Trabajo auditoria de sistemas
-
Upload
vlady-revelo -
Category
Education
-
view
3.819 -
download
2
description
Transcript of Trabajo auditoria de sistemas
1
Introducción
Conceptos de Auditoría
La palabra auditoría viene del latín auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un
objetivo específico que es el de evaluar la eficiencia y eficacia con que se está
operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuación.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer
énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo
encaminado a un objetivo específico en el ambiente computacional y los
sistemas.
NORMAS DE AUDITORIA.Concepto: Las normas de auditoría son los requisitos mínimos de calidad,
relativas a la personalidad del auditor, al trabajo que desempeña y a la
información que rinde como resultado de este trabajo.
Objetivo: Las normas de auditoría de estados financieros (auditoría contable)
tienen como objetivo constituir el marco de actuación que deberá sujetarse el
Contador Público independiente que emita dictámenes (opiniones para efectos
ante terceros con el fin de confirmar la veracidad, pertinencia o relevancia
suficiente de la información sujeta a examinar.
Entrenamiento y capacidad.Personales Cuidado y diligencia. Independencia.
Planeación y supervisión.Normas Ejecución del trabajo Estudio y evaluación del control interno. Obtención de evidencia.
Aclaración de la relación.Información Natural.
Bases de opinión.
2
Objetiva.Preliminar. Programas.
Informe de sugerencias.
Objetivo.Etapas. Intermedia. Desarrollo.
Excepción
Objetivo. Final. Desarrollo.
Cierre de auditoria
CLASIFICACION DE LAS NORMAS DE AUDITORIA.Las normas de auditoría de estados financieros se clasifican en normas
personales, normas de ejecución del trabajo y normas de información.
NORMAS PERSONALES.Las normas personales se refieren a las cualidades que el auditor debe tener
para poder asumir, dentro de las exigencias que el carácter profesional de la
auditoria impone, un trabajo de este tipo. Dentro de estas normas existen
cualidades que el auditor debe tener pre adquiridas antes de poder asumir un
trabajo profesional de auditoría y cualidades que debe mantener durante el
desarrollo de toda su actividad profesional.
Entrenamiento técnico y capacidad profesional.El trabajo de auditoría, cuya finalidad es la de rendir una opinión profesional
independiente, debe ser desempeñado por personas que, teniendo título
profesional legalmente expedido y reconocido, tengan entrenamiento técnico
adecuado y capacidad profesional como auditores.
Independencia.- El auditor está obligado a mantener una actitud de
independencia mental en todos los asuntos relativos a su trabajo profesional.
3
NORMAS DE EJECUCIÓN DEL TRABAJO.Al tratar de las normas personales, se señalo que el auditor está obligado a
ejecutar su trabajo con cuidado y diligencia. Aun cuando es difícil definir lo que
en cada tarea puede representar un cuidado y diligencia adecuados, existen
ciertos elementos que, por su importancia, deben ser cumplidos. Estos
elementos básicos, fundamentales en la ejecución de trabajo, que constituyen la
especificación particular, por lo menos al mínimo indispensable, de la exigencia
de cuidado y diligencia, son los que constituyen las normas denominadas de
ejecución del trabajo.
Planeación y supervisión.El trabajo de auditoría deber ser planeado adecuadamente y, si se usan
ayudantes, estos deben ser supervisados en forma apropiada.
Estudio y evaluación del control interno.El auditor debe efectuar un estudio y evaluación adecuados del control interno
existente, que le sirvan de base para determinar el grado de confianza que va
depositar en él; asimismo, que le permita determinar la naturaleza, extensión y
oportunidad que va dar procedimientos de auditoría.
Obtención de evidencia suficiente y competente.
Mediante sus procedimientos de auditoría, el auditor debe obtener evidencia
comprobatoria suficiente y competente en el grado que requiera suministrar una
base objetiva para su opinión.
NORMAS DE INFORMACIÓN.
El resultado final del trabajo del auditor es su dictamen o informe. Mediante el,
pone en conocimiento de las personas interesadas los resultados de su trabajo y
la opinión que se ha formado a través de su examen. El dictamen o informe del
auditor es en lo que va a reposar la confianza de los interesados en los estados
financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la
situación financiera y los resultados de operaciones de la empresa. Por último
4
es, principalmente, a través del informe o dictamen, como el público y el cliente
se dan cuenta del trabajo del auditor y, en muchos casos, es la única parte, de
dicho trabajo, que queda a su alcance.
TÉCNICAS DE AUDITORIA.CONCEPTO.- Las técnicas de auditoría a tratar en el presente están orientadas
fundamentalmente hacia la auditoria de estados financieros; sin embargo, es de
observan que son de aplicación general a cualquier tipo de auditoría.
Técnicas de auditoría, son los métodos prácticos de investigación y prueba que
el contador público utiliza para lograr la información y comprobación necesaria
para poder emitir su opinión profesional.
OBJETIVO.- Su objetivo consiste en proporcionar elementos técnicos que
pueden utilizar el auditor para obtener la información necesaria que fundamente
su opinión profesional sobre la entidad sujeta a su examen.
PROCEDIMIENTOS DE AUDITORIA.CONCEPTO.- Las referencias básicas acerca de los procedimientos de auditoría
contemplados en este apartado, al igual que las técnicas de auditoría, se
refieren a la auditoria de estados financieros, y su uso es aplicable o adaptable a
cualquier tipo de auditoría.
Procedimientos de auditoría son el conjunto de técnicas de investigación
aplicables a una partida o un grupo de hechos y circunstancias relativas a los
estados financieros sujetos a examen mediante los cuales el contador público
obtiene las bases para fundamentar su opinión.
OBJETIVO.- Su objetivo es la conjugación de elementos técnicos cuya aplicación
servirá de guía u orientación sistemática y ordenada para que el auditor pueda
allegarse de elementos informativos que, al ser examinados, le proporcionaran
bases para rendir su informe o emitir su opinión.
CLASIFICACION.- Los procedimientos de auditoría se pueden clasificar en dos
grandes grupos: los de aplicación general que son recomendables para
cualquier tipo de auditoría y entidad en que se practique; y los de aplicación
especifica que tendrán que ser diseñados ex profeso para cada tipo de auditoría
5
y, a su vez, adaptarlos en función de las características de la entidad sujeta a
intervención.
TIPOS DE AUDITORIA.1. Auditoría fiscal.
2. Auditoría contable ( de estados financieros )
3. Auditoría interna.
4. Auditoría externa.
5. Auditoria operacional.
6. Auditoria administrativa.
7. Auditoria integral.
8. Auditoria gubernamental.
9. Auditoria de Sistemas.
Entre los principales enfoques de Auditoría tenemos los siguientes:1. Auditoría Financiera: Consiste en la veracidad de estados financieros y
en la preparación de informes de acuerdo a principios contables y en una
revisión exploratoria y critica de los controles subyacentes y los registros de
contabilidad de una empresa realizada por un contador público, cuya conclusión
es un dictamen a cerca de la corrección de los estados financieros de la
empresa.
2. Auditoría interna: Proviene de la auditoría financiera y consiste en: una
actividad de evaluación que se desarrolla en forma independiente dentro de una
organización, a fin de revisar la contabilidad, las finanzas y otras operaciones
como base de un servicio protector y constructivo para la administración. En un
instrumento de control que funciona por medio de la medición y evaluación de la
eficiencia de otras clases de control, tales como: procedimientos; contabilidad y
demás registros; informes financieros; normas de ejecución etc.
Auditoría Externa.- la auditoría externa debemos decir que es el examen
crítico realizado por un contador público que no posee ningún tipo de vínculo
laboral con la empresa.
3. Auditoría de Sistemas.- La verificación de controles en el
procesamiento de la información, desarrollo de sistemas e instalación con el
objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
6
4. Auditoria de operaciones: Evalúa la eficiencia, Eficacia, Economía de
métodos y procedimientos que rigen un proceso de una empresa también se
define como una técnica para evaluar sistemáticamente de una función o una
unidad con referencia a normas de la empresa, utilizando personal no
especializado en el área de estudio, con el objeto de asegurar a la
administración, que sus objetivos se cumplan, y determinar qué condiciones
pueden mejorarse. A continuación se dan algunos ejemplos de la autoridad de
operaciones:
* Evaluación del cumplimiento de políticas y procedimientos.
* Revisión de prácticas de compras.
5. Auditoria administrativa: Analiza los logros de los objetivos de la
Administración y el desempeño de funciones administrativas además es un
examen detallado de la administración de un organismo social realizado por un
profesional de la administración con el fin de evaluar la eficiencia de sus
resultados, sus metas fijadas con base en la organización, sus recursos
humanos, financieros, materiales, sus métodos y controles, y su forma de
operar.
6. Auditoría fiscal: Se dedica a observar el cumplimiento de las leyes
fiscales es decir consiste en verificar el correcto y oportuno pago de los
diferentes impuestos y obligaciones fiscales de los contribuyentes desde el
punto de vista físico ( SHCP ), direcciones o tesorerías de hacienda estatales o
tesorerías municipales.
7. Auditoria de resultados de programas: Esta auditoría la eficacia y
congruencia alcanzadas en el logro de los objetivos y las metas establecidas, en
relación con el avance del ejercicio presupuestal.
8. Auditoria de legalidad: Este tipo de auditoría tiene como finalidad
revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha
observado el cumplimiento de disposiciones legales que sean aplicables (leyes,
reglamentos, decretos, circulares, etc.)
9. Auditoria integral: Es un examen que proporciona una evaluación
objetiva y constructiva acerca del grado en que los recursos humanos,
7
financieros y materiales son manejados con debidas economías, eficacia y
eficiencia.
Auditoría de SistemasPara una mejor productividad empresarial, los responsables de los sistemas, que
usan los distintos departamentos o áreas de negocio, deben conocer los riesgos
derivados de una inadecuada gestión de sistemas y los beneficios generados por
una gestión óptima.
Sistemas de la información Casos reales de problemas solucionados.
Clientes representativos de auditorías informáticas.
Estándares TI con las mejores prácticas informáticas
Objetivos generales de la Auditoría de Sistemas de la Información Evaluar la fiabilidad
Evaluar la dependencia de los Sistemas y las medidas tomadas para
garantizar su disponibilidad y continuidad
Revisar la seguridad de los entornos y sistemas.
Analizar la garantía de calidad de los Sistemas de Información
Analizar los controles y procedimientos tanto organizativos como
operativos.
Verificar el cumplimiento de la normativa y legislación vigentes
Elaborar un informe externo independiente.
Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS
Objetivos para una buena gestión de los Sistemas de la Información en una empresa
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información.
8
Seguridad del personal, los datos, el hardware, el software y las
instalaciones.
Minimizar existencias de riesgos en el uso de Tecnología de información
Conocer la situación actual del área informática para lograr los objetivos.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
Incrementar la satisfacción de los usuarios de los sistemas informáticos.
Capacitación y educación sobre controles en los Sistemas de Información.
Buscar una mejor relación costo-beneficio de los sistemas automáticos.
Decisiones de inversión y gastos innecesarios.
Conceptos de Auditoría de SistemasLa palabra auditoría viene del latín auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un
objetivo específico que es el de evaluar la eficiencia y eficacia con que se está
operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuación. Algunos autores proporcionan
otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación
y elaboración de un informe para el ejecutivo encaminado a un objetivo
específico en el ambiente computacional y los sistemas. A continuación se
detallan algunos conceptos recogidos de algunos expertos en la materia:
Auditoría de Sistemas es:
1) La verificación de controles en el procesamiento de la información, desarrollo
de sistemas e instalación con el objetivo de evaluar su efectividad y
presentar recomendaciones a la Gerencia.
2) La actividad dirigida a verificar y juzgar información.
9
3) El examen y evaluación de los procesos del Área de Procesamiento
automático de Datos (PAD) y de la utilización de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia, efectividad y
economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias
existentes y mejorarlas.
4) El proceso de recolección y evaluación de evidencia para determinar si un
sistema automatizado.
5) Daños, Salvaguarda activos, Destrucción, Uso no autorizado, Robo, Mantiene
Integridad de Información Precisa, los datos Completa, Oportuna, Confiable,
Alcanza metas, Contribución de la organización, la función informática,
Consume recursos, Utiliza los recursos adecuadamente, eficientemente en el
procesamiento de la información.
6) Es el examen o revisión de carácter objetivo (independiente), crítico
(evidencia), sistemático (normas), selectivo (muestras) de las políticas,
normas, prácticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de información computarizados, con el fin de
emitir una opinión profesional (imparcial) con respecto a Eficiencia en el uso
de los recursos informáticos.
7) Validez de la información
8) Efectividad de los controles establecidos
El enemigo en casa: infracciones informáticas de los trabajadores.La proliferación de las nuevas tecnologías en la empresa conlleva también la
proliferación de nuevos peligros. Ya no son sólo los ataques y sabotajes
informáticos desde el exterior, sino las infracciones desde dentro, las producidas
por los propios empleados, y contra las que las organizaciones son, al parecer,
más vulnerables.
El estudio se ha elaborado a partir del análisis de informes, sentencias, autos y
procedimientos judiciales de 393 casos reales sufridos por empresas españolas
y protagonizados por trabajadores en plantilla, durante el trienio 2001-2003; y
se ha completado con entrevistas personales con los responsables de las
10
compañías afectadas. Para empezar, el informe reconoce que se desconoce el
nivel de incidencia en el conjunto total de las empresas españolas, ya que una
gran parte de las empresas afectadas por este tipo de acciones prefieren llegar
a un acuerdo amistoso y no divulgar los hechos. Las infracciones más habituales
que han sido detectadas son así sistematizadas en el estudio: Creación de
empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la
explotación en una empresa de nueva creación, de la propiedad intelectual, la
propiedad industrial o el know how de la empresa en la que el trabajador
trabaja. Generalmente, el trabajador constituye la nueva compañía antes de
solicitar la baja voluntaria y realiza un proceso de trasvase de información
mediante soportes informáticos o a través de Internet. Es posible que el
trabajador actúe aliado con otros compañeros de la empresa.
Daños informáticos y uso abusivo de recursos informáticos. Los daños informáticos se producen generalmente como respuesta a un
conflicto laboral o a un despido que el trabajador considera injusto. Consisten en
la destrucción, alteración o inutilización de los datos, programas o cualquier otro
activo inmaterial albergado en redes, soportes o sistemas informáticos de la
empresa. Los casos más habituales son los virus informáticos, el sabotaje y las
bombas lógicas, programadas para que tengan efecto unos meses después de la
baja del trabajador.
Características de la auditoria Sistemas Tecnológicos.La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, con sus Stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informáticas, materia de la que
se ocupa la Auditoria de Inversión Informática.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de
modo global y particular: a ello se debe la existencia de la Auditoria de
Seguridad Informática en general, o a la auditoria de Seguridad de alguna de
sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Síntomas de necesidad de una auditoria de Sistemas Informáticos:
11
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
1) Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la Informática de la Compañía y de la propia
Compañía.
Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.
2) Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
3) Síntomas de debilidades económico-financiero:
Incremento desmesurado de costes.
Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar
opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
4) Síntomas de Inseguridad: Evaluación de nivel de riesgos
Seguridad Lógica
Seguridad Física
Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales]
5) Centro de Proceso de Datos fuera de control.- Si tal situación llegara a
percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual,
en este caso, el síntoma debe ser sustituido por el mínimo indicio.
12
Papel Del Auditor Informático.- Si se entiende que la auditoria informática
comprende las tareas de evaluar, analizar los procesos informáticos, el papel de
auditor debe estar encaminado hacia la búsqueda de problemas existentes
dentro de los sistemas utilizados, y a la vez proponer soluciones para estos
problemas.
Además que auditor Informático debe estar capacitado en los siguientes
aspectos:
Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los
medios informáticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y del estudio de las
soluciones más idóneas, según los problemas detectados en el sistema
informático, siempre y cuando las soluciones que se adopten no violen la ley ni
los principios éticos. (Ej. Porque está mal el reporte)
Un sistema informático mal diseñado puede convertirse en una herramienta
peligrosa para la persona, puesto que las máquinas obedecen las órdenes
recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los sistemas de información, por lo tanto la
gestión y la organización de la empresa no pueden depender de un SOFTWARE o
un HARDWARE mal diseñado.
Auditoria De Sistemas Informáticos.- Se ocupa de analizar la actividad que
se conoce como técnica de sistemas, en todos sus factores. La importancia
creciente de las telecomunicaciones o propicia de que las comunicaciones,
líneas y redes de las instalaciones informáticas se auditen por separado, aunque
formen parte del entorno general del sistema (Ej. De auditar el cableado
estructurado, ancho de banda de una red LAN)
Sistemas De Información
Los Sistemas De Información Y Su Alcance Se entienden por un sistema de
información al conjunto de normas, procedimientos y demás parámetros que
forman la información general de una empresa o institución. En un sistema de
información se pueden visualizar algunos componentes tales como:
13
1. El nombre del sistema,
2. Nombre de macros del sistema
3. Software base
4. Lenguajes de programación
5. Paquetes, Unidades o departamentos que utilizan la información,
6. Volúmenes de archivos que se utilizan diariamente (Semanal, mensual,
etc.)
7. Requerimientos mínimos de los equipos (En muchos de los casos sí es un
software)
8. Fechas críticas Ingreso de información
9. Flujo de información
10. Egresos de información
5. Tendencias que afectan a los sistemas de información
Al considerar un Sistema de Información como un conjunto de normas y
procesos generales de una determinada, se deben considerar algunos puntos
negativos y positivos que afectan directamente al sistema así por ejemplo:
Actualizaciones: Se refiere a que los sistemas de información de cualquier
empresa, debe ser revisado periódicamente; no con una frecuencia continua,
sino mas bien espaciada, se recomienda las revisiones bi – anuales (No se
recomienda que se actualice en una empresa paulatinamente, por ejemplo el
software, cuadros estadísticos, es recomendable dentro de un año cambiarlo,
todo lo que es máquinas y software; porque si no realizaríamos esto, se
cambiaría toda la estructura organizacional de la misma).
Reestructuración Organizacional.- (Puede ser una reestructuración con los
mismos puestos), Una reestructuración organizacional con cualquier empresa,
implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la
burocracia, agilitar trámites o procesos, la reestructuración puede ser de varios
tipos, así por ejemplo. Aumentar o disminuir departamentos, puestos,
reestructuración de objetivos, etc. Siempre la reestructuración afecta a los
sistemas de información de la empresa.
14
Revisión y Valorización del escalafón (No es para bien si no también para mal)
Aspectos económicos.- Se deben considerar los recursos de la empresa, las
crisis, el control, etc.
Aspectos tecnológicos.- Se refiere al equipo físico dentro de la empresa, se
debe considerar el incremento, los cambios, ya sea de software o hardware
Aspectos sociales.- Se refiere a mejoras orientadas hacia los empleados de la
empresa, así por ejemplo, cursos, capacitación, etc.
Aspecto político legal.- Se refiere a las normas y leyes vigentes para las
empresas, tanto internas como externas, se debe cuidar, el aspecto legal,
especialmente en el Software
Aspecto Administrativo.- Se refiere a la relación a nivel de gerencias, mayor
confianza en la toma de posiciones, decisiones o fortunas, siempre a favor de las
empresas
Simbología En Los Sistemas De Información.- Todo sistema de información
puede ser representado mediante diagramas, mediante los cuales depende de
la complejidad de cada empresa, un ejemplo sencillo puede ser:
Proceso De Implementación.- Para implementar un sistema de información
se puede seguir varios pasos, o metodologías o inclusive se lo puede hacer
empíricamente. E n la implementación se considera siempre la implementación
del software (es decir dentro de la implementación del sistema de información
siempre deberá implementar el software a utilizarse esta empresa).
Así por ejemplo se podrían seguir los siguientes pasos:
a.- Recopilación y análisis de datos
b.- Selección de datos idóneos a ingresarse o utilizarse
c.- Ingreso y manipulación de datos
d.- Procesamiento
e.- Análisis de resultados
15
Seguridad De Los Sistema Informáticos
Para realizar o evaluar la seguridad en los sistemas, es importante conocer
como: desarrollar, ejecutar e implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa planear, organizar, coordinar,
dirigir y controlar actividades relacionadas para garantizar la integridad física de
los recursos implicados en el departamento informático, así como el resguardo
de los activos de la empresa.
Un sistema integral de seguridad debe contemplar los siguientes aspectos:
Definir elementos administrativos
Definir políticos de seguridad
Definir elementos a nivel departamental
Definir elementos a nivel institucional
Organizar y dividir las responsabilidades
Además se debe considerar algunos aspectos extras así por ejemplo:
Motivación.-En la cual es conveniente desarrollar métodos de participación
reflexionando lo que significa la seguridad y el riesgo, el impacto a nivel
empresarial, las responsabilidades individuales, etc.
Capacitación general.- Se debe empezar con los ejecutivos de la empresa a
fin que conozca la relación entre riesgo, seguridad y la información y su impacto
en la empresa.
El objetivo debe ser detectar las debilidades y potencialidades de la
organización frente al riesgo, en este proceso debe incluir la implantación y la
ejecución de planes de contingencia y la simulación de posibles delitos.
Capacitación de técnicos.- Es importante formar técnicos encargados de
mantener la seguridad como parte fundamental de su trabajo y que esté
capacitado para capacitar a otras personas, en lo que es la ejecución de
medidas preventivas y correctivas.
Beneficios de un sistema de seguridad.- Los beneficios de seguridad son
16
inmediatos ya que la organización trabajará sobre una plataforma confiable que
se puede reflejar los siguientes aspectos:
Aumento de la motivación de personal
Compromiso de la misión y visión
Aumento de la productividad
Mejora de las relaciones laborales
Mejora en los equipos de la institución
Estrategias de protección
Toda empresa dentro de su plan anual de actividades debe contemplar un plan
estratégico de protección o plan de contingencia sobre su sistema informático,
entendiéndose a dicho plan como un conjunto de pasos que se realizan con el
propósito de salvaguardar los recursos de la empresa, tanto físico como a nivel
lógico.
Se puede mencionar algunos puntos importantes que debe contemplar el plan
de contingencia, así por ejemplo:
Actividades antes de un desastre
Actividades durante el desastre
Actividades después del desastre
Actividades antes de un desastre
Planificación de un plan de contingencia (debe contener aspectos relacionados a
la prevención de un desastre de cualquier tipo, así por ejemplo sacar respaldos,
lugares de evacuación, buscar sitios seguros, prevención contra cortes
eléctricos.
Simulacros de desastre, se refiere a simular en cada computadora un buen anti
virus (actualizable que cubra la mayor cantidad de virus conocidos, que detecte
limpie y vacune, que posea un manual de procedimiento, versatilidad residente
en memoria).
Preparar personal calificado de las distintas áreas de seguridad Área informática
se refiere a designar 1 o 2 personas para realizar respaldos diarios de la
17
información una o dos personas diferentes para enviar los resultados a sitios
seguros.
Área social se refiere a preparar personal que esté capacitado para socorrer a
los compañeros en caso de desastre (debe tener especial cuidado en las
personas de la tercera edad).
Este personal también deberá capacitarse en el uso de dispositivos o elementos
físicos para casos de emergencia (así por ejemplo uso de alarmas contra fuego,
uso de bombas de agua, uso de switch de seguridad).
Actividades después del desastre
Seguir el plan de contingencia sujetándose a las disposiciones dadas por el
personal calificado para desastres
Tratar de rescatar la mayor cantidad de información posible en el acto
Verificar la calidad e integridad de la información existente (hacer las pruebas
sobre los programas que antes del desastre funcionaban correctamente).
Verificar la calidad e integridad de la información de respaldo
Verificar la parte física o hardware