instituciones bancarias a través de
créditos. Para el caso de centros de cómputo
destinados a la educación pública no existen
fuentes de financiamiento, a menos que la institución
educativa cuente con un área destinada a la
producción de software para empresas privadas, entonces la
misma empresa puede ser el origen del financiamiento.
Negociación de Contrato. La
negociación de contrato debe incluir todos los
aspectos de operación del Software y
del Hardware a implementarse. Aspectos tales como:
Actualizaciones, innovaciones, capacitación,
asesoría técnica, etc.
Permisos y Licencias.
El uso de Software no autorizado o
adquirido ilegalmente, se considera como PIRATA
y una violación a los derechos de
autor.
El uso de Hardware y de Software autorizado
esta regulado por las siguientes normas: Toda dependencia
podrá utilizar UNICAMENTE el hardware y el software que el
departamento de sistemas le haya instalado y oficializado
mediante el "Acta de entrega de equipos y/o software".
Tanto el hardware y software, como los
datos, son propiedad de la empresa. su copia o sustracción
o daño intencional o utilización para fines
distintos a las labores propias de la compañía,
será sancionada de acuerdo con las normas y reglamento
interno de la empresa.
El departamento de sistemas llevara el
control del hardware y el software instalado, basándose en
el número de serie que contiene cada uno.
Periódicamente, el departamento de
sistemas efectuará visitas para verificar el software
utilizado en cada dependencia. Por lo tanto, el detectar software
no instalado por esta dependencia, será considerado como
una violación a las normas internas de la
empresa.
Toda necesidad de hardware y/o software
adicional debe ser solicitada por escrito al departamento de
sistemas, quien justificará o no dicho requerimiento,
mediante un estudio evaluativo.
El departamento de sistemas
instalará el software en cada computador y
entregará
al área usuaria los manuales
pertinentes los cuales quedaran bajo la responsabilidad del Jefe
del departamento respectivo.
Los diskettes que contienen el software
original de cada paquete serán administrados y almacenados
por el departamento de sistemas.
El departamento de sistemas proveerá
el personal y una copia del software original en caso de
requerirse la reinstalación de un paquete
determinado.
Los trámites para la compra de los
equipos aprobados por el departamento de sistemas, así
como la adecuación física de las instalaciones
serán realizadas por la dependencia respectiva.
La prueba, instalación y puesta en
marcha de los equipos y/o dispositivos, serán realizada
por el departamento de sistemas, quien una vez compruebe el
correcto funcionamiento, oficializara su entrega al área
respectiva mediante el "Acta de Entrega de Equipos y/o
Software".
Una vez entregados los equipos de
computación y/o el software por el departamento de
sistemas, estos serán cargados a la cuenta de activos
fijos del área respectiva y por lo tanto, quedaran bajo su
responsabilidad.
Así mismo, el departamento de
sistemas mantendrá actualizada la relación de los
equipos de computación de la compañía, en
cuanto a numero de serie y ubicación, con el fin que este
mismo departamento verifique, por lo menos una vez al año
su correcta destinación.
El departamento de sistemas
actualizará el software comprado cada vez que una nueva
versión salga al mercado, a fin de aprovechar las mejoras
realizadas a los programas, siempre y cuando se justifique esta
actualización.
Derechos de autor y licencia de uso de
software.
El Copyright, o los derechos de autor, son
el sistema de protección jurídica concebido para
titular las obras originales de autoría determinada
expresadas a través de cualquier medio tangible o
intangible.
Las obras literarias (incluidos los
programas informáticos), musicales, dramáticas,
plásticas, gráficas y escultóricas,
cinematográficas y demás obras audiovisuales,
así como las fonogramas, están protegidos por las
leyes de derechos de autor.
El titular de los derechos de autor tiene
el derecho exclusivo para efectuar y autorizar las siguientes
acciones:
Realizar copias o reproducciones de las
obras.
Preparar obras derivadas basadas en la obra
protegida por las leyes de derechos de autor.
Distribuir entre el público copias
de la obra protegida por las leyes de derechos de
autor mediante la venta u otra
cesión de la propiedad, o bien mediante alquiler,
arrendamiento financiero o préstamo.
Realizar o mostrar la publicidad de la obra
protegida por las leyes de derechos de autor.
Importar el trabajo, y realizar actos de
comunicación pública de las obras
protegidas.
PARA ANALIZAR Y DIMENSIONAR LA
ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:
A NIVEL DEL ÁREA DE
INFORMÁTICA
RECURSOS MATERIALES Y
TÉCNICOS.
Solicitar documentos sobre los equipos,
número de ellos, localización y
características:
o Estudios de viabilidad.
o Numero de equipos, localización y
las características de los equipos instalados y por
instalar y/o programas.
o Fecha de instalación de los
equipos y planes de instalación.
o Contratos vigentes de compra, renta y
servicios de mantenimiento.
o Contratos de seguros.
o Convenios que se tienen con otras
instalaciones.
o Configuración de los equipos y
capacidades actuales y máximas.
o Planes de expansión.
o Ubicación general de los
equipos.
o Políticas de
operación
o Políticas de uso de los
equipos
SISTEMAS
Descripción general de los sistemas
instalados y de los que estén por instalarse que contengan
volúmenes de información
o Manual de formas.
o Manual de procedimientos de los
sistemas
o Descripción
genérica
o Diagramas de entradas,
archivos
o Salidas
o Fecha de instalación de los
sistemas
o Proyecto de instalación de nuevos
sistemas
En el momento de hacer la plantación
de la auditoria o bien su realización, debemos evaluar que
pueden presentarse las siguientes situaciones.
Se solicita la información y se ve
que:
o No tiene y se necesita.
o No se tiene y no se necesita
Se tiene la información
pero:
o No se usa.
o Es incompleta.
o No esta actualizada.
o No es la adecuada.
o Se usa, está actualizada, es la
adecuada y esta completa.
En el caso de No se tiene y no se necesita,
se debe evaluar la causa por la que no es necesaria. En el caso
de No se tiene pero es necesaria, se debe recomendar que se
elabore de acuerdo con las necesidades y con el uso que se le va
a dar. En el caso que se tenga la información pero no se
utilice, se debe analizar por que no se usa. En caso de que se
tenga la información, se debe analizar, si esta
actualizada, si es la adecuada y se si esta completa.
El éxito del análisis
crítico depende de las consideraciones
siguientes:
o Estudiar hechos y no opiniones (No se
toma en cuenta los rumores o la información sin
fundamento)
o Investigar las causas, no los
efectos.
o Atender razones, no excusas.
o No confiar en la memoria, preguntar
constantemente.
o Criticar objetivamente y a fondo los
informes y los datos recabados.
PERSONAL PARTICIPANTE
Una de las partes más importantes
dentro de planeación en la auditoria en informática
es el personal que deberá participar y sus
características:
Uno de los sistemas generalmente aceptados
para tener un adecuado control es que el personal que intervengan
esté debidamente capacitado, con alto sentido de
moralidad, al cual se le exija la optimización de recursos
(eficiencia) y se le retribuya o compense justamente por su
trabajo.
Con estas bases se debe considerar las
características de conocimientos, práctica
profesional y capacitación que debe tener el personal que
intervendrá en la auditoria. En primer lugar se debe
pensar que hay personal asignado por la organización, con
el suficiente nivel para poder coordinar el desarrollo de la
auditoria, proporcionar toda la información que se
solicite y programar las reuniones y entrevistas
requeridas.
Este es un punto muy importante ya que, de
no tener el apoyo de la alta dirección, ni contar con un
grupo multidisciplinario en el cual estén presentes una o
varias personas del área a auditar, seria casi imposible
obtener información en el momento y con las
características deseadas.
También se debe contar con personas
asignadas por los usuarios para que en el momento que se solicite
información o bien se efectué alguna entrevista de
comprobación de hipótesis, nos proporciones aquello
que se esta solicitando, y complementen el grupo
multidisciplinario, ya que se debe analizar no solo el punto de
vista de la dirección de informática, sino
también el del usuario del sistema.
Para completar el grupo, como colaboradores
directos en loa realización de la auditoria se debe tener
personas con las siguientes características:
o Técnico en
informática.
o Experiencia en el área de
informática.
o Experiencia en operaciones y
análisis de sistemas.,
o Conocimientos de los sistemas más
importantes.
En caso de sistemas complejos se
deberá contar con personal con conocimientos y
experiencia en áreas especificas
como base de datos, redes, etc. lo anterior no significa que una
sola persona tenga los conocimientos y experiencias
señaladas, pero si deben intervenir una o varias personas
con las características apuntadas.
NORMAS Y POLÍTICAS QUE RIGEN EL
COMPORTAMIENTO DEL USUARIO
La presente circular tiene como objetivo,
estandarizar el uso y administración de las computadoras
asegurando que los recursos humanos y tecnológicos
comprometidos en la obtención de la información,
sean acordes con la inversión que la institución
realiza.
Los usuarios de las computadoras
serán responsables de cumplir y hacer cumplir las normas y
procedimientos aquí expuestos.
Cuando haya necesidad de modificar,
adicionar o suprimir las normas o procedimientos presentes, el
centro de cómputo determinara la concordancia de las
nuevas normas y procedimientos.
NORMAS SOBRE LA UTILIZACIÓN DE
SOFTWARE Y HARDWARE
El uso de software no autorizado o
adquirido ilegalmente, es considerado como PIRATA y una
violación a los derechos de autor, por lo tanto esta
estrictamente prohibido instalar software pirata.
El uso de hardware y software autorizado
esta regulado por las siguientes normas:
1. Todo departamento podrá utilizar
ÚNICAMENTE el hardware y el software que el centro de
cómputo le haya instalado.
2. Tanto el hardware (computadoras,
Impresoras, scanner, etc.), software, y los datos, son propiedad
de la institución, su copia, sustracción,
daño intencional o utilización para fines distintos
a las labores propias de la institución, será
sancionada de acuerdo a las normas y reglamento
interno.
3. El centro de cómputo llevara el
control del software instalado en el equipo
4. La asignación de Ip"s es
responsabilidad del Centro de Computo y queda estrictamente
cambiarlas.
5. Periódicamente, el Centro de
Cómputo efectuara visitas para verificar el software y
configuración utilizada en cada departamento. Por lo
tanto, el detectar software no instalado por este departamento,
será considerado como violación a las normas
internas de la institución.
6. Toda necesidad de hardware y/o software
adicional debe ser solicitada por escrito al Centro de Computo,
quien justificara o no dicho requerimiento, mediante un estudio
evaluativo.
7. El centro de cómputo instalara el
software en cada computadora y entregara al área usuaria
los manuales pertinentes los cuales quedaran bajo la
responsabilidad del jefe del departamento respectivo.
8. Los disquetes y/o Cd"s que contienen el
software original de cada paquete serán administrado por
cada departamento.
9. El Centro de Cómputo
auxiliará a cada departamento en caso de requerirse la
reinstalación de un paquete determinado.
10. La prueba, instalación y puesta
en marcha de los equipos de cómputo, serán
realizadas por el centro de cómputo.
11. Una vez entregados los equipos de
computación y/o el software por el centro de computo estos
serán cargados a la cuenta de activos fijos del
área respectiva y por lo tanto, quedara bajo su
responsabilidad.
12. Así mismo, el centro de computo
mantendrá actualizada la relación de los equipos de
computación de la institución, en cuanto a numero
de serie y ubicación, con el fin de que este mismo
departamento verifique, por lo menos una vez al Año su
correcta destinación.
13. El centro de cómputo hará
las gestiones para actualizar el software comprado cada vez que
una nueva versión salga al mercado, a fin de aprovechar
las mejoras realizadas a los programas, siempre y cuando se
justifique esta actualización.
SEGURIDAD
INFORMÁTICA
Seguridad es el conjunto de
metodologías, documentos, programas y dispositivos
físicos encaminados a lograr que los recursos de
cómputo disponibles en un ambiente dado, sean accedidos
única y exclusivamente por quienes tienen la
autorización para hacerlo.
La seguridad informática debe
vigilar principalmente las siguientes propiedades: Privacidad.-
La información debe ser vista y manipulada
únicamente por quienes tienen el derecho o la autoridad
para hacerlo. Un ejemplo ataque a la privacidad es la
divulgación de la información
confidencial.
Integridad.- La información debe ser
consistente, fiable y no propensa a alteraciones no deseadas. Un
ejemplo de ataque a la integridad es la modificación de
saldos en un sistema bancario o de calificaciones en un sistema
educativo.
Disponibilidad.- La información debe
estar en el momento que el usuario requiera de ella.
DIVISIÓN DE LAS ÁREAS DE
ADMINISTRACIÓN DE LA SEGURIDAD
Para simplificar, es posible dividir las
tares de administración de seguridad en tres grandes
secciones:
Autenticación:- Se refiere a
establecer las entidades que puedan tener acceso al universo de
recursos de computo que cierto ambiente puede ofrecer.
Autorización: Es el hecho de que las
entidades autorizadas a tener acceso a los recursos de computo,
tenga efectivamente acceso únicamente a lasa áreas
de trabajo sobre las cuales debe tener dominio.
Auditoria: Se refiere a la continua
vigilancia de los servicios en producción. Entra dentro de
este rublo el mantener estadísticas de acceso,
estadísticas de uso y políticas de acceso a los
recursos.
SEGURIDAD DE LA INFORMACIÓN
Protección contra el acceso no autorizado:
La información como recurso valioso
de una organización, esta expuesta a actos tanto
intencionales como accidentales de violación de su
confidencialidad, alteración, borrado y copia, por lo que
hace necesario que el usuario, propietario de esta
información, adopte medidas de protección contra
accesos no autorizados.
Las siguientes pautas o recomendaciones,
ofrecen la posibilidad de habilitar cierto grado de
protección contra los medios actualmente disponibles en la
institución.
Clave de autorización de
encendido
t Este es un recurso de protección
disponible en todas las computadoras, ser habilita en el momento
de configurar el equipo y es una clave que será solicitada
como primer paso de señalización después de
encendida la computadora.
t Todo usuario que así lo solicite
le será activado este passweord por el Centro de
Cómputo.
t Cuando se activa esta protección
se debe tener presente las siguientes consideraciones:
1. No olvide su clave.- Su
desactivación puede gastar tiempo valioso
durante
el cual la computadora no puede ser
utilizada.
2. Dé a conocer la clave a su jefe
de departamento y/o solo aquellas personas que realmente deben
encender y hacer uso del equipo.
3. El sistema exigirá la
modificación periódica de su clave.
Clave de acceso a la red.
t Este es un recurso de protección
disponible en todas las computadoras, se habilita al momento de
configurar el equipo y es una clave que será solicitada
para acceder a los recursos de red.
t Todas las computadoras que están
conectadas a la red cuentan con este password.
t Cuando se activa esta protección
se debe tener presente las siguientes
consideraciones:
4. No olvide su clave.- Su
desactivación puede gastar tiempo valioso durante el cual
la computadora no puede ser utilizada.
5. Dé a conocer la clave a su jefe
de departamento y/o solo aquellas personas que realmente deben
encender y hacer uso del equipo.
6. El sistema exigirá la
modificación periódica de su clave
7. Si le da ESC o CANCELAR no tendrá
derecho a los recursos de la red.
Clave de acceso a los programas
administrativos:
Todo usuario que requiera utilizar un
programa administrativo debe de contar con un login y password
para acceder a dicho recurso.
Debe tener presente lasa siguientes
consideraciones:
1. No olvide su clave
2. No dé a conocer su clave a nadie
si alguien desea hacer uso de algún programa
administrativo debe solicitar su login y passsword al cetro
de
computo
3. Es conveniente modificar
periódicamente su clave.
Copia de seguridad y/o Backups de
respaldo.
Así como se protege la
información contra accesos no autorizados, es
también importante mantener en lugar seguro, copias
actualizadas de la información VITAL de cada departamento
con el fin de garantizar la oportuna recuperación de datos
y programas en caso de perdías o daños en la
computadora.
Las siguientes pautas determinan una buena
política de Backups aplicable en cada departamento de la
compañía.
1. Determine el grado de importancia de la
información que amerite copias de seguridad
2. Comunique al centro de cómputo
para que este elabore copias periódicas a través de
la red.
3. Indique cuanto tiempo se debe conservar
esta información.
Espero que este pequeño texto se de
ayuda para los estudiantes de Computación e
Informática
Autor:
Lic. Pablo A. Jara
Rodríguez
Trujillo – Perú
Año – 2011
 Página anterior | Volver al principio del trabajo | Página siguiente  |