Software - Web docente - Universidad Salesiana de Bolivia
Anuncio
0 Universidad Salesiana de Bolivia Contaduría Pública DOSSIER - GESTIÓN I – 2013 DATOS DE IDENTIFICACIÓN INSTITUCIÓN UNIVERSITARIA: RECTOR: CARRERA: DIRECTOR DE CARRERA: DOCENTE: NIVEL DE LA MATERIA: ASIGNATURA: SIGLA: PARALELO: REQUISITO: HORAS DE CLASES SEMANALES: E-MAIL: Universidad Salesiana de Bolivia R.P. Ph.D. Thelian A. Corona Cortes Contaduría Pública Lic. Aud. Luz Mila Guzmán Antezana Lic. Inf. Julio Rocabado Segales Quinto Semestre Análisis y Diseño de Sist. de Inf. Contable SIS- 314 131,111 SIS - 223 4 Hrs. [email protected] 1 I N D I C E UNIDAD TEMATICA 1 Propiedades Software .................................................................................................................. Desarrollo de Software ................................................................................................................. La ingeniería de Software, visión genérica .................................................................................. Modelos de Desarrollo de Software .............................................................................................. Mantenimiento de Software .......................................................................................................... UNIDAD TEMATICA 2 Herramientas de Desarrollo de Software ...................................................................................... CASE ........................................................................................................................................... Lenguajes 4GL ............................................................................................................................. Automatización de Procesos ........................................................................................................ Proceso Contable Automatizado ................................................................................................. UNIDAD TEMATICA 3 Seguridad de los Sistemas de Información ................................................................................... Consulta no autorizada a las Bases de Datos y a las Aplicaciones .............................................. Contraseñas o palabras de pase .................................................................................................. Encriptación ................................................................................................................................. Amenazas de Virus ...................................................................................................................... UNIDAD TEMATICA 4 Auditoria a los Sistemas informatizados en Explotación ............................................................... Preparación del trabajo de la auditoria en un ambiente informatizado .......................................... Auditoria a la Función Informática en la entidad ........................................................................... Auditoria a las Bases de Datos .................................................................................................... Auditoria a las Entradas ............................................................................................................... Auditoria a las Informaciones de Salida ........................................................................................ Subsistema de Auditoria ............................................................................................................... Métodos de Datos de Prueba ....................................................................................................... Métodos de Simulación Paralela .................................................................................................. Informática Forense...................................................................................................................... UNIDAD TEMATICA 5 Sistemas de Información Gerencial .............................................................................................. Aplicaciones Informáticas específicas para el Contador Público .................................................. Aplicaciones Informáticas del ámbito Estatal Boliviano ................................................................. 2 SINCOM – SIGMA – NEWTON - DA VINCI ................................................................................. UNIDAD TEMATICA 6 Gobierno Electrónico .................................................................................................................... Banca Electrónica ........................................................................................................................ Negocios Virtuales ....................................................................................................................... Procesamiento Electrónico de Datos ............................................................................................ Dinero Electrónico – Firma Digital – Certificado Digital ................................................................. Transferencia Electrónica de Fondos ........................................................................................... Técnicas de Auditoria Apoyadas por Computadoras .................................................................... UNIDAD TEMATICA 7 Desafíos éticos y sociales de las Tecnologías de Información ..................................................... Sistemas de Información Gerencial y de apoyo a la toma de decisiones ...................................... Tecnologías de Inteligencia Artificial en la empresa ..................................................................... Aplicaciones y aspectos estratégicos en la Tecnología de Información ........................................ Administración de la Tecnología de Información .......................................................................... Manejo de las Tecnologías de Información global ........................................................................ UNIDAD TEMATICA 8 Excel para Contadores ................................................................................................................. Hoja de Trabajo ............................................................................................................................ Tipos de datos .............................................................................................................................. Funciones..................................................................................................................................... Aplicaciones ................................................................................................................................. Macros en Excel ........................................................................................................................... Funciones de Auditoria ................................................................................................................. Auditoria de fórmulas.................................................................................................................... Tablas Dinámicas ......................................................................................................................... 3 I. Presentación II. II OBJETIVOS DEL DOSSIERE GENERAL Presentar una guía teórica básica de los contenidos temáticos de la materia con la intencionalidad de que el estudiante pueda tener un referente teórico que le permita conocer de manera general el recorrido de la materia. manera clara el concepto moderno del contador público contemporáneo en su relación con la Informática y las acciones relacionadas con los entornos computacionales que de él se desprenden. Mostrar la importancia de la relación Contaduría Pública – Informática, la cual debe permitirle adquirir la capacidad necesaria para utilizar un sistema de contabilidad informatizado Dotar al alumno de los conocimientos informáticos necesarios para desenvolverse adecuadamente en su entorno laboral, bajo la mediación de un computador y en un entorno telemático que le permita la Instalación, manejo y evaluación de sistemas contables, para la renovación constante de la tecnología y logro de mayor eficiencia del uso de los sistemas contables automatizados. Proporcionar al alumno métodos y técnicas para desarrollar Sistemas de Información Administrativo – Contable en instituciones públicas y privadas os y técnicas para realizar el Análisis y Diseño de Sistemas de Información General. ESPECÍFICOS Mostrar claramente los entornos computacionales donde se desenvuelve la práctica laboral cotidiana del Contador Público contemporáneo Capacitar en el manejo de los principales entornos de aplicaciones informáticas que se manejan en el estado boliviano Elaboración de listas de funcionalidades para un sistema administrativo – contable informatizado Introducir al alumno en el desarrollo de los sistemas computadoras administrativo – contables residentes en Capacitar al Alumno en el uso de metodologías y técnicas de Ingeniería de Software para el desarrollo e implantación de sistemas orientados al Sistema Administrativo Contable. Aplicar las metodologías y técnicas aprendidas en el análisis y desarrollo de sistemas de información y bases de datos en el desarrollo de un sistema de Información contable. ADICIONAL Implementar el Estilo Salesiano en el proceso enseñanza aprendizaje, enfatizando en los pilares básicos: RAZÓN, AMOR Y RELIGIÓN 4 COMPETENCIAS Reconoce la importancia del manejo de las Nuevas Tecnologías y los Entornos Telemáticos para los profesionales del siglo XXI, y puede aplicarlas en el desempeño laboral específico del Contador Público Reconoce la importancia de la Información como un recurso de las organizaciones que es necesario administrar de manera óptima a través de los sistemas informáticos comunes Conoce los nuevos entornos virtuales de negocios y comercio electrónico Analiza los procedimientos y métodos de los sistemas de información contable de las empresas con la finalidad de diagnosticar fallas y procesos anómalos Diseña y planifica sistemas de información que reemplacen y/o complementen aquellos que no son efectivo u óptimos Conoce y utiliza adecuadamente los recursos y servicios de las Tecnologías de Información y Comunicación Maneja adecuadamente herramientas simples como la Hoja Electrónica Excel para la programación y uso de aplicaciones contables Conoce las Técnicas de Auditoria Apoyadas por Computadoras (TAACs), y puede desenvolverse de manera correcta en su ámbito de trabajo moderno Se desenvuelve de manera adecuada en los nuevos entornos de trabajo a través del Comercio Electrónico y la Banca Electrónica Reconoce a las personas de su entorno de estudio y/o trabajo como iguales en derecho y oportunidades Conoce y aplica valores éticos y sociales de manera transversal en su entorno cotidiano como una forma de acercamiento hacia una vida impregnada de espiritualidad religiosa católica Sabe reconocer claramente los entornos computacionales donde se desenvuelve la práctica laboral cotidiana del Contador Público contemporáneo Está capacitado y se desenvuelve correctamente en los principales entornos de aplicaciones informáticas que se manejan en el estado boliviano 5 Unidad Temática 1 6 Software Definición y características del SW Software: (1) instrucciones de computador que cuando se ejecutan cumplen una función y tienen unos comportamientos deseados, (2) estructuras de datos que facilitan a los programadores la adecuada manipulación de la información, y (3) documentos que describen la operación y el uso de los programas. Características del software: (Que lo diferencian de otros objetos físicos que se pueden construir) El software se desarrolla, no se fabrica o construye, en sentido estricto. Su modelo de gestión de desarrollo es muy diferente El software no se estropea. La mayoría del software se construye a medida. Construcción de Objetos: Muchos fallos al principio, tiempo de vida estable, aumento de fallos. El Hardware comienza a estropearse. Desarrollo de software: Muchos fallos al principio, tiempo de vida estable hasta la obsolescencia. El Software no se estropea!!!! Durante su vida el Software sufre cambios (Mantenimiento), al hacer cambios se producen Defectos La mayoría del Software se desarrolla a medida, en vez de ensamblar componentes existentes, pues no existen catálogos de partes de software, también se puede comprar como una unidad completa, ya desarrollado. La Ingeniería del Software Problemas del software. La planificación y la estimación de costos son muy imprecisas. La productividad es baja. La calidad es mala. 7 El cliente queda insatisfecho. Ingeniería del software: Establecimiento y uso de principios de ingeniería robustos, orientados a garantizar la obtención de software económico, fiable y eficiente sobre máquinas reales. Visión genérica de la Ingeniería del Software. Definición. ¿Qué? a Análisis del sistema. i Establecer el ámbito del software. b Análisis de requisitos del sistema de software. i c Definición detallada de la función del software. Planificación. i Análisis de riesgos. ii Asignación de recursos. iii Definición de tareas. iv Estimación de costos. Desarrollo. ¿Cómo? a Diseño. i • Arquitectura de la aplicación. ii • Estructura de los datos. iii • Estructura interna de los programas. iv • Diseño de las interfaces. b Codificación. c Pruebas. Mantenimiento. ¿Qué cambia? a Corrección de errores. b Cambios en el entorno. c Cambios en los requisitos. El proceso Sommerville: “Un conjunto de actividades y resultados asociados que conducen a la creación de un producto de software” Pressman: “Marco de trabajo de las tareas que se requieren para construir software de alta calidad” IEEE: “Aplicación de un enfoque sistemático, disciplinado y cuantificable hacia el desarrollo, operación y mantenimiento del software; es decir, la aplicación de ingeniería al software” Enfoque de calidad: Cultura continua de mejoras de procesos El Proceso: Define un marco de trabajo para un conjunto de áreas clave de proceso 8 Los Métodos: Indican cómo construir técnicamente el software Las Herramientas: Proporcionan un soporte para el proceso y los métodos Ingeniería del Software Definición de Ingeniería del Software (IS). La IS es una disciplina o área de la Informática o Ciencias de la Computación, que ofrece métodos y técnicas para desarrollar, mantener y documentar software de calidad qué, resuelve problemas de todo tipo, se ejecuta en máquinas reales y satisface las necesidades del cliente. La IS integra: Métodos, herramientas y procesos para el desarrollo del software bajo un enfoque de calidad. Métodos Los métodos indican cómo construir técnicamente el software. Tareas que componen los métodos. Planificación; Estimación de proyectos. Análisis de requerimientos del software y hardware. Diseño de estructuras de datos, Arquitectura de los programas. Procedimientos algorítmicos. Codificación; Prueba; y Mantenimiento. Herramientas y Procesos Las herramientas son un soporte automático o semiautomático para el proceso y los métodos. Microsoft Project (Planificación). UML (Modelado). Rational Rose, visio (Modelado soportan UML). Designer 2000. Erwin (Bases de datos). MAGERIT (Seguridad). Los procesos son los encargados de integrar los métodos y herramientas, además de definir la secuencia en la que se aplican los métodos, las entregas que requieren, los controles de calidad y las guías para el desarrollo. Preguntas que debe Responder la IS ¿Cuál es el problema a resolver? ¿Cuáles son las características de la entidad (solución) que se utiliza para resolver el problema? ¿Cómo se realizará la solución? ¿Cómo se construirá la entidad? ¿Qué enfoque se va a utilizar para no contemplar los errores que se cometieron en el diseño y en la construcción de la solución? 9 ¿Cómo se apoyará la solución cuando usuarios soliciten correcciones, adaptaciones y mejoras de la entidad? Proceso del Software El proceso del software es un marco común para el proceso que define un pequeño número de actividades del marco de trabajo que son aplicables a todos los proyectos con independencia de su tamaño o complejidad. Paradigma de la IS El modelo de proceso o paradigma de la IS es la estrategia que comprenden métodos, herramientas y procesos. El ingeniero debe seleccionar un modelo de proceso para ingeniería del software según la naturaleza del proyecto y de la aplicación, los métodos, las herramientas a utilizar, y los controles y entregas que se requieren. Los diferentes paradigmas lo que intentan es ordenar las actividades en el desarrollo del software, de manera que no sean llevadas a cabo de manera caótica. Lenguajes de Programación: Lenguajes de Alto Nivel Lenguajes de Nivel Medio Lenguajes de Bajo Nivel Generaciones de Lenguajes de Programación Lectura Complementaria Primera Generación de Lenguajes Segunda Generación de Lenguajes Tercera Generación de Lenguajes Cuarta Generación de Lenguajes Quinta Generación de Lenguajes Paradigmas de Programación Un paradigma es un Ciclo de vida del software El término ciclo de vida del software describe el desarrollo de software, desde la fase inicial hasta la fase final. El propósito de este documento es definir las distintas fases intermedias que se requieren para validar el desarrollo de la aplicación, es decir, para garantizar que el software cumpla los requisitos para la aplicación y verificación de los procedimientos de desarrollo: se asegura de que los métodos utilizados son apropiados. Estos programas se originan en el hecho de que es muy costoso rectificar los errores que se detectan tarde dentro de la fase de implementación. El ciclo de vida permite que los errores se detecten lo antes posible y por lo tanto, permite a los desarrolladores concentrarse en la calidad del software, en los plazos de implementación y en los costos asociados. El ciclo de vida básico de un software consta de los siguientes procedimientos: Definición de objetivos: definir el resultado del proyecto y su papel en la estrategia global. 10 Análisis de los requisitos y su viabilidad: recopilar, examinar y formular los requisitos del cliente y examinar cualquier restricción que se pueda aplicar. Diseño general: requisitos generales de la arquitectura de la aplicación. Diseño en detalle: definición precisa de cada subconjunto de la aplicación. Programación (programación e implementación): es la implementación de un lenguaje de programación para crear las funciones definidas durante la etapa de diseño. Prueba de unidad: prueba individual de cada subconjunto de la aplicación para garantizar que se implementaron de acuerdo con las especificaciones. Integración: para garantizar que los diferentes módulos se integren con la aplicación. Éste es el propósito de la prueba de integración que está cuidadosamente documentada. Prueba beta (o validación), para garantizar que el software cumple con las especificaciones originales. Documentación: sirve para documentar información necesaria para los usuarios del software y para desarrollos futuros. Implementación Mantenimiento: para todos los procedimientos correctivos (mantenimiento correctivo) y las actualizaciones secundarias del software (mantenimiento continuo). El orden y la presencia de cada uno de estos procedimientos en el ciclo de vida de una aplicación dependen del tipo de modelo de ciclo de vida acordado entre el cliente y el equipo de desarrolladores. Modelos de Desarrollo de Software Modelos Prescriptivos: Ciclo de vida clásico – Modelo lineal secuencial – Modelo en cascada. Modelos Incrementales: Modelo Incremental - Modelo DRA (RAD. Rapid Application Development). Modelos Evolutivos de Proceso: Incremental - Espiral. Modelos Prescriptivos de Procesos Cualquier organización de ingeniería de software debe describir un conjunto único de actividades dentro del marco de trabajo para el (los) proceso(s) de software que adopte. También debe llenar cada actividad del marco de trabajo con un conjunto de acciones de ingeniería de software, y definir cada acción en cuanto a un conjunto de tareas que identifiquen el trabajo, (y los productos del trabajo) que deben completarse para alcanzar las metas de desarrollo. Después, la organización debe adaptar el modelo de proceso resultante y ajustarlo a la naturaleza específica de cada proyecto, a las personas que lo realizarán, y al ambiente en el que se ejecutará el trabajo. Sin importar el modelo de proceso seleccionado, los ingenieros de software han elegido de manera tradicional un marco de trabajo genérico para el proceso, el cual incluye las siguientes actividades dentro del marco: comunicación, planeación, modelado, construcción y desarrollo. Los modelos prescriptivos de procesos son denominados así porque prescriben un conjunto de elementos del proceso: actividades del marco de trabajo, acciones de ingeniería del software, tareas, productos del trabajo,, aseguramiento de la calidad, y mecanismos de control del cambio de cada proyecto. Cada modelo de proceso prescribe también un flujo de trabajo; esto es, la forma en la cual los elementos del proceso se interrelacionan entre sí. Clave: Un modelo prescriptivo del proceso llena el marco de trabajo con conjuntos de tareas explícitas para las acciones de la ingeniería del software. ¿Qué es? 11 Los modelos prescriptivos de procesos definen un conjunto distinto de actividades, tareas, acciones fundamentos y productos de trabajo que se requieren para desarrollar software de alta calidad. Estos modelos de proceso no son perfectos, pero proporcionan una guía útil para el trabajo de la ingeniería de software. ¿Quién los hace? Los ingenieros de software y sus gerentes adaptan un modelo prescriptito de proceso a sus necesidades y después la siguen. Además, la gente que ha solicitado el software tiene un papel por desempeñar conforme se ejecuta el modelo de software. ¿Por qué es importante? Porque proporciona estabilidad, control y organización a una actividad que si no se controla puede volverse caótica. Algunas veces los modelos de proceso descriptivo se han referido como “modelos rigurosos de proceso”, ya que a menudo incluyen las capacidades sugeridas por la IMCM. Sin embargo, todos los modelos de proceso se pueden adaptar para usarlos de forma efectiva y en un proyecto de software específico. ¿Cuáles son los pasos? El proceso conduce a un equipo de software a través de un conjunto de actividades del marco de trabajo que se organizan en un flujo de proceso, el cual puede ser lineal, incremental o evolutivo. La terminología y los detalles de cada modelo de proceso difieren, pero las actividades genéricas del marco de trabajo permanecen razonablemente consistentes ¿Cuál es el producto obtenido? Desde el punto de vista de un ingeniero de software, los productos de trabajo son los programas, documentos y datos que se producen como consecuencia de las actividades y tareas que define el proceso. ¿Cómo puedo estar seguro de que el proceso se ha hecho correctamente? Existe cierta cantidad de mecanismos para la evaluación del proceso de software que permite a las organizaciones determinar la “madurez” de sus respectivos procesos. Sin embargo, los mejores indicadores de la eficacia del proceso que se utiliza son la calidad, el tiempo de entrega y la viabilidad a largo plazo del producto que se construye. Modelo en Cascada El modelo en Cascada conocido también como modelo Lineal Secuencial, o Ciclo de vida Básico, nace alrededor de los años 70 como un refinamiento influenciado al modelo de etapas. La idea principal de este modelo clásico es minimizar los costos que involucra el sobre exceso de trabajo involucrado en retroalimentaciones a través de muchas etapas Sugiere un enfoque sistemático, secuencial de desarrollo de software que comienza en un nivel de sistemas y progresa con el análisis, diseño, codificación, pruebas y mantenimiento. Las fases adyacentes no comenzarán hasta que las demás no hayan finalizado, de ahí su concepto de secuencialidad y linealidad. Algunos conceptos básicos que se requieren para utilizar este modelo son: a que todo lo concerniente al proyecto debe ser minuciosamente estudiado. que los atributos de calidad de software como la facilidad de comprensión o Visibilidad cumplan su objetivo. y plasmarlos en modelos de diseño y después comenzar a crear el código fuente. 12 ado el producto se realizarán todas las pruebas necesarias para asegurar su correcto funcionamiento. Ventajas y Desventajas del Modelo Cascada. Una de las ventajas mas clara del modelo Cascada tiene relación con la idea de postular un marco de trabajo claro, que reconoce y define las actividades involucradas en el desarrollo de software, permitiendo establecer relaciones de cooperación entre ellas. Corresponden, también, a los métodos más usados en desarrollo de software y que han sido exitosos durante décadas tanto en el desarrollo de grandes sistemas como en el de pequeños. La importancia de este método radica en su sencillez ya que sigue los pasos intuitivos necesarios a la hora de desarrollar el software. Habitualmente los requerimientos son especificados al inicio del proyecto, y contrariamente el espacio donde se tiene la claridad suficiente para definir lo que se quiere es cuando se está en las últimas etapas de este. Esto es consecuencia, en general, de que los clientes no están familiarizados con la tecnología, con lo cual producen requerimientos muy vagos, que son interpretados arbitrariamente por los desarrolladores. Otro factor importante de recalcar es que este método asume que una vez que los requerimientos han sido definidos entonces ellos no cambiarán más. Ahora, según la complejidad que tenga el proyecto, la implementación final puede ocurrir meses o, eventualmente, años después de que los requerimientos fueran especificados, no obstante, por la cantidad de tiempo transcurrido puede que las necesidades surgidas al principio hayan cambiado abruptamente. Una desventaja importante en este modelo es que el sistema completo es registrado en papel, donde cada etapa o fase produce cierta cantidad de documentos. Si nos ponemos en el lugar que el sistema que se esta atacando es sumamente complejo, el volumen de requerimientos puede ser de cientos de páginas, explicando todos o cada uno de los detalles del sistema. Según este concepto, sería difícil poder vislumbrar con rapidez o claridad las características del sistema. Se podría considerar desventaja también la paciencia que deberá tener el cliente durante el desarrollo del proyecto. Esto implica que hasta que no se llegue a las etapas finales del proyecto, no estará disponible una versión operativa del programa. Un error importante no detectado hasta que el programa este funcionando puede ser desastroso. Se puede considerar además que el enfoque de linealidad de este método no fuera el adecuado para reflejar el proceso de desarrollo de software. Esto por la sencilla razón que para algunos proyectos el modelo clásico conduce a seguir las etapas en orden incorrecto. Más aún, es posible que todas las etapas del proyecto, estén comprimidas dentro de cada una. 13 Etapas de un Modelo Cascada Las etapas que recorre un modelo Cascada durante el desarrollo de un proyecto son: Ingeniería y Análisis del Sistema Debido a que el software es siempre parte de un sistema mayor el trabajo comienza estableciendo los requisitos de todos los elementos del sistema y luego asignando algún subconjunto de estos requisitos al software. Es la interrelación con el Hardware, las personas, las bases de datos. Análisis de los requisitos El proceso de recopilación de los requisitos se centra e intensifica especialmente en el software. El ingeniero de software (Analistas) debe comprender el ámbito de la información del software, así como la función, el rendimiento y las interfaces requeridas. Diseño El diseño del software se enfoca en cuatro atributos distintos del programa: estructura de los datos. El proceso de diseño traduce los requisitos en una representación del software con la calidad requerida antes de que comience la codificación. Codificación El diseño debe traducirse en una forma legible para la máquina. El paso de codificación realiza esta tarea. Si el diseño se realiza de una manera detallada la codificación puede realizarse mecánicamente. 14 Prueba Una vez que se ha generado el código comienza la prueba del programa. La prueba se centra en la lógica interna del software, y en las funciones externas, realizando pruebas que aseguren que la entrada definida produce los resultados que realmente se requieren. Mantención El software sufrirá cambios después de ser liberado. Los cambios ocurrirán producto del surgimiento de errores, o bien que el software deba adaptarse a cambios del entorno externo (sistema operativo o dispositivos periféricos), o debido a que el cliente requiera ampliaciones funcionales o del rendimiento. El ciclo de vida proporciona un modelo conveniente que sirve para dos propósitos. En primer lugar, permite representar los procesos de concepción y producción en una forma gráfica y lógica, y segundo, proporciona un marco de trabajo alrededor del cual las actividades de aseguramiento de calidad pueden ser construidas en una manera decidida y disciplinada. El desarrollo de software desde el concepto inicial a través de la operación es un proceso involuntario. Es decir, se produce mediante etapas sucesivas de especificación, diseño y modificación. Cada evaluación de una parte del software se hace por una revisión de la documentación que describe los requerimientos, especificación, diseño o, después, por pruebas al código y área usada del sistema realizado da como resultado cambios. Idealmente, el proceso de desarrollo debe involucrar gradas sucesivas de especificación y diseño donde cada paso es verificado contra los requerimientos de la etapa precedente (Trazabilidad). Así un producto de software viable evoluciona con errores que se encuentran y corrigen conforme van sucediendo. Modelos de proceso Incrementales En muchas situaciones los requisitos iniciales del software están bien definidos en forma razonable, pero el enfoque global del esfuerzo de desarrollo excluye un proceso puramente lineal. Además, quizás haya una necesidad imperiosa de proporcionar de manera rápida un conjunto limitado de funcionalidad para el usuario y después refinarla y expandirla en las entregas posteriores del software. En estos casos se elige un modelo de proceso diseñado para producir el software en forma incremental. Clave: El modelo Incremental entrega una serie de lanzamientos, llamados incrementos, que proporcionan en forma progresiva más funcionalidad para los clientes a medida que se entrega cada uno de los incrementos. El Modelo Incremental o Combina elementos del modelo de cascada (aplicados repetitivamente) con la filosofía interactiva de construcción de prototipos. o El primer incremento es un producto esencial (núcleo), se afrontan requisitos básicos y muchas funciones extras (conocidas o no) quedan para los siguientes incrementos. o El cliente usa el producto central y en base a la utilización y/o evaluación se desarrolla un plan para el incremento siguiente. o Este proceso se repite hasta que se elabora el producto completo. o Es interactivo, al igual que el de construcción de prototipos y otros enfoques evolutivos. Pero a diferencia del modelo de construcción de prototipos, el modelo incremental entrega un producto operacional en cada incremento. o Es útil cuando la dotación de personal no está disponible para una implementación completa. El primer incremento se pueden implementar con pocas personas. Si el producto central es bien recibido, se puede añadir mas personal. 15 El Modelo DRA Modelo RAD (Diseño Rápido de Aplicaciones) Es un modelo de proceso de desarrollo de software de cascada que enfatiza un ciclo de desarrollo extremadamente corto. Este modelo se puede usar si: Se comprenden bien los requisitos y se limita el ámbito del proyecto. Es fácil dividir al sistema en módulos. Se utiliza un enfoque de construcción basado en objetos reusables. El Modelo DRA consiste en un desarrollo rápido de aplicaciones basado en el modelo lineal secuencial, pero donde se enfatiza un ciclo de desarrollo extremadamente corto. Es una adaptación a alta velocidad del modelo lineal secuencial, donde se puede aumentar la velocidad haciendo uso de componentes. Si se comprenden bien los requisitos y se limita el ámbito del proyecto, el proceso DRA permite al equipo de desarrollo crear un sistema completamente funcional, dentro de periodos cortos de tiempo. Tiene algunas desventajas: Requiere recursos humanos suficientes como para crear el número necesarias para completar un sistema en un tiempo corto. Para proyectos grandes necesitamos de recursos suficientes para formar los equipos necesarios. Compromiso de colaboración entre desarrolladores y clientes. No todas las aplicaciones son susceptibles de aplicar este modelo. Cuando los riesgos técnicos son altos DRA no es apropiado. 16 Cuando el grado de interoperatividad con programas ya existentes es alto, no es apropiado. El Desarrollo Rápido de Aplicaciones (DRA) es un modelo de proceso de software incremental que resalta un ciclo de desarrollo corto. El modelo DRA es una adaptación a “alta velocidad” del modelo en cascada, en el que se logra el desarrollo rápido mediante un enfoque de construcción basado en componentes. Si se entienden bien los requisitos y se limita el ámbito del proyecto, el proceso DRA permite que un equipo de desarrollo cree un “sistema completamente funcional” dentro de un período de tiempo muy corto. (60-90 días) Como otros modelos de proceso, el enfoque DRA cumple con las actividades genéricas del marco de trabajo que ya se han presentado. La comunicación, la planeación, el modelado, la construcción y el despliegue. Cada gran función se puede abordar mediante un equipo de DRA por separado, para después integrarlas u formar un todo. Modelos de proceso Evolutivos El software como todos los sistemas complejos, evoluciona con el tiempo. Los requisitos de los negocios y productos a menudo cambian conforme se realiza el desarrollo; por lo tanto, la ruta lineal que conduce a un producto final no será real; las estrictas fechas tope del mercado imposibilitan la conclusión de un producto completo, por lo que se debe presentar una versión limitada para liberar la presión competitiva y de negocios; se tiene claro un conjunto de requisitos del producto o sistema esencial, pero todavía se deben definir los detalles de las extensiones del producto o sistemas. En estas y otras situaciones similares, los ingenieros de software necesitan un modelo de proceso que haya sido diseñado de manera explícita para incluir un producto que evolucione con el tiempo. Los Modelos Evolutivos son iterativos; los caracteriza la forma en que permiten que los ingenieros de software desarrollen versiones cada vez más completas del software. Clave: Los modelos de proceso evolutivos, producen una versión completa en forma incremental con cada iteración. 17 Esta familia de modelos se utiliza en las siguientes circunstancias: Si los requisitos cambian conforme el desarrollo avanza. Si las fechas de mercado hacen imposible tener un producto completo y hay que introducir una versión limitada. Si los requisitos centrales están bien definidos pero todavía hay que definir los detalles de las extensiones del producto. Construcción de Prototipos A menudo un cliente define un conjunto de objetivos generales para el software, pero no identifica los requisitos detallados de entrada, procedimiento o salida. En otros casos, el responsable del desarrollo de software está inseguro de la eficacia de un algoritmo, de la adaptabilidad de sistema operativo o de la forma que debería tomar la interacción humanomáquina. En estas, y en muchas otras situaciones, un “paradigma de construcción de prototipos” puede ofrecer el mejor enfoque. un A pesar de que la construcción de prototipos se puede utilizar como un modelo de proceso independiente dentro del contexto de cualquiera de los modelos de proceso expuestos, Sin importar la forma en que éste se aplique, el paradigma de construcción de prototipos ayuda al ingeniero de sistemas y al cliente a entender de mejor manera cuál será el resultado de la construcción cuando los requisitos estén satisfechos. Este modelo comienza con la recolección de requisitos, el desarrollador y el cliente definen los objetivos globales para el software, originándose un diseño rápido que se centra en una representación de esos aspectos del software que sean visibles para el usuario/cliente. De este diseño surge la construcción de un prototipo y este es evaluado por el cliente/usuario. La interacción ocurre cuando el prototipo satisface las necesidades del cliente. Desventajas: El cliente ve lo que parece una versión en funcionamiento del software, sin saber que el prototipo está unido con “chicle” y “cable de embalar”, que por la prisa de hacerlo funcionar no se ha considerado la calidad del software. A menudo el desarrollador establece compromisos de implementación para lograr que el prototipo funcione con rapidez. Tal vez utilice un sistema operativo o lenguaje de programación inadecuado sólo porque está disponible y es conocido. Es posible que la selección menos ideal se convierta en una parte integral del sistema. Clave: Definir reglas de juego desde el principio; es decir, el cliente y el desarrollador se deben poner de acuerdo en que l prototipo se construya y sirva como un mecanismo para la definición de requisitos, en que se descarte, al menos en parte, y en que después se desarrolle el software real con un enfoque hacia la realidad. Modelo de construcción de prototipos Este modelo es útil cuando: El cliente no identifica los requisitos detallados. El responsable del desarrollo no está seguro de la eficiencia de un algoritmo, sistema operativo o de la interfase hombre-máquina. 18 Su principal desventaja es que una vez que el cliente ha dado su aprobación final al prototipo y cree que está a punto de recibir el proyecto final, se encuentra con que es necesario reescribir buena parte del prototipo para hacerlo funcional, porque lo más seguro es que el desarrollador haya hecho compromisos de implementación para hacer que el prototipo funcione rápidamente. Es posible que el prototipo sea muy lento, muy grande, no muy amigable en su uso, o incluso, que esté escrito en un lenguaje de programación inadecuado. Comunicación Plan Rápido ModeladoDiseño Rápido Desarrollo – Entrega y Retroalimentación Construcción del Prototipo Los pasos necesarios para la construcción de prototipos son los siguientes: 1. Evaluar la solicitud del software para determinar si el sistema es candidato para la construcción de un prototipo. Considerando si es necesario presentar la interacción usuario-sistema y tomando en cuenta la complejidad del desarrollo del propio prototipo. 2. Elaborar una representación abreviada de los requisitos. Utilizando alguno de los modelos mencionados anteriormente. 3. Crear un conjunto de especificaciones de diseño para el prototipo. Centrándose en los aspectos de mas alto nivel y no en el detalle. 4. Crear y probar el software del prototipo. De ser posible utilizar herramientas automatizadas para tal efecto, como lenguajes de cuarta generación, módulos de código reusables, herramientas RAD o paquetes especializados en prototipos. 5. Presentar el prototipo al usuario y orientarlo a que sea él quien lo “opere”. Aquí es donde el usuario podrá validar sus propios requerimientos y sugerir las modificaciones necesarias. 6. Repetir los pasos 4 y 5 hasta que todos los requisitos queden formalizados. El modelo de construcción de prototipos se recomienda especialmente cuando los requerimientos cambian frecuentemente, cuando no se tiene la suficiente participación del usuario o cuando no se tienen suficientemente especificados los requerimientos. Una ventaja importante es que el usuario va “viendo” la evolución del sistema. El principal inconveniente es que se desconoce el tiempo que se tardará en crear un producto aceptable. No se sabe cuantas iteraciones se tendrán que realizar. Otro inconveniente es que se pueden adoptar prácticas de programación de prueba-y-error, sin un análisis y diseño formales previos. 19 En conclusión De manera general podemos decir que se utilizan los prototipos para que el cliente observe, confirme y mejore el producto. Lo que añade este modelo es el concepto de prototipo. Para el desarrollo del software se combina con el modelo de cascada. Antes de desarrollar el software con este modelo, debemos explicarle al cliente que vamos a trabajar con el modelo de prototipos, para que al final del desarrollo del prototipo el cliente no piense que este es el producto terminado. Debemos utilizar este modelo generalmente cuando: El cliente no tiene claro lo que quiere, Al cliente le gustaría ver algo similar para poder hacerse una idea de lo que obtendrá El que desarrolla el software Mediante este modelo es factible reducir el coste del software produciendo sistemas de mayor calidad ya que se basa en reutilizar Diseños, programas, módulos y datos pero se debe poner un tope de tiempo para no caer en un círculo vicioso, dado si el usuario no acepta el diseño preliminar. Se utiliza el concepto de prototipo en las fases del desarrollo del software correspondiente a: Requerimiento de software Diseño preliminar Diseño detallado Una vez que el prototipo ha sido probado, se presenta al cliente, el cuál conduce la prueba de la aplicación y sugiere modificaciones, luego se ser aprobado por el cliente pasa a la etapa del desarrollo del software. Con los prototipos la velocidad de desarrollo es más importante que la eficiencia en el procesamiento 20 Y debemos tener en cuenta que un prototipo que haya sido concebido desde el inicio como desechable, no podemos reutilizarle para hacerlo prototipo evolucionario. El Modelo Espiral Es un modelo de proceso de software evolutivo que conjuga la naturaleza iterativa de la construcción de prototipos con los aspectos controlados y sistemáticos del modelo cascada. Proporciona el material para el desarrollo rápido de versiones incrementales del software. Cuando se aplica el modelo en espiral, el software se desarrolla en una serie de entregas evolutivas. Durante las primeras iteraciones, la entrega tal vez sea un documento del modelo o un prototipo. Durante las últimas iteraciones se producen versiones cada vez más completas del sistema desarrollado. Un proceso en espiral se divide en un conjunto de actividades del marco de trabajo que define la ingeniería de software. (Comunicación, Planeación, Modelado, Despliegue, Construcción) Cuando comienza este proceso evolutivo el equipo de software realiza actividades implicadas en un circuito alrededor de la espiral que se inicia desde el centro. El riesgo es un factor considerado en cada revolución. 21 El primer circuito quizás genere el desarrollo de una especificación del producto; los pasos subsecuentes alrededor de la espiral se pueden aprovechar para desarrollar un prototipo y después en forma progresiva, versiones más elaboradas de software.. Cada paso a través de la región de planeación resulta en ajustes del plan del proyecto. Los costos y el itinerario se ajustan con base en la retroalimentación derivada de la relación con el cliente después de la entrega. Además el administrador del proyecto ajusta el número de iteraciones planeado que se requiere para completar el software. En conclusión: Como el anterior modelo estudiado (Prototipos) se combinaba con el modelo cascada, este también presenta una adaptabilidad a otros modelos del proceso de desarrollo, como Cascada, Prototipos (evolutivo) Este modelo hace hincapié al Análisis de Riesgos, permitiendo al desarrollador y al cliente entender y reaccionar a los riesgos en cada nivel de la espiral, la culminación del análisis de riesgo resulta en una decisión de "seguir o no seguir". Si los riesgos son demasiado grandes, se puede dar por terminado el proyecto. Sin embargo, puede darse el caso de seguir alrededor del mismo ciclo de la espiral, con lo que conlleva a los desarrolladores en pérdida de tiempo, sin saber el progreso del desarrollo del software. Por último, este modelo al ser complicado, no es aplicable a proyectos sencillos. HERRAMIENTAS PARA EL DESARROLLO DE SISTEMAS (CASE)-(4GL) CASE Introducción Hoy en día muchas empresas se han extendido a la adquisición de Herramientas Case (Ingeniería Asistida por Computadora), con el fin de Automatizar los aspectos clave de todo el proceso de desarrollo de Sistemas. Concepto Son usadas para automatizar o apoyar una o más fases del ciclo de desarrollo de sistemas. Una herramienta CASE puede incluir: 22 Diccionario de datos. Herramientas de diseño Herramientas de desarrollo de modelo de datos. Herramientas para el desarrollo de prototipos. Tecnología Esta tecnología supone la automatización del desarrollo del software y se plantea los siguientes objetivos: Permitir la aplicación practica de metodologías estructuradas Facilitar la realización de prototipos Facilitar el mantenimientos de programas Mejorar y estandarizar la documentación Aumentar la portabilidad Facilitar la Reutilización Permitir el desarrollo de aplicaciones mediante utilización de gráficos Componentes Diccionario, donde se almacenan los elementos definidos. Meta Modelo, define las técnicas soportadas por la herramienta. Carga o Descarga de Datos, cargan la herramienta con datos de otros sistemas o generar esquemas de bases de datos (Es un medio de Comunicación con otras Herramientas). Comprobación de Errores, análisis de la exactitud, integridad y consistencia de los esquemas generados por la herramienta. Interfaz de Usuario, consta de editores de texto, de diseño grafico para definir diagramas y matrices. Estructura 23 CASE de alto nivel: Herramientas que automatizan las fases finales o superiores del Ciclo de Vida de Desarrollo de Sistemas como Planificación, análisis y Diseño de Sistemas. CASE de bajo nivel: Herramientas que automatizan las fases finales o inferiores del Ciclo de Vida de Desarrollo de Sistemas como Diseño, Implantación y Soporte de sistemas. CASE cruzado de ciclo de vida: Herramienta que apoyan actividades que tienen lugar a lo largo de todo el ciclo de vida como la gestión de Proyectos y la Estimación. Estado Actual Hoy en día la tecnología CASE reemplaza el papel y el lápiz por la PC para transformar la actividad de desarrollar software en un proceso automatizado. Automatizar: o Desarrollo de Software o Documentación o Generación del Código o Chequeo de Errores o Gestión del Proyecto Permitir: La reutilización del software Portabilidad del software La estandarización de la documentación Integración Evolucionan hacia tres tipos de integración: Integración de datos, permite disponer de herramientas CASE coja diferentes estructuras de diccionarios locales para el intercambio de datos. Integración de presentación confiere a todas las herramientas CASE el mismo aspecto. Integración de herramientas para disponer de herramientas CASE capaces de invocar a otras CASE de forma automática. Clasificación De acuerdo a su amplitud se clasifican en: TOOLKIT: Colección de herramientas para automatizar un conjunto de tareas como planificación estratégica, análisis, diseño y generación de programas. WORKBENCH: Conjuntos integrados de herramientas que da soporte a la automatización del proceso de desarrollo del sistema. Cubre el ciclo de vida completo, el producto final aportado por ellas es un código ejecutable y su documentación. De acuerdo a las fases del ciclo de vida que automatizan se clasifican en: UPPER CASE: Planificación estratégica, requerimientos de desarrollo funcional de planes corporativos. MIDDLE CASE: análisis y Diseño. LOWER CASE: Generación de código, test de implantación. 24 Características deseables Una herramienta CASE cliente/servidor provee: Modelo de datos, generación de código, registro del ciclo de vida de los proyectos y comunicación entre distintos ingenieros. Las principales herramientas son: KnowledgeWare´s Aplication Development Woekbench (TI´s) Information Engineering Facility (IEF) - Andersen Consulting´s Foundation for Cooperative Processing. Lenguajes de Cuarta Generación (4GL) Los lenguajes de cuarta generación son entornos de desarrollo de aplicaciones constituidos por un conjunto de herramientas integradas, entre las que se encuentran editores, compiladores, sistemas para el acceso a bases de datos, generadores de informes, generadores de pantallas (modo carácter, interfases gráficas), etc. Son herramientas que por lo general funcionan sobre determinados tipos de SGBD y permiten construir a su alrededor potentes y productivos entornos de desarrollo de aplicaciones y sistemas de información. Las capacidades de los 4GL exceden ampliamente de las tradicionales facilidades de los SGBD, soportadas por los lenguajes de definición y manipulación de datos (DDL/DML) y de Consulta (SQL, QUEL y similares). A diferencia de las herramientas CASE, los 4GL se centran fundamentalmente en las fases de construcción e implantación. En este aspecto, una herramienta CASE del tipo L-CASE tendría muchas semejanzas con un 4GL. De hecho, muchas herramientas U-CASE tienen interfases con un 4GL para completar el ciclo de vida del desarrollo de sistemas. Los lenguajes que incorporan los 4GL suelen ser mezcla de lenguajes procedurales y no procedurales. La parte procedural se manifiesta en la definición de tipos de constantes, tipos de datos elementales, visibilidad de las variables (locales o globales), sentencias de control de flujo, definición de funciones y procedimientos, etc., mientras que la parte no procedural suele estar basada en el lenguaje SQL (Structured Query Language) o, como mínimo, en lenguajes de consulta de bases de datos relacionales. Con los 4GL se consigue un aumento de productividad gracias a: La utilización de funciones preprogramadas. El entorno de desarrollo que facilita la realización de determinadas tareas como diseño de pantallas o informes. 25 Tipos de 4GL Los 4GL, en función de su relación con un determinado gestor de base de datos, se pueden agrupar de la forma siguiente: Lenguajes que están ligados a una base de datos. La mayoría de los gestores de bases de datos cuentan con un lenguaje de cuarta generación. Son lenguajes propietarios, lo que quiere decir que sirven únicamente para acceder a esa base de datos en particular. El aprovechamiento de los recursos del gestor es muy alto. Lenguajes que son independientes del gestor de base de datos. Tienen la capacidad de acceder a diferentes bases de datos, generalmente aquellas que soportan un estándar común. No son lenguajes propietarios y por tanto no ligan al comprador a ninguna base de datos en particular. La necesidad de utilizar el 4GL, siguiendo estrictamente el estándar para asegurar la accesibilidad a diferentes bases de datos, impide sacar el máximo provecho de cada una de ellas. Componentes y funcionalidades de un 4GL Los principales componentes de un lenguaje de cuarta generación son: Editor Donde se escriben las sentencias del lenguaje de programación. Puede contar con: Ayuda de tratamiento de textos. Facilidades para incorporar el nombre de variables, objetos o funciones. Chequeo preliminar de errores de sintaxis. Utilidades de selección, copia o movimiento de bloques. Posibilidad de deshacer el último cambio. Compilador Traduce las sentencias del lenguaje fuente a código binario o a un lenguaje intermedio. Las características más importantes de un compilador son: Posibilidad de separar la interpretación del código fuente, de la generación del código. Esto permite la ejecución inmediata de una parte del código sin haber generado el fichero ejecutable. Gestión avanzada de errores. Recuperación desde un estado erróneo del código, para poder continuar con el proceso de interpretación y así detectar el mayor número posible de errores en una única compilación. Optimización del código. La traducción del código fuente va acompañada por una optimización del código (en tamaño y/o en rendimiento), a la hora de ejecutar la aplicación. Módulo de acceso a base de datos Incorpora la interfase con el gestor de base de datos. Facilita toda la comunicación con la base de datos, desde el diseño de las tablas hasta la construcción de sentencias para recuperar información. La mayoría de los 4GL soportan el lenguaje SQL estándar como lenguaje de acceso a base de datos relacionales, lo que garantiza la portabilidad. Módulo de ayuda a las pruebas 26 Hay 4GL que permiten una ejecución controlada del código para poder aislar un error, con técnicas de ejecución paso a paso, localizando los puntos de parada y permitiendo la modificación del contenido de las variables durante la ejecución. Generador de informes y pantallas Los 4GL incorporan módulos para la construcción rápida de pantallas, ya sea en modo caracter o en modo gráfico. Asimismo, algunos cuentan con un módulo de generación de informes a través de consultas a la base de datos. Diccionario Algunos 4GL cuentan con un diccionario en el que almacenan la información referente a los objetos de la aplicación. Esto facilita la gestión de los objetos generados especialmente para trabajos en grupo. Gestor de librerías El gestor de librerías permite: La distribución de los objetos por las librerías siguiendo los criterios que se establezcan. La localización rápida de los objetos con el fin de analizar el impacto de una modificación o corregir un error. La coordinación de los trabajos en equipo. Módulo de control de versiones Algunos lenguajes de cuarta generación incorporan facilidades para el control de versiones o tienen interfase con alguna herramienta del mercado para el control de versiones. Biblioteca con funciones u objetos reutilizables en la aplicación. La funcionalidad de este tipo de bibliotecas se describe en detalle en el apartado de otras herramientas, al hablar de bibliotecas de clases de objetos. Tendencias Tecnológicas y del Mercado de Lenguajes de cuarta generación Independencia de plataformas hardware y software. Independencia de estructuras de datos y acceso a información distribuida. Interoperabilidad con herramientas ofimáticas. Soporte para diferentes interfases gráficas de usuario. Soporte para diferentes entornos de red. La aplicación de forma más extendida del modelo cliente/servidor, tanto en el funcionamiento del propio 4GL como en las aplicaciones generadas. Mayor apertura para la interfase con herramientas CASE. Incorporación de la tecnología de orientación a objetos. Aplicación de capacidades multimedia. Unidad Temática 2 Automatización de Procesos Guía para Computarizar Su Sistema Contable 27 Un sistema de administración financiera eficaz se basa en la disponibilidad de datos financieros fidedignos, exactos y oportunos. Por lo general estos datos son suministrados por el sistema contable de una organización. En respuesta a factores como expansión, nuevos requerimientos de rendición de informes, la necesidad de trabajar con miras a lograr una mayor autosuficiencia y la disponibilidad de una tecnología de costo relativamente bajo, un número cada vez mayor de organizaciones están adoptando sistemas de contabilidad computarizados que les suministrarán los datos que necesitan, en el momento que los necesitan. Planificar e adoptar un sistema de contabilidad computarizado eficiente podría parecer una tarea muy difícil y compleja para cualquier administrador. La intención de esta Guía es ayudarle a considerar algunos de los factores relevantes para tomar la decisión de computarizar o modernizar su sistema contable. La mayoría de las organizaciones pasan por una progresión de sistemas contables. Por lo general comienzan con un sistema manual (utilizando papel), luego avanzan a una mezcla de papel y herramientas basadas en hojas de cálculo computarizadas, y finalmente adoptan un sistema computarizado simple. A menudo este sistema computarizado incluirá una mezcla de varios sistemas o programas que ingresan datos en hojas de cálculo o bases de datos. Las mejoras del equipo y el software de computación facilitan más que nunca la transición de una mezcla de papel y herramientas basadas en hojas de cálculo a la implementación de un sistema computarizado, o la modernización de un sistema existente. Los costos bajos de las computadoras y del software también han logrado reducir el costo financiero que se requiere para realizar este cambio. Esta guía está dirigida a los administradores que están considerando si deben o no computarizar sus sistemas contables, o que están en el proceso de preparación o implementación de una decisión previa con miras a computarizarlo. También podría ser útil para los administradores que están evaluando las necesidades de sus programas en lo que respecta a los sistemas contables computarizados, haciendo recomendaciones a sus oficinas regionales o centrales con respecto a la tecnología, o implantando nuevos sistemas automatizados o versiones nuevas del sistema contable. La guía proporciona una visión panorámica de todas las fases de la automatización o modernización de un sistema contable, desde la toma de la decisión de computarizar, hasta la preparación para la computarización y la implementación de un proyecto de computarización, y toma como punto central un paso clave dentro de este proceso: la selección y adquisición del software. La guía proporciona también una lista de preguntas para ayudarle a identificar los problemas que tienen sus sistemas actuales y comprender si la computarización resolverá estos problemas o no. También proporciona una herramienta que le ayudará a evaluar los paquetes de programas así como a los vendedores de software y comprender en qué manera podrían cubrir o no sus necesidades. Toma de Decisión de Computarizar La decisión de automatizar su sistema contable generalmente depende de su necesidad de contar con datos exactos, consistentes y oportunos en una diversidad de formatos para rendición de informes. ¿Tiene ya un buen sistema manual? ¿Se ha dado cuenta que el personal contable emplea demasiado tiempo en llenar las planillas manualmente? ¿Está frustrado porque no puede probar nuevas alternativas de costos empleando información nueva? ¿Demoran los donantes los desembolsos de fondos debido al retraso de su organización en la presentación de informes? Si usted respondió "si" a cualquiera de estas preguntas, su organización se podría beneficiar de la computarización o modernización de su sistema contable. Examen de los Beneficios de la Computarización La automatización de su sistema contable puede traer consigo muchos beneficios tangibles e intangibles. La siguiente tabla proporciona una visión panorámica rápida de los beneficios de un sistema contable computarizado que funciona bien. Examen de la Computarización: Necesidades y Beneficios Necesidades de los Administradores Beneficios de un Sistema Computarizado Los administradores requieren información oportuna y exacta para tomar decisiones El sistema verifica automáticamente los números de las cuentas y rechaza los datos que no se adecuan a los criterios establecidos 28 Los cheques o comprobantes faltantes se ponen en evidencia inmediatamente Los procesos tediosos de registro se automatizan Se pueden generar diferentes informes rápidamente cuando se solicitan Los administradores pueden consultar el sistema para obtener información ad hoc El procesamiento y análisis de datos son más rápidos y más exactos Los administradores deben identificar y resolver problemas Permite que los administradores reconozcan los problemas con mayor facilidad, como la recaudación lenta de las cuentas por cobrar, la disminución de las ventas o las necesidades de dinero en efectivo Razones "Equivocadas" para Computarizar Su Sistema Contable "Todos han ingresado a la era de la computación… es lo que está de última moda." "Nuestras organizarnos." cuentas son un verdadero desastre… deberíamos computarizarlas "Nos acaban de donar computadoras… deberíamos utilizarlas." "La oficina de finanzas es ineficiente… les toma demasiado tiempo hacer las cuentas." y "He visto un software nuevo anunciado en una revista… es lo último y ¡justo lo que necesitamos!" Examen de los Límites y Peligros Latentes Potenciales A pesar de que se pueden derivar muchos beneficios de la computarización de un sistema contable, usted debería considerar cuidadosamente qué es lo que un sistema computarizado puede hacer por usted y cómo le podría ayudar a procesar los datos para tomar decisiones. Considere lo siguiente: Un sistema computarizado requiere de datos exactos y actualizados. Simplemente por el hecho que su sistema esté computarizado esto no significa que esté actualizado y libre de errores. Usted debería actualizar y verificar sus datos regularmente. Las computadoras no pueden resolver los problemas de su sistema contable. Un sistema computarizado, por sí solo, no puede conciliar sus libros, mejorar la estructura de su organización, mejorar su eficiencia financiera, o mejorar la administración de su programa. No resolverá problemas como el del personal carente de aptitudes o de motivación, una capacidad administrativa deficiente, políticas operativas inapropiadas, o condiciones externas desfavorables. La computarización no mejorará un sistema contable problemático, pero sí puede mejorar un sistema que funciona bien. Computarizar su sistema contable podría requerir de nuevas aptitudes a nivel de su organización. Es posible que necesite contratar personal nuevo o capacitar al personal existente. Podría ser necesario que reorganice su departamento contable, despida a algunas personas o contrate nuevos administradores. Es muy probable que el personal se resista a estos cambios. Usted debe invertir tiempo y recursos para orientar al personal y explicarle la necesidad y los beneficios del nuevo sistema con el objeto de evitar retrasos o fallas en la implementación. La computarización implica riesgos. Su personal debe mantenerse alerta ante los ataques de virus y otras amenazas que podrían afectar la integridad de los datos. La confidencialidad de cierta información podría constituir un problema que debe considerar y el acceso a cierta información quizás deba limitarse a algunas personas específicas. Errores de ingreso de datos podrían dar como resultado cálculos inexactos y una representación inexacta de la posición financiera de su organización. Estar consciente de estos tipos de riesgos le ayudará a minimizarlos. La computarización podría tener costos ocultos. Estos costos incluyen los gastos de adquisición de equipo periférico (lectores de discos "zip", impresoras adicionales) y los suministros necesarios (toner, tinta, papel). Los costos futuros incluyen la modernización de su sistema, la obtención de apoyo técnico y el almacenamiento de datos. 29 Computarizar todo su sistema de golpe podría ser ineficiente. Intentar automatizar todo de golpe podría dar como resultado un sistema difícil de manejar, no confiable, ineficiente y con un efecto desmoralizador sobre el personal. Un enfoque gradual podría funcionar mejor. Preparación para la Computarización Mientras se prepara para la computarización, debe plantearse ciertas preguntas con respecto a la capacidad de su organización, los sistemas existentes, los recursos humanos, el espacio físico, los recursos financieros y las necesidades de información. Muy frecuentemente, las conversaciones referentes a la computarización de un sistema contable se limitan simplemente a la selección del software. Esta visión estrecha no toma en cuenta muchos otros factores que pueden hacer que la computarización tenga éxito o fracase en cubrir las necesidades de su organización. Particularmente usted deseará evaluar sus necesidades administrativas y contables con respecto a un sistema computarizado, y si su organización está lista para la computarización. La siguiente tabla proporciona una lista breve de preguntas con las que usted debería empezar para poder prepararse para la computarización. Preguntas Clave que Debe Plantearse Cuando Se Prepare para la Computarización ¿Qué problemas comerciales o administrativos existentes podría resolver o minimizar la computarización? ¿Qué tipo de información necesita la organización del sistema contable computarizado para poder responder a interrogantes administrativas o de negocios y tomar decisiones administrativas? ¿Quién recibirá esta información y se beneficiará de la mayor disponibilidad y suministro oportuno de la misma? ¿Qué tipos de decisiones administrativas se podrán tomar con esta información? ¿Existe financiamiento disponible para la computarización? ¿Tiene límites su presupuesto? ¿Es que los requisitos impuestos por los donantes constituyen una barrera para la computarización? ¿Vale la pena incurrir en el costo de comprar, instalar y mantener el sistema computarizado simplemente para contar con información más oportuna y accesible? ¿Cuál es la capacidad actual de la tecnología informática de su organización, y puede ésta apoyar la computarización? Evaluación de las Necesidades Administrativas y Contables Al prepararse para la computarización, debería considerar las necesidades administrativas de la organización y lo que ésta desea de su sistema contable. Trabaje con otros administradores en su organización para responder a estas preguntas, tal vez en sesiones de lluvia de ideas o a través de entrevistas individuales o en grupo. Muchas organizaciones encuentran que es beneficioso contratar un asesor para que trabaje con un grupo de administradores con el objeto de determinar las necesidades de la organización. Un asesor podría estar en condiciones de ayudar a identificar las verdaderas causas de los problemas administrativos, incluyendo aquellos que no serán resueltos por el simple hecho de computarizar el sistema contable. La tabla a continuación proporciona preguntas modelo para evaluar sus necesidades de computarización. Estas preguntas son ilustrativas y las respuestas serán distintas para cada organización en particular. Preguntas Modelo para Evaluar las Necesidades de Computarización ¿Cómo contribuirá la computarización al logro de las metas de la organización? ¿Cuán compleja es la organización? La complejidad está relacionada con la magnitud del presupuesto, el volumen de transacciones mensuales y la cantidad de personal, donantes, monedas de curso legal que se emplean, lugares donde se prestan servicios, años fiscales y usuarios de la información contable. ¿Qué es lo que usted desea que su sistema contable haga? Apoyar cotidianamente las tareas administrativas como el registro de los pacientes y la impresión de facturas 30 Registrar y reportar información contable Registrar los tratamientos suministrados en forma gratuita Administrar los bienes de consumo, los medicamentos y otros suministros ¿Qué desea saber sobre su sistema contable, y quién utilizará esta información? ¿Qué tipo de información requiere? ¿Qué tipos de informes se producirán? ¿Quién examinará estos informes? ¿Cuán frecuentemente se requieren estos informes? ¿Qué decisiones le ayudarán a tomar estos informes? ¿Qué es lo que los administradores no están obteniendo del sistema actual, como ser un acceso rápido a información administrativa exacta y útil? ¿Cuáles son sus mayores preocupaciones? ¿Cuál es la mayor pérdida de tiempo en su sistema contable actual? ¿Cuenta la organización con una lista de cuentas adecuada para encarar esta complejidad? ¿Mejoraría la calidad de los informes o la información financiera con una lista de cuentas ampliada y revisada? ¿Qué impacto desea que tenga la computarización? ¿Desea que ésta reduzca el tiempo de análisis, aumente la velocidad del ingreso y procesamiento de los datos, aumente la exactitud de los mismos, mejore los controles, muestre tendencias, o mejore la administración de las adquisiciones y pagos? ¿Vale la pena incurrir los costos para adoptar el nuevo sistema si se considera su probable impacto? ¿Qué tipo de información se ingresará al sistema? ¿Qué datos detallados se deberían ingresar al sistema computarizado? ¿Qué datos se deberían ingresar solamente en forma resumida? ¿Qué datos se deberían mantener en un sistema manual y no se deberían ingresar al sistema computarizado? ¿Se deberían contratar los servicios externos de terceros para algunas partes del sistema computarizado, como las planillas de sueldos? ¿Se computarizarán todas las oficinas y clínicas de la organización? ¿Estarán todas conectadas en red? ¿Se debería integrar el sistema contable con otros sistemas, como las planillas de sueldos y los inventarios de suministros? ¿Es esto necesario? Si así fuera, ¿cómo se vincularían los sistemas? ¿Podría resolver sus necesidades administrativas una ligera modernización de bajo costo del sistema actual? ¿Se han explorado otras soluciones posibles (por ejemplo, capacitación del personal, contratación de personal con diferentes aptitudes, modificación de los procedimientos operativos) para cubrir sus necesidades administrativas? ¿Se han identificado las necesidades actuales y futuras? (Este es un punto crítico; ¡muchas organizaciones invierten en un sistema que rápidamente deja de ser adecuado para sus necesidades!) Evaluación del Estado de Preparación de Su Organización Si usted decide que la computarización realmente podrá cubrir las necesidades administrativas y contables de su organización, formule las siguientes preguntas para ayudarle a identificar si su organización está preparada para la computarización. Para cada pregunta, la tabla sugiere varias acciones de seguimiento. 31 Implementación de Su Proyecto de Computarización Un proyecto de computarización debería contar con la participación de una amplia gama de integrantes del personal y afectar a muchos departamentos y niveles diferentes dentro de su organización. Usted debe formar un equipo del proyecto, determinar sus objetivos, celebrar reuniones regularmente, establecer los requisitos de rendición de informes, llevar a cabo una evaluación (incluyendo un análisis de costos), elaborar un presupuesto realista y desarrollar un cronograma susceptible de logro. La formación de un equipo, integrado por miembros de todas las áreas de la organización, es crucial para el éxito del proyecto. Esto reconoce el impacto que tendrá el proyecto sobre toda la organización y aumenta el grado de compromiso del personal con respecto al suministro de datos exactos y la utilización de los informes que generará el nuevo sistema. Los siguientes pasos le ayudarán a implementar su proyecto de computarización: Formar el equipo del proyecto; Preparar los documentos que servirán de guía; Examinar el sistema actual; Desarrollar propuestas de modificaciones para el sistema; Seleccionar y comprar el software; Instalar los equipos de computación, los dispositivos y el software, e ingresar la información preliminar requerida; Preparar y capacitar al personal; Seguir paso a paso y evaluar el proyecto. El momento en que se tomen estos pasos dependerá del tamaño y complejidad de su organización. Un cronograma ilustrativo se presenta en el cuadro de la página XX. Posteriores secciones de este suplemento tratan con mayor detalle dos aspectos importantes referentes a la selección y compra del software para su proyecto de computarización: la definición de las necesidades de software y la evaluación del software y de los vendedores, a partir de la página XX. Formación del Equipo del Proyecto Usted debería seleccionar un administrador del proyecto para que supervise todo el proceso: la coordinación de las reuniones con los proveedores de equipos, los asesores y el personal, y el seguimiento y el informe al personal gerencial de mayor jerarquía con respecto al avance logrado. El equipo del proyecto debería incluir miembros clave del personal del departamento de contabilidad, así como personal y administradores del programa de otros departamentos que emplearán los informes producidos por el nuevo sistema. Asegúrese de incluir al personal financiero que trabajará con el sistema en forma cotidiana, y no solamente al personal administrativo de mayor jerarquía. Si su organización ya cuenta con un departamento de computación, asegúrese de incluir al administrador del sistema. También incluya a los asesores, voluntarios y otras personas que administrarán o dirigirán el proyecto. Formar un equipo al comenzar el proceso asegurará que estén representadas todas las perspectivas. Preparación de los Documentos que Servirán de Guía Invierta tiempo al inicio del proyecto para preparar documentos formales destinados a guiar el proceso de computarización. Tener estos documentos listos para que sean usados por el equipo al seguir los pasos de la implementación hará que el proceso sea más fluido en las etapas posteriores. Los documentos que servirán de guía deberían incluir: Justificación de la necesidad de la compra; Definición de objetivos; Marco referencial para la revisión de los sistemas existentes; Presupuesto; 32 Términos de referencia para el proveedor y los asesores, si se requiriese; Cronograma, detallando al personal responsable de las diferentes tareas; Plan de control y evaluación, incluyendo el seguimiento de los puntos de referencia y los indicadores de éxito. Presupuesto. Asegúrese que el presupuesto sea comprensivo e incluya los recursos para la capacitación, suministros y reimpresión de formularios. Cronograma. Al desarrollar el cronograma, fije plazos de tiempo susceptibles de cumplimiento, poniendo atención especial a ciertas tareas que dependen de la conclusión previa de otras tareas. Incluya el tiempo suficiente para realizar pruebas y modificar el sistema. La falta de cumplimiento de los plazos establecidos irreales podría afectar negativamente la moral del personal. Siempre que sea posible, evite implementar el proyecto en épocas de mucho trabajo, como el cierre de fin de año, para amortiguar el impacto del tiempo necesario para transferir los datos del sistema manual al computarizado. Examen del Sistema Actual Antes de tomar cualquier decisión con respecto a la implementación de un sistema nuevo, el equipo del proyecto debe realizar un examen exhaustivo de los procedimientos internos y la documentación actual de la organización, sobre los que se apoya el sistema contable computarizado. Usted se debe asegurar que los libros del sistema manual estén conciliados y que la información sea exacta. El equipo debe examinar: Las necesidades del personal y de todos los usuarios finales; Los procedimientos en todos los puntos de servicio y de ingreso de datos; La lista de cuentas, la clasificación de las cuentas y los centros de costos; Los diseños de informes y presupuestos; Las estructuras de codificación para los diferentes ítems como medicamentos, suministros para la planificación familiar y actividades del proyecto; Archivos maestros, como cuentas, costos, proveedores, vendedores y expedientes de los pacientes; Mecanismos de control para el ingreso de datos, como formularios y listas de verificación. Desarrollo de Propuestas para Efectuar Modificaciones Basándose en los resultados del examen del sistema, el equipo del proyecto debe identificar las necesidades que no están cubiertas por el sistema actual y desarrollar propuestas para efectuar modificaciones que ayudarán a la organización a cubrir esas necesidades. Para este paso, el equipo debería: Modificar los procedimientos y formularios financieros, de acuerdo a necesidad; Examinar la lista de cuentas y el esquema de codificación relacionado con el mismo; Diseñar los informes administrativos. Selección y Compra del Software Este paso incluye la determinación de sus necesidades de software, la evaluación de los módulos de software contable y la evaluación de los paquetes de software y de los vendedores. Determinar las necesidades de software. Sus necesidades de software dependen de factores como el tamaño de su organización, el número y tipo de transacciones que deben ser ingresadas (como la cantidad de monedas con las que usted trabaja y el volumen de los servicios que usted está registrando), y sus requisitos de rendición de informes. Desarrollar especificaciones para el software y el apoyo técnico; Evaluar si usted necesita software especializado para organizaciones sin fines de lucro. 33 Evaluar módulos de software contable. Los módulos de software contable siguen los módulos de un sistema contable típico. El software simple contiene todos los módulos en un solo paquete, en tanto que los paquetes más complejos los vende por separado, y usted compra e instala solamente los módulos que usted necesita. Al evaluar los módulos de software contable, usted debería: Determinar que módulos de software contable cubren mejor sus necesidades; Determinar si usted necesita un paquete simple o complejo. Instalación de los Equipos y del Software e Ingreso de la Información Preliminar La implementación de un proyecto de computarización puede llevar un año o más desde la instalación inicial hasta la transición gradual de los sistemas manuales o computarizados obsoletos. El vendedor del software puede prestarle asistencia en varios de los siguientes pasos: Instalar los equipos, los dispositivos y otras mejoras tecnológicas de informática, si fuere necesario; Instalar software adicional como el software para red de usuarios; Instalar el software contable; Ingresar los balances de apertura y otra información preliminar requerida, como la información referente a la organización, el vendedor y los clientes; Hacer funcionar el sistema de computación en forma paralela con los sistemas existentes (como el sistema manual); Corregir cualquier problema que pudiera existir con el software o los procedimientos de administración financiera; Reducir el uso del sistema manual; Eliminar gradualmente el sistema manual. Preparación y Capacitación del Personal A menudo, una organización se concentra en el sistema en sí (equipos, dispositivos y software) durante la computarización y deja de lado la preparación y capacitación del personal que utilizará los resultados del sistema para la toma de decisiones. Es crucial que su personal comprenda el sistema. Para este paso, la organización debería: Proporcionar una sesión de capacitación u orientación preliminar con respecto al software antes de la implementación; Contratar personal nuevo, como personal temporal para crear las bases de datos y para ingresar las transacciones previas; Capacitar al personal existente; Examinar los tipos de cargos, las descripciones, roles y responsabilidades de cada uno de ellos si fuere necesario; Capacitar a un administrador de sistema en el mantenimiento del software, incluyendo mejoras, cambios en el sistema y archivos de respaldo; Capacitar al personal contable en el uso de los módulos del sistema; Capacitar al personal administrativo y del programa en la interpretación de los informes. Control y Evaluación Periódicamente compare el avance del proyecto con los puntos de referencia establecidos al inicio del proyecto para mantener al equipo del proyecto adecuadamente encaminado y mantener al personal informado y entusiasta con respecto a los cambios que se están implementando. Las reuniones periódicas proporcionarán una oportunidad para que el personal plantee cualquier duda sobre los aspectos relativos a 34 la implementación, identifique los obstáculos y soluciones, y reasigne su tiempo y otros recursos de acuerdo a necesidad. Selección y Compra del Software La selección y compra del software que usted utilizará para computarizar su sistema contable es la decisión más importante en el proceso de computarización. Usted necesita considerar cuidadosamente las características y la capacidad del software en relación con las necesidades de computarización de su organización. Necesita evaluar los módulos del software contable y determinar cuáles deberá instalar y utilizar. La evaluación de las opciones de software y de vendedores constituye otra parte importante de este proceso. Determinación de las Necesidades de Software Sus necesidades de software dependen de diversos factores, como la cantidad de monedas de curso legal que su organización debe manejar y su necesidad de un sistema que pueda adecuar a la medida de sus necesidades. Los programas más simples están diseñados para los negocios pequeños. Están generalmente diseñados para un solo usuario, como el administrador o el contador. Los programas más complejos están diseñados para las empresas de mayor envergadura que lleva la contabilidad de cada departamento. Los programas más avanzados pueden tener múltiples usuarios a través de una red local de gran magnitud, o pueden conectar múltiples sitios a través de una red amplia. Seguridad. Los programas simples pueden tener una contraseña para restringir el acceso al mismo, pero generalmente permitirán que el usuario modifique datos ingresados previamente. Aunque esto hace que estos programas sean útiles para las organizaciones que no están preocupadas por cuestiones de seguridad, podría constituir una gran desventaja para las organizaciones más grandes con personal contable múltiple. Los programas más complejos tienen más mecanismos de seguridad. El administrador puede restringir las tareas que cada usuario puede realizar. Métodos de compra y costos. Los programas simples normalmente se venden como un solo producto, y es posible que usted tenga que comprar un paquete separado para cada usuario. Los programas más complejos normalmente se venden por módulos, y el precio podría variar de acuerdo al número planificado de usuarios. Necesidad de software especializado para organizaciones sin fines de lucro. Algunos programas de software fueron desarrollados específicamente para las organizaciones sin fines de lucro. El punto fuerte de estos paquetes generalmente tiene que ver con la recepción de donativos, la contabilidad de fondos, y la rendición de informes a los donantes y generalmente permiten muchos niveles de subclasificaciones de cuentas. UNIDAD TEMATICA 3 Seguridad de los Sistemas de Información El logro de la seguridad y protección de los recursos informativos de la Entidad Recursos Informativos de una Entidad: Las informaciones generadas interna o externamente en la entidad por el resultado de sus operaciones internas o en relación con el entorno circundante: (Clientes, proveedores, competidores, agencias del gobierno, etc.) Son informaciones insustituibles pues se han producido para reflejar los hechos relacionados exclusivamente con la entidad o con la esfera de su interés. Las informaciones de carácter general: Que interesan a la entidad y que ha obtenido por la consulta a fuentes informativas externas: Internet, servicios informativos especializados, medios masivos de información, etc. Los programas de aplicación (software de aplicación) elaborados a solicitud de la entidad o adquiridos por ella con cierto carácter de exclusividad: Además de la documentación técnica y de utilización. Se pueden obtener nuevamente en caso de pérdida, pero a costa de grandes gastos. 35 El software de carácter general: Sistemas operativos, software utilitario. Pueden obtenerse fácilmente, con gastos de adquisición moderados. El hardware construido específicamente para la entidad: En la actualidad es algo poco corriente, pues la oferta es muy amplia. El hardware de carácter general: Computadoras, líneas de transmisión de datos, equipos de protección, etc. El personal relacionado con el procesamiento de la información: operadores de computadoras, administradores de bases de datos, bibliotecarios de soporte, analistas de información, informáticos, programadores, etc. Recursos que cuestan mucho dinero formarlos e instruirlos. El costo de perder las informaciones y bases de datos particulares es mayor que el de perder el hardware. No se debe perder de vista que se está ante un sistema interrelacionado y la afectación a uno de ellos seguramente afectará a los otros. Las amenazas a estos recursos pueden ser: Errores humanos Delitos o acciones malintencionadas Desastres naturales o artificiales Afectaciones electrónicas y de software Un Sistema de Controles generales de PED puede disminuir o erradicar estas amenazas. El objetivo de estos controles no se debe limitar al ambiente informático únicamente, debe aplicarse al sistema Informativo de la entidad desde el lugar donde surgen las informaciones iniciales hasta donde se aplican: procesos de planificación, organización, toma de decisiones y control de la entidad, almacenamiento y procesamiento. La seguridad y protección no es un concepto absoluto que debe ser lograda a toda costa: se relaciona íntimamente con la problemática Informativa de la entidad y lo es también de costo beneficio. Es tarea del auditor financiero contemporáneo contribuir al diseño de un sistema de seguridad y protección de los recursos informativos acorde a las necesidades y posibilidades de las entidades con las que se relacione profesionalmente. La seguridad y protección deben enfocarse a la consecución de la Misión y al logro de los objetivos de la misma. Medidas de protección de activos tangibles y mucho más. La seguridad y protección deben ser parte de los hábitos comunes de trabajo, de su cultura técnicoorganizacional La seguridad y protección es un proceso que debe diseñarse a partir de un detallado análisis de las necesidades y posibilidades de la entidad, no debe verse como un proceso burocrático que “hay que cumplir” Exige la participación activa de la gerencia en todos sus niveles y la participación de los usuarios es básica para su garantía. El auditor financiero debe controlar la aplicación adecuada de ésas políticas. La seguridad y protección es una responsabilidad de todas aquellas personas involucradas en los procesos de tratamiento de la información y su utilización. 36 Esta responsabilidad integral requiere de su implementación sistémica en la entidad. Cada persona involucrada debe estar imbuida de su importancia y el rol que juega puede garantizar todos los procesos productivos: de servicios, económicos, financieros y de gestión. Deben estar informados de las amenazas y peligros existentes y de qué hacer para evitarlos. Los controles y medidas deben estar reflejados explícitamente en documentos de trabajo (normativas, manuales, ayudas en línea en las aplicaciones, etc.) Las medidas y controles generales de PED y los controles de su aplicación deben estar diseñados con un criterio integral, pues todas las aplicaciones soluciones problemas similares en forma similar. Consistencia en la solución de problemas. (“lo similar siempre se soluciona de igual forma”) La seguridad y protección se implantará a través de un Programa o Plan de de seguridad y Protección, en el cual se reflejen las tareas concretas a realizar con las responsabilidades bien definidas en cuanto a dirección y ejecución. Plan de Seguridad y Protección de los Recursos Informativos Este plan debe orientarse para ser aplicado en las siguientes áreas de trabajo: Área de Proceso Informático de la Información Área de captación de la información primaria Canales de Transmisión de Datos por líneas de comunicación Actividad de traslado físico de información (formularios, informes y reportes impresos) Biblioteca de soportes magnéticos Área de toma de decisiones y control, mediante la información que brinda el sistema Áreas físicas circundantes Debe incluir un Sistema de Medidas de Seguridad y Protección relacionadas con: El software La construcción y reconstrucción de oficinas, locales en general y edificios La instalación de equipos de seguridad y protección Las medidas organizativas y de dirección Las medidas educativas y culturales Las medidas legales Plan o Programa para Contingencias y Catástrofes. Donde se establece claramente qué hacer en caso de determinados desastres que puedan afectar los recursos informáticos. Allí se incluyen medidas para evitar y recuperar los recursos afectados y qué hacer para continuar el trabajo en esas condiciones excepcionales. Este plan requiere activar medidas educativas y organizativas para que sean conocidos por todos los implicados y todos sepan qué hacer en determinado caso. Proceso de elaboración y aplicación del Sistema de Medidas de Seguridad y Protección de los recursos informativos Proceso de elaboración y aplicación del Sistema de Medidas de Seguridad y Protección de los recursos informativos debe ser elaborado a partir de las necesidades de la entidad y de sus posibilidades técnicas, organizativas, de personal y económicas. Por lo que debe haber un estudio detallado que identifique las causas potenciales de riesgos y determine los controles de carácter general o de aplicación que se van a diseñar e implementar, para disminuir o eliminar dichas causas 37 Debe ser racional y práctico, debe contemplar la relación costo beneficio de los recursos que se desea proteger Este proceso se realizará por etapas donde muchas de esas funciones recaen sobre el mismo empleado y donde no hay posibilidades económicas de segregar y dividir funciones, deben aplicarse las medidas posibles. Etapas: 1- Establecimiento de los objetivos de seguridad y protección de los recursos informativos de la entidad: Se define por la alta gerencia, los auditores y responsables de la seguridad y protección. Se definirá: qué se pretende, qué se quiere proteger, qué están dispuestos o no a permitir en caso de una contingencia. 2- Garantizar la participación de todos los implicados: Aquí hay una gran carga de trabajo cultural educativo: conferencias, explicaciones, ubicación de afiches, etc. Los auditores y los responsables deben difundir la necesidad de adquirir hábitos saludables para lograr seguridad y protección. También se requerirá soporte administrativo, organizativo y legal. 3- Análisis de las causas de riesgos: Es una etapa técnica, implica detectar aquellos puntos que ofrecen peligros o amenazas contra los recursos informativos. 4- Diseño de medidas necesarias: división en medidas o controles generales y de aplicación. Diseño del plan para contingencias y catastrotes: Tiene dos partes: a) Diseño del sistema de medidas o controles generales de aplicación. Y se establecen las directivas generales a seguir por los diseñadores de cada aplicación informática. B) Diseño del plan para contingencias o catástrofes. Se analizan un conjunto particular de causas de riesgos (Catástrofes naturales o artificiales) que pueden propiciar la pérdida de todos o parte de los recursos informativos 5- Documentar el plan de medidas: Obedece no a burocratizar, sino a la formalización que implica escribir el plan de medidas contribuye a su logro y a su accionar práctico. Evita confusiones y malas interpretaciones. Garantiza la realización de las auditorias. La forma de documentar las el plan de medidas depende de las características de la entidad, de las preferencias de auditores, usuarios, etc. Una forma adecuada es dividirla en: Medidas relacionadas con los controles generales de PED Medidas relacionadas con los controles de aplicación de PED Medidas relacionadas con las contingencias y desastres 6- Aplicación del sistema de medidas. Acciones necesarias para aplicar las medidas: Implica tomar las acciones necesarias para activar el sistema de medidas diseñado y documentado. Es una etapa fundamental pues si no se realiza convenientemente, todo el proceso puede quedar en un mero ejercicio burocrático. El jefe de diseño y elaboración de sistemas tiene que implementar todas las medidas y controles recomendados y procedentes a los sistemas de aplicación que se estén elaborando. Cada medida o control a aplicar puede exigir esfuerzos diferentes: puede requerirse la instalación de una nueva puerta más segura, candados de seguridad a cada máquina o simplemente trasladar la computadora a otro lugar. 7- Controlar la aplicación del plan de medidas y el plan para contingencias y catástrofes: El método fundamental es la observación científica y rigurosa que ejecuten los auditores con el objetivo de: garantizar que se cumplan los planes elaborados y que los sistemas diseñados e implantados es eficaz y eficiente, brindando así un nivel adecuado de seguridad y protección. 8- Análisis sistemático de la adecuación de los planes a la realidad. Modificación y actualización de los mismos: Su objetivo es adecuar el sistema de medidas elaborado a los cambios del medio ambiente y a las nuevas exigencias. Para realizarlas deben basarse en: Experiencias obtenidas durante la aplicación del sistema de medidas, aspectos positivos y negativos, resultados. Cambios en la misión y los objetivos de la entidad Cambios en el hardware y el software general 38 Necesidades de los nuevos sistemas de aplicación que se diseñan o se desean adquirir Modificaciones a los sistemas de aplicación que se encuentran en explotación. Algunas medidas generales de seguridad y protección de Recursos Informativos Medidas de protección mediante la construcción-remodelación de locales: . Medidas de seguridad y protección a través de la instalación de equipos: . Medidas organizativas y de dirección: Medidas educativas y culturales Medidas legales de Protección Medidas de Protección a través del software Consulta no autorizada a las Bases de Datos Arquitectura interna de una BD. La arquitectura de un sistema de base de datos se divide en 3 niveles comunes, nivel interno, conceptual y externo. Nivel Interno: Es el mas cercano al almacenamiento físico, es decir, es el que se ocupa de la forma como se almacenan físicamente los datos. Nivel Externo: Es el mas cercano a los usuarios, es decir, es el que se ocupa de la forma como los usuarios reciben los datos. Nivel Conceptual: Es el nivel de mediación entre los 2 anteriores: Externo (aplicaciones) Conceptual (modelo, (entidad/relación)) Interno (Hardware) Definición de Base de Datos Todo buen curso necesita empezar con algunos conceptos básicos para el mejor entendimiento del mismo, por lo tanto empezaremos con las definiciones que involucran a las bases de datos: Dato: Conjunto de caracteres con algún significado, pueden ser numéricos, alfabéticos o alfanuméricos. Información: Es un conjunto ordenado de datos los cuales son manejados según la necesidad del usuario, para que un conjunto de datos pueda ser procesado eficientemente y pueda dar lugar a información, primero se debe guardar lógicamente en archivos. Conceptos básicos de archivos computacionales Campo: Es la unidad más pequeña a la cual uno puede referirse en un programa. Desde el punto de vista del programador representa una característica de un individuo u objeto. Registro: Colección de campos de iguales o diferentes tipos. Archivo: Colección de registros almacenados siguiendo una estructura homogénea. Base de datos: Es una colección de archivos interrelaciónales, son creados con un DBMS. El contenido de una base de datos engloba a la información concerniente (almacenadas en archivos) de una organización, de tal manera que los datos estén disponibles para los usuarios, una finalidad de la bases de datos es eliminar la redundancia o al menos minimizarla. Los tres componentes principales de un sistema de base de datos son el hardware, software DBMS y los datos a manejar, así como el personal encargado del manejo del sistema. Sistema Manejador de Base de Datos. (DBMS) 39 Interrelacionadas, cada una de las cuales es responsable de una tarea especifica. El objetivo primordial de un sistema manejador base de datos es proporcionar un contorno que sea a la vez conveniente y eficiente para ser utilizado al extraer, almacenar y manipular información de la base de datos. Todas las peticiones de acceso a la base, se maneja centralizadamente por medio del DBMS, por lo que este paquete funciona como interfase entre los usuarios y la base de dato. Esquema de base de datos: Es la estructura por la que esta formada la base de datos, se especifica por medio de un conjunto de definiciones que se expresa mediante un lenguaje especial llamado lenguaje de definición de datos. (DDI). Administrador de base de datos (DBA): Es la persona o equipo de personas profesionales responsables del control y manejo del sistema de base de datos, generalmente tienen experiencia en DBMS, diseño de bases de datos, sistemas operativos, comunicación de datos, hardware y programación. Los sistemas de base de datos se diseñan para manejar grandes cantidades de información, la manipulación de los datos involucra tanto la definición de estructuras para el almacenamiento de la información como la provisión de mecanismos para la manipulación de la información, además un sistema de base de datos debe de tener implementados mecanismos de seguridad que garanticen la integridad de la información, a pesar de caídas del sistema o intentos de accesos no autorizados. Un objetivo principal de un sistema de base de datos es proporcionar a los usuarios finales una visión abstracta de los datos, esto se logra escondiendo ciertos detalles de cómo se almacenan y mantienen los datos. Objetivos de los sistemas de bases de datos Los objetivos principales de un sistema de bases de datos es disminuir los siguientes aspectos: Redundancia e inconsistencia de datos: Puesto que los archivos que mantienen almacenada la información son creados por diferentes tipos de programas de aplicación existe la posibilidad de que si no se controla detalladamente el almacenamiento, se pueda originar un duplicado de información, es decir que la misma información sea más de una vez en un dispositivo de almacenamiento. Dificultad para tener acceso a los datos: Un sistema de base de datos debe contemplar un entorno de datos que le facilite al usuario el manejo de los mismos. Supóngase un banco, y que uno de los gerentes necesita averiguar los nombres de todos los clientes que viven dentro del código postal 787333 de la ciudad. El gerente pide al departamento de procesamiento de datos que genere la lista correspondiente. Puesto que esta situación no fue prevista en el diseño del sistema, no existe ninguna aplicación de consulta que permita este tipo de solicitud, esto ocasiona una deficiencia del sistema. Aislamiento de los datos: Puesto que los datos están repartidos en varios archivos, y estos no pueden tener diferentes formatos, es difícil escribir nuevos programas de aplicación para obtener los datos apropiados. Anomalías del acceso concurrente: Para mejorar el funcionamiento global del sistema y obtener un tiempo de respuesta más rápido, muchos sistemas permiten que múltiples usuarios actualicen los datos simultáneamente. En un entorno así la interacción de actualizaciones concurrentes puede dar pos resultado datos inconsistentes. Para prevenir esta posibilidad debe mantenerse alguna forma de supervisión en el sistema. Problemas de seguridad: La información de toda empresa es importante, aunque unos datos lo son mas que otros, por tal motivo se debe considerar el control de acceso a los mismos, no todos los usuarios pueden visualizar alguna información, por tal motivo para que un sistema de base de datos sea confiable debe de mantener un grado de seguridad que garantice la autentificación y protección de los datos. En un banco por ejemplo, el personal de nominas solo necesita empleados del banco y no a otro tipo de información. 40 Problemas de integridad: Los valores de datos almacenados en la base de datos deben satisfacer cierto tipo de restricciones de consistencia. Esta restricciones se hacen cumplir en el sistema añadiendo códigos apropiados en los diversos programas de aplicación. La información es uno de los activos más importantes de las entidades. Es indudable que cada dia las entidades dependen de mayor medida de la información y de la tecnologia, y que los sistemas de información están más soportadas por la tecnologia,frente a la realidad de hace pocas décadas. Por otra parte, hace unos años la protección era más fácil, con arquitecturas centralizadas y terminales no inteligentes , pero hoy en día los entornos son realmente complejos, con diversidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales. Entre las plataformas físicas (hardware) pueden estar: ordenadores grandes y medios ordenadores departamentales y personales, solos o formando parte de red, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más difícil proteger los datos, especialmente porque los equipos tienen filosofías y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante. Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información. En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad. La confidencialidad: se cumple cuando solo las personas autorizadas (en su sentido amplio podríamos referirnos también a sistemas)pueden conocer los datos o la información correspondiente. Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿Cuál podría ser su uso final?¿habrá una cadena de cesiones o ventas incontroladas de esos datos, que podría incluir datos como domicilios o perfil económico, o incluso datos médicos? ¡y si alguien se hiciera con un disquete con lo que perciben los directivos de nuestra entidad?. La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoria. Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes. Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían viciadas (corruptas decimos a veces), lo que haría difícil la reconstrucción. La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información. El disponer de la información después del momento necesario puede equivaler a al no disponibilidad. Otro tema es disponer de la información a tiempo pero que esta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas. Otro caso grave es la no disponibilidad absoluta. Por haberse producido algún desastre. En este caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco. Niveles de Protección El CONTROL INTERNO basado en los objetivos de control y llevado a cabo por los supervisores a distintos nivele. La AUDITORIA DE SISTEMAS DE INFORMACIÓN INTERNA, objetiva e independiente y con una preparación adecuada, como control del control. 41 La AUDITORIA DE SISTEMAS DE INFORMACIÓN EXTERNA, contratada cuando se considera necesaria, y como un nivel de protección más. Igualmente objetiva e independiente. Contraseñas o palabras de pase Verificar la Fortaleza de sus Contraseñas Un viejo "chiste" reza: ¿Cuál es el eslabón más débil de la cadena de seguridad en sistemas informáticos?. El usuario final. Si usted se sintió afectado, por favor preguntase si la clave para acceder a su sistema tiene algo que lo relacione con usted mismo. Por ejemplo: si usted se llama Alberto y tiene 42 años de edad, esta casado con Alicia y su hija se llama Rosana, ¿su password es "alber_42" o "AAR" o "alalro"? En sistemas informáticos, mantener una buena política de seguridad de creación, mantenimiento y recambio de claves es un punto crítico para resguardar la seguridad y privacidad. Comencemos por ver la forma en que nuestras claves pueden caer en manos de personas nonsanctas, mediante un antiguo método denominado "Fuerza Bruta" donde el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar la password correcta. Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se este atacando. A contiuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele ser mucho mayor dependiendo del programa utilizado. Cantidad de Caracteres 26 - Letras Minúsculas 36 - Letras y Dígitos 52 - Mayúsculas y Minúsculas 96 - Todos los Caracteres 6 51 minutos 6 horas 2,3 días 3 meses 42 7 22,3 horas 9 días 4 meses 24 años 8 24 días 10,5 meses 17 años 2.288 años 9 21 meses 32,6 años 890 años 219.601 años 10 54 años 1.160 años 45.840 años 21.081.705 años Aquí puede observarse que si se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres. Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles. Según demuestra un análisis realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo: Con un diccionario 2.030 palabras, se obtuvieron 36 cuentas en solo 19 segundos (1,77%). Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%). Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas: En un año se obtuvieron 3.340 contraseñas (24,22%). En la primera semana se descubrieron 3.000 claves (21,74%). En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%). Según lo observado en la tabla, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana. Esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a secuencias alfabéticas tipo 'abcd'; a secuencias numéricas tipo '1234'; a secuencias observadas en el teclado tipo 'qwer'; a palabras que existen en un diccionario del lenguaje del usuario; a que el usuario se llama Alberto y su clave es 'Alber'. Este simple estudio confirma nuestra mala elección de contraseñas, y el riesgo se incrementa si el atacante conoce algo sobre la víctima, ya que podrá probar palabras relacionadas a su persona o diccionarios orientados. 43 Normas de Elección de Claves Se debe tener en cuenta los siguientes consejos: 1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado). 2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.). 3. No utilizar terminología técnica conocida. 4. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos. 5. Deben ser largas, de 8 caracteres o más. 6. Tener contraseñas diferentes en máquinas diferentes y sistemas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password. 7. Deben ser fáciles de recordar para no verse obligado a escribirlas. Algunos ejemplos son: o Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3 o Usar un acrónimo de alguna frase fácil de recordar: A río Revuelto Ganancia de Pescadores: ArRGdP o Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P o Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo o Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar o Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar: 35M\/Pq< Normas para proteger una password La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema. RECORDAR: "Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos". Algunos consejos a seguir: 1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente (auditoría). 2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Administrador, Root, System, Test, Demo, Guest, InetUser, etc. 44 3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente. 4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar. 5. No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña. 6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...". 7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente (por lo menos 5). Passwords en los sistemas Muchos sistemas incorporan ya algunas medidas de gestión y protección, que obliga al cambio periódico y chequea su nivel de dificultad. Entre ellas podemos citar las siguientes: 1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas: o Obligar a reescribir el nombre de usuario (lo más común). o Bloquear el acceso durante un tiempo. o Enviar un mensaje al administrador y/o mantener un registro especial. 2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7 u 8 como mínimo). 3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no pueden contener el nombre del usuario ni ser un blanco. 4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior. 5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las contraseñas de su propio sistema en busca de debilidades. Passwords en la BIOS Esta utilidad resulta de extremado interés en entornos multiusuario, pero tambien puede resultar un arma de doble filo que induce una falsa sensación de seguridad. Digo esto ya que muchos fabricantes de BIOS suelen utilizar puertas traseras, que aunque teóricamente sólo deberían conocer ellos, terminan saliendo a la luz. Por ejemplo: AWARD BIOS, utiliza/aba "AWARD_SW" o "AWARD_PW". Otras opciones válidas para franquear esta barrera es resetear la memoria de la BIOS quitando la pila de la placa base y volviéndola a conectar, cambiar un jumper de lugar o utilizar programas para saltar/descubrir la clave. Auditoria de passwords En el mercado existen múltiples herramientas que nos informan sobre la complejidad de las claves elegidas. 45 Estas herramientas pueden ser ejecutadas cada ciertos períodos de tiempo, analizando las claves existentes y su complejidad, o bien ser incorporadas a los sistemas de forma que no se permita la existencia de passwords débiles. Conclusión Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las passwords elegidas y de su complejidad. La implementación de passwords seguras deberia ser el principal objetivo cuando decidimos ("nos damos cuenta") que lo que somos y hacemos es importante. Esta implemntación depende de la educación que cada usuario recibe, de las políticas de seguridad aplicadas y de auditorias permanentes. La seguridad existe... simplemente depende de la imaginación que tengamos a la hora de elegir nuestras claves. BIBLIOGRAFIA GENERAL Es posible señalar lecturas específicas para cada tema o dependiendo de la materia incluir bibliografía general. La bibliografía debe cumplir con las siguientes características En caso de obras o textos deben llevar: El autor/es; título de la obra en negrilla y comillas, editorial, edición y año. En caso de páginas web deben llevar: La dirección: http. www……luego el autor o autores del texto, el titulo. GLOSARIO El glosario es una estrategia que tiene el propósito de construir un lenguaje común en el grupo de clase, tanto en su concepción teórica, como metodológica. En este sentido, debe tener las siguientes características: 46 Debe estar organizado por orden alfabético. Deben ser términos “técnicos” utilizados en el desarrollo de los contenidos de clase y que requiera una aclaración conceptual. Los términos deben explicados de manera clara y concreta, evitando cualquier confusión. Encriptacion ¿Qué es Encriptación? Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Opcionalmente puede existir además un proceso de desencriptación a través del cuál la información puede ser interpretada de nuevo a su estado original, aunque existen métodos de encriptación que no pueden ser revertidos. El término encriptación es traducción literal del inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería cifrado. Criptología La encriptación como proceso forma parte de la criptología, ciencia que estudia los sistemas utilizados para ocultar la información. La criptología es la ciencia que estudia la transformación de un determinado mensaje en un código de forma tal que a partir de dicho código solo algunas personas sean capaces de recuperar el mensaje original. La mayoría de los algoritmos modernos del cifrado se basan en una de las siguientes dos categorías de procesos: Problemas matemáticos que son simples pero que tienen una inversa que se cree (pero no se prueba) que es complicada Secuencias o permutaciones que son en parte definidos por los datos de entradas. 47 La primera categoría, que resume la mayoría de los métodos del cifrado de clave pública, sufre de la incapacidad de probar la dificultad de los algoritmos. El segundo método, que contiene a la mayoría de los códigos, sufre a menudo de correlaciones teóricas entre la entrada ("texto de entrada") y la salida ("texto cifrado"). Publicado por Gretel, Abdaleis y Analida en 16:00 No hay comentarios: Usos de la Encriptación Algunos de los usos más comunes de la encriptación son el almacenamiento y transmisión de información sensible como contraseñas, números de identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones privadas, entre otros. Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos. Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos. Publicado por Gretel, Abdaleis y Analida en 15:52 No hay comentarios: Métodos de Encriptación Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes: Los algoritmos HASH, los simétricos y los asimétricos. 1. Algoritmo HASH: Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC. 2. Criptografía de Clave Secreta o Simétrica 48 Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar en ambientes donde interactúan varios interlocutores. Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y la de descifrado es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la misma. Sus principales características son: rápidos y fáciles de implementar clave de cifrado y descifrado son la misma cada par de usuarios tiene que tener una clave secreta compartida una comunicación en la que intervengan múltiples usuarios requiere muchas claves secretas distintas Actualmente existen dos métodos de cifrado para criptografía de clave secreta, el cifrado de flujo y el cifrado en bloques. Cifrado de flujo El emisor A, con una clave secreta y un algoritmo determinístico (RKG), genera una secuencia binaria (s) cuyos elementos se suman módulo 2 con los correspondientes bits de texto claro m, dando lugar a los bits de texto cifrado c, Esta secuencia (c) es la que se envía a través del canal. En recepción, B, con la misma clave y el mismo algoritmo determinístico, genera la misma secuencia cifrante (s), que se suma modulo 2 con la secuencia cifrada (c) , dando lugar a los bits de texto claro m. Los tamaños de las claves oscilan entre 120 y 250 bits Cifrado en bloque Los cifrados en bloque se componen de cuatro elementos: 49 Transformación inicial por permutación. - Una función criptográfica débil (no compleja) iterada r veces o "vueltas". - Transformación final para que las operaciones de encriptación y desencriptación sean simétricas. - Uso de un algoritmo de expansión de claves que tiene como objeto convertir la clave de usuario, normalmente de longitud limitada entre 32 y 256 bits, en un conjunto de subclaves que puedan estar constituidas por varios cientos de bits en total. 3. Algoritmos Asimétricos (RSA): Requieren dos Claves, una Privada (única y personal, solo conocida por su dueño) y la otra llamada Pública, ambas relacionadas por una fórmula matemática compleja imposible de reproducir. El concepto de criptografía de clave pública fue introducido por Whitfield Diffie y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro. El usuario, ingresando su PIN genera la clave Publica y Privada necesarias. La clave Publica podrá ser distribuida sin ningún inconveniente entre todos los interlocutores. La Privada deberá ser celosamente guardada. Cuando se requiera verificar la autenticidad de un documento enviado por una persona se utiliza la Clave Publica porque el utilizó su Clave Privada. Publicado por Gretel, Abdaleis y Analida en 15:24 No hay comentarios: Firma Digital Origen: El concepto de firma digital nació como una oferta tecnológica para acercar la operatoria social usual de la firma ológrafa (manuscrita) al marco de lo que se ha dado en llamar el ciberespacio o el trabajo en redes. Concepto: Es la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción. Criptografía Saltar a: navegación, búsqueda 50 La máquina alemana de cifrado Lorenz, usada en la Segunda Guerra Mundial para el cifrado de los mensajes para los generales de muy alto rango. Criptografía (del griego κρύπτω krypto, «oculto», y γράφως graphos, «escribir», literalmente «escritura oculta») tradicionalmente se ha definido como la parte de la criptología que se ocupa de las técnicas, bien sea aplicadas al arte o la ciencia, que alteran las representaciones lingüísticas de mensajes, mediante técnicas de cifrado y/o codificado, para hacerlos ininteligibles a intrusos (lectores no autorizados) que intercepten esos mensajes. Por tanto el único objetivo de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía que había era la llamada criptografía clásica. La aparición de la Informática y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse. Este desafío ha generalizado los objetivos de la criptografía para ser la parte de la criptología que se encarga del estudio de los algoritmos, protocolos (se les llama protocolos criptográficos) y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican. Para ello los criptógrafos investigan, desarrollan y aprovechan técnicas matemáticas que les sirven como herramientas para conseguir sus objetivos. Los grandes avances que se han producido en el mundo de la criptografía han sido posibles gracias a los grandes avances que se ha producido en el campo de las matemáticas y la informática. 51 Índice 1 Objetivos de la criptografía 2 Terminología 3 Evaluación de la seguridad o 3.1 Hacer público o no o 3.2 Grado de seguridad 3.2.1 Seguridad incondicional 3.2.1.1 Limitaciones 3.2.2 Seguridad condicional o 3.3 Puntos de vista desde los que evaluar la seguridad 3.3.1 Enfoque basado en la teoría de la información 3.3.2 Enfoque basado en la teoría de la complejidad 3.3.3 Enfoque basado en la práctica 4 Historia de la criptografía 5 La Criptografia en el Correo Electrónico 6 Véase también o 6.1 Algoritmos o 6.2 Protocolos o 6.3 Aplicaciones 7 Referencias 8 Enlaces externos Objetivos de la criptografía La criptografía actualmente se encarga del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, a la información y a las entidades que se comunican.1 El objetivo de la criptografía es diseñar, implementar, implantar, y hacer uso de sistemas criptográficos para dotar de alguna forma de seguridad. Por tanto el tipo de propiedades de las que se ocupa la criptografía son por ejemplo: Confidencialidad. Es decir garantiza que la información está accesible únicamente a personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado. Integridad. Es decir garantiza la corrección y completitud de la información. Para conseguirlo puede usar por ejemplo funciones hash criptográficas MDC, protocolos de compromiso de bit, o protocolos de notarización electrónica. No repudio. Es decir proporcionar protección frente a que alguna de las entidades implicadas en la comunicación, pueda negar haber participado en toda o parte de la comunicación. Para conseguirlo se puede usar por ejemplo firma digital. En algunos contextos lo que se intenta es justo lo contrario: Poder negar que se ha intervenido en la comunicación. Por ejemplo cuando se usa un servicio de mensajería instantánea y no queremos que se pueda demostrar esa comunicación. Para ello se usan técnicas como el cifrado negable. Autenticación. Es decir proporciona mecanismos que permiten verificar la identidad del comunicante. Para conseguirlo puede usar por ejemplo función hash criptográfica MAC o protocolo de conocimiento cero. Soluciones a problemas de la falta de simultaneidad en la telefirma digital de contratos. Para conseguirlo puede usar por ejemplo protocolos de transferencia inconsciente. 52 Un sistema criptográfico es seguro respecto a una tarea si un adversario con capacidades especiales no puede romper esa seguridad, es decir, el atacante no puede realizar esa tarea específica. Terminología En el campo de la criptografía muchas veces se agrupan conjuntos de funcionalidades que tienen alguna característica común y a ese conjunto lo denominan 'Criptografía de' la característica que comparten. Veamos algunos ejemplos: Criptografía simétrica.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de una sola clave. Criptografía de clave pública o Criptografía asimétrica.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de parejas de claves compuesta por una clave pública , que sirve para cifrar, y por una clave privada , que sirve para descifrar. Criptografía con umbral.- Agrupa aquellas funcionalidades criptográficas que se apoyan en el uso de un umbral de participantes a partir del cual se puede realizar la acción. Criptografía basada en identidad.- Es un tipo de Criptografía asimétrica que se basa en el uso de identidades. Criptografía basada en certificados Criptografía sin certificados Criptografía de clave aislada Evaluación de la seguridad El objetivo de un sistema criptográfico es dotar de seguridad. Por tanto para calibrar la calidad de un sistema criptográfico es necesario evaluar la seguridad que aporta dicho sistema. Hacer público o no Al evaluar la seguridad un sistema criptográfico se puede poner de manifiesto sus debilidades. Si estas debilidades se hacen públicas entonces se dispara el riesgo a que esas debilidades sean aprovechadas por un atacante. Por eso hay mucha polémica en relación a hacer públicos o no los entresijos de los sistemas criptográficos. Si se hace público el funcionamiento del sistema cualquier persona puede evaluar la seguridad (con lo que mejora la evaluación de la seguridad) lo que provoca una mayor exposición a ataques. Si no se publica el funcionamiento del sistema entonces se restringen las personas que pueden evaluar el sistema (los resultados pueden no haber detectado ciertas debilidades) pero como contraprestación se tiene de que los posibles atacantes no tienen disponibles toda la información disponible para utilizarla en un ataque. Se considera que la seguridad de un sistema criptográfico debe descansar sobre el tamaño de la claves utilizadas y no sobre el secreto del algoritmo. Esta consideración se formaliza en el llamado principio de Kerckhoffs. Esto no quiere decir que cuando usemos criptografía tengamos que revelar los algoritmos, lo que quiere decir es que el algoritmo tiene que ser seguro aunque éste sea difundido. La difusión del algoritmo permite que la comunidad criptográfica evalúe la seguridad de dicho algoritmo y por tanto verifique si el algoritmo en sí es seguro. Evidentemente si un sistema criptográfico es seguro aún revelando su algoritmo, entonces será aún más seguro si no lo revelamos. Sin embargo si un sistema tiene una debilidad latente, si no se hace público el 53 funcionamiento interno, se dificulta al atacante el descubrimiento de dicha debilidad. Es decir, se consigue la seguridad por oscuridad, no por el sistema en sí. Por esta razón algunas organizaciones (Ej. NSA o MI6) disponen de algoritmos criptográficos no revelados (que pueden aprovechar algunos conocimientos de otros algoritmos públicos) que sólo han sido sujetos a una verificación interna. Los consideran seguros y no quieren revelarlos para que no puedan ser estudiados por criptoanalistas y de esa forma no sean hechas públicas sus posibles debilidades. Grado de seguridad Cuando se evalúa la seguridad de un sistema criptográfico se puede calibrar la seguridad que aporta en función de si éste es seguro de forma incondicional o si es seguro sólo si se cumplen ciertas condiciones. Seguridad incondicional 2 Se dice que un sistema criptográfico tiene una seguridad incondicional (en inglés unconditional security) sobre cierta tarea si un atacante no puede resolver la tarea aunque tenga infinito poder computacional. 3 4 5 En función de la tarea sobre la que se dice que el sistema criptográfico es incondicionalmente seguro, podemos hablar por ejemplo de: Criptosistemas incondicionalmente seguros (cifrado). Autenticación incondicionalmente segura (autenticación). Distribución de claves incondicionalmente segura. Firma digital incondicionalmente segura (firma digital). Es habitual que los sistemas incondicionalmente seguros tengan inconvenientes importantes como por ejemplo en la longitud de las claves (libreta de un solo uso). Para certificar una seguridad incondicional los criptólogos se suelen basar en la teoría de la información y, por tanto, en la teoría de la probabilidad. Limitaciones El que un sistema tenga seguridad incondicional no quiere decir que su seguridad sea inviolable. Veamos dos consideraciones 6 Los sistemas son incondicionalmente seguros desde un punto de vista probabilístico: El oponente siempre tiene una probabilidad mayor que cero de romper la seguridad. Sin embargo, esta probabilidad puede ser muy muy pequeña. Esto es lo que sucede con los sistemas incondicionalmente seguros. 7 En la mayoría de los estudios sobre la seguridad de un sistema se hace la suposición de que los atacantes tienen sólo un intento para atacar la seguridad del sistema. El éxito o el fracaso están determinados por el éxito o fracaso de ese intento. Esta suposición es válida, por ejemplo, en ciertos problemas de comunicación segura donde el enemigo no tiene oportunidad de verificar si el mensaje estimado es correcto o no. Sin embargo hay otros tipos de problemas donde esta suposición no tiene sentido. Por ejemplo, en un sistema de autenticación con usuario y contraseña para entrar en una cuenta restringida, el atacante 54 puede realizar varios intentos. Además, en algunos casos, los intentos fallidos anteriores dan información para hacer una estimación mejor para los intentos siguientes. 8 Cuando decimos que un sistema criptográfico es incondicionalmente seguro, nos estamos refiriendo a nivel teórico. Sin embargo cuando es implementado en la práctica puede no mantenerse esa seguridad. Hay muchos tipos de ataques que sólo se aplican cuando los sistemas están implementados en un sistema concreto. Ejemplos: o Explotación de canales ocultos. Los canales ocultos son canales de comunicación no intencionados y de difícil detección, que permiten la transferencia de información de forma que viola la política de seguridad del sistema. En un computador real los procesos al ejecutarse producen una serie de efectos y fenómenos que pueden ser medidos y explotados para revelar información relevante que puede ser utilizada para romper el sistema (Ej. pistas sobre la clave). Este problema es inherente y no puede ser evitado mediante técnicas criptográficas. Son ejemplos típicos de este tipo de canales los canales ocultos generados por análisis de temporizaciones, por análisis de consumos de energía o por análisis de consumos de radiaciones electromagnéticas o por análisis de consumo de espacio de almacenamiento. o Malos diseños o implementaciones del software o el hardware pueden hacer que la solución práctica sea insegura. Ejemplos de ataques que se aprovechan de debilidades producidas por un mal diseño o implementación: desbordamiento de buffer, Inyección SQL, Cross Site Scripting, ataques basados en deficiencias del hardware. Seguridad condicional 9 Se dice que un sistema criptográfico tiene una seguridad condicional (en inglés conditional security) sobre cierta tarea si un atacante puede teóricamente resolver la tarea, pero no es computacionalmente factible para él (debido a sus recursos, capacidades y acceso a información). Hay un tipo especial de seguridad condicional llamada seguridad demostrable (en inglés provable security). La idea es mostrar que romper un sistema criptográfico es computacionalmente equivalente a resolver un problema matemático considerado como difícil. Esto es, que se cumplen las dos siguientes sentencias: 10 Si el problema difícil puede ser resuelto, entonces el sistema criptográfico puede ser roto Si el sistema criptográfico puede ser roto, entonces el problema difícil puede ser resuelto. La seguridad demostrable es difícil de lograr para sistemas criptográficos complejos. Se ha desarrollado una metodología (modelo de oráculo aleatorio) para diseñar sistemas que no tienen realmente una seguridad demostrable, pero que dan unas buenas sensaciones respecto a su seguridad. La idea básica es diseñar un sistema ideal que usa una o varias funciones aleatorias también conocidas como oráculos aleatorios- y probar la seguridad de este sistema sistema matemático. A continuación el sistema ideal es implementado en un sistema real reemplazando cada oráculo aleatorio con una buena y adecuada función pseudoaleatoria conocida -típicamente un código de detección de manipulaciones como SHA-1 o MD5-. Si las funciones pseudoaleatorias utilizadas tiene buenas propiedades, entonces uno puede esperar que la seguridad probada del sistema ideal sea heredada por el sistema real. Observar que esto ya no es una prueba, sino una evidencia sobre la seguridad del sistema real. Se ha demostrado que esta evidencia no siempre es cierta y que es posible romper sistemas criptográficos cuya seguridad se apoya en el modelo de oráculo aleatorio. 55 Puntos de vista desde los que evaluar la seguridad Para evaluar la seguridad de un esquema criptográfico se suelen usar tres enfoques principales. 11 Cada enfoque difiere de las suposiciones acerca de las capacidades de los oponentes criptoanalistas. El primer método está basado en la teoría de la información, y ofrece una seguridad incondicional y por tanto una seguridad independiente del poder de computación de los adversarios. El enfoque basado en la teoría de la complejidad comienza a partir de un modelo abstracto para la computación, y asume que el oponente tienen un poder limitado de computación. El tercer enfoque intenta producir soluciones prácticas. Para ello estima la seguridad basándose en el mejor algoritmo conocido para romper el sistema y estima de forma realista el poder necesario de computación o de hardware para romper el algoritmo. A este enfoque se le suele llamar enfoque basado en la práctica Enfoque basado en la teoría de la información En este enfoque se evalúa la seguridad del sistema utilizando las herramientas que proporciona la teoría de la información. Permite declarar sistemas incondicionalmente seguros, es decir, sistemas seguros independientemente del poder de computación del atacante. La teoría de la información proporciona valiosas herramientas para analizar la seguridad de los sistemas criptográficos. Por ejemplo está la entropía, distancia de unicidad, el concepto de secreto perfecto etc. Enfoque basado en la teoría de la complejidad 12 En este enfoque se evalúa la seguridad de los sistemas criptográficos en función de la cantidad de trabajo computacional requerido para romperlo. Para estimar esa cantidad de trabajo se estudia la complejidad computacional de los mejores métodos conocidos hasta ahora para realizar esa tarea. En función de los resultados de este estudio y del poder computacional límite estimado para el atacante, se decide si esa cantidad de trabajo es realizable por un atacante. Si ese trabajo no es realizable se dice que el sistema es seguro desde un punto de vista computacional (seguridad computacional, en inglés computationally security). Este tipo de enfoque para evaluar la seguridad es muy usado en la criptografía asimétrica. En concreto, la seguridad de muchos de los algoritmos de la criptografía asimétrica están basados en el análisis de complejidad de los métodos conocidos para el cálculo de factorización de enteros y del logaritmo discreto. Por definición el tipo de seguridad que aporta este tipo de enfoque es una seguridad condicional basada en los métodos de resolución de problemas evaluados. En este punto hay que tener en cuenta dos consideraciones:13 Actualmente no se puede considerar que como buenos los algoritmos que se usan para estimar la complejidad de la resolución de los problemas. Se considera que hay algoritmos mucho mejores. Especialmente en el campo de la criptografía. Por tanto las estimaciones sobre el poder de computación necesario para romper el sistema no se consideran fiables. Se ha demostrado que algunos de los problemas (Ej. factorización de enteros y el logaritmo discreto) en los que se sustenta la seguridad (computacional) de muchos algoritmos, pueden resolverse con algoritmos con una complejidad computacional de peor calidad usando computadores cuánticos. Si alguien pudiera disponer de un computador cuántico 56 muchos de los sistemas criptográficos que se consideran seguros (con seguridad condicional) habría que catalogarlos como inseguros. Enfoque basado en la práctica 14 El objetivo de este enfoque es producir soluciones prácticas a partir del estudio de sistemas concretos y de la experiencia acumulada. Es un enfoque de prueba-error donde se proponen soluciones basándose en la experiencia y luego se somete esa solución a un proceso intensivo en el que se intenta romper su seguridad. A partir de este enfoque se han hecho importantes avances en conseguir sistemas robustos ya que los criptógrafos diseñan ataques y posteriormente adaptan los sistemas para anular dichos ataques. Por ejemplo, de esta forma se han conseguido importantes avances en la seguridad frente a ataques basados en estudios estadísticos y ataques meet in the middle. Es típico en este tipo de enfoque diseñar bloques con ciertas propiedades demostradas estableciendo una biblioteca de bloques disponibles. Ejemplos de propiedades buenas para este tipo de bloques pueden ser: buenas propiedades estadísticas, buenas propiedades para la confusión y difusión, o de no linealidad. Posteriormente estos bloques se ensamblan para la construcción de sistemas criptográficos que aprovechan sus propiedades para dotar de mayor seguridad. Este enfoque permite llegar a establecer sistemas que tienen seguridad condicional. Este tipo de sistemas tienen una seguridad computacional Historia de la criptografía Artículo principal: Historia de la criptografía. La historia de la criptografía es larga y abunda en anécdotas. Ya las primeras civilizaciones desarrollaron técnicas para enviar mensajes durante las campañas militares, de forma que si el mensajero era interceptado la información que portaba no corriera el peligro de caer en manos del enemigo.El primer método de criptografía fue en el siglo V a.C, era conocido como "Escítala". El segundo criptosistema que se conoce fue documentado por el historiador griego Polibio: un sistema de sustitución basado en la posición de las letras en una tabla. También los romanos utilizaron sistemas de sustitución, siendo el método actualmente conocido como César, porque supuestamente Julio César lo empleó en sus campañas, uno de los más conocidos en la literatura (según algunos autores, en realidad Julio César no usaba este sistema de sustitución, pero la atribución tiene tanto arraigo que el nombre de este método de sustitución ha quedado para los anales de la historia). Otro de los métodos criptográficos utilizados por los griegos fue la escítala espartana, un método de trasposición basado en un cilindro que servía como clave en el que se enrollaba el mensaje para poder cifrar y descifrar. En 1465 el italiano Leon Battista Alberti inventó un nuevo sistema de sustitución polialfabética que supuso un gran avance de la época. Otro de los criptógrafos más importantes del siglo XVI fue el francés Blaise de Vigenère que escribió un importante tratado sobre "la escritura secreta" y que diseñó una cifra que ha llegado a nuestros días asociada a su nombre. A Selenus se le debe la obra criptográfica "Cryptomenytices et Cryptographiae" (Luneburgo, 1624). En el siglo XVI María Estuardo, reina de Escocia, fue ejecutada por su prima Isabel I, reina de Inglaterra, al descubrirse un complot de aquella tras un criptoanálisis exitoso por parte de los matemáticos de Isabel. Durante los siglos XVII, XVIII y XIX, el interés de los monarcas por la criptografía fue notable. Las tropas de Felipe II emplearon durante mucho tiempo una cifra con un alfabeto de más de 500 57 símbolos que los matemáticos del rey consideraban inexpugnable. Cuando el matemático francés François Viète consiguió criptoanalizar aquel sistema para el rey de Francia, a la sazón Enrique IV, el conocimiento mostrado por el rey francés impulsó una queja de la corte española ante del papa Pío V acusando a Enrique IV de utilizar magia negra para vencer a sus ejércitos. Durante la Primera Guerra Mundial, los Alemanes usaron el cifrado ADFGVX. Este método de cifrado es similar a la del tablero de ajedrez Polibio. Consistía en una matriz de 6 x 6 utilizado para sustituir cualquier letra del alfabeto y los números 0 a 9 con un par de letras que consiste de A, D, F, G, V, o X. La máquina Enigma utilizada por los alemanes durante la II Guerra Mundial. Desde el siglo XIX y hasta la Segunda Guerra Mundial, las figuras más importantes fueron la del holandés Auguste Kerckhoffs y la del prusiano Friedrich Kasiski. Pero es en el siglo XX cuando la historia de la criptografía vuelve a experimentar importantes avances. En especial durante las dos contiendas bélicas que marcaron al siglo: la Gran Guerra y la Segunda Guerra Mundial. A partir del siglo XX, la criptografía usa una nueva herramienta que permitirá conseguir mejores y más seguras cifras: las máquinas de cálculo. La más conocida de las máquinas de cifrado posiblemente sea la máquina alemana Enigma: una máquina de rotores que automatizaba considerablemente los cálculos que era necesario realizar para las operaciones de cifrado y descifrado de mensajes. Para vencer al ingenio alemán, fue necesario el concurso de los mejores matemáticos de la época y un gran esfuerzo computacional. No en vano, los mayores avances tanto en el campo de la criptografía como en el del criptoanálisis no empezaron hasta entonces. Tras la conclusión de la Segunda Guerra Mundial, la criptografía tiene un desarrollo teórico importante, siendo Claude Shannon y sus investigaciones sobre teoría de la información esenciales hitos en dicho desarrollo. Además, los avances en computación automática suponen tanto una amenaza para los sistemas existentes como una oportunidad para el desarrollo de nuevos sistemas. A mediados de los años 70, el Departamento de Normas y Estándares norteamericano publica el primer diseño lógico de un cifrador que estaría llamado a ser el principal sistema criptográfico de finales de siglo: el Estándar de Cifrado de Datos o DES. En esas mismas 58 fechas ya se empezaba a gestar lo que sería la, hasta ahora, última revolución de la criptografía teórica y práctica: los sistemas asimétricos. Estos sistemas supusieron un salto cualitativo importante, ya que permitieron introducir la criptografía en otros campos que hoy día son esenciales, como el de la firma digital. La Criptografia en el Correo Electrónico Si un correo electrónico es enviado por internet sin seguridad alguna, la información que conlleva es frágil y descifrable. Para ello, se usa la criptografia en el correo electrónico. Entre las varias ventajas que tiene usar un certificado al enviar un email, podríamos destacar la seguridad que nos aporta ya que asi evita que terceras personas (o Hackers) puedan leer su contenido, o bien que tenemos la certeza de que el remitente este correo electrónico es realmente quien dice ser. Amenazas de Virus Virus y Programas Maliciosos INTRODUCCIÓN ¿Qué son los virus? Los virus son programas maliciosos creados para manipular el normal funcionamiento de los sistemas, sin el conocimiento ni consentimiento de los usuarios. Actualmente, por sencillez, el término virus es ampliamente utilizado para referirse genéricamente a todos los programas que infectan un ordenador, aunque en realidad, los virus son sólo un tipo específico de este tipo de programas. Para referirse a todos ellos también se suelen emplear las palabras: código malicioso, software malicioso, software malintencionado, programas maliciosos o, la más usual, malware que procede de las siglas en inglés malicious software. Los programas maliciosos pueden alterar tanto el funcionamiento del equipo como la información que contienen o se maneja en ella. Las acciones realizadas en la máquina pueden variar desde el robo de información sensible o el borrado de datos hasta el uso del equipo como plataforma para cometer otro tipo de actividades ilegales –como es el caso de las redes zombies-, pudiendo llegar incluso a tener sus respectivas consecuencias legales. En sus comienzos la motivación principal para los creadores de virus era la del reconocimiento público. Cuanta más relevancia tuviera el virus, más reconocimiento obtenía su creador. Por este motivo las acciones a realizar por el virus debían ser visibles por el usuario y suficientemente 59 dañinas como para tener relevancia, por ejemplo, eliminar ficheros importantes, modificar los caracteres de escritura, formatear el disco duro, etc. Sin embargo, la evolución de las tecnologías de la comunicación y su penetración en casi todos los aspectos de la vida diaria ha sido vista por los ciberdelincuentes como un negocio muy lucrativo. Los creadores de virus han pasado a tener una motivación económica, por lo que actualmente son grupos mucho más organizados que desarrollan los códigos maliciosos con la intención de que pasen lo más desapercibidos posibles, y dispongan de más tiempo para desarrollar sus actividades maliciosas. ¿A qué afectan los códigos maliciosos? Los programas maliciosos afectan a cualquier dispositivo que tenga un Sistema Operativo que pueda entender el fichero malicioso, es decir: Ordenadores personales Servidores Teléfonos Móviles PDAs Videoconsolas Esto implica que para utilizar cualquiera de estos dispositivos de manera segura debemos verificar que no está infectado, además de tomar las medidas necesarias para prevenir una infección en el futuro. ¿Por qué hay gente que crea programas maliciosos? Cuando surgieron los primeros virus y programas maliciosos solía ser muy sencillo darse cuenta de que el ordenador estaba infectado, ya que los virus generalmente realizaban alguna acción visible en el equipo, por ejemplo, borrar ficheros, formatear el disco duro, cambiar los caracteres de escritura, etc. Actualmente los programas maliciosos han evolucionado y suelen perseguir un fin lucrativo. Para lograr más fácilmente su cometido suelen pasar desapercibidos para el usuario, por lo que son más difíciles de detectar de forma sencilla. Hay varias formas en las que el creador del programa malicioso puede obtener un beneficio económico, las más comunes son: Robar información sensible del ordenador infectado, como datos personales, contraseñas, credenciales de acceso a diferentes entidades… 60 Crear una red de ordenadores infectados -generalmente llamada red zombie o botnet- para que el atacante pueda manipularlos todos simultáneamente y vender estos servicios a entidades sin escrúpulos que puedan realizar acciones poco legítimas como el envío de SPAM, envío de mensajes de phishing, realizar ataques de denegación de servicio, etc. Vender falsas soluciones de seguridad que no realizan las acciones que afirman hacer, por ejemplo, falsos antivirus que muestran mensajes con publicidad informando de que el ordenador está infectado cuando en realidad no es así, la infección que tiene el usuario es el falso antivirus. Cifrar el contenido de los ficheros del ordenador y solicitar un “rescate” al usuario del equipo para recuperar la información, como hacen los criptovirus. TIPOS DE VIRUS Los distintos códigos maliciosos que existen pueden clasificarse en función de diferentes criterios, los más comunes son: por su capacidad de propagación por las acciones que realizan en el equipo infectado. Algunos de los programas maliciosos tienen alguna característica particular por la que se les suele asociar a un tipo concreto mientras que a otros se les suele incluir dentro de varios grupos a la vez. También cabe mencionar que muchas de las acciones que realizan los códigos maliciosos, en algunas circunstancias se pueden considerar legítimas, por lo tanto, como dijimos anteriormente, sólo se considera que un programa es malicioso cuando actúa sin el conocimiento ni consentimiento del usuario. Los posibles tipos de virus y sus clasificaciones son los siguientes: Según su capacidad de propagación Atendiendo a su capacidad de propagación, o mejor dicho de autopropagación, existen tres tipos de códigos maliciosos: Virus: Su nombre es una analogía a los virus reales ya que infectan otros archivos, es decir, sólo pueden existir en un equipo dentro de otro fichero. Los ficheros infectados generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat; pero también pueden infectar otros archivos, por ejemplo, un virus de Macro infectará programas que utilicen macros, como los productos Office. Los virus se ejecutan cuando se ejecuta el fichero infectado, aunque algunos de ellos además están preparados para activarse sólo cuando se cumple una determinada condición, por ejemplo que sea una fecha concreta. Cuando están en ejecución, suelen infectar otros ficheros con las mismas características que el fichero anfitrión original. Si el 61 fichero que infectan se encuentra dentro de un dispositivo extraíble o una unidad de red, cada vez que un nuevo usuario acceda al fichero infectado, su equipo también se verá comprometido. Los virus fueron el primer tipo de código malicioso que surgió, aunque actualmente casi no se encuentran nuevos virus pasando a hallarse en los equipos otros tipos de códigos maliciosos, como los gusanos y troyanos que se explican a continuación. Gusanos: Son programas cuya característica principal es realizar el máximo número de copias de sí mismos posible para facilitar su propagación. A diferencia de los virus no infectan otros ficheros. Los gusanos se suelen propagar por los siguientes métodos: o o o o o Correo electrónico Redes de compartición de ficheros (P2P) Explotando alguna vulnerabilidad Mensajería instantánea Canales de chat Generalmente los gusanos utilizan la ingeniería social para incitar al usuario receptor a que abra o utilice determinado fichero que contiene la copia del gusano. De este modo, si el gusano se propaga mediante redes P2P, las copias del gusano suelen tener un nombre sugerente de, por ejemplo, alguna película de actualidad; para los gusanos que se propagan por correo, el asunto y el adjunto del correo suelen ser llamativos para incitar al usuario a que ejecute la copia del gusano. Eliminar un gusano de un ordenador suele ser más fácil que eliminar un virus. Al no infectar ficheros la limpieza del código malicioso es más sencilla, no es necesario quitar sólo algunas partes del mismo basta con eliminar el archivo en cuestión. Por otro lado, como los gusanos no infectan ficheros, para garantizar su autoejecución suelen modificar ciertos parámetros del sistema, por ejemplo, pueden cambiar la carpeta de inicio con el listado de todos los programas que se tienen que ejecutar al arrancar el ordenador, para incluir en el listado la copia del gusano; o modificar alguna clave del registro que sirva para ejecutar programas en determinado momento, al arrancar el ordenador, cuando se llama a otro programa… Troyanos: Carecen de rutina propia de propagación, pueden llegar al sistema de diferentes formas, las más comunes son: o Descargado por otro programa malicioso. 62 o o Descargado sin el conocimiento del usuario al visitar una página Web maliciosa. Dentro de otro programa que simula ser inofensivo. Según las acciones que realizan Según las acciones que realiza un código malicioso, existen varios tipos, es posible que un programa malicioso pertenezca a un tipo en concreto, aunque también puede suceder que pertenezca a varias de estas categorías a la vez. Los diferentes tipos de códigos maliciosos por orden alfabético son: Adware: Muestra publicidad, generalmente está relacionado con los espías, por lo que se suelen conectar a algún servidor remoto para enviar la información recopilada y recibir publicidad. Algunos programas en sus versiones gratuitas o de evaluación muestran este tipo de publicidad, en este caso deberán avisar al usuario que la instalación del programa conlleva la visualización de publicidad. Bloqueador: Impide la ejecución de determinados programas o aplicaciones, también puede bloquear el acceso a determinadas direcciones de Internet. Generalmente impiden la ejecución de programas de seguridad para que, de este modo, resulte más difícil la detección y eliminación de programas maliciosos del ordenador. Cuando bloquean el acceso a direcciones de Internet, éstas suelen ser de páginas de seguridad informática; por un lado logran que los programas de seguridad no se puedan descargar las actualizaciones, por otro lado, en caso de que un usuario se quiera documentar de alguna amenaza informática, no podrá acceder a las direcciones en las que se informa de dicha amenaza. Bomba lógica: Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo… Broma (Joke): No realiza ninguna acción maliciosa en el ordenador infectado pero, mientras se ejecuta, gasta una “broma” al usuario haciéndole pensar que su ordenador está infectado, por ejemplo, mostrando un falso mensaje de que se va a borrar todo el contenido del disco duro o mover el ratón de forma aleatoria. 63 Bulo (Hoax): Mensaje electrónico enviado por un conocido que intenta hacer creer al destinatario algo que es falso, como alertar de virus inexistentes, noticias con contenido engañoso, etc, y solicitan ser reenviado a todos los contactos. Algunos de estos mensajes pueden ser peligrosos por la alarma innecesaria que generan y las acciones que, en ocasiones, solicitan realizar al usuario, por ejemplo, borrando ficheros del ordenador que son necesarios para el correcto funcionamiento del equipo. Capturador de pulsaciones (Keylogger): Monitoriza las pulsaciones del teclado que se hagan en el ordenador infectado, su objetivo es poder capturar pulsaciones de acceso a determinadas cuentas bancarias, juegos en línea o conversaciones y mensajes escritos en la máquina. Clicker: Redirecciona las páginas de Internet a las que intenta acceder el usuario, de este modo logra aumentar el número de visitas a la página redireccionada, realizar ataques de Denegación de Servicio a una página víctima o engañar al usuario sobre la página que está visitando, por ejemplo, creyendo que está accediendo a una página legítima de un banco cuando en realidad está accediendo a una dirección falsa. Criptovirus (ransomware): Hace inaccesibles determinados ficheros en el ordenador y coacciona al usuario víctima a pagar un “rescate” (ransom en inglés) para poder acceder a la información. Generalmente lo que se hace es cifrar los ficheros con los que suela trabajar el usuario, por ejemplo, documentos de texto, hojas Excel, imágenes… Descargador (Downloader): Descarga otros programas (generalmente también maliciosos) en el ordenador infectado. Suelen acceder a Internet para descargar estos programas. Espía (Spyware): Roba información del equipo para enviarla a un servidor remoto. El tipo de información obtenida varía según el tipo de espía, algunos recopilan información relativa a los hábitos de uso del ordenador, como el tiempo de uso y páginas visitadas en Internet; sin embargo, otros troyanos son más dañinos y roban información confidencial como nombres de usuario y contraseñas. A los espías que roban información bancaria se les suele llamar Troyanos Bancarios. Exploit: Tipo del software que se aprovecha de un agujero o de una vulnerabilidad en el sistema de un usuario para tener el acceso desautorizado al sistema. Herramienta de fraude: Simula un comportamiento anormal del sistema y propone la compra de algún programa para solucionarlo. Los más comunes son los falsos antivirus, 64 que informan de que el ordenador está infectado, cuando en realidad el principal programa malicioso que tiene es la herramienta fraudulenta. Instalador (Dropper): Instala y ejecuta otros programas, generalmente maliciosos, en el ordenador. Ladrón de contraseñas (PWStealer): Roba nombres de usuario y contraseñas del ordenador infectado, generalmente accediendo a determinados ficheros del ordenador que almacenan esta información. Marcador (Dialer): Actúa cuando el usuario accede a Internet, realizando llamadas a Números de Tarificación Adicional (NTA), lo que provoca un considerable aumento en la factura telefónica del usuario afectado. Este tipo de programas está actualmente en desuso porque sólo funcionan si la conexión a Internet se hace a través del Módem, no se pueden realizar llamadas a NTA en conexiones ADSL o WiFi. Puerta trasera (Backdoor): Permite el acceso de forma remota a un sistema operativo, página Web o aplicación, haciendo que el usuario evite las restricciones de control y autenticación que haya por defecto. Puede ser utilizado por responsables de sistemas o webmasters con diversos fines dentro de una organización, pero también puede ser utilizados por atacantes para realizar varias acciones en el ordenador infectado, por ejemplo: o o o o Utilizar los ficheros que desee para leer su información, moverlos, subirlos al ordenador, descargarlos, eliminarlos… Reiniciar el ordenador Obtener diversa información de la máquina infectada: nombre del ordenador, dirección MAC, sistema operativo instalado… etc. Rootkit: Toma control de Administrador (“root” en sistemas Unix/Linux) en el sistema, generalmente para ocultar su presencia y la de otros programas maliciosos en el equipo infectado; la ocultación puede ser para esconder los ficheros, los procesos generados, conexiones creadas… También pueden permitir a un atacante remoto tener permisos de Administrador para realizar las acciones que desee. Cabe destacar que los rootkits hay veces que se utilizan sin fines maliciosos. Secuestrador del navegador (browser hijacker): Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de “Favoritos”. 65 Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino. Otras clasificaciones Debido a la gran cantidad y diversidad de códigos maliciosos que existen, y que muchos de ellos realizan varias acciones y se pueden agrupar varios apartados a la vez, existen varias clasificaciones genéricas que engloban varios tipos de códigos maliciosos, son las siguientes: Ladrones de información (Infostealers): Agrupa todos los tipos de códigos maliciosos que roban información del equipo infectado, son los capturadores de pulsaciones, espías y ladrones de contraseñas. Código delictivo (crimeware): Hace referencia a todos los programas que realizan una acción delictiva en el equipo, básicamente con fines lucrativos. Engloba a los ladrones de información, mensajes de phishing y clickers que redireccionen al usuario a falsas páginas bancarias o de seguridad. Las herramientas de fraude, marcadores y criptovirus también forman parte de esta categoría. Greyware (grayware): Engloba todas las aplicaciones que realizan alguna acción que no es, al menos de forma directa, dañina, tan sólo molesta o no deseable. Agrupa el adware, espías que sólo roben información de costumbres del usuario (páginas por las que navegan, tiempo que navegan por Internet…), bromas y bulos. Programas no recomendables Por otro lado existen algunos programas que, sin realizar directamente ninguna acción dañina en el equipo, generalmente se consideran maliciosos, son los siguientes: Programas que realizan acciones ilegales Generador de claves (keygen): Genera las claves necesarias para que funcione determinado programa de pago de forma gratuita. El generador es un programa independiente del programa de pago. Crack: Parche informático que se desarrolla para que determinado programa de pago funcione de forma gratuita. A diferencia de los generadores de claves, aquí lo que se hace es modificar el programa de pago. Herramienta de creación de malware (constructor): No realiza ninguna acción maliciosa en el ordenador. Es empleado por programadores maliciosos para crear programas dañinos 66 personalizados, por ejemplo, acciones perjudiciales que va a realizar en el ordenador infectado, cuándo y cómo se va a ejecutar… El uso y pertenencia de estos programas, no sólo están tipificados como delito por la legislación española sino que, además, suelen ser utilizados para propagar otros programas maliciosos que están ocultos para el usuario que ejecuta el archivo. Cookies maliciosas Existe un tipo de ficheros que según el uso que tengan, pueden o no ser peligrosos, son las cookies. Las cookies son pequeños ficheros de texto que se crean en el navegador al visitar páginas Web; almacenan diversa información que, por lo general, facilitan la navegación del usuario por la página Web que se está visitando y lo más importante no tienen capacidad para consultar información del ordenador en el que están almacenadas. Sin embargo existen un tipo de cookies llamadas cookies maliciosas que su cometido no es facilitar la navegación por determinadas páginas, sino monitorizar las actividades del usuario en Internet con fines maliciosos, por ejemplo capturar los datos de usuario y contraseña de acceso a determinadas páginas Web o vender los hábitos de navegación a empresas de publicidad. Por último, nos queda indicar que existen algunas amenazas que pueden afectar a un ordenador sin que la máquina esté infectada; son los denominados ataques en red, correo no deseado, fraude en Internet... En la sección de Amenazas se explican todas ellas. Cómo llegan al ordenador y cómo prevenirlos Existen gran variedad de formas por las que los virus, gusanos y troyanos pueden llegar a un ordenador; en la mayoría de los casos prevenir la infección resulta relativamente fácil siguiendo unas sencillas pautas. Las formas en que un programa puede llegar al ordenador son las siguientes: Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en el ordenador. Es decir, todos los programas que haya instalados en el equipo, ya sean: Sistemas Operativos -Windows, Linux, MAC OS, etc-, navegadores Web -Internet Explorer, Firefox, Opera, Chrome, etc-, clientes de correo –Outlook, Thunderbird, etc- o cualquier otra aplicación –reproductores multimedia, programas de ofimática, compresores de ficheros, 67 etc-, es posible que tengan alguna vulnerabilidad que sea aprovechada por un atacante para introducir programas maliciosos. Para prevenir quedarse infectado de esta forma, recomendamos tener siempre actualizado el software el equipo. Ingeniería social: apoyado en técnicas de ingeniería social para apremiar al usuario a que realice determinada acción. La ingeniería social se utiliza sobre todo en correos de phishing, pero puede ser utilizada de más formas, por ejemplo, informando de una falsa noticia de gran impacto, un ejemplo puede ser alertar del comienzo de una falsa guerra incluyendo un enlace en que se puede ver más detalles de la noticia; a donde realmente dirige el enlace es a una página Web con contenido malicioso. Tanto para los correos de phishing como para el resto de mensajes con contenido generado con ingeniería social, lo más importante es no hacer caso de correos recibidos de remitentes desconocidos y tener en cuenta que su banco nunca le va a pedir sus datos bancarios por correo. Por un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos de llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por redes P2P, como enlace a un fichero que se encuentre en Internet, a través de carpetas compartidas en las que el gusano haya dejado una copia de sí mismo…La mejor forma de prevenir la infección es analizar con un antivirus actualizado todos los archivos antes de ejecutarlos, a parte de no descargar archivos de fuentes que no sean fiables. Dispositivos extraíbles: muchos gusanos suelen dejar copias de sí mismos en dispositivos extraíbles para que automáticamente, cuando el dispositivo se conecte a un ordenador, ejecutarse e infectar el nuevo equipo. La mejor forma de evitar quedarse infectados de esta manera, es deshabilitar el autoarranque de los dispositivos que se conecten al ordenador. Aunque, como se ha visto, existen gran cantidad de códigos maliciosos, es muy fácil prevenir quedarse infectado por la mayoría de ellos y así poder utilizar el ordenador de forma segura, basta con cumplir estas dos normas: Seguir las recomendaciones de seguridad Estar informado de las amenazas y alertas de seguridad Tecnología Global Threat Intelligence McAfee Global Threat Intelligence ofrece la protección más completa del mercado para detener las amenazas de seguridad más recientes que proceden de Internet. Con visibilidad en todos los vectores de amenazas principales (archivos, Web, correo electrónico y redes) y una visión de las 68 últimas vulnerabilidades en toda la industria de TI, correlacionamos los datos reales recogidos de millones de sensores en todo el mundo y proporcionamos protección en tiempo real mediante nuestra suite de soluciones de seguridad de McAfee. Servicios de reputación y categorización McAfee GTI Información sobre amenazas Obtenga información detallada en tiempo real acerca de las amenazas y vulnerabilidades más recientes, además de útiles herramientas de seguridad. Amenazas de malware más recientes Feb 28, 2013Generic.bfr!441622B193B9 Feb 28, 2013W32/Ipamor.d!DC11218234F2 Feb 28, 2013Ransom-AAP!DC2BC156A2B9 Feb 28, 2013W32/Ramnit.DR!DF2020CF7E51 Feb 28, 2013W32/Sality.dr!12B4284A9F8C Detailed Threat Information Top Spam Senders Top Intrusion Attackers Latest Malware Popular Web Domains Top Network Intrusion Activity Unidad Temática 4 Auditoria a los Sistemas Informatizados Preparación del trabajo del Auditor Auditoría a la Función Informática en la entidad Auditoría a las bases de datos Auditoría a las entradas Auditoría a las Informaciones de salida Subsistema de Auditoria Métodos de Datos de Prueba Métodos de Simulación Paralela Informática Forense Informática Forense ¿Qué es la informática forense o Forensic? 69 El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense –sus usos y objetivos- adquiere cada vez mayor trascendencia. ¿En qué consiste esta técnica relativamente reciente? Productos recomendados Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes. Si desea que le informen de forma gratuita y sin compromiso sobre CRM puede hacerlo desde nuestro formulario Resumen 1. Si como empresa ha sufrido -o quiere evitar sufrir- vulneraciones derivadas del uso que sus empleados hacen de sus sistemas de información, la respuesta está en la Informática forense. Aquí una guía orientativa sobre las cuestiones básicas principales: para qué sirve, en qué consiste, cuáles son sus objetivos y su metodología y cómo ha de llevarse a cabo para adecuarse al derecho. La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal. Informática Forense o Forensic - ¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información. - ¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas. - ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido. - ¿Qué metodologías utiliza la Informática forense? Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen. Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas. ad II ad III 70 - ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable. Objetivos de la Informática forense En conclusión, estamos hablando de la utilización de la informática forense con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas. Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos. Cuestiones técnicas y legales de la informática forense Para realizar un adecuado análisis de Informática forense se requiere un equipo multidisciplinar que incluya profesionales expertos en derecho de las TI y expertos técnicos en metodología forense. Esto es así porque se trata de garantizar el cumplimiento tanto de los requerimientos jurídicos como los requerimientos técnicos derivados de la metodología forense. Unidad Temática 5 Sistemas de Información Gerencial - Aplicaciones Informáticas específicas para el Contador Público - Aplicaciones Informáticas del ámbito Estatal Boliviano - SINCOM – SIGMA – NEWTON - DA VINCI Unidad I Gobierno Electrónico - Banca Electrónica - Negocios Virtuales - Procesamiento Electrónico de Datos – Dinero Electrónico – Firma Digital – Certificado Digital - Transferencia Electrónica de Fondos - Técnicas de Auditoria Apoyadas por Computadoras. Unidad Temática 6 GOBIERNO ELECTRÓNICO INTRODUCCIÓN Pese a que la tecnología no es el ingrediente decisivo de las reformas estatales pendientes, es indudable que los nuevos desafíos de la era del conocimiento vienen convirtiendo a la capacidad tecnológica en un factor importante para todas las sociedades, sobre todo para aquellas como la boliviana, que viven coyunturas de transformación. 71 Varios gobiernos han empezado a usar y aplicar nuevas tecnologías, no sólo para fomentar nuevos productos, procesos y formas de organización productiva, sino también para expandir la creación de riqueza, difundir beneficios con más eficiencia, promover sistemas de conocimientos, insertarse en el mundo globalizado y maximizar sus beneficios. Aquellos países son justamente los que tienen más posibilidad de incrementar su productividad y competitividad, y sobre esa base mejorar las condiciones de vida de sus habitantes y la calidad de su gobernabilidad democrática. Al contrario de lo que generalmente se piensa, el uso y la aplicación de tecnologías no implican menos intervención del Estado, cuyo rol en temas como éste no sólo es esencial, sino imprescindible en cada una de las etapas de una buena estrategia tecnológica. Por ejemplo en, la conceptualización, implementación y evaluación de estrategias; en determinar las políticas y estructuras de regulación; en la entrega de programas y servicios a la ciudadanía; en el uso de la infraestructura de información para mejorar las prácticas administrativas y en fomentar la participación e interacción de la ciudadanía. Los caminos hacia la sociedad de la información pueden ser múltiples, dependiendo de los objetivos y la estrategia. Sin embargo, la inserción de una sociedad en la era de la información tiene algunos requisitos básicos. Por ejemplo, la infraestructura física. Es decir, desde computadoras, televisores, teléfonos fijos y celulares y uso y aplicación del Internet, hasta redes de fibra óptica, redes inalámbricas, electricidad e Intranet. Otro requisito básico son los medios que permiten que esta infraestructura pueda ser usada apropiadamente. Aquí nos referimos a las aplicaciones de software, los servicios de almacenamiento remoto en línea, programas multimedia y páginas web, además de iniciativas de gobierno-electrónico (gobierno-e). La construcción de una sociedad de la información no se puede hacer en un vacío, ni mucho menos genera resultados automáticamente. El alcance y resultados de estas políticas públicas dependen de las características y condiciones sobre las que se construyen. La construcción de la sociedad de la información es también un proceso evolutivo, por lo tanto, la adaptación en cada sociedad dependerá de sus rasgos peculiares y del tipo y nivel de desarrollo. 1. DEFINICIÓN GENERAL Y ESPECÍFICA. DEFINICIÓN GENERAL. El Gobierno Electrónico (e-government) es un concepto de gestión que fusiona el empleo intensivo de Tecnologías de la Información y Comunicación (TIC), con modalidades de gestión y administración pública, como una nueva forma de Gobierno. DEFINICIÓN ESPECÍFICA. “Es la mejora continua en la prestación de servicios e información desde el gobierno a la sociedad, con base en el uso de las nuevas tecnologías de información y comunicación (NTIC), buscando mejorar cualitativa y cuantitativamente los servicios e información ofrecidos, aumentar la efectividad de la gestión 72 pública e incrementar sustantivamente la transparencia del sector público y la participación de los ciudadanos”. OBJETIVOS DEL GOBIERNO ELECTRÓNICO OBJETIVO GENERAL Fortalecer el desempeño de la administración estatal, la participación ciudadana y el control social mediante el uso de las TIC’s y una administración integral orientada al servicio ciudadano. OBJETIVOS ESPECÍFICOS 1) Aumentar la eficiencia y la eficacia en la Administración y Gestión pública. 2) Incrementar sustancialmente la transparencia y participación de los ciudadanos en el sector público. Fortalecer la democracia Aumentar niveles de eficiencia en la gestión pública. Disminución significativa de costos de transacción y coordinación en la interacción entre entes públicos y además de ciudadanos. Generación de incentivos y prácticas que faciliten modalidades de gestión innovadora y creativa. Mantención y constante superación de los grados de transparencia de esas actividades. Acelerar el tránsito hacia una administración centrada en el ciudadano. Mejorar calidad de los servicios públicos que se proveen y las modalidades de provisión. Facilitar cumplimiento de las obligaciones de los ciudadanos. Disminuir significativamente los costos de transacción entre ciudadanos y agentes públicos. Suprimir paulatinamente barreras, ineficiencias e irracionalidad en la interacción entre privados y sector público. Facilitar el escrutinio ciudadano de la información, actividad y calidad de la operación presentes en el sector público. CARACTERÍSTICAS Las principales características del Gobierno Electrónico son: Fácil de usar, conectando a la gente a los distintos niveles de gobierno nacional e internacional, de acuerdo a sus preferencias y necesidades. Disponible y de acceso universal, en la casa, el trabajo, los centros educativos, las bibliotecas y otras localidades apropiadas a cada comunidad. Privacidad y seguridad, además de autenticación, que generen confianza. Innovador y enfocado a resultados, enfatizando velocidad y capacidad de absorber y/o adaptar avances tecnológicos. Colaboración, con soluciones desarrolladas entre aliados públicos, privados, no-gubernamentales y centros de investigación. Óptimo en costos y beneficios, a través de una estrategia de inversión que produzca ahorros, ganancias, y beneficios a largo plazo. Transformacional, fomentando tecnología a través de liderazgo personal y organizacional para cambiar la forma de hacer gobierno, y no solo automatizando las prácticas y procesos existentes. El gobierno electrónico involucra una amplia gama de actores, actividades, y sectores. En cuanto a los actores tenemos: 73 Estado, es el principal actor, que lidera el proceso. Dentro de éste obviamente se debe destacar a los líderes gubernamentales de turno, quienes a través de su capacidad y voluntad política pueden construir una visión integrada de gobierno electrónico, consensuarla e implementarla. Funcionario público quien con su capacidad de adaptación y aprendizaje puede convertirse en el principal operador de las iniciativas. Empresario e industrial, es otro actor principal, especialmente aquel que cree en la innovación, al igual que aquel que enfrenta al riesgo con visión y holgura. La ciudadanía, no hay duda que es uno de los principales actores en general, en particular aquella que no sólo demanda más eficiencia y transparencia gubernamental, sino la que está interesada en involucrase en los asuntos públicos. Investigadores, técnicos y científicos, quienes apoyados por una infraestructura adecuada, pueden convertirse en agentes de conocimiento y cambio. El gobierno electrónico implica también innovaciones en otras áreas claves como el liderazgo, la deliberación, la inversión productiva, la educación y la ciudadanía. Además puede fomentar la automatización, la informatización y la transformación, lo cual puede traducirse en una mejora en el buen gobierno, y por ende en más confianza. Por ejemplo, este último puede incidir en la eficiencia gubernamental, produciendo lo mismo a menor costo; en la productividad, generando más al mismo costo; y en la velocidad, produciendo más, de manera más rápida y al mismo costo. También puede incidir en la efectividad, en cuanto el gobierno no sólo puede producir más, más rápido y al mismo costo, sino también producir algo de mayor calidad, novedoso e innovador. Aunque el gobierno electrónico involucra una gama amplia de actividades y de actores que interaccionan vertical y horizontalmente en dimensiones políticas, económicas, y sociales, tiene una vinculación estratégica de tres dimensiones: 1) Gobierno a gobierno: En muchos aspectos la vinculación intragubernamental representa la columna vertebral del gobierno electrónico. Antes de interactuar y ofrecer servicios más eficientes a la ciudadanía y al empresariado, el gobierno debe mejorar y actualizar su propio sistema interno (back office). 2) Gobierno a empresa: Esta dimensión implica tanto la venta de productos y servicios gubernamentales al público (front office), como también la compra de productos y servicios del sector privado (licitación y compras, enfatizando la comodidad, la transparencia y la competencia). Es decir, tiene que ver con la interacción entre el sector gubernamental y empresarial, y con reducir prácticas clientelares y el uso de medios corruptos para acelerar transacciones. 3) Gobierno a ciudadano: Se trata de hacer de las transacciones gubernamentales lo menos burocráticas, ganando en rapidez y facilidad. Implica también mejoras en el acceso a la información pública, a través del uso de herramientas de diseminación, como sitios web y/o kioscos informativos. El principal objetivo del gobierno electrónico es facilitar la interacción entre el ciudadano y el gobierno. Es decir, puede ayudar a mitigar el centralismo burocrático a través de la creación de ventanillas únicas, donde el ciudadano pueda obtener soluciones e información en varios temas, en un solo lugar, sin necesidad de interacciones físicas con un representante de cada una de las agencias gubernamentales involucradas. 3. VENTAJAS Y DESVENTAJAS DEL GOBIERNO ELECTRÓNICO. VENTAJAS Los beneficios que se pueden llegar a tener partir de este nuevo modelo gubernamental se enfocan en dos sentidos. 1. Hacia el gobierno: consisten en el ahorro de recursos, aumento de ingresos y una mejor administración como se puede reflejar a través de las siguientes acciones. 74 Reducción de costos en empleo de tiempo. Mejora la productividad, rendición de cuentas y hace más eficientes a las instituciones. Incrementa la transparencia de la gestión gubernamental Fortalece el sistema legal, cumplimiento de la ley y amplía la participación ciudadana. 2. Hacia los ciudadanos: se relaciona con el desarrollo económico y reducción de la brecha digital. Mayor acceso a la información por parte de la ciudadanía. Mayor calidad y valor agregado a los servicios que reciben Incrementa la productividad de la sociedad y sector privado Mejora la calidad de vida de la sociedad. Acciones promotoras de un Gobierno Electrónico. Considera que son varias las acciones que pueden implantarse con objeto de integrar las TIC con la administración pública, entre las que se encuentran. Acceso ciudadano a diversos tipos de información: la cual consiste en información que el gobierno puede distribuir como políticas, regulaciones, información que recopila para su uso, pero que puede compartir como datos geográficos y socioeconómicos, así como la información que está obligado a proporcionar: como indicadores de desempeño, datos personales, entre otros. Los beneficios de estas acciones es la reducción de costos de distribución y disposición de servicios las 24 horas del día accediendo desde cualquier punto y hace al gobierno más transparente. Transacciones con el gobierno: refuerzan la eficiencia administrativa a través de un gobierno más pequeño, barato, fácil de gestionar y que está orientado al cliente. Prestación de servicios públicos. Estos servicios en línea se adaptan mejor a los usuarios y cumplen con sus expectativas ya que eliminan distancias y desigualdades de zonas, económicas y físicas. Los ejemplos se ven reflejados en la telemedicina y educación a distancia. Participación ciudadana: la adopción de nuevas técnicas dan lugar a cambios en la relación de los ciudadanos y el Estado, y de éste con otros Estados, modificando sus estructuras y procedimientos. Ejemplos de ello son la votación electrónica y la interacción electrónica con el parlamento DESVENTAJAS Personal técnico y calificado reducido en el país. Diversidad y hasta obsolescencia del software propietario de gestión en las diferentes entidades La resistencia al cambio de la burocracia Desconocimiento y poca capacitación en TICs Vinculación de la aplicación de las tecnologías de la información a la administración del Estado, específicamente en los ámbitos aduanero, fiscal y tributario y de mejores prácticas en materias de compras gubernamentales 4. Deficiente administración de recursos económicos PRINCIPIOS DEL GOBIERNO ELECTRÓNICO Sin duda que toda teoría ha de basarse en principios filosóficos jurídicos que demuestren un accionar de beneficio para la colectividad, por lo que los principios en los que se basa el Gobierno Electrónico, son los siguientes: 1) Responsabilidad. Desde la perspectiva del Estado y de los ciudadanos. El estado tiene el deber de informar en el marco de la transparencia de sus actos administrativos y sus negocios 75 jurídicos. Los ciudadanos tienen el deber de efectuar el control y seguimiento de los mismos y de informar cuando sea necesario. 2) Eficiencia. Los servidores públicos alcanzarán sus metas y objetivos previstos en los programas de operación conforme las condiciones imperantes en su gestión, aprovechando o neutralizando los efectos de factores que pudieran considerarse de impacto o magnitud, a través de los medios virtuales. 3) Eficacia. El servidor público podrá demostrar por medio de la red, el adecuado uso de los recursos invertidos y los resultados obtenidos. 4) Oportunidad. La información podrá obtenerse en el momento preciso a través de la web, por estar sometida a actualización permanente. 5) Economía. El servidor público podrá demostrar la relación existente entre el costo de sus acciones y los resultados obtenidos. En tanto que el usuario podrá acceder a esta información a bajo costo, por la expansión del servicio. 6) Transparencia. Los actos administrativos públicos adquirirán credibilidad al ser generados y transmitidos en forma útil, oportuna, pertinente, completa, confiable y verificable. Asimismo, se preservarán en archivos magnéticos y documentales para efectos de prueba, para ser difundida y proporcionar la información ya procesada a quien lo solicite. 7) Conectividad. Que permite a los servidores públicos y al propio Estado, mantener contacto directo con todo el aparato estatal, producir y transmitir información conjunta. Si bien los principios delineados se basan en la difusión de la información generada en el Gobierno central, no perdamos de vista, la existencia de información considerada confidencial, que por contar con características especiales, naturalmente no podrá ser informada sino hasta cuando lo decida la autoridad correspondiente. Ese tipo de información se encuentra contenida en normas especiales contemplando también responsabilidad para sus actores; reserva que no contradice lo expuesto. Como se advierte, el principio de la responsabilidad de los servidores públicos para generar y difundir información a través del Gobierno en línea, es la base jurídica esencial para determinar los límites y alcances de su actividad, así como la imposición de sanciones cuando corresponda. En consecuencia, la aplicación de las normas administrativas por analogía es válida, así no se regule expresamente. En razón a que el servidor público seguirá siendo responsable por sus actos en tanto y en cuanto tenga esa calidad. La responsabilidad podrá ser administrativa, ejecutiva, civil o penal. Ninguno de los principios anotados actúa de manera aislada, todos se complementan para efectos de lograr el mayor acceso a la información y a los servicios que presta el Estado, cuyos resultados permitirán mejorar la calidad de los mismos y ofrecer oportunidades de participación democrática institucional. 5. GOBIERNO ELECTRONICO EN BOLIVIA Según el Glosario de Términos elaborado por el Programa Nacional de Gobierno – PRONAGOB, el Gobierno Electrónico es “Toda actividad basada en las Nuevas Tecnologías de la Información y la Comunicación, que el Estado desarrolla para aumentar la eficiencia de la gestión pública, mejorar los servicios ofrecidos a los ciudadanos y proveer a las acciones de la administración gubernamental de un marco de la mayor transparencia posible” (Abril 2002 – La Paz Bolivia) ¿Cuál es el resultado de esta profunda transformación estatal? Un Estado capaz de procesar las discrepancias de la sociedad y convertirla, a su vez, en un actor reforzado en el mundo es justamente el equivalente a uno que actúa en red, acumulando fuerzas ajenas y contribuyendo con las propias a la consecución de metas colectivas relevantes. Sólo removiendo las causas que alientan el patrimonialismo, es decir, la privatización abusiva del espacio público, es posible pensar en contar con un capital institucional digno de una sociedad activa y autorregulada. Y sólo mediante esos profundos cambios institucionales es posible imaginar un Estadored boliviano, descentralizado. 76 En la coyuntura actual de Bolivia, la ampliación y mejora de los flujos de información y comunicación podría promover, por ejemplo, una reforma del Estado patrimonial y cambiar la dependencia económica de los recursos naturales. Pasos hacia el cambio El primer paso hacia el cambio requerido consiste en definir los principios que debieran orientar la reflexión sobre la transición hacia una sociedad de la información. El segundo paso consiste en formular una estrategia. Es decir, se trata de diseñar una acción con un enfoque armonioso y secuencial. A medida que la sociedad global de la información evoluciona, es evidente que la cuestión para países en desarrollo como Bolivia no es si implementar o no políticas e iniciativas tecnológicas, sino más bien cuándo y cómo. Las actuales condiciones económicas, políticas y sociales vigentes en Bolivia y un serio vacío institucional han desfavorecido el diseño de una política institucional la que antes que nada debe ser el resultado de una decisión política. En el último año, las actividades hacia el gobierno-e en Bolivia han estado impulsadas principalmente por asistencia técnica de donantes como el Banco Interamericano de Desarrollo (BID) y el Programa de las Naciones Unidas para el Desarrollo (PNUD) y corporaciones como Microsoft, y se han concentrado en actividades que servirán de insumos para una eventual estrategia de gobierno digital. 6. ASPECTOS JURIDICOS Y LEGALES DEL GOBIERNO ELECTRONICO Actualmente no se cuenta todavía en Bolivia con ningún reglamento expreso o ley para el comercio electrónico. Sin embargo, existen seis disposiciones legales relacionadas con el tema: 1. La ley SIRESE. 2. La ley de telecomunicaciones. 3. La ley de derechos de autor. 4. El código penal. 5. Las modificaciones al código penal. 6. Los decretos 25.704 y 25.870 sobre el gravamen arancelario a las importaciones. Por otro lado, el decreto 26.455, relacionado al proyecto SIGMA, es lo más cercano que Bolivia tiene a una ley de firma digital. Se tiene un proyecto sobre un capítulo de “Disposiciones Generales en Comercio Electrónico,” el mismo que será incorporado al Código de Comercio. Sin embargo no existe un marco legal adecuado para la protección intelectual y contra la piratería, la cual ha crecido mucho en los últimos años. Recién en marzo del 2002 se oficializó en Bolivia un marco para una eventual estrategia e gobierno-e, cuando se promulgó el decreto 26.553 y estableció el marco legal e institucional básico para la implementación de nuevas tecnologías. Este mismo decreto creó la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB), entidad descentralizada, bajo tuición de la Vicepresidencia de la República, que es la responsable de proponer establecer e implementar la estrategia de políticas informacionales en Bolivia, incluyendo la de gobierno-e (http://www.bolnet.bo/). A pesar de ese importante avance, no existe todavía en Bolivia una estrategia integrada de gobierno-e debido a la falta de liderazgo político y la ausencia de políticas. Por ejemplo, se han elaborado los “Lineamientos para la Estrategia de Bolivia en la Era Digital”. Se aprobó también el decreto 26.624, que dispone que todas las redes y portales gubernamentales deban registrarse bajo el dominio “gov.bo.” Además, se aprobó la creación oficial del Registrador de Dominio Internet en Bolivia bajo la responsabilidad de la Red Boliviana de Comunicación de Datos (BOLNET), responsable de reglamentar y ordenar el registro de los nombres de dominio Internet en el país. Complementario a esto, 77 bajo resolución suprema 22.116 de mayo de 2002, se dispuso que todos los funcionarios públicos dependientes del Poder Ejecutivo cuenten con una dirección personal de correo electrónico. De lo expuesto, se podría señalar que la naturaleza jurídica del Gobierno Electrónico, se basa en los siguientes aspectos: La información que brinda el Estado a la ciudadanía, genera responsabilidad administrativa de los servidores públicos, en el caso de Bolivia se cuenta con la Ley de Administración y Control Gubernamental – SAFCO, sus Decretos Reglamentarios, Sistema de Administración y Contratación de Bienes y Servicios, Ley de Procedimientos Administrativos y su Decreto Reglamentario, además de otras normas conexas y complementarias. La información es única, es la misma de los documentos que sirvieron de base para ella. En caso de ser alterada, el responsable será pasible a la sanción que corresponda, según la gravedad del hecho. Los ciudadanos o beneficiarios finales, se convierten en agentes de control social de la administración gubernamental. En caso de actos fraudulentos o ilícitos, están obligados a reportarlos a la MAE, de no hacerlo pueden convertirse en cómplices o encubridores. Así, nace la responsabilidad ciudadana. Al transparentar los actos administrativos y los negocios jurídicos del Estado, se constituye en un factor importante en la lucha contra la corrupción, tal vez más pronto de lo que imaginamos producirá un cambio de conducta basado en la ética y la moral. 2. CONCLUSIONES El Gobierno en línea y todo lo relacionado con el accionar del Estado, al estar al alcance de los ciudadanos como medio fundamental de la información, se constituye en un instrumento eficaz de control y seguimiento, así como de lucha contra la corrupción. Por tanto, el Gobierno Electrónico como medio de información cumple dos propósitos: 1. Involucrar a los ciudadanos en el accionar estatal, convirtiéndolo en agente de control y seguimiento. 2. Reducir la brecha digital existente. El Gobierno ya no es más el ente que desarrolla sus actividades en círculos estrechos, dejará atrás la sensibilidad que producen las contrataciones, por los hechos que son de conocimiento público y que han generado la pérdida de la credibilidad en los ejecutivos gubernamentales. La transparencia inserta en las normas legales, será un hecho evidente en cuyo marco se desenvolverán los servidores públicos. Aunque los medios tecnológicos no son el único factor de ella, para recobrar la credibilidad tendrá que acompañarse con la adecuada selección de sus recursos humanos, en suma, se trata de generar una nueva cultura de la administración estatal, tanto de su planta ejecutiva como de los servidores públicos. Banca Electrónica Negocios Virtuales Unidad Temática 7 Desafíos éticos y sociales de las Tecnologías de Información Sistemas de Información Gerencial y de apoyo a la toma de decisiones Tecnologías de Inteligencia Artificial en la empresa Aplicaciones y aspectos estratégicos en la Tecnología de Información Administración de la Tecnología de Información Manejo de las Tecnologías de Información global 78 Tecnologías de información para E-business (ERP, SCM, CRM, KM, BI) A lo largo de los años han surgido diversas tecnologías, tecnologías que en su tiempo fueron disruptivas y que lograron cambios sorprendentes en la humanidad en las distintas áreas que la conforman. (Norris et al, 2000). Una de estas tecnologías que ha impactado considerablemente al mundo entero es el Internet. Desde finales del siglo XIX e inicios del siglo XX, se ha llevado a cabo un drástico y turbulento proceso de reacomodo en diversos sectores de la sociedad e industria y cada uno de ellos resultó afectado por esta tecnología. (Kalakota y Robinson, 2001) Brenix (2003), comenta que a raíz de esta tecnología, se crearon y abrieron nuevas oportunidades para cada uno de los negocios, pero al mismo tiempo, muchos problemas surgieron, salieron a la luz, y era necesario enfrentarlos. También Faramarz (2001) comenta que debido a este nuevo cambio, se creó un nuevo entorno, un entorno en el cual solo existían dos opciones, entrar o no entrar. Para entrar a este, era necesario adaptarse al mismo, adaptarse a los nuevos valores, las nuevas reglas, pero sobre todo y muy importante la nueva forma de hacer negocio. Siebel2 (2003), Brenix (2003), Faramarz, 2001) Faramarz (2201) y Brenix (2003), comentan que dentro de lo nuevo que surgió a raíz de este cambio, fueron ciertos niveles de problema como son la dependencia a la tecnología de información, clientes más exigentes, clientes mas informados, estrategias, entorno dinámico, etc. Dowding (2001) complementa es panorámica al comentar que en este acelerado ambiente de negocios es necesario contar con una estrategia que guíe a la empresa ya que la velocidad y la complejidad hará extremadamente difícil afrontar las circunstancias actuales y responder a las oportunidades. Todo este cambio, esta nueva forma de hacer negocios es llamada, e-business, negocios electrónicos, el cual no es una simple forma de hacer negocio o un canal de venta y relación entre la organización y el cliente, sino que va más allá, es una iniciativa de negocio que transforma las relaciones de negocio, es una nueva forma de gestionar la eficiencia, la innovación, la velocidad y la creación de valor a la empresa. (Garza Pérez, 2003, citando a Hartman, Sifones y Kador 2000). De acuerdo a esta perspectiva, y tomando en cuenta lo anterior y recapitulando, es una iniciativa de negocio, es una nueva forma de hacer negocio, por lo tanto, necesita de herramientas que constituyan esta forma de negocio. (Dowding Hill, 2001). Estas herramientas, son tecnologías que forman parte clave o indispensable dentro de un negocio electrónico, sin ellas no puede existir o desarrollarse. Estas tecnologías son la Administración de la Relación con el Cliente (Siebel2, 2003), la Administración de la Cadena de Suministros (Larson, 2001), la Inteligencia del Negocio (Raymond, 2003), la Administración del Conocimiento (Allard Suize y Holsapple Clyde, 2002), y la Planeación de Recursos Empresariales (Kuei Chu-Hua, 2002). El Internet ha llegado para quedarse, para desarrollarse para impactar a cada una de las organizaciones, como lo menciona Dowding (2001), asimismo, Faramarz (2001) comenta que este impacto se da al tener las expectativas de que todo es hacerlo más rápido, mejor y barato. Para obtener el éxito en esta economía, la economía del Internet, tal como dice Dowding (2001) es necesario integrar un modelo disciplinado de negocio electrónico dentro de la organización aunado a una metodología estructurada. Sin embargo, mucho de los negocios no lo han hecho así y se han hundido en un problema, ya que tratan de alcanzar el e-business sin considerar estrategias para su adecuado desarrollo, según Faramarz (2001). En la actualidad, es esencial distinguir entre la implementación de un e-commerce y un e-business, ya que este, también ha sido un factor que ha las empresas no han sabido diferenciar. Como lo declara Frick citado por Hernández Sosa (2003) el negocio electrónico es utilizar la red para mejorar los procesos de negocios y tener un mejor desempeño, no forzosamente implica vender algo por Internet, como es el caso del e-commerce (Hartman et al, 2000, citado por Garza Pérez, 2003). En el desarrollo del artículo se presenta de manera general la diferencia entre estos dos conceptos, así como las tecnologías de información de e-business la cuales son indispensables para la implementación del mismo. 1. e-Commerce Kalakota y Robinson (1999) describen al e-commerce desde la perspectiva de un proceso de negocio como la aplicación de la tecnología hacia la automatización de las transacciones de los negocios y el flujo del trabajo. 79 E-commerce es definido en el trabajo de Gómez (1998) como una tecnología moderna comercial que consigna las necesidades semejantes de las organizaciones mercantiles y consumidores de disminuir costos mientras se mejora también la calidad de bienes y servicios y se incrementa la rapidez del servicio de entrega. 2. e-Business Garza Pérez (2003) citando a Hartman et al (2000) menciona que e-business es cualquier iniciativa en Internet que transforma las relaciones de negocio, sean éstas, relaciones business-to-business, business-to-customer, intraempresariales o entre dos consumidores. El e-business es una nueva manera de gestionar las eficiencias, la velocidad, la innovación y la creación nuevo valor en una empresa. El e-business se le es llamado la tercera fase del e-commerce, como lo mencionan Kalakota y Robinson (2001). Esto incluye todas las aplicaciones y procesos que permiten a una compañía efectuar una transacción del negocio. Además de abarcar el e-commerce, el e-business incluye tanto las aplicaciones front-and-backoffice que forman el núcleo de los negocios modernos. Así, el e-business no es solamente una transacción de e-commerce o comprar-y-vender sobre el Web (Kalakota y Robinson, 2001, Siebel Thomas (2001,), es la estrategia global de redefinir antiguos modelos de negocios, con la ayuda de tecnología para maximizar valor del cliente y ganancias. (Kalakota y Robinson, 2001). Siebel Thomas (2001) menciona que el ebusiness incorpora el uso estratégico de las tecnologías de la información y la comunicación (incluyendo, pero no limitándose, a Internet) para interactuar con clientes, proyectos, y socios a través de la comunicación múltiple y los canales de distribución. 3. TI de e-Business Para tener un e-Business, es necesario contar con todo un respaldo de una serie de tecnologías de información, así como indiscutiblemente es imprescindible la estrategia debido a que el empleo del Internet en la organización es una proposición de alto riesgo. Puede ser un arma de dos filos, puede capturar un enorme mercado o puede ser un asesino de la compañía, es por ello que debe estar ligado con una disciplina y un proceso estructurado. Sin embargo, esto no lo es todo, es necesaria una Metodología enfocada a los problemas y oportunidades. (Dowding Hill, 2001). Reafirmando lo anterior, Brenix (2003), indica que para lograr el desarrollo del e-business en la organización son utilizadas una serie de herramientas que permiten a la organización desenvolverse más rápidamente y obtener la satisfacción en sus diferentes canales. Asimismo, Siebel2 (2003) declara que es de gran importancia para la organización contar con diferentes tecnologías que le proporcionen estos beneficios, para mantener efectiva cada una de las partes de la misma. Las tecnologías de información para e-business, a los cuales se referían cada uno de estos autores, son los siguientes: CRM, Administración de la Relación con el Cliente (Customer Relationship Management). (Siebel2, 2003). SCM, Administración de la Cadena de Suministros (Supply Chain Management), (Larson, 2001). BI, Inteligencia del Negocio, (Business Intelligence). (Raymond, 2003). KM, Administración del Conocimiento, (Knowledge Management), Allard Suzie y Holsapple Clyde (2002). ERP, Planeación de los Recursos Empresariales (Enterprise Resource Planning), (Kuei Chu-Hua, 2002) 3.1 CRM, Administración de la Relación con el Cliente (Customer Relationship Management). Es una metodología para identificación, adquisición y retención de clientes, permitiendo a organizaciones administrar y coordinar interacciones de cliente a través de canales múltiples, departamentos, líneas de negocios y geografía. (Siebel2, 2003) El Software de CRM proporciona una gran cantidad de beneficios a la organización (Siebel1, 2003) logrando con esto, mantener una relación estable con la cadena de relación de clientes, otorgando un mayor resultado, con menores costos, entregándolos en el tiempo acordado y con una alta calidad (Brenix, 2003). 80 Es una metodología integrada para identificación, adquisición y retención de clientes, permitiendo a las organizaciones administrar y coordinar interacciones de cliente a través de los canales múltiples, departamentos, líneas de negocio y geografía. (Siebel2, 2003) A continuación se presentan algunas compañías vendedoras de soluciones de CRM: Siebel http://www.siebel.com/ SAP CRM http://www.sap.com/solutions/crm/index.asp Oracle http://www.oracle.com/applications/customermgmt/ 3.2 SCM, Administración de la Cadena de Suministros (Supply Chain Management). Es la identificación y administración de la cadena de suministros específica, que son críticos para las operaciones de compra de una organización. (Larson, 2001) Supply Chain Management. La administración de la cadena de suministros, puede y debe jugar un role vital en la administración de los procesos de la cadena de suministros que pertenece a los proveedores. (Larson, 2002). Una tecnología de información que también es clave dentro de la implementación del e-business es el SCM, Supply Chain Management, según Rock (2000) este término puede no estar tan de moda como los e-términos y los i-términos, pero como la administración de la cadena de suministros se desarrolla para soportar los nuevos modelos de negocios incluyendo las maneras innovadoras de acoplar al cliente, administrar los riesgos, dirigir las información y las finanzas y deliberar el entusiasmo del producto para la practica continua de mejora continua. A continuación se presentan algunas compañías vendedoras de soluciones de SCM: Oracle http://www.oracle.com/applications/B2B/index.html?content.html Baan http://www.baan.com/solutions/scm/index.aspx PeopleSoft http://www.peoplesoft.com/corp/en/products/ent/scm/index.jsp 3.3 BI, Inteligencia del Negocio, (Business Intelligence) La Globalización, la internacionalización de los mercados, la nueva economía y los negocios electrónicos, son una interrelación de fenómenos los cuales emergen con retos de nuevas actitudes de supervivencia y de adaptación. (Raymond, 2003) Por lo tanto, según Raymond (2003) resulta esencial detectar las tendencias y entender las estrategias que provienen de una economía global de conocimiento, esto es, actividades de la inteligencia de negocios por la cual los ambientes económico, tecnológico y social son explorados. Existen diversos vendedores de soluciones para BI, a continuación se mencionan alguno de ellos: COGNOS http://www.cognos.com/products/businessintelligence/index.html HYPERION http://www.hyperion.com/ 3.4 KM, Administración del Conocimiento, (Knowledge Management) KM (Knowledge Management, Administración del Conocimiento), Allard et al (2002) define que para estudiar sistemáticamente, desarrollar y aplicar tales tecnologías para el negocio electrónico, es esencial adoptar una perspectiva que de una representación bastante comprensiva de la administración del conocimiento. Reafirmando esto, Garza Perez (2003) citando a Raman (2002) dice que en una economía global, obtener ventajas resulta de una adecuada administración del conocimiento de la empresa. Esto se refiere a Administrar tres aspectos principales que son las personas, los procesos y la tecnología. Es por ello que las empresa se han dado cuenta que el conocimiento que se encuentre en sus empleados es un recurso sumamente importante para la empresa y por ende, puede y debe ser administrado. Entre las compañías vendedoras de soluciones de KM, se mencionan algunas a continuación: CORPORUM http://www.cognit.no/home_multi/html/index.asp ARIKUS http://www.arikus.com/ ASINC http://www.asinc.com/ 3.5 ERP, Planeación de los Recursos Empresariales (Enterprise Resource Planning) La tecnología, particularmente el Internet y el ERP, permiten a las compañías desarrollar nuevas formas para hacer y mover productos, para administrar los procesos de negocios en todos los niveles y comunicarse con clientes y/o proveedores en tiempo real (Kuei Chu-Hua, 2002). Asimismo, Norris et al (200) comentan que el ERP es un enfoque estructurado para optimizar la cadena de valor interna de una compañía. En otras palabras, ERP dentro de la organización lo que hace es 81 organizar, codificar y estandarizar procesos y datos de negocios de la empresa, como lo comenta Norris et al (2000). Entre los principales vendedores de soluciones de ERP, encontramos: SAP http://www.sap.com/ BAAN http://www.baan.com/solutions/erp/index.aspx Oracle http://www.oracle.com/ CONCLUSIÓN Con toda la información recabada en cada uno de los artículos podemos concluir que los negocios electrónicos, e-business, día a día ha ido y siguen cobrando fuerza de manera sorprendente y se han encuentran en nuestra realidad. Los negocios actualmente son el resultado de un cambio drástico de su forma de realizase, de la manera de pensar, de la manera de actual, de su forma de relacionarse, de vivir. Es por ello, que el negocio electrónico no es una alternativa, es un hecho imperativo, hecho que cada empresa, cada organización debe buscar y lograr, podemos decir, una meta que es indispensable alcanzar. Sin embargo, por el afán de alcanzar y lograr esta meta, podemos caer en caminar a la deriva, en perder la orientación, es por ello que es indispensable contar con una estrategia que permita el desenvolvimiento del mismo. Para lograr esta meta, es utilizada una serie de tecnologías que permiten el logro del mismo, estas tecnologías son, CRM, SCM, KM, BI y ERP. Sin embargo, hay que ser muy cautelosos, ya que no existe una “receta de cocina” que se utilice para guiar a la organización para implementar un negocio electrónico. Es por ello que surge la necesidad de estudiar y poner especial en los Factores Críticos de Éxito y de esta manera estar al pendiente y expectantes de los acontecimientos y ser precavidos para el momento en el cual sea necesario actuar. Resumiendo, la realidad es que toda empresa, de cualquier tamaño, en cualquier industria y lugar del mundo tiene que cambiar su manera de hacer negocios, reconocer que Internet es la fuerza principal que comunica tanto a las empresas como a las personas. PALABRA CLAVE: e-Business, Negocios electrónicos, Tecnologías de información, ERP, SCM, CRM, KM, BI Unidad Temática 8 Unidad IV Excel para Contadores - Hoja de Trabajo - Tipos de datos - Funciones – Aplicaciones Macros en Excel - Funciones de Auditoria - Auditoria de fórmulas CURSO EXCEL El curso de Excel 2000, la hoja de cálculo más popular del mundo, es una herramienta básica y fundamental en los conocimientos de ofimática y necesaria para todos los trabajos. En Aula Tutorial entendemos que la formación debe ser continuada para todos los ámbitos profesionales, y por ello ponemos a disposición de nuestros alumnos unos contenidos perfectamente estructurados. El sistema de aprendizaje de todos nuestros cursos de formación continua se organiza a partir de dos modelos: A distancia y Online. En la modalidad a distancia, el alumno contará con un temario actual y completo, además de un acompañamiento constante en sus progresos a través de un sistema de tutorías (vía telefónica o por correo electrónico) durante el periodo en el que transcurran los cursos. En la modalidad Online, nuestros cursos de formación continua cuentan con múltiples herramientas donde el alumno encontrará los cursos organizados por semanas, adjudicando a cada una de ellas las tareas que deberán ir cumpliendo. A través de la ficha de seguimiento, el alumno es conocedor de todos los trabajos que va superando y de los que le quedan por superar. Dentro de cada semana el alumno deberá estudiar 82 los contenidos preestablecidos por su tutor, al igual que deberá realizar los correspondientes test y ejercicios que le permitan ejercitarse, poniendo en práctica los conocimientos teóricos adquiridos. Finalizando cada 5 temas efectuando un repaso conjunto de los contenidos, con el objetivo de ir afianzando el temario aprendido. En la modalidad Online con tutoría, además de lo ya citado en el sistema anterior, el alumno va a tener un seguimiento más directo por parte del profesorado, contando además con la posibilidad de realizar cualquier tipo de consulta sobre los contenidos. La calidad de los contenidos, la versatilidad de los recursos tecnológicos y la profesionalidad de los tutores, terminan de conformar el conjunto de elementos necesarios para que el alumno pueda alcanzar con facilidad su objetivo marcado. OBJETIVOS Actualizar conceptos básicos de Excel. Implantación de funciones en Excel. Diseño de plantillas y formularios. Trabajo con Bases de datos. Creación de Macros y enlaces con Internet PROGRAMA INICIACIÓN A EXCEL 2000 1. Introducción a Excel 2. Conceptos básicos de Excel 3. Primeros pasos en Excel 4. Formato de hojas de cálculo 5. Configuración e impresión de la hoja 6. Operaciones con rangos. Almacenamiento intermedio 7. Operaciones varias 8. Objetos en Excel 9. Gráficos y mapas en Excel