RECOLECCIÓN DE INFORMACIÓN

Como ya se explicó anteriormente, la primera etapa es el recolectar información de la empresa donde se desea implementar el SI, por lo que es necesario conocer las diversas técnicas que existen para ello; y que posteriormente nos permitirán elegir la que mejor nos convenga.

A continuación les presento una presentación que encontré en You Tube que explica de forma rápida y sencilla cada una de las técnicas.

TECNICAS DE RECOLECCION DE DATOS ROMERO

Uploaded on authorSTREAM by aSGuest14380 | Upload your own presentation

Una vez que ya se analizaron cada una de las técnicas el siguiente paso a seguir será determinar cuales serán las preguntas básicas con las que se debe partir para recolectar la información del SI.

Algunas preguntas que les sugiero no deben faltar son:

Explique las actividades que componen el proceso que desempeña

¿Ha notado algún problema (lento, perdida de información, falta de información etc?

¿Cuantas personas participan en el proceso?.

Existen cuellos de botella en alguna parte del proceso.

¿Cuales formatos le ayudan al desempeño de sus actividades?

¿Como lleva el control de dichos formatos.?

¿Que mejoras propondría en el proceso y porque?

Recuerda que las preguntas que se presentaron solo son la base para empezar con la recolección de la información, pero que en gran medida conforme se vaya obteniendo información por parte de los usuarios, estas preguntas se deberán de ir complementando con la finalidad de tener un panorama mas completo y poder detectar mas rápidamente la problemática de la empresa y poder dar una solución a la misma.

Nota.-  Se recomienda que independientemente de la técnica que hayas elegido, complementes la misma con la observación ya que te permite contrastar información obtenida al momento de la aplicación de la entrevista o del cuestionario.

CICLO DE VIDA DE SISTEMAS

Modelo en cascada mediante el cual se presentan las diferentes fases (planeación, análisis, diseño y programación, implementación, pruebas y mantenimiento)  por las cuales tiene que pasar un desarrollador de sw (licenciado en sistemas, ingeniero en sistemas etc), que le permite desarrollar satisfactoriamente un sistema de información.  A continuación se presenta un esquema que ejemplifica mejor lo anterior.

Para complementar este tema se recomienda consultar otros modelos de desarrollo de sw: Estructurado, Espiral y Prototipo. Aunque se maneje comúnmente el de cascada el consultar otros modelos nos permite complementar el que se se maneja.

CARACTERISTICAS:

•Implantación Ascendente

• Las fases deben sucederse de manera Secuencial

• El usuario no ve resultados, sino hasta el final

• El usuario o el ambiente pueden cambiar las

especificaciones originales del sistema.

• Presenta numerosos problemas Analista-Usuario

• Manejable como proyecto

DETALLE DE CADA FASE:

ANALISIS	Estudio Preliminar Levantamiento de Información Definición del Problema Elaboración del Modelo Funcional del Sistema actual Determinación de Requerimientos Descripción y Evaluación de Alternativas Aprobación de alternativas
DISEÑO	Elaborar Modelo funcional del Sistema propuesto. Diseño Lógico Elaboración y presentación del prototipo. Aprobación del sistema propuesto.
IMPLEMENTACIÓN	Desarrollo de Sw: Prueba del Sistema: Diferentes desarrolladores y usuarios del sistema. Puesta en Marcha
PUESTA EN MARCHA (Actividad de traslado de una aplicación probada a un ambiente de trabajo)	Acondicionamiento de locales. Organización del Cliente Entregar aplicación probada Adiestramiento Carga de datos en vivo Entrega de documentación Asignar Responsabilidades

ANALISIS Y DISEÑO DE SISTEMAS

Lo primero que se tiene que hacer cuando se crea o implementa un sistema de información en una empresa, es tener claro ¿Qué es? como respuesta tenemos que es un software o programa que debe cumplir con cuatro puntos en especifico que son:

Entrada de información: esta acción resulta en el ingreso de datos en el sistema de información. Puede realizarse de manera manual o automática. La primera es con intervención del usuario del sistema, la segunda es la toma de datos desde otros sistemas de información. En un ordenador las entradas de datos son los puertos USB, scanner, lectoras de CD, DVD, diskette…etc.

Almacenamiento de Información: esta es una de las funciones fundamentales de los sistemas de información ya que  debido al enorme beneficio que ofrecen en cuanto registran y guardan la información de cada proceso que realizan en distintas estructuras diseñadas funcionalmente para este fin. En nuestro ejemplo del ordenador, son el disco duro y CD-ROM las unidades que realizan esta acción.

Procesamiento de información.- Depende de las capacidades que el sistema de información contenga en cuanto a la demora de esta acción.

Salida de la información.-  Tiene la función de sacar los datos ingresados o ya procesados. Dicha información se puede presentar de varias formas en pantalla, impresora, dirigida hacia otros sistemas de información etc.

TIPOS DE SISTEMAS DE INFORMACIÓN

La clasificación principal de los sistemas de información va directamente relacionada con los departamentos clave de cualquier empresa ya que dichos sistemas deben de responder a las necesidades  de cada uno.  A continuación se presenta un esquema representativo de lo anteriormente mencionado con el fin de clarificar mejor la idea.

TRANSACCIONALES: Integrar procesos de la organización.

- Ventas

- Mercadotecnia

- Administración

- Finanzas

- Recursos humanos

- Proceso de base de datos

- Contabilidad general

- Facturación

- Cuentas por pagar

- Entre otras

- Comercio electrónico :

- Facturación electrónica

- Teletrabajo

ESTRATÉGICOS: No apoya a la organización en la parte de transacción; Sirve para generar cosas nuevas en la organización , así ser competente en el mercado y no decaer ante otras empresas.

- No automatización

- Innovación de productos – ventajas competitivas

- Barrera de entrada de negocio

- Base de incrementos.

SISTEMAS DE APOYO EN LA TOMA DE DECISIONES: Apoya a la alta gerencia para la buena toma de decisión.

- Sistemas de soporte a las decisiones (PSS) – empleados de niveles intermedios , no trascendentes , ayuda de base para la toma de algunas decisiones.

- Sistemas de información para expertos (EIS) – para ejecutivos, información detallada e importante, toma de decisiones a nivel experto.

- Sistemas de información con soporte a grupos (GDSS) – Los grupo toman información, la procesan y la utilizan en la misma empresa o de forma remota.

- Sistemas expertos.

CONTINGENCIAS EN UN CENTRO DE COMPUTO

Como parte de nuestra documentación debería de incluirse en cualquier departamento un manual que especifique cuales con las posibles contingencias que se pueden sucintar en el departamento y como poder darles una adecuada solución.

Acontecimientos pueden provocar alarmas de un centro de computo

◦ Fuego causado por la electricidad

◦ Fuego causado por ignición de fuego con papel

◦ Inundaciones

◦ Sismos

◦ Humo

Pasos  que deben tomarse para prevenir esas alarmas

◦ Mantener todas las salidas eléctricas tapadas con plásticos de seguridad sino se necesitan constantemente.

◦ Mantener un extinguidor cerca y a la vista de cualquier individuo funcionando

◦ Tener luces de emergencias

◦ No tener cables innecesarios conectados a la corriente alterna

◦ No mantener en el centro de computo fósforos, encendedores, o cualquier otra cosa que pueda provocar un incendio (incluir en reglamento del centro para asegurarse de su cumplimiento)

◦ No fumar dentro de las instalaciones (incluir en reglamento)

◦ Mantener el centro de computo alejado de las tuberías de agua.

 Verifican cada una de esas alarmas

▪ Periódicamente. (semanal, mensual, bimestral, etc)

▪ Técnicos en el área de cada alarma deberá revisarlas con diferentes pruebas

▪ Remplazar sistemas de alarmas que ya no estén funcionando

Procedimientos de solución si una alarma se convierte en un acontecimiento real

Primero que todo importa la vida del personal. Luego de ello se necesitara guardar rápidamente todas las transacciones realizadas últimamente en un servidor fuera de las instalaciones de la empresa. Además si un servidor esta en la empresa como servidor de acceso rápido se deberá tratar de mantener lo mas seguro posible.

Definir el puesto o persona que será el responsable para resolver el acontecimiento

Previamente se capacitara un grupo del personal para tratar este acontecimiento. Estas personas serán elegidas en base a su experiencia en la rama. Por ejemplo, en el equipo se deberá tener un administrador de servicios de red el cual tratara todas las posibles soluciones para crear, manipular, restaurar la base de datos desde un servidor. Además otro experto en bases de datos el cual mantendrá todos los datos que a la empresa interese a salvo.

Tareas de recuperación puede ser iniciadas antes de que el acontecimiento sea resuelto

Todas las bases de datos que requiere la empresa para su operación deben ser recuperadas. Pero principalmente se debe verificar si todos los datos están disponibles inmediatamente para ser utilizados en la empresa y revisar que no hay perdidas.

Emitir una reporte de evaluación de contingencia.

Dicho reporte deberá de tener la siguiente información.

Nombre del responsable del equipo de contingencias

Fecha y hora de la contingencia

Tipo de contingencia.

Departamento afectados

Personal involucrado

Acciones tomadas

Evaluación de las acciones tomadas durante la contingencia

ORGANIZACION Y OPERACIÓN DE CENTROS DE COMPUTO

Objetivo de un Centro de computo

Prestar servicios a diferentes áreas de una organización ya sea dentro de la misma empresa, o bien fuera de ella, tales como: producción, control de operaciones, captura de datos, programación, desarrollo de sw, etc

La Planeación en un centro de computo es de primordial importancia por lo que a continuación cito algunos de los niveles mas importante.

 

PLANEACION ESTRATEGICA

Se refiere a las estrategias a seguir en la construcción del centro de Cómputo. ¿Porqué construirlo?. Cuando se responde a este cuestionamiento, pueden inferirse los caminos a seguir para la construcción del mismo.
Como apoyo a este punto es importante considerar lo 10 puntos específicos necesarios para la implantación de un centro de computo.
PUNTOS QUE DEBE VERIFICAR EN UN CENTRO DE COMPUTO:
1. Vea a futuro.
2. Mantenga su diseño sencillo.
3. Sea flexible
4. Piense modularmente.
5. Use unidades de racks
6. Proteja el acceso a su centro de cómputo.
7. Etiquete
8. Mantenga todo cubierto o cerrado.
9. Desee lo mejor para su centro de cómputo, planeé para lo peor.
10. Realice un buen análisis costo-beneficio

Nota.-  En esta parte del trabajo es donde se tiene que desarrollar la estructura organizacional, cimentada en los puntos anteriores: Misión, Visión, Misión, Filosofía, Organigrama.

 

PLANEACION DE RECURSOS

Con la finalidad de justificar cualquier proyecto no solo un centro de computo es importante contar con un estudio costo beneficio, para conocer a detalle cual seria la inversión, ventajas y tiempo de recuperación de la inversión.

Dentro de este ámbito deben considerarse los recursos económicos que va a requerir la construcción del centro de Cómputo. ¿Cuanto dinero se va a ocupar?. 

PLANEACION OPERATIVA

Consiste en realizar un detallado análisis de necesidades de la empresa y definir en base a estas necesidades una plataforma tecnológica con una infraestructura en hardware, software, personal operativo, etc. que soporte las operaciones de la empresa y se utilice como el medio de procesamiento de información.

Nota.-  En el punto de personal operativo solo es mencionar que puestos son los que se van a requerir y cuantas personas, las descripciones de puesto se incluyen en la planeación de personal.

En esta parte se tendrá que considerar el determinar cuales serán los departamento que conforman un cetro de computo y determinar la función de cada uno de ellos. A continuación se listan los departamentos básicos en un centro de computo:
Administración y Control
Sistemas de Información
Soporte
Mantenimiento
Análisis y Diseño de sistemas
Programación
Capacitación
Telecomunicaciones
Diseño web

Responde a la preguntas: ¿Como va a funcionar el Centro de Cómputo?, ¿Que Software será necesario?, ¿Que Hardware se requerirá?, ¿Que servicios va a prestar?, etc.

PLANEACIÓN DE PERSONAL

Es importante saber que puestos se requerirán en el centro de computo, pero igual de importante será el tener una descripción de los mismos, asi como de la persona que lo ocupara (perfil) , esta planeación se desprende directamente de la operativa ya que de no contar con esta la de personal no se puede realizar.  Tu puedes hacer tu propio formato de descripción de puesto pero sera importante que no olvides incluir algunos puntos que son basicos tanto para la descripción como para el perfil:

DESCRIPCION DE PUESTO:

Código del Puesto
Nombre del Puesto
Misión del Puesto
Objetivos específicos
Funciones especificas por puesto

Entorno operativo (relaciones con otros puestos ya sea dentro o fuera del departamento)
Información que se genera

PERFIL DE PUESTO:
Escolaridad (Nivel de estudios y grado de avance)
Áreas del conocimiento que maneja.
Experiencia laboral (empresa, tiempo de trabajo, puesto, funciones)
Condiciones de trabajo (ergonómicas, turno, horario, condiciones de estrés)
Capacidades gerenciales (visión estratégica, liderazgo, Orientación a resultados, trabajo en equipo, negociación) nivel de dominio.
Capacidades técnicas (Deberán ser acordes al departamento donde se asigne el puesto)

PLANEACIÓN DE LAS INSTALACIONES FISICAS.

Si la estructura organizacional de nuestro centro de computo se considera importante podemos encontrar a la par a la de instalaciones físicas, ya que si no se hace un adecuado diseño de los espacios (personas, materiales, equipo hw y sw.
Depende de muchos factores, entre los que podemos citar: el tamaño de la empresa, el servicio que se pretende obtener, las disponibilidades de espacio físico existente o proyectado, etc. Se tiene en cuenta las siguientes preguntas: ¿En donde estará ubicado en Centro de Cómputo?, ¿Cuantas secciones será necesario construir?, ¿En donde se colocará el Centro de carga?, ¿En donde serán ubicados los servidores o la macrocomputadora?, ¿Que condiciones de ventilación serán necesarias?, etc.

Nota:  Como parte de este tema se tendrá que considerar la ergonomía misma que se tocara mas adelante porque se tiene que especificar todos los puntos, antecedentes, equipo, personal (ejercicios para un mejor desempeño), colores, ventilación, iluminación. etc.

En la siguiente imagen, se muestra un plano arquitectónico de un centro de computo:

ESTANDARES NECESARIOS EN UN CENTRO DE COMPUTO

Es necesario llevar un estricto control de todo lo relacionado con el centro de computo, por lo que es necesario el establecimiento de estándares para el centro de computo se requieren 2 específicamente (métodos y desempeños).  A continuación se explica mas ampliamente cada uno.

Estándares de Metodos.-  Son utilizados para establecer practicas uniformes y tecnicas comunes.

Estandares de Desempeño.-  Miden el desempeño de la función del procesamiento de datos. Se apoya en las siguientes preguntas:

¿En base a que defines los objetivos generales y particulares de un centro de computo?

¿Como diseñaras la estructura del centro de computo para que cumpla estos objetivos?

¿Tus perfiles de puesto actúan en función de los departamentos que conforman tus centros de computo?

¿Que elementos consideraras para hacer el presupuesto de un centro de computo?

 

CATEGORIAS DE PROCEDIMIENTOS

PROCEDIMIENTOS ADMINISTRATIVOS.-  Consisten en secuencias o actividades claramente definidas, los procesos administrativos tienden a ser flexibles y son frecuentemente establecidos como normas.

PROCEDIMIENTOS DE OPERACIONES.-  Cada estación en el centro de computo deberá de contar con procedimientos específicos para el procesamiento de tareas .

PROCEDIMIENTOS DEL SERVICIO DE SOPORTE.-  Este tipo de procedimientos comprenden el monitoreo, la evaluación y corrección de funciones en el centro de datos.

CONTROLES NECESARIOS EN UN CTO. DE COMPUTO

Actividades de procesamiento

Calidad de procesamiento

ACTIVIDADES DE PROCESAMIENTO.-  Estos procedimientos no solo indican las acciones requeridas, también indican cuando estas acciones son tomadas y por quien.  Los estándares anteriormente mencionados soportan la consistencia y la confiabilidad del procesamiento.

“ Si los estándares son ausentes o definidos vagamente, el control de procesamiento se vuelve incierto y poco confiable”

CALIDAD DE PROCESAMIENTO.-  No solo es necesario cuidar la adecuada realización de las actividades de procesamiento es necesario el controlar aspectos concernientes a la calidad del mismo, entre los principales puntos podemos considerar: Tiempo, forma, servicio oportuno, adecuado, veracidad de información etc.

DOCUMENTACIÓN DEL CENTRO DE COMPUTO

La eficiencia y el costo de la operación de un centro de computo se ven seriamente afectados por la calidad e integridad de la documentación requerida para el proceso.  Los controles de documentación cumplen los siguientes propósitos:

*  Mejorar la comunicación

*  Es una guía para el mantenimiento, modificación y recuperación de sistemas.

*  Proporcionar material de referencia sobre lo que ha sucedido en el pasado.

*  Sirven como herramienta de capacitación del personal.

En contraste a continuación se presentan las consecuencias que representaría para el centro de computo el no contar con documentación.

*  Operaciones ineficientes.

*  Aumento en esfuerzos redundantes.

*  Decepción no solo del personal del centro sino de los usuarios del mismo.

A continuación se lista la documentación que se encuentra directamente relacionada con un Sistema de Información, cabe mencionar que estos sistemas forman parte del centro de computo pero que guardan una relación mas estrecha con lo que seria el área de Análisis y Diseño de sistemas que podemos encontrar como parte de dicho centro de computo.

*  Documentación general de sistemas.-  Es una guía que proporciona información general al usuario para interactuar con el sistema.

*  Documentación de procedimientos.-  Consta del manual de procedimientos el cual introduce a todo el personal de operación, programación y de sistemas en el plan maestro del sistema, este manual se actualiza mediante el empleo de guías periódicas. (Mapeo de Procesos)

*  Documentación de Programa.-  Lo componen todos los documentos diagramas y esquemas que explican los aspectos del programa. (Manual de Sistema)

MANUAL DE ESTANDARES Y PROCEDIMIENTOS

Es recolectada usualmente en una bandeja y se les da el titulo tal cual aparece en el manual de estándares y procedimientos del centro de computo .  Cualquiera que sea el titulo utilizado, las funciones y el contenido del manual son básicamente las mismas para todas las instalaciones.  Debería contener todas las cuatro categorías de estándares y sus procedimientos asociados.  Así de esta forma este manual podrá ser utilizado como guía del centro de computo, pero sin perder de vista que se requieren los 3 tipos de documentación antes mencionados. 

MANUAL DE USUARIO

Provee a los usuarios  con una idea acerca de los requerimientos y funcionamiento del centro de computo, esta idea permite la coordinación de actividades y soporta el desarrollo de confianza entre usuarios y el personal del centro de computo.

Esta documentación es llamada el libro de mano/centro de datos o simplemente libro de mano de usuario.  El libro de mano debería empezar con una carta de administración indicando el soporte de los estándares contenidos, después se explica el soporte y los libros anticipados, indicando como los usuarios se benefician con el cumplimiento de los estándares. Si estos cuatro tipos de documentación son desarrollados detalladamente se podrá decir que se cuenta con un centro de computo con altos niveles de calidad.

FORMATOS DE CONTROL (auditoria)

Anteriormente se toco un tema muy importante en la auditoria como lo es la planeación de la misma en la cual tenias que considerar varios puntos (equipo, programas, seguridad, personas etc).

La mejor forma de llevar a la practica esto es por medio de formatos que le permitan al auditor evaluar lo mejor posible cada una de las areas que competen al dpto. de informatica.

PASOS PARA REALIZAR UN BUEN FORMATO DE CONTROL

1.-  Definir el tipo de control que se quiere realizar (equipo, personas, procesos, seguridad etc.)

2.-  Definir el área que se evaluara con ese control (recuerda que necesitas hacer una investigación previa si no manejas la información)

3.-  Hacer una subdivisión en los mismos formatos (cuando la información es muy extensa).

4.-  Todos los formatos deberán de llevar una clave de control. (principal y sus subdivisiones).

5.-  Se recomienda que el formato sea evaluado por mas de una persona (ya que así se tendrá una visión mas objetiva).

6.-  Revisar que el formato efectivamente evalué y no encueste (ya que es un error muy común en el que caen los auditores).

7.-  Todos los formatos deberán de tener guardar un mismo formato (por cuestiones de imagen).

8.-  Para todos y cada uno de los controles que se mencionan en el tema de preparando una auditoria deberá de considerarse un formato en especifico. (puedes complementar dichos temas mas no quitar alguno).

9.-Todos los formatos deberán de ser medibles.

10.-  Realizar una escala de evaluación para cada formato con la finalidad de poder emitir un resultado (aplica o no aplica), recuerda que no es algo que puedas asignar un valor.

LO QUE NO PUEDES OLVIDAR:

1.-  Titulo del Formato

2.-  Clave

3.-  Instrucciones de llenado

4.-  Nombre y cargo de la persona que lo aplica

5.-  Nombre y cargo de la persona a quien se aplica

6.-  Fecha de aplicación (inicio y termino)

7.-  Al finalizar las evaluaciones se debera de entregar un reporte por formato donde puedan apreciarse concretamente los resultados del mismo.

Recuerden que si los formatos son deficientes el proceso de auditoria también lo será.

PUNTOS A CONSIDERAR EN UN REPORTE DE EVALUACION

Nombre y clave del reporte

Nombre(s) de la(s) persona(s) que realizo el vaciado.

Incluir escala de ponderaciones

Mostrar los resultados en una tabla (deberá de aparecer el rotulo correspondiente a cada valor)

Incluir una grafica comparativa que nos permita hacer una evaluación general de los resultados

Entregar un reporte de recomendaciones (consultar llenado de este reporte)

A continuación se muestra un reporte ya terminado para que puedas utilizarlo como referencia.

Recuerda que todo reporte debe de ir acompañado de una grafica comparativa, la grafica que corresponde al reporte de hardware anterior es.

Haciendo Graficas

Como bien sabemos el arte de hacer una grafica esta la conformación de la tabla de datos recuerda que si tienes errores desde esta parte te sera muy dificil la creación de un grafico.

A continuación, te muestro un video en el cual se explica paso a pasa el proceso a seguir en la creación de una grafica, asi como las diversas propiedades (titulo, series, valores, formato etc)

Entre los estilos de gráficos mas utilizados podemos encontrar las barras, columnas, pastel y dispersión (cada uno de los tipos anteriores se pueden presentar en 3D).

INSTITUTO MEXICANO DE PROPIEDAD INDUSTRIAL

 

¿Que importancia tiene el IMPI?

El IMPI tiene como objetivo proteger los derechos de propiedad industrial y promover y difundir los beneficios que ésta ofrece para apoyar la actividad inventiva y comercial de nuestro país, impulsando la creación y desarrollo de nuevas tecnologías en beneficio de toda la sociedad.

Cuando tu como programador decides sacar al mercado un software propio deberás tener en cuenta dos cosas principalmente.  Proteger el producto como tal  y Proteger la marca.

Consulta la siguiente liga donde encontraras toda la normatividad para patentes. http://www.impi.gob.mx/wb/IMPI/patentes_3 y con lo que respecta a la proteccion de la marca se recominenda consultar la siguiente pagina. http://www.impi.gob.mx/wb/IMPI/marcas_descarga.

 

A manera de ejercicio se recomienda al docente que vaya a impartir esta materia diseñe un ejercicio donde sus alumnos puedan hacer una simulación tanto de registro de marca como de programa.

¿COMO PROTEGERME DE LA PIRATERIA?

En Marzo de este año, con apoyo de la Procuraduría General de la República (PGR), el Instituto Mexicano de la Propiedad Industrial (IMPI), la Asociación Nacional de Distribuidores de Tecnología Informática (ANADIC), y la Asociación Mexicana de Integradores de Soluciones y Servicios Informáticos (AMISSI), la BSA anunció el lanzamiento de la campaña "Integrando un México legal” que tiene como propósito fomentar el uso y la comercialización correcta de los programas de cómputo impulsando el desarrollo de la Industria de Tecnologías de Información en México, evitando y sancionando la competencia desleal en que incurren los integradores y distribuidores ilegales para protección de los usuarios finales.

ACERCA DE LA BSA

Business Software Alliance (BSA) es la organización que más se destaca por promover un mundo en línea seguro y legal.

Somos la voz de los sectores de software, hardware e Internet del mundo ante los gobiernos y los consumidores en el mercado internacional. Los miembros de BSA representan a las industrias de más rápido crecimiento en el mundo.

BSA entrena a los usuarios de ordenadores acerca de los derechos de autor y la seguridad cibernética, aboga por la política pública que promueve la innovación y expande las oportunidades comerciales, y combate la piratería de software.

Establecida en 1988, BSA tiene programas en 80 países.

ALGUNAS DE LAS MARCAS PROTEGIDAS SON:

A continuación te muestro un video muy interesante en el cual puedes hacer un poco de conciencia sobre el tema de la piratería.

“NOVEDADES EN AUDITORIA”

La información es el activo más valioso que poseemos en la sociedad actual. Ésta es cada vez más importante para el desarrollo de las empresas y de negocios exitosos a través de la implementación de sistemas de información. Para proteger la información surge una nueva ciencia, la Informática Forense; ésta persigue objetivos preventivos así como reactivos, una vez se ha dado una infiltración en el sistema.

INFORMATICA FORENSE

Es una ciencia relativamente nueva y no existen estándares aceptados. Existen proyectos que están en desarrollo como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence.

OBJETIVOS QUE PERSIGUE:

• Permite realizar un rastreo de la intrusión y poder descubrir el daño realizado. Así como la recopilación de evidencias electrónicas, detectar el origen del ataque o las alteraciones realizadas al sistema (fugas de información, perdida o manipulación de datos). Para que, posteriormente, se utilicen las evidencias encontradas en la captura de los criminales que atacaron el sistema, y se proceda de manera legal según las regulaciones de cada país.

• Auditar, mediante la práctica de diversas técnicas para probar que los sistemas de seguridad instalados cumplen con ciertas condiciones básicas de seguridad. Los resultados de las auditorías servirán para poder corregir los errores encontrados y poder mejorar el sistema. Así mismo, lograr la elaboración de políticas de seguridad y uso de los sistemas para mejorar el rendimiento y la seguridad de todo el sistema de información.

¿ Y LAS LICENCIAS?

Sobre este tema hay mucho que podemos rescatar, cualquiera pensaría que una vez concebido, programado y diseñado un programa al momento de ser comercializado cualquiera pudiera hacer uso del mismo, sin ningún costo, Lo cual sucedería si no se contara con la figura de derechos de autor, lo cual restringe al cliente el derecho de utilizar el software conforme a ciertas restricciones impuestas por el titular del derecho de autor, normalmente el editor del software. Las normas exactas se describen en la documentación que acompaña al software mejor conocida como licencia de software.

LICENCIA DE SOFTWARE SIN PROTECCION HEREDADA

Se puede crear una obra derivada sin que ésta tenga obligación de protección alguna. Muchas licencias pertenecen a esta clase, entre otras:

• Licencias Académicas
• Software Apache etc.

LICENCIA DE SOTWARE LIBRE CON PROTECCION HEREDADA

Algunas restricciones se aplican a las obras derivadas. Entre las licencias de esta categoría podemos encontrar:

• Artistic License.
• Mozilla

LICENCIA DE SOFTWARE NO LIBRE

En ellas los propietarios establecen los derechos de uso, distribución, redistribución, copia, modificación, cesión y en general cualquier otra consideración que se estime necesaria.

Características:

Este tipo de licencias, por lo general, no permiten que el software sea modificado, desensamblado, copiado o distribuido de forma ilegal (piratería de software), regula el número de copias que pueden ser instaladas e incluso los fines concretos para los cuales puede ser utilizado. La mayoría de estas licencias limitan fuertemente la responsabilidad derivada de fallos en el programa.

LICENCIA DE USUARIO FINAL

En este tipo de licencia solo se autoriza el uso directamente al comprador del producto y va acompañada de ciertas restricciones:

• Uso del programa (especificadas por el programador)
• Derechos de autor
• Patentes

Nota: El comprador deberá de aceptar de conformidad todo lo anteriormente mencionado si desea hacer uso del programa.

LICENCIA DE DISTRIBUIDOR

En éste tipo de contrato, se le asigna derechos restringidos a un comerciante para que venda el producto(software) dando una comisión al fabricante. La misma puede ser por primera venta o licencia de renovación de contrato.

AUDITORIA DE SISTEMAS (Conceptos Básicos)

El tema de auditoria de sistemas complementa la información manejada en otras areas como lo seria el analisis y diseño de sistemas asi como la organización y operación de centros de computo. Como en cualquiera de las areas anteriormente mencionada es importante abordar los conceptos basicos con la finalidad de tener un entendimiento mas rapido sobre el tema. A continuación se listan algunos de los puntos mas importantes:

DEFINICIONES DE AUDITORIA DE SISTEMAS.

La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

* Eficiencia en el uso de los recursos informáticos

* Validez de la información

* Efectividad de los controles establecidos

PREPARANDO UNA AUDITORIA

PLANEACION DE UNA AUDITORIA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

Los objetivos principales en una auditoría de sistemas, son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

Los puntos de una evaluación son:

Etiquetas de Technorati: Evaluación

• Evaluación de los Sistemas .-Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).

• Seguridad física y lógica de los sistemas, su confidencialidad y respaldos.

• Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

2.- Evaluación de los equipos
Capacidades, Utilización, Nuevos Proyectos, Seguridad física y lógica

3.- Evaluación física y lógica
Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalación

2.-Controles de Organización y Planificación

3.- Controles de Sistemas en Desarrollo y Producción

4.- Controles de Procesamiento

5.- Controles de Operación

6.-  Controles de Microcomputador (PC’s)

1.- Controles de Preinstalación.- Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

• Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.

• Garantizar la selección adecuada de equipos y sistemas de computación Asegurar la elaboración de un plan de actividades previo a la instalación

Etiquetas de Technorati: Acciones en evaluación:

1.- Elaboración de un informe técnico en el que se justifique la adquisición de equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.
2.- Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.
3.- Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.
4.- Efectuar las acciones necesarias para una mayor participación de proveedores.
5.- Asegurar respaldo de mantenimiento y asistencia técnica.

2.- Controles de organización y Planificación.-

 

        Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área , en labores tales como:

*Diseñar un sistema
*Elaborar los programas
*Operar el sistema
*Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Acciones a seguir:

1.- La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
2.- Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.
3.- Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.
4.- El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.
5.- Las actividades deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos .
6.- Las instrucciones deben impartirse por escrito.

3.- Controles de Sistema en Desarrollo y Producción
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:
Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

• Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener:

- Informe de factibilidad
- Diagrama de lógica del programa
- Objetivos del programa
- Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones
- Formatos de salida
- Resultados de pruebas realizadas

• Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.
• El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos

4.- Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:

• Asegurar que todos los datos sean procesados.
• Garantizar la exactitud de los datos procesados.
• Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir:

• La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.
• Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.
• El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.
• Las instrucciones deben impartirse por escrito.

 

5.- Controles de Operación
Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, administración y control de equipo.
Los controles tienen como fin:

• Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso.
• Garantizar la integridad de los recursos informáticos.
• Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

Acciones a seguir:

• El acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
• Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.
• Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.
• Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.
• Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
• Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
• Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
• Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.

6.- Controles en el uso del Microcomputador
En especial este tipo de controles son lo que nos tomaran mas trabajo ya que las pc’s son mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.

Acciones a seguir:

• Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo
• Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.
• Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.
• Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.
• Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.
• Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.

Con base en lo anterior podemos deducir que los controles en una auditoria abarcan diferentes areas… para que esto quede mejor entendido a continuación se muestra un video sobre la auditoria de un proceso y el papel del auditor en el mismo.