SEGURIDAD Y CONTROL DE SISTEMAS DE INFORMACIÓN

Índice. Índice....................................................................................................................................... Índice. ...................................................................................................................................... 1 ¿Qué es la seguridad en los sistemas de información?................................................ ............................................................ ............1 Riesgos posibles ante la falla de la seguridad en los sistemas de información....... información.......... ....... ....... ....... 2 Objetivos de la seguridad informática.................................................... ................................................................................. .............................33 Seguridad física y lógica..................................................... lógica........................................................................................ .......................................... .............. .......... ... 4 Seguridad física................................................... ..................................................................................................... .......................................................... ............. ..... 4 Seguridad Lógica........................................................ Lógica..................................................................................... ..................................... ............... ............... ........... ... 5 Legislación y delitos informáticos................................................. informáticos........................................................................ .............................. .............. ........... .... 6 La Información y el Delito...................................................... ........................................................................................ ......................................... .......... ... 6 Tipos de Delitos Informáticos...................................................... Informáticos................................................................................ ................................. ...........6 Delincuente y Victima..................................................................................................... Victima.....................................................................................................88 Sujeto Activo................................................... .......................................................................................................... ................................................................ .........88 Sujeto Pasivo.................................................... ...................................................................................................... .......................................................... ............. ..... 9 Legislación Nacional.................................................... .................................................................................................... ..................................................... ..... 10 Vulnerabilidad y abuso de los sistemas.................................................. sistemas......................................................... ............... ............... .............. .........18 ¿Por qué son vulnerables los Sistemas?...................................................... .................................................................. .................... ............18 Preocupaciones de los constructores y usuarios de los sistemas..................................... sistemas.........................................20 Desastres........................................................ Desastres. ........................................................................................... ............................................ ............... ............... ............ .... 20 Seguridad....................................................... Seguridad. .............................................................................................................. ................................................................ ........ 21 Errores....................................................... Errores. .......................................................................................................... ........................................................... ............... ..........21 Creación de un entorno de control................................................. control...................................................................... ............................ ............... ........... ... 21 Controles generales......................................................... generales.......................................................................................... ........................................ ............... ............22 Controles de implementación...................................................... implementación..................................................................................... .................................. ...23 Controles de software........................................................ software................................................................................................ ............................................ .... 23 Controles de hardware..................................................... hardware................................................................................................. ................................................24 Controles de operaciones de d e computación ...................................................... .............................................................. .............. ...... 24 Controles de seguridad de los datos............................................... ................................................................... ........................... ........... .... 25 Controles administrativos................................................ ............................................................................................ ................................................25 Controles de aplicación.................................................... ....................................................................................... ........................................... .............. ...... 27 Controles de entrada................................................. entrada................................................................................................. ..................................................... ..... 28 Controles de procesamiento................................................. procesamiento.......................................................................... ................................. ............... .........29 Controles de salida...................................................... salida....................................................................................... ........................................ ............... ............29 Desarrollo de una estructura de control. Costos y beneficios.......................... beneficios................................. ............... ............30 El rol de la auditoría en el proceso de control................................................. control................................................................. ....................31 Cómo asegurar la calidad de los sistemas..................................................... sistemas.................................................................. .................... ........... .... 31 Aseguramiento de la calidad del software......................................................................... software.........................................................................32 32 Metodologías..................................................... Metodologías. ....................................................................................................... ........................................................... ..........32 Asignaciones de recursos durante el desarrollo de sistemas. sistemas.............................. .................................... ........... .... 32 Métricas del software.................................................. software................................................................................... ........................................ ............... ............33 Pruebas........................................................ Pruebas. ....................................................................................................... ....................................................... .............. ........... .... 33 Herramientas de calidad...................................................... calidad...................................................................................... ....................................... .......... ...34 Auditoría de calidad de datos.................................................. datos.................................................................................. ....................................... .......... ...34

Bibliografia. ..........................................................................................................................35

Introducción Los sistemas de computación desempeñan un rol tan crucial en los negocios, el gobierno y la vida diaria, que las organizaciones buscan proteger los recursos de la organización como son la información, las comunicaciones, comunicaciones , el hardware y el software que que le perte pertenec necen en.. Para Para logra lograrlo rlo se selec seleccio ciona nan n y esta estable blece cen n los controles apropiados. La Seguridad de la información ayuda a la misión de la organización protegiendo sus recursos físicos y financieros, reputación, posición legal, empleados y otros activos tangibles e intangibles, La seguridad, describe las políticas, políticas , los procedimientos y las medidas técnicas que se emplean para prevenir  acceso no autorizado, alteración, robo daño físico a los sistemas de información.

¿Qué es la seguridad en los sistemas de información? Entendem Entendemos os por ella el asegur asegurar ar los recursos recursos del sistem sistema a de informac información ión en cuestión de una organización, organización, el cual incluye programas; programas; se resguarda de esta forma forma los los dato datos s que que se cons conside idera ran n impor importan tantes tes para para que que no sean sean visto vistos s por  por  cualquier persona no autorizada. Desde Desde que que la tecno tecnolog logía ía ha evolu evoluci ciona onado do son much muchas as las facili facilida dades des que que obtenemos cuando se trata de almacenar, analizar o procesar datos, pero también todos todos estos estos bene benefic ficio ios s conll conllev evan an much muchas as veces veces a riego riegos s que, que, en ocasi ocasione ones, s, puede pueden n ser crític críticos os para para divers diversas as empre empresa sas. s. Día Día tras tras días días los técnic técnicos os más más experimentados desarrollan distintas innovaciones en los aspectos de seguridad de sistemas de información para que éstos sean lo menos vulnerable posible; entendemos por “peligro” todo aquello que pueda afectar al funcionamiento de un sistema. El concepto de seguridad informática sigue siendo, para varios entendidos, de carácter utópico, utópico, ya que no se ha revelado en la actualidad actualidad un sistema que pueda ser 100% seguro, para que la seguridad en sistemas de información sea eficiente debe cumplir con los siguientes requisitos. Un sistema seguro debe constar de disponibilidad, es decir, la información debe estar disponible cuando se la necesita; debe ser íntegro, dicha información no puede puede ser modif modifica icada da por por perso persona nall no autor autoriza izado do;; debe debe ser ser confid confidenc encial ial,, la información debe ser legible sólo por quienes están autorizados y por último, debe ser irrefutable, su autoría no puede negarse. Para que se pueda establecer seguridad en sistemas de información es necesario interven intervenir ir técnicam técnicamente ente a varios varios niveles niveles,, en algunos algunos casos se debe recurrir recurrir a criptografía para firmar, cifrar y autentificar; esta es una alternativa para no permitir  el robo de la información almacenada.

1

Riesgos posibles ante la falla de la seguridad en los sistemas de información. Para comprender cómo funciona la seguridad informática debemos entender  primero qué es la información y cómo se almacena, es así como delimitamos los riegos; primero debemos ser conscientes de que dicha información se encuentra almacenada y procesada en computadoras, puede ser confidencial para algunas personas que trabajen en empresas y por eso, en afán de conocerla cuando ésta es de índole privada, puede ser robada, mal utilizada o divulgada por personal no autorizado. El activo más importante de cualquier compañía es la información aunque pueda sonar extraño y es esta característica la que hace que los técnicos más eficientes trabajen constantemente en fortalecer la seguridad en sistemas de información ; las técnicas desarrolladas para este objetivo otorgan seguridad lógica que consisten en barreras y procedimientos que resguardan el acceso a los datos, permitiendo que solo sean vistos por personal autorizado. Cuando se diseñan los aspectos de la seguridad informática, se hacen pensando en los siguientes factores: se deben actualizar las contraseñas de forma constante, se restringe el acceso a los programas y archivos, los técnicos se aseguran de que los operadores puedan trabajar con cierta información pero que no puedan modificarla, etc. Pero la mala manipulación de datos no sólo puede estar dentro de la empresa sino también de manera virtual; la seguridad en sistemas de información contempla hoy la batalla

con los

virus informáticos;

estos son programas elaborados

intencionalmente que se introducen y transmiten mediante discos o redes de comunicación entre los ordenadores causando diversos tipos de daños en las máquinas. A veces, estos daños pueden ser solo físicos, es decir, se daña un componente del equipo, mientras que en ocasiones resulta ser físico en informático, se deteriora una pieza de la máquina conllevando a la pérdida de información que ésta albergaba.

2

Objetivos de la seguridad informática La seguridad informática está concebida para proteger los activos informáticos de la empresa, entre los que se encuentran: •

La información Hoy en día la información se ha convertido en uno de los activos más importantes y valiosos dentro de una organización. La seguridad informática debe velar que ésta sea administrada según los criterios establecidos por  los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres.

•

La infraestructura computacional Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y preveer en caso de falla planes de contingencia que permitan su rápida reposición. También debe asegurar que las redes y toda la infraestructura funcione correctamente; para ello se deben realizar  mantenciones periódicas para detectar posibles fallas en la misma. Por  último, la seguridad informática debe asegurar planes de contingencia en caso de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

3

•

Los usuarios Son las personas que utilizan la estructura tecnológica, de comunicaciones y que gestionan la información. La seguridad informática debe establecer  normas que minimicen los riesgos a la información o infraestructura informática.

Estas

normas

incluyen

horarios

de

funcionamiento,

restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general.

Seguridad física y lógica. Seguridad física Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar  una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la " aplicación de barreras físicas y    procedimientos de control, como medidas de prevención y contramedidas ante

4

amenazas a los recursos e información confidencial ". Se refiere a los controles y

mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Seguridad Lógica. La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantean serán: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

5

Legislación y delitos informáticos. El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La cuantía de los perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.

La Información y el Delito El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho. Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún."

Tipos de Delitos Informáticos. La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:

6

1. Fraudes cometidos mediante manipulación de computadoras

2. Manipulación de los datos de entrada: este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.

3. Daños o modificaciones de programas o datos computarizados. •

La manipulación de programas: consiste en modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas. Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente tiene conocimientos técnicos concretos de informática y programación.

•

Manipulación de los datos de salida: se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude del que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos.

Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser objeto la información. Ellas son: •

"Fraude en el campo de la informática.

•

Falsificación en materia informática.

•

Sabotaje informático y daños a datos computarizados o programas informáticos.

•

Acceso no autorizado.

•

Intercepción sin autorización.

•

Reproducción no autorizada de un programa informático protegido.

•

Espionaje informático.

•

Uso no autorizado de una computadora.

7

•

Tráfico de claves informáticas obtenidas por medio ilícito.

•

Distribución de virus o programas delictivos."

Delincuente y Victima. 1. Sujeto Activo 2. Sujeto Pasivo

Sujeto Activo Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes. El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.

8

La "cifra negra" es muy alta; no es fácil descubrirlos ni sancionarlos, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad. A los sujetos que cometen este tipo de delitos no se considera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por el contrario, es considerado y se considera a sí mismo "respetable". Estos tipos de delitos, generalmente, son objeto de medidas o sanciones de carácter administrativo y no privativo de la libertad.

Sujeto Pasivo Este, la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente conectados a otros. El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informáticos, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos. Es imposible conocer la verdadera magnitud de los delitos informáticos, ya que la mayor parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las víctimas de estos delitos; la falta de preparación por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurídico adecuado; el temor por  parte de las empresas de denunciar este tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes pérdidas económicas, trae como consecuencia que las estadísticas sobre este tipo de conductas se mantenga bajo la llamada "cifra negra". Por lo anterior, se reconoce que para conseguir una prevención efectiva de la criminalidad informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de las fuentes de peligro. Una protección eficaz

9

contra la criminalidad informática presupone ante todo que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus formas de encubrimiento. En el mismo sentido, podemos decir que con: •

la divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras;

•

alertas a las potenciales víctimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática;

•

creación de una adecuada legislación que proteja los intereses de las víctimas;

•

una eficiente preparación por parte del personal encargado de la procuración, administración y la impartición de justicia para atender e investigar estas conductas ilícitas;

Se estaría avanzando mucho en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más. Además, se debe destacar que los organismos internacionales han adoptado resoluciones similares en el sentido de que educando a la comunidad de víctimas y estimulando la denuncia de los delitos, se promovería la confianza pública en la capacidad de los encargados de hacer cumplir la ley y de las autoridades  judiciales para detectar, investigar y prevenir los delitos informáticos.

Legislación Nacional En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales.

10

La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional. En este sentido habrá que recurrir a aquellos tratados internacionales de los que nuestro país es parte y que, en virtud del Artículo 75 inc. 22 de la Constitución Nacional reformada en 1994, tienen rango constitucional. Argentina también es parte del acuerdo que se celebró en el marco de la Ronda Uruguay del Acuerdo General de Aranceles Aduaneros y Comercio, que en su artículo 10, relativo a los programas de ordenador y compilaciones de datos, establece que: •

este tipo de programas, ya sean fuente u objeto, serán protegidos como obras literarias de conformidad con el Convenio de Berna, de julio 1971, para la Protección de Obras Literarias y Artísticas;

•

las compilaciones de datos posibles de ser legibles serán protegidos como creaciones de carácter intelectual y que;

•

para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de autor a escala comercial se establecerán procedimientos y sanciones penales además de que, " los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias"

La Convención sobre la Propiedad Intelectual de Estocolmo (julio de 1967) y el Convenio de Berna (julio de 1971) fueron ratificados en nuestro país por la Ley 22.195 el 17 de marzo de 1980 y el 8 de julio de 1990 respectivamente. La Convención para la Protección y Producción de Phonogramas de octubre de 1971, fue ratificada por la ley 19.963 el 23 de noviembre 1972.

11

La Convención Relativa a la Distribución de Programas y Señales de abril de 1994, fue ratificada por la ley 24.425 el 23 de diciembre de 1994.

Hay otros Convenios no ratificados aún por nuestro País, realizados por la Organización Mundial de la Propiedad Intelectual (OMPI), de la que Argentina es parte integrante a partir del 8 de octubre de 1980. Nuestra legislación regula Comercial y Penalmente las conductas ilícitas relacionadas con la informática, pero que aún no contemplan en sí los delitos informáticos: •

La ley 111 de Patentes de Invención regula la protección a la propiedad intelectual.

•

La ley Penal 11.723 de "Propiedad Científica, Literaria y Artística", modificada por el decreto 165/94, ha modificado los Artículos 71, 72, 72 bis, 73 y 74.

Por esta ley, en el país sólo están protegidos los lenguajes de bases de datos, planillas de cálculo, el software y su documentación dentro del mismo. Si bien, en el decreto de 1994, se realizó la modificación justamente para incluir  esos ítem en el concepto de propiedad intelectual, no tiene en cuenta la posibilidad de plagio ya que no hay jurisprudencia que permita establecer qué porcentaje de igualdad en la escritura de dos programas se considera plagio. Las copias ilegales de software también son penalizadas, pero por reglamentaciones comerciales. A diferencia de otros países, en la Argentina la información no es un bien o propiedad, por lo tanto no es posible que sea robada, modificada o destruida. De acuerdo con los art. 1072 y 2311 del Código Civil y 183 del Código Penal se especifica que para que exista robo o hurto debe afectarse una "cosa" y las leyes

12

definen "cosa" como algo que ocupa lugar en el espacio; los datos, se sabe, son intangibles. En resumen: si alguien destruye, mediante los métodos que sean, la información almacenada en una computadora no cometió delito; pero si rompió el hardware o un disquete será penalizado: en ese caso, deberá hacerse cargo de los costos de cada elemento pero no de lo que contenían. También se especifica (art. 1109) que el damnificado no podrá reclamar indemnización si hubiera existido negligencia de su parte. Ahora, cabe preguntarse ¿En Argentina, qué amparo judicial se tiene ante hechos electrónicos ilícitos?. La respuesta es que el Código Penal argentino (con 77 años de vida) no tiene reglas específicas sobre los delitos cometidos a través de computadoras. Esto es así porque cuando se sancionaron las leyes no existía la tecnología actual y por lo tanto no fueron previstos los ataques actuales. Dentro del Código Penal se encuentran sanciones respecto de los delitos contra el honor (art. 109 a 117); instigación a cometer delito (art. 209), instigación al suicidio (art. 83); hurto (art. 162), estafas (art. 172), además de los de defraudación, falsificación, tráfico de menores, narcotráfico, etc., todas conductas que pueden ser cometidas utilizando como medio la tecnología electrónica, pero nada referente a delitos cometidos sobre la información como bien. El mayor inconveniente es que no hay forma de determinar fehacientemente cuál era el estado anterior de los datos, puesto que la información en estado digital es fácilmente adulterable. Por otro lado, aunque fuera posible determinar el estado anterior, sería difícil determinar el valor que dicha información tenía. El problema surge en que los datos almacenados tienen el valor que el cliente o "dueño" de esos datos le asigna (y que razonablemente forma parte de su patrimonio). Esto, desde el punto de vista legal es algo totalmente subjetivo. Son bienes intangibles, donde solo el cliente puede valorar los "unos y ceros" almacenados.

13

Así, las acciones comunes de hurto, robo, daño, falsificación, etc. (art. 162 del Código Penal) que hablan de un apoderamiento material NO pueden aplicarse a los datos almacenados por considerarlos intangibles. Hablar de estafa (contemplada en el art. 172 del código penal) no es aplicable a una máquina porque se la concibe como algo que no es susceptible de caer en error, todo lo contrario a la mente humana. En función del código penal, se considera que entrar en un domicilio sin permiso o violar correspondencia constituyen delitos (art. 153). Pero el acceso a una computadora, red de computadoras o medios de transmisión de la información (violando un cable coaxil por ejemplo) sin autorización, en forma directa o remota, no constituyen un acto penable por la justicia, aunque sí el daño del mismo. La mayor dificultad es cuantificar el delito informático. Estos pueden ser muy variados: reducir la capacidad informativa de un sistema con un virus o un caballo de Troya, saturar el correo electrónico de un proveedor con infinidad de mensajes, etc. Pero ¿Cuál de ellos es mas grave?. Si se considera Internet, el problema se vuelve aún más grave ya que se caracteriza por ser algo completamente descentralizado. Desde el punto de vista del usuario esto constituye un beneficio, puesto que no tiene ningún control ni necesita autorización para acceder a los datos. Sin embargo, constituye un problema desde el punto de vista legal. Principalmente porque la leyes penales son aplicables territorialmente y no puede pasar las barreras de los países. La facilidad de comunicación entre diversos países que brinda la telemática dificulta la sanción de leyes claras y eficaces para castigar las intrusiones computacionales. Si ocurre un hecho delictivo por medio del ingreso a varias páginas de un sitio distribuidas por distintos países: ¿Qué juez será el competente en la causa?.

14

¿Hasta qué punto se pueden regular los delitos a través de Internet sabiendo que no se puede aplicar las leyes en forma extraterritorial?. Ver una pantalla con información, ¿Es un robo?. Ante esta pregunta Julio C. Ardita responde "(...) si, desde el punto de vista del propietario, si es información confidencial y/o personal es delito porque se violó su privacidad". Si un intruso salta de un satélite canadiense a una computadora en Taiwan y de allí a otra alemana ¿Con las leyes de qué país se juzgará?. Lo mencionado hasta aquí no da buenas perspectivas para la seguridad de los usuarios (amparo legal) en cuanto a los datos que almacenan. Pero esto no es tan así, puesto que si la información es confidencial la misma tendrá, en algún momento, amparo legal. Por lo pronto, en febrero de 1997 se sancionó la ley 24.766 por la que se protege la información confidencial a través de acciones penales y civiles, considerando información confidencial aquella que cumple los siguientes puntos: •

Es secreta en el sentido que no sea generalmente conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza el tipo de información.

•

Tenga valor comercial para ser secreta.

•

Se hayan tomado medidas necesarias para mantenerla secreta, tomadas por la persona que legítimamente la controla.

Por medio de esta ley la sustracción de disquetes, acceso sin autorización a una red o computadora que contenga información confidencial será sancionado a través de la pena de violación de secretos. En cuanto a la actividad típica de los hackers, las leyes castigan el hurto de energía eléctrica y de líneas telefónicas, aunque no es fácil de determinar la comisión del delito. La dificultad radica en establecer dónde se cometió el delito y quién es el damnificado.

15

Los posibles hechos de hacking se encuadran en la categoría de delitos comunes como defraudaciones, estafas o abuso de confianza, y la existencia de una computadora no modifica el castigo impuesto por la ley. La División Computación de la Policía Federal no realiza acciones o investigaciones preventivas (a modo de las organizaciones estadounidenses) actúa en un aspecto pericial cuando el operativo ya está en marcha. Este vacío en la legislación argentina se agrava debido a que las empresas que sufren ataques no los difunden por miedo a perder el prestigio y principalmente porque no existen conceptos claros para definir nuevas leyes jurídicas en función de los avances tecnológicos. Estos problemas afectan mucho a la evolución del campo informático de la argentina, generando malestar en empresas, usuarios finales y toda persona que utilice una computadora como medio para realizar o potenciar una tarea. Los mismos se sienten desprotegidos por la ley ante cualquier acto delictivo. Como conclusión, desde el punto de vista social, es conveniente educar y enseñar  la correcta utilización de todas las herramientas informáticas, impartiendo conocimientos específicos acerca de las conductas prohibidas; no solo con el afán de protegerse, sino para evitar convertirse en un agente de dispersión que contribuya, por ejemplo, a que un virus informático siga extendiéndose y alcance una computadora en la que, debido a su entorno crítico, produzca un daño realmente grave e irreparable. Desde la óptica legal, y ante la inexistencia de normas que tipifiquen los delitos cometidos a través de la computadora, es necesario y muy importante que la ley contemple accesos ilegales a las redes como a sus medios de transmisión. Una futura reforma debería prohibir toda clase de acceso no autorizado a un sistema informático, como lo hacen las leyes de Chile, Francia, Estados Unidos, Alemania, Austria, etc.

16

Lo paradójico (¿gracioso?) es que no existe sanción legal para la persona que destruye información almacenada en un soporte, pero si para la que destruye la misma información impresa sobre papel. No obstante, existen en el Congreso Nacional diversos proyectos de ley que contemplan esta temática Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por nuestra parte, a los postulados de la ONU sobre los delitos informáticos, con el fin de unificar la legislación internacional que regule la problemática de la cibernética y su utilización tan generalizada en el mundo. Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia de una norma que tipifique los delitos señalados, son un factor  criminógeno que favorece la multiplicación de autores que utilicen los medios electrónicos para cometer delitos a sabiendas que no serán alcanzados por la ley. No solo debe pensarse en la forma de castigo, sino algo mucho más importante como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de legislar por el carácter intangible de la información. "Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes específicas para la tecnología. El fraude es el fraude, se realice mediante el correo postal, el teléfono o Internet. Un delito no es más o menos delito si se utilizó criptografía (...). Y el chantaje no es mejor o peor si se utilizaron virus informáticos o fotos comprometedoras, a la antigua usanza. Las buenas leyes son escritas para ser independientes de la tecnología. En un mundo donde la tecnología avanza mucho más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy en día. Mejores y más rápidos mecanismos de legislación, juicios y sentencias...quizás algún día."

17

Vulnerabilidad y abuso de los sistemas. Los sistemas de información concentran los datos de computadoras a los que podrían tener fácil acceso un gran número de personas y grupos externo a la organización. Por ello los datos automatizados son más susceptibles a destrucción, fraude, error  y abuso. Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías que dependen mucho de ellos experimentan una perdida grave de su capacidad de operar.

¿Por qué son vulnerables los Sistemas? Cuando se almacenan grandes cantidades de datos en forma electrónica, estos son vulnerables a muchos tipos de amenazas a las que no están expuestos los datos asentados en papel. Amenazas para los sistemas de información computarizados. Fallos de hardware Fallos de software Acciones del personal Penetración por terminales Robo de datos, servicios, equipo

Incendio Problemas eléctricos Errores de usuario Cambios de programas Problemas de telecomunicaciones

Los sistemas computarizados son especialmente vulnerables a dichas amenazas por las siguientes razones: •

Un sistema de información complejo no se puede reproducir manualmente.

•

Los procedimientos computarizados son indivisibles y no es fácil entenderlos ni auditarlos.

•

Aunque la probabilidad de que ocurra un desastre a un sistema automatizado no es mayor que en el caso de un sistema manual, su efecto puede ser mucho más extenso. En algunos casos podrían destruirse y perderse irremediablemente todos los registros de un sistema.

18

•

Muchas personas tiene acceso directo a los sistemas de información en línea. Los usuarios legítimos logran obtener fácilmente acceso a porciones de los datos computarizados que no tienen permiso de ver. Personas no autorizadas también pueden tener acceso a tales sistemas.

Los adelantos en telecomunicaciones y en software de computadora han intensificado esta vulnerabilidad. Gracias a las redes de telecomunicaciones es posible conectar, entre sí, sistemas de información de diferentes lugares. El potencial para que haya acceso no autorizado, abuso o fraude, no está limitado a un solo lugar, sino que puede darse en cualquier punto de acceso a la red. Además, se requieren disposiciones más complejas y diversas de hardware, software, organización y personal, para las redes de telecomunicación, lo que crea nuevas áreas y oportunidades de penetración

y manipulación. Las redes

inalámbricas que usan tecnología basadas en radio son aún más vulnerables a la penetración, porque es fácil explorar las bandas de radiofrecuencia. Internet presenta problemas especiales, porque se diseñó explícitamente para que usuarios de diferentes sistemas de computación pudieran acceder a ella con facilidad.

19

Preocupaciones de los constructores y usuarios de los sistemas. La creciente vulnerabilidad de los datos automatizados ha creado preocupaciones especiales para los constructores y usuarios de sistemas de información. Estas preocupaciones son: •

Desastres.

•

Seguridad.

•

Errores administrativos.

Desastres.

El hardware de computadora, los programas, los archivos de datos y otros equipos pueden ser destruidos por incendios, apagones u otros desastres. Podrían requerirse muchos años y millones de dólares para reconstruir archivos de datos y programas de computadora destruidos, y algunos podrían ser irremplazables. Si una organización los necesita para operar a diario, ya no podrá hacerlo.

Los sistemas de información que toleran fallos contienen componentes adicionales de hardware, software y alimentación de energía, que pueden respaldar el sistema y mantenerlo en operación para evitar que falle. Las computadoras que toleran fallos contienen chips de memoria, procesadores y disposiciones adicionales de almacenamiento en disco, y suelen usar rutinas de software especiales, o lógicas de auto verificación incorporada en sus circuitos, para detectar fallos de hardware y cambiar automáticamente a un dispositivo de respaldo. Partes de estas computadoras se pueden desmontar y reparar sin perturbar el sistema de computación. Las compañías usan tecnologías que toleran fallos en aplicaciones cruciales que requieren procesamiento pesado de transacciones en línea. En el procesamiento de transacciones en línea, la computadora procesa de inmediato las transacciones

20

introducidas en línea. Cada instante ocurren numerosos cambios en las bases de datos, se producen informes, o se reciben solicitudes de información.

Seguridad. El termino seguridad se refiere a las políticas, los procedimientos y las medidas técnicas que se toman para evitar el acceso no autorizado o la alteración, robo y daños físicos a los sistemas de información. Es posible promover la seguridad con una serie de técnicas y herramientas que protegen el hardware, el software, las redes de comunicaciones y los datos.

Errores. Las computadoras también pueden actuar como instrumentos de error, al alterar  gravemente o destruir los expedientes y las operaciones de una organización. Se pueden presentar errores de sistemas automatizados en muchos puntos del ciclo de procesamiento: •

En la introducción de datos,

•

En los programas,

•

En las operaciones computarizadas y

•

En el hardware.

Creación de un entorno de control. A fin de minimizar errores, desastres, delitos por computadora y violaciones de la seguridad, es preciso incorporar políticas y procedimientos especiales en el diseño y la implementación de los sistemas de información. La combinación de medidas manuales y automatizadas que salvaguardan los sistemas de información y cuidan que funcionen según las normas gerenciales, recibe el nombre controles. Los controles consisten en todos los métodos, las políticas y los procedimientos de la

21

organización que cuidan la seguridad de sus activos la exactitud y fiabilidad de sus registros contables, y el cumplimiento operativo de las normas gerenciales. En el pasado, el control de los sistemas de información se trataba como una actividad secundaria, en la que solo se pensaba cuando se aproximaba el fin de la estructuración,

justo

antes

de instalarse el sistema.

Sin

embargo,

las

organizaciones actuales dependen tanto de los sistemas de información, que es preciso identificar las vulnerabilidades y los problemas de control lo antes posible. El control de los sistemas de información debe ser una parte integral de su diseño. Los usuarios y constructores de sistemas deben fijarse mucho en los controles, en todas las etapas de la vida de un sistema. Los sistemas de computación se controlan mediante una combinación de controles generales y controles de aplicación. Los controles generales son los que controlan el diseño, la seguridad y el uso de los programas de computadora, y la seguridad de los archivos de datos en general, en toda la organización. Estos controles se ejercen sobre todas las aplicaciones computarizadas y consisten en una combinación de software de sistemas y procedimientos manuales que crea un entorno de control general. Los controles de aplicación son controles específicos, distintos para cada aplicación computarizadas, como nómina, cuentas por cobrar y procesamiento de pedidos. Se trata de controles que se aplican desde el área funcional de los usuarios de un determinado sistema y a partir de procedimientos programados.

Controles generales. Los controles generales cuidan el funcionamiento eficaz de los procedimientos programados y se ejercen todas las áreas de aplicación. Entre los controles generales están los siguientes:

•

Controles sobre el proceso de implementación del sistema.

•

Controles del software

•

Controles físicos del hardware

22

•

Controles de operaciones de computación.

•

Controles de seguridad de datos.

•

Disciplinas, estándares y procedimientos administrativos.

Controles de implementación. Los controles de implementación auditan el proceso de desarrollo de sistemas en diversos puntos, para asegurar que se controle y maneje debidamente. La auditoría del desarrollo de sistemas debe buscar puntos de revisión formal en las distintas etapas del desarrollo, que permita a los usuarios y a la gerencia aprobar  o rechazar la implementación. La auditoría de desarrollo de sistemas también debe examinar el grado de participación de los usuarios en cada etapa de la implementación y cuidar que se use una metodología formal de costo/beneficios para determinar la factibilidad del sistema. La auditoría debe examinar el uso de controles y técnicas de aseguramiento de la calidad en el desarrollo de programas, en la conversión, y en las pruebas, y verificar que se cuente con una documentación completa y exhaustiva del sistema y las operaciones, así como con manuales para usuarios.

Controles de software. Es indispensable tener controles para las diversas categorías de software que se usan en los sistemas de computación. Los controles de software monitorean el uso del software de sistemas y evitan el acceso no autorizado a los programas de aplicación y al software de sistemas. Este último es una importante área de control porque desempeña funciones de control general de los programas que procesan directamente los datos y los archivos.

23

Controles de hardware. Los controles de hardware cuidan que éste esté protegido físicamente, y detectan fallos en el funcionamiento de los equipos. Lo primero es importante para asegurar  que sólo las personas autorizadas tengan acceso al equipo. Las computadoras necesitan protección especial contra incendios y extremos de temperatura y humedad. Las organizaciones que dependen críticamente de sus computadoras también deben tomar medidas para contar con respaldos de emergencias, en caso de faltar la electricidad. Muchos tipos de hardware incluyen mecanismos que detectan fallas del equipo. Las verificaciones de paridad detectan fallos que alteran bits durante el procesamiento.

Las

verificaciones

de

validez

monitorean

el

patrón

encendido/apagado de los bits, dentro de los bytes, a fin de comprobar que sea válido para el conjunto de caracteres de una computadora dada. Las verificaciones de eco comprueban que el dispositivo de hardware esté listo para operar.

Controles de operaciones de computación Los controles de operaciones de computación se ejercen sobre la labor del departamento de cómputo, y ayudan a garantizar que los procedimientos programados se apliquen de forma congruente y correcta al almacenamiento y procesamiento de los datos. Esto incluye controles sobre la preparación del trabajo para procesarse en computadoras, sobre el software de operaciones y sobre los procedimientos de respaldo y recuperación, en caso de que el procesamiento termine anormalmente. Un funcionario responsable debe revisar y aprobar las instrucciones para ejecutar  trabajos de computación, las cuales deben estar plenamente documentadas. Los controles sobre el software de operaciones incluyen procedimientos manuales, diseñados para prevenir y detectar errores. Se podrían desarrollar instrucciones

24

específicas para el respaldo y recuperación, de modo que, en caso de ocurrir un fallo de hardware o software, el proceso de recuperación de los programas de producción, del software de sistemas y de los archivos de datos no produzca cambios erróneos en el sistema.

Controles de seguridad de los datos Los controles de seguridad de los datos garantizan que los valiosos archivos de datos de negocios grabados en discos o cintas no sufran accesos no autorizados, alteraciones o destrucción. Tales controles sobre los archivos de datos se requieren cuando estos se están usando y cuando se tienen almacenados. Si es posible introducir datos en línea a través de una termina, es preciso impedir  la introducción de datos no autorizados. Por ejemplo, se podría alterar una nota de crédito, de modo que coincida con una factura de venta archivada. En tales situaciones, se puede cuidar la seguridad en varios niveles: •

Las terminales se pueden restringir físicamente, a fin de que solo personas autorizadas accedan a ellas.

•

El software de sistemas pueden instruir el uso de contraseñas asignadas solo a personas autorizadas. Nadie puede iniciar sesión en el sistema sin una contraseña valida.

Pueden crearse series de contraseñas adicionales y restricciones de seguridad para sistemas y aplicaciones específicos. Por ejemplo el software de seguridad de datos puede limitar el acceso a archivos específicos, por ejemplo, los del sistema de cuentas a cobrar. Es posible restringir el tipo de acceso, de modo que solo las personas autorizadas para actualizar esos archivos específicos puedan hacerlo. Todos los demás solo podrán leer los archivos, o se les impedirá el acceso a ellos.

Controles administrativos

25

Los controles administrativos son normas, reglas, procedimientos y disciplinas de control formalizado, para asegurar que los controles generales y de aplicación de la organización se apliquen y cumplan debidamente. Los controles administrativos más importante son: 1. Segregación de funciones. 2. Políticas y procedimiento por escrito, y 3. Supervisión

La segregación de funciones implica que las funciones de los puestos deben diseñarse de modo que minimicen el riesgo de errores o manipulación fraudulenta de los archivos de la organización. Las personas responsables de los sistemas operativos no deben ser las mismas que inciden transacciones que modifiquen los activos contenidos en esos sistemas. Un proceder típico es hacer que el departamento de sistema de información de la organización sea responsable de los datos y archivos de programa, y que los usuarios finales se encarguen de iniciar transacciones, como pagos o cheques. Las políticas y los procedimientos por escrito establecen normas formales para controlar la operación de los sistemas de operación. Los procedimientos se deben formalizar por escrito y deben ser autorizados por el nivel gerencial apropiado. Es preciso especificar claramente las obligaciones y responsabilidades. La supervisión del personal que participa en los procedimientos de control aseguran que los controles de un sistema de información estén operando como debe ser. Sin una supervisión adecuada los controles podrían pasarse por alto, abreviarse o descuidarse, por bien diseñados que estén. Los puntos débiles en cada uno de estos controles generales pueden tener un efecto extenso sobre los procedimientos programados y los datos de toda la organización.

26

Efectos de los puntos débiles sobre los controles generales Punto débil Controles de implementación

Impacto Los sistemas nuevos o modificados tienen errores o no funcionan como es debido.

Controles de software

Se pueden

hacer

(Seguridad de programas)

procesamiento.

cambios

no autorizados

al

La organización quizá no esté segura de qué programas o sistemas se modificaron. Controles de software

Estos controles quizá no tengan un efecto directo sobre aplicaciones individuales.

Otros controles

generales dependen mucho del software, por lo que una debilidad en esta área merma los demás controles generales. Controles físicos del hardware

El hardware podría tener fallos graves o dejar de funcionar y, así introducir numerosos errores o destruir registros computarizados.

Controles de operaciones

Podrán ocurrir errores aleatorios en el sistema. (Casi

de cómputos

todo el procesamiento será correcto, pero de vez en cuando no.)

Controles de seguridad de

Se

podrían

archivos de datos

almacenados en sistemas de computación, o de personas

no

alterar

sin

autorizadas

autorización

podrían

datos

acceder

a

información confidencial. Controles administrativos

Todos los demás controles tal vez no se apliquen o cumplan debidamente.

Controles de aplicación Los controles de aplicación son específicos dentro de cada aplicación de computadora individual, como nómina o procesamiento de pedidos. Estos

27

controles incluyen procedimientos autorizados y manuales que aseguran que la aplicación solo procesara datos autorizados, y que lo hará de forma correcta y cabal. Los controles de cada aplicación deben abarcar toda la sucesión de pasos de procesamientos. Los controles de aplicación se pueden clasificar como: 1. Controles de entrada. 2. Controles de procesamiento, y 3. Controles de salida

Controles de entrada. Los controles de entrada verifican la exactitud e integridad de los datos cuando entran en el sistema. Se trata de controles específicos para autorizar las entradas, convertir y editar datos, y manejar errores. Las entradas se deben autorizar, registrar y monitorear correctamente durante el flujo de documentos fuente a la computadora. Por ejemplo, se podrían establecer  procedimientos formales para autorizar exclusivamente a miembros selectos del departamento de ventas para preparar transacciones de un sistema de captura de pedidos. Las entradas se deben convertir debidamente en transacciones computarizadas, sin introducir errores al transcribirlas de una forma a otra. Los errores de transcripción se pueden eliminar o reducir si se introducen las transacciones directamente con el teclado de terminales de computadora o si se utiliza alguna forma de automatización de datos fuente. Es posible establecer totales de control antes de introducir las transacciones de entrada. Estos totales pueden ser desde un simple conteo de documentos hasta totales de campos de cantidades, como el monto total de ventas (de un lote de transacciones). Los programas computadora calculan los totales de las transacciones a medida que se introducen. Las verificaciones de edición incluyen diversas rutinas programadas que se pueden ejecutar para editar los datos de entrada y detectar errores antes de que

28

se procesen. Las transacciones que no cumplan con los criterios de edición se rechazarán. Las rutinas de edición producen listas de errores que se corregirán posteriormente.

Controles de procesamiento. Los controles de procesamiento determinan si los datos están completos y son correctos durante la actualización. Los principales controles de procesamiento son los totales de control de serie, el cotejo por computadora y las verificaciones de edición programadas. Los totales de control de serie concilian los totales de control de entrada con los totales de partidas que han actualizado el archivo. Es posible controlar la actualización al generar totales de control durante el procesamiento. Los totales, como el total de transacciones procesadas o totales de cantidades críticas, se pueden comparar manualmente o por computadora. Se toma nota de las discrepancias para investigarlas. El cotejo por computadora compara los datos de entrada con información contenida en archivos maestros o de suspensión, y se toma nota de los elementos que no coinciden, a fin de investigarlos. Casi todo el cotejo se efectúa durante la entrada, pero en algunos casos este podría ser necesario para asegurar que la actualización este completa. Por ejemplo, un programa de cotejo podría comparar  las tarjetas de tiempo de los empleados con un archivo maestro de nómina, e informar si faltan tarjetas de tiempo o están repetidas. Casi todas las verificaciones se efectúan en el momento en que se introducen los datos; sin embargo, ciertas aplicaciones requieren algún tipo de verificación de valor razonable o de dependencia, durante la actualización.

Controles de salida.

29

Los controles de salida cuidan que los resultados del procesamiento por  computadora sean correctos, estén completos y se distribuyan debidamente. Entre los controles de salida más comunes están: Cotejar los totales producidos con los totales de entrada y de procesamiento. Revisar las bitácoras de procesamiento computarizados para comprobar que todos los trabajos de computación correctos se hayan ejecutado como es debido. Procedimientos y documentación formales que especifican a los destinatarios autorizados de informes, los cheques u otros documentos críticos producidos.

Desarrollo de una estructura de control. Costos y beneficios. Los sistemas de información pueden utilizar exhaustivamente todos los mecanismos de control que se han descripto. Sin embargo, su construcción puede ser tan costosa, y su empleo tan complicado, que ello no resulta económica ni operativamente factible. Es preciso efectuar cierto análisis de costo/beneficio para determinar qué mecanismos de control ofrecen la protección más eficaz sin sacrificar eficiencia operativa ni incurrir en un gasto excesivo. Uno de los criterios para determinar cuánto control se debe incorporar en un sistema es la importancia de sus datos. Los principales sistemas de finanzas y contabilidad, por ejemplo, un sistema de nómina u otro que lleve el registro de las compras y ventas en la bolsa de valores, deben tener estándares de control más estrictos que un sistema de recordatorios que sigue la pista a los pacientes de un dentista para recordarles que ha llegado el momento de hacerse su revisión semestral. La eficacia de costos de los controles también depende de la eficiencia, complejidad y costos de cada técnica de control. Por ejemplo, una verificación cabal, uno por uno, podrá consumir demasiado tiempo y ser imposible desde el punto de vista operativo, en un sistema que procesa ciento de miles de pagos de servicios por día. Sin embargo, quizá podría usarse esa técnica para verificar solo

30

datos críticos, como el monto del pago y el número de cuenta, sin prestar atención a los nombres y las direcciones. Una tercera consideración es el nivel de riesgo si no se controla debidamente una actividad o un proceso especifico. Los constructores de sistemas pueden realizar  una evaluación de riesgos para determinar la probable frecuencia de un problema y los daños que podría causar si se presentara.

El rol de la auditoría en el proceso de control. ¿Cómo sabe la gerencia si los controles de los sistemas de información son o no eficaces? Para contestar esta pregunta, las organizaciones deben efectuar  auditorias exhaustivas y sistemáticas. Una auditoria de MIS identifica todos los controles que rigen los sistemas de información individuales y evalúa su eficacia. Para ello el auditor debe entender perfectamente las operaciones, las instalaciones físicas, las telecomunicaciones, los sistemas de control, los objetivos de la seguridad de los datos, la estructura de la organización, el personal, los procedimientos manuales y las aplicaciones individuales. Por lo regular, el auditor entrevista a personas clave que usan y operan un sistema de información especifico, y les pregunta acerca de sus actividades y procedimientos. Se examinan los controles de aplicación, los controles de integridad generales y disciplinas de control. El auditor debe seguir el flujo de transacciones sencillas a través del sistema y efectuar pruebas mediante el uso, si es apropiado, de software para auditoria automatizada. La auditoría enumera y ordena todas las deficiencias de control y estima la probabilidad de que ocurran; luego evalúa el impacto de cada amenaza sobre las finanzas y sobre la organización.

Cómo asegurar la calidad de los sistemas.

31

Las organizaciones pueden mejorar la calidad de los sistemas mediante el uso de técnicas de aseguramiento de la calidad del software y la mejora de la calidad de datos.

Aseguramiento de la calidad del software. Las soluciones de los problemas de la calidad del software incluyen: usar una metodología apropiada para desarrollar los sistemas, asignar correctamente los recursos durante el desarrollo de los sistemas, utilizar métricas, prestar la debida atención a las pruebas y emplear herramientas de calidad.

Metodologías. La función primaria de una metodología de desarrollo es conferir disciplina a todo el proceso de desarrollo. Una buena metodología establece normas para determinar, diseñar programar y probar necesidades que abarcan a toda la organización. Si quieren producir software de calidad, las organizaciones deben seleccionar una metodología apropiada y cuidar que se use. La metodología debe estipular documentos de requisitos y especificaciones del sistema que sean completos, detallados y exactos, y que estén en un formato que la comunidad de usuarios pueda

entender antes de aprobarlos. Las especificaciones también

deben incluir medidas convenidas de calidad del sistema para poder evaluarlo objetivamente mediante su desarrollo y una vez terminad.

Asignaciones de recursos durante el desarrollo de sistemas. Las opiniones acerca de la asignación de recursos durante el desarrollo de sistemas han cambiado mucho al paso de los años. La asignación de recursos determina la forma en que se reparten los costos, el tiempo y el personal entre las diferentes fases del proyecto. También es posible reducir los errores, el tiempo y

32

los costos, al documentar los requisitos de modo que puedan entenderse desde su origen y a través del desarrollo, la especificación y el uso continuo.

Métricas del software. Las métricas del software pueden ser vitales para mejorar la calidad de un sistema. Son evaluaciones objetivas del sistema en forma de mediciones cuantificadas. El uso constante de métricas permite al departamento de sistemas de información y al usuario medir juntos el desempeño del sistema e identificar los problemas conforme se presentan. Para que una métrica tenga éxito debe diseñarse cuidadosamente y se formal y objetiva. Las métricas pueden medir aspectos importantes del sistema. Además, no sirve de nada si no se usan de forma consistente y si los usuarios no están de acuerdo desde un principio en que se efectúen las mediciones.

Pruebas. La realización de pruebas exhaustivas, desde una fase temprana y con regularidad, contribuye de forma importante a la calidad del sistema. En general no se entiende bien el propósito de las pruebas de software. Muchos creen que se trata de demostrar que el trabajo que realizaron es correcto. En realidad ya se sabe que todo el software de cierto tamaño está plagado de errores, y es necesario efectuar pruebas para descubrirlos. Las pruebas se inician en la fase de diseño. Puesto que todavía no se han iniciado la codificación, la prueba que normalmente se usa es un recorrido: la revisión de una especificación o documento de diseño, efectuada por un grupo pequeño de personas cuidadosamente

seleccionadas con base en las habilidades que se

requieren para los objetivos específicos que se deseen probar. Una vez iniciada la codificación, pueden usarse recorridos para revisar el código de los programas. No

33

obstante, el código se debe probar en la computadora. Si se descubren errores, se busca la causa y se elimina mediante el proceso llamado depuración.

Herramientas de calidad. Por último la calidad del sistema puede mejorar considerablemente si se usan herramientas de calidad. Se han desarrollado muchas herramientas para atacar  cada uno de los aspectos del proceso de desarrollo. Los profesionales de sistemas de información están usando software de administración de proyectos para manejar éstos. Existen productos que documentan las especificaciones y el diseño de los sistemas en formas textuales y gráficas. Las herramientas de programación incluyen diccionarios de datos, bibliotecas para manejar módulos de programas y herramientas que producen códigos de programas. Hay muchos tipos de herramientas que ayudan el proceso de depuración. Las más recientes automatizan una buena parte de la preparación de las pruebas exhaustivas.

Auditoría de calidad de datos. La calidad de los sistemas de información también pueden mejorase al identificar y corregir los datos defectuosos y convertir la detección de errores en una meta más explícita de la organización. El análisis de calidad de datos a menudo se inicia con una auditoría de calidad de datos, que es una revisión estructurada de qué tan exactos y complejos son los datos de un sistema de información. Las auditorías de calidad de datos se realizan con los siguientes métodos: •

Realizar una encuesta a los usuarios finales para determinar qué opinan de la calidad de los datos.

•

Examinar archivos de datos enteros.

•

Examinar muestras de archivos de datos.

34