auditoria especifica

Auditoria Especifica: Ambientes Especiales

Universidad Nacional de ColombiaSede Manizales

2011

José Leonardo Delgado Ramírez

907015

Yeimi Patiño

907047

Tabla de contenidoIntroducción.................................................................................................................................3

Sistemas de reconocimiento biométricos....................................................................................4

Desarrollo de la temática.........................................................................................................4

Marco Regulatorio................................................................................................................4

Aplicación a la industria........................................................................................................6

Auditoria..................................................................................................................................6

Objetivos..............................................................................................................................6

Criterios................................................................................................................................7

Procedimientos....................................................................................................................8

RFID............................................................................................................................................10

Desarrollo de la temática.......................................................................................................10

Funcionamiento.................................................................................................................10

Componentes.....................................................................................................................10

Marco Regulatorio..............................................................................................................11

Auditoria................................................................................................................................12

Objetivos............................................................................................................................12

Criterios..............................................................................................................................13

Procedimientos..................................................................................................................14

Computación ubicua..................................................................................................................16


Auditoria................................................................................................................................16

Objetivos............................................................................................................................16

Criterios..............................................................................................................................17

Procedimientos..................................................................................................................18

Cloud Computing........................................................................................................................19


Modelos y ejemplos...........................................................................................................20

Auditoria................................................................................................................................21

Objetivos............................................................................................................................21

Criterios..............................................................................................................................21

Procedimientos..................................................................................................................23

E-commerce...............................................................................................................................24

1


Auditoria................................................................................................................................25

Objetivos............................................................................................................................25

Criterios..............................................................................................................................26

Procedimientos..................................................................................................................27

E-Business..................................................................................................................................28

Introducción...........................................................................................................................28

Auditoria................................................................................................................................29

Instrumentos..........................................................................................................................29

Técnicas de Evaluación...........................................................................................................29

E-Government (e-gobierno).......................................................................................................30

Introducción...........................................................................................................................30

Programa de Auditoria...........................................................................................................31

Instrumentos de Auditoria.....................................................................................................31


E-Telecom (Telecomunicaciones o comunicaciones electrónicas).............................................32

Introducción...........................................................................................................................32


Instrumentos..........................................................................................................................33


E-Finance....................................................................................................................................34

Introducción...........................................................................................................................34


Instrumentos de Auditoria.....................................................................................................35

Técnicas de evaluación...........................................................................................................36

Redes Sociales............................................................................................................................36

Introducción...........................................................................................................................36

Programa de auditoria...........................................................................................................37

Instrumentos..........................................................................................................................37

Técnicas de evaluación...........................................................................................................38

2

Introducción

El objetivo de la auditoria específica sobre ambientes especiales es el conocer sobre el funcionamiento y estructura de las tecnologías y nuevos modelos de negocios y a partir de allí establecer los objetivos, alcance, y algunos modelos que permitan auditar dichas tecnologías y modelos.

Para las auditorias sobre tecnologías se han establecido semejanzas en cuanto objetivos, criterios de evaluación y procedimientos necesarios para su buena auditoria, por tanto se han duplicado y adaptado estos tres grandes aspectos; de igual manera se posee una estructura para los modelos de negocio que se aplican para todos ellos adecuando ciertos puntos específicos, adicionando y eliminado aspectos de acuerdo a las necesidades.

3

Sistemas de reconocimiento biométricos

Desarrollo de la temáticaLa biometría es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos conductuales o físicos intrínsecos. El término se deriva de las palabras griegas "bios" de vida y "metron" de medida.

En un sistema de Biometría típico, la persona se registra con el sistema cuando una o más de sus características físicas y de conducta son obtenidos, procesada por un algoritmo numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus características concuerdan; entonces cuando alguna otra persona intenta identificarse, no empareja completamente, por lo que el sistema no le permite el acceso. Las tecnologías actuales tienen tasas de error que varían ampliamente (desde valores bajos como el 60%, hasta altos como el 99,9%).

Marco RegulatorioEn los últimos años se ha notado una preocupación creciente por las organizaciones regulatorias respecto a elaborar estándares relativos al uso de técnicas biométricas en el ambiente informático. Esta preocupación es reflejo del creciente interés industrial por este ámbito tecnológico, y a los múltiples beneficios que su uso aporta. No obstante ello, aún la estandarización continua siendo deficiente y como resultado de ello, los proveedores de soluciones biométricas continúan suministrando interfaces de software propietarios para sus productos, lo que dificulta a las empresas el cambio de producto o vendedor.

A nivel mundial el principal organismo que coordina las actividades de estandarización biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology (ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International Electrotechnical Commission (IEC). En Estados Unidos desempeñan un papel similar el Comité Técnico M1 del INCITS (InterNational Committee for Information Technology Standards), el National Institute of Standards and Technology (NIST) y el American National Standards Institute (ANSI).

Existen además otros organismos no gubernamentales impulsando iniciativas en materias biométricas tales como: Biometrics Consortium, International Biometrics Groups y BioAPI. Este último se estableció en Estados Unidos en 1998 compuesto por las empresas Bioscrypt, Compaq, Iridiam, Infineon, NIST, Saflink y Unisis. El Consorcio BioAPI desarrolló conjuntamente con otros consorcios y asociaciones, un estándar que promoviera la conexión entre los dispositivos biométricos y los diferentes tipos de programas de aplicación, además de promover el crecimiento de los mercados biométricos.

4

Algunos de los estándares más importantes son:

Estándar ANSI X.9.84: creado en 2001, por la ANSI (American National Standards Institute) y actualizado en 2003, define las condiciones de los sistemas biométricos para la industria de servicios financieros haciendo referencia a la transmisión y almacenamiento seguro de información biométrica, y a la seguridad del hardware asociado.

Estándar ANSI / INCITS 358: creado en 2002 por ANSI y BioApi Consortium, presenta una interfaz de programación de aplicación que garantiza que los productos y sistemas que cumplen este estándar son interoperables entre sí.

Estándar NISTIR 6529: también conocido como CBEFF (Common Biometric Exchange File Format) es un estándar creado en 1999 por NIST y Biometrics Consortium que propone un formato estandarizado (estructura lógica de archivos de datos) para el intercambio de información biométrica.

Estándar ANSI 378: creado en 2004 por la ANSI, establece criterios para representar e intercambiar la información de las huellas dactilares a través del uso de minucias. El propósito de esta norma es que un sistema biométrico dactilar pueda realizar procesos de verificación de identidad e identificación, empleando información biométrica proveniente de otros sistemas.

Estándar ISO 19794-2: creado en 2005 por la ISO/IEC con propósitos similares a la norma ANSI 378, respecto a la que guarda mucha similitud.

Estándar PIV-071006: creado en 2006 por el NIST y el FBI en el contexto de la norma FIPS 201 del gobierno de EE.UU, establece los criterios de calidad de imagen que deben cumplir los lectores de huellas dactilares para poder ser usados en procesos de verificación de identidad en agencias federales.

5

Aplicación a la industriaLa Industria de Biométrica ofrece varias tecnologías. Cada tecnología es considerada como un segmento de mercado diferente. Las más conocidas son las huellas dactilares, reconocimiento de cara y reconocimiento de iris.

Tecnología Aplicación MercadosAFIS/Lifescan Controles de Vigilancia Servicios policiales y militares

Reconocimiento facial Identificación sin contacto Farmacéuticas, Hospitales, Industria pesada y Obras

Geometría dactilar Identificación Criminal Hospitales y Sector Salud

Reconocimiento de iris Acceso a sistemas Industria manufactureraReconocimiento de Voz Acceso a instalaciones Viajes y Turismo

Escritura y Firma Vigilancia

Hay muchos participantes en la industria biométrica. El mercado es muy complejo y el desarrollo de la tecnología a la medida se ofrece cada día más por muchas empresas. Las diferentes tecnologías se diferencian en términos de aplicación y segmentos de mercado. En términos generales, las empresas que mantienen participaciones de mercado significativas en segmentos específicos ni siquiera participan en otros.

Auditoria

Objetivos

GeneralEl objetivo de auditar este tipo de tecnología es encontrar y plantear soluciones para las falencias de seguridad, integridad, estabilidad, disponibilidad y otras propiedades de los sistemas. El enfoque para la auditoria se encuentra en su funcionalidad y servicio para los sistemas de información en el marco de las tecnologías de información, por lo que será necesario evaluar las tecnologías dependientes y relacionadas, el comportamiento de los interesados positiva y negativamente, además se quiere corroborar la utilidad de este tipos de tecnologías en diferentes mercados y los requisitos necesarios para que sean productivas.

Específicos Establecer los requerimientos aceptables para lograr una correcta implementación y

continuidad en el uso de tecnologías biométricas. Establecer los posibles riesgos y determinar las recomendaciones para el plan de

contingencia correspondiente. Identificar los puntos críticos y factores clave de éxito para un proyecto de

implementación de un sistema de reconocimiento biométrico. Establecer las líneas base para monitorear y evaluar el funcionamiento de sistemas de

reconocimiento biométrico. Determinar el estado de madurez de la tecnología y el uso de sistemas de

autenticación bajo sistemas biométricos.

6

Criterios Los criterios establecidos se determinaron en base a las necesidades que podría tener cualquier sistema de identificación biométrica.

Efectividad: el sistema biométrico debe brindar información relevante y pertinente que permita una correcta autenticación o detección del comportamiento para el fin que fue creado el sistema de reconocimiento. La información que genere y use el sistema debe estar bajo los parámetros de oportunidad, consistencia y usabilidad.

Eficiencia: el sistema debe usar y generar información de manera óptima, es decir, debe ser productivo económicamente en cuanto al uso de recursos.

Confidencialidad: La información que use y genere el sistema de reconocimiento biométrico no debe revelar información no autorizada.

Integridad: La información y los datos generados y usados por el sistema y sus dependencias deben ser precisos y completos, además debe tener validez de acuerdo a las expectativas y proyecciones.

Disponibilidad: La información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

Cumplimiento normativo: los equipos, metodologías, modo de uso, y en general todos los aspectos del sistema de reconocimiento biométrico deben estar dentro de lo establecido en las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

Confiabilidad: Es de vital importancia que el sistema proporcione información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

7

Procedimientos

Lista de chequeo

Punto de evaluaciónCumple

ObservaciónSi No

Se posee un plan de pruebas periódico que evalúe la efectividad de la solución en el tiempoLas pruebas garantizan que los datos generados por el sistema sean oportunos, consistentes y usables. Esto bajo los parámetros establecidos en las necesidades del negocioEl porcentaje de “aciertos” del sistema está en el rango de los objetivos del proyectoSe realiza el análisis costo beneficio de la o las soluciones de reconocimiento biométricoEl acceso al sistema, información y datos que use y genere la solución son exclusivamente usados por personal capacitado y autorizadoEl sistema está conectado con otros sistemas que puedan incurrir en fallas de seguridad externas al sistema de reconocimientoLos datos generados por el sistema son completos y determinantes para su uso, siendo válidos para los objetivos del proyecto y/o sistema de reconocimientoSe garantiza el acceso al sistema en un rango de disponibilidad establecidoExisten planes de contingencia sobre los sistemas de reconocimiento biométricosEstán definidas las funciones y responsabilidades del personal que usa y mantiene el sistema de reconocimientoSe tiene establecido un plan de mantenimiento de los equipos y sistemas relacionados al sistema de reconocimiento biométricoLos equipos, metodologías y demás ítems relacionados con el sistema biométrico se desarrollaron y se encuentran bajo la normatividad vigenteSe realizan las capacitaciones y se poseen los manuales de usuarios y procedimientos sobre el sistema de reconocimiento biométricoSe realiza el monitoreo y evaluación sobre la solución de reconocimiento biométricoExisten medios para identificar afinidad por parte de los usuarios hacia el sistema de reconocimiento biométrico

EntrevistaCon la entrevista se pretende verificar que todas las personas interesadas y afectadas por el sistema conozcan los procedimientos, políticas y funcionamiento. La entrevista se realiza con el fin de identificar inconformidades con el sistema, desconocimiento de la existencia o funcionamiento de la solución, además se quiere establecer que tan útil y oportuno es el

8

proyecto o el ya implementado sistema de reconocimiento biométrico. Durante la entrevista el auditor deberá solicitar documentos escritos que ratifiquen las respuestas y justificaciones del auditado, si no es posible es relevante el poder grabar algunas conversaciones o aspectos importantes identificados.

PruebasPersonal calificado y autorizado debe realizar pruebas sobre el sistema de reconocimiento biométrico, considerando la escalabilidad de los datos que el sistema procesa, la veracidad y tiempos de respuesta de la solución. Todos los resultados de las pruebas, automatizadas o no, deben generarse por escrito. Las pruebas deben ser programadas y autorizadas por la alta gerencia, para esto se debe planear los espacios de trabajo, personal necesario y herramientas a utilizar, todo lo anterior debe estar contemplado por la organización objetivo.

9

RFID

Desarrollo de la temáticaRFID (Radio Frequency IDentification, en español identificación por radiofrecuencia) es un sistema de almacenamiento y recuperación de datos remoto que usa dispositivos denominados etiquetas, tarjetas, transponedores o tags RFID. El propósito fundamental de la tecnología RFID es transmitir la identidad de un objeto (similar a un número de serie único) mediante ondas de radio. Las tecnologías RFID se agrupan dentro de las denominadas Auto ID (automatic identification, o identificación automática).

FuncionamientoEl modo de funcionamiento de los sistemas RFID es simple. La etiqueta RFID, que contiene los datos de identificación del objeto al que se encuentra adherido, genera una señal de radiofrecuencia con dichos datos. Esta señal puede ser captada por un lector RFID, el cual se encarga de leer la información y pasarla en formato digital a la aplicación específica que utiliza RFID.

ComponentesEtiqueta RFID o transponedor: compuesta por una antena, un transductor de radio y un material encapsulado o chip. El propósito de la antena es permitirle al chip, el cual contiene la información, transmitir la información de identificación de la etiqueta. Existen varios tipos de etiquetas. El chip posee una memoria interna con una capacidad que depende del modelo y varía de una decena a millares de bytes Un tipo especial de etiquetas son las anticolisión y se trata de etiquetas especiales que permiten que un lector identifique varias al mismo tiempo (habitualmente las etiquetas deben entrar una a una en la zona de cobertura del lector).

Lector de RFID o transceptor: compuesto por una antena, un transceptor y un decodificador. El lector envía periódicamente señales para ver si hay alguna etiqueta en sus inmediaciones. Cuando capta una señal de una etiqueta (la cual contiene la información de identificación de esta), extrae la información y se la pasa al subsistema de procesamiento de datos.

Subsistema de procesamiento de datos o Middleware RFID: proporciona los medios de proceso y almacenamiento de datos.

Las tags RFID pueden ser activos, semipasivos (también conocidos como semiactivos o asistidos por batería) o pasivos. Los tags pasivos no requieren ninguna fuente de alimentación interna y son dispositivos puramente pasivos (sólo se activan cuando un lector se encuentra cerca para suministrarles la energía necesaria). Los otros dos tipos necesitan alimentación, típicamente una pila pequeña.

10

Marco Regulatorio

Los estándares de RFID abordan cuatro áreas fundamentales:

Protocolo en la interfaz aérea: especifica el modo en el que etiquetas RFID y lectores se comunican mediante radiofrecuencia.

Contenido de los datos: especifica el formato y semántica de los datos que se comunican entre etiquetas y lectores.

Certificación: pruebas que los productos deben cumplir para garantizar que cumplen los estándares y pueden inter operar con otros dispositivos de distintos fabricantes.

Aplicaciones: usos de los sistemas RFID.

Como en otras áreas tecnológicas, la estandarización en el campo de RFID se caracteriza por la existencia de varios grupos de especificaciones competidoras. Por una parte está ISO, y por otra Auto-ID Centre (conocida desde octubre de 2003 como EPCglobal,11 de EPC, Electronic Product Code). Ambas comparten el objetivo de conseguir etiquetas de bajo coste que operen en UHF.

Los estándares EPC para etiquetas son de dos clases:

Clase 1: etiqueta simple, pasiva, de sólo lectura con una memoria no volátil programable una sola vez.

Clase 2: etiqueta de sólo lectura que se programa en el momento de fabricación del chip (no reprogramable posteriormente).

Las clases no son ínteroperables y además son incompatibles con los estándares de ISO. Aunque EPCglobal está desarrollando una nueva generación de estándares EPC está (denominada Gen2), con el objetivo de conseguir interoperabilidad con los estándares de ISO, aún se está en discusión sobre el AFI (Application Family Identifier) de 8 bits.

Por su parte, ISO ha desarrollado estándares de RFID para la identificación automática y la gestión de objetos. Existen varios estándares relacionados, como ISO 10536, ISO 14443 e ISO 15693, pero la serie de estándares estrictamente relacionada con las RFID y las frecuencias empleadas en dichos sistemas es la serie 18000.

No hay ninguna corporación pública global que gobierne las frecuencias usadas para RFID. En principio, cada país puede fijar sus propias reglas.

Las principales corporaciones que gobiernan la asignación de las frecuencias para RFID son:

EE.UU.: FCC (Federal Communications Commission) Canadá: DOC (Departamento de la Comunicación) Europa: ERO, CEPT, ETSI y administraciones nacionales. Obsérvese que las

administraciones nacionales tienen que ratificar el uso de una frecuencia específica antes de que pueda ser utilizada en ese país

11

Japón: MPHPT (Ministry of Public Management, Home Affairs, Post and Telecommunication)

China: Ministerio de la Industria de Información Australia: Autoridad Australiana de la Comunicación (Australian Communication

Authority) Nueva Zelanda: Ministerio de desarrollo económico de Nueva Zelanda (New Zealand

Ministry of Economic Development. Argentina: CNC (Comisión Nacional de Comunicaciones).

Las etiquetas RFID de baja frecuencia (LF: 125 - 134 kHz y 140 - 148.5 kHz) y de alta frecuencia (HF: 13.56 MHz) se pueden utilizar de forma global sin necesidad de licencia. La frecuencia ultraalta (UHF: 868 - 928 MHz) no puede ser utilizada de forma global, ya que no hay un único estándar global. En Norteamérica, la frecuencia ultraelevada se puede utilizar sin licencia para frecuencias entre 908 - 928 MHz, pero hay restricciones en la energía de transmisión. En Europa la frecuencia ultraelevada está bajo consideración para 865.6 - 867.6 MHz. Su uso es sin licencia sólo para el rango de 869.40 - 869.65 MHz, pero existen restricciones en la energía de transmisión. El estándar UHF norteamericano (908-928 MHz) no es aceptado en Francia e Italia ya que interfiere con sus bandas militares. En China y Japón no hay regulación para el uso de la frecuencia ultraelevada. Cada aplicación de frecuencia ultraelevada en estos países necesita de una licencia, que debe ser solicitada a las autoridades locales, y puede ser revocada. En Australia y Nueva Zelanda, el rango es de 918 - 926 MHz para uso sin licencia, pero hay restricciones en la energía de transmisión.

Existen regulaciones adicionales relacionadas con la salud y condiciones ambientales. Por ejemplo, en Europa, la regulación Waste Electrical and Electronic Equipment ("Equipos eléctricos y electrónicos inútiles"), no permite que se desechen las etiquetas RFID. Esto significa que las etiquetas RFID que estén en cajas de cartón deben ser quitadas antes de deshacerse de ellas. También hay regulaciones adicionales relativas a la salud.

Auditoria

Objetivos



continuidad en el uso de tecnologías RFID.

12

Establecer los posibles riesgos y determinar las recomendaciones para el plan de contingencia correspondiente.

Identificar los puntos críticos y factores clave de éxito para un proyecto de implementación de un sistema basado en RFID.

Establecer las líneas base para monitorear y evaluar el funcionamiento de sistemas de RFID.

Determinar el estado de madurez de la tecnología y efectividad del uso de tecnologías basadas en RFID.

Criterios Los criterios establecidos se determinaron en base a las necesidades que podría tener cualquier sistema basado en RFID, ya que la mayoría de necesidades son de información, los criterios están desarrollados en el marco de trabajo Cobit sobre criterios de información.

Efectividad: El sistema basado en RFID debe ser relevante y pertinente para los objetivos del negocio, proporcionando un servicio que sea oportuno, consistente y utilizable.

Eficiencia: El sistema de RFID debe ser productivo en términos económicos, debe ser óptimo en el uso de todos los recursos.

Confidencialidad: La tecnología implementada o a implementar debe proteger toda la información que use y genere para que no sea revelada a personal indeseado.

Integridad: El sistema debe ser preciso en cuanto al procesamiento y entrega de resultados, no solo desde el punto de vista de la tecnología sino como un sistema en general, la información debe ser completa y válida de acuerdo a las necesidades del negocio.

Disponibilidad: El sistema debe tener una taza de disponibilidad acorde con lo establecido en las necesidades del negocio, debe proteger los recursos y garantizar su funcionamiento cuando sea necesario.

Cumplimiento normativo: los equipos, metodologías, modo de uso, y en general todos los aspectos relacionados a la tecnología RFID deben estar dentro de lo establecido en las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

Confiabilidad: El sistema debe ser autosuficiente para sus funciones con el fin de que proporcione información apropiada y verás que permitan usar de manera eficiente la información generada.

13

Procedimientos

Lista de chequeo


ObservaciónSi No

Se posee un plan de pruebas periódico que evalúe la efectividad de la solución en el tiempoLas pruebas garantizan que los datos generados por el sistema sean oportunos, consistentes y usables. Esto bajo los parámetros establecidos en las necesidades del negocioLa tasa de fallas e inconsistencias del sistema RFID están dentro del marco establecido por la organizaciónSe evalúa periódicamente la relación costo beneficio para la tecnología RFID implementada y se toman decisiones en base en elloLa información que se ingresa y sale del sistema es manejada de manera segura y por personal autorizado y capacitadoEl sistema está conectado con otros sistemas que puedan incurrir en fallas de seguridad externas al sistema de RFIDLos datos generados por el sistema son completos y determinantes para su uso, siendo válidos para los objetivos del proyecto y/o sistema de reconocimientoSe garantiza el acceso al sistema en un rango de disponibilidad establecidoExisten planes de contingencia en caso de falla del sistema de RFIDEstán definidas las funciones y responsabilidades del personal que usa y mantiene la tecnologíaSe tiene establecido un plan de mantenimiento de los equipos y sistemas relacionados al sistema basado en RFIDLos equipos, metodologías y demás ítems relacionados con la tecnología de RFID se desarrollaron y se encuentran bajo la normatividad vigenteSe realizan las capacitaciones y se poseen los manuales de usuarios y procedimientos sobre el sistema de RFIDSe realiza el monitoreo y evaluación sobre la solución de RFIDExisten medios para identificar afinidad por parte de los usuarios hacia el sistema de RFIDEstán documentados los procedimientos de eliminación de tarjetas RFIDLos costos de mantenimiento de equipos y tarjetas se encuentran en un presupuesto aprobado

EntrevistaCon la entrevista se pretende verificar que todas las personas interesadas y afectadas por el sistema conozcan los procedimientos, políticas y funcionamiento. La entrevista se realiza con el fin de identificar inconformidades con el sistema, desconocimiento de la existencia o funcionamiento de la solución, además se quiere establecer que tan útil y oportuno es el

14

proyecto o el ya implementado sistema de reconocimiento biométrico. Durante la entrevista el auditor deberá solicitar documentos escritos que ratifiquen las respuestas y justificaciones del auditado, si no es posible es relevante el poder grabar algunas conversaciones o aspectos importantes identificados. El objetivo de las entrevistas es establecer las necesidades y falencias que los usuarios o personas del entorno del sistema RFID perciben sobre el mismo, también se quieren identificar falencias de seguridad sobre la manera como los usuarios usan las tarjetas y dispositivos de RFID.

PruebasPersonal calificado y autorizado debe realizar pruebas sobre el sistema de RFID, considerando la escalabilidad de los datos que el sistema procesa, la veracidad y tiempos de respuesta de la solución. Todos los resultados de las pruebas, automatizadas o no, deben generarse por escrito. Las pruebas deben ser programadas y autorizadas por la alta gerencia, para esto se debe planear los espacios de trabajo, personal necesario y herramientas a utilizar, todo lo anterior debe estar contemplado por la organización objetivo.

15

Computación ubicua

Desarrollo de la temática

Se entiende por computación ubicua (ubicomp) la integración de la informática en el entorno de la persona, de forma que los ordenadores no se perciban como objetos diferenciados. Esta disciplina se conoce en inglés por otros términos como pervasive computing, calm technology, things that think y everyware. Desde hace unos años también se denomina inteligencia ambiental.

Sus promotores propugnan la integración de dispositivos alrededor de escenarios donde se encuentre localizado el ser humano, en el que éste puede interactuar de manera natural con sus dispositivos y realizar cualquier tarea diaria de manera completamente trasparente con respecto a sus computadores. Durante sus actividades ordinarias, alguien que esté “usando” computación ubicua lo hace a través de diversos dispositivos y sistemas computacionales simultáneamente, y generalmente lo hará sin percibirlo. Este modelo es visto como un paso más del paradigma de uso de ordenadores de escritorio. Como punto común a todos los modelos de computación ubicua podríamos destacar el hecho de que comparten la visión de ser pequeños y disimulables, robustos y con capacidad para procesamiento de red, distribuidos en todas las escalas que comprende el día a día actual, y generalmente son integrables en nuestro entorno sin ser especialmente llamativos. Por ejemplo, un dispositivo de computación ubicua doméstico podría interconectar los sistemas de iluminación y calefacción con un control ambiente, de manera que en función de la evolución del momento del día y sus características, este sistema reaccionase y pudiese variar la temperatura y condiciones de luz en una vivienda o edificio, de manera continua e imperceptible. Otra aplicación frecuente son frigoríficos que son conscientes de su contenido cuando ha sido convenientemente etiquetado, capaces de planificar menús saludables para toda la semana en función de las necesidades de cada miembro de la familia, y advertir a los usuarios de la comida rancia o en mal estado.

Auditoria

Objetivos

GeneralEl objetivo principal de auditar este modelo tecnológico y de negocios es el encontrar los aspectos críticos del mismo como los aspectos técnicos y morales y explotar detalles para evaluar si este modelo es viable o no para un proyecto, desarrollar en base en él u otras actividades que impliquen la computación ubicua.

16


continuidad en el uso de computación ubicua. Establecer los posibles riesgos y determinar las recomendaciones para el plan de


implementación de un sistema basado en computación ubicua. Establecer las líneas base para monitorear y evaluar el funcionamiento de aplicaciones

basadas en computación ubicua. Determinar el estado de madurez de la tecnología y efectividad del uso de tecnologías

basadas en computación ubicua. Establecer un marco adecuado en cuanto a disposición y aceptabilidad de este tipo de

modelo de negocios.

Criterios Los criterios establecidos se determinaron en base a las necesidades que podría tener cualquier sistema basado en computación ubicua.

Efectividad: se evalúa que la computación ubica es el mejor modelo de negocios y tecnología para la necesidad establecida, todo en esto en base de que el sistema brinde de manera oportuna, correcta, consistente y utilizable sus resultados.

Eficiencia: Para satisfacer la necesidad la solución de computación ubica debe ser optima en el uso de los recursos.

Confidencialidad: La tecnología implementada o a implementar debe proteger toda la información que use y genere para que no sea revelada a personal indeseado.

Integridad: El sistema debe ser preciso en cuanto al procesamiento y entrega de resultados, no solo desde el punto de vista de la tecnología sino como un sistema en general, la información debe ser completa y válida de acuerdo a las necesidades del negocio o cualquier ambiente en el que se implemente.

Disponibilidad: El sistema debe tener una taza de disponibilidad acorde con lo establecido en las necesidades del negocio, debe proteger los recursos y garantizar su funcionamiento cuando sea necesario.

Cumplimiento normativo: los equipos, metodologías, modo de uso, y en general todos los aspectos relacionados deben estar dentro de lo establecido en las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. Además se deben considerar normativas éticas y religiosas del ambiente.

Confiabilidad: El sistema debe ser autosuficiente para sus funciones con el fin de que proporcione información apropiada y verás que permitan usar de manera eficiente la información generada. Esta información solo debe estar disponible para el usuario implicado en el uso de la tecnología.

17

Procedimientos

Lista de chequeo


ObservaciónSi No

Se posee un plan de pruebas periódico que evalúe la efectividad de la solución en el tiempoLas pruebas garantizan que los datos generados por el sistema sean oportunos, consistentes y usables. Esto bajo los parámetros establecidos en las necesidades del negocioLa tasa de fallas e inconsistencias del sistema de computación ubicua están dentro del marco establecido por la organización o usuarios.La información que se ingresa y sale del sistema es manejada de manera seguraEl sistema está conectado con otros sistemas que puedan incurrir en fallas de seguridad externas al sistemaLos datos generados por el sistema son completos y determinantes para su uso, siendo válidos para interactuar de manera transparenteSe garantiza el uso de la tecnología con una disponibilidad óptimaExisten planes de contingencia y procedimientos en caso de fallas de un sistema de computación ubicuaEstán definidas las funciones y responsabilidades del personal que usa y mantiene la tecnologíaSe tiene establecido un plan de mantenimiento de los equipos y sistemas relacionadosLos equipos, metodologías y demás ítems relacionados con la tecnología se desarrollaron y se encuentran bajo la normatividad vigenteSe realizan las capacitaciones y se poseen los manuales de usuarios y procedimientos sobre el sistemaSe realiza el monitoreo y evaluación sobre la soluciónExisten medios para identificar afinidad por parte de los usuarios hacia el sistemaSe consideran los aspecto morales y éticos antes de implementar este tipo de tecnologíaSe garantiza que no se presenten problemas de salud con el uso de estas tecnologías o se minimiza a niveles aceptablesEl sistema es transparente para el usuario en cuanto su uso

EntrevistaCon la entrevista se pretende verificar que todas las personas interesadas y afectadas por el sistema conozcan los procedimientos, políticas y funcionamiento. La entrevista se realiza con el fin de identificar inconformidades con el sistema, desconocimiento de la existencia o funcionamiento de la solución, además se quiere establecer que tan útil y oportuno es el proyecto o el ya implementado sistema basado en computación ubicua. Se debe comprobar

18

que las tecnologías usadas sean transparentes para el usuario garantizando que estén satisfechos con la solución.

PruebasPersonal calificado y autorizado debe realizar pruebas sobre el sistema, considerando la escalabilidad de los datos que el sistema procesa, la veracidad y tiempos de respuesta de la solución. Todos los resultados de las pruebas, automatizadas o no, deben generarse por escrito. Las pruebas deben ser programadas y autorizadas por los interesados, para esto se debe planear los espacios de trabajo, personal necesario y herramientas a utilizar, todo lo anterior debe estar contemplado por los dueños y usuarios de la solución.

Cloud Computing

Desarrollo de la temáticaLa computación en la nube o informática en la nube, del inglés "Cloud computing", es un paradigma que permite ofrecer servicios de computación a través de Internet. La "nube" es una metáfora de Internet.

En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan. Según el IEEE Computer Society, es un paradigma en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc. Esto se debe a que, pese a que las capacidades de los PC han mejorado sustancialmente, gran parte de su potencia se desaprovecha, al ser máquinas de propósito general.

"Cloud computing" es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite al usuario acceder a un catálogo de servicios estandarizados y responder a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado.

El cambio paradigmático que ofrece computación en nube es que permite aumentar el número de servicios basados en la red. Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la “transparencia” e inmediatez del sistema y de un modelo de pago por consumo.

Computación en nube consigue aportar estas ventajas, apoyándose sobre una infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por un alto grado de automatización, una rápida movilización de los recursos, una elevada capacidad de adaptación

19

para atender a una demanda variable, así como virtualización avanzada y un precio flexible en función del consumo realizado.

La computación en nube es un concepto que incorpora el software como servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de los usuarios.

Modelos y ejemplos Software como servicio

El software como servicio (en inglés software as a service, SaaS) se encuentra en la capa más alta y caracteriza una aplicación completa ofrecida como un servicio, en-demanda, vía multitenencia —que significa una sola instancia del software que corre en la infraestructura del proveedor y sirve a múltiples organizaciones de clientes. El ejemplo de SaaS conocido más ampliamente es Salesforce.com, pero ahora ya hay muchos más, incluyendo las Google Apps que ofrecen servicios básicos de negocio como el e-mail. Por supuesto, la aplicación multitenencia de Salesforce.com ha constituido el mejor ejemplo de cómputo en nube durante unos cuantos años. Por otro lado, como muchos otros jugadores en el negocio del cómputo en nube, Salesforce.com ahora opera en más de una capa de la nube con su Force.com, que ya está en servicio, y que consiste en un ambiente de desarrollo de una aplicación compañera (“companion application”), o plataforma como un servicio.

Plataforma como servicio

La capa del medio, que es la plataforma como servicio (en inglés platform as a service), es la encapsulación de una abstración de un ambiente de desarrollo y el empaquetamiento de una carga de servicios. La carga arquetipo es una imagen Xen (parte de Servicios Web Amazon) conteniendo una pila básica Red (por ejemplo, un distro Linux, un servidor Red, y un ambiente de programación como Perl o Ruby). Las ofertas pueden dar servicio a todas las fases del ciclo de desarrollo y pruebas del software, o pueden estar especializadas en cualquier área en particular, tal como la administración del contenido.

Los ejemplos comerciales incluyen Google App Engine, que sirve aplicaciones de la infraestructura Google. Servicios tales como éstos permiten gran flexibilidad, pero puede ser restringida por las capacidades que están disponibles a través del proveedor.

Microsoft apuesta por Windows Azure. Plataforma de desarrollo en la nube que permite crear y ejecutar aplicaciones codificadas en varios lenguajes y tecnologías, como .NET, Java y PHP.

Infraestructura como servicio

La infraestructura como servicio (infrastructure as a service, IaaS) se encuentra en la capa inferior y es un medio de entregar almacenamiento básico y capacidades de cómputo como servicios estandarizados en la red. Servidores, sistemas de almacenamiento, conexiones, enrutadores, y otros sistemas se concentran (por ejemplo a través de la tecnología de virtualización) para manejar tipos específicos de cargas de trabajo desde procesamiento en lotes (“batch”) hasta aumento de almacenamiento y procesamiento durante las cargas pico. El

20

ejemplo comercial mejor conocido es Amazon Web Services, cuyos servicios EC2 y S3 ofrecen cómputo y servicios de almacenamiento esenciales (respectivamente). Otro ejemplo es Joyent cuyo producto principal es una línea de servidores virtualizados, que proveen una infraestructura en-demanda altamente escalable para manejar sitios Web, incluyendo aplicaciones Web complejas escritas en Ruby en Rails, PHP, Python, y Java.

Auditoria

Objetivos

GeneralEl objetivo de auditar este tipo de tecnología es encontrar y plantear soluciones para las falencias de seguridad, integridad, estabilidad, disponibilidad y otras propiedades de los sistemas. El enfoque para la auditoria se encuentra en su funcionalidad y servicio para los sistemas de información en el marco de las tecnologías de información, por lo que será necesario evaluar las tecnologías dependientes y relacionadas, el comportamiento de los interesados positiva y negativamente, además se quiere corroborar la utilidad de este tipos de tecnologías en diferentes mercados y los requisitos necesarios para que sean productivas. Para este nuevo modelo de negocios es necesario determinar su relevancia para ser implementado en una organización en específico.


continuidad en el uso de tecnologías biométricas. Establecer los posibles riesgos y determinar las recomendaciones para el plan de


implementación de un sistema de reconocimiento biométrico. Establecer las líneas base para monitorear y evaluar el funcionamiento de sistemas de

reconocimiento biométrico. Determinar el estado de madurez de la tecnología y el uso de sistemas de

autenticación bajo sistemas biométricos. Determinar la mejor opción o tipo de aplicación de cloud computing para una

organización en específico.

Criterios Los criterios establecidos se determinaron en base a las necesidades que podría tener cualquier sistema basado en cloud computing, además de establecer las necesidades que se podrían satisfacer con este tipo de solución.

Efectividad: El sistema que se tiene implementado o se desea implementar proporcionará servicios e información relevante para los procesos del negocio, esto considerando que los resultados deben ser oportunos, correctos, consistentes y utilizables.

21


Confidencialidad: La información que use y genere el sistema de no debe revelar información no autorizada.



Cumplimiento normativo: los equipos, metodologías, modo de uso, y en general todos los aspectos de la solución deben estar dentro de lo establecido en las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

Confiabilidad: Es de vital importancia que el sistema proporcione información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. Para esto se debe garantizar la accesibilidad con sus tiempos de respuesta respectivamente.

22

Procedimientos

Lista de chequeo


ObservaciónSi No

Se posee un plan de pruebas periódico que evalúe la efectividad de la solución en el tiempoLas pruebas garantizan que los datos generados por el sistema sean oportunos, consistentes y usables. Esto bajo los parámetros establecidos en las necesidades del negocioSe realiza el análisis costo beneficio de la o las soluciones de reconocimiento biométricoEl acceso al sistema, información y datos que use y genere la solución son exclusivamente usados por personal capacitado y autorizadoSe puede acceder a los servicios de cloud computing por medio de otros sistemas no considerados por la organizaciónLos datos generados por el sistema son completos y determinantes para su uso, siendo válidos para los objetivos del proyecto y organizaciónSe garantiza el acceso al sistema en un rango de disponibilidad establecidoExisten planes de contingencia que garanticen las operaciones de la organizaciónEstán definidas las funciones y responsabilidades del personal que usa y mantiene el sistemaSe tiene establecido un plan de mantenimiento de los equipos y sistemas relacionados al sistemaLos equipos, metodologías y demás ítems relacionados con el sistema se desarrollaron y se encuentran bajo la normatividad vigenteSe realizan las capacitaciones y se poseen los manuales de usuarios y procedimientos para el buen uso de las soluciones en la nubeSe realiza el monitoreo y evaluación sobre la soluciónExisten medios para identificar afinidad por parte de los usuarios hacia el sistemaSe consideran necesarios diferentes proveedores de internet para garantizar el acceso a los servicios en la nubeEl precio que se paga por las soluciones en la nube es directamente proporcional a la seguridadLa organización es dependiente de la computación en la nubeSe analizan los beneficios y desventajas del uso de la computación en la nube

PruebasPersonal calificado y autorizado debe realizar pruebas sobre el sistema de computación en la nube, considerando la escalabilidad de los datos que el sistema procesa, la veracidad y tiempos de respuesta de la solución. Todos los resultados de las pruebas, automatizadas o no, deben generarse por escrito. Las pruebas deben ser programadas y autorizadas por la alta gerencia,

23

para esto se debe planear los espacios de trabajo, personal necesario y herramientas a utilizar, todo lo anterior debe estar contemplado por la organización objetivo. Dentro de las pruebas se debe establecer la funcionalidad y disponibilidad de las conexiones físicas y lógicas de interconexión.

E-commerce

Desarrollo de la temáticaEl comercio electrónico, también conocido como e-commerce (electronic commerce en inglés), consiste en la compra y venta de productos o de servicios a través de medios electrónicos, tales como Internet y otras redes informáticas. Originalmente el término se aplicaba a la realización de transacciones mediante medios electrónicos tales como el Intercambio electrónico de datos, sin embargo con el advenimiento de la Internet y la World Wide Web a mediados de los años 90 comenzó a referirse principalmente a la venta de bienes y servicios a través de Internet, usando como forma de pago medios electrónicos, tales como las tarjetas de crédito.

La cantidad de comercio llevada a cabo electrónicamente ha crecido extraordinariamente debido a la propagación de Internet. Una gran variedad de comercio se realiza de esta manera, estimulando la creación y utilización de innovaciones como la transferencia de fondos electrónica, la administración de cadenas de suministro, el marketing en Internet, el procesamiento de transacciones en línea (OLTP), el intercambio electrónico de datos (EDI), los sistemas de administración del inventario, y los sistemas automatizados de recolección de datos.

La mayor parte del comercio electrónico consiste en la compra y venta de productos o servicios entre personas y empresas, sin embargo un porcentaje considerable del comercio electrónico consiste en la adquisición de artículos virtuales (software y derivados en su mayoría), tales como el acceso a contenido "premium" de un sitio web.

El comercio electrónico realizado entre empresas es llamado en inglés Business-to-business o B2B. El B2B puede estar abierto a cualquiera que esté interesado (como el intercambio de mercancías o materias primas), o estar limitado a participantes específicos pre-calificados (mercado electrónico privado).

El comercio electrónico puede utilizarse en cualquier entorno en el que se intercambien documentos entre empresas: compras o adquisiciones, finanzas, industria, transporte, salud, legislación y recolección de ingresos o impuestos. Ya existen compañías que utilizan el comercio electrónico para desarrollar los aspectos siguientes:

Creación de canales nuevos de marketing y ventas. Acceso interactivo a catálogos de productos, listas de precios y folletos publicitarios.

24

Venta directa e interactiva de productos a los clientes. Soporte técnico ininterrumpido, permitiendo que los clientes encuentren por sí

mismos, y fácilmente, respuestas a sus problemas mediante la obtención de los archivos y programas necesarios para resolverlos.

Mediante el comercio electrónico se intercambian los documentos de las actividades empresariales entre socios comerciales. Los beneficios que se obtienen en ello son: reducción del trabajo administrativo, transacciones comerciales más rápidas y precisas, acceso más fácil y rápido a la información, y reducción de la necesidad de reescribir la información en los sistemas de información.

Los tipos de actividad empresarial que podrían beneficiarse mayormente de la incorporación del comercio electrónico son:

Sistemas de reservas. Centenares de agencias dispersas utilizan una base de datos compartida para acordar transacciones.

Stocks. Aceleración a nivel mundial de los contactos entre proveedores de stock. Elaboración de pedidos. Posibilidad de referencia a distancia o verificación por parte

de una entidad neutral. Seguros. Facilita la captura de datos. Empresas proveedoras de materia prima a fabricantes. Ahorro de grandes cantidades

de tiempo al comunicar y presentar inmediatamente la información que intercambian.

Los tipos más populares de e-commerce son:

B2B: Business to Business B2E: Business to Employee B2C: Business to Consumer

Auditoria

Objetivos



continuidad en el uso del comercio electrónico.

25

Establecer los posibles riesgos y determinar las recomendaciones para el plan de contingencia correspondiente.

Identificar los puntos críticos y factores clave de éxito para un proyecto de implementación de un sistema basado en comercio electrónico.

Establecer las líneas base para monitorear y evaluar el funcionamiento de sistemas de negocio basados en comercio electronico.

Determinar el estado de madurez de la tecnología y el uso de sistemas basados en comercio electronico.

Criterios Los criterios establecidos se determinaron en base a las necesidades que podría tener cualquier sistema que use el comercio electrónico como modelo de negocios o estrategia corporativa.

Efectividad: el modelo de comercio electrónico debe brindar información relevante y pertinente que permita una correcta autenticación o detección del comportamiento para el fin que fue creado el sistema de reconocimiento. La información que genere y use el sistema debe estar bajo los parámetros de oportunidad, consistencia y usabilidad.


Confidencialidad: La información que use y genere el sistema de comercio electrónico no debe revelar información no autorizada.



Cumplimiento normativo: los equipos, metodologías, modo de uso, y en general todos los aspectos del sistema deben estar dentro de lo establecido en las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

Confiabilidad: Es de vital importancia que el sistema proporcione información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

26

Procedimientos

Lista de chequeo


ObservaciónSi No

Se posee un plan de pruebas periódico que evalúe la efectividad de la solución en el tiempoLas pruebas garantizan que los datos generados por el sistema sean oportunos, consistentes y usables. Esto bajo los parámetros establecidos en las necesidades del negocioLos datos que proporciona el sistema basado en comercio electrónico son los requeridos por el negocioSe realiza el análisis costo beneficio de la o las soluciones basadas en comercio electrónicoEl acceso al sistema, información y datos que use y genere la solución son exclusivamente usados por personal capacitado y autorizadoEl sistema está conectado con otros sistemas que puedan incurrir en fallas de seguridad externas al modelo de negociosLos datos generados por el sistema son completos y determinantes para su uso, siendo válidos para los objetivos del negocioSe garantiza el acceso al sistema en un rango de disponibilidad establecidoExisten planes de contingencia sobre los sistemas dependientes del modelo de negociosEstán definidas las funciones y responsabilidades del personal que usa y mantiene el modelo de negociosSe tiene establecido un plan de mantenimiento de los equipos y sistemas relacionados al modelo de negociosLos equipos, metodologías y demás ítems relacionados con el sistema se desarrollaron y se encuentran bajo la normatividad vigenteSe realizan las capacitaciones y se poseen los manuales de usuarios y procedimientos sobre el modelo de negociosSe realiza el monitoreo y evaluación sobre la solución de comercio electrónicoExisten medios para identificar afinidad por parte de los usuarios hacia el sistema

EntrevistaCon la entrevista se pretende verificar que todas las personas interesadas y afectadas por el sistema conozcan los procedimientos, políticas y funcionamiento. La entrevista se realiza con el fin de identificar inconformidades con el sistema, desconocimiento de la existencia o funcionamiento de la solución, además se quiere establecer que tan útil y oportuno es el proyecto o el ya implementado sistema de comercio electrónico. Durante la entrevista el auditor deberá solicitar documentos escritos que ratifiquen las respuestas y justificaciones del

27

auditado, si no es posible es relevante el poder grabar algunas conversaciones o aspectos importantes identificados.

PruebasPersonal calificado y autorizado debe realizar pruebas sobre el sistema de comercio electrónico, considerando la escalabilidad de los datos que el sistema procesa, la veracidad y tiempos de respuesta de la solución. Todos los resultados de las pruebas, automatizadas o no, deben generarse por escrito. Las pruebas deben ser programadas y autorizadas por la alta gerencia, para esto se debe planear los espacios de trabajo, personal necesario y herramientas a utilizar, todo lo anterior debe estar contemplado por la organización objetivo.

E-Business

IntroducciónE-Business es la mejora en el funcionamiento de un negocio por medio de la conectividad, la conexión de la cadena de valor entre negocios, proveedores, aliados y sus clientes con el fin de lograr mejores relaciones con los clientes, reducir costos al integrar procesos de negocio, además de penetrar nichos o segmentos de mercado rentables.

Esta conectividad es manejada por internet y otras tecnologías emergentes que están redefiniendo los patrones de compra y venta y en general, los comportamientos de los consumidores e inversionistas en el mundo. Alrededor de este tema se han desarrollado muchos otros conceptos relacionados pero no similares entre sí. Cuando hablamos de e-commerce hacemos referencia a la compra y venta de productos y servicios en la red. En otras palabras, este concepto hace parte del concepto global de e-business.

El e-business no es un negocio de tecnología de las empresas, es el reto de un nuevo modelo de negocio y el cambio estratégico de las empresas, de las industrias, de los mercados y en general de la economía.

Es importante entender que cuando se habla de e-business, se hace referencia al modelo de economía digital donde se integran transacciones business to business, business to consumer, business to government, business to employee, entre otros conceptos, lo que permite construir un modelo competitivo de cara al cliente, a los accionistas, a la empresa y socios de negocios mediante un enfoque visionario que soporte los objetivos estratégicos de negocio en la organización.

E-business emplea como medio habilitador diferentes tecnologías (internet, customer relationship systems, call/web center, data markets, optical cards, WAP technologies, etc.) para facilitar la conectividad y la relación entre una empresa y el mundo exterior. AUDITORIA

28

Auditoria

InstrumentosPara la recopilación de información de la auditoría a realizar se utilizarán los siguientes instrumentos:

Objetivos Permitir construir un modelo competitivo de cara al cliente, a los accionistas, a la empresa y socios del negocio, mediante un enfoque visionario que soporte los objetivos estratégicos de negocio en la organización.

Ambiente Auditado eBusinessHerramienta Utilizada Encuesta

Cuestionario ResultadoSI NO N/A

Según el modelo de economía digital de la empresa se integran las transacciones comerciales negocio a negocioSegún el modelo de economía digital de la empresa se integran las transacciones comerciales negocio a clienteExiste un plan de mitigación de riesgos para la administración de la organización por medio de EBusinessSegún el modelo de economía digital de la empresa se integran las transacciones comerciales negocio a empleadoLa empresa emplea tecnología para habilitar el EBusiness, Que tecnologías utilizaTienen EBusiness como modelo de negocio en la empresa, Como facilitan la conectividad y la relación entre la empresa y el mundo exteriorSe encuentra consolidado el modelo competitivo, basado en el cliente, accionistas, empresa, empleados y socios del negocioEstán definidos los objetivos estratégicos del negocio en la organización

Técnicas de EvaluaciónLas técnicas de evaluación a utilizar para esta auditoría son:

El cuestionario se evaluara por una lista de verificación.

29

E-Government (e-gobierno)

IntroducciónSe entiende por eGovernment el conjunto de procesos y sistemas, que permiten el acceso telemático interno (gestores) y externo (usuarios) a los servicios ofrecidos por una Administración, tanto para la consulta de información como para la Tele tramitación. El eGovernment, como elemento integrante del nuevo esquema de relación entre la Administración y los clientes, exige una adaptación y evolución de los sistemas de información actuales. En el sistema resultante, que tecnológicamente ha de sustentarse en un modelo único e integrado, aparecen cuatro objetivos estratégicos o conceptos clave, sobre los que debe pivotar su definición y alcance:

Accesibilidad. Profundizando en una Administración transparente y abierta al cliente, aumentando el número de servicios ofrecidos y mejorando su calidad, reforzando el papel de terceros colaboradores en los procesos de gestión y avanzando hacia el modelo de “ventanilla única”.

Desde el punto de vista de los sistemas de información, la accesibilidad hace referencia al acceso interno a aplicaciones y datos, así como, fundamentalmente, al acceso externo, en su doble vertiente de consulta y tele tramitación; ambos bajo La cobertura de los aspectos relativos a la seguridad, tanto desde un punto de vista técnico como normativo.

Conocimiento. Estructurando, consolidando e interrelacionando los datos de los sistemas de información para que, a partir de ellos, sea posible generar información y conocimiento de la realidad que nos rodea en todos sus niveles de agregación:

Tecnológicamente, esto implica diseñar y alimentar un repositorio de información corporativo, dotándolo de herramientas (Business Intelligence y Data Warehouse) para explotar los datos en dos vertientes básicas: información a terceros e información a los gestores públicos.

Eficacia. Logrando optimizar la actividad operativa de las administraciones, facilitando la agilidad y flexibilidad de la gestión y la racionalización de esfuerzos y recursos. Para ello, el sistema debe abarcar el conjunto de procesos, actividades, tareas y flujos de información de la Administración de forma normalizada (procedimientos, documentos, formularios, etc.) e integrada (dato único, imágenes). En otras palabras, el sistema ha de comunicarse con los cuatro grandes grupos de procesos que operan en los sistemas de la Administración: la gestión económico-financiera, la gestión de recursos humanos, los procesos departamentales y la gestión de expedientes, que engloba, estructura y da coherencia a todos ellos.

Solidez y evolución. Desarrollando los componentes del sistema sobre una arquitectura de sistemas de información basada en el modelo de proceso definido e implementando una plataforma tecnológica avanzada, robusta y con capacidad de evolución, que facilite la incorporación de nuevas herramientas de gestión y permita la reutilización de componentes.

30

Una tentadora aproximación al eGovernment desde una perspectiva únicamente de accesibilidad proporciona a corto plazo éxitos aparentes, pero choca inmediatamente con las necesidades derivadas de disponibilidad de información veraz y actualizada y con los requerimientos de la tele tramitación, en cuanto a la integración de sus resultados con la tramitación “tradicional”.

Frente a dicha tentación, que tantas experiencias frustradas ha generado, el planteamiento de Ibermática se basa en diseñar un escenario completo e integrado con los elementos definidos previamente. A partir de dicho objetivo final, cada organización, en función de su situación actual, necesidades, prioridades y recursos, podrá abordarlo en diferentes etapas, secuenciando sus diferentes componentes. Pero no debería perderse la visión global del proceso, si se quiere que la implantación del proyecto sea, en el corto, medio y largo plazo, un éxito.

Programa de Auditoria

Se realizara una encuesta para verificar el funcionamiento de eGovernment en la empresa

Instrumentos de Auditoria

ENCUESTA AUDITOR

Objetivos • Dar a conocer las mejoras que el sistema brindo a la empresa.

Ambiente Auditado eGovernmentHerramienta Utilizada Encuesta

Cuestionario Respuesta

1. ¿qué funciones realiza el eGovernment en la empresa?

2. ¿se han presentado fallos con el sistema? ¿Cuáles?

3. ¿se tienen planes de contingencia por si deja de funcionar el sistema?

4. ¿los sistemas eGovernment tienen sustento de energía por si llega a fallar el proveedor?

5. ¿Qué personas son las encargadas de manejar estos sistemas?

6. ¿se han realizado capacitaciones para dar a conocer el funcionamiento del sistema?

31

7. ¿se han realizado pruebas de vulnerabilidad al sistema?

8. ¿Qué mejoras se ha tenido desde la implantación del sistema?

Técnicas de EvaluaciónLas técnicas de evaluación a utilizar para esta auditoría son:

El cuestionario se evaluara por una lista de verificación

E-Telecom (Telecomunicaciones o comunicaciones electrónicas)

IntroducciónEn la perspectiva de la realización del mercado interior, a finales de los años ochenta la Comunidad Europea calificó la liberalización de las telecomunicaciones de prioridad europea. Ésta se inició en 1988 con la apertura a la competencia de los mercados de terminales de telecomunicaciones y posteriormente, en 1990, con la liberalización de los servicios de telecomunicaciones, con excepción de la telefonía vocal.

Mientras tanto, en 1994 el proceso de liberalización se extendió a las comunicaciones y los servicios de transmisión por satélite y posteriormente, en 1996, a las redes de televisión por cable y a las comunicaciones móviles. Paralelamente, a partir de 1990 se estableció una red abierta de telecomunicaciones en cuanto a infraestructuras y servicios (ONP). La aprobación de normas comunes permitió la armonización de las condiciones de acceso de nuevos operadores al mercado.

A partir de 1994, en el contexto del desarrollo de la «sociedad de la información», la liberalización general de las estructuras de telecomunicaciones se presentó como un factor de desarrollo del sector de los multimedios. Se adoptaron distintas iniciativas destinadas a armonizar las normas sobre comunicaciones móviles (norma europea única GSM) y por satélite, así como la Red Digital de Servicios Integrados (RDSI).

El 1 de enero de 1998, la liberalización completa del mercado de las telecomunicaciones era una realidad. Para acompañar la apertura del sector a la competencia, en 1999 la Comisión Europea lanzó un vasto proyecto de reformulación del marco reglamentario europeo de las telecomunicaciones. El objetivo general consistía en mejorar el acceso a la sociedad de la información, estableciendo un equilibrio entre la regulación del sector y las normas de competencia europea. Ese marco reglamentario para las telecomunicaciones electrónicas consta de cinco Directivas de armonización relativas, en particular, a las Directivas marco, el acceso y la interconexión, la autorización, el servicio universal y la protección de la vida

32

privada. A esto se añaden la Decisión de 2002 sobre la política relativa al espectro radioeléctrico y el Reglamento de 2002 relativo al acceso al bucle local. La Comisión está trabajando actualmente en la revisión de ese marco reglamentario a fin de tener en cuenta los cambios tecnológicos del mercado y responder a las necesidades del sector en los próximos diez años.

Programa de AuditoriaSe realizara una encuesta con el fin de verificar que los sistemas de eTelecom funcionen perfectamente dentro de la compañía.

Instrumentos


ObservaciónSi No

¿Se encuentran actualmente sistemas de eTelecom dentro de la empresa? Si su respuesta es si Menciónelos

¿Se encuentran implementados en varias partes de la empresa sistemas de eTelecom? Menciónelos¿Lleva el control apropiado de las condiciones de los sistemas? Menciónelas¿Utiliza un software para controlar el acceso a blogs, redes sociales y páginas de interés personal? ¿Cuál?¿Se tienen planes de contingencia por si el sistema dejara de funcionar?¿Se cuenta con un correo institucional?¿Se hace uso de contraseñas para ingresar a los computadores de la empresa?¿Se realizan pruebas contra accesos no autorizados a los sistemas?¿Se realizan pruebas contra accesos no autorizados a los equipos?¿Se tiene acceso a información descargada por los empleados?¿Se tiene acceso a información consultada por los empleados?¿el sistema que tipo de seguridad físico y lógico tiene?

Técnicas de Evaluación

Las técnicas de evaluación a utilizar para esta auditoría son:


33

E-Finance

Introducción

El termino finanzas en línea (e-finance) es el acto de proveer servicios y mercados financieros usando comunicación electrónica. Los desarrollos de las finanzas en línea se pueden dividir en dos áreas bastante amplias. Primero, está el impacto que ha tenido las finanzas en el Internet en la banca y los servicios financieros, pues muchas compañías financieras dicen que este nuevo sistema de información ha alterado fundamentalmente todo los aspectos de la industria bancaria. Si las empresas financieras deciden innovar y desarrollar las finanzas en línea, podrán utilizarlo esto como una ventaja competitiva sobre sus competidores directos, ya que ofrecerán a sus usuarios un producto nuevo en el mercado. Al mismo tiempo, los clientes estarán a gusto con las compañías, puesto que les ofrecerán un mejor servicio y seguirán haciendo sus transacciones financieras por medio de ellos. Segundo, es la transformación de los mercados financieros. Con este sistema, los bonos, las acciones y los tipos de cambio internacionales son prácticamente globales, debido a la facilidad de realizar transacciones rápidas y seguras por medio de la Web.

La comunicación electrónica en las finanzas existe desde el año 1918 cuando el sistema de pagos Fedwire permitió el ajuste de pagos electrónicos entre bancos a través del telégrafo. El uso de comunicación electrónica en sistemas de pagos aumenta a medida que pasa el tiempo, especialmente los pagos de grandes cantidades de dinero son realizados electrónicamente. Sin embargo en los Estados Unidos, el sistema de compensación de cheques de papel aun predomina.

En los años ochenta, el uso del análisis de datos electrónicamente cambia por ejemplo la manera de hacer decisiones a la hora de otorgar créditos en los bancos. Este tipo de innovaciones han reducido en promedio el costo de hacer préstamos y promueven la liquidez y mercadeo de los préstamos en sí. Existe mayor interés de ambas partes tanto clientes como de las empresas financieras tales como bancos en realizar más y más préstamos, ya que ambas partes se beneficiarán de dicha transacciones financieras en el futuro.

A mediados de los años noventa, las finanzas en línea empiezan a proveer productos y servicios al público y se convierten en sistemas muy importantes sobre todo en los bancos y casas de bolsa. Por otro lado, las compañías de seguro ocupan el Internet relativamente poco para promover sus productos. Esto se debe a los altos costos de implementación de tecnologías de información como las finanzas en línea y debido a inseguridad por parte de las compañías de seguro de subir los datos confidenciales de los clientes a un sistema en la Web. A partir del fin de los años noventa, el e-finance influye indiscutiblemente todos los aspectos de los negocios bancarios e intermediación financiera.

Programa de Auditoria

34

Se realizara una encuesta con el fin de verificar si se está implementando eFinance en la compañía, de ser así que instrumentos y como lo están utilizando.

Instrumentos de Auditoria

Encuesta Auditor

Objetivos • Evaluar la efectividad y seguridad del sistema efinance.• Dar a conocer los benefician de sistema efinance.

Ambiente Auditado eFinanceHerramienta Utilizada Encuesta

Cuestionario Respuesta

1. ¿Qué beneficios ha traído el sistema e-finance a la empresa?

2. ¿se ha realizado la capacitación correspondiente para utilizar este tipo de sistemas?3. ¿se tiene un plan de contingencia por si el sistema dejara de funcionar?

4. ¿se ha realizado estudios de seguridad sobre el sistema e-finance?

5. ¿se tiene copia de seguridad de los sistemas efinance?

6. ¿se tiene definida la gente responsable de los sistemas e-finance?

7. ¿Qué seguridad física y lógica tiene los sistemas efinance?

8. ¿los usuarios se han adaptado bien a este sistema?

9. ¿se realizan monitoreos a los sistemas e-finance?

Técnicas de evaluación


35


Redes Sociales

IntroducciónLas redes sociales en Internet se han convertido en todo un fenómeno social que están revolucionando la forma de comunicarse y de interactuar. Para comprender un poco este fenómeno en crecimiento presuroso cabe citar en principio alguna definición básica que nos permita comprender que es una red social. Las Redes son formas de interacción social basadas en la teoría de los seis saltos de separación. Todo el mundo se encuentra a 6 saltos de otra persona, la red social es definida como un intercambio dinámico entre personas, grupos e instituciones en contextos distintos y complejos. Un sistema abierto y en construcción permanente que involucra a conjuntos que se identifican en las mismas necesidades y problemáticas y que se organizan para potenciar sus recursos, una de sus características principales es la de gran capacidad de transmisión de información.

Muchas empresas ya se han dado cuenta que es muy beneficioso usar aplicaciones informáticas de redes sociales corporativas para intercambiar contactos de clientes internamente. En concreto, usan soluciones llamadas “sistemas de gestión de relaciones en la empresa”.

Estos sistemas localizan los potenciales contactos de manera automática. Las relaciones más fuertes son identificadas, y después el buscador de contactos localiza a un compañero y facilita la conexión personal con él. Cuanto más crece una empresa, más poderosa se hace la red de relaciones profesionales. El reto en las grandes empresas es, entonces, saber usar ese potencial de una manera efectiva.

Ya esta demostrada la utilidad de estos sistemas, pero cuanto más se extiende su uso, surgen nuevos problemas, como el de la privacidad. Por lo cual es necesario para las empresas asegurarse que la información de contactos privados nunca es revelada. Para esto dichos sistemas permiten que el usuario tenga un control total sobre la privacidad y la seguridad de su sistema, pudiéndolo adaptar a la cultura de cada empresa. Asimismo, las configuraciones de privacidad pueden ser elegidas para que puedan cumplir las leyes de cada país o región.

Por lo tanto vemos que las redes sociales pueden traer muchos beneficios a las organizaciones que estén dispuestas a hacer uso de ellas, pero se debe tener en cuenta que como cualquier otro instrumento de las empresas debe estar sujeto a una adecuada gestión tanto de calidad como de riesgos, así mismo este debe estar bien estructurado, reglamentado y monitoreado para de esta manera asegurar que su uso traerá beneficios importantes a la empresa y ayudara al desempeño de la misma.

36

Programa de auditoriaObjetivos:

• Evaluar el uso y la gestión que las redes sociales tienen dentro de la empresa

• En caso de existir fallas, poder detectarlas con el fin de que estas puedan ser subsanadas

Para realizar la auditar implementaremos dos herramientas, Entrevista y lista de chequeo.

Instrumentos

ENTREVISTA

1. ¿En la empresa hacen uso de las redes sociales? 2. ¿Qué redes sociales usan y porque? 3. ¿Qué empleado o área de la empresa es la encargada de realizar una gestión sobre las

redes sociales y cuáles son sus responsabilidades y actividades?4. ¿Con que fines se utilizan las redes sociales dentro de la empresa?5. ¿Qué area(s) de la empresa manejan las redes sociales?6. ¿Se tienen en cuenta las redes sociales para la toma decisiones?7. ¿Qué ganancias o aspectos positivos a ganado la empresa gracias a las redes sociales?

LISTA DE CHEQUEO


ObservaciónSi No

¿Existe reglamentación o manuales en donde cada empleado pueda ver el ¿Por qué?, el ¿para que?, y el ¿Cómo? del uso de las redes sociales?¿Realizan en la empresa un monitoreo y control sobre las redes sociales usadas?¿Existe en la empresa una gestión adecuada de las redes sociales para así asegurar los beneficios que el uso de estas puede brindar a la organización¿En la empresa se a comunicado y concientizado a los empleados sobre los aportes y necesidades del uso de las redes sociales y como ayudan a la consecución de las metas del negocio?¿La empresa ha comunicado oportunamente a los empleados los reglamentos que rigen el uso de las redes sociales?¿Se tiene acceso a información descargada por los empleados?¿Se tiene acceso a información consultada por los empleados?¿el sistema que tipo de seguridad físico y lógico tiene?¿la empresa es consciente de los riesgos en cuanto a seguridad y privacidad que puede tener el uso de las redes

37

sociales?¿la empresa he realizado gestión de riesgos sobre las redes sociales?¿Se ha concientizado y capacitado a los empleados sobre estos riesgos y de qué manera afrontarlos?

Técnicas de evaluación


La lista de chequeo se confrontara con la entrevista y se definirá un primer informe con el fin de verificar que lo dicho en ambas herramientas sea coherente y verídico.

38