La gestión de redes

• P. ¿Existe una célula técnica de gestión de redes?

En los entornos «gran sistema», la aplicación de una red necesita la elec- ción de programas coherentes los unos con los otros, para luego proceder a su implantación y su «parametraje».

La elección de las redes (TRANSPAC, TRANSCOM, TRANSFIX, etc.) necesita estudios técnicos y económicos.

Por lo general, esta función es atribuida a una célula técnica agregada al equipo de sistema.

Además de la existencia misma del equipo de red, el auditor controlará su actividad:

— justificación técnica y económica de las elecciones, — comprobación de las nuevas configuraciones, — back-up entre los ingenieros de sistemas, etc.

• P. ¿Existe una célula de asistencia de red?

Contrariamente a la célula técnica precedente, ésta tiene esencialmente un papel de asistencia a los usuarios:

— instalación de nuevos puestos de trabajo,

— primeros auxilios por teléfono en caso de problema,

— mantenimiento, si éste no está confiado a empresas especializadas, — gestión de algunas mesas.

En verdad se trata de una función de tipo «SVP», que debe estar disponi- ble a toda hora para dar respuesta a las necesidades de los usuarios.

• P. ¿Están controlados los accesos a la red?

La existencia de una red implica riesgos adicionales de acceso no autori- zado, por diferentes razones:

— El número de terminales conectados al ordenador central aumenta cons- tantemente y éstos pueden encontrarse en posiciones geográficas muy alejadas.

— Si bien en la mayoría de las aplicaciones la lista de terminales física- mente autorizados a estar conectados al sistema central se establece de forma limitativa, es cada vez más frecuente que por razones de flexibili- dad de utilización los terminales no identificados físicamente sean auto- rizados a acceder a la red: esto se da, sobre todo, cuando se aplican los procedimientos de mantenimiento a distancia.

— La gestión de redes combina, la mayoría de las veces, la utilización de lí- neas privadas (líneas alquiladas) y de redes públicas (red telefónica con- mutada, TRANSPAC), donde los datos que circulan se mezclan con los de las demás empresas.

— Por último, algunas aplicaciones informáticas están destinadas, por natu- raleza, a un acceso público: consulta de cuentas por la clientela en los es- tablecimientos financieros, consulta de existencias y registro de los pedi- dos en las empresas industriales o comerciales.

Los diferentes métodos de control de acceso serán estudiados en el capí- tulo 6.

• P. ¿Se han previsto técnicas de salvaguarda y recuperación

especiales para la utilización de la aplicación en procesamiento a distancia?

Las técnicas de salvaguarda diaria de los ficheros (por lo general, durante

el proceso nocturno) se encuentran con una gran limitación en el caso de las aplicaciones interactivas: la actualización permanente de los ficheros o una copia de seguridad en la víspera o durante la noche, implica introducir otra vez todos los movimientos del día, en el caso de un incidente y de necesidad de recuperar a partir de la copia de seguridad.

Además, esta molestia es aceptable en algunos casos a condición de que, por lo menos, los usuarios obren en consecuencia. En el caso contrario, se deben aplicar técnicas específicas.

La más frecuente y la más vieja consiste en el registro periódico (log-

ging) de las transacciones. Cada puesta al día de ficheros da lugar a la crea-

ción de movimientos en un fichero-diario, descargado regularmente en cinta o cartucho. En caso de fallo, la nueva aplicación de los movimientos del día en la copia de seguridad en la víspera o por la noche permitirá reconstruir la situación de los ficheros en el momento del incidente.

Más exactamente, el contenido del fichero diario podrá variar de un en- torno al otro. En algunos casos, contendrá las propias transacciones de ac- tualización, en otros contendrá la imagen de los registros de fichero modifi- cados antes y después de la puesta al día.

Una técnica más reciente consiste en crear para los ficheros puestos al día en tiempo real ficheros «imagen» en un disco distinto de aquel que contiene los ficheros originales, y puesto al día al mismo tiempo que éstos. De este modo, en caso de fallo en el disco que contenga el fichero original, será posi- ble proseguir la aplicación, casi de inmediato, partiendo del disco imagen.

El principal inconveniente de estas técnicas de registro periódico y disco «imagen», que explica además que no sean utilizadas en ciertos emplaza- mientos (esencialmente las PYME), reside en el coste. La creación del fi- chero diario multiplica las operaciones de entradas-salidas («I/O») y re- quiere también configuraciones de equipamiento más importantes. La técnica de los ficheros «imagen» es aún más onerosa, debido a que necesita una duplicación de los volúmenes en disco, que hacen los soportes magnéti- cos costosos.

Veremos, por último, que la técnica del registro periódico se podría ex- tender en los próximos años a los procesos en tiempo diferido. Esto ya ocu- rre con el SGBD relacional DB2 de IBM, que permite periodificar las modi- ficaciones de la base, salidas, a la vez, de los procesos en tiempo real y en tiempo diferido.

• P. Si las aplicaciones lo necesitaran, ¿se han previsto

procedimientos de «back-up» de la red?

En el capítulo anterior, hemos enfocado esencialmente los procesos de recuperación a consecuencia de una indisponibilidad de la unidad central.

Pero existe otro riesgo propio de las redes, que es: la indisponibilidad de un soporte de transmisión de datos. Es el caso bien conocido, por ejemplo, de la línea alquilada no disponible durante algunos días debido a que se encuentra físicamente estropeada.1

Cuando la importancia del software lo justifica, conviene por tanto prever los procedimientos con el fin de paliar estos fallos. Citemos, por ejemplo: — Duplicación de una línea especializada por medio de un abono a TRANS-

PAC, preparada para tomar inmediatamente el relevo en la transferencia de datos.

— El desarrollo de software que permita el procesamiento en el local y en modo degradado de algunas aplicaciones, en el caso de imposibilidad total de asegurar la conexión entre los usuarios y el emplazamiento central.

— La utilización de conexiones TRANSFIX, que permiten sus propias so- luciones de urgencia.

5.3 LA MICROINFORMATICA

• P. ¿Están coordinadas la adquisición y la utilización de

microordenadores ?

Las propuestas de los auditores no deben acabar en una centralización abusiva de la política microinformática, que sería mal entendida y marcharía en sentido contrario a la historia.

Una política de elección y de compra descentralizada en los servicios es aceptable a condición de ser eficazmente enmarcada.

Por tanto, el auditor se asegurará de que estén coordinadas al nivel de la Dirección informática:

— La elección de los equipos «aceptados» en la empresa, con vistas a ofre- cer una diversidad de material suficientemente difundida.

— La elección de las aplicaciones de ofimática «aceptadas»: proceso de texto, hojas de cálculo, software gráfico, software integrado, gestores de ficheros, etc.

— La elección de proveedores y la negociación de las condiciones comer- ciales.

1. Nos acordaremos igualmente de la parada durante varios días del «nudo» TRANSPAC de Lyon, en los primeros años de funcionamiento de esta red.

— Las modalidades del mantenimiento de los equipos y de los programas. — La definición de la política en materia de infocentro, y las modalidades

de transferencia de datos entre unidad central y microordenadores. Es evidente que la falta total de coordinación, que encontramos en algu- nas empresas, no debe darse en ningún caso ya que la misma conduce de forma rápida a una situación completamente anárquica. Esta falta de coordi- nación es, por lo general, el resultado de un abandono de la Dirección Infor- mática ante las fuertes presiones "autonomistas" de los servicios en materia de ofimática. Además, a menudo, son también la consecuencia de las fuertes reticencias que se manifestaban en este ámbito en el seno de los servicios in- formáticos hace algunos años.

• P. ¿Se pone cuidado para que la microinformática no se

transforme en el soporte de un desarrollo anárquico de aplicaciones autónomas y heterogéneas?

Si bien la microinformática actualmente es un soporte fiable y eficaz para procesar el conjunto de las necesidades de la empresa en materia de ofi- mática, su utilización en calidad de soporte del desarrollo de aplicaciones de gestión, cuando no está sistemáticamente prohibida, debe, por lo menos, ser estudiada cuidadosamente.

Cantidad de programas de gestión presupuestaria, de gestión del in- movilizado, de gestión de existencias, de contabilidad general, desarrolla- dos por principiantes con simples hojas de cálculo o gestores de ficheros, son verdaderos peligros para el director de empresa. Redactados en pocos días, puestos en explotación sin verdaderas comprobaciones, estos pro- gramas raramente ofrecen los controles suficientes en el momento de la entrada de los datos (que, además, a menudo debe ser realizada doble- mente, teniendo en cuenta la falta de coordinación con los desarrollos en gran sistema).

En cambio, bien controlados, los desarrollos en microordenadores, even- tualmente completados por intercambios de datos con los grandes sistemas, constituyen un medio valioso para dar satisfacción a los usuarios, descar- gando los servicios informáticos atascados.

En definitiva, el auditor comprobará:

— que la utilización de la microinformática con la finalidad de desarrollo de aplicaciones sea conocida por el servicio informático y controlada por éste (los programas serán, si es posible, desarrollados por el servicio in- formático);

— que las aplicaciones desarrolladas en estas condiciones estén documen- tadas correctamente y presenten las mismas garantías en materia de se- guridad que las aplicaciones desarrolladas en gran sistema:

• control de datos introducidos,

• procedimientos de copia de seguridad y de recuperación, • control de entrada,

• etcétera.

• P. ¿Está controlado el acceso a las aplicaciones o a los datos

sensibles gestionados por microordenador?

Las técnicas habituales de protección de acceso a los ficheros, a las bi- bliotecas de programas y a las aplicaciones pueden llegar a ser aplicadas en un entorno microinformático.

Conviene, no obstante, reconocer que éstas están todavía demasiado poco difundidas incluso cuando se procesan aplicaciones «sensibles» en mi- croordenadores.

¿Cuál es la proporción de puestos de trabajo en los cuales las posibilida- des de control de acceso por contraseña han sido efectivamente utilizadas? Si bien hace algunos años los microordenadores eran particularmente per- meables, la negligencia es aún más palpable cuando, algunos de ellos ofre- cen actualmente posibilidades de control de acceso análogas a las de los grandes sistemas.

Además, y excepto cuando los microordenadores están conectados en re- des, las mejores protecciones son en la actualidad las protecciones físicas ta- les como el bloqueo por medio de llave o tarjeta magnética, o simplemente cierre a llave de los despachos y armarios.

• P. ¿Se toman las medidas específicas para limitar los riesgos de

robo de los microordenadores?

En las grandes empresas, los riesgos de robo de equipos deben estar siempre presentes. Este riesgo es tanto más importante que el propio micro- ordenador. Algunos componentes anexos son susceptibles de ser robados, tales como: el software, varias tarjetas de extensión, etc.

Entre las medidas preventivas, podemos citar: — El control de las entradas y salidas de la empresa.

— La identificación precisa de las inmovilizaciones y del inventario físico regular del conjunto del parque.

• P. ¿La empresa no incurre en ninguna sanción penal por la

implantación de programas sin licencia de utilización?

Muchas grandes empresas han tenido, hasta nuestros días, una actitud poco ejemplar en este campo ya sea por una política deliberada o bien por falta de control. El caso de la encuesta realizada en los locales del INPI2 _en noviembre de 1990, que ha puesto en evidencia la implantación en algunos micros de este organismo de software «desprecintado», mas allá de la anéc- dota, es del todo significativo.

Ahora bien, el no respeto a la reglamentación implica para la empresa: — Un riesgo de sanciones penales, previstas en la ley del 3 de julio de 1985

relativa a la propiedad intelectual y artística (ver recuadro).

— Un riesgo de deterioro del parque existente, en caso de la presencia de «virus» en el software utilizado sin licencia.

Los controles por sondeo de la ausencia de software ilícito en los micro- ordenadores deben estar previstos.

Ley del 3 de julio de 1985 relativa a la protección intelectual y artística (Francia)

Esta ley extiende a los autores de software las disposiciones de la ley del 11 de marzo de 1957 relativa a la propiedad literaria y artística. Encontraremos a continuación las disposiciones del título V, relativas al software.

Título V

De los programas informáticos

«Art. 45 - Salvo cuando se estipule lo contrario, el software creado por uno o varios empleados en el ejercicio de sus funciones pertenece al empleador al cual se asignan todos los derechos reconocidos a los autores.

Todo contencioso sobre la aplicación del presente artículo está sometido al tribunal supremo del lugar de residencia del empleador.

Las disposiciones del primer párrafo del presente artículo son igualmente aplicables a los agentes del estado, de las colectividades públicas y de los esta- blecimientos públicos de carácter administrativo.

Art. 46 - Salvo cuando se estipule lo contrario, el autor no puede oponer- se a la adaptación del software dentro de los límites de los derechos que ha ce- dido, ni tampoco de ejercer su derecho de arrepentimiento o de retractarse.

Art. 47 - Por derogación del 2B _{del artículo 41 de la ley nº 57-298 del 11 de}

marzo de 1957 anteriormente citada, toda reproducción aparte del estableci- 2. Instituto Nacional de la Propiedad Industrial.

miento de una copia de seguridad por parte del usuario y toda utilización de un software no autorizado expresamente por el autor o sus derecho habientes, está sujeto a las sanciones previstas por la mencionada ley.

Art. 48 - Los derechos objeto del presente título se extinguen al venci- miento de un período de veinticinco años contados a partir de la fecha de la creación del software.

Art. 49 - El precio de cesión de los derechos de utilización de un software puede ser global.

Art. 50 - En materia de software, el registro falsificado se ejecuta en vir- tud a una ordenanza surgida por requerimiento del presidente del tribunal su- premo. El presidente autoriza, si fuere el caso, el embargo real.

El funcionario instrumental o el comisario de policía puede ser asistido por un experto designado por el demandante.

A falta de designación o de citación en la quincena del embargo, el embar- go incorrecto es nulo.

Además, los comisarios de policía tienen la obligación de presentar, si fue- re pedido por cualquier autor de un software protegido por la presente ley o por sus derechohabientes, un registro descriptivo del software falsificado, re- gistro descriptivo que puede ser materializado por medio de una copia.

Art. 51 - Bajo reserva de convenciones internacionales, los extranjeros gozan en Francia de los derechos reconocidos en el presente título, con la con- dición que la ley del Estado del cual son ciudadanos o en el territorio en el cual tienen su domicilio, su sede social o un establecimiento efectivo otorgue pro- tección a los programas creados por los nacionales franceses y por las perso- nas que tengan su domicilio o un establecimiento efectivo en Francia.»

* * *

Cabe destacar que la falsificación puede estar penada por una prisión de tres meses a dos años y/o una multa de 6.000 a 120.000 F.

Pero aquí también, el número de registros fraudulentos es irrisorio en comparación con el número de copias ilícitas de programas en circulación, in- cluso en las empresas más grandes.

A continuación en el siguiente recuadro aparece un extracto de la legisla- ción vigente actual en España sobre derechos de autor en los programas.

Ley de propiedad intelectual. Normas Reguladoras (España) LEY 22/1987 de 11 de noviembre

Entre sus disposiciones reguladoras para la protección de los derechos de propiedad intelectual, esta Ley recoge también, en su Título VII, la protección de los derechos de autor derivados de la creación de los programas de orde- nador.

TÍTULO VII. De los programas de ordenador

Artículo 95

El derecho de autor sobre los programas de ordenador se regirá por los preceptos del presente título y, en lo que no esté específicamente previsto en el mismo, por las disposiciones que resulten aplicables de la presente Ley. Artículo 96

1. A los efectos de la presente Ley se entenderá por programa de ordenador toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una fun- ción o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación.

2. La documentación técnica y los manuales de uso de un programa gozarán de la misma protección que este título dispensa a los programas de ordenador. 3. Los programas de ordenador que formen parte de una patente o un mode-

lo de utilidad gozarán, sin perjuicio de lo dispuesto en la presente Ley, de la protección que pudiera corresponderles por aplicación del régimen jurí- dico de la propiedad industrial.

4. La protección establecida en la presente Ley se extiende a cualesquiera versiones sucesivas del programa, así como a los programas derivados. Artículo 97

La duración de los derechos de explotación de un programa será de cin- cuenta años, contados desde el 1 de enero del año siguiente al de su publica- ción, o al de su creación si no se hubiera publicado.

Artículo 98

El autor, salvo pacto en contrario, no podrá oponerse a que el cesionario titular de derechos de explotación realice o autorice la realización de versio- nes sucesivas de su programa ni de programas derivados del mismo.

Artículo 99

1. Se entiende por cesión del derecho de uso aquel acto en virtud del cual el ti- tular del derecho de explotación de un programa de ordenador autoriza a otro a utilizar el programa, conservando el cedente la propiedad del mismo. Se entenderá, salvo prueba en contrario, que la cesión del derecho de uso es de carácter no exclusivo e intransferible, presumiéndose asimismo que lo es para satisfacer únicamente las necesidades del usuario.

2. La reproducción del programa, incluso para uso personal, exigirá la auto- rización del titular del derecho de explotación, con excepción de la copia de seguridad.

3. No constituye reproducción, a los efectos previstos en el artículo 18 de es- ta Ley, la introducción del programa en memoria interna a los solos efectos de su utilización por el usuario, sin perjuicio de su necesaria comunicación al titular del derecho de explotación cuando así se hubiere pactado. 4. No constituye transformación, a los efectos previstos en el artículo 21, la

adaptación de un programa realizada por el usuario para la utilización ex- clusiva por el mismo.

Artículo 100

Los derechos sobre los programas de ordenador, así como sobre sus suce- sivas versiones y los programas derivados, podrán ser objeto de inscripción en el Registro de la Propiedad Intelectual.

Reglamentariamente se determinarán aquellos elementos de los progra- mas registrados que serán susceptibles de consulta pública.

• P. ¿Se ejecutan regularmente programas de detección de virus en

los microordenadores?

Estos programas son susceptibles de detectar la presencia de virus en los microordenadores, permitiendo de este modo desactivarlos antes que éstos hayan tenido tiempo de causar daños.

5.4 LOS MÉTODOS

• P. ¿Hay en la empresa una función de responsable de

In document Técnicas de la auditoría informática.pdf (página 104-118)