instituciones bancarias a través de créditos. Para el caso de centros de cómputo destinados a la educación pública no existen fuentes de financiamiento, a menos que la institución educativa cuente con un área destinada a la producción de software para empresas privadas, entonces la misma empresa puede ser el origen del financiamiento.
Negociación de Contrato. La negociación de contrato debe incluir todos los
aspectos de operación del Software y del Hardware a implementarse. Aspectos tales como: Actualizaciones, innovaciones, capacitación, asesoría técnica, etc.
Permisos y Licencias.
El uso de Software no autorizado o adquirido ilegalmente, se considera como PIRATA
y una violación a los derechos de autor.
El uso de Hardware y de Software autorizado esta regulado por las siguientes normas: Toda dependencia podrá utilizar UNICAMENTE el hardware y el software que el departamento de sistemas le haya instalado y oficializado mediante el "Acta de entrega de equipos y/o software".
Tanto el hardware y software, como los datos, son propiedad de la empresa. su copia o sustracción o daño intencional o utilización para fines distintos a las labores propias de la compañía, será sancionada de acuerdo con las normas y reglamento interno de la empresa.
El departamento de sistemas llevara el control del hardware y el software instalado, basándose en el número de serie que contiene cada uno.
Periódicamente, el departamento de sistemas efectuará visitas para verificar el software utilizado en cada dependencia. Por lo tanto, el detectar software no instalado por esta dependencia, será considerado como una violación a las normas internas de la empresa.
Toda necesidad de hardware y/o software adicional debe ser solicitada por escrito al departamento de sistemas, quien justificará o no dicho requerimiento, mediante un estudio evaluativo.
El departamento de sistemas instalará el software en cada computador y entregará
al área usuaria los manuales pertinentes los cuales quedaran bajo la responsabilidad del Jefe del departamento respectivo.
Los diskettes que contienen el software original de cada paquete serán administrados y almacenados por el departamento de sistemas.
El departamento de sistemas proveerá el personal y una copia del software original en caso de requerirse la reinstalación de un paquete determinado.
Los trámites para la compra de los equipos aprobados por el departamento de sistemas, así como la adecuación física de las instalaciones serán realizadas por la dependencia respectiva.
La prueba, instalación y puesta en marcha de los equipos y/o dispositivos, serán realizada por el departamento de sistemas, quien una vez compruebe el correcto funcionamiento, oficializara su entrega al área respectiva mediante el "Acta de Entrega de Equipos y/o Software".
Una vez entregados los equipos de computación y/o el software por el departamento de sistemas, estos serán cargados a la cuenta de activos fijos del área respectiva y por lo tanto, quedaran bajo su responsabilidad.
Así mismo, el departamento de sistemas mantendrá actualizada la relación de los equipos de computación de la compañía, en cuanto a numero de serie y ubicación, con el fin que este mismo departamento verifique, por lo menos una vez al año su correcta destinación.
El departamento de sistemas actualizará el software comprado cada vez que una nueva versión salga al mercado, a fin de aprovechar las mejoras realizadas a los programas, siempre y cuando se justifique esta actualización.
Derechos de autor y licencia de uso de software.
El Copyright, o los derechos de autor, son el sistema de protección jurídica concebido para titular las obras originales de autoría determinada expresadas a través de cualquier medio tangible o intangible.
Las obras literarias (incluidos los programas informáticos), musicales, dramáticas, plásticas, gráficas y escultóricas, cinematográficas y demás obras audiovisuales, así como las fonogramas, están protegidos por las leyes de derechos de autor.
El titular de los derechos de autor tiene el derecho exclusivo para efectuar y autorizar las siguientes acciones:
Realizar copias o reproducciones de las obras.
Preparar obras derivadas basadas en la obra protegida por las leyes de derechos de autor.
Distribuir entre el público copias de la obra protegida por las leyes de derechos de
autor mediante la venta u otra cesión de la propiedad, o bien mediante alquiler, arrendamiento financiero o préstamo.
Realizar o mostrar la publicidad de la obra protegida por las leyes de derechos de autor.
Importar el trabajo, y realizar actos de comunicación pública de las obras protegidas.
PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:
A NIVEL DEL ÁREA DE INFORMÁTICA
RECURSOS MATERIALES Y TÉCNICOS.
Solicitar documentos sobre los equipos, número de ellos, localización y características:
o Estudios de viabilidad.
o Numero de equipos, localización y las características de los equipos instalados y por instalar y/o programas.
o Fecha de instalación de los equipos y planes de instalación.
o Contratos vigentes de compra, renta y servicios de mantenimiento.
o Contratos de seguros.
o Convenios que se tienen con otras instalaciones.
o Configuración de los equipos y capacidades actuales y máximas.
o Planes de expansión.
o Ubicación general de los equipos.
o Políticas de operación
o Políticas de uso de los equipos
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información
o Manual de formas.
o Manual de procedimientos de los sistemas
o Descripción genérica
o Diagramas de entradas, archivos
o Salidas
o Fecha de instalación de los sistemas
o Proyecto de instalación de nuevos sistemas
En el momento de hacer la plantación de la auditoria o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
o No tiene y se necesita.
o No se tiene y no se necesita
Se tiene la información pero:
o No se usa.
o Es incompleta.
o No esta actualizada.
o No es la adecuada.
o Se usa, está actualizada, es la adecuada y esta completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar, si esta actualizada, si es la adecuada y se si esta completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
o Estudiar hechos y no opiniones (No se toma en cuenta los rumores o la información sin fundamento)
o Investigar las causas, no los efectos.
o Atender razones, no excusas.
o No confiar en la memoria, preguntar constantemente.
o Criticar objetivamente y a fondo los informes y los datos recabados.
PERSONAL PARTICIPANTE
Una de las partes más importantes dentro de planeación en la auditoria en informática es el personal que deberá participar y sus características:
Uno de los sistemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, seria casi imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectué alguna entrevista de comprobación de hipótesis, nos proporciones aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no solo el punto de vista de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en loa realización de la auditoria se debe tener personas con las siguientes características:
o Técnico en informática.
o Experiencia en el área de informática.
o Experiencia en operaciones y análisis de sistemas.,
o Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y
experiencia en áreas especificas como base de datos, redes, etc. lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.
NORMAS Y POLÍTICAS QUE RIGEN EL COMPORTAMIENTO DEL USUARIO
La presente circular tiene como objetivo, estandarizar el uso y administración de las computadoras asegurando que los recursos humanos y tecnológicos comprometidos en la obtención de la información, sean acordes con la inversión que la institución realiza.
Los usuarios de las computadoras serán responsables de cumplir y hacer cumplir las normas y procedimientos aquí expuestos.
Cuando haya necesidad de modificar, adicionar o suprimir las normas o procedimientos presentes, el centro de cómputo determinara la concordancia de las nuevas normas y procedimientos.
NORMAS SOBRE LA UTILIZACIÓN DE SOFTWARE Y HARDWARE
El uso de software no autorizado o adquirido ilegalmente, es considerado como PIRATA y una violación a los derechos de autor, por lo tanto esta estrictamente prohibido instalar software pirata.
El uso de hardware y software autorizado esta regulado por las siguientes normas:
1. Todo departamento podrá utilizar ÚNICAMENTE el hardware y el software que el centro de cómputo le haya instalado.
2. Tanto el hardware (computadoras, Impresoras, scanner, etc.), software, y los datos, son propiedad de la institución, su copia, sustracción, daño intencional o utilización para fines distintos a las labores propias de la institución, será sancionada de acuerdo a las normas y reglamento
interno.
3. El centro de cómputo llevara el control del software instalado en el equipo
4. La asignación de Ip"s es responsabilidad del Centro de Computo y queda estrictamente cambiarlas.
5. Periódicamente, el Centro de Cómputo efectuara visitas para verificar el software y configuración utilizada en cada departamento. Por lo tanto, el detectar software no instalado por este departamento, será considerado como violación a las normas internas de la institución.
6. Toda necesidad de hardware y/o software adicional debe ser solicitada por escrito al Centro de Computo, quien justificara o no dicho requerimiento, mediante un estudio evaluativo.
7. El centro de cómputo instalara el software en cada computadora y entregara al área usuaria los manuales pertinentes los cuales quedaran bajo la responsabilidad del jefe del departamento respectivo.
8. Los disquetes y/o Cd"s que contienen el software original de cada paquete serán administrado por cada departamento.
9. El Centro de Cómputo auxiliará a cada departamento en caso de requerirse la reinstalación de un paquete determinado.
10. La prueba, instalación y puesta en marcha de los equipos de cómputo, serán realizadas por el centro de cómputo.
11. Una vez entregados los equipos de computación y/o el software por el centro de computo estos serán cargados a la cuenta de activos fijos del área respectiva y por lo tanto, quedara bajo su responsabilidad.
12. Así mismo, el centro de computo mantendrá actualizada la relación de los equipos de computación de la institución, en cuanto a numero de serie y ubicación, con el fin de que este mismo departamento verifique, por lo menos una vez al Año su correcta destinación.
13. El centro de cómputo hará las gestiones para actualizar el software comprado cada vez que una nueva versión salga al mercado, a fin de aprovechar las mejoras realizadas a los programas, siempre y cuando se justifique esta actualización.
SEGURIDAD INFORMÁTICA
Seguridad es el conjunto de metodologías, documentos, programas y dispositivos físicos encaminados a lograr que los recursos de cómputo disponibles en un ambiente dado, sean accedidos única y exclusivamente por quienes tienen la autorización para hacerlo.
La seguridad informática debe vigilar principalmente las siguientes propiedades: Privacidad.- La información debe ser vista y manipulada únicamente por quienes tienen el derecho o la autoridad para hacerlo. Un ejemplo ataque a la privacidad es la divulgación de la información confidencial.
Integridad.- La información debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la integridad es la modificación de saldos en un sistema bancario o de calificaciones en un sistema educativo.
Disponibilidad.- La información debe estar en el momento que el usuario requiera de ella.
DIVISIÓN DE LAS ÁREAS DE ADMINISTRACIÓN DE LA SEGURIDAD
Para simplificar, es posible dividir las tares de administración de seguridad en tres grandes secciones:
Autenticación:- Se refiere a establecer las entidades que puedan tener acceso al universo de recursos de computo que cierto ambiente puede ofrecer.
Autorización: Es el hecho de que las entidades autorizadas a tener acceso a los recursos de computo, tenga efectivamente acceso únicamente a lasa áreas de trabajo sobre las cuales debe tener dominio.
Auditoria: Se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este rublo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso a los recursos.
SEGURIDAD DE LA INFORMACIÓN Protección contra el acceso no autorizado:
La información como recurso valioso de una organización, esta expuesta a actos tanto intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que hace necesario que el usuario, propietario de esta información, adopte medidas de protección contra accesos no autorizados.
Las siguientes pautas o recomendaciones, ofrecen la posibilidad de habilitar cierto grado de protección contra los medios actualmente disponibles en la institución.
Clave de autorización de encendido
t Este es un recurso de protección disponible en todas las computadoras, ser habilita en el momento de configurar el equipo y es una clave que será solicitada como primer paso de señalización después de encendida la computadora.
t Todo usuario que así lo solicite le será activado este passweord por el Centro de Cómputo.
t Cuando se activa esta protección se debe tener presente las siguientes consideraciones:
1. No olvide su clave.- Su desactivación puede gastar tiempo valioso durante
el cual la computadora no puede ser utilizada.
2. Dé a conocer la clave a su jefe de departamento y/o solo aquellas personas que realmente deben encender y hacer uso del equipo.
3. El sistema exigirá la modificación periódica de su clave.
Clave de acceso a la red.
t Este es un recurso de protección disponible en todas las computadoras, se habilita al momento de configurar el equipo y es una clave que será solicitada para acceder a los recursos de red.
t Todas las computadoras que están conectadas a la red cuentan con este password.
t Cuando se activa esta protección se debe tener presente las siguientes
consideraciones:
4. No olvide su clave.- Su desactivación puede gastar tiempo valioso durante el cual la computadora no puede ser utilizada.
5. Dé a conocer la clave a su jefe de departamento y/o solo aquellas personas que realmente deben encender y hacer uso del equipo.
6. El sistema exigirá la modificación periódica de su clave
7. Si le da ESC o CANCELAR no tendrá derecho a los recursos de la red.
Clave de acceso a los programas administrativos:
Todo usuario que requiera utilizar un programa administrativo debe de contar con un login y password para acceder a dicho recurso.
Debe tener presente lasa siguientes consideraciones:
1. No olvide su clave
2. No dé a conocer su clave a nadie si alguien desea hacer uso de algún programa administrativo debe solicitar su login y passsword al cetro de
computo
3. Es conveniente modificar periódicamente su clave.
Copia de seguridad y/o Backups de respaldo.
Así como se protege la información contra accesos no autorizados, es también importante mantener en lugar seguro, copias actualizadas de la información VITAL de cada departamento con el fin de garantizar la oportuna recuperación de datos y programas en caso de perdías o daños en la computadora.
Las siguientes pautas determinan una buena política de Backups aplicable en cada departamento de la compañía.
1. Determine el grado de importancia de la información que amerite copias de seguridad
2. Comunique al centro de cómputo para que este elabore copias periódicas a través de la red.
3. Indique cuanto tiempo se debe conservar esta información.
Espero que este pequeño texto se de ayuda para los estudiantes de Computación e Informática
Autor:
Lic. Pablo A. Jara Rodríguez
Trujillo – Perú
Año – 2011
Página anterior | Volver al principio del trabajo | Página siguiente |