1

Introducción

Conceptos de Auditoría

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que

tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un

objetivo específico que es el de evaluar la eficiencia y eficacia con que se está

operando para que, por medio del señalamiento de cursos alternativos de

acción, se tomen decisiones que permitan corregir los errores, en caso de que

existan, o bien mejorar la forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer

énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo

encaminado a un objetivo específico en el ambiente computacional y los

sistemas.

NORMAS DE AUDITORIA.Concepto: Las normas de auditoría son los requisitos mínimos de calidad,

relativas a la personalidad del auditor, al trabajo que desempeña y a la

información que rinde como resultado de este trabajo.

Objetivo: Las normas de auditoría de estados financieros (auditoría contable)

tienen como objetivo constituir el marco de actuación que deberá sujetarse el

Contador Público independiente que emita dictámenes (opiniones para efectos

ante terceros con el fin de confirmar la veracidad, pertinencia o relevancia

suficiente de la información sujeta a examinar.

Entrenamiento y capacidad.Personales Cuidado y diligencia. Independencia.

Planeación y supervisión.Normas Ejecución del trabajo Estudio y evaluación del control interno. Obtención de evidencia.

Aclaración de la relación.Información Natural.

Bases de opinión.

2

Objetiva.Preliminar. Programas.

Informe de sugerencias.

Objetivo.Etapas. Intermedia. Desarrollo.

Excepción

Objetivo. Final. Desarrollo.

Cierre de auditoria

CLASIFICACION DE LAS NORMAS DE AUDITORIA.Las normas de auditoría de estados financieros se clasifican en normas

personales, normas de ejecución del trabajo y normas de información.

NORMAS PERSONALES.Las normas personales se refieren a las cualidades que el auditor debe tener

para poder asumir, dentro de las exigencias que el carácter profesional de la

auditoria impone, un trabajo de este tipo. Dentro de estas normas existen

cualidades que el auditor debe tener pre adquiridas antes de poder asumir un

trabajo profesional de auditoría y cualidades que debe mantener durante el

desarrollo de toda su actividad profesional.

Entrenamiento técnico y capacidad profesional.El trabajo de auditoría, cuya finalidad es la de rendir una opinión profesional

independiente, debe ser desempeñado por personas que, teniendo título

profesional legalmente expedido y reconocido, tengan entrenamiento técnico

adecuado y capacidad profesional como auditores.

Independencia.- El auditor está obligado a mantener una actitud de

independencia mental en todos los asuntos relativos a su trabajo profesional.

3

NORMAS DE EJECUCIÓN DEL TRABAJO.Al tratar de las normas personales, se señalo que el auditor está obligado a

ejecutar su trabajo con cuidado y diligencia. Aun cuando es difícil definir lo que

en cada tarea puede representar un cuidado y diligencia adecuados, existen

ciertos elementos que, por su importancia, deben ser cumplidos. Estos

elementos básicos, fundamentales en la ejecución de trabajo, que constituyen la

especificación particular, por lo menos al mínimo indispensable, de la exigencia

de cuidado y diligencia, son los que constituyen las normas denominadas de

ejecución del trabajo.

Planeación y supervisión.El trabajo de auditoría deber ser planeado adecuadamente y, si se usan

ayudantes, estos deben ser supervisados en forma apropiada.

Estudio y evaluación del control interno.El auditor debe efectuar un estudio y evaluación adecuados del control interno

existente, que le sirvan de base para determinar el grado de confianza que va

depositar en él; asimismo, que le permita determinar la naturaleza, extensión y

oportunidad que va dar procedimientos de auditoría.

Obtención de evidencia suficiente y competente.

Mediante sus procedimientos de auditoría, el auditor debe obtener evidencia

comprobatoria suficiente y competente en el grado que requiera suministrar una

base objetiva para su opinión.

NORMAS DE INFORMACIÓN.

El resultado final del trabajo del auditor es su dictamen o informe. Mediante el,

pone en conocimiento de las personas interesadas los resultados de su trabajo y

la opinión que se ha formado a través de su examen. El dictamen o informe del

auditor es en lo que va a reposar la confianza de los interesados en los estados

financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la

situación financiera y los resultados de operaciones de la empresa. Por último

4

es, principalmente, a través del informe o dictamen, como el público y el cliente

se dan cuenta del trabajo del auditor y, en muchos casos, es la única parte, de

dicho trabajo, que queda a su alcance.

TÉCNICAS DE AUDITORIA.CONCEPTO.- Las técnicas de auditoría a tratar en el presente están orientadas

fundamentalmente hacia la auditoria de estados financieros; sin embargo, es de

observan que son de aplicación general a cualquier tipo de auditoría.

Técnicas de auditoría, son los métodos prácticos de investigación y prueba que

el contador público utiliza para lograr la información y comprobación necesaria

para poder emitir su opinión profesional.

OBJETIVO.- Su objetivo consiste en proporcionar elementos técnicos que

pueden utilizar el auditor para obtener la información necesaria que fundamente

su opinión profesional sobre la entidad sujeta a su examen.

PROCEDIMIENTOS DE AUDITORIA.CONCEPTO.- Las referencias básicas acerca de los procedimientos de auditoría

contemplados en este apartado, al igual que las técnicas de auditoría, se

refieren a la auditoria de estados financieros, y su uso es aplicable o adaptable a

cualquier tipo de auditoría.

Procedimientos de auditoría son el conjunto de técnicas de investigación

aplicables a una partida o un grupo de hechos y circunstancias relativas a los

estados financieros sujetos a examen mediante los cuales el contador público

obtiene las bases para fundamentar su opinión.

OBJETIVO.- Su objetivo es la conjugación de elementos técnicos cuya aplicación

servirá de guía u orientación sistemática y ordenada para que el auditor pueda

allegarse de elementos informativos que, al ser examinados, le proporcionaran

bases para rendir su informe o emitir su opinión.

CLASIFICACION.- Los procedimientos de auditoría se pueden clasificar en dos

grandes grupos: los de aplicación general que son recomendables para

cualquier tipo de auditoría y entidad en que se practique; y los de aplicación

especifica que tendrán que ser diseñados ex profeso para cada tipo de auditoría

5

y, a su vez, adaptarlos en función de las características de la entidad sujeta a

intervención.

TIPOS DE AUDITORIA.1. Auditoría fiscal.

2. Auditoría contable ( de estados financieros )

3. Auditoría interna.

4. Auditoría externa.

5. Auditoria operacional.

6. Auditoria administrativa.

7. Auditoria integral.

8. Auditoria gubernamental.

9. Auditoria de Sistemas.

Entre los principales enfoques de Auditoría tenemos los siguientes:1. Auditoría Financiera: Consiste en la veracidad de estados financieros y

en la preparación de informes de acuerdo a principios contables y en una

revisión exploratoria y critica de los controles subyacentes y los registros de

contabilidad de una empresa realizada por un contador público, cuya conclusión

es un dictamen a cerca de la corrección de los estados financieros de la

empresa.

2. Auditoría interna: Proviene de la auditoría financiera y consiste en: una

actividad de evaluación que se desarrolla en forma independiente dentro de una

organización, a fin de revisar la contabilidad, las finanzas y otras operaciones

como base de un servicio protector y constructivo para la administración. En un

instrumento de control que funciona por medio de la medición y evaluación de la

eficiencia de otras clases de control, tales como: procedimientos; contabilidad y

demás registros; informes financieros; normas de ejecución etc.

Auditoría Externa.- la auditoría externa debemos decir que es el examen

crítico realizado por un contador público que no posee ningún tipo de vínculo

laboral con la empresa.

3. Auditoría de Sistemas.- La verificación de controles en el

procesamiento de la información, desarrollo de sistemas e instalación con el

objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

6

4. Auditoria de operaciones: Evalúa la eficiencia, Eficacia, Economía de

métodos y procedimientos que rigen un proceso de una empresa también se

define como una técnica para evaluar sistemáticamente de una función o una

unidad con referencia a normas de la empresa, utilizando personal no

especializado en el área de estudio, con el objeto de asegurar a la

administración, que sus objetivos se cumplan, y determinar qué condiciones

pueden mejorarse. A continuación se dan algunos ejemplos de la autoridad de

operaciones:

* Evaluación del cumplimiento de políticas y procedimientos.

* Revisión de prácticas de compras.

5. Auditoria administrativa: Analiza los logros de los objetivos de la

Administración y el desempeño de funciones administrativas además es un

examen detallado de la administración de un organismo social realizado por un

profesional de la administración con el fin de evaluar la eficiencia de sus

resultados, sus metas fijadas con base en la organización, sus recursos

humanos, financieros, materiales, sus métodos y controles, y su forma de

operar.

6. Auditoría fiscal: Se dedica a observar el cumplimiento de las leyes

fiscales es decir consiste en verificar el correcto y oportuno pago de los

diferentes impuestos y obligaciones fiscales de los contribuyentes desde el

punto de vista físico ( SHCP ), direcciones o tesorerías de hacienda estatales o

tesorerías municipales.

7. Auditoria de resultados de programas: Esta auditoría la eficacia y

congruencia alcanzadas en el logro de los objetivos y las metas establecidas, en

relación con el avance del ejercicio presupuestal.

8. Auditoria de legalidad: Este tipo de auditoría tiene como finalidad

revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha

observado el cumplimiento de disposiciones legales que sean aplicables (leyes,

reglamentos, decretos, circulares, etc.)

9. Auditoria integral: Es un examen que proporciona una evaluación

objetiva y constructiva acerca del grado en que los recursos humanos,

7

financieros y materiales son manejados con debidas economías, eficacia y

eficiencia.

Auditoría de SistemasPara una mejor productividad empresarial, los responsables de los sistemas, que

usan los distintos departamentos o áreas de negocio, deben conocer los riesgos

derivados de una inadecuada gestión de sistemas y los beneficios generados por

una gestión óptima.

Sistemas de la información Casos reales de problemas solucionados.

Clientes representativos de auditorías informáticas.

Estándares TI con las mejores prácticas informáticas

Objetivos generales de la Auditoría de Sistemas de la Información Evaluar la fiabilidad

Evaluar la dependencia de los Sistemas y las medidas tomadas para

garantizar su disponibilidad y continuidad

Revisar la seguridad de los entornos y sistemas.

Analizar la garantía de calidad de los Sistemas de Información

Analizar los controles y procedimientos tanto organizativos como

operativos.

Verificar el cumplimiento de la normativa y legislación vigentes

Elaborar un informe externo independiente.

Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestión de los Sistemas de la Información en una empresa

Asegurar una mayor integridad, confidencialidad y confiabilidad de la

información.

8

Seguridad del personal, los datos, el hardware, el software y las

instalaciones.

Minimizar existencias de riesgos en el uso de Tecnología de información

Conocer la situación actual del área informática para lograr los objetivos.

Apoyo de función informática a las metas y objetivos de la organización.

Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.

Incrementar la satisfacción de los usuarios de los sistemas informáticos.

Capacitación y educación sobre controles en los Sistemas de Información.

Buscar una mejor relación costo-beneficio de los sistemas automáticos.

Decisiones de inversión y gastos innecesarios.

Conceptos de Auditoría de SistemasLa palabra auditoría viene del latín auditorius y de esta proviene auditor, que

tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un

objetivo específico que es el de evaluar la eficiencia y eficacia con que se está

operando para que, por medio del señalamiento de cursos alternativos de

acción, se tomen decisiones que permitan corregir los errores, en caso de que

existan, o bien mejorar la forma de actuación. Algunos autores proporcionan

otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación

y elaboración de un informe para el ejecutivo encaminado a un objetivo

específico en el ambiente computacional y los sistemas. A continuación se

detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

1) La verificación de controles en el procesamiento de la información, desarrollo

de sistemas e instalación con el objetivo de evaluar su efectividad y

presentar recomendaciones a la Gerencia.

2) La actividad dirigida a verificar y juzgar información.

9

3) El examen y evaluación de los procesos del Área de Procesamiento

automático de Datos (PAD) y de la utilización de los recursos que en ellos

intervienen, para llegar a establecer el grado de eficiencia, efectividad y

economía de los sistemas computarizados en una empresa y presentar

conclusiones y recomendaciones encaminadas a corregir las deficiencias

existentes y mejorarlas.

4) El proceso de recolección y evaluación de evidencia para determinar si un

sistema automatizado.

5) Daños, Salvaguarda activos, Destrucción, Uso no autorizado, Robo, Mantiene

Integridad de Información Precisa, los datos Completa, Oportuna, Confiable,

Alcanza metas, Contribución de la organización, la función informática,

Consume recursos, Utiliza los recursos adecuadamente, eficientemente en el

procesamiento de la información.

6) Es el examen o revisión de carácter objetivo (independiente), crítico

(evidencia), sistemático (normas), selectivo (muestras) de las políticas,

normas, prácticas, funciones, procesos, procedimientos e informes

relacionados con los sistemas de información computarizados, con el fin de

emitir una opinión profesional (imparcial) con respecto a Eficiencia en el uso

de los recursos informáticos.

7) Validez de la información

8) Efectividad de los controles establecidos

El enemigo en casa: infracciones informáticas de los trabajadores.La proliferación de las nuevas tecnologías en la empresa conlleva también la

proliferación de nuevos peligros. Ya no son sólo los ataques y sabotajes

informáticos desde el exterior, sino las infracciones desde dentro, las producidas

por los propios empleados, y contra las que las organizaciones son, al parecer,

más vulnerables.

El estudio se ha elaborado a partir del análisis de informes, sentencias, autos y

procedimientos judiciales de 393 casos reales sufridos por empresas españolas

y protagonizados por trabajadores en plantilla, durante el trienio 2001-2003; y

se ha completado con entrevistas personales con los responsables de las

10

compañías afectadas. Para empezar, el informe reconoce que se desconoce el

nivel de incidencia en el conjunto total de las empresas españolas, ya que una

gran parte de las empresas afectadas por este tipo de acciones prefieren llegar

a un acuerdo amistoso y no divulgar los hechos. Las infracciones más habituales

que han sido detectadas son así sistematizadas en el estudio: Creación de

empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la

explotación en una empresa de nueva creación, de la propiedad intelectual, la

propiedad industrial o el know how de la empresa en la que el trabajador

trabaja. Generalmente, el trabajador constituye la nueva compañía antes de

solicitar la baja voluntaria y realiza un proceso de trasvase de información

mediante soportes informáticos o a través de Internet. Es posible que el

trabajador actúe aliado con otros compañeros de la empresa.

Daños informáticos y uso abusivo de recursos informáticos. Los daños informáticos se producen generalmente como respuesta a un

conflicto laboral o a un despido que el trabajador considera injusto. Consisten en

la destrucción, alteración o inutilización de los datos, programas o cualquier otro

activo inmaterial albergado en redes, soportes o sistemas informáticos de la

empresa. Los casos más habituales son los virus informáticos, el sabotaje y las

bombas lógicas, programadas para que tengan efecto unos meses después de la

baja del trabajador.

Características de la auditoria Sistemas Tecnológicos.La información de la empresa y para la empresa, siempre importante, se ha

convertido en un Activo Real de la misma, con sus Stocks o materias primas si

las hay. Por ende, han de realizarse inversiones informáticas, materia de la que

se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de

modo global y particular: a ello se debe la existencia de la Auditoria de

Seguridad Informática en general, o a la auditoria de Seguridad de alguna de

sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Síntomas de necesidad de una auditoria de Sistemas Informáticos:

11

Las empresas acuden a las auditorías externas cuando existen síntomas bien

perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

1) Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia

Compañía.

Los estándares de productividad se desvían sensiblemente de los

promedios conseguidos habitualmente.

2) Síntomas de mala imagen e insatisfacción de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en los terminales de usuario, refrescamiento de

paneles, variación de los ficheros que deben ponerse diariamente a su

disposición, etc.

No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y desatendido

permanentemente.

3) Síntomas de debilidades económico-financiero:

Incremento desmesurado de costes.

Necesidad de justificación de Inversiones Informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar

opiniones).

Desviaciones Presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a

Desarrollo de Proyectos y al órgano que realizó la petición).

4) Síntomas de Inseguridad: Evaluación de nivel de riesgos

Seguridad Lógica

Seguridad Física

Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los

datos de personal son especialmente confidenciales]

5) Centro de Proceso de Datos fuera de control.- Si tal situación llegara a

percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual,

en este caso, el síntoma debe ser sustituido por el mínimo indicio.

12

Papel Del Auditor Informático.- Si se entiende que la auditoria informática

comprende las tareas de evaluar, analizar los procesos informáticos, el papel de

auditor debe estar encaminado hacia la búsqueda de problemas existentes

dentro de los sistemas utilizados, y a la vez proponer soluciones para estos

problemas.

Además que auditor Informático debe estar capacitado en los siguientes

aspectos:

Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los

medios informáticos de la empresa auditada, estando obligado a presentar

recomendaciones acerca del reforzamiento del sistema y del estudio de las

soluciones más idóneas, según los problemas detectados en el sistema

informático, siempre y cuando las soluciones que se adopten no violen la ley ni

los principios éticos. (Ej. Porque está mal el reporte)

Un sistema informático mal diseñado puede convertirse en una herramienta

peligrosa para la persona, puesto que las máquinas obedecen las órdenes

recibidas y la modelización de la empresa está determinada por las

computadoras que materializan los sistemas de información, por lo tanto la

gestión y la organización de la empresa no pueden depender de un SOFTWARE o

un HARDWARE mal diseñado.

Auditoria De Sistemas Informáticos.- Se ocupa de analizar la actividad que

se conoce como técnica de sistemas, en todos sus factores. La importancia

creciente de las telecomunicaciones o propicia de que las comunicaciones,

líneas y redes de las instalaciones informáticas se auditen por separado, aunque

formen parte del entorno general del sistema (Ej. De auditar el cableado

estructurado, ancho de banda de una red LAN)

Sistemas De Información

Los Sistemas De Información Y Su Alcance Se entienden por un sistema de

información al conjunto de normas, procedimientos y demás parámetros que

forman la información general de una empresa o institución. En un sistema de

información se pueden visualizar algunos componentes tales como:

13

1. El nombre del sistema,

2. Nombre de macros del sistema

3. Software base

4. Lenguajes de programación

5. Paquetes, Unidades o departamentos que utilizan la información,

6. Volúmenes de archivos que se utilizan diariamente (Semanal, mensual,

etc.)

7. Requerimientos mínimos de los equipos (En muchos de los casos sí es un

software)

8. Fechas críticas Ingreso de información

9. Flujo de información

10. Egresos de información

5. Tendencias que afectan a los sistemas de información

Al considerar un Sistema de Información como un conjunto de normas y

procesos generales de una determinada, se deben considerar algunos puntos

negativos y positivos que afectan directamente al sistema así por ejemplo:

Actualizaciones: Se refiere a que los sistemas de información de cualquier

empresa, debe ser revisado periódicamente; no con una frecuencia continua,

sino mas bien espaciada, se recomienda las revisiones bi – anuales (No se

recomienda que se actualice en una empresa paulatinamente, por ejemplo el

software, cuadros estadísticos, es recomendable dentro de un año cambiarlo,

todo lo que es máquinas y software; porque si no realizaríamos esto, se

cambiaría toda la estructura organizacional de la misma).

Reestructuración Organizacional.- (Puede ser una reestructuración con los

mismos puestos), Una reestructuración organizacional con cualquier empresa,

implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la

burocracia, agilitar trámites o procesos, la reestructuración puede ser de varios

tipos, así por ejemplo. Aumentar o disminuir departamentos, puestos,

reestructuración de objetivos, etc. Siempre la reestructuración afecta a los

sistemas de información de la empresa.

14

Revisión y Valorización del escalafón (No es para bien si no también para mal)

Aspectos económicos.- Se deben considerar los recursos de la empresa, las

crisis, el control, etc.

Aspectos tecnológicos.- Se refiere al equipo físico dentro de la empresa, se

debe considerar el incremento, los cambios, ya sea de software o hardware

Aspectos sociales.- Se refiere a mejoras orientadas hacia los empleados de la

empresa, así por ejemplo, cursos, capacitación, etc.

Aspecto político legal.- Se refiere a las normas y leyes vigentes para las

empresas, tanto internas como externas, se debe cuidar, el aspecto legal,

especialmente en el Software

Aspecto Administrativo.- Se refiere a la relación a nivel de gerencias, mayor

confianza en la toma de posiciones, decisiones o fortunas, siempre a favor de las

empresas

Simbología En Los Sistemas De Información.- Todo sistema de información

puede ser representado mediante diagramas, mediante los cuales depende de

la complejidad de cada empresa, un ejemplo sencillo puede ser:

Proceso De Implementación.- Para implementar un sistema de información

se puede seguir varios pasos, o metodologías o inclusive se lo puede hacer

empíricamente. E n la implementación se considera siempre la implementación

del software (es decir dentro de la implementación del sistema de información

siempre deberá implementar el software a utilizarse esta empresa).

Así por ejemplo se podrían seguir los siguientes pasos:

a.- Recopilación y análisis de datos

b.- Selección de datos idóneos a ingresarse o utilizarse

c.- Ingreso y manipulación de datos

d.- Procesamiento

e.- Análisis de resultados

15

Seguridad De Los Sistema Informáticos

Para realizar o evaluar la seguridad en los sistemas, es importante conocer

como: desarrollar, ejecutar e implantar un sistema de seguridad.

Desarrollar un sistema de seguridad significa planear, organizar, coordinar,

dirigir y controlar actividades relacionadas para garantizar la integridad física de

los recursos implicados en el departamento informático, así como el resguardo

de los activos de la empresa.

Un sistema integral de seguridad debe contemplar los siguientes aspectos:

Definir elementos administrativos

Definir políticos de seguridad

Definir elementos a nivel departamental

Definir elementos a nivel institucional

Organizar y dividir las responsabilidades

Además se debe considerar algunos aspectos extras así por ejemplo:

Motivación.-En la cual es conveniente desarrollar métodos de participación

reflexionando lo que significa la seguridad y el riesgo, el impacto a nivel

empresarial, las responsabilidades individuales, etc.

Capacitación general.- Se debe empezar con los ejecutivos de la empresa a

fin que conozca la relación entre riesgo, seguridad y la información y su impacto

en la empresa.

El objetivo debe ser detectar las debilidades y potencialidades de la

organización frente al riesgo, en este proceso debe incluir la implantación y la

ejecución de planes de contingencia y la simulación de posibles delitos.

Capacitación de técnicos.- Es importante formar técnicos encargados de

mantener la seguridad como parte fundamental de su trabajo y que esté

capacitado para capacitar a otras personas, en lo que es la ejecución de

medidas preventivas y correctivas.

Beneficios de un sistema de seguridad.- Los beneficios de seguridad son

16

inmediatos ya que la organización trabajará sobre una plataforma confiable que

se puede reflejar los siguientes aspectos:

Aumento de la motivación de personal

Compromiso de la misión y visión

Aumento de la productividad

Mejora de las relaciones laborales

Mejora en los equipos de la institución

Estrategias de protección

Toda empresa dentro de su plan anual de actividades debe contemplar un plan

estratégico de protección o plan de contingencia sobre su sistema informático,

entendiéndose a dicho plan como un conjunto de pasos que se realizan con el

propósito de salvaguardar los recursos de la empresa, tanto físico como a nivel

lógico.

Se puede mencionar algunos puntos importantes que debe contemplar el plan

de contingencia, así por ejemplo:

Actividades antes de un desastre

Actividades durante el desastre

Actividades después del desastre

Actividades antes de un desastre

Planificación de un plan de contingencia (debe contener aspectos relacionados a

la prevención de un desastre de cualquier tipo, así por ejemplo sacar respaldos,

lugares de evacuación, buscar sitios seguros, prevención contra cortes

eléctricos.

Simulacros de desastre, se refiere a simular en cada computadora un buen anti

virus (actualizable que cubra la mayor cantidad de virus conocidos, que detecte

limpie y vacune, que posea un manual de procedimiento, versatilidad residente

en memoria).

Preparar personal calificado de las distintas áreas de seguridad Área informática

se refiere a designar 1 o 2 personas para realizar respaldos diarios de la

17

información una o dos personas diferentes para enviar los resultados a sitios

seguros.

Área social se refiere a preparar personal que esté capacitado para socorrer a

los compañeros en caso de desastre (debe tener especial cuidado en las

personas de la tercera edad).

Este personal también deberá capacitarse en el uso de dispositivos o elementos

físicos para casos de emergencia (así por ejemplo uso de alarmas contra fuego,

uso de bombas de agua, uso de switch de seguridad).

Actividades después del desastre

Seguir el plan de contingencia sujetándose a las disposiciones dadas por el

personal calificado para desastres

Tratar de rescatar la mayor cantidad de información posible en el acto

Verificar la calidad e integridad de la información existente (hacer las pruebas

sobre los programas que antes del desastre funcionaban correctamente).

Verificar la calidad e integridad de la información de respaldo

Verificar la parte física o hardware