Auditoria de Sistemas: abril 2009

miércoles, 15 de abril de 2009

6.3. Norrmatividad existente

NORMATIVIDAD EXISTENTE EN COLOMBIA SOBRE COMERCIO ELECTRONICO

Ley 962 de 2005(Julio 8): Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos.

Ley 794 de 2003(Enero 8): Por la cual se modifica el Código de Procedimiento Civil, se regula el proceso ejecutivo y se dictan otras disposiciones

Ley 788 de 2002(Diciembre 27): Por la cual se expiden normas en materia tributaria y penal del orden nacional y territorial; y se dictan otras disposiciones.

Ley 765 de 2002 (Julio 31): Por medio de la cual se aprueba el "Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de los niños en la pornografía", adoptado en Nueva York, el veinticinco (25) de mayo de dos mil (2000).

Ley 679 de 2001 (Agosto 3): Por medio de la cual se expide un estatuto para prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con menores, en desarrollo del artículo 44

Ley 599 de 2000 (Julio 24): Por la cual se expide el Código Penal

Ley 598 de 2000(Julio 18): Por la cual se crean el Sistema de Información para la Vigilancia de la Contratación Estatal, SICE, el Catálogo único de Bienes y Servicios, CUBS, y el Registro Unico de Precios de Referencia, RUPR, de los bienes y servicios de uso común en la administración pública y se dictan otras disposiciones.

Ley 588 de 2000 (Julio 5): Por la cual se reglamenta el ejercicio de la actividad notarial

Ley 527 de 1999 (Agosto 18): Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

RESOLUCIONES Y CIRCULARES

Resolución 1271 de 2005(Junio 24): Ministerio de Comercio, Industria y Turismo
Por la cual se fija el precio de los aplicativos informáticos para su transmisión a la Ventanilla Única de Comercio Exterior - VUCE -
Resolución 01455 de 2003 Ministerio de Comunicaciones: Por medio de la cual se regula la administración de registros del dominio.

Resolución 000020 de 2003 Ministerio de Comunicaciones: Por medio de la cual se establece el procedimiento a seguir por el Ministerio de Comunicaciones para la fijación de las condiciones de administración del dominio.

Resolución 600 de 2002 (Mayo 7) Ministerio de Comunicaciones: Por medio de la cual se regula parcialmente la administración del dominio punto com.co

Resolución 05339 de 2002(Mayo 6) Contraloría General de la Rapública : Por la cual se modifican las Resoluciones 05313 y 05314 de febrero 28 de 2002

Resolución 36904 de 2001 (Noviembre 6) Superintendencia de Industria y Comercio: Por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores

Resolución 26930 de 2000 (Octubre 26) Superintendencia de Industria y Comercio: Por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de certificación y sus auditores.
Resolución 307 de 2000(Octubre 2)CRT : Por la cual se promueve el acceso a Internet a través de planes tarifarios para el servicio de TPBLC y se dictan otras disposiciones

Resolución 7652 de 2000(Septiembre 22) DIAN: Por la cual se reglamenta la administración, publicación y uso de la información electrónica vía INTRANET e INTERNET en la Dirección de Impuestos y Aduanas Nacionales.

Circular Externa No. 23 de 2002(23 de diciembre)Superintendencia de Industria y Comercio : Instrucciones sobre el trámite de autorización de las entidades de certificación establecido en la ley 527 de 1999.

Circular Externa No. 011 de 2002(23 de diciembre) Superintendencia de Valores: Envío de información financiera por Internet
Circular Externa No. 19 de 2002(Agosto 23): Instrucciones sobre cumplimiento de las funciones de la Superintendencia de Industria y Comercio, establecidas en la ley 527 de 1999 con relación a las Entidades de Certificación que operen en el territorio nacional

Circular Externa No. 15 de 2001 (3 de diciembre)Superintendencia de Industria y Comercio: Modificación Circular Única de 2001
Circular Única No. 10 de 2001 (Julio 19) Superintendencia de Industria y Comercio: Se anexa la circular única de 2001 donde reúnen en un solo cuerpo normativo todas las reglamentaciones e instrucciones generales de la Superintendencia de Industria y Comercio que se encuentren vigentes.

CONCEPTOS

Concepto 1376 de 2001Diciembre 11 Consejo de Estado: Naturaleza del dominio .co

PROYECTOS

Proyecto de Ley 166 de 2003Cámara de Representantes: Por el cual se regulan las comunicaciones Vía Internet y mediante el uso de Fax que se realicen desde lugares habilitados para brindar al público esos servicios

Proyecto de Ley 71 de 2002Senado de la República : Por la cual se reglamentan los bancos de datos financieros o de solvencia patrimonial y crediticia y se dictan otras disposiciones

DECRETOS

Decret o 2926 de 2005(Agosto 25) : Por el cual se modifica el Decreto 2542 de 1997.

Decreto 4149 de 2004(Diciembre 10) : Por el cual se racionalizan algunos trámites y procedimientos de comercio exterior, se crea la Ventanilla Única de Comercio Exterior

Decreto 3055 de 2003(Octubre 27) : Por el cual se modifica el decreto 600 de 2003.

Decreto 866 de 2003(Abril 8): Por el cual se modifica el artículo 14 del decreto 2170 de 2002.

Decreto 600 de 2003(Marzo 14) : Por medio del cual se expiden normas sobre los servicios de valor agregado y telemáticos y se reglamente el decreto-ley 1900 de 1990

Decreto 067 de 2003(15 de enero) : Por el cual se prorroga el plazo previsto en el primer inciso del artículo 8 del Decreto 1524 de 2002

Decreto 2170 de 2002(Septiembre 30) : Por el cual se reglamenta la ley 80 de 1 9 93, se modifica el decreto 8 55 de 1 9 94 y se dictan otras disposiciones en aplicación de la Ley 52 7 de 1 9 99

Decreto 1524 de 2002(Julio 24): Por el cual se reglamenta el artículo 5 de la Ley 679 de 2001

El comercio electrónico puede utilizarse en cualquier entorno en el que se intercambien documentos entre empresas: compras o adquisiciones, finanzas, industria, transporte, salud, legislación y recolección de ingresos o impuestos. Ya existen compañías que utilizan el comercio electrónico para desarrollar los aspectos siguientes:

Creación de canales nuevos de marketing y ventas.
Acceso interactivo a catálogos de productos, listas de precios y folletos publicitarios.
Venta directa e interactiva de productos a los clientes.
Soporte técnico ininterrumpido, permitiendo que los clientes encuentren por sí mismos, y fácilmente, respuestas a sus problemas mediante la obtención de los archivos y programas necesarios para resolverlos.

6.1. En qué consiste?

es una forma de realizar transacciones de bienes y servicios a través del uso de medios electrónicos, en este caso el medio electrónico más utilizado en Colombia para realizar transacciones de comercio electrónico es el Internet. Podemos decir que el comercio electrónico es una metodología moderna para hacer negocios que detecta la necesidad de las empresas, comerciantes y consumidores de reducir costos, así como mejorar la calidad y tiempos de entrega de los bienes y servicios

el comercio electrónico se puede entender como cualquier forma de transacción comercial en la cual las partes involucradas interactúan de manera electrónica en lugar de hacerlo de la manera tradicional con intercambios físicos o trato físico directo. Actualmente la manera de comerciar se caracteriza por el mejoramiento constante en los procesos de abastecimiento, y como respuesta a ello los negocios a nivel mundial están cambiando tanto su organización como sus operaciones.

El comercio electrónico es el medio de llevar a cabo dichos cambios dentro de una escala global, permitiendo a las compañías ser más eficientes y flexibles en sus operaciones internas, para así trabajar de una manera más cercana con sus proveedores y estar más pendiente de las necesidades y expectativas de sus clientes. Además permiten seleccionar a los mejores proveedores sin importar su localización geográfica para que de esa forma se pueda vender a un mercado global.

En las transacciones de comercio electrónico se identifican diferentes tipos de servicios como:

La contratación de bienes o servicios por vía electrónica.

La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.

La gestión de compras en red por grupos de personas.

El envío de comunicaciones comerciales.

El suministro de información por vía telemática.

El vídeo bajo demanda, como servicio en el que el usuario puede seleccionar a través de la red, tanto el programa deseado como el momento de su suministro y recepción; y en general, la distribución de contenidos previa petición individual.

VENTAJAS

- Para los clientes:

* Permite el acceso a más información: La naturaleza interactiva de la web y su entorno de hipertexto permite búsquedas más profundas.

* Facilita la investigación y comparación del mercado: La capacidad de la web para acumular y analizar grandes cantidades de datos especializados permite la compra por comparación y acelera el proceso de encontrar los artículos.

- para las empresas:

* Mejoras en la distribución: La Web ofrece a ciertos tipos de proveedores la posibilidad de participar en un mercado interactivo, en el que los costos de distribución o ventas tienden a cero.

* Comunicaciones comerciales por vía electrónica: Actualmente, la mayoría de las empresas utiliza el Web para informar a los clientes sobre la compañía, aparte de sus productos o servicios, tanto mediante comunicaciones internas como con otras empresas y clientes.

* Beneficios operacionales: El uso empresarial del Web reduce errores, tiempo y sobrecostos en el tratamiento de la información. Los proveedores disminuyen sus costos al acceder de manera interactiva a las bases de datos de oportunidades de ofertas, enviar éstas por el mismo medio, y por último, revisar de igual forma las concesiones; además, se facilita la creación de mercados y segmentos nuevos, el incremento en la generación de ventajas en las ventas, la mayor facilidad para entrar en mercados nuevos, especialmente en los geográficamente remotos, y alcanzarlos con mayor rapidez.

6.COMERCIO ELECTRONICO

5.2. Plan de Emergencia, Plan de Respaldo y plan de Recuperación

PLAN DE EMERGENCIAS

En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro,
así como la difusión de las mismas.

Es conveniente prever los posibles escenarios de ocurrencia del siniestro:
1. Durante el día.

2. Durante la noche o madrugada.
Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las
personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo
detallar:
1. Vías de salida o escape.
2. Plan de Evacuación del Personal.
3. Plan de puesta a buen recaudo de los activos (incluyendo los activos de Información) de la
Institución (si las circunstancias del siniestro lo posibilitan)
4. Ubicación y señalización de los elementos contra el siniestro (extinguidores, cobertores
contra agua, etc.)

5. Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación
(linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de su
personal (equipos de seguridad) nombrados para estos casos.

PLAN DE RECUPERACION DE DESASTRES

Es importante definir los procedimientos y planes de acción para el caso de una posible falla,
siniestro o desastre en el área Informática, considerando como tal todas las áreas de los
usuarios que procesan información por medio de la computadora.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la
originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso
perdido.
La elaboración de los procedimientos que se determinen como adecuados para un caso de
emergencia, deben ser planeados y probados fehacientemente.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los
encargados de la realización de los mismos, debiendo haber procesos de verificación de su
cumplimiento. En estos procedimientos estará involucrado todo el personal de la Institución.
Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima
autoridad Institucional, para garantizar su difusión y estricto cumplimiento.

Las actividades a realizar en un Plan de Recuperación de Desastres se pueden clasificar en
tres etapas:
Actividades Previas al Desastre.
Actividades Durante el Desastre.
Actividades Después del Desastre.

PLAN DE RIESGOS (PLAN DE SE

GURIDAD)

Para asegurar que se consideran todas las posibles eventualidades, se ha de elaborar una
lista de todos los riesgos conocidos, para lo cual se deberá realizar un análisis de riesgos.

ANALISIS DE RIESGOS

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas
negativas. Se ha de poder obtener una evaluación económica del impacto de estos sucesos
negativos. Este valor se podrá utilizar para contrastar el costo de la protección de la
Información en análisis, versus el costo de volverla a producir (reproducir).
La evaluación de riesgos y presentación de respuestas debe prepararse de forma
personalizada para cada organización.
La evaluación de riesgos supone imaginarse lo que puede ir ma l y a continuación estimar el
coste que supondría. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de
los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial
desarrollando un plan de acción adecuado.
Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como ejemplo
se mencionan algunos factores de riesgo:
1. Factor de riesgo bajo
2. Factor de riesgo muy bajo
3. Factor de riesgo alto
4. Factor de riesgo muy alto
5. Factor de riesgo medio

ANALISIS DE FALLAS EN LA SEGURIDAD

Esto supone estudiar las computadoras, su software, localización y utilización con el objeto
de identificar los resquicios en la seguridad que pudieran suponer un peligro. Por ejemplo, si
se instala una computadora personal nueva, para recibir informes de inventario desde otras
PCUS vía WAN/LAN/Internet situados en lugares remotos, y debido a se configura para que
pueda recibir datos, se ha abierto una vía de acceso al sistema informático. Habrá que tomar
medidas de seguridad para protegerlo, como puede ser la validación de la clave de acceso.

PROTECCIONES ACTUALES

1. Generales, se hace una copia casi diaria de los archivos que son vitales para la Institución.
2. Robo común, se cierran las puertas de entrada y ventanas.
3. Vandalismo, se cierra la puerta de entrada.
4. Falla de los equipos, se tratan con cuidado, se realiza el mantenimiento de forma regular,
no se permite fumar, está previsto el préstamo de otros equipos.
5. Daño por virus, todo el software que llega se analiza en un sistema utilizando software
antivirus. Los programas de dominio público y de uso compartido (Shareware), sólo se usan si
proceden de una fuente fiable.
6. Equivocaciones, los empleados tienen buena formación. Cuando son necesarios, se intenta
conseguir buenos trabajadores temporales.
7. Terremoto, nada. Aparte de la protección contra incendios, la cual es buena.
8. Acceso no autorizado, se cierra la puerta de entrada. Varias computadoras disponen de
llave de bloqueo del teclado.
9. Robo de datos, se cierra la puerta principal. Varias computadoras disponen de llave de
bloqueo del teclado
10. Fuego, en la actualidad se encuentra instalado Sistemas contra incendios, extinguidores,
en sitios estratégicos y se brinda entrenamiento en el manejo de los sistemas o extinguidores
al personal, en forma periódica.
En los Capítulos siguientes se brinda información completa y detallada de la Seguridad de
Equipos y de la Información.

5.1.2. Quiénes participan en la formulación

5.1.1 Que es

El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales pueden estar expuestos nuestros equipos de procesamiento y la información contenida en los diversos medios de almacenamiento. Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto es necesario que el Plan de Contingencias incluya un Plan de Recuperación de Desastres - DRP, el cual tendrá como objetivo, restaurar el Servicio de Procesamiento en forma rápida, eficiente y con el menor costo y pérdidas posibles. Si bien es cierto que se pueden presentar diferentes niveles de daños, también se hace necesario presuponer que el daño ha sido total, con la finalidad de tener un Plan de Contingencias lo más completo posible.

5.1Plan de Contingencia para el área de informática

5. SEGURIDAD INFORMATICA

miércoles, 8 de abril de 2009

4.4 Técnicas utilizadas para perpetrar los fraudes

Fraude relacionado con la entrada de datos

Segregacion de funciones en las areas de usuarios y entre usuarios y personal.
Conciliaciones independientes
Autorizacion de cambios en los datos existentes
Controles al acceso a los archivos de datos
Lista y revision periodica de los datos existentes

Fraude relacionado con los programas

Autorizacion y prueba de los cambios en los programas
Acceso restringido a las librerias del sistema que contienen programas de vida
Uso de programas especiales de utilidad para comparar las versiones cambiadas de los programas, para asegurarse de que solo se han hecho las modificaciones autorizadas.
Reducir la dependencia del personal de los sistemas clave.

Fraude relacionado con la salida de datos

Segregacion de funciones en las areas de los usuarios
Conciliaciones independientes
Buenos controles de custodia sobre la papeleria importante
Buenos controles de acceso

4.3 Cómo suceden los Fraudes

Los fraudes pueden ser perpetuados a travès de los siguientes mètodos:

Ingenierìa Social. Consiste en plantear situaciones para conmover o sobornar a quienes pueden proporcionar la información deseada o facilitar la ocurrencia de ilícitos.
Puertas Levadizas (Fuga o Escape de Datos). El personal de PED puede construir puertas levadizas (rutinas) en los programas de computador para permitir que los datos entren y salgan sin ser detectados.

Características:
a) Implica la incrustación de instrucciones no autorizada en los programas del computador.
b) Los códigos especiales pueden ser diferentes de los códigos de los registros de entrada. En este caso, puede haber complicidad entre los grabadores de los datos y el programador.
c) En los informes de control de calidad no se dejan evidencias de la utilización de códigos especiales.
d) Los criminales no necesariamente deben estar presentes en el escenario del crimen.

3. Recolección de Basura. Se usa la basura de las aplicaciones de computador, dejada dentro de la instalación o en su periferia después de la ejecución de un trabajo.

La basura o deshechos del computador contiene cosas como listados de programas, listados con información o reportes y documentación de los sistemas.

Los códigos correctos para accesar los archivos o las terminales, pueden ser obtenidos por los criminales usando los datos residuales que se dejan en la basura.

4. Ir a Cuestas para tener Acceso no Autorizado. es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazañas de prestidigitador (tramposo) conducente a abrir las líneas de comunicación, abrir las puertas del centro de cómputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

Esta técnica varía desde trampas muy simples hasta tretas electrónicas complejas.

es un paseo que se da el perpetrador con la gente influyente y que es aprovechado para realizar sus hazañas de prestidigitador (tramposo) conducente a abrir las líneas de comunicación, abrir las puertas del centro de cómputo, lograr acceso a las terminales y otras proezas para violar la seguridad de los sistemas computarizados.

Esta técnica varía desde trampas muy simples hasta tretas electrónicas complejas.

5. La Técnica del Caballo de Troya. Consiste en insertar una rutina fraudulenta que se activa cuando cierta condición o una fecha ocurre.Estas rutinas pueden ser introducidas preferiblemente adicionando un cambio no autorizado en el momento de implantar un cambio autorizado.

6. Técnica del Taladro.Consiste en la utilización de una computadora casera para llamar con diferentes códigos hasta que uno de resultado.

Puede ser utilizada para descubrir las contraseñas de acceso a terminales. En USA, Pepsi Cola Co. se vio seriamente abochornada cuando cuatro chicos de 14 años descubrieron los códigos de seguridad de una de sus computadoras en Canadá y ordenaron para sí cajas gratis de bebidas gaseosas.

7. Agujeros del Sistema Operativo o Trampas-Puerta.Trampas-Puerta son deficiencias en los sistemas operacionales. Como en “Alicia en el País de las Maravillas”, existen muchos agujeros que permiten caer en el país de las maravillas.

El uso de unas cuantas instrucciones de control son suficientes para cometer fraudes, sin necesidad de que el perpetrador sea un experto en programación. Basta con que el System Programmer sea suficiente experto y puede aprovechar esos agujeros para introducir instrucciones adicionales malintencionadas.

8. Superzapping.Utilización de programas de acceso universal de algunos computadores (una especie de llave maestra) para pasar por sobre todos los controles normales y permitir el acceso a todos los archivos de datos.

Esta técnica es especialmente peligrosa porque, en manos diestras, no deja rastros o indicios. Puede ser utilizada para manipular directamente los archivos maestros.

9. Manipulación de Transacciones.

Es el método más frecuentemente utilizado, consiste en cambiar la información antes o durante la entrada al computador.

Puede ser perpetrado por cualquier por cualquier persona que tenga acceso al proceso de crear, registrar, transportar, codificar, examinar o convertir la información que entra al computador. Se comete agregando transacciones no autorizadas, alterando transacciones, no procesando transacciones o combinando varios métodos.

Manipulación: maniobra o manejo destinado a engañar.

Intercepción de Líneas de Comunicación de Datos.

Se intervienen los circuitos de comunicación entre:

a. Terminales y concentradores.
b. Terminales y computadores
c. Computadores y computadores

La intercepción de comunicaciones por teléfono, microondas o satélite, es técnicamente posible.

El uso de hardware de criptografía es un método efectivo para evitar este tipo de penetración.

4.2 Qué tipo de riesgos existen

Los principales riesgos informáticos de los negocios son los siguientes:

1. RIESGO DE INTEGRIDAD:

Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interfase del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.
· Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.
· Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
· Administración de cambios: Estos riesgos están asociados con la administración inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.
· Información: Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos.

2. RIESGOS DE RELACION:

Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).

3 RIESGOS DE ACCESO:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:
· Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno.
· Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información.
· Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.
· Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.

4. RIESGO DE UTILIDAD:

Estos riesgos se enfocan en tres diferentes niveles de riesgo: * Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. *Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas. *Backups y planes de contingencia controlan desastres en el procesamiento de la información.

5. RIESGOS DE INFRAESTRUCTURA:

Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.

6. RIESGOS DE SEGURIDAD GENERAL:

Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:
· Riesgos de choque de eléctrico: Niveles altos de voltaje.
· Riesgos de incendio: Inflamabilidad de materiales.
· Riesgos de niveles inadecuados de energía eléctrica.
· Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
· Riesgos mecánicos: Inestabilidad de las piezas eléctricas.

4.1 Qué son los riegos

RIESGO: Incertidumbre o probabilidad de que ocurra o se realice una eventualidad.

RIESGO INFORMATICO: Incertidumbre existente por la posible realización de un suceso relacionado con la amenaza de daño respecto a los bienes o servicios informáticos, como equipos informáticos, periféricos, instalaciones, programas de computo, etc.

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño
del entorno informático.

4. RIESGOS INFORMATICOS

3.2.5 Producción y mantenimiento

OPERACIÓN Y MANTENCION

•Una vez terminado el sistema en su implementación debe usarse para satisfacer las necesidades de información por las cuales se generó.
•Sin embargo tenemos que los sistemas de información están inmersos en un medio dinámico, por lo que debe estar sujeto a ciertos cambios que lo adapten a las situaciones del entorno que provoquen modificaciones en sus procesos de transformación de la información.
•Mantención è soporte continuado al sistema de manera que se mantenga viable.
•Las alteraciones mayores que signifiquen el rediseño lógico de parte del sistema se debiera entender como nuevos proyectos, los que se detectarían en la etapa de evaluación.
•La experiencia muestra que las mantenciones mayores generalmente se abordan en forma sucesiva y no como proyectos independientes.
•Las estadísticas muestra que aproximadamente el 70 % de los recursos de los departamentos de TI se gastan en mantenimiento de los sistema antiguos y es extremadamente caro.

3.2.4 Programación, Pruebas, Conversion

PROGRAMACIÒN

Las actividades de esta etapa principalmente consiste en confeccionar los programas a la medida, de acuerdo a los requerimientos del diseño. También se puede instalar o modificar software comprados a terceros. La elección depende del costo de cada alternativa.
En empresas pequeñas donde no hay programadores se pueden contratar servicios externos de programación.

También se hace la documentación de los programas y un manual del sistema que indica la justificación de la programación de los diferentes procedimientos.

PRUEBAS (TESTONG)

En esta etapa el sistema se prueba de manera experimental para asegurarse de que no tenga fallas, es decir que funcione de acuerdo a las especificaciones y como los usuarios esperan.
Las pruebas del sistema serán con usuarios de los distintos niveles de la organización: usuarios comunes, ejecutivos, directivos, etc.
El objetivo es descubrir cualquier sorpresa antes que el sistema sea implementado y que la Organización dependa de él.
La finalidad principal de esta etapa es la detección de errores para la operación normal del sistema.

CONVERSIÒN O IMPLEMENTACIÒN DEL SISTEMAS

En esta fase se define Cuándo y de qué forma se introducirá el nuevo sistema. La conversión se refiere al momento en el que el nuevo sistema sustituye al que operaba previamente y la implementación se refiere a la instalación y puesta en marcha de los nuevos equipos y procedimientos que el sistema conlleva. Esta etapa genera un clima de gran expectación y gran carga de trabajo.

Existen diferentes alternativas de conversión:

Conversión en Paralelo:

•Considera el funcionamiento simultáneo durante un cierto período de tiempo del sistema antiguo y del sistema nuevo.
•Permite verificar consistencia de la información que entrega el nuevo sistema con el antiguo.Es muy útil para aplicaciones orientadas al nivel operacional que tienen importancia crucial para el desempeño de la organización.
•Es muy útil para aplicaciones orientadas al nivel operacional que tienen importancia crucial para el desempeño de la organización.

•Presenta el inconveniente de que requiere un esfuerzo adicional a los recursos humanos de la organización.
•Puede requerir mano de obra adicional para llegar a los plazos inicialmente definidos.
•Generalmente se alarga el período de conversión implicando aumento en los costos y carga de trabajo.
•Lo anterior ocurre principalmente cuando el sistema no ha podido ser probado o por temor a la falla.

CONVERSION GRADUAL:

•Este método define un cierto período de tiempo en el cual el nuevo sistema va reemplazando paulatinamente las actividades del antiguo.
•La organización conoce poco a poco el desempeño del sistema, minimizando el impacto derivado del cambio y evitando algunos riesgos.El inconveniente es que no siempre las aplicaciones pueden ser convertidas en forma gradual, principalmente porque requiere de la existencia de actividades divisibles y de una comunicación entre ambos sistemas, que pueden ser costosa de operacionalizar.

COVERSION CON PLAN PILOTO:

•Se convierte al nuevo sistema sólo una parte de la organización ( departamentos/funciones), quedando el resto del sistema operando con el antiguo.
•Se puede detectar errores NO ANTICIPADOS con un mínimo de riesgo. La clave es que el segmento donde se aplica el nuevo sistema sea representativo.
•Un riesgo es que el plan piloto se confunda con un test o prueba del mismo sistema y no se perciba la trascendencia de las actividades que le siguen: implementación del sistema a nivel global .

CONVERSION ABRUPTA

•Requiere una muy buena planificación la conversión para reemplazar en un determinado tiempo , en toda la organización, el sistema antiguo por el nuevo.
•Se reducen violentamente los costos de conversión e incide en el plano psicológico del cambio, ya que asume que todo el personal colaborará en la puesta en marcha y eliminar el antiguo sistema.
•El principal inconveniente de este modelo es que ante una detección de un error grave , el efecto es sobre toda la organización, sin el respaldo del sistema antiguo.Es adecuado para aplicaciones cuyo impacto a nivel organizacional no es muy significativo

3.2.4 Programación

Programación de sistemas: Es la acción de dar las instrucciones o procedimientos necesarios para obtener un determinado trabajo en un equipo de cómputo, en un lenguaje que las computadoras entienden.

- Diagrama de bloque del programa: Es la representación gráfica de los pasos del procedimiento a seguir para lograr un procedimiento determinado.

- Codificación: Es la conversión de los procedimientos gráficos a instrucciones escritas en un lenguaje fuente que el ser humano entiende.

- Programa fuente: Grupo de instrucciones sobre un proceso específico escritas en un lenguaje entendible al ser humano.

- Compilación: Es la traducción efectuada por la misma computadora para convertir un lenguaje fuente a lenguaje objeto que esta escrito en sistema binario que es el lenguaje que la computadora entiende.

- Procedimientos de corrección: Son las acciones que es necesario ejecutar para corregir los errores de un programa.

- Lenguajes mas usuales: Cobol, Fortran, Basic, Visual Basic, pascal, otros.

3.2.3 Diseño de Sistemas

Diseño de sistemas: Es la fase enfocada a diseñar todos los componentes que intervienen en el nuevo sistema y que deben cumplir con los requerimientos de los usuarios:

- Precisión, flexibilidad.

- Proporcionar al usuario lo que requiere.

- Traducir las demandas de usuarios a modelo.

El proceso del diseño tiene 6 puntos principales:

· Diagrama del flujo de sistema

· Diseño de salidas del sistema

· Diseño de entradas del sistema

· Diseño de los archivos del sistema

· Diseño de los procedimientos del proceso

· Diseño de los controles del sistema.

3.2.2 Análisis de Sistemas

Análisis de Sistemas: Es el proceso que se ejecuta para recopilar e interpretar hechos y diagnosticar problemas, con el fin de mejorar los sistemas de información, las técnicas utilizadas más comunes son:

- Entrevistas: Es una conversación entre el entrevistador y el entrevistado con el fin de que el entrevistador recopile información necesaria para el desarrollo del proyecto.

- Cuestionarios: Es la técnica que permite recopilar información escrita, necesaria para el desarrollo del proyecto.

- Revisión de documentos: Esta técnica permite recopilar información valiosa a través de la revisión de manuales de sistemas, de procedimientos, de políticas, de organización, instructivos operativos, catálogos, etc.

- Observación: Es la técnica aplicada para recopilar información, que consiste en la presencia física del analista con el fin de observar como se realizan los procesos.

3.2.1 Qué es el CVDS

Es el conjunto de actividades que los analistas, diseñadores y usuarios realizan para desarrollar e implantar un sistema de información. Esta sección examina cada una de las seis actividades que constituyen el ciclo de vida de desarrollo de sistemas. En la mayor parte de las situaciones dentro de una empresa todas las actividades están muy relacionadas, en general son inseparables, y quizá sea difícil determinar el orden de los pasos que se siguen para efectuarlas.

El método de ciclo de vida para desarrollo de sistemas consta de las siguientes actividades:

1. Investigación preliminar. La solicitud para recibir ayuda de un sistema de información puede originarse por varias razones; sin importar cuales son estas, el proceso se inicia siempre con la petición de una persona –administrador, empleado o especialista en sistemas.

Estudio de factibilidad: Un resultado importante de la investigación preliminar es la determinación de que el sistema solicitado sea factible. En la investigación preliminar existen tres aspectos relacionados con el estudio de factibilidad.

Aprobación de la solicitud: No todos los proyectos solicitados son deseables o factibles. Algunas organizaciones reciben tantas solicitudes de sus empleados que sólo es posible atender unas cuantas. Sin embargo, aquellos proyectos que son deseables o factibles deben incorporarse en los planes, en algunos casos, el desarrollo puede comenzar inmediatamente, aunque lo común es que los miembros de equipos de sistemas se encuentran ocupados en otros proyectos.

2. . Determinación de los requerimientos del sistema: El aspecto fundamental del análisis de sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra bajo estudio. (Es por esta razón que el proceso de adquirir información se denomina, con frecuencia, Investigación detallada). Los analistas, al trabajar con los empleados y administradores, deben estudiar los procesos de una empresa.

3.2. PANORAMA DEL DESARROLLO DE LOS SISTEMAS

3.1.3. ¿ De donde proviene la idea de los sistemas?

El estudio de los sistemas de información se originó como una sub-disciplina de las ciencias de la computación en un intento por entender y racionalizar la administración de la tecnología dentro de las organizaciones.

Los sistemas de información han madurado hasta convertirse en un campo de estudios superiores dentro de la administración. Adicionalmente, cada día se enfatiza más como un área importante dentro de la investigación en los estudios de administracion , y es enseñado en las universidades y escuelas de negocios más grandes en todo el mundo.

En la actualidad, la Información y la tecnología de la Información forman parte de los cinco recursos con los que los ejecutivos crean y/o modelan una organización, junto con el personal, dinero, material y maquinaria. Muchas compañías han creado la posición de Director de Información, quien asiste al comité ejecutivo de la compañía

la idea de sistema nace de la necesidad que surge dentro de las organizaciones, Los Sistemas de Información fueron considerados inicialmente como un elemento que podía proporcionar ahorros de coste en las organizaciones, en la medida que podía dar soporte a actividades operativas en las que la información constituía el principal elemento implicado.

3.1.2. ¿Como se administra el desarrollo de sistemas?

Dentro del proceso de administración de un sistema de información encontramos:

1. Planeación Estratégica de Sistemas de Información:

• Fase de estudio de la planeación de SI
• Fase de definición de la planeación de sistemas
• Fase de análisis de áreas de empresa

2. Organización de Sistemas de Información

3. Dirección de Sistemas de Información

4. Control de Sistemas de Información

"La administración de proyectos enseña que para alcanzar el objetivo deseado del proyecto se debe seguir u

n proceso especifico. No existe ninguna excepción a esta regla. El proceso se conoce como CICLO DE VIDA".

CICLO DE VIDA DEL DESARROLO DE SISTEMAS
Todo sistema tiene un ciclo de vida, muchos autores manejan menos o mas etapas pero la idea es la misma a continuación solo describiremos el ciclo de vida que desde un punto de vista es el mas entendible.
Fases:
· Fase conceptual.
· Fase de definición.
· Fase de adquisición o de producción.
· Fase operacional.
· Fase de muerte.

Fase conceptual (descripción)

"La fase conceptual es aquella en la que la idea se concibe y se le hace una evaluación preeliminar".
En esta fase se examinan el medio se realizan pronósticos se evalúan los objetivos y alternativas, se realiza una evaluación por primera vez de costos y aspectos relacionados con el tiempo del sistema al mismo tiempo se hace la estrategia básica la organización y los requerimientos de recursos. El propósito fundamental de la fase conceptual es hacer un estudio sobre papel de todos los requerimientos. Para proporcionar la base de una evaluación detallada que posteriormente se hará en la etapa siguiente.
Siempre hay una tasa alta en porcentaje de sistemas potenciales que no serán realizados, esto debe ser así, puesto que el proceso de estudio de esta fase conceptual tiene como objetivo identificar proyectos que tienen un alto riesgo y no son factibles o no son prácticos desde el punto de vista técnico, económico y del ambiente.

Fase de definición.

El propósito principal de esta fase es definir lo mas pronto posible y exacto, los costos, los programas, la realización y los requerimientos de recursos y si todos estos elementos concordaran económica y técnicamente.
"La fase de definición solo narra con mayor detalle que es lo que queremos hacer, cuando queremos hacerlo, como lo llevaremos a acabo y cuanto costara".

Fase de adquisición o de producción.

"El propósito de esta fase de adquisición o de producción es adquirir y probar los elementos del sistema y el sistema total mismo utilizando los estándares que se desarrollaron durante las fases precedentes. El proceso de adquisición involucra aspectos tales como la implantación real del sistema, la fabricación del equipo, la asignación de autoridad y de responsabilidad, la construcción de las instalaciones y la conclusión de la documentación de apoyo".
Esta fase puede describirse como la fase de desarrollo de las actividades que anteriormente fueron definidas en la fase de definición.

Fase operacional.

"En esta fase el papel fundamental del gerente de un sistema durante la fase operacional es proporcionar el apoyo de recursos requeridos para llevar a cabo los objetivos del sistema".
En esta fase el gerente encargado del sistema es el que provee de todos los recursos necesarios para llevar acabo los objetivos del sistema. Esta fase es resultado de que el modelo ha sido aprobado desde el punto de vista económico, y el gerente trata de poner más atención en los elementos humanos del sistema y trata de optimizar los recursos del sistema total.

Fase de muerte.

Todo ciclo tiene su inicio y su fin, esta etapa es la de declinación o muerte del sistema.
Muy a menudo, esto no es reconocido por las empresas a simple vista, no quieren reconocer de que cuentan con sistemas obsoletos y que estos ya no son de utilidad para la empresa, muchas veces son deficientes y se mantienen con equipos e instalaciones inadecuadas.
La empresa debe asumir la realidad que hay que hacer un cambio en sus sistemas así como sus instalaciones si realmente quiere ser competitiva.

3.1.1. ¿Quien esta involucrado en la construccion de sistemas?

Líder de proyecto

El líder de proyecto se compromete a entregar el sistema de información en la fecha pactada, el líder de proyecto administra las actividades del grupo de trabajo, verifica y controla las actividades que han sido calendarizadas por él y el analista de sistemas para llevar a cabo una buena administración de proyectos de de construcción de sistemas.

Analista de sistemas.

Es el encargado de hacer todo lo concerniente al análisis del problema apoyándose en la aplicación de cuestionarios, entreviatas y observacio directa para determinar las causas concretas del problema y poder proponer soluciones adecuadas a este.
El analista de sistemas realiza el bosquejo de la base de datos (estructura de las tablas de la base de datos, diccionarios de datos) así como también se encarga del desarrollo de procedimientos y algoritmos apoyándose en herramientas como diagramas de flujo de datos, el analista también es el encargado de realizar la Interfaz del usuario. Para después ofrecer toda esta información al programador para su posterior codificación

Programador.
Es la persona encargada de la codificación de procedimientos y algoritmos que fueron entregados por el analista de sistemas, cabe mencionar que el programador mantiene una estrecha comunicación con el analista de sistemas, ya que el analista de sistemas apoya y asesora al programador en la codificación de los módulos del sistema de información.
El programador además de codificar también tiene a su cargo la prueba de los módulos codificados con el fin de encontrar errores lógicos y físicos para su resolución. Una vez realizada las pruebas a los módulos ya codificados y resuelto los errores tanto lógicos como físicos y sabiendo de antemano que todo funciona como uno quiere; el programador tiene a su cargo la elaboración del manual del sistema, con la asesoría del analista de sistemas; el cual contendrá todos los procedimientos, diagramas de flujo de datos y formas de codificar el sistema con la explicación detallada del por que fue codificado así dicho módulo o módulos.