PLAN DE CONTINGENCIAS

PLAN DE CONTINGENCIAS

¿…Por qué se necesita un Plan de Contingencia?

A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos.

Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto periodo. En caso de un desastre, la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas, sobre todo si está implicada la responsabilidad de la gerencia de informática. Lo más grave es que se puede perder la credibilidad del público o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.

"¿Por qué se necesita un plan de contingencia para desastres si existe una póliza de seguro para esta eventualidad?“

La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organización en caso de una calamidad, no servirá para recuperar el negocio. No ayudará a conservar a los clientes y, en la mayoría de los casos, no proporcionará fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.

Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan Estratégico de Seguridad para una organización.

Imagínese una situación que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la pérdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destrucción de equipos vitales del sistema,

¿Cómo se manejaría semejante catástrofe?

Si Ud. se ve en esta situación y lo único que puede hacer es preguntarse

"¿Y ahora qué?"

¡Ya es demasiado tarde!

La única manera efectiva de afrontar un desastre es tener una solución completa y totalmente probada para recuperarse de los efectos del mismo.

Plan de Contingencia:

Hoy por hoy, la información es uno de los principales activos que la empresa debe cautelar mediante el desarrollo de un plan de contingencia, que permita el adecuado funcionamiento del negocio frente a un cese prolongado del servicio informático.

El objetivo del plan no es evitar los riesgos, sino minimizar el impacto que las incidencias podrían producir en la organización.

La alta dirección debe tomar conciencia que el desarrollo y la implantación de planes de contingencia comprende toda la organización, pues se trata de una situación de negocios y no puramente informática.

¿Qué es un desastre?

Se puede considerar como un desastre la interrupción prolongada de los recursos informáticos y de comunicación de una organización, que no puede remediarse dentro de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperación.

Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las explosiones, los actos de sabotaje, etcétera.

Estadísticas recientes sobre los tipos más comunes de desastres que ocurren muestran que el terrorismo, los incendios y los huracanes son las causas más comunes en muchos países.

La alta gerencia tiene que decidir el periodo predeterminado que lleva una interrupción de servicio de la situación de "problema" a la de "desastre". La mayoria de las organizaciones logran esto llevando a cabo un análisis de impacto en el negocio para determinar el máximo tiempo de interrupción permisible en funciones vitales de sus actividades.

Plan de Contingencia:

La reanudación de las actividades ante una calamidad puede ser una de las situaciones más difíciles con las que una organización debe enfrentarse. Tras un desastre, es probable que no haya posibilidades de regresar al lugar de trabajo o que no se disponga de ninguna de los recursos acostumbados. Incluso, es posible que no se pueda contar con todo el personal. La preparación es la clave del éxito para enfrentar los problemas.

No existe ninguna manera conteable para protegerse completamente contra todo tipo de riesgos, particularmente amenazas naturales en gran escala que puedan arrasar zonas extensas. Como consecuencia, siempre se tiene que tolerar algún riesgo residual. La decisión sobre el alcance del desastre para el que habrá de prepararse debe tomarse en los más altos niveles de la empresa.

"Un plan de contingencia en el proceso de determinar qué hacer si una catástrofe se abate sobre la empresa y es necesario recuperar la red y los sistemas"

Desdichamente, un plan de contingencia es como el ejercicio y la dieta: Más fácil pensar en ella que hacerlo. Con la cantidad de trabajo que la mayoria de los gerentes tienen, el plan de contingencia tiende a dejarse para una ocasión posterior. Uno de los problemas asociados al plan de contingencia es saber por dónde empezar.

RIESGOS DE OPERACIÓN

RIESGOS DE OPERACIÓN

Riesgos de Operación: Es la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos (Según SBS)

evento externo: Un terremoto

Una definición aceptada universalmente.

Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos.

El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos.

El riesgo de pérdidas originadas por un procesamiento transaccional.

Administración de Riesgos de Operación: Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en la planeación estratégica y en todos los niveles de la organización, diseñado para identificar los eventos potenciales que puedan afectarla y administrar los riesgos de acuerdo a las políticas establecidas de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.

PERMANECER EN EL NEGOCIO

La Administración de Riesgos de Operación debe asegurar, que:

No se pierdan oportunidades

Mejore las ventajas competitivas. ventaja competitiva es una ventaja que una compañía tiene respecto a otras compañías competidoras inca coca cola por la formula y no va poder igualar.

Se realicen menos acciones correctivas.

¿Qué tópicos abarca el Riesgo de Operación?

PÉRDIDAS PORCENTUALES POR TIPO DE RIESGO

LOS ANÁLISIS SUGIEREN QUE LOS R.O. SONMAYORES QUE LO ESTIMADO EN EL PASADO

PIRÁMIDE DEL FRAUDE: VALIDO PARA LAGESTIÓN DE R.O.P

COSTOS DE NO GESTIONAR RIESGOS DE OPERACIÓN (IMPACTOS POSIBLES)

Responsabilidades legales.
Interrupción del negocio.
Pérdidas financieras.
Costos financieros.
Pérdida de la reputación.
Daño a las personas, y al entorno.
Sanciones regulatorias.
Suspensión del servicio al cliente.
Salir del negocio.

SE DEBEN ASUMIR RIESGOS


Por la naturaleza de su actividad las empresas financieras asumen riesgos que pueden conllevar perdidas económicas.


Sin riesgos no hay actividad.


Por lo tanto, deben establecer mecanismos que permitan:


EXISTE EL RIESGO 0 ?


Elementos que Originan los Riesgos de Operación:

PERSONAL

Fraude interno y/o errores
Fraude a través del computador
Mal uso de información confidencial del cliente

SISTEMAS

Fallas de sistemas
Hardware
Software
Fallas no intencionales de operación

EVENTOS EXTERNOS

Satisfacción del cliente
Riesgo regulatorio
Servicios provistos por terceros
Fraude externo
Daño a los recursos físicos

PROCESOS

Prácticas de empleo y seguridad del lugar de trabajo.
Fallas de comunicación
Inadecuados reportes
Errores de entrada de datos.

Caso de Riesgo de Operación
Procesos:

Riesgos Típicos:

Definición inapropiada de requerimientos
Inadecuados formatos para ingreso de datos
Demora en la implementación del nuevo producto en el sistema.
Insuficiente capacidad de personas para hacer frente a volumen de nuevas operaciones.
Falta de reportes apropiados
Términos y cláusulas inadecuadas del contrato.

Impacto :

Servicios al cliente
Publicidad
Reputación

ADMINISTRACIÓN DE RIESGOS DE NEGOCIO

ADMINISTRACIÓN DE RIESGOS DE NEGOCIO

En la actualidad, las organizaciones están enfocando los esfuerzos corporativos en la búsqueda de nuevas opciones para incrementar el valor para sus accionistas.

El riesgo genera oportunidades; las oportunidades generan valor y el valor se convierte en mejoras para el negocio y los accionistas.

Se puede resaltar que en la mayoría de las industrias y organizaciones, está reconociendo que los riesgos no son solamente peligros a ser evadidos sino que, en muchos casos, son oportunidades a ser asumidas. “El riesgo como tal no es malo, lo malo es el riesgo mal manejado, mal entendido, mal valorizado, no planeado” asegura Suzanne Labarage, CRO en el Royal Bank of Canadá.

Un enfoque orientado a lo integral, incorporado y con visión de futuro, ayuda a la organización a administrar sus riesgos claves de negocio y aprovechar sus oportunidades para maximizar el valor para los accionistas y del negocio como un todo.

Algunos modelos actuales sostienen que la administración de los riesgos debe estar intrínsecamente ligada a la estrategia del negocio, la cual incluye la visión, misión y objetivos ya establecidos; así como los procesos para definir sus operaciones de mayor importancia y sus filosofías, políticas, planes e iniciativas de crecimiento y desarrollo.

ENTORNO ACTUAL:

En la medida en la que los riesgos cambian y se incrementen, las administraciones de varias industrias buscan asegurar que se esté considerando adecuadamente tanto los riesgos como el monto de riesgos – comparado con el apetito de riesgos de sus unidades o divisiones en la organización y comparado con otras organizaciones dentro de sus mismos mercados e industria ó con la competencia. La tolerancia al riesgo de cada organización es única y varia de acuerdo a la cultura organizacional, así como a los factores externos. Un aspecto crítico de la responsabilidad de la administración es determinar qué riesgos serán prioridad y después reevaluar periódicamente esa elección conforme a las circunstancias.

ADMINISTRACIÓN DE LOS RIESGOS

Es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que a las organizaciones minimizar pérdidas y maximizar oportunidades, es decir, es tanto identificar las oportunidades como también evitar o mitigar las pérdidas.

ESTABLECER EL CONTEXTO:
Establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.

IDENTIFICAR RIESGOS:

Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior.

ANALIZAR RIESGOS:

Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias.
Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de Riesgo.

EVALUAR RIESGOS:

Comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración.
Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento.

TRATAR RIESGOS:

Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración especifico que incluya consideraciones de fondo.

MONITOREAR Y REVISAR:

Monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo.

COMUNICAR Y CONSULTAR:

Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo.

ADMINISTRACIÓN DE LOS RIESGOS:

Una vez que se ha hecho un análisis de los riesgos existente en la organización, para algunos de ellos no se requerirá tomar acciones inmediatas, sin embargo cuando exista un riesgo con una probabilidad alta de ocurrencia y con un alto impacto, la administración deberá tomar acciones inmediatas para mover ese riesgo a un rango aceptable e incluso eliminarlo, basándose en un análisis de riesgo / beneficio para la organización.

Habiendo evaluado y clasificado sistemáticamente los riesgos y tal vez habiendo tratado de entender su impacto, muchas organizaciones pueden determinar qué riesgos deben ser administrados a nivel corporativo y cuáles riesgos deben ser administrados en los niveles medios dentro de la organización.

La administración de riesgo centralizada tiende a enfocarse a los riesgos que afectan el logro de los objetivos y estrategias claves de la organización y que afectan significativamente casi todas las funciones y casi todos los procesos (ejemplo; prestigio, imagen, etc.). La responsabilidad de estos riesgos debe recaer en la dirección general y/o consejo superior, los otros riesgos que podrían ser administrados de manera centralizada son aquéllos que requieren habilidades especializadas y que no pueden ser trabajados al nivel de división, o aquellos que requieran de contratación de servicios externos.

Los riesgos que deben administrarse de manera descentralizada podrían hacerse al nivel de división o proceso, aquéllos que son importantes únicamente en un proceso particular, pero que no afectan a la organización en la implementación exitosa de sus estrategias generales.

Acciones a seguir derivadas de la Evaluación de Riesgo:
La evaluación de riesgo ha probado ser un proceso altamente útil para identificar, categorizar y evaluar riesgos críticos, con base en su probabilidad de ocurrencia y magnitud de impacto. El punto clave que ha surgido, sin embargo, es ¿qué hacer con la información, cuando la evaluación de riesgo ha sido terminada?

En algunos casos, las organizaciones se encuentran con que el proceso ha identificado tantos riesgos que no es posible darle seguimiento a todos, y en otros casos, se encuentra con que no se ha podido trasladar la evaluación de riesgo a pasos de acción específicos - en el contexto de administración de apetito de riesgo – que aporten valor a la organización.

OPTIMIZACIÓN DE RIESGOS:

Comprende el concepto de alternativas; es decir, es un proceso repetitivo, mientras una táctica es implementada, los riesgos deben ser re - evaluados. Siendo que la re - evaluación no se puede hacer por cada acción, las organizaciones han empezado a dar surgimiento a las acciones relacionadas con los riesgos más importantes y materiales de la organización.

MEDICIÓN Y MONITOREO PARA INCREMENTAR VALOR:

La medición y el monitoreo se vuelven acciones necesarias, como un medio continuo de entendimiento y entrega de reportes para analizar el verdadero impacto de los riesgos. Las organizaciones deben definir los sistemas de monitoreo y medición que mejor les sirvan a sus estilos de trabajo y características de administración.

LA ESTRATEGIA Y LA ESTRUCTURA DE RIESGOS

La estrategia de riesgo proporciona los lineamientos para las actividades dentro de la organización; es la columna vertebral para dar a la organización la cultura del negocio central. La estrategia de riesgo debe llevarse a cabo con base en la estructura de riesgo, que engloba los roles y responsabilidades para la administración de riesgos.

Estas estructuras definen responsabilidades y líneas que reporten información, las cuales facultan a los administradores a actuar bajo límites relacionados con el apetito de riesgo.

La comunicación de la estrategia de riesgo es esencial y debe estar diseñada para asegurar que todos los empleados e inversionistas entiendan la misión, visión y objetivos de la organización.
Los líderes deben demostrar claramente la relevancia de la estrategia de la administración de riesgos, proporcionando historias de éxito, para maximizar valor en el proceso de la comunicación.

Habiendo establecido la responsabilidad y confianza, los lideres deben también ser cuidadosos al asegurarse que todo el personal de la organización tenga las habilidades necesarias para la ejecución y monitoreo de la administración de riesgo.
Comparación del tratamiento del riesgo, si existe una adecuada administración del mismo

EN EL PASADO

Riesgos considerados individualmente

Identificación y evaluación del riesgo

Enfoque en todos los riesgos

Mitigación del riesgo

Limite de riesgo

Riesgos que no tienen responsables

Cuantificación de riesgos inconsistentes

Riesgo no es mi responsabilidad

HOY EN DÍA

Riesgo en el contexto de laestrategia

Desarrollo del portafolio de riesgos

Enfoque en los riesgos críticos

Optimización del riesgo

Estrategia del riesgo

Responsabilidad sobre riesgo definida

Monitoreo y medición

Riesgo es responsabilidad de todos

CONCLUSIONES
La administración de riesgo ayuda a la organización a tener más clara su situación tanto interna como externamente, ya que se convierte en un medio de ayuda para que la organización cambie su enfoque de respuesta, y pueda reaccionar de una manera proactiva y no reactiva hacia los eventos que puedan surgir. La evaluación de riesgos en algunos casos puede salvar a las organizaciones de irse a la quiebra, ya que protege contra sorpresas.

Al hacer una evaluación constante de riesgos se constituye en valor organizacional que permite el éxito futuro de la organización en un entorno cambiante y competitivo, obteniendo una mejora en el desarrollo y desempeño de la organización.

Identificar, optimizar y administrar el portafolio de riesgos permite a la organización tener un enfoque claro para mejorar la asignación de recursos; estabiliza los resultados y encuentra nuevas oportunidades para mejorar los aspectos críticos del negocio, obteniendo beneficios económicos medibles

La administración de riesgos permite adoptar uno de los elementos más importantes que apoyan la transparencia, certidumbre a terceros y confianza en los inversionistas. Da respuesta a las necesidades del consejo superior y al comité de auditoria, se reenfoca de este modo el concepto de auditoria interna, el plan y la ejecución de las auditorias.

“Si logramos los objetivos del negocio, seremos muy exitoso; si no los logramos, una de la razones será una deficiente Administración de Riesgos”.

CONTROL INTERNO Y AUDITORIA INFORMÁTICA

CONTROL INTERNO Y AUDITORIA INFORMÁTICA

INTRODUCCION

• Tradicionalmente en materia de control interno se adoptaba un enfoque bastante restringido limitado a los controles contables internos.Durante el último decenio la prensa ha informado sobre escándalos relacionados con errores en el otorgamiento de créditos con garantía de inmuebles inexistentes o sobrevalorados, la manipulación de información financiera, operaciones bursátiles realizadas con información privilegiada y otros fallos de los controles que han afectado a las empresas de diferentes sectores.

Por ellos hay cambios en las empresas que comprometen los controles internos existentes:

1. La reestructuración de los procesos empresariales (BPR – Bussines Process Re-enginieering).
2. La gestión de la calidad total (TQM-Total Quality Management).
3. El redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto.
4. La contratación externa (outsourcing).
5. La descentralización.

El mundo en general está cambiando y somete a las empresas a la acción de muchas fuerzas externas tales como la creciente necesidad de acceder a los mercados mundiales la consolidación industrial, la intensificación de la competencia y las nuevas tecnologías.

1. Tendencias externas que influyen en las empresas:
2. La globalización.
3. La diversificación de actividades.
4. La eliminación de ramas de negocio no rentable o antiguas.
5. La introducción de nuevos productos como respuesta a la competencia.
6. Las fusiones y la formación de alianzas estratégicas
7. Ante la rapidez de los cambios los directivos toman conciencia que para evitar fallos de control significativos deben reevaluar y reestructurar sus sistemas de controles internos. Deben evaluar de manera PROACTIVA antes de que surjan los problemas, tomando medidas audaces para su tranquilidad, así como para garantizar al consejo de administración, accionistas, comités y publico, que los controles internos de la empresa están adecuadamente diseñados para hacer frente a los retos del futuro y asegurar la integridad en el momento actual.

Un centro de informática de una empresa suele tener una importancia crucial por soportar los sistemas de información del negocio, por el volumen de recursos y presupuestos que maneja, etc. Por lo tanto aumenta las necesidades de control y auditoría, surgiendo en las organizaciones, como medidas organizativas, las figuras de:

CONTROL INTERNO Y AUDITORIA INFORMATICOS.

• La auditoría ha cambiado notablemente en los últimos años con el enorme impacto que ha venido obrando las técnicas informáticas en la forma de procesar la información para la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informáticos devuelve cada vez mas acuciante.

• Los auditores informáticos aportan conocimientos especializados, así como su familiaridad con la tecnología informática. Se siguen tratando las mismas cuestiones de control de auditoría, pero los especialistas en auditoría informática de sistemas basados en ordenadores prestan ayuda valiosa a la organización y a los otros auditores en todo lo relativo a los controles sobre dichos temas.

• En muchas organizaciones el auditor ha dejado de centrarse en la evaluación y la comprobación de resultados de procesos, desplazando su atención a la evaluación de riesgos y comprobación de controles.

• Muchos de los controles se incorporan en programas de sistemas o se realizan por parte de la función informática de la organización, representado por el control interno informático.
• El enfoque centrado en controles normalmente exige conocimientos informáticos a nivel de la tecnología utilizada en el área o la organización que se examina.

LAS FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA
CONTROL INTERNO INFORMÁTICA C.I.I.

• Control Interno Informático C.I.I., controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales.
• La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.
• La función se le asigna a una unidad orgánica perteneciente al staff de la Gerencia de Informática y debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su misión.
• En los tratados de auditoría se le denomina CONTROL INTERNO INFORMATICO (CII), definición que a nuestro concepto debe ser reemplazado por el titulo de ADMINISTRACION DE LA SEGURIDAD Y CONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y conceptos actualizados de las funciones especializadas de control y administración de riesgos.

C.I.I. - PRINCIPALES OBJETIVOS

• Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorias externas.
• Definir , implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático

C.I.I. - PRINCIPALES FUNCIONES

• Realizar en los diferentes sistemas (centrales, departamentales, redes locales, Peces, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:

1. Cumplimiento de diferentes procedimientos, normas y controles dictados. Ejemplo. Control de cambios y versiones de software.
2. Controles sobre la producción diaria.
3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.
4. Controles en las redes de comunicaciones.
5. Controles sobre el software de base.
6. Controles en los sistemas microinformáticos.
7. La seguridad informática:

Usuarios, responsables y perfiles de uso de archivos y bases de datos.
Normas de seguridad.
Control de información clasificada.
Control dual de la seguridad informática.

8. Licencias.
9. Contratos con terceros.
10.Asesorar y transmitir cultura sobre el riesgo informático.

EL AUDITOR INFORMÁTICO (AI)

• Evalúa y comprueba en determinados momentos del tiempo, los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el uso de software.
• En muchos casos ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que deberá emplear software de auditoría y otras técnicas asistidas por ordenador.
• Es responsable de revisar e informar a la Dirección de la Empresa, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

EL AUDITOR INFORMÁTICO (AI): FUNCIONES PRINCIPALES

• Se pueden establecer tres grupos de funciones principales:

1. Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes.
2. Revisar y juzgar controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.
3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

CONTROL INTERNO Y AUDITORÍA INFORMÁTICOS: CAMPOS ANÁLOGOS

• La evolución de ambas funciones ha sido espectacular en la última década. Muchos de los funcionarios de controles internos informáticos, fueron auditores. Han recibido formación enseguridad informática tras su paso por la formación en auditoría.
• Hay una similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.

DASYCS – AI: ANALOGÍA

SISTEMA DE CONTROL INFORMÁTICO
DEFINICIÓN Y TIPOS DE CONTROLES INTERNOS

• Se puede definir el control interno como “cualquier actividad o acción realizada” manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
• Los controles cuando se diseñen, desarrollen e implanten han de ser al menos, completos, simples, fiable, revisables, adecuados y rentables.
• Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos.
• Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

CONTROLES INTERNOS INFORMÁTICOS: CLASIFICACIÓN

• Controles preventivos.- para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
• Controles detectivos.- cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
• Controles correctivos.- facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

RELACIÓN EXISTENTE ENTRE LOS MÉTODOS DE CONTROL, LOS OBJETIVOS DE CONTROL Y LOS OBJETIVOS DE AUDITORÍA

• A medida que los sistemas se han vuelto más complejos, los controles informáticos han evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos.
• Por ejemplo, en los actuales sistemas informáticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.
• La relación entre los métodos de control y los objetivos de control puede demostrarse en el siguiente. Ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de programas:
• Objetivo de control de mantenimiento: asegurar que las modificaciones de los procedimientos programados estén adecuadamente diseñadas, probadas, aprobadas e implantadas.
• Objetivo de Control de seguridad de programas: garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.

IMPLANTACIÓN DE UN SISTEMA DE CONTROL INTERNO INFORMÁTICO
CRITERIO BÁSICO

• Los controles pueden implantarse a varios niveles.
• La evaluación de controles de tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuración del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde pueden implantarse los controles, así como para identificar los posibles riesgos.

CONOCER LA CONFIGURACIÓN DEL SISTEMA

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

1. Entorno de red..- esquema de la red, descripción de la configuración de hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan las aplicaciones críticas y consideraciones relativas a la seguridad de la red.
2. Configuración del ordenador base.- configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto datos.
3. Entorno de aplicaciones.- procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.
4. Productos y herramientas.- software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
5. Seguridad del ordenador base.- identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

PARA LA IMPLANTACIÓN DE UN SISTEMA DE CONTROL INTERNO INFORMÁTICO DEBE DEFINIRSE:

• Gestión de sistemas de información.- política, pautas y normas técnicas que sirvan para el diseño y la implantación de los sistemas de información y de los controles correspondiente.
• Administración de sistemas.- controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
• Seguridad.- incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
• Gestión de cambio.- separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas software aprobados y probados.

RESPALDO PARA LA IMPLANTACIÓN DE UNA POLÍTICA Y CULTURA DE SEGURIDAD

• Dirección de Negocio o Dirección de Sistemas de Información (S.I).- Define la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas.
• Dirección de Informática.- Ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento.
• Control Interno Informático.- ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarán en los oportunos procedimientos de control interno y podrán ser preventivos o de detección. Periódicamente realizará la revisión de controles establecidos de Control Interno Informático informando las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles, así como trasmitirá constantemente a toda la organización de Informática la cultura y políticas de riesgo informático.
• Auditor interno/externo informático.- ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a os objetivos definidos por la Dirección de Negocio y la Dirección de Informática. Informará a la Alta Dirección de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que puedan originarse.
  La creación de un sistema de control informático es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informático.

CONTROL INTERNO Y AUDITORÍA

CONTROLES INTERNOS PARA SISTEMAS DE INFORMACIÓN

AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ

CONTROLES DE DESARROLLO, ADQUISICIÓN Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

• Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones.
• Metodología del ciclo de vida del desarrollo de sistemas. Principales controles:
• La Alta Dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida de desarrollo de sistemas y revisar ésta periódicamente.
• La metodología debe establecer los papeles y responsabilidades de las distintas áreas del Departamento de Informática y de los Usuarios, así como la composición y responsabilidades del equipo del proyecto.
• Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes e que comience el proceso de desarrollo.
• Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos acompañadas de un análisis costo-beneficio de cada alternativa.
• Cuando se seleccione una alternativa debe formularse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costos.

CONTROLES EN LA METODOLOGÍA DE DESARROLLO DE SISTEMAS

• Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc.
• Plan de validación, verificación y pruebas.
• Estándares de prueba de programas, de pruebas de sistemas.
• Plan de conversión: prueba de aceptación final.
• Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la organización y dichos productos deberán ser probados y revisados antes de pagar por ellos y ponerlos en uso.
• La contratación de outsourcing debe estar justificada mediante una petición escrita de un director del proyecto.
• Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.

EXPLOTACIÓN Y MANTENIMIENTO

• El establecimiento de controles asegurará que los datos se traten de forma congruente y exacta y que el contenido de sistemas sólo será modificado mediante autorización adecuada.
• Algunos controles que deben implantarse:

1. Procedimiento de control de explotación.
2. Sistema de contabilidad para asignar usuarios de costos asociados con la explotación de un sistema de información.
3. Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información.

CONTROLES DE EXPLOTACIÓN DE SISTEMAS DE INFORMACIÓN

• Planificación y Gestión de recurso: definir el presupuesto operativo del Departamento, Plan de adquisición de equipos y gestión de la capacidad de los equipos.
• Controles para usar de manera efectiva los recursos en ordenadores:

1. Calendario de carga de trabajo.
2. Programación de personal.
3. Mantenimiento preventivo del material.
4. Gestión de problemas y cambios.
5. Procedimientos de facturación a usuarios.
6. Sistemas de gestión de la biblioteca de soportes.

• Procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y control de cambios.

SEGURIDAD FÍSICA Y LÓGICA

• Definir un grupo de seguridad de la información, siendo una de sus funciones la administración y gestión del software de seguridad, revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.
• Controles físicos para asegurar que el acceso a las instalaciones del Dpto. de Informática quede restringido a las personas autorizadas.
• Control de visitas: personas externas a la organización.
• Instalación de medidas de protección contra el fuego.
• Formación y concientización en procedimientos de seguridad y evacuación del edificio.
• Control de acceso restringido a los ordenadores.
• Normas que regulen el acceso a los recursos informáticos.
• Existencia de un plan de contingencias para el respaldo de recursos de ordenador críticos y para la recuperación de los servicios del Dpto. Informático después de una interrupción imprevista de los mismos.

CONTROLES DE APLICACIONES

• Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos.
• Aspectos más importantes en el control de datos:

1. Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos.
2. Control de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados.
3. Controles de salidas de datos: sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.

CONTROLES ESPECÍFICOS DE CIERTAS TECNOLOGÍAS

Controles en sistemas de Gestión de Base de datos.

• Sobre el software de gestión de BD para preveer el acceso a la estructuración de y el control sobre los datos compartidos, deberá instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno.
• Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos, es decir, un administrador de datos.
• Que existen procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos.
• Sobre el acceso de datos y la concurrencia.
• Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la caída y minimizar el tiempo necesario para la recuperación
• Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces físicos – punteros – asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas.

CONTROLES ESPECÍFICOS DE CIERTAS TECNOLOGÍAS

• Planes adecuados de implantación, conversión y pruebas de aceptación para la red.
• Existencia de un grupo de control de red.
• Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.
• Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los departamentos que usan la red.
• Que se identifiquen todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.
• Existencia de inventario de todos los activos de la red.
• Existencia de mantenimiento preventivo de todos los activos.
• Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino válidas.
• Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de usuario.
• Procedimientos de cifrado de información sensible que se transmite a través de la red.
• Procedimientos de cifrado de información sensible que se transmite a través de la red.
• Procedimientos automáticos para resolver cierres del sistema.
• Monitorización para medir la eficiencia de la red.
• Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local dentro de la organización.
• Detectar la correcta o mala recepción de mensajes.
• Identificar los mensajes por una clave individual de usuario, por terminal y por el número de secuencia del mensaje.
• Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor.
• Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lógica redundante y poder de respaldo con realimentación automática para casos de fallas.
• Asegurarse de que haya procedimientos de recuperación y reinicio.
• Asegurarse de que existan pistas de auditoría que puedan usarse en la reconstrucción de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario.
• Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes de información provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso alguien intercepte los mensajes.

FUNCIÓN CONTROL EN LOS SISTEMAS

• Función control esparcida en la empresa.
• Consecuencia del desarrollo empresarial.
• Especialización de sus áreas con infraestructura tecnológica.
• Decisiones basadas en información confiable, adecuado en tiempo y forma.
• Administración de empresas apoyada en tecnología.
• Persona encargadas de control: cómo hacer para obtener efectividad en sus funciones, si no participan en el desarrollo de los sistemas.Tendencia se invierte con activa participación de la función de control en el desarrollo, implementación y seguimiento de los sistemas de informática.
  

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE Y GESTIÓN DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

LEGALIDAD DE LA ADQUISICIÓN DE SOFTWARE Y GESTIÓN DE LOS SERVICIOS Y BIENES INFORMÁTICOS EN ENTIDADES Y DEPENDENCIAS DEL SECTOR PÚBLICO

Introducción

El Estado Peruano, en el marco de la administración eficiente de los recursos, emite normativas que deberán ser implementadas por los responsables de la administración de cada institución.
Muchas de estas normativas están relacionadas a la Legalidad de la Adquisición de Software y Gestión de los Servicios y Bienes Informáticos.

La presente sesión de clase esta orientada a conocer algunas normas que permitirán desarrollar actividades de control relacionadas a la Legalidad de la Adquisición de Software y Gestión de los Servicios y Bienes Informáticos.

NORMATIVAS LEGALIDAD DE SOFTWARE DECRETO LEGISLATIVO 822 - LEY SOBRE EL DERECHO DE AUTOR.

Artículo 37º.- Siempre que la Ley no dispusiere expresamente lo contrario, es ilícita toda reproducción, comunicación, distribución, o cualquier otra modalidad de explotación de la obra, en forma total o parcial, que se realice sin el consentimiento previo y escrito del titular del derecho de autor.

Artículo 188º.- La Oficina de Derechos de Autor podrá imponer conjunta o indistintamente, las siguientes sanciones:

a) Amonestación. b) Multa de hasta 150 Unidades Impositivas Tributarias. c) Reparación de las omisiones. d) Cierre temporal hasta por treinta días del establecimiento. e) Cierre definitivo del establecimiento. f) Incautación o comiso definitivo. g) Publicación de la resolución a costa del infractor.

DECRETO SUPREMO Nº 013-2003-PCM. Referido a la Legalidad de la Adquisición de programas de Software en Entidades y Dependencias del Sector Público, que menciona:
Artículo 3º.- Las entidades y dependencias del sector público, deberán implementar las medidas necesarias para asegurar que las partidas presupuestales que se elaboren a partir de la vigencia del presente Decreto, incluyan recursos suficientes para el pago de las licencias de software por adquirir, en los casos en que proceda dicho pago.

Artículo 4º.- En un plazo que no exceda del 31 de marzo de 2005, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuentan, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiere dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Presidencia del Consejo de Ministros y al Instituto Nacional de Estadística e Informática – INEI, para coordinar el proceso de regularización al que hace referencia este artículo.

Artículo 5º.- Las entidades y dependencias comprendidas en la presente norma, deberán adoptar las siguientes acciones:

Otorgar al Jefe de Informática o al funcionario que cada entidad señale, la responsabilidad decertificar el cumplimiento de las medidas señaladas en el Decreto Supremo.
Adoptar la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Desarrollar y mantener un adecuado sistema de actualización del inventario de software de la entidad o dependencia según sea el caso.

Incluir expresamente el requerimiento de autorización o licencia legalmente emitida de todo proceso de compra estatal de software legal, en tanto dicha autorización o licencia se requiera.
Desarrollar acciones informativas dirigidas al personal de cada institución con el objeto de asegurar la correcta administración del software y el cumplimiento de las obligaciones contenidas en la presente norma.

DECRETO SUPREMO Nº 037-2005-PCM

Que modifica el D.S. Nº 013-2003-PCM, fijando plazo para que las entidades públicas cumplan con inventariar los software que utilizan.

Artículo 1º.- Modifíquese el texto del artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“En un plazo que no exceda del 31 de diciembre de 2006, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiere dicha licencia, o a la correspondiente regularización con los titulares de derechos cobre los mismos. Copia de dicho inventario será remitida a la Presidencia del Consejo de Ministros para coordinar el proceso de regularización al que hace referencia este artículo”.

DECRETO SUPREMO Nº 002-2007-PCM

“Mediante el cual modifican el Decreto Supremo Nº 013-2003-PCM y establecen disposiciones referidas a licenciamiento de software en entidades públicas.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM.

Modifíquese el texto del artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“En un plazo que no excederá del 31 de julio de 2008, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquéllos que no cuenten con la respectiva licencia, en tanto se requiera dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia de Consejo de Ministros”.

Artículo 2º.- Equivalencias. En un plazo de 45 días calendario, contados a partir de la vigencia del presente Decreto Supremo, la Oficina Nacional de Gobierno Electrónico e Informática publicará en el Portal del Estado Peruano un informe conteniendo las equivalencias entre software privado y software de libre disponibilidad como recomendación para la implantación de software de libre disponibilidad en las instituciones públicas.

Artículo 3º.- Adquisiciones. Los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoquen las entidades y dependencias del Sector Público durante el presente ejercicio fiscal, deberán considerar de manera obligatoria el sistema operativo y la herramienta ofimática base de acuerdo a los perfiles de usuario determinados por la institución.

Artículo 4º.- Responsable. La Oficina Nacional de Gobierno Electrónico e Informática será responsable de determinar las condiciones necesarias para el correcto licenciamiento del software privado actualmente en uso de la administración pública.
DECRETO SUPREMO Nº 053-2008-PCM

Modifica en artículo 4º del Decreto Supremo Nº 013-2003-PCM para el cumplimiento de la Administración Pública de las normas vigentes en materia de Derechos de Autor en el Marco de la Reforma del Estado y la implementación del Acuerdo de Promoción Comercial Perú – Estados Unidos.

Establece en el Artículo 1º, se modifique el texto del Artículo 4º del D.S. Nº 013-2003-PCM en los términos siguientes.

“En un plazo que no excederá del 31 de octubre de 2008, las entidades y dependencias comprendidas en la presente norma deberán inventariar los software con que cuenten, procediendo a la eliminación de aquellos que no cuenten con la respectiva licencia, en tanto se requiera dicha licencia, o a la correspondiente regularización con los titulares de derechos sobre los mismos. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros”.

DECRETO SUPREMO Nº 077-2008-PCM

Modifican el Artículo 4º del Decreto Supremo Nº 013-2003-PCM para el cumplimiento en la Administración Pública de las normas vigentes en materia de derechos de autor en el marco de la reforma del Estado y la implementación del Acuerdo de Promoción Comercial Perú – Estados Unidos.

Que, luego de definirse los plazos para el uso de software legal por la administración pública, conforme al Artículo 4º del Decreto Supremo Nº 013-2003-PCM, modificado por los artículos 1º del Decreto Supremo Nº 037-2005-PCM, 1º del Decreto Supremo Nº 002-2007-PCM y 1º del Decreto Supremo Nº 053-2008-PCM, y mejorar los niveles de uso de software legal en todos los estamentos del Estado, de acuerdo a los informes de seguimiento realizados por la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros, se hace necesario adoptar acciones conducentes a garantizar su efectiva aplicación e implementación, y generar el marco adecuado para la reforma y modernización del Estado Peruano.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM. Modifíquese el artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:
“El Estado iniciará un programa de renovación del parque informático que permita acelerar el proceso de modernización de la infraestructura tecnológica estatal, reemplazando antes del 31 de diciembre de 2011 los equipos necesarios para tal fin, asegurando con ello el uso de software legal en la administración pública.

Artículo 1º.- Modificación del artículo 4º del Decreto Supremo Nº 013-2003-PCM. Modifíquese el artículo 4º del Decreto Supremo Nº 013-2003-PCM en los términos siguientes:

“El Estado iniciará un programa de renovación del parque informático que permita acelerar el proceso de modernización de la infraestructura tecnológica estatal, reemplazando antes del 31 de diciembre de 2011 los equipos necesarios para tal fin, asegurando con ello el uso de software legal en la administración pública.

Las entidades y dependencias comprendidas en la presente norma deberán realizar anualmente el inventario del software con que cuentan, procediendo a la eliminación de aquel software que no cuente con la respectiva licencia en tanto ésta sea requerida para su uso, o procediendo a regularizar el uso de las licencias con los titulares de los derechos sobre el software respectivo. Copia de dicho inventario será remitida a la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros”.

RESOLUCION JEFATURAL Nº 199-2003-INEI.

Que en su artículo 1°, aprueba la Directiva Nº 008-2003-INEI/DTNP, sobre “Normas Técnicas para la administración del Software Libre en los Servicios Informáticos de la Administración

Pública”. DIRECTIVA Nº 008-2003-INEI/DTNP.

Referido a las normas técnicas para la administración del software libre en los servicios informáticos de la administración pública. Tiene como objetivo, dar lineamiento para el uso correcto y seguro del software libre.

II. Alcance: La presente Directiva es de cumplimiento por las entidades del Poder Ejecutivo, Legislativo y Judicial, Organismos Autónomos, Organismos Públicos Descentralizados, Gobiernos Regionales, Locales y Empresas Públicas a nivel nacional.

7.1 La Oficina de Informática (o la que haga sus veces) de cada entidad es la responsable de establecer, en el marco del Plan Estratégico de Tecnología de Información y de lo establecido en el Decreto Supremo Nº 013-2003-PCM, la implantación del software libre en una entidad pública.

RESOLUCIÓN MINISTERIAL Nº 073-2004-PCM.

Referido a la aprobación de la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Que en el Artículo 1º aprueba la Guía para la Administración Eficiente del Software Legal en la Administración Pública.

Así mismo menciona en el Artículo 2º que las entidades de la Administración Pública, integrantes del Sistema Nacional de Informática, deberán aplicar lo establecido en el Artículo 1º, siendo responsabilidad de las áreas de informática o de las que hagan sus veces, la implementación y aplicación de la presente norma.

En el artículo 3º indica que la áreas de informática o las que hagan sus veces, desarrollarán acciones informativas y de capacitación dirigidas al personal de cada institución, con el objeto de asegurar la correcta aplicación de lo establecido en el artículo 1º. Para tal efecto realizarán las coordinaciones correspondientes con las áreas de personal o las que hagan sus veces en la entidad.

GUÍA PARA LA ADMINISTRACIÓN EFICIENTE DE SOFTWARE LEGAL EN LA ADMINISTRACIÓN PÚBLICA

Establece:
En el Capítulo II, cuarto párrafo que garantiza el cumplimiento de la Ley, indica que; además de los acuerdos de licencia, la ley de derechos de autor protege, a los autores del software, de la reproducción y distribución no autorizada de software. La misma Ley prohíbe también que los usuarios carguen, descarguen o transmitan copias no autorizadas de software por Internet u otros medios electrónicos. Las violaciones de estas restricciones pueden constituir delitos, los cuales exponen al infractor a sanciones de hasta 8 años de pena privativa de la libertad, así como a multas de hasta 150 Unidades Impositivas Tributarias.

Control de costos de adquisición. Un proceso de administración eficaz reduce al mínimo los costos de adquisición de software a identificar y comunicar las necesidades de software actuales y futuras de una institución, elaborar oportunamente el presupuesto para la adquisición de software y concretar la compra solamente de aquellos recursos que se consideren necesarios en conformidad con los procedimientos de adquisición claramente identificados.

La preparación del presupuesto es clave. Deben identificarse los gastos planificados de software como una partida separada dentro del presupuesto para TI y realizar seguimiento de los gastos actuales en comparación con los proyectados. De esta manera puede evaluarse en forma más exacta las necesidades, garantizar que el software adquirido sea legal y planificar futuras adquisiciones. Como un dato adicional, cabe anotar que las organizaciones de envergadura a menudo dedican el 25 por ciento de sus presupuestos de TI a software.

Evitar procesos legales, sanciones y multas. Es deber de una institución evitar los costos en los procesos legales, las multas y las sanciones mediante la puesta en vigor del proceso de administración de activos de software descrito en la presente guía (al que hace referencia la Resolución Ministerial Nº 073-2004-PCM). El proceso generará un registro de los documentos necesarios para evitar estos riesgos.

El registro incluirá:

Una declaración escrita de la política de software de su organización
Pruebas de la aceptación y el entendimiento por parte de los empleados de la política, el proceso de administración y las responsabilidades
Un inventario completo y actual de los activos de software
Documentación sobre todas las medidas adoptadas en apoyo del proceso de administración y de aquellas señaladas en el Decreto Supremo Nº 013-2003-PCM.
En el Capítulo III, la guía en mención indica lo siguiente: Realizar un inventario de software es un componente crítico del proceso de administración. Se debe identificar todo el software instalado en las computadoras de la institución, así como recopilar y almacenar en un depósito seguro las licencias y la documentación para el software cuyo uso en la institución haya sido aprobado.
El área de informática debe mantenerla actualizada mediante la renovación periódica de la lista de software autorizado por la institución y la actualización, en caso sea necesaria, de los términos de los acuerdos de licencias. Además, se deben adoptar medidas preventivas para reducir a un mínimo la necesidad de acciones correctivas en el futuro.

Formular y comunicar una política de software. la declaración política que formule la institución debe darse a conocer a los empleados a través de los diversos medios disponibles: correo electrónico, intranet, periódico mural, reuniones de trabajo, otros.
Especificar, comunicar y solicitar la aceptación. Inicialmente, generar apoyo mediante la especificación y la comunicación clara de una política para software, una jerarquía de mando y las responsabilidades de cada empleado. Incluir la información en el manual de funciones del empleado. Distribuir la información en cursos de orientación para nuevos empleados.
Evitar la confusión y solicitar a cada empleado que lea y acepte la declaración. Es necesario probar que cada empleado recibió información, ha entendido y aceptado cumplir la política interna para administración y uso de software.

Educar. La formación es un elemento importante para obtener la aceptación de los empleados. La institución debe diseñar un programa de formación que ofrezca preparación en tres áreas generales:

Comprender la declaración de la política, incluido el proceso de administración, los procedimientos de compra y las responsabilidades de los empleados.
Saber determinar si el software o su uso es ilegal

Reconocer cómo aprovechar las ventajas del activo del software utilizado por la organización.
Formas de administración. Una correcta administración de software incluye dos etapas:
Realizar un inventario inicial de software, y después

Establecer políticas y procedimientos para mantener el software sobre una base continua.

Perfil del usuario. El perfil de Usuario de Software debe ser elaborado y administrado por la Oficina de Informática para la estandarización, control y optimización del uso de los programas, según las necesidades de la institución.

Sobre el Capítulo IV, menciona lo siguiente:
Lineamientos sobre el Uso del Software y del Perfil de Usuario.
Los programas desarrollados en la institución y los encargados a terceros deben ser elaborados bajo los estándares de programación, leguajes y herramientas de desarrollo elaborados por la Oficina de Informática de la institución en coordinación con el área del usuario, de acuerdo con los requerimientos del Sistema definido por ellos.

Todo software elaborado en la institución debe ser revisado y aprobado por la Oficina de Informática. Asimismo, se sugiere su registro ante la Oficina de Derechos de Autor del INDECOPI.

Cada usuario debe utilizar únicamente el software que la oficina de Informática haya instalado de acuerdo al Perfil de Usuario para el uso de software, asignado según las actividades que desempeñan.

La Oficina de Informática de la institución deberá evaluar constantemente los programas y/o actualizaciones existentes en el mercado tecnológico para su posible incorporación dentro de la lista de programas estandarizados. Un usuario puede poseer más de un Perfil de Uso.

No deberá estar permitido instalar otros programas que no estén incluidos en el Perfil de Usuario, aún cuando sean éstos legales y de propiedad del usuario, salvo en casos autorizados por la Oficina de Informática con la licencia o certificado de autorización de uso del fabricante, demostrando además que son utilizadas por un periodo corto y su productividad en las labores asignadas. Igual caso se considera para los programas llamados “freeware” y “shareware”, salvo en este último caso el cual se debe eliminar una vez culminado su período de prueba. Dentro de los programas que pueden ser instalados, se encuentran los llamados “parches” o “actualizaciones” que los fabricantes distribuyen de forma gratuita para optimizar sus productos.
lineamientos de instalación / desinstalación

La Oficina de Informática deberá ser exclusivamente quien pueda instalar y desinstalar los programas en los equipos de los usuarios. Esta disposición deberá ser expresa.
Todos los equipos que requieran la instalación de software deben cumplir los requerimientos mínimos para su funcionamiento.

Es recomendable que toda solicitud de instalación de software debe estar debidamente justificada por intermedio y autorización del Jefe directo del usuario solicitante, mediante correo electrónico el cual deberá contener al menos: Nombre del Usuario del equipo a instalarse el software, Cargo, Código Patrimonial del CPU, programas requeridos, versión y período de uso así como la justificación de la solicitud. Lineamientos para Software base, Aplicaciones, Manejadores de Base de Datos y/o utilitarios.Es recomendable que la Oficina de Informática instale los programas en los equipos recientemente asignados según su Perfil de Usuario, eliminando aquellos que no correspondan con el nuevo perfil. En caso de no ser totalmente nuevo, se procederá a formatear el disco duro e instalar los programas.

DIRECTIVA Nº 007-95-INEI-SJI.

Referido a las recomendaciones técnicas para la seguridad e integridad de la información que se procesa en la administración pública. En el numeral 5.1 estipula que; En los procedimientos administrativos es recomendable la identificación previa del personal que va a ingresar a las áreas de cómputo, verificando si cuenta con la autorización correspondiente y registrándose el ingreso y salida del área.

En el numeral 5.11 de la presente Directiva, indica que; Cuando desee proteger especialmente una base de datos se preverá en su desarrollo, que esté garantizado un límite de instalaciones (licencias autorizadas), para su uso.

DIRECTIVA Nº 016-2002-INEI/DTNP.

Referido a las Normas Técnicas para el Almacenamiento y Respaldo de la Información Procesada por las Entidades de la Administración Pública. Establece que:

6.2.1 Copias de los medios de almacenamiento de la información se ubicarán en otro(s) local(es) distante(s) de la institución. La institución designará un responsable para realizar esta labor.

6.3.2 La Oficina de Informática especificará y documentará en el Plan de Contingencias institucional, los procedimientos utilizados en el respaldo de la información.
6.4.9 La Oficina de Informática (o la que haga sus veces) informará periódicamente a los usuarios, el cronograma de respaldo de información, asimismo, hará de conocimiento general las políticas de seguridad y respaldo de información.

RESOLUCIÓN JEFATURAL Nº 0181-2002-INEI

Referido a la aprobación de la Guía Teórico Práctica para la elaboración de Planes Estratégicos de Tecnología de Información – PETI. En su Artículo 2º establece que; Los órganos confortantes del Sistema Nacional de Informática deberán elaborar el Plan Estratégico de Tecnologías de Información de su institución, en base a la Guía Teórico Práctica aprobada en el Artículo 1º de la presente Resolución.

DIRECTIVA Nº 008-95-INEI/SJI.

Referido a las Recomendaciones Técnicas para la Protección de los Equipos y Medios de Procesamiento de la Información en la Administración Pública. Establece que:
Evitar los cableados sueltos o dispersos, éstos deberán entubarse.
Para combatir los incendios producidos por equipos eléctricos se deben utilizar extintores, hechos preferentemente de bióxido de carbono, productos químicos secos y líquido vaporizado. Estos estarán al alcance inmediato, preservando la vigencia química del extintor, e identificando su localización en el respectivo plano.

6.1Es recomendable que el acceso a los centros de cómputo sea restringido al personal autorizado, contándose con un registro de entradas y salidas de visitantes.
6.8 Contará con un plan de contingencia, así como con estrategias adecuadas para hacer frente a los desastres. Entre el área de cómputo y las demás áreas, se establecerán acuerdos acerca de las condiciones bajo las cuales el plan de contingencias ha de ser activado, considerándose la duración probable de la falta de servicio, y la pérdida (total o parcial) de la capacidad de procesamiento en una o varias instalaciones, etc.

DIRECTIVA Nº 016-94-INEI/SJI.

Referido a las Normas para la Prevención, Detección y Eliminación de Virus Informático en los Equipos de Cómputo de la Administración Pública. Establece que: Por ningún motivo debe usarse los servidores de red como estaciones de trabajo.

DIRECTIVA Nº 010-95-INEI/SJI.

Referido a las Recomendaciones Técnicas para la Organización y Gestión de los Servicios Informáticos para la Administración Pública. Establece que:
5.1. Los tipos o formas de brindar un Servicios Informático, son los siguientes:
Centro de Cómputo, es la dependencia responsable del procesamiento automático de datos, se caracteriza por disponer de equipos de cómputo de gran capacidad operativa. Este tipo de dependencia corresponde a una organización centralizada de servicios informáticos, por lo que su gestión está basada sobre Áreas Especializadas.
5.12 Toda institución pública que disponga de un Centro de Cómputo, de Unidades de Cómputo de Usuario y Usuarios que dispongan de Computadoras deberá normar sus actividades, con la finalidad de garantizar un adecuado y ordenado desarrollo del Servicio Informático para la institución, a fin de evitar conflictos de índole técnico – administrativo que pudieran presentarse.

RESOLUCION MINISTERIAL Nº 139-2004-PCM.

Referido a la “Guía Técnica Sobre Evaluación de Software para la Administración Pública”. Establece que: Artículo 1.- Aprobar el documento “Guía Técnica Sobre Evaluación de Software para la Administración Pública”, documento que será publicado en el Portal de la Presidencia del Consejo de Ministros (http://www.pcm.gob.pe/)

Artículo 2.- Las entidades de la Administración Pública, integrantes del Sistema Nacional de Informática, deberán aplicar lo establecido en la “Guía Técnica Sobre Evaluación de Software para la Administración Pública” en los productos de software que desarrollen o adquieran a partir de la fecha de publicación de la presente Resolución.

GUÍA TÉCNICA SOBRE EVALUACIÓN DE SOFTWARE PARA LA ADMINISTRACIÓN PÚBLICA
PARTE 2: MÉTRICAS.

2.2. Métrica Interna.- …En el desarrollo de un producto de software, los productos intermedios deben ser evaluados usando métricas internas que permitan medir las propiedades intrínsecas, incluyendo aquellas que puedan derivarse de comportamientos simulados. El propósito primario de esta métrica interna es asegurar que se logre la calidad externa y la calidad de uso requerida. La métrica interna proporciona a los usuarios, evaluadores, verificadores y desarrolladores el beneficio de que puedan evaluar la calidad del producto de software y lo referido a problemas de calidad antes de que el producto de software sea puesto en ejecución.
2.3. Métrica Externa.- …Antes de adquirir o usar un producto de software, éste debe ser evaluado usando las métricas basadas en los objetivos del área usuaria de la institución relacionados al uso, explotación y dirección del producto, considerando la organización y el ambiente técnico. La métrica externa proporciona a los usuarios, evaluadores, verificadores y desarrolladores, el beneficio de que puedan evaluar la calidad del producto de software durante las pruebas o el funcionamiento.

PARTE 3: PROCESO DE EVALUACIÓN DE SOFTWARE
Todo proceso de evaluación de software deberá partir de una evaluación cualitativa y derivar en una evaluación cuantitativa, siendo todo el proceso documentado, cumpliendo los siguientes pasos:

3.1 Establecer el propósito de la evaluación: Productos intermedios:
Decidir sobre la aceptación de un producto intermedio de un subcontratista o proveedor.
Decidir cuándo un proceso está completo y cuando remitir los productos al siguiente proceso.
Predecir o estimar la calidad del producto final.
Recoger información con objeto de controlar y gestionar el proceso.
Otros con justificación.

Producto final:

Decidir sobre la aceptación del producto.
Decidir cuándo publicar el producto.
Comparar el producto con otros productos competitivos.
Seleccionar un producto entre productos alternativos.
Valorar tanto el aspecto positivo, como el negativo, cuando está en uso.
Decidir cuándo mejorar o reemplazar un producto.

Otros con justificación.

3.10 Documentación
Todo el proceso de evaluación debe estar documentado, indicando nombres y apellidos, cargos, procedencia de las personas que participaron en el proceso de evaluación, especificando las etapas en las que participaron, si es necesario. Este documento deberá ser aprobado por el Jefe de Informática o quien haga sus veces.

COMENTARIOS

14.- Se realizó la verificación de adquisición de computadoras y licencias de software en los dos últimos años (2008 y 2009). De la verificación realizada en el Sistema Electrónico de Adquisiciones y Contrataciones del Estado – SEACE, respecto a la compra de computadoras en el ejercicio 2008 por parte de la Institución, se pudo identificar que, con proceso de selección Nº XXXXX, se llevó acabo la adquisición de 4 computadoras y dos impresoras. En las bases de convocatoria para la adquisición de estos equipos no contempla el software que utilizarán las 4 computadoras, obteniendo la buena pro el 22/08/2008 la empresa SISTERET SRL. Del mismo modo en el ejercicio 2009, con proceso de selección Nº YYYYYY, se llevó acabo la adquisición de un equipo servidor y con proceso de selección Nº ZZZZZZ, se efectuó la adquisición de 10 computadoras, para ambas adquisiciones, las bases de convocatoria no contempla el software que utilizarán los equipos, obteniendo la buena pro el proveedor Cayo Julca.

CONCLUSIONES

4.- En los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoca la Institución, no considera el sistema operativo y la herramienta ofimática base, incumpliendo al artículo 3º del Decreto Supremo Nº 002-2007-PCM. (Comentario 14).

RECOMENDACIONES

4.- En los procesos de selección de contrataciones y adquisiciones de computadoras personales que convoque la Institución, deberá considerar de manera obligatoria el sistema operativo y la herramienta ofimática base de acuerdo a los perfiles de usuario determinados por la institución, en cumplimiento al artículo 3º del Decreto Supremo Nº 002-2007-PCM. (Conclusión 4)

AUDITORÍA DE SISTEMAS –INTERNA / EXTERNA

AUDITORÍA DE SISTEMAS –INTERNA / EXTERNA

INTRODUCCIÓN
La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un Mecanismo, para valorar y evaluar La Confianza Que se puede depositar en los sistemas de información

AUDITORÍA

Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados
American Accounting Association

La AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

CONCEPTO DE AUDITORÍA
· La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

· Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

MIGUEL ANGEL RAMOS (MIEMBRO DE LA O.A.I)

· La define como la revisión de la propia informática y de su entorno:
Análisis de riesgos.
Planes de contingencia.
Desarrollo de aplicaciones.
Asesoramiento en paquetes de seguridad.
Revisión de controles y cumplimiento de los mismos, así como de las normas legales

aplicables.
Evaluación de la gestión de los recursos informáticos

AUDITORIA DE SISTEMAS
· El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

· La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa.

· En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

· Finalmente, debemos reafirmar que la Auditoria Informática, también conocida en nuestro medio como Auditoria de Sistemas, surge debido a que la información se convierte en uno de los activos más importante de las empresas, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones físicas de cualquier organización, sin que sufran daños los ordenadores, servidores o equipo de cómputo, la entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo contrario.

· A raíz de esto, la información adquiere gran importancia en la empresa moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y tiempo en la creación de sistemas de información con el fin de obtener una mayor productividad.

CONCEPTO DE AUDITORÍA
Se entiende por Auditoria “una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización. (B.Sawyer)”.
Los distintos tipos de auditorías que se pueden realizar se clasifican en:
Financieras
Verificativas
Informáticas
Operativas o de Gestión
Técnicas.

AUDITORIAS FINANCIERAS: Las que se hacen con el fin de asegurar el adecuado registro de las transacciones, el cumplimiento de los principios de Contabilidad generalmente aceptados y los planes y regulaciones contables y financieros, que obligan a la organización.

LAS AUDITORIAS VERIFICATIVAS O DE CUMPLIMIENTO: Tratan de asegurar a la dirección de la organización, que sus políticas, programas y normas se cumplen razonablemente en todo el ámbito de la misma.

LA AUDITORÍA INFORMÁTICA: Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software.

LA AUDITORÍA OPERATIVA O DE GESTIÓN: Es una revisión que comprende las actividades, sistemas y controles dentro de la empresa para conseguir economía, eficiencia, eficacia u otros objetivos.

LA AUDITORÍA TÉCNICA O DE MÉTODOS: Es una revisión de los métodos y técnicas utilizadas en la realización de las operaciones de la empresa.

¿QUÉ SE DEBE ASEGURAR?
Siendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estar debidamente protegida.

¿CONTRA QUÉ SE DEBE PROTEGER LA INFORMACIÓN?
La Seguridad de la Información, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

¿QUÉ SE DEBE GARANTIZAR?
CONFIDENCIALIDAD: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.
¿POR QUÉ AUMENTAN LAS AMENAZAS?

Las Organizaciones son cada vez más dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez más vulnerables a las amenazas concernientes a su seguridad.

¿POR QUÉ AUMENTAN LAS AMENAZAS?
Crecimiento exponencial de las Redes y Usuarios Interconectados
Profusión de las BD On-Line
Inmadurez de las Nuevas Tecnologías
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
Técnicas de Ingeniería Social

¿CUÁLES SON LAS AMENAZAS?
ACCIDENTES: Averías, Catástrofes, Interrupciones.
ERRORES: de Uso, Diseño, Control.
INTENCIONALES PRESENCIALES: Atentado con acceso físico no autorizado
INTENCIONALES REMOTAS: Requieren acceso al canal de comunicación
AMENAZAS INTENCIONALES REMOTAS

Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).
Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).
Suplantación de origen (amenaza a la AUTENTICACIÓN).

ESTRUCTURA DE SEGURIDAD – ANÁLISIS DE RIESGOS
Análisis de Riesgos
Se considera Riesgo Informático, a todo factor que pueda generar una disminución en:
Confidencialidad – Disponibilidad – Integridad

Determina la probabilidad de ocurrencia
Determina el impacto potencial

ANÁLISIS DE RIESGOS – MODELO DE GESTIÓN

LA RESPONSABILIDAD EN ÚLTIMO EXTREMO, EN UNA EMPRESA SOBRE LA OPTIMIZACIÓN DE LA CALIDAD DE LOS SI, Y LA RENTABILIDAD DE LOS RECURSOS

INFORMÁTICOS LA TIENE:
1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la Información
4. El vendedor del software y el hardware

UN AUDITOR DE SISTEMAS DE INFORMACIÓN DEBE, ENTRE SUS RESPONSABILIDADES, REALIZAR:
1. La redacción de los procedimientos de control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de gestión
3. Evaluar los riesgos de los sistemas de información
4. Las pruebas del plan de continuidad del negocio

AUDITORÍA INTERNA / EXTERNA
La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos.

LA AUDITORÍA INTERNA: Constituye una función de evaluación independiente. Sin embargo, existe en el seno de una entidad y bajo la autorización de la dirección con el ánimo de examinar y evaluar las actividades de la entidad. La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:
La salvaguardia del inmovilizado material e inmaterial de la entidad.
La exactitud y fiabilidad de los registros contables.
El fomento de la eficiencia operativa
La adhesión a las políticas de la entidad y el cumplimiento de sus obligaciones legales.

El auditor interno está casi siempre ocupado con la adecuación de los controles sobre las actividades mecanizadas, así como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.

LA AUDITORÍA EXTERNA: Constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros por parte de un contador público independiente, bien voluntariamente o bien por obligación legal.

OBJETIVO
El objetivo principal de una auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera

EL AUDITOR INFORMÁTICO: Pone a disposición de la función auditora, sea externa o interna, sus conocimientos técnicos de informática. Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas sofisticadas en algunos casos, incluyendo el uso de software.
En una primera clasificación las actividades típicas del auditor informático se clasifican en cinco grandes clases:
Auditoría de la gestión de los S.I./T.I.
Auditoría de los sistemas en desarrollo
Auditoría de los Centros de Proceso de Datos
Auditoria de las Aplicaciones
Apoyo a los auditores no informáticos.
El concepto moderno de esta función es radicalmente distinto de la idea que, tradicionalmente, identificaba al departamento de auditoría interna como una unidad preocupada básicamente de asegurar el correcto registro de las transacciones desde la perspectiva contable y financiera, con objeto de eliminar errores y fraudes de esta naturaleza.

· Servida por personal altamente calificado, con un conocimiento global de las organizaciones y una visión o enfoque de los problemas gerenciales.
· Actuando como control de los restantes controles de la organización, buscando prestar un servicio a los auditados y a la dirección.
· Independiente para la formulación de sus opiniones y recomendaciones.
· Trabajando con arreglo a la previa y autorizada planificación anual de sus informes y actividades.

CONCEPTO DE AUDITORÍA INTERNA
Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización.
Su objetivo es asistir a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades.
Proporciona análisis, valoraciones, recomendaciones, consejo e información sobre las actividades revisadas. Los miembros de la organización asistidos por la auditoría interna son tanto la dirección como el Consejo de Administración.

ALCANCE
El alcance de la auditoría interna debe abarcar el examen y evaluación de la adecuación y efectividad del sistema de control interno y la calidad de la de ejecución en la realización de las responsabilidades asignadas.

LOS AUDITORES INTERNOS DEBEN
Revisar la fiabilidad e integridad de la información financiera y operativa y de los medios utilizados para identificar, evaluar, clasificar y comunicar dicha información.
Revisar los sistemas establecidos para asegurar que estén de acuerdo con aquellas políticas, planes, procedimientos, leyes y reglamentos que pudieran tener efecto significativo en las operaciones e informes, determinando si la organización los está aplicando.

LA INDEPENDENCIA DE LOS AUDITORES: Es otro de los aspectos relevantes. Los auditores internos deben ser independientes de las actividades que auditen.
Los auditores son independientes cuando pueden realizar su trabajo libre y objetivamente.
La independencia permite a los auditores internos emitir juicios imparciales y sin prejuicios, lo que es esencial para la adecuada ejecución de las auditorias. Esto se consigue mediante un adecuado nivel en la organización y con objetividad.
La objetividad es una actitud mental independiente que los auditores internos deberían mantener en la realización de auditorias. Los auditores internos en ningún caso deben subordinar sus juicios en materia de auditoría a los de otros.
Diseñar, instalar y manejar sistemas no son funciones de auditoría. Tampoco el diseño de procedimientos para sistemas es una función de auditoría. La realización de tales actividades supone un perjuicio para la objetividad de la auditoría.
Contenido funcional de la auditoría interna
Dependerá del concepto que la dirección tenga de ella, de los objetivos que pretenda conseguir, de las peculiaridades y características de cada empresa, del estilo propio de dirección y de la personalidad y criterio del director de la misma.

CONTENIDO FUNCIONAL DE LA AUDITORÍA INTERNA
Sin embargo, sólo se deberá llamar auditoria interna a una sección o departamento de la empresa que:
· Utilice las técnicas y normas de auditoria.
· Independiente en cuanto a su libertad de actuación dentro de la organización.
· Evalúe todas las áreas y actividades funcionales de la empresa.
· Emita informes, concretados en recomendaciones, pero sin autoridad para imponerlas ejecutivamente.
Por tanto, la auditoría interna se caracteriza en la actualidad porque:
· Es parte de la dirección o debe estar muy próxima a ella y contar con su apoyo.
· Exige personal calificado de toda confianza y discreción.
· No debe tener limitada su actividad a las áreas financieras o económicas.
· Debe disponer de su propio estatuto donde se indique su dependencia, sus atribuciones y sus funciones o deberes.
· Debe buscar el aumento de la eficiencia de la empresa.

DIFERENCIAS ENTRE AUDITORIA INTERNA Y EXTERNA
La auditoría interna se lleva a cabo con personas pertenecientes a la misma plantilla, mientras que la externa exige, como condición esencial a la misma y de su credibilidad, que los profesionales que la realizan no formen parte de la empresa auditada, es decir que sean totalmente independientes de ella y de sus cuadros directivos.

DIFERENCIAS ENTRE AUDITORIA INTERNA Y EXTERNA
Los trabajos de auditoría externa se desarrolla de acuerdo con normas y procedimientos internacionalmente homologados que no suelen ser substancialmente alterados ni modificados, mientras que los procedimientos de auditoría interna son mucho más flexibles y dependen, en cada caso, de la empresa, sus dirigentes y de los propios responsables de auditoría interna.

AUDITORIA INTERNA Y SUS RELACIONES
A) Dentro de la empresa:
La profesionalidad y la discreción.
La moderna auditoría interna debe ser entendida como un colaborador-asesor que indique que la mejor manera de hacer las cosas, que apunte deficiencias para que sean corregidas por los propios auditados y que escuche aspiraciones, sugerencias, etc.

AUDITORIA INTERNA Y SUS RELACIONES
Debe tener un conocimiento real de las funciones que estas unidades llevan a cabo, familiarizarse con ellas y formar equipo con sus trabajadores para documentarse, como paso previo a la realización de programas concretos de auditoría de gestión.
B) Con la auditoría externa:
La modernidad de un departamento de auditoría interna exige tener buenas relaciones con los auditores externos.
Las normas y prácticas de auditoría establecen muy claramente la necesidad de una actuación coordinada y eficaz de ambos auditores tal como se indica más adelante.
En ocasiones, se hace necesario un esfuerzo especial para evitar efectos perturbadores en las relaciones con los auditores externos como consecuencia de los requisitos de trabajo complementario que estos hacen a los auditores internos.