MODELO OSI

El modelo de referencia de Interconexión de Sistemas Abiertos, fue el modelo de red descriptivo creado por la Organización Internacional para la Estandarización lanzado en 1984. Es decir, fue un marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones.

Modelo de referencia OSI

Siguiendo el esquema de este modelo se crearon numerosos protocolos, por ejemplo X.25, que durante muchos años ocuparon el centro de la escena de las comunicaciones informáticas. El advenimiento de protocolos más flexibles donde las capas no están tan demarcadas y la correspondencia con los niveles no era tan clara puso a este esquema en un segundo plano. Sin embargo es muy usado en la enseñanza como una manera de mostrar como puede estructurarse una "pila" de protocolos de comunicaciones.
El modelo en sí mismo no puede ser considerado una arquitectura, ya que no especifica el protocolo que debe ser usado en cada capa, sino que suele hablarse de modelo de referencia. Este modelo está dividido en siete capas:

Capa Física (Capa 1)

La Capa Física del modelo de referencia OSI es la que se encarga de las conexiones físicas de la computadora hacia la red, tanto en lo que se refiere al medio físico (medios guiados: cable coaxial, cable de par trenzado, fibra óptica y otros tipos de cables; medios no guiados: radio, infrarrojos, microondas, láser y otras redes inalámbricas); características del medio (p.e. tipo de cable o calidad del mismo; tipo de conectores normalizados o en su caso tipo de antena; etc.) y la forma en la que se transmite la información (codificación de señal, niveles de tensión/intensidad de corriente eléctrica, modulación, tasa binaria, etc.)
Es la encargada de transmitir los bits de información a través del medio utilizado para la transmisión. Se ocupa de las propiedades físicas y características eléctricas de los diversos componentes; de la velocidad de transmisión, si ésta es uni o bidireccional (símplex, dúplex o full-dúplex). También de aspectos mecánicos de las conexiones y terminales, incluyendo la interpretación de las señales eléctricas/electromagnéticas.
Se encarga de transformar una trama de datos proveniente del nivel de enlace en una señal adecuada al medio físico utilizado en la transmisión. Estos impulsos pueden ser eléctricos (transmisión por cable) o electromagnéticos (transmisión sin cables). Estos últimos, dependiendo de la frecuencia / longitud de onda de la señal pueden ser ópticos, de micro-ondas o de radio. Cuando actúa en modo recepción el trabajo es inverso; se encarga de transformar la señal transmitida en tramas de datos binarios que serán entregados al nivel de enlace.

Capa de enlace de datos (Capa 2)

Cualquier medio de transmisión debe ser capaz de proporcionar una transmisión sin errores, es decir, un tránsito de datos fiable a través de un enlace físico. Debe crear y reconocer los límites de las tramas, así como resolver los problemas derivados del deterioro, pérdida o duplicidad de las tramas. También puede incluir algún mecanismo de regulación del tráfico que evite la saturación de un receptor que sea más lento que el emisor.
La capa de enlace de datos se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la notificación de errores, de la distribución ordenada de tramas y del control del flujo.
Se hace un direccionamiento de los datos en la red ya sea en la distribución adecuada desde un emisor a un receptor, la notificación de errores, de la topología de la red de cualquier tipo. La tarjeta NIC (Network Interface Card, Tarjeta de Interfaz de Red en español o Tarjeta de Red) que se encarga de que tengamos conexión, posee una dirección MAC (control de acceso al medio) y la LLC (control de enlace lógico). Los Switches realizan su función en esta capa.

Capa de red (Capa 3)

El cometido de la capa de red es hacer que los datos lleguen desde el origen al destino, aun cuando ambos no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan en castellano encaminadores, aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores.
Adicionalmente la capa de red lleva un control de la congestión de red, que es el fenómeno que se produce cuando una saturación de un nodo tira abajo toda la red (similar a un atasco en un cruce importante en una ciudad grande). La PDU de la capa 3 es el paquete.
Los routers trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar direcciones de máquinas.
En este nivel se realiza el direccionamiento lógico y la determinación la ruta de los datos hasta su receptor final.

Capa de transporte (Capa 4)

Su función básica es aceptar los datos enviados por las capas superiores, dividirlos en pequeñas partes si es necesario, y pasarlos a la capa de red. En el caso del modelo OSI, también se asegura que lleguen correctamente al otro lado de la comunicación. Otra característica a destacar es que debe aislar a las capas superiores de las distintas posibles implementaciones de tecnologías de red en las capas inferiores, lo que la convierte en el corazón de la comunicación. En esta capa se proveen servicios de conexión para la capa de sesión que serán utilizados finalmente por los usuarios de la red al enviar y recibir paquetes. Estos servicios estarán asociados al tipo de comunicación empleada, la cual puede ser diferente según el requerimiento que se le haga a la capa de transporte. Por ejemplo, la comunicación puede ser manejada para que los paquetes sean entregados en el orden exacto en que se enviaron, asegurando una comunicación punto a punto libre de errores, o sin tener en cuenta el orden de envío. En resumen, podemos definir a la capa de transporte como:
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la máquina origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de la capa 4 se llama Segmentos.
Capa de sesión (Capa 5)
Esta capa establece, gestiona y finaliza las conexiones entre usuarios (procesos o aplicaciones) finales. Ofrece varios servicios que son cruciales para la comunicación, como son:
Control de la sesión a establecer entre el emisor y el receptor (quién transmite, quién escucha y seguimiento de ésta).
Control de la concurrencia (que dos comunicaciones a la misma operación crítica no se efectúen al mismo tiempo).
Mantener puntos de verificación (checkpoints), que sirven para que, ante una interrupción de transmisión por cualquier causa, la misma se pueda reanudar desde el último punto de verificación en lugar de repetirla desde el principio.
Por lo tanto, el servicio provisto por esta capa es la capacidad de asegurar que, dada una sesión establecida entre dos máquinas, la misma se pueda efectuar para las operaciones definidas de principio a fin, reanudándolas en caso de interrupción. En muchos casos, los servicios de la capa de sesión son parcial o totalmente prescindibles.
En conclusión esta capa es la que se encarga de mantener el enlace entre los dos computadores que estén transmitiendo datos de cualquier índole.

Capa de presentación (Capa 6)
El objetivo de la capa de presentación es encargarse de la representación de la información, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres (ASCII, Unicode, EBCDIC), números (little-endian tipo Intel, big-endian tipo Motorola), sonido o imágenes, los datos lleguen de manera reconocible.
Esta capa es la primera en trabajar más el contenido de la comunicación que el cómo se establece la misma. En ella se tratan aspectos tales como la semántica y la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de manejarlas.
Esta capa también permite cifrar los datos y comprimirlos. En pocas palabras es un traductor.
Por todo ello, podemos resumir la definición de esta capa como aquella encargada de manejar la estructura de datos abstracta y realizar las conversiones de representación de los datos necesarias para la correcta interpretación de los mismos.

Capa de aplicación (Capa 7)

Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece sin parar.
Cabe aclarar que el usuario normalmente no interactúa directamente con el nivel de aplicación. Suele interactuar con programas que a su vez interactúan con el nivel de aplicación pero ocultando la complejidad subyacente. Así por ejemplo un usuario no manda una petición "GET index.html HTTP/1.0" para conseguir una página en html, ni lee directamente el código html/xml.
Entre los protocolos (refiriéndose a protocolos genéricos, no a protocolos de la capa de aplicación de OSI) más conocidos destacan:
HTTP (HyperText Transfer Protocol = Protocolo de Transferencia de Hipertexto) el protocolo bajo la www.

FTP (File Transfer Protocol = Protocolo de Transferencia de Archivos) ( FTAM, fuera de TCP/IP) transferencia de ficheros.
SMTP (Simple Mail Transfer Protocol = Protocolo Simple de Correo) (X.400 fuera de tcp/ip) envío y distribución de correo electrónico.
POP (Post Office Protocol = Protocolo de Oficina de Correo)/IMAP: reparto de correo al usuario final.
SSH (Secure Shell = Capa Segura) principalmente terminal remoto, aunque en realidad cifra casi cualquier tipo de transmisión.
Telnet otro terminal remoto, ha caído en desuso por su inseguridad intrínseca, ya que las claves viajan sin cifrar por la red.
Hay otros protocolos de nivel de aplicación que facilitan el uso y administración de la red:
SNMP (Simple Network Management Protocol)
DNS (Domain Name System)

Unidades de datos

El intercambio de información entre dos capas OSI consiste en que cada capa en el sistema fuente le agrega información de control a los datos, y cada capa en el sistema de destino analiza y remueve la información de control de los datos como sigue:
Si un ordenador (host A) desea enviar datos a otro (host B), en primer término los datos deben empaquetarse a través de un proceso denominado encapsulamiento, es decir, a medida que los datos se desplazan a través de las capas del modelo OSI, reciben encabezados, información final y otros tipos de información.


N-PDU (Unidad de datos de protocolo)

Es la información intercambiada entre entidades pares, es decir, dos entidades pertenecientes a la misma capa pero en dos sistemas diferentes, utilizando una conexión (N-1).
Esta compuesta por:
N-SDU (Unidad de datos del servicio): Son los datos que se necesitan la entidades (N) para realizar funciones del servicio pedido por la entidad (N+1).
N-PCI (Información de control del protocolo): Información intercambiada entre entidades (N) utilizando una conexión (N-1) para coordinar su operación conjunta.
N-IDU (Unidad de datos de interfase): Es la información transferida entre dos niveles adyacentes, es decir, dos capas contiguas.
Datos de Interface-(N)
Información transferida entre una entidad-(N+1) y una entidad-(N) y que normalmente coincide con la (N+1)-PDU.
Transmisión de los datos

Transferencia de información en el modelo OSI.

La capa de aplicación recibe el mensaje del usuario y le añade una cabecera constituyendo así la PDU de la capa de aplicación. La PDU se transfiere a la capa de aplicación del nodo destino, este elimina la cabecera y entrega el mensaje al usuario.
Para ello ha sido necesario todo este proceso:
Ahora hay que entregar la PDU a la capa de presentación para ello hay que añadirla la correspondiente cabecera ICI y transformarla así en una IDU, la cual se transmite a dicha capa.
La capa de presentación recibe la IDU, le quita la cabecera y extrae la información, es decir, la SDU, a esta le añade su propia cabecera (PCI) constituyendo así la PDU de la capa de presentación.
Esta PDU es transferida a su vez a la capa de sesión mediante el mismo proceso, repitiéndose así para todas las capas.
Al llegar al nivel físico se envían los datos que son recibidos por la capa física del receptor.
Cada capa del receptor se ocupa de extraer la cabecera, que anteriormente había añadido su capa homóloga, interpretarla y entregar la PDU a la capa superior.
Finalmente llegará a la capa de aplicación la cual entregará el mensaje al usuario.
Formato de los datos
Estos datos reciben una serie de nombres y formatos específicos en función de la capa en la que se encuentren, debido a como se describió anteriormente la adhesión de una serie de encabezados e información final. Los formatos de información son los que muestra el gráfico:

APDU
Unidad de datos en la capa de aplicación (Capa 7).
PPDU
Unidad de datos en la capa de presentación (Capa 6).
SPDU
Unidad de datos en la capa de sesión (Capa 5).
TPDU
(segmento o datagrama)
Unidad de datos en la capa de transporte (Capa 4).
Paquete
Unidad de datos en el nivel de red (Capa 3).
Trama
Unidad de datos en la capa de enlace (Capa 2).
Bits
Unidad de datos en la capa física (Capa 1).

SERVICIOS DE INTERNET

Todas las computadoras ya poseen módem (de no hacerlo no es problema ni costoso instalarle uno) y en todos los países hay servicio a Internet por lo tanto no hay que ser un experto para tener acceso a Internet sino recursos, que es lamentable aunque justo ya que todo servicio de debe pagar.Cada equipo de cómputo que participa en Internet recibe el nombre de computadora host. Algunos host sirven el contenido o aplicaciones por lo que se les denomina servidores. Otras computadoras como la que estoy utilizando yo (clientes) consumen el contenido o la información ofrecida por los servidores. A esta relación de le denomina cliente servidor.
La misma tecnología funciona con respecto a programas que se ejecutan en computadoras conectadas a Internet. Cada programa servidor necesita un programa cliente que hable el mismo lenguaje.Cada computadora necesita una configuración correcta para conectar a Internet, esto es un protocolo, un cliente y un adaptador.

Correo Electrónico (E-MAIL)

Es tal vez el principal servicio de Internet, y sin duda el de mayor importancia histórica. Cada persona que está conectada cuenta con un "buzón electrónico" personal, simbolizado en una dirección de correo.El correo electrónico sirve para enviar y recibir mensajes a otros usuarios, y por eso no hay nunca dos nombres iguales. La primera parte de una dirección identifica habitualmente a la persona y la segunda a la empresa u organización para la que trabaja, o al proveedor de Internet a través del que recibe la información.
Así el correo diegomolineaux@hotmail.com identifica al usuario llamado Diego Molineaux, la @ significa "at" y hotmail.com es la compañía que proporciona el servicio de correo. Por este medio se pueden enviar texto, gráficos, hojas de calculo, algunos programas ejecutables (dependiendo de la política del proveedor y del espacio que este le dé para su correo), etc. Este medio de comunicación es ya muy común en la mayoría de las empresas por decir todas y usado por la mayoría de las personas.La mayoría de los de los BROWSER o buscadores como YAHOO, INFOSEEK, ALTAVISTA, etc., ofrecen servicios de correo gratuito y estos pueden durar mientras usted quiera. Hay personas que no tiene la facilidad del servicio de Internet y tienen su correo electrónico el cual accesa desde su universidad, desde la PC de un amigo, etc. También estos browser ofrecen chat, messenger, tarjetas electrónicas, compras, noticias y un sin fin de servicios e información. Cada vez que accesamos a una página de Internet nuestra computadora guarda información del browser o navegador Web con el fin de restaurar sus preferencias personales la próxima vez que visite ese sitio. A esa pieza de información se le llama COOKIES.

WWW

"World Wide Web", la "red" o simplemente "la web", como se conoce normalmente, es básicamente un medio de comunicación de texto, gráficos y otros objetos multimedia a través de Internet, es decir, la web es un sistema de hipertexto que utiliza Internet como su mecanismo de transporte o desde otro punto de vista, una forma gráfica de explorar Internet. Creada en 1989 en un instituto de investigación de Suiza , la web se basa en buscadores y el protocolo de transporte de hipertexto. La mayoría de los documentos de la web se crean utilizando lenguaje HTML. Es importante saber que www no es un sinónimo de Internet, la web es un subconjunto de Internet que consiste en páginas a las que se puede acceder usando un navegador. Internet es la red de redes donde reside toda la información. Tanto el correo electrónico, como FTPs, juegos, etc. son parte de Internet. Para buscar hipertexto se utilizan programas llamados buscadores web que recuperan trozos de información (llamados "documentos" o "páginas web") de los servidores web y muestran en la pantalla del ordenador de la persona que está buscando la información gráfica, textual o video e incluso audio. Después se pueden seguir enlaces o hyperlinks en cada página a otros documentos o incluso devolver información al servidor para interactuar con él. Al acto de seguir un enlace tras otro a veces se le llama navegar en Internet. La web se ha convertido en un medio muy popular de publicar información en Internet, y con el desarrollo del protocolo de transferencia segura (secured server protocol (https)), la web es ahora un medio de comercio electrónico donde los consumidores pueden escoger sus productos on-line y realizar sus compras utilizando la información de sus tarjetas bancarias de forma segura.

USENET

Es el acrónimo de Users Network (Red de usuarios), consistente en un sistema global de discusión en Internet, que evoluciona de las redes UUCP. Fue creado por Tom Truscott y Jim Ellis, estudiantes de la Universidad de Duke, en 1979. Los usuarios pueden leer o enviar mensajes (denominados artículos) a distintos grupos de noticias ordenados de forma jerárquica. El medio se sostiene gracias a un gran número de servidores distribuidos y actualizados mundialmente, que guardan y transmiten los mensajes.

CHAT - MESSENGER

Hay programas y sitios que permiten que los usuarios se comuniquen mediante el teclado, micrófono o ambos en el caso del Messenger o mensajería en tiempo real. Estos felicitan muchas cosas ya que por este medio los usuarios pueden buscar informaron de otro usuario que este en línea, hablar sobre el tema, conocer gente de acuerdo a tus intereses, bajar programas, música en formato Mp3 y un millón de cosas más.
De los más famosos y comunes esta el MIRC que es un programa gratuito para catear. En el cual el usuario se conecta a un servidor y entra a un canal especifico donde se encuentran otros usuarios de donde puede bajar música, grafico y texto y los usuarios muestran sus emociones con caracteres del teclado. A estos caracteres se les llama emoticonos.

FTP (Protocolo de Transferencia de Archivos)

Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.
El Servicio FTP es ofrecido por la capa de Aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al servidor, o apropiarse de los archivos transferidos.
Para solucionar este problema son de gran utilidad aplicaciones como scp y sftp, incluidas en el paquete SSH, que permiten transferir archivos pero cifrando todo el tráfico.

SERVIDOR FTP

Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente conectado a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN, etc.). Su función es permitir el intercambio de datos entre diferentes servidores/ordenadores.
Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a uno y así intercambiar información con él.
Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes; o como servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan cifrados, como el SFTP.

CLIENTE FTP

Cuando un navegador no está equipado con la función FTP, o si se quiere cargar archivos en un ordenador remoto, se necesitará utilizar un programa cliente FTP. Un cliente FTP es un programa que se instala en el ordenador del usuario, y que emplea el protocolo FTP para conectarse a un servidor FTP y transferir archivos, ya sea para descargarlos o para subirlos.
Para utilizar un cliente FTP, se necesita conocer el nombre del archivo, el ordenador en que reside (servidor, en el caso de descarga de archivos), el ordenador al que se quiere transferir el archivo (en caso de querer subirlo nosotros al servidor), y la carpeta en la que se encuentra.
Algunos clientes de FTP básicos en modo consola vienen integrados en los sistemas operativos, incluyendo Windows, DOS, Linux y Unix. Sin embargo, hay disponibles clientes con opciones añadidas e interfaz gráfica. Aunque muchos navegadores tienen ya integrado FTP, es más confiable a la hora de conectarse con servidores FTP no anónimos utilizar un programa cliente.

ACCESO ANÓNIMO

Los servidores FTP anónimos ofrecen sus servicios libremente a todos los usuarios, permiten acceder a sus archivos sin necesidad de tener un 'USER ID' o una cuenta de usuario. Es la manera más cómoda fuera del servicio web de permitir que todo el mundo tenga acceso a cierta información sin que para ello el administrador de un sistema tenga que crear una cuenta para cada usuario.
Si un servidor posee servicio 'FTP anónimo solamente con teclear la palabra "anonymous", cuando pregunte por tu usuario tendrás acceso a ese sistema. No se necesita ninguna contraseña preestablecida, aunque tendrás que introducir una sólo para ese momento, normalmente se suele utilizar la dirección de correo electrónico propia.
Solamente con eso se consigue acceso a los archivos del FTP, aunque con menos privilegios que un usuario normal. Normalmente solo podrás leer y copiar los archivos existentes, pero no modificarlos ni crear otros nuevos.
Normalmente, se utiliza un servidor FTP anónimo para depositar grandes archivos que no tienen utilidad si no son transferidos a la máquina del usuario, como por ejemplo programas, y se reservan los servidores de páginas web (HTTP) para almacenar información textual destinada a la lectura en línea.

ACCESO DE USUARIO

Si se desea tener privilegios de acceso a cualquier parte del sistema de archivos del servidor FTP, de modificación de archivos existentes, y de posibilidad de subir nuestros propios archivos, generalmente se suele realizar mediante una cuenta de usuario. En el servidor se guarda la información de las distintas cuentas de usuario que pueden acceder a él, de manera que para iniciar una sesión FTP debemos introducir una autentificación y una contraseña (password) que nos identifica unívocamente.

ACCESO DE INVITADO

El acceso sin restricciones al servidor que proporcionan las cuentas de usuario implica problemas de seguridad, lo que ha dado lugar a un tercer tipo de acceso FTP denominado invitado (guest), que se puede contemplar como una mezcla de los dos anteriores.
La idea de este mecanismo es la siguiente: se trata de permitir que cada usuario conecte a la máquina mediante su login y su password, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para realizar su trabajo, de esta forma accederá a un entorno restringido, algo muy similar a lo que sucede en los accesos anónimos, pero con más privilegios.

MODOS DE CONEXIÓN DEL CLIENTE FTP

FTP admite dos modos de conexión del cliente. Estos modos se denominan Activo (o Estándar, o PORT, debido a que el cliente envía comandos tipo PORT al servidor por el canal de control al establecer la conexión) y Pasivo (o PASV, porque en este caso envía comandos tipo PASV). Tanto en el modo Activo como en el modo Pasivo, el cliente establece una conexión con el servidor mediante el puerto 21, que establece el canal de control.

EL MODELO FTP

En el modelo, el intérprete de protocolo (PI) de usuario, inicia la conexión de control en el puerto 21. Las órdenes FTP estándar las genera el PI de usuario y se transmiten al proceso servidor a través de la conexión de control. Las respuestas estándar se envían desde el PI del servidor al PI de usuario por la conexión de control como respuesta a las órdenes.
Estas órdenes FTP especifican parámetros para la conexión de datos (puerto de datos, modo de transferencia, tipo de representación y estructura) y la naturaleza de la operación sobre el sistema de archivos (almacenar, recuperar, añadir, borrar, etc.). El proceso de transferencia de datos (DTP) de usuario u otro proceso en su lugar, debe esperar a que el servidor inicie la conexión al puerto de datos especificado (puerto 20 en modo activo o estándar) y transferir los datos en función de los parámetros que se hayan especificado.
Vemos también en el diagrama que la comunicación entre cliente y servidor es independiente del sistema de archivos utilizado en cada ordenador, de manera que no importa que sus sistemas operativos sean distintos, porque las entidades que se comunican entre sí son los PI y los DTP, que usan el mismo protocolo estandarizado: el FTP.
También hay que destacar que la conexión de datos es bidireccional, es decir, se puede usar simultáneamente para enviar y para recibir, y no tiene por qué existir todo el tiempo que dura la conexión FTP.

Auditoria

AUDITORÍA

Es una función cuya finalidad es analizar y apreciar, las posibles acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

La tipología que puede dividir la auditoria depende, esencialmente, de la necesidad empresarial de establecer controles o pautas en el cumplimiento de las actividades que se desenvuelven en el ámbito de la organización.

La auditoria administrativa u operativa se encarga de analizar los sistemas, los procedimientos, las estructuras, los recursos humanos, los materiales y los programas de los diferentes complejos de organización, todas las funciones que integran la gestión a excepción de la financiera, para verificar su buen funcionamiento, proponer mejoras y mejorar sus comportamientos disfuncionales.

La Auditoria de Sistemas Informáticos, tiene como objetivo evaluar la eficiencia y eficacia con la que se está operando en un momento determinado, con la finalidad de que se puedan tomar decisiones que permitan corregir los errores de la manera más rentable posible para el cliente.

OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS

1. Incrementar la satisfacción de los usuarios de los sistemas computarizados.

2. Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

3. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

4. Seguridad de personal, datos, hardware, software e instalaciones.

5. Apoyo de función informática a las metas y objetivos de la organización.

6. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

7. Minimizar existencias de riesgos en el uso de Tecnología de información

NECESIDAD DE EFECTUAR UNA AUDITORIA DE SISTEMAS

1. Aumento considerable e injustificado del presupuesto del Departamento de Procesamiento de Datos.

2. Desconocimiento en el nivel directivo de la situación informática de la empresa.

3. Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

4. Descubrimiento de fraudes efectuados con el computador.

5. Falta de una planificación informática.

6. Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.

7. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.

8. Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS.

1. Complejidad de los sistemas.

2. uso de lenguajes.

3. metodologías, son parte de las personas y su experiencia.

4. Centralización.

5. departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.

6. Controles del computador.

CONTROLES MANUALES, HOY AUTOMATIZADOS (PROCEDIMIENTOS PROGRAMADOS) .

1. Confiabilidad electrónica.

2. debilidades de las máquinas y tecnología.

3. Transmisión y registro de la información en medios magnéticos, óptico y otros.

4. almacenamiento en medios que deben acceder a través del computador mismo.

5. Centros externos de procesamiento de datos.

6. Dependencia externa.

REQUERIMIENTOS QUE DEBE TENER EL POSIBLE AUDITOR DE SISTEMAS

1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.

2. Entendimiento del efecto de los sistemas en la organización.

3. Entendimiento de los objetivos de la auditoría.

4. Conocimiento de los recursos de computación de la empresa.

5. Conocimiento de los proyectos de sistemas.

METODOLOGÍA DE UNA AUDITORIA DE SISTEMAS

Existen algunas metodologías de Auditorias de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

1. Estudio Preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de Políticas, reglamentos, entrevistas, con los principales funcionarios del PAD.

2. Revisión y Evaluación de Controles y Seguridades: Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

3. Examen detallado de áreas criticas: Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recursos recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

4. Comunicación de resultados: Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.

CONTENIDO QUE DEBE PRESENTAR EL INFORME DE AUDITORIA

1. Motivos de la Auditoria.

2. Objetivos

3. Alcance

4. Estructura Orgánico-Funcional del área Informática

5. Configuración del Hardware y Software instalado

6. Control Interno

7. Resultados de la Auditoría

8. Caso Práctico

TIPOS Y CLASES DE AUDITORÍA DE SISTEMAS.

1. Auditoria Informática de Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.

2. Auditoria Informática de Desarrollo de Proyectos o Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas.

3. Auditoria Informática de Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema.

4. Auditoria Informática de Comunicación y Redes: Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada.

5. Auditoria de la Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.

En el caso de la auditoria en informática, la planeación es fundamental, para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Consta de:

1.- Evaluación de los Sistemas

· Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).

· Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

· Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

· Seguridad física y lógica de los sistemas, su confidencialidad y respaldos

2.- Evaluación de los equipos

· Capacidades

· Utilización

· Nuevos Proyectos.

· Seguridad física y lógica.

Evaluación física y lógica