SOFTWARE WIFISLAX

Wifislax es un CD de arranque que contiene un SO Linux. Puede hacer correr Linux directamentedesde  el CDROM sin instalación. Aunque lleva incorporado herramientas de instalación en  el disco duro o en llaveros USB, o una  emulación en Windows.

Wifislax esta basado básicamente y principalmente en SLAX (basado en la               distribución  Slackware Linux), pero debido al gran trabajo realizado por los autores del BackTrack, se ha trabajado directamente sobre este ultimo live  CD, así pues catalogar al Wifislax como una live CD podría incluso considerarse como erróneo. También están disponibles todos los  scripts y códigos fuente, los cuales pueden ser utilizados para construir tu propio live CD.

Para descargar esta herramienta, tan solo debeis de seguir el siguiente enlace: Descargar

En el siguiente enlace, teneis un Tutorial de como utilizar el WifiSlax con vuestro PC y uan tarjeta Wifi compatible. El tutorial está realizado integramente por el Equipo de TutoBeta.com

EJEMPLOS O SITUACIONES DE UNA AUDITORIA

Controles sobre datos fijos

Lea cada situación atentamente y:

 1.- Enuncie un control que hubiera prevenido el problema o posibilitado su detección.

2.- Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a detectar el problema.

Situación 1

Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el código y nombre de un proveedor ficticio, asignándole como domicilio el número de una casilla de correo que previamente había abierto a su nombre.

Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran
luego remitidos a la citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta única modificación procesada en la oportunidad) le fue enviado para su verificación con los datos de entrada, procedió a destruirlo.

Alternativas de Solución

·        Los formularios para modificarse a los archivos maestros deberían ser prenumerados; el departamento usuario respectivo debería controlar su secuencia numérica.

·        Los listados de modificaciones a los archivos maestros no sólo deberían listar los cambios recientemente procesados, sino también contener totales de control de los campos importantes,(número de registros, suma de campos importantes, fecha de la última modificación ,etc.) que deberían ser reconciliados por los departamentos usuarios con los listados anteriores.

Situación 2

Al realizar una prueba de facturación los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigente. Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

·        Uso de formularios prenumerados para modificaciones y controles programados diseñado para detectar alteraciones en la secuencia numérica de los mismos.

·        Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.

·        Conciliación de totales de control de campos significativos con los acumulados por el computador.

·        Generación y revisión de los listados de modificaciones procesadas por un delegado responsable.

·        Revisión de listados periódicos del contenido del archivo maestro de precios.

Situación 3

El operador del turno de la noche, cuyos conocimientos de programación eran mayores de los que los demás suponían, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneración más elevada a un operario del área de producción con el cual estaba emparentado. El fraude  fue descubierto accidentalmente varios meses después.

Alternativas de Solución

·        Preparación de totales de control del usuario y reconciliación con los acumulados del campo remuneraciones, por el computador.

·        Aplicación de control de límites de razonabilidad.

Situación 4

XX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a través de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son considerados " clientes especiales", debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes especiales.

Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales.

El 2 de mayo de 1983 la compañía incrementó sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho
porcentaje.

En lo que atañe a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros -por razones comerciales- recomendaron
incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseñados al efecto, procediéndose a la actualización del archivo maestro.

En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas.

Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el equivalente a US$ 50.000. El fraude fue descubierto accidentalmente, despidiéndose al involucrado, pero no se interrumpió la relación comercial.

Alternativas de Solución

·        La empresa debería actualizar el archivo maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento.

·        Los supervisores de venta deberían remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales.

·        Los formularios deberían ser prenumerados, controlados y aprobados, antes de su procesamiento, por funcionarios competentes en la oficina central.

·        Debe realizarse una revisión crítica de listados de excepción emitidos con la nómina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje.

Situación 5

Un empleado del almacén de productos terminados ingresos al computador ordenes de despachos ficticios, como resultado de las cuales se despacharon mercaderías a clientes
inexistentes.

Esta situación fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existían algunos despachos no autorizados.

Alternativas de Solución

·        Un empleado independiente de la custodia de los inventarios debería reconciliar diariamente la información sobre despachos generada como resultado del procesamiento de las órdenes de despacho, con documentación procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas.

De esta manera se detectarían los despachos ficticios.

Situación 6

Al realizar una prueba de facturación, los auditores observaron que los precios facturados en algunos casos no coincidían con los indicados en las listas de precios vigentes.
Posteriormente se comprobó que ciertos cambios en las listas de precios no habían sido procesados, razón por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solución

·        Creación de totales de control por lotes de formularios de modificaciones y su posterior reconciliación con un listado de las modificaciones procesadas.

·        Conciliación de totales de control con los acumulados por el computador
referentes al contenido de campos significativos.

·        Generación y revisión, por un funcionario responsable, de los listados de modificaciones procesadas.

·        Generación y revisión de listados periódicos del contenido del archivo maestro
 de precios.

Situación 7

Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 según surge del listado diario de cobranzas en efectivo.

Alternativas de Solución

·        Contraloría/Auditoría debería preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberían ser luego comparados con los totales según el listado diario de cobranzas en efectivo.

·        Un test de razonabilidad asumiendo que un pago de $361.300 está definido como no razonable.

·        Comparación automática de los pagos recibidos con las facturas pendientes por el número de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables.

·        Efectuar la Doble digitación de campos críticos tales como valor o importe.

Metodología de una Auditoría de Sistemas

Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

·        Estudio preliminar

·        Revisión y evaluación de controles y seguridades

·        Examen detallado de áreas criticas

·        Comunicación de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoría.

El informe debe contener los siguiente:

·        Motivos de la Auditoría

·        Objetivos

·        Alcance

·        Estructura Orgánico-Funcional del área Informática

·        Configuración del Hardware y Software instalado

·        Control Interno

·       Resultados de la Auditoría

·        Caso Práctico

A continuación se presenta una política en Informática establecida como propuesta a fin de ilustrar el trabajo realizado de una auditoría de sistemas enfocada en los controles de Organización y planificación.

Esta política fue creada con la finalidad de que satisfaga a un grupo de empresas jurídicamente establecidas con una estructura departamental del Área de Sistemas integrada por: Dirección , Subdirección, Jefes Departamentales del Área de Sistemas en cada una de las empresas que pertenecen al grupo.

Así mismo los Departamentos que la componen son: Departamento de Desarrollo de Sistemas y Producción, Departamento de Soporte Técnico y Departamento de Redes/ Comunicaciones,Departamento de Desarrollo de Proyectos.

Para el efecto se ha creado una Administración de Sistemas que efectúa reuniones periódicas a fin de regular y normar el funcionamiento del área de Sistemas y un Comité en el que participan personal del área de Sistemas y personal administrativo.

GOBIERNO TI

Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio.


Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definidos.

Garantiza que:

TI está alineada con la estrategia del negocio.

Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma más eficiente.

Todos los riesgos relacionados con TI son conocidos y administrados y los recursos de TI están seguro.

Marco de referencia

Es un conjunto de métodos y prácticas que permiten establecer:

*Criterios de información exigidos por los requisitos de negocio.

*Procesos de negocio.

*Recursos a utilizar.

Sus características son:

Está orientado a procesos, tanto de TI como del negocio. Se debe definir el
propietario del proceso, la responsabilidad sobre el proceso y la criticidad del mismo.

Basado en prácticas comúnmente aceptadas para aprovechar la experiencia del mercado y ofrecer un conjunto de medidas de control multinacional, hecho especialmente importante para la auditoría.

IT Governance: ITIL, COBIT, CMMI 5

Utiliza un lenguaje común debido a la tradicional ausencia de comunicación entre
negocio y tecnología. Se deben comprender los procesos y la complejidad de los recursos TI.

Permite la adopción de requisitos regulatorios.

 

Necesidad del Marco

*Asegurar el alineamiento con los objetivos de la organización.

*Determinar y mitigar los riesgos empresariales.

*Asegurar el cumplimiento normativo de forma general.

*Calcular/proveer formalmente los recursos apropiados.

*Hacer el seguimiento de la aportación de las TI al negocio.

Métricas
Los marcos de control están dirigidos por medidas. El negocio necesita conocer el estado de sus recursos y procesos TI, cómo aportan valor y cómo evolucionan.

Sirvan como ejemplo:

Key Performance Indicator: Cómo se llega al grado de cumplimiento.

CMM: Es un modelo de evaluación de los procesos de una organización. Cada proceso evaluado por CMM define un conjunto de buenas prácticas que habrán de ser: definidas en un procedimiento, provistas de los medios y formación necesarios, ejecutadas de un modo sistemático, universal y uniforme, medidas y verificadas.

En función del estadio de aplicación de cada práctica, el proceso se clasifica en: Inicial /Repetible / Definido / Gestionado / Optimizado.

IT Governance: ITIL, COBIT, CMMI.

BSC (Cuadro de Mando Integral): El "Cuadro de Mando Integral" es una herramienta para la gestión del rendimiento organizativo. Ayuda a centrarse no sólo en los objetivos financieros, sino también en los procesos internos, en los Clientes, y en los aspectos relativos al crecimiento y aprendizaje. Debería encontrarse un equilibrio entre estas cuatro perspectivas.

Las cuatro perspectivas se centran en las siguientes cuestiones:

1.   Clientes: ¿Qué desean nuestros Clientes?

2. Los procesos internos: ¿Cómo proporcionamos a nuestros Clientes un valor añadido?

3. Aprendizaje y crecimiento: ¿Cómo garantizamos que seguiremos generando valor añadido en el futuro?

4. Los aspectos financieros: ¿Qué tal lo hicimos en términos financieros?

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas en las que se encuadran, realizando una gestión más eficiente de los recursos, minimizando los riesgos y alineando sus decisiones con los objetivos del negocio.

IT Governance: ITIL, COBIT, CMMI

Los factores inductores del Gobierno TI en la organización pueden ser:

Regulaciones y Normativa: Legales (SOX,LOPD), Estándares (ISO 27001, ISO 20000), Certificaciones CMMI,...

Optimización de Recursos: Reingeniería procesos TI, Consolidación de Recursos, Estrategias de externalización,...

Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de vida de productos y servicios, gestión de la demanda,...

Los factores críticos pueden ser los siguientes:

Conocer dónde se desea ir, evitando siempre la improvisación.

Establecer mecanismos de medición y control claros.

Que el marco temporal sea adecuado, la mejora lleva tiempo, no se deben esperar resultados a corto plazo, en menos de seis meses.

Alinearse con iniciativas que ya estén en curso.

No perderse en los modelos, no hay modelo ideal, cada situación requiere de soluciones a medida.

Dotar a la organización de herramientas adecuadas.

Áreas del Gobierno TI

Alineamiento estratégico, se centra en:

Asegurar la conexión e integración del negocio con los planes de TI.

Definir, mantener y validar las propuestas de valor de TI. 

Alinear las operaciones de TI con las de la empresa.

Obtener mejor alineación que la competencia.

Entrega de valor:

Se refiere a ejecutar las propuestas de valor durante el ciclo de entrega, asegurando que TI entrega los beneficios relacionados con la estrategia del negocio, concentrándose en optimizar costes y proporcionar el valor intrínseco a la TI

Gestión del Riesgo requiere:

Concienciación por parte de la alta dirección.

comprender la necesidad del cumplimiento con los requisitos.

Transparencia en el tratamiento de los riesgos más significativos.

Integrar las responsabilidades de la gestión de riesgos en la organización.
Clara comprensión de la apetencia de riesgo de la organización.

Gestión de Recursos, se centra en:
Organizar de manera óptima los recursos de TI de forma que los servicios que
los requieran los obtengan en el lugar y momento necesarios.

Alinear y priorizar servicios y productos existentes de TI que se requieren para apoyar las operaciones del negocio.

Controlar y monitorizar los servicios TI propios y de terceros.

Medición del Rendimiento, sigue y controla:
La estrategia de la implantación.

La estrategia de los proyectos.

El uso de los recursos.

El rendimiento de los procesos.

La entrega de los servicios utilizando BSC.


Sin una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno TI es muy probable que fallen.

Principales Foros de Gobierno TI

ITGI (Information Technology Governance Institute): www.itgi.org
ISACA (Information Systems Audit and ControlAssociation): www.isaca.org

POLÍTICAS EN INFORMÁTICA

TITULO I

DISPOSICIONES GENERALES

ARTICULO 1°.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes unidades administrativas de la Empresa NN.

ARTICULO 2°.- Para los efectos de este instrumento se entenderá por:

Comité: Al equipo integrado por la Dirección, Subdirección, los Jefes departamentales y el personal administrativo de las diferentes unidades administrativas (Ocasionalmente) convocado para fines específicos como:

·        Adquisiciones de Hardware y software

·        Establecimiento de estándares de la Empresa NN tanto de hardware como de software

·        Establecimiento de la Arquitectura tecnológica de grupo.

·        Establecimiento de lineamientos para concursos de ofertas

Administración de Informática: Está integrada por la Dirección, Subdirección y Jefes Departamentales, las cuales son responsables de:

·        Velar por el funcionamiento de la tecnología informática que se utilice en las diferentes unidades administrativas

·        Elaborar y efectuar seguimiento del Plan Maestro de Informática

·        Definir estrategias y objetivos a corto, mediano y largo plazo

·        Mantener la Arquitectura tecnológica

·    
Controlar la calidad del servicio brindado

·        Mantener el Inventario actualizado de los recursos informáticos

·        Velar por el cumplimiento de las Políticas y Procedimientos establecidos.

ARTICULO 3°.- Para los efectos de este documento, se entiende por Políticas en Informática,
al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables del hardware y software existente en la Empresa NN, siendo responsabilidad de la Administración de Informática, vigilar su estricta observancia en el ámbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.

ARTICULO 4°.- Las Políticas en Informática son el conjunto de ordenamientos y lineamientos
enmarcados en el ámbito jurídico y administrativo de la Empresa NN. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos en la Empresa NN, las cuales se deberán de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en ello.

ARTICULO 5°.- La instancia rectora de los sistemas de informática de la Empresa NN es la
Administración, y el organismo competente para la aplicación de este ordenamiento, es el Comité.

ARTICULO 6°.- Las presentes Políticas aquí contenidas, son de observancia para la adquisición
y uso de bienes y servicios informáticos, en la Empresa NN, cuyo incumplimiento generará que se incurra en responsabilidad administrativa; sujetándose a lo dispuesto en la sección Responsabilidades Administrativas de Sistemas.

ARTICULO 7°.- Las empresas de la Empresa NN deberán contar con un Jefe o responsable del Área
de Sistemas, en el que recaiga la administración de los Bienes y Servicios, que  vigilará la correcta aplicación de los ordenamientos establecidos por el Comité y demás disposiciones aplicables.

TITULO II

LINEAMIENTOS PARA LA
ADQUISICION DE BIENES DE INFORMATICA

ARTICULO 8°.- Toda adquisición de tecnología informática se efectúa a través del Comité, que
está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o servicios informáticos.

ARTICULO 9°.- La adquisición de Bienes de Informática en la Empresa NN, quedará sujeta a los lineamientos establecidos en este documento.

ARTICULO 10°.- La Administración de Informática, al planear las operaciones relativas a la adquisición de Bienes informáticos, establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico, precio, calidad, experiencia, desarrollo tecnológico, estándares y capacidad, entendiéndose por:

·        Precio.- Costo inicial, costo de mantenimiento y consumibles por el período estimado de uso de los equipos;

·        Calidad.- Parámetro cualitativo que especifica las características técnicas de los recursos informáticos.

·        Experiencia.- Presencia en el mercado nacional e internacional, estructura de servicio, la confiabilidad de los bienes y certificados de calidad con los que se cuente;

·        Desarrollo Tecnológico.- Se deberá analizar su grado de obsolescencia, su nivel tecnológico con respecto a la oferta existente y su permanencia en el mercado;

·        Estándares.- Toda adquisición se basa en los estándares, es decir la arquitectura de grupo empresarial establecida por el Comité. Esta arquitectura tiene una permanencia mínima de dos a cinco años.

·        Capacidades.- Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.

ARTICULO 11°.- Para la adquisición de Hardware se observará lo siguiente:

a) El equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la Empresa NN.

b) Deberán tener un año de garantía como mínimo

c) Deberán ser equipos integrados de fábrica o ensamblados con componentes previamente evaluados por el Comité.

d) La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica y refaccionaria local.

e) Tratándose de equipos microcomputadoras, a fin de mantener actualizado la arquitectura informático de la Empresa NN, el Comité emitirá periódicamente las especificaciones técnicas mínimas para su adquisición.

f) Los dispositivos de almacenamiento, así como las interfaces de  entrada/salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos, como en el ciclo del proceso.

g) Las impresoras deberán apegarse a los estándares de Hardware y Software vigentes en el mercado y la Empresa NN, corroborando que los suministros (cintas, papel, etc.) se consigan fácilmente en el mercado y no estén sujetas a un solo proveedor.

h) Conjuntamente con los equipos, se deberá adquirir el equipo complementario adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los fabricantes, y que esta adquisición se manifieste en el costo de la partida inicial.

i)Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país.

j) Los equipos adquiridos deben contar, de preferencia con asistencia técnica durante la instalación de los mismos.

k) En lo que se refiere a los computadores denominados servidores, equipo de comunicaciones como enrutadores y concentradores de medios, y otros que se justifiquen por ser de operación crítica y/o de alto costo; al vencer su período de garantía, deben de contar con un programa de mantenimiento preventivo y correctivo que incluya el suministro de refacciones.

l) En lo que se refiere a los computadores denominados personales, al vencer su garantía por adquisición, deben de contar por lo menos con un programa de servicio de mantenimiento correctivo que incluya el suministro de refacciones.

Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis, aprobación y autorización del Comité.

ARTICULO 12°: En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente.

ARTICULO 13°.-Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente, siendo la lista de productos autorizados la siguiente:

a.      MS-DOS, MS- Windows 95 Español, Windows NT, Novell Netware, Unix(Automotriz).

b.     Plataformas de Sistemas Operativos:

Foxpro, Informix

c.      Bases de Datos:

Foxpro para DOS, VisualFox, Access

d.     Manejadores de bases de datos:

Los lenguajes de programación que se utilicen deben ser compatibles con las plataformas enlistadas.

SQL Windows

Visual Basic

VisualFox

CenturaWeb

Notes Designer

e.      Lenguajes de programación:

Excel

f.       Hojas de cálculo:

Word

g.      Procesadores de palabras:

Page Maker, Corel Draw

h.     Diseño Gráfico:

F-prot, Command Antivirus, Norton Antivirus

i.       Programas antivirus.

Notes Mail

j.       Correo electrónico

k.     Browser de Internet

Netscape

En la generalidad de los casos, sólo se adquirirán las últimas versiones liberadas de los productos seleccionados, salvo situaciones específicas que se deberán justificar ante el Comité. Todos los productos de Software que se adquieran deberán contar con su licencia de uso, documentación y garantía respectivos.

ARTICULO 14°.- Todos los productos de Software que se utilicen a partir de la fecha en que
entre en vigor el presente ordenamiento, deberán contar con su licencia de uso respectiva; por lo que se promoverá la regularización o eliminación de los productos ya instalados que no cuenten con la licencia respectiva.

ARTICULO 15°.- Para la operación del software de red se debe tener en consideración los siguiente:

a) Toda la información institucional debe invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y recuperación de información en caso de falla del sistema de cómputo.

b) El acceso a los sistemas de información, debe contar con los privilegios o niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional. Los niveles de seguridad de
acceso deberán controlarse por un administrador único y poder ser manipulado por software. Se deben delimitar las responsabilidades en cuanto a quién está autorizado a consultar y/o modificar en cada caso la
información, tomando las medidas de seguridad pertinentes para cada caso.

c) El titular de la unidad administrativa responsable del sistema de información debe autorizar y solicitar la asignación de clave de acceso al titular de la Unidad de Informática.

d) Los datos de los sistemas de información, deben ser respaldados de acuerdo a la frecuencia de actualización de sus datos, rotando los dispositivos de respaldo y guardando respaldos históricos periódicamente. Es indispensable llevar una bitácora oficial de los respaldos realizados, asimismo, las cintas de respaldo deberán guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservación. Detalle explicativo se aprecia en la Política de respaldos en vigencia.

e) En cuanto a la información de los equipos de cómputo personales, la Unidad de Informática recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de almacenamiento alternos.

f) Todos los sistemas de información que se tengan en operación, deben contar con sus respectivos manuales actualizados. Uno técnico que describa la estructura interna del sistema así como los programas, catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema, los procedimientos para su utilización.

h) Los sistemas de información, deben contemplar el registro histórico de las transacciones sobre datos relevantes, así como la clave del usuario y fecha en que se realizó (Normas Básicas de Auditoría y Control).

i) Se deben implantar rutinas periódicas de auditoría a la integridad de los datos y de los programas de cómputo, para garantizar su confiabilidad.

ARTICULO 16°.-
Para la contratación del servicio de desarrollo o construcción de Software aplicativo se observará lo siguiente:

Todo proyecto de contratación de desarrollo o construcción de software requiere de un estudio de factibilidad que permita establecer la rentabilidad del proyecto así como los beneficios que se obtendrán del mismo.

Todo proyecto deberá ser aprobado por el Comité en base a un informe técnico que contenga lo siguiente:

·        Bases del concurso (Requerimientos claramente especificados)

·        Análisis de ofertas (Tres oferentes como mínimo) y Selección de oferta ganadora

Bases del Concurso

Las bases del concurso especifican claramente los objetivos del trabajo, delimita las responsabilidades de la empresa oferente y la contratante.

De las empresas oferentes:

Los requisitos que se deben solicitar a las empresas oferentes son:

a.      Copia de la Cédula de Identidad del o los representantes de la compañía

b.     Copia de los nombramientos actualizados de los representantes legales de la compañía

c.      Copia de los Estatutos de la empresa, en que aparezca claramente definido el objeto de la compañía, esto es para determinar si está o no facultada para realizar la obra

d.     Copia del RUC de la compañía

e.      Referencias de clientes (Mínimo 3)

f.       La carta con la oferta definitiva del contratista debe estar firmada por el representante legal de la compañía oferente.

De la contratante

Las responsabilidades de la contratante son:

a.      Delinear adecuadamente los objetivos y alcance del aplicativo.

b.     Establecer los requerimientos del aplicativo

c.      Definir responsabilidades de la contratista y contratante

d.     Establecer campos de acción

Análisis de ofertas y Selección de oferta ganadora:

Para definir la empresa oferente ganadora del concurso, el Comité establecerá una reunión en la que se debe considerar los siguientes factores:

a.      Costo

b.     Calidad

c.      Tiempo de permanencia en el mercado de la empresa oferente

d.     Experiencia en el desarrollo de aplicativos

e.      Referencias comprobadas de Clientes

f.       Cumplimiento en la entrega de los requisitos

Aprobada la oferta se debe considerar los siguientes lineamientos en la elaboración de contratos:

Todo contrato debe incluir lo siguiente:

Antecedentes, objeto del contrato, precio, forma de pago, plazo, obligaciones del contratistas responsabilidades, fiscalizador de la obra, garantías, entrega recepción de obra provisional y definitiva, sanciones por incumplimientos, rescisión del contrato, disposiciones supletorias, documentos incorporados, solución de controversias, entre otros aspectos.

Las garantías necesarias para cada contrato deben ser incluidas en forma conjunta con el Departamento Legal, quienes deben asesorar el tipo de garantía necesaria en la elaboración de cada contrato.

Las garantías que se deben aplicar de acuerdo al tipo de contrato son:

a.      Una garantía bancaria o una póliza de seguros, incondicional, irrevocable y de cobro inmediato por el 5% del monto total del contrato para asegurar su fiel cumplimiento, la cual se mantendrá vigente durante todo el tiempo que subsista la obligación motivo de la garantía.

b.     Una garantía bancaria o una póliza de seguros, incondicional, irrevocable y de cobro inmediato equivalente al 100 % (ciento por ciento) del anticipo. Esta garantía se devolverá en su integridad una vez que el anticipo se haya amortizado en la forma de pago estipulada en el contrato.

c.      Un fondo de garantía que será retenido de cada planilla en un porcentaje del 5 %.

Junto al contrato se deberá mantener la historia respectiva del mismo que se compone de la siguiento documentación soporte:

·        Estudio de factibilidad

·        Bases del concurso

·        Ofertas presentadas

·        Acta de aceptación de oferta firmada por los integrantes del Comité

·        Informes de fiscalización

·        Acta de entrega provisional y definitiva

TITULO III

INSTALACIONES

ARTICULO 17°.- La instalación del equipo de cómputo, quedará sujeta a los siguientes lineamientos:

a) Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo y tráfico de personas.

En las áreas de atención directa al público los equipos se instalarán en lugares adecuados.

b) La Administración de Informática, así como las áreas operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de  comunicaciones del equipo de cómputo en red.

c) Las instalaciones eléctricas y de comunicaciones, estarán de preferencias fijas o en su defecto resguardadas del paso de personas o máquinas, y libres de cualquier interferencia eléctrica o magnética.

d) Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las especificaciones del cableado y de los circuitos de protección necesarios;

e) En ningún caso se permitirán instalaciones improvisadas o sobrecargadas.

f) Cuando en la instalación se alimenten elevadores, motores y maquinaria pesada, se deberá tener un circuito independiente, exclusivo para el equipo y/o red de cómputo.

ARTICULO 18°.- Lasupervisión y control de las instalaciones se llevará a cabo en los plazos y mediante los mecanismos que establezca el Comité.

TITULO IV

LINEAMIENTOS EN INFORMATICA

CAPITULO I

INFORMACION

ARTICULO 19°.- Los archivos magnéticos de información se deberán inventariar, anexando la descripción y las especificaciones de los mismos, clasificando la información en tres categorías:

1.      Información   histórica para auditorías

2.     Información de interés de la Empresa NN

3.     Información de interés exclusivo de algún área en particular.

ARTICULO 20°.- Los jefes de sistemas responsables del equipo de cómputo y de la información contenida en los centros de cómputo a su cargo, delimitarán las responsabilidades de sus subordinados y determinarán quien está autorizado a efectuar operaciones emergentes con dicha información tomando las medidas de seguridad pertinentes.

ARTICULO 21°.- Se establecen tres tipos de prioridad para la informacion

 

2.     Información vital para el funcionamiento de la unidad administrativa;

3.     Información necesaria, pero no indispensable en la unidad administrativa;

4.     Información ocasional o eventual.

ARTICULO 22°.- En caso de información vital para el funcionamiento de la unidad administrativa,
se deberán tener procesos concomitantes, así como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente.

ARTICULO 23°.- La información necesaria pero no indispensable, deberá ser respaldada con una frecuencia mínima de una semana, rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente.

ARTICULO 24°.- El  respaldo de la información ocasional o eventual queda a criterio de la unidad
administrativa.

ARTICULO 25°.- Los archivos magnéticos de información, de carácter histórico quedarán documentados como activos de la unidad académica y estarán debidamente resguardados en su lugar de almacenamiento.

Es obligación del responsable del equipo de cómputo, la entrega conveniente de los archivos magnéticos de información, a quien le suceda en el cargo

ARTICULO 26°.- Los sistemas de información en operación, como los que se desarrollen deberá
contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operación y el manual técnico que describa su estructura interna, programas, catálogos y archivos.

CAPITULO II

FUNCIONAMIENTO

ARTICULO 27°.- Es obligación de la Administración de Informática vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne.

ARTICULO 28°.- Los colaboradores de la empresa al usar el equipo de cómputo, se abstendrán de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo  deterioren la información almacenada en medios magnéticos, ópticos, etc.

ARTICULO 29°.- Por seguridad de los recursos informáticos se deben establecer seguridades:

·        Físicas

·        Sistema Operativo

·        Software

·        Comunicaciones

·        Base de Datos

·        Proceso

·        Aplicaciones

Por ello se establecen los siguientes lineamientos:

·        Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.

·        Verificar la información que provenga de fuentes externas a fin de corroborar que estén libres de cualquier agente externo que pueda contaminarla o perjudique el funcionamiento de los equipos.

·       Mantener pólizas de seguros de los recursos informáticos en funcionamiento

ARTICULO 30°.- En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos informáticos de la unidad administrativa.

Por consiguiente, se prohibe el ingreso y/o instalación de hardware y software particular, es decir que no sea propiedad de una unidad administrativa de la Empresa NN, excepto en casos emergentes que la dirección autorice.

CAPITULO III

PLAN DE CONTINGENCIAS

ARTICULO 31°.- La Administración de Informática creará para las empresas y departamentos un plande contingencias informáticas que incluya al menos los siguientes puntos:

a) Continuar con la operación de la unidad administrativa con procedimientos informáticos alternos;

b) Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se encuentran los equipos.

c) Tener el apoyo por medios magnéticos o en forma documental, de las operaciones necesarias para reconstruir los archivos dañados;

d) Contar con un instructivo de operación para la detección de posibles fallas, para que toda acción correctiva se efectúe con la mínima degradación posible de los datos;

e) Contar con un directorio del personal interno y del personal externo de soporte, al cual se pueda recurrir en el momento en que se detecte cualquier anomalía;

f) Ejecutar pruebas de la funcionalidad del plan

f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas

CAPITULO IV

ESTRATEGIAS

ARTÍCULO 32.- La estrategia informática de la DDT se consolida en el Plan Maestro de Informática y está orientada hacia los siguientes puntos:

a) Plataforma de Sistemas Abiertos;

b) Descentralización del proceso de información

c) Esquemas de operación bajo el concepto cliente/servidor

d) Estandarización de hardware, software base, utilitarios y estructuras  de datos

e) Intercomunicación entre unidades y equipos mediante protocolos estándares

f) Intercambio de experiencias entre Departamentos de Informática.

g) Manejo de proyectos conjuntos con las diferentes unidades administrativas.

h) Programa de capacitación permanente para los colaboradores de la empresa del área de informática

i) Integración de sistemas y bases de datos de la Empresa NN, para tener como meta final un Sistema Integral de Información Corporativo.

j) Programación con ayudas visuales e interactivas. Facilitando interfaces amigables al usuario final.

k) Integración de sistemas teleinformáticas (Intranet De grupo empresarial).

ARTICULO 33°.-
Para la elaboración de los proyectos informáticos y para la presupuestación de los mismos, se tomarán en cuentan tanto las necesidades de hardware y software  de la unidad administrativa solicitante, como la disponibilidad de recursos con que éstas cuenten.

DISPOSICIONES TRANSITORIAS

ARTICULO PRIMERO.- Las disposiciones aquí enmarcadas, entrarán en vigor a partir del día siguiente
de su difusión.

ARTICULO SEGUNDO.-Las normas y políticas objeto de este documento, podrán ser modificadas o adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo del Comité Técnico de Informática de la Empresa NN (CTI); una vez aprobadas dichas modificaciones o adecuaciones, se establecerá su vigencia.

ARTICULO TERCERO.-Las disposiciones aquí descritas constan de forma detallada en los manuales de políticas y procedimientos específicos existentes.

ARTICULO CUARTO.- Lafalta de desconocimiento de las normas aquí descritas por parte de los colaboradores no los libera de la aplicación de sanciones y/o penalidades por el incumplimiento de las mismas.

Palabras clave: Controles automáticos o lógicos, Controles administrativos del PAD, Conceptos de Auditoría de Sistemas