tesina auditoria centro datos fd

2

A G R A D E C I M I E N T O S

La realización de esta tesina no es un trabajo individual, es el resultado de la suma de los apoyos y esfuerzos a lo largo de muchos meses. Es por ello que agradezco a todas las personas que, aunque no estan conscientes de ello, han hecho posible el presente desarrollo y termino de este trabajo.

A mi mamá “Silvia”, porque a ella le debo todo lo que soy y siempre será mi referencia en la vida, es la persona que más admiro y quiero. Le agradezco por la oportunidad de existir, por los sacrificios que ha hecho y sé que seguirá haciendo, por su ejemplo de superación incansable, por su fortaleza y valor al ser madre y padre a la vez, por su comprensión y confianza, por su amor incondicional, porque sin su apoyo no hubiera llegado a donde estoy, por lo que eres madre y siempre serás Gracias, te quiero mucho.

A mi Esposa “Maria del Socorro” e Hijos “Iraish Amellaly” y “Ricardo David” que me ha ayudado con mucho amor y comprensión a terminar este objetivo tan importante para mí.

A la Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas (UPIICSA), del Instituto Politecnico Nacional: por brindarme la oportunidad de introducirme al mundo del conocimiento y mantener una enseñanza de calidad y prestigio, que orgullo haber estudiado aquí!!!

A mi equipo de seminario por la unión, apoyo, conocimiento, amistad, comprensión, tolerancia y perseverancia; ya que pasamos muchos inconvenientes y a pesar de ello lo logramos chavos!!! Por cierto los voy a extrañar muchachos!!

A mis profesores de seminario por su excelencia, conocimiento, enseñanza, experiencia y gran visión.

A todos aquellos que de manera directa e indirecta aportaron su gran conocimiento para la realización de esta investigación.

A todos mi mayor agradecimiento.

Gaudeamus igitur iuvenes dum sumus

Ascenciòn Hernández Huerta

3


Comienzo agradeciendo a mi abuelito, que fue un verdadero padre para mí

y que aunque ya no está físicamente conmigo, estuvo durante los primeros

años de mi vida cuidándome y ayudándome tanto personalmente como en

mis estudios.

También agradezco a mi abuelita, mi mamá y mis tías / hermanas, que me

han cuidado, apoyado, dado cariño y aconsejado durante mi vida para

poder llegar a cumplir las metas que me he propuesto.

A mis demás familiares y a las personas que han estado en algún

momento de mi vida para ayudarme, aconsejarme y darme palabras de

aliento para no decaer en mi intento por lograr los objetivos que tengo por

cumplir.

Y agradezco a mi esposa que ha estado conmigo en los años más

recientes de mi vida y que me ha ayudado con mucho amor y comprensión

a terminar este objetivo tan importante.

ATENTAMENTE

Mauricio Elías Ramírez Camargo.

4


A mi madre y padre, por su cariño y dedicación porque nunca me dejaron

solo y siempre estuvieron al pendiente de mi desarrollo personal a lo largo

de este camino recorrido. Porque este logro es suyo.

A Beatriz, por enseñarme que todo es posible solo es cuestión de esfuerzo

y dedicación, pero sobre todo por tu apoyo y cariño.

Al Instituto Politécnico Nacional y a la Escuela Superior de Ingeniería

Mecánica y Eléctrica Planteles Zacatenco y Culhuacan por permitirme

lograr esta meta.

A Mauricio y Ascención, por su confianza y paciencia.

A todos ustedes, Gracias.

Con especial dedicación a mis hermanas para que sigan superándose y

sepan que es posible.

Dorian Fabian Pozas Castillo.

Abril 2011

5

ÍNDICE GENERAL

RESUMEN. __________________________________________________________________ 8

CAPITULO I.-INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA . _______________ 10

1.1.-DEFINICIONES DE AUDITORIA. _______________________________________________ 10

1.2.- CLASIFICACIÓN DE LAS AUDITORIAS. _______________________________________ 10

1.3.- CONCEPTO DE AUDITORÍA INFORMÁTICA. ___________________________________ 11

1.3.1.- TIPOS DE AUDITORIA INFORMÁTICA. ______________________________________________ 12

1.3.2.- PRUEBAS. ________________________________________________________________________ 12

1.4.- SEGURIDAD INFORMÁTICA. _________________________________________________ 13

1.4.1.- RIESGOS. ________________________________________________________________________ 14

1.4.2.- CLASIFICACIÓN DE LOS RIESGOS. ________________________________________________ 14

1.4.3.- PRINCIPALES RIESGOS INFORMÁTICOS. __________________________________________ 15

1.5.- DELITOS INFORMÁTICOS ___________________________________________________ 16

1.5.1.- CLASIFICACIÓN DE LOS DELITOS INFORMÁTICOS _________________________________ 17

CAPITULO II.- CENTRO DE DATOS. __________________________________________ 19

2.1.- DISEÑO DE UN CENTRO DE DATOS __________________________________________ 19

2.2.- ENTORNO FÍSICO DE UN CENTRO DE DATOS. ________________________________ 21

2.3.- REDES DE COMPUTADORAS ________________________________________________ 22

2.3.1.- RED DE ÁREA PERSONAL O PAN (PERSONAL AREA N ETWORK) ___________________ 22

2.3.2.- RED DE ÁREA LOCAL O LAN (LOCAL AREA NETWORK ) ___________________________ 23

2.3.3.- RED DE ÁREA METROPOLITANA O MAN (METROPOLIT AN AREA NETWORK) _______ 23

2.3.4.- RED DE ÁREA AMPLIA O WAN (WIDE AREA NETWORK ) ____________________________ 24

2.3.5.- RED DE ÁREA LOCAL VIRTUAL O VLAN (VIRTUAL L AN) ____________________________ 24

2.4.- TOPOLOGÍAS DE RED _______________________________________________________ 25

2.4.1.- TOPOLOGÍA DE BUS ______________________________________________________________ 25

2.4.2.- TOPOLOGÍA DE ANILLO ___________________________________________________________ 25

2.4.3.- TOPOLOGÍA DE ESTRELLA _______________________________________________________ 25

2.4.4.- TOPOLOGÍA DE MALLA ___________________________________________________________ 26

6

2.4.5.- TOPOLOGÍA DE ÁRBOL ___________________________________________________________ 26

2.5.- CABLEADO _________________________________________________________________ 27

2.5.1.- PAR TRENZADO __________________________________________________________________ 28

2.5.2.- CABLE COAXIAL __________________________________________________________________ 30

2.5.3.- FIBRA ÓPTICA ____________________________________________________________________ 30

2.6.- EQUIPOS DE COMUNICACIONES ____________________________________________ 32

2.7.- SERVIDORES _______________________________________________________________ 29

2.7.1.- TIPOS DE SERVIDORES ___________________________________________________________ 34

2.8.- SOFTWARE. ________________________________________________________________ 35

2.8.1.- SISTEMAS OPERATIVOS. _________________________________________________________ 36

2.8.2.- APLICACIONES. __________________________________________________________________ 37

CAPITULO III.- LEGISLACIONES EXISTENTES. _______________________________ 38

3.1.- LEGISLACIÓN NACIONAL. ___________________________________________________ 38

3.1.1.- CNBV. ____________________________________________________________________________ 38

3.1.2.- AMITI. ____________________________________________________________________________ 39

3.1.3.- CONOCER. _______________________________________________________________________ 39

3.2.- LEGISLACIÓN INTERNACIONAL. _____________________________________________ 40

3.2.1.- SOX. _____________________________________________________________________________ 40

3.2.2.- BASILEA II. _______________________________________________________________________ 41

3.2.3.- PCI. ______________________________________________________________________________ 41

CAPITULO IV.-MEJORES PRÁCTICAS. _______________________________________ 39

4.1.- .- CONTROL. ________________________________________________________________ 39

4.1.1.- TIPOS DE CONTROL. ______________________________________________________________ 39

4.1.2.- CONTROL INTERNO. ______________________________________________________________ 39

4.2.- COBIT. _____________________________________________________________________ 45

4.2.1.- DIVISIÓN DE COBIT. ______________________________________________________________ 46

4.2.2.- PLANEAR Y ORGANIZAR (PO) _____________________________________________________ 46

4.2.3.- ADQUIRIR E IMPLEMENTAR (AI) ___________________________________________________ 47

4.2.4.- ENTREGAR Y DAR SOPORTE (DS) _________________________________________________ 47

4.2.5.- MONITOREAR Y EVALUAR (ME) ___________________________________________________ 48

7

4.3.- MODELO DE MADUREZ. _____________________________________________________ 51

4.4.- COSO ______________________________________________________________________ 52

4.4.1.- AMBIENTE DE CONTROL. _________________________________________________________ 49

4.4.2.- EVALUACIÓN DE RIESGOS. _______________________________________________________ 54

4.4.3.- ACTIVIDADES DE CONTROL. ______________________________________________________ 55

4.4.4.- INFORMACIÓN Y COMUNICACIÓN. ________________________________________________ 56

4.4.5.- MONITOREO Y SUPERVISIÓN CONTINUA. _________________________________________ 58

CAPITULO V.- AUDITORIA AL CENTRO DE DATOS DE LA UNI VERSIDAD BENITO

JUÁREZ. ___________________________________________________________________ 60

5.1.- PLANEACIÓN Y PROGRAMA DE TRABAJO. ___________________________________ 60

5.2.- EJECUCIÓN DE LA AUDITORÍA. ______________________________________________ 62

5.2.1.- REUNIÓN PARA NOTIFICAR AUDITORÍA. ___________________________________________ 62

5.2.2.- ENTREVISTA Y APLICACIÓN DE CHECKLIST AL AUD ITADO. ________________________ 59

5.2.3.- ANÁLISIS DE RIESGOS. ___________________________________________________________ 65

5.3.- REPORTES E INFORMES DE HALLAZGOS. ___________________________________ 66

5.3.1.- DE PLANEACIÓN Y ORGANIZACIÓN: ______________________________________________ 66

5.3.2.- DE ADQUISICIÓN E IMPLEMENTACIÓN ____________________________________________ 68

5.3.3.- DE ENTREGA Y SOPORTE_________________________________________________________ 70

5.3.4.- DE MONITOREO __________________________________________________________________ 69

CONCLUSIONES. ___________________________________________________________ 76

ANEXOS.___________________________________________________________________ 77

ÍNDICE DE TABLAS E IMÁGENES ____________________________________________ 99

GLOSARIO. _______________________________________________________________ 104

BIBLIOGRAFÍA ____________________________________________________________ 107

8

RESUMEN. La presente tesina describe el desarrollo de una auditoria que evalúa y califica la Seguridad Física de un Centro de Procesamiento de Datos con la finalidad de detectar las debilidades y fortalezas que se presentan en lugar anteriormente citado, esto con la intención de proporcionar a la institución una métrica de la eficacia y eficiencia de los controles que tienen implementados para salvaguardar y mitigar la materialización de un riesgo, el cual puede ocasionar un impacto negativo en el desarrollo de las operaciones de los servicios que provee a los alumnos y a la comunidad profesional traduciéndose esto en pérdidas monetarias. Lo anterior concluyó en la creación de tres niveles de seguridad (Básico, Medio y Suficiente), para esto se tuvo que realizar una profunda investigación de las diversas metodologías y mejores prácticas que se encuentran vigentes hoy en día, para poder determinar las características y alcance que debe cubrir cada nivel de seguridad establecido y validar los objetivos de control implementados. Cada nivel representa un grado de cumplimiento de las actividades implementadas en la entidad para salvaguardar sus activos, todo esto con el entendido de que entre mayor sea el grado de madurez tengan las implementaciones, mayor será la calificación que la institución obtendrá. Todo lo anteriormente definido en cuanto a la asignación de un nivel de seguridad se resume en la creación de un informe de observaciones de auditoría en el que se notifica a la institución el nivel obtenido, respaldado con los hallazgos encontrados, derivados de un previo y exhaustivo análisis de la información adquirida por medio de una solicitud y obtención de evidencia. Es de suma importancia resaltar que el informe de observaciones de auditoría es un reflejo de las actividades y operaciones implantadas con las que se labora día a día y que fueron sometidas a pruebas de cumplimiento con objeto de saber si son las adecuadas para la institución; en este proceso también es sometido a evaluación el cumplimiento de los reglamentos y normas prescritas tanto por la institución como por organismos nacionales e internacionales.

9

Haciendo referencia al párrafo anterior, es sabido que la institución después de estar sometida a un proceso de auditoría se le tiene que entregar un informe de observaciones de la auditoría al responsable del área auditada, pero en muchas de las ocasiones no se va mas allá es decir no se le brinda una calificación certera de que los procesos que se están llevando a cabo son los más adecuados para ellos ó que nivel de Seguridad manejan; eh ahí una de las limitantes de la auditoría que nos llevo al desarrollo de la mismo con fundamente en un metodología. Es importante resaltar el hecho de que la aplicación de los conocimientos adquiridos en el transcurso de una carrera a nivel profesional y aunada a la experiencia laboral del grupo de trabajo que realizo esta tesina, nos brindaron las bases necesarias para lograr el desarrollo de la auditoría que estamos seguros contribuye de forma adecuada a la institución a forjarse una idea objetiva sobre el estado actual del tratamiento que le están dando a la Seguridad Física en su Centro de Datos. Para lo cual en ningún momento se hizo de lado el respeto a los principios humanos como son: Independencia, Transparencia, Calidad e Integridad que debe tener presente siempre un Profesional. Para concluir nuestro trabajo de auditoría con el fin de que se pudiera observar, comprobar y corroborar los resultados y dar pie a que sea útil para evaluar y calificar cualquier organización, independiente del giro de la misma y del tipo de procesos que lleven a cabo debido a que en el Centro de Datos se concentra información crítica para cualquier entidad.

10

CAPITULO I.- INTRODUCCIÓN A LA AUDITORÍA

INFORMÁTICA.

1.1.-DEFINICIONES DE AUDITORIA. AUDITORIA: Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación AUDITORIA: Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado AUDITORIA: Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en: o Rentabilidad o Seguridad o Eficacia AUDITORIA: Según ISACA (Information System Audit and Control Association), es: “Toda auditoria que comprenda la revisión y evaluación de todos los aspectos de los sistemas automatizados de procesamiento de información (ó cualquier porción), incluyendo los procesos no automatizados relacionados y las interfaces entre ellos”

1.2.- CLASIFICACIÓN DE LAS AUDITORIAS. Se define que la auditoria puede aplicarse desde dos diferentes perspectivas; una interna y otra externa, a continuación se describen cada una de ellas. Auditoría Interna: es aquella que se realiza en las entrañas de una organización, es decir, el o los auditores tienen un vínculo laboral con dicha empresa y por lo tanto se

11

establece un plan de trabajo en el cual los empleados tienen un conocimiento sobre los controles que se deben tener y seguir con la finalidad de cumplir con ciertos estándares importantes para la organización y de acuerdo a los requerimientos de su negocio. La ejecución de estas auditorías internas se establece de manera periódica y el intervalo de tiempo varía según cada organización lo crea conveniente. Cabe mencionar que tener un área de auditoría interna es opcional y que este tipo de auditoría no tiene validez para terceros, solo es de carácter informativo y para una mejora continua en la organización. Auditoría externa: tal vez por la rutina o por no estar al pendiente de lo que sucede al entorno de la organización, se puede caer en un procedimiento repetitivo en el cual se revisen los mismos controles una y otra vez sin visualizar nuevos riesgos y vulnerabilidades que pudieran ocurrir; en cambio un auditor externo con su experiencia de haber auditado a variadas organizaciones, tiene un conocimiento más amplio y puede enriquecer a una organización indicándole sus puntos débiles y las sugerencias que se debieran tomar. En una auditoría externa el auditor mantiene una opinión objetiva debido a que no tiene un vínculo cercano a la organización a la cual esta auditando.

1.3.- CONCEPTO DE AUDITORÍA INFORMÁTICA. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si el área de TI salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. La auditoria informática sirve para mejorar ciertas características en la empresa como: o Eficiencia o Eficacia o Rentabilidad o Seguridad El Auditor Informático ha de velar por la correcta utilización de los recursos que la organización pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, en virtud de que la informática nos

12

apoya a gestionar al "negocio" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos.

1.3.1.- TIPOS DE AUDITORIA INFORMÁTICA. Como se sabe, la Informática es un área que abarca muchos aspectos, desde aspectos físicos, como también redes o bases de datos, por mencionar algunos, de igual manera existen diferentes tipos de auditorías que nos ayudan a revisar los controles de cada uno de estas áreas de la informática, entre los que destacan los siguientes: o Auditoría de la gestión: Referido a la contratación de bienes y servicios,

documentación de los programas, etc. o Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y

análisis de los flujogramas. o Auditoría de las bases de datos: Controles de acceso, de actualización, de

integridad y calidad de los datos. o Auditoría de la seguridad: Referidos a datos e información verificando

disponibilidad, integridad, confidencialidad, autenticación y no repudio. o Auditoría de la seguridad física: Referido a la ubicación de la organización,

evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, vigilantes, etc.) y protecciones del entorno.

o Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

o Auditoría de las comunicaciones: Comprende lo referente a redes y todos sus componentes.

o Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

1.3.2.- PRUEBAS. En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas: o Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de

prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas.

13

o Pruebas sustantivas: Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.

o Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización).

1.4.- SEGURIDAD INFORMÁTICA. Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas. Los activos son los siguientes tres elementos que la seguridad informática tiene como objetivo proteger: o Información: Es el objeto de mayor valor para una organización. o Equipos que la soportan: Software, hardware y organización. o Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones

que manejan la información. El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas. Los medios para conseguirlo son: o Restringir el acceso a los programas y archivos. o Asegurar que los operadores puedan trabajar pero que no puedan modificar los

programas ni los archivos que no correspondan (sin una supervisión minuciosa). o Asegurar que se utilicen los datos, archivos y programas correctos por el

procedimiento elegido. o Asegurar que la información transmitida sea la misma que reciba el destinatario al

cual se ha enviado y que no le llegue a otro. o Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión

entre diferentes puntos. o Organizar a cada uno de los empleados por jerarquía informática, con claves

distintas y permisos bien establecidos, en todos y cada uno de los sistemas o

14

aplicaciones empleadas. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

1.4.1.- RIESGOS. El concepto de riesgo está íntimamente relacionado al de incertidumbre, o falta de certeza, de algo pueda acontecer y generar una pérdida del mismo. Los riesgos son la posibilidad de que ocurra algún evento negativo para las empresas. Los riesgos se pueden definir como la posibilidad de que ocurra algún evento negativo para las empresas considerando los recursos humanos, recursos materiales y recursos técnicos. La existencia de un objeto expuesto a sufrir un daño o pérdida, determinado por: la propiedad y su uso, la salud o la capacidad de generar ingresos de una persona, y la responsabilidad ante terceros. La presencia de la causa o causas posibles que ocasionan el daño o la perdida al objeto, que pueden ser de origen natural, como los terremotos; de origen humano, como los robos; y de origen económico, los cambios sociales.

1.4.2.- CLASIFICACIÓN DE LOS RIESGOS. La clasificación tradicional que existe referente a los riesgos que amenazan a la información en medios magnéticos son: Riesgos Internos: son los más sencillos de prever, sin embargo, son los que se presentan más continuamente, como ejemplo tenemos: o Robo.- El robo puede realizarse al material, a los recursos o a la información. o Sabotaje.- El sabotaje manejado como riesgo interno, este puede presentarse a

través de entorpecer la producción, sobrecarga ficticia de la operación, etc. o Destrucción.- La destrucción puede hacerse a datos o recursos, ésta a su vez

puede darse en forma voluntaria o involuntaria. o Huelga.- Este riesgo puede impedir la operación del servicio completo. o Fraude.- Este riesgo, considera la manipulación de la información a fin de obtener

un beneficio ilegitimo para personas que lo realizan.

15

Riesgos Externos: son aquellos que se presentan en el ambiente físico y social que rodea a la empresa y en el caso a tratar, son aquellos que rodean al Área Informática. Como ejemplo de riesgos en un centro de proceso de información, tenemos: o Naturales: Son aquellos que se producen por condiciones naturales, como:

temblor, incendios, inundaciones, huracanes, etc. o Humanos: Estos pueden confundirse con riesgos internos, pero la diferencia es

que en este caso son producidos por persona ajena a la empresa y estos pueden ser: robo, sabotaje, fraude, etc.

Dentro de las actividades del auditor y casi al concluir su revisión debe de realizar una evaluación del riesgo, a fin de determinar el nivel de riego en que se encuentra el Área o la empresa auditada.”

1.4.3.- PRINCIPALES RIESGOS INFORMÁTICOS. Dado el creciente uso de medios electrónicos informáticos como lo es Internet y redes de comunicaciones, es importante conocer el panorama jurídico actual y el desarrollo en otros países con realidades tecnológicas o tendencias a las que se acerca México, incluyendo los delitos a través de estos medios. La función de auditoría implica la verificación de lo que “es” contra lo que “debe ser”: o Se basa en un esquema normativo (Leyes, reglamentos, políticas, estándares,

principios, procedimientos, códigos deontológicos, etc.). o Las posibles desviaciones en el cumplimiento del esquema normativo por parte

del área auditada deben sustentarse a través de evidencia “suficiente y competente”.

Entre los aspectos verificados por auditoría informática se encuentra el software institucional, cuyo objetivo principal es comprobar que no existan copias no autorizadas para la institución, en este caso se cuenta con especificaciones en la Ley Federal del Derecho de Autor. Cuando se encuentran irregularidades o inconsistencias dentro de un proceso de auditoría, existen casos en los que la evidencia documental no es considerada suficiente ni competente. Las leyes que están relacionadas con la informática son: o Ley Federal del Derecho de Autor o Ley de la Propiedad Industrial o Ley Federal de Telecomunicaciones

16

o Ley de Información Estadística y Geográfica Las Instituciones con atribuciones vinculadas con la informática son: o Secretaría de Gobernación o Secretaría de Relaciones Exteriores o Secretaría de Hacienda y Crédito Público o Secretaría de Economía o Secretaría de Comunicaciones y Transportes o Secretaría de Contraloría y Desarrollo Administrativo o Secretaría de Educación Pública o Comisión Federal de Telecomunicaciones o Consejo Nacional de Ciencia y Tecnología Con relación a la protección que se ofrece a los usuarios por daño o perjuicio en el uso de tecnología informática, entre los aspectos que se tienen contemplados en la legislación Mexicana se encuentran los siguientes: o Piratería de software y su documentación cuyos derechos de autor estén

reconocidos. o Marcas, nombres comerciales, patentes y secretos industriales. o Regulación de las comunicaciones. Sin embargo, es importante señalar aquellos aspectos que no son contemplados de manera expresa en la actual legislación nacional y que por la naturaleza de la actividad informática es imperioso que sean integradas, entre ellos: o Tipificación de delitos informáticos. o Derechos a la confidencialidad de información personal que se encuentra

almacenada en bases de datos públicas o privadas. o Protección de datos catalogados como confidencial o estratégico. o Valor de documentos electrónicos en procesos administrativos y judiciales.

1.5.- DELITOS INFORMÁTICOS Son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el Derecho Penal, que hacen referencia al uso indebido de cualquier medio informático.

17

1.5.1.- CLASIFICACIÓN DE LOS DELITOS INFORMÁTICOS o Como instrumento o medio:

� Falsificación de documentos � Alteración de contabilidad � Planeación o simulación de delitos convencionales (robo, homicidio,

secuestro, fraude, etc.). � Lectura, robo, copia o alteración de información confidencial. � Daño de información. � Acceso y uso no autorizado de recursos de cómputo. � Sabotaje.

o Como fin u objetivo: � Bloqueo de sistemas de información � Destrucción de programas. � Daño o bloqueo de recursos del sistema (memoria, periféricos, etc.). � Daño físico a equipo de cómputo. � Sabotaje político o terrorismo. � Robo o “secuestro” de soportes de información en medio magnético.

o Otra clasificación de delitos informáticos es la si guiente: � Delitos contra la intimidad (espionaje y uso de información) � Delitos contra el patrimonio � Fraude � Daño informático � Violación a la propiedad intelectual e industrial � Falsedad

Las siguientes gráficas muestran los diferentes delitos que se cometen más frecuentemente debido a que no hay una importancia en la auditoría en informática: Como se muestra en la figuras 1.5.1.1 y 1.5.1.2, una investigación de nivel internacional, patrocinada por McAfee y realizada por Data monitor, que contó con la participación de más de 1,400 profesionales de IT de empresas (con al menos 250 empleados) de Estados Unidos, Reino Unido, Francia, Alemania y Australia, revela lo siguiente:

18

Figura 1.5.1.1.- Principales Delitos Informáticos

Figura 1.5.2.2.- Seguridad de la Información

Por tanto los encuestados calificaron la pérdida intelectual y de información financiera como las dos clases de bajas más valiosas, con un costo promedio estimado para la segunda de $1.68 millones de dólares.

19

CAPITULO II.- CENTRO DE DATOS. Se denomina centro de datos a aquella ubicación donde se concentran todos los recursos necesarios para el procesamiento de la información de una organización. También se conoce como centro de cómputo en Iberoamérica, o centro de cálculo en España. Dichos recursos consisten esencialmente en unas dependencias debidamente acondicionadas, computadoras y redes de comunicaciones. Un centro de datos es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. Por ejemplo, un banco puede tener un centro de datos con el propósito de almacenar todos los datos de sus clientes y las operaciones que estos realizan sobre sus cuentas. Prácticamente todas las compañías que son medianas o grandes tienen algún tipo de centro de datos, mientras que las más grandes llegan a tener varios. Entre los factores más importantes que motivan la creación de un centro de datos se puede destacar el garantizar la continuidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas colaboradoras, pues en estos ámbitos es muy importante la protección física de los equipos informáticos o de comunicaciones implicados, así como servidores de bases de datos que puedan contener información crítica.

2.1.- DISEÑO DE UN CENTRO DE DATOS

El diseño de un centro de datos comienza por la elección de su ubicación geográfica, y requiere un balance entre diversos factores: o Coste económico: coste del terreno, impuestos municipales, seguros, etc. o Infraestructuras disponibles en las cercanías: energía eléctrica, carreteras,

acometidas de electricidad, centralitas de telecomunicaciones, bomberos, etc. o Riesgo: posibilidad de inundaciones, incendios, robos, terremotos, etc. Una vez seleccionada la ubicación geográfica es necesario encontrar unas dependencias adecuadas para su finalidad, ya se trate de un local de nueva construcción u otro ya existente a comprar o alquilar.

20

Algunos requisitos de las dependencias son: o Doble acometida eléctrica. o Muelle de carga y descarga. o Montacargas y puertas anchas. o Altura suficiente de las plantas. o Medidas de seguridad en caso de incendio o inundación: drenajes, extintores,

vías de evacuación, puertas ignífugas, etc. o Aire acondicionado, teniendo en cuenta que se usará para la refrigeración de

equipamiento informático. o Almacenes. Aún cuando se disponga del local adecuado, siempre es necesario algún despliegue de infraestructuras en su interior: o Falsos suelos y falsos techos. o Cableado de red y teléfono. o Doble cableado eléctrico. o Generadores y cuadros de distribución eléctrica. o Acondicionamiento de salas. o Instalación de alarmas, control de temperatura y humedad con avisos Una parte especialmente importante de estas infraestructuras son aquellas destinadas a la seguridad física de la instalación, lo que incluye: o Cerraduras electromagnéticas. o Torniquetes. o Cámaras de seguridad. o Detectores de movimiento. o Tarjetas de identificación. Una vez acondicionado el habitáculo se procede a la instalación de las computadoras, las redes de área local, etc. Esta tarea requiere un diseño lógico de redes y entornos, sobre todo en aras a la seguridad. Algunas actuaciones son: o Creación de zonas desmilitarizadas (DMZ). o Segmentación de redes locales y creación de redes virtuales (VLAN).

21

o Despliegue y configuración de la electrónica de red: pasarelas, rutedores, conmutadores, etc.

o Creación de los entornos de explotación, pre-explotación, desarrollo de aplicaciones y gestión en red.

o Creación de la red de almacenamiento. o Instalación y configuración de los servidores y periféricos. Generalmente, todos los grandes servidores se suelen concentrar en una sala denominada site. Esta sala requiere un sistema específico de refrigeración para mantener una temperatura baja (entre -21 y -23 grados centígrados), necesaria para evitar averías en las computadoras a causa del sobrecalentamiento. El site suele contar con medidas estrictas de seguridad en el acceso físico, así como medidas de extinción de incendios adecuadas al material eléctrico, tales como extinción por agua nebulizada o bien por gas INERGEN, dióxido de carbono o nitrógeno, aunque una solución en auge actualmente es usar sistemas de extinción por medio de agentes gaseosos, como por ejemplo Novec 1230.

2.2.- ENTORNO FÍSICO DE UN CENTRO DE DATOS.

La infraestructura de un centro de datos es muy importante para asegurar su seguridad y buen funcionamiento. Fundamentalmente, podemos identificar 7 elementos imprescindibles que nunca deberían faltar en el entorno de un centro de datos: o Aire acondicionado: utilizado para ajustar la temperatura y la humedad del centro.

ASHRAE (La Guía Termal para los Entornos de Procesamiento de Datos) recomienda temperaturas que se encuentren entre los 20 y los 25 grados centígrados.

o Un economizador del sistema de refrigeración: Aunque este sistema no es obligatorio, cada vez más centros se deciden a incorporarlo, ya que consiguen reducir el consumo energético, empleando el aire fresco del exterior durante algunas horas del día.

o Energía de emergencia: Se trata de una o más fuentes de energía que se mantienen activas en todo momento para asegurar el funcionamiento de los servidores incluso si se produjera un apagón.

o Duplicados: Para prevenir fallos en los servidores, todos los elementos del sistema eléctrico están instalados por duplicado, incluyendo el sistema de copias de seguridad.

22

o Un suelo elevado: Normalmente, los Centros de Datos construyen plataformas que levantan los servidores a unos 60 cm del suelo, empleando baldosas cuadradas totalmente movibles. De este modo el aire puede correr libremente y refrigera los sistemas de forma más eficiente.

o Sistemas anti-incendios: Fundamentales y de todo tipo, con elementos que actúan por pasiva como por activa.

2.3.- REDES DE COMPUTADORAS Una red de computadoras, también llamada red de ordenadores o red informática, es un conjunto de equipos informáticos conectados entre sí por medio de dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier otro medio para el transporte de datos para compartir información y recursos. Este término también engloba aquellos medios técnicos que permiten compartir la información. La finalidad principal para la creación de una red de computadoras es compartir los recursos y la información en la distancia, asegurar la confiabilidad y la disponibilidad de la información, aumentar la velocidad de transmisión de los datos y reducir el coste general de estas acciones.

2.3.1.- RED DE ÁREA PERSONAL O PAN (PERSONAL AREA

NETWORK) Es una red de computadoras para la comunicación entre distintos dispositivos (tanto computadoras, puntos de acceso a internet, teléfonos celulares, PDA, dispositivos de audio, impresoras) cercanos al punto de acceso. Estas redes normalmente son de unos pocos metros y para uso personal, así como fuera de ella. El espacio personal abarca toda el área que puede cubrir la voz. Puede tener una capacidad en el rango de los 10 bps hasta los 10 Mbps. Existen soluciones (ejemplo, Bluetooth) que operan en la frecuencia libre para instrumentación, ciencia y medicina de sus siglas en inglés (instrumental, scientific, and medical ISM) en su respectiva banda de frecuencia de 2.4 GHz. Los sistemas PAN podrán operar en las bandas libres de 5 GHz o quizás mayores a éstas. PAN es un concepto de red dinámico que exigirá las soluciones técnicas apropiadas para esta arquitectura, protocolos, administración, y seguridad. PAN representa el concepto de redes centradas en las personas, y que les permiten a

23

dichas personas comunicarse con sus dispositivos personales para así hacer posible establecer una conexión inalámbrica con el mundo externo.

2.3.2.- RED DE ÁREA LOCAL O LAN (LOCAL AREA NETWORK) Es la interconexión de varias computadoras y periféricos. Su extensión está limitada físicamente a un edificio o a un entorno de 200 metros, con repetidores podría llegar a la distancia de un campo de 1 kilómetro. Su aplicación más extendida es la interconexión de computadoras personales y estaciones de trabajo en oficinas, fábricas, etc. El término red local incluye tanto el hardware como el software necesario para la interconexión de los distintos dispositivos y el tratamiento de la información. Para elegir el tipo de red que más se adapte a nuestras pretensiones, tenemos que tener en cuenta distintos factores, como son el número de estaciones, distancia máxima entre ellas, dificultad del cableado, necesidades de velocidad de respuesta o de enviar otras informaciones aparte de los datos de la red y, cómo no, el costo. Como referencia para los parámetros anteriores, podemos realizar una comparación de los tres tipos de redes comentados anteriormente. Para ello, supongamos que el tipo Ethernet y Arcnet se instalan con cable coaxial y Token Ring con par trenzado apantallado. En cuanto a las facilidades de instalación, Arcnet resulta ser la más fácil de instalar debido a su topología. Ethernet y Token Ring necesitan de mayor reflexión antes de proceder con su implementación. En cuanto a la velocidad, Ethernet es la más rápida, 10/100/1000 Mb/s, Arcnet funciona a 2,5 Mb/s y Token Ring a 4 Mb/s. Actualmente existe una versión de Token Ring a 16 Mb/s, pero necesita un tipo de cableado más caro.

2.3.3.- RED DE ÁREA METROPOLITANA O MAN (METROPOLITAN

AREA NETWORK) Es una red de alta velocidad (banda ancha) que da cobertura en un área geográfica extensa, proporciona capacidad de integración de múltiples servicios mediante la transmisión de datos, voz y vídeo, sobre medios de transmisión tales como fibra óptica y par trenzado (MAN BUCLE), la tecnología de pares de cobre se posiciona como la red más grande del mundo una excelente alternativa para la creación de redes metropolitanas, por su baja latencia (entre 1 y 50ms), gran estabilidad y la carencia de

24

interferencias radioeléctricas, las redes MAN BUCLE, ofrecen velocidades de 10Mbps, 20Mbps, 45Mbps, 75Mbps, sobre pares de cobre y 100Mbps, 1Gbps y 10Gbps mediante Fibra Óptica. Las redes MAN también se aplican en las organizaciones, en grupos de oficinas corporativas cercanas a una ciudad, estas no contiene elementos de conmutación, los cuales desvían los paquetes por una de varias líneas de salida potenciales. Estas redes pueden ser públicas o privadas. Las redes de área metropolitana, comprenden una ubicación geográfica determinada "ciudad, municipio", y su distancia de cobertura es mayor de 4 km. Son redes con dos buses unidireccionales, cada uno de ellos es independiente del otro en cuanto a la transferencia de datos.

2.3.4.- RED DE ÁREA AMPLIA O WAN (WIDE AREA NETWORK) Contiene una colección de máquinas dedicadas a ejecutar los programas de usuarios (hosts). Estos están conectados por la red que lleva los mensajes de un host a otro. Estas LAN de host acceden a la subred de la red de área amplia por un ruteador. Suelen ser por tanto redes punto a punto. Una WAN contiene numerosos cables conectados a un par de ruteadores. Si dos ruteadores que no comparten cable desean comunicarse, han de hacerlo a través de ruteadores intermedios. El paquete se recibe completo en cada uno de los intermedios y se almacena allí hasta que la línea de salida requerida esté libre. Se pueden establecer WAN en sistemas de satélite o de radio en tierra en los que cada ruteador tiene una antena con la cual poder enviar y recibir la información. Por su naturaleza, las redes de satélite serán de difusión. Hoy en día Internet proporciona WAN de alta velocidad, y la necesidad de redes privadas WAN se ha reducido drásticamente mientras que las VPN que utilizan cifrado y otras técnicas para hacer esa red dedicada aumentan continuamente.

2.3.5.- RED DE ÁREA LOCAL VIRTUAL O VLAN (VIRTUAL LAN) Es un grupo de computadoras con un conjunto común de recursos a compartir y de requerimientos, que se comunican como si estuvieran adjuntos a una división lógica de redes de computadoras en la cual todos los nodos pueden alcanzar a los otros por

25

medio de broadcast (dominio de broadcast) en la capa de enlace de datos, a pesar de su diversa localización física.

2.4.- TOPOLOGÍAS DE RED

2.4.1.- TOPOLOGÍA DE BUS Se caracteriza por tener un único canal de comunicaciones (denominado bus, troncal o backbone) al cual se conectan los diferentes dispositivos. De esta forma todos los dispositivos comparten el mismo canal para comunicarse entre sí. Los extremos del cable se terminan con una resistencia de acople denominada terminador, que además de indicar que no existen más ordenadores en el extremo, permiten cerrar el bus por medio de un acople de impedancias. Es la tercera de las topologías principales. Las estaciones están conectadas por un único segmento de cable. A diferencia de una red en anillo, el bus es pasivo, no se produce generación de señales en cada nodo o ruteador.

2.4.2.- TOPOLOGÍA DE ANILLO Cada estación está conectada a la siguiente y la última está conectada a la primera. Cada estación tiene un receptor y un transmisor que hace la función de repetidor, pasando la señal a la siguiente estación. En este tipo de red la comunicación se da por el paso de un token o testigo, que se puede conceptualizar como un cartero que pasa recogiendo y entregando paquetes de información, de esta manera se evitan eventuales pérdidas de información debidas a colisiones.

2.4.3.- TOPOLOGÍA DE ESTRELLA Es una red en la cual las estaciones están conectadas directamente a un punto central y todas las comunicaciones se han de hacer necesariamente a través de éste. Los dispositivos no están directamente conectados entre sí, además de que no se permite tanto tráfico de información. Dado su transmisión, una red en estrella activa tiene un nodo central activo que normalmente tiene los medios para prevenir problemas relacionados con el eco. Se utiliza sobre todo para redes locales. La mayoría de las redes de área local que tienen un enrutador (ruteador), un conmutador (switch) o un

26

concentrador (hub) siguen esta topología. El nodo central en estas sería el enrutador, el conmutador o el concentrador, por el que pasan todos los paquetes.

2.4.4.- TOPOLOGÍA DE MALLA Cada nodo está conectado a todos los nodos. De esta manera es posible llevar los mensajes de un nodo a otro por diferentes caminos. Si la red de malla está completamente conectada, no puede existir absolutamente ninguna interrupción en las comunicaciones. Cada servidor tiene sus propias conexiones con todos los demás servidores. El establecimiento de una red de malla es una manera de encaminar datos, voz e instrucciones entre los nodos. Las redes de malla se diferencian de otras redes en que los elementos de la red (nodo) están conectados todos con todos, mediante cables separados. Esta configuración ofrece caminos redundantes por toda la red de modo que, si falla un cable, otro se hará cargo del tráfico. Esta topología, a diferencia de otras (como la topología en árbol y la topología en estrella), no requiere de un servidor o nodo central, con lo que se reduce el mantenimiento (un error en un nodo, sea importante o no, no implica la caída de toda la red). Una red con topología en malla ofrece una redundancia y fiabilidad superiores. Aunque la facilidad de solución de problemas y el aumento de la confiabilidad son ventajas muy interesantes, estas redes resultan caras de instalar, ya que utilizan mucho cableado. Por ello cobran mayor importancia en el uso de redes inalámbricas (por la no necesidad de cableado) a pesar de los inconvenientes propios del Wireless. En muchas ocasiones, la topología en malla se utiliza junto con otras topologías para formar una topología híbrida. Una red de malla extiende con eficacia una red, compartiendo el acceso a una infraestructura de mayor porte.

2.4.5.- TOPOLOGÍA DE ÁRBOL Los nodos están colocados en forma de árbol. Desde una visión topológica, la conexión en árbol es parecida a una serie de redes en estrella interconectadas salvo en que no tiene un nodo central. En cambio, tiene un nodo de enlace troncal, generalmente ocupado por un hub o switch, desde el que se ramifican los demás nodos. Es una

27

variación de la red en bus, la falla de un nodo no implica interrupción en las comunicaciones. Se comparte el mismo canal de comunicaciones. La topología en árbol puede verse como una combinación de varias topologías en estrella. Tanto la de árbol como la de estrella son similares a la de bus cuando el nodo de interconexión trabaja en modo difusión, pues la información se propaga hacia todas las estaciones, solo que en esta topología las ramificaciones se extienden a partir de un punto raíz (estrella), a tantas ramificaciones como sean posibles, según las características del árbol.

Figura 2.4.1.- Topologías de Red

2.5.- CABLEADO Una vez que tenemos las estaciones de trabajo, el servidor y las placas de red, requerimos interconectar todo el conjunto. El tipo de cable utilizado depende de muchos factores, que se mencionarán a continuación. Los tipos de cableado de red más populares son: par trenzado, cable coaxial y fibra óptica. Además se pueden realizar conexiones a través de radio o microondas. Cada tipo de cable o método tiene sus ventajas y desventajas. Algunos son propensos a interferencias, mientras otros no

28

pueden usarse por razones de seguridad. La velocidad y longitud del tendido son otros factores a tener en cuenta el tipo de cable a utilizar.

2.5.1.- PAR TRENZADO Consiste en dos hilos de cobre trenzado, aislados de forma independiente y trenzados entre sí. El par está cubierto por una capa aislante externa. El entrelazado de los cables disminuye la interferencia debido a que el área de bucle entre los cables, la cual determina el acoplamiento eléctrico en la señal, se ve aumentada. En la operación de balanceado de pares, los dos cables suelen llevar señales paralelas y adyacentes (modo diferencial), las cuales son combinadas mediante sustracción en el destino. El ruido de los dos cables se aumenta mutuamente en esta sustracción debido a que ambos cables están expuestos a interferencias electromagnéticas similares. La tasa de trenzado, usualmente definida en vueltas por metro, forma parte de las especificaciones de un tipo concreto de cable. Cuanto menor es el número de vueltas, menor es la atenuación de la diafonía. Donde los pares no están trenzados, como en la mayoría de las conexiones telefónicas residenciales, un miembro del par puede estar más cercano a la fuente que el otro y, por tanto, expuesto a niveles ligeramente distintos de interferencias electromagnéticas. TIPOS DE PAR TRENZADO o UTP, acrónimo de Unshielded Twisted Pair o Cable trenzado sin apantallar. Son

cables de pares trenzados sin apantallar que se utilizan para diferentes tecnologías de red local. Son de bajo costo y de fácil uso, pero producen más errores que otros tipos de cable y tienen limitaciones para trabajar a grandes distancias sin regeneración de la señal.

o STP, acrónimo de Shielded Twisted Pair o Par trenzado apantallado. Se trata de cables de cobre aislados dentro de una cubierta protectora, con un número específico de trenzas por pie. STP se refiere a la cantidad de aislamiento alrededor de un conjunto de cables y, por lo tanto, a su inmunidad al ruido. Se utiliza en redes de ordenadores como Ethernet o Token Ring. Es más caro que la versión no apantallada UTP.

o FTP, acrónimo de Foiled Twisted Pair o Par trenzado con pantalla global. Son unos cables de pares que poseen una pantalla conductora global en forma trenzada. Mejora la protección frente a interferencias y su impedancia es de 12 ohmios.

29

CATEGORÍAS DE PAR TRENZADO La especificación 568A Commercial Building Wiring Standard de la asociación Industrias Electrónicas e Industrias de las Telecomunicaciones (EIA/TIA) especifica el tipo de cable UTP que se utilizará en cada situación y construcción. Dependiendo de la velocidad de transmisión, ha sido dividida en diferentes categorías de acuerdo a la tabla 1: Entre sus principales ventajas tenemos: o Es una tecnología bien estudiada. o No requiere una habilidad especial para instalación. o La instalación es rápida y fácil. o La emisión de señales al exterior es mínima. o Ofrece alguna inmunidad frente a interferencias, modulación cruzada y corrosión. Categoría Ancho de

Banda (MHz) Aplicaciones Notas

Categoría 1 0,4 Líneas telefónicas y módem de banda ancha.

No descrito en las recomendaciones del EIA/TIA. No es adecuado para sistemas modernos.

Categoría 2 ¿? Cable para conexión de antiguos terminales como el IBM 3270.

No descrito en las recomendaciones del EIA/TIA. No es adecuado para sistemas modernos.

Categoría 3 16MHz 10BASE-T y 100BASE-T4 Ethernet Descrito en la norma EIA/TIA-568. No es adecuado para transmisión de datos mayor a 16 Mbit/s.

Categoría 4 20MHz 16 Mbit/s Token Ring Categoría 5 100MHz 100BASE-TX y 1000BASE-T

Ethernet

Categoría 5e 100MHz 100BASE-TX y 1000BASE-T Ethernet

Mejora del cable de Categoría 5. En la práctica es como la categoría anterior pero con mejores normas de prueba. Es adecuado para Gigabit Ethernet

Categoría 6 250MHz 1000BASE-T Ethernet Cable más comúnmente instalado en Finlandia según la norma SFS-EN 50173-1.

Categoría 7 600MHz En desarrollo. Aún sin aplicaciones. Cable U/FTP (sin blindaje) de 4 pares. Categoría 7ª 1200MHz Para servicios de telefonía,

Televisión por cable y Ethernet 1000BASE-T en el mismo cable.

Cable S/FTP (pares blindados, cable blindado trenzado) de 4 pares. Norma en desarrollo.

Categoría 8 1200MHz Norma en desarrollo. Aún sin aplicaciones.

Cable S/FTP (pares blindados, cable blindado trenzado) de 4 pares.

Tabla 2.5.1.1.- Categorías de Par Trenzado

30

2.5.2.- CABLE COAXIAL

Fue creado en la década de los 30, y es un cable utilizado para transportar señales eléctricas de alta frecuencia que posee dos conductores concéntricos, uno central, llamado vivo, encargado de llevar la información, y uno exterior, de aspecto tubular, llamado malla o blindaje, que sirve como referencia de tierra y retorno de las corrientes. Entre ambos se encuentra una capa aislante llamada dieléctrico, de cuyas características dependerá principalmente la calidad del cable. Todo el conjunto suele estar protegido por una cubierta aislante. El conductor central puede estar constituido por un alambre sólido o por varios hilos retorcidos de cobre; mientras que el exterior puede ser una malla trenzada, una lámina enrollada o un tubo corrugado de cobre o aluminio. En este último caso resultará un cable semirrígido. Debido a la necesidad de manejar frecuencias cada vez más altas y a la digitalización de las transmisiones, en años recientes se ha sustituido paulatinamente el uso del cable coaxial por el de fibra óptica, en particular para distancias superiores a varios kilómetros, porque el ancho de banda de esta última es muy superior. El cable está disponible en dos espesores: grueso y fino. El cable grueso soporta largas distancias, pero es más caro. El cable fino puede ser más práctico para conectar puntos cercanos. El cable coaxial ofrece las siguientes ventajas: o Soporta comunicaciones en banda ancha y en banda base. o Es útil para varias señales, incluyendo voz, video y datos. o Es una tecnología bien estudiada.

2.5.3.- FIBRA ÓPTICA

Esta conexión es cara, permite transmitir la información a gran velocidad e impide la intervención de las líneas. Como la señal es transmitida a través de luz, existen muy pocas posibilidades de interferencia eléctrica o emisión de señal. El cable consta de dos núcleos ópticos, uno interno y otro externo, que refractan la luz de forma distinta. La fibra está encapsulada en un cable protector. TIPOS DE FIBRA ÓPTICA

31

Las diferentes trayectorias que puede seguir un haz de luz en el interior de una fibra se denominan modos de propagación. Y según el modo de propagación tendremos dos tipos de fibra óptica: multimodo y monomodo. Fibra multimodo.- es aquella en la que los haces de luz pueden circular por más de un modo o camino. Esto supone que no llegan todos a la vez. Una fibra multimodo puede tener más de mil modos de propagación de luz. Las fibras multimodo se usan comúnmente en aplicaciones de corta distancia, menores a 1 km; es simple de diseñar y económico. El núcleo de una fibra multimodo tiene un índice de refracción superior, pero del mismo orden de magnitud, que el revestimiento. Debido al gran tamaño del núcleo de una fibra multimodo, es más fácil de conectar y tiene una mayor tolerancia a componentes de menor precisión. Dependiendo el tipo de índice de refracción del núcleo, tenemos dos tipos de fibra multimodo: o Índice escalonado: en este tipo de fibra, el núcleo tiene un índice de refracción

constante en toda la sección cilíndrica, tiene alta dispersión modal. o Índice gradual: mientras en este tipo, el índice de refracción no es constante, tiene

menor dispersión modal y el núcleo se constituye de distintos materiales. Además, según el sistema ISO 11801 para clasificación de fibras multimodo según su ancho de banda se incluye el formato OM3 (monomodo sobre láser) a los ya existentes OM1 y OM2 (monomodos sobre LED). o OM1: Fibra 62.5/125 µm, soporta hasta Gigabyte Ethernet (1 Gbit/s), usan LED

como emisores. o OM2: Fibra 50/125 µm, soporta hasta Gigabyte Ethernet (1 Gbit/s), usan LED

como emisores. o OM3: Fibra 50/125 µm, soporta hasta 10 Gigabyte Ethernet (300 m), usan láser

(VCSEL) como emisores. Bajo OM3 se han conseguido hasta 2000 MHz/Km (10 Gbps), es decir, velocidades 10 veces mayores que con OM1. Fibra monomodo.- es una fibra óptica en la que sólo se propaga un modo de luz. Se logra reduciendo el diámetro del núcleo de la fibra hasta un tamaño (8,3 a 10 micrones) que sólo permite un modo de propagación. Su transmisión es paralela al eje de la fibra.

32

A diferencia de las fibras multimodo, las fibras monomodo permiten alcanzar grandes distancias (hasta 400 km máximo, mediante un láser de alta intensidad) y transmitir elevadas tasas de información (decenas de TB/s). TIPOS DE FIBRA ÓPTICA SEGÚN SU DISEÑO De acuerdo a su diseño, existen dos tipos de cable de fibra óptica Cable de estructura holgada.- es un cable empleado tanto para exteriores como para interiores que consta de varios tubos de fibra rodeando un miembro central de refuerzo y provisto de una cubierta protectora. Cada tubo de fibra, de dos a tres milímetros de diámetro, lleva varias fibras ópticas que descansan holgadamente en él. Los tubos pueden ser huecos o estar llenos de un gel hidrófugo que actúa como protector antihumedad impidiendo que el agua entre en la fibra. El tubo holgado aísla la fibra de las fuerzas mecánicas exteriores que se ejerzan sobre el cable. Cable de estructura ajustada.- es un cable diseñado para instalaciones en el interior de los edificios, es más flexible y con un radio de curvatura más pequeño que el que tienen los cables de estructura holgada. Contiene varias fibras con protección secundaria que rodean un miembro central de tracción, todo ello cubierto de una protección exterior. Cada fibra tiene una protección plástica extrusionada directamente sobre ella, hasta alcanzar un diámetro de 900 µm rodeando al recubrimiento de 250 µm de la fibra óptica. Esta protección plástica además de servir como protección adicional frente al entorno, también provee un soporte físico que serviría para reducir su coste de instalación al permitir reducir las bandejas de empalmes. Ofrece las siguientes ventajas: o Alta velocidad de transmisión. o No emite señales eléctricas o magnéticas, lo cual redunda en la seguridad. o Inmunidad frente a interferencias y modulación cruzada. o Mayor economía que el cable coaxial en algunas instalaciones. o Soporta mayores distancias

2.6.- EQUIPOS DE COMUNICACIONES

Tarjetas de Conexión a la red (NIC’s): tarjeta electrónica que conectan a las estaciones de trabajo a la red. Normalmente se insertan en una de las ranuras de

33

expansión del motherboard del microcomputador suministrando de esta forma acceso directo a memoria (DMA). Estaciones de Trabajo: PC’s conectadas a la red a través de las cuales podemos acceder a los recursos compartidos en dicha red como discos, impresoras, módems, etc. Pueden carecer de la mayoría de los periféricos pero siempre tendrán un NIC, un monitor, un teclado y un CPU. Repetidores: dispositivos que generan la señal de un segmento de cable y pasan estas señales a otro segmento de cable sin variar el contenido de la señal. Son utilizados para incrementar la longitud entre conexiones en una LAN. Bridges: consiste en un equipo que contiene dos puertos de comunicación, crea unas tablas en memoria que contienen todas las direcciones de MAC de ambos extremos, de tal manera que restringen el tráfico de datos de un segmento a otro, no permitiendo el paso de tramas que tengan como destino una dirección del mismo segmento al que pertenece la estación de origen. Ruteadores: son dispositivos que nos permiten unir varias redes (más de dos, a diferencia de los bridges), tomando como referencia la dirección de red de cada segmento. Al igual que los bridges, los Ruteadores restringen el tráfico local de la red permitiendo el flujo de datos a través de ellos solamente cuando los datos son direccionados con esa intención. Hubs: concentradores de cableado en estrella integrados por microprocesadores, memoria y protocolos como SNMP, características que lo convierten en un nodo inteligente en la red capaz de controlar y diagnosticar, incluso por monitoreo remoto. Switch Ethernet: divide la LAN en varios segmentos limitando el tráfico a uno o más segmentos en vez de permitir la difusión de los paquetes por todos los puertos. Dentro del Switch, un circuito de alta velocidad se encarga del filtrado y de permitir el tránsito entre segmentos de aquellos segmentos que tengan la intención de hacerlo.

2.7.- SERVIDORES

Son computadoras utilizadas para gestionar el sistema de archivos de la red, da servicio a las impresoras, controla las comunicaciones y realiza otras funciones. Puede ser dedicado o no dedicado.

34

El sistema operativo de la red está cargado en el disco fijo del servidor, junto con las herramientas de administración del sistema y las utilidades del usuario. Se puede entonces llegar a una congestión, el tráfico puede ser tan elevado que podría impedir la recepción de algunas peticiones enviadas. Cuanto mayor es la red, resulta más importante tener un servidor con elevadas prestaciones. Se necesitan grandes cantidades de memoria RAM para optimizar los accesos a disco y mantener las colas de impresión. El rendimiento de un procesador es una combinación de varios factores, incluyendo el tipo de procesador, la velocidad, el factor de estados de espera, el tamaño del canal, el tamaño del bus, la memoria caché así como de otros factores.

2.7.1.- TIPOS DE SERVIDORES

En la siguiente lista hay algunos tipos comunes de servidores y sus propósitos. o Servidor de archivos: almacena varios tipos de archivo y los distribuye a otros

clientes en la red. o Servidor de impresiones: controla una o más impresoras y acepta trabajos de

impresión de otros clientes de la red, poniendo en cola los trabajos de impresión y realizando la mayoría o todas las otras funciones que en un sitio de trabajo se realizaría para lograr una tarea de impresión si la impresora fuera conectada directamente con el puerto de impresora del sitio de trabajo.

o Servidor de correo: almacena, envía, recibe, enruta y realiza otras operaciones relacionadas con e-mail para los clientes de la red.

o Servidor de fax: almacena, envía, recibe, enruta y realiza otras funciones necesarias para la transmisión, la recepción y la distribución apropiadas de los fax.

o Servidor de la telefonía: realiza funciones relacionadas con la telefonía, como es la de contestador automático, realizando las funciones de un sistema interactivo para la respuesta de la voz, almacenando los mensajes de voz, encaminando las llamadas y controlando también la red o Internet; p. ej., la entrada excesiva del IP de la voz (VoIP), etc.

o Servidor proxy: realiza un cierto tipo de funciones a nombre de otros clientes en la red para aumentar el funcionamiento de ciertas operaciones (p. ej., prefetching y depositar documentos u otros datos que se soliciten muy frecuentemente). También sirve seguridad; esto es, tiene un Firewall (cortafuegos). Permite administrar el acceso a Internet en una red de computadoras permitiendo o negando el acceso a diferentes sitios web.

35

o Servidor del acceso remoto (RAS): controla las líneas de módem de los monitores u otros canales de comunicación de la red para que las peticiones conecten con la red de una posición remota, responden llamadas telefónicas entrantes o reconocen la petición de la red y realizan los chequeos necesarios de seguridad y otros procedimientos necesarios para registrar a un usuario en la red.

o Servidor de uso: realiza la parte lógica de la informática o del negocio de un uso del cliente, aceptando las instrucciones para que se realicen las operaciones de un sitio de trabajo y sirviendo los resultados a su vez al sitio de trabajo, mientras que el sitio de trabajo realiza la interfaz operadora o la porción del GUI del proceso (es decir, la lógica de la presentación) que se requiere para trabajar correctamente.

o Servidor web: almacena documentos HTML, imágenes, archivos de texto, escrituras, y demás material Web compuesto por datos (conocidos normalmente como contenido), y distribuye este contenido a clientes que la piden en la red.

o Servidor de reserva: tiene el software de reserva de la red instalado y tiene cantidades grandes de almacenamiento de la red en discos duros u otras formas del almacenamiento (cinta, etc.) disponibles para que se utilice con el fin de asegurarse de que la pérdida de un servidor principal no afecte a la red. Esta técnica también es denominada clustering.

o Servidor de Autenticación: Es el encargado de verificar que un usuario pueda conectarse a la red en cualquier punto de acceso, ya sea inalámbrico o por cable, basándose en el estándar 802.1x y puede ser un servidor de tipo RADIUS.

o Servidor DNS: Este tipo de servidores resuelven nombres de dominio sin necesidad de conocer su dirección IP.

2.8.- SOFTWARE.

Se conoce como software al equipamiento lógico o soporte lógico de una computadora digital; comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos, que son llamados hardware. Los componentes lógicos incluyen, entre muchos otros, las aplicaciones informáticas; tales como el procesador de textos, que permite al usuario realizar todas las tareas concernientes a la edición de textos; el software de sistema, tal como el sistema operativo, que, básicamente, permite al resto de los programas funcionar adecuadamente, facilitando también la interacción entre los componentes físicos y el resto de las aplicaciones, y proporcionando una interfaz para el usuario.

36

ETIMOLOGÍA Software es una palabra proveniente del inglés (literalmente: partes blandas o suaves), que en español no posee una traducción adecuada al contexto, por lo cual se la utiliza asiduamente sin traducir y así fue admitida por la Real Academia Española (RAE). Aunque no es estrictamente lo mismo, suele sustituirse por expresiones tales como programas (informáticos) o aplicaciones (informáticas). DEFINICIÓN DE SOFTWARE Existen varias definiciones similares aceptadas para software, pero probablemente la más formal sea la siguiente: Es el conjunto de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un sistema de computación. Considerando esta definición, el concepto de software va más allá de los programas de computación en sus distintos estados: código fuente, binario o ejecutable; también su documentación, los datos a procesar e incluso la información de usuario forman parte del software: es decir, abarca todo lo intangible, todo lo «no físico» relacionado. El término «software» fue usado por primera vez en este sentido por John W. Tukey en 1957. En la ingeniería de software y las ciencias de la computación, el software es toda la información procesada por los sistemas informáticos: programas y datos. El concepto de leer diferentes secuencias de instrucciones (programa) desde la memoria de un dispositivo para controlar los cálculos fue introducido por Charles Babbage como parte de su máquina diferencial. La teoría que forma la base de la mayor parte del software moderno fue propuesta por Alan Turing en su ensayo de 1936, «Los números computables», con una aplicación al problema de decisión.

2.8.1.- SISTEMAS OPERATIVOS. Su objetivo es desvincular adecuadamente al usuario y al programador de los detalles de la computadora en particular que se use, aislándolo especialmente del procesamiento referido a las características internas de: memoria, discos, puertos y dispositivos de comunicaciones, impresoras, pantallas, teclados, etc. El software de

37

sistema le procura al usuario y programador adecuadas interfaces de alto nivel, herramientas y utilidades de apoyo que permiten su mantenimiento. Incluye entre otros: o Sistemas operativos o Controladores de dispositivos o Herramientas de diagnóstico o Herramientas de Corrección y Optimización o Servidores o Utilidades

2.8.2.- APLICACIONES. Es aquel que permite a los usuarios llevar a cabo una o varias tareas específicas, en cualquier campo de actividad susceptible de ser automatizado o asistido, con especial énfasis en los negocios. Incluye entre otros: o Aplicaciones para Control de sistemas y automatización industrial o Aplicaciones ofimáticas o Software educativo o Software empresarial o Bases de datos o Telecomunicaciones (por ejemplo Internet y toda su estructura lógica) o Videojuegos o Software médico o Software de Cálculo Numérico y simbólico. o Software de Diseño Asistido (CAD) o Software de Control Numérico (CAM)

38

CAPITULO III.- LEGISLACIONES EXISTENTES.

3.1.- LEGISLACIÓN NACIONAL. 3.1.1.- CNBV.

La Comisión Nacional Bancaria y de Valores es un órgano desconcentrado de la Secretaría de Hacienda y Crédito Público (SHCP) con autonomía técnica y facultades ejecutivas. También será su objeto supervisar y regular a las personas físicas y demás personas morales, cuando realicen actividades previstas en las leyes relativas al citado sistema financiero (Artículo 2º Ley de la Comisión Nacional Bancaria y de Valores). ARTÍCULO 1.- Se crea la Comisión Nacional Bancaria y de Valores como órgano desconcentrado de la Secretaría de Hacienda y Crédito Público, con autonomía técnica y facultades ejecutivas en los términos de esta Ley. ARTÍCULO 2.- La Comisión tendrá por objeto supervisar y regular en el ámbito de su competencia, a las entidades financieras, a fin de procurar su estabilidad y correcto funcionamiento, así como mantener y fomentar el sano y equilibrado desarrollo del sistema financiero en su conjunto, en protección de los intereses del público. También será su objeto supervisar y regular a las personas físicas y demás personas morales, cuando realicen actividades previstas en las leyes relativas al citado sistema financiero. ARTÍCULO 3.- Para los efectos de la presente Ley se entenderá por: a Comisión, a la Comisión Nacional Bancaria y de Valores; b Junta de Gobierno o Junta, a la Junta de Gobierno de la Comisión; c Presidente, al Presidente de la Comisión; d Entidades del sector financiero o entidades financieras, a las sociedades

controladoras de grupos financieros, instituciones de crédito, casas de bolsa, especialistas bursátiles, bolsas de valores, sociedades de inversión, sociedades operadoras de sociedades de inversión, sociedades.

39

3.1.2.- AMITI. La Asociación Mexicana de la Industria de Tecnologías de Información tiene como objetivo promover el crecimiento de la industria en beneficio del país, la industria y los miembros, representar los intereses de la industria buscando un marco legal y regulatorio que facilite el desarrollo de los negocios, y proporcionar servicios de valor agregado a la membresía. La misión de la AMITI consiste en Posicionar a las Tecnologías de Información (TI) como un claro habilitador de la Competitividad en México. Tiene como objetivo Promover el crecimiento de la industria en beneficio del país, la industria y los miembros de AMITI, representar los intereses de la industria buscando un marco legal y regulatorio que facilite el desarrollo de los negocios, y proporcionar servicios de valor agregado a la membresía. La AMITI es un organismo que conjunta a todos estos sectores, con participación activa de los principales fabricantes y proveedores del país, con el propósito de ofrecer a los socios, entre otros beneficios, un foro en el que puedan llevar a cabo sus actividades, crear sinergias, elaborar propuestas y proyectos en beneficio de la Industria y del país, y que adicionalmente cuenten con representatividad para interactuar con el resto de la industria, con la Administración Pública, Academia, y con organismos empresariales, nacionales y extranjeros afines. Actualmente, la AMITI cuenta con más de 260 socios en 19 estados del país, además de convenios de colaboración y relaciones con universidades, embajadas, dependencias gubernamentales, asociaciones y cámaras para promover el desarrollo de la industria de Tecnologías de Información”.

3.1.3.- CONOCER. El Consejo de Normalización y Certificación de Competencia Laboral, fue instalado el 2 de agosto de 1995. Está Integrado por: o 6 Representantes del Sector Empresarial o 6 Representantes del Sector Social (5 del obrero y 1 del agropecuario) o Los titulares de las 6 Secretarías de Estado. Sus Objetivos Centrales son:

40

o Planear, organizar y coordinar los Sistemas de Normalizado y de Certificación de Competencia Laboral, asegurando la calidad, transparencia y equidad de los mismos

o Promover y apoyar técnica y financieramente la constitución y funcionamiento de Comités de Normalización por rama de actividad económica o área de competencia, a fin de impulsar la definición de Normas Técnicas de Competencia Laboral (NTCL) de carácter nacional.

o Promover y apoyar técnica y metodológicamente la creación y operación de Organismos Certificadores y Centros de Evaluación.

3.2.- LEGISLACIÓN INTERNACIONAL.

3.2.1.- SOX. Actualmente las organizaciones están expuestas a ataques que propicien la pérdida de información y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos. La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002, fue preparada a partir de los escándalos financieros de los últimos años y establece una serie de nuevos requisitos tanto para las empresas estadounidenses como para las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno corporativo. La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa. El control interno es un proceso efectuado por los niveles directivos y gerenciales, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de sus áreas, teniendo como principales objetivos: o Efectividad y eficiencia de las operaciones, o Confiabilidad de la información financiera, o Cumplimiento de las normas y leyes que sean aplicables, y o Salvaguardia de los recursos.

41

3.2.2.- BASILEA II. En el sector financiero surge así mismo también legislaciones y regulaciones que ayuden a tener un control adecuado de las operaciones del día a día de las empresas así como de verificar que su estado financiero sea congruente y la información fiable. Basilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consisten en recomendaciones sobre la legislación y regulación bancaria y son emitidos por el Comité de supervisión bancaria de Basilea. El propósito de Basilea II, publicado inicialmente en Junio de 2004, es la creación de un estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.

3.2.3.- PCI.

PCI son normas de Seguridad de Datos para la Industria de Tarjetas de Pago y son el resultado de una colaboración entre Visa y MasterCard, con el objetivo de crear requerimientos comunes de seguridad para la industria. Estas normas de seguridad son verificadas por los Auditores en Informática que laboran en las entidades financieras que tienen relación con VISA y MasterCard. Estás normas buscan asegurar la información de los usuarios de tarjetas. Consisten de 12 requerimientos básicos agrupados en 6 categorías como se describe a continuación: Desarrollar y Mantener una Red Segura. o Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger

los datos. o Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad

provistos por los proveedores. Proteger los Datos del Tarjeta habiente o Requisito 3: Proteger los datos almacenados. o Requisito 4: Encriptar los datos del tarjeta habiente e información confidencial

transmitida a través de redes públicas.

42

Mantener un Programa de Manejo de Vulnerabilidad o Requisito 5: Usar y actualizar regularmente el software antivirus. o Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras. Implementar Medidas Sólidas de Control de Acceso o Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del

funcionario de conocer la información. o Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a

un computador. o Requisito 9: Restringir el acceso físico a los datos de los tarjeta-habientes. Monitorear y Probar Regularmente las Redes o Requisito 10: Rastrear y monitorear todo el acceso a los recursos de la red y

datos de los tarjeta-habiente. o Requisito 11: Probar regularmente los sistemas y procesos de seguridad. Mantener una Política de Seguridad de la Informació n o Requisito 12: Mantener una política que contemple la seguridad de la información

para los empleados y contratistas. Además, estos requisitos de seguridad se aplican a todos los “componentes de sistemas” que se definen como cualquier red, componente, servidor o aplicación incluida en el ambiente de datos de los tarjeta-habientes o conectada al mismo. Los componentes de red incluyen, sin limitación, cortafuegos, switches, ruteadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, base de datos, autenticación, DNS, correo, proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web)”.

43

CAPITULO IV.- MEJORES PRÁCTICAS.

4.1.- CONTROL. La palabra control proviene del término francés contrôle y significa comprobación, inspección, fiscalización o intervención. También puede hacer referencia al dominio, mando y preponderancia, o a la regulación sobre un sistema. El control es una etapa primordial en la administración, pues, aunque una empresa cuente con magníficos planes, una estructura organizacional adecuada y una dirección eficiente, el ejecutivo no podrá verificar cuál es la situación real de la organización i no existe un mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos.

4.1.1.- TIPOS DE CONTROL. Existen tres tipos básicos de control, en función de los recursos, de la actividad y de los resultados dentro de la organización, estos son: el control preliminar, concurrente y de retroalimentación. El primero se enfoca en la prevención de las desviaciones en la calidad y en la cantidad de recursos utilizados en la organización. El segundo, vigila las operaciones en funcionamiento para asegurarse que los objetivos se están alcanzando, los estándares que guían a la actividad en funcionamiento se derivan de las descripciones del trabajo y de las políticas que surgen de la función de la planificación, y último tipo de control se centra en los resultados finales, las medidas correctivas se orientan hacia la mejora del proceso para la adquisición de recursos o hacia las operaciones entre sí.

4.1.2.- CONTROL INTERNO. Es un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos incluidos en las siguientes categorías: o Eficacia y Eficiencia en las Operaciones

• Eficacia: Capacidad de alcanzar las metas y/o resultados propuestos • Eficiencia: Capacidad de producir el máximo de resultados con el mínimo

de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales:

44

� Rendimiento y rentabilidad � Salvaguarda de los recursos

o Confiabilidad de la información financiera. (Cumplimiento SOX) • Elaboración y publicación de Estados Financieros confiables, estados

contables intermedios y toda otra información que deba ser publicada. • Abarca también la información de gestión de uso interno.

o Cumplimiento con las leyes y normas que sean aplicables. • Cumplimiento con aquellas leyes y normas a las cuales está sujeta la

organización. • De esta forma logra evitar.

� Efectos perjudiciales para la reputación de la organización � Contingencias � Otros eventos perdidas y demás consecuencias negativas.

o Completan la definición algunos conceptos fundamentales: o El control interno es un proceso, es decir un medio para alcanzar un fin y no un fin

en sí mismo. o Lo llevan a cabo las personas que actúan en todos los niveles, no se trata

solamente de manuales de organización y procedimientos. o Sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la

conducción. o Está pensado para facilitar la consecución de objetivos en una o más de las

categorías señaladas las que, al mismo tiempo, suelen tener puntos en común. Al hablarse del control interno como un proceso, se hace referencia a una cadena de acciones extendida a todas las actividades, inherentes a la gestión e integrados a los demás procesos básicos de la misma: planificación, ejecución y supervisión. Tales acciones se hallan incorporadas (no añadidas) a la infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas de calidad. Según la Comisión de Normas de Control Interno de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), el control interno puede ser definido como el plan de organización, y el conjunto de planes, métodos, procedimientos y otras medidas de una institución, tendientes a ofrecer una garantía razonable de que se cumplan los siguientes objetivos principales: o Promover operaciones metódicas, económicas, eficientes y eficaces, así como

productos y servicios de la calidad esperada. o Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores,

fraudes o irregularidades.

45

o Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la adhesión de los integrantes de la organización a las políticas y objetivos de la misma.

o Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos.

Para la alta dirección es primordial lograr los mejores resultados con economía de esfuerzos y recursos, es decir al menor costo posible. Para ello debe controlarse que sus decisiones se cumplan adecuadamente, en el sentido que las acciones ejecutadas se correspondan con aquéllas, dentro de un esquema básico que permita la iniciativa y contemple las circunstancias vigentes en cada momento. Por consiguiente, siguiendo los lineamientos de INTOSAI, incumbe a la autoridad superior la responsabilidad en cuanto al establecimiento de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica. Ambas definiciones (COSO e INTOSAI) se complementan y conforman una versión amplia del control interno: la primera enfatizando respecto a su carácter de proceso constituido por una cadena de acciones integradas a la gestión, y la segunda atendiendo fundamentalmente a sus objetivos.

4.2.- COBIT. COBIT son las siglas de Control OBjectives for Information and related Technology que traducido al español sería los Objetivos de Control para la Tecnología Información relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. CoBIT es un modelo estructurado, lógico de mejores prácticas de Tecnología de Información, definidas por un consenso de expertos en todo el mundo en aspectos técnicos, seguridad, riesgos, calidad y control.Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). COBIT es una mejor práctica que brinda una consolidación y armonización de estándares para la investigación, desarrollo, publicación y actualización de objetivos de negocio de control para la tecnología de información enfocado a la gerencia y auditoria, además:

46

o Enfatiza el cumplimiento normativo o Ayuda a las organizaciones a incrementar el valor de TI o Apoya el alineamiento con el negocio.

4.2.1.- DIVISIÓN DE COBIT. Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control definido para todo los procesos de TI. Los objetivos de control de TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una alineación clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. Así mismo podemos ver que COBIT se divide en tres niveles los cuales son dominios, procesos y actividades. o Dominios: Los dominios corresponden a un conjunto de procesos responsabilidad

de la organización. o Procesos: Los procesos corresponden a una serie de actividades delimitadas bajo

un nivel de control. o Las actividades: son acciones requeridas para el logro de resultados que se ha

propuesto la organización. Tiene 34 objetivos de nivel alto que cubren 302 objetivos de control clasificados en cuatro dominios:

4.2.2.- PLANEAR Y ORGANIZAR (PO)

Este dominio nos permite cubrir en su objetivo principal el llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: o PO1 Definir un Plan Estratégico de TI o PO2 Definir la Arquitectura de la Información o PO3 Determinar la Dirección Tecnológica

47

o PO4 Definir los Procesos, Organización y Relaciones de TI o PO5 Administrar la Inversión en TI o PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia o PO7 Administrar Recursos Humanos de TI o PO8 Administrar la Calidad o PO9 Evaluar y Administrar los Riesgos de TI o PO10 Administrar Proyectos

4.2.3.- ADQUIRIR E IMPLEMENTAR (AI) Este dominio nos permite cubrir en su objetivo principal el llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: o ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las

necesidades del negocio? o ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del

presupuesto? o ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? o ¿Los cambios no afectarán a las operaciones actuales del negocio? o AI1 Identificar soluciones automatizadas o AI2 Adquirir y mantener software aplicativo o AI3 Adquirir y mantener infraestructura tecnológica o AI4 Facilitar la operación y el uso o AI5 Adquirir recursos de TI o AI6 Administrar cambios o AI7 Instalar y acreditar soluciones y cambios

4.2.4.- ENTREGAR Y DAR SOPORTE (DS) Este dominio nos permite establecer que todos los procesos deben ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

48

o DS1 Definir y administrar los niveles de servicio o DS2 Administrar los servicios de terceros o DS3 Administrar el desempeño y la capacidad o DS4 Garantizar la continuidad del servicio o DS5 Garantizar la seguridad de los sistemas o DS6 Identificar y asignar costos o DS7 Educar y entrenar a los usuarios o DS8 Administrar la mesa de servicio y los incidentes o DS9 Administrar la configuración o DS10 Administrar los problemas o DS11 Administrar los datos o DS12 Administrar el ambiente físico o DS13 Administrar las operaciones

4.2.5.- MONITOREAR Y EVALUAR (ME) Este dominio nos permite establecer que todos los procesos deben ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. o ME1 Monitorear y Evaluar el Desempeño de TI o ME2 Monitorear y Evaluar el Control Interno o ME3 Garantizar el Cumplimiento Regulatorio o ME4 Proporcionar Gobierno de TI Los recursos de TI identificados en COBIT se pueden definir como sigue: o Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información. o La información son los datos en todas sus formas, de entrada, procesados y

generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

o La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

o Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios

49

de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

CRITERIOS DE INFORMACIÓN DE COBIT. Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información: o La efectividad tiene que ver con que la información sea relevante y pertinente a

los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

o La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

o La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

o La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

o La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

o El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

o La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

50

Figura 4.2.1.- Marco Completo de Trabajo de COBIT

51

4.3.- MODELO DE MADUREZ. El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de evaluación de los procesos de una organización. Fue desarrollado inicialmente para los procesos relativos al desarrollo e implementación de software por la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute). El SEI es un centro de investigación y desarrollo patrocinado por el Departamento de Defensa de los Estados Unidos de América y gestionado por la Universidad Carnegie-Mellon. "CMM" es una marca registrada del SEI. A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de América desarrolló una primera definición de un modelo de madurez de procesos en el desarrollo de software, que se publicó en septiembre de 1987. Este trabajo evolucionó al modelo CMM o SW-CMM (CMM for Software), cuya última versión (v1.1) se publicó en febrero de 1993. Este modelo establece un conjunto de prácticas o procesos clave agrupados en Áreas Clave de Proceso (KPA – Key Process Area). Para cada área de proceso define un conjunto de buenas prácticas que habrán de ser: o Definidas en un procedimiento documentado o Provistas (la organización) de los medios y formación necesarios o Ejecutadas de un modo sistemático, universal y uniforme (institucionalizadas) o Medidas o Verificadas A su vez estas Áreas de Proceso se agrupan en cinco "niveles de madurez", de modo que una organización que tenga institucionalizadas todas las prácticas incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez. Los niveles son: o Inicial. Las organizaciones en este nivel no disponen de un ambiente estable

para el desarrollo y mantenimiento de software. Aunque se utilicen técnicas correctas de ingeniería, los esfuerzos se ven minados por falta de planificación. El éxito de los proyectos se basa la mayoría de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es impredecible.

52

o Repetible. En este nivel las organizaciones disponen de unas prácticas institucionalizadas de gestión de proyectos, existen unas métricas básicas y un razonable seguimiento de la calidad. La relación con subcontratistas y clientes está gestionada sistemáticamente.

o Definido. Además de una buena gestión de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinación entre grupos, formación del personal, técnicas de ingeniería más detalladas y un nivel más avanzado de métricas en los procesos. Se implementan técnicas de revisión por pares (peer reviews).

o Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de métricas significativas de calidad y productividad, que se usan de modo sistemático para la toma de decisiones y la gestión de riesgos. El software resultante es de alta calidad.

o Optimizado. La organización completa está volcada en la mejora continua de los procesos. Se hace uso intensivo de las métricas y se gestiona el proceso de innovación.

4.4.- COSO El denominado "INFORME COSO" sobre control interno, publicado en EE.UU. en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la treadway commission, nacional comisión on fraudulent financial reporting creó en Estados Unidos en 1985 bajo la sigla COSO (Comité of Sponsoring Organizations). El grupo estaba constituido por representantes de las siguientes organizaciones: o American Accounting Association (AAA) o American Institute of Certified Public Accountants (AICPA) o Financial Executive Institute (FEI) o Institute of Internal Auditors (IIA) o Institute of Management Accountants (IMA) Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles

53

académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. COSO ofrece un marco integrado que define el control interno con cinco componentes interrelacionados: o Ambiente de control o Evaluación de riesgos o Actividades de control o Información y comunicación o Monitoreo y Supervisión Continua. El ambiente de control refleja el espíritu ético vigente en una entidad respecto del comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la importancia que le asignan al control interno. Sirve de base de los otros componentes, ya que es dentro del ambiente reinante que se evalúan los riesgos y se definen las actividades de control tendientes a neutralizarlos. Simultáneamente se capta la información relevante y se realizan las comunicaciones pertinentes, dentro de un proceso supervisado y corregido de acuerdo con las circunstancias. El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la evaluación de riesgos no sólo influye en las actividades de control, sino que puede también poner de relieve la conveniencia de reconsiderar el manejo de la información y la comunicación. No se trata de un proceso en serie, en el que un componente incide exclusivamente sobre el siguiente, sino que es interactivo multidireccional en tanto cualquier componente puede influir, y de hecho lo hace, en cualquier otro. Existe también una relación directa entre los objetivos (Eficiencia de las operaciones, confiabilidad de la información y cumplimiento de leyes y reglamentos) y los cinco componentes referenciados, la que se manifiesta permanentemente en el campo de la gestión: las unidades operativas y cada agente de la organización conforman secuencialmente un esquema orientado a los resultados que se buscan, y la matriz constituida por ese esquema es a su vez cruzada por los componentes.

4.4.1.- AMBIENTE DE CONTROL. El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto

54

determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales. Los principales factores del ambiente de control son: o La filosofía y estilo de la dirección y la gerencia. o La estructura, el plan organizacional, los reglamentos y los manuales de

procedimiento. o La integridad, los valores éticos, la competencia profesional y el compromiso de

todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos.

o Las formas de asignación de responsabilidades y de administración y desarrollo del personal.

o El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento.

o En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de auditorías con suficiente grado de independencia y calificación profesional.

4.4.2.- EVALUACIÓN DE RIESGOS. En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de auditorías con suficiente grado de independencia y calificación profesional. El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto a los niveles de la organización (internos y externos) como de la actividad. El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo. Los objetivos (relacionados con las operaciones, con la información financiera y con el cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores críticos del éxito y determinar los criterios para medir el rendimiento.

55

A este respecto cabe recordar que los objetivos de control deben ser específicos, así como adecuados, completos, razonables e integrados a los globales de la institución. Una vez identificados, el análisis de los riesgos incluirá: o Una estimación de su importancia / trascendencia. o Una evaluación de la probabilidad / frecuencia. o Una definición del modo en que habrán de manejarse. Dado que las condiciones en que las entidades se desenvuelven suelen sufrir variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de los riesgos asociados con el cambio. Aunque el proceso de evaluación es similar al de los otros riesgos, la gestión de los cambios merece efectuarse independientemente, dada su gran importancia y las posibilidades de que los mismos pasen inadvertidos para quienes están inmersos en las rutinas de los procesos. Existen circunstancias que pueden merecer una atención especial en función del impacto potencial que plantean: o Cambios en el entorno. o Redefinición de la política institucional. o Reorganizaciones o reestructuraciones internas. o Ingreso de empleados nuevos, o rotación de los existentes. o Nuevos sistemas, procedimientos y tecnologías. o Aceleración del crecimiento. o Nuevos productos, actividades o funciones. Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones.

4.4.3.- ACTIVIDADES DE CONTROL. Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos.

56

Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo de la entidad con el que estén relacionados: o Las operaciones o La confiabilidad de la información financiera o El cumplimiento de leyes y reglamentos En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, éstas al cumplimiento normativo, y así sucesivamente. En todos los niveles de la organización existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debiéndose para ello explicitar claramente tales funciones. La gama que se expone a continuación muestra la amplitud abarcativa de las actividades de control, pero no constituye la totalidad de las mismas: o Análisis efectuados por la dirección. o Seguimiento y revisión por parte de los responsables de las diversas funciones o

actividades. o Controles físicos patrimoniales: arqueos, conciliaciones, recuentos. o Dispositivos de seguridad para restringir el acceso a los activos y registros. o Segregación de funciones. o Aplicación de indicadores de rendimiento. Es necesario remarcar la importancia de contar con buenos controles de las tecnologías de información, pues éstas desempeñan un papel fundamental en la gestión, destacándose al respecto el centro de procesamiento de datos, la adquisición, implantación y mantenimiento del software, la seguridad en el acceso a los sistemas y mantenimiento de las aplicaciones. A su vez los avances tecnológicos requieren una respuesta profesional calificada y anticipativa desde el control.

4.4.4.- INFORMACIÓN Y COMUNICACIÓN. Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización (funciones, responsabilidades), es imprescindible que

57

cuenten con la información periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos. La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La información operacional, financiera y de cumplimiento conforma un sistema para posibilitar la dirección, ejecución y control de las operaciones. Está conformada no sólo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones. Los sistemas de información permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de información acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratégicas, a través de la evolución desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas. Ya que el sistema de información influye sobre la capacidad de la dirección para tomar decisiones de gestión y control, la calidad de aquél resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad. La comunicación es inherente a los sistemas de información. Las personas deben conocer a tiempo las cuestiones relativas a sus responsabilidades de gestión y control. Cada función ha de especificarse con claridad, entendiendo en ello los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno. Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el trabajo de los demás, cuáles son los comportamientos esperados, de que manera deben comunicar la información relevante que generen. Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto es, en el más amplio sentido, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal. Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de políticas,

58

memorias, difusión institucional, canales formales e informales, resulta la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción vale más que mil palabras.

4.4.5.- MONITOREO Y SUPERVISIÓN CONTINUA. Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. Procede la evaluación de las actividades de control de los sistemas a través del tiempo, pues toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestión que, al variar las circunstancias, generan nuevos riesgos a afrontar. El objetivo es asegurar que el control interno funciona adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las circunstancias sobrevinientes. En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones: a) Su alcance y frecuencia están determinados por la naturaleza e importancia de

los cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisión continuada.

b) Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la auditoría interna (incluida en el planeamiento o solicitadas especialmente por la dirección), y los auditores externos.

c) Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos, y que resulten aptos para los fines perseguidos.

d) Responden a una determinada metodología, con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos.

59

e) El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad.

Existen controles informales que, aunque no estén documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentación suele aumentar la eficiencia de la evaluación, y resulta más útil al favorecer la comprensión del sistema por parte de los empleados. La naturaleza y el nivel de la documentación requieren mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros. Debe confeccionarse un plan de acción que contemple: o El alcance de la evaluación. o Las actividades de supervisión continuadas existentes. o La tarea de los auditores internos y externos. o Áreas o asuntos de mayor riesgo. o Programa de evaluaciones. o Evaluadores, metodología y herramientas de control. o Presentación de conclusiones y documentación de soporte o Seguimiento para que se adopten las correcciones pertinentes. Las deficiencias o debilidades del sistema de control interno detectadas a través de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto las personas responsables de la función o actividad implicada como las autoridades superiores.

60

CAPITULO V.- AUDITORIA AL CENTRO DE DATOS DE

LA UNIVERSIDAD BENITO JUÁREZ.

En este capítulo se detalla la realización de la auditoría al centro de datos de la Universidad Benito Juárez, en donde se llevó a cabo la propuesta metodológica para la planeación, desarrollo, revisión, evaluación e informe sobre la calificación obtenida por la entidad en torno a la funcionalidad y la aplicación de las mejores prácticas en su Centro de Datos.

5.1.- PLANEACIÓN Y PROGRAMA DE TRABAJO. Para dar comienzo con la auditoría al centro de datos de la Universidad Benito Juárez, solicitada por la directora de recursos humanos, financieros y materiales del plantel, debido a la problemática que radica en la tardanza muy prolongada del restablecimiento del servicio de internet, lo cual detiene algunos procesos y/o actividades importantes que se llevan a cabo por este medio de comunicación, como son el pago de servicios por la banca electrónica, el envío de correos electrónicos de las diferentes áreas del plantel, la revisión de la página institucional entre otros. Realizamos un estudio general del área que se encarga de brindar el servicio antes mencionado a la Universidad, en este caso se trata del centro de datos del departamento de computación, a cargo del coordinador de tecnologías de la información. Cuando se tuvo el conocimiento de que la auditoría se realizaría al centro de datos de la universidad, se revisaron las normas que se utilizan para estandarizar las tecnologías de la información y comunicaciones para así encontrar las que nos puedan ayudar a realizar dicha auditoría. En este caso notamos que la norma CONOCER y el modelo COBIT, ya que contienen los puntos que queríamos tomar en cuenta como son las buenas prácticas, el control interno y los requerimientos de seguridad física y lógica de un centro de datos. Antecedentes : El área mencionada, que es la que se encarga de brindar el servicio de internet a la universidad, no ha sido auditada con anterioridad por lo cual no se tiene un caso previo en el cual basarnos.

61

Objetivo : Auditar el control interno del centro de datos conforme a la norma CONOCER (Consejo Nacional de Normalización y Certificación de Competencias Laborales) y las mejores prácticas del modelo COBIT (Control Objectives for Information and related Technology) Alcance/Universo: El alcance comprende el centro de datos la totalidad de los recursos de tecnologías de la información involucrados en los controles generales de la operación informática, el universo a verificar será el 100% de los recursos asignados del alcance o muestra determinada. Estrategia/Procedimientos: El inicio de la auditoría se formalizará mediante la orden y la firma del acta respectiva, en ese mismo acto será entregada la solicitud de información; la cual, una vez proporcionada, será analizada cuantitativa y cualitativamente a efecto de realizar las pruebas sustantivas y de cumplimiento. Posterior al análisis y demás procedimientos y técnicas de auditoría aplicados, se recabará únicamente la documentación que sustente los hallazgos detectados que deberán ser incluidos en el informe de observaciones. La estrategia para llevar a cabo la auditoría se determinó mediante procedimientos y actividades que se llevarán a cabo para el cumplimiento del alcance especificado en el compromiso, estos se muestran en la tabla 4.1: Con la información antes mencionada y sabiendo cuales son las actividades que se llevarían a cabo durante la auditoría, se realizó la carta de planeación, mostrada en el anexo I , en la cual se muestra una descripción detallada de las actividades que se realizarán durante las etapas de planeación, ejecución y, la elaboración y presentación de informes

62

Herramienta de

Auditoría Actividades

Entrevistas Revisión de Documentos

Entendimiento y/o Actualización de la comprensión de las actividades del Centro de Datos (Controles Existentes)

Cuestionarios Entrevistas con los auditados Inspección Visual

Diseño de Cuestionarios Aplicación de cuestionarios Visita al Centro de Datos

Análisis y evaluación de resultados Conclusiones

Conclusión sobre la efectividad de las mejores prácticas en el Centro de Datos Conclusiones preliminares Oficio de conclusión de las mejores prácticas en el Centro de Datos

Tabla 5.1.1.- Herramientas de Auditoría y Actividad es

Al tener el objetivo y alcance que tendría la auditoría, se llevó a cabo el diseño de un cronograma, que se presenta en el anexo II , en el cual se establecieron las actividades que se realizarían durante el proceso, las fases de ejecución y planeación detallada de los pasos a realizar dentro del proyecto para controlar el desarrollo del mismo con fechas de inicio y final, así como el tiempo previsto de cada una de ellas y las personas responsables de cada actividad. Con el plan de trabajo ya definido realizamos la documentación correspondiente que informaba al personal del área correspondiente el inicio y los requerimientos necesarios para la auditoría,

5.2.- EJECUCIÓN DE LA AUDITORÍA. 5.2.1.- REUNIÓN PARA NOTIFICAR AUDITORÍA. Se realizó una junta con la directora de recursos humanos, financieros y materiales, y el coordinador de tecnologías de la información, en la cual les presentamos la siguiente documentación:

63

o El programa específico de la auditoría, que se muestra en el anexo III , en el que se muestran los objetivos, alcances y las actividades a realizar durante el periodo de tiempo que abarcará el proceso de la auditoría

o La carta de inicio de la auditoría, la cual se muestra en el anexo IV , en dicha carta se solicita el acceso a las instalaciones del centro de datos, así como brindar las facilidades necesarias a las personas que estarían comisionadas a la auditoría mencionada.

o Petición documental, que se muestra en el anexo V , en el que se solicita su apoyo para que se nos facilite la documentación necesaria conformada por: registros, reportes, informes, manuales, y demás efectos relativos a la operación y administración de dichas áreas, así como suministrarnos todos los datos e información requerida para la ejecución de la auditoría

Dentro este anexo se solicita entrevista con el personal encargado del centro de datos, para conocer el estado actual de los procesos, servicios y procedimientos con que cuenta el área a auditar. El inicio de la auditoria se formalizará mediante la firma de la documentación entregada.

5.2.2.- ENTREVISTA Y APLICACIÓN DE CHECKLIST AL AUDITADO. Se entrevistó al personal encargado de la administración y mantenimiento y se realizó un checklist al centro de datos de la Universidad, basándonos en la norma CINF0283.01 de CONOCER, que se presenta en el anexo VI , el cual nos sirvió para disipar los siguientes puntos: o Como se encuentran interconectados actualmente los dispositivos donde se

encuentran los servicios de telecomunicaciones o Los puntos críticos de los controles generales en la preparación, entrada,

tratamiento, actualización y salida de datos, así como los controles de seguridad y documentales.

o Especificar los componentes de software que prestan los servicios del centro de datos y sus configuraciones actuales

o Especificar los componentes de hardware que prestan los del centro de datos y sus configuraciones actuales

o Especificar cuáles son las funciones de operación para la organización del centro de datos

64

o Especificar cuáles son las condiciones del ambiente físico en que se encuentra el centro de datos

o Definir cuáles son las virtudes y debilidades del centro de datos También se verificó la existencia de los controles de acceso al centro de datos de acuerdo a las necesidades para mantener la integridad de la información y de proteger los activos de tecnología de la información, los cuales requieren de un proceso de administración de la seguridad. Además de la información obtenida se realizó un levantamiento de evidencia gráfica del estado físico y ubicación de los equipos de comunicación así como de los sistemas de climatización y de energía eléctrica, que se muestra en el anexo VII , para poder mostrar las características inadecuadas en cuestión de seguridad y ambiente físicos que se pudieran presentar, así como realizar un inventario del equipo que se encuentra en esta área. Con la recopilación de esta información se puede determinar el estado actual en que se encuentran interconectados los dispositivos que brindan los servicios del centro de datos hacia la universidad, que se muestra en el anexo VIII , y que se describe a continuación: Se cuenta con un sistema de comunicación por microondas que se encuentra conectado con el nodo principal de telecomunicaciones de la organización a la que pertenece la universidad Benito Juárez, que es de donde se recibe el servicio de internet para proveerlo en la universidad. Este sistema de microondas a su vez se encarga de transmitir la señal de internet mediante una conexión hacia el ruteador que se encarga de la interconexión entre la red lan y las demás escuelas que forman parte de la red de la organización, La señal de internet que recibe el ruteador es transmitida hacia el banco de switches que es donde se reparte hacia los dispositivos que se encuentren conectados en la red de la universidad. Entre los equipos que se encuentran conectados en la red se cuenta con tres servidores que se encargan de proveer diferentes servicios a la red, uno se encarga del DHCP, FireWall y Proxy, el segundo se encarga de la administración y distribución del sistema de antivirus y el tercero se encarga específicamente de alojar el sistema de administración escolar.

65

El primer servidor tiene instalado un software que se encarga de administrar la asignación dinámica de direcciones hacia los dispositivos conectados a la red mediante el protocolo DHCP, también cuenta con la aplicación de un sistema Proxy que es el que se encarga de brindar el servicio de internet a los dispositivos que tengan una dirección ip asignada por el DHCP antes mencionado, además se cuenta con un FireWall que se encarga de permitir o denegar accesos desde la LAN hacia la WAN y viceversa. El segundo servidor tiene instalada la aplicación que administra el antivirus que se provee a la universidad, la cual se encarga de hacer las instalaciones remotas, recibir las actualizaciones desde internet y repartirlas hacia los dispositivos que tengan instalado el antivirus y que se encuentren conectados a la red. El tercer servidor lo administra el nodo principal de telecomunicaciones de la organización y es el que tiene instalada la aplicación que se encarga de la administración de la información de los alumnos y el cual solo puede ser accedido por los equipos de control escolar.

5.2.3.- ANÁLISIS DE RIESGOS. Después de haber obtenido la información solicitada acerca de los dispositivos, procesos y configuraciones del área a auditar, así como lo recabado en la entrevista realizada al personal encargado del centro de datos, nos dispusimos a llevar a cabo el análisis de dicha información para poder darnos cuenta de la irregularidades que se están presentando en el comportamiento de los controles que se tienen en el centro de datos para mantener la continuidad de los servicios que ahí se proporcionan. Al tener la perspectiva del estado actual, tanto físico como lógico del centro de datos, nos dispusimos a evaluar cuáles son las principales causas de que los servicios que se proveen desde el mismo se pudieran ver afectados en su continuidad y disponibilidad, así como en la integridad de la información que ahí se almacena, además de los efectos perjudiciales que esto puede ocasionar en los procesos que se realizan en la universidad. Con los resultados que obtuvimos de la evaluación antes mencionada pudimos realizar el análisis de riesgos que se presentan en los servicios que presta el centro de dato y plasmarlo en una gráfica que nos muestra cuáles son los puntos que más pueden afectar en el correcto funcionamiento del área de tecnologías de la información y a su

66

vez afectar a la universidad en su correcto funcionamiento, dicho análisis y gráfica se muestra en el anexo IX.

5.3.- REPORTES E INFORMES DE HALLAZGOS. Basándonos en los cuatro dominios de COBIT pudimos encontrar deficiencias en los procesos y procedimientos que se tienen para proteger la información y para asegurar la continuidad de los servicios de tecnología de la información con los que se cuenta en la institución y, básicamente, con los que se proporcionan en el centro de datos de la institución. Por lo que a continuación se muestran las observaciones que encontramos, así como las causas y efectos que se generan, los riesgos que se presentan y las recomendaciones que hacemos en cada caso para disminuirlos mediante el análisis de riesgos que se mencionó con anterioridad, y haciendo el informe de dichas observaciones al que se hace referencia en el anexo X :

5.3.1.- DE PLANEACIÓN Y ORGANIZACIÓN: 1.1 El coordinador con frecuencia realiza labores de mantenimiento correctivo y

atención a usuarios finales 1.2 El proceso de atención de incidencias críticas recae en el coordinador Estas dos observaciones se hicieron en base a que, de acuerdo con los requerimientos que se tienen en la universidad, no se cuenta con el suficiente personal para cumplir a tiempo con las necesidades que se llegan a presentar en cuanto al soporte del área de tecnologías de la información debido a que se tiene una dependencia del coordinador del área que es quien conoce más a fondo el funcionamiento de los dispositivos que se encuentran en el centro de datos. Debido a este motivo se tiene el riesgo de que no se pueda garantizar la correcta y pronta atención de las incidencias que se presentan en el centro de datos, además de tener una dependencia del encargado del área ya que es quien más conoce del funcionamiento de los sistemas y servicios que se tienen en la organización, ya que al no tener el personal suficiente se define más de un rol ocasionando así que haya un descuido de funciones. Ante estas observaciones lo que recomendamos es definir correctamente los procesos de evaluación de los requerimientos con que cuenta el área de tecnología de la

67

información dentro de la universidad de forma regular para garantizar que se cuente con el personal suficiente y así poder brindar un servicio más eficiente en el centro de datos. 1.3 Los técnicos no tienen una bitácora donde regi stren las actividades que se

llevaron a cabo durante el día. Se observa no se tiene una bitácora de actividades diarias debido a que el personal encargado del soporte no está acostumbrado a documentar las incidencias que ocurren durante el transcurso del día en cuanto a los procesos de tecnologías de la información en la universidad con lo cual hay pérdidas de tiempo cuando se vuelve a suscitar alguna incidencia que ya ha sido resuelta con anterioridad. El principal riesgo de esta observación es que al tardarse demasiado tiempo en resolver incidencias que ya se habían presentado y que podrían resolverse de manera más rápida y sencilla, se puede poner en riesgo la continuidad de los servicios que se brindan en el centro de datos por estar ocupados alguna otra incidencia que se haya presentado. Para disminuir el riesgo mencionado recomendamos implementar la política de registrar y documentar las incidencias diarias para así poder resolverlas de una manera más fácil y eficiente la siguiente ocasión en que se presente y así poder dedicar más tiempo a la resolución de incidencias que pongan en riesgo la continuidad de los servicios brindados en el centro de datos. 1.4 No se cuenta con controles establecidos para r ealizar un mantenimiento

preventivo a los equipos que se encargan de proporc ionar los servicios de tecnología de la información.

El personal encargado del centro de datos nos informó que no se cuenta con un plan establecido para realizar un mantenimiento preventivo a los equipos que se encargan de proporcionar los servicios de tecnología de la información cada cierto tiempo para ayudar a prolongar su tiempo de vida útil, y que se realizan solo medidas correctivas cuando ya se presentó alguna falla que amerite se revise el funcionamiento del dispositivo en cuestión. El riesgo que se nota mediante esta observación es que la infraestructura de la tecnología de la información con que cuenta la institución se puede ver dañada al

68

disminuirse la vida útil de los dispositivos del centro de datos, además de que también se vería reflejado en el área de recursos financieros y materiales. Lo que recomendamos para poder mitigar este riesgo es elaborar la planeación y programación de controles periódicos de mantenimiento de los equipos que se encargan de proporcionar los servicios de tecnología de la información para garantizar obtener el mayor beneficio posible de los dispositivos y así permitir la continuidad de los servicios mediante la correcta operación de los equipos. 1.5 No se evalúan y administran los riesgos de TI. Se observó que no se cuenta con una metodología que permita, de acuerdo a las amenazas y/o vulnerabilidades que se puedan llegar a presentar en los equipos que se encargan de proporcionar los servicios de tecnología de la información, se pueda realizar un análisis de riesgos que se encargue de la identificación del impacto que tendría la ocurrencia de algún evento dañino dentro de la institución El riesgo fundamental que encontramos de la observación mencionada es que la continuidad de uno o más servicios se podría ver comprometida al no tener en cuenta los eventos que pueden afectar los procesos del centro de datos, lo cual puede traducirse en pérdidas tanto de tiempo como de costos en las operaciones realizadas en la universidad. La recomendación que hacemos para poder reducir al máximo el riesgo antes mencionado es desarrollar y establecer procesos de respuesta por medio de controles que permitan una correcta revisión de amenazas y vulnerabilidades para llevar a cabo el análisis de riesgo pertinente dentro del área de tecnología de la información. 5.3.2.- DE ADQUISICIÓN E IMPLEMENTACIÓN 2.1 No se cuenta con ningún procedimiento para rev isar periódicamente las versiones más recientes ni los cambios que se prese ntan en las aplicaciones .

Se obtuvo esta observación dado que en el centro de datos de la universidad no se cuenta con ningún procedimiento para revisar periódicamente las versiones más

69

recientes ni los cambios que se presentan en las aplicaciones con que se cuenta para las operaciones de la organización. El riesgo que se puede presenta es una posible administración inadecuada de los requerimientos del usuario final, códigos fuente, proyectos y configuraciones de los sistemas con lo cual existe la posibilidad de realizar cambios no autorizados y no rastreables sin haberlos priorizado y sin haber evaluado el impacto que pueden ocasionar en la continuidad de los servicios que se prestan en el área de tecnología de la información. Se recomienda elaborar e implementar procedimientos que permitan tener un control en cuanto a los cambios y versiones más actuales de las aplicaciones con que se cuenta para las operaciones de la organización para que el mantenimiento y desarrollo de aplicativos se realice de una forma más rápida y eficiente. 2.2 No existe documentación escrita ni se realiza r espaldo electrónico de las configuraciones de los servidores y equipos de comu nicación. Se llega a esta observación debido a que no se tienen definidos procedimientos para el respaldo de las configuraciones de los servidores y equipos de comunicación que se encuentran en el centro de datos y que brindan servicios a las diferentes áreas de la universidad El riesgo que encontramos de esta observación es que existe una incapacidad de recuperar el servicio al que este destinado el servidor del que se pierda la configuración, perdiendo con esto tanto la integridad de la información así como la disponibilidad de los servicios prestados en el centro de datos. En cuanto a esta observación realizamos la recomendación de realizar respaldos de las configuraciones de los servidores que se encuentran en el centro de datos en medios magnéticos y tenerlos documentados para facilitar su uso cuando ocurra alguna incidencia que haga que algún servidor pierda la configuración con la que está funcionando actualmente. 2.3 No se cuenta con un plan para llevar a cabo una capacitación continua al personal que se encarga de brindar el servicio al c entro de datos.

70

Se hace esta observación debido a que no se cuenta con un plan establecido para capacitar al personal que se encarga de dar los servicios de tecnología de la información en el centro de datos de la universidad. Se presenta como riesgo el que haya pérdida de tiempo y retraso en la continuidad de los servicios debido a qué existe un mal manejo de los equipos que se encargan de proporcionar los servicios de tecnología de la información debido a que el conocimiento se basa fundamentalmente en los conocimientos que tiene el encargado del centro de datos. Recomendamos en esta situación desarrollar planes y procedimientos que permitan al personal del centro de datos tener una mejor capacitación en cuanto a los equipos que se encargan de proporcionar los servicios de tecnología de la información y así poder brindar un servicio más rápido y eficiente al personal de la universidad.

5.3.3.- DE ENTREGA Y SOPORTE 3.1 No existe un Plan de Contingencias que garantic e la continuidad de los servicios. Se encuentra que no se ha definido un plan de contingencia que permita la rápida restauración de los servicios de tecnología de la información que se proporcionan en el centro de datos cuando se presenta alguna contingencia que interrumpe la continuidad de dichos servicios. Se tiene el riesgo de una posible incapacidad de reacción en caso de que se presente algún caso de emergencia o un desastre que ocasione una pérdida en la continuidad de los servicios de tecnología de la información que se proporcionan en el centro de datos. Para disminuir el riesgo mencionado la recomendación que hacemos es elaborar un plan de contingencia para la restauración de los sistemas de tecnología de la información que proporciona el centro de datos de la manera más pronta y eficiente posible. 3.2 Existe equipos de cómputo y comunicación coloca dos en los racks que ya no se ocupa.

71

3.3 El Centros de Datos se utiliza como bodega, hab iendo material ajeno a la infraestructura, encontrándose algunos materiales d e fácil combustión Estas observaciones se deben a que no hay un control de revisión de los dispositivos y materiales que deben estar dentro del centro de datos para llevar a cabo los procesos que se llevan a cabo así como los servicios que se prestan en el mismo. El riesgo que se presenta el tener dispositivos y materiales que no deben estar en el centro de datos es que puede producirse algún desastre que haga que la continuidad de los servicios se vea interrumpida. Se recomienda en este caso apegarse a las buenas prácticas para mitigar el riesgo de que se presente un desastre en el centro de datos que pueda llevar a la pérdida de servicios o la información que se tenga contenida en los servidores que la reparten a las áreas del plantel. 3.4 No hay bitácoras de acceso de personal al Centr os de Datos. 3.5 Existe acceso de personal no autorizado, sin su pervisión del personal encargado del centro de datos. 3.6 No se lleva un registro de los retiros de equip os de cómputo, equipo de comunicación y materiales del centro de datos. Las tres observaciones mencionadas en este caso se deben a que no se cuenta con un sistema de control que implemente las políticas y mecanismos de seguridad física que requiere el centro de datos con relación al acceso que se tiene hacia él. Encontramos que con esta deficiencia lo que se pone en riesgo es la integridad, confidencialidad y disponibilidad de la información, así como el permitir que haya la posibilidad de tener alguna discontinuidad en alguno de los servicios que se prestan en el centro de datos. Para contrarrestar dicha deficiencia se recomienda desarrollar, implementar y difundir políticas, además de instalar algún mecanismo de seguridad física, así como la creación de una bitácora que permita saber las actividades que se realicen por parte del personal externo acceso al centro de datos 3.7 No se cuenta con un sistema anti incendios, ext intores, los controles de temperatura carecen de alarma de variaciones.

72

Se observa que no se cuenta con dispositivos que ayuden al control en caso de que se presentara un incidente en el que hubiera fuego en el centro de datos y que pudiera dañar los dispositivos que se encuentran dentro de él. Con esta falta de medidas de control para la prevención de incendios existe el riesgo de que haya una pérdida de disponibilidad parcial o total tanto de la información como de los servicios que se brindan en el centro de datos. Ante este tipo de riesgo se hace la recomendación de que se realice la implementación de algún control de este tipo de incidentes mediante algún dispositivo de prevención de incendios. 3.8 Los respaldos de información se encuentran res guardados dentro del mismo centro de datos 3.9 No existe seguridad física con respecto a los m edios magnéticos de respaldo Estas dos observaciones conllevan la falta de una correcta infraestructura para resguardar de una forma adecuada los respaldos que se tienen de la información y las configuraciones de los dispositivos de hardware y software del centro de datos. Al no contar con un sitio adecuado para resguardar los respaldos de las configuraciones de los dispositivos que se encuentran dentro del centro de datos que brindan servicios a la universidad se tiene el riesgo de que haya discontinuidad o pérdida de dichos servicios y una incapacidad de recuperarlos en un breve tiempo. . Lo que recomendamos en esta situación implementar un lugar adecuado que permita el correcto y seguro resguardo de los medios magnéticos que respaldan tanto la información como las configuraciones de los dispositivos del centro de datos y con esto se pueda restablecer de una manera más rápida y eficiente algún servicio que haya fallado. 3.10 No se cuenta con una base de conocimientos par a una resolución más rápida y eficiente de las incidencias. Notamos que no se tiene un sistema automatizado de control de incidencias que se puedan presentar, lo cual provoca que haya una redundancia de actividades del personal que da soporte al centro.de datos.

73

En este caso se tiene el riesgo de que se retrase el restablecimiento de servicios debido a que el personal del centro de datos tenga tardanzas al resolver problemas que se hayan presentado con anterioridad pero que al no haberse documentado se tenga que volver a recopilar información. Para disminuir los tiempos de resolución ante las incidencias que se presenten en los dispositivos que dan servicios a la universidad se recomienda la implementación de mecanismos automatizados de control que permitan el registro de las acciones que se realizan para la resolución de dichas incidencias los más pronto posible.

5.3.4.- DE MONITOREO 4.1 No se cuenta con un monitoreo continuo que perm ita mejorar el ambiente de control interno. Se obtuvo esta observación dado que no se han definido ni implementado mecanismos de control para monitoreo, por lo que no existen indicadores para medir el cumplimiento y desempeño de los procesos que se realizan en el centro de datos de la universidad El riesgo que se puede presenta es una posible ejecución de procesos deficientes, lo cual hace que no pueden ser medibles y que en algunas ocasiones no alcancen los objetivos necesitados para prestar adecuadamente los servicios del centro de datos. Se recomienda implementar las medidas y mecanismos de monitoreo para el control y supervisión de los servicios que se proveen en la universidad desde centro de datos para mejorar de manera periódica los controles que se implementen para el soporte del centro de datos. Con las observaciones antes mencionadas de acuerdo a la información recopilada durante el proceso de la auditoría se presentan la tabla 3 de matriz de evaluación y la figura 6 con la gráfica de probabilidad / impacto de riesgos: Para dar por concluido el proceso de la auditoría se realizó una junta tanto con el personal que solicitó la auditoría así como con el personal encargado del área de tecnologías de la información para hacerles entrega de los reportes e informes, que se obtuvieron durante dicho proceso para que ellos los tomen en cuenta y así poder mejorar el ambiente físico y lógico del centro de datos y poder así brindar mejores servicios en el futuro.

74

Riesgos / Controles Consecuen

cia Probabili

dad

El control reduce el riesgo a:

PLA

NE

AC

IÓN

Y

OR

GA

NIZ

AC

IÓN

1

1.1 Continuidad del servicio comprometido Elaborar un procedimiento y una cédula de evaluación de riesgos tecnológicos que determinen probabilidad de ocurrencia e impacto.

Mayor Probable Bajo

2

1.2 a 1.4 no se puede garantizar la correcta atención a incidencias del centro de datos.

Elaborar un plan para su implementación y realizar acciones necesarias con observancia y aplicación dejando evidencia.

Moderado Probable Bajo

Riesgos / Controles

Consecuencia

Probabilidad

El control reduce el Riesgo a:

AD

QU

ISIC

IÓN

E

IMP

LEM

EN

TA

CIÓ

N

3

2.2 No existe documentación ni respaldo de la configuración de servidores

Elaborar un plan de trabajo para la realización de la documentación y procedimiento para la implementación de registros de control documental.

Mayor Probable Probable

Riesgos / Controles

Consecuencia

Probabilidad

El control reduce el Riesgo a:

EN

TR

EG

A Y

SO

PO

RT

E

4

3.1 No existe un Plan de Contingencias que garantice la continuidad de los servicios

Definir un plan de contingencias que garantice razonablemente la continuidad de las operaciones críticas.

Mayor Probable Probable

5

3.3, 3.4, 3.5 Posible pérdida de integridad, confidencialidad y disponibilidad de la información.

Implementar políticas de seguridad y difundir políticas de usos de equipo de cómputo.

Catastrófico Probable Probable

6

3.8 Incapacidad de recuperar el servicio

Implementar procedimientos de instalación de detectores de incendios y aspersores especiales.

Catastrófico Probable Probable

Tabla 5.3.1.- Matriz de Evaluación

75

PR

OB

AB

ILID

AD

Casi Certeza

Probable

2 1, 3 5, 6

Moderada

4

Poco Probable

Bajo

Insignificante Menor Moderado Mayor Catastrófico

I M P A C T O

Figura 5.3.1.- Gráfica Probabilidad / Impacto de Ri esgos

76

CONCLUSIONES. Somos conscientes de que no existe un esquema de seguridad física para un Centro de Datos que cubra en su totalidad el desarrollo de un evento negativo, sin embargo se debe estar preparado a reaccionar con rapidez ante amenazas y vulnerabilidades que siempre están latentes. Así como también se observo que actualmente no se dispone de una metodología que nos permite segregar correctamente las funciones de un área o puesto de acuerdo a las necesidades organizacionales para la administración de la seguridad física de un Centro de Datos y que permita establecer el nivel de seguridad con el que este se encuentra, nos permitirá actuar ante amenazas vulnerabilidades de manera eficiente, oportuna y eficaz para disminuir los riesgos en la seguridad física. A lo largo del presente trabajo pudimos comprender que la seguridad física de Centro de Datos se traduce como un conjunto de recursos destinados a lograr que la información y los activos de una entidad sean confidenciales, íntegros y siempre disponibles a todos los niveles de la institución. El llevar a la práctica la auditoría implicó un gran desafío, debido a que no todas las entidades le dan la importancia debida a la seguridad física del Centro de Datos, pero sabemos que es imprescindible que se tengan los controles necesarios para evitar la materialización de un riesgo, sobre todo si se tiene en cuenta que la información que se maneja en dicho lugar es la materia prima para el buen desempeño de la organización. Ponemos de manifiesto que los resultados obtenidos en la realización de la auditoría fueron satisfactorios para ambas partes. Concluido el desarrollo del presente trabajo, la entidad evaluada y calificada se mostró conforme con el nivel de seguridad obtenido, y reveló su intención de poner en práctica las acciones necesarias para lograr una disminución de los posibles riesgos. Finalmente, se espera que con la aportación del presente trabajo se genere en el lector una inquietud que lo lleve a desarrollar futuras investigaciones donde se profundice en el campo de la seguridad física, así como también en el ámbito legislativo tanto nacional como internacional.

77

ANEXOS.

Numero de Anexo Descripción

ANEXO I Carta de Planeación

ANEXO II Cronograma

ANEXO III Programa Específico de Auditoría

ANEXO IV Oficio de Inicio de la Auditoria

ANEXO V Oficio de Solicitud de Información

ANEXO VI Checklist de Auditoría

ANEXO VII Evidencia Gráfica

ANEXO VIII Estado Actual

ANEXO IX Reporte de Análisis y Matriz de Riesgos

ANEXO X Informe de Observaciones

ANEXO XI Informe de Auditoría

103

ÍNDICE DE TABLAS E IMÁGENES

FIGURA 1.5.1.1.- PRINCIPALES DELITOS INFORMÁTICOS _________________14

FIGURA 1.5.1.2.- SEGURIDAD DE LA INFORMACIÓN ______________________14

FIGURA 2.4.1.- TOPOLOGÍAS DE RED __________________________________23

TABLA 2.5.1.1.- CATEGORÍAS DE PAR TRENZADO _______________________25

FIGURA 4.2.1.- MARCO COMPLETO DE TRABAJO DE COBIT _______________46

TABLA 5.1.1.- HERRAMIENTAS DE AUDITORÍA Y ACTIVIDAD ES____________58

TABLA 5.3.1.- MATRIZ DE EVALUACIÓN ________________________________70

FIGURA 5.3.1.- GRÁFICA PROBABILIDAD / IMPACTO DE RI ESGOS__________71

104

GLOSARIO. AAA (American Accounting Association): Asociación Americana de Contabilidad. Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. AICPA (American Institute of Certified Public Accountants): Instituto Americano de Contadores Públicos Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. AMITI: Asociación Mexicana de la Industria de Tecnologías de Información, A.C. ASHRAE (American Society of Heating, Refrigeration, and Air-Conditioning Engineers): Sociedad Americana de Calefacción, Refrigeración y Aire Acondicionado Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Auditoria: Proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como establecer si dichos informes se han elaborado observando los principios establecidos para el caso. Auditoria Informática: Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en: Rentabilidad, Seguridad, Eficacia. Bluetooth: es una especificación industrial para Redes Inalámbricas de Área Personal (WPANs) que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia en la banda ISM de los 2,4 GHz Calidad: Es un conjunto de propiedades inherentes a un objeto que le confieren capacidad para satisfacer necesidades implícitas o explícitas. CCTV (Closed CircuitTtelevisión): Circuito cerrado de televisión CNBV: Comisión Nacional Bancaria y de Valores CMM (Capability Maturity Model): Modelo de Capacidad y Madurez. COBIT (Control Objectives for Information and related Technology): Objetivos de Control para la Información y Tecnología relacionada CONOCER: Consejo de Normalización y Certificación de Competencia Laboral, organismo público del gobierno Mexicano.

105

Contingencia: Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. COSO (Comittee of Sponsoring Organizations): Comité de Organizaciones Patrocinadoras. DNS (Domain Name System): Sistema de Nombres de Dominio Desastre: Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. EIA/TIA (Electronics Industries Association/Telecomunications Industries Association): Asociación de Industrias Electrónicas / Asociación de Industrias de las Telecomunicaciones FEI (Financial Executive Institute): Instituto Ejecutivo Financiero FTP:(Foiled Twisted Pair): Par trenzado con pantalla global. FTP (File Transfer Protocol): Protocolo de Transferencia de Archivos HTML (HTML, HyperText Markup Language): Lenguaje de Marcado de Hipertexto. IEEE (Institute of Electrical and Electronics Engineers): Instituto de Ingenieros Eléctricos y Electrónicos IEEE 802.11 es un estándar internacional que define las características de una red de área local inalámbrica haciendo uso simultáneo de bandas como 2,4 Ghz y 5,4 Ghz y permite un ancho de banda de 1 a 6 Mbps IIA (Institute of Internal Auditors): Instituto de Auditores Internos IMA (Institute of Management Accountants): Instituto de Gestión Contable Impacto: Medir la consecuencia al materializarse una amenaza. INERGEN: nombre comercial de un gas diseñado para la extinción de incendios. Está indicado para fuego eléctrico y estancias cerradas. Información: Es un conjunto organizados de datos, que constituye un mensaje sobre un cierto fenómeno o ente. La información permite resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento. Informática: Disciplina encargada del estudio de métodos, procesos, técnicas, desarrollos y su utilización en ordenadores (computadores) con el fin de almacenar, procesar y transmitir información y datos en formato digital. ISACA (Information Systems Audit and Control Association): Asociación para la Auditoría y Control de Sistemas de Información ITGI (IT Governance Institute): Instituto de Administración de las Tecnologías de la Información. LAN (Local Area Network): Red de Área Local MAN (Metropolitan Area Network): Red de Área Metropolitana NAT (Network Address Translation): Traducción de Dirección de Red

106

PAN (Personal Area Network): Red de Área Personal Riesgo: Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Seguridad: Término de conjunto de leyes y organismos que tiene como fin proteger contra determinados riesgos sociales: accidentes, enfermedad, paros, vejez, etc. El término de Seguridad es muy amplio ya que depende del área en el que se emplee. Seguridad Informática: Disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. Seguridad Física: Barreras físicas y mecanismos de control en el entorno de un sistema informático, para proteger el hardware de amenazas físicas. Seguridad Lógica: Aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. SEI (Software Engineering Institute): Instituto de Ingeniería en Software SLA (Service Level Agreement): Acuerdo de Nivel de Servicio STP (Shielded Twisted Pair): Par Trenzado Blindado TCP/IP (Transfer Control Protocol/ Internet Protocol): Protocolo de Control de Transmisión / Protocolo de Internet, UTP (,Unshielded Twisted Pair): Par Trenzado No Blindado VLAN (Virtual Local Area Network): Red de Área Local Virtual VoIP: Voz IP, grupo de recursos que hacen posible que la señal de voz viaje a través de Internet empleando un protocolo IP (Protocolo de Internet) Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo. WAN (Wide Area Network): Red de Área Amplia Wi-Fi (Wireless Fidelity): Fidelidad Inalámbrica, organización comercial que adopta, prueba y certifica que los equipos cumplen los estándares 802.11 relacionados a redes inalámbricas de área local. ZigBee es el nombre de la especificación de un conjunto de protocolos de alto nivel de comunicación inalámbrica para su utilización con radiodifusión digital de bajo consumo, basada en el estándar IEEE 802.15.4 de redes inalámbricas de área personal. Su objetivo son las aplicaciones que requieren comunicaciones seguras con baja tasa de envío de datos y maximización de la vida útil de sus baterías.

107

BIBLIOGRAFÍA

Referencias en Internet

• http://www.spc.gob.mx/ Servicio Profesional de Carrera • http://www.conocer.gob.mx/ • http://www.isaca.org/cobit • http://www.coso.org. • http://www.monografias.com/trabajos5/redes/redes.shtml • http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_personal • http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_local • http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_metropolitana • http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_amplia • http://es.wikipedia.org/wiki/Topolog_%C3%ias • http://es.wikipedia.org/wiki/Cableado • http://66.209.190.10/texts/other/Sistemas_Operativos.pdf • http://es.wikipedia.org/w/index.php?title=Discusi%F3n:Seguridad_inform%E1tica • http://www.monografias.com/trabajos40/el-riesgo/el-riesgo.shtml • http://www.cnbv.gob.mx/Paginas/Index.aspx • http://www.amiti.org.mx/portal/site/amiti/menuitem.d8df7b014a524e2c819b371420109a0c/ • http://es.wikipedia.org/wiki/Basilea_II Libros

• Spencer Pickett K. H., The internal Auditing handbook (3a Edición) , Wiley, Reino Unido, 2010

• Piattini Velthuis Mario G, Del Peso Navarro Emilio, Auditoria de tecnologías y

sistemas de información, 1a Edición , Alfaomega Grupo Editor, México, 2008

• Cohen Karen Daniel, Asin Lares Enrique, Tecnologías de Información en los

Negocios (5ª Edición) , McGraw-Hill, México, 2009.

• Alexander G. Alberto, Diseño de un Sistema de Gestión de Seguridad de Información , Alfa Omega Colombiana S.A, Bogotá, 2007.

tesina auditoria centro datos fd

Documents