amenazas de acuerdo a los
nuevos avances tecnolgicos y establecer los controles que permitan mitigar las
causas que los ocasionan en una organizacin.

OBJETIVOS
- Identificar las vulnerabilidades, riesgos y amenazas ms frecuentes en entornos
informticos y que pueden afectar el buen funcionamiento de los procesos de
manejo de la informacin
- Conocer los estndares internacionales ms aplicados para procesos de anlisis
de riesgos para procesos de manejo de informacin, de tecnologa e informticos.
- Conocer ms profundamente el estndar COBIT que sirve como base para
realizar procesos de anlisis de riesgos informticos, de tecnologa de informacin
y de sistemas, aplicndolo a casos especficos que permitan definir controles
adecuados para proteccin de activos informticos e informacin.
- Conocer algunos de los procedimientos y objetivos de control para auditoria
informtica y de sistemas, que permitan establecer planes de seguridad.

METAS
El estudiante estar capacitado para:
- Identificar los conceptos de Vulnerabilidad, Riesgo y Amenaza
- Conocer los estndares de anlisis de riesgos usados a nivel internacional.
- Conocer los mtodos de evaluacin de riesgos informticos.
- Identificar los dominios, procesos y objetivos de control COBIT
- Conocer sistema de control informtico y los procedimientos de auditoria que
permitan evidenciarlos.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

COMPETENCIAS
- El estudiante identifica, aprende, y comprende los diferentes conceptos sobre
riesgos y control informticos que le permitan establecer mejores condiciones de
seguridad en entornos informticos.
- El estudiante est en capacidad de identificar los diferentes tipos de riesgos
informticos, y realizar el proceso de anlisis y evaluacin de los mismos para
establecer los controles que permitan minimizar la causa que los originan.
- El estudiantes est en la capacidad de realizar los procesos de anlisis y
evaluacin de riesgos para llegar a establecer los mapas y matrices de riesgos a
que se ve abocada la organizacin.
- El estudiante est en capacidad de definir controles efectivos frente a posibles
escenarios de riesgo a que se ve expuesta la organizacin y establecer los
procedimientos para identifiacr la causa origen de los mismos.
- El estudiante est en capacidad de establecer planes de seguridad que permitan
mejorar la seguridad informtica en las organizaciones.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

NDICE DE CONTENIDO
TEMA
ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO
INTRODUCCIN
JUSTIFICACION
INTENCIONALIDADES FORMATIVAS
PROPOSITOS
OBJETIVOS
METAS
COMPETENCIAS

PAG.
2
3
4
5
5
5
5
6

UNIDAD 1. RIESGOS INFORMTICOS

12

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTOS DE RIESGOS


Leccin 1: Conceptos de Vulnerabilidad, Riesgo y Amenaza
Leccin 2: Clasificacin de Riesgos
Leccin 3: Anlisis de Riesgos
Leccin 4: Administracin de Riesgos
Leccin 5: Matrices y Mapas de Riesgo

14
15
19
20
24
25

CAPTULO 2: ESTNDARES DE ANLISIS DE RIESGOS Y CONTROL


INTERNO
Leccin 6: Generalidades de los Estndares de Anlisis de Riesgos
Leccin 7: Estndar COSO para Anlisis de Riesgos
Leccin 8: Estndar MAGERIT para Anlisis de Riesgos Informticos
Leccin 9: Estndar COBIT para Anlisis y Evaluacin de Riesgos de
Tecnologa de Informacin
Leccin 10 Mtodos de Anlisis y evaluacin de Riesgos

30
30
32
35
38

CAPTULO 3 RIESGOS INFORMTICOS


Leccin 11: Riesgos Informticos
Leccin 12: Delitos Informticos
Leccin 13: Tipos de Delito Informticos
Leccin 14: Actores del Delito Informtico
Leccin 15: Riesgos Informticos en Sistemas

61
62
65
66
70
75

UNIDAD 2. CONTROL INFORMTICO

81

CAPTULO 4: CONCEPTOS Y GENERALIDADES DE CONTROL


INTERNO
Leccin 16 Control Interno
Leccin 17 Clasificacin de Controles
Leccin 18 Control Interno Informtico
Leccin 19 Herramientas de Software para Control Informtico

83

45

84
89
90
91
7

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 20 Polticas y Planes de Seguridad Informtica

93

CAPTULO 5: ESTNDAR COBIT Y OBJETIVOS DE CONTROL DE TI


Leccin 21: Generalidades del Estndar COBIT
Leccin 22: Dominio, Procesos y Objetivos de Control Planeacin y
Organizacin PO
Leccin 23: Dominio, Procesos y Objetivos de Control Adquisicin e
Implementacin AI
Leccin 24: Dominio, Procesos y Objetivos de Control Entrega y Soporte
DS
Leccin 25: Dominio, Procesos y Objetivos de Control Monitoreo M

97
98
105

CAPTULO 6: PROCEDIMIENTOS DE AUDITORIA INFORMTICA Y DE


SISTEMAS
Leccin 26: Tcnicas de Auditora para Recoleccin de Informacin
Leccin 27: Fases de Auditora Informtica y de Sistemas
Leccin 28: Aspectos de Auditora para un centro de Cmputo o rea de
Informtica
Leccin 29: Procedimientos de Control para Auditora al rea de
Informtica
Leccin 30: Procedimientos de Control para Seguridad y Planes de
Contingencia
GLOSARIO DE TRMINOS
BIBLIOGRAFA

117
122
133
138
139
142
145
147
172
183
188

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

LISTADO DE TABLAS
TEMA
Tabla 1. Escala de valoracin control
Tabla 2. Clculo de riesgos residuales
Tabla 3. Marco general de referencia COBIT
Tabla 4. Plantilla de anlisis DOFA 1
Tabla 5. Plantilla de anlisis DOFA 2
Tabla 6. Impacto y Reacciones
Tabla 7. Distribucin de los dominios y procesos de COBIT
Tabla 8. PO1 - Objetivos de control de alto nivel
Tabla 9. PO1 Tipos de recursos
Tabla 10. PO2 Objetivos de Control de alto nivel
Tabla 11. PO2 Recursos que afecta
Tabla 12. PO3 Objetivos de control de alto nivel
Tabla 13. PO3 Recursos que afecta
Tabla 14. PO4 Objetivos de control de alto nivel
Tabla 15. PO4 Recursos que afecta
Tabla 16. PO5 Objetivos de control de alto nivel
Tabla 17. PO5 Recursos que afecta
Tabla 18. PO6 Objetivos de control de alto nivel
Tabla 19. PO6 Recursos que afecta
Tabla 20. PO7 Objetivos de control de alto nivel
Tabla 21. PO7 Recursos que afecta
Tabla 22. PO8 Objetivos de control de alto nivel
Tabla 23. PO8 Recursos que afecta
Tabla 24. PO9 Objetivos de control de alto nivel
Tabla 25. PO9 Recursos que afecta
Tabla 26. PO10 Objetivos de control de alto nivel
Tabla 27. PO10 Recursos que afecta
Tabla 28. PO11 Objetivos de control de alto nivel
Tabla 29. PO11 Recursos que afecta
Tabla 30. AI1 Objetivos de control de alto nivel
Tabla 31. AI1 Recursos que afecta
Tabla 32. AI2 Objetivos de control de alto nivel
Tabla 33. AI2 Recursos que afecta
Tabla 34. AI3 Objetivos de control de alto nivel
Tabla 35. AI3 Recursos que afecta
Tabla 36. AI4 Objetivos de control de alto nivel
Tabla 37. AI4 Recursos que afecta
Tabla 38. AI5 Objetivos de control de alto nivel
Tabla 39. AI5 Recursos que afecta
Tabla 40. AI6 Objetivos de control de alto nivel
Tabla 41. AI6 Recursos que afecta
Tabla 42. DS1 Objetivos de control de alto nivel

PAG.
28
28
44
48
49
60
99
108
108
108
109
109
110
110
111
111
112
112
112
113
113
114
114
115
115
115
116
116
117
117
118
118
119
119
120
120
120
121
121
121
122
122
9

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 43. DS1 Recursos que afecta


Tabla 44. DS2 Objetivos de control de alto nivel
Tabla 45. DS2 Recursos que afecta
Tabla 46. DS3 Objetivos de control de alto nivel
Tabla 47. DS3 Recursos que afecta
Tabla 48. DS4 Objetivos de control de alto nivel
Tabla 49. DS4 Recursos que afecta
Tabla 50. DS5 Objetivos de control de alto nivel
Tabla 51. DS5 Recursos que afecta
Tabla 52. DS6 Objetivos de control de alto nivel
Tabla 53. DS6 Recursos que afecta
Tabla 54. DS7 Objetivos de control de alto nivel
Tabla 55. DS7 Recursos que afecta
Tabla 56. DS8 Objetivos de control de alto nivel
Tabla 57. DS8 Recursos que afecta
Tabla 58. DS9 Objetivos de control de alto nivel
Tabla 59. DS9 Recursos que afecta
Tabla 60. DS10 Objetivos de control de alto nivel
Tabla 61. DS10 Recursos que afecta
Tabla 62. DS11 Objetivos de control de alto nivel
Tabla 63. DS11 Recursos que afecta
Tabla 64. DS12 Objetivos de control de alto nivel
Tabla 65. DS12 Recursos que afecta
Tabla 66. DS13 Objetivos de control de alto nivel
Tabla 67. DS13 Recursos que afecta
Tabla 68. M1 Objetivos de control de alto nivel
Tabla 69. M1 Recursos que afecta
Tabla 70. M2 Objetivos de control de alto nivel
Tabla 71. M2 Recursos que afecta
Tabla 72. M3 Objetivos de control de alto nivel
Tabla 73. M3 Recursos que afecta
Tabla 74. M4 Objetivos de control de alto nivel
Tabla 75. M4 Recursos que afecta
Tabla 76. Proceso de Auditora
Tabla 77. Planeacin rea de Informtica
Tabla 78. Polticas, Estndares y Procedimientos
Tabla 79. Responsabilidades organizativas y gestin de personal
Tabla 80. Gestin de calidad
Tabla 81. Gestin de recursos
Tabla 82. Explotacin de recursos
Tabla 83. Software de sistema operativo
Tabla 84. Seguridad lgica y fsica
Tabla 85. Planeacin de contingencias

123
123
124
124
125
125
126
126
127
127
127
128
128
128
129
129
130
130
131
131
132
132
132
133
133
134
134
135
135
135
136
136
137
145
148
151
153
157
160
162
169
172
178

10

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

LISTADO DE GRFICOS Y FIGURAS


TEMA
Figura 1. Matriz de riesgos
Figura 2. Procesos para gestin de riesgos
Figura 3. Escenarios
Figura 4. Elaboracin de escenarios
Figura 5. Elaboracin de informes
Figura 6. Tipo de Controles

PAG.
27
37
51
53
57
90

11

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 1
Nombre de la Unidad
Introduccin

RIESGOS INFORMTICOS
Esta unidad esta dedicada principalmente a la
conceptualizacin de vulnerabilidades, riesgos y
amenazas, asi como, los procesos de anlisis, evaluacin
y gestin de los mismos. Especficamente se abordar los
temas anteriores, aplicados a la seguridad informtica y
de los sistemas de informacin. Adems se trata de que
los estudiantes conozcan, aprendan y comprendan los
estndares y mtodos para el anlisis y la evaluacin de
los riesgos informticos y cmo aplicarlos a situaciones
dentro de una organizacin.

Justificacin

La aplicacin de los estndares y mtodos permitir que


el estudiante adquiera suficiencia terica para realizar
procesos de anlisis, evaluacin y gestin de riesgos.
Estos procesos permiten establecer un sistema de control
efectivo para cada uno de los procesos informticos y de
sistemas que se trabajan en una organizacin.

Intencionalidades
Formativas

- El estudiante conoce, aprende y comprende los


conceptos relacionados con los riesgos y control interno
informtico
- El estudiante conoce los estndares ms importantes
que se trabajan para el anlisis de riesgos
- El estudiante conoce algunos de los procesos y los
objetivos de control del estndar COBIT de la ISACA para
realizar auditorias basadas en Riesgos y Objetivos de
Control.
- Finalmente Se hace un reconocimiento general de las
etapas y procedimientos de las auditorias informticas y
de Sistemas
CAPITULO 1: ASPECTOS GENERALES Y
CONCEPTOS DE RIESGOS

Denominacin de
captulo
Denominacin de
Lecciones

Leccin 1. Conceptos de Vulnerabilidad, Riesgo y


Amenaza
Leccin 2. Clasificacin de los Riesgos
Leccin 3. Anlisis de Riesgos
Leccin 4. Gestin de Riesgos
Leccin 5. Riesgos y Control Interno

Denominacin de
captulo

CAPITULO 2: ESTNDARES Y MTODOS DE


ANLISIS Y EVALUACIN DE RIESGOS
12

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Denominacin de
Lecciones

Leccin 6. Generalidades de los Estndares de Anlisis


de Riesgos
Leccin 7. Estndar COSO para Anlisis de Riesgos
Leccin 8. Estndar MAGERIT para Analisis de Riesgo
Informtico
Leccin 9. Mtodos de Anlisis y Evaluacin de Riesgos
Cuantitativos y Cualitativos
Leccin 10. Matriz de Riesgos y Mapa de Riesgos

Denominacin de
captulo
Denominacin de
Lecciones

CAPITULO 3: RIESGOS INFORMTICOS


Leccin 11. Riesgos Informticos
Leccin 12. Delitos Informticos
Leccin 13: Tipos de Delito Informticos
Leccin 14: Sujetos del Delito Informtico
Leccin 15. Riesgos Informticos en Sistemas Software

13

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 1: RIESGOS INFORMTICOS


CAPITULO 1: ASPECTOS GENERALES Y CONCEPTOS DE RIESGOS
Introduccin
En cada una de nuestras actividades cotidianas siempre estamos expuestos a
riesgos y amenazas ocasionados por factores que pueden ser de tipo interno y
externo. En estas circunstancias hay que propender por hacer la identificacin de
la vulnerabilidad frente a dichos factores, para poder combatirlos.
Las organizaciones, como sistemas dinmicos, tambin se ven expuestas a estos
factores que pueden ocasionar daos con impacto catastrfico o leve para la
organizacin, de acuerdo a que daos se causen por su presencia o concrecin.
De la misma manera, otros riesgos pueden o no presentarse, pero siempre hay
que estar preparados para mitigarlos. La probabilidad de ocurrencia puede ser
baja o alta dependiendo del nmero de veces que se pueda identificar en un
periodo de tiempo determinado.
Lo importante es identificar, no slo, la ocurrencia de la falla sino la identificacin
de la causa que las origina, adems de dar una valoracin cuantitativa o cualitativa
para medir su probabilidad de ocurrencia y el impacto que causara de llegar a
presentarse.

14

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 1: Conceptos de Vulnerabilidad, Riesgo y Amenaza


El proceso de desarrollo del hombre lo ha llevado a conceptualizar elementos de
su medio ambiente y las posibilidades de interaccin entre ellos. En principio se
tuvo una percepcin confusa acerca del trmino Vulnerabilidad, esta acepcin ha
contribudo a dar claridad a los conceptos de Riesgo y Desastre.
El marco conceptual de la vulnerabilidad surgi de la experiencia humana, en
situaciones en que la vida cotidiana era difcil de distinguir de un desastre. Las
condiciones extremas, hacan realmente frgil el desempeo de algunos grupos
sociales que dependan del nivel de desarrollo alcanzado y de la planificacin de
ese desarrollo.
En este contexto se empez a identificar en los grupos sociales la vulnerabilidad,
como la reducida capacidad para ajustarse o adaptarse a determinadas
circunstancias, y de all nace el concepto de lo que hoy se conoce como
vulnerabilidad aplicada a diversos campos.
Luego de los aportes conceptuales de diferentes escuelas, la UNDRO y la
UNESCO promovieron una reunin de expertos para proponer la unificacin de
definiciones, dentro de ellas las siguientes:
Amenaza: es la probabilidad de ocurrencia de un suceso potencialmente
desastroso durante cierto periodo de tiempo, en un sitio dado.
En general el concepto de amenaza se refiere a un peligro latente o factor de
riesgo externo, de un sistema o de un sujeto expuesto, expresada
matemticamente como la probabilidad de exceder un nivel de ocurrencia de un
suceso con una cierta intensidad, en un sitio especfico y durante un tiempo de
exposicin determinado.
Una amenaza informtica es un posible peligro del sistema. Puede ser una
persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso natural
o de otra ndole (fuego, inundacin, etc.). Representan los posibles atacantes o
factores que aprovechan las debilidades del sistema.
Vulnerabilidad: es el grado de prdida de un elemento o grupo de elementos bajo
riesgo, resultado de la probable ocurrencia de un suceso desastroso expresada en
una escala.
La vulnerabilidad se entiende como un factor de riesgo interno, expresado como la
factibilidad de que el sujeto o sistema expuesto sea afectado por el fenmeno que
caracteriza la amenaza.

15

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

En el campo de la informtica, la vulnerabilidad es el punto o aspecto del sistema


que es susceptible de ser atacado o de daar la seguridad del mismo.
Representan las debilidades o aspectos falibles o atacables en el sistema
informtico.
Riesgo especfico: es el grado de prdidas esperadas, debido a la ocurrencia de
un suceso particular y como una funcin de la amenaza y la vulnerabilidad.
Elementos del Riesgo: son la poblacin, los edificios y obras civiles, las
actividades econmicas, los servicios pblicos, las utilidades y la infraestructura
expuesta en un rea determinada.
Riesgo Total: se define como el nmero de prdidas humanas, daos a
propiedades, efectos sobre la actividad econmica debido a la ocurrencia de un
desastre.
El riesgo corresponde al potencial de prdidas que pueden ocurrirle al sujeto o
sistema expuesto, resultado de la relacin de la amenaza y la vulnerabilidad, este
concepto puede expresarse como la probabilidad de exceder un nivel de
consecuencias econmicas, sociales o ambientales en un cierto sitio y durante un
cierto periodo de tiempo.
En otras palabras, no se puede ser vulnerable sino se est amenazado y no existe
una condicin de amenaza para un elemento, sujeto o sistema, si no est
expuesto y es vulnerable a la accin potencial que representa dicha amenaza. Es
decir, no existe amenaza o vulnerabilidad independiente, pues son situaciones
mutuamente condicionantes que se definen en forma conceptual de manera
independiente para efectos metodolgicos y para una mejor comprensin del
riesgo.
En la literatura tcnica se hace nfasis en el estudio de la vulnerabilidad y en la
necesidad de reducirla mediante contramedidas o controles que permitan
mitigarlos y la intencin es la reduccin del riesgo.
La seguridad informtica, se encarga de la identificacin de las vulnerabilidades
del sistema y del establecimiento de contramedidas que eviten que las distintas
amenazas posibles exploten dichas vulnerabilidades. Una mxima de la seguridad
informtica es que: "No existe ningn sistema completamente seguro". Existen
sistemas ms o menos seguros, y ms o menos vulnerables, pero la seguridad
nunca es absoluta.
TIPOS DE VULNERABILIDAD EN INFORMTICA
No se puede hablar de un sistema informtico totalmente seguro, sino ms bien de
uno en el que no se conocen tipos de ataques que puedan vulnerarlo, debido a
16

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

que no se han establecido medidas contra ellos. Algunos tipos de vulnerabilidad


de un sistema son los siguientes:
Vulnerabilidad Fsica: est a nivel del entorno fsico del sistema, se relaciona con
la posibilidad de entrar o acceder fsicamente al sistema para robar, modificar o
destruirlo.
.
Vulnerabilidad Natural: se refiere al grado en que el sistema puede verse
afectado por desastres naturales o ambientales, que pueden daar el sistema,
tales como el fuego, inundaciones, rayos, terremotos, o quizs ms comnmente,
fallos elctricos o picos de potencia. Tambin el polvo, la humedad o la
temperatura excesiva son aspectos a tener en cuenta.
Vulnerabilidad del Hardware y del software: desde el punto de vista del
hardware, ciertos tipos de dispositivos pueden ser ms vulnerables que otros, ya
que depende del material que est construido. Tambin hay sistemas que
requieren la posesin de algn tipo de herramienta o tarjeta para poder acceder a
los mismos. Ciertos fallos o debilidades del software del sistema hacen ms fcil
acceder al mismo y lo hacen menos fiable. Las vulnerabilidades en el software son
conocidos como Bugs del sistema.
Vulnerabilidad de los Medios o Dispositivos: se refiere a la posibilidad de robar
o daar los discos, cintas, listados de impresora, etc.
Vulnerabilidad por Emanacin: todos los dispositivos elctricos y electrnicos
emiten radiaciones electromagnticas. Existen dispositivos y medios de interceptar
estas emanaciones y descifrar o reconstruir la informacin almacenada o
transmitida.
Vulnerabilidad de las Comunicaciones: la conexin de los computadores a
redes supone, sin duda, un enorme incremento de la vulnerabilidad del sistema ya
que aumenta enormemente la escala del riesgo a que est sometido, al aumentar
la cantidad de gente que puede tener acceso al mismo o intentar tenerlo. Tambin
est el riesgo de intercepcin de las comunicaciones, como la penetracin del
sistema a travs de la red y la interceptacin de informacin que es transmitida
desde o hacia el sistema.
Vulnerabilidad Humana: la gente que administra y utiliza el sistema representa la
mayor vulnerabilidad del sistema. Toda la seguridad del sistema descansa sobre
la persona que cumple la funcin de administrador del mismo que tiene acceso al
mximo nivel y sin restricciones al mismo. Los usuarios del sistema tambin
suponen un gran riesgo al mismo. Ellos son los que pueden acceder al mismo,
tanto fsicamente como mediante conexin; por eso es que se debe hacer una
clara diferenciacin en los niveles de los distintos tipos de vulnerabilidad y en las
medidas a adoptar para protegerse de ellas.
17

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

TIPOS DE AMENAZAS EN INFORMTICA


Hay diversas clasificaciones de las amenazas al sistema informtico, todo
depende del punto de vista como se las mire. Una primera clasificacin es segn
el efecto causado en el sistema, las amenazas pueden clasificarse en cuatro tipos:
intercepcin, modificacin, interrupcin y generacin.
Intercepcin: cuando una persona, programa o proceso logra el acceso a una
parte del sistema a la que no est autorizada. Por ejemplo, la escucha de una
lnea de datos, o las copias de programas o archivos de datos no autorizados.
Estas son ms difciles de detectar ya que en la mayora de los casos no alteran la
informacin o el sistema.
Modificacin: este tipo de amenaza se trata no slo de acceder a una parte del
sistema a la que no se tiene autorizacin, sino tambin de cambiar su contenido o
modo de funcionamiento. Por ejemplo, el cambiar el contenido de una base de
datos, o cambiar lneas de cdigo en un programa.
Interrupcin: se trata de la interrupcin mediante el uso de algn mtodo el
funcionamiento del sistema. Por ejemplo, la saturacin de la memoria o el mximo
de procesos en el sistema operativo o la destruccin de algn dispositivo hardware
de manera malintencionada o accidental.
Generacin: generalmente se refiere a la posibilidad de aadir informacin a
programas no autorizados en el sistema. Por ejemplo, el anadir campos y registros
en una base de datos, o adicionar cdigo en un programa (virus), o la introduccin
de mensajes no autorizados en una lnea de datos.
La vulnerabilidad de los sistemas informticos es muy grande, debido a la
variedad de los medios de ataque o amenazas. Fundamentalmente hay tres
aspectos que se ven amenazados: el hardware (el sistema), el software
(programas de usuarios, aplicaciones, bases de datos, sistemas operativos, etc.),
y los datos.
Desde el punto de vista del origen de las amenazas, estas pueden clasificarse en:
naturales, involuntarias e intencionadas.
Amenazas Naturales o Fsicas: las amenazas que ponen en peligro los
componentes fsicos del sistema son llamadas naturales, dentro de ellas se puede
distinguir los desastres naturales, como las inundaciones, rayos o terremotos, y las
condiciones medioambientales, tales como la temperatura, humedad, presencia de
polvo, entre otros.
Amenazas Involuntarias: Estn relacionadas con el uso no apropiado del equipo
por falta de entrenamiento o de concienciacin sobre la seguridad, algunas de las
ms comunes son borrar sin querer parte de la informacin, o dejar sin proteccin
18

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

determinados archivos bsicos del sistema, o escribir en un papel o un post-it con


el password o dejar activo el sistema, cuando no estamos usndolo.
Amenazas Intencionadas: las amenazas intencionadas son aquellas que
proceden de personas que quieren acceder al sistema para borrar, modificar o
robar la informacin o sencillamente para bloquearlo o por simple diversin. Los
causantes del dao pueden ser de dos tipos: los externos pueden penetrar al
sistema de mltiples formas, ya sea entrando al edificio o accediendo fsicamente
al computador, o entrando al sistema a travs de la red o porque el software es
vulnerable, o con el acceso a perfiles y operaciones no autorizados. Los internos
pueden ser de empleados que han sido despedidos o descontentos, empleados
coaccionados, y empleados que quieren obtener beneficios personales.

Leccin 2: Clasificacion de los Riesgos


El riesgo es una condicin del mundo real, en el cual hay una exposicin a la
adversidad, conformada por una combinacin de circunstancias del entorno, donde
hay posibilidad de perdidas. De acuerdo a esta definicin las organizaciones
pueden fallar o sufrir prdidas como un resultado de una variedad de causas. Por
eso las diferencias en esas causas y sus efectos constituyen la base para
diferenciar los riesgos, los cuales se pueden clasificar de la siguiente forma:
Riesgos Finanacieros: los riesgos financieros incluyen la relacin entre una
organizacin y una ventaja que puede ser prdida o perjudicada. De este modo el
riesgo financiero contiene tres elementos que son la organizacin que esta
expuesta a prdidas, los elementos que conforman las causas de perdidas
financieras y el peligro que puede causar la perdida (amenaza a riesgo).
Riesgos Dinmicos: generalmente son el resultado de cambios en la economa
que surgen de dos conjuntos de factores externos como la economa, la industria,
competidores y clientes, adems de otros factores que pueden producir las
prdidas que constituyen las base del riesgo especulativo y estn relacionadas con
las decisiones de la administracin de la organizacin.
Riesgos Estticos: las causas de de estos riesgos son distintas a las de la
economa y generalmente se deben a la deshonestidad o fallas humanas.
Riesgo Especulativo: Describe una situacin que espera una posibilidad de
prdida o ganancia.
Riesgo Puro: son aquellas situaciones que solamente generan prdida o
ganancia, un ejemplo es la posibilidad de prdida en la compra de un bien
(automviles, casas, etc.). dentro de los riesgos puros estn los siguientes:

Riesgo personal, relacionado con la posibilidad de prdida por muerte


19

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

prematura, enfermedad e incapacidades


Riesgos de las posesiones, donde la prdida puede ser directa por destruccin
de bienes, e indirectas causados por las consecuencias de las prdidas
directas o gastos adicionales.
Riesgos de Responsabilidad, relacionadas con el perjuicio de otras personas o
dao de una propiedad por negligencia o descuido.
Riesgos fsicos, por ejemplo el exceso de ruido, iluminacin inadecuada,
exposicin a radiaciones, instalaciones elctricas inadecuadas.
Riesgos qumicos, por ejemplo la exposicin a vapores de los solventes, humo
de combustin y gases.
Riesgos biolgicos, como hongos y bacterias.
Riesgos psicosociales como bajos ingresos econmicos, la falta de incentivos y
motivacin.
Riesgos ergonmicos tales como puesto de trabajo incomodo, posicin corporal
forzada, movimiento repetitivo al operar mquinas, hacinamiento.

Riesgo Fundamental: incluye las prdidas que son impersonales en origen y


consecuencia. La mayor parte son causados por fenmenos econmicos, sociales
que pueden afectar a parte de una organizacin.
Riesgo Particular: generalmente son prdidas que surgen de eventos
individuales, antes que surjan de un grupo completo tales como desempleo, el
incendio de una casa, el robo a una persona, son todos riesgos fundamentales ya
que son particulares.

Leccin 3: Anlisis de Riesgos


En lo relacionado con la tecnologa, generalmente el riesgo es planteado
solamente como amenaza, determinando el grado de exposicin a la ocurrencia de
una prdida. Segn la Organizacin Internacional (ISO) define riesgo tecnolgico
como La probabilidad de que una amenaza se materialice, utilizando
vulnerabilidad existentes de un activo o un grupo de activos, generndole prdidas
o daos. En esta definicin se identifican varios elementos que deben ser
comprendidos adecuadamente para percibir integralmente el concepto de riesgo y
los procesos aplicacados sobre l. Dentro de estos elementos estn la
probabilidad, amenazas, vulnerabilidades, activos e impactos.
Probabilidad: para establecer la probabilidad de ocurrencia se puede hacerlo
cualitativa o cuantitativamente, considerando lgicamente, que la medida no debe
contemplar la existencia de ninguna accin de control, o sea, que debe
considerarse en cada caso que las posibilidades existen, que la amenaza se
presenta independienmente del hecho que sea o no contrarestada.
Amenazas: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en las operaciones de la organizacin,
20

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

comnmente se referencia como amenazas a las fallas, a los ingresos no


autorizados, a los virus, a los desastres ocasionados por fenmenos fsicos o
ambientales, entre otros. Las amenazas pueden ser de carter fsico como una
inundacin, o lgico como un acceso no autorizado a la base de datos.
Vulnerabilidades: Son ciertas condiciones inherentes a los activos, o presentes
en su entorno, que facilitan que las amenazas se materialicen y los llevan a la
condicin de vulnerabilidad.Las vulnerabilidades son de diversos tipos como por
ejemplo: la falta de conocimiento de un usuario, la transmisin a travs de redes
pblicas, entre otros.
Activos: Los activos a nivel tecnolgico, son todos los relacionados con los
sistemas de informacin, las redes y comunicaciones y la informacin en si misma.
Por ejemplo los datos, el hardware, el software, los servicios que se presta, las
instalaciones, entre otros.
Impactos: Son las consecuencias de la ocurrencia de las distintas amenazas y los
daos por prdidas que stas puedan causar. La prdidas generadas pueden ser
financiaras, econmicas, tecnolgicas, fsicas, entre otras.
Anlisis de Riesgos
Es una herramienta de diagnstico que permite establecer la exposicin real a los
riesgos por parate de una organizacin. Este anlisis tiene como objetivos la
identificacin de los riesgos (mediante la identificacin de sus elementos), lograr
establecer el riesgo total y posteriormente el riesgo residual luego de aplicadas las
contramedidas en trminos cuantitativos o cualitativos.
El riesgo total es la combinacin de los elementos que lo conforman, calculando el
valor del impacto por la probabilidad de ocurrencia de la amenaza y cul es el
activo que ha sido impactado. Presentado en una ecuasin matemtica para la
combinacin vlida de activos y amenazas:
RT (riesgo total) = probabilidad x impacto
El proceso de anlisis descrito genera habitualmente un documento que se
conoce como matriz de riesgo, donde se ilustran todos los elementos identificados,
sus relaciones y los clculos realizados. La sumatoria de los riesgos residuales
calculados, es la exposicin total de la organizacin a los riesgos. Realizar el
anlisis de riesgos es fundamental para lograr posteriormente administrar los
mismos.
El objetivo general del anlisis de riesgos, es identificar sus causas potenciales de
los principales riesgos que amenazan el entorno informtico. Esta identificacin se
realiza en una determinada rea para que se pueda tener informacin suficiente al
respecto, optando as por un adecuado diseo e implantacin de mecanismos de
21

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

control con el fin de minimizar los efectos de eventos no deseados, en los


diferentes puntos de anlisis.
Otros objetivos especficos del proceso de anlisis de riesgos son: analizar el
tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas;
llevar a cabo un minucioso anlisis de los riesgos y debilidades; identificar, definir y
revisar los controles de seguridad; determinar si es necesario incrementar las
medidas de seguridad; y la identificacin de los riesgos, los permetros de
seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas
fcilmente.
Algunos aspectos que se debe tener en cuenta antes de realizar el anlisis de
riesgos son los siguientes: las polticas y las necesidades de la organizacin, los
nuevos avances tecnolgicos y la astucia de intrusos expertos, los costos vs la
efectividad del programa de mecanismos de control a desarrollar, la junta directiva
de la organizacin debe incluir presupuesto, los gastos necesarios para el
desarrollo de programas de seguridad. Otro aspecto que se debe tener en cuenta
es la sobrecarga adicional que los mecanismos y contramedidas puedan tener
sobre el entorno informtico, sin olvidar los costos adicionales que se generan por
su implementacin.
El anlisis de riesgos utiliza el mtodo matricial llamado MAPA DE RIESGOS, para
identificar la vulnerabilidad de un servicio o negocio a riesgos tpicos. El mtodo
contiene los siguientes pasos: la localizacin de los procesos en las dependencias
que intervienen en la prestacin del servicio y la localizacin de los riesgos crticos
y su efecto en los procesos del Negocio.
Anlisis de Riesgo Informtico
Segn Harold F. Tipton y Micki Krause1. la seguridad informtica puede ser
definida, bsicamente, como la preservacin de la confidencialidad, la integridad y
la disponibilidad de los sistemas de informacin. Dependiendo del entorno de la
organizacin, se pueden tener diferentes amenazas que comprometan a los
objetivos previamente mencionados. Ante un riesgo concreto, la organizacin tiene
tres alternativas: aceptar el riesgo, hacer algo para disminuir la posibilidad de
ocurrencia del riesgo o transferir el riesgo, por ejemplo, mediante un contrato de
seguro.
A las medidas o salvaguardas que se toman para disminuir un riesgo se les
denomina controles de seguridad. Los controles de seguridad informtica
usualmente se clasifican en tres categoras: controles fsicos, controles lgicos o
tcnicos y controles administrativos. Para que los controles sean efectivos, stos

Harold F. Tipton, Micki Krause (eds.), Information Security Management Handbook, 5th Ed., CRC Press, 2006

22

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

deben estar integrados, determinado por Jean Killmeyer Tudor2 en lo que se


denomina una arquitectura de seguridad informtica, la cual debe ser congruente
con los objetivos de la organizacin y las prioridades de las posibles amenazas de
acuerdo al impacto que stas tengan en la organizacin. Por lo tanto, una fase
fundamental en el diseo de la arquitectura de seguridad informtica determinada
por Thomas Peltier3, es la etapa de anlisis de riesgos.
Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los
siguientes pasos:
1.
2.
3.
4.

Definir los activos informticos a analizar.


Identificar las amenazas que pueden comprometer la seguridad de los activos.
Determinar la probabilidad de ocurrencia de las amenazas.
Determinar el impacto de las amenazas, con el objeto de establecer una
priorizacin de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Las metodologas de anlisis de riesgo difieren esencialmente en la manera de
estimar la probabilidad de ocurrencia de una amenaza y en la forma de determinar
el impacto en la organizacin. Las metodologas ms utilizadas son cualitativas, en
el sentido de que dan una caracterizacin de alta/media/baja a la posibilidad de
contingencia ms que una probabilidad especfica.
El estndar ISO/IEC 27001 adopta una metodologa dada por Alan Calder y Steve
Watkins4 que es la del anlisis de riesgos cualitativa.

El ISO/IEC 27001 es un estndar internacional para los sistemas de gestin de la


seguridad informtica, que est estrechamente relacionado al estndar de
controles recomendados de seguridad informtica ISO/IEC 17799.
Limitantes del anlisis de riesgo: Una de las debilidades de las metodologas de
anlisis de riesgo, es que parten de una visin esttica de las amenazas, as como
de los controles requeridos para disminuir los riesgos. El ciclo de vida establecido
para las arquitecturas de seguridad informtica suele ser demasiado extenso ante
un entorno en cambio constante.
Los cambios en los riesgos que debe considerar una organizacin tienen dos
orgenes:
1. El surgimiento de nuevas amenazas.
2

Jean Killmeyer Tudor (ed.), Information Security Architecture: An Integrated Approach to Security in the Organization, CRC
Press, 2006.
3
Thomas R. Peltier, Information Security Risk Analysis, CRC Press, 2005.
4
Alan Calder, Steve Watkins, IT Governance: A Managers Guide to Data Security& BS 7799/ISO 17799, 2nd Ed., Kogan
Page Ltd., London, 2003.

23

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

2. La adopcin de nuevas tecnologas que da origen a riesgos no previstos.


Todo sistema de informacin evoluciona, debido a la integracin de hardware y
software con caractersticas nuevas y ms atractivas para los usuarios, as como
al desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de
riesgos imprevistos y tambin pueden crear vulnerabilidades donde antes no
existan.
Algunos estudios realizados por Loch, Carr y Warkentin5, han demostrado que
existe una brecha entre el uso de tecnologa moderna y el entendimiento de las
implicaciones para la seguridad, inherentes a su utilizacin en su momento. Los
administradores de sistemas de informacin que migraron sus organizaciones a
entornos altamente interconectados seguan visualizando las amenazas desde un
punto de vista pre-conectividad; como consecuencia, expusieron a sus
organizaciones a riesgos de los cuales no eran conscientes, se negaban a aceptar
o frecuentemente estaban poco preparados para manejar.

Leccin 4: Administracin de Riesgos


La administracin de riesgos se refiere a la gestin de los recursos de la
organizacin para lograr un nivel de exposicin aceptable. Los niveles de
exposicin se establecen por activo, permitiendo menor exposcin cuanto ms
crtico sea el activo. El ciclo de la administracin de riesgos se cierra con la
determinacin de las acciones a seguir en cada caso con respecto a los riesgos
que han sido identificados.
La administracin de riesgos es una aproximacin cientfica del comportamiento de
los riesgos, anticipando posibles prdidas accidentales con el diseo e
implementacin de procedimientos que minimicen la ocurrencia de prdidas o el
impacto financiero de las prdidas que puedan ocurrir.
El proceso de la Administracin de Riesgos consta de los siguientes pasos:
primero se determina los objetivos, luego se identifican los riesgos, posteriormente
se hace la evaluacin de los mismos, en seguida se selecciona alternativas y
mecanismos de tratamiento de riesgos y por ltimo se implementa la decisin de
los controles tomados, se evalan y se hace revisiones de su implementacin.
Determinar los Objetivos, es el primer paso en la administracin de riesgos
denominado el programa de administracin de riesgos, en l se elabora un plan
para obtener el mximo beneficio de gastos asociados con la administracin de
riesgos. El principal objetivo de la administracin de riesgos es garantizar la
supervivencia de la organizacin, minimizando los costos asociados con los
5

Karen D. Loch, Houston H. Carr, Merrill E. Warkentin, Threats to InformationSystems: Todays Reality, Yesterdays
Understanding,vol. 16, no. 2, 1992, pp. 173-186.

24

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

riesgos. Los objetivos de la administracin de riesgos estn formalizados en una


poltica corporativa de administracin de riesgos, la cual describe las polticas y
medidas tomadas para su consecucin. Los objetivos y las polticas de
administracin de riesgos deben ser producto de las decisiones de la Junta
Directiva de la compaa.
Identificacin de los Riesgos: es difcil generalizar, acerca de los riesgos de una
organizacin, porque las condiciones y operaciones son distintas, pero existen
formas de identificarlos entre las cuales estn: los registros internos de la
organizacin, las listas de chequeo para polticas de seguros, cuestionarios de
anlisis de riesgos, diagramas de flujo de procesos, el anlisis financiero, la
inspeccin de operaciones y las entrevistas.
Evaluacin de Riesgos: Este proceso incluye la medicin del potencial de las
prdidas y la probabilidad de la prdida, categorizando el orden de las prioridades.
Un conjunto de criterios puede ser usado para establecer una prioridad, enfocada
en el impacto financiero potencial de las prdidas, por ejemplo: riesgos crticos,
que son todas las exposiciones a prdida en las cuales la magnitud alcanza la
bancarrota, riesgos importantes donde las exposiciones a prdidas que no
alcanzan la bancarrota, pero requieren una accin de la organizacin para
continuar las operaciones, riesgos no importantes que son las exposiciones a
prdidas que no causan un gran impacto financiero.
Consideracin de Alternativas y Seleccin de Mecanismos de Tratamiento de
Riesgos: en este paso se consideran las tcnicas que puedan ser usadas para
tratar con riesgos, estas tcnicas incluyen evitar los riesgos, retencin,
transparencia y reduccin.
Implementacin de la Desicin, Evaluacin y Revisiones: en este paso se
puede incluir dos razones, una de ellas es que el proceso de administracin de
riesgos no es la panacea definitiva, las cosas pueden cambiar, nuevos riesgos
surgen y riesgos viejos desaparecen, la otra es que el programa de administracin
de riesgos permite al administrador de riesgos revisar decisiones y descubrir
errores.

Leccin 5: Matrices y Mapas de Riesgo


Una matriz de riesgo es una herramienta utilizada para indicar los riesgos, los
controles y su valoracin por probabilidad e impacto. Normalmente es utilizada
para identificar las actividades, los procesos y productos ms importantes de una
organizacin, el tipo y nivel de riesgos inherentes a estas actividades y los factores
exgenos y endgenos relacionados con estos riesgos denominados factores de
riesgo.

25

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

De la misma forma, una matriz de riesgo permite evaluar la efectividad de una


adecuada gestin y administracin de los riesgos financieros que pudieran
impactar los resultados y por ende al logro de los objetivos de una organizacin.
La matriz debe documentar los procesos y evaluar, de manera integral, el riesgo
de la empresa a partir de las cuales se realiza un diagnstico objetivo de la
situacin global de riesgo de una entidad.
La matriz de riesgo efectiva permitir hacer comparaciones objetivas entre
proyectos, reas, productos, procesos o actividades que constituye un soporte
conceptual y funcional de un efectivo Sistema Integral de Gestin de Riesgo.
Los elementos que deben considerarse para el diseo de una matriz de riesgo
debe partir inicialmente de los objetivos estratgicos y plan de negocios, la
administracin de riesgos deber desarrollar un proceso para identificar las
actividades principales y los riesgos a los cuales estn expuestas.
Una vez establecidas todas las actividades, se deben identificar las fuentes o
factores que intervienen en su manifestacin y severidad, es decir los llamados
factores de riesgo o riesgos inherentes. El riesgo inherente es intrnseco a toda
actividad, surge de la exposicin y la incertidumbre de probables eventos o
cambios en las condiciones del negocio o de la economa que puedan impactar
una actividad. Los factores o riesgos inherentes pueden no tener el mismo impacto
sobre el riesgo agregado, siendo algunos ms relevantes que otros, por lo que
surge la necesidad de ponderar y priorizar los riesgos primarios.
El siguiente paso consiste en determinar la probabilidad de ocurrencia del riesgo y
el impacto, es decir, un clculo de los efectos potenciales sobre el capital o las
utilidades de la entidad. La valorizacin del riesgo implica un anlisis conjunto de
la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en
trminos cualitativos o cuantitativos, dependiendo de la importancia o
disponibilidad de informacin; en general, se usa la evaluacin cualitativa por ser
la ms sencilla y econmica en trminos de costo, la valoracin se da mediante el
uso de escalas descriptivas para evaluar la probabilidad de ocurrencia de cada
evento.
La evaluacin cualitativa se utiliza cuando el riesgo percibido no justifica el tiempo
y esfuerzo que requiera un anlisis ms profundo o cuando no existe informacin
suficiente para la cuantificacin de los parmetros. En el caso de riesgos que
podran afectar significativamente los resultados, la valorizacin cualitativa se
utiliza como una evaluacin inicial para identificar situaciones que ameriten un
estudio ms profundo.
La evaluacin cuantitativa utiliza valores numricos o datos estadsticos, en vez de
escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento,
procedimiento que definitivamente podra brindar una base ms slida para la
toma de decisiones, sto dependiendo de la calidad de informacin que se utilice.
26

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el


proceso del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse
que si bien la valoracin de riesgo contenida en una matriz de riesgo es
mayormente de tipo cualitativo, tambin se utiliza un soporte cuantitativo basado
en una estimacin de eventos ocurridos en el pasado, con lo cual se obtiene una
mejor aproximacin a la probabilidad de ocurrencia del evento.
La valorizacin consiste en asignar a los riesgos calificaciones dentro de un rango,
que podra ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3),
moderada (4) o alta (5), dependiendo de la combinacin entre impacto y
probabilidad. En la siguiente figura se puede observar un ejemplo de esquema de
valorizacin de riesgo en funcin de la probabilidad e impacto con escala de
valoracin:
Figura 1: Matriz de Riesgos

Fuente:
http://www.google.com.co/imgres?q=matriz+de+riesgos+informaticos&hl=es&biw=1280
&bih=699&gbv=2&tbm=isch&tbnid=_qmfSbEv7Po9NM:&imgrefurl=http://redindustria.b
logspot.com/2010/05/matriz-de-riesgos.html/
Una vez valorados los riesgos, se procede a evaluar la geston de los mismos,
aplicando una escala de valoracin definida por un estndar o definida dentro de
la organizacin para medicin de controles, con el fin de determinar la efieciencia,
eficacia y efectividad de los controles establecidos para mitigar los riesgos
identificados. En la medida que los controles sean ms eficientes y la gestin de
27

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir. La


escala de valoracin de efectividad de los controles podra ajustarse a un rango
similar al siguiente:
Tabla 1. Escala de valoracin control
Control
Ninguno
Bajo
Medio
Alto
ptimo

Efectividad
1
2
3
4
5

Fuente: Esta Investigacin


Finalmente, se calcula el riesgo residual, que se obtiene de la relacin entre el
grado de exposicin a los riesgos inherentes y la gestin de mitigacin de los
mismos establecida por la administracin. A partir del anlisis y determinacin del
riesgo residual los administradores pueden tomar decisiones como la de continuar
o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles o
implantar nuevos controles.
Tabla 2. Clculo de Riesgos Residuales

Actividad 1

Nivel
de
Riesgo

Calidad de Gestin
Tipo
de Efectividad Promedio
Medidas
(*)
de Control
Riesgo
5
Control 1
3
3,6
Inherente 1
Control 2
4
Control 3
4
Riesgo
4
Control 1
5
4,25
Inherente 2
Control 2
5
Control 3
4
Riesgo
4
Control 1
3
3,6
Inherente 3
Control 2
4
Control 3
4
Riesgo
3
Control 1
5
3,5
Inherente 4
Control 2
2
Perfil de Riesgo (Riesgo Residual Total) (***)

Riesgo
Residual
(**)
1,38

0,95

1,11

0,85
1,07

(*) Promedio de los Datos de Efectividad


(**) Resultado de la divisin entre nivel de Riesgo / Promedio de Efectividad
28

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

(***) Promedio: se considera el mismo peso de ponderacin a los Riesgos


Inherentes
Fuente: http://www.sigweb.cl/
El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una
actividad o lnea de negocio, el nivel o grado de riesgo ordenado de mayor a
menor nivel de riesgo (priorizacin); las medidas de control ejecutadas con su
categorizacin promedio y finalmente, se expone el valor del riesgo residual para
cada riesgo y un promedio total que muestra el perfil global de riesgo de la lnea
de negocio.
Como se habr podido observar la matriz de riesgo tiene un enfoque
principalmente cualitativo, para lo cual es preciso que quienes la construyan
tengan experiencia, conocimiento profundo del negocio y su entorno y un buen
juicio de valor, pero adems es requisito indispensable la participacin activa de
todas las reas de la entidad.

29

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 1: RIESGOS INFORMTICOS


CAPITULO 2: ESTNDARES Y MTODOS DE ANLISIS Y EVALUACIN
DE RIESGOS
Introduccin
En este captulo se hace referencia a los estndares para el anlisis de riesgos
ms importantes en el mbito global, Uno de ellos es el Informe COSO ERM que
es un estndar aplicado en las organizaciones para realizar procesos de anlisis
de riesgo en los procesos que se llevan a cabo dentro de ellas. Otro de los
estndares aplicado a los procesos y recursos informticos es el estndar
MAGERIT usado en Europa para el anlisis y evaluacin de riesgos tanto en los
elementos informticos como en la informacin y comunicaciones. Por ltimo el
estndar ms completo para el anlisis de riesgos basado en objetivos de control
denominado COBIT resultado de la federacin internacional ISACA donde se
recopila todos los objetivos de control que debera tener una organizacin a nivel
interno para proteccin de sus activos e informacin.
Adems se menciona los mtodos de anlisis de riesgos cuantitativos y
cualitativos, el primero que hace referencia al impacto que causara una amenaza
de llegar a concretarse, cuya escala de valores es nmerica y puede ser
cuantificada y medida. El segundo est fundamentado en la posibilidad de
ocurrencia de una falla tambin denominada la probabilidad de ocurrencia que es
una escala de tipo cualitativo.

Leccin 6: Generalidades de los Estndares de Anlisis de Riesgos


Anlisis de riesgos
Inventario de metodologas y herramientas de anlisis y gestin de riesgos de
ENISA (European Network and Information Security Agency), incluye sistema de
comparativas en la direccin electrnica www.enisa.europa.eu/rmra/rm_home.html

Gua de evaluacin y gestin del riesgo para Pymes.


www.enisa.europa.eu
MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin), promovida por el Ministerio de Administraciones Pblicas de
Espaa.
www.csi.map.es/csi/pg5m20.htm
EAR/Pilar (Entorno de anlisis de riesgos). Herramienta en espaol, basada en
Magerit, no gratuita. Existe una versin Basic para Pymes.
www.ar-tools.com
GxSGSI. Software de anlisis de riesgos, en espaol, de la empresa SIGEA.
www.sigea.es
30

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

ISO/IEC 27005 es el estndar ISO de la serie 27000 dedicado a la gestin de


riesgos de seguridad de la informacin.
www.iso.org/iso/iso_catalogue/
BS 7799-3:2006 es el estndar britnico de gestin del riesgo de la seguridad
de la informacin de British Standards Institution.
www.bsigroup.com/en/Shop/
Risk management guide for information technology systems. Publicada por
NIST (National Institute of Standards and Technology) de EEUU.
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
AS/NZS 4360:2004 es el estndar australiano de gestin de riesgos de la
seguridad de la informacin.
www.saiglobal.com/shop/script/
EBIOS (Expression des Besoins et Identification des Objectifs de Scurit).
Metodologa de gestin de los riesgos de seguridad de sistemas de
informacin desarrollada por la Direction Central de la Scurit des Systmes
dInformation francesa. Disponible en espaol. Est acompaada por un
software multilinge -francs, ingls, alemn, espaol- gratuito para varias
plataformas -Windows, Linux, Solaris-.
www.ssi.gouv.fr/site_article173.html
Estndar de anlisis de riesgos del Bundesamt fr Sicherheit in der
Informationstechnik de Alemania. GSTOOL es la correspondiente herramienta.
www.bsi.de/english/
MEHARI (Mthode Harmonise dAnalyse de Risques). Mtodo de anlisis y
gestin del riesgo desarrollado por el Clusif ( Club de la Scurit des Systmes
dInformation Franais).
www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation).
Metodologa de evaluacin de riesgos desarrollada por el Software Engineering
Institute (SEI) de la Carnegie Mellon University. OCTAVE-S es la versin para
pequeas empresas (menos de 100 empleados).
www.cert.org/octave
CRAMM (CCTA Risk Analysis and Management Method ). Metodologa y
herramienta de anlisis y gestin de riesgos desarrollada por la Central
Computer and Telecommunications Agency del Reino Unido y gestionada por
Insight Consulting Limited (Grupo Siemens). Existe en versin Expert y
Express, incluye software y no es gratuita.
www.cramm.com
RiskWatch es un software no gratuito de realizacin de anlisis de riesgos.
www.riskwatch.com
IRAM (Information Risk Analysis Methodologies) es una metodologa de
anlisis de riesgos del Information Security Forum slo disponible para sus
miembros.
www.securityforum.org
FIRM (Fundamental Information Risk Management) es una metodologa de
gestin de riesgos del Information Security Forum.
31

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

www.securityforum.org
Citicus ONE es un software comercial (disponible en varios idiomas, pero no en
espaol) de gestin de riesgos de seguridad de la informacin, basado en la
metodologa FIRM.
www.citicus.com/oursoftware_softwarecapabilities.asp
Gua en ingls de evaluacin de riesgos de la Polica de Canad. Tambin
versin en francs.
www.rcmp-grc.gc.ca/ts-st/pubs/tra-emr/index-eng.htm
Introduccin a la metodologa FAIR (Factor Analysis of Information Risk).
www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf
Estndar de gestin del riesgo de IRM, AIRMIC y ALARM (en espaol).
www.theirm.org/
Security Risk Management Guide de Microsoft.
technet.microsoft.com/en-us/library/cc163143.aspx
@RISK, de Palisade, es un software general de anlisis de riesgos basado en
la simulacin de Monte Carlo. Existe versin en espaol y tiene coste.
www.palisade-lta.com/risk
COBRA (Consultative, Objective and Bi-functional Risk Analysis). Software -no
gratuito- de evaluacin del riesgo de C&A Systems Security Ltd..
www.riskworld.net
RA2 Art of Risk. Software de anlisis de riesgos y soporte de SGSI. No es
gratuito.
www.aexis.de
Ejemplo de anlisis de impacto en el negocio realizado por Gartner.
www.njcu.edu/assoc/njcuitma/documents/addendums/
Whitepaper de SANS de alineacin de gestin de riesgos con BS7799-3.
www.sans.org/reading_room/whitepapers/auditing/1664.php
Whitepaper de SANS sobre gestin del riesgo.
www.sans.org/reading_room/whitepapers/auditing/1204.php
Introduccin al anlisis y modelado de amenazas.
metal.hacktimes.com/files/Analisis-y-Modelado-de-Amenazas.pdf
Gua de evaluacin de riesgos de seguridad de ASIS.
www.asisonline.org/guidelines/guidelinesgsra.pdf
Directrices para la gestin del riesgo por uso de aplicaciones de software libre.
www.fdic.gov/news/news/financial/2004/FIL11404a.html
CERO es una aplicacin web que le permite tener una visin global de los
riesgos a los que se expone su compaa, Operativos y de LA/FT.

Leccin 7: Estndar Coso para Anlisis de Riesgos


Estandar Coso
Es un estndar de control interno para la gestin del riesgo, que hace
recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de
32

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

control. Fue emitido en 1991 por el Comit de Organizaciones Sponsor (Integrated


Framework del Committe of Sponsoring Organizations of the Treadway
Commission) y ampliado posteriormente en 2004.
El informe COSO, tiene dos objetivos fundamentales:

La definicin de control interno


Brindar un estndar para que las organizaciones evalen sus sistemas de
control y la forma de mejorarlos.

Control interno: proceso efectuado por el directorio, la gerencia y otro personal


de la entidad, con el fin de proveer un aseguramiento razonable en relacin al
logro de los objetivos, teniendo en cuenta las siguientes categoras:
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento con las leyes y regulaciones aplicables
Respecto al control interno, es importante resaltar:
Al definirse como proceso, se convierte en un medio para alcanzar un fin,
no constituye un fin en si mismo.
Involucra a personas de diferentes niveles de la organizacin, para su
accionar no es suficiente con tener manuales de procedimientos, es
indispensable crear y ejecutar mecanismos y estrategias de aplicacin,
control y evaluacin.
No garantiza la seguridad total, sino un grado razonable de la misma.
Se utiliza para hacer ms fcil y seguro la consecucin de los objetivos
empresariales.
Componentes:
relacionados:

establece

cinco

componentes

que

estn

ntimamente

1. Ambiente de control: incluye la filosofa, estilo operativo de la gerencia,


polticas, prcticas de recursos humanos, integridad y valores ticos de los
empleados, estructura organizacional, documentacin de polticas y
decisiones, desarrollo de programas que incluyan metas, objetivos e
indicadores de rendimiento, reglamentos y manuales de procedimientos,
mecanismos de asignacin y administracin de responsabilidades, es decir,
todos los aspectos que conforman la cultura organizacional y la actitud que
asume la alta gerencia y los dems niveles de la organizacin respecto a la
importancia y trascendencia del control interno en todas las actividades y
resultados que se obtienen en la empresa.
De acuerdo a las caractersticas de la organizacin, puede ser necesario que
se implementen consejos de administracin y comits de auditora con
personal calificado y un grado adecuado de independencia.
33

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

2. Evaluacin de riesgos: el control interno pretende limitar los riesgos que


afectan el desarrollo de las actividades propias de la organizacin, para ello se
requiere: tener un conocimiento prctico de la organizacin y sus
componentes, con el fin de identificar y analizar los riesgos examinando
factores externos (desarrollo tecnolgico, competencia, modificaciones
econmicas) y factores internos (calidad del personal, naturaleza de las
actividades de la empresa, caractersticas de los sistemas de informacin).
Un paso previo a la evaluacin de riesgos es el establecimiento de los
objetivos relacionados con las operaciones, la informacin financiera y el
cumplimiento. Dependiendo de su formulacin y cobertura se puede identificar
los factores de xito y los criterios para evaluar el rendimiento.
Al evaluar el riesgo, se debe:
Estimar su significacin (importancia y trscedencia)
Identificar la probabilidad de que ocurra y su frecuencia
Establecer cmo manejarlo.
Cabe tener en cuenta que se presentan riesgos cuando se plantean
situaciones de cambio y muchas veces estos no se perciben, por estar
inmersos en los nuevos procesos. Existen circunstancias que pueden merecer
una atencin especial en funcin del impacto potencial que plantean:
Cambios en el entorno
Redefinicin de la poltica institucional
Reorganizaciones o reestructuraciones internas
Ingreso de empleados nuevos, o rotacin de los existentes
Nuevos sistemas, procedimientos y tecnologas
Aceleracin del crecimiento
Nuevos productos, actividades o funciones 6
En casos como los mencionados, deben existir mecanismos establecidos para
encarar sin traumatismos los cambios.
3. Actividades de control: se realizan en todos los niveles de la organizacin y
en cada etapa de la gestin; estn conformadas por los procedimientos
generados para prevenir y contrarrestar los riesgos; se logra mediante el
establecimiento de polticas y procedimientos que garanticen que los
empleados sigan las directrices de la gerencia. En estas actividades se
incluyen:
Revisar los mecanismos de control
Controles fsicos
Adicin de tareas
Controles de los sistemas de informacin, dentro de los cuales se tiene:
o Controles generales (acceso, desarrollo de software y sistemas)
o Controles de las aplicaciones (detectan, previenen y corrigen
errores del sistema actual)
6

Ladino Enrique. Control interno: informe Coso. Biblioteca virtual Elibro - UNAD

34

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

De acuerdo al objetivo de la organizacin, los controles se pueden agrupar en:


Las operaciones
La confiabilidad de la informacin financiera
El cumplimiento de leyes y reglamentos
Otra categorizacin de los controles es:
Preventivo / correctivo
Manuales / automatizados o informticos
Gerenciales o directivos
4. Informacin y comunicacin: los sistemas de informacin que se manejen
influyen de manera decisiva en la toma de decisiones en toda organizacin, por
lo tanto es indispensable que sea oportuna, exacta, actualizada y accesible
para evitar riesgos. En razn de lo anterior, es necesario establecer canales
de comunicacin estratgicos que permita identificar, capturar y reportar la
informacin financiera y operativa necesaria para controlar las actividades de la
organizacin. Los canales de comunicacin deben ser eficientes para lograr
que el personal, de acuerdo al rol que desempea, reciba la informacin
adecuada, la procese de acuerdo a las responsabilidades impartidas por
control interno y si encuentra problemas, comunicarlos a los niveles que
corresponden en la organizacin. Las entidades y personal ajeno a la
organizacin, pero que tiene vnculos con ella deben conocer que la empresa
no tolerar acciones inapropiadas.
5. Monitoreo o Supervisin: busca asegurar que el control interno funcione
correctamente, para lo cual la gerencia examina los sistemas de control en:
Actividades regulares: tiene que ver con el control de las actividades
cotidiana, propias a la gestin de la organizacin, como ejemplos se
pueden mencionar el comparar activos fsicos con informacin registrada,
seminarios de entrenamiento y exmenes que realizan auditores internos y
externos. Las anomalas que se encuentren se reportan al supervisor
encargado.
Evaluaciones especiales: se programan y realizan atendiendo las
necesidades que se presenten, puede variar su frecuencia y cobertura. Si
los resultados arrojan deficiencias, generalmente se informa a los altos
niveles de la gerencia.

Leccin 8: Estndar Magerit para Anlisis de Riesgos Informticos


Descripcin del estndar MAGERIT
Finalidad: el anlisis y gestin de los riesgos es uno de los aspectos claves por
medio del cual se regula el Esquema Nacional de Seguridad en el mbito de la
administracin de la Administracin Electrnica en Espaa que tiene la finalidad
35

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

de satisfacer el principio de proporcionalidad en el cumplimiento de los principios


bsicos y requisitos mnimos para la proteccin adecuada de la informacin.
MAGERIT es un instrumento para facilitar la implantacin y aplicacin del
esquema de seguridad proporcionando los principios bsicos y requisitos mnimos
para proteccin de la informacin. El estndar MAGERIT es uno de los mtodos
de anlisis y gestin de riesgos de ENISA elaborada por el Consejo Superior de
Administracin Electrnica en Espaa, que tiene como objetivos los siguientes:
concientizar a los responsables de los sistemas de informacin de la existencia de
riesgos y de la necesidad de detenerlos a tiempo, el ofrecer un mtodo sistemtico
para realizar el anlisis de los riesgos, adems de ayudar a descubrir y planear las
medidas oportunas para mantener los riesgos bajo control, y preparar a la
organizacin para procesos de evaluacin, auditora, acreditacin o certificacin,
segn corresponda cada caso.
MAGERIT permite hacer el estudio de los riesgos que soporta un sistema de
informacin y el entorno asociado a l, para ello propone realizar la evaluacin del
impacto que una violacin de la seguridad tiene en la organizacin; seala los
riesgos existentes, identificando las amenazas que acechan al sistema de
informacin, y determina la vulnerabilidad del sistema de prevencin de dichas
amenazas, obteniendo unos resultados. Los resultados del proceso de anlisis de
riesgos permiten a la gestin de riesgos recomendar las medidas apropiadas que
deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos
identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios.
Organizacin de las guas
El estndar MAGERIT versin 2 se ha estructurado en tres guas: el Mtodo, el
Catlogo de Elementos, y la Gua de Tcnicas, a continuacin se hablar en ms
detalle sobre el contenido de las mismas.
El mtodo, que describe los pasos y las tareas bsicas para realizar un proyecto
de anlisis y gestin de riesgos, y proporciona una serie de aspectos prcticos. La
metodologa se describe desde tres ngulos y est dividido en captulos donde
cada uno de ellos contiene:

El captulo 2 describe los pasos para realizar un anlisis del estado de riesgo y
para gestionar su mitigacin. Es una presentacin netamente conceptual.
El captulo 3 describe las tareas bsicas para realizar un proyecto de anlisis y
gestin de riesgos, entendiendo que no basta con tener los conceptos claros,
sino que es conveniente reglamentar roles, actividades, hitos y documentacin
para que la realizacin del proyecto de anlisis y gestin de riesgos, est bajo
control en todo momento.
El captulo 4 aplica la metodologa al caso del desarrollo de sistemas de
informacin, en el entendimiento que los proyectos de desarrollo de sistemas
deben tener en cuenta los riesgos desde el primer momento, tanto los riesgos a
36

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

que estn expuestos, como los riesgos que las propias aplicaciones introducen
en el sistema.
En el captulo 5 desagrega una serie de aspectos prcticos, derivados de la
experiencia acumulada en el tiempo para la realizacin de un anlisis y una
gestin realmente efectivos.
Figura 2: Procesos para gestin de riesgos

En los apndices recogen material de consulta tales como: el Glosario, las


Referencias bibliogrficas consideradas para el desarrollo de esta metodologa,
las Referencias al marco legal que encuadra las tareas de anlisis y gestin, el
marco normativo de evaluacin y certificacin, las caractersticas que se
requieren de las herramientas, presentes o futuras, para soportar el proceso de
anlisis y gestin de riesgos, y una gua comparativa de cmo MAGERIT
versin 1 ha evolucionado en esta versin 2 donde se desarrolla un ejemplo
prctico.
El Catlogo de Elementos, que ofrece unas pautas y elementos estndar en
cuanto a: tipos de activos, dimensiones de valoracin de los activos, criterios de
37

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

valoracin de los activos, amenazas tpicas sobre los sistemas de informacin y


salvaguardas a considerar para proteger sistemas de informacin. El catlogo
persigue dos objetivos esenciales: el facilitar la labor de las personas que inician
el proyecto, en el sentido de ofrecerles elementos estndar a los que puedan
adscribirse rpidamente, centrndose en lo especfico del sistema objeto del
anlisis y homogeneizar los resultados de los anlisis, promoviendo una
terminologa y unos criterios uniformes que permitan comparar e incluso integrar
anlisis realizados por diferentes equipos.
La Gua de Tcnicas, que es una gua de consulta que proporciona algunas
tcnicas que se emplean habitualmente para llevar a cabo proyectos de anlisis
y gestin de riesgos, dentro de ellas se encuentran: tcnicas especficas para el
anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de
ataque, tcnicas generales, anlisis coste-beneficio, diagramas de flujo de
datos, diagramas de procesos, tcnicas grficas, planificacin de proyectos,
sesiones de trabajo (entrevistas, reuniones y presentaciones) y valoracin
Delphi.
Es una gua de consulta que permite el avance por las tareas del proyecto, se le
recomendar el uso de ciertas tcnicas especficas, de las que esta gua busca
ser una introduccin, as como proporcionar referencias para que el lector
profundice en las tcnicas presentadas.
MAGERIT es utilizado por aquellas personas que trabajan con informacin
digital y sistemas informticos para tratarla. Si dicha informacin, o los servicios
que se prestan gracias a ella, son valiosos, MAGERIT les permitir saber cunto
valor est en juego y les ayudar a protegerlo. Conocer el riesgo al que estn
sometidos los elementos de trabajo es, simplemente, imprescindible para poder
gestionarlos. Con MAGERIT se persigue una aproximacin metdica que no
deje lugar a la improvisacin, ni dependa de la arbitrariedad del analista.

Leccin 9: Estndar Cobit para Anlisis y Evaluacin de Riesgos de Ti


Objetivos de Control para la Informacin y Tecnologas Relacionadas (CobIT)
En esta sociedad globalizada y con el uso cada vez ms frecuente de nuevas
tecnologas para el manejo de informacin y datos, se hace necesario el manejo
ms crtico de los medios para la gestin de datos e informacin que se transmiten
de un sitio a otro, de esta situacin emergen situaciones y problemas como la
creciente vulnerabilidad y un amplio espectro de amenazas, denominadas ciber
amenazas, la guerra de informacin, otras como las inversiones actuales y futuras
en informacin y en tecnologa de informacin, el potencial que tienen las
tecnologas para cambiar radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir costos.
38

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

En muchos casos, para muchas organizaciones la informacin y la tecnologa que


la soporta, representan los activos ms valiosos de la empresa, por lo cual la
gerencia de las organizaciones ha incrementado sus expectativas relacionadas
con la entrega de servicios de TI. Es por eso que la administracin requiere
niveles de servicio que presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, as como un mejoramiento continuo y una disminucin de los
tiempos de entrega a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa
puede proporcionar, pero tambin deben comprender y administrar los riesgos
asociados con la Implementacin de nueva tecnologa. Por lo tanto, la
administracin debe tener un entendimiento claro sobre los riesgos y limitantes del
empleo de la tecnologa para proporcionar una direccin efectiva y controles
adecuados para su uso.
Las organizaciones deben cumplir con requerimientos de calidad y seguridad tanto
para su informacin como para sus activos, por eso la administracin debe obtener
el balance adecuado en el empleo de sus recursos disponibles dentro de los
cuales estn el personal, instalaciones, tecnologa, sistemas de informacin y
datos. Para cumplir con esta responsabilidad, se deber establecer un sistema
adecuado de control interno que proporcione soporte a los procesos de negocio y
sea efectivo en satisfacer los requerimientos de informacin y puede impactar a
los recursos de TI.
El impacto en los recursos de TI es enfatizado en el Marco Referencial de CObIT
conjuntamente a los requerimientos de informacin del negocio que deben ser
alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad. El control, incluye polticas, estructuras, prcticas y
procedimientos organizacionales, es responsabilidad de la administracin.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se
desea alcanzar implementando procedimientos de control especficos dentro de
una actividad de TI. CObIT esta diseado no solo para ser utilizado por usuarios y
auditores, sino que en forma ms importante, esta diseado para ser utilizado
como una lista de verificacin o check list para los propietarios de los procesos de
negocio.
CObIT es con un conjunto de treinta y cuatro (34) objetivos de control de alto nivel,
uno para cada uno de los procesos de TI, agrupados en cuatro dominios:
planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y
monitoreo. Con la direccin de estos 34 Objetivos de Control de alto nivel, el
propietario de procesos podr asegurar que se proporciona un sistema de control
adecuado para el ambiente de tecnologa de informacin. A cada uno de los 34
objetivos de control de alto nivel, se asocia una gua de auditora o de
aseguramiento que permite la revisin de los procesos de TI contra los 302
objetivos detallados de control recomendados por CObIT para proporcionar la
certeza de su cumplimiento y/o una recomendacin para su mejora.
CObIT contiene un conjunto de herramientas de implementacin que proporciona
lecciones aprendidas por empresas que rpida y exitosamente aplicaron CObIT en
sus ambientes de trabajo. La gua de implementacin cuenta con dos
herramientas: un diagnstico de sensibilizacin gerencial y un diagnstico de
39

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

control en TI para proporcionar asistencia en el anlisis del ambiente de control en


una organizacin.
CObIT habilita el desarrollo de una poltica clara y de buenas prcticas de control
de TI a travs de organizaciones, a nivel mundial. El objetivo de CObIT es
proporcionar objetivos de control, dentro del marco referencial definido, y obtener
la aprobacin y el apoyo de las entidades comerciales, gubernamentales y
profesionales en todo el mundo. El CObIT ha sido desarrollado como un estndar
para las buenas prcticas de seguridad y control en Tecnologa de Informacin
(TI), se fundamenta en los Objetivos de Control existentes de la Fundacin de
Control y Auditoria de Sistemas de Informacin (ISACF), mejorados a partir de
estndares internacionales tcnicos, profesionales, regulatorios y especficos para
la industria.
El desarrollo de CObIT ha trado como resultado la publicacin del Marco
Referencial general y de los Objetivos de Control detallados, y le siguen
actividades educativas. Estas actividades asegurarn el uso general de los
resultados del Proyecto de Investigacin CObIT.
Se determin que las mejoras a los objetivos de control originales debera consistir
en: el desarrollo de un marco referencial para control en TI como fundamento para
los objetivos de control en TI y como una gua para la auditoria y control de TI; una
alineacin del marco referencial general y de los objetivos de control individuales,
con estndares y regulaciones internacionales existentes de hecho y de derecho;
una revisin de las actividades y tareas que conforman los dominios de control en
TI, la especificacin de indicadores de desempeo relevantes (normas, reglas,
etc.) y la actualizacin de las guas actuales para desarrollo de auditorias de
sistemas de informacin.
El desarrollo de CObIT ha resultado en la publicacin de un resumen ejecutivo que
consiste una sntesis que proporciona el entendimiento y conciencia sobre los
conceptos y principios del CObIT y el marco de referencia que identifica los cuatro
(4) dominios de CObIT y los correspondientes procesos de TI. El marco referencial
describe en detalle los 34 objetivos de control de alto nivel e identifica los
requerimientos del negocio para la informacin y los recursos de TI que son
impactados por cada objetivo de control. Los objetivos de control que contienen los
resultados deseados o propsitos a ser alcanzados mediante la implementacin
de 302 objetivos de control detallados y especficos a travs de los 34 procesos de
TI.
Las guas de auditoria contienen los pasos que deben seguir los auditores de
sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos
detallados de control recomendados para proporcionar a la gerencia la certeza
unas recomendaciones de mejoramiento; y un conjunto de herramientas de
implementacin que proporciona lecciones aprendidas por las organizaciones que
han aplicado CObIT rpida y exitosamente en sus ambientes de trabajo.
El concepto fundamental del marco referencial CObIT se refiere a que el enfoque
del control en TI se lleva a cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la informacin como el
resultado de la aplicacin combinada de recursos relacionados con la Tecnologa
de Informacin que deben ser administrados por procesos de TI.
40

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que CObIT hace referencia como requerimientos de negocio
para la informacin. CObIT combina los principios contenidos en los modelos ya
existentes y conocidos tales como los requerimientos de calidad (calidad, costo y
entrega), los requerimientos Fiduciarios de COSO (efectividad & eficiencia de
operaciones, confiabilidad de la informacin y cumplimiento de las leyes &
regulaciones), y requerimientos de seguridad (confidencialidad, disponibilidad e
integridad). A partir de ellos se extrajeron siete categoras distintas, ciertamente
superpuestas, a continuacin se muestran las definiciones de trabajo de CObIT:
La efectividad que se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
La eficiencia se refiere a la provisin de informacin a travs de la utilizacin
ptima (ms productiva y econmica) de recursos.
La confidencialidad se refiere a la proteccin de informacin sensible contra
divulgacin no autorizada.
La integridad se refiere a la precisin y suficiencia de la informacin, as como a
su validez de acuerdo con los valores y expectativas del negocio.
La disponibilidad se refiere a la disponibilidad de la informacin cuando sta es
requerida por el proceso de negocio ahora y en el futuro. Tambin hace referencia
a la salvaguarda de los recursos necesarios y capacidades asociadas.
El cumplimiento se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo,
criterios de negocio impuestos externamente.
La confiabilidad de la informacin. Se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para ejercer sus
responsabilidades de reportes financieros y de cumplimiento.
En cuanto a los recursos de TI identificados en CobIT pueden definirse como se
muestra a continuacin:
Los datos, los elementos de datos en su ms amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, grficos, sonido, etc.
Las aplicaciones, se entienden como sistemas de aplicacin la suma de
procedimientos manuales y programados.
La tecnologa cubre hardware, software, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc.
Las instalaciones, recursos para alojar y dar soporte a los sistemas de
informacin.
Y el personal, las habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y monitorear
servicios y sistemas de informacin.
El marco referencial cuenta de Objetivos de Control de TI de alto nivel y de una
estructura general para su clasificacin y presentacin. En esencia existen tres
niveles de actividades de TI al considerar la administracin de sus recursos.
41

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Comenzando por la base, estn las actividades necesarias para encontrar un


resultado medible, las actividades cuentan con un concepto de ciclo de vida,
mientras son consideras ms discretas. Algunos ejemplos de esta categora son
las actividades de desarrollo de sistemas, administracin de la configuracin y
manejo de cambios. La segunda categora incluye tareas llevadas a cabo como
soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de
la calidad, administracin de la capacidad y el desempeo. Y al nivel ms alto, los
procesos son agrupados de manera natural en dominios. Por lo tanto, el marco
referencial puede ser enfocado desde tres puntos estratgicos: (1) recursos de TI,
(2) requerimientos de negocio para la informacin y (3) procesos de TI.
Como respuesta a lo argumentado anteriormente, como marco de referencia, se
identifican cuatro grandes dominios: planeacin y organizacin, adquisicin e
implementacin, entrega y soporte, y monitoreo. A continuacin se detalla cada
uno de ellos:
Planeacin y Organizacin, este dominio cubre la estrategia y las tcticas, se
refiere a la identificacin de la forma en que la tecnologa de informacin puede
contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la
consecucin de la visin estratgica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, debern establecerse
una organizacin y una infraestructura tecnolgica apropiadas. Los procesos que
se incluyen dentro de este dominio son:
PO1 Definir un Plan Estratgico de TI
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y Relaciones de TI
PO5 Manejar la Inversin en TI
PO6 Comunicar las directrices gerenciales
PO7 Administrar Recursos Humanos
PO8 Asegurar el cumplir Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
Adquisicin e Implementacin, para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como
implementadas e integradas dentro del proceso del negocio. Adems, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Los procesos que se incluyen dentro de este dominio son:
AI1 Identificar Soluciones
AI2 Adquisicin y Mantener Software de Aplicacin
AI3 Adquirir y Mantener Arquitectura de TI
AI4 Desarrollar y Mantener Procedimientos relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
Entrega y Soporte, en este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de
42

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

proveer servicios, debern establecerse los procesos de soporte necesarios. Este


dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin. Los procesos que se
incluyen dentro de este dominio son:
DS1 Definir niveles de servicio
DS2 Administrar Servicios de Terceros
DS3 Administrar Desempeo y Calidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Capacitar Usuarios
DS8 Asistir a los Clientes de TI
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
Monitoreo, todos los procesos necesitan ser evaluados regularmente a travs del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control. Los procesos que se incluyen dentro de este dominio son:
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control Interno
M3 Obtener aseguramiento independiente
M4 Proveer auditoria independiente
La clasificacin mide el impacto de los controles aplicados en cada una de las
reas, de acuerdo a esta clasificacin deben tomarse en cuenta los objetivos de
los controles as: primario (P), es el grado al cual el objetivo de control definido
impacta directamente el requerimiento de informacin de inters; secundario (S),
es el grado al cual el objetivo de control definido satisface nicamente de forma
indirecta o en menor medida el requerimiento de informacin de inters; blanco
(vaco), podra aplicarse, sin embargo, los requerimientos son satisfechos ms
apropiadamente por otro criterio en este proceso y/o por otro proceso.
Similarmente, todas las medidas de control no necesariamente tendrn impacto en
los diferentes recursos de TI a un mismo nivel, en consecuencia, el Marco
Referencial de CObIT indica especficamente la aplicabilidad de los recursos de TI
que son administrados en forma especfica por el proceso bajo consideracin.
Esta clasificacin es hecha dentro el Marco Referencial de CObIT basado en el
mismo proceso riguroso de informacin proporcionada por los investigadores,
expertos y revisores, utilizando las definiciones estrictas indicadas previamente.
En la siguiente figura se muestra el marco general de referencia del CObIT, sus
dominios, el detalle de cada dominio y los criterios de aplicacin de los controles
ms adecuados.

43

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Planeacin y Organizacin
PO1
Definir un Plan Estratgico de TI
PO2
Definir la Arquitectura de Informacin
PO3
Determinar la direccin tecnolgica
PO4
Definir la Organizacin y Relaciones de TI
PO5
Manejar la Inversin en TI
PO6
Comunicar las directrices gerenciales
PO7
Administrar Recursos Humanos
Asegurar el cumplir Requerimientos
PO8
Externos
PO9
Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
Adquisicin e Implementacin
AI1
Identificar Soluciones
Adquisicin y Mantener Software de
AI2
Aplicacin
AI3
Adquirir y Mantener Arquitectura de TI
Desarrollar y Mantener Procedimientos
AI4
relacionados con TI
AI5
Instalar y Acreditar Sistemas
AI6
Administrar Cambios
Servicios y Soporte
DS1
Definir niveles de servicio
DS2
Administrar Servicios de Terceros
DS3
Administrar Desempeo y Capacidad
DS4
Asegurar Servicio Continuo
DS5
Garantizar la Seguridad de Sistemas

Recursos
de TI
Recursos
Sistemas
Humanos
Informacin
Tecnologa
Instalaciones
Datos

Proceso

Criterios
de
Informacin
Efectividad
Eficiencia
Confidencialid
ad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

Dominio

Tabla 3. Marco general de referencia COBIT

P
P
P
P
P
P
P

S
S S S
S
S
P

S
S

P S

S S P P P S S
P P
P P
P
S

P S
P P

P P

P P

P
P P

S S
P P

P
P
P
P

S S

S S
S

P S S S S S
P S S S S S
P
S
S
P
P P S S S
44

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13

Identificar y Asignar Costos


Capacitar Usuarios
Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones

Monitoreo
M1
Monitorear los procesos
M2
Evaluar lo adecuado del control Interno
M3
Obtener aseguramiento independiente
M4
Proveer auditora independiente

P
P S
P
P
P P

S
S

S
P

P P

P
P P
S S

P
P
P
P

S
P
P
P

S
S
S
S

S
S
S
S

S
S
S
S

S
S
S
S

S
S
S
S

Leccin 10: Mtodos de Anlisis y Evaluacin de Riesgo


MTODO DOFA
El anlisis DOFA surgi de la investigacin conducida por el Stanford Research
Institute entre 1960 y 1970. Sus orgenes nacen de la necesidad descubrir por qu
falla la planificacin corporativa. La investigacin fue financiada por las empresas
del Fortune 500, para averiguar qu se poda hacer ante estos fracasos. El equipo
de investigacin consista de Marion Dosher, Dr Otis Benepe, Albert Humphrey,
Robert Stewart y Birger Lie.
DOFA (en ingls SWOT), es la sigla usada para referirse a una herramienta
analtica que permitir trabajar con toda la informacin que se tiene sobre un
negocio, til para examinar las Debilidades, Oportunidades, Fortalezas y
Amenazas.
Este tipo de anlisis representa un esfuerzo para examinar la interaccin entre las
caractersticas particulares del negocio y el entorno en el cual ste compite. El
anlisis DOFA tiene mltiples aplicaciones y puede ser usado por todos los niveles
de la corporacin y en diferentes unidades de anlisis tales como producto,
mercado, producto-mercado, lnea de productos, corporacin, empresa, divisin,
unidad estratgica de negocios, entre otros. Muchas de las conclusiones,
obtenidas como resultado del anlisis DOFA, sern de gran utilidad en el anlisis
del mercado y en las estrategias de mercadeo que se disee y que califiquen para
ser incorporadas en el plan de negocios.
45

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

El anlisis DOFA debe enfocarse solamente hacia los factores claves para el xito
de la empresa. Debe resaltar las fortalezas y las debilidades diferenciales internas
al compararlo, de manera objetiva y realista, con la competencia y con las
oportunidades y amenazas claves del entorno.
Lo anterior significa que el anlisis DOFA consta de dos partes: una interna y otra
externa, a continuacin se describe cada una de ellas: la parte interna tiene que
ver con las fortalezas y las debilidades del negocio, aspectos sobre los cuales se
tienen algn grado de control, y la parte externa: mira las oportunidades que
ofrece el mercado y las amenazas que se debe enfrentar en el mercado
seleccionado. Aqu es necesario desarrollar toda nuestra capacidad y habilidad
para aprovechar las oportunidades y para minimizar o anular esas amenazas,
circunstancias sobre las cuales se tiene poco o ningn control directo.
Las Fortalezas y debilidades consideran las siguientes reas:
Analisis de recursos, que incluye el capital, recursos humanos, sistemas
de informacin, activos fijos, activos no tangibles.
Anlisis de Riesgos, con relacin a los recursos y a las actividades de la
empresa
Anlsis de Portafolio, que es la conribucin consolidada de todas las
diferentes actividades de la organizacin
Al hacer la evaluacin de las fortalezas de la organizacin, hay que tener en
cuenta su clasificacin, a continuacin se muestra:
Las Fortalezas Organizacionales Comunes, se define como una fortaleza que
es poseda por un gran nmero de empresas competidoras. La paridad
competitiva se da cuando un gran nmero de empresas competidoras estn en
capacidad de implementar la misma estrategia.
Las Fortalezas Distintivas, que se define como aquella que es poseda
solamente por un reducido nmero de empresas competidoras. Las empresas que
saben explotar su fortaleza distintiva generalmente logran una ventaja competitiva
y obtienen utilidades econmicas por encima del promedio de su industria. Las
fortalezas distintivas no pueden imitarse cuando su adquisicin o desarrollo
dependen de una circunstancia histrica nica que otras empresas no pueden
copiar, y su naturaleza y carcter no puede ser conocido o comprendido por las
empresas competidoras tales como la cultura empresarial o el trabajo en equipo.
Las fortalezas de Limitacin de las Fortalezas Distintivas, que se define como
la capacidad de copiar la fortaleza distintiva de otra empresa y de convertirla en
una estrategia que genere utilidad econmica. La ventaja ser temporalmente
sostenible, cuando subsiste despus que cesan todos los intentos de imitacin
estratgica por parte de la competencia.
46

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Al evaluar las debilidades de la organizacin, hay que tener en cuenta que se est
refiriendo a aquellas que le impiden a la empresa seleccionar e implementar
estrategias que le permitan desarrollar su misin. Una empresa tiene una
desventaja competitiva cuando no est implementando estrategias que generen
valor mientras otras firmas competidoras si lo estn haciendo.
Las Oportunidades y las Amenazas, donde las oportunidades organizacionales se
encuentran en aquellas reas que podran generar muy altos desempeos y las
Amenazas organizacionales estn en aquellas reas donde la empresa encuentra
dificultad para alcanzar altos niveles de desempeo.
Dentro de ellas se pueden considerar las siguientes:
Anlisis del Entorno Prximo, que es la estructura de la industria tales como
proveedores, canales de distribucin, clientes, mercados, competidores.
Los Grupos de Inters, tales como el gobierno, instituciones pblicas, sindicatos,
gremios, accionistas, comunidad.
El Entorno Amplio, tales como los aspectos demogrficos, polticos, legislativos,
entre otros.
Anlisis de la matriz DOFA
El anlisis DOFA es una evaluacin subjetiva de datos organizados en el formato
DOFA, que los coloca en un orden lgico que ayuda a comprender, presentar,
discutir y tomar decisiones. Puede ser utilizado en cualquier tipo de toma de
decisiones, ya que la plantilla estimula a pensar pro-activamente, en lugar de las
comunes reacciones instintivas.
El uso de matriz DOFA es diverso, algunos de los aspectos que se puede trabajar
con la matriz son los siguientes: una empresa (su posicin en el mercado,
viabilidad comercial, etc.), un mtodo de distribucin de ventas, un producto o
marca, una opcin estratgica (cmo entrar en un nuevo mercado o lanzar un
nuevo producto), Una oportunidad para realizar una adquisicin, Evaluar un
cambio de proveedor, decidir la tercerizacin (outsourcing) de un servicio,
actividad o recurso, analizar una oportunidad de inversin, entre otros.
La plantilla del anlisis DOFA es generalmente presentada como una matriz de
cuatro secciones, una para cada uno de los elementos: Debilidades,
Oportunidades, Fortalezas y Amenazas. El ejemplo de abajo incluye preguntas de
ejemplo, cuyas respuestas deben ser insertadas en la seccin correspondiente.
Las preguntas son slo ejemplos, o puntos de discusin, que pueden ser
obviamente modificados segn el tema del anlisis. Es importante identificar y
describir claramente el tema analizado mediante DOFA, de forma que las
personas que participen entiendan el propsito y sus implicaciones.

47

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 4. Plantilla de anlisis DOFA 1


Tema del anlisis: (defina aqu el tema a analizar)

FORTALEZAS internas

DEBILIDADES internas

Capacidades fundamentales en actividades


claves.
Recursos financieros adecuados.
Habilidades
superiores.

recursos

tecnolgicos

No hay una direccin estratgica clara.


Incapacidad de financiar
necesarios en la estrategia

los

cambios

Falta de algunas habilidades o capacidades


clave.

Propiedad de la tecnologa principal.

Atraso en investigacin y desarrollo

Mejor capacidad de fabricacin.

Costes unitarios mas altos en relacin con los


competidores directos.

Ventajas en costes.

Rentabilidad inferior a la media.

Acceso a la economa de escala.


Habilidades para la innovacin de productos.
Buena imagen en los consumidores.
Productos (marcas) bien diferenciados y
valorados en el mercado.
Mejores campaas de publicidad.
Estrategias especficas o funcionales bien
ideadas y diseadas.
Capacidad directiva.

Debilidad en la red de distribucin.


Dbil imagen en el mercado.
Habilidades de marketing por debajo de la
medida.
Exceso de problemas operativos internos.
Instalaciones obsoletas.
Falta de experiencia y de talento gerencial.
Etc.

Flexibilidad organizativa.
Etc.
OPORTUNIDADES externas

AMENAZAS externas
Efectos polticos

Entrar en nuevos mercados o segmentos.

Entrada de nuevos competidores.

Atender a grupos adicionales de clientes.


Ampliacin de la cartera de productos para
satisfacer nuevas necesidades de los
clientes.
Diversificacin de productos relacionados.

Creciente poder de negociacin de clientes o


proveedores.

Integracin vertical.

Complacencia entre las empresas rivales.


Etc.

Crecimiento lento del mercado.


Cambio en las necesidades y gustos de los
consumidores.

Crecimiento rpido del mercado.

Eliminacin de barreras comerciales


mercados exteriores atractivos.

Incremento en las ventas de los productos


sustitutivos.

en

Cambios adversos en lo tipos de cambio y en


las polticas comerciales de otros pases.
Cambios demogrficos adversos.
Etc.

48

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Este ejemplo est basado en una situacin imaginaria. El escenario es una


empresa manufacturera, negocio-a-negocio, que histricamente haba dependido
de distribuidores para que llevaran sus productos al cliente final. La oportunidad, y
en consecuencia el objeto del anlisis DOFA, es para la empresa crear una nueva
compaa propia, que distribuya directamente sus productos a ciertos sectores de
clientes finales, que no estn siendo cubiertos por sus distribuidores actuales.
Tabla 5. Plantilla de anlisis DOFA 2
Tema del anlisis: Creacin de una empresa de distribuidora propia, para acceder a sectores de
clientes finales que no estn siendo desarrollados.
FORTALEZAS internas

DEBILIDADES internas

Control y direccin sobre las ventas al cliente


final
Producto, calidad y confiabilidad del producto
Mejor desempeo del producto, comparado
con competidores
Mejor tiempo de vida y durabilidad del
producto

Desventajas de la propuesta?
Brechas en la capacidad?
Falta de fuerza competitiva?
Reputacin, presencia y alcance?
Aspectos Financieros?
Vulnerabilidades propias conocidas?

Capacidad ociosa de manufactura

Escala de tiempo, fechas tope y presiones?

Algunos empleados tienen experiencia en el


sector del cliente final

Flujo de caja, drenaje de efectivo?

Lista de clientes disponible


Capacidad de entrega directa
Mejoras continuas a los productos
Se puede atender desde las instalaciones
actuales
Los productos
necesaria

tienen

la

acreditacin

Continuidad, robustez de la cadena de


suministros?
Efectos sobre las actividades principales,
distraccin?
Confiabilidad de los datos, predictibilidad del
plan?
Motivacin, compromiso, liderazgo?
Acreditacin, etc.?

Los procesos y la TI se pueden adaptar

Procesos y sistemas, etc.?

Cobertura gerencial, sucesin?

La gerencia est comprometida y confiada.

La lista de clientes no ha sido probada.


Ciertas brechas en el rango para ciertos
sectores.
Seramos un competidor dbil.
Poca experiencia en mercadeo directo.
Imposibilidad de surtir a clientes en el
extranjero.
Necesidad de una mayor fuerza de ventas.

49

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
Presupuesto limitado.
No se ha realizado ninguna prueba.
An no existe un plan detallado.
El
personal
entrenamiento.

de

entrega

necesita

Procesos y sistemas.
El equipo gerencial es insuficiente.

OPORTUNIDADES externas

AMENAZAS externas

Se podran desarrollar nuevos productos

Impacto de la legislacin

Los competidores locales tienen productos de


baja calidad

Los efectos ambientales pudieran favorecer a


los competidores grandes

Los mrgenes de ganancia sern buenos

Riesgo para la distribucin actual

Los clientes finales responden ante nuevas


ideas

La demanda del mercado es muy estacional

Se podra extender a otros pases


Nuevas aplicaciones especiales.
Puede sorprender a la competencia.
Se podran lograr mejores acuerdos con los
proveedores.

Retencin del personal clave


Podra distraer del negocio central
Posible publicidad negativa
Vulnerabilidad ante grandes competidores

MTODO DE ANLISIS DE ESCENARIOS DE RIESGO


Esta tcnica prospectiva fue introducida por Herman Kahn, fundador del Hudson
Institute en la dcada de los aos 50 y ha sido altamente utilizada por la escuela
prospectiva francesa. El termino prospectiva, fue creado por el filsofo francs
Gaston Berger para designar una nueva disciplina cientfica que se traza como
objetivo descubrir las problemticas futuras del hombre y las sociedades a partir
del estudio de las lneas tendenciales actuales de evolucin, con vistas a elaborar
planes racionales y eficaces de organizacin y promocin humana, cultural y
social a largo plazo.
Un escenario es una visin consistente y coherente de cmo podra ser el futuro.
Su utilidad radica en la capacidad de combinar los impactos interrelacionados de
un conjunto amplio de factores econmicos, sociales, tecnolgico, culturales, entre
otros, en una serie de imgenes alternativas del futuro para poder tener previstas
las lneas de actuacin de cada una de ellas.

50

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

El mtodo de Prospectiva se caracteriza por tres rangos: el primero, que considera


que los problemas no son unidimensionales y, por lo tanto que hay que analizar
los sistemas de manera global,; el segundo, que solo tiene sentido a largo plazo; y
el tercero, que considera los fenmenos de ruptura, es decir, apoya los procesos
de innovacin y de cambio.
El concepto de escenario implica la representacin del futuro que describa la
evolucin de un determinado sistema tomando en consideracin las evoluciones
ms probables de las variables claves y para partir de hiptesis sobre el
comportamiento de los actores. Existen diversas clasificaciones de escenarios,
uno de los ms relevantes es clasificar los escenarios en escenarios exploratorios
y escenarios de anticipacin, a continuacin se define cada uno de ellos:
Los escenarios exploratorios, que tratan de describir toda una serie de sucesos
que conducen de una manera lgica a un determinado futuro posible a partir de la
situacin actual del sistema. Dentro de este tipo de escenarios cabe diferenciar
entre escenarios: los tedenciales que son aquellos que se apoyan en la inherencia
al sistema, los refernciales que son aquellos ms probables y los de
encuadramiento que son aquellos que se orientan a delimitar el espacio de los
futuros posibles.
Figura 3: Escenarios
Escenarios

Posibles

Realizables

Deseables

Tendenciales

Referencial
(Escenario mas
probable)

Contrastados
(Anticipativo)
(Imaginativo)
(Normativo)

Los escenarios de Anticipacin, que son los que parten de la imagen de un


futuro posible, estos pueden ser: Normativos que son aquellos futuros que son
posibles y deseables, los Contrastados que son aquellos que se sitan muy lejos
de la situacin actual, los Utpicos que son aquellos que e sitan mas all del
lmite de lo posible.
El mtodo de los escenarios puede descomponerse en dos etapas compuestas de
fases esenciales:
51

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

La primera etapa, consiste en la construccin de la base del escenario, la base


del escenario es la imagen del estado actual del sistema. Esta etapa implica tres
fases: la primera fase o delimitacin del sistema, el cual se define como un
conjunto de elementos interrelacionados, esta fase implica la identificacin de los
elementos del sistema y de sus interrelaciones, tambin se denomina anlisis
estructural porque describe su estructura; la segunda fase es el estudio del
pasado, que consiste en la consideracin histrica del sistema, analizando su
evolucin y su funcionamiento; la tercera fase supone el estudio de los flujos de
entrada y salida del sistema, su entorno, sus mecanismos de regulacin y control.
La segunda etapa, consiste en la construccin de escenarios, basndose en la
informacin anterior. La construccin de los escenarios supone la realizacin de
un anlisis tanto sincrnico (razonamiento por coherencia) como diacrnico
(dinmica de las tendencias). El anlisis sincrnico implica la comprobacin de la
coherencia de los diferentes elementos del sistema. El anlisis diacrnico
comienza por el anlisis de la evolucin temporal y de las tendencias de cada
unas de las informaciones ofrecidas por la base. Finalmente se habr de
comprobar la coherencia de las evoluciones desde una perspectiva nuevamente
sincrnica.
Los objetivos del anlisis de escenarios son los siguientes: el primero es descubrir
cuales son los puntos de estudios prioritarios (variables claves), vinculando, a
travs de un anlisis explicativo global lo mas exhaustivo posible, las variables que
caracterizan el sistema estudiado; el segundo es determinar, principalmente a
partir de las variables claves, los actores fundamentales, sus estrategias, los
medios de que disponen para realizar sus proyectos; el tercero es describir en
forma de escenarios, la evolucin del sistema estudiado tomando en
consideracin las evoluciones mas probables de las variables claves y a partir de
juegos de hiptesis sobre el comportamiento de actores.

52

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Figura 4: Elaboracin de escenarios

Elaboracin de un escenario
Pasar al perodo siguiente
Descomponer el sistema en
subsistemas

Evolucin independiente de cada


subsistema

Romper el sistema global

Escenario completo

Los objetivos del anlisis de escenarios son los siguientes: el primero es descubrir
cuales son los puntos de estudios prioritarios (variables claves), vinculando, a
travs de un anlisis explicativo global lo mas exhaustivo posible.
MTODO DELPHI
El primer estudio Delphi fue realizado en 1950 por la Rand Corporation para la
fuerza area de EE.UU. y se le dio el nombre de "Proyecto Delphi". El objetivo de
este estudio fue obtener el mayor consenso posible en la opinin de un grupo de
expertos por medio de una serie de cuestionados intensivos, a los cuales se les
intercalaba una retroalimentacin controlada. El propsito de este estudio fue la
aplicacin de la opinin de expertos a la seleccin de un sistema industrial
norteamericano ptimo y la estimacin del nmero de "Bombas A" requeridas para
reducir la produccin de municiones hasta un cierto monto. Es importante recalcar
que los mtodos alternativos de manejar este problema habra involucrado un
proceso prcticamente prohibitivo, en trminos de costo y de tiempo, de
recoleccin y procesamiento de la informacin.
La tcnica Delphi se ha convertido en una herramienta fundamental en el rea de
las proyecciones tecnolgicas, incluso en el rea de la Administracin clsica y
operaciones de investigacin. Existe una creciente necesidad de incorporar
53

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

informacin subjetiva (por ejemplo anlisis de riesgo) directamente en la


evaluacin de los modelos que tratan con problemas complejos que enfrente la
sociedad, tales como, medio ambiente, salud, transporte, comunicaciones,
economa, sociologa, educacin y otros.
Intentar dar una definicin del mtodo Delphi es limitar su alcance y contenido, lo
que interesa es dar una descripcin general del mtodo, de sus caractersticas,
limitaciones, usos y aplicaciones. No obstante se puede afirmar que: "El Mtodo
Delphi es un programa cuidadosamente elaborado, que sigue una secuencia de
interrogaciones individuales a travs de cuestionarios, de los cuales se obtiene la
informacin que constituir la retroalimentacin para los cuestionarios siguientes".
Antes de iniciar un Delphi se realizan una serie de tareas previas, como son: la
delimitacin del contexto y el horizonte temporal en el que se desea realizar la
previsin sobre el tema en estudio; la seleccin del panel de expertos y conseguir
su compromiso de colaboracin; las personas que sean elegidas no slo deben
ser grandes conocedores del tema sobre el que se realiza el estudio, sino que
deben presentar una pluralidad en sus planteamientos; y por ltimo explicar a los
expertos en qu consiste el mtodo.
En la metodologa Delphi se pueden distinguir cuatro fases, a continuacin se
describe cada una de ellas: la primera fase se caracteriza por la exploracin del
tema en discusin donde cada individuo contribuye con la informacin adicional
que considera pertinente; la segunda fase comprende el proceso en el cual el
grupo logra una comprensin del tema, all salen a la luz los acuerdos y
desacuerdos que existen entre los participantes con respecto al tema; la tercera
fase explora los desacuerdos, se extraen las razones de las diferencias y se hace
una evaluacin de ellas; y la cuarta fase es la evaluacin final que ocurre una vez
toda la Informacin previamente reunida ha sido analizada y los resultados
obtenidos se han enviado como retroalimentacin para nuevas consideraciones.
El mtodo Delphi pretende extraer y maximizar las ventajas que presentan los
mtodos basados en grupos de expertos y minimizar sus inconvenientes, para ello
se aprovecha la sinergia del debate en el grupo y se eliminan las interacciones
sociales indeseables que existen dentro de todo grupo. De esta forma se espera
obtener un consenso lo ms fiable posible del grupo de expertos.
Este mtodo presenta tres caractersticas fundamentales: el anonimato, la
iteracin y realimentacin controlada y la respuesta del grupo en forma estadstica,
a continuacin se describen estas caractersticas:
El anonimato, durante un Delphi, ningn experto conoce la identidad de los otros
que componen el grupo de debate. Esto tiene una serie de aspectos positivos
tales como: impide la posibilidad de que un miembro del grupo sea influenciado
por la reputacin de otro de los miembros o por el peso que supone oponerse a la
mayora; permite que un miembro pueda cambiar sus opiniones sin que eso
54

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

suponga una prdida de imagen; el experto puede defender sus argumentos con
la tranquilidad que da saber que en caso de que sean errneos, su equivocacin
no va a ser conocida por los otros expertos.
La Iteracin y realimentacin controlada, la iteracin se consigue al presentar
varias veces el mismo cuestionario. Adems, se van presentando los resultados
obtenidos con los cuestionarios anteriores, se consigue que los expertos vayan
conociendo los distintos puntos de vista y puedan ir modificando su opinin si los
argumentos presentados les parecen ms apropiados que los suyos.
Respuesta del grupo en forma estadstica, la informacin que se presenta a los
expertos no es slo el punto de vista de la mayora, sino que se presentan todas
las opiniones indicando el grado de acuerdo que se ha obtenido.
Como en toda metdologa, para realizar un Delphi aparece una terminologa
especfica con una definicin a cada uno de los conceptos y su aplicacin:
Circulacin: es cada uno de los sucesivos cuestionarios que se presenta al grupo
de expertos.
Cuestionario: el cuestionario es el documento que se enva a los expertos. No es
slo un documento que contiene una lista de preguntas, sino que es el documento
con el que se consigue que los expertos interacten, ya que en l se presentarn
los resultados de anteriores circulaciones.
Panel: es el conjunto de expertos que toma parte en el Delphi.
Moderador: es la persona responsable de recoger las respuestas del panel y
preparar los cuestionarios.
Fases del Delphi
En un Delphi clsico se pueden distinguir cuatro circulaciones o fases:

Primera Circulacin: el primer cuestionario es desestructurado, no existe un


guin prefijado, sino que se pide a los expertos que establezcan cules son los
eventos y tendencias ms importantes que van a suceder en el futuro
referentes al rea en estudio. Cuando los cuestionarios son devueltos, ste
realiza una labor de sntesis y seleccin, obtenindose un conjunto manejable
de eventos, en el que cada uno est definido de la forma ms clara posible.
Este conjunto formar el cuestionario de la segunda circulacin.

Segunda Circulacin: los expertos reciben el cuestionario con los sucesos y


se les pregunta por la fecha de ocurrencia. Una vez contestados, los
cuestionarios son devueltos al moderador, que realiza un anlisis estadstico
de las previsiones de cada evento. El anlisis se centra en el clculo de la
55

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

mediana (ao en que hay un 50% de expertos que piensan que va a suceder
en ese ao o antes), el primer cuartil o cuartil inferior (en el que se produce lo
mismo para el 25% de los expertos) y tercer cuartil o cuartil superior (para el
75%). El moderador confecciona el cuestionario de la tercera circulacin que
comprende la lista de eventos y los estadsticos calculados para cada evento.

Tercera Circualcin: los expertos reciben el tercer cuestionario y se les


solicita que realicen nuevas previsiones. Si se reafirman en su previsin
anterior y sta queda fuera de los mrgenes entre los cuartiles inferior y
superior, deben dar una explicacin del motivo por el que creen que su
previsin es correcta y la del resto del panel no. Estos argumentos se
realimentarn al panel en la siguiente circulacin. Al ser estos comentarios
annimos, los expertos pueden expresarse con total libertad, no estando
sometidos a los problemas que aparecen en las reuniones cara a cara. Cuando
el moderador recibe las respuestas, realiza de nuevo el anlisis estadstico y,
adems, organiza los argumentos dados por los expertos cuyas previsiones se
salen de los mrgenes intercuartiles. El cuestionario de la cuarta circulacin va
a contener el anlisis estadstico y el resumen de los argumentos.

Cuarta Circulacin: Se solicita a los expertos que hagan nuevas previsiones,


teniendo en cuenta las explicaciones dadas por los expertos. Se pide a todos
los expertos que den su opinin en relacin con las discrepancias que han
surgido en el cuestionario. Cuando el moderador recibe los cuestionarios,
realiza un nuevo anlisis y sintetiza los argumentos utilizados por los expertos.

Al finalizar, tericamente slo queda la elaboracin de un informe en el que se


indicaran las fechas calculadas a partir del anlisis de las respuestas de los
expertos y los comentarios realizados por los panelistas. Sin embargo, si no se
hubiese llegado a un consenso, existiendo posturas muy distantes, el moderador
debera confrontar los distintos argumentos para averiguar si se ha cometido algn
error en el proceso.

56

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Figura 5: Elaboracin de informes

GRUPO DE TRABAJO
Definicin de los
sucesos.
Seleccin del Panel de
Expertos.

Conclusiones.

EQUIPO TCNICO

PANEL DE EXPERTOS

Elaboracin del 1er.


Cuestionario.
Envo del 1er.
Cuestionario.

Respuesta al 1er.
Cuestionario.

Anlisis estadstico de
las respuestas del grupo.
Adicin del anlisis
estadstico al 2do.
cuestionario y envo.

Lectura de las
respuestas del grupo y
comparacin con las
propias emitidas en la
1era. Circulacin.
Respuestas del 2do.
cuestionario.

Anlisis estadstico final


de las respuestas del
grupo.
Presentacin de
resultados al grupo de
trabajo.

Los pasos que se deben llevar a cabo para garantizar la calidad de los resultados,
para lanzar y analizar la Delphi son los siguientes:
Fase 1: Formulacin del Problema: en un mtodo de expertos, la importancia de
definir con precisin el campo de investigacin es muy grande, por cuanto que es
preciso estar muy seguros de que los expertos reclutados y consultados poseen
todos la misma nocin de este campo. La elaboracin del cuestionario debe ser
llevada a cabo segn ciertas reglas: las preguntas deben ser precisas,
cuantificables e independientes.
Fase 2: Eleccin de Expertos: con independencia de sus ttulos, su funcin o su
nivel jerrquico, el experto ser elegido por su capacidad de encarar el futuro y
posea conocimientos sobre el tema consultado. La falta de independencia de los
expertos puede constituir un inconveniente; por esta razn los expertos son
aislados y sus opiniones son recogidas por va postal o electrnica y de forma
annima; as pues se obtiene la opinin real de cada experto y no la opinin ms o
menos falseada por un proceso de grupo.
57

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Fase 3: Elaboracin y Lanzamiento de los Cuestionarios: se hace paralela a la


fase 2, los cuestionarios se elaborarn de manera que faciliten cuando sea posible
y de acuerdo a la investigacin, la respuesta por parte de los consultados.
Preferentemente las respuestas habrn de poder ser cuantificadas y ponderadas.
Se formularn cuestiones relativas al grado de ocurrencia (probabilidad) y de
importancia (prioridad), la fecha de realizacin de determinados eventos
relacionadas con el objeto de estudio: necesidades de informacin del entorno,
gestin de la informacin del entorno, evolucin de los sistemas, evolucin en los
costos, transformaciones en tareas, necesidad de formacin, entre otros. En
ocasiones, se recurre a respuestas categorizadas (Si/No; Mucho/Medio/Poco; Muy
de acuerdo/ De acuerdo/ Indiferente/ En desacuerdo/Muy en desacuerdo), y
despus se tratan las respuestas en trminos porcentuales tratando de ubicar a la
mayora de los consultados en una categora.
Fase 4: desarrollo Prctico y explotacin de Resultados: el cuestionario es
enviado a cierto nmero de expertos, se recomienda un nmero no menor de 25.
Naturalmente el cuestionario va acompaado por una nota de presentacin que
precisa las finalidades, el espritu del Delphi, as como las condiciones prcticas
del desarrollo de la encuesta. Adems, en cada cuestin, puede plantearse que el
experto deba evaluar su propio nivel de competencia.
El objetivo de los cuestionarios sucesivos es disminuir la dispersin de las
opiniones y precisar la opinin media consensuada. En el curso de la segunda
consulta, los expertos son informados de los resultados de la primera consulta de
preguntas y deben dar una nueva respuesta y sobre todo deben justificarla en el
caso de que sea fuertemente divergente con respecto al grupo. Si resulta
necesaria, en el curso de la tercera consulta se pide a cada experto comentar los
argumentos de los que disienten de la mayora. Un cuarto turno de preguntas,
permite la respuesta definitiva, que es una opinin consensuada media y
dispersin de opiniones.
Aparentemente el Delphi parece un procedimiento simple, fcilmente aplicable en
el marco de una consulta a expertos. Sin embargo existe el riesgo de que los
fracasos y/o decepciones desanimen a los principiantes. El mtodo viene bien
para las aplicaciones decisionales, pero debe estar adaptada en funcin del
objetivo del estudio para la prospectiva. En particular, no es necesario obtener a
toda costa una opinin consensuada mediana, pero es importante poner en
evidencia varios grupos de respuestas para el anlisis de puntos de convergencia
mltiples.
Delphi es sin duda una tcnica que desde hace unos cuarenta aos ha sido objeto
de mltiples aplicaciones en el mundo entero. A partir del procedimiento original,
se han desarrollado otras aproximaciones. De este modo, la mini-Delphi propone
una aplicacin en tiempo real del mtodo: los expertos se renen en un lugar y
debaten cada cuestin antes de responder. ltimamente, la utilizacin de nuevos
58

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

modos de interaccin entre expertos, como el correo electrnico, tienden a


desarrollarse y a convertir el procedimiento en ms flexible y rpido.
MTODO DE ANLISIS DE VULNERABILIDAD
El anlisis de vulnerabilidad es una placa de rayos equis tomada a los procesos
medulares de una organizacin. Un Anlisis de Vulnerabilidad, tambin conocido
como Anlisis de Impacto al Negocio (Business Impact Analysis), es la
identificacin de los procesos que conforman la Cadena Crtica de Creacin de
Valor de una organizacin y la interdependencia caracterstica entre ellos para
determinar la curva de muerte de negocio como consecuencia de una
interrupcin en la Cadena Critica de Creacin de Valor de la organizacin.
A partir del Anlisis de Vulnerabilidad se establecen las prioridades y orden de
restablecimiento de los procesos que soportan a la organizacin, para asegurar la
pronta recuperacin de las actividades normales de negocio y asegurar la
continuidad de operaciones.
Normalmente, los directivos tienden a subrayar las fortalezas y las oportunidades
que ofrecen las estrategias y planes de la organizacin al mismo tiempo que
tienden a minimizar sus debilidades. Este anlisis, trata precisamente de hacer
aflorar estas debilidades. En esta herramienta se obliga los directivos a
desempear el rol de Abogado del Diablo, es decir, a mantener una posicin
crtica, contraria a las estrategias de la organizacin.
El Anlisis de vulnerabilidad consta de seis etapas:
Etapa 1: identificar aquellos elementos que si desaparecieran pondran en serio
peligro a la organizacin a los que podemos denominar pilares. Suele hacerse
mediante tormentas de ideas con grupos de altos directivos.
Etapa 2: expresar estos pilares en forma de amenazas competitivas.
Etapa 3: plantear las posibles consecuencias o riesgos derivados de la
materializacin de dichas amenazas.
Etapa 4: en el peor de los casos, imaginar y estimar el impacto potencial de cada
amenaza sobre la organizacin.
Etapa 5: estimar la probabilidad de que se materialice cada amenaza.
Etapa 6: identificar las posibles reacciones o contingencias ante la materializacin
de cada amenaza.

59

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

En funcin de la gravedad del impacto de cada amenaza sobre la organizacin y


de la capacidad de reaccin de estante las mismas pueden diferenciarse cuatro
posiciones de la empresa en relacin con sus debilidades.
Tabla 6. Impacto y Reacciones
Capacidad de reaccin
Baja
Alta
Impacto de la debilidad
Alta

I
Indefensa

II
Peligrosa

Baja

III
Vulnerable

IV
Preparada

Cuadrante I: la empresa se encuentra indefensa para aquellas debilidades que se


sitan en el primer cuadrante, por lo que debe abandonar la estrategia o el plan
correspondiente; y si esto no fuese posible, debe intentar aumentar sus
capacidades de reaccin.
Cuadrante II: en el segundo cuadrante la amenaza es muy peligrosa aunque
tericamente la empresa tiene capacidad de reaccin. En este caso, la compaa
debe trabajar en el desarrollo de planes de contingencia asegurndose de no bajar
la guardia.
Cuadrante III: se tratan de amenazas poco importantes en las que la empresa
tiene poco que hacer. En este caso basta con trabajar en evitar que determinados
cambios incrementen su posible impacto y en reforzar sus fortalezas.
Cuadrante IV: la empresa est preparada para afrontar este tipo de amenazas.

60

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 1: RIESGOS INFORMTICOS


CAPITULO 3: RIESGOS INFORMTICOS
Introduccin
El avance informtico actual es muy alto comparado con lo se tena en los aos
90, al hablar de desarrollo de software se hace ms notable, en el hecho por
ejemplo de pasar de una programacin de cdigo lnea a lnea, a un mtodo de
programacin grfico orientado a objetos donde el desarrollo es mas rpido y
atractivo para el cliente.
Ms sin embargo con estas ventajas que se tiene con las nuevas herramientas de
desarrollo de software se olvida la calidad del producto que es entregado, no es
solamente una calidad grfica, o la calidad de velocidad en la respuesta, hay que
tener en cuenta otras cualidades, para buscar una integralidad al afirmar que el
software es de calidad.
Los desarrolladores del software, opinan que sus productos son los mejores del
mercado, pero no se han preguntado que opina el cliente. El tener un documento
que explique los requerimientos para evaluar el software ayuda al desarrollo,
compra o auditora de cualquier aplicacin informtica del mercado, teniendo en
cuenta que hoy en da es muy importante para las empresas privadas o pblicas la
inversin en este tipo de producto, los cuales verifican la calidad a la hora de
entrar a produccin, donde se detectan las falencias, reportando all prdidas.
Este captulo presenta indicadores de calidad de un software; al momento de la
entrega, basados en los estndares de calidad sugeridos la norma ISO/IEC 9126;
de la ISO (Organizacin Internacional de Normalizacin) y la IEC (Comisin
Electrotcnica Internacional).

61

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 11: Riesgos Informticos


A continuacin se mencionan los riesgos ms importantes relacionados con el uso
de la tecnologa, en el manejo de los procesos productivos y la informacin, dentro
de las organizaciones. Los principales riesgos informticos identificados son los
siguientes:
Riesgos de Integridad: aqu estn todos los riesgos asociados con la
autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las
aplicaciones informticas utilizadas en una organizacin. Estos riesgos aplican en
cada aspecto de un sistema de soporte de procesamiento de negocio y se dan en
mltiples lugares y momentos, en todas las partes de las aplicaciones; no obstante
estos riesgos se manifiestan en los siguientes componentes de un sistema:
Interface del usuario, que estn relacionados con las restricciones,
sobre las individualidades de una organizacin y su autorizacin de
ejecutar funciones negocio/sistema;
teniendo en cuenta sus
necesidades de trabajo y una razonable segregacin de funciones.
Otros riesgos en esta rea se relacionan a controles que aseguren la
validez y completitud de la informacin introducida dentro de un sistema.
Procesamiento, se relacionan con el adecuado balance de los controles
detectivos y preventivos que aseguran que el procesamiento de la
informacin ha sido completado. Tambin se encuentran los riesgos
asociados con la exactitud e integridad de los reportes usados para
resumir resultados y tomar decisiones de la organizacin.
Procesamiento de errores, dentro de ellos estn los relacionados con
los mtodos que aseguren que cualquier entrada/proceso de informacin
de errores (Exceptions) sean capturados adecuadamente, corregidos y
reprocesados con exactitud completamente.
Interface, estos riesgos generalmente se relacionan con controles
preventivos y detectivos que aseguran que la informacin ha sido
procesada y transmitida adecuadamente por las aplicaciones.
Administracin de cambios, generalmente estos se consideran como
parte de la infraestructura de riesgos y el impacto de los cambios en las
aplicaciones. Estos riesgos estn asociados con la administracin
inadecuada de procesos de cambios organizaciones que incluyen:
compromisos y entrenamiento de los usuarios a los cambios de los
procesos, y la forma de comunicarlos e implementarlos.
Informacin, estos riesgos se consideran como parte de la
infraestructura de las aplicaciones. Estos riesgos estn asociados con la
administracin inadecuada de controles, incluyendo la integridad de la
62

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

seguridad de la informacin procesada y la administracin efectiva de los


sistemas de bases de datos y de estructuras de datos. La integridad
puede perderse por: errores de programacin (buena informacin es
procesada por programas mal construdos), procesamiento de errores
(transacciones incorrectamente procesadas) administracin y
procesamiento de errores (Administracin pobre del mantenimiento de
sistemas).
Riesgos de relacin: estos riesgos se refieren al uso oportuno de la
informacin creada por una aplicacin y estn relacionados directamente con la
informacin de toma de decisiones (Informacin y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones
correctas).
Riesgos de acceso: este tipo de riesgos se enfocan en el inapropiado acceso
a sistemas, datos e informacin. Dentro de estos riesgos se encuentran los riesgos
de segregacin inapropiada de funciones en el trabajo, los riesgos asociados con
la integridad de la informacin de sistemas de bases de datos y los riesgos
asociados a la confidencialidad de la informacin. A continuacin se mencionan
algunos riesgos de este tipo que pueden ocurrir en los niveles de la estructura de
la seguridad de la informacin:
Procesos de negocio, donde las decisiones organizacionales deben
separar trabajo incompatible de la organizacin y proveer el nivel
correcto de ejecucin de funciones.
Aplicacin, la aplicacin interna de mecanismos de seguridad que
provee a los usuarios las funciones necesarias para ejecutar su trabajo.
Administracin de la informacin, el mecanismo provee a los usuarios
acceso a la informacin especfica del entorno.
Entorno de procesamiento, estos riesgos se relacionan con el acceso
inapropiado al entorno de programas e informacin.
Redes, se refiere a riesgos de acceso inapropiado al entorno de red y su
procesamiento.
Nivel fsico, proteccin fsica de dispositivos y un apropiado acceso a
ellos.
Riesgos de utilidad: este tipo de riesgos estn enfocados en tres diferentes
niveles de riesgo: los riesgos que pueden ser enfrentados por el direccionamiento
de sistemas antes de que los problemas ocurran; las tcnicas de
recuperacin/restauracin usadas para minimizar la ruptura de los sistemas; y los
63

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

backups y planes de contingencia que controlan desastres en el procesamiento de


la informacin.
Riesgos en la infraestructura:
generalmente este tipo de riesgos estn
relacionados con la no existencia de una estructura de informacin tecnolgica
efectiva (hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades presentes y futuras de la organizacin con un
costo eficiente. Estos riesgos estn asociados con los procesos de la informacin
tecnolgica
que definen, desarrollan, mantienen y operan un entorno de
procesamiento de informacin y las aplicaciones asociadas (servicio al cliente,
contabilidad, cartera, facturacin, etc.). Los riesgos en la infraestructura se
consideran en el contexto de los siguientes procesos informticos:
Planeacin organizacional, donde los procesos aseguran la definicin del
impacto, definicin y verificacin de la tecnologa informtica en la
organizacin. Adems, de verificar si existe una adecuada organizacin
(gente y procesos) asegurando que los esfuerzos de la tecnologa
informtica ser exitosa.
Definicin de las aplicaciones, estos procesos aseguran que las
aplicaciones satisfagan las necesidades del usuario y soporten el contexto
de los procesos de la organizacin, por ejemplo: la determinacin de
comprar una aplicacin ya existente desarrollar soluciones a la medida del
cliente. Estos procesos tambin aseguran que cualquier cambio a las
aplicaciones sigue un proceso definido que confirma que los puntos crticos
de proceso/control son consistentes.
Administracin de seguridad, los procesos en esta rea aseguran que la
organizacin est adecuadamente direccionada a establecer, mantener y
monitorizar un sistema interno de seguridad, que tenga polticas de
administracin con respecto a la integridad y confidencialidad de la
informacin de la organizacin, y a la reduccin de fraudes a niveles
aceptables.
Operaciones de red y operaciones computacionales, estos procesos
aseguran que los sistemas de informacin y entornos de red estn operados
en un esquema seguro y protegido, y que las responsabilidades de
procesamiento de informacin son ejecutados por personal operativo
definido, medido y monitoreado. Tambin aseguran que los sistemas son
consistentes y estn disponibles a los usuarios a un nivel de ejecucin
satisfactorio.
Administracin de sistemas de bases de datos, estos procesos estn
diseados para asegurar que las bases de datos usados para soportar
aplicaciones crticas y reportes tengan consistencia de definicin,
correspondan con los requerimientos y reduzcan el potencial de
64

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

redundancia.
Informacin / Negocio, estos procesos estn diseados para asegurar que
existe un plan adecuado que asegure que la tecnologa informtica estar
disponible a los usuarios cuando ellos la necesitan.
Riesgos de seguridad general: los estndar 7IEC 950 proporcionan los
requisitos de diseo para lograr una seguridad general disminuyendo este
tipo de riesgos asociados a la seguridad general, algunos de estos riesgos
son:
Riesgos de choque de elctrico, relacionados con el manejo de niveles
altos de voltaje.
Riesgos de incendio, causados por la Inflamabilidad de materiales.
Riesgos de niveles inadecuados de energa elctrica, relacionados con
altas y bajas de voltajes o intencidad.
Riesgos de radiaciones, tales como ondas de ruido, de lser y
ultrasnicas.
Riesgos mecnicos, en el caso de inestabilidad de las piezas elctricas.

Leccin 12: Delitos Informticos


Delito informtico son todas aquellas conductas ilcitas susceptibles de ser
sancionadas por el derecho penal, que hacen uso indebido de cualquier medio
Informtico.
El Delito Informtico implica actividades criminales que en un primer momento se
han querido enmarcar dentro de las conductas criminales tpicas como robo, hurto,
fraudes, falsificaciones, estafa, sabotaje, entre otros, sin embargo, se debe aclarar
que el uso indebido de los computadores es lo que ha propiciado la necesidad de
regulacin por parte del derecho.
En general se puede decir que la seguridad completa no existe, pues todo sistema
tiene por lo menos un mnimo de vulnerabilidad que puede permitir nuevos
incidentes de seguridad dentro de las organizaciones ya que estas no se han
preparado adecuadamente para enfrentar la realidad de una intrusin o incidente.

Estndar de la Comisin Electrnica Internacional (IEC)- en ingls, l cual es utilizado para tecnologa
informtica y equipos elctricos.

65

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Un incidente representa un reto para demostrar la diligencia de la organizacin


para enfrentar el hecho, tomar el control, recoger y analizar la evidencia, y
finalmente generar el reporte sobre lo ocurrido, que incluye las recomendaciones
de seguridad y conceptos sobre los hechos del incidente.
El ciberterrorismo es la accin violenta que
ms personas en Internet o a travs del
comunicaciones. Estos grupos preparan sus
encriptados a travs del correo electrnico,
organismos de seguridad de los Estados.

infunde terror realizada por una o


uso indebido de tecnologas de
acciones por medio de mensajes
impidiendo la penetracin de los

A esto hay que sumar los sitios web donde estos grupos terroristas dan a conocer
su historia, postulados, objetivos. Algunos de estos grupos son: KKK en Estados
Unidos, ETA en Espaa, grupos neonazis de Blgica y Holanda y Verdad
Suprema en Japn.
En la red de Internet se han gestado 3 formas de ciberterrorismo: la primera, los
escenarios abiertos a millones de potenciales usuarios, desde el cual se practica
la publicidad y propaganda. La segunda, el ejercicio de la violencia, donde la
informacin se convierte en objetivo deseado ya que permanecen vulnerables
para este tipo de atentados y, la tercera la coordinacin de la operacin y logstica
de ataques terroristas.
Dentro de los objetivos ms comunes de los ciber ataques estn: las redes de
Gobierno y FFAA, los Servidores de nodos de comunicacin, los Servidores DNS
locales, las Centrales telefnicas digitales, las Estaciones de radio y televisin, los
Centros satelitales, las Represas, centrales elctricas, centrales nucleares.
Dentro de los tipos ms comunes de ataques estn: la Siembra de virus y
gusanos, DNS (Cambio en las direcciones de dominio), las Intrusiones no
autorizadas, DDoS (Distributed Denial of Service), la Saturacin de correos, el
Bloqueo de servicios pblicos, el Blind radars (bloquear trfico areo), la
Interferencia electrnica de comunicaciones.

Leccin 13: Tipos de Delitos Informticos


Existen diversas clasificaciones aplicadas a los delitos informticos, pero de ellas
se har el estudio de los delitos informticos, de acuerdo a la clasificacin de Julio
Tllez Valds, l clasifica a los delitos informticos en base a dos criterios: como
instrumento o medio, o como fin u objetivo.
Como instrumento o medio: en esta categora se encuentran las conductas
criminales que se valen de los equipos de cmputo o computadores como mtodo,
medio o smbolo para cometer el ilcito, ejemplos de este tipo de delito son: la
Falsificacin de documentos va computador (tarjetas de crdito, cheques); la
66

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Variacin de los activos y pasivos en la situacin contable de las organizaciones;


la Lectura, sustraccin o copiado de informacin confidencial; la Modificacin de
datos tanto en la entrada o en la salida; el Aprovechamiento indebido o violacin
de un cdigo para penetrar a un sistema introduciendo instrucciones inapropiadas;
la Variacin en cuanto al destino de pequeas cantidades de dinero hacia una
cuenta bancaria ficticia; la Alteracin en el funcionamiento de los sistemas, a
travs de los virus informticos; la Obtencin de informacin residual impresa en
papel luego de la ejecucin de trabajos; el Acceso a reas informatizadas en
forma no autorizada o la Intervencin en las lneas de comunicacin de datos o
teleproceso, estos son algunos de los delitos ms comunes que se han reportado.
Como fin u objetivo: en esta categora, se enmarcan las conductas criminales
que van dirigidas contra los equipos de cmputo, computadores personales,
accesorios o programas como entidad fsica, algunos de ellos son: la
Programacin de instrucciones que producen un bloqueo total al sistema; la
Destruccin de programas por cualquier mtodo; el Dao a la memoria; el
Atentado fsico contra la mquina o sus accesorios; el Sabotaje poltico o
terrorismo en que se destruya o surja la desaparicin de equipos servidores de los
Centros de Procesamiento de Datos; el Secuestro de soportes magnticos entre
los que figure informacin valiosa con fines de chantaje; entre otros, estos son los
ms comunes.
Por otra parte, existen diversos tipos de delito informtico que pueden ser
cometidos y que se encuentran ligados directamente a acciones efectuadas contra
los sistemas, entre ellos se pueden mencionar los siguientes:
El acceso no autorizado, tal como el uso ilegitimo de passwords y la entrada
de un sistema informtico sin la autorizacin del propietario.
La destruccin de Datos, como los daos causados en la red mediante la
introduccin de virus, bombas lgicas, etc.
Copias no Autorizadas de la Base de Datos, como el Uso no autorizado de
informacin almacenada en una base de datos.
Interceptacin de correos Electrnicos, como la lectura de mensajes de
correos ajenos.
Las Estafas Electrnicas, realizadas por compras a travs de la red
Adems internet permite otro tipo de delitos tales como:
El espionaje, mediante el ingreso no autorizado a sistemas informticos
gubernamentales y de grandes empresas e interceptacin de correos
electrnicos.
El terrorimo Informtico, mediante envo de mensajes annimos
aprovechados por grupos terroristas para remitirse consignas y planes de
actuacin a nivel internacional.

67

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

El Narcotrfico, a travs de la transmisin de frmulas para la fabricacin


de estupefacientes, para el blanqueo de dinero y para la coordinacin de
entregas y recogidas.
Otros delitos como el trfico de armas proselitismo de sectas, propaganda
de grupos extremistas, y cualquier otro delito que pueda ser trasladado de
la vida real al ciberespacio o al revs.

Tipos de delitos informticos reconocidos por Naciones Unidas


El manual de la Naciones Unidas para la Prevencin y Control de Delitos
Informticos seala que cuando el problema se eleva a la escena internacional, se
magnifican los inconvenientes y las insuficiencias, por cuanto los delitos
informticos constituyen una nueva forma de crimen transnacional y su combate
requiere de una eficaz cooperacin internacional concertada.
Entre los tipos de delitos ms comunes reportados por las Naciones Unidas y que
estn afectando a las organizaciones gubernamentales, empresariales y usuarios
de los computadores estn las siguientes:
Fraudes cometidos mediante manipulacin de computadoras:
Manipulacin de los datos de entrada, tambin conocido como sustraccin de
datos, representa el delito informtico ms comn ya que es fcil de cometer y
difcil de descubrir. Este delito no requiere de conocimientos tcnicos de
informtica y puede realizarlo cualquier persona que tenga acceso a las funciones
normales de procesamiento de datos en la fase de adquisicin de los mismos.
La manipulacin de programas, para ello se requiere un nivel medio o alto de
conocimientos tcnicos en informtica, a menudo pasa inadvertida y es muy difcil
de descubrir. Este delito consiste en modificar los programas existentes en el
sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un
mtodo comn utilizado por las personas que tiene conocimientos especializados
en programacin informtica es el denominado Caballo de Troya, que consiste en
insertar instrucciones de computadora de forma encubierta en un programa
informtico para que pueda realizar una funcin no autorizada al mismo tiempo
que su funcin normal.
Manipulacin de los datos de salida, ejemplos de este delito son los fraudes de
que se hace objeto a los cajeros automticos mediante la falsificacin de
instrucciones en la fase de adquisicin de datos. Tradicionalmente esos fraudes se
hacan a base de tarjetas bancarias robadas, sin embargo, en la actualidad se
usan ampliamente el equipo y programas especializados para codificar
informacin electrnica falsificada en las bandas magnticas de las tarjetas
bancarias y de las tarjetas de crdito.
68

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Falsificaciones informticas:
Como objeto, cuando se alteran datos de los documentos almacenados en forma
computarizada.
Como instrumentos, cuando los computadores se utilizan para efectuar
falsificaciones de documentos de uso comercial. Cuando empez a disponerse de
fotocopiadoras computarizadas en color a base de rayos lser, surgi una nueva
generacin de falsificaciones o alteraciones fraudulentas ya que stas pueden
hacer copias de alta resolucin, pueden modificar documentos e incluso pueden
crear documentos falsos sin tener que recurrir a un original, y los documentos que
producen son de tal calidad que slo un experto puede diferenciarlos de los
documentos autnticos.
Daos o modificaciones de programas o datos computarizados:
Sabotaje Informtico, que es el acto de borrar, suprimir o modificar sin
autorizacin funciones o datos de computadora con intencin de obstaculizar el
funcionamiento normal del sistema. Algunas de las tcnicas que permiten cometer
estos ilcitos son:
Los Virus que son una serie de pequeos programas o rutinas que pueden
adherirse a los programas legtimos y propagarse a otros programas del sistema
informtico.
Los Gusanos que son fabricados de manera anloga al virus con miras a
infiltrarlo en programas legtimos para modificar o destruir los datos, pero es
diferente del virus porque no puede regenerarse. Las consecuencias del ataque de
un gusano pueden ser tan graves como las del ataque de un virus.
La Bomba lgica o cronolgica que exige conocimientos especializados ya que
requiere la programacin de la destruccin o modificacin de datos en un
momento dado del futuro, son difciles de detectar antes de que exploten y es por
eso que son las que poseen el mximo potencial de dao, su detonacin puede
programarse para que cause el mximo de dao y para que tenga lugar mucho
tiempo despus de que se haya marchado el delincuente.
El Acceso no autorizado a servicios y sistemas informticos que es uno de
los delitos frecuentes que se da por motivos diversos tales como la simple
curiosidad, como en el caso de muchos piratas informticos (hackers) hasta el
sabotaje o espionaje informtico.
Piratas informticos o hackers donde el acceso se efecta desde un lugar
externo a la organizacin, situado en la red de telecomunicaciones, recurriendo a
uno de los diversos medios tales como el aprovechamiento de la falta de rigor en
69

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

las medidas de seguridad para obtener acceso o puede descubrir deficiencias en


las medidas vigentes de seguridad o en los procedimientos del sistema.
En lo que se refiere a delitos informticos, Olivier HANCE en su libro "Leyes y
Negocios en Internet", considera tres categoras de comportamiento que pueden
afectar negativamente a los usuarios de los sistemas informticos. Las mismas
son las siguientes:
Acceso no autorizado: se refiere a un usuario que, sin autorizacin, se conecta
deliberadamente a una red, un servidor o un archivo (por ejemplo, una casilla de
correo electrnico), o hace la conexin por accidente pero decide voluntariamente
mantenerse conectado.
Actos dainos o circulacin de material daino: una vez que se conecta a un
servidor, el infractor puede robar archivos, copiarlos o hacer circular informacin
negativa, como virus o gusanos. Tal comportamiento casi siempre se es
clasificado como piratera (apropiacin, descarga y uso de la informacin sin
conocimiento del propietario) o como sabotaje (alteracin, modificacin o
destruccin de datos o de software, uno de cuyos efectos es paralizar la actividad
del sistema o del servidor en Internet).
Interceptacin no autorizada: en este caso, el hacker detecta pulsos
electrnicos transmitidos por una red o una computadora y obtiene informacin no
dirigida a l. Las leyes estadounidense y canadiense, lo mismo que los sistemas
legales de la mayora de los pases europeos, han tipificado y penalizado estos
tres tipos de comportamiento ilcito cometidos a travs de las computadoras.

Leccin 14: Actores del Delito Informtico


Las personas que ejecutan delitos informticos generalmente como sujetos
activos tienen habilidades para el manejo de tienen habilidades para el manejo de
los sistemas informticos y generalmente se encuentran en lugares estratgicos
donde se maneja informacin de carcter sensible, o bien han adquirido
habilidades para el uso de tales sistemas y aunque no desarrollen actividades
laborales manejando informacin, tienen la capacidad de cometer delitos haciendo
uso de internet.
Los autores de los delitos informticos son muy diversos y lo que los diferencia es
la naturaleza de los delitos cometidos. Es as como algunos de ellos ingresan en
un sistema informtico sin intenciones delictivas y otros en cambio pueden entrar
al sistema con intencionalidad de sustraer informacin importante o desviar fondos
de cuentas, o hacer la clonacin de tarjetas de crdito, entre otros. En el estudio
de los delitos informticos publicado en el Manual de las Naciones Unidas en la
prevencin y control de delitos informticos (Nros. 43 y 44), el 90% de los delitos
fueron ejecutados por empleados de la propia empresa afectada.
70

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

El nivel tpico de aptitudes del delincuente informtico es tema de controversia, ya


que para algunos el nivel de aptitudes no es indicador de delincuencia informtica,
en tanto que otros aducen que los posibles delincuentes informticos son
personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnolgico,
caractersticas que pudieran encontrarse en un empleado del sector de
procesamiento de datos.
Segn el criminlogo norteamericano Edwin Sutherland estos delitos son
catalogados como delitos de cuello blanco, dentro de los cuales se destacan las
violaciones a las leyes de patentes y fbrica de derechos de autor, el mercado
negro, el contrabando en las empresas, la evasin de impuestos, las quiebras
fraudulentas, corrupcin de altos funcionarios, entre otros. Asimismo, este
criminlogo estadounidense dice que la definicin de los delitos informticos no es
de acuerdo al inters protegido, como sucede en los delitos convencionales sino
de acuerdo al sujeto activo que los comete.
El perfil criminolgico de los actores activos de los delitos informticos son los de
autnticos genios de la informtica, entran sin permiso en computadores,
servidores y redes ajenas, husmean, rastrean y a veces, dejan sus peculiares
tarjetas de visita. Dentro de ellos encontramos diversidad de actores, los ms
reconocidos son los Hackers posmodernos corsarios de la red, son la ltima
avanzada de la delincuencia informtica de este final de siglo.
Los hackers se parecen a una pandilla que se divierte haciendo travesuras en la
red, un ejemplo es el hecho de vulnerar las encriptadas claves de acceso de los
servidores mas seguros del mundo, entrar en las redes de informacin de
Gobiernos y organismos oficiales, y simplemente, echar un vistazo y salir dejando
una pequea tarjeta de visita, parece suficiente para estos corsarios
posmodernos, que no roban, no matan, no destrozan, simplemente observan.
Ellos han creado una subcultura informtica con un lenguaje de trminos tcnicos
donde tienen valores compartidos, sus propios mitos, hroes, diversiones, tabes,
sueos, hbitos, etc. Esta Subcultura nacida hace 40 aos esta compuesta por
personas particularmente creadoras, y como en toda Subcultura el vocabulario
particular del Hacker ha contribuido al sostenimiento de su cultura, adems de ser
utilizado por un lado como una herramienta de comunicacin, y por otro de
inclusin y de exclusin.
Esta subcultura denominada hackerdown se define como un nuevo tipo de
subcultura con un factor criminolgico latente. En esta Subcultura esta sujeta a un
sistema de valores, normas y conductas compartidas que constituyen su propia
cultura; claro est que la subcultura no coincide con los valores y normas
centrales u oficiales y constituye una suerte de sociedad de recambio.

71

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Segn Cohen afirma que la delincuencia subcultural aparece como una dinmica
disocial, donde el grupo tiene su sistema de valores, sus propias normas sus
formas de Status, sus reglas de prestigio. Se dira que los miembros de grupo
tienen sus propios impulsos, sus modelos y refuerzos, modo de satisfacerlos y
gozan de la aprobacin del grupo, ello refuerza su conducta.
Dentro de estas subculturas existen sujetos y denominaciones diferentes de
acurso al nivel y caractersticas de los delitos informticos que suelen cometer,
todos ellos son los sujetos activos dentro del delito. Algunos de los ms
reconocidos de acuerdo a los delitos son los siguientes:
Los Hacker, son personas interesadas en el funcionamiento de los sistemas
operativos, les gusta husmear por todas partes, para llegar a conocer el
funcionamiento de un sistema informtico mejor que quienes lo inventaron, su
nombre en ingles hace referencia al delicuente silencioso o tecnolgico. Los
hackers tienen la capacidad de crear sus propios programas de software para
entrar a los sistemas, toma su actividad como un reto intelectual, pero no
pretende hacer daos e incluso se apoya en un cdigo tico.
Los hackers se caracterizan por ser verdaderos expertos en el uso de
computadores y por lo general rechazan hacer un uso delictivo de sus
conocimientos, aunque no tienen reparo en intentar acceder a cualquier mquina
conectada a la red, o incluso penetrar a una Intranet privada, siempre con el
declarado fin de investigar las defensas de estos sistemas, sus lados dbiles;
cabe anotarse el mrito de haber logrado burlar a sus administradores. En la
mayora de casos ellos dan a conocer a sus vctimas los huecos de seguridad
encontrados e incluso sugieren cmo corregirlos, otros llegan a publicar sus
hallazgos en revistas o pginas Web de poder hacerlo.
Los Cracker: Son personas que se introducen en sistemas remotos con la
intencin de destruir datos, denegar el servicio a usuarios legtimos, y en general a
causar problemas. Se clasifican en dos tipos: el que penetra en un sistema
informtico y roba informacin o se produce destrozos en el mismo o el que se
dedica a desproteger todo tipo de programas, tanto de versiones shareware para
hacerlas plenamente operativas como de programas completos comerciales que
presentan protecciones anti-copia. El Cracker es aquel Hacker fascinado por su
capacidad de romper sistemas y Software y que se dedica nica y exclusivamente
a Crackear sistemas.
Crack es sinnimo de rotura y por lo tanto cubre buena parte de la programacin
de Software y Hardware. As es fcil comprender que un Cracker debe conocer
perfectamente las dos caras de la tecnologa, esto es la parte de programacin y
la parte fsica de la electrnica. Como su nombre indica se dedican a romper, por
supuesto las protecciones y otros elementos de seguridad de los programas
comerciales, en su mayora con el fin confeso de sacar provecho de los mismos
del mercado negro. Estos crean cdigos para utilizarlos en la copia de archivos.
72

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Sus acciones pueden ir desde la destruccin de informacin ya sea a travs de


virus u otros medios, hasta el robo de datos y venta de ellos. Ejemplo de su actuar
ilegal son los millones de CDs con software pirata que circulan por el mundo
entero y de hecho, muchas personas no llegan a sospechar que parte del software
que tienen en sus equipos, incluso con certificados de garanta de procedencia, es
craqueado.
Las herramientas de este espcimen suelen ser potentes editores hexadecimales
y debuger's mediante los cuales desagregan los programas, hasta llegar a las
protecciones que son generalmente utilidades de tiempo que se representan en el
reloj interno de la mquina o en el sistema operativo para desencadenar una
cuenta regresiva que descontar los das posibles a usar el software hasta que el
mismo caduque y el usuario este obligado a pagarlo o renunciar a l.
Los Phreaker: es un especialista en telefona o Cracker de telfono. Un Phreaker
posee conocimientos profundos de los sistemas de telefona, tanto terrestres como
mviles. En la actualidad tambin poseen conocimientos de tarjetas prepago, ya
que la telefona celular las emplea habitualmente. Sin embargo es, en estos
ltimos tiempos, cuando un buen Phreaker debe tener amplios conocimientos
sobre informtica, ya que la telefona celular o el control de centralitas es la parte
primordial a tener en cuenta y/o emplean la informtica para su procesado de
datos.
Estos buscan burlar la proteccin de las redes pblicas y corporativas de telefona
soportadas y administradas desde sistemas computacionales, con el declarado fin
de poner a prueba conocimientos y habilidades, para obviar la obligatoriedad del
pago por servicio, e incluso lucrar con las reproducciones fraudulentas de tarjetas
de prepago para llamadas telefnicas, cuyos cdigos obtienen al lograr el acceso
mediante tcnicas de Hacking a sus servidores. Dentro de las actuales
manifestaciones de los phreaking se distinguen:
Shoulder-surfing, esta conducta se realiza por el agente mediante la observacin
del cdigo secreto de acceso telefnico de potencial vctima, en el momento en
que ella lo utiliza, posteriormente, aprovechar esa informacin para beneficiarse
con el uso del servicio telefnico ajeno.
Call-sell operations, el accionar del sujeto activo consiste en presentar un cdigo
identificador de usuario que no le pertenece y carga el costo de la llamada a la
cuenta de la vctima.
Diverting, consiste en la penetracin ilcita a centrales telefnicas privadas,
utilizando stas para la realizacin de llamadas de larga distancia que se cargan
posteriormente al dueo de la central a la que se ingres clandestinamente.
Acceso no autorizado a sistemas de correos de voz, el agente ataca por esta
va las mquinas destinadas a realizar el almacenamiento de mensajes telefnicos
73

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

destinados al conocimiento exclusivo de los usuarios suscriptores del servicio. A


travs de esta conducta se persegue diversos objetivos como utilizar los cdigos
de transferencia de mensajera automtica manejados por el sistema o lograr el
conocimiento ilcito de la informacin recibida y grabada por el sistema.
Monitoreo pasivo, por medio de esta conducta el agente intercepta ondas
radiales para tener acceso a informacin transmitida por las frecuencias utilizadas
por los telfonos inalmbricos y los celulares.
Lammers: los lammers aprovechan el conocimiento adquirido y publicado por
expertos, generalmente si sitio web que intentan vulnerar los detiene, su
capacidad no les permite continuar ms all.
Los Gurs: son los maestros y ensean a los futuros Hackers, normalmente se
trata se personas que tienen amplia experiencia sobre los sistemas informticos o
electrnicos y estn all para ensear o sacar de cualquier duda al joven iniciativo
al tema. Es como una especie de profesor que tiene a sus espaldas unas cuantas
medallitas que lo identifican como el mejor de su serie. El guru no esta activo, pero
absorbe conocimientos ya que sigue practicando, pero para conocimientos propios
y solo ensea las tcnicas ms bsicas.
Los Bucaneros: los bucaneros venden los productos crackeados como tarjetas
de control de acceso de canales de pago. Los bucaneros no existen en la Red,
solo se dedican a explotar este tipo de tarjetas para canales de pago que los
Hardware Crackers, crean. Suelen ser personas sin ningn tipo de conocimientos
ni de electrnica ni de informtica, pero si de negocios. El bucanero compra al
CopyHacker y revende el producto bajo un nombre comercial.
Los Newbie: es alguien que empieza a partir de una WEB basada en Hacking. A
veces se introduce en un sistema fcil y a veces fracasa en el intento, porque ya
no se acuerda de ciertos parmetros y entonces tiene que volver a visitar la pgina
WEB para seguir las instrucciones de nuevo.
Trashing: consiste en la obtencin de informacin secreta o privada que se logra
por la revisin no autorizada de la basura descartada por una persona, una
empresa u otra entidad, con el fin de utilizarla por medios informticos en
actividades delictivas.
Estas actividades pueden tener como objetivo la realizacin de espionaje, coercin
o simplemente el lucro mediante el uso ilegtimo de cdigos de ingreso a sistemas
informticos que se hayan obtenido en el anlisis de la basura recolectada. Esta
minuciosa distincin de sujetos segn su actuar no son tiles para tipificar el delito
pues son sujetos indeterminados, no requieren condicin especial; mas vale
realizar dicha diferenciacin para ubicarnos en el marco en que se desenvuelven y
las caractersticas de su actuar, favoreciendo con ello el procedimiento penal que
se deber llevar a cabo luego de producirse el delito.
74

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

El sujeto pasivo seguir siendo la vctima del delito, el propietario legtimo del bien
jurdico protegido, sobre quien recae la conducta de accin u omisin que realiza
el sujeto activo. En el caso de estos delitos los sujetos pueden ser persona natural
o jurdica que usan sistemas automatizados de informacin, generalmente
conectados a otros. Mediante el sujeto pasivo se puede conocer los diferentes
ilcitos que cometen los delincuentes informticos, aunque estos generalmente no
son descubiertos o no son denunciados a las autoridades responsables, ya que en
muchos casos la falta de preparacin por parte de las autoridades para
comprender, investigar y aplicar el tratamiento jurdico adecuado a esta
problemtica.

Leccin 15: Ataques Informticos


Un ataque informtico consiste en el aprovechamiento de alguna debilidad o falla
(vulnerabilidad) en el sistema software, en el hardware, las redes y
comunicaciones, y en las personas que forman para de una organizacin
empresarial en un ambiente informtico, con el fin de obtener un beneficio de tipo
econmico que causa un efecto negativo en la seguridad del sistema y repercute
en los activos de la empresa.
Para minimizar el impacto negativo provocado por los ataques, existen
procedimientos y mejores prcticas que facilitan la lucha contra las actividades
delictivas y reducen notablemente el campo de accin de los ataques.
Uno de los pasos ms importantes en seguridad, es la educacin. Comprende
cules son las debilidades ms comunes que pueden ser aprovechadas y cuales
son los riesgos asociados, permitir conocer de que manera se ataca un sistema
informtico, ayudando a identificar las debilidades y riesgos para luego desplegar
de manera inteligente estrategias de seguridad efectivas.
Las etapasa que conforman un ataque informtico brinda la ventaja de aprender a
pensar como los atacantes y a jams subestimar su mentalidad. Desde la
perspectiva del profesional de seguridad, se debe aprovechar esas habilidades
para comprender y analizar la forma en que los atacantes llevan a cabo su ataque.
Las cinco etapas por las cuales suele pasar un ataque informtico el momento de
ser ejecutado:
Fase 1: Reconocimiento, esta etapa involucra la obtencin de informacin con
respecto a una potencial vctima que puede ser una persona u organizacin.
Fase 2: Exploracin, en la segunda etapa se utiliza la informacin obtenida en la
fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema
vctima como direcciones IP, nombres de Host, Datos de autenticacin, entre
75

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

otros. Entre las herramientas que un atacante puede emplear durante la


exploracin se encuentra network mappers, port mappers, network scanner, port
scanners, y vulnerability scanners.
Fase 3: Obtener Acceso, aqu se empieza a materializar el ataque a travs de la
explotacin de las vulnerabilidades y defectos del sistema descubiertos durante
las fases de reconocimiento y exploracin. Algunas de las tcnicas que el atacante
puede utilizar son ataques de buffer overflow. De denial of service (DoS),
password filtering y sesin hijacking.
Fase 4: Mantener el Acceso, una vez el atacante ha conseguido acceder al
sistema, buscar implantar herramientas que le permitan volver a acceder en el
futuro desde cualquier lugar donde tenga acceso a internet. Para ello, suelen
recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5: Borrar Huellas, una vez que el atacante logr obtener y mantener el
acceso al sistema, intentar borrar todas las huellas que fue dejando durante la
intrusin para evitar ser detectado por el profesional de seguridad o los
administradores de la red. En consecuencia, buscar eliminar los archivos de
registro (log) o alarmas del sistema de deteccin de Intrusos (IDS).
Algunos de los ataques informticos ms conocidos estn:
Ingeniera Social, son estrategias basadas en el engao y que estn orientadas a
explotar las debilidades del factor humano. Los atacantes saben cmo utilizar
estas metodologas y lo han incorporado como elemento fundamental para llevar a
cabo cualquier tipo de ataque. Esta tcnica aplicada a la informtica consiste en la
obtencin de informacin sensible y/o confidencial de un usuario cercano a una
organizacin explotando ciertas caractersticas que son propias del ser humano.
En general, las personas constituyen uno de los problemas ms importantes de
seguridad para cualquier organizacin porque a diferencia de los componentes
tecnolgicos, son el nico elemento capaz de romper las reglas establecidas en
las polticas de seguridad de la informacin.
La falta de educacin, la negligencia o coaccin, pueden permitir a un atacante
obtener acceso no autorizado, y de esta manera porder eludir los complejos
esquemas de seguridad que se hayan implementado en la organizacin.
El Factor Insiders, en la gran mayora de casos los estudios han demostardo que
los ataques y violaciones de seguridad son cometidos por los mismos empleados
dentro de la organizacin. Una de las formas ms eficaces para romper los
esquemas de seguridad, es desde el interior de la organizacin.
Cuando este tipo de actos se comete con intenciones de obtener beneficios
econmicos a travs de la informacin corporativa se denomina comercio de
76

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

personal interno.En cualquiera de los casos, muchas de las herramientas y


medidas de seguridad que se implementen en el entorno informtico no sern
eficaces. Bajo esta perspectiva, es necesario acudir a estrategias de defensas
internas y especficas para el control de posibles ataques ocasionados por el
personal de la organizacin.
Los Cdigos Maliciosos, tambin llamado malware, constituyen una de las
principales amenazasa de seguridad para cualquier institucin y organizacin, y
aunque parezca un tema trivial, suele ser motivo de importantes prdidas
econmicas.
Esta amenaza se refiere a programas que causan algn tipo de dao o anomala
en el sistema informtico. Dentro de esta categora se incluyen los programas
troyanos, gusanos, virus informticos, spyware, backdoors, rootkits, keyloggers,
entre otros. Casi el 80% de los ataques informticos se realizan a travs de
programas troyanos que ingresan al sistema de manera encubierta activando una
carga daina denominada payload, que despliega las instrucciones maliciosas que
pueden llegar a daar algn sector del disco duro generalmente la MBR, eliminar
archivos, registrar las pulsaciones que se escriben a travs de teclado, monitorear
el trfico de la red, entre otras actividades.
Si bien cualquier persona con conocimientos bsicos en sistemas puede crear un
troyano y combinar su payload con programas benignos a travs de aplicaciones
automatizadas y diseados para esto, los troyanos poseen un requisito particular
que deben ser cumplido para que logren el xito: necesitan la intervencin del
factor humano, en otras palabras, tienen que ser ejecutados por el usuario.
Es por ello que estas amenazas se diseminan por medio de diferentes tecnologas
como dispositivos USB, mensajera instantnea, redes P2P, email. A travs de
alguna metodologa de engao, aparentando ser programas inofensivos bajo
coberturas como protectores de pantalla, tarjetas virtuales, juegos en flash,
diferentes tipos de archivos, simulando ser herramientas de seguridad, entre otros.
Las Contraseas, las contraseas son otro factor comnmente explotados por los
atacantes. Si bien existen sistemas de autenticacin complejos, las contraseas
siguen siendo una de las medidas de proteccin ms utilizadas en cualquier tipo
de sistema informtico.
En consecuencia, constituyen uno de los blancos ms buscados por atacantes
informticos porque conforman el componente principal utilizado en procesos de
autenticacin simple (usuario/contrasea) donde cada usuario posee un
identiicador que le permite acceso al sistema. En este tipo de proceso, llamado
factor simple, la seguridad del esquema de autenticacin radica inevitablemente
en la fortaleza de la contrasea y en mantenerla en completo secreto, siendo
potencialmente vulnerable a tcnicas de ingeniera social cuando los propietarios
77

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

de las contraseas no poseen un adecuado nivel de capacitacin que permita


prevenir este tipo de ataques.
Si el entorno informtico se basa nicamente en la proteccin mediante sistemas
de autenticacin simple, la posibilidad de ser vctimas de ataques se potencia.
Sumado esto a que existen herramientas automatizadas diseadas para romper
las contraseas a travs de diferentes tcnicas como ataques por fuerza bruta, por
diccionarios o hbridos en un plazo sumamente corto, el problema se multilica an
ms.
Configuraciones Predeterminadas, las configuraciones por defecto en los sistemas
operativos, las aplicaciones y los dispositivos de un sistema informtico,
conforman otra de las debilidades que comnmente son poco atendidas por
pensar errneamente que se tratan de factores triviales que no se encuentran
presentes en la lista de los atacantes.
Sin embargo, las configuraciones predeterminadas hacen del ataque una tarea
sencilla para quien lo ejecuta, ya que es muy comn que las vulnerabilidades de
un equipo sean explotadas a travs de cdigos exploit donde el escenario que
asume dicho cdigo se basa en que el objetivo se encuentra configurado con los
parmetros por defecto.
Muchas aplicaciones automatizadas estn diseadas para aprovechar estas
vulnerabilidades teniendo en cuenta las configuraciones iniciales predeterminadas,
ya que en los sitios web existen bases de datos con informacin relacionada a los
nombres de usuario y sus contraseas asociadas, cdigos de acceso,
configuraciones, entre otras, de los valores por defecto de sistemas operativos,
aplicaciones y dispositivos fsicos, Solo basta con escribir en un buscador las
palabras claves default passwords para ver la infinidad de recursos disponibles
que ofrecen este tipo de informacin.
OSINT (Open Source Intelligence), una de las primeras facetas de un ataque
informtico, consiste en la recoleccin de informacin a travs de diferentes
tcnicas como reconnaissance, discovery, footprinting o google hacking; y
precisamente, la inteligencia de fuentes abiertas (OSINT) se refiere a la obtencin
de informacin desde fuentes pblicas y abiertas.
La informacin recogida por el atacante, es una consecuencia de una detallada
investigacin sobre el objetivo, enfocada a obtener toda la informacin pblica
disponible sobre la organizacin desde recursos pblicos. El atacante gasta masa
de la mitad de su tiempo en actividades de reconocimiento y obtencin de
informacin porque cuanto ms aprende el atacante sobre el objetivo, ms fcil
ser llevar a cabo con xito el ataque.
Generalmente, los atacantes hacen inteligencia sobre sus objetivos varios meses
antes de comenzar las primeras interacciones lgicas contra el objetivo a travs
78

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

de diferentes herramientas y tcnicas como el scanning, banner grabbing y rastreo


de los servicios pblicos.

FUENTES DOCUMENTALES
Bibliografa de referencia:
Beck, K.. .Extreme Programming Explained. Embrace Change., Pearson
Education, 1999. Traducido al espaol como: .Una explicacin de la programacin
extrema. Aceptar el cambio., Addison Wesley, 2000.
CETTICO, Centro Transferencia tecnolgica en Informtica y Comuicaciones.,
Enciclopedia de Informtica y Computacin, Ingeniera de software e Inteligencia
artificial. Universidad Politcnica de Madrid 1999.
De Domingo, J. y Arranz, A., Calidad y mejora continua, Ed Donostiarra. 1997.
Piatini, Mario y col. Analisis y Diseo de Aplicaciones Informticas de Gestin, Una
Perspectiva de Ingeniera de Software, Alfaomega 2004. Pginas 109 164.
BRAUDE. Ingeniera de software, una perspectiva orientada a objetos. Mxico.
2003. Alfaomega grupo editor. S.A.
HUMPHREY, Watts S. Introduccin al proceso de software personal. Pearson
Addison wesley. 2001.
NORRIS. Ingeniera de software explicada. Grupo Noriega editores de Colombia.
PIATTINI, Mario. VILLALBA, Jose y otros. Mantenimiento del software: modelos,
tcnicas y mtodos para la gestin del cambio. Editorial Alfaomega-Rama.
PRESSMAN, Roger S. Ingeniera del Software. Un enfoque prctico. Quinta
edicin. Espaa. 2002. Editorial McGraw Hill.
SOMMERVILLE, Ian. Ingeniera de software. 6. Edicin. Pearson Addison
Wesley. 2001
Direcciones Electronicas (webgrafa)
http://www.pressman5.com
http://www.wiley.com/college/braude
http://www.comp.lancs.ac.uk/computing/resources/IanS/SE6/PDF/SEGlossary.pdf
http://www.itver.edu.mx/comunidad/material/ing-software/unidad5.ppt
http://www.angelfire.com/scifi/jzavalar/apuntes/IngSoftware.html
http://www.sistemas.unam.mx/software.html
79

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Alberto Cancelado Gonzlez: http://pwp.etb.net.co/acancelado2/alberto.htm


IT Consultant
http://issaperu.org/?p=88
http://rm-inv.enisa.europa.eu/methods_tools/m_magerit.html
http://tdx.cat/bitstream/handle/10803/6219/04Capitulo2.PDF?sequence=4
http://desastres.usac.edu.gt/documentos/pdf/spa/doc1057/doc1057-contenido.pdf
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_
General&langPae=es&iniciativa=184
Informe sobre malware en Amrica Latina, Laboratorio ESET Latinoamrica, 2008.
http://www.eset-la.com/threat-center/1732-informe-malware-america-latina
Ten ways hackers breach security. Global Knowledge. 2008
http://images.globalknowledge.com
Bruce Schneier, Secrets & Lies. Digital Security in a Networked World. John Wiley
& Sons, 2000.
Kevin Mitnick, The Art of Intrusin. John Wiley & Sons, 2005.
La Odisea de Homero.
Official Certified Ethical Hacker, Sybex. 2007.
Sun Tzu, El arte de la guerra. Versin de Samuel Griffith. Editorial Taschen
Benedikt. 2006.

Bibliografa

DERRIEN Yann, Tcnicas de la Auditora Informtica: La direccin de la misin


de la auditora, Mxico D.F.: Ediciones Alga Omega S.A., 1995. 228 p. ISBN
970-15-0030-X.
Equipo de economistas DVE, Curso completo de auditora: Introduccin,
Barcelona - Espaa: Editorial De Vecchi, S.A., 1991, 206 p., ISBN : 84-3150957-0.
FARLEY Marc, Gua de LAN TIMES de seguridad e integridad de datos:
Seguridad informtica, primera edicin, Madrid (Espaa): Editorial Mc Graw-Hill,
1996. 342 p. ISBN: 0-07-882166-5.
IBM Corporation, S.O.S. en su sistema de computacin, primera edicin,
Mxico: Editorial Prentice-Hall Hispanoamericana, S.A., 1998. 211 p. ISBN:
970-17-0110-0.
MC CONNELL STEVE, Desarrollo y gestin de proyectos informticos: Gestin
de riesgos, primera edicin, Aravaca (Madrid): Editorial Mc. Graw Hill, 1996.
691 p. ISBN:84-481-1229-6.
MENDEZ Carlos E., Metodologa-Gua para elaborar diseos de investigacin
en ciencias econmicas, contables y administrativas, segunda edicin, Santa
Fe de Bogot: Editorial Mc Graw Hill, 1993. 170 p. ISBN: 958-600-446-5.
PINILLA Jos Dagoberto, Auditora Informtica - Aplicaciones en Produccin:
Anlisis de riesgos, primera edicin, Santa Fe de Bogot: ECOE Ediciones,
1997. 238 p. ISBN: 958-648-139-5.
SENN James A., Anlisis y Diseo de Sistemas de Informacin, Segunda
edicin: Editorial Mc Graw Hill.
80

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 2
Nombre de la Unidad
Introduccin

Justificacin

Intencionalidades
Formativas

CONTROL INFORMTICO
En este captulo se trata los temas que son el fundamento
de la calidad del software y su evaluacin, entre ellas
estn los modelos y estndares actuales de calidad, que
detallan las caractersticas mediante las cuales se hace la
evaluacin, las mtricas de calidad y las mtricas tcnicas
de calidad del software que son los indicadores, las
escalas de medicin cualitativa o cuantitaiva y las pruebas
del software que se ejecutan para verificacin de la
calidad del producto o proceso.
Esta unidad es quiza una de las ms importantes para la
evaluacin del software, ya que se identifica en ella los
tipos de evaluacin esttica y dinmica mediante el uso
de las mtricas y las pruebas del software. Los estndares
son los que permiten referencias cuales caractersticas se
evaluar y que mtricas y pruebas se asocian a ellas.
- El estudiante conoce los estndares y modelos utilizados
para la evaluacin de la calidad del software
- El estudiante reconoce las caractersticas internas,
externas y de usabilidad dentro de los estndares
- El estudiante asocia cada una de las caractersticas con
las mtricas y las pruebas a realizar en cada caso

Denominacin de
captulos
Denominacin de
lecciones

Denominacin de
captulos
Denominacin de
lecciones

- El estudiante define de acuerdo a las especificaciones


del cliente, las caractersticas, subcaractersticas, mtricas
y pruebas a utilizar
CAPITULO 4: CONCEPTOS Y GENERALIDADDES DE
CONTROL INTERNO
Leccin 16. Control Interno
Leccin 17. Clasificacin de Controles
Leccin 18. Control Interno Informtico
Leccin 19. Herramientas de Software para Control
Informtico
Leccin 20. Planes de seguridad informtica
CAPITULO 5: ESTNDAR COBIT Y OBJETIVOS DE
CONTROL DE TI
Leccin 21. Generalidades del Estndar COBIT
Leccin 22. Dominio, Procesos y Objetivos de Control
Planeacin y Organizacin PO
Leccin 23. Dominio, Procesos y Objetivos de Control
Adquisicin e Implementacin AI
Leccin 24. Dominio, Procesos y Objetivos de Control
81

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Denominacin de
captulos
Denominacin de
lecciones

Entrega y Soporte DS
Leccin 25. Dominio, Procesos y Objetivos de Control
Monitoreo M
CAPITULO 6:
PROCEDIMIENTOS DE AUDITORIA
INFORMTICA Y DE SISTEMAS
Leccin 26. Tcnicas de Auditoria para Recoleccin de
Informacin
Leccin 27. Fases de Auditoria Informtica y de Sistemas
Leccin 28. Aspectos de auditoria Para un Centro de
Cmputo o rea de Informtica
Leccin 29. Procedimientos de Control para Auditoria al
rea de Informtica
Leccin 30. Procedimientos de Control para seguridad y
Planes de Contingencia

82

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 2: CONTROL INFORMTICO


CAPITULO 4: CONCEPTOS Y GENERALIDADDES DE CONTROL INTERNO
Introduccin
La calidad es un concepto complejo, que se viene aplicando en el campo de la
informtica desde hace muchos aos. En particular, la aplicacin de la calidad al
producto software toma cuerpo con la aparicin de los primeros modelos de
calidad de producto y se fortalece con la propuesta de normas internacionales que
comienzan a ser utilizados como marco de referencia para el campo profesional y
acadmico.
En el ao de 1987 la oficina internacional para la estandarizacin (ISO) y la
Comisin Electrotcnica internacional (IEC), constituyeron un comit tcnico
conjunto con la finalidad de proponer normas internacionales en el campo de las
tecnologas de la informacin y los equipos.
En 1985 se inici el desarrollo la norma internacional ISO/IEC y fue publicada en
1991 como ISO/IEC 9126:1991: Tecnologa de la Informacin Evaluacin del
Producto Software Caractersticas de la Calidad y Gua para su Aplicacin.
Utilizaron como base para la definicin de las caractersticas, el concepto de
calidad que posteriormente aparecera en la norma ISO 8402 y que est basada
en las necesidades del usuario. Antes de la publicacin de la norma ISO/IEC
9126, los trabajos de McCall, Boehm y otros fueron adoptados y mejorados. Esta
norma constituy el primer esfuerzo internacional para unificar y uniformizar los
trminos de calidad referido al producto software y proponer una estructura
basada en caractersticas y subcaractersticas de calidad.
En 1994, se determina la revisin de la norma ISO/IEC 9126 debido a que se
estaban desarrollando normas internacionales en el rea de evaluacin de la
calidad de productos. Resultado de la revisin, se producen dos series de normas;
ISO/IEC 9126 referida al modelo de calidad del producto software y la ISO/IEC
14598 referida a la evaluacin de la calidad del producto. La publicacin completa
de ambas series, se iniciaron en julio de 1998 y concluyeron en abril de 2004,
habindose elaborado 4 normas en las serie 9126 y 6 normas en la serie 14598.
Una nueva propuesta de calidad de producto se plantea en 1999 y se aprueba en
el 2000. La propuesta se denomina proyecto SquaRE (Software product Quality
REquirements) con la idea de proponer un nuevo marco de referencia para el
tema de calidad de producto software, pero esta vez orientndose a ver la
calidad del producto como resultado de un proceso. La serie de normas
internacionales tendrn la numeracin 25000 y an no esta completa.
Cada una de estas normas est dividida en caractersticas y subcaractersticas
internas, externas y de usabilidad que hacen posible definir las mtricas asociadas
83

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

a cada una de estas y el tipo de pruebas que se deben llevar a cabo en la


evaluacin de software.

Leccin 16: Control Interno


Control
Es el conjunto de normas, tcnicas, acciones y procedimientos que
interrelacionados e interactuando entre s con los sistemas y subsistemas
organizacionales y administrativos, permite evaluar, comparar y corregir aquellas
actividades que se desarrollan en las organizaciones, garantizando la ejecucin de
los objetivos y el logro de las metas institucionales8.
La ley 87 de 1993 en su artculo 1, define el Control Interno como: el sistema
integrado por el esquema de organizacin y el conjunto de los planes, mtodos,
principios, normas, procedimientos y mecanismos de verificacin y evaluacin
adoptados por una entidad, con el fin de procurar que todas las actividades,
operaciones y actuaciones, as como la administracin de la informacin y los
recursos, se realicen de acuerdo con las normas constitucionales, legales y
vigentes dentro de las polticas trazadas por la direccin y en atencin a las
metas u objetivos previstos9.
El control debe ser ejecutado frecuentemente para que permita identificar las
oportunidades de mejoramiento a tiempo y poder tomar las decisiones
oportunamente; los beneficios que arroje deben ser superiores a los costos de
implantacin y mantenimiento del mismo, con el proceso de control debe
corresponder a una planeacin tal, que permita conocer la magnitud de la accin
correctiva necesaria, el control deber ser en lo posible, sencillo, comprensible y
adaptativo, y no debe entorpecer el desarrollo normal de la empresa.
El control Interno se define como un proceso realizado por la Junta Directiva,
administradores y dems personal de la entidad, diseado para proporcionar
seguridad razonable a partir del cumplimiento de los objetivos del negocio,
efectividad y eficiencia de las operaciones, confiabilidad de la informacin
financiera y cumplimiento de las leyes y regulaciones aplicables.
Los sistemas de control interno operan a niveles diferentes de efectividad, su
efectividad es un estado o condicin del mismo en uno o ms puntos a travs del
tiempo.

TAMYO ALZATE, Alonzo. Auditora de Sistemas Una visin prctica. Manizales. Centro de
publicaciones Universidad Nacional de Manizales. 2002. pag.14.
CONGRESO DE COLOMBIA. LEY 87 DEL 29 DE NVIEMBRE DE 1993. (en lnea).UNIVERSIDAD
DEL VALLE. Consultada el 17 de Agosto del 2011. Disponible en la direccin electrnica:
http://controlinterno.univalle.edu.co/doc/ley_87_1993.pdf.

84

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Componentes del Control Interno


Aunque los componentes se aplican a todas las entidades, las compaas
pequeas y medianas pueden implementarlos de forma diferente que las grandes.
Sus controles pueden ser menos formales y menos estructurados, no obstante
deben ser efectivos.
Ambiente de Control: el ambiente de control da el tono de una organizacin,
influenciando la conciencia de control de sus empleados. Es el fundamento de
todos los dems componentes del control interno, proporcionando disciplina y
estructura. Los factores del ambiente de control incluyen:

La integridad
Los valores ticos y la competencia de la gente de la entidad
La filosofa y el estilo de la administracin
La manera como la administracin asigna autoridad y responsabiliza
Cmo organiza y desarrolla a su gente; y
La atencin y direccin proporcionada por la junta directiva.

Valoracin de riesgos: cada entidad enfrenta una variedad de riesgos de fuentes


externas e internas, los cuales deben valorarse. Una condicin previa a la
valoracin de riesgos es el establecimiento de objetivos, enlazados en distintos
niveles y consistentes internamente. La valoracin de riesgos es la identificacin y
el anlisis de los riesgos relevantes para la consecucin de los objetivos,
constituyendo una base para determinar cmo se deben administrar los riesgos.
Dado que la economa, la industria, las regulaciones y las condiciones de
operacin continuarn cambiando, se requieren mecanismos para identificar y
tratar los riesgos especiales asociados con el cambio.
Actividades de Control: son las polticas y los procedimientos que ayudan a
asegurar que las directivas administrativas se lleven a cabo. Ayudan a asegurar
que se tomen las acciones necesarias para orientar los riesgos hacia la
consecucin de objetivos de la entidad. Las actividades de control se dan a todo
lo largo de la organizacin, en todos los niveles y en todas las funciones. Incluyen
un rango de actividades diversas como:

Aprobaciones,
Autorizaciones,
Verificaciones,
Conciliaciones,
Revisiones de desempeo operacional,
Seguridad de activos y
Segregacin de funciones.

85

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Informacin y comunicacin: debe identificarse, capturarse y comunicarse


informacin pertinente en una forma y en un tiempo que le permita a los
empleados cumplir con sus responsabilidades. Los sistemas de informacin
producen reportes, contienen informacin operacional, financiera y relacionada
con el cumplimiento, que hace posible operar y controlar el negocio. Tiene que
ver no solamente con los datos generados externamente, sino tambin con la
informacin sobre eventos, actividades y condiciones externas necesarias para la
toma de decisiones, informe de los negocios y reporte externos. La comunicacin
efectiva tambin debe darse en un sentido amplio, fluyendo hacia abajo, a lo largo
y hacia arriba de la organizacin.
Todo el personal debe recibir un claro mensaje por parte de la alta gerencia,
respecto a qu actividades de control deben tomarse seriamente. Deben entender
su propio papel en el sistema de control interno, lo mismo que la manera como las
actividades individuales se relacionan con el trabajo de otros. Debe contarse con
un medio para comunicar la informacin significativa.
Tambin necesitan
comunicarse efectivamente con las partes externas, tales como clientes,
proveedores, reguladores y accionistas.
Monitoreo: los sistemas de control interno deben monitorearse, proceso que
valora la calidad del desempeo del sistema en el tiempo. Es realizado por medio
de actividades de monitoreo en tiempo real, evaluaciones separadas, o
combinacin de las dos.
El monitoreo incluye actividades regulares de
administracin y supervisin y otras acciones personales realizadas en el
cumplimiento de sus obligaciones.
El alcance y las frecuencias de las
evaluaciones.
Objetivos de un Sistema de Control Interno
Son prcticamente todas las definiciones sobre Control Interno, detalladas
anteriormente de una manera implcita o explcita, sobre lo que es la clave para
entender el concepto que se est desarrollando o estudiando, ya que es
sumamente importante conocer cules son los objetivos que persigue el sistema
de control interno, para poder vivir dentro de la organizacin.
Es fundamental, que se comprenda los objetivos del control interno y, dentro de
ese entendimiento, pueda separar los objetivos principales que persiguen los
controles fundamentales de aquellos controles de menos importancia o
trascendencia.
El encargado de control interno o el auditor deben saber cules son los objetivos
que persigue cada control, o qu pretende cada control, para poder evaluarlo o
entenderlo, y as poder determinar cundo ese control es efectivo o simplemente
no se cumple, lo que significa que debe ir a la fuente del control.

86

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Conocer los objetivos del sistema del control interno resulta importante para poder
controlar el funcionamiento de esta. Los objetivos de control ms importantes del
control interno son: la proteccin de los activos del patrimonio, la obtencin de
informacin adecuada, la promocin de la eficiencia operativa y estimular la
adhesin a las polticas de la direccin.
El objetivo de un sistema de control interno es prever una razonable seguridad, de
que el patrimonio est resguardado contra posibles prdidas o disminuciones
asignadas por los usos y disposiciones no autorizadas, y que las operaciones o
transacciones estn debidamente autorizadas y adecuadas o apropiadamente
registradas, a fin de permitir o asegurar la preparacin de los estados contables de
acuerdo a normas contables y los reportes o informes de gestin de realidad
aceptable.
El Control Interno de la empresa.
Cuando finaliza el siglo XIX, especialmente en la poca en que se inicia la gran
transformacin en la forma de encarar la produccin, como consecuencia del
creciente desarrollo industrial, comenz a notarse o percibirse la necesidad de
efectuar un control sobre la gestin de los negocios, ya que la evolucin en la fase
de produccin y comercializacin se desarrollo en forma ms acelerada que en las
fases administrativas u organizativas. Pero con el transcurso del tiempo, se le fue
dando mayor importancia a estos dos ltimos conceptos y se reconoci la
necesidad de generar e implantar sistemas de control, como consecuencia del
importante crecimiento operado dentro de las empresas.
Debido a este desarrollo industrial y econmico, los comerciantes o industriales
propietarios no pudieron continuar atendiendo en forma personal los problemas
productivos, comerciales y administrativos y se vieron obligados por la propia
necesidad a subdividir o delegar funciones dentro de la organizacin y la
respectiva responsabilidad de los hechos operativos o de gestin.
Pero dicha delegacin de funciones y responsabilidades no estuvo sola en el
proceso, ya que en forma paralela se debieron establecer sistemas o
procedimientos que previeran o aminoraran fraudes o errores, que protegieran el
patrimonio, que dieran informaciones coherentes y que permitieran una gestin
adecuada, correcta y eficiente. As nace el control como una funcin gerencial,
para asegurar y constatar que los planes y polticas preestablecidas se cumplan
tal como fueron fijadas.
Lo que se quiere realizar o efectuar es: la medicin, evaluacin, verificacin y
correccin de las funciones operativas de los individuos dependientes o
subordinados, tendientes a determinar, en fecha fehaciente, que las actividades
que ejecuta contribuyen en carcter efectivo y verdadero al logro de los objetivos
prefijados por la direccin superior.
87

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Dentro de una organizacin el proceso administrativo constituye un desarrollo


armnico donde estn presentes las funciones de planeacin, organizacin,
direccin y control.
El control en su concepcin ms general examina, censura, con anterioridad
suficiente determinada realidad que aprueba o corrige. Este puede ser externo, de
gestin e interno. Es conveniente destacar que en la prctica los dos ltimos
convergen en uno de solo.
El sistema de control interno se desarrolla y vive dentro de la organizacin, cumple
y alcanza los objetivos que persigue sta. Los grandes avances tecnolgicos
aceleran los procesos productivos que indiscutiblemente repercuten en una mejora
en los campos de la organizacin y la administracin, pues sta debe reordenarse
para subsistir. Ya a finales del siglo XIX se demostr la importancia del control
sobre la gestin de los negocios y que ste se haba quedado rezagado frente a
un acelerado proceso de la produccin.
El auditor no tiene responsabilidad directa sobre el sistema de control interno, pero
es el evaluador del mismo, y sobre la base de la evaluacin podr determinar: la
naturaleza, el alcance y la oportunidad de los procedimientos de auditora a aplicar
durante la revisin de una empresa.
Como evaluador del mismo, el auditor obtiene conclusiones que debe informar a la
direccin de la empresa y, a su vez, debe sugerir cambios para su mejor
funcionamiento. En todo cambio hay que predeterminar el costo de instalarlo y
mantenerlo, frente a los riesgos de prdidas materiales o informacin que pudiera
haber sin l.
El alcance de control interno est dado por todo el mbito de la empresa, y los
problemas que se generan al controlar las actividades que tienen origen en los
distintos sectores de la organizacin, segn las tareas que estos desarrollan,
como, por ejemplo: las funciones de registro, fabricacin, ventas, compras,
personal, tesorera, finanzas, etc.
El mtodo de control, existente en las empresas, incluye la comparacin de una
actuacin real, con una accin pronosticada, tal como un objetivo, estndar de
actuacin o regulacin previa. En cada caso o situacin, el sistema, mtodo o
procedimiento debe prever la posibilidad de practicar un control o anlisis de lo
que est sucediendo y, en caso de encontrar diferencias, desvos o errores, poder
obtener la explicacin lgica de por qu esos hechos ocurrieron, y, finalmente,
tratar de adoptar las medidas correctivas correspondientes.

88

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 17: Clasificacin del Control Interno


Los controles internos pueden clasificarse:
Por Objetivos: salvaguardia de activos, confiabilidad de los registros contables;
preparacin oportuna de la informacin financiera contable; beneficio y
minimizacin de costos innecesarios, evitar expansin al riesgo no intencional,
prevencin o detencin de errores e irregularidades; aseguramiento de que las
responsabilidades
delegadas
han
sido
descargadas;
descargo
de
responsabilidades legales.
Por Jurisdiccin: control interno contable, que consiste en los mtodos,
procedimientos y plan de organizacin que se refieren sobre todo a la proteccin
de los activos y asegurar que las cuentas y los informes financieros sean
contables. Son las medidas que se relacionan directamente con la proteccin de
los recursos, tanto materiales como financieros, autorizan las operaciones y
aseguran la exactitud de los registros y la confiabilidad de la informacin contable;
y el control interno administrativo, que son procedimientos y mtodos que se
relacionan con las operaciones de una empresa y con las directivas, polticas e
informes administrativos. Son las medidas diseadas para mejorar la eficiencia
operacional y que no tiene relacin directa con la confiabilidad de los registros
contables.
Por Mtodos: controles preventivos; controles de deteccin; controles correctivos
y de recuperacin.
Por Naturaleza: controles organizativos, controles de desarrollo de sistemas;
controles de autorizacin e informacin, controles del sistema de contabilidad;
controles adicionales de salvaguardia; controles de supervisin de la
administracin; controles documentales.
El control en los sistemas de informacin pretende verificar que los datos sean
reales, exactos, oportunos, suficientes y sobre todo que no se vean afectados
por prdida, omisin o redundancia, que proporcionen la informacin requerida.
Los controles en los Sistemas de Informacin se pueden clasificar en: Controles
generales, operativos y tcnicos.
La definicin de algunos de los controles mencionados anteriormente se muestra
a continuacin:
Controles Generales: son aquellos ejercidos sobre las actividades y recursos
comprendidos en el desarrollo de los sistemas.
Controles Operativos: son aquellos diseados, desarrollados e implementados
para sistemas especficos, buscando garantizar con ellos que todas las
89

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

operaciones sean autorizadas, registradas y procesadas de una manera completa


exacta y oportuna.
Controles Tcnicos: tienen que ver con la tecnologa de la informacin y son
aplicables al hardware, software, sistemas de mantenimiento y planes de
contingencia. Los controles tcnicos pueden ser:
Controles Preventivos: estn involucrados dentro de los procesos y
tienen como propsito evitar la ocurrencia y frecuencia de incidencias.
Controles Detectivos: se activan una vez se registra la ocurrencia de la
incidencia y tienen como propsito alertar a las personas involucradas en
el proceso, para que estn atentos.
Controles Correctivos: son los que se ejecutan para tomar acciones
correctivas, cuando ha ocurrido la incidencia, estas resultan muy costosas.
Figura 6: Tipo de Controles

Controles
Generales

Controles
Operativos

Controles
Tcnicos

Ejercidos sobre actividades y recursos.


Implica procesos de planeacin, definicin de metas y
objetivos, definicin de valores, polticas, procedimientos,
estndares, capacitacin y entrenamiento.

Diseados e implementados para sistemas especficos.


Garantizar que las operaciones sean autorizadas,
registradas y procesadas de manera exacta y oportuna.

Preventivo
Detectivo
Correctivo

Tecnologa de la informacin.
Controles de operacin de hardware, seguridad e
integracin de los sistemas de informacin, reporte de
fallas, control de usuarios, etc.

Leccin 18: Control Interno Informtico


Control Interno Informtico: El establecimiento de controles internos en el rea
informtica y los sistemas de informacin es muy importante, ayuda a la
evaluacin de la eficiencia y eficacia de la gestin administrativa, dependiendo de
los objetivos que se pretenda con los controles. Adems, el control interno es
indispensable en la proteccin de los bienes y el buen desarrollo de las
actividades y operacin de los sistemas.

90

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

A travs del control interno se pretende la aplicacin de los siguientes objetivos


especficos:
Establecer como prioridad la seguridad y proteccin de los bienes informticos,
la informacin y los sistemas de informacin.
Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su
procesamiento y la emisin de reportes en la empresa.
Implementar los mtodos, tcnicas y procedimientos necesarios para contribuir
al desarrollo eficiente de las funciones, actividades, y tareas de los servicios
que presta el rea informtica para satisfacer las necesidades de la empresa.
Instaurar y hacer cumplir las normas, polticas y procedimientos que regulen las
actividades de sistematizacin de la empresa.
Establecer acciones necesarias para el buen desarrollo del software, a fin de
que presten un buen servicio en la empresa.

Leccin 19: Herramientas de Software para Control Informtico


Algunos de los sitios recomendados en los cuales puedes encontrar herramientas
tiles para el control de la seguridad de tus sistemas estn en las siguientes
direcciones para consulta y descarga:
TotemGuard
TotemGuard ayuda a medianas y grandes empresas a reducir costes y mejorar la
productividad de los departamentos TI con potentes herramientas de software.
Estas soluciones mejoran las operaciones de soporte tcnico, el servicio a los
usuarios finales, permiten gestionar activos TI de forma ms eficiente y reducen
los recursos necesarios para llevar a cabo el mantenimiento de la seguridad y de
los sistemas crticos de su empresa. Distribuye los productos NetSupport, Shavlik,
Neverfail y Scalable Software en Espaa.
Durante los ltimos 18 aos, NetSupport ha estado a la vanguardia del desarrollo
de soluciones innovadoras para ayudar a los departamentos de soporte a
gestionar equipos y usuarios. Los productos Netsupport estn disponibles en ms
de 60 pases en todo el mundo, y actualmente operan en ms de 7 millones de
PCs, servidores y dispositivos mviles.
http://www.totemguard.com/index.php

91

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Seguridad Informtica: Segu-Info es un emprendimiento personal que brinda


informacin sobre Seguridad de la Informacin libre y gratuita desde el ao 2000.
Todos los contenidos de este sitio se encuentran bajo Licencia Creative
Commons a menos que se indique lo contrario. Todos los contenidos de este
sitio expresan la opinin personal del autor, disponible en:
http://www.segu-info.com.ar/

Centro de seguridad y Proteccin Microsoft: Ofrece herramientas gratuitas de


proteccin para productos de Microsoft, disponible en:
http://www.microsoft.com/es-xl/security/default.aspx

Software Libre para Seguridad Informtica: en este sistio se encuentra una


variedad de productos de software libre disponibles para seguridad informtica,
disponible en:
http://somoslibres.org/modules.php?name=News&file=article&sid=3473

Videos sobre seguridad Informtica: en este sitio estn dispuestos 4 videos


sobre el uso de software libre para la seguridad informtica, disponible en
http://www.dragonjar.org/seguridad-informatica-con-software-libre.xhtml

Herramientas de Seguridad Informtica: en este sitio se encuentran algunas de


las herramientas de software para seguridad informtica ms utilizados, de la
Universidad Nacional Autnoma de Mexico, disponible en:
http://www.tic.unam.mx/software.html#ohsi
Rincn Informtico: en este sitio se encuentra una gran variedad de direcciones
relacionadas con la seguridad informtica y software utilizado para proteccin,
disponible en:
http://www.rinconinformatico.net/software-libre/seguridad-informatica
Herramientas de Seguridad: en este sitio se puede encontrar una variedad de
herramientas de software para seguridad informtica disponibles para descarga,
disponible en:
http://www.aboutlyrics.com/Software.php?Theme=173
92

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Estas son algunas de las direcciones electrnicas donde se puede encontrar


herramientas de software para administracin de seguridad informtica y de
informacin.

Leccin 20: Polticas y Planes de Seguridad Informtica


Seguridad informtica
No existe una definicin estricta de lo que se entiende por seguridad informtica,
puesto que sta abarca mltiples y muy diversas reas relacionadas que van
desde la proteccin fsica del computador como componentes hardware, de su
entorno, hasta la proteccin de la informacin que contiene o de las redes que lo
comunican con el exterior.
Tampoco es nico el objetivo de la seguridad ya que existen diversos tipos de
amenazas contra los que debemos protegernos. Desde amenazas fsicas, como
los cortes elctricos, hasta errores no intencionados de los usuarios, pasando por
los virus informticos o el robo, destruccin o modificacin de la informacin.
No obstante s hay tres aspectos fundamentales que definen la seguridad
informtica, estos son la confidencialidad, la integridad y la disponibilidad,
dependiendo de la organizacin y sistema de informacin, el orden de importancia
de estos tres factores es diferente, e incluso entran en juego otros elementos
como la autenticidad o el no repudio. El enfoque de la poltica de seguridad y de
los mecanismos utilizados para su implementacin est influido por el ms
importante de los tres aspectos. Estos aspectos tambin pueden entenderse como
metas u objetivos.
La confidencialidad, es el servicio de seguridad, o condicin, que asegura que la
informacin no pueda estar disponible o ser descubierta por o para personas,
entidades o procesos no autorizados. La confidencialidad, a veces denominada
secreto o privacidad, se refiere a la capacidad del sistema para evitar que
personas no autorizadas puedan acceder a la informacin almacenada en l. En
reas de seguridad gubernamentales el secreto asegura que los usuarios pueden
acceder a la informacin que les est permitida en base a su grado o nivel de
autoridad, normalmente impuestas por disposiciones legales o administrativas.
En entornos de negocios, la confidencialidad asegura la proteccin en base a
disposiciones legales o criterios estratgicos de informacin privada, tal como
datos de las nminas de los empleados, documentos internos sobre estrategias,
nuevos productos o campaas, contratos laborales que especifican este tema, etc.
Este aspecto de la seguridad es particularmente importante cuando hablamos de
organismos pblicos, y ms concretamente aquellos relacionados con la defensa.

93

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Algunos de los mecanismos utilizados para salvaguardar la confidencialidad de los


datos son el uso de tcnicas de control de acceso a los sistemas y el cifrado de la
informacin confidencial o de las comunicaciones.
La integridad, que se entiende como el servicio de seguridad que garantiza que la
informacin es modificada, incluyendo su creacin y borrado, slo por el personal
autorizado. El concepto de integridad significa que el sistema no debe modificar o
corromper la informacin que almacene, o permitir que alguien no autorizado lo
haga. Esta propiedad permite asegurar que no se ha falseado la informacin. Por
ejemplo, que los datos recibidos o recuperados son exactamente los que fueron
enviados o almacenados, sin que se haya producido ninguna modificacin, adicin
o borrado. De hecho el problema de la integridad no slo se refiere a
modificaciones intencionadas, sino tambin a cambios accidentales o no
intencionados.
En el mbito de las redes y las comunicaciones, un aspecto o variante de la
integridad es la autenticidad. Se trata de proporcionar los medios para verificar
que el origen de los datos es el correcto, quin los envi y cundo fueron enviados
y recibidos. En el entorno financiero o bancario, este aspecto de la seguridad es el
ms importante. En los bancos, cuando se realizan transferencias de fondos u
otros tipos de transacciones, normalmente es ms importante mantener la
integridad y precisin de los datos que evitar que sean interceptados o conocidos
(mantener la confidencialidad).
En el campo de la criptografa hay diversos mtodos para mantener/asegurar la
autenticidad de los mensajes y la precisin de los datos recibidos. Se usan para
ello
cdigos/firmas
aadidos
a
los
mensajes
en
origen
y
recalculadas/comprobadas en el destino. Este mtodo puede asegurar no slo la
integridad de los datos (lo enviado es igual a lo recibido), sino la autenticidad de la
misma (quin lo enva es quien dice que es).
La Disponibilidad: se entiende por disponibilidad el grado en que un dato est en
el lugar, momento y forma en que es requerido por el usuario autorizado, otra
definicin dice que es la situacin que se produce cuando se puede acceder a los
recursos de un Sistema en un periodo de tiempo considerado aceptable.
Un sistema seguro debe mantener la informacin disponible para los usuarios.
Disponibilidad significa que el sistema, tanto hardware como software, se
mantienen funcionando eficientemente y que es capaz de recuperarse
rpidamente en caso de fallo.
Lo opuesto a disponibilidad, y uno de los posibles mtodos de ataque a un sistema
informtico, se denomina "denegacin de servicio". Una denegacin de servicio
significa que los usuarios no pueden obtener del sistema los recursos deseados
por diferentes causas: el computador puede estar estropeado o haber una cada
del Sistema Operativo; no hay suficiente memoria para ejecutar los programas, los
94

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

discos; cintas o impresoras no estn disponibles o estn llenos; no se puede


acceder a la informacin.
Otros aspectos o caractersticas de la seguridad que pueden en su mayor parte
incluirse o asimilarse a uno de los tres aspectos fundamentales, pero que es
importante concretar en s mismos, entre ellos:
La Autenticidad, esta propiedad permite asegurar el origen de la informacin. La
identidad del emisor puede ser validada, de modo que se puede demostrar que es
quien dice ser. De este modo se evita que un usuario enve una informacin
hacindose pasar por otro.
La Imposibilidad de Rechazo (no-repudio), esta propiedad permite asegurar
que cualquier entidad que enva o recibe informacin, no puede alegar ante
terceros que no la envi o la recibi. Esta propiedad y la anterior son
especialmente importantes en el entorno bancario y en el uso del comercio digital.
La Consistencia, que consiste en asegurar que el sistema se comporta como se
supone que debe hacerlo con los usuarios autorizados. Si el software o el
hardware de repente comienzan a comportarse de un modo radicalmente diferente
al esperado, puede ser un desastre. Esta propiedad es amenazada por ejemplo
por el uso de los Caballos de Troya. Programas que no hacen lo que se supone
que deben hacer, o que adems se dedican a otras tareas.
El Aislamiento, que regula el acceso al sistema, impidiendo que personas no
autorizadas entren en l. Este aspecto est relacionado directamente con la
confidencialidad, aunque se centra ms en el acceso al sistema que a la
informacin que contiene.
POLTICA DE SEGURIDAD
La poltica de seguridad es una declaracin de intenciones de alto nivel que cubre
la seguridad de los sistemas de Seguridad Informticos (SSI) y que proporciona
las bases para definir y delimitar responsabilidades para las diversas actuaciones
tcnicas y organizativas que se requerirn.
La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir,
donde se definen las distintas medidas a tomar para proteger la seguridad del
sistema, las funciones y responsabilidades de los distintos componentes de la
organizacin y los mecanismos para controlar su correcto funcionamiento. Estas
polticas son de tres tipos: Laborales, de Hardware, de Software.
Son los directivos, junto con los expertos en tecnologas de la informacin,
quienes deben definir los requisitos de seguridad, identificando y priorizando la
importancia de los distintos elementos de la actividad realizada, con lo que los
95

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

procesos ms importantes recibirn ms proteccin. La seguridad debe


considerarse como parte de la operativa habitual, no como un extra aadido.
Los propios directivos deben acoplarse a estas polticas de seguridad, con el
objetivo de que se mantengan estndares dentro de la organizacin. Es
importante resaltar que la creacin de polticas conlleva a la creacin de
reglamentos de seguridad.
El compromiso de la Direccin con el sistema de Seguridad Informtico (SSI) debe
tomar la forma de una poltica de seguridad formalmente acordada y
documentada. Dicha poltica tiene que ser consistente con las prcticas de
seguridad de otros departamentos, puesto que muchas amenazas (incendio,
inundacin) son comunes a otras actividades de la organizacin.
Estas son algunas de las reglas bsicas a la hora de establecer una poltica de
seguridad.
Toda poltica de seguridad debe ser estratgica, es decir, debe cubrir todos
los aspectos relacionados con el sistema.
Debe proteger el sistema en todos los niveles: fsico, humano, lgico y
logstico.
Debe tener en cuenta no slo los distintos componentes del sistema, tales
como el hardware, software, entorno fsico y usuarios, sino tambin la interaccin
entre los mismos.
Debe tener en cuenta el entorno del sistema, esto es, el tipo de compaa o
entidad con que tratamos (comercial, bancaria, educativa, etc.). De esta
consideracin surge la segunda regla bsica.
La poltica de seguridad debe adecuarse a nuestras necesidades y
recursos, el valor que se le da a los recursos y a la informacin, el uso que se
hace del sistema en todos los departamentos.
Deben evaluarse los riesgos, el valor del sistema protegido y el coste de
atacarlo. Las medidas de seguridad tomadas deben ser proporcionales a estos
valores.
Toda poltica de seguridad debe basarse fundamentalmente en el sentido
comn. Es necesario: un conocimiento del sistema a proteger y de su entorno; un
conocimiento y experiencia en la evaluacin de riesgos y el establecimiento de
medidas de seguridad; un conocimiento de la naturaleza humana, de los usuarios
y de sus posibles motivaciones.
A la hora de establecer una poltica de seguridad se debe responder a las
siguientes tres preguntas: Qu necesitamos proteger?, De qu necesitamos
protegerlo?, Cmo vamos a protegerlo?.

96

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 2: CONTROL INFORMTICO


CAPITULO 5: ESTNDAR COBIT Y OBJETIVOS DE CONTROL DE TI
Introduccin
Los trminos de mtricas, medicin y medida en muchos de los casos han sido
relacionados con los instrumentos utilizados mediante un mtodo especfico al
acto mecnico de tomar una medicin mediante escalas cualitativas o
cuantitativas que determinan los valores de esa medicin.
En general es as, pero los tres conceptos son diferentes, y sern tratados en este
captulo. Pero lo que no se puede admitir es que sea un acto mecnico, ya que el
proceso de medicin involucra muchas actividades. inicia con la seleccin y
definicin de la caracterstica que se quiere medir, posteriormente se definir que
mtricas es posible usar para la medicin, luego se definir la escala de tipo
cuantitativo o cualitativo y el mtodo, y por ltimo se procede a hacer al anlisis de
cmo se hara la medicin.
En este captulo se tratar estos temas tan importantes para el proceso y
procedimiento de la evaluacin de software, que se convertirn en la clave para
realizarla, ya que, de ella depende el xito o fracaso de la evaluacin.

97

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 21: Generalidades del Estndar Cobit


Las mejores prcticas en auditoria recomiendan Cobit como la herramienta
estndar para tecnologas de informacin ms utilizada en la ejecucin de
auditoras; a continuacin se explica detalladamente algunos conceptos
manejados por sta y los dominios, procesos y actividades que lo conforman:
Efectividad:
se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
Eficiencia: se refiere a la provisin de informacin a travs de la utilizacin ptima
(ms productiva y econmica) de recursos.
Confidencialidad: se refiere a la proteccin de informacin sensible contra
divulgacin no autorizada.
Integridad: se refiere a la precisin y suficiencia de la informacin, as como a su
validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad: se refiere a la disponibilidad de la informacin cuando sta es
requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la
salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento: se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo,
criterios de negocio impuestos externamente.
Confiabilidad de la informacin: se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para ejercer sus
responsabilidades de reportes financieros y de cumplimiento.
Datos: los elementos de datos en su ms amplio sentido, (por ejemplo, externos e
internos), estructurados y no estructurados, grficos, sonido, entre otros.
Aplicaciones: se entiende como sistemas
procedimientos manuales y programados.

de

aplicacin

la

suma

de

Tecnologa: la tecnologa cubre hardware, software, sistemas operativos,


sistemas de administracin de bases de datos, redes, multimedia, entren otros.
Instalaciones: recursos para alojar y dar soporte a los sistemas de informacin.
Personal: habilidades del personal, conocimiento, conciencia y productividad para
planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
informacin.
98

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Niveles de Cobit: la estructura del estndar Cobit se divide en dominios que son
agrupaciones de procesos que corresponden a una responsabilidad personal,
procesos que son una serie de actividades unidas con delimitacin o cortes de
control y objetivos de control o actividades requeridas para lograr un resultado
medible.
Tabla 7. Distribucin de los dominios y procesos de COBIT
DOMINIOS

PROCESOS
PO1 Definir un Plan Estratgico de TI.
PO2 Definir la Arquitectura de Informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir la Organizacin y Relaciones de TI.
PO5 Manejar la Inversin en TI.
PLANEACIN
Y
PO6 Comunicar las directrices gerenciales.
ORGANIZACIN (PO)
PO7 Administrar Recursos Humanos.
PO8 Asegurar el cumplir Requerimientos Externos.
PO9 Evaluar Riesgos.
PO10 Administrar proyectos.
PO11 Administrar Calidad.
AI1 Identificar Soluciones.
AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
ADQUISICIN
E
AI4
Desarrollar
y
Mantener
Procedimientos
IMPLEMENTACIN (AI)
relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
DS1 Definir niveles de servicio.
DS2 Administrar Servicios de Terceros.
DS3 Administrar Desempeo y Calidad.
DS4 Asegurar Servicio Continuo.
DS5 Garantizar la Seguridad de Sistemas.
DS6 Identificar y Asignar Costos.
SERVICIOS
Y
DS7 Capacitar Usuarios.
SOPORTE (DS)
DS8 Asistir a los Clientes de TI.
DS9 Administrar la Configuracin.
DS10 Administrar Problemas e Incidentes.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
DS13 Administrar Operaciones
M1 Monitorear los procesos.
M2 Evaluar lo adecuado del control Interno.
MONITOREO (M)
M3 Obtener aseguramiento independiente.
M4 Proveer auditora independiente.
99

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se
describen a continuacin junto con sus procesos y una descripcin general de las
actividades de cada uno:
DOMINIO DE PLANIFICACIN Y ORGANIZACIN
Cubre la estrategia y las tcticas, se refiere a la identificacin de la forma en que la
tecnologa informacin puede contribuir de la mejor manera al logro de los
objetivos de la organizacin. La consecucin de la visin estratgica debe ser
planeada, comunicada y administrada desde diferentes perspectivas y debe
establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Procesos:
PO1 Definicin de un plan Estratgico: el objetivo es lograr un balance ptimo
entre las oportunidades de tecnologa de informacin y los requerimientos de TI de
negocio, para asegurar sus logros futuros.
PO2 Definicin de la arquitectura de Informacin: el objetivo es satisfacer los
requerimientos de la organizacin, en cuanto al manejo y gestin de los sistemas
de informacin, a travs de la creacin y mantenimiento de un modelo de
informacin de la organizacin.
PO3 Determinacin de la direccin tecnolgica: el objetivo es aprovechar al
mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los
requerimientos de la organizacin, a travs de la creacin y mantenimiento de un
plan de infraestructura tecnolgica.
PO4 Definicin de la organizacin y de las relaciones de TI: el objetivo es la
prestacin de servicios de TI, por medio de una organizacin conveniente en
nmero y habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5 Manejo de la inversin: el objetivo es la satisfaccin de los requerimientos
de la organizacin, asegurando el financiamiento y el control de desembolsos de
recursos financieros.
PO6 Comunicacin de la direccin y aspiraciones de la gerencia: el objetivo
es asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones
de la gerencia, a travs de polticas establecidas y transmitidas a la comunidad de
usuarios, necesitndose para esto estndares para traducir las opciones
estratgicas en reglas de usuario prcticas y utilizables.

100

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

PO7 Administracin de recursos humanos: el objetivo es maximizar las


contribuciones del personal a los procesos de TI, satisfaciendo as los
requerimientos de negocio, a travs de tcnicas slidas para administracin de
personal.
PO8 Asegurar el cumplimiento con los requerimientos Externos: el objetivo
es cumplir con obligaciones legales, regulatorias y contractuales, para ello se
realiza una identificacin y anlisis de los requerimientos externos en cuanto a su
impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos.
PO9 Evaluacin de riesgos: el objetivo es asegurar el logro de los objetivos de TI
y responder a las amenazas hacia la provisin de servicios de TI, mediante la
participacin de la propia organizacin en la identificacin de riesgos de TI y en el
anlisis de impacto, tomando medidas econmicas para mitigar los riesgos.
PO10 Administracin de proyectos: el objetivo es establecer prioridades y
entregar servicios oportunamente y de acuerdo al presupuesto de inversin, para
ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la organizacin deber
adoptar y aplicar slidas tcnicas de administracin de proyectos para cada
proyecto emprendido.
PO11 Administracin de calidad: el objetivo es satisfacer los requerimientos del
cliente. Mediante una planeacin, implementacin y mantenimiento de estndares
y sistemas de administracin de calidad por parte de la organizacin.

DOMINIO DE ADQUISICIN E IMPLEMENTACIN


Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del
proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Procesos:
AI1 Identificacin de Soluciones Automatizadas: el objetivo es asegurar el
mejor enfoque para cumplir con los requerimientos del usuario, mediante un
anlisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios.
AI2 Adquisicin y mantenimiento del software aplicativo: el objetivo es
proporcionar funciones automatizadas que soporten efectivamente la organizacin
mediante declaraciones especficas sobre requerimientos funcionales y
operacionales y una implementacin estructurada con entregables claros.
101

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: el objetivo


es proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios mediante la realizacin de una evaluacin del desempeo del hardware
y software, la provisin de mantenimiento preventivo de hardware y la instalacin,
seguridad y control del software del sistema.
AI4 Desarrollo y mantenimiento de procedimientos: el objetivo es asegurar el
uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas,
mediante la realizacin de un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de servicio y
material de entrenamiento.
AI5 Instalacin y aceptacin de los sistemas: el objetivo es verificar y confirmar
que la solucin sea adecuada para el propsito deseado mediante la realizacin
de una migracin de instalacin, conversin y plan de aceptaciones
adecuadamente formalizadas.
AI6 Administracin de los cambios: el objetivo es minimizar la probabilidad de
interrupciones, alteraciones no autorizadas y errores, mediante un sistema de
administracin que permita el anlisis, implementacin y seguimiento de todos los
cambios requeridos y llevados a cabo a la infraestructura de TI actual.

DOMINIO DE SERVICIOS Y SOPORTE


En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicacin, frecuentemente
clasificados como controles de aplicacin.
Procesos:
DS1 Definicin de niveles de servicio: el objetivo es establecer una
comprensin comn del nivel de servicio requerido, mediante el establecimiento
de convenios de niveles de servicio que formalicen los criterios de desempeo
contra los cuales se medir la cantidad y la calidad del servicio.
DS2 Administracin de servicios prestados por terceros: el objetivo es
asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los requerimientos,
mediante el establecimiento de medidas de control dirigidas a la revisin y
monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las polticas de la organizacin.
102

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

DS3 Administracin de desempeo y capacidad: el objetivo es asegurar que la


capacidad adecuada est disponible y que se est haciendo el mejor uso de ella
para alcanzar el desempeo deseado, realizando controles de manejo de
capacidad y desempeo que recopilen datos y reporten acerca del manejo de
cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos.
DS4 Asegurar el Servicio Continuo: el objetivo es mantener el servicio
disponible de acuerdo con los requerimientos y continuar su provisin en caso de
interrupciones, mediante un plan de continuidad probado y funcional, que est
alineado con el plan de continuidad del negocio y relacionado con los
requerimientos de negocio.
DS5 Garantizar la seguridad de sistemas: el objetivo es salvaguardar la
informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida,
realizando controles de acceso lgico que aseguren que el acceso a sistemas,
datos y programas est restringido a usuarios autorizados.
DS6 Educacin y entrenamiento de usuarios: el objetivo es asegurar que los
usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de
los riesgos y responsabilidades involucrados realizando un plan completo de
entrenamiento y desarrollo.
DS7 Identificacin y asignacin de costos: el objetivo es asegurar un
conocimiento correcto atribuido a los servicios de TI realizando un sistema de
contabilidad de costos asegure que stos sean registrados, calculados y
asignados a los niveles de detalle requeridos.
DS8 Apoyo y asistencia a los clientes de TI: el objetivo es asegurar que
cualquier problema experimentado por los usuarios sea atendido apropiadamente
realizando una mesa de ayuda que proporcione soporte y asesora de primera
lnea.
DS9 Administracin de la configuracin: el objetivo es dar cuenta de todos los
componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia
fsica y proporcionar una base para el sano manejo de cambios realizando
controles que identifiquen y registren todos los activos de TI as como su
localizacin fsica y un programa regular de verificacin que confirme su
existencia.
DS10 Administracin de Problemas: el objetivo es asegurar que los problemas
e incidentes sean resueltos y que sus causas sean investigadas para prevenir que
vuelvan a suceder implementando un sistema de manejo de problemas que
registre y haga seguimiento a todos los incidentes.
DS11 Administracin de Datos: el objetivo es asegurar que los datos
permanezcan completos, precisos y vlidos durante su entrada, actualizacin,
103

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

salida y almacenamiento, a travs de una combinacin efectiva de controles


generales y de aplicacin sobre las operaciones de TI.
DS12 Administracin de las instalaciones: el objetivo es proporcionar un
ambiente fsico conveniente que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace
posible con la instalacin de controles fsicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las instalaciones y
contemplen su seguridad fsica.
DS13 Administracin de la operacin: el objetivo es asegurar que las funciones
importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una
manera ordenada a travs de una calendarizacin de actividades de soporte que
sea registrada y completada en cuanto al logro de todas las actividades.

DOMINIO DE DE MONITOREO
Todos los procesos de una organizacin necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad.
Procesos:
M1 Monitoreo del Proceso: el objetivo es asegurar el logro de los objetivos
establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la
gerencia reportes e indicadores de desempeo gerenciales y la implementacin de
sistemas de soporte as como la atencin regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: el objetivo es asegurar el logro de
los objetivos de control interno establecidos para los procesos de TI.
M3 Obtencin de Aseguramiento Independiente: el objetivo es incrementar los
niveles de confianza entre la organizacin, clientes y proveedores externos. Este
proceso se lleva a cabo a intervalos regulares de tiempo.
M4 Proveer Auditoria Independiente: el objetivo es incrementar los niveles de
confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditoras independientes
desarrolladas a intervalos regulares de tiempo.

104

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 22: Dominio, Procesos y Objetivos de Control Planeacin y


Organizacin PO

ESTANDAR COSO
Es un estndar de control interno para la gestin del riesgo, que hace
recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de
control. Fue emitido en 1991 por el Comit de Organizaciones Sponsor (Integrated
Framework del Committe of Sponsoring Organizations of the Treadway
Commission) y ampliado posteriormente en 2004.
El informe COSO, tiene dos objetivos fundamentales:

La definicin de control interno


Brindar un estndar para que las organizaciones evalen sus sistemas de
control y la forma de mejorarlos.

Control interno: proceso efectuado por el directorio, la gerencia y otro personal


de la entidad, con el fin de proveer un aseguramiento razonable en relacin al
logro de los objetivos, teniendo en cuenta las siguientes categoras:
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento con las leyes y regulaciones aplicables
Respecto al control interno, es importante resaltar:
Al definirse como proceso, se convierte en un medio para alcanzar un fin,
no constituye un fin en si mismo.
Involucra a personas de diferentes niveles de la organizacin, para su
accionar no es suficiente con tener manuales de procedimientos, es
indispensable crear y ejecutar mecanismos y estrategias de aplicacin,
control y evaluacin.
No garantiza la seguridad total, sino un grado razonable de la misma.
Se utiliza para hacer ms fcil y seguro la consecucin de los objetivos
empresariales.
Componentes:
relacionados:

establece

cinco

componentes

que

estn

ntimamente

1. Ambiente de control: incluye la filosofa, estilo operativo de la gerencia,


polticas, prcticas de recursos humanos, integridad y valores ticos de los
empleados, estructura organizacional, documentacin de polticas y
decisiones, desarrollo de programas que incluyan metas, objetivos e
indicadores de rendimiento, reglamentos y manuales de procedimientos,
mecanismos de asignacin y administracin de responsabilidades, es decir,
todos los aspectos que conforman la cultura organizacional y la actitud que
105

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

asume la alta gerencia y los dems niveles de la organizacin respecto a la


importancia y trascendencia del control interno en todas las actividades y
resultados que se obtienen en la empresa.
De acuerdo a las caractersticas de la organizacin, puede ser necesario que
se implementen consejos de administracin y comits de auditora con
personal calificado y un grado adecuado de independencia.
2. Evaluacin de riesgos: el control interno pretende limitar los riesgos que
afectan el desarrollo de las actividades propias de la organizacin, para ello se
requiere: tener un conocimiento prctico de la organizacin y sus
componentes, con el fin de identificar y analizar los riesgos examinando
factores externos (desarrollo tecnolgico, competencia, modificaciones
econmicas) y factores internos (calidad del personal, naturaleza de las
actividades de la empresa, caractersticas de los sistemas de informacin).
Un paso previo a la evaluacin de riesgos es el establecimiento de los
objetivos relacionados con las operaciones, la informacin financiera y el
cumplimiento. Dependiendo de su formulacin y cobertura se puede identificar
los factores de xito y los criterios para evaluar el rendimiento.
Al evaluar el riesgo, se debe:
Estimar su significacin (importancia y trscedencia)
Identificar la probabilidad de que ocurra y su frecuencia
Establecer cmo manejarlo.
Cabe tener en cuenta que se presentan riesgos cuando se plantean
situaciones de cambio y muchas veces estos no se perciben, por estar
inmersos en los nuevos procesos. Existen circunstancias que pueden merecer
una atencin especial en funcin del impacto potencial que plantean:
Cambios en el entorno
Redefinicin de la poltica institucional
Reorganizaciones o reestructuraciones internas
Ingreso de empleados nuevos, o rotacin de los existentes
Nuevos sistemas, procedimientos y tecnologas
Aceleracin del crecimiento
Nuevos productos, actividades o funciones 10
En casos como los mencionados, deben existir mecanismos establecidos para
encarar sin traumatismos los cambios.
3. Actividades de control: se realizan en todos los niveles de la organizacin y
en cada etapa de la gestin; estn conformadas por los procedimientos
generados para prevenir y contrarrestar los riesgos; se logra mediante el
establecimiento de polticas y procedimientos que garanticen que los
empleados sigan las directrices de la gerencia. En estas actividades se
incluyen:
Revisar los mecanismos de control
Controles fsicos
10

Ladino Enrique. Control interno: informe Coso. Biblioteca virtual Elibro - UNAD

106

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Adicin de tareas
Controles de los sistemas de informacin, dentro de los cuales se tiene:
o Controles generales (acceso, desarrollo de software y sistemas)
o Controles de las aplicaciones (detectan, previenen y corrigen
errores del sistema actual)
De acuerdo al objetivo de la organizacin, los controles se pueden agrupar en:
Las operaciones
La confiabilidad de la informacin financiera
El cumplimiento de leyes y reglamentos
Otra categorizacin de los controles es:
Preventivo / correctivo
Manuales / automatizados o informticos
Gerenciales o directivos
4. Informacin y comunicacin: los sistemas de informacin que se manejen
influyen de manera decisiva en la toma de decisiones en toda organizacin, por
lo tanto es indispensable que sea oportuna, exacta, actualizada y accesible
para evitar riesgos. En razn de lo anterior, es necesario establecer canales
de comunicacin estratgicos que permita identificar, capturar y reportar la
informacin financiera y operativa necesaria para controlar las actividades de la
organizacin. Los canales de comunicacin deben ser eficientes para lograr
que el personal, de acuerdo al rol que desempea, reciba la informacin
adecuada, la procese de acuerdo a las responsabilidades impartidas por
control interno y si encuentra problemas, comunicarlos a los niveles que
corresponden en la organizacin. Las entidades y personal ajeno a la
organizacin, pero que tiene vnculos con ella deben conocer que la empresa
no tolerar acciones inapropiadas.
5. Monitoreo o Supervisin: busca asegurar que el control interno funcione
correctamente, para lo cual la gerencia examina los sistemas de control en:
Actividades regulares: tiene que ver con el control de las actividades
cotidiana, propias a la gestin de la organizacin, como ejemplos se
pueden mencionar el comparar activos fsicos con informacin registrada,
seminarios de entrenamiento y exmenes que realizan auditores internos y
externos. Las anomalas que se encuentren se reportan al supervisor
encargado.
Evaluaciones especiales: se programan y realizan atendiendo las
necesidades que se presenten, puede variar su frecuencia y cobertura. Si
los resultados arrojan deficiencias, generalmente se informa a los altos
niveles de la gerencia.
Objetivos de Control de alto nivel

107

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 8. PO1 - Objetivos de control de alto nivel


P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: definir un Plan Estratgico de TI


Satisface el Requisito de Negocio: hallar un balance ptimo de oportunidades de
tecnologa de la Informacin y los requisitos de negocio as como tambin
asegurar su realizacin adicional
Facilitado pro: un proceso de planeacin estratgica emprendido a intervalos
regulares dando origen a planes a largo plazo; los planes a largo plazo deberan
ser traducidos peridicamente en planes operacionales que coloquen metas claras
y concretas a corto plazo.
Toma en consideracin: la definicin de los objetivos de negocio y necesidades
para las TI, el inventario de soluciones tecnolgicas e infraestructura actual, los
servicios de tecnologa de vigilancia, los cambios organizacionales, un estudio de
viabilidad oportuno y la existencia de evaluaciones de sistemas.
Afecta los recursos de:
Tabla 9. PO1 Tipos de recursos
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO2: DEFINIR LA ARQUITECTURA DE LA INFORMACIN


Objetivos de Control de alto nivel
Tabla 10. PO2 Objetivos de Control de alto nivel
P
S

Efectividad
Eficiencia
108

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

S
S

Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: definir la Arquitectura de la Informacin


Satisface el Requisito de Negocio: una mejor organizacin de los sistemas de
Informacin
Facilitado por: creacin y mantenimiento de un modelo de informacin de negocio
y asegurando que los sistemas son definidos para optimizar el uso de dicha
informacin.
Toma en consideracin: la documentacin, el diccionario de datos, las reglas
sintcticas de datos, y la propiedad de los datos y su clasificacin por importancia.
Afecta los recursos de:
Tabla 11. PO2 Recursos que afecta

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO3: DETERMINAR LA DIRECCIN TECNOLGICA


Objetivos de Control de alto nivel
Tabla 12. PO3 Objetivos de control de alto nivel
P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

109

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Control sobre el proceso de TI de: determinar la direccin Tecnolgica


Satisface el Requisito de Negocio: tomar ventaja de la tecnologa disponible y
emergente
Facilitado por: la creacin y mantenimiento de un plan de infraestructura
tecnolgica.
Toma en consideracin: la adecuacin y evolucin de la capacidad de la
infraestructura actual, la monitorizacin de los desarrollos tecnolgicos, las
contingencias y planes de adquisicin.
Afecta los recursos de:
Tabla 13. PO3 Recursos que afecta

X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO4: DEFINIR LA ORGANIZACIN DE LAS RELACIONES DE TI


Objetivos de Control de alto nivel
Tabla 14. PO4 Objetivos de control de alto nivel
P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: definir la organizacin y las relaciones de TI


Satisface el Requisito de Negocio: entregar los servicios de TI
Facilitado por: una organizacin apropiada en nmeros y habilidades con roles y
responsabilidades comunicadas y definidas.

110

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Toma en consideracin: comit de direccin, consejo de nivel de responsabilidad,


propiedad y curtodia, supervisin, segregacin de funciones, roles y
responsabilidades, descripcin del trabajo, provisin de niveles, claves personales
Afecta los recursos de:
Tabla 15. PO4 Recursos que afecta
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO5: ADMINISTRAR LA INVERSIN EN TI


Objetivos de Control de alto nivel
Tabla 16. PO5 Objetivos de control de alto nivel
P
P

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: administrar la inversin en TI


Satisface el Requisito de Negocio: garantizar la consolidadcin y controlar el gasto
de los recursos financieros
Facilitado por: Una inversin peridica y un presupuesto operacional establecido y
aprobado por la organizacin
Toma en consideracin: la consolidacin de alternativas, el control del gasto
efectivo, la justificacin de costos, y la justificacin de los beneficios.
Afecta los recursos de:

111

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 17. PO5 Recursos que afecta


X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO6: COMUNICAR LA DIRECCIN Y LAS ASPIRACIONES DE LA GERENCIA


Objetivos de Control de alto nivel
Tabla 18. PO6 Objetivos de control de alto nivel
P

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: comunicar la direccin y las aspiraciones de la


Gerencia
Satisface el Requisito de Negocio: garantizar el conocimiento del usuario y
entendimiento de esos fines
Facilitado por: las polticas establecidas y comunicadas a la comunidad de
usuarios y los estndares que necesitan, traducir opciones de estrategia en reglas
de usuario que sean prcticas, y tiles.
Toma en consideracin: el cdigo de conducta/tica, las directrices de tecnologa,
la conformidad, la comisin de calidad, las polticas de seguridad y las polticas de
control interno.
Afecta los recursos de:
Tabla 19. PO6 Recursos que afecta
X

Personas
Aplicaciones
112

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tecnologa
Instalaciones
Datos

PO7: ADMINISTRAR LOS RECURSOS HUMANOS


Objetivos de Control de alto nivel
Tabla 20. PO7 Objetivos de control de alto nivel
P
P

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: administrar los recursos humanos


Satisface el Requisito de Negocio: maximizar las contribuciones del personal a los
procesos de TI
Facilitado por: Tcnicas firmes de gestin de personal
Toma en consideracin: el refuerzo y promocin, los requisitos de calidad,
entrenamiento, construccin del conocimiento, procedimientos libres, evaluacin
de la ejecucin objetiva y medible
Afecta los recursos de:
Tabla 21. PO7 Recursos que afecta
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

113

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

PO8: ASEGURAR EL CUMPLIMIENTO DE LOS REQUISITOS EXTERNOS


Objetivos de Control de alto nivel
Tabla 22. PO8 Objetivos de control de alto nivel
P

P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: asegurar el cumplimiento de los requisitos


externos.
Satisface el Requisito de Negocio: encontrar obligaciones legales, contractuales y
reguladas
Facilitado por: la identificacin y anlisis de requisitos externos para su impacto en
las TI, y toma de medidas apropiadas para llevar a cabo su cumplimiento
Toma en consideracin: las leyes, regulaciones y contratos, la monitorizacin legal
y desarrollos regulados, las inspecciones regulares para cambios y mejoras, la
bsqueda de consejos legales, la seguridad y ergonoma, la privacidad, la
propiedad intelectual y los flujos de datos.
Afecta los recursos de:
Tabla 23. PO8 Recursos que afecta
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO9: EVALUAR LOS RIESGOS


Objetivos de Control de alto nivel

114

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 24. PO9 Objetivos de control de alto nivel


S
S
P
P
P
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: evaluar los riesgos


Satisface el Requisito de Negocio: asegurar la realizacin de los objetivos de TI y
respondiendo a las amenazas para el suministro de los servicios de TI
Facilitado por: la organizacin que se autocompromete en los riesgos de las TI
identificando y analizando su impacto, y tomando medidas efectivas de costos
para mitigar los riesgos
Toma en consideracin: los diferentes tipos de riesgos de TI (tecnologa,
seguridad, continuidad, etc.), el alcance global o especfico para un sistema,
evaluacin de riesgos hata la fecha, metodologa de anlisis de riesgos, las
medidas de riesgo cuantitativas y/o cualitativas, plan de accin de riesgos.
Afecta los recursos de:
Tabla 25. PO9 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO10: ADMINISTRAR LOS PROYECTOS


Objetivos de Control de alto nivel
Tabla 26. PO10 Objetivos de control de alto nivel
P
P

Efectividad
Eficiencia
Confidencialidad
115

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: administrar los proyectos


Satisface el Requisito de Negocio: establecer prioridades y salvar a tiempo, y
dentro del presupuesto.
Facilitado por: la organizacin identificando y dando prioridad a los proyectos en
lnea junto al plan operacional; adems, la organizacin debe adoptar y aplicar
tcnicas de gestin de proyectos para cada uno de los proyectos
Toma en consideracin: la propiedad de proyectos, la complicacin del usuario, la
interrupcin de tareas, la distribucin de responsabilidades, los proyectos y fases
de aprobacin, los costos y presupuesto del personal, los planes de seguridad, de
la calidad y mtodos.
Afecta los recursos de:
Tabla 27. PO10 Recursos que afecta
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

PO11: ADMINISTRAR LA CALIDAD


Objetivos de Control de alto nivel
Tabla 28. PO11 Objetivos de control de alto nivel
P
P
P

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
116

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Control sobre el proceso de TI de: administrar la calidad


Satisface el Requisito de Negocio: encontrar los requisitos individuales de las TI
Facilitado por: la planeacin, implementacin y mantenimiento de estndares de
gestin de calidad y sistemas por la organizacin; adems, la organizacin
debera adoptar y aplicar una metodologa que se sumistre para las distintas fases
del desarrollo y puediera preveer fases claras y libres
Toma en consideracin: el plan de estructura de la calidad, las responsabilidades
de seguridad de la calidad, la metodologa del ciclo de vida del desarrollo de
sistemas, la programacin y testeo de sistemas y documentacin, la inspeccin de
seguridad de la calidad e informes.
Afecta los recursos de:
Tabla 29. PO11 Recursos que afecta
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

Leccin 23: Dominio, Procesos y Objetivos de Control Adquisicin e


Implementacin - AI
AI1: IDENTIFICAR SOLUCIONES
Objetivos de Control de alto nivel
Tabla 30. AI1 Objetivos de control de alto nivel
P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: identificar soluciones

117

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Satisface el Requisito de Negocio: asegurar la mejor aproximacin para satisfacer


los requisitos de los usuarios
Facilitado por: un anlisis claro de las oportunidades alternativas medidas contra
los requisitos de los usuarios
Toma en consideracin: la definicin de la informacin de los requisitos, estudios
de factibilidad (costos, beneficos, alternativas, etc), requisitos de usuarios, la
arquitectura de la informacin, la seguridad de costos efectivos, los rastros de
auditoria, la contratacin externa, la aceptacin de las facilidades y la tecnologa
Afecta los recursos de:
Tabla 31. AI1 Recursos que afecta

X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

AI2: ADQUISICIN Y MANTENIMIENTO DE APLICACIONES SOFTWARE


Objetivos de Control de alto nivel
Tabla 32. AI2 Objetivos de control de alto nivel
P
P
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: adquisicin y mantenimiento de aplicaciones


software
Satisface el Requisito de Negocio: suministrar funciones automticas que soporten
de forma efectiva los procesos del negocio
Facilitado por: la definicin de estados especficos de los requisitos funcionales y
operativos, y una implementacin estructurada con dictmenes claros
118

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Toma en consideracin: los requisitos de los usuarios; el archivo, gasto, proceso y


requisitos externos; la interfaz de la mquina usuario, testeo funcional, los
controles de aplicacin y requisitos de seguridad y la documentacin
Afecta los recursos de:
Tabla 33. AI2 Recursos que afecta

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

AI3: ADQUISICIN
TECNOLGICA

MANTENIMIENTO

DE

LA

INFRAESTRUCTURA

Objetivos de Control de alto nivel


Tabla 34. AI3 Objetivos de control de alto nivel
P
P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: adquisicin y mantenimiento de la


infraestructura tecnolgica
Satisface el Requisito de Negocio: suministrar las plataformas adecuadas para
soportar las aplicaciones de negocios
Facilitado por: el asentamiento de la implantacin de hardware y software, la
provisin del mantenimiento preventivo del hardware, y la instalacin, seguridad y
control de los sistemas software
Toma en consideracin: el asentamiento de la tecnologa, el mantenimiento del
hardware preventivo, la seguridad del sistema software, instalacin,
mantenimiento y cambio de controles
Afecta los recursos de:
119

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 35. AI3 Recursos que afecta

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

AI4: DESARROLLAR Y MANTENER PROCEDIMIENTOS DE TI


Objetivos de Control de alto nivel
Tabla 36. AI4 Objetivos de control de alto nivel
P
P
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: desarrollar y mantener los procedimientos de TI


Satisface el Requisito de Negocio: asegurar el uso apropiado de las aplicaciones y
que las soluciones tecnolgicas estn en su sitio
Facilitado por: una aproximacin estructurada para el desarrollo de los usuarios y
los manuales de procedimientos de operaciones, requisitos de servicio y
materiales de entrenamiento
Toma en consideracin: los procedimientos de usuarios y controles, los
procedimientos operacionales y controles, los materiales de entrenamiento.
Afecta los recursos de:
Tabla 37. AI4 Recursos que afecta
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
120

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

AI5: INSTALACIN Y ACREDITACIN DE SISTEMAS


Objetivos de Control de alto nivel
Tabla 38. AI5 Objetivos de control de alto nivel
P

S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: instalacin y acreditacin de sitemas


Satisface el Requisito de Negocio: verificar y confirmar que la solucin es
conveniente para los propsitos propuestos
Facilitado por: la realizacin de una migracin de instalacin bien formalizada,
conversin y un plan aceptado
Toma en consideracin: el entrenamiento, la carga/conversin de datos, los
testeos especficos, la acreditacin y las inspecciones post implantacin.
Afecta los recursos de:
Tabla 39. AI5 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

AI6: GESTIN DE CAMBIOS


Objetivos de Control de alto nivel
Tabla 40. AI6 Objetivos de control de alto nivel
P

Efectividad
121

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

P
P
P
S

Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: gestionar los cambios


Satisface el Requisito de Negocio: minimizar la posibilidad de ruptura, alteraciones
no autorizadas, y errores
Facilitado por: un sistema de gestin que se suministre para el anlisis,
implementacin y obtencin de todos los cambios solicitados y realizados para las
infraestructuras de TI existentes
Toma en consideracin: la identificacin de los cambios, categorizar, priorizar y
procedimientos de emergencia, asentamiento de impactos, cambio de autoridad,
gestin de venta, la distribucin de software.
Afecta los recursos de:
Tabla 41. AI6 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

Leccin 24: Dominio, Procesos y Objetivos de Control Entrega y Soporte


DS
DS1: DEFINIR NIVELES DE SERVICIO
Objetivos de Control de alto nivel
Tabla 42. DS1 Objetivos de control de alto nivel
P
P
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
122

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

S
S

Conformidad
Confiabilidad

Control sobre el proceso de TI de: definir niveles de servicio


Satisface el Requisito de Negocio: establecer un entendimiento comn del nivel de
servicio requerido
Facilitado por: el establecimiento de un nivel de servicio conforme que formalice el
criterio de realizacin en comparacin con que la cantidad y calidad de servicio
ser medida
Toma en consideracin: los acuerdos formales, la definicin de responsabilidades,
tiempos de respuesta y volmenes, cobro, garantas de integridad, acuerdos no
declarados
Afecta los recursos de:
Tabla 43. DS1 Recursos que afecta
X
Personas
X
Aplicaciones
X
Tecnologa
X
Instalaciones
X
Datos

DS2: GESTIONAR LOS SERVICIOS PRESTADOS POR TERCEROS


Objetivos de Control de alto nivel
Tabla 44. DS2 Objetivos de control de alto nivel
P
P
S
S
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: gestionar los servicios prestados por terceros

123

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Satisface el Requisito de Negocio: asegurar que las reglas y las responsabilidades


de terceras partes estn definidas de forma clara, adheridas y continuar
satisfaciendo los requisitos
Facilitado por: las medidas de control dirigidas en la inspeccin y monitorizacin
de contratos existentes y procedimientos para su efectividad y conformidad con la
poltica de la organizacin
Toma en consideracin: los acuerdos de servicio con terceras personas, los
acuerdos no declarados, los requisitos legales y regulados, la monitorizacin del
servicio entregado
Afecta los recursos de:
Tabla 45. DS2 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS3: ADMINISTRAR EL CUMPLIMIENTO Y LA CAPACIDAD


Objetivos de Control de alto nivel
Tabla 46. DS3 Objetivos de control de alto nivel
P
Efectividad
P
Eficiencia
Confidencialidad
Integridad
S
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: administrar el cumplimiento y la capacidad


Satisface el Requisito de Negocio: asegurar que la capacidad adecuada est
disponible y que se est haciendo un uso ptimo y mejor para encontrar las
necesidades de cumplimiento requeridas

124

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Facilitado por: los controles de gestin de capacidad y cumplimiento que


coleccionen datos e informen en la gestin de trabajo, dimensionado de la
aplicacin, recursos y gestin demandada
Toma en consideracin: la disponibilidad y cumplimiento de los requisitos, la
monitorizacin e informacin, las herramientas de modelado, la gestin de la
capacidad y la disponibilidad del recurso
Afecta los recursos de:
Tabla 47. DS3 Recursos que afecta

X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS4: ASEGURAR EL SERVICIO CONTINUO


Objetivos de Control de alto nivel
Tabla 48. DS4 Objetivos de control de alto nivel
P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: asegurar el servicio continuo


Satisface el Requisito de Negocio: hacer que los servicios de TI requeridos estn
disponibles y asegurar un impacto de negocio mnimo en caso de una
contingencia mayor
Facilitado por: la posesin de un continuado y testeado plan de TI que est en
lnea con la totalidad del plan continuo de negocio y con sus requisitos de negocio
relacionados.

125

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Toma en consideracin: la clasificacin crtica, el plan documentado, los


procedimientos alternativos, las copias de seguridad y recuperacin, el anlisis y
entrenamiento regular y sistemtico.
Afecta los recursos de:
Tabla 49. DS4 Recursos que afecta
X
Personas
X
Aplicaciones
X
Tecnologa
X
Instalaciones
X
Datos

DS5: GARANTIZAR LA SEGURIDAD DEL SISTEMA


Objetivos de Control de alto nivel
Tabla 50. DS5 Objetivos de control de alto nivel

P
P
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: garantizar la seguridad del sistema


Satisface el Requisito de Negocio: salvaguardar la informacin contra el uso no
autorizado, descubrimiento o modificacin, dao o prdida
Facilitado por: controles de acceso lgico que aseguren que el acceso a los
sistemas, datos y programas est restringido a los usuarios autorizados.
Toma en consideracin: la autorizacin, la autenticidad, el acceso, el uso de
proteccin e identificacin, gestin de calve criptogrfica, incidencia de manejo,
informar y completar, camino custodiado, deteccin y prevencin de virus,
cortafuegos
Afecta los recursos de:

126

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 51. DS5 Recursos que afecta


X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS6: IDENTIFICAR Y ATUBUIR COSTOS


Objetivos de Control de alto nivel
Tabla 52. DS6 Objetivos de control de alto nivel

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: identificar y atribuir costos


Satisface el Requisito de Negocio: asegura un correcto conocimiento de los costos
atribuidos a los servicios de TI
Facilitado por: un sistema de contabilidad de costos que asegure que dichos
costos son registrados, calculados y localizados para el nivel de detalle requerido.
Toma en consideracin: los recursos identificables y medibles, la imposicin de
polticas y procedimientos, imponer valores.
Afecta los recursos de:
Tabla 53. DS6 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
127

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

DS7: EDUCAR Y ENTRENAR A LOS USUARIOS


Objetivos de Control de alto nivel
Tabla 54. DS7 Objetivos de control de alto nivel
P
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: educar y entrenar a los usuarios


Satisface el Requisito de Negocio: asegurar que los usuarios son eficientes en el
uso de la tecnologa y que son conscientes de los riesgos y responsabilidades en
las que estn involucrados
Facilitado por: un plan de estudios para entrenamiento
Toma en consideracin: un plan de estudios de entrenamiento, campaas de
conocimiento, y tcnicas de conocimiento
Afecta los recursos de:
Tabla 55. DS7 Recursos que afecta
X
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS8: ASISTENCIA Y CONSEJO A LOS CLIENTES DE TI


Objetivos de Control de alto nivel
Tabla 56. DS8 Objetivos de control de alto nivel
P

Efectividad
128

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: asistir y aconsejar a los clientes de TI


Satisface el Requisito de Negocio: asegurar que cualquier
experimentado por el usuario ser resuelto apropiadamente

problema

Facilitado por: una fcil ayuda que suministre soporte de primer orden y consejo
Toma en consideracin: las cuestiones del cliente y respuestas al problema,
monitorizacin de cuestiones y aclaraciones, anlisis de tendencias e informacin
Afecta los recursos de:
Tabla 57. DS8 Recursos que afecta
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS9: GESTIN DE LA CONFIGURACIN


Objetivos de Control de alto nivel
Tabla 58. DS9 Objetivos de control de alto nivel
P

S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

129

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Control sobre el proceso de TI de: gestionar la configuracin


Satisface el Requisito de Negocio: considerar todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia fsica y proveer de un
fundamento para una gestin de cambio firme.
Facilitado por: controles que identifiquen y registren todos los medios de TI y su
localizacin fsica, y un programa regular de verificacin que confirme dicha
existencia
Toma en consideracin: medios de registro, gestin del cambio de configuracin,
chequeo del software no autorizado y controles de almacenamiento de softwarela
adecuacin y evolucin de la capacidad de la infraestructura actual, la
monitorizacin de los desarrollos tecnolgicos, las contingencias y planes de
adquisicin.
Afecta los recursos de:
Tabla 59. DS9 Recursos que afecta

X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS10: GESTIN DE PROBLEMAS E INCIDENTES


Objetivos de Control de alto nivel
Tabla 60. DS10 Objetivos de control de alto nivel
P
P

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: gestionar los problemas e Incidentes


Satisface el Requisito de Negocio: asegurar que los problemas e incidentes sern
resueltos, investigando la causa para prevenir una nueva aparicin de estos
130

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Facilitado por: un sistema de gestin de problemas que registre todos los


incidentes y su evolucin.
Toma en consideracin: las reglas suficientes de auditoria de problemas y
soluciones, la resolucin oportuna de problemas anunciados, la puesta en marcha
de procedimientos y los informes de incidentes
Afecta los recursos de:
Tabla 61. DS10 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS11: GESTIN DE DATOS


Objetivos de Control de alto nivel
Tabla 62. DS11 Objetivos de control de alto nivel
Efectividad
Eficiencia
Confidencialidad
P
Integridad
Disponibilidad
Conformidad
P
Confiabilidad

Control sobre el proceso de TI de: administrar los datos


Satisface el Requisito de Negocio: asegurar que los datos permanecen completos,
correctos y vlidos durante su introduccin, actualizacin y almacenamiento
Facilitado por: una combinacin efectiva de aplicacin de controles generales
sobre las operaciones de TI
Toma en consideracin: el diseo del modelo, los controles de documentos fuente,
controles en la entrada, controles en el proceso, controles de salida, identificacin
multimedia, mecanismo y gestin de biblioteca, almacenamiento multimedia y
gestin de copias de seguridad, la autenticidad e integridad
131

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Afecta los recursos de:


Tabla 63. DS11 Recursos que afecta

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

DS12: ADMINISTRAR LAS INSTALACIONES


Objetivos de Control de alto nivel
Tabla 64. DS12 Objetivos de control de alto nivel

P
P

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: administrar las Instalaciones


Satisface el Requisito de Negocio: proveer de un medio fsico apropiado que
proteja el equipamento de las TI y a las personas contra riesgos naturales y
riesgos provocados por el hombre
Facilitado por: la instalacin de controles fsicos apropiados que deben ser
revisados regularmente para su propia funcin
Toma en consideracin: el acceso a facilidades, la identificacin de situaciones, la
seguridad fsica, la salud y seguridad del personal, la proteccin de amenazas del
entorno
Afecta los recursos de:
Tabla 65. DS12 Recursos que afecta
Personas
Aplicaciones
132

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tecnologa
Instalaciones
Datos

DS13: GESTIN DE OPERACIONES


Objetivos de Control de alto nivel
Tabla 66. DS13 Objetivos de control de alto nivel
P
P
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: gestionar las operaciones


Satisface el Requisito de Negocio: asegurar que las funciones importantes
soportadas de las TI son realizadas regularmente y de una forma ordenada
Facilitado por: la planificacin de actividades soportadas que ser registrado y
aclarado para el cumplimiento de las actividades.
Toma en consideracin: el manuel de procedimientos de operaciones, la
documentacin del proceso puesto en marcha, la gestin de servicios de la red, la
planeacin del trabajo y el personal, procesos cambiados, el registro del suceso
del sistema.
Afecta los recursos de:
Tabla 67. DS13 Recursos que afecta
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

133

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 25: Dominio, Procesos y Objetivos de Control Monitoreo M


M1: MONITORIZAR LOS PROCESOS
Objetivos de Control de alto nivel
Tabla 68. M1 Objetivos de control de alto nivel
P
S
S
S
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: monitorizar los procesos


Satisface el Requisito de Negocio: asegurar la realizacin de la ejecucin de los
objetivos establecidos para los procesos de TI
Facilitado por: la definicin de la administracin del informe de gestin e indicdores
realizados, implementacin de los sistemas soportados as como la aclaracin del
informe sobre los fundamentos regulares.
Toma en consideracin: indicadores claves de gestin, los factores de sucesos
crticos, las evaluaciones de satisfaccin del cliente, el informe de gestin
Afecta los recursos de:
Tabla 69. M1 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

M2: DETERMINAR LA DIRECCIN TECNOLGICA


Objetivos de Control de alto nivel

134

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 70. M2 Objetivos de control de alto nivel


P
P
S
S
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: evaluar lo adecuado del control interno


Satisface el Requisito de Negocio: asegurar la realizacin de los objetivos de
control interno establecidos para los procesos de TI
Facilitado por: La comisin de la administracin para monitorizar controles
internos, fijando su efectividad, e informando de ellos con bases regulares.
Toma en consideracin: la monitorizacin de controles internos en proceso, test de
pruebas (benchmarks), informe de error y excepcin, autoevaluacin, informe de
la administracin.
Afecta los recursos de:
Tabla 71. M2 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

M3: OBTENER ASEGURAMIENTO INDEPENDIENTE


Objetivos de Control de alto nivel
Tabla 72. M3 Objetivos de control de alto nivel
P
P
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
135

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

S
S
S

Disponibilidad
Conformidad
Confiabilidad

Control sobre el proceso de TI de: obtener aseguramiento independiente


Satisface el Requisito de Negocio: incrementar la confianza y el cuidado entre la
organizacin, los clientes y los proveedores a terceros
Facilitado por: las inspecciones de la seguridad independiente llevadas a cabo en
intervalos regulares
Toma
en
consideracin:
certificaciones/acreditaciones
independientes,
evaluaciones de efectividad independientes, seguridad independiente de
conformidad con leyes y nosmas de regulacin, seguridad independiente de
conformidad con comisiones contractuales, inspecciones a proveedores de
servicios a terceros, realizacin de inspeccones de seguridad por personal
cualificado, realizacin de auditorias proactivas.
Afecta los recursos de:
Tabla 73. M3 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

M4: SUMINISTRAR UNA AUDITORIA INDEPENDIENTE


Objetivos de Control de alto nivel
Tabla 74. M4 Objetivos de control de alto nivel
P
P
S
S
S
S
S

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Confiabilidad
136

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Control sobre el proceso de TI de: suministrar una auditoria independiente


Satisface el Requisito de Negocio: incrementar los niveles de confianza y
beneficios desde el mejor consejo de prctica
Facilitado por: Auditorias independientes llevadas a cabo en intervalos regulares
Toma en consideracin: la independencia de las auditorias, involucrar auditorias
proactivas, realizacin de auditorias por personal cualificado, claridad de las
decisiones y recomendaciones, actividades continuas
Afecta los recursos de:
Tabla 75. M4 Recursos que afecta
X
X
X
X
X

Personas
Aplicaciones
Tecnologa
Instalaciones
Datos

137

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

UNIDAD 2: CONTROL INFORMTICO


CAPITULO 6: PROCEDIMIENTOS DE AUDITORIA INFORMTICA Y DE
SISTEMAS

Introduccin
Una de las caractersticas tpicas del desarrollo de software basado en el ciclo de
vida es la realizacin de controles peridicos, normalmente coincidiendo con la
terminacin de cada una de las etapas, del producto o los documentos. Estos
controles pretenden una evaluacin de la calidad de los productos generados para
poder detectar posibles defectos cuanto antes. Sin embargo, todo sistema o
aplicacin, independientemente de estas revisiones, debe ser probado mediante
su ejecucin controlada antes de ser entregado al cliente. Estas ejecuciones o
ensayos de funcionamiento, posteriores a la terminacin del cdigo del software,
se denominan habitualmente pruebas.
Cuando se desarrolla software, dentro del ciclo de vida se ha establecido
formalmente que la prueba es una actividad fundamental dentro de cada una de
las etapas del proceso de desarrollo de software. A partir de la prueba se puede
determinar la calidad de los productos implementados.
Desde hace mucho tiempo, la prueba ha sido un tema muy importante en la
ingeniera de software, a partir de cual se han generado un gran nmero de
trabajos. En este captulo se presenta una revisin tcnica sobre la prueba de
software, abordndose fundamentalmente los enfoques de prueba propuestos
para probar software construido bajo un enfoque funcional, orientado a objetos y
basado en componentes.
Las pruebas constituyen un mtodo ms para poder verificar y validar el software
cuando ya est en forma de cdigo ejecutable. La verificacin es el proceso de
evaluacin de un sistema o de uno de sus componentes para determinar si los
productos satisfacen las condiciones impuestas al comienzo de dicha fase, y la
validacin hace referencia al proceso de evaluacin de un sistema o de uno de
sus componentes durante o al final del proceso de desarrollo para determinar si
satisface los requisitos especificados. As, validar una aplicacin implica
comprobar si satisface los requisitos marcados por el usuario.

138

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 26: Tcnicas de Auditoria para Recoleccin de Informacin


Teniendo en cuenta las herramientas utilizadas en la auditoria tradicional y su
eficiencia comprobada, as como las tcnicas y metodologas de evaluacin se
tratar de su aplicacin a la evaluacin del rea informtica y a los sistemas
computacionales. El auditor de sistemas deber seleccionar y utilizar las
herramientas, tcnicas, procedimientos y metodologas que le permitan examinar,
revisar, comparar y evaluar correctamente cada uno de los aspectos del ambiente
informtico y de sistemas en el que desarrolla su trabajo. Cabe aclarar que el uso
de estas son aplicables en cualquier proceso de auditora, pero es el auditor quien
debe seleccionar cules de ellos utilizar, de acuerdo al aspecto a evaluar.
Evaluacin: consiste en analizar mediante pruebas la calidad y cumplimiento de
funciones, actividades y procedimientos que se realizan en una organizacin o
rea. Las evaluaciones se utilizan para valorar registros, planes, presupuestos,
programas, controles y otros aspectos que afectan la administracin y control de
una organizacin o las reas que la integran. La evaluacin se aplica para
investigar algn hecho, comprobar alguna cosa, verificar la forma de realizar un
proceso, evaluar la aplicacin de tcnicas, mtodos o procedimientos de trabajo,
verificar el resultado de una transaccin, comprobar la operacin correcta de un
sistema software entre otros muchos aspectos.
Inspeccin: la inspeccin permite evaluar la eficiencia y eficacia del sistema, en
cuanto a operacin y procesamiento de datos para reducir los riesgos y unificar el
trabajo hasta finalizarlo. La inspeccin se realiza a cualquiera de las actividades,
operaciones y componentes que rodean los sistemas.
Confirmacin: el aspecto ms importante en la auditoria es la confirmacin de
los hechos y la certificacin de los datos que se obtienen en la revisin, ya que el
resultado final de la auditoria es la emisin de un dictamen donde el auditor
expone sus opiniones, este informe es aceptado siempre y cuando los datos sean
veraces y confiables. No se puede dar un dictamen en base a suposiciones o
emitir juicios que no sean comprobables.
Comparacin: otra de las tcnicas utilizadas en la auditoria es la comparacin de
los datos obtenidos en un rea o en toda la organizacin y cotejando esa
informacin con los datos similares o iguales de otra organizacin con
caractersticas semejantes. En auditora a los sistemas software se realiza la
comparacin de los resultados obtenidos con el sistema y los resultados con el
procesamiento manual, el objetivo de dicha comparacin es comprobar si los
resultados son iguales, o determinar las posibles desviaciones, y errores entre
ellos.
Revisin Documental: otra de las herramientas utilizadas en la auditora es la
revisin de documentos que soportan los registros de operaciones y actividades
de una organizacin. Aqu se analiza el registro de actividades y operaciones
139

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

plasmadas en documentos y archivos formales, con el fin de que el auditor sepa


cmo fueron registrados las operaciones, resultados y otros aspectos inherentes al
desarrollo de las funciones y actividades normales de la organizacin. En esta
evaluacin se revisan manuales, instructivos, procedimientos, funciones y
actividades. El registro de resultados, estadsticas, la interpretacin de acuerdos,
memorandos, normas, polticas y todos los aspectos formales que se asientan por
escrito para el cumplimiento de las funciones y actividades en la administracin
de las organizaciones.
Matriz de Evaluacin: es uno de los documentos de mayor utilidad para recopilar
informacin relacionada con la actividad, operacin o funcin que se realiza en el
rea informtica, as como tambin se puede observar anticipadamente su
cumplimiento. La escala de valoracin puede ir desde la mnima con puntaje 1
(baja, deficiente) hasta la valoracin mxima de 5(superior, muy bueno,
excelente). Cada una de estas valoraciones deber tener asociado la descripcin
del criterio por el cual se da ese valor. Esta matriz permite realizar la valoracin del
cumplimiento de una funcin especfica de la administracin del centro de
cmputo, en la verificacin de actividades de cualquier funcin del rea de
informtica, del sistema software, del desarrollo de proyectos software, del servicio
a los usuarios del sistema o cualquier otra actividad del rea de informtica en la
organizacin.
Matriz DOFA: este es un mtodo de anlisis y diagnstico usado para la
evaluacin de un centro de cmputo, que permite la evaluacin del desempeo de
los sistemas software, aqu se evalan los factores internos y externos, para que
el auditor puede evaluar el cumplimiento de la misin y objetivo general del rea
de informtica de la organizacin.
RECOLECCIN DE INFORMACIN PARA AUDITORA INFORMTICA Y DE
SISTEMAS
Los instrumentos, tcnicas, y metodologas para la recoleccin de informacin en
una auditoria ya han sido probados de manera eficiente y eficaz en su aplicacin y
es por eso que el auditor debe aprovecharlas con el propsito de que las disee y
las utilice en dicho proceso.
Observacin: es una de las tcnicas ms utilizadas para examinar los diferentes
aspectos que intervienen en el funcionamiento del rea informtica y los sistemas
software, permite recolectar la informacin directamente sobre el comportamiento
de los sistemas, del rea de informtica, de las funciones y actividades, los
procedimientos y operacin de los sistemas, y de cualquier hecho que ocurra en el
rea. En el caso especfico de la auditora se aplica para observar todo lo
relacionado con el rea informtica y los sistemas de una organizacin con el
propsito de percibir, examinar, o analizar los eventos que se presentan en el
desarrollo de las actividades del rea o de un sistema que permita evaluar el
cumplimiento de las funciones, operaciones y procedimientos.
140

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Entrevistas: esta tcnica es la ms utilizada por los auditores ya que a travs de


ella se obtiene informacin sobre lo que est auditando, adems de tips que
permitirn conocer ms sobre los puntos a evaluar o analizar. La entrevista en
general es un medio directo para la recoleccin de informacin, para la captura de
los datos informados por medio de grabadoras digitales o cualquier otro medio. En
la entrevista, el auditor interroga, investiga y conforma directamente sobre los
aspectos que se est auditando. En su aplicacin se utiliza una gua general de la
entrevista, que contiene una serie de preguntas sobre los temas que se quiere
tocar, y que a medida que avanza pueden irse adaptando para profundizar y
preguntar sobre el tema.
Cuestionarios: los cuestionarios son preguntas impresas en formatos o fichas en
que el auditado responde de acuerdo a su criterio, de esta manera el auditor
obtiene informacin que posteriormente puede clasificar e interpretar por medio de
la tabulacin y anlisis, para evaluar lo que se est auditando y emitir una opinin
sobre el aspecto evaluado.
Encuestas: las encuestas son utilizadas frecuentemente para recolectar
informacin sobre aspectos como el servicio, el comportamiento y utilidad del
equipo, la actuacin del personal y los usuarios, entre otros juicios de la funcin
informtica. No existen reglas para el uso de las encuestas, solo los que regulan
los aspectos tcnicos y estadsticos tales como la eleccin del universo y la
muestra, que se contemplan dentro de la aplicacin de mtodos probabilsticas y
estadsticos para hacer la mejor eleccin de las muestras y recoleccin de
opiniones.
Inventarios: consiste en hacer el recuento fsico de lo que se est auditando, con
el fin de compararla con la que existe en los documentos en la misma fecha.
Consiste en comparar las cantidades reales existentes con las que debera haber
para comprobar que sean iguales, de lo contrario iniciar la investigacin de la
diferencia para establecer las causas. Con la aplicacin de esta herramienta de la
auditoria tradicional, el auditor de sistemas tambin puede examinar las
existencias de los elementos disponibles para el funcionamiento del rea
informtica o del sistema, contabilizando los equipos de cmputo, la informacin y
los datos de la empresa, los programas, perifricos, consumibles, documentos,
recursos informticos, y dems aspectos que se desee conocer, con el fin de
comparar la cantidad real con las existencias que se registra en los documentos.

141

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Leccin 27: Fases de la Auditora Informtica y de Sistemas


Para realizar una auditora de sistemas se requiere planear una serie ordenada
de acciones y procedimientos especficos, que deben ser ejecutados de forma
secuencial, cronolgica y ordenada, teniendo en cuenta etapas, eventos y
actividades que se requieran para su ejecucin que sern establecidos de acuerdo
a las necesidades de la empresa. Estos procedimientos se adaptarn de acuerdo
al tipo de auditora de sistemas que se vaya a realizar y con el cumplimiento
estricto de las necesidades, tcnicas y mtodos de evaluacin del rea de
sistematizacin. Los mtodos deben seguirse para la determinacin de las
herramientas e instrumentos de revisin que sern utilizados en la auditoria, la
metodologa cubre tres etapas: la primera de planeacin, la segunda de ejecucin
y la tercera del dictamen de la auditoria.
Etapa de Planeacin de la Auditora
El primer paso para realizar una auditora de sistemas es la planeacin de cmo
se va a ejecutar la auditora, donde se debe identificar de forma clara las razones
por las que se va a realizar la auditora, la determinacin del objetivo de la misma,
el diseo de mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y
para la solicitud de documentos que servirn de apoyo para la ejecucin,
terminando con la elaboracin de la documentacin de los planes, programas y
presupuestos para llevarla a cabo.
Identificar el origen de la auditora: este es el primer paso para iniciar la
planeacin de la auditora, en esta se debe determinar por qu surge la necesidad
o inquietud de realizar una auditora. Las preguntas que se deben contestar de
dnde?, porqu?, Quin? o para qu? Se quiere hacer la evaluacin de algn
aspecto de los sistemas de la empresa.
Visita Preliminar al rea informtica: este es el segundo paso en la planeacin
de la auditora y consiste en realizar una visita preliminar al rea de informtica
que ser auditada, luego de conocer el origen de la peticin de realizar la auditora
y antes de iniciarla formalmente; el propsito es el de tener un primer contacto con
el personal asignado a dicha rea, conocer la distribucin de los sistemas y donde
se localizan los servidores y equipos terminales en el centro de cmputo, sus
caractersticas, las medidas de seguridad y otros aspectos sobre que
problemticas que se presentan en el rea auditada. Se deben tener en cuenta
aspectos tales como:
La visita inicial para el arranque de la auditora cuya finalidad es saber Cmo
se encuentran distribuidos los equipos en el rea?, Cuntos, cules, cmo y
de qu tipo son los servidores y terminales que existen en el rea?, Qu
caractersticas generales de los sistemas que sern auditados?, Qu tipo de
instalaciones y conexiones fsicas existen en el rea?, Cul es la reaccin del
personal frente al auditor?, Cules son las medidas de seguridad fsica
142

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

existentes en el rea?, y Qu limitaciones se observan para realizar la


auditora?. Con esta informacin el auditor podr disear las medidas
necesarias para una adecuada planeacin de la auditora y establecer algunas
acciones concretas que le ayuden al desarrollo de la evaluacin.
Establecer los Objetivos de la Auditora: los objetivos de la planeacin de la
auditora son:
o

El objetivo general, que es el fin global de lo que se pretende alcanzar con el


desarrollo de la auditora informtica y de sistemas, en el se plantean todos los
aspectos que se pretende evaluar.

Los objetivos especficos, que son los fines individuales que se pretenden para
el logro del objetivo general, donde se seala especficamente los sistemas,
componentes o elementos concretos que deben ser evaluados.

Determinar los puntos que sern evaluados: una vez determinados los
objetivos de la auditora se debe relacionar los aspectos que sern evaluados, y
para esto se debe considerar aspectos especficos del rea informtica y de los
sistemas computacionales tales como: la gestin administrativa del rea
informtica y el centro de cmputo, el cumplimiento de las funciones del personal
informtico y usuarios de los sistemas, los sistemas en desarrollo, la operacin de
los sistemas en produccin, los programas de capacitacin para el personal del
rea y usuarios de los sistemas, proteccin de las bases de datos, datos
confidenciales y accesos a las mismas, proteccin de las copias de seguridad y la
restauracin de la informacin, entre otros aspectos.
Elaborar planes, programas y presupuestos para realizar la auditora: para
realizar la planeacin formal de la auditora informtica y de sistemas, en la cual
se concretan los planes, programas y presupuestos para llevarla a cabo se debe
elaborar los documentos formales para el desarrollo de la auditora, donde se
delimiten las etapas, eventos y actividades y los tiempos de ejecucin para el
cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos
que se utilizarn para llevarla a cabo.
Algunos de los aspectos a tener en cuenta sern: las actividades que se van a
realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el
flujo de eventos que sirven de gua; la estimacin de los recursos humanos,
materiales e informticos que sern utilizados; los tiempos estimados para las
actividades y para la auditora; los auditores responsables y participantes de las
actividades; otras especificaciones del programa de auditora.
Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora: en ste se determina la
documentacin y medios necesarios para llevar a cabo la revisin y evaluacin en
la empresa, seleccionando o diseando los mtodos, procedimientos,
143

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y


programas establecidos anteriormente para la auditora. Para ello se deben
considerar los siguientes puntos: establecer la gua de ponderacin de cada uno
de los puntos que se debe evaluar; elaborar una gua de la auditora; elaborar el
documento formal de la gua de auditora; determinar las herramientas, mtodos y
procedimientos para la auditora de sistemas; disear los sistemas, programas y
mtodos de pruebas para la auditora.
Asignar los recursos y sistemas computacionales para la auditora:
finalmente se debe asignar los recursos que sern utilizados para realizar la
auditora. Con la asignacin de estos recursos humanos, informticos,
tecnolgicos y de cualquier otro tipo se llevar a cabo la auditora.
Etapa de Ejecucin de la Auditora
La siguiente etapa despus de la planeacin de la auditora es la ejecucin de la
misma, y est determinada por las caractersticas propias, los puntos elegidos y
los requerimientos estimados en la planeacin.
Etapa de Dictamen de la Auditora
La tercera etapa luego de la planeacin y ejecucin es emitir el dictamen, que es
el resultado final de la auditora, donde se presentan los siguientes puntos: la
elaboracin del informe de las situaciones que se han detectado, la elaboracin
del dictamen final y la presentacin del informe de auditora.
Analizar la informacin y elaborar un informe de las situaciones detectadas:
junto con la deteccin de las oportunidades de mejoramiento se debe realizar el
anlisis de los papeles de trabajo y la elaboracin del borrador de las
oportunidades detectadas, para ser discutidas con los auditados, despus se
hacen las modificaciones necesarias y posteriormente el informe final de las
situaciones detectadas.
Elaborar el Dictamen Final: el auditor debe terminar la elaboracin del informe
final de auditora y complementarlo con el dictamen final, para despus
presentarlo a los directivos del rea auditada para que conozcan la situacin
actual del rea, antes de presentarlo al representante o gerente de la empresa.
Una vez comentadas las desviaciones con los auditados, se elabora el informe
final, lo cual es garanta de que los auditados ya aceptaron las desviaciones
encontradas y que luego se llevan a documentos formales.
Elaborar el Dictamen Formal: el ltimo paso de esta metodologa es presentar
formalmente el informe y el dictamen de la auditoria al ms alto de los directivos
de la empresa, donde se informa de los resultados de la auditora. Tanto el
informe como el dictamen deben presentarse en forma resumida, correcta y
144

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

profesional. La presentacin de la misma se hace en una reunin directiva y por


eso es indispensable usar un lenguaje claro tanto en el informe como en la
exposicin del mismo. El informe debe contener los siguientes puntos: la carta de
presentacin, el dictamen de la auditora, el informe de situaciones relevantes y
los anexos y cuadros estadsticos.
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a
los directivos, junto al formato de hallazgos o desviaciones y los papeles de
trabajo de cada uno de los auditores. La integracin del dictamen y el informe final
de auditora deben ser elaborados con la mxima perfeccin, tratando de evitar
errores. Tambin deben contener de manera clara y concreta, las desviaciones
detectadas en la evaluacin.
Tabla 76. Proceso de Auditora
ETAPAS

Planeacin de
la Auditoria de
Sistemas

Ejecucin de la
Auditoria de
Sistemas

Dictamen de la
Auditoria de
Sistemas

PASOS A REALIZAR
Identificar el origen de la auditora.
Realizar una visita preliminar al rea que ser evaluada.
Establecer los objetivos de la auditora.
Determinar los puntos que sern evaluados en la auditora.
Elaborar planes, programas y presupuestos para realizar la auditora.
Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora.
7. Asignar los recursos y sistemas computacionales para la auditora.
1.
2.
3.
4.
5.
6.

1. Realizar las acciones programadas para la auditora.


2. Aplicar los instrumentos y herramientas para la auditora.
3. Identificar y elaborar los documentos de oportunidades de mejoramiento
encontradas.
4. Elaborar el dictamen preliminar y presentarlo a discusin.
5. Integrar el legajo de papeles de trabajo de la auditora
1. Analizar la informacin y elaborar un informe de situaciones detectadas.
2. Elaborar el Dictamen final.
3. Presentar el informe de auditora.

Leccin 28: Aspectos para Auditoria para un Centro de Cmputo o rea de


Informtica
Actualmente la informacin se considera un activo muy valioso para cualquier
empresa y eso se ve reflejado en la dependencia cada vez mayor de procesos
computarizados para procesar informacin y tomar decisiones estratgicas y
tcnicas, es por esto que revisar la definicin e implementacin de polticas del
centro de informtica, la funcionalidad de su estructura orgnica es indispensable
145

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

y con ello se debe tambin evaluar la integridad y confiabilidad de la informacin,


la proteccin y conservacin de los bienes informticos de la empresa. Al auditar
el rea de Informtica se deben tener en cuenta los siguientes aspectos:

Aspectos administrativos: estn relacionados con la planeacin estratgica,


polticas administrativas, anlisis organizacional, estndares, talento humano
que
involucra el ambiente laboral, la capacitacin, el desempeo, la
motivacin, la remuneracin, y la supervisin. En la planeacin y organizacin
de las actividades del rea de Informtica deben plantearse los objetivos a
corto o largo plazo, que estn acordes con los objetivos de la organizacin. En
el desarrollo de los planes a largo plazo, el jefe del rea de Informtica debe
identificar las metas a largo plazo verificando que estas sean coherentes con
las metas de la organizacin, y teniendo en cuenta los cambios, los avances
tecnolgicos y la normativa vigente.
Dentro de las polticas del rea de Informtica se deben incluir las pautas
sobre renovacin y/o adquisicin tanto de software como de hardware con
base en estudio profundo de necesidades, la elaboracin y evaluacin del
plan estratgico de sistemas de informacin, la integracin de los sistemas de
informacin, la legalizacin del todo el software utilizado, la buena y oportuna
capacitacin a todos los niveles funcionales del rea de Informtica, la
evaluacin peridica de desempeo del personal, la segregacin de funciones
para garantizar eficiencia y eficacia, y rotacin de funciones. Adems, se debe
definir polticas que prevean el remplazo de personal de tal forma que no se
afecte la marcha normal del rea de Informtica y es por esto que de todas
las aplicaciones deben estar capacitadas para su manejo como mnimo dos
personas.
Tambin se debe tener en cuenta algunos procedimientos dentro de los cuales
tenemos: el procedimiento de induccin del personal de sistemas se debe
establecer formalmente y llevarse a cabo bajo la coordinacin del jefe del rea
de Informtica, los procedimientos de desempeo y capacidades de los
funcionarios para que se brinde la oportunidad de obtener ascensos y
promociones, entre otros.

Aspectos Tcnicos: donde se tiene en cuenta los equipos, desarrollo e


implementacin de sistemas, entrada y salida de datos y mantenimiento de
software. Algunas caractersticas a evaluar en estos aspectos son los
proyectos de sistemas donde se deben presentar solicitudes por parte de los
usuarios para que sea canalizada, estudiada su viabilidad y desarrollo por
parte de un equipo diferente al de produccin.
Se debe llevar a cabo revisiones peridicas de los sistemas en funcionamiento
mediante la realizacin de pruebas del sistema, que permitan garantizar que
se cumplan los requisitos de las especificaciones funcionales, verificando
transacciones, estadsticas, archivos, reportes generados, registrando las
146

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

fallas ocurridas y realizando los ajustes necesarios, con el propsito de


comprobar que las aplicaciones cumplan con los requerimientos del usuario y
los objetivos para los cuales fueron diseados.
Debe existir un procedimiento que permita registrar las quejas, reclamos y
sugerencias que tienen los usuarios, con el fin de efectuar la evaluacin
peridica de las mismas y hacer los ajustes correspondientes cuando se
considera pertinente.

Aspectos de Seguridad: se debe tener en cuenta la seguridad fsica,


instalaciones, personal, documentacin, backups, plizas/seguros, planes de
contingencia. Algunas caractersticas para evaluar estos aspectos son: La
ubicacin del rea de Informtica que debe brindar integridad y seguridad a la
informacin y al personal, debe ser un sitio propicio para laborar, para esto
fsicamente debe contar con instalaciones acordes a las necesidades, con
adecuadas instalaciones elctricas, detectores de humo, supresores de fuego,
sealizacin de rutas de evacuacin, extintores, planos de las instalaciones
elctricas y de datos actualizados, el cableado debe estar debidamente
canalizado para evitar accidentes, las puertas de ingreso al rea de
Informtica deben brindar suficiente seguridad, y tener vigilancia que lleve un
control del personal que ingrese como tambin de los materiales que entran y
salen.
En cuanto a la seguridad lgica se deben inhabilitar las clave de acceso al
sistema a aquellos funcionarios retirados temporal o definitivamente, tambin
hacen parte de la seguridad los programas de prevencin contra desastres
causados por fuego, temblor y/o inundacin los cuales deben existir y deben
ser probados continuamente, el personal del rea de Informtica debe estar
capacitado para utilizar adecuadamente los equipos contra incendios,
inundaciones, activacin de los sistemas de alarmas e interruptores de
energa.
La documentacin de cada sistema software debe estar actualizada, y esto
debe hacerse tanto al manual tcnico como al manual del usuario; en la
elaboracin de sta se debe involucrar al rea de Informtica y a los usuarios.
Deben existir polticas definidas con respecto a las copias de seguridad o
backups que determinen donde se guardan, con qu frecuencia se hacen,
como se rotulan. El software y hardware deben estar cubiertos por plizas de
seguros renovadas permanentemente.

Leccin 29: Procedimientos de Control para Auditoria al rea de Informtica


Luego de mencionar los aspectos generales que se deben tener en cuenta para la
auditora al rea de informtica se detallar cada uno de los aspectos, teniendo en
147

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

cuenta cada uno de los tems a evaluar, los objetivos de control de la auditora y el
procedimiento que se debe llevar a cabo, as como se muestra a continuacin.

PLANEACIN DEL REA DE INFORMTICA

El rea de informtica debe tener planes a corto, mediano y largo plazo, con el fin
de asegurar su contribucin al xito en el logro de los objetivos de la organizacin.
Dichos planes deben estar en acuerdo con los planes generales de la
organizacin para lograr sus propios objetivos.
Tabla 77. Planeacin rea de Informtica
tem a
Evaluar
Planificacin a
largo plazo de
la
organizacin

El comit de
Planificacin
del rea de
informtica.

Objetivo de Control de la
Auditora
Los planes a largo plazo del
rea informtica deben cubrir
aspectos relacionados con su
contribucin al logro de los
objetivos a largo plazo de la
organizacin. La participacin
de la gerencia debe asegurar
que
el
plan
del
rea
informtica est integrado al
plan
general
de
la
organizacin. Deben evaluarse
la eficiencia y eficacia de la
contribucin
del
rea
informtica.

La gerencia de la organizacin
debe designar un comit de
planeacin o de direccin que
supervise las actividades del
rea de informtica. Entre los
miembros
deben
estar
representantes de la gerencia,
del rea informtica y de la
direccin
de
los
departamentos usuarios. Debe
verificarse la existencia de un
comit de planificacin o de
direccin
del
rea
de
informtica y debe revisarse

Procedimiento
1. Revisar el proceso de planeacin de la
organizacin para determinar el nivel de
implicacin de la gerencia en el mismo,
tambin se debe revisar las actas de
reuniones del consejo directivo o de
administracin para identificar los objetivos
a largo plazo de la organizacin
documentados y los objetivos del rea
informtica
para
determinar
su
compatibilidad con los objetivos generales
de la organizacin.
2. Entrevistar a los directivos para determinar
la fijacin de las polticas de la organizacin
e identificar las estrategias a largo plazo
relacionadas con los objetivos del rea
informtica. Adems se debe entrevistar a
las principales unidades usuarias para
determinar la consistencia de las estrategias
a largo plazo de la organizacin y del
usuario, en lo que se refiere a los objetivos
del rea de informtica.
3. Determinar la eficiencia y eficacia del plan a
largo plazo del rea de informtica.
1. Determinar la existencia de un comit de
planeacin o de direccin del rea
informtica y revisar sus estatutos.
2.

Identificar la composicin del comit y


verificar que la direccin de los
departamentos usuarios est representada
en el mismo.

3.

Revisar la definicin de responsabilidades


y funciones del comit.

4.

Revisar las actas de las reuniones del


comit,
as
como
sus
planes

148

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
su composicin.

documentados,
para
determinar
la
naturaleza y la extensin de su papel en el
proceso de planificacin del rea de
informtica.
5.

Planeacin a
largo plazo del
rea
Informtica

Los planes a largo plazo para


el rea informtica deben ser
acordes con los planes a largo
plazo de la gerencia. Debe
revisarse los planes a largo
plazo para el rea de
informtica y compararse con
los planes a largo plazo de la
gerencia, con el fin de
determinar su congruencia, as
como su compatibilidad con
los cambios organizativos,
avances
tecnolgicos
y
disposiciones reglamentarias
previstos.

Determinar si los objetivos del rea de


informtica y los del comit son
consistentes con el logro de los planes y
objetivos de la organizacin.
1. Revisar los planes a largo plazo del rea
informtica para determinar su congruencia
con los objetivos generales de la
organizacin
y
proyecciones
del
crecimiento relacionadas con estos.
2. Revisar las fuentes de documentacin
usadas para el desarrollo de los planes a
largo plazo y previsiones del rea de
informtica, y verificar que la base de esas
proyecciones es razonable.
3. Entrevistar a los directivos claves del rea
de informtica para lograr la comprensin
de su conocimiento tanto de los objetivos
del rea cuanto de los generales de la
organizacin.
4. Explorar la comprensin, por parte de los
directivos clave del rea informtica , de los
avances tecnolgicos potenciales, y de los
cambios probables en disposiciones
reglamentarias
aplicables,
y
las
necesidades de conocimiento y pericia del
personal, y evaluar su preparacin para
reaccionar a tales cambios, en caso de
producirse.
5. Determinar si se han distribuido a otras
unidades de la organizacin copias de los
planes del rea informtica y evaluar el
grado de aceptacin de los mismos por
dichas unidades.
7.

Revisar los organigramas y descripciones


de puestos vigentes en el rea informtica
para determinar su conformidad general
con los planes a largo plazo del
departamento.

8.

Identificar
avances
tecnolgicos
especficos y determinar si han sido
incorporados a los planes a largo plazo del
rea informtica.

9.

Determinar que se han identificado y

149

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
localizado en el organigrama del rea
informtica los nuevos conocimientos y
pericia
exigidos
por
los
avances
tecnolgicos previstos.
10. Identificar las disposiciones reglamentarias
de importancia para la organizacin en
general y asegurar que los planes del rea
de informtica son congruentes con esas
disposiciones.
11. Evaluar el nivel de eficiencia y eficacia con
que se han integrado en el plan a largo
plazo del rea informtica los avances
tecnolgicos,
los
cambios
en las
disposiciones
reglamentarias
y
las
necesidades de conocimiento y pericia.

Planeacin a
corto plazo de
la
organizacin y
del rea
informtica

Revisin de la
planeacin de
la
organizacin y
del rea de
informtica

Los planes a corto plazo de la


1. Revisar los planes a corto plazo de la alta
gerencia para la organizacin
direccin e identificar los recursos que se
deben asegurar que los
asignan a corto plazo al rea de
recursos adecuados del rea
informtica.
de informtica se asignan de
forma congruente con los
2. Evaluar la adecuacin de los recursos
planes a corto plazo generales
asignados al rea de informtica a corto
de la organizacin. Deben
plazo.
revisarse los planes a corto
plazo preparados por la
3. Asegurar la congruencia de los planes a
gerencia de la organizacin.
corto plazo y los planes a largo plazo del
Debe evaluarse la adecuacin
rea de informtica.
de los recursos asignados al
rea informtica, as como la
congruencia y compatibilidad
de los planes a corto plazo del
rea con los correspondientes
planes a largo plazo.
Deben suministrarse informes 1. Determinar la fecha y naturaleza de la
a la gerencia que les permitan
ltima revisin por la direccin de los
revisar el progreso de la
planes a largo y corto plazo.
organizacin
hacia
los
objetivos identificados. Deben 2. Inspeccionar los informes de progreso de la
revisarse los informes de
direccin, en busca de pruebas de logro de
gestin para obtener pruebas
objetivos.
de que la gerencia y el comit
de la direccin del rea 3. Revisar la frecuencia y precisin de los
informtica
revisan
y
informes sobre proyectos relacionados con
coordinan las actividades del
los planes a largo y corto plazo.
rea.
4. Comparar los gastos reales con los
presupuestos para identificar diferencias
significativas.
5. Entrevistar a usuarios y direccin para
determinar si se han alcanzado como se

150

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
deseaba los objetivos especficos. Revisar
los informes de gestin especficos y las
respuestas a los mismos a aquellas reas
en que no se han alcanzado los objetivos.
6. Determinar en ausencia de informes
formales, si hay una comunicacin informal
adecuada de las actividades del rea de
informtica a la gerencia.

POLTICAS, ESTNDARES Y PROCEDIMIENTOS

Debe haber polticas, estndares y procedimientos que sirvan de base para la


planificacin, control y evaluacin del rea de informtica.
Tabla 78. Polticas, Estndares y Procedimientos
tem a
Evaluar

Objetivo de Control de
la Auditora

Procedimiento

Polticas

La gerencia debe desarrollar y


comunicar
a
todos
los
afectados, la relacin entre el
rea
informtica
y
los
departamentos
usuarios.
Determinar la existencia y
adecuacin de declaraciones
de poltica por parte de la
gerencia, y confirmar que han
sido comunicadas a los
departamentos pertinentes.

1. Revisar las declaraciones de poltica de la


ata direccin, y determinar que estn
actualizadas.

Deben definirse, mantenerse y


comunicarse los estndares
que regulen la adquisicin de
recursos, el diseo, desarrollo
y modificacin, y explotacin
de sistemas del rea
informtica. Deben revisarse
los estndares que regulen la
adquisicin de recursos, el
diseo, desarrollo y
modificacin, y explotacin de
sistemas del rea informtica.

1. Evaluar
el
proceso
de
desarrollo,
aprobacin, distribucin y actualizacin de
los estndares aplicables al rea de
informtica.

Estndares

2. Determinar que las declaraciones de


poltica de la alta direccin se han
comunicado a las direcciones tanto del
rea informtica como a los departamentos
usuarios.
3. Revisar y evaluar la integracin de las
directivas de poltica de la alta direccin
ene el estatuto del rea informtica y de los
principales departamentos usuarios.

2. Revisar los estndares aprobados, para


evaluar la extensin de su documentacin
formal, su calidad, vigencia y completitud.
3. Revisar los manuales de operaciones y
procedimientos aplicables para determinar
que los procedimientos relativos a la
adquisicin
de
recursos
del
rea
informtica cumplen los estndares que
regulan dichas adquisiciones.
4. Revisar los manuales de operaciones y

151

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
procedimientos tanto en el rea informtica
y en los departamentos usuarios, para
determinar su cumplimiento de los
estndares relativos al diseo, desarrollo y
modificacin de sistemas de informacin.
5. Revisar los manuales de operaciones y
procedimientos del rea informtica para
determinar que las declaraciones de
procedimiento relativas a la operacin del
rea cumplen con los estndares que
regulan dicha operacin.
Procedimiento
s

Deben
establecerse,
coordinarse, mantenerse y
comunicarse a todos los
departamentos
los
procedimientos que describan
la
forma
y
las
responsabilidades para regular
las relaciones entre el rea
informtica
y
los
departamentos
usuarios.
Deben
revisarse
los
procedimientos
operativos
relativos
a
las
responsabilidades
en
las
relaciones
entre
departamentos usuarios y el
rea de informtica.

1. Evaluar el proceso por el cual se


desarrollan, aprueban, distribuyen
y
actualizan
las
declaraciones
de
procedimientos.
2. Revisar los manuales de operaciones y
procedimientos del rea de informtica
para apreciar la extensin de la
documentacin formal, del rea, su calidad,
grado de vigencia y su completitud. Evaluar
la adecuacin de las instrucciones escritas
que se refiere a las actividades del rea
informtica.
3. Revisar los manuales de operaciones y
procedimientos de los departamentos
usuarios para apreciar la extensin de su
documentacin formal, su calidad, grado de
vigencia y su completitud. Evaluar la
adecuacin de las instrucciones escritas
que cubren las relaciones de este
departamento con el rea informtica.

4. Entrevistar al personal tanto del rea


informtica como de los departamentos
usuarios para apreciar su comprensin de
los procedimientos aprobados.

RESPONSABILIDADES ORGANIZATIVAS Y GESTIN DE PERSONAL

El rea informtica debera ser lo bastante importante en la jerarqua de la


organizacin para permitirle lograr sus objetivos generales establecidos y
promover su independencia operativa de los departamentos usuarios. Para
promover la utilizacin efectiva de los recursos humanos del rea, y para facilitar
la evaluacin del desempeo dentro de la funcin informtica, deberan emplearse
tcnicas de gestin de personal slidas.

152

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 79. Responsabilidades organizativas y gestin de personal


tem
a
Evaluar
La Ubicacin
del
rea
Informtica en
la
organizacin

Descripcin
de
responsabilida
des dentro del
rea
informtica

Separacin de
Funciones

Objetivo de Control de la
Auditora
La gerencia debe ubicar al
rea informtica lo bastante
alto
en
la
estructura
organizacional para asegurar
su independencia de los
departamentos
usuarios.
Evaluar la ubicacin del rea
informtica en la estructura de
la organizacin y evaluar el
grado de independencia del
rea con respecto a los
departamentos usuarios.
Deben estar descritas las
principales unidades
organizativas que constituyen
el rea informtica, con sus
perfiles y que estn
debidamente documentadas
sus responsabilidades.
Revisar las descripciones de
las principales unidades
organizativas que constituyen
el rea informtica y evaluar la
adecuacin de dicha
documentacin.

La gerencia debe establecer


una separacin de funciones
dentro del rea informtica.
Hay
que
evaluar
la
segregacin de funciones
dentro del rea informtica.

Procedimiento
Revisar la ubicacin del rea informtica en la
jerarqua de la organizacin y apreciar su
independencia
de
os
departamentos
usuarios.
2. Entrevistar al director del rea informtica
para determinar su apreciacin de la
independencia del rea con respecto a los
departamentos usuarios.

1. Identificar
las
principales
unidades
organizativas que constituyen el rea
informtica examinando los organigramas.
2. Revisar los manuales de procedimientos
para determinar que las responsabilidades
asignadas a cada una de las principales
unidades
organizativas,
y
que
los
procedimientos de evaluacin de su
ejecutoria
estn
adecuadamente
presentados.

3. Entrevistar al personal supervisor de cada


una
de
las
principales
unidades
organizativas del rea informtica para
determinar que su comprensin de las
responsabilidades asignadas a la unidad, el
desempeo esperado y los procedimientos
de evaluacin se corresponden con los
descritos
en
los
manuales;
su
responsabilidad para la introduccin y uso
de nueva tecnologa ha sido definida
claramente dentro del rea informtica, y
entre el rea y los departamentos usuarios.
1. Examinar los organigramas y descripciones
de puestos de trabajo para determinar que
en el rea informtica existe la adecuada
separacin de funciones.
2. Revisar las descripciones de tareas u otra
documentacin referente a las tareas para
determinar que se mantiene la separacin
de funciones deseada.
3. Observar las actividades del personal del
rea
informtica
para
confirmar
la
naturaleza y extensin del cumplimiento de
esta separacin de funciones deseada.

153

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

4. Revisar las asignaciones significativas de

Descripcin
de Puestos de
Trabajo en el
rea
Informtica

Las descripciones de puestos


de trabajo del rea informtica
deben estar por escrito,
definidos los perfiles y el nivel
de autoridad como la
responsabilidad. Las
descripciones deben incluir
definiciones de conocimientos
y experiencia tcnica
requeridos para las posiciones
ms importantes y deben
hacerse evaluaciones de
desempeo. Debe revisarse
las descripciones de puestos
de trabajo del rea informtica
en cuanto a se adecuacin y
claridad, a la inclusin de las
descripciones de los
conocimientos y experiencia
tcnicos para evaluar el
desempeo.

suplencias o apoyos para asegurar que se


mantiene la adecuada separacin de
funciones.
1. Obtener y revisar las descripciones de
puestos de trabajo dentro del rea
informtica para apreciar su adecuacin y
claridad.
2. Comparar dichas descripciones con las
responsabilidades en vigor de quienes
ocupan tales posiciones, para determinar la
precisin de las declaraciones.
3. Determinar mediante entrevista y anlisis,
que la lnea directa de autoridad asociada
con la posicin y las responsabilidades del
interesado.
4. Evaluar los cambios significativos en la
organizacin y en la descripcin de puestos
de trabajo en cuanto a su adecuacin y
precisin en el contexto de los objetivos y
polticas actuales del rea informtica.
5. Entrevistar al personal del rea informtica
para determinar que las descripciones de
sus puestos de trabajo han sido
adecuadamente comunicadas y que l las
entiende.
6. Revisar las fechas de la validez de las
descripciones de puestos, para asegurar
que estn en vigor.
7. Determinar que las descripciones de
puestos de trabajo incluyen descripciones
de conocimientos y experiencia tcnicos.

8. Determinar que en las descripciones de los

Seleccin
Personal

de

Las prcticas de contratacin y


promocin del personal
deberan basarse en criterios
objetivos y deberan
contemplar la formacin, la
experiencia y la
responsabilidad. Debe
evaluarse la adecuacin del
proceso de seleccin de
personal en lo que respecta al
rea informtica.

puestos de trabajo los textos que describen


los conocimientos y experiencia tcnica del
interesado estn en vigor.
1. Identificar y evaluar los mtodos empleados
para cubrir vacantes, tales como el uso de
promociones internas, firmas externas para
seleccin de personal, u otros mtodos
apropiados.

2. Evaluar la adecuacin de los criterios


empleados para reclutar y seleccionar los
miembros
del
rea
informtica,
entrevistando al director del rea informtica
en lo que respecta a estos criterios, revisar
los documentos como descripciones de

154

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Procedimiento
s de Baja de
Personal

Deben establecerse
procedimientos pertinentes
para la baja del personal del
rea informtica y para
asegurar la proteccin de los
recursos constituidos por los
computadores y los archivos
de la organizacin. Debe
revisarse los procedimientos
de baja del personal del rea
informtica para asegurar la
proteccin de los recursos
constituidos por los
computadores y archivos de la
organizacin.

puestos de trabajo, en cuanto a claridad y


completitud, y revisar las polticas de
seleccin de personal empleadas por el
departamento de talento humano y por el
rea informtica.
1. Revisar los procedimientos escritos relativos
a las baja de empleados aplicables al
personal del rea estn conformes con: el
personal del rea informtica que causa la
baja, se le paga, en lugar de permitirle que
trabaje durante el periodo hasta que la baja
sea plenamente efectiva; a los empleados
que causan baja se les requiere para que
retornen todos los documentos y la
identificacin
suministrados
por
la
organizacin, concretamente aquellos que
puedan ser empleados para lograr un
acceso no autorizado. Despus de la baja
del empleado concreto, se cambian
inmediatamente las claves u otros
dispositivos de control empleados para
lograr acceso a los recursos informticos.

2. Determinar que estos procedimientos son

Formacin de
Personal

Debe darse orientacin a los


empleados,
desde
su
contratacin,
y
tambin
formacin continuada para
mantener sus conocimientos y
aumentar
su
experiencia.
Evaluar los procedimientos de
orientacin y formacin al
personal del rea informtica.

seguidos de forma congruente, procediendo


a: entrevistar a la direccin del rea
informtica, revisar las fichas de personal
referentes a empleados que hayan causado
baja recientemente, y revisar los registros
de los sistemas de seguridad de accesos
fsicos y de control de accesos al
computador para comprobar que los
accesos que han causado baja se han
desactivado adecuadamente.
1. Revisar el manual de funciones y
procedimientos para determinar que a los
nuevos
empleados
se
les
brindan
programas de orientacin que cubren los
requisitos de seguridad y control.
2. Asegurar que a los nuevos empleados,
durante las sesiones de orientacin, se les
hace tomar plena conciencia de los
objetivos de la organizacin y del rea.
3. Determinar que los programas de formacin
de la organizacin son congruentes con los
requisitos mnimos sugeridos para el rea
informtica
4. Entrevistar a miembros del rea informtica
para determinar que estn informados tanto
de
los
programas
de
informtica
patrocinados por la organizacin como de
los requisitos de formacin continua de las

155

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
organizaciones profesionales, en reas
relacionadas con las del rea informtica, o
a travs de los cuales reciben certificaciones
u homologaciones profesionales.
5. Revisar los calendarios de formacin, las
descripciones de los cursos, los mtodos y
tcnicas de formacin, para determinar que
tales programas son adecuados para
mantener las necesidades actuales y a largo
plazo, tanto de la organizacin como de los
empleados.
6. Determinar que en el programa de
formacin
se
incluyen
cursos
especficamente orientados a aumentar la
comprensin de los objetivos del rea
informtica respecto a la gestin, las
aplicaciones, la explotacin u operacin.
7. Entrevistar a miembros del personal del
rea informtica para determinar la eficacia
de la formacin que se les ha brindado.

Evaluacin de
desempeo

Debe
evaluarse
peridicamente, el desempeo
del empleado en comparacin
con
los
estndares
establecidos
y
con
responsabilidades especficas
del puesto. Deben revisarse
los mtodos de evaluacin del
desempeo de los empelados
del rea informtica.

8. Comparar las fichas de formacin del


personal del rea informtica con sus
exigencias de conocimiento y experiencia,
para evaluar lo adecuada y actualizada es la
formacin que estn recibiendo.
1. Revisar los procedimientos establecidos
para
determinar
que
se
efectan
evaluaciones peridicas del desempeo del
empleado.
2. Entrevistar a la direccin del rea
informtica para determinar tanto su
comprensin como su uso de mtodos de
evaluacin
del
desempeo
de
los
empleados establecidos por la organizacin.
3. Entrevistar a una muestra de los empleados
del rea informtica para determinar: su
comprensin de los estndares de
rendimiento establecidos, su comprensin
de las responsabilidades singulares de su
puesto, que los resultados de las
evaluaciones han sido comunicados a los
empleados de acuerdo a los procedimientos
establecidos.

GESTIN DE CALIDAD DEL REA INFORMTICA


156

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Debe asegurarse la calidad de los servicios prestados por el rea informtica


mediante el establecimiento de una funcin independiente dentro del rea
dedicada a mantener estndares de calidad establecidos.
Tabla 80. Gestin de calidad
tem
a
Evaluar
Responsabilid
ad
de
la
gestin
de
Calidad

Objetivo de Control de la
Auditora
La responsabilidad de llevar a
cabo la funcin de gestin de
calidad debe asignarse a
empleados del rea
informtica. Debe establecerse
un grupo independiente de
gestin de calidad dentro del
rea y su nica
responsabilidad debe ser el
realizar funciones de
garantizar de calidad.

Procedimiento
1. Evaluar el nivel general de satisfaccin de
los usuarios con el servicio brindado por el
rea informtica.
2. Revisar los registros existentes de
problemas, peticiones de programas,
sistemas y servicios, pendientes de
cumplimiento. Determinar los tiempos de
respuesta del rea a estos requerimientos.
3. Determinar si las necesidades de los
departamentos usuarios se han satisfecho
de forma general, mediante la introduccin
de nuevos equipos, comunicaciones, y
programas de aplicacin en los ltimos
aos.
4. Determinar si se cumple con los estndares
y procedimientos del rea informtica.

5. Evaluar si se debe establecer un grupo


Aspectos
Organizativos
de la Funcin
de Gestin de
Calidad

Cuando exista un grupo


independiente de gestin de
de calidad en el rea
informtica, dicho grupo
debera tener un reglamento
aprobado por un nivel de
direccin adecuado, su funcin
debe ser apoyada por la
direccin del rea informtica
y los departamentos usuarios.
Deben revisarse los aspectos
organizativos de la funcin de
gestin de calidad del rea
informtica.

independiente de gestin de calidad en el


rea informtica.
1. Determinar que esta publicado un
reglamento debidamente aprobado del
grupo
de
gestin
de
calidad
describiendo las responsabilidades de la
actividad de gestin de calidad, que
describe
los
deberes,
responsabilidades,
autoridad
e
imputabilidad del grupo o de la persona.
2. Determinar que el reglamento est
complementado por las descripciones
de tareas actualizadas que incluyen una
descripcin de responsabilidades.
3. Verificar que a la funcin de gestin de
calidad no se ha asignado ninguna de
las responsabilidades operativas del
rea informtica.
4. Verificar que la funcin de gestin de
calidad informa a un nivel de direccin

157

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
adecuado que asegure que
recomendaciones se lleven a cabo.

las

5. Determinar que la funcin de gestin de


calidad
recibe
adecuado
apoyo
econmico para completar eficazmente
sus responsabilidades.
6. Revisar documentacin para evaluar la
amplitud y profundidad de su cobertura
de las actividades del rea informtica.

Cualificacin
del personal
de gestin de
calidad

Cualificacin del personal de


gestin de calidad

7. Entrevistar a la direccin tanto de los


usuarios como del rea informtica para
determinar que brindan apoyo a la
misin y al trabajo del personal de
gestin de calidad y obtener pruebas
para documentar sus afirmaciones.
1. Determinar que el personal adscrito a la
funcin de calidad del rea informtica tiene
un conocimiento adecuado de los sistemas
de informacin y de lenguajes de
programacin.
2. Verificar que el personal asignado a la
funcin de gestin de calidad del rea
informtica tiene un amplio conocimiento de
las
operaciones
empresariales,
de
conceptos de control interno y de los
controles de proceso de las aplicaciones.
3. Determinar que los usuarios clave forman
parte del equipo de gestin de calidad o que
son consultados peridicamente durante el
proceso de gestin de calidad.

Plan
de
revisin de la
gestin
de
Calidad

Deben desarrollarse,
mantenerse y estandarizarse
planes generales de gestin
de calidad, calendarios y
procedimientos, dentro del
rea informtica, y fijar
criterios para el trabajo del
personal de gestin de calidad
del rea. Debe evaluarse lo
apropiado de los planes de
revisin de gestin de calidad
en el rea informtica.

4. Determinar que el personal asignado a la


funcin de gestin de calidad del rea
informtica
recibe
entrenamiento
y
formacin adecuados, de forma continua.
1. Evaluar los planes de revisin de gestin de
calidad existentes en el rea informtica, as
como los calendarios y procedimientos.
Evaluar su aplicabilidad y oportunidad
comparndolos con las revisiones llevadas a
cabo.
2. Determinar si las revisiones de gestin de
calidad del rea informtica han sido
programadas de conformidad con las
prioridades establecidas por la direccin del
rea.
3. Determinar si el personal de gestin de
calidad del rea informtica usa programas

158

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
especiales de auditora para las funciones
de investigacin que puedan ser fcilmente
automatizadas.
4. Verificar que en cada revisin de gestin de
calidad, los planes de revisin pertinentes y
los procedimientos, se evalan y mejoran
para contribuir a la mejora de la eficacia de
futuras revisiones.

Revisin por
personal de
Gestin de
Calidad, del
Cumplimiento
de los
Estndares y
Procedimiento
s del rea
informtica

Revisin por
gestin de
calidad de los
controles de
sistemas

Revisin por
gestin de
calidad de
otros aspectos
de otros
aspectos de
las funciones
del rea
informtica.

Las responsabilidades
asignadas al personal de
gestin de calidad deben
incluir una revisin del
cumplimiento general de los
estndares y procedimientos
del rea. Debe revisarse la
documentacin relacionada
con la revisin por el personal
de gestin de calidad, del
cumplimiento general de los
estndares y procedimientos
del rea.

5. Verificar que despus de la terminacin de


cada revisin de gestin de calidad, los
requisitos, nivel de destreza y experiencia
para llevar a cabo la siguiente revisin se
incorporan a los planes de gestin de
calidad del rea informtica.
1. Determinar que el personal de gestin de
calidad ha desarrollado una metodologa
para revisar y documentar el cumplimiento
de los estndares y procedimientos del
departamento.
2. Asegurar que el personal de gestin de
calidad emplea esta metodologa y otros
procedimientos estndar.
3. Verificar que los informes del personal de
gestin de calidad describen de forma
especfica
el
cumplimiento
de
los
estndares y procedimientos del rea.

Las responsabilidades
asignadas al personal de
gestin de calidad deben
incluir una revisin de los
controles generales del
sistema. Debe revisarse la
documentacin relacionada
con el anlisis de los controles
generales del sistema por el
personal de gestin de
calidad.

1. Identificar los controles de sistemas que


fueron seleccionados para las revisiones de
gestin de calidad y apreciar que tales
revisiones eran razonables y completas.

Las
responsabilidades
asignadas al personal de
gestin de calidad deben
incluir una revisin de otros
aspectos de las funciones del
rea que merezcan la atencin
de
la
direccin.
Deben
revisarse
las
directivas
relativas
a
las
responsabilidades del personal
de gestin de calidad en la

1. Determinar que las responsabilidades


asignadas al personal de gestin de calidad
incluyen una revisin de: la calidad de
diseo del sistema, la calidad de la
programacin y las operaciones, las
pruebas de sistemas y programas, los
conocimientos y destrezas del personal del
rea, la participacin de los usuarios en las
actividades de desarrollo y mantenimiento
de sistemas software del rea, la calidad de
la documentacin de sistemas software y

2. Verificar que los informes suministrados por


el personal de gestin de calidad incluyen
especficamente los resultados de los
hallazgos en las revisiones de control.

159

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
revisin de otros aspectos de
las
funciones
del
rea
informtica.

Informes
de
las revisiones
de gestin de
calidad

Deben elaborarse y
presentarse a la direccin de
los usuarios y del rea
informtica, informes de las
revisiones de gestin de
calidad. Debe evaluarse la
calidad y utilidad de los
informes preparados por el
personal de gestin de calidad
del rea informtica.

programas, la calidad de los datos y de la


informacin, entre otros.
2. Seleccionar informes producidos por el
personal de gestin de calidad relativas a
las reas enumeradas anteriormente y
evaluar la calidad del trabajo llevado a cabo
en las revisiones.
1. Seleccionar informes relativos a revisiones
de gestin de calidad y asegurar que
comunican eficazmente los hallazgos
significativos de la revisin, estn escritos
claramente y con una estructura orientada a
la gestin, incluyen un resumen para la
direccin con una breve introduccin, los
objetivos generales, el informe general, los
hallazgos significativos y su impacto en el
negocio, incluyen una seccin detallada de
recomendaciones.
2. Entrevistar al personal de gestin de calidad
que llev a cabo las revisiones y determinar
su apreciacin de los resultados. Comparar
su apreciacin con los contenidos de los
informes pertinentes.
3. Verificar que la direccin de los
departamentos usuarios y del rea
informtica recibieron un plazo adecuado
copias de los informes de gestin de
calidad. Determinar su apreciacin del valor
de los informes.

PLANIFICACIN Y GESTIN DE RECURSOS DEL REA INFORMTICA

Debe planearse, aportarse y gestionarse los recursos organizativos para apoyar el


logro de los objetivos aprobados para el rea de Informtica.
Tabla 81. Gestin de recursos
tem
a
Evaluar
Presupuesto
Operativo
Anual del
rea de
Informtica

Objetivo de Control de la
Auditora
La
Gerencia
de
la
organizacin debe establecer
un
presupuesto
operativo
anual del rea de informtica.
Debe
revisarse
si
el
presupuesto operativo anual
para el rea informtica es
adecuado.

Procedimiento
1. Determinar si el proceso para la preparacin
del presupuesto operativo del rea de
informtica es participativo, y que para su
preparacin se involucran las principales
unidades del rea, tales como desarrollo de
sistemas software, explotacin de sistemas,
mantenimiento, redes y transmisin de
datos, apoyo a usuarios, entre otros.
2. Determinar que el presupuesto operativo del
rea informtica ha sido revisado y

160

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
aprobado por la direccin del rea y por la
gerencia de la organizacin.
3. Determinar si las diversas categoras de
gasto
del
rea
de
informtica
(computadores, adquisicin de software,
mantenimiento de software, sueldo, salarios,
equipo de oficina) han sido establecidos y
clasificados.

4. Asegurar si el nivel de apoyo proporcionado

Plan de
Adquisicin de
Equipos

Debe establecerse un plan de


adquisicin de equipos para el
rea informtica que refleje las
especificaciones
para
satisfacer las necesidades
tanto a corto como a largo
plazo. Debe revisarse el plan
de adquisicin de equipos del
rea de informtica.

por el presupuesto operativo anual


aprobado para el rea de informtica es
suficiente para su funcionamiento adecuado.
1. Obtener una copia del plan de adquisicin
de equipos del rea de informtica, y
determinar su situacin.
2. Determinar
con
la
direccin
del
departamento usuario, los elementos del
plan de adquisicin de equipos del rea
informtica, para evaluar si se compara
dicho plan con el plan del departamento, y
determinar su comprensin.
3. Revisar el entorno fsico actual del rea
informtica para determinar el inventario de
los equipos instalados y los nuevos a ser
asignados bajo el plan de adquisicin
aprobado.
4. Comparar el plan de adquisicin de equipos
del rea de informtica con sus planes de
procesamiento de datos e identificar
deficiencias del primero.
5. Determinar si el plan de adquisicin de
equipos del rea de informtica ha tomado
en
consideracin
la
obsolescencia
tecnolgica
del
equipo
actualmente
instalado como del nuevo equipo incluido en
el plan de adquisicin.
6. Verificar
la
documentacin
de
la
especificacin
de
equipos,
de
especificaciones, y probables plazos de
entrega asociados con la adquisicin
cuando necesitan implementar un nuevo
sistema software.

161

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

EXPLOTACIN

Los recursos en computadores del rea de informtica deben ser usados


efectivamente, mediante el mantenimiento de un calendario establecido de
explotacin, permitiendo costos de facturacin razonables y protegiendo los
archivos de datos de prdida.
Tabla 82. Explotacin de recursos
tem
a
Evaluar
Calendario de
Carga
de
Trabajo

Objetivo de Control de la
Auditora
Debe haber un calendario de
todas las tareas de
procesamiento de datos por el
rea de informtica, para
asegurar el uso eficiente de
sus instalaciones y satisfacer
las especificaciones de sus
usuarios. Debe revisarse el
procedimiento de confeccin
de calendarios de carga de
trabajo seguido por el rea de
informtica, con el fin de
determinar si todas las tareas
de procesamiento de datos
estn siendo entregados de
forma oportuna y eficiente.

Procedimiento
1. Obtener una lista de todas las aplicaciones
de procesamiento de datos cuya explotacin
est programada regularmente junto con
sus fechas de vencimiento de entrada,
tiempos de preparacin de datos, tiempo
estimado de tratamiento, y fechas de
entrega de las mismas.
2. Determinar si los usuarios de aplicaciones
de procesamiento de datos participan en la
preparacin del calendario en lo que
respecta a la entrada de documentos fuente
y la salida de informes, verificar que los
resultados de esta participacin se reflejan
en un acuerdo escrito sobre nivel de
servicio.
3. Examinar el calendario de explotacin para
familiarizarse con la distribucin de la carga
de trabajo. Determinar cuando tienen lugar
altas demandas de proceso.
4. Determinar si la capacidad de equipos
disponibles es suficiente para satisfacer las
demandas altas de tratamiento y para seguir
brindando un nivel adecuado de servicio a
los usuarios.
5. Cerciorarse si el rea de informtica genera
informes para identificar el trabajo que fue
procesado despus de cuando estaba
programada hacerse. Analizar las razones
por las cuales dicho trabajo no est siendo
acabado en el plazo pactado.
6. Determinar si el rea de informtica ha
establecido prioridades de procesamiento
de datos para cada sistema software.
7. Determinar si se han asignado suficientes
recursos de equipo para realizar pruebas de
aceptacin, asegurando que las actividades
de prueba se completan oportunamente en

162

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
el tiempo.
8. Cerciorarse de que el hardware y el
software empleado en las pruebas son
similares a los empleados en el entorno de
explotacin para permitir identificar los
problemas potenciales de procesamiento de
manera oportuna durante las pruebas de
aceptacin.
9. Determinar si los trabajos urgentes o
peticiones
de
procesamiento
son
programados para su explotacin de forma
adecuada con los niveles de prioridad
asignados.

Programacin
del Personal

Deben asignarse a la unidad


de explotacin suficientes
recursos humanos
cualificados, para asegurar
que todas sus actividades se
llevan a cabo eficazmente.
Debe revisarse la adecuacin
de los recursos humanos
suministrados a explotacin
del rea de informtica.

10. Verificar que las acciones de procesamiento


de datos estn identificadas por su prioridad
en el calendario de explotacin.
11. Evaluar si el procedimiento de programacin
de explotacin utilizado logra optimizar el
uso de los recursos de computador, al
tiempo
1. Examinar el organigrama actual de
explotacin del rea informtica e identificar
las diversas actividades del mismo.
2. Determinar si al personal se le ha asignado
la responsabilidad de cada actividad de
procesamiento de datos y determinar si en
cada turno trabaja ms de una persona,
para asegurar que todas actividades estn
dotados de recursos humanos.
3. Obtener copias de las descripciones de
puestos de trabajo de aquellos miembros
del personal asignadas a explotacin y
determinar que sus responsabilidades han
sido documentadas y se le han comunicado
adecuadamente.
4. Obtener el plan de turnos mensual del
personal de explotacin y determinar si
todas
las
reas
funcionales
estn
adecuadamente dotadas de personal de
acuerdo al volumen de trabajo a realizar.
5. Observar el trabajo realizado por el personal
en las actividades de explotacin y
determinar si coincide con las actividades
definidas en el organigrama del rea.
6. Determinar si para cada turno y actividad de
explotacin se lleva una bitcora de
problemas surgidos, revisar dichos registros

163

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
para determinar el efecto de problemas
sobre la gestin prctica del calendario del
personal.
7. Determinar mediante observacin, si hay
supervisin en todas las operaciones de
tratamiento de datos del rea informtica.
8. Determinar si los calendarios de asignacin
de personal de explotacin coinciden con
las fluctuaciones previstas de carga de
trabajo y si dichos calendarios se utilizan
realmente.
9. Determinar si los calendarios de asignacin
de personal de explotacin incluye tiempo
para formacin individual y reuniones del
personal.
10. Determinar mediante entrevistas a la
direccin de explotacin que tan a menudo
se revisan los calendarios de asignacin de
personal para verificar cambios en la carga
de trabajo.

Mantenimient
o Preventivo
del Hardware

El rea de informtica debe


programar el mantenimiento
peridico rutinario del
hardware para reducir la
posibilidad e impacto de fallos
de funcionamiento. Debe
revisarse el calendario del
rea de informtica para
mantenimiento peridico y su
cumplimiento.

11. Considerar una evaluacin global de la


utilizacin del personal asignado a
explotacin, el impacto de la introduccin de
nuevos equipos o software, reducciones en
el presupuesto operativo del rea, rotacin
del personal.
1. Revisar la documentacin suministrada por
el proveedor al igual que los contratos de
alquiler o leasing de hardware para
determinar la frecuencia de mantenimiento
preventivo prescrita para cada dispositivo
utilizado por el rea de informtica.
2. Verificar que no se est llevando a cabo
durante periodos de carga alta.
3. Comparar el calendario de mantenimiento
preventivo del hardware con la planeacin
de carga de trabajo de explotacin, y
determinar si el tratamiento de aplicaciones
crticas o sensibles est siendo afectado
negativamente por las actividades de
mantenimiento.
4. Verificar que el calendario de explotacin es
lo bastante flexible como para acomodar el
mantenimiento preventivo del hardware
requerido.
5. Revisar los registros de mantenimiento de

164

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
cada dispositivo utilizado en el proceso de
explotacin para determinar la necesidad de
mantenimiento preventivo adicional, como la
frecuencia aproximada del mantenimiento
no planeado.

Gestin
de
Problemas

Debe revisarse
peridicamente el
funcionamiento del rea de
informtica en cuanto al logro
de sus compromisos de
suministrar un nivel
programado de servicio de
procesamiento de datos, para
asegurar que todos los
problemas surgidos durante la
explotacin se registran,
analizan y resuelven de
manera oportuna en el tiempo.
Deben reunirse y evaluarse
pruebas de las revisiones
peridicas del funcionamiento
del servicio programado del
procesamiento de datos. Debe
evaluarse lo adecuado de la
elaboracin y seguimiento de
los calendarios de los recursos
de cmputo empleados para el
procesamiento en lnea,
evaluando la eficacia del
procedimiento empleado para
registrar, evaluar y resolver
cualquier problema operativo o
de tratamiento que haya
surgido.

6. Verificar que el calendario de explotacin es


lo bastante flexible como para acomodar
tiempos de no funcionamiento del sistema
razonablemente
previstos
para
mantenimiento no programado.
1. Entrevistar a la direccin de explotacin
para cerciorarse de que se mantienen
registros para evaluar el funcionamiento real
del rea en cuanto al logro de los
calendarios de servicio de procesamiento de
la informacin.
2. Determinar si la direccin de explotacin
utiliza tales registros para gestionar la
programacin de sus actividades de
servicio.
3. Revisar los registros de funcionamiento de
explotacin del rea de informtica para
determinar donde hay puntos dbiles y
determinar para programas de aplicacin si
los momentos en que el trabajo terminado
cumple los calendarios y est listo para ser
distribuido.
4. Determinar mediante un anlisis funcional
de los registros de explotacin aquellos
programas de aplicacin que estn
sufriendo problemas en su funcionamiento,
analizar e informar sobre cualquier
problema.
5. Verificar que la direccin de explotacin
hace un control y seguimiento del flujo del
trabajo del procesamiento y de todas las
variaciones del calendario de explotacin y
determinar que el tiempo de retraso se
registra para todas esas variaciones.
6. Verificar que las razones de demoras en el
tratamiento programado de programas de
aplicacin se identifican por la direccin de
explotacin en base a la causa responsable
del retraso.
7. Determinar mediante una encuesta a la
direccin de los departamentos usuarios si
los calendarios de explotacin llevados por
el
rea
informtica
satisfacen
sus

165

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
necesidades de servicio.
8. Revisar el procedimiento seguido por el rea
de informtica para recoger estadsticas del
funcionamiento del procesamiento en lnea
para determinar si se est informando sobre
resultados exactos y completos, y si las
percepciones
por
los
departamentos
usuarios estn de acuerdo con los datos
recogidos por este procedimiento.
9. Determinar si todos los problemas surgidos
en explotacin se estn registrando y se
emplean estos registros para verificacin.
10. Evaluar la adecuacin del procedimiento
para evaluar las causas de los problemas de
procesamiento de datos y determinar si se
estn identificando problemas significativos
y recurrentes, para tomar acciones y
prevenir su ocurrencia.
12. Determinar si la solucin de problemas
especficos de procesamiento de datos se
ha asignado a miembros del personal del
rea de informtica y cerciorarse de que se
han establecido prioridades sobre que tan
rpidamente deben resolverse problemas
especficos.

Gestin
Cambios

de

El impacto de cambios en el
hardware y software debe
reflejarse en el calendario de
explotacin y todos los
cambios deben ser aprobados
antes de ser implantados.
Debe evaluarse el impacto de
los cambios en hardware y
software sobre la
programacin de la
explotacin de aplicaciones
informticas.

13. Determinar si los miembros designados


resolvieron oportunamente los problemas de
procesamiento y si se registr la solucin
del problema.
1. Entrevistar
al
responsable
de
la
coordinacin del calendario de explotacin
para determinar si esa persona se le
advierte con tiempo de los cambios en el
software del sistema o de la aplicacin y en
la configuracin del hardware.
2. Verificar que la direccin del rea de
informtica ha desarrollado y puesto en
marcha calendarios de cambios que
permiten tiempo para la instalacin y prueba
de hardware y de software.
3. Verificar que la direccin de explotacin es
informada, antes de su implantacin de los
nuevos sistemas, sobre calendarios de
instalacin y necesidades de tiempo de
prueba.
4. Verificar que antes de la implantacin de
cambios de hardware y software la

166

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
documentacin de operacin empleada en
explotacin es adecuadamente revisada.

Responsabilid
ades
de
Gestin de la
biblioteca de
Soportes
Magnticos

Las responsabilidades de
gestin de la biblioteca de
soportes magnticos debe ser
asignada a miembros
especficos del rea
informtica y el departamento
usuario deben establecer
procedimientos de gestin
interna para proteger los
contenidos de la biblioteca de
soportes. Debe revisarse la
asignacin de
responsabilidades de gestin
de la biblioteca de soportes y
debe evaluarse la adecuacin
de los procedimientos para
proteger los recursos.

5. Seleccionar una muestra de cambios de


hardware y software que han afectado al
calendario de explotacin y comparar el
calendario anterior al cambio con el actual
para determinar si los planes se han
cumplido a tiempo.
1. Asegurar que las responsabilidades de
bibliotecario de soportes se han asignado a
individuos especficos de explotacin del
rea de informtica.
2. Asegurar que la biblioteca de soportes est
ubicada en un sitio dentro del rea de
informtica, que est asegurada contra
daos por fuego, agua y sabotaje, y que es
operada por individuos independientes de
los operadores y programadores del rea.
3. Determinar mediante observacin que los
procedimientos de control de soportes
magnticos se cumplen cuando el
bibliotecario de soportes no est presente.
4. Determinar si hay procedimientos para
controlar el acceso y uso de todos los
archivos de explotacin de programas de
aplicacin.
5. Verificar la existencia de cualquier
instalacin remota que pueda ser utilizada
para almacenar copias de archivos de datos
crticos mantenidos en la biblioteca de
soportes del rea y determinar, mediante
visita a las mismas que en ellas estn
conservando realmente copias de archivos.

Sistema
de
Gestin de la
Biblioteca de
Soportes

El rea de informtica debe


establecer procedimientos
para asegurar que los
contenidos de su biblioteca de
soportes son inventariados
peridicamente, que todas las
discrepancias puestas de
manifiesto por dicho inventario
se corrigen en tiempo
oportuno y que se adoptan

6. Examinar los procedimientos para la


creacin de copias de archivos a ser
almacenados en las instalaciones remotas y
determinar si el perodo de tiempo
transcurrido entre copia y copia es
razonable.
1. Revisar las posibles funciones de cualquier
software de sistema de gestin de
bibliotecas de soportes que pueda venir
utilizndose por el rea de informtica.
2. Determinar si los bibliotecarios de soportes
verifican peridicamente la exactitud de la
informacin creada y mantenida por el
sistema de gestin de bibliotecas de
soportes. Hacer muestreos selectivos de

167

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
medidas para preservar la
integridad de los soportes
magnticos. Deben
examinarse los procedimientos
del rea informtica para
inventariar los contenidos de
su biblioteca de soportes, y
para limpiar y conservar los
soportes magnticos que la
integran.

registros del sistema de gestin de


bibliotecas de soportes, para cerciorarse de
que son exactos y completos.
3. Verificar que los registros de contenido de la
biblioteca de soportes del rea de
informtica especifican el nmero del
soporte, el periodo de retencin, quien lo
custodia actualmente y su localizacin
fsica.
4. Seleccionar una muestra aleatoria de los
contenidos inventariados de la biblioteca de
soportes y asegurar de que tienen
identificacin adecuada mediante etiquetas
internas.
5. Verificar que las etiquetas internas
empleadas con los soportes de la biblioteca
de soportes identifican, al menos: nombre
del archivo, la fecha de creacin, nmero
del programa que lo cre, periodo de
retencin del soporte, nmero de registros o
bloques contenidos en el soporte.
6. Determinar si los procedimientos de
conservacin de los soportes magnticos
especifican un ciclo peridico de limpieza de
los soportes y revisar los registros
pertinentes para asegurar que eso se est
haciendo.

Identificacin
Externa
y
Control
de
Soportes
Magnticos

El rea informtica debe


establecer estndares para la
identificacin externa de los
soportes magnticos y para el
control de su movimiento
fsico.

7. Verificar que el rea de informtica ha


establecido estndares de funcionamiento y
puesta fuera de servicio de soportes
individuales y que el bibliotecario pone fuera
de servicio soportes o borra datos de
archivos de conformidad con los estndares.
1. Asegurar que el rea de informtica tiene
procedimientos y estndares adecuados
para identificar externamente, conservar,
controlar el movimiento y proteger sus
soportes magnticos.
2. Observar los procedimientos para trasladar
soportes magnticos para ser procesados y
devueltos a la biblioteca, y verificar que los
estndares y procedimientos se estn
cumpliendo.
3. Asegurar que se llevan a cabo revisiones
peridicas de las etiquetas externas de los
soportes magnticos para verificar la
exactitud de las prcticas de identificacin
de archivos.

168

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Procedimiento
s de
Explotacin

El rea de informtica debe


establecer procedimientos
estndar de explotacin, y
stos deben ser revisados
peridicamente, para
determinar que son efectivos y
que se cumplen. Deben
revisarse los procedimientos
estndar de explotacin del
rea de informtica.

4. Determinar que el rea de informtica


conserva registros adecuados de todos los
soportes magnticos recibidos o enviados a
terceros.
1. Determinar que los procedimientos estndar
de explotacin cubren todos los procesos
significativos de los equipos, incluyendo
arranques en fro y rutinas de recuperacin.
2. Entrevistar a la direccin del rea de
informtica para determinar la extensin con
que los procedimientos estndar de
explotacin se revisan peridicamente para
asegurar que son eficaces y que se
cumplen.
3. Determinar si para todos los sistemas
software de que dispone explotacin y para
todos
los
equipos
que
requieren
intervencin de operadores y para todas las
aplicaciones de software de sistemas
existen manuales de operacin.

SOFTWARE DEL SISTEMA OPERATIVO

El rea informtica debe usar procedimientos estndar para identificar,


seleccionar, programar, probar, implementar y controlar el software del sistema
operativo.
Tabla 83. Software de sistema operativo
tem
a
Evaluar
Seleccin del
Software
de
Sistema

Objetivo de Control de la
Auditora
El rea de informtica debe
seguir un procedimiento
estndar para identificar todos
los programas de software de
sistema potenciales que
satisfacen sus
especificaciones operativas.
Debe revisarse el
procedimiento seguido para
identificar y seleccionar todos
los programas de software de
sistema potenciales que
satisfacen sus
especificaciones operativas.

Procedimiento
1. Determinar si el rea de informtica ha
formulado una arquitectura tcnica global y
cerciorarse que sta contempla los planes
de negocios a largo plazo de la organizacin
y las innovaciones en las tcnicas
informticas.
2. Obtener un inventario del software y la
documentacin del proveedor que cubre
todas las capacidades de tales productos,
identifica las posibles debilidades de control
asociadas con su uso y describe las
opciones de control ofrecidas por tales
productos.

3. Revisar el procedimiento para seleccionar el


software de sistema. Determinar mediante la
evaluacin de una muestra de software de
sistema
recientemente
instalado
si

169

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Anlisis de
Costo
Beneficio del
Software de
Sistema

El procedimiento utilizado por


el rea de informtica para
seleccionar software de
sistema debe incluir una
comparacin entre costos y
beneficios de varias
alternativas distintas. Debe
revisarse el procedimiento de
anlisis de costo-beneficio
utilizado para seleccionar
software de sistema.

Instalacin de
Cambios en el
Software de
Sistema

Los cambios al software del


sistema empleados por el rea
de informtica deben ser
aprobados detalladamente
antes de comenzar su
utilizacin en operaciones
regulares de tratamiento de
datos. Debe revisarse el
procedimiento empleado por el
rea de informtica para
probar los cambios de
software de sistema ya
instalado, antes de comenzar
su utilizacin en operaciones
regulares de tratamiento de
datos.

satisfacen los requerimientos de la


organizacin.
Seleccionar una muestra de software de sistema
para determinar si durante la evaluacin de los
productos, se han considerado los aspectos
relacionados con los costos financieros directos
asociados con la utilizacin del producto, el
costo de las modificaciones al producto y del
soporte por el proveedor, los requisitos de
equipos y la capacidad del producto, las
necesidades de formacin y apoyo tcnico
asociados con la utilizacin del producto, el
impacto del producto en la fiabilidad del proceso,
el aumento o disminucin en la seguridad de los
datos asociado con la utilizacin del producto, la
direccin a largo plazo y la estabilidad financiera
de las operaciones del proveedor.
1. Obtener una lista de los ltimos cambios
introducidos en el software de sistema
empleado por el rea de informtica.
2. Determinar si se ha establecido un plan
escrito para la prueba de cambios el
software de sistema. Determinar si las
pruebas se han completado como se haba
planificado, si los problemas puestos de
manifiesto durante las pruebas fueron
identificados y resueltos adecuadamente, y
si se volvieron a ejecutar pruebas tras los
cambios.
3. Determinar si existen instalaciones de
prueba adecuadas para brindar la seguridad
de que cualquier problema con los cambios
en el software de sistema se identificarn
antes de ponerlos en el entorno de
explotacin.
4. Determinar si el programa la instalacin de
cambios en el software de sistema cuando
se puede esperar que tenga lugar un
impacto mnimo sobre la explotacin.

Mantenimiento
del Software
de Sistema

Todas las actividades de


mantenimiento de software de
sistema deben documentarse
de modo que satisfagan los
estndares del rea de
informtica. Deben revisarse
los procedimientos para
documentar el mantenimiento
del software de sistema.

5. Determinar si a los programadores y a los


usuarios de sistema se les notifican los
cambios en el producto.
1. Revisar
los
procedimientos
para
mantenimiento de software de sistema y
determinar si todos los cambios introducidos
en estos productos estn documentados.
2. Verificar que la documentacin contiene una
historia de quin hizo el cambio, cundo se
hizo el cambio, y una descripcin del mismo.

170

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Control
de
Cambios en el
Software
de
Sistema

Todo el software de sistema


debe tenerse en bibliotecas de
programas separadas y
protegidas, en el rea de
informtica. Deben revisarse
las bibliotecas usadas para
tener el software de sistema.

3. Determinar la extensin con la que la


versin de software de sistema empleado
por el rea de informtica es soportada por
el proveedor.
1. Obtener una lista de las bibliotecas de
prueba y explotacin utilizadas para tener el
software de sistema.
2. Determinar si el acceso de las bibliotecas
que tienen el software de sistema est
limitada por la necesidad del usuario,
relacionada con su trabajo, de tener dicho
acceso.
3. Revisar los controles establecidos para
asegurar que los programadores de
sistemas no introducen cambios en dichos
productos sin probarlos y documentarlos
adecuadamente.

Gestin
de
Problemas
con
el
Software
de
Sistema

Seguridad del
Software de
Sistema

Todos los problemas de


explotacin experimentados
por el rea de informtica que
puedan ser atribuidos al
software de sistema deben
registrarse, analizarse y
resolverse. Debe revisarse el
procedimiento de gestin de
problemas con el software de
sistema del rea de
informtica.

El software de sistema
instalado por el rea de
informtica no debe poner en
peligro la integridad de los
datos y programas
almacenados en el
computador. Debe revisarse el
impacto del software de
sistema sobre la seguridad de

4. Determinar el nivel de autorizacin que se


exige a los programadores para pasar los
cambios en estos productos el entorno de
explotacin. Seleccionar una muestra de los
cambios recientes en el software de sistema
para verificar que se obtuvo la autorizacin
necesaria para implantarlos.
1. Revisar los procedimientos para identificar y
documentar problemas con el software de
sistema operativo y verificar que se estn
registrando todos los problemas mediante
una comprobacin de los registros de los
problemas con la bitcora del sistema.
2. Determinar si los registros de problemas con
el software de sistema operativo identifican
la gravedad del problema, registran la
asignacin de su anlisis y solucin a
individuos concretos, y especifican la
oportuna resolucin del problema.
3. Revisar las causas y frecuencia de los
problemas recurrentes con el software de
sistema, y asegurarse de si el proceso de
control de cambios debe haber prevenido
tales problemas.
1. Revisar las posibilidades de gestionar las
restricciones de acceso de seguridad lgica
ya existentes de las brindadas por el
software de sistema y determinar si el rea
ha
establecido
procedimientos
para
restringir tales posibilidades.
2. Revisar las capacidades de sistema para
interrumpir el entorno de explotacin y

171

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
los datos que se procesan.

determinar si existe en el rea un


procedimiento para limitar el acceso a esas
capacidades.
3. Determinar qu terminales han sido
habilitadas como terminales consolas del
sistema y verificar que las medidas de
seguridad fsica y lgica existentes
restringen adecuadamente el acceso a
dichas consolas.
4. Determinar si las claves suministradas por el
proveedor de software de sistema se
cambiaron en el momento de instalacin
como un procedimiento de rutina.

Leccin 30: Procedimientos de Control para Seguridad y Planes de


Contingencia
SEGURIDAD LGICA Y FSICA
El acceso a los recursos de computador debe estar limitado a aquellos usuarios
que tengan necesidad documentada y autorizada de efectuar dicho acceso.
Verificar procedimientos para proteger los recursos de computador contra
utilizacin o modificacin no autorizada, dao o prdida, debe establecerse
controles de accesos lgicos y fsicos.
Tabla 84. Seguridad lgica y fsica
tem
a
Evaluar
Responsabilid
ad
de
la
seguridad
Lgica
y
Fsica

Objetivo de Control de la
Auditora
La responsabilidad de la
seguridad, tanto lgica como
fsica, de los activos de
informacin de la organizacin
debe estar asignada a un
administrador de seguridad de
la informacin, dependiente de
la gerencia de la organizacin.
Dicha persona no debe tener
responsabilidad alguna de
programacin, operacin de
equipos, o entrada de datos a
ser procesados por el rea de
informtica. Deben revisarse
los
procedimientos
para
asegurar la seguridad, tanto
lgica como fsica, de sus
activos de informacin.

Procedimiento
1. Revisar el organigrama de la organizacin
para determinar si se ha nombrado un
administrador
de
seguridad
de
la
informacin y si dicha persona depende de
la gerencia de la organizacin.
2. Revisar las polticas de seguridad de la
informacin de la organizacin para
determinar se define claramente las
responsabilidades, en los temas de
seguridad tanto de usuarios, direccin y
administradores.
3. Entrevistar al administrador de seguridad
de la informacin, y a otros empleados a
quienes
se
hayan
asignado
responsabilidades de seguridad de la
informacin,
para
determinar
su
comprensin de las tareas asignadas es
acorde con las polticas de seguridad de la
informacin de la organizacin.

172

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

4. Entrevistar a personal seleccionado del


rea de informtica para determinar el
grado de su concientizacin general sobre
la importancia de la seguridad fsica y
lgica de la informacin y del cumplimiento
de las polticas de seguridad de la
informacin de la organizacin.

5. Revisar

Acceso a las
Instalaciones
de
Computadore
s

Deben adoptarse medidas


para asegurar que el acceso a
las instalaciones o salas de
computadores del rea de
informtica quede restringido
al personal que ha sido
autorizado a tener dicho
acceso. Deben revisarse los
procedimientos establecidos
para restringir el acceso a sus
instalaciones
de
computadores.

los procedimientos que la


organizacin pueda tener para identificar
riesgos potenciales para la seguridad de la
informacin planteados por los miembros
del personal del rea informtica y
determinar si tales procedimientos cumplen
las normas sobre la proteccin de la
intimidad.
1. Asegurar que se ha publicado una
declaracin escrita que define las
restricciones de acceso a las instalaciones
de computadores del rea de informtica.
2. Determinar
si
hay
procedimientos
adecuados para evitar que personas no
autorizadas
logren
acceder
a
las
instalaciones de computadores del rea de
informtica.
3. Obtener un plano de la distribucin fsica
de las instalaciones de computadores.
Identificar todas las posibles entradas a las
instalaciones y determinar si en cada una
de ellas se han instalado restricciones al
acceso fsico. Determinar si las entradas
estn restringidas por el uso de llaves,
cdigo de entrada u otro dispositivo para
activar el mecanismo de cierre, verificar
que los medios de entrada se cambian
peridicamente.
4. Obtener una lista de todas las personas
autorizadas a tener acceso a las
instalaciones
de
computadores
y
determinar que dicho acceso es necesario.
Verificar que la direccin del rea de
informtica revisa peridicamente dicha
lista para decidir si las autorizaciones de
acceso siguen siendo vlidas.
5. Observar las actividades desarrolladas en
las instalaciones de computadores a
distintas horas para verificar que slo se
permite entrar en ellas a personal
autorizado.

173

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

6. Asegurar que cuando las instalaciones de

Acompaamie
nto de Visitas

Administraci
n de Claves
de Acceso

Las personas que no son


miembros del personal del
rea de informtica deben ser
acompaadas cuando tengan
que entrar a las instalaciones
de computadores del rea.
Deben revisarse los
procedimientos para asegurar
que cualquier persona que no
sea del personal de
explotacin es acompaada
por un miembro del personal
del rea informtica cuando
deseen entrar en las
instalaciones de computadores
del rea.
Al acceso lgico a los
computadores del rea de
informtica deben estar
restringidos mediante el uso
de claves de acceso
asociadas a reglas de acceso.
Debe revisarse el empleo de
claves de acceso y otras
restricciones lgicas de
acceso a los recursos de
computador.

computadores estn desocupadas, hay una


vigilancia peridica del rea o que se
transmiten seales de alarma de entrada
no autorizada a una entidad externa
responsable de supervisar la seguridad de
las instalaciones.
Revisar los procedimientos establecidos por el
rea de informtica para identificar a las visitas
a las instalaciones de computadores y para
acompaarles mientras est presente en esas
reas.

1.

Revisar el procedimiento para aadir


personas a la lista de las autorizadas a
tener acceso a los recursos de
computador,
para
cambiar
sus
autorizaciones de acceso y para borrarlos
de la lista.

2.

Revisar el procedimiento para suministrar


claves de acceso, para asegurar que las
claves individuales no se revelan de forma
inadvertida y determinar si se exige que
individuos
cambien
sus
claves
recientemente asignadas.

3.

Determinar si las claves suministradas por


el rea de informtica tienen una longitud
adecuada, no pueden ser eliminadas
fcilmente, y no contienen caracteres
repetidos.

4.

Asegurarse de que el procedimiento del


rea de informtica exige que las claves
de usuario se cambien peridicamente y
que el mismo individuo no puede reutilizar
la misma clave.

5.

Verificar si los procedimientos aseguran


que las claves de usuario no aparecen en
la pantalla durante el proceso de
identificacin del usuario, no aparecen
impresas y se almacenan en un archivo
cifrado.

174

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

6.

Determinar
si
los
procedimientos
restringen a los usuarios a terminales,
horarios, y das de la semana especficos,
cuando el riesgo justifica controles
adicionales de acceso.

7.

Determinar si los usuarios quedan


despedidos
y
desconectados
automticamente, bajo los procedimientos
del rea de informtica, si no han estado
activos durante un periodo especfico,
expresado normalmente en minutos de
inactividad.

8.

Determinar si la direccin de los


departamentos usuarios de la organizacin
valida peridicamente las libertades de
acceso actualmente concedidas a las
personas de su departamento.

9.

Determinar
si
los
procedimientos
establecen la rpida cancelacin de
cdigos de identificacin y claves de
usuario cuando ha terminado el contrato
de la persona a quien se haya asignado.

10. Determinar

Informes de
Violaciones y
actividad de
Seguridad

Restricciones
de Acceso
Lgico

Los procedimientos de
seguridad de la informacin
deben asegurar que se revisan
peridicamente los informes
de violaciones y actividad de
seguridad para identificar y
resolver incidentes relativos a
actividad no autorizada. Deben
revisarse la adecuacin y
eficacia de los procedimientos
del rea de informtica para
revisar y resolver los informes
sobre violaciones de seguridad
y actividades asociadas.
Revisar los procedimientos
para revisar y resolver los
informes sobre violaciones de
seguridad y verificar que estn
cumplindose.
El rea de informtica debe
establecer reglas automticas
que regularan el acceso a sus

si
los
procedimientos
establecen la suspensin de cdigos de
identificacin de usuario o la desactivacin
de la terminal, computador o dispositivo de
entrada de datos despus de un cierto
nmero de violaciones de seguridad.
1. Determinar si se vienen registrando
cambios en los registros de violaciones de
seguridad y si dichos cambios son
revisados por una persona independiente y
verificar
que
existen
documentos
autorizando tales cambios en archivos.
2. Determinar si los registros de violaciones
de seguridad del rea de informtica estn
protegidos contra destruccin accidental o
intencional.

1. Determinar si existen los procedimientos


para que los usuarios reciban permiso
especfico para acceder
a recursos

175

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
recursos de computador.
Deben examinarse los
procedimientos para conceder
acceso autorizado a sus
recursos de computador.

particulares incluyendo archivos de datos,


programas
de
aplicacin,
sistema
operacional, y ciertos comandos.
2. Determinar si existe documentacin que
justifique la necesidad y autorizacin para
acceder a los recursos del sistema de
informacin por los usuarios.
3. Revisar los procedimientos para acceso de
emergencia a temporal a los recursos del
sistema de informacin. Determinar si se
debe obtener autorizacin especial, si slo
se concede acceso temporal, y si se
notifica a la direccin el acceso.

Seguridad del
Acceso a
Datos en
Lnea

Identificacin
Limitada del
centro de
Cmputo

Proteccin
Contra el
Fuego

En un entorno en lnea de
procesamiento de datos, los
procedimientos deben brindar
controles de seguridad de los
accesos basados en la
necesidad probada del usuario
de ver, aadir, cambiar o
borrar datos. Deben revisarse
los procedimientos para
autorizar acceso a un entorno
de tratamiento en lnea.

El rea de informtica debe


identificar la identidad fsica de
su centro de cmputo. Deben
revisarse los procedimientos
empleados por el rea de
informtica para la
identificacin de su centro de
cmputo.

Las medidas de proteccin


contra el fuego del rea de
informtica deben ser
conformes con los estndares
generalmente aceptados para
dichas medidas protectoras.
Debe evaluarse las medidas

4. Verificar que la separacin de funciones


dentro del sistema de informacin se
mantiene mediante el sistema de control de
accesos
y
determinar
que
los
programadores de sistemas y los de
aplicacin no tienen acceso a programas y
datos de explotacin.
1. Determinar si los procedimientos del rea
de informtica para autorizar acceso a un
entorno de tratamiento en lnea permiten
limitar las funciones de ver, aadir, cambiar
o borrar datos y restringir el acceso
individual tan solo a datos o transacciones
para los cuales est demostrada la
necesidad de dicho acceso.
2. Determinar si la direccin de los
departamentos
usuarios
valida
peridicamente las libertades de acceso al
entorno
de
tratamiento
en
lnea
actualmente concedidas a individuos de su
departamento.
1. Visitar el centro de cmputo del rea de
informtica y verificar que la naturaleza de
ese local no es fcilmente identificable
mediante carteles u otros signos.
2. Revisar las guas, listas telefnicas, y otra
documentacin
producida
por
la
organizacin para asegurar que en ellos no
se identifica el local en que se lleva a cabo
la explotacin del rea de informtica.
1. Revisar los estndares aceptados por
organizaciones nacionales de proteccin
contra el fuego y evaluar si las medidas de
proteccin contra el fuego seguidas en los
centros de cmputo del rea de informtica
son conformes con dichos estndares.

176

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
de proteccin contra el fuego
adoptadas por el rea de
informtica.

2. Determinar mediante entrevistas con la


gerencia de la organizacin y con la
direccin del rea de informtica su
comprensin de la adecuacin del
cumplimiento del rea con estndares de
proteccin contra el fuego aceptados en
centros de cmputo.
3. Revisar las evaluaciones realizadas por los
representantes de seguros, por el jefe de
bomberos, autoridad con jurisdiccin sobre
la adecuacin de las medidas, o cambios
previstos en ellas, de proteccin contra el
fuego en el centro de cmputo del rea de
informtica.
4. Inspeccionar los centros de cmputo del
rea de informtica para determinar la
adecuacin de las medidas de proteccin
contra el fuego existentes y el grado en que
cumplen con los estndares aplicados
relativos a dichas medidas.

Formacin y
Concientizaci
n en
Procedimiento
s de
Seguridad

El personal del rea de


informtica debe recibir
informacin peridica sobre
los controles y procedimientos
de seguridad que se espera
que cumplan. Debe verificarse
la formacin sobre medidas y
procedimientos de seguridad
recibida por el personal del
rea de informtica.

1. Verificar que los miembros del personal del


rea
de
informtica
han
recibido
peridicamente formacin adecuada sobre
los procedimientos que deben seguir en
casos de emergencias de fuego, agua y
alarma.
2. Determinar mediante observacin que los
miembros del personal del rea de
informtica conocen la localizacin de las
alarmas de fuego, los extintores, de los
interruptores de energa normal y auxiliar,
de los suministros de agua y aire
acondicionado,
de
los
aparatos
respiradores y de cualquier otro dispositivo
de emergencia que se espera utilicen en
caso de emergencia.
3. Determinar si el personal del rea de
informtica efecta simulacros de incendio
peridicos.

PLANEACIN DE CONTINGENCIAS

Deben existir planes adecuados para el respaldo de recursos de computador


crticos y para la recuperacin de los servicios del rea de informtica despus de
una interrupcin imprevista de los mismos.

177

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Tabla 85. Planeacin de contingencias


tem
a
Evaluar
Plan
de
Recuperacin
de Desastres

Objetivo de Control de la
Auditora
El plan de recuperacin de
desastres del rea de
informtica debe incluir
procedimientos de emergencia
para asegurar la seguridad de
los miembros del personal y
stos deben recibir formacin
peridica sobre el uso de
dichos procedimientos. Deben
revisarse los procedimientos
incluidos en el plan de
recuperacin de desastres
para asegurar la seguridad de
todos los miembros del
personal y la formacin que
reciben en el uso de dichos
procedimientos.

Procedimiento
1.

Entrevistar a la direccin del rea de


informtica para determinar su participacin
en el procedimiento de formulacin del plan
de recuperacin de desastres del rea.

2.

Determinar el tiempo que transcurre tras la


interrupcin de los servicios del rea de
informtica hasta su recuperacin y evaluar
si el plan de recuperacin de desastres del
rea permite la restauracin de dichos
servicios crticas de la organizacin en un
perodo razonable de tiempo.

3.

Evaluar lo completo y actualizado del plan


de recuperacin de desastres del rea de
informtica y determinar si se han colocado
copias del mismo en ubicaciones remotas.

4. Entrevistar a miembros del personal del

Seguridad del
Personal
y
Formacin en
Procedimiento
s
de
Emergencia

Aplicaciones
Crticas de
Tratamiento
de Datos

Deben adoptarse medidas


para asegurar que el acceso a
las instalaciones o salas de
computadores del rea de
informtica quede restringido
al personal que ha sido
autorizado a tener dicho
acceso. Deben revisarse los
procedimientos establecidos
para restringir el acceso a sus
instalaciones
de
computadores.
El plan de recuperacin de
desastres del rea de
Informtica debe establecer
prioridades para la
restauracin de los servicios
crticos o sensibles. Debe
evaluarse la lista de
prioridades a seguir en la
restauracin de procesamiento
los programas de aplicacin
crticos o sensibles para
establecer que se
contemplaron todos los
programas de aplicacin del
rea, en relacin con la

rea de informtica para determinar su


conocimiento y comprensin del plan de
recuperacin de desastres del rea.
1. Revisar los procedimientos de emergencia
incluidos en el plan de recuperacin de
desastres en cuanto a si suponen una
cobertura completa y exhaustiva de todas
las emergencias que pueden tener lugar en
un centro de cmputo.

2. Asegurarse de si todos los miembros del


personal del rea informtica reciben
formacin peridica sobre el uso de los
procedimientos de emergencia apropiados y
si han realizado pruebas peridicas de tales
procedimientos.
1. Determinar si la direccin de los
departamentos usuarios fue consultada por
el rea de informtica cuando estaba
estableciendo un factor de riesgo de
prdidas para secuenciar la restauracin de
cada aplicacin de procesamiento de datos
una vez sucedido un desastre.
2. Evaluar lo razonable de las prioridades
asignadas por el rea de informtica a sus
programas de aplicacin crticos.
3. Discutir
con
la
direccin
de
los
departamentos usuarios y del rea de
informtica si las prioridades asignadas y la

178

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Recursos de
Computador
Crticos

naturaleza y extensin de un
posible desastre as como el
tiempo razonable esperado
para la restauracin de la
explotacin normal, las
prdidas potenciales para la
organizacin si no se restaura
los servicios a tiempo y el
punto en que las operaciones
de tratamiento normal cclico
pueden ser interrumpidas.

recuperacin de servicios, pueden cumplirse


razonablemente una vez sucedido un
desastre.

El plan de recuperacin de
desastres debe identificar
programas de aplicacin,
sistemas operativos y archivos
de datos crticos necesarios
para la recuperacin una vez
sucedido un desastre. Debe
revisarse la lista de recursos
de computador crticos
identificados en el plan de
recuperacin de desastres.

1. Determinar si en el plan de recuperacin de


desastres estn identificados los archivos de
datos crticos.
2. Examinar la ubicacin remota usada como
almacn de archivos y determinar si los
archivos de datos pertinentes del rea se
vienen guardando en esa ubicacin.
3. Determinar si se viene enviando las nuevas
versiones de archivos de datos al sitio
remoto usado como almacn de archivos,
antes de que versiones anteriores de tales
archivos sean devueltos.
4. Determinar si tras un desastre, se genera un
archivo de respaldo del archivo del sitio
remoto a efectos de respaldar el archivo
antes de que sea usado.

Restauracin
de Servicios
de
Telecomunica
ciones

El plan de recuperacin de
desastres debe incluir
procedimientos para
restablecer los servicios de
telecomunicaciones usados
por la organizacin. Deben
revisarse los procedimientos
para restablecer, tras una
interrupcin, los servicios de
telecomunicaciones usados
por la organizacin.

5. 6 Examinar el inventario de la biblioteca de


soportes del rea de informtica y
compararlo con los archivos de datos
actualmente retenidos en la biblioteca y con
aquellos mantenidos en la ubicacin remota.
1. Revisar el plan de recuperacin de
desastres y determinar el uso en caso de
emergencia de servicios alternativos de
telecomunicaciones.
2. Determinar si se han preparado pedidos de
servicios
de
telecomunicaciones
por
adelantado para restaurar los servicios de la
organizacin tras su interrupcin.
3. Determinar si hay disponibles lneas de
telecomunicacin por red conmutada
adecuadas, para su utilizacin durante la
recuperacin de desastres, como alternativa
a cualquier lnea alquilada en las que haya
interrumpido el servicio.
4. Determinar si en el sitio elegido para

179

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Respaldo del
Centro de
Cmputo y de
los Equipos

El plan de recuperacin de
desastres del rea de
informtica debe establecer
disposiciones para el centro de
cmputo de respaldo y los
equipos de respaldo
necesarios para restaurar la
explotacin del rea una vez
sucedido un desastre. Deben
revisarse las disposiciones del
rea de informtica en cuanto
a un centro de cmputo de
respaldo y a computadores de
respaldo a ser utilizados para
restaurar su explotacin una
vez sucedido un desastre.

recuperacin de desastres se han


establecido
enlaces
para
servicios
alternativos de telecomunicaciones.
1. Revisar el plan de recuperacin de
desastres para determinar las disposiciones
en cuanto al centro de cmputo de respaldo
y computadores de respaldo para restaurar
la explotacin una vez sucedido un
desastre.
2. Determinar si existe un acuerdo escrito o
contratado para el uso de un centro de
cmputo especfico para restaurar la
explotacin una vez sucedido un desastre.
3. Determinar si el equipo de respaldo a
emplearse para restaurar la explotacin una
vez sucedido un desastre es compatible con
el equipo primario utilizado en la explotacin
normal del rea.
4. Determinar si el centro de cmputo de
respaldo y en el equipo de respaldo habr
suficiente tiempo y capacidad de proceso
disponibles para restaurar la explotacin
una vez sucedido un desastre.
5. Determinar si se efectan pruebas
peridicas del equipo de respaldo que ser
usado por el rea para restaurar la
explotacin una vez sucedido un desastre.
6. Entrevistar al personal del rea de
informtica para determinar su familiaridad
con la operacin del equipo de respaldo y
con los procedimientos para conmutar el
centro de cmputo de respaldo y equipo de
respaldo cuando sucede un desastre.

Personal de
Programacin
para
Operaciones
de Respaldo

El plan de recuperacin de
desastres debe disponer que
el personal de programacin
lleve a cabo la explotacin de
respaldo del rea informtica.
Deben revisarse las polticas y
procedimientos del plan de
recuperacin de desastres que
se refieren a la aportacin de
personal de programacin
para que lleve la explotacin
de respaldo del rea.

1. Determinar si se ha solicitado al personal de


programadores de aplicaciones que aporten
capacidades o versiones de programas para
explotacin de respaldo.
2. Revisar las disposiciones del plan de
recuperacin de desastres que traten sobre
los pasos a seguir por el personal,
programadores de aplicaciones y de
sistemas para satisfacer las necesidades de
personal de explotacin para operar el
equipo de respaldo.
3. Seleccionar programas de aplicacin que
han sido identificados con necesidad de
modificacin, y probarlos para determinar si

180

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
las modificaciones se han llevado a cabo
correctamente antes de ser usados en
explotacin de respaldo. Revisar la
documentacin de tales modificaciones para
asegurar que dichos programas de respaldo
son adecuados.

Procedimiento
s de
Recuperacin
de Archivos

Insumos para
Recuperacin
de Desastres

Pruebas
de
Plan
de
Recuperacin
de Desastres

El rea de informtica debe


establecer procedimientos
para minimizar las
necesidades de recuperacin
de archivos de respaldo una
vez sucedido un desastre.
Deben revisarse los
procedimientos para minimizar
las necesidades de
recuperacin de archivos de
respaldo una vez sucedido un
desastre.

El plan de recuperacin de
desastres debe establecer
ms de una fuente de insumos
para ser usados en la
restauracin de la explotacin
una vez sucedido un desastre.
Deben revisarse las
disposiciones del plan de
recuperacin de desastres en
cuanto a la existencia de
insumos para ser usados en la
restauracin de la explotacin
del rea una vez sucedido el
desastre.
La adecuacin y eficacia del
plan de recuperacin de
desastres debe probarse
peridicamente. Debe
evaluarse la prueba peridica
de la adecuacin y eficacia del

4. Revisar los procedimientos para asegurar


que los programas de respaldo a ser usados
para restaurar la explotacin una vez
sucedido un desastre, son adecuadamente
modificados cuando se cambian los
programas usados en explotacin normal.
1. Determinar mediante observacin que el
encargado de la biblioteca de soportes del
rea de informtica ejecuta procedimientos
de respaldo de archivos, incluyendo la copia
peridica del contenido de archivos en disco
a otro soporte magntico.
2. Verificar que los archivos de respaldo se
trasladan regularmente al almacenamiento
remoto.
3. Determinar que existen procedimientos
escritos de generacin de archivos logs del
sistema.
4. Verificar mediante observacin que el sitio
remoto de almacenamiento tiene medidas
de seguridad adecuadas para proteger a los
archivos y reglas de retencin de archivos
que aporten datos recientes para la
recuperacin.
1. Revisar los procedimientos de adquisicin
de suministros y determinar si se emplean
proveedores mltiples para cualquiera de
los consumibles que sern necesarios para
llevar a cabo el plan de recuperacin de
desastres del rea de informtica.
2. Determinar si la existencia de insumos
necesarios para llevar a cabo el plan de
recuperacin
de
desastres
estn
almacenados en ms de una localizacin.

1. Revisar la documentacin de pruebas


anteriores del plan de recuperacin de
desastres para verificar que tan adecuadas
y frecuentes son las pruebas.
2. Revisar el proceso de aprobacin de las

181

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________
plan de recuperacin de
desastres del rea de
informtica.

Reconstrucci
n del Centro
de Cmputo
del rea de
Informtica

Procedimiento
s de Respaldo
Manual de los
Departamento
s Usuarios

El plan de recuperacin de
desastres del rea de
informtica debe contener
procedimientos para la
reconstruccin del centro de
cmputo del rea, una vez
sucedido un desastre. Deben
revisarse los procedimientos
del plan de recuperacin de
desastres para cualquier
reconstruccin del centro de
cmputo del rea, una vez
sucedido un desastre.
Los departamentos usuarios
deben establecer
procedimientos alternativos
manuales de procesamiento
de datos que puedan ser
empleados hasta que el rea
de informtica sea capaz de
restaurar su explotacin
despus sucedido un
desastre. Deben revisarse los
procedimientos manuales de
tratamiento de datos
desarrollados por
departamentos usuarios para
ser empleados hasta que se
restaure su explotacin
despus de sucedido un
desastre.

pruebas del plan de recuperacin de


desastres para determinar la adecuacin de
los niveles de autoridad y responsabilidad
para conceder dicha aprobacin.
3. Participar en los resultados de una prueba
del plan de recuperacin de desastres para
determinar
la
adecuacin
de
los
procedimientos de prueba.
1. Revisar los procedimientos del plan de
recuperacin de desastres para cualquier
reconstruccin necesaria del centro de
cmputo del rea, una vez sucedido un
desastre.
2. Verificar si dichos procedimientos son
adecuados y estn actualizados mediante la
determinacin de si se llevan a cabo
revisiones y pruebas regulares de los
mismos.

1. Determinar que departamentos usuarios han


desarrollado procedimientos manuales de
tratamiento de datos para ser empleados
hasta que el rea de informtica sea capaz
de restaurar su explotacin tras el suceso
de un desastre.
2. Verificar que el personal asignado a
funciones de respaldo manuales est
informado de sus misiones y las comprende.

182

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

GLOSARIO DE TRMINOS
Activos informticos
Se entiende por activo informtico todos aquellos activos que de una u otra forma
estn relacionados (almacenamiento y manipulacin) a la informacin en la
empresa.
Amenaza informtica
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin
que puede producir un dao (material o inmaterial) sobre los elementos de un
sistema.
Anlisis de riesgos
Metodologa que sirve para identificar y evaluar probables daos y prdidas a
consecuencia del impacto de una amenaza sobre un sistema
Arquitectura de Informacin
La Arquitectura de Informacin se encarga de efectuar la planificacin estratgica
previa a la creacin de un website.
Ataque informtico
Intento organizado e intencionado propiciado por una o ms personas para causar
dao o problemas a un sistema informtico o red.
Automatizacin
Es el uso de sistemas o elementos computarizados y electromecnicos para
controlar maquinarias y/o procesos industriales sustituyendo a operadores
humanos.
Backup
Copia de Respaldo o Seguridad. Accin de copiar archivos o datos de forma que
estn disponibles en caso de que un fallo produzca la perdida de los originales.
Esta sencilla accin evita numerosos, y a veces irremediables, problemas si se
realiza de forma habitual y peridica.
Base de datos
Conjunto de datos que pertenecen al mismo contexto almacenados
sistemticamente. En una base de datos, la informacin se organiza en campos y
registros. Los datos pueden aparecer en forma de texto, nmeros, grficos, sonido
o vdeo.
Bug
Es un error o un defecto en el software o hardware que hace que un programa
funcione incorrectamente. A menudo los bugs son causados por conflictos del
software cuando las aplicaciones intentan funcionar en tndem
183

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Ciberterrorismo
Es la accin violenta que infunde terror realizada por una o ms personas en
Internet o a travs del uso indebido de tecnologas de comunicaciones.
Ciclo de Vida
El ciclo de vida de software es la descripcin de las distintas formas de desarrollo
de un proyecto informtico.
COSO
Es un estndar de control interno para la gestin del riesgo, que hace
recomendaciones sobre la evaluacin, reporte y mejoramiento de los sistemas de
control.
Cracker
Persona que trata de introducirse a un sistema sin autorizacin y con la intencin
de realizar algn tipo de dao u obtener un beneficio.
Delito informtico
El delito informtico implica cualquier actividad ilegal que encuadra en figuras
tradicionales ya conocidas como robo, hurto, fraude, falsificacin, perjucio, estafa y
sabotaje, pero siempre que involucre la informtica de por medio para cometer la
ilegalidad.
DNS
Servidor de Nombres de Dominio. Servidor automatizado utilizado en el internet
cuya tares es convertir nombres fciles de entender (como www.panamacom.com)
a direcciones numricas de IP.
Dominio
Sistema de denominacin de hosts en Internet el cual est formado por un
conjunto de caracteres el cual identifica un sitio de la red accesible por un usuario.
Estndar:
Es la definicin clara de un modelo, criterio, regla de medida o de los requisitos
mnimos aceptables para la operacin de procesos especficos, con el fin asegurar
la calidad en la prestacin de los servicios
Freeware
Programas de Dominio Pblico. Aplicaciones que pueden obtenerse directamente
de Internet con la caracterstica de que no es necesario pagar por su utilizacin.
GUI
Interfaz Grfica de Usuario, componente de una aplicacin informtica que el
usuario visualiza grficamente, y a travs de la cual opera con ella. Est formada
por ventanas, botones, mens e iconos, entre otros elementos.
184

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Gusano
Programa informtico que se autoduplica y autopropaga. En contraste con los
virus, los gusanos suelen estar especialmente escritos para redes. Los gusanos
de redes fueron definidos por primera vez por Shoch & Hupp, de Xerox, en la
revista ACM Communications (Marzo 1982). El primer gusano famoso de Internet
apareci en Noviembre de 1988 y se propag por s solo a ms de 6.000 sistemas
a lo largo de Internet.
Hacker
Persona que tiene un conocimiento profundo acerca del funcionamiento de redes
de forma que puede advertir los errores y fallas de seguridad del mismo. Al igual
que un cracker busca acceder por diversas vas a los sistemas informticos pero
con fines de protagonismo.
Hardware
Maquinaria. Componentes fsicos de una computadora o de una red (a diferencia
de los programas o elementos lgicos que los hacen funcionar).
Integridad
La integridad de datos en general, hace referencia a que todas las caractersticas
de los datos (reglas, definiciones, fechas, etc) deben ser correctos para que los
datos estn completos.
Intercepcin
Cuando una persona, programa o proceso logra el acceso a una parte del sistema
a la que no est autorizada. Por ejemplo la escucha de una lnea de datos, o las
copias de programas o archivos de datos no autorizados. Estas son ms difciles
de detectar ya que en la mayora de los casos no alteran la informacin o el
sistema.
Interface
Se denomina as a la zona de contacto o conexin entre dos elementos de
hardware, lo mismo se ocupa para dos aplicaciones o entre un usuario con una
aplicacin.
Interrupcin
Se trata de la interrupcin mediante el uso de algn mtodo el funcionamiento del
sistema. Por ejemplo: la saturacin de la memoria o el mximo de procesos en el
sistema operativo o la destruccin de algn dispositivo hardware de manera
malintencionada o accidental.
ISP
Internet Service Provider. Proveedor de Servicio Internet. Empresa que provee la
conexin de computadoras a Internet, ya sea por lneas dedicadas broadband o
dial-up.
185

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

ISO/IEC 27001
Es un estndar internacional para los sistemas de gestin de la seguridad
informtica, que est estrechamente relacionado al estndar de controles
recomendados de seguridad informtica ISO/IEC 17799.
Magerit
Se trata de la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin (Magerit) elaborada por el Consejo Superior de Administracin
Electrnica en 1997.
Mapa de riesgos
Consiste en una representacin grfica a travs de smbolos de uso general o
adoptados, indicando el nivel de exposicin ya sea bajo, mediano o alto, de
acuerdo a la informacin recopilada en archivos y los resultados de las mediciones
de los factores de riesgos presentes, con el cual se facilita el control y seguimiento
de los mismos, mediante la implantacin de programas de prevencin.
Modificacin
Este tipo de amenaza se trata no slo de acceder a una parte del sistema a la que
no se tiene autorizacin, sino tambin de cambiar su contenido o modo de
funcionamiento. Por ejemplo: el cambiar el contenido de una base de datos, o
cambiar lneas de cdigo en un programa.
Monitoreo
Es una herramienta de gestin y de supervisin para controlar el avance de los
proyectos, programas o planes en ejecucin, el cual proporciona informacin
sistemtica, uniforme y fiable, permitiendo comparar los resultados con lo que se
planific.
Networking
Trmino utilizado para referirse a las redes de telecomunicaciones en general.
Password
Cdigo utilizado para accesar un sistema restringido. Pueden contener caracteres
alfanumricos e incluso algunos otros smbolos. Se destaca que la contrasea no
es visible en la pantalla al momento de ser tecleada con el propsito de que slo
pueda ser conocida por el usuario.
Red
Sistema de comunicacin de datos que conecta entre s sistemas informticos
situados en lugares ms o menos prximos. Puede estar compuesta por diferentes
combinaciones de diversos tipos de redes. En ingls se le conoce como Network.
El internet est compuesto de miles de redes, por lo tanto al internet tambin se le
conoce como "la red".

186

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

Red de Acceso
Conjunto de elementos que permiten conectar a cada abonado con la central local
de la que es dependiente.
Riesgo informtico
La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente
en un activo o grupos de activos, generndose as prdidas o daos
Salvaguardas
Medidas que se toman para disminuir un riesgo
Usuario
Persona que tiene una cuenta en una determinada computadora por medio de la
cual puede acceder a los recursos y servicios que ofrece una red. Puede ser tanto
usuario de correo electrnico como de acceso al servidor en modo terminal. Un
usuario que reside en una determinada computadora tiene una direccin nica de
correo electrnico.
Virtual
Trmino de frecuente utilizacin en el mundo de las tecnologas de la informacin
y de las comunicaciones el cual designa dispositivos o funciones simulados.
Virus
Programa que se duplica a s mismo en un sistema informtico incorporndose a
otros programas que son utilizados por varios sistemas.
Vulnerabilidad
Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la
confidencialidad, integridad, disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.

187

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA - ECBTI
CURSO DE RIESGOS Y CONTROL INFORMTICO __________________________________________

BIBLIOGRAFA
COOK J.W., WINKLE G.M. Auditoria. Editorial Interamericana 1987, 615 p.
DUEAS GMEZ, Luis ngel, Controles y auditoria de sistemas de informacin.
Mxico. Alfaomega. 2008, 692 p.
ECHENIQUE, Jos Antonio. Auditora en Informtica. Mxico DC. Editorial Mc
Graw Hll. 2001, 158 p.
FINE, Leonard H. Seguridad en centros de cmputo. Editorial Trillas. 1990, 201 p.
Gua Internacional de Auditora No. 16 Auditoria en un ambiente de procesamiento
electrn co de datos (PED) prrafo No. 23.
HERNANDEZ, HERNANDEZ, Enrique. Auditora en informtica. Editorial CECSA.
2000, 322 p.
I Simposio Internacional y VI Colombiano de controles, seguridad y auditoria de
sistemas. ACC, S.
PINILLA FORERO, Jos Dagoberto.
operacional. Editorial Ecoe 1992, 252 p.

Auditoria

Informtica.

Un

enfoque

PIATTINI, MARIO G. Auditoria informtica. Un enfoque practico, Mxico,


Alfamega-RAM-MA,2001, 660 p.
ROJAS, Eurpides. Funciones de la Auditora de Sistemas. Marzo de 1989.
RESTREPO A. Jorge A. GUA PARA LA CLASE DE AUDITORIA DE SISTEMAS
(en lnea). (Consultada el 10 de Agosto del 2011) disponible en la direccin
electrnica: http://jorgearestrepog.comunidadcoomeva.com/blog/index.php.
TAMAYO ALZATE, Alonso, Sistemas de Informacin. Editorial Universidad
Nacional 1998,

188