Site hosted by Angelfire.com: Build your free website today!

ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS

 TEMARIO:

 UNIDAD 1: REVICIÓN DE CONCEPTOS

                     1.1 Conceptos básicos de administración

                     1.2 El proceso Administrativo

                     1.3 Niveles de lenguajes.

 

UNIDAD 2: INTRODUCCIÓN

                     2.1 Conceptualización de un Centro de Cómputo. El centro de Servicio y la unidad de informática

                     2.2 Los sistemas de información y su clasificación.

                     2.3 Planteamiento del problema de administrar bienes informáticos.

 

UNIDAD 3: IDENTIFICACIÓN DE LA ORGANIZACIÓN A AUTOMATIZAR

          3.1 Principales indicadores para conocer una organización.

 

UNIDAD 4: DETERMINACIÓN DE REQUERIMIENTOS DE INFORMACIÓN

         4.1 Procedimiento de análisis de requerimientos de información.

                     4.2 Instrumentos para integrar la información.

                     4.3 Formulación del plan de desarrollo informático.

 

UNIDAD 5: CONFIGURACIÓN IDEAL

         5.1 Determinación de las características de hardware

                     5.2 Determinación de las características de Software

                     5.3 Identificación de las modalidades de operación

 

UNIDAD 6: CUESTIONARIO A PROVEEDORES

                     6.1 Capitulado Típico.

                     6.2 Análisis de principales apartados.

 

UNIDAD 7: ESTUDIO DE VIABILIDAD PARA ADQUIRIR EQUIPO DE CÓMPUTO

          7.1 Contenido Básico.

          7.2 Metodología para evaluar propuestas de proveedores

                      7.3 Contrato Típico. Aspectos fundamentales.

                      7.4 Requerimientos de instalación

 

UNIDAD 8: ORGANIZACIÓN DE LA UNIDAD INFORMÁTICA.

                     8.1 Procedimiento para diseñar la estructura organizacional típica de una Unidad Informática.

                     8.2 Perfiles de principales puestos en informática.

 

UNIDAD 9: INTEGRACIÓN DE LOS RECURSOS HUMANOS

                     9.1 Procedimientos de convocatoria selección, contratación, inducción, capacitación y motivación del personal técnico.

 

UNIDAD 10: ADMINISTRACIÓN DE UNA UNIDAD DE INFORMACIÓN

                      10.1 El proceso de dirección. Liderazgo.

          10.2 Manual de procedimientos, políticas, normas, estándares y procedimientos

                      10.3 Selección e implementación de controles para la operación.

 

UNIDAD 11: EL PROCESO DE CONTROL

                      11.1 Selección e implementación de controles generales y específicos para la evaluación

                      11.2 Establecimiento del marco de referencia, "el deber ser". Estándares de calidad y Productividad.

                      11.3 Seguimiento y evaluación.

                   11.4 Determinación e implementación de medidas correctivas

 

UNIDAD 12: AUDITORIA INFORMÁTICA.

           12.1 Elementos básicos para auditar centro de cómputo.

                       12.2 Tipos de auditoria informática.

                    12.3 Etapas de toda auditoria.

                       12.4 Instrumentos para la auditoria.

 

UNIDAD 13: SEGURIDAD EN CENTRO DE CÓMPUTO.

                       13.1 Ámbitos de seguridad en instalaciones con recursos informáticos

                       13.2 Seguridad de instalaciones.

                       13.3 Seguridad del personal.

                       13.4 Protección de los equipos.

                       13.5 Seguridad de la información.

                       13.6 Medidas preventivas en caso de desastres.

 

 

 

 

 

 

 

 

 

 

 

 

 


UNIDAD 1

CONCEPTOS BÁSICOS

La administración aparece desde tiempos muy remotos, desde el momento en que aparece el hombre.  Las primeras manifestaciones reciben el nombre de acto administrativo.

A las empresas se les define como unidades productoras de bienes o servicios, se les puede clasificar en base a diferentes criterios:

-DE ACUERDO A SUS OBJETIVOS: Se clasifican en publicas (no lucran) y privadas (tienen como objetivo lucrar).
-DE ACUERDO A SU FUNCIÓN: Industriales (las que llevan a cabo cualquier cambio o alteración a la materia prima) y Comerciales (Las que distribuyen productos que otros fabrican).
-EL QUE UTILIZA PROMYP: El Programa de ayuda para la pequeña y mediana empresa y que clasifica a las empresas en micro, pequeña, mediana y grande empresa.

Cualquiera que sea el tipo de empresa cuenta con tres recursos:

HUMANOS: Personas que laboran en la empresa.
MATERIALES: Los recursos monetarios de la empresa.
TÉCNICOS: Es la maquinaria y la tecnología.

Toda organización, para lograr un adecuado funcionamiento deberá llevar a cabo una administración adecuada en la empresa pues es la encargada de darle buen uso de los recursos.

Definición de administración:

     Administración es la ciencia, técnica o arte que por medio de los recursos humanos, materiales, y técnicos, pretende el logro optimo de los objetivos mediante el menor esfuerzo para lograr una mayor utilidad.

     Pero la verdadera definición es que la administración es una ciencia social que persigue la satisfacción de los objetivos institucionales por medio de un mecanismo de operación y a través de un proceso administrativo. (FERNANDEZ ARENA)

1.      Diferentes Conceptos De Administración

G. P. Terry: "Consiste en lograr un objetivo predeterminado, mediante el esfuerzo ajeno".

Henry Farol: (considerado por muchos como el verdadero padre de la moderna Administración), dice que "administrar es prever, organizar, mandar, coordinar y controlar".

A. Reyes Ponce: "Es un conjunto de sistemático de reglas para lograr la máxima eficiencia en las formas de estructurar y manejar un organismo

 

PROCESO ADMINISTRARTIVO

Esta Teoría define a la administración como una actividad compuesta de ciertas sub-actividades que constituyen el proceso administrativo único. Este proceso administrativo formado por 4 funciones fundamentales, planeación, organización, ejecución y control. Constituyen el proceso de la administración. Una expresión sumaria de estas funciones fundamentales de la admón. es:

  1. LA PLANEACION para determinar los objetivos en los cursos de acción que van a seguirse.
  2. LA ORGANIZACIÓN para distribuir el trabajo entre los miembros del grupo y para establecer y reconocer las relaciones necesarias.
  3. LA EJECUCIÓN por los miembros del grupo para que lleven a cabo las tareas prescritas con voluntad y entusiasmo.
  4. EL CONTROL de las actividades para que se conformen con los planes.

PLANEACION.-

Para un gerente y para un grupo de empleados es importante decidir o estar identificado con los objetivos que se van a alcanzar. El siguiente paso es alcanzarlos. Esto origina las preguntas de que trabajo necesita hacerse? ¿Cuándo y como se hará? Cuales serán los necesarios componentes del trabajo, las contribuciones y como lograrlos. En esencia, se formula un plan o un patrón integrando predeterminando de las futuras actividades, esto requiere la facultad de prever, de visualizar, del propósito de ver hacia delante.

ACTIVIDADES IMPORTANTES DE PLANEACION

  1. Aclarar, amplificar y determinar los objetivos.
  2. Pronosticar.
  3. Establecer las condiciones y suposiciones bajo las cuales se hará el trabajo.
  4. Seleccionar y declarar las tareas para lograr los objetivos.
  5. Establecer un plan general de logros enfatizando la creatividad para encontrar medios nuevos y mejores de desempeñar el trabajo.
  6. Establecer políticas, procedimientos y métodos de desempeño.
  7. Anticipar los posibles problemas futuros.
  8. Modificar los planes a la luz de los resultados del control.

ORGANIZACIÓN.

Después de que la dirección y formato de las acciones futuras ya hayan sido determinadas, el paso siguiente para cumplir con el trabajo, será distribuir o señalar las necesarias actividades de trabajo entre los miembros del grupo e indicar la participación de cada miembro del grupo. Esta distribución del trabajo esta guiado por la consideración de cosas tales como la naturaleza de las actividades componentes, las personas del grupo y las instalaciones físicas disponibles.

Estas actividades componentes están agrupadas y asignadas de manera que un mínimo de gastos o un máximo de satisfacción de los empleados se logre o que se alcance algún objetivo similar, si el grupo es deficiente ya sea en él numero o en la calidad de los miembros administrativos se procuraran tales miembros. Cada uno de los miembros asignados a una actividad componente se enfrenta a su propia relación con el grupo y la del grupo con otros grupos de la empresa.

ACTIVIDADES IMPORTANTES DE ORGANIZACIÓN.

  1. Subdividir el trabajo en unidades operativas (deptos.)
  2. Agrupar las obligaciones operativas en puestos (puestos reg. X depto.)
  3. Reunir los puestos operativos en unidades manejables y relacionadas.
  4. Aclarar los requisitos del puesto.
  5. Seleccionar y colocar a los individuos en el puesto adecuado.
  6. Utilizar y acordar la autoridad adecuada para cada miembro de la admón..
  7. Proporcionar facilidades personales y otros recursos.
  8. Ajustar la organización a la luz de los resultados del control.
  9.  

EJECUCIÓN.

- Para llevar a cabo físicamente las actividades que resulten de los pasos de planeación y organización, es necesario que el gerente tome medidas que inicien y continúen las acciones requeridas para que los miembros del grupo ejecuten la tarea. Entre las medidas comunes utilizadas por el gerente para poner el grupo en acción están dirigir, desarrollar a los gerentes, instruir, ayudar a los miembros a mejorarse lo mismo que su trabajo mediante su propia creatividad y la compensación a esto se le llama ejecución.

ACTIVIDADES IMPORTANTES DE LA EJECUCIÓN.

  1. Poner en práctica la filosofía de participación por todos los afectados por la decisión.
  2. Conducir y retar a otros para que hagan su mejor esfuerzo.
  3. Motivar a los miembros.
  4. Comunicar con efectividad.
  5. Desarrollar a los miembros para que realicen todo su potencial.
  6. Recompensar con reconocimiento y buena paga por un trabajo bien hecho.
  7. Satisfacer las necesidades de los empleados a través de esfuerzos en el trabajo.
  8. Revisar los esfuerzos de la ejecución a la luz de los resultados del control.

CONTROL.-

Los gerentes siempre han encontrado conveniente comprobar o vigilar lo que sé esta haciendo para asegurar que el trabajo de otros esta progresando en forma satisfactoria hacia el objetivo predeterminado. Establecer un buen plan, distribuir las actividades componentes requeridas para ese plan y la ejecución exitosa de cada miembro no asegura que la empresa será un éxito. Pueden presentarse discrepancias, malas interpretaciones y obstáculos inesperados y habrán de ser comunicados con rapidez al gerente para que se emprenda una acción correctiva.

ACTIVIDADES IMPORTANTES DE CONTROL

  1. Comparar los resultados con los planes generales.
  2. Evaluar los resultados contra los estándares de desempeño.
  3. Idear los medios efectivos para medir las operaciones.
  4. Comunicar cuales son los medios de medición.
  5. Transferir datos detallados de manera que muestren las comparaciones y las variaciones.
  6. Sugerir las acciones correctivas cuando sean necesarias.
  7. Informar a los miembros responsables de las interpretaciones.
  8. Ajustar el control a la luz de los resultados del control.

 

TOMA DE DECISIONES

¿ QUÉ ES LA TOMA DE DECISIONES. ?

La toma de decisiones es un proceso en el que uno escoge entre dos o más alternativas. Todos y cada uno de nosotros nos pasamos todos los días y las horas de nuestra vida teniendo que tomar decisiones. Algunas decisiones tienen una importancia relativa en el desarrollo de nuestra vida, mientras otras son gravitantes en ella.

La toma de decisiones en una organización se circunscribe a todo un colectivo de personas que están apoyando el mismo proyecto. Debemos de empezar por hacer una selección de decisiones, y esta selección es una de las tareas de gran trascendencia en el trabajo del mando.

LA PENETRACIÓN DE LA TOMA DE DECISIONES.

La toma de decisiones en una organización, invade cuatro funciones administrativas, que son: Planeación, Organización, Dirección y Control.

* Planeación.-

¿ Cuales son los objetivos de la organización a largo plazo.?

¿ Qué estrategias son mejores para lograr este objetivo.?

¿ Cuales deben ser los objetivos a corto plazo.?

¿ Cómo de altas deben ser las metas individuales.?

* Organización.-

¿ Cuanta centralización debe existir en la organización.?

¿ Cómo deben diseñarse los puestos.?

¿ Quién está mejor calificado para ocupar un puesto vacante.?

¿ Cuando debe una organización instrumentar una estructura diferente.?

* Dirección.-

¿ Cómo manejo a un grupo de trabajadores que parecen tener una motivación baja.?

¿ Cuál es el estilo de liderazgo más eficaz para una situación dada.?

¿ Cómo afectará un cambio específico a la productividad del trabajador.?

¿ Cuando es adecuado estimular el conflicto.?

* Control.-

¿ Qué actividades en la organización necesitan ser controladas.?

¿ Cómo deben controlarse estas actividades.?

¿ Cuando es significativa una desviación en el desempeño.?

¿ Cuando está la organización desempeñándose de manera efectiva.?

EL PROCESO RACIONAL DE TOMA DE DECISIONES

* Pasos en el proceso de la toma de decisiones.-

1.- Determinar la necesidad de una decisión.

 2.- Identificar los criterios de decisión.

3.- Asignar peso a los criterios.

4.- Desarrollar todas las alternativas.

5.- Evaluar las alternativas.

6.- Seleccionar la mejor alternativa.


UNIDAD 2

INTRODUCCION

 

DEFINICION DE CENTRO DE CÓMPUTO

Es la dependencia responsable del procesamiento automático de datos, se caracteriza por disponer de equipos de cómputo de una adecuada capacidad operativa.

LA ADMINISTRACIÓN DE UN CENTRO DE CÓMPUTO

Con la finalidad de establecer un criterio común sobre la Administración de un Centro de Cómputo es conveniente los conceptos que dan la pauta para su comprensión, estas áreas son: Informática y Administración. 

ORGANIZACIÓN DE UN CENTRO DE CÓMPUTO

Por lo que respecta a la organización de un Centro de Cómputo, no existe un modelo único de organización capaz de ajustarse a todas las necesidades, pues este depende del tamaño particular del Centro de Cómputo, En términos generales, puede decirse que los elementos estructurales mínimos que requiera la organización de cualquier Centro de Cómputo son los siguientes:

FUNCIONAMIENTO DE UN CENTRO DE CÓMPUTO

Un centro de cómputo funciona como una maquinaria perfectamente sincronizada (considerando una buena administración, tanto en recursos humanos como materiales), en donde cada oficina y cada empleado tiene encomendada una tarea específica, de acuerdo con las funciones básicas definidas, en la cual existen normas y procedimientos, mediante la implantación de un sistema que utilice una computadora.

Objetivo de un centro de cómputo

El principal objetivo de un centro de computo es el de concentrar el procesamiento de datos e información de una manera sistematizada y automática.

SISTEMAS DE INFORMACION Y SU CLASIFICACION

Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procesamiento y salida de información.

Entrada de Información: Es el proceso mediante el cual el Sistema de Información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos. Esto último se denomina interfases automáticas.

Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas, las unidades de disquete, los códigos de barras, los escáneres, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre otras.

Almacenamiento de información: El almacenamiento es una de las actividades o capacidades más importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior. Esta información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos flexibles o disquetes y los discos compactos (CD-ROM).

Procesamiento de Información: Es la capacidad del Sistema de Información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados. Esta característica de los sistemas permite la transformación de datos fuente en información que puede ser utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de decisiones genere una proyección financiera a partir de los datos que contiene un estado de resultados o un balance general de un año base.

Salida de Información: La salida es la capacidad de un Sistema de Información para sacar la información procesada o bien datos de entrada al exterior. Las unidades típicas de salida son las impresoras, terminales, disquetes, cintas magnéticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interfase automática de salida. Por ejemplo, el Sistema de Control de Clientes tiene una interfase automática de salida con el Sistema de Contabilidad, ya que genera las pólizas contables de los movimientos procesales de los clientes.

A continuación se muestran las diferentes actividades que puede realizar un Sistema de Información de Control de Clientes:

Actividades que realiza un Sistema de Información:

Entradas:

·                     Datos generales del cliente: nombre, dirección, tipo de cliente, etc.

·                     Políticas de créditos: límite de crédito, plazo de pago, etc.

·                     Facturas (interfase automático).

·                     Pagos, depuraciones, etc.

 

Proceso:

·                     Cálculo de antigüedad de saldos.

·                     Cálculo de intereses moratorios.

·                     Cálculo del saldo de un cliente.

Almacenamiento:

·                     Movimientos del mes (pagos, depuraciones).

·                     Catálogo de clientes.

·                     Facturas.

 

Salidas:

·                     Reporte de pagos.

·                     Estados de cuenta.

·                     Pólizas contables (interfase automática)

·                     Consultas de saldos en pantalla de una terminal.

Las diferentes actividades que realiza un Sistema de Información se pueden observar en el diseño conceptual ilustrado en la en la figura 1.2.

Tipos y Usos de los Sistemas de Información

Durante los próximos años, los Sistemas de Información cumplirán tres objetivos básicos dentro de las organizaciones:

  1. Automatización de procesos operativos.
  2. Proporcionar información que sirva de apoyo al proceso de toma de decisiones.
  3. Lograr ventajas competitivas a través de su implantación y uso.

 

Los Sistemas de Información que logran la automatización de procesos operativos dentro de una organización, son llamados frecuentemente Sistemas Transaccionales, ya que su función primordial consiste en procesar transacciones tales como pagos, cobros, pólizas, entradas, salidas, etc. Por otra parte, los Sistemas de Información que apoyan el proceso de toma de decisiones son los Sistemas de Soporte a la Toma de Decisiones, Sistemas para la Toma de Decisión de Grupo, Sistemas Expertos de Soporte a la Toma de Decisiones y Sistema de Información para Ejecutivos. El tercer tipo de sistema, de acuerdo con su uso u objetivos que cumplen, es el de los Sistemas Estratégicos, los cuales se desarrollan en las organizaciones con el fin de lograr ventajas competitivas, a través del uso de la tecnología de información.

Los tipos y usos de los Sistemas de Información se muestran en la figura 1.3.

A continuación se mencionan las principales características de estos tipos de Sistemas de Información.

Sistemas Transaccionales. Sus principales características son:

·                     A través de éstos suelen lograrse ahorros significativos de mano de obra, debido a que automatizan tareas operativas de la organización.

·                     Con frecuencia son el primer tipo de Sistemas de Información que se implanta en las organizaciones. Se empieza apoyando las tareas a nivel operativo de la organización.

·                     Son intensivos en entrada y salid de información; sus cálculos y procesos suelen ser simples y poco sofisticados.

·                     Tienen la propiedad de ser recolectores de información, es decir, a través de estos sistemas se cargan las grandes bases de información para su explotación posterior.

·                     Son fáciles de justificar ante la dirección general, ya que sus beneficios son visibles y palpables.

Sistemas de Apoyo de las Decisiones. Las principales características de estos son:

·                     Suelen introducirse después de haber implantado los Sistemas Transaccionales más relevantes de la empresa, ya que estos últimos constituyen su plataforma de información.

·                     La información que generan sirve de apoyo a los mandos intermedios y a la alta administración en el proceso de toma de decisiones.

·                     Suelen ser intensivos en cálculos y escasos en entradas y salidas de información. Así, por ejemplo, un modelo de planeación financiera requiere poca información de entrada, genera poca información como resultado, pero puede realizar muchos cálculos durante su proceso.

·                     No suelen ahorrar mano de obra. Debido a ello, la justificación económica para el desarrollo de estos sistemas es difícil, ya que no se conocen los ingresos del proyecto de inversión.

·                     Suelen ser Sistemas de Información interactivos y amigables, con altos estándares de diseño gráfico y visual, ya que están dirigidos al usuario final.

·                     Apoyan la toma de decisiones que, por su misma naturaleza son repetitivos y de decisiones no estructuradas que no suelen repetirse. Por ejemplo, un Sistema de Compra de Materiales que indique cuándo debe hacerse un pedido al proveedor o un Sistema de Simulación de Negocios que apoye la decisión de introducir un nuevo producto al mercado.

·                     Estos sistemas pueden ser desarrollados directamente por el usuario final sin la participación operativa de los analistas y programadores del área de informática.

Este tipo de sistemas puede incluir la programación de la producción, compra de materiales, flujo de fondos, proyecciones financieras, modelos de simulación de negocios, modelos de inventarios, etc.

Sistemas Estratégicos. Sus principales características son:

·                     Su función primordial no es apoyar la automatización de procesos operativos ni proporcionar información para apoyar la toma de decisiones.

·                     Suelen desarrollarse in house, es decir, dentro de la organización, por lo tanto no pueden adaptarse fácilmente a paquetes disponibles en el mercado.

·                     Típicamente su forma de desarrollo es a base de incrementos y a través de su evolución dentro de la organización. Se inicia con un proceso o función en particular y a partir de ahí se van agregando nuevas funciones o procesos.

·                     Su función es lograr ventajas que los competidores no posean, tales como ventajas en costos y servicios diferenciados con clientes y proveedores. En este contexto, los Sistema Estratégicos son creadores de barreras de entrada al negocio. Por ejemplo, el uso de cajeros automáticos en los bancos en un Sistema Estratégico, ya que brinda ventaja sobre un banco que no posee tal servicio. Si un banco nuevo decide abrir sus puertas al público, tendrá que dar este servicio para tener un nivel similar al de sus competidores.

·                     Apoyan el proceso de innovación de productos y proceso dentro de la empresa debido a que buscan ventajas respecto a los competidores y una forma de hacerlo en innovando o creando productos y procesos.

Un ejemplo de estos Sistemas de Información dentro de la empresa puede ser un sistema MRP (Manufacturing Resoure Planning) enfocado a reducir sustancialmente el desperdicio en el proceso productivo, o bien, un Centro de Información que proporcione todo tipo de información; como situación de créditos, embarques, tiempos de entrega, etc. En este contexto los ejemplos anteriores constituyen un Sistema de Información Estratégico si y sólo sí, apoyan o dan forma a la estructura competitiva de la empresa.

Por último, es importante aclarar que algunos autores consideran un cuarto tipo de sistemas de información denominado Sistemas Personales de Información, el cual está enfocado a incrementar la productividad de sus usuarios.

Clasificación de los sistemas

Un modo conceptual de clasificar los sistemas se basa en dos criterios distintos, que son los siguientes:

  1. Nivel de Predictibilidad. Este criterio está basado en un doble esquema: determinista y probabilista.
  2. Nivel de complejidad. Adoptando este criterio, es posible clasificar los sistemas en tres categorías: sencillos, complejos y sumamente complejos.

Un sistema determinista sencillo, es aquel que contiene pocos subsistemas e interrelaciones y revela un comportamiento enteramente predecible.
Un sistema sencillo también puede ser probabilista. Por ejemplo, el lanzar al aire una moneda es un sistema sencillo. Pero a la vez notoriamente probabilista. Un sistema de control de calidad que pronostica el número de piezas defectuosas pero al mismo tiempo probabilista.

 

5. Tipos de sistema

Los seis sistemas principales de información requeridos por los cuatro niveles de la institución. Los sistemas se construye para servir a los cuatros niveles de organización. Los sistemas de procesamiento de operaciones (SPO) sirven a nivel operativo de la institución. Los sistemas de trabajo del conocimiento (STC) y la automatización de oficinas (SAO)y los de automatización de oficinas (SAO) sirven a nivel de conocimiento de la institución. Los sistemas de soportes a las decisiones (SDD) y los sistemas de información para la administración (SIA-MIS) sirven a nivel de administración. Los sistemas de soporte gerencial (SSG) sirven a nivel estratégico de la institución.

 

SISTEMA

SIMPLE

COMPLEJO

EXTREMADAMENTE COMPLEJO

 

 

 

DETERMINISTA

Balines de acero en una pista

 

 

Computadora

 

 

 

No hay

clasificación

Línea de ensamblaje de producción

Bodega automatizada

PROBABILISTA

Lanzar una moneda al aire

Pequeña Corporación

Gran Corporación

Sistema de control de calidad

Sistema de Inventario

Economía nacional

Tabla de Clasificación de sistema.

Descripción De Los Sistemas Vocabulario Y Símbolo

Los sistemas pueden ser descritos usando un vocabulario especial y un conjunto especifico de símbolos gráficos.

Racionalización De Los Procedimientos

Es la modernalización de los procedimientos normales de operaciones para maximizar las ventajas de la computación y hacer más eficiente a los sistemas de información. Muchos de los avances en el procedimiento de la información de la década pasada son el resultado de un diseño de sistema innovador y poderoso y de la racionalización de los procedimientos, y no únicamente de una mejor tecnología.

Símbolos Empleados Para Describir Los Sistemas De Información
Si un sistema de información se representa gráficamente, a menudo es más fácil entender como trabaja. Para ayudar a interpretar las funciones y el diseño de los sistemas, en esta sección se presenta algunos de los símbolos más comunes para representar a los sistemas de información. Cincos clases de símbolos son importantes para la mayoría de las descripciones de sistema:

·                     Alimentación: Entrada por teclado y dispositivo de digitalización.

·                     Procesamiento: Computadora.

·                     Almacenamiento: Cinta magnética, almacenamiento en línea, base de dato, disco óptico.

·                     Telecomunicaciones: Enlace como cable, línea telefónica o transmisión inalámbrica.

·                     Salida: pantalla en línea, documento, impresora.

 

UNIDAD 3

 

Identificación de  la Organización a Automatizar

 

Principales retos para el administrador

Uno de los principales retos para el administrador es el realinear los sistemas de información con los de la

organización ya que algunos departamentos aún se encuentran resagados.

De acuerdo a nuestra investigación y nuestros conocimientos la alta administración necesita un sistema

especializado para la toma de decisiones ya que no cuenta con uno, sin embargo en el nivel operativo se

encuentra a la vanguardia ya que utiliza las versiones más actualizadas del software de Microsoft.

Otro objetivo del CIO es establecer relaciones con empresas para el desarrollo de mejores y más ocmpletas

aplicaciones. Actualmente Antar Soluciones, S.A. de C.V. basa su éxito en ser una compañía integradora de

soluciones. Para lograrlo mantiene alianzas estratégicas con un grupo de compañías, a las cuales denomina

asociadas.


UNIDAD 4

 

Determinación de  Requerimientos de Información

 

ADQUISICIÓN DE RECURSOS COMPUTACIUONALES

Agencia Aduanal Daw Vidal

Para nuestra séptima entrega final nuestro equipo entrevisto al Lic. Salvador Daw Vidal, quien es el Director y uno de los accionistas de la empresa. La empresa Daw Vidal cuenta con sucursales en San Nicolás de los Garza, N.L., Nuevo Laredo y Laredo Texas.

La Agencia cuenta con una gerencia de sistemas, la cual se encarga de la estandarización e integración de los sistemas operativos y de información. Estos sistemas son desarrollados por ellos mismos, aunque algunos son comprados e integrados a los existentes.

La empresa cuenta con tecnología avanzada, ya que cuenta con una amplia red que comunica sus distintas oficinas, así como la comunicación entre sus oficinas de Laredo y Nuevo Laredo vía antenas, que ayudan a tener la información de los embarques siempre actualizada.

Determinación de los requerimientos El análisis de requerimientos se basa principalmente por la necesidad o presión de los usuarios, así como por los requerimientos de los nuevos sistemas que se utilizan. Por ejemplo el nuevo sistema aduanal utiliza como medio Internet, así que fue necesario la compra de equipo y actualización de los sistemas operativos.

Una vez que se tiene conocimiento de los requerimientos de computo se procede a generar una lista de las necesidades de cada usuario y las características de su equipo actual o del nuevo sistema que se utilizará. Una vez que se tiene esto se analiza si realmente es necesario el equipo y se hace una entrevista con aquellas

personas que mandaron su solicitud.

El software y hardware que se adquiere debe de cumplir con los estándares y políticas de la empresa, tratando que este sea compatible con el actual para lograr una integración entre ellos.

Evaluación y Adquisición

Hace varios años se hacía una evaluación de distintos proveedores comparando los servicios que ofrecía, el tiempo de entrega y principalmente el precio. Del resultado de ésta evaluación se requerían los servicios del proveedor seleccionado. Actualmente se tiene ya un proveedor establecido el cual ha estado trabajando con la empresa durante los últimos 2 años, Computadoras Líderes S.A. de C.V., en caso de que este proveedor no cuente con alguno de los productos demandados se busca otro proveedor que pueda satisfacer sus necesidades.

Esta evaluación se realiza por el gerente de sistemas y el gerente de finanzas y es aprobada por el director general. La adquisición del equipo la realiza el área de compras de la empresa. No existe algún procedimiento formal para la compra de este equipo y la negociación es realizada por el mismo gerente de sistemas.

Como mencionamos anteriormente, el proveedor casi siempre es el mismo, en dado caso de que se tuviera que recurrir a otro, la decisión de compra se toma basándose en el precio, soporte y cualquier beneficio extra que el proveedor pudiera otorgar. Los requerimientos se le hacen llegar por escrito al proveedor y éste manda una

cotización firmada, la cual es revisada y aprobada por el gerente de sistemas quien trabaja en conjunto con el contador de la empresa. En la cotización se detallan tanto las características del equipo, como las fechas de entrega del mismo y las respectivas garantías.

Financiamiento

Anteriormente la forma de financiamiento del equipo era realizada mediante la compra del mismo, pero ahora la misma empresa creó una arrendadora con la cual realiza la compra del equipo para posteriormente arrendárselo a la agencia aduanal. De esta forma tiene ahorros fiscales y ganancias por medio de la arrendadora, siendo una buen estrategia, ya que además de adquirir equipo de computo también compra camiones y maquinaria necesaria para la operación de la Agencia Aduanal.

Conclusiones

Creemos que el método que utiliza esta empresa para la compra de hardware y software es adecuado, pero el estar trabajando con un solo proveedor descarta la opción de un mejor servicio o mejores precios. En cuanto al financiamiento cuentan con una muy buena estrategia, ya que con la creación de la arrendadora cuenta con

ahorros fiscales y ganancias en la compra de su equipo.

Con respecto a la compra de equipo creemos que es necesario que se tenga un método formal para respaldar la negociación y evitar el incumplimiento del contrato, y a sea en cuanto a producto o servicios ofrecidos, como garantía y soporte técnico. También consideramos necesario que los contratos de compra se lleven a cabo con

asesoría legal para abarcar todos los puntos y cláusulas importantes para el cumplimiento del pedido.

USUARIO FINAL

Introducción

Propié es una empresa que se fundó hace más de 20 años y se dedica a la fabricación de Calzado de Seguridad, y abastece la demanda de las principales industrias nacionales, así como el mercado de exportación, cuenta con sucursales en Monterrey, México, Tijuana, Cd.Juarez y Guadalajara.

El Calzado es fabricado con los sistemas de calidad más estrictos tanto en sus materias primas como en sus procesos, contando con certificación de la Norma Oficial Mexicana NOM-113-STPS19 y la Canadá Standard Association CSA Z195 M92.

Para este trabajo de investigación entrevistamos al Ing. Francisco Estrada, quien es el director del área de informática de la empresa desde hace cuatro años.

Evolución, Participación Y Niveles De Servicio Actualmente las necesidades de los usuarios han aumentado y cada vez se vuelven más complejas, por lo cual éste no tiene tiempo para esperar a que se haga una desarrollo que, además de cumplir con los estándares de la empresa, satisfaga todas sus necesidades.

 Otro factor es que los usuarios finales, son cada vez más técnicamente instruidos, al final esto produce que ellos mismos generen sus propias herramientas.

En general los usuarios finales hacen sistemas que ayuden a la operación diaria de la empresa (controles de inventario en hojas de cálculo, bases de datos de clientes y proveedores, sistemas gerenciales para la toma de decisiones). Existen usuarios remotos y locales.

Los servicios que el departamento de sistemas le da a los usuarios finales son:

Desarrollo de sistemas: el cual incluye desde el análisis de las necesidades de usuario, hasta la programación, pruebas e implantación.

·

Capacitación: Que es enseñar al usuario como se usan los sistemas desarrollados y cualquier otra

adquisición que se haga

·

Soporte técnico: Que es la corrección de fallas en el equipo y/o sistemas ·

Operación de los sistemas: Que es la función diaria de los sistemas en la empresa como por ejemplo el respaldo de una base de datos después de hacer un corte.

·

Generalmente a Capacitación se le dedica un 30% del tiempo total de un empleado del departamento de sistemas, a Soporte Técnico un 20%, a Desarrollo aproximadamente un 40% y a Operación el 10% restante.

Las necesidades de los usuarios finales son las directrices para la toma de decisiones en el área de sistemas, por ejemplo, si los usuarios están gastando mucho tiempo en determinar o en clasificar a los clientes, el próximo desarrollo a hacerse sería un complemento al sistema existente, que realizara esa tarea por ellos.

Esfuerzos Dedicados Actualmente el usuario final tiene la capacidad de evaluar los sistemas y dar a conocer sus necesidades por medio de una entrevista escrita impuesta por el departamento de sistemas que se realiza cada 4 meses o

cuando se lanza un sistema nuevo o una nueva versión del mismo.

También se cuenta con el Soporte técnico el cual se encarga de atender a los usuarios dando mantenimiento y reparando los sistemas y equipos en horarios de oficina ya sea a los usuarios locales y viajando para proveer de ayuda a los usuarios remotos.

Los problemas que se han presentado son el no tener un sistema de respaldo apropiado para cuando falla un canal de comunicación como por ejemplo cuando se cae la red y no se pueden surtir pedidos inmediatamente en línea sino que se tiene que esperar a recibir un fax y confirmar la recepción del pedido.

Los factores críticos de éxito en esta empreza son la respuesta rápida a las demandas del usuario, eficiencia y eficacia operativa, un excelente análisis de requerimientos y factibilidad técnica.

Experiencias y Tendencias

La resistencia al cambio puede llegar a ser contraproducente y afectar negativamente a los desarrollos,

muchos empleados aún y cuando son provistos de todas las herramientas necesarias, no incorporan a su trabajo cotidiano, los

sistemas que inclusive ellos mismos ayudaron a diseñar, por lo cual antes de emprender cualquier desarrollo de sistemas es necesario no sólo involucrar al usuario en el proceso de análisis sino también la evolución del mismo.

La tendencia a futuro es que cada quien haga sus propios desarrollos para realizar el trabajo cotidiano y solo presente ciertos datos en un formato estándar para alimentar los sistemas de información de los ejecutivos lo cual da un mayor empowerment al empleado y hace menos complicada la labor del departamento de sistemas.

Otra de las tendencias a futuro es hacia un computo distribuido en el cual la mayoría del proceso se realice en los puntos terminales de trabajo y solo se centralize información pre-procesada simplificando las tareas de la alta administración.

Conclusión

Después de haber realizado esta entrevista concluimos que el usuario final es la base clave para que los sistemas que se desean implementar en la empresa funcionen, ya que al final de cuentas ellos son los que los utilizan, no solo se necesita una adecuada metodología para detectar sus necesidades, sino también su cooperación para hacer que la implantación exitosa y que la cultura de trabajo acepte y adopte estas nuevas tecnologías.

En cuanto al cómputo de usuario final, nosotros creemos que no es suficiente que el usuario provea de datos bajo un cierto formato a los sistemas empresariales, ya que esto causaría graves problemas al momento que dicho empleado se fuera de la empresa, es por esto que es necesario que exista una adecuada documentación y

lineamientos a seguir para la creación de dichos sistemas.


Unidad V

 

Configuración Ideal

 

El proceso de planeación de sistemas se asegura de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.

Los sistemas se evaluan de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones o mejoras (área de continuidad operativa), instalación. Y se vuelve nuevamente al

ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio, esto se realiza en la propuesta. Se especifica cual va a ser el costo, y este se compara con los costos actuales de mod que el cliente conozca cuanto va a ahorrar o

como va a mejorar su administración. En caso de ser recomendable, se procede a elaborarlo. Se puede dar el caso en el que el cliente, solicita aplicaciones que CEMTEC, considera no le ayudarían , por lo cual se le explica a base de fundamentos ya sea en cuanto a costo o mejora admnistrativa.

En la propuesta se realiza el análisis y diseño, además se proporciona el costo de los diferentes sistemas a realizar. Esta fase de análisis nos sirve para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización

de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.

En el caso de sistemas que estén funcionando, se deberá comparar. Por ejemplo en un sistema en donde en la propuesta se señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Además de verificar que el cliente en realidad haga un uso adecuado del sistema.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación. Estos se estiman en base a períodos de tiempo como las horas de trabajo o desempeño.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, lareducción del tiempo de proceso de un sistema. Mayor  exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

Retroalimentación - Conflictos

Las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis, están documentadas y

todos los empleados deben de seguir los lineamientos que se marcan en cuanto a equipo, disciplina de trabajo, evaluación del desempeño, etc. En caso de violar alguna de ellas, se sanciona en el desempeño. El desempeño del empleado de sistemas se encuentra evaluado por el jefe en curso, además de por el cliente. En caso de

existir conflicto entre el empleado y el cliente, este podrá evaluar el desempeño negativamente, sin embargo el empleado puede explicar a su jefe el porque de tal situación para mejorar su desempeño. Cuando se presenta algún conflicto, el papel del personal de sistemas que acude directamente con el cliente, es el de tratar de

hacer entender al cliente el porque de determinada opinión.

Otro conflicto, o situación que se presenta, es el hecho de que el presupuesto asignado para cierto proyecto se estime muy alto en cuanto a costos se refiere, por lo que se procede a analizar la documentación previamente hecha y a explicar al cliente el porque de tal situación. En caso de que el cliente solicite algo que el personal de sistemas conoce no es de ayuda para el cliente, y que le ocasionaría grandes costos, se le brinda un presupuesto al cliente y se le explica el porque no es conveniente su realización.

Una vez que se ha terminado el desarrollo de proyecto, en caso de que este tenga errores, el mismo personal que lo desarrollo, es quien corrige. Si el trabajo realizado funciona del modo establecido, entonces las posibles mejoras o módulos que se quieran agregar al sistema, corresponden al área de mejoras y continuidad operativa.

Con la información obtenida del cliente, podemos contestar a las siguientes preguntas:

¿Se está ejecutando en forma correcta y eficiente el proceso de información?

¿Puede ser simplificado para mejorar su aprovechamiento?

¿Se debe tener una mayor interacción con otros sistemas?

¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?

¿Está en el análisis la documentación adecuada?

Metodología

CEMTEC utiliza una metodología híbrida propia de ella, que tiene una combinación de metodología estructurada y de prototipeo. Esta metodología es de importancia, ya que en ella se soportan los resultados, su evaluación. Como es de esperar, la metodología además de los lineamientos de la empresa, estandarizan todas

las áreas de CEMTEC para la realización de sistemas y herramientas.

Evaluación Del Desarrollo Del Sistema En esta etapa del sistema se considera su diseño, el lenguaje utilizado, interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema. Se tiene presente que

todo sistema debe proporcionar información para planear, organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma más económica posible. De ese modo contará con los mejores elementos para una adecuada toma de decisiones.

Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la información entre nodos. El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, los tipos de mensajes requeridos, el tráfico esperado en las líneas de comunicación y otros factores que afectan el diseño.

Es importante considerar las variables que afectan a un sistema: ubicación en los niveles de la organización, el tamaño y los recursos que utiliza.

Control De Proyectos

Debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase o bien que se presenten irregularidades.

 


UNIDAD 6

 

CUESTIONARIO A PROVEEDORES

 

1.- Identificación de la empresa proveedora.

Nombre:...................................................................................................................................
N.I.F.:...................................................................
El presente cuestionario ha sido cumplimentado día..................................Por:
Apellidos:.................................................................................................................................
Nombre:...................................................................................................................................
Departamento:........................................................................................................................
Teléfono:......................................................................Fax...........................................
Dirección:......................................................................................................................


Firma,
Dirección de la Empresa.

Calle..............................................................................nº.........................
Población...............................................Código Postal:...........................
Provincia.......................................................País.....................................
Teléfono:.......................................................Fax:.....................................


¿Está integrada la empresa en un grupo? Si.......... No.........
¿Cuál?........................................................................................................................................
¿Dispone de filiales? Si........... No..............
(en caso afirmativo indicar sus nombres, direcciones y porcentaje de capital invertido)
...................................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................
¿Es centro especial de Empleo de acuerdo al Real Decreto 2273/1985 de 4 de diciembre? ...................................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................
Representaciones en el extranjero:............................................................................................
...................................................................................................................................................
...................................................................................................................................................
¿Acuerdos con otras firmas? ¿Cuales?......................................................................................
...................................................................................................................................................
...................................................................................................................................................
Accionistas de la empresa:........................................................................................................
...................................................................................................................................................
...................................................................................................................................................
Modificaciones previstas de los estatutos jurídicos o de su afiliación (por ejemplo proyectos de fusión, cambios de accionistas, etc.)....................................................................................
..................................................................................................................................................
Capital social:............................................................................................................................
VOLUMEN DE VENTAS ANUAL:........................................................................................

Volumen de ventas anual a nivel nacional, en los tres últimos ejercicios:

Año:....................Ventas............................................................................
Año:....................Ventas............................................................................
Año:.................... Ventas...........................................................................

Volumen de ventas anual de exportación, en los tres últimos ejercicios:

Año:......................Ventas..........................................................................
Año:......................Ventas..........................................................................
Año:......................Ventas..........................................................................

Porcentaje del volumen de ventas:
- En el sector de la actividad nuestra:.........................................................
- En otros sectores:.....................................................................................

Fecha de fundación de la empresa..............................................................

SITUACIÓN EN EL MERCADO:
- Fabricante........................................................ ________
- Fabricante y distribuidor:................................. ________
- Distribuidor únicamente................................... ________
- Representación y distribución en exclusiva...... ________
- Reenvasador:..................................................... ________
- Comercio:.......................................................... ________
- Otros (especificar)............................................. ________
...................................................................................................................................................
...................................................................................................................................................

PERSONAL DE LA EMPRESA: ............................. nº
De los cuales ............................. Directivos
............................. Administrativos y Técnicos
..............................Empleados y obreros.


2.- Identificación de las actividades.

2.1.- Las actividades.

Actividad principal:...................................................................................................................
………………………………………………………………………………………………..
………………………………………………………………………………………………..


Principales sectores de actividad durante los tres últimos ejercicios.
(ejemplo: hostelería, textil, papelero, alimentario, químico, etc.)
(expresar el volumen de ventas nacional y de exportación por sectores).

Sector actividad Ventas nacional Ventas exportación
.................................................. ................................... ...............................
.................................................. ................................... ...............................
.................................................. ................................... ...............................
.................................................. ................................... ...............................
.................................................. ................................... ................................

Principales referencias correspondientes a los dos últimos ejercicios:

¿Estamos autorizados a solicitar referencias a sus principales clientes? Si........ No.......

(Añadir 6 referencias de los principales clientes, indicando teléfono y persona de contacto)

Empresas del sector público:.....................................................................................................

Empresas del sector privado......................................................................................................

Grandes empresas......................................................................................................................

PYMES:....................................................................................................................................

Principales productos/servicios de su empresa.
Describir someramente el conjunto de productos/servicios de su empresa. Indicar, si es posible, el volumen que puede estar disponible en stock..........................................................
...................................................................................................................................................
...................................................................................................................................................

2.2.- Naturaleza de las actividades.

¿Realiza su empresa todas las actividades necesarias para elaborar el producto o servicio considerado?...................................

¿Subcontrata Vd. al menos una parte de las actividades mencionadas?........................
¿En qué empresa(s) se desarrolla esta subcontratación?...........................................................
...................................................................................................................................................
...................................................................................................................................................

3.- El producto.
¿El producto(s) está(n) incluido(s) en catálogo? Si..........No...........
(Especificar brevemente los tipos de producto considerados)
...................................................................................................................................................
...................................................................................................................................................
¿Cuántos años hace que el producto(s) considerado(s) se fabrica?......................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................

¿Cuál es la cobertura de la producción por los stocks (en días)?..............................................
...................................................................................................................................................
...................................................................................................................................................

¿Cuál es la duración de la disponibilidad de las piezas de recambio para el producto(s)?.......
...................................................................................................................................................

¿El producto(s) solicitado(s) es conceptuado en su empresa como:

- Inhabitual ________
- Especial ________
- Normal ________
- Standard ________
- En stock ________

Se construye el proveedor los:

- Moldes Si_____ No_____
- Matrices Si_____ No_____
- Útiles Si_____ No_____
- Equipos Si_____ No_____

¿Quién los construye?
...................................................................................................................................................
...................................................................................................................................................

El riesgo de la responsabilidad de la fabricación del producto ¿está cubierto por una compañía de seguros? Si...........No.........

Detallar la compañía aseguradora y el volumen de riesgo........................................................


Lista de proveedores: tipo y origen de las materias primas principales.
...................................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................


4.- Medios de producción.

El presente apartado será cumplimentado únicamente por empresas constituidas como S.L., A.T.E. o S.A. sin obligación de auditarse; en el caso de que la empresa esté constituida como una S.A. y esté obligada a auditarse, sustituirá la cumplimentación de este apartado por la presentación de los informes de auditoría de los dos últimos ejercicios.

La empresa es propietaria:

- Del suelo Si..........No.........
- De los edificios Si.........No.........

Instalaciones de que dispone:

- Fábrica _______
- Oficinas _______
- Almacén central _______
- Almacén distribuidor _______
- Otras (especificar) _______

Superficie ocupada por la empresa que es objeto de este estudio:

- Total................................ m2
- Edificado......................... m2
El total edificado se distribuye en:
- Oficinas........................... m2
- Almacenes....................... m2
- Talleres............................ m2
- Otros................................ m2

5.- Gestión y aseguramiento de la calidad.

¿Tienen Vds. implantados sistemas de calidad provistos de normas y reglamentos escritos?
Si.......... No..........

¿Dispone de un manual de calidad que describa las disposiciones relativas a la gestión o al aseguramiento de la calidad?
Si.......... No..........

Disponen Vds. de disposiciones de aseguramiento de la calidad que respondan a las exigencias de:
- ISO 9001 (UNE 66-901) Si____ No____
- ISO 9002 (UNE 66-902) Si____ No____
- ISO 9003 (UNE 66-903) Si____ No____
- ISO 9004 (UNE 66-904) Si____ No____


Auditorias de calidad realizadas por los clientes.
Indicar la lista de los principales clientes que han realizado auditorias de calidad formales en su empresa y precisar sobre qué normas han sido realizadas...............................................
...................................................................................................................................................
...................................................................................................................................................

¿Un auditor de calidad de nuestra empresa, podría tener acceso a los diferentes locales de su empresa para realizar su misión? Si.____ No____

Calificaciones y certificaciones (nacionales o internacionales).
(Añada una fotocopia de los certificados obtenidos)

Del sistema de la calidad:
- Por organismo o institución independiente.............................................................................
...................................................................................................................................................
...................................................................................................................................................
- Por los principales clientes (precisar).....................................................................................
...................................................................................................................................................
...................................................................................................................................................

¿Dispone de patentes o licencias? Si_____ No____

En caso afirmativo ¿Cuáles?.....................................................................................................
...................................................................................................................................................
...................................................................................................................................................

6.- Organización comercial.

Banco donde se efectuarían nuestras transferencias:
Banco:............................................ Agencia...................................................................................................
Dirección.........................
Provincia........................................ Ciudad.....................................................................................................
Cuente corriente..............

La organización comercial está compuesta de:

- Comerciales ______
- Técnico comerciales ______
- Exclusivistas ______
- Distribuidores ______
- Concesionarios ______
- Otros (especificar) ______
...................................................................................................................................................
...................................................................................................................................................
¿Cual es su reacción frente a un probable retraso en la entrega debido a un hecho imprevisible (incidente de producción, huelga del proveedor o del transporte, etc).............................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................

¿Los materiales se entregan acompañados de instrucciones generales y de esquemas (montaje, explotación, mantenimiento, etc)?
Si____ No____

¿Estas instrucciones están siempre redactadas en el idioma del país en que será utilizados los productos o materiales?.................................. Si____ No____

Si se producen problemas sobre el material después de su entrega, ¿qué garantías existen sobre el mismo?
(Especificar):.............................................................................................................................
...................................................................................................................................................
...................................................................................................................................................

¿Quién es el responsable de analizar las quejas de los clientes?...............................................
...................................................................................................................................................
...................................................................................................................................................

El servicio técnico post-venta es:
- Propio _____
- Subcontratado _____
- No proporciona _____
- No procede _____
¿Dispone de fórmulas de revisión de precios para suministros regulares? ¿Cuáles? ¿Sobre qué índices se construyen estas fórmulas?................................................................................
...................................................................................................................................................
...................................................................................................................................................

7.- Maquinaria:

Especificar los soportes técnicos de interés de que dispongan para su producción, con respecto a nuestra actividad.
...................................................................................................................................................
...................................................................................................................................................
...................................................................................................................................................

EL PRESENTE CUESTIONARIO DEBERÁ CUMPLIMENTARSE EN LA TOTALIDAD DE LAS PREGUNTAS QUE AFECTEN A LA NATURALEZA DE LA EMPRESA PROVEEDORA.


Dicho cuestionario deberá acompañarse del certificado del Ministerio de Economía y Hacienda de estar la empresa proveedora al corriente de sus obligaciones tributarias, así como de la Seguridad Social.

 

EMPRESA PROVEEDORA.                                                                          RESPONSABLE DE EVALUACIÓN.


UNIDAD 7

 

ESTUDIO DE VIABILIDAD PARA ADQUIRIR UN EQUIPO DE COMPUTO

 

Actualizar una computadora

 

Puede actualizar una computadora para mejorar su desempeño. Generalmente la actualización implica reemplazar un componente viejo u obsoleto por uno más nuevo con el fin de mejorar la eficiencia de la computadora, También puede agregar un componente, como una unidad de cinta o DVD-RW para aumentar sus capacidades.

 

Consideraciones:

 

Costo:

 

Considere siempre el costo de una actualización antes de llevarla a cabo. Si está planeando una actualización importante, como reemplazar la placa madre o la CPU, podría ser mejor comprar una nueva computadora.

 

Actualizaciones efectivas:

 

Aumentar la cantidad de memoria en una computadora es unas de las actualizaciones más efectivas que puede realizar. La mayoría debería tener al menos 128 MB de memoria.

 

Metodología para evaluar propuestas de proveedores

 

Adquirir una computadora

 

Existen muchos factores que debe considerar cuando adquiera una computadora

 

Consideraciones:

 

Costo:

 

El costo de una computadora depende de sus necesidades. Puede adquirir una básica para el hogar, por menos de 1000 dólares. Si desea una capaz de realizar tareas complejas, como correr aplicaciones de multimedia, programas de diseño gráfico, o juegos tridimensionales, necesitará invertir más dinero.

 

Computadoras de marca y clones:

 

Cuando adquiera una computadora puede escoger entre una marca y un clon. Las primeras están hechas por grandes fabricantes, como IBM o Dell. Las segundas están hechas por fabricantes independientes y funcionan exactamente igual, la garantía y los servicios de mantenimiento son más limitados.

Servicio Post-Venta:

 

Debe asegurarse que la computadora que adquirió cuenta con el servicio post-venta. Éste debe incluir una garantía de uno o dos años sobre las partes de la máquina y la mano de obra, así como soporte técnico por teléfono.

 

Pruebas de campo:

 

    Si va a comprar una PC en una tienda, pruébela antes de comprarla. Use primero el teclado, el ratón y examina la claridad de las imágenes del monitor

    Pida, si es posible, que ejecuten un juego en la PC. Esto le servirá para evaluar la calidad del sonido y los gráficos y le dará pistas acerca del desempeño general de la PC. Si le interesa el sonido, reproduzca alguno de los archivos MIDI que están en la carpeta Media, anidada dentro de la carpeta Windows

    No se deje tentar por las ofertas de enormes paquetes de software gratuito que jamás utilizará

 

Monitor:

 

    Con los monitores, examine con atención que la imagen no parpadee. Asegúrese de que las letras pequeñas, como las que se usan en los iconos, sean definidas y legibles y que los botones disponibles corrijan el contraste, la brillantez y la posición de la pantalla.

 

Teclado y ratón:

 

    No olvide revisar también el teclado y el ratón. Siéntese y trate de escribir algo. Mientras lo hace, observe si le agrada su funcionamiento. ¿Ve con claridad los signos de las teclas? ¿Le ajusta bien el ratón bajo la palma de la mano? ¿Puede hacer doble clic sin problema?


UNIDAD 9

 

Integración

 

Integrar, es obtener y articular los elementos materiales y humanos que la organización y la planeación señalan como necesarios para el adecuado funcionamiento de una organización social. Agustín Reyes Ponce.

 

Es la función administrativa que se ocupa de dotar de personal a la estructura de la organización, a través de una adecuada y efectiva selección de personas que han de ocupar los puestos dentro de la estructura. Koontz y O’Donnell.

 

Función a través de la cual el administrador elige y se allega de los recursos necesarios para poner en marcha las decisiones previamente establecidas para ejecutar los planes, comprende los recursos materiales y humanos. Munch Galindo.

 

Entendemos por integración, el seleccionar al personal competente para los puestos de la organización; es reunir todos los elementos materiales, económicos, técnicos y humanos necesarios para alcanzar los objetivos, y como de éstos cuatro elementos el más variable, cambiante y difícil de controlar es el ser humano; es importante hacer hincapié en; la selección del personal, adiestramiento y desarrollo del personal, así como la auto motivación para el logro de metas cada vez más altas. Fernández Arenas A.

 

Principios

 

1. El hombre adecuado para el puesto adecuado. Los hombres deben poseer las características que la empresa establezca para desempeñar un puesto. Los recursos humanos deben adaptarse a las características de la organización y no ésta a los recursos humanos. Puede ocurrir que en los altos niveles administrativos y directivos si exista cierta adaptación de la función al hombre, pero en términos generales tratándose de los niveles medios e inferiores, es lógico que el hombre se adapte a la función.

 

2. Provisión de elementos necesarios. La dirección debe estar consciente de los elementos que los puestos requieren para la eficiente realización de su trabajo, debe dotarse a cada miembro de la organización, de los elementos administrativos necesarios para hacer frente en forma eficiente a las obligaciones del puesto.

 

3. La importancia de la introducción adecuada. El momento en que el elemento humano ingresa a la empresa es trascendental, pues de él dependerán su adaptación al ambiente de la empresa, su desenvolvimiento, su desarrollo y su eficiencia dentro de la misma.

 

Técnicas de Integración de Recursos Humanos

 

La integración hace de personas externas a la empresa, miembros debidamente articulados en su jerarquía, para ello se requieren de cinco pasos, que son:

1. Reclutamiento. Tiene por objeto hacer de las personas ajenas a la empresa, candidatos a ocupar un puesto en ella.

 

2. Selección. Tiene por objeto escoger entre los distintos candidatos, aquellos que para cada puesto concreto sean los más aptos.

 

3. Introducción. Tiene por finalidad, articular y armonizar al nuevo elemento al grupo social del que formará parte, en la forma más rápida y adecuada.

 

4. Entrenamiento. Es la enseñanza teórica-practica que se le da al trabajador en su puesto.

 

5. Desarrollo. Busca desenvolver las cualidades innatas que cada persona tiene, para obtener su máxima realización posible.

 

Reclutamiento

 

Deben distinguirse dos aspectos, las fuentes de reclutamiento y los medios de reclutamiento.

 

Fuentes de reclutamiento:

 

a) Escuelas. (de educación superior, técnicas, comerciales)

b) Bolsa de trabajo. (otras empresas, archivo de personal)

c) Sindicatos. (provee todo el personal sindicalizado)

d) Agencias de colocaciones. (onerosas o gratuitas)

e) Personal recomendado. (por los propios trabajadores)

f) La puerta de la calle. (Personal atraído por la fama de la empresa)

 

Medios de reclutamiento:

 

Los medios de reclutamiento pueden quitar o dar valor al personal que proporciona una fuente determinada.

 

a) Una requisición adecuada al sindicato puede hacer que no se produzcan malos efectos por la cláusula de admisión en un contrato colectivo, y convertir al sindicato, muchas veces juzgado como una mala fuente de abastecimiento, en una muy buena.

 

b) La solicitud escrita puede hacer que, al pedir personal a otras empresas del que ellas no requieran, o bien a nuestros actuales trabajadores, obtengamos buenos resultados.

 

c) El empleo de prensa, radio, televisión, etc., para solicitar trabajadores, ha demostrado ser el medio adecuado por la penetración masiva que tiene, aunque los costos pueden ser altos dependiendo del medio utilizado.

 

 

Selección

 

Aunque los medios usados y el orden en que se emplean suelen variar mucho, para acomodarse a las necesidades y condiciones de cada empresa, lo más usual es:

 

a) Hoja de solicitud.- Suele servir como base, no solo para realizar toda la selección, sino también para encabezar todo el expediente del personal. Aunque el contenido es muy variable, comprende: generales del solicitante, datos sobre trabajos anteriores, datos sobre conocimientos adquiridos, y datos generales.

 

b) Entrevista.- Suele ser un instrumento muy valioso para seleccionar personal, complementa y aclara los datos de la hoja de solicitud y permite obtener más vivamente informes sobre motivación del solicitante.

 

El entrevistador deberá tener formulado un cuadro de preguntas, estar preparado para conducir la entrevista en un ambiente de confianza y amistad que facilite las respuestas, y tomar notas de sus observaciones.

 

c)    Pruebas psicotécnicas y/o prácticas. Las pruebas prácticas son siempre de capacidad, mientras que las psicotécnicas podemos mencionar que son de inteligencia, memoria, imaginación, etc.

 

d) Encuestas. Estas tienen por objeto comprobar antecedentes de trabajo, escolares, penales y sociales, que pudieran haberse obtenido en las etapas anteriores.

 

e) Examen médico. Suele dejarse al final del proceso, porque bien realizado es costoso; comprende la historia clínica del solicitante, examen físico, pruebas de laboratorio, etc.

 

 

Introducción

 

En la introducción tenemos los siguientes tipos:

 

a) La introducción general a la empresa. Suele llevarse a cabo en el departamento de personal, en él se hace firmar al solicitante el contrato de trabajo respectivo, se hacen las anotaciones necesarias en los registros, se toma su filiación, etc., se le da la bienvenida entregándole el manual del empleado donde se encuentran resumidas las políticas de la empresa en materia de personal, historia de la organización, quienes la integran, qué produce, cuál es su organización, etc.

 

Suele terminarse con un recorrido por la planta, presentación personal con los principales jefes que ha de tratar y finalmente con su jefe inmediato.

 

b) En su departamento o sección. Se hará la explicación detallada de su trabajo a base de la descripción de puestos correspondiente, y la presentación a sus compañeros de trabajo, se le hará recorrer los sitios en que habrá de aprovisionarse de materia, entregar los productos terminados, rendir informes, cobrar su sueldo, etc.

 

Entrenamiento:

 

       El programa de entrenamiento persigue el objetivo de asegurar que el personal este adecuadamente entrenado y contribuye no solamente a incrementar la cantidad y calidad de la producción, sino también la seguridad, la satisfacción en el trabajo y el ajuste personal de los empleados.

 

El propósito principal del entrenamiento en el trabajo al iniciar el empleo de un individuo, es llevar sus conocimientos y sus habilidades hasta un nivel satisfactorio. Conforme el empleado continua desempeñando el trabajo debe usarse el entrenamiento para proporcionarle información adicional y darle oportunidades para adquirir nuevas habilidades, como resultado del entrenamiento podrá desempeñarse mejor en su trabajo actual y podrá calificar para trabajos en un nivel superior.

 

 

El entrenamiento podrá realizarse en:

 

-     Las oficinas principales.

-     Las sucursales.

-     Las instituciones dedicadas a ofrecer cursos de adiestramiento.

-     Los despachos profesionales.

-     Visitando otras empresas.

 

El entrenamiento se necesita cuando el trabajador es nuevo aún cuando posea capacidad para el puesto; por cambio de puesto, ya sea para cubrir una vacante o por ascenso; por cambio de sistema, maquinaria, métodos de trabajo, o simplificación de éste; o para corregir defectos por fallas de la supervisión.

 

Desarrollo de recursos humanos

 

Todo elemento que ingresa a una empresa necesita recibir un desarrollo de las aptitudes y capacidades que posea, éste desarrollo es perpetuo, pero se hace más necesario tratándose de trabajadores de nuevo ingreso.

 

 

El desarrollo de quienes ingresan a una empresa suele dividirse en:

 

-     Capacitación de obreros y empleados.

-     Capacitación de supervisores.

-     Desarrollo de ejecutivos.

 

Todo supervisor requiere de dos capacitaciones diversas: la que necesita como técnico que va a dirigir un sistema especial de producción, ventas, servicios, etc.; y la que requiere para dirigir personal como jefe.

 

El desarrollo de ejecutivos supone tres aspectos:

 

a) Capacitación. Supone dar al candidato elegido la preparación teórica que requerirá para llenar su puesto futuro con toda eficiencia, los medios usuales suelen ser:

 

-     Cursos formales dentro y fuera de la empresa.

-     Becas

- Folletos, bibliotecas.

 

b) Adiestramiento. Se trata de dar, ya no los conocimientos teóricos, sino la práctica que es indispensable para que los primeros sean útiles, mediante:

 

 

-     Rotación planeada.

-     Estudio de casos.

-     Encomienda especial de problemas.

 

c) Formación. Se le da una formación personal por parte de los ejecutivos actuales para que vaya creando progresivamente el status que le de sentimiento de adhesión a la empresa hasta hacer de él un buen ejecutivo.

 

 

 

 


UNIDAD 10

 

ADMINISTRACIÓN DE LA UNIDAD INFORMÁTICA

 

OBJETIVO

Conocer los principales criterios para la organización y administración de la tecnología informática en las organizaciones.

 

UNIDAD

INFORMÁTICA

 

 


            ÁREA DE                                                                                   AREA DE

       DESARROLLO                                                                            SERVICIOS

       SOFTWARE                                                                       INFORMATICOS

 

 

 

FUNCIONES DE CADA ÁREA

 

AREA DE DESARROLLO DE SISTEMAS

 

·        Analizar las necesidades de sistematización de toda la información en cuanto a su volumen e importancia.

·        Implantar nuevos sistemas de acuerdo a los estándares establecidos por la coordinación de informática de la secretaría de administración.

·        Llevar a cabo la programación de sistemas, procesos y actividades que requiera la empresa o institución.

·        Elaborar manuales de operación y guías del funcionamiento de los sistemas para los usuarios.

·        Coordinar, supervisar el análisis, diseño, desarrollo y operación de los sistemas de información.

·        Se comunica con profesionales de otras disciplinas para conocer problemas de información, entenderlos y trasladar la visión estratégica de la organización en función tecnológica.

 

ÁREA DE SERVICIOS INFORMÁTICOS

 

·        Vigilar la administración y operación de los sistemas de información, instalaciones físicas, equipos de cómputo, así como sugerir mejoras en los mismos a beneficio de la empresa.

·        Mantener actualizados los registros para la rápida consulta de información.

·        Administrar el recurso humano informático, asignando equilibradamente los compromisos de trabajo para optimizar el recurso de tiempo.

·        Elaborar estudios de factibilidad técnica y económica para la selección de equipo de cómputo.

 


UNIDAD 11

 

El proceso del Control

 

Control De Diseño De Sistemas Y Programación

El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga la suficiente información para su manejo, operación y aceptación. Las revisiones se efectúanen forma paralela desde el análisis hasta la programación  y sus objetivos son los siguientes:

ETAPA DE ANÁLISIS: Identificar inexactitudes, ambigüedades y omisiones en las especificaciones.

ETAPA DE DISEÑO: Descubrir errores, debilidades, omisiones antes de iniciar la codificación.

ETAPA DE PROGRAMACIÓN: Buscar la claridad, modularidad y verificar con base en las especificaciones.

Los pasos utilizados comúnmente en el desarrollo de un programa, son los siguientes:

Estudio de la definición ·

Discusión con el analista EQUIPO ·

Prueba de escritorio ·

Codificación ·

Compilación ·

Elaborar datos de prueba ·

Solicitar datos al analista ·

Correr programas con datos ·

Revisión de resultados ·

Corrección del programa ·

Documentar el programa ·

Someter resultados de prueba ·

Entrega del programa ·

Voz Del Cliente - Indicador De Cemtec

Su objetivo es conocer la opinión que tienen los usuarios sobre los servicios proporcionados. Las entrevistas se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo.

Desde el punto de vista del usuario los sistemas deben:

Cumplir con los requerimientos totales del usuario, cubrir todos los controles necesarios, no exceder las estimaciones del presupuesto inicial, serán fácilmente modificables.

Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicación completa entre usuarios y responsable del desarrollo del sistema. En esta misma etapa se da fe de la calidad de la información que será procesada por la computadora, estableciéndose los riesgos de la misma y la forma de minimizarlos.

.

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada, se considera lo siguiente.

Descripción de los servicios prestados. ·  Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado. ·

Reporte periódico del uso y concepto del usuario sobre el servicio. ·

Registro de los requerimientos planteados por el usuario. ·

Soporte

El soporte oportuno y eficiente en el uso de la Tecnología, es determinante para su máximo aprovechamiento.

Por ello, y con el objetivo de incrementar la productividad, fue creado el Centro de Atención CEMTEC.

Con una experiencia en el ramo del Soporte Tecnológico de más de 5 años, ha proporcionando servicios de Asesoría y Soporte Tecnológico que han llevado a Cemex a ser líder en el uso de la Tecnología.

Con un número único de contacto, ofrece a sus clientes un servicio de Help Desk que permite el máximo aprovechamiento de sus herramientas. Aunado a los servicios de Capacitación, el Centro de Atención CEMTEC proporciona a los usuarios la transparencia que requieren en el uso de sus aplicaciones.

Dentro de los servicios y ventajas que se obtienen en el Centro de Atención Cemtec se encuentran:

Asesoría telefónica en el uso del software que CEMTEC provee: Microsoft Windows, Microsoft Office, Lotus Notes, JDEdwards, Herramientas para la Coordinación de Acciones (HCA's) y todas las aplicaciones que CEMTEC desarrolla.

·

Un número único de contacto ·

Compromisos de atención definidos ·

Localización y contacto con especialistas para cada requerimiento ·

Monitoreo constante de reportes ·

Evaluación periódica del servicio y mejora continua. ·

Conclusiones

Para las organizaciones de desarrollo de software se hace cada vez más evidente la necesidad de abordar la construcción de aplicaciones de una manera sistemática, mediante el establecimiento previo de un método riguroso de trabajo que mejore la calidad de los productos obtenidos, incremente la productividad de los equipos de desarrollo y disminuya los costes de mantenimiento.

Este documento mostró la manera de como se maneja la planeación y el control de proyectos dentro de CEMTEC, así como de los recursos humanos y requerimientos que afectan estos. Pudimos comprender la importancia que representa para la empresa, el empleo de la metodología, la estandarización que se encuentra presente en la empresa.  

 

 

 


UNIDAD 12

Auditoría Informática

Introducción:

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable."

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.

Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:

·                     Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad.

·                     Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos.

·                     Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas.

Auditoría:

La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico-financiero, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.

Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

Auditoría Interna y Auditoría Externa:

La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

·                     Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.

·                     Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.

·                     Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.

·                     Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Alcance de la Auditoría Informática:

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma.

*Control de integridad de registros:

Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

*Control de validación de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Características de la Auditoría Informática:

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

·                     Síntomas de descoordinacion y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

·                     Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.

- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

·                     Síntomas de debilidades económico-financiero:

- Incremento desmesurado de costes.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

·                     Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica

- Seguridad Física

- Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

*Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

Tipos y clases de Auditorías:

El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aquí, la Auditoría Informática de Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro Areas Generales de la Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditoría Informática más importantes.

 

Areas Específicas

Areas Generales

Interna

Dirección

Usuario

Seguridad

Explotación

 

 

 

 

Desarrollo

 

 

 

 

Sistemas

 

 

 

 

Comunicaciones

 

 

 

 

Seguridad

 

 

 

 

Cada Area Especifica puede ser auditada desde los siguientes criterios generales:

·                     Desde su propio funcionamiento interno.

·                     Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.

·                     Desde la perspectiva de los usuarios, destinatarios reales de la informática.

·                     Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

Objetivo fundamental de la auditoría informática: Operatividad

La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel.

·                     Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrolla-dos por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.

·                     Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parámetros de asignación automática de espacio en disco* que dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones mencionadas.

*Parámetros de asignación automática de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.

 

 


UNIDAD 13

SEGURIDAD EN CENTROS DE CÓMPUTO

 

SELECCIÓN Y ACONDICIONAMIENTO DEL CENTRO DE CÓMPUTO

Factores que pueden influir en la determinación y acondicionamiento del lugar:

 

 

Especificaciones concretas:

 

 

 

Otros requerimientos

 

NORMAS DE SEGURIDAD

Seguridad es el conjunto de normas preventivas y operativas, con apoyo de procedimientos, programas, sistemas, y equipos de seguridad y protección, orientados a neutralizar, minimizar y controlar los efectos de actos ilícitos o situaciones de emergencia, que afecten y lesionen a las personas o los bienes de esta.

La seguridad en un centro de cómputo no solo se refiere a la protección del hardware, si no también del software. Algunas medidas de seguridad de un centro de cómputo son:

1.- impartir instrucciones a los asociados o responsables de no suministrar información.

2.- Revisar los planes de seguridad de la organización.

3.- Establecer simples y efectivos sistemas de señales.

4.- Contar con resguardo de la información que se maneja.

5.- Establecer contraseñas para proteger información confidencial y privada.

6.- Evitar introducir alimentos, tales como refrescos, para impedir que puedan derramarse sobre las maquinas.

7.- No fumar.

8.- Cada equipo de cómputo debe contar con un regulador de corriente para evitar problemas o daños en caso de falla eléctrica.

9.- Escanear un disquete antes de introducirlo a la computadora para así evitar infectarlas con algún virus.

Estas normas varían y dependen de acuerdo de la función que tenga el centro de cómputo, ya que este puede ser de una escuela o de alguna organización privada.

 

 

 

 

En los últimos años el tema de la seguridad en las redes de computadores 
se ha tornado en un asunto de primera importancia dado el incremento de 
prestaciones de las mismas, así­ como la imparable ola de ataques o 
violaciones a las barreras de acceso a los sistemas implementados en 
aquellas. Los "incidentes de seguridad" reportados continúan creciendo cada 
vez a un ritmo mas acelerado, a la par de la masificacion del Internet y 
de la complejidad del software desarrollado. Este texto pretende presentar 
brevemente algunas recomendaciones dirigidas a los administradores e 
implementadores de redes informáticas, y lo he preparado a modo de 
síntesis breve a partir de diversos materiales difuminados en Internet. No 
pretendo hacer un listado exhaustivo de las responsabilidades del 
administrador ni explicar detalles acerca de la implementación de las 
recomendaciones, aunque sugiero algunos puntos de partida para esto.
 
 
Efectuar un análisis de riesgos
 
Esto se suele mencionar en la literatura como el primer paso a realizarse 
cuando se plantea la seguridad en un sistema. La idea es muy sencilla: 
trazar todos los elementos que conforman nuestro sistema (hardware y 
software) y observar cuales involucran mas o menos riesgo. Esto 
desembocara¡ en un plan de seguridad cuyo objetivo es disminuir el riesgo 
total del sistema, que se puede modelar como la suma de los riesgos de sus 
componentes:
 
RIESGO TOTAL = RIESGO(componente 1) + RIESGO(componente 2) ...
 
El riesgo de cada componente esta¡ en función directa a las perdidas que 
ocasionara el que este deje de operar, así como en función de cuan 
vulnerable es dicho componente en este momento. Por ejemplo, una base de 
datos de clientes involucra un gran riesgo debido al gran valor que la 
información representa para una organización; pero una simple PC Windows de la misma organización conectada directamente al Internet (sin 
firewall/proxy de por medio) también lo representa, debido a que puede ser 
objeto de un ataque desde el exterior, con el posible riesgo de fácil 
propagación hacia otros computadores de nuestra red.
 
El riesgo no es fácil de cuantificar, siendo en general un estimador 
subjetivo. A modo de ejemplo podríamos plantear una formula como la que 
sigue:
 
RIESGO(componente) = P * V
 
Donde P=pErdida, es la perdida en dinero que implicarí­a la inoperatividad 
del componente hasta su reparación, aunque se pueden agregar otros 
estimadores como el desprestigio ante nuestros clientes. A veces ayuda 
considerarlo como "el valor" que representa para la organización. 
V=vulnerabilidad, es tanto o mÁs subjetiva puesto que no hay una manera 
segura de establecer para todos los casos si los supuestos mecanismos de 
protección (del componente) son o no realmente confiables. Así­ por 
ejemplo, podríamos suponer que la vulnerabilidad de ciertos documentos 
importantes es muy baja, puesto que están protegidos por cierto antivirus. 
Sin embargo, esto realmente estará en función de diversas características 
del antivirus, como pueden ser: recientes actualizaciones, ejecución 
automática, capacidad de eliminar virus locales, licencias no caducadas, 
configuración adecuada, etc. Pero por algo se debe comenzar. Por ejemplo, 
se puede asignar números como 1, 2, 3, 4, para señalar una vulnerabilidad 
mínima, regular, importante y peligrosa, respectivamente. Para una extensa 
(y compleja) explicación.
 
Esto normalmente demanda el acopio de mucha información, la que muchas 
veces no está a cargo de una sola persona. Esto implica que todo el staff 
encargado de las distintas partes del sistema debe colaborar en el 
análisis.
 
Lo mÁs valioso debe alejarse de lo mÁs vulnerable
 
En la formula del "riesgo" propuesta arriba, es evidente que los 
componentes de nuestro sistema con algo valor y alta vulnerabilidad serán 
de lejos los que presenten mayor riesgo. Sin embargo, en muchos casos no es 
sencillo disminuir el valor de cierto componente (y por tanto la pérdida en 
caso de problemas), y tampoco se puede eliminar completamente la 
vulnerabilidad del mismo (por ejemplo, si esta de cara a Internet.) En este 
caso lo que conviene es separar o dividir este componente en dos partes 
suficientemente alejadas e independientes a fin de que el riesgo total 
disminuya. Por ejemplo, los portales de comercio electrónico deben dar cara 
a Internet (siendo vulnerables en principio) y a la vez manejar información 
muy costosa (como transacciones con tarjeta de crédito.) Esto los convierte 
en un sistema de alto riesgo. Sin embargo es casi universal la separación 
que se efectúa entre los componentes dedicados a dar cara a Internet (como 
los Web Servers) y los componentes que manipulan la información comercial 
(generalmente sistemas DBMS.) En términos prácticos, esto significa que el 
hacker no puede acceder directamente al DBMS (lo que ser­á catastrófico), 
y solo podrá atacar al Web Server, lo que en principio no acarrea mayores 
consecuencias.
 
Juguemos con los números siguiendo las ideas expuestas mÁs arriba. 
Suponiendo que los datos relacionados al negocio valen para nosotros $50000, 
y están en un computador donde corre un Web Server IIS que no ha sido 
parchado adecuadamente. Entonces el riesgo serí­a:
 
R total = 50000 x 5 = 250000
 
Supongamos ahora que los datos están en otro computador "mismamente 
vulnerable" (con V=1) adecuadamente aislado del Web Server (que todavía no 
ha sido parchado). La pérdida por una interrupción del servicio del Web 
Server, por dí­a se ha estimado en $2000 (asumimos que ese es el tiempo que 
toma en restablecerse el servicio tras el ataque.) Entonces el riesgo total 
se convierte en:
 
R total = R1 + R2 = 50000 x 1 + 2000 x 5 = 60000
 
Mantener las cosas simples
 
Un sistema complejo es mÁs difícil de asegurar y potencialmente 
proporciona una mayor cantidad de puertas abiertas a los atacantes. En 
general, es recomendable intentar dividir el problema mediante la 
simplificación de la configuración, para así identificar los puntos o 
rutas de control vulnerables para incrementar la seguridad.
 
Un ejemplo frecuentemente citado es la seguridad de una red de estaciones 
Windows manipulada por usuarios inexpertos. En muchos casos no resulta 
práctico efectuar un profundo trabajo de seguridad en las estaciones (mÁs 
allá de la instalación del antivirus, por ejemplo), puesto que por un 
lado, son muchas, y por otro, los usuarios suelen modificar la 
configuración en tanto instalan y desinstalan su software sin dar aviso a 
nadie. En estos casos es aconsejable centrarnos en un Único punto que 
centralice la seguridad de todas las estaciones. Una configuración de red 
que obligue a que todo su tráfico pase a través de un gateway permitiría 
crear un Único punto de control para todas las estaciones, con lo cual 
simplificamos la administración.
 
Todo esto generalmente conlleva a situaciones en las que hay que hacer un 
compromiso. Por ejemplo, en la recomendación anterior, optamos por separar 
la base de datos del servidor Web con lo que la complejidad del sistema se 
incremento, aunque se redujo el riesgo total.
 
Asegurar la seguridad en todos los niveles
 
Esto se puede expresar mÁs sencillamente como: no confiar el sistema a un 
Único mecanismo de seguridad.
 
La información fluye a través de los distintos componentes y/o capas del 
sistema y son muchas las instancias en las que se puede mejorar su 
seguridad. La recomendación estipula que utilicemos todas estas instancias 
a pesar de que en principio puedan parecer redundantes. Por lo general los 
administradores tienden a preocuparse por un Único punto de acceso desde 
donde supuestamente hay una gran probabilidad de ser atacados (por ejemplo, 
la conexión a Internet.) Por tanto se invierte esfuerzo y dinero en 
controlar este Único punto bajo la Asunción de que es la Única puerta de 
entrada a los maleantes y que por tanto, tras asegurarla, todo el sistema 
quedará seguro. Esto tiene dos problemas:
 
    *
 
      Muchos ataques o "vulnerabilidades" se originan (de forma inocente o 
intencional) desde dentro de la organización
    *
 
      El sistema que controla la "puerta" siempre puede fallar
 
Esto obliga a implementar la seguridad no en un Único punto evidentemente 
vulnerable, sino en todos los lugares por donde fluye la información al 
interior de cada componente involucrado.
 
Un ejemplo Tipico lo constituye un filtro de paquetes TCP/IP, operando a 
nivel de capas 3 y 4 del modelo OSI. Estos por lo general hacen un gran 
servicio restringiendo accesos a servicios de red internos y se suelen 
colocar en la "puerta" o "gateway" que da cara a Internet o a una red 
insegura a modo de "firewall".
 
Tomando literalmente la idea de "niveles" o "capas", podríamos pensar quE 
hacer en este gateway para mejorar la seguridad. Son 7 las capas OSI y 
podríamos intentar añadir instancias de control adicionales a las 
mencionadas. Por ejemplo, en la capa 7 (aplicación) es frecuente y muy 
recomendable el empleo de proxys HTTP. Algunos firewalls proporcionan 
control a nivel de la capa 2 (específicamente, del MAC Address.)
 
Sin embargo, esto se debe complementar con otras medidas que van mÁs allá 
del gateway y que se implementan a lo largo de todo el sistema (pudiéndose 
considerar como niveles o "capas" adicionales), tales como redes 
perimétricas, el uso de encriptación, etc.
5. Encriptar tanto como sea posible
 
La encriptación es un tema complejo pero cuya implementación resulta cada 
vez mÁs sencilla conforme aparecen mÁs productos. Los cambios del año 
pasado en la legislación norteamericana con respecto a la exportación de 
productos que encriptan, son un incentivo claro para que los desarrolladores 
y vendedores se interesen mÁs en el tema.
 
En general, los canales de comunicación mÁs vulnerables o de mayor 
cercaní­a al público requieren una encriptación "mÁs fuerte", es decir, 
mÁs difícil de descifrar por los curiosos o atacantes. Cierta información 
conlleva mÁs riesgo que otra, y por tanto requerirá un nivel de 
encriptación diferenciado.
 
Las herramientas capaces de hacer esto son muchas, dependiendo del contexto 
en que nos encontremos. Por ejemplo, los sistemas DBMS mÁs avanzados 
incorporan la encriptación como una opción normal para los datos 
almacenados, generalmente bajo esquemas propietarios.
 
La tecnología de encriptación de información destinada a pasar a través 
de la red ha evolucionado bastante, haciéndose popular el termino VPN 
[6],[7] para hacer referencia a canales que encriptan la información de un 
modo mÁs o menos transparente. Hay soluciones propietarias así­ como 
estándares relativamente implementados como IP SEC.
 
Ciertas aplicaciones estándar han recibido soluciones de encriptación 
también estándar. El caso del Web encriptado bajo SSL (HTTPS) junto con la 
industria de certificados digitales es el caso mÁs conspicuo. De igual modo 
los estándares para correo electrónico PGP (o derivados) y S/MIME son 
integrados cada vez con mayor frecuencia en las aplicaciones de los usuarios 
finales.
 
Retornemos al principio. En nuestra organización deberíamos encriptar todo 
lo que sea posible. La razón de esto es evidente si de lo que se trata es 
de enviar un mensaje privado por Internet. Sin embargo, al interior de la 
organización la encriptación puede ayudar también. Por ejemplo, es usual 
que cierta información sea manejada exclusivamente por un número reducido 
de personas (los contratos salariales, por poner un caso.) Un caso mÁs 
dramático se presenta cuando un hacker ha logrado infiltrarse en la 
organización: si la información está encriptada, los datos que robe le 
serán inútiles dado que no posee las claves correspondientes.
 
Naturalmente hay que sopesar los inconvenientes que trae la encriptación en 
términos de incomodidad de uso, costo de licencias, ciclos de CPU, 
etcétera; con el hecho de que cierta información es definitivamente de 
carácter publico y por tanto no tiene sentido que estE encriptada. Por 
ejemplo, la información que se publica en Internet ví­a el Web Server de la 
empresa. Se puede obtener regularmente mucha información interesante y 
actualizada sobre la encriptación.
 
La seguridad hacia el interior
 
Algunos reportes han puesto de relieve que en una gran cantidad de casos la 
mayor amenaza de ataques al sistema no proviene de fuera, sino que parte 
desde el interior de la organización. Muchos ataques exitosos desde el 
exterior han necesitado de cierta ayuda inicial activada en el interior de 
la organización, donde por lo general nadie sospecha de este tipo de 
prácticas.
 
Por tanto, el análisis de riesgos debe incluir posibles ataques originados 
en el interior, incluyéndose el robo de contraseñas, la modificación de 
archivos de configuración, la desactivación de las barreras de 
protección, etc.
 
Un caso muy común de este tipo de ataque lo constituye el trabajador 
despedido o castigado que decide tomar venganza. Antes de retirarse 
definitivamente puede efectuar este tipo de tareas maliciosas e incluso 
ponerse en combinación con un atacante externo. En ciertos casos la simple 
introducción intencional de un virus puede acarrear efectos devastadores.
 
La Única manera de reducir el riesgo en estos casos, consiste en planificar 
el acceso al sistema de modo tal que ningún elemento critico dependa de 
una sola persona. Dicho de otro modo, para dañar un sistema, no debe bastar 
con un Único individuo disconforme.
 
Esto muchas veces no es posible con los sistemas operativos comerciales 
actuales (por ejemplo, con las estaciones Windows 9x) y se hace aUn mÁs 
difícil si el despedido es el administrador! Algunos sistemas intentan por 
tanto dividir las responsabilidades en diversos administradores, pero en el 
sector comercial todavía falta mucho camino por recorrer. Los usuarios de 
Linux podrían interesarse en el sistema LIDS a fin de implementar esta 
recomendación.
 
Educar a los usuarios
 
Una de las mayores ayudas que puede recibir un hacker que intenta 
infiltrarse en el sistema de una organización consiste en obtener 
información acerca de Este. En este sentido, las prácticas empleadas por 
el atacante comprenden muchas veces la interacción encubierta con los 
usuarios de la organización a los cuales se les extrae (sin que tomen conciencia de esto) una serie de datos Útiles para el hacker. El caso mÁs 
evidente consiste en obtener "como jugando" una contraseña de parte de este 
incauto. Y ciertamente las contraseñas de los usuarios comunes suelen ser 
muy malas, por lo que pueden liberarlas inadvertidamente al interlocutor en 
medio de una conversación aparentemente inocente. Esto se suele denominar 
"Ingeniería Social".
 
La Única forma de combatir esto es con educación para los usuarios. Por 
ejemplo, es necesario hacer que ellos sean conscientes de este tipo de 
ataque (o entrevista), y que una de las mejores medidas a tomarse es el uso 
de contraseñas suficientemente complicadas como para que no surjan de 
improviso en cualquier diálogo.
 
Otra recomendación (o norma obligatoria si se desea) consiste en que los 
usuarios no divulguen detalles acerca de la configuración del sistema. Esta 
es una práctica increíblemente extendida: Auxiliares, programadores, 
ingenieros, e incluso administradores, que en su deseo de hacer alarde del 
"súper sistema" que utiliza su empresa, empiezan de pronto a nombrar todos y 
cada uno de sus componentes, tanto de hardware como de software, con número 
de versión incluido.
 
Esto puede ser inmediatamente aprovechado por el atacante, pues empezará a 
"disparar" los ataques ya conocidos para ese hardware/software específico.
 
No confiar (totalmente) en nosotros mismos
 
Esto puede sonar extraño, sin embargo lo Único que quiero indicar es la 
necesidad de que otra persona verifique la seguridad de nuestro sistema. 
Como se sabe, existen empresas consultoras especializadas en auditar nuestra 
organización con este fin. Si esta Ultima opción no es posible (por 
ejemplo, por el costo involucrado) entonces es de rigor solicitar a otro 
administrador o ingeniero que verifique las medidas que hemos considerado. 
En sistemas y redes complejas es muy posible que una sola persona (nosotros) 
hayamos dejado pasar alguna puerta insegura. Mientras mÁs personas 
verifiquen nuestro trabajo, habrá mÁs probabilidades de que éste esté 
adecuadamente realizado. Esta es la idea que está detrás de mucho software 
Open Source, siendo el Kernel de Linux el caso mÁs conspicuo.
 
Naturalmente evitaremos mostrar estos detalles a personas ajenas a la 
organización, a fin de disminuir el conocimiento que se tiene en el 
exterior acerca de nuestro sistema.
 
Ejecutar solo los servicios imprescindibles
 
Algunas personas tienen la maní­a de instalar los sistemas con la mayor 
cantidad posible de opciones que puedan entrar en el disco duro. Los 
administradores de sistemas seguros deben ir exactamente en sentido inverso: 
en un sistema de alto riesgo es de rigor que se ejecute Únicamente lo 
imprescindible. El ejemplo mÁs conocido corresponde a los servicios de red, 
los cuales muchas veces vienen configurados para estar activos tan pronto 
como se instala un sistema operativo, creándose automáticamente nuevas 
oportunidades para los atacantes.
 
El administrador debería asegurarse de que solo estE instalado lo 
imprescindible para que el sistema siga en operación. Debe descartar 
incluso el software aparentemente mÁs inofensivo. Recuerdo haber leído de 
un caso en el cual el sistema de manuales de Solaris tenía una 
vulnerabilidad explotable que permití­a a cualquier usuario ejecutar 
programas con mayores privilegios.
 
Sistemas que en apariencia no tienen nada de riesgosos han presentado serias 
amenazas para la seguridad, como por ejemplo, las conexiones X Window, las 
librerías compartidas, los módulos del kernel, etc.
 
Mantenerse al día con las actualizaciones
 
Esta recomendación cada vez es mÁs crítica. El software, pese a los 
esfuerzos y la propaganda, continuará teniendo errores y puertas ocultas. Y 
al parecer la tendencia sigue en aumento con la complejidad del mismo. Esto 
implica que los vendedores deberán proporcionar parches o versiones 
mejoradas a sus clientes cada vez que se descubra alguna vulnerabilidad.
 
Lamentablemente esto no se suele tomar muy en cuenta, tanto por las empresas 
de software como por los administradores. Desde que se descubre una 
vulnerabilidad hasta que Esta puede ser aprovechada por un atacante puede 
pasar mucho tiempo (incluso puede ser que nunca se logre aprovechar) lo que 
motiva a que las casas de software tiendan a esperar mÁs de la cuenta para 
admitir la vulnerabilidad a la vez que presentan el parche correspondiente.
 
En sistemas operativos que involucran muchos componentes (como casi todos en 
la actualidad) es de esperarse que las vulnerabilidades surjan con una 
frecuencia extremadamente alta. Desde el punto de vista de la casa de 
software, esto significarí­a incomodar con demasiada frecuencia a los 
administradores (que se convertirí­an en eternos "parchadores") por lo que 
usualmente se distribuyen parches a intervalos relativamente extensos y que 
corrigen de un solo golpe todas vulnerabilidades halladas hasta la fecha, 
generalmente acompañadas de aditamentos al sistema de modo tal que no luzca 
como un simple parche (pienses en los "service pack".) Obviamente, los 
administradores que se limitan a esperar el lanzamiento del próximo 
súper-parche corren un gran riesgo en este lapso.
 
En un ambiente de alta seguridad esto no es aceptable: los parches de cada 
componente deben aplicarse tan pronto como sea posible. Por tanto, si no 
deseamos que la administración se convierta en un parchar y parchar, 
deberíamos asegurarnos que nuestro sistema realmente tenga pocos 
componentes (y por tanto, menos necesidad de parches.) Como se indico en la 
recomendación anterior, en todo sistema seguro, lo mÁs indicado es evitar 
que se ejecuten servicios innecesarios. He aquí­ un motivo mÁs para seguir 
esta regla.
 
Otro corolario de esto es el establecimiento de una rigurosa política de 
actualización, para lo cual normalmente existen diversos canales en 
Internet proporcionados por el vendedor. De igual modo, es menester 
mantenerse informado acerca de las nuevas vulnerabilidades descubiertas, 
para lo cual existen diversas publicaciones electrónicas especializadas 
[15],[16].
13. Escaneos regulares
 
Un "scanner" es un programa que intenta indagar acerca de quE servicios 
proporciona un computador de la red. Una vez que se conocen estos servicios, 
un atacante puede centrar sus ataques hacia los mismos.
 
Esta herramienta es empleada regularmente por los hackers. Sin embargo, la 
podemos emplear en nuestro propio beneficio, puesto que así­ nosotros 
podremos descubrir si hemos dejado ciertas puertas abiertas. El scanner 
solo se limita a proporcionar esta información y por tanto su uso es 
seguro e inofensivo.
 
El "escaneo" se debería hacer desde fuera de nuestra red (por ejemplo, 
desde un computador de Internet), así­ como desde su interior contra 
nuestras estaciones de trabajo [17].
 
Establecer planes de contingencia y sistemas de respaldo
 
No existe ninguna garantía de que nuestro sistema sea invulnerable. MÁs 
allá de las medidas que podamos adoptar, siempre existirá la posibilidad 
de ser atacados. Esto nos obliga a tener presentes ciertas medidas de 
contingencia traducidas preferentemente en políticas de seguridad bien 
establecidas.
 
En otras palabras, debemos imaginarnos sucesivamente un conjunto de 
escenarios de ataques exitosos. ¿Qué hacemos si...
 
    *
 
      Sospechamos que un hacker está atacando el firewall
    *
 
      Sospechamos que ya ha tomado control del firewall
    *
 
      Comprobamos que ya ha tomado control del firewall
    *
 
      Sospechamos que el servidor de base de datos ha sido alterado
    *
 
      Descubrimos que las PCs Windows han sido infectadas con un virus
 
Las posibilidades evidentemente son muchas, y las acciones a tomarse 
también. Sin embargo es mejor tener esto por escrito a no tener 
absolutamente nada el día que las quejas sobre sucesos extraños en el 
sistema empiecen a acaecer.
 
Ahora bien, cualquier administrador medianamente decente tendrá establecida 
una política de backups para situaciones criticas. En el caso de ataques a 
través de la red las consecuencias pueden obligar a requerir de estos 
backups, por lo que es imperativo que Estos estén actualizados y 
preparados para su uso.
 
Este tipo de análisis no debe ser extraño puesto que los sistemas pueden 
tener problemas por múltiples motivos que no tienen nada que ver con los 
ataques (por ejemplo, un fallo de hardware) que deberían también poseer 
planes de contingencia.
 
Los administradores mÁs minuciosos podrían efectuar simulacros de 
desastres: No hay nada mÁs frustrante en medio de un desastre que descubrir 
que los backups diarios nunca se grabaron por problemas en la unidad de 
cinta.
 
 
Vigilancia
 
La vigilancia del buen funcionamiento del sistema es un asunto mÁs 
complicado de lo que parece. El problema es que los ataques frecuentemente 
están disfrazados de conexiones mÁs o menos válidas, y por otro lado, los 
sistemas de cómputo normalmente no avisan cuando son alterados, a no ser 
que esto se haya establecido de antemano. Los ataques generalmente tratan de 
aparentar que no ha ocurrido nada, a fin de conseguir hacer mÁs y mÁs 
modificaciones sin ser detectados y detenidos.
 
Todo esto obliga a considerar de antemano ciertos indicadores que nos ayuden 
a determinar si un sistema ha sido comprometido o está en proceso de serlo. 
Esto en ciertos casos puede requerir mucha sagacidad y un profundo 
conocimiento de los mecanismos internos del sistema, así­ como la 
activación de una mayor descripción de eventos. Pero generalmente este 
análisis no se pone en práctica hasta que los síntomas aparecen y el 
ataque ya está muy avanzado, lo que ha motivado el incremento de productos 
que intentan adelantarse y dar aviso cuando algo anda mal. A estos sistemas 
se les conoce como sistemas de detección de intrusiones (IDS o NIDS.) El 
administrador precavido hará bien en considerarlos como parte de las 
medidas de seguridad.
 
Establecimiento de políticas
 
Para terminar, una recomendación que en cierto modo engloba a todas las 
anteriores. El establecimiento de políticas corresponde a un mecanismo que 
permite asegurar que la seguridad se mantenga en todas las situaciones y se 
deriva del "compromiso con la seguridad" de la organización. La idea 
detrás de todo esto es que nadie puede saber de antemano lo que piensa el 
administrador o el encargado de la seguridad sin ser informado. Muchas 
organizaciones no tienen esto en cuenta y se da el caso en que un gerente se 
limita a reunir a los empleados y decirles "no hagan nada que pueda atentar 
contra la seguridad de la organización, o serán castigados ..." El 
problema es que la gente normalmente no piensa en términos de seguridad 
sino en términos de cumplimiento de obligaciones y logro de resultados, y 
el camino mÁs corto no siempre es el mÁs seguro.
 
Las políticas justamente intentan abordar estos problemas mediante el 
establecimiento de normas que han de cumplir todos los miembros de la 
organización. Las políticas son documentos destinados a personas con 
responsabilidades claramente definidas y detallan cuidadosamente su alcance 
y aplicación. Explican tanto procedimientos informáticos como logísticos 
en términos de la jerarquía de la organización [29],[30].
 
Una ventaja colateral es la posibilidad de identificar responsables en caso 
de ataques exitosos (y así­ salvar su cabeza el administrador!)
 
El cumplimiento de las políticas pasa por hacer tomar conciencia de su 
importancia a los destinatarios, para lo cual es imprescindible que su 
aplicación sea impulsada desde el mÁs alto nivel jerárquico. Es 
recomendable, por ejemplo, que sea leída y firmada a modo de compromiso por 
parte del destinatario, y su difusión puede estar acompañada por charlas 
informativas por parte del administrador o del staff responsable.
 
La actualización responsable de las políticas es critica para su 
cumplimiento, por lo que en ciertos casos se indica la designación de un 
responsable de las mismas o incluso de un equipo responsable, especialmente 
durante su elaboración y establecimiento inicial.
 

 

 

 


 CONFIGURACION IDEAL