sistemas de informacion, tecnologia y control

7/28/2019 SISTEMAS DE INFORMACION, TECNOLOGIA Y CONTROL

1/132

1

INDICE

CAPITULO 1

1 El Sistema de informacion 4

1.1 Introduccion 5

1.2 Sistema de informacion. Marco teorico 6

1.2.1 Tipos de sistemas 6

1.2.2 La necesidad del analisis de sistemas 7

1.3 Escenario actual y futuro 7

1.3.1 Sistemas de planeacion de recursos empresariales 8

1.3.2 Aplicaciones de comercio electronico y sistemas web 8

1.3.3 Sistemas para dispositivos inalambricos y portatiles 8

1.3.4 Extranet e intranet 9

1.3.5 Datawarehouse 9

1.3.6 XBRL 10

1.3.7 VoIP 11

1.3.8 La revolucion de las redes e internet 11

1.3.9 La web 2.0 en las empresas, que es y para que sirve? 11

1.3.10 La empresa conectada en red 12

1.4 Las organizaciones como sistemas 13

1.4.1 Interrelacion e interdependencia de los sistemas 13

1.4.2 Procesos administrativos 15

1.4.2.1 Subsistema de control 16

1.4.3 Proceso de toma de decisiones 17

1.4.4 Postulados basicos de la TIC en los SI 18

1.4.4.1 Interaccion transaccional automatica via sistemas 19

CAPITULO 2

2 Fortalezas y oportunidades del profesional en Cs. Economicas 20

2.1 El control establecido por las normas profesionales actuales 21

2.2 Necesidad de formacion profesional 22

CAPITULO 3

3 El riesgo y el control en los SI 24

3.1 Conceptualizacion 25

3.2 Tecnicas de evaluacion de riesgos 25

3.2.1 Metodologia de deteccion de riesgos 26

3.2.2 Identificacion de riesgos generados por el uso de tecnologia 26

3.3 Controles 27

3.3.1 Revision de los controles generales 27

3.3.2 Revision de centros de computo 27

3.3.3 Revision de seguridad 27

3.3.4 Revision del sistema operativo 29

3.3.5 Revision de controles de aplicaciones 31

3.3.5.1 Procedimientos de control de imput. Control de acceso 31


2/132

2

3.3.5.2 Procedimientos de control de procesos 32

3.3.5.3 Procedimientos de control de output o salida 32

3.4 Seguridad en redes 33

3.4.1 Cuales son los riesgos? 34

3.4.2 Cual es el valor de los datos? 34

3.4.3 Impacto en la organizacin 34

3.4.4 Implementacion 35

3.4.4.1 Proposicion de una forma de realizar el analisis para llevar a 36

cabo un sistema de seguridad informatica

3.4.5 Tipos de ataques y vulnerabilidades 37

3.4.6 Descripcion de algunas herramientas de control y seguimiento 40

de accesos

3.4.7 Dispositivos de seguridad mas comunes 43

3.4.7.1 Los firewall en la empresa 45

CAPITULO 4

4 Tecnicas de seguridad comercial 47

4.1 Ambiente comercial seguro 48

4.2 La firma electronica en la empresa 48

4.3 Certificado digital 49

CAPITULO 5

5 Software de gestion 51

5.1 Explotacion del software de gestion 52

5.2 Principales caracteristicas del software de contabilidad 53

5.3 Software empresarial funcional 53

5.3.1 Caracteristicas que deberian contener los paquetes 54

5.3.2 Diversidad de aplicaciones e integridad de modulos 54

5.3.2.1 Niveles de integracion de los programas de contabilidad 55

CAPITULO 6

6 Explotacion de software de gestion 56

6.1 Identificacion de la empresa 57

6.1.1 Breve resena historica 57

6.1.2 Objetivos 57

6.1.3 Organigrama 58

6.1.4 Descripcion del proceso 58

6.1.4.1 Diagrama del proceso 60

6.1.5 Datos del personal 61

6.2 Aplicacin del trabajo teorico al caso 62

6.2.1 Aplicacin al modulo contabilidad 65

6.2.2 Aplicacin al modulo sueldos 68

CAPITULO 7

7 Explotacion de software de auditoria 73

7.1.1 Control de entrada de datos 75


3/132

3

7.1.2 Control de procesamiento de datos 78

7.1.3 Control de salida de datos 78

7.2 Ejemplos de aplicaciones al caso 78

ANEXOS 80

1 Plan de cuentas 81

2 Liquidaciones mes 1 a 6 83

3 SAC primer semestre 108

4 Fichas de legajos 113

5 Novedades diarias 118

6 Listado comparativo 118

7 Datos fijos 119

8 Asientos modelos 120

9 Asientos en Excel 121

10 Calculo contribuciones en Excel 127

11 Tabla dinamica valores totales por centro de costos 129

12 Grafico de tabla anterior 13013 Tabla dinamica de cantidad de empleados por funcion 131

14 Grafico de tabla anterior 132

15 Procedimientos del Software Tango Modulo Sueldos 133

15.1 Parametrizacin: Carga de Legajos. Carga de Categoras 133

15.2 Carga de Novedades: Diarias 134

15.3 Liquidacin: Datos Fijos, Concepto Individual, Emisin de Recibos 135

15.4 Procesos Peridicos: Pasaje a Contabilidad 137

15.5 Informes Libro Ley 138

15.6 Listado Comparativo de sueldos meses 1 a 6 139

15.7 Control con ACL 14015.8 Extraer los datos de la planilla de legajos ACL 141

15.9 Histograma mes de liquidacion ACL 142

15.10 Tabla ordenada por nmero de legajo 143

Grfico del total depositado del empleado 1

15.11 Log de comandos 145

Conclusion 149

Bibliografia 150


4/132

4

CAP. 1El Sistema de

Informacin


5/132

5

1.1 INTRODUCCIONLa Tecnologa de Informacin (TI) naci como soporte a las necesidades dentro de lasorganizaciones. Entre las aplicaciones de TI estn los Sistemas de Informacinautomatizados que sirven para el registro de las transacciones diarias y la generacin dereportes que presentan informacin con caractersticas de importancia, relevancia, claridad,

sencillez y oportunidad de tal forma que sea til para las personas a quienes se les entrega.Se ve su uso en muchas empresas, que van desde una clasificacin de Pyme hasta granempresa; sin embargo, la aplicacin en cada una puede variar debido a la magnitud deactividades de la misma, no as por su tamao. Entre las aplicaciones ms comunes estn:Planillas de Pago, Facturacin, Registro de IVA, Manejo de Cuentas Bancarias, Control deInventarios, Cobros, Pagos, Registros Financieros y Acadmicos, Prstamo de libros enbibliotecas, etc.Cada una de stas responde a necesidades de las empresas en las que se usan; por ejemplo,en una empresa comercial se puede tener automatizado el inventario de productos de tal

manera que se aumente cuando se realizan compras y se disminuya cuando se registranventas.Otra aplicacin combinada con sta es el Registro de Clientes y Cuentas por Cobrar, en laque se actualizan la apertura de crdito a los clientes y se da seguimiento a sus abonos a lacuenta hasta su cancelacin definitiva. Por supuesto, esto genera movimiento en los datosfinancieros por lo que se usa tambin aplicaciones para Caja Chica y, cuentasbancarias. Cada una de stas es una Aplicacin automatizada mediante programas decomputadora que al integrarse forman parte de un Sistema de Informacin; en otraspalabras, las aplicaciones no han de ser desligadas entre s y son manipuladas por personas(usuarios) que reciben los datos de cada transaccin. Estos datos pueden aparecer en

formularios como contratos, recibos, facturas y otros.Cuando los usuarios reciben los datos, stos son preparados e introducidos a la Base deDatos de la empresa mediante una aplicacin de computadora. El procesamiento de estosdatos depende de los propsitos de cada aplicacin de tal forma que se genere lainformacin adecuada y se presente los respectivos reportes. La disposicin de los datospuede ser desde el almacenamiento en una nica computadora hasta la conexin de variaspara el acceso de los datos mediante una Red de Area Local y ms all de esto, en una Redde Area Extendida y cuya tecnologa puede dar soporte tambin al acceso a Internet,intranets o extranets.La informacin que se distribuyen con los sistemas es considerada como uno de losrecursos valiosos de las organizaciones, en el sentido de que sta es utilizada para darleseguimiento a las actividades diarias.De hecho, nadie pone en duda que la informacin es poder por lo que muchasorganizaciones disponen los recursos necesarios para su obtencin y control, ya que sta yla tecnologa de informacin ayudan al desarrollo competitivo de las mismas,diferencindolas de la competencia, creando nuevos productos y servicios, nuevas barrerasde entrada, etc.


6/132

6

1.2 SISTEMAS DE INFORMACIN. MARCO TERICO.1

Un sistema de informacin es: Un conjunto de componentes interrelacionados que rene(u obtiene), procesa, almacena y distribuye informacin para apoyar la toma de decisionesy el control en una organizacin.

La informacin se obtiene luego de procesar los datos.Las actividades del sistema de informacin son: entrada, procesamiento y salida de datos.Existe la retroalimentacin que sirve para mejorar o controlar el funcionamiento.Los sistemas de informacin son sistemas sociotecnicos: porque adems de la tecnologa senecesita del factor humano.

1.2.1 TIPOS DE SISTEMAS

Los sistemas de informacin se desarrollan con diversos propsitos, segn las necesidadesde la empresa:

Los sistemas de procesamiento de transacciones (TPS, Transaction ProcessingSystems) funcionan al nivel operativo de una organizacin, apoyan el nivel msbajo, de la organizacin;

los sistemas de automatizacin de la oficina (OAS, Office Automaon Systems) ylos sistemas de trabajo del conocimiento (KWS,KnowledgeWork Systems) apoyanel trabajo al nivel del conocimiento.

Los sistemas de informacin gerencial (MIS, Management Information Systems) ylos sistemas de apoyo a la toma de decisiones (DSS, Decisin Support Systems) seencuentran entre los sistemas de alto nivel.

Los sistemas expertos e inteligencia artificial aplican el conocimiento de losencargados de la toma de decisiones para solucionar problemas estructuradosespecficos.

Los sistemas de apoyo a ejecutivos (ESS,Executive SupportSystems) se encuentranen el nivel estratgico de la administracin:


7/132

7

Los sistemas de apoyo a la toma de decisiones en grupo (GDSS, Group DecisinSupport Systems) y los sistemas de trabajo corporativo apoyados por computadora(CSCWS, Computer-Supported CollaborativeWork Systems), descritos de manerams general, auxilian la toma de decisiones semiestructuradas o no estructuradas anivel de grupo.

1.2.2 LA NECESIDAD DEL ANALISIS DE SISTEMASEl anlisis y diseo de sistemas, tiene el propsito de analizar sistemticamente la entrada oel flujo de datos, procesar o transformar datos, el almacenamiento de datos y la salida deinformacin en el contexto de una empresa en particular. Ms an, el anlisis de sistemas seemplea para analizar, disear e implementar mejoras en el funcionamiento de las empresas,a travs de sistemas de informacin computarizados.La instalacin de un sistema sin una planeacin adecuada conduce a una gran decepcin ycon frecuencia provoca que el sistema deje de utilizarse. El anlisis y diseo de sistemas da

forma al anlisis y diseo de sistemas de informacin, un esfuerzo muy valioso que de otramanera podra haberse realizado de una manera fortuita. Se le puede considerar como unaserie de procesos sistemticamente emprendidos con el propsito de mejorar un negociocon ayuda de sistemas de informacin computarizados. Gran parte del anlisis y diseo desistemas implica trabajar con usuarios actuales y ocasionales de los sistemas deinformacin.Es importante que los usuarios intervengan de alguna manera durante el proyecto paracompletar con xito los sistemas de informacin computarizados.

1.3 ESCENARIO ACTUAL Y FUTURO

Los principales retos de los sistemas de informacin son:

El reto estratgico de los negocios: Todo debe de estar en continua mejora lasempresas que no redisean sus productos o que no redisean a la organizacin en smisma, cometen el peor de los errores y esto los lleva a cavar su propia tumba, lainstitucin deja de ser productiva y pierde mercado.

El reto de la globalizacin: Debido a la globalizacin de la economa se requiere decomercio internacional, de romper barreras de lenguaje para llegar a un mayor nmerode consumidores potenciales, la empresa que no cuente con un sistema de informacinpreciso para que pueda ver las tendencias de los mercados internacionales y aprovechar

las oportunidades de negocios, est muerta. El reto de la arquitectura de la informacin: La organizacin como tal debe de tener

una filosofa comn y no debe de estar separada en islas incomunicadas, es decir debede haber un objetivo comn una mentalidad que todos y cada uno de los empleados dela misma se identifique.


8/132

8

El reto de la inversin en los sistemas de informacin: La pregunta principal que nosplanteamos es ser redituable la inversin que hagamos en la mejora de nuestro equipode computo, de telecomunicaciones? nos generar una mayor ganancia?

El reto de la responsabilidad y el control: En los sistemas de informacin estninvolucrados personas, estas personas podran hacer un mal uso de los sistemas de

informacin, por lo tanto debemos de planear una estrategia para hacer confiables aestas personas, ya sea haciendo ms robustos nuestros sistemas de seguridad, estarmonitoreando a los empleados o tenerles una confianza enorme y pensar que nuncaseran capaces de hacer un dao a su propia institucin, cmo actuar? Depende deusted mismo.

1.3.1 SISTEMAS DE PLANEACIN DE RECURSOS EMPRESARIALESMuchas organizaciones consideran los beneficios potenciales que se derivan de laintegracin de los diversos sistemas de informacin que existen en los diferentes nivelesadministrativos, con funciones dispares. Esta integracin es precisamente el propsito delos sistemas de planeacin de recursos empresariales (ERP,Enterprise Resource Planning).El establecimiento de los sistemas ERP implica un enorme compromiso y cambio por partede la organizacin.Es comn que los Contadores desempeen el papel de asesores en los proyectos de ERPque utilizan software patentado. Entre el software ms conocido de ERP se encuentranSAP, PeopleSoft y paquetes de Oracle y J.D. Edwards. Algunos de estos paquetes estndiseados para migrar a las empresas a la Web. Por lo general, los usuarios requierencapacitacin, apoyo tcnico y mantenimiento por parte del fabricante para disear, instalar,dar mantenimiento, actualizar y utilizar de manera apropiada un paquete de ERP en

particular.

1.3.2 APLICACIONES DE COMERCIO ELECTRNICO Y SISTEMAS WEBEn una encuesta reciente la mitad de todas las empresas pequeas y medianas respondieronque Internet fue su estrategia preferida para buscar el crecimiento de sus negocios. Estarespuesta duplic a la de aquellos que manifestaron su inclinacin por realizar alianzasestratgicas como medio para crecer. Hay muchos beneficios derivados de laimplementacin de una aplicacin en la Web:

1. Una creciente difusin de la disponibilidad de un servicio, producto, industria, persona o

grupo.2. La posibilidad de que los usuarios accedan las 24 horas.3. La estandarizacin del diseo de la interfaz.4. La creacin de un sistema que se puede extender a nivel mundial y llegar a gente enlugares remotos sin preocuparse por la zona horaria en que se encuentren.

1.3.3 SISTEMAS PARA DISPOSITIVOS INALMBRICOS Y PORTTILES


9/132

9

Existe gran cantidad de nuevos sistemas y aplicaciones, muchos de ellos para dispositivosinalmbricos y computadoras porttiles adems de otros asistentes personales digitales(PDAs,PersonalDigital Assistants].El comercio electrnico inalmbrico se conoce como comercio mvil o m-commerce.Las redes inalmbricas de rea local [WLANs, Wireless Local rea Networks), las redes de

fidelidad inalmbrica, conocidas como WI-FI, y las redes inalmbricas personales queagrupan a muchos tipos de dispositivos dentro del estndar conocido como Bluetooth,constituyen sistemas.En un contexto ms avanzado, podran existir sistemas inteligentes, software que puedeayudar a los usuarios a ejecutar tareas mediante el aprendizaje de las preferencias delusuario a travs del tiempo y, a continuacin, realizando alguna accin sobre stas. Porejemplo, en la tecnologa de recepcin automtica, un agente inteligente podra buscartemas de inters para el usuario en la Web, sin necesidad de que ste lo solicite, despus deobservar durante algn tiempo los patrones de comportamiento del usuario en relacin con

la informacin.Un ejemplo de este tipo de software es el que desarrolla Microsoft con base en la estadsticabayesiana (donde se utilizan estadsticas para inferir probabilidades) y la teora de la tomade decisiones, en conjunto con el monitoreo del comportamiento de un usuario que manejainformacin entrante (como un mensaje de su casa, una llamada telefnica de un cliente,una llamada de celular o el anlisis actualizado de su cartera de acciones). El resultado essoftware de manejo de notificaciones que da un valor monetario a cada pieza deinformacin proveniente de diversas fuentes y tambin determina la mejor manera dedesplegarla.Por ejemplo, con base en la teora de la toma de decisiones, la probabilidad, la estadstica y

el propio comportamiento del usuario, a una llamada telefnica proveniente de la casa delusuario se le podra dar el valor de un peso y se desplegara en la pantalla de lacomputadora, en tanto que a una llamada cuyo propsito es la venta de algn producto oservicio se le podra asignar el valor de 20 centavos (es decir, un valor inferior) y podradesplegarse como nota en un radiolocalizador.

1.3.4 EXTRANET E INTRANETLas compaas estn aprovechando la conectividad y el uso de la tecnologa de Internet,para crear redes corporativas internas llamadas intranets, las cuales utilizan tecnologa deinternet. El numero de estas intranets privadas para la comunicacin, cooperacin ycoordinacin de las organizaciones va en ascenso.Cuando se permite el ingreso a estas intranets privadas, por ejemplo: a concesionarios(como el caso de Toyota Motor Corporation) para coordinar las actividades de producciny diseo con los pedidos del cliente, estas intranets extendidas a usuarios autorizados fuerade la organizacin se llaman extranet.

1.3.5 DATAWAREHOUSE


10/132

10

Coleccin de datos orientada a un determinado mbito (empresa, organizacin, etc.),integrado, no voltil y variable en el tiempo, que ayuda a la toma de decisiones en laentidad en la que se utiliza.DataWareHouse o tambin conocido como Almacn de Datos, ofrece la solucin comoubicacin central para que todos puedan acceder a la informacin con los reportes

necesarios, dando respuesta a necesidades de diferentes tipos de usuarios.El DWH surgi con el objetivo de hacer consultable la informacin que se tiene de una empresa tanto de meses como de aos anteriores. Este organiza y orienta los datos desde laperspectiva del usuario final.Los principales objetivos de un Datawarehouse son:

Comprender las necesidades de los usuarios por reas dentro del negocio. Determinar qu decisiones se pueden tomar con la ayuda del DWH. Seleccionar un subconjunto del sistema de fuentes de datos que sea el ms efectivo y

procesable para presentar el DWH. Asegurar que los datos sean precisos, correctos y confiables y que mantengan la

consistencia. Monitorear continuamente la precisin y exactitud de los datos y el contenido de los

reportes generados. Publicar los datos.

1.3.6 XBRL (estndar para entornos financieros)Las empresas vienen realizando transacciones electrnicas mediante EDI (Electronic DataInterchange), estndar usado desde hace tiempo, pero las tecnologas necesarias para su

implementacin quedan fuera del alcance para el bolsillo de una pequea y medianaempresa.Para solucionar este problema, un consorcio ha desarrollado varios estndares basados enXML (estndar de referencia para intercambiar cualquier tipo de documento electrnico),como el ebXML o el UBL (Universal Business Language), para el intercambio deinformacin entre empresas y la estandarizacin de algunos tipos de documentosempresariales como recibos de compra. Dentro de XML, se encuentra el modelodenominado XBRL.Debido a que cada aplicacin informtica de contabilidad utiliza un formato diferente parael almacenamiento de los datos, crea la necesidad de desarrollar programas especficos para

el intercambio de informacin entre dos aplicaciones distintas y se hace cada vez msnecesaria la publicacin de informacin financiera en Internet para muchas empresas y condistintos formatos: PDF, HTML, RTF, texto, hojas de clculo, etc, por ello, nace el estndarXBRL, cuyo objetivo es, precisamente, el de facilitar el intercambio automtico deinformacin financiera entre aplicaciones de software; seleccionar la informacin queinteresa y capturarla fcilmente y tratarla sin necesidad de una intervencin manual.


11/132

11

Cualquiera que haya querido encontrar o trabajar informacin financiera, se habrencontrado con que sta le habr sido entregada en un archivo texto plano, en una hoja declculo o, por ejemplo, en un archivo PDF. Esta falta de homogeneidad en el procesamientoy transmisin de la informacin implica mayores costes en su tratamiento, por este motivosurgi la iniciativa de crear un lenguaje estndar que permitiera el intercambio de

informacin contable, no solo a travs de Internet, sino para todos los programas decontabilidad.

1.3.7 VoIPCansadas de acumular elevadas facturas de telecomunicaciones, cada vez ms empresaseligen Internet para sus comunicaciones telefnicas. Los servicios de voz sobre IP (VoIP)permiten a las empresas realizar llamadas a travs de la misma red que utilizan para accedera Internet y al correo electrnico, y con un costo mucho menor que el de redes de voztradicionales.

Por desgracia, los mismos tipos de ataques que afectan las redes de datos pueden afectar lasredes VoIP. Como consecuencia, el contenido de las comunicaciones VoIP es vulnerable alos ataques, el hackeo, las modificaciones, las intercepciones y los reenrutamientos. Peoran, como las comunicaciones de voz y de datos se ejecutan en la misma infraestructura, unataque al sistema VoIP podra hacer peligrar toda la disponibilidad de la red IP, lo quepondra en peligro la capacidad de la empresa para comunicarse por medio de voz y dedatos.

1.3.8 LA REVOLUCION DE LAS REDES E INTERNET: 2El efecto de los sistemas de informacin es cada vez mayor, debido al aumento de la

potencia y la disminucin de su costo.Definicin de WWW: la World Wide Web es un sistema de distribucin de informacinbasado en hipertexto o hipermedios enlazados y accesibles a travs de Internet. Con unnavegador web, un usuario visualiza sitios web compuestos de pginas web que puedencontener texto, imgenes, videos u otros contenidos multimedia, y navega a travs de ellasusando hiperenlaces.

1.3.9 LA WEB 2.0 EN LAS EMPRESAS, QUE ES Y PARA QUE SIRVE?3Blogs, MySpace, Wikipedia y YouTube son los smbolos de la nueva Internet. Muchasempresas estn aplicando las tecnologas 2.0 para aceitar sus operaciones, desarrollarproductos y mejorar sus relaciones con clientes y proveedores.En los ltimos aos, si de algo se habl en la comunidad de cibernautas es de la "irrupcinde la Web 2.0", del "nuevo paradigma comunicacional" y sus implicancias sociales,culturales y, desde luego, econmicas. La nueva web prometa una mayor interactividad,contenidos audiovisuales y la colaboracin espontnea de millones de usuarios de todo elmundo en la creacin de contenidos.


12/132

12

Los blogs, MySpace, Wikipedia y YouTube ya son los emblemas de la web 2.0, construidasobre las tecnologas RSS (que permite una sencilla distribucin de contenidos), el P2P(para compartir archivos), los podcasts (la incorporacin de audio y video) y las wikis (queofrecen la posibilidad de compartir y corregir conocimiento colectivamente).As, en este nuevo escenario, estn quedando en el pasado los das en que la nica relacin

entre empresas e Internet era el estticamente aburrido website donde promocionaban susproductos.Ahora, segn una encuesta global de la consultora McKinsey, tres de cada cuatro grandesempresas ya implementaron herramientas de la nueva Internet en sus operaciones. Losobjetivos principales: la automatizacin de procesos y el fomento del networking interno.Veamos... Los "web services" son la herramienta 2.0 ms popular entre ejecutivos. De hecho, el 80por ciento de los encuestados declar haber implementado (o tenerlo previsto para elfuturo) softwares que facilitan la transmisin de datos entre distintos sistemas.

Esto puede ser fuente de enormes ventajas en algunas actividades. A travs de los webservices, un retailer puede comunicarse online con su proveedor y actualizarautomticamente los inventarios de cada uno. Otra herramienta inmensamente popular de la web biz 2.0 es el "peer-to-peernetworking", utilizado para compartir informacin en tiempo real con clientes oproveedores. Uno de cada cinco encuestados declar haber implementado weblogs para mejorar losprocesos de atencin al cliente y obtener feedback de los usuarios. Las herramientas de inteligencia colectiva (como el wiki) se estn volviendo muypopulares para el desarrollo de productos. Muchas empresas han diseado una serie de

sistemas y procesos para que cada empleado pueda poner su opinin a consideracin delresto. De ah salen muchas buenas ideas para nuevos productos.En definitiva, la web 2.0 ya se est metiendo de lleno en las empresas. Los rezagados (y losque estaban en posicin de "wait and see") se estn dando cuenta de que las herramientasde la nueva web pueden ser perfectas para mejorar la eficiencia de las operaciones y aceitarla relacin con los clientes.Este es precisamente el caso de las compaas de Amrica Latina, cuyos ejecutivos hasta elpresente no apostaron fuerte por la web 2.0. Sin embargo, en vista del xito obtenido en loscasos donde se implement, en los prximos aos piensan recuperar el terreno perdidoinvirtiendo en tecnologas 2.0 a un ritmo mayor que las corporaciones estadounidenses oeuropeas.

1.3.10LA EMPRESA CONECTADA ENREDS produce un aplanamiento de las organizaciones. Hay menos niveles de administracin ylos empleados tienen mayor autonoma para tomar decisiones, esto es porque los sistemasde informacin brindan mayor cantidad de informacin.Se logra separar el trabajo de la ubicacin geogrfica: El trabajo va al trabajador.
http://www.materiabiz.com/mbz/2020/nota.vsp?nid=22978http://www.materiabiz.com/mbz/2020/nota.vsp?nid=28841http://www.mckinseyquarterly.com/article_page.aspx?ar=1913&L2=16&L3=16&srid=17&gp=0http://www.mckinseyquarterly.com/http://www.materiabiz.com/mbz/2020/nota.vsp?nid=26737http://www.materiabiz.com/mbz/2020/nota.vsp?nid=22935http://www.materiabiz.com/mbz/2020/nota.vsp?nid=22935http://www.materiabiz.com/mbz/2020/nota.vsp?nid=26737http://www.mckinseyquarterly.com/http://www.mckinseyquarterly.com/article_page.aspx?ar=1913&L2=16&L3=16&srid=17&gp=0http://www.materiabiz.com/mbz/2020/nota.vsp?nid=28841http://www.materiabiz.com/mbz/2020/nota.vsp?nid=22978


13/132

13

Existe una reorganizacin de flujos de trabajo. El sistema de informacin se encarga deltrabajo que antes era manual. Creciente flexibilidad de las organizacionesCon esto logran una mayor respuesta a los cambios.Los sistemas de informacin proporcionan a los administradores ms y mejorescapacidades.

Y como consecuencia se redefinen de las fronteras de las organizaciones, con ayuda de lasredes (Internet) es ms fcil conseguir productos y servicios externos.

1.4 LAS ORGANIZACIONES COMO SISTEMAS4Desde la perspectiva de los negociosLas organizaciones se consideran como sistemas diseados para cumplir metas y objetivospredeterminados con la intervencin de la gente y otros recursos de que disponen. Lasorganizaciones se componen de sistemas ms pequeos e interrelacionados (departamentos,unidades, divisiones, etc.) que se encargan de funciones especializadas. Entre las funciones

comunes estn la contabilidad, el marketing, la produccin, el procesamiento de datos y laadministracin. Con el tiempo, las funciones especializadas (sistemas ms pequeos) sereintegran a travs de diversos mecanismos para dar forma a un todo organizacionaleficiente.La importancia de considerar a las organizaciones como sistemas complejos radica en quelos principios que se aplican a los sistemas permiten formarse una idea de la manera en quefuncionan las organizaciones. Es muy importante considerar a la organizacin como untodo, con el fin de averiguar adecuadamente los requerimientos de informacin y de disearsistemas de informacin apropiados. Todos los sistemas se componen de subsistemas (queincluyen a los sistemas de informacin); por lo tanto, al estudiar una organizacin, tambin

examinamos cmo influyen los sistemas ms pequeos y cmo funcionan.

1.4.1 INTERRELACION E INTERDEPENDENCIA DE LOS SISTEMASTodos los sistemas y subsistemas se interrelacionan y son interdependientes. Esta situacintiene importantes implicaciones tanto para las organizaciones como para los contadores,encargados de contribuir a que aqullas consigan de la mejor manera sus metas.Cuando se cambia o elimina un elemento de un sistema, el resto de los elementos ysubsistemas del sistema tambin experimentan cambios importantes.Todos los sistemas procesan informacin proveniente de sus entornos. Por naturaleza, losprocesos cambian o transforman esa informacin entrante en informacin de salida.Otro aspecto que hace a las organizaciones parecidas a los sistemas es que todos lossistemas estn delimitados por fronteras que los separan de sus entornos. Las fronteras deuna organizacin existen en un continuo que va de extremadamente permeable a casiimpermeable.Para continuar evolucionando y sobrevivir, las organizaciones deben tener primero lacapacidad de allegarse gente, materias primas e informacin al interior de sus fronteras


14/132

14

(entradas), y despus, de intercambiar sus productos, servicios o informacin terminadoscon el mundo exterior (salidas).La retroalimentacin constituye un mecanismo de control del sistema. Como sistemas,todas las organizaciones utilizan la planeacin y el control para administrar con eficacia susrecursos.

Sin embargo, el sistema ideal es aquel que se corrige y regula por s mismo de tal maneraque no es necesario tomar decisiones sobre situaciones comunes. Un ejemplo lo constituyeun sistema de informacin computarizado para planear la produccin que toma en cuenta lademanda actual y la proyectada y propone una solucin como salida.La retroalimentacin llega desde el interior de la organizacin y desde los entornos que lacircundan. Cualquier cosa externa a las fronteras de la organizacin se considera como unentorno. Numerosos entornos, con diversos grados de estabilidad, constituyen el medio enel cual se desenvuelve la organizacin.El concepto de apertura o cerrazn interna de las organizaciones es similar y est

relacionado con la permeabilidad externa de las fronteras. La apertura y la cerrazn tambinexisten en un continuo, ya que no hay una organizacin que sea absolutamente abierta ocompletamente cerrada.La apertura se refiere al flujo de informacin libre dentro de la organizacin. Lossubsistemas como los departamentos creativos o de arte con frecuencia se representan comoabiertos, con un flujo de ideas libre entre los participantes y muy pocas restricciones acercade quin obtienen qu informacin en un momento determinado cuando un proyectocreativo est en sus etapas tempranas.En el extremo opuesto del continuo podra encontrarse una unidad del departamento dedefensa asignada a un proyecto ultra secreto relacionado con la seguridad nacional. Cada

persona necesita autorizacin, la informacin oportuna es una necesidad y el acceso a lainformacin se realiza sobre la base de "necesidad de saber". Este tipo de unidad est regidapor una gran cantidad de reglas.Al utilizar y enlazar sistemas para comprender las organizaciones podemos entender elconcepto de sistemas compuestos de subsistemas; su interrelacin e interdependencia; laexistencia de fronteras que permiten o impiden la interaccin entre diversos departamentosy elementos de otros subsistemas y entornos; y la existencia de entornos internoscaracterizados por grados de apertura y cerrazn, que pueden variar entre departamentos,unidades o incluso proyectos.


15/132

15

Un sistema de informacin es una solucin organizacional y administrativa, basada entecnologa de de informacin, a un reto que se presenta en el entorno.

1.4.2PROCESOS ADMINISTRATIVOS5

Proceso administrativo es el conjunto de fases o etapas sucesivas a travs de las cuales seefecta la administracin, las mismas se interrelacionan y forman un proceso integral.Est compuesto por una FASE MECANICA: que comprende la planeacin y laorganizacin, y por una FASE DINAMICA: aqu est la direccin que se encarga de verque se realicen las tareas y para ello cuenta con la supervisin, liderazgo, comunicacin y

SUBSISTEMA

EMPRESA

SUBSITEMAADMINISTRACION

SUBSITEMA

INFORMACION

SISTEMA DE INFORMACION

TECNOLOGIASINFORMATICAS

PROCESOSADMINISTRATIVOS

PROCESOS DETOMA DE

DECISIONES


16/132

16

motivacin, y por ltimo, encontramos al control que es el encargado de decir como se harealizado, que se hizo, como se hizo y compara los estudios.

1.4.2.1 SUBSISTEMA DE CONTROL 6En general podemos definir control como: un sistema de informacin que permite comparar los planeado con los resultados obtenidos a travs de la gestin, adoptando lasmedidas correctivas pertinentes en caso de detectarse desviaciones significativas.Caractersticas comunes que procuran la eficacia del sistema:

Precisin: un sistema de control que genera informacin imprecisa puede inducir a noactuar cuando se debiera o reaccionar contra un problema que no existe. Un sistema decontrol preciso es digno de confianza y proporciona datos vlidos.

Oportunidad: los controles debern advertir a los administradores en forma oportuna

cuando se producen las variaciones. Un sistema de control eficaz deber aportarinformacin oportuna, ya que la mejor informacin tiene escaso valor cuando se tornaobsoleta.

Economa: la operacin de un sistema de control debe ser econmica, es decir que,todo sistema de control tendr que justificar los beneficios que aporta en relacin conlos costos que ocasiona.

Flexibilidad: los controles deben ser lo suficientemente flexibles como para ajustarse acambios adversos o para aprovechar nuevas oportunidades.

Inteligibilidad: los controles que no son comprensibles para los usuarios carecen devalor. Un sistema de control que es difcil de entender puede ocasionar erroresinnecesarios, frustrar a los empleados y a la larga ser ignorado.

Criterios Razonables: los estndares de control debern ser razonables y susceptiblesde alcanzarse. Si son demasiado altos o no resultan razonables, su posible accinmotivadora desaparece.

Localizacin estratgica: los administradores debern establecer controles sobre losfactores que sean estratgicos para el rendimiento de la organizacin. Los controles


17/132

17

debern abarcar las actividades, operaciones y eventos crticos dentro de laorganizacin.

Accin Correctiva: un sistema de control eficaz deber no slo sealar el problemasino tambin especificar una solucin. Es decir que deber sugerir medidas alternativasque ser conveniente tomar para corregir la desviacin.

1.4.3 PROCESOS DE TOMA DE DECISIONESLa toma de decisiones est basada en el anlisis de los datos y la informacin.- Para tomar decisiones acertadas, es mejor basarse en la frialdad y objetividad de los

datos, ms que intuiciones, deseos y esperanzas. Los datos, plantean varios problemas. Elmodo de obtenerlos, su fiabilidad y darles una interpretacin adecuada.- El sistema de gestin de la calidad, mejora la calidad de la informacin obtenida, ymejora los cauces para su obtencin. Con buena informacin, se pueden hacer estudios yanlisis de futuro, y mejora del producto a corto plazo.- Otro problema que presentan los datos, es su aceptacin por parte de los miembros de laorganizacin. Los datos, son fros y basados en hechos reales. Por tanto, son objetivos.Quien no quiera aceptar los resultados, debe de realizar un esfuerzo para mejorar por simismo los datos, hasta obtener el resultado esperado o exigido.- No hay que perder el tiempo, ni perderse en recriminaciones si los datos son negativos.

Los miembros de la organizacin, han de autoanalizarse con la ayuda del resto del colectivopara intentar mejorar los resultados. Conseguir las metas y objetivos marcados en el plan dela organizacin. No hay que tener reparo en tratar estos temas, ni sentir vergenza. Elintercambio de informacin, positiva o negativa, debe de fluir por la organizacin. Han desealarse los defectos y poner un pronto remedio sin perjudicar a ningn miembro oproceso de la organizacin. Los hechos, son los hechos. Y es responsabilidad de todosaceptarlos y ponerles remedio.


18/132

18

- Es habitual que se omita en esta definicin el procedimiento, aunque est implcito: lainformacin es la herramienta o materia prima fundamental al tomar decisiones de laempresa. A mayor calidad de la informacin, mejor calidad en las resoluciones. Se puedenseguir criterios analticos cuantificables y exactos, si se tiene informacin perfecta. Lainformacin, vale tanto como el beneficio, o ausencia de prdidas que se obtengan en base

a esa informacin.

1.4.4POSTULADOS BSICOS DE LA TIC EN LOS SI

Las Tecnologas de la Informacin han sido conceptualizadas como la integracin yconvergencia de la computacin, las telecomunicaciones y las tcnicas para elprocesamiento de datos, donde sus principales componentes son: el factor humano, loscontenidos de la informacin, el equipamiento, la infraestructura, el software y losmecanismos de intercambio de informacin, los elementos de poltica y regulaciones,adems de los recursos financieros.

- Tecnologa no es lo mismo que automatizacin- La tecnologa informtica integra: soft, hard, comunicaciones, procesos, bases de

datos, RRHH, financieros.- La informtica es un capacitador esencial, porque les permite a los organismos

redisear sus procesos.


19/132

19

- Para aplicar tecnologa informtica a los negocios es necesario pensar en formainductiva (tomar las decisiones pensando en el futuro).

Cuando hablamos de tecnologa aplicada al SI nos referimos:1er Nivel: Utilizacin del proceso electrnico de datos.

2do Nivel: Interaccin mediante el uso de las Redes (entre oficinas).3er Nivel: Aplicacin de las tradicionales funciones de la administracin y direccin, entiempo real y de manera interactiva.

1.4.4.1INTERACCIN TRANSACCIONAL AUTOMTICA VA SISTEMASUna transaccin electrnica es cualquier actividad que involucra la transferencia deinformacin digital para propsitos especficos.Tipos de transacciones

Entre empresas

Las empresas compran, venden, se comunican con proveedores atraves de la red. EDI tranferencia electronica de documentacion

Business toBusiness

Entre empresas y consumidores

Empresas venden sus productos y ofrecen servicios a traves de lared. Home banking, banca empresa

Business toConsumers

Operaciones entre consumidores

Los remates en lineaConsumers toConsumers

Entre consumidores y Gobierno

Es lo que se llama gobierno electronico. Gestion legal automatica

Consumers toAdministrations


20/132

20

CAP. 2

Fortalezas yoportunidades delProfesional en

Cs. Econmicas


21/132

21

2.1 EL CONTROL ESTABLECIDO POR LAS NORMAS PROFESIONALESACTUALESNIA 400: Evaluacin de riesgo y control interno [] El auditor deber obtener unacomprensin de los sistemas de contabilidad y de control interno suficiente para planear laauditora y desarrollar un enfoque de auditora efectivo. El auditor debera usar juicio

profesional para evaluar el riesgo de auditora y disear los procedimientos de auditorapara asegurar que el riesgo se reduce a un nivel aceptablemente bajo.El trmino "Sistema de control interno" significa todas las polticas y procedimientos(controles internos) adoptados por la administracin de una entidad para ayudar a lograr elobjetivo de la administracin de asegurar, tanto como sea factible, la conduccin ordenaday eficiente de su negocio, incluyendo adhesin a las polticas de administracin, lasalvaguarda de activos, la prevencin y deteccin de fraude y error, la precisin eintegralidad de los registros contables, y la oportuna preparacin de informacin financieraconfiable.[]

NIA 401: Auditoria En Un Ambiente de Sistemas de Informacin Por Computadora[] El auditor debera tener suficiente conocimiento del SIC para planear, dirigir,supervisar y revisar el trabajo desarrollado. El auditor debera considerar si se necesitanhabilidades especializadas en SIC en una auditora. De acuerdo con NIA "Evaluacin delriesgo y control interno", el auditor debera hacer una evaluacin de los riesgos inherente yde control para las aseveraciones importantes de los estados financieros. []

Las pautas de INTOSAILas Directrices para las Normas de Control Interno de la INTOSAI, de junio de 1992,

definen una estructura de control interno con respecto a los planes de una organizacin, locual abarca la actitud, los mtodos, los procedimientos y otras medidas de gestin, queproporcionen una garanta razonable de que van a lograrse los siguientes objetivos decarcter general:- Promover las operaciones metdicas, econmicas, eficientes y eficaces y los productos yservicios de calidad, acorde con la misin que la institucin debe cumplir;- Preservar los recursos frente a cualquier prdida por despilfarro, abuso, mala gestin,errores, fraude e irregularidades;- Respetar las leyes, reglamentaciones y directivas de la direccin; y- Elaborar y mantener datos financieros y de gestin fiables y presentarlos correctamente enlos informes oportunos.Las normas de control interno prescritas por la INTOSAI constituyen el marco para unaestructura de control interno que cumpla estos objetivos.

Las pautas del COBITCOBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la formaen que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de


22/132

22

control, COBIT consolida y armoniza estndares de fuentes globales prominentes en unrecurso crtico para la gerencia, los profesionales de control y los auditores. Como tal,COBIT representa una estructura de control autorizada, actualizada, un conjunto deobjetivos de control generalmente aceptados, y un producto agregado que posibilita la fcilaplicacin de la Estructura y los Objetivos de Control - denominado las Guas de Auditoria.

- Analiza el impacto de las actividades de control sobre los recursos de TI- Define requerimientos organizacionales en cuanto a la efectividad, eficiencia,

confidencialidad, integridad, cumplimiento y confiabilidad de la informacin.- Especifica actividades de control, que incluyen polticas, conformacin de

estructuras organizacionales, prcticas y procedimientos.- COBIT define al control como las polticas, los procedimientos, las practicas y las

estructuras organizacionales concebidas para brindar una garanta razonable de quelos objetivos de negocio se lograran y que los eventos no deseados se impedirn odetectaran y se corregirn.

2.2 NECESIDAD DE FORMACION PROFESIONALEl Contador Pblico es un profesional que se capacita para satisfacer las necesidades de losEntes econmicos en la construccin, evaluacin, ordenamiento, anlisis e interpretacin dela informacin econmica y financiera de las empresas o los individuos y el diseo eimplementacin de sistemas de informacin requeridos en el proceso empresarial. ElContador Pblico con su gestin eficiente y eficaz, permite la interaccin econmica a nivelnacional e internacional.Hoy en da el Contador Pblico tiene un compromiso social no solamente en el desarrollode la empresa en marcha, sino en la participacin activa en la materializacin de nuevas

ideas que buscan crear empresas necesarias en su entorno. Est presente en el proceso decrecimiento de los entes econmicos a travs de la evaluacin del logro de objetivos ymetas propuestos.El Contador Pblico requiere entonces que durante la formacin profesional adquiera loselementos que le permitan conocer el manejo de los recursos, apoyar el procesoadministrativo de los negocios, tomar decisiones financieras, evaluar la gestin, ejercercontrol sobre las operaciones, fundamentar las cargas tributarias, proveer la informacinque conforman las estadsticas y contribuir a la evaluacin de beneficios e impacto social,que la actividad econmica del Ente en el cual se encuentra ejerciendo, representa para lacomunidad.Debe ser un profesional tico idneo, llamado a contribuir al fortalecimiento empresarialcomenzando por las constituidas con capital pblico hasta las unipersonales conformadaspor pequeos capitales privados, apoyando el diagnstico y fortalecimiento del ambiente decontrol financiero, administrativo y operacional que permita minimizar en el mayor gradoel riesgo de la corrupcin y la ineficiencia empresarial.La Contadura Pblica es una ciencia social, que logra dirimir diferencias en el proceso deinscripcin e interpretacin de realidades socioeconmicas, atiende factores polticos y


23/132

23

plantea soluciones, utilizando mtodos de evaluacin apropiados para cada situacin de talforma que la informacin suministrada sirva de enlace y promueva las relacioneseconmicas entre los diferentes sectores.Los contadores tiene la oportunidad de realizar auditoria de sistemas. Esto permite conocersobre las debilidades y fortalezas que tiene una empresa en sus sistema de informacin,

como maneja el control de la informacin contable, que personas estn autorizadas para elsuministro de la misma, con que cmputos cuenta para el manejo de tal informacin, ya quela seguridad de las personas, de los datos, hardware, software son primordial para el logrode los objetivos de una organizacin.

Adems tiene como necesidad de formacin profesional: el conocer en profundidad lascausas que llevan a la adquisicin del computador, saber comparar las ventajas tcnicas delos equipos, adquirir conocimiento de todas las aplicaciones, plantear en forma precisa a losanalistas y programadores las necesidades informticas, etc.7


24/132

24

CAP.3

El Riesgo y el controlen los Sistemas deInformacin


25/132

25

3.1 CONCEPTUALIZACIONSe puede definir los riesgos de auditora como aquellos riesgos de que la informacin puedatener errores materiales o que el auditor de sistemas no pueda detectar un error que haocurrido. Los riesgos en auditora pueden clasificarse de la siguiente manera:

Riesgo inherente: Cuando un error material no se puede evitar que suceda por queno existen controles compensatorios relacionados que se puedan establecer.

Riesgo de Control: Cuando un error material no puede ser evitado o detectado enforma oportuna por el sistema de control interno.

Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partirde un procedimiento inadecuado.

El auditor puede llegar a la conclusin de que no existen errores materiales cuando enrealidad los hay. La palabra "material" utilizada con cada uno de estos componentes oriesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una

auditora. En una auditora de sistemas de informacin, la definicin de riesgos materialesdepende del tamao o importancia del ente auditado as como de otros factores. El auditorde sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar.Una auditora tal vez no detecte cada uno de los potenciales errores en un universo. Pero, siel tamao de la muestra es lo suficientemente grande, o se utiliza procedimientosestadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin. Demanera similar al evaluar los controles internos, el auditor de sistemas debe percibir que enun sistema dado se puede detectar un error mnimo, pero ese error combinado con otros,puede convertirse en un error material para todo el sistema.La materialidad en la auditora de sistemas debe ser considerada en trminos del impacto

potencial total para el ente en lugar de alguna medida basado en lo monetario.

3.2TECNICAS DE EVALUACION DE RIESGOSAl determinar qu reas funcionales o temas de auditora que deben auditarse, el auditor desistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditora, elauditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de altoriesgo debe ser auditada, y as elaborar una estrategia de seguridad e implementar lastcnicas necesarias para desarrollarla. Existen cuatro motivos por los que se utiliza laevaluacin de riesgos, estos son:

Permitir que la gerencia asigne recursos necesarios para la auditora.

Garantizar que se ha obtenido la informacin pertinente de todos los nivelesgerenciales, y garantiza que las actividades de la funcin de auditora se dirigencorrectamente a las reas de alto riesgo y constituyen un valor agregado para lagerencia.

Constituir la base para la organizacin de la auditora a fin de administrareficazmente el departamento.


26/132

26

Proveer un resumen que describa como el tema individual de auditora se relacionacon la organizacin global de la empresa as como los planes del negocio.

3.2.1METODOLOGA DE DETECCIN DE RIESGOS1. Anlisis sistmico de la organizacin: identificacin de subsistemas (en funcin del

tipo de producto).2. Identificacin de procesos de cada subsistema: anlisis de la lgica procesal (como

funciona el programa).3. Identificacin de puntos de generacin de variaciones patrimoniales: anlisis de

generacin de elementos documentales y registros.4. Verificacin de implantacin y mantenimiento de automatismos: medidas

disuasivas (p.e.: carteles), preventivas (p.e.: password) y detectivas (p.e.: loggin).

3.2.2IDENTIFICACIN DE RIESGOS GENERADOS POR EL USO DE TECNOLOGA

Caracterizacion

Negligencia Delito informatico

Agentes

Fisicos, normales, capacidad, motivacionBeneficio economico, beneficio no

economico, venganza, curiosidad, extorsion.

Amenazas

Actos de la naturaleza, falla deequipos, soft, intalaciones, errores y omisiones.

Fraudes, dano intencional, invasion a laprivacidad.

Naturaleza

Accidentales Intencionales


27/132

27

3.3CONTROLESSon los recursos que el mbito computarizado tiene para protegerse de las accionesaccidentales o intencionales que obstaculicen en el cumplimiento de sus objetivos.

3.3.1REVISION DE LOS CONTROLES GENERALESEl objetivo de esta revisin es analizar y evaluar la estructura organizacional, las polticas,los procedimientos operativos, el control de costos, El uso de los recursos materiales ytcnicos del departamento encargado de los sistemas de informacin dentro de la empresa.Es decir evaluar la administracin de la funcin de sistemas de la empresa.

3.3.2REVISION DE CENTROS DE CMPUTOConsiste en revisar los controles en las operaciones del centro de procesamiento deinformacin en los siguientes aspectos:

1. Revisin de controles en el equipo: Se hace para verificar si existen formas adecuadasde detectar errores de procesamiento, prevenir accesos no autorizados y mantener unregistro detallado de todas las actividades del computador que debe ser analizadoperidicamente.2. Revisin de programas de operacin: se verifica que el cronograma de actividadespara procesar la informacin asegure la utilizacin efectiva del computador.3. Revisin de controles ambientales: se hace para verificar si los equipos tienen uncuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado,fuentes de energa continua, extintores de incendios, etc.4. Revisin del plan de mantenimiento: Aqu se verifica que todos los equipos principales

tengan un adecuado mantenimiento que garantice su funcionamiento continuo.5. Revisin del sistema de administracin de archivos: se hace para verificar que existanformas adecuadas de organizar los archivos en el computador, que estn respaldados, ascomo asegurar que el uso que le dan es el autorizado.6. Revisin del plan de contingencias: Aqu se verifica si es adecuado el plan de recuperoen caso de desastre.

3.3.3REVISION DE SEGURIDADEl objetivo de esta revisin es analizar y evaluar los controles diseados para salvaguardarlas instalaciones del centro de procesamiento de datos de eventos accidentales,intencionales o naturales que puedan causar daos, prdidas de informacin o destruccin,la revisin de estos controles estn relacionados con el acceso lgico y acceso fsico y conel ambiente en los centros de informacin. Se debe tener en cuenta que la filosofa de laseguridad, est basada en "saber quin es" para "saber que puede hacer"a) Controles de acceso lgico:Se usan para limitar el uso de las aplicaciones de los computadores, algunos ejemplos son:Login y passwords, estos sirven para identificar el usuario y por lo tanto con este dato el


28/132

28

sistema, otorgar niveles de acceso en las aplicaciones, es decir niveles como lossiguientes: solo lectura, lectura modificacin, creacin, eliminacin de registros, ejecutar,copiar, etc. Acceso a los sistemas utilizando tecnologa biomtrica, basados en la voz,retina, huella digital, etc.Procedimientos de Dial-Back, que consiste en la identificacin del usuario a travs de su

nmero de lnea y luego verificando si este nmero de lnea est autorizado.b) Controles de acceso Fsico:Se usan generalmente para el resguardo del centro de cmputo, o centros importantes deprocesamiento de datos son muy variados, he aqu unos ejemplos: Seguros en las puertas,puertas con combinacin, doble puerta, etc. Puertas electrnicas, con tarjetas, digitacin decdigo, con alarma silenciosa, etc. Puertas con sistema biomtrico basados en la voz, retina,huella digital, etc. Acceso controlado con fotocheks, guardias de seguridad, etc. Escoltaspara visitas. Omisin de letreros que indiquen las zonas del centro de procesamiento dedatos. Llaves en los terminales, etc.

c) Controles del ambiente:Detectan peligros dentro del centro de cmputo, ejemplos: Detectores de agua. Extintoresde mano. Alarmas manuales. Detectores de humo. Sistemas para apagar incendios, deHaln, de Agua Locacin estratgica 3er, 4to, 5to o 6to piso. Inspecciones regulares demedidas contra incendios. Uso adecuado de fusibles, relays, etc. UPS o fuente dealimentacin contina. Swicth de apagado de emergencia.d) Labor de auditora:Consiste en la identificacin del ambiente de procesamiento de informacin para tenerconocimiento general de este y para entender las necesidades de seguridad, el auditor desistemas revisa y evala los siguientes aspectos:

Revisin de los diagramas de red: estos diagramas muestran los puntos de conexinentre computadoras, terminales y equipos perifricos como mdem, Hubs, Routhers,etc. Esta informacin es importante porque se pueden enlazar las direcciones fsicas conlos accesos lgicos de terminales, actualmente existe software especializado deadministracin de redes que proveen esta informacin.

Revisin de las rutas de acceso: Las rutas de acceso son caminos de lgicos de acceso ainformacin computarizada, estas empiezan generalmente con un terminal y terminancon los datos accesados. A lo largo de este camino existen componentes de hardware ysoftware. Conocer esta ruta es importante porque permite al auditor de sistemas,determinar puntos de seguridad fsica y lgica, la secuencia tpica de estos caminoslgicos es:

1. Terminales: Son usados por el usuario final para identificarse, estos deben tenerrestriccin fsica de su uso y la identificacin de los usuarios o "login" de accesos debe sercontrolada con los "passwords" o claves.2. El software de telecomunicaciones: El software de telecomunicaciones es usado para daro limitar el acceso a aplicaciones o datos especficos.


29/132

29

3. El software de procesamiento de transacciones: Este software utiliza la identificacin delusuario realizada en los terminales (User-Id) y asigna niveles y posibilidades de transaccin(aadir, modificar, eliminar, obtener reportes, etc.) en una aplicacin determinada basadoen archivos o tablas de usuario definidas y solo disponibles al administrador de seguridad.4. El software de aplicacin: El software de aplicacin tiene la lgica del procesamiento de

los datos definida, esta lgica debe permanecer segn las necesidades determinadas por lagerencia, para esto se debe proteger el acceso a los programas que regulan la lgica de estosprocesos.5. El software de administracin de base de datos: Por el medio del cual se accesadirectamente a la informacin, este debe tener la definicin de los campos de datos y suejecucin debe estar restringido al personal de administracin de la base de datos.

Inspeccin de las facilidades del procesamiento de datos: Esta inspeccin sirve paraentender los controles fsicos para el personal, visitantes, controles de seguridad delambiente como extintores, detectores de humo, protectores de polvo, control de

temperatura, fuentes alternativas de energa. Esta revisin debe ser hecha en el centrode cmputo, rea de programadores, librera de cintas o cassettes, almacenes de tiles,etc.

Entrevistas con personal de sistemas: Las entrevistas claves, generalmente son con eladministrador de la Red, el gerente de sistemas, quienes proveern de informacinsobre el control y mantenimiento de los componentes de las rutas de acceso.

Entrevista con el usuario final: Se entrevista una muestra de usuarios finales paraconocer las polticas respecto a la confidencialidad de los datos que trabajan.

Revisin de polticas y procedimientos. Consiste en revisar las polticas yprocedimientos para verificar si son adecuados y ofrecen la seguridad apropiada, paraesto el auditor debe verificar: Polticas de acceso fsico Polticas de acceso lgicoEntrenamiento formal sobre precauciones de seguridad. Polticas sobre uso de internet.

3.3.4REVISION DEL SISTEMA OPERATIVOConsiste en revisar las polticas y procedimientos de adquisicin y mantenimiento desoftware de sistemas operativos. Para lo cual el auditor revisar lo siguiente:

Los procedimientos relacionados con la identificacin y la seleccin del software delsistema. Mediante entrevistas a la gerencia, para identificar:- Los requerimientos de software.- Las fuentes potenciales de software.


30/132

30

Anlisis de costo/beneficio del software del sistema,consiste en revisar la documentacindel anlisis costo/beneficio y las alternativas que proponen y determinan si cada alternativapotencial fue evaluada adecuadamente. Esta documentacin debe tener por lo menos: Costo directo financiado para la compra de software. Costo de la modificacin necesaria para adaptar el software al ambiente de sistemas de

informacin de la organizacin (si fuera necesario). Los requisitos de equipo para ese software. Los requisitos de capacitacin asociados con la utilizacin de ese software. Los requisitos de apoyo tcnico asociado a ese software. Anlisis de las facilidades del software para cumplir con los requisitos de

procesamiento de informacin. Anlisis de la capacidad del software para cumplir con los requisitos de seguridad. Anlisis de la capacidad del software para cumplir con los requisitos tcnicos de la

organizacin.

Instalacin del software del sistema: Consiste en revisar el plan o procedimiento para laprueba del sistema, determinar si las pruebas se realizaron de acuerdo a ese plan y en formaexitosa, de no ser as investigar si todos los problemas se evaluaron y resolvieron antes dela instalacin del software.

Mantenimiento del software del sistema: consiste en revisar la documentacin relacionadacon el mantenimiento o upgrade del software y determinar lo siguiente: Si los estndares de instalacin estn de acuerdo con la documentacin del

mantenimiento del software.

Si los cambios en el software del sistema estn debidamente explicados en cuanto a sumotivo y aprobacin.

Si existen pruebas de que el cambio realmente se hizo. Si el personal responsable del cambio del software del sistema no pertenece al grupo de

programadores. Si se proporciona a los usuarios del sistema documentacin sobre los cambios que se

realizarn. Si existe un registro o una bitcora de los cambios realizados al sistema. Si existen los controles suficientes para asegurarse que los operadores no podrn hacer

cambio al sistema sin asesora del grupo responsable de la instalacin de estos cambios.

Seguridad del software del sistema: consiste en revisar los procedimientos para el acceso alsoftware del sistema y a su documentacin, para esto entrevistarse con la gerencia de opersonal de adecuado para identificar los procedimientos de seguridad para restringir elacceso al software del sistema as como el personal que tiene acceso al software del sistemay a su documentacin.


31/132

31

3.3.5REVISION DE CONTROLES DE APLICACIONESEl objetivo de esta revisin es analizar y evaluar la eficacia de los controles de los sistemaso aplicaciones ya existentes, estos controles deben asegurar que solo se ingresan yactualizandatos completos, exactos y vlidos en un sistema, que el procesamiento de estosdatos escorrecto, que los resultados del procesamiento cumplen las expectativas; y que los

datos semantienen seguros. Quienes disean los sistemas ubican controles en el ingreso dedatos o input,en el procesamiento y en el output del sistema.

3.3.5.1 Procedimientos de control de input. Controles de acceso: Con esto se aseguraque los datos ingresados al sistema son los autorizados y las responsabilidades sobre elcambio de datos estn definidas. Control de secuencia: Los registros de las transacciones llevan un nmero que los

identifica y son consecutivos, por lo que no pueden haber duplicidades ni intervalosvacos de secuencia.

Control de lmite: Se verifican los lmites de valores que puede asumir una variable deentrada y que se rechazara o advertir en caso no cumpla con los lmites establecidos.

Control de Rango: Es similar al anterior, pero se trata de un par de lmites. Control de paridad: Se utiliza para verificar una transmisin de datos (que puede ser la

fuente para el ingreso de datos a otro sistema). Control de validez: Consiste en considerar como vlidos aquellos campos codificados

con valores predeterminados.

dato

sdeentrada - control por lote

- documentos retornables

- contra datos historicos

- control visual

- control por rango devalores

- controles logicos- presencia de datosesenciales

- controles de validez

procesamientodedatos - verificacion de rotulos

grabados

- cuenta registro

- totales de archivos

- verificacion de direcciones

- praradas programadas

- procedimiento en caso de

capacidad excedida

- pasar por alto errores

- registro de intervencionesdel operador

- aceptacion restringida dearchivo

informacionproducida - control de calidad -

muestreo

- control de rendimiento (tiempo, desperdicio, etc)

- control de costo ( costo/beneficio)


32/132

32

Control de razonabilidad: Los datos ingresados se comparan con lmites derazonabilidad o de ocurrencia de datos.

Bsquedas en tablas: Se valida un campo con el contenido de una tabla de datos, porejemplo una tabla de cdigos de pases y los nombres de pases se utiliza para validar elcampo pas de una pantalla de ingreso de datos.

Control de existencia: Es un control que sirve para validar un dato que ingresa alsistema y adems asegura que el proceso sea segn un orden establecido, por ejemplo:la autorizacin electrnica de una orden de trabajo, exige primero que esta haya sidoingresada y luego sea marcada por otra persona como autorizada.

Verificacin de ingreso por teclado: Consiste en redigitar el ingreso de datos por otrapersona sobre el archivo digitado primero por otra persona.

Dgito de control: Consiste en agregar al dato ingresado un dgito, el que se calculamatemticamente por un algoritmo sobre los dgitos del dato ingresado, los mscomunes son el mdulo 10 o mdulo 11.

Control de integridad: consiste en que un campo siempre debe contener datos, no puedeestar vaco, etc.

3.3.5.2 Procedimientos de Control de procesos. Reclculos manuales: Consiste en recalcular manualmente una muestra de las

transacciones a fin de asegurar que el procesamiento est realizando la tarea esperada. Edicin: Consiste en comprobar que el input de datos es correcto, aqu se interpreta el

paso de input como parte del proceso. Verificacin de razonabilidad de cifras calculadas: Consiste en probar la razonabilidad

de los resultados de las transacciones para asegurarse de la adecuacin a criterios

predeterminados. Verificacin de la cantidad de registros procesados. Manejo de archivo de errores para su posterior investigacin. Verificacin por rangos de fechas o perodos. Aprobacin electrnica: Para que un determinado registro pase de un estado a otro por

la autorizacin de un usuario diferente al que genero el registro. Archivos de seguimiento: que permiten identificar el status de una determinada

operacin en un momento determinado.

3.3.5.3 Procedimientos de Output o salida. Resguardo de formularios negociables, sensibles o crticos: deben ser adecuadamente

controlados en un listado de formularios recibidos, utilizados y dando razn de lasexcepciones, rechazos y mutilaciones para protegerlos de robo o dao.

Autorizacin de distribucin: Las opciones de reporte del sistema deben estar deacuerdo con las funciones que tiene el usuario en el sistema y ser controlado por losaccesos definidos en el sistema.


33/132

33

Estructura estndar de los formatos de los reportes: como son el nmero de pginas, lahora, fecha, nombre del programa que lo produce, cabeceras, etc.

3.4 SEGURIDAD EN REDESEn la actualidad, las organizaciones son cada vez ms dependientes de sus redes

informticas y un problema que las afecte, por mnimo que sea, puede llegar a comprometerla continuidad de las operaciones.La falta de medidas de seguridad en las redes es un problema que est en crecimiento. Cadavez es mayor el nmero de atacantes y cada vez estn ms organizados, por lo que vanadquiriendo da a da habilidades ms especializadas que les permiten obtener mayoresbeneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interiormismo de la organizacin.La propia complejidad de la red es una dificultad para la deteccin y correccin de losmltiples y variados problemas de seguridad que van apareciendo. En medio de esta

variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de lapropiedad de recursos y sistemas. Hackers, crakers, entre otros, han hecho aparicin enel vocabulario ordinario de los usuarios y de los administradores de las redes.Adems de las tcnicas y herramientas criptogrficas, es importante recalcar que uncomponente muy importante para la proteccin de los sistemas consiste en la atencin yvigilancia continua y sistemtica por parte de los responsables de la red.A la hora de plantearse en qu elementos del sistema se deben de ubicar los servicios deseguridad podran distinguirse dos tendencias principales:

Proteccin de los sistemas de transferencia o transporte. En este caso, el administrador

de un servicio asume la responsabilidad de garantizar la transferencia segura al usuariofinal de la informacin de forma lo ms transparente posible.Ejemplos de este tipo de planteamientos seran el establecimiento de un nivel de transporteseguro, de un servicio de mensajera con MTAs (Mail Transport Agents) seguras, o lainstalacin de un firewall, que defiende el acceso a una parte protegida de una red.

Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el correoelectrnico, consistira en construir un mensaje en el cual el contenido ha sido aseguradomediante un procedimiento de encapsulado previo al envo. De esta forma, el mensajepuede atravesar sistemas heterogneos y poco fiables sin por ello perder la validez de losservicios de seguridad provistos. Aunque el acto de asegurar el mensaje cae bajo laresponsabilidad del usuario final, es razonable pensar que dicho usuario deber usar unaherramienta amigable proporcionada por el responsable de seguridad de su organizacin.Esta misma operatoria, puede usarse para abordar el problema de la seguridad en otrasaplicaciones tales como videoconferencia, acceso a bases de datos, etc.En ambos casos, un problema de capital importancia es la gestin de passwords.


34/132

34

Este problema es inherente al uso de la criptografa y debe estar resuelto antes de que elusuario est en condiciones de enviar un solo bit seguro.

3.4.1 CUALES SON LOS RIESGOS? Acceso no autorizado

Procesamiento de transacciones incompleto, inexacto o en el periodo incorrecto Interrupcin del servicio Elementos que involucra la seguridad: identificacin, confidencialidad, fiabilidad,

derecho a la informacin, privacidad

3.4.2 CUAL ES EL VALOR DE LOS DATOS?Establecer el valor de los datos es algo totalmente relativo, pues la informacin constituyeun recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad,cosa que no ocurre con los equipos, la documentacin o las aplicaciones.

Adems, las medidas de seguridad no influyen en la productividad del sistema por lo quelas organizaciones son reticentes a dedicar recursos a esta tarea.Cuando hablamos del valor de la informacin nos referimos, por ejemplo, a qu tanpeligroso es enviar la informacin de mi tarjeta de crdito a travs de Internet para haceruna compra, en una red gigantesca donde viajan no nicamente los 16 dgitos de mi tarjetade crdito sino millones de datos ms , grficas, voz y vdeo.De hecho, este tema es complejo. Algunos expertos opinan que se corre ms peligro cuandose entrega una tarjeta de crdito al empleado de un restaurante o cuando se la empleatelefnicamente para efectivizar alguna compra.El peligro ms grande radica no en enviar la informacin sino una vez que esta

informacin, unida a la de miles de clientes ms, reposa en una base de datos de lacompaa con las que se concret el negocio. Con un nico acceso no autorizado a estabase de datos, es posible que alguien obtenga no nicamente mis datos y los de mi tarjeta,sino que tendr acceso a los datos y tarjetas de todos los clientes de esta compaa.En efecto, el tema no est restringido nicamente a Internet. Aunque no se est conectado aInternet, una red est expuesta a distintos tipos de ataques electrnicos, incluidos los virus.

3.4.3IMPACTO EN LA ORGANIZACIONLa implementacin de polticas de seguridad, trae aparejados varios tipos de problemas queafectan el funcionamiento de la organizacin. Cmo pueden impactar si se implementanpara hacer ms seguro el sistema? En realidad, la implementacin de un sistema deseguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tantotcnica como administrativa.Por ejemplo, la disminucin de la funcionalidad o el decremento de la operatividad tal vezsea uno de los mayores problemas. Esto se puede aclarar de la siguiente manera: en unprimer momento, el usuario, para acceder a tal recurso, deba realizar un solo login. Ahora,con la implementacin del nuevo esquema de seguridad, debe realizar dos logines: uno para


35/132

35

ingresar al sistema y otro para acceder al recurso. El usuario visualiza esto como un nuevoimpedimento en su tarea, en lugar de verlo como una razn de seguridad para l, pues deesta manera, se puede controlar ms el uso del recurso y, ante algn problema, ser muchoms fcil establecer responsabilidades.Por otro lado, al poner en funcionamiento una nueva norma de seguridad, sta traer una

nueva tarea para la parte tcnica (por ejemplo, cambiar los derechos a algo de algunosusuarios) y administrativamente, se les deber avisar por medio de una nota de los cambiosrealizados y en qu les afectar.

3.4.4IMPLEMENTACIONLa implementacin de medidas de seguridad, es un proceso tcnicoadministrativo. Comoeste proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estarfuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que setomen no tendrn la fuerza necesaria.

Hay que tener muy en cuenta la complejidad que suma a la operatoria de la organizacin laimplementacin de estas medidas. Ser necesario sopesar cuidadosamente la ganancia enseguridad respecto de los costos administrativos y tcnicos que se generen.Tambin, como hemos mencionado anteriormente, es fundamental no dejar de lado lanotificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer alresto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin.De todo lo expuesto anteriormente, resulta claro que proponer o identificar una poltica deseguridad requiere de un alto compromiso con la organizacin, agudeza tcnica paraestablecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica enfuncin del dinmico ambiente que rodea las organizaciones modernas.

Polticas y normas: Direcciones de redes separadas (dominios) Definicin de derechos de usuarios Polticas sobre monitoreo Clasificacin de sistemas Tipificacin de datos


36/132

36

3.4.4.1PROPOSICION DE UNA FORMA DE REALIZAR EL ANALISIS PARA LLEVAR ACABO UN SISTEMA DE SEGURIDAD INFORMATICA

Tal como puede visualizarse, en el grfico estn plasmados todos los elementos queintervienen para el estudio de una poltica de seguridad.

Se comienza realizando una evaluacin del factor humano interviniente - teniendo encuenta que ste es el punto ms vulnerable en toda la cadena de seguridad -, de losmecanismos con que se cuentan para llevar a cabo los procesos necesarios (mecanismostcnicos, fsicos lgicos), luego, el medio ambiente en que se desempea el sistema, lasconsecuencias que puede traer aparejado defectos en la seguridad (prdidas fsicas, prdidaseconmicas, en la imagen de la organizacin,etc.), y cules son las amenazas posibles.Una vez evaluado todo lo anterior, se origina un programa de seguridad, que involucralos pasos a tomar para poder asegurar el umbral de seguridad que se desea.

Luego, se pasa al plan de accin, que es cmo se va a llevar a cabo el programa deseguridad. Finalmente, se redactan los procedimientos y normas que permiten llegar abuen destino.Con el propsito de asegurar el cumplimiento de todo lo anterior, se realizan los controlesy la vigilancia que aseguran el fiel cumplimiento de los tres puntos antepuestos. Paraasegurar un marco efectivo, se realizan auditoras a los controles y alos archivos logsticos


37/132

37

que se generen en los procesos implementados (de nada vale tener archivos logsticos sinunca se los analizan o se los analizan cuando ya ha ocurrido un problema).Con el objeto de confirmar el buen funcionamiento de lo creado, se procede a simulareventos que atenten contra la seguridad del sistema. Como el proceso de seguridad es unproceso dinmico, es necesario realizar revisiones al programa de seguridad, al plan de

accin y a los procedimientos y normas. Estas revisiones, tendrn efecto sobre los puntostratados en el primer prrafo y, de esta manera, el proceso se vuelve a repetir.Es claro que el establecimiento de polticas de seguridad es un proceso dinmico sobre elque hay que estar actuando permanentemente, de manera tal que no quede desactualizado;que, cuando se le descubran debilidades, stas sean subsanadas y, finalmente, que suprctica por los integrantes de la organizacin no caiga en desuso.

3.4.5 TIPOS DE ATAQUES Y VULNERABILIDADESEn el presente apartado, se describirn los modos de ataques que podran ocurrir ms

frecuentemente en las redes de informacin.1 - Negacin de servicio ( denial of service )Denial of service es un tipo de ataque cuya meta fundamental es la de negar el acceso delatacado a un recurso determinado o a sus propios recursos.Algunos ejemplos de este tipo de ataque son:

tentativas de floodear (inundar) una red, evitando de esta manera el trfico legtimode datos en la misma;

tentativas de interrumpir las conexiones entre dos mquinas evitando, de esta manera, elacceso a un servicio;

tentativas de evitar que una determinada persona tenga acceso a un servicio;

tentativas de interrumpir un servicio especfico a un sistema o a un usuario;Cabra tener en cuenta que, el uso ilegtimo de recursos puede tambin dar lugar a lanegacin de un servicio. Por ejemplo, un hacker puede utilizar un rea del FTP annimocomo lugar para salvar archivos, consumiendo, de esta manera, espacio en el disco ygenerando trfico en la red.Como consecuencia, los ataques de negacin de servicio pueden esencialmente dejarinoperativa una computadora o una red. De esta forma, toda una organizacin puedequedar fuera de Internet durante un tiempo determinado.Algunos ataques de negacin de servicio se pueden ejecutar con recursos muy limitados

contra un sitio grande y sofisticado. Este tipo de ataque se denomina ataque asimtrico.Por ejemplo, un atacante con una vieja PC y un mdem puede poner fuera de combate amquinas rpidas y sofisticadas. ltimamente, esto es comn con ataques de losdenominados nukes en los cuales caen instalaciones grandes, por ejemplo, de clustersWindows NT.Hay tres tipos de ataques bsicos de negacin de servicios:


38/132

38

Las computadoras y las redes necesitan para funcionar ciertos recursos: ancho de banda dela red, espacio de memoria y disco, tiempo de CPU, estructuras de datos, acceso otrascomputadoras y redes, entre otros.Los ataques de Negacin de servicio se ejecutan, con frecuencia, contra la conectividad dela red. La meta del hacker es evitar que las computadoras se comuniquen en la red.

1. Aprovechamiento de los recursos del otro: Un hacker tambin puede utilizar losrecursos que usted dispone contra usted mismo, de maneras inesperadas. Por ejemplo,el caso de Negacin de servicio UDP. En este ataque, el hacker utiliza los paquetesfalsificados de UDP para conectar el servicio de generacin de eco en una mquinacon el servicio de chargen en otra mquina.El resultado es, que los dos servicios consumen todo el ancho de banda de red entreellos. As, la conectividad para todas las mquinas en la misma red desde cualquiera delas mquinas atacadas se ve afectada.

2. Consumo de ancho de banda: Un hacker puede, tambin, consumir todo el ancho de

banda disponible en su red generando una gran cantidad de paquetes dirigidos a lamisma. Adems, el hacker no necesita operar desde una sola mquina; l puede podercoordinar varias mquinas en diversas redes para alcanzar el mismo efecto.

3. Consumo de otros recursos: Adems del ancho de banda de la red, los hackers puedenconsumir otros recursos que su sistema necesite para funcionar. Por ejemplo, en muchossistemas, un nmero limitado de las estructuras de datos en el kernel est disponiblepara almacenar informacin de procesos (identificadores, entradas en tablas deprocesos, slots, etc.).

Un hacker puede tambin consumir su espacio en disco de otras maneras, por ejemplo:

o Generar miles de mails (Spam, Bombing)o Generar intencionalmente errores que deben ser logueados.o Colocar archivos en su disco, utilizando ftp annimo.

No obstante, muchos sitios tienen esquemas de lockout de cuenta despus de un ciertonmero de logins fallados. Un setup tpico bloquea el login despus de 3 o 5 tentativasfalladas. Un hacker puede utilizar este esquema para evitar que los usuarios legtimosentren. En algunos casos, incluso las cuentas privilegiadas, tales como root o administrator,pueden ser vctimas de este tipo de ataque.Siempre disponga de un mtodo para acceder ante la emergencia de este tipo de ataques.Un hacker puede hacer caer su sistema o ponerlo inestable, enviando datos inesperados. Unejemplo de tal ataque es el ping flood o Pings de tamao demasiado grande. Si su sistemaest experimentando cadas frecuentes sin causa evidente, podra deberse a este tipo deataque.Hay otros componentes que pueden ser vulnerables a la negacin de servicio y que debenvigilarse. Estos incluyen:o Impresoras


39/132

39

o Unidades de cintao Conexiones de redo Otros recursos limitados importantes para la operacin de su sistema.

Prevencin y respuesta

Tal como se ha expresado anteriormente, los ataques de Negacin de servicio pueden darlugar a prdidas significativas de tiempo y dinero para muchas organizaciones, por lo quese recomiendan una serie de medidas: Coloque access lists en los routers. Esto reducir su exposicin a ciertos ataques de

negacin de servicio Instale patches a su sistema operativo contra flooding de TCP SYN. Esta accin

permitir reducir sustancialmente su exposicin a estos ataques aunque no puedaeliminar el riesgo en forma definitiva.

Invalide cualquier servicio de red innecesario o no utilizado. Esto puede limitar la

capacidad de un hacker de aprovecharse de esos servicios para ejecutar un ataque denegacin de servicio. Por ejemplo: chargen, Echo, etc. Si su sistema operativo lo permite, implemente sistemas de cuotas. Por ejemplo, si su

sistema operativo soporta disk Quotas implemntelo para todos los logins. Si susistema operativo soporta particin o volmenes, separe lo crtico de lo que no lo es.

Observe el funcionamiento del sistema y establezca valores base para la actividadordinaria. Utilice estos valores para calibrar niveles inusuales de la actividad del disco,del uso de la CPU, o del trfico de red.

Incluya como parte de su rutina, el examen de su seguridad fsica. Considere, entreotras cosas, los servidores, routers, terminales desatendidas, ports de acceso de red y los

gabinetes de cableado. Utilice Tripwire o una herramienta similar para detectar cambios en la informacin de

configuracin u otros archivos. Trate de utilizar configuraciones de red redundantes y fault-tolerant.

2 - Destruccin o alteracin de la informacin de configuracinUna computadora incorrectamente configurada puede no funcionar bien o directamente noarrancar. Un hacker puede alterar o destruir la informacin de configuracin de su sistemaoperativo, evitando de esta forma que usted use su computadora o red.Veamos algunos ejemplos:Si un hacker puede cambiar la informacin de ruteo de sus routers, su red puede serdeshabilitada.Si un hacker puede modificar la registry en una mquina Windows NT, ciertas funcionespueden ser imposibles de utilizar, o directamente el sistema puede no volver a bootear.

3 - Destruccin o alteracin fsica de los componentes de la red


40/132

40

Es muy importante la seguridad fsica de la red. Se debe resguardar contra el acceso noautorizado a las computadoras, los routers, los racks de cableado de red, los segmentos delbackbone de la red, y cualquier otro componente crtico de la red.

4 - Cracking de passwords

3 - E-mail bombing y spammingEl e-mail bombing consiste en enviar muchas veces un mensaje idntico a una mismadireccin, saturando el mailbox del destinatario.El spamming,, que es una variante del e-mail bombing, se refiere a enviar el email acentenares o millares de usuarios e, inclusive, a listas de inters. El Spamming puederesultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todosreciban la respuesta.Puede, adems, ocurrir inocentemente como resultado de enviar un mensaje a la lista y no

darse cuenta de que la lista lo distribuye a millares de usuarios, o como resultado de malaconfiguracin de un autorespondedor, por ejemplo el vacation.El e-mail bombing/spamming se puede combinar con el e-mail spoofing que altera laidentidad de la cuenta que enva el mail -, logrando que sea ms difcil determinar quinest enviando realmente el mail.

3.4.6 DESCRIPCION DE ALGUNAS HERRAMIENTAS DE CONTROL Y SEGUIMIENTODE ACCESOSEn este apartado se encuentran aquellas herramientas que nos permitirn tener unainformacin - mediante archivos de trazas o logsticos - de todos los intentos de conexin

que se han producido sobre nuestro sistema o sobre otro que nosotros hayamos sealado,as como intentos de ataque de forma sistemtica a puertos tanto de TCP como de UDP(herramientas de tipo SATAN).Este tipo de herramientas nos permite tener un control sobre todos los paquetes que entranpor la interfaz de red de la mquina: IP (TCP, UDP) e ICMP, o analizando paquetes a nivelde aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL, etc.). Estas herramientas puedenser utilizadas junto con otras que nos permitan definir desde qu mquinas permitimosciertas conexiones y cuales se prohben. Algunas de las herramientas no necesitan estarinstaladas en la mquina que se quiere controlar, ya que se puede poner en una mquinacuya interfaz de red funcione en modo promiscuo, permitiendo seleccionar la direccin IP omquina que queremos auditar.Algunas de las herramientas pueden tener un doble uso. Es decir, nos permiten protegernosante posibles ataques, pero tambin podran ser utilizadas para intentar comprometer lossistemas. Por eso es importante que el uso de estas herramientas est restringido - en lamanera que se pueda - para que no todo el mundo est utilizndolas de forma aleatoria ynos oculten realmente un ataque.


41/132

41

Tambin podrn ser utilizadas para realizar seguimientos en la red cuando creamos quealguna de nuestras mquinas ha sido comprometida.

1 - tcp-wrappersEl tcp-wrappers es un software de domino pblico. Su funcin principal es: proteger a los

sistemas de conexiones no deseadas a determinados servicios de red, permitiendo a su vezejecutar determinados comandos ante determinadas acciones de forma automtica.El software est formado por un pequeo programa que se instala. Una vez instalado, sepueden controlar los accesos mediante el uso de reglas y dejar una traza de todos losintentos de conexin tanto admitidos como rechazados (por servicios, e indicando lamquina que hace el intento de conexin).

2 - NetlogEste software de dominio pblico diseado por la Universidad de Texas, es una herramienta

que genera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as comotrfico en la red (los programas pueden ejecutarse en modo promiscuo) que pudiera ser"sospechoso" y que indicara un posible ataque a una mquina (por la naturaleza de esetrfico).

3NstatEsta herra

sistemas de informacion, tecnologia y control

Documents