Auditoria en Sistemas: 2015

lunes, 31 de agosto de 2015

6.6. CONTROLES DE ASIGNACIÓN DE TRABAJO

Controles de asignación de trabajo

DIVISIÓN DE TRABAJO

Para el buen desarrollo de las actividades de cualquier empresa es necesario que las actividades se realicen de acuerdo a como hayan sido diseñadas en la estructura de la organización y de acuerdo con lo delimitado por el perfil de puestos. (Se deben distribuir de manera correcta las cargas de trabajo).

La división del trabajo incrementa la eficacia y eficiencia de las actividades de cualquier empresa. Se requiere una división mas especializada del trabajo para el cumplimiento de las actividades y operaciones y tareas que se desarrollan en los centros de computo.

Funciones básicas de un Centro de Computo:

Dirección general del área de informática

Área de análisis y diseño

Área de Programación

Arrea de Sistemas de redes

Área de operación

Área de telecomunicación

Área de administración

ASIGNACIÓN DE RESPONSABILIDAD Y AUTORIDAD

Es la asignación de las líneas de autoridad por puesto y el establecimiento de los limites de responsabilidad de las líneas de autoridad por puesto y el establecimiento de los limites de responsabilidad que tendrá cada uno de estos, incluyendo los canales formales de comunicación.. Delimita claramente la autoridad y responsabilidad que tendrá cada integrante de cada área para tener un mejor desarrollo de las actividades, funciones y tareas por lo que el procesamiento de información en la empresa será mas eficiente y mas eficaz.

PERFILES DE PUESTOS

Este elemento del control interno informático ayuda a identificar y establecer los requisitos, habilidades, experiencia y conocimientos específicos que necesita tener el personal que ocupa un puesto en el área de sistemas. Se debe de considerar dentro del perfil de puestos cada una de las características que deben poseer quienes ocupan los puestos que integran la estructura de organización del centro informático de la empresa. Aunque la existencia de este documento es fundamental para el control interno informático a veces quienes dirigen estas áreas de sistemas dejan de utilizarlo debido a que no es fácil definir perfiles de puestos en un centro de cómputo, porque desconocen su utilidad o simplemente porque ignoran la importancia de considerar en su diseño los siguientes aspectos:

La forma de operación establecida para cada puesto, de acuerdo con los sistemas de computo de la empresa.
Las necesidades de procesamiento de datos, desde la captura hasta la emisión de resultados.
La configuración de los equipos, instalaciones y componentes de la rea de sistemas, incluyendo su arquitectura y la forma de administración de los mismos.
La manera como influye esta delineación en el uso de los recursos informáticos tanto de hardware y software como de los recursos técnicos de comunicación y del propio factor humano informático especializado.

Con el perfil de puestos se pretende estandarizar hasta donde es posible, los requisitos mínimos que se deben contemplar para cada uno de los puestos del centro informático.

Es trascendental destacar la importancia del uso del perfil de puestos para la selección adecuada del personal que ocupara los puestos dentro del área de sistemas, debido a que en este documento se establecerán en forma precisa y correcta las características, conocimientos y habilidades que deberán tener quienes ocupen dichos puestos. Esto será la garantía de un desarrollo eficiente y eficaz de las funciones y actividades de cada puesto.

Contenido del perfil de puestos

En su forma clásica se deben contemplar como mínimo los siguientes puntos, los cuales se deben adecuar a las necesidades específicas del propio puesto:

Nombre genérico del puesto

Objetivo del puesto

Líneas de autoridad:

Dependencia de … y

Responsabilidad sobre

Funciones del puesto

Sustantivas, basitas o fundamentales

Especificas, concretas o cotidianas

Requisitos del puesto:

Conocimientos

En sistemas

En áreas similares

Otros conocimientos del puesto

Experiencia

En el puesto

En el área

Características de personalidad

Otros requerimientos

Otros conocimientos

6.5 COSTOS

COSTOS

Un presupuesto es una herramienta de gestión conformada por un documento en donde se cuantifican pronósticos o previsiones de diferentes elementos de un negocio.

Los presupuestos se suelen relacionar exclusivamente con los ingresos o egresos que realizará una empresa, sin embargo, podemos hacer uso de estas herramientas para cuantificar pronósticos o previsiones de cualquiera de los elementos de un negocio, por ejemplo, podemos presupuestar los cobros que realizaremos, los pagos de nuestras de deudas, los productos que fabricaremos, los materiales que requeriremos para producir dichos productos, etc.

Los presupuestos son herramientas fundamentales para un negocio ya que nos permiten planificar, coordinar y controlar nuestras operaciones:

* planeación: los presupuestos nos permiten planificar actividades, planificar objetivos, recursos, estrategias, cursos a seguir; anticipándose a los hechos y, por tanto, ayudándonos a reducir la incertidumbre y los cambios.

* coordinación: los presupuestos sirven como guía para coordinar actividades, permitiéndonos armonizar e integrar todas las secciones o áreas del negocio, tanto entre éstas, como con los objetivos de la empresa.

* control: los presupuestos sirven como instrumento de control y evaluación, nos permiten comparar los resultados obtenidos con los presupuestados para que, de ese modo, por ejemplo, saber en qué áreas o actividades existen desviaciones o variaciones (diferencias entre lo obtenido y lo presupuestado).

6.4 PRESUPUESTOS

PRESUPUESTOS

Hoy en día las empresas necesitan un flujo de datos constantes y precisos para tomarlas decisiones correctas que les permita hacerles frente a la intensa competencia a las que están sometidas en un ambiente de globalización para en rumbar la entidad al logro de sus objetivos.

La magnitud del valor de la información es incalculable, ya que aquellas empresas que cuentan con la mayor cantidad y calidad de datos, podrán tomar las mejores decisiones.

En la actualidad la información contable es un mecanismo indispensable para realizar una administración efectiva de los recursos con los cuales cuentan. Lo que les permita tomar decisiones sobre puntos tan determinantes como son:

· Los precios a los cuales se debe vender.

· Los precios a los cuales les conviene comprar.

· La capacidad de pago con la que se cuenta en un determinado momento.

· La situación financiera de la empresa.

· El costo del dinero que tomamos prestado, etc.; además de que esta información representa una herramienta de competencia que marca la diferencia a la hora de realizar acciones que impactaran la salud financiera de la organización.

6.2 PERSONAL

PERSONAL

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoria se
deben tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

Conocimientos de los sistemas más importantes.

6.1 ORGANIZACIÓN DEL ÁREA

ORGANIZACIÓN DEL ÁREA

Es la creación de una estructura, la cual determine las jerarquías necesarias y agrupación de actividades, con el fin de simplificar las mismas y sus funciones dentro del grupo social.

El lugar donde debe estar ubicado el centro de cómputo debe de cumplir una serie de
requisitos de entre los cuales podemos mencionar los siguientes:

Estar situado en un lugar donde no pueda acceder personal no autorizado.

Que no entre mucha luz natural.

Debe haber aire acondicionado.

No debe haber entradas de aire natural.

Extinguidores

Ruta de evacuación, etc

6. EVALUACIÓN DEL ÁREA DE COMPUTO

EVALUACIÓN DEL ÁREA DE COMPUTO

Los objetivos son evaluar la configuración actual, tomando en consideración las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática en la conservación de su programa.

Esta orientada a:

Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual, o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo.

Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso. Evaluar la utilización de los diferentes dispositivos perifericos.

Es la recolección y análisis de información relativa al rendimiento del sistema existente.

Permite localizar embotellamientos con rapidez.

Puede ayudar a decidir la forma de mejorar el rendimiento.

Puede ser útil para determinar la distribución de trabajos de varios tipos:

Permitiría aconsejar el uso de compiladores optimizadores o compiladores rápidos y sucios.

El controlador del rendimiento puede hacerse por medio de técnicas de hardware o software:

Los monitores de software: generalmente son económicos. Pueden distorsionar las lecturas del rendimiento debido a que consumen recursos del sistema.

Los monitores de hardware: generalmente son más costosos. Su influencia sobre la operación del sistema es mínima.

Los monitores: producen grandes cantidades de datos que deben ser analizados manualmente o por sistema. Indican con precisión como está funcionando el sistema. Son de mucha ayuda para evaluar sistemas en desarrollo y tomar las decisiones de diseño adecuadas.

5.6 PRODUCTIVIDAD

PRODUCTIVIDAD

La Auditoría de Productividad constará de una duración de 2 jornadas consecutivas en la instalación del cliente para la adquisición de datos.

La entrega del informe se realizará al final de la última jornada. En caso de que por necesidad de estudio del equipo auditor no se pueda entregar el informe en el acto, se convocará para otro día sin coste alguno para la empresa.

Al finalizar la Auditoría la empresa dispondrá de un informe con los resultados obtenidos, estructurado en dos partes; en la primera parte, se exponen las desviaciones y ratios de productividad reales analizados durante el estudio (estado actual en el que se encuentra la empresa):Nivel de Productividad Real del proceso o línea estudiado. Este nivel se calculará mediante el indicador internacional de productividad.Identificación de las tareas que no aportan valor en el proceso y causan la baja productividad y son susceptibles de eliminarse fácilmente (p. ejemplo: desplazamientos innecesarios del personal, almacenamientos intermedios de material, etc…)Identificación de los puntos negros que causan el sobre coste en la fabricación del producto.Conclusiones generales del equipo auditor.

En la segunda parte del informe, es donde se recogen las acciones propuestas por el equipo técnico de IPYC como medida para solucionar las desviaciones detectas y los malos índices de productividad.

Este plan de acciones sirve a la empresa como una hoja de ruta para empezar a trabajar en conseguir un aumento de la productividad en poco tiempo, ya que en la mayoría de las ocasiones las acciones a realizar son sencillas y no requieren apenas inversiones por parte de la empresa.

5.5 CONTROLES

CONTROLES

Control de puertas. El acceso solo debe permitirse a aquellas personas que opriman la secuencia correcta de botones, sistema de tarjetas, sistemas de gafetes, etc. Tratándose de sistemas digitales generalmente la secuencia es de 6 dígitos. Lo cual proporciona un millón de combinaciones diferentes.

Guardias de seguridad. Cerraduras de combinación, electrónicas o biométricas. Cerraduras para terminales Circuito cerrado de televisión Alarmas Puertas blindadas bajo sistemas de doble puerta Registro de visitante y gafetes de identificación Uso de credenciales - gafetes con fotografías Algunas consideraciones en la selección del sistema de control de acceso

son:

Margen de error.

Determinar el porcentaje tolerable de error del sistema a seleccionar; es decir, hasta cuantas veces se aceptara que el sistema niegue el acceso a una persona autorizada o lo permita a una que no lo esta.

Protección en caso de fallas en el suministro de energía eléctrica.

Resistencia a la manipulación o sabotaje Mantenimiento del sistema en buen estado

Flexibilidad para crecer en relación al crecimiento institucional.

Sencillez en su operación desde su instalación hasta su puesta en marcha Cantidad y frecuencia de a

cceso de acuerdo al trafico de entradas y salidas

5.4 SEGURIDAD Y CONFIDENCIALIDAD DE LOS EQUIPOS

SEGURIDAD Y CONFIDENCIALIDAD DE LOS EQUIPOS

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

Existen también diferentes definiciones del término Seguridad Informática. De ellas nos quedamos con la definición ofrecida por el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”

Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.

5.3 ORDEN EN EL CENTRO DE COMPUTO

ORDEN EN EL CENTRO DE COMPUTO

Formas de operar un centro de computo

Las formas de operar un centro de computo son consideradas por varios autores como simples restricciones, es decir, el encargado del centro de computo debe decidir (de acuerdo a las jerarquías existentes en el centro de computo) quienes tendrán acceso a todo tipo de información y quienes no lo tendrán de acuerdo al área del centro de computo en que desempeñan sus labores.

Principales departamentos

Departamento de operación

Este departamento es el encargado de operar y/ó manipular el sistema, los datos del mismo, y el equipo con que cuenta la empresa; en otras palabras el software y el hardware.

Departamento de producción y control

Este departamento se encarga de verificar que los programas o sistemas que se producen en el departamento de sistemas de computo estén correctamente estructurados.

Así mismo le compete a este departamento, probar el sistema ó programa tantas veces como sea necesario hasta estar seguro de su correcto funcionamiento.

5.2 MANTENIMIENTOS DE LOS EQUIPOS

MANTENIMIENTOS DE LOS EQUIPOS

Se trata de actividades tanto físicas como lógicas que buscan reducir la posibilidad de fallas en los equipos de cómputo (incluyendo no sólo computadoras, sino también el ratón, impresoras, teclados, pantallas, etc.) e inclusive la corrección de fallas menores.

1.- El Mantenimiento Predictivo (Adaptativo).

Consiste en hacer revisiones periódicas (usualmente programadas) para detectarcualquier condición (presente o futura) que pudiera impedir el uso apropiado y seguro del dispositivo y poder corregirla, manteniendo de ésta manera cualquier herramienta o equipo en optimas condiciones de uso.Modificaciones que afectan a los entornos en los que el sistema opera, por ejemplo, cambios en la configuración del hardware, software de base, gestores de bases de datos, comunicaciones, etc…”.

2.- El Mantenimiento Preventivo.

Es hacer los ajustes, modificaciones, cambios, limpieza y reparaciones (generalmente sencillos) necesarios para mantener cualquier herramienta o equipo en condiciones seguras de uso, con el fin de evitar posibles daños al operador o al equipo mismo.El mantenimiento preventivo permite detectar fallos repetitivos, disminuir los puntos muertos por paradas, aumentar la vida útil de equipos, disminuir costos de reparaciones, detectar puntos débiles en la instalación entre una larga lista de ventajas.

3.- El Mantenimiento Correctivo.

Es reparar, cambiar o modificar cualquier herramienta, maquinaria o equipo cuando se ha detectado alguna falla o posible falla que pudiera poner en riesgo el funcionamiento seguro de la herramienta o equipo y de la persona que lo utiliza.El mantenimiento correctivo o mantenimiento por rotura fue el esbozo de lo que hoy día es el mantenimiento. Esta etapa del mantenimiento va precedida del mantenimiento planificado.En esta etapa, "mantener" es sinónimo de "reparar" y el servicio de mantenimiento operaba con una organización y planificación mínimas (mecánica y engrase) pues la industria no estaba muy mecanizada y las paradas de los equipos productivos no tenían demasiada importancia al tratarse de maquinaria sencilla y fiable y, debido a esta sencillez, fácil de reparar. La política de la empresa era la de minimizar el costo de mantenimiento.

Este mantenimiento agrupa las acciones a realizar en el software (programas, bases de datos, documentación, etc.) ante un funcionamiento incorrecto, deficiente o incompleto que por su naturaleza no pueden planificarse en el tiempo.

Estas acciones, que no implican cambios funcionales, corrigen los defectos técnicos de las aplicaciones. Entendemos por defecto una diferencia entre las especificaciones del sistema y su funcionamiento cuando esta diferencia se produce a causa de errores en la configuración del sistema o del desarrollo de programas.

5.1 INVENTARIO DE EQUIPO

INVENTARIO DE EQUIPO

Ya sea que dirijas o seas parte del departamento de tecnología en una empresa o tengas una pequeña red doméstica, es importante saber qué hardware y software tienes en cada computadora que mantengas. Un inventario puede ayudarte a administrar y realizar un seguimiento de las compras, las versiones, los números de serie y licencias para las partes y el software, las fechas de garantía y los proveedores y las fechas de instalación, actualización o de eliminación. Mientras que los sistemas comerciales de inventario, formatean automáticamente las entradas para brindar facilidad de uso y control, también puedes utilizar hojas de cálculo sencillas para realizar la tarea.

5. EVALUACIÓN DE COMPUTO

EVALUACIÓN DE COMPUTO

os resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.

Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.

Instalaciones Eléctricas

Ergometría

Acciones Hostiles

Robo

Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.

Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.

La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora.

El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro

Fraude

Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.

Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.

Sabotaje

El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.

Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.

4.4 ANÁLISIS COSTO BENEFICIO DE LOS SISTEMAS CONTRA COSTO BENEFICIO OBTENIDO

ANÁLISIS COSTO BENEFICIO DE LOS SISTEMAS CONTRA COSTO BENEFICIO OBTENIDO

En esta parte del proyecto se consideran los costos de desarrollo del sistema, dado que no podríamos hablar de los costos de equipos para la implementación del sistema ya que la institución cuenta con una tecnología que le permite satisfacer los requerimientos de software y hardware. Tabla V.1. Equipos disponibles de la institución en la oficina de Secretaría General. EquiposCaracterísticas 1 Computador personalProcesador: Pentium III Disco Duro: 30 Gb. Memoria: 128 Mb de RAM. Monitor: 14'' VGA Mouse: De dos botones, Teclado: Estándar de 101/102 teclas. CD-ROMImpresora LX 300+Tipo matricial

Costos del Desarrollo del Sistema.

Los costos del desarrollo del sistema se dividen en: Costos de desarrollo del software, costos de equipo para el desarrollo, y otros costos adicionales. * Costos de desarrollo del software. Este costo lo constituyen el monto fijado por el personal especialista en el desarrollo del sistema. Costo (S/.) - Análisis, diseño, programación e implementación (S/. 1000.00 mes * 6 meses) S/. 6,000.00

* Costos de equipo para el desarrollo. Son todos los costos incurridos en el uso del equipo necesario para el desarrollo del sistema en un total de 6 meses. Costo (S/.) - Computador (s/. 1.00 hora * 8horas/día * 6 días/semana * 4semanas/mes * 6 meses) S/. 1,152.00 - Impresora (Pruebas y Reportes) (s/.0.50 hoja * 100 hojas máximo) S/. 50.00 Total S./1,202.00

* Otros costos. Estos son todos los costos que incluyen materiales de oficina y algunos imprevistos. Costo (S/.) - Materiales de Oficina S/. 200.00 - Imprevistos S/. 100.00 S/. 300.00

La siguiente tabla es un resumen de los costos del desarrollo del sistema. Tabla V.2. Costos del Desarrollo del sistema COSTOSTOTAL(S/.)Costos de desarrollo del software 6,600.00Costos de equipo para el desarrollo 1,202.00Otros Costos 300.00TOTAL 8,102.00

Costos de Mantenimiento del Sistema

Los costos de mantenimiento del sistema involucran la administración diaria del sistema, la que se encontrará a cargo del administrador (rol a cargo del jefe del laboratorio de cómputo de la institución) y usuario del sistema (rol desempeñado por el asistente del Secretario Docente). Estos costos están asociados a la organización interna de la institución.

Beneficios

Los beneficios del sistema de información se manifiestan de muchas formas, entre ellos tenemos los beneficios tangibles e intangibles. El nuevo sistema de información se ha proyectado para una vida útil de 5 años, teniendo como base los siguientes criterios: * En todos los años de fundación de la institución, no se han realizado cambios relevantes en la forma de llevar a cabo el proceso, por lo que considerando el historial académico de la organización se estima que la posibilidad de realizar cambios en el proceso académico sea aproximadamente de 5 años. * Dirección ha requerido operar el sistema de información con datos históricos (3 años antes a partir del funcionamiento del sistema). * El nuevo sistema de información está desarrollado en una metodología y una tecnología que permitirá incorporar las nuevas demandas de información por parte del personal académico.

Beneficios Tangibles En nuestro caso, son aquellos beneficios que se pueden comprobar en términos de tiempo y economía.

* Beneficios obtenidos del ahorro de tiempo

En la tabla V.3, se compara los tiempos efectuados en una actividad académica durante el sistema manual y el sistema de información, en la cual podemos apreciar que el sistema de información frente al sistema manual, ofrece significativamente un ahorro de tiempo en cada una de las actividades mencionadas. Las comparaciones se han hecho considerando como base que el personal académico tiene una jornada de 8 horas diarias.

Tiempo. (min.)Tiempo. (min.) a)Obtener información personal de un alumno. 201En un día aproximadamente se busca información de 5 alumnos, lo que implica usar 100 min. diarios en el sistema manual, mientras que con el nuevo sistema 6 min. diarios.94 min. por día b) Obtener y elaborar un informe del cuadro de Distribución Académica.305Una vez ingresados los datos acerca de la Programación académica, el sistema de información puede mostrar un informe general o generar un informe de por docente en el momento que lo requiera.25 min. c) Obtener una relación de todos los deudores por concepto de matricula.301Información rápida y segura en el momento necesario.29 min.d) Matricula de un alumno.204Si el sistema manual implica usar 20 min. por alumno, eso implica atender 24 alumnos por día mientras que el otro implica atender 120 alumnos por día.384 min. por día.e) Inscripción de cursos por alumno.3015La inscripción de cursos de un alumno se lleva a cabo aproximadamente en 30 min. en el sistema manual esto implica atender 16 alumnos en un día, mientras que el otro implica atender a 32 alumnos.240 min. por día.f) Ingreso de notas por acta.305El ingreso de notas para la elaboración de actas en el sistema manual implica elaborar 16 actas en un día. 400 min. g) Obtener el historial académico de un alumno.302En un día se podrá atender a más de 16 alumnos.448 min. por día.h) Obtener boleta de notas semestrales por alumno.102El sistema manual podrá atender en un día 48 alumnos, mientras que el sistema de información atenderá a 240 alumnos en un día.384 min.i) Obtener informe de alumnos con asignaturas a cargo y/o repitencia.302Se podrán realizar otras actividades. 28 min. en un día.j) Elaborar cuadros de merito.2402El elaborar un cuadro de meritos le lleva aproximadamente 4 horas al sistema manual.238 min.k) Servicios académicos 2402El nuevo sistema puede elaborar informes (certificados, horarios por alumno) en un mínimo tiempo de aproximadamente 2 min.238 min.

* Beneficios económicos

Teniendo en cuenta que el objetivo primordial de la institución al aprobar el presente proyecto, es lograr un considerable ahorro de tiempo, el que se expresará en términos económicos, es por ello que considerando que el sueldo neto del personal académico es de S/.800.00 mensuales en un jornada de 8 horas diarias de trabajo. Hemos calculado que el costo del personal académico es de S/.0.067 por minuto (S/.800.00/mes * 1 mes/5semanas * 1 semana/5días * 1día/480minutos). Asimismo, se ha considerado que el personal académico opera 300 días al año (12 meses/año * 5 semanas/mes * 5 días/semana). Estos aspectos se utilizarán como base para hallar el beneficio obtenido en el desarrollo de algunas actividades en un lapso de un año (ver tabla V.4).

A estos beneficios se añaden los siguientes beneficios: - Ahorro de energía.- Aunque las horas extras no implican pago de personal ya que mayormente la institución requiere de personal de apoyo (alumnos practicantes), pero por cada hora extra en el sistema manual hay un consumo extra de energía, lo que con el sistema de información ya no seria necesario, proporcionado un ahorro anual de S/.80.00. - Papel e impresiones.- El costo del sistema anterior significativamente se ha convertido en un ahorro anual de S/.100.00. Tabla V.5. Resumen de los beneficios económicos BeneficiosTotal (S/.)Actividades13 446.90Ahorro de energía 80.00Papel impresiones 100.00Total (S/.)13 626.90

Beneficios Intangibles

* El IST "MYE", cuenta con una información organizada, que le permitirá contar con información oportuna en forma más rápida y segura. * Secretaría General tiene la posibilidad de ofrecer a los alumnos un eficiente servicio académico. * Garantizar seguridad a la información a través de los usuarios. * Automatizar y llevar un mejor control de los procesos académicos principales. * Reducción de pérdidas de información y facilidad para realizar cambios.

4.3 SEGURIDAD DE LOS SISTEMAS

SEGURIDAD DE LOS SISTEMAS

Fundamentos de Seguridad Informática

Servicios de Seguridad Informática

Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio.

Clasificación

Una clasificación muy utilizada de los servicios de seguridad es la siguiente:

Confidencialidad
Autenticación
Integridad

Confidencialidad

Servicio de seguridad o condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. También puede verse como la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él.

La confidencialidad es importante porque la consecuencia del descubrimiento no autorizado puede ser desastrosa. Los servicios de confidencialidad proveen protección de los recursos y de la información en términos del almacenamiento y de la información, para asegurarse que nadie pueda leer, copiar, descubrir o modificar la información sin autorización. Así como interceptar las comunicaciones o los mensajes entre entidades.

Autenticación

Es el servicio que trata de asegurar que una comunicación sea auténtica, es decir, verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos también sean correctos.

Algunos métodos de autenticación son:

Biomédicas, por huellas dactilares, retina del ojo, etc.

Tarjetas inteligentes que guardan información de los certificados de un usuario

Métodos clásicos basados en contraseña:

Comprobación local o método tradicional en la propia máquina

Comprobación en red o método distribuido, más utilizado actualmente

Integridad

Servicio de seguridad que garantiza que la información sea modificada, incluyendo su creación y borrado, sólo por el personal autorizado.

El sistema no debe modificar o corromper la información que almacene, o permitir que alguien no autorizado lo haga. El problema de la integridad no sólo se refiere a modificaciones intencionadas, sino también a cambios accidentales.

4.2 CONFIDENCIALIDAD DE LOS SISTEMAS

CONFIDENCIALIDAD DE LOS SISTEMAS

4.1 DOCUMENTACIÓN Y ESTÁNDARES

DOCUMENTACIÓN Y ESTÁNDARES

Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.

Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.

En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:

Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.

Presentar informes a las partes interesadas.

Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.

Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició.

Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.

•Auditoría de la dirección (Plan Estratégico de Sistemas)

•Auditoría del desarrollo (gestión de proyecto)

•Auditoría de la Adquisición

•Auditoría Seguridad (Seguridad Física – Plan de Contingencias, evaluación de riesgos, seguridad lógica)

•Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)

4. EVALUACIÓN DE SISTEMAS

EVALUACIÓN DE SISTEMAS

Es un proceso formal que es llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

•La creciente dependencia en información y en los sistemas que proporcionan dicha información.

•La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de información

•La escala y el costo de las inversiones actuales y futuras en información y en tecnología de información;

•El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.

—

3.6 ORGANIZACIÓN DEL ÁREA DE AUDITORIA EN INFORMÁTICA

ORGANIZACIÓN DEL ÁREA DE AUDITORIA EN INFORMÁTICA

•Departamento de Auditoría Interna.

•Independencia Funcional
•Coordinación con Auditoría Tradicional

•Dirección de Informática
•Dependencia Funcional
•Problemas de administración por parte del Gerente de Informática
•Brinda mayor apoyo al área de informática

•Staff de la Gerencia General
•Mayor apoyo a la alta dirección
•Mayor compromiso con los objetivos del negocio
•Problemas para el seguimiento de las actividades del área por parte de la Gerencia General

•Externa
•Imposibilidad de contar con un área propia
•Mayor experiencia y amplitud de visión
•Mayor nivel tecnológico y de conocimientos
•Problemas con el conocimiento del negocio

DICTAMEN DE LA AUDITORIA

- El informe debe incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.

- El Informe debe consolidar los hechos que se describen en el mismo.

El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios:

El hecho debe poder ser sometido a cambios.

Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.

No deben existir alternativas viables que superen al cambio propuesto.

La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.

La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida.

Flujo del hecho o debilidad:

1 – Hecho encontrado.

- Ha de ser relevante para el auditor y pera el cliente.

- Ha de ser exacto, y además convincente.

- No deben existir hechos repetidos.

2 – Consecuencias del hecho

- Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

3 – Repercusión del hecho

- Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.

4 – Conclusión del hecho

- No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja.

5 – Recomendación del auditor informático

- Deberá entenderse por sí sola, por simple lectura.

- Deberá estar suficientemente soportada en el propio texto.

- Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación.

- La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

Carta de introducción o presentación del informe final:

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.

Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción.

ANALISIS, EVALUACION Y PRESENTACION DE LA AUDITORIA

ANÁLISIS, EVALUACIÓN Y PRESENTACIÓN DE LA AUDITORIA

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definición de objetivos y alcance de la auditoría.

Enumeración de temas considerados:

Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.

Cuerpo expositivo:

Para cada tema, se seguirá el siguiente orden a saber:

a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real

b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.

c) Puntos débiles y amenazas.

d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática.

e) Redacción posterior de la Carta de Introducción o Presentación

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contra medidas ante amenazas a los recursos e información confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Angeles, EE.UU.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.

No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.

OBTENCIÓN DE INFORMACIÓN

Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe empezar la recolección de la información.

Se procederá a efectuar la revisión sistematizada del área a través dela observación y entrevistas de fondo en cuanto a:

A) Estructura Orgánica

B) Se deberá revisar la situación de los recursos humanos.

C) Entrevistas con el personal de procesos electrónicos.

D) Se deberá conocer la situación presupuestal y financiera.

E) Se hará un levantamiento del censo de recursos humanos y análisis de situación.

F) Por último, se deberá revisar el grado de cumplimiento de los documentos administrativos.