Integrantes:
Sánchez Patraca Rita Anaid
Oaxaca Arenas Leticia
Zepahua Ixmatlahua Irineo
Orozco Ortega Iván
3.1 Finalidad de la evaluación del hardware.
Su importancia se hace necesaria, de no
solo planear y ejecutar acciones o protocolos si no de efectuar procedimientos
de control que vallan encaminados a asegurar que las actividades han sido
ejecutadas de acuerdo a los parametros que se han establecido con anterioridad
en una auditoria.
Esta información debe de verificarse con
los responsables de la seguridad en informática, con los responsables del
centro de computo, de comunicaciones y usuarios que el auditor considere
pertinentes.
Si la empresa tiene
aspectos predefinidos para la evaluación del hardware, se tomarán en cuenta
esos lineamientos.
Su finalidad es buscar la evaluacion de la
seguridad en la operación del hardware donde se identifica las principales
vulneravilidades del hardware, las cuales son:
·
Inapropiada operación
·
Fallas de manteniento
·
Inadecuada seguridad fisica
·
Desastres naturales
Que busca evaluar
·
Distribución del hardware (ubicación
física).
·
Registro del hardware instalado, dado
de baja, proceso de adquisición, etc.
·
Uso del mismo: desarrollo, operación,
mantenimiento, monitoreo y toma de decisiones.
·
Acceso al hardware (llaves de
seguridad).
·
Bitácoras de uso (quién, cuando, para
qué, entre otros puntos).
3.2 Requerimientos para la
evaluación del hardware
Es
importante conocer el coste de los materiales (unidad centrar, periféricos,
soporte,…..) durante los últimos 5 años. También es necesario analizar la
utilización de cada elemento hardware de la configuración, cifrándola en
horas/mes, asegurando que la configuración utilizada se corresponde con el
menor valor utilización/coste, examinar la coherencia del mismo.
El equipo de
auditoría informática debe poseer una adecuada referencia del entorno en el que
va a desenvolverse.
Los
requerimientos son los siguientes:
Se determinara la ubicación geográfica.
Arquitectura y configuración del hardware.
Los auditores, en su evaluación inicial, deben tener en su poder la
distribución e interconexión de los equipos.
Inventario de hardware.
Comunicación y redes de comunicación
Recursos materiales de hardware.
Revisión del
hardware:
Listar todo el hardware.
Especificar su utilización.
Hacer estadísticas de uso y personas.
Sistemas claves.
Mapa de conexiones.
Prioridades.
Modificaciones (cada equipo debe tener una bitácora de su vida).
Probar el hardware: pruebas en paralelo y benchmarks.
Comprobar su vida real, etc.
Dentro de la
auditoria existen diversos cuestionamientos que se pueden ayudar en la
realización de la evaluación de la seguridad del hardware de la empresa.
Pasos para
una evaluación:
Revise y documente la configuración de hardware existente de cada
controlador de dominio que se tenga previsto.
Use esta información para identificar los controladores de dominio del
entorno que puede actualizar así como los controladores de dominio que no
reúnen los requisitos de hardware necesarios.
Los requisitos que no cumplan los requerimientos del hardware se deberá
revertir la implementación.
Cuestionario
de evaluación del hardware:
3.3
Auditoria Administrativa
Es el revisar y evaluar si los
métodos, sistemas y procedimientos que se siguen en todas las fases del proceso
administrativo aseguran el cumplimiento con políticas, planes, programas, leyes
y reglamentaciones que puedan tener un impacto significativo en operación de
los reportes y asegurar que la organización los esté cumpliendo y respetando.La
Auditoria Administrativa examen metódico y ordenado de los objetivos de una
empresa de su estructura orgánica y de la utilización del elemento humano a fin
de informar los hechos investigados.
Su importancia: proporciona a los
directivos de una organización un panorama sobre la forma como está siendo
administrada por los diferentes niveles jerárquicos y operativos, señalando
aciertos y desviaciones de aquellas áreas cuyos problemas administrativos
revelados exigen una mayor o pronta atención.
¿Cuál es la
importancia de la Auditoria Administrativa?
La evaluación del desempeño
organizacional es importante pues permite establecer en qué grado se han
alcanzado los objetivos, que casi siempre se identifican con los de la
dirección. Además de esto, también se valora la capacidad y lo apropiado a la
práctica administrativa. Es necesaria una evaluación integral, es decir, que
involucre los distintos procesos y propósitos que están presentes en la
organización. Debido a esto, cada auditoria administrativa deberá realizarse de
forma distinta dependiendo de la organización.
Objetivo de
una Auditoria: señalar las fallas y los problemas;
presentar sugerencias y soluciones; y apoyar a los miembros de la empresa en el
desempeño de sus actividades. Para ello la Auditoria les proporciona análisis,
evaluaciones, recomendaciones, asesoría e información concerniente a las
actividades revisadas.
Objetivos de la Auditoria Administrativa:
Control: Orientan los esfuerzos
en su aplicación y poder evaluar el comportamiento organizacional en relación
con estándares preestablecidos.
Productividad: Dirigen las
acciones para optimizar el beneficio de los recursos de acuerdo con la dinámica
administrativa establecida por la organización.
Organización: Determinan que su
curso apoye la definición de la competencia, funciones y procesos a través del
manejo efectivo de la delegación de autoridad y el trabajo en equipo.
Servicio: Representan la manera
en que se puede comprobar que la organización posee un proceso que la enlaza
cualitativamente y cuantitativa con las expectativas y satisfacción de sus
clientes.
Calidad: Orientan que tienda a
elevar los niveles de desempeño de la organización en todos sus contenidos y
ámbitos- con el fin de producir bienes y servicios altamente competitivos.
Cambio: Transforman en un
instrumento que hace más transparente y receptiva a la organización
(flexibilidad.)
Aprendizaje: Permiten que se
transforme en un mecanismo de aprendizaje institucional con el fin de que la
organización pueda asimilar sus experiencias y las capitalice para convertirlas
en oportunidades de mejora.
3.4
Auditoría de Instalaciones Existentes
En estos tiempos que corren no
sólo se trata de establecer unos estándares de calidad en la ejecución de una
instalación nueva, sino de garantizar que las instalaciones existentes siguen
siendo adecuadas al riesgo que protegen.
Para determinar las
características de una instalación ya montada, realizamos el proceso que
denominamos “Ingeniería Inversa”.
Inspección in situ de
Instalaciones: En esta fase se inspeccionan las características de la
instalación: dimensiones, componentes, calidades de elementos, coberturas… con
el fin de recabar toda la información que nos permita recalcular la
instalación.
Recalculo de la Instalación: Con
los datos recogidos, y las herramientas de cálculo más novedosas, determinamos
cuáles son los parámetros funcionales de la instalación. A continuación los
comparamos con los que serían requeridos por la Normativa vigente para el tipo
de riesgo que se está protegiendo.
Propuesta de Mejoras: Si
existieran desviaciones entre los parámetros calculados de la instalación, y los
que serían necesarios para la protección del riesgo, CEPRETEC realizaría una
propuesta de acciones correctoras. Las acciones correctoras se plantearían
desde la objetividad y el sentido común, y se presentarían por orden de
prioridad.
3.5 Operación y seguridad en auditoria del
hardware
Introducción
Podemos
definir la seguridad como aquella actividad encaminada a dar al procesamiento
de datos la protección razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es
fundamental pues hoy en día, el ámbito de sistemas constituye el punto donde se
concentra la mayor parte de la información de la empresa.
Es
evidente que la información utilizada por los entes en general ha variado en
las últimas décadas. Del mismo modo lo han hecho las necesidades de generación
de esa información y los medios de procesarlas. Aunque se observan ciertas
diferencias entre los sistemas computarizados y los convencionales puede
afirmarse que el procesamiento electrónico de datos no afecta a los objetivos
del control interno, la responsabilidad de la dirección y las limitaciones
inherentes al sistema de control interno, pero sí afecta el enfoque para la
evaluación del mismo y el tipo de evidencia de auditoría que se obtiene.
Seguridad de los sistemas
¿Por qué estudiarlo? Introducción y objetivo general
del tema
¿Para qué hacerlo? Objetivos
de los controles y medidas
¿Qué hacer? Descripción
de medidas y controles a aplicar
¿Cómo hacerlo? Descripción
de tareas a realizar (metodología)
Seguridad de los sistemas (tiempo real)
Diferencias relevantes con respecto a otros modos de
operación
Controles específicos de este tipo de modalidad.
El Objetivo es, entonces, la seguridad de esa
información, por lo que debemos implementar controles para disminuir o evitar
los riesgos. Dichos controles, determinarán el grado de confiabilidad de la
información suministrada.
Las organizaciones, sobre todo las pequeñas y medianas,
carecen de documentación, estándares para la elaboración, como así también de
controles internos.
No debería diferenciarse la estructura de controles
internos a evaluar de acuerdo al tamaño de la empresa. La diferencia radica en
la intensidad de algunos controles, en especial los de:
Ø
Separación de funciones
Ø
Archivos
Ø
Seguridad física
Seguridad de
sistemas con procesamiento en tiempo real
Los controles vistos anteriormente, deben aplicarse también en procesos
en tiempo real, pero además deben agregarse otros que son propios de este tipo
de procesamiento.
Problemas que pueden presentarse en procesamiento en
tiempo real
·
En cuanto al proceso
|
Se
puede encarecer una aplicación, por no precisar ésta necesariamente de
actualización en tiempo real (Sueldos)
|
·
En cuanto al manejo administrativo
|
Es
más difícil detectar errores, ya que la actualización modifica el archivo en
el momento
|
·
En cuanto al uso
|
Desarrollo
e implantación son más costosos
Es
más difícil implementar control interno, pues se minimiza la documentación
del procesamiento, entrada
Relación
directa entre el usuario y el equipo
|
Medidas de seguridad que demanda el proceso en tiempo real
Técnicas
de control físico
|
·
Dispositivos de protección para
terminales (cerraduras, lectoras)
·
Ubicación de terminales en áreas
supervisadas
·
Desconexión de terminales en
determinado horario
·
Acceso a archivos en determinado
horario
·
Desconexión automática de terminales
no usadas
|
|
Técnicas
de control lógico
|
·
Contraseñas para el acceso
·
No-display de contraseñas
·
Establecer parámetros de niveles de
autorización
·
Desconexión automática de terminales
ante “X” intentos infructuosos de acceso
|
|
Técnicas
de control de telecomunicaciones
|
·
Transmisiones cifradas o codificadas
·
Usar detectores de intercepción de
información
·
Distribución y control de número
telefónico para estaciones de llamada
|
|
Control
y validación de la entrada
|
·
Instrucciones escritas para guiar a
operadores
·
Validación de la entrada (pruebas
programadas)
·
El operador debe revisar los datos
ingresados
·
Se concilian totales de control
(manuales vs computador)
·
Marcas de tiempo y fecha de entrada
de la transacción
|
|
Controles
de archivo
|
Mantenimiento
|
§ Quien
ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos
§ Controlar
el acceso para mantenimiento
§ Informe
del “era y es”
sobre los archivos maestros
|
Integridad
|
§ Informe
de “era y es” revisado por personal apropiado
§ Balanceo
de conteo de registros y totales de control
|
|
Controles
de
Procesamiento
|
Control
del balanceo de las transacciones
|
-
conteo de registros, totales de
control
-
informe de datos que no balancean
-
esos errores deben corregirse antes
de reprocesar
|
Aptitud de procesamiento
|
-
familiarización del operador con los
procedimientos del sistema
-
familiarización del operador con los
procedimientos alternativos
-
registro de fecha y hora en las
transacciones
|
|
Controles
de la Salida
|
Pruebas
de resultado de procesos
|
¢ comprobaciones
de razonabilidad de resultados(por programa)
¢ utilizar
informes de gerencia para detectar errores importantes
¢ identificar
e informar desbordamientos de capacidad
|
Prueba
de salida
|
¢ informes
diseñados para evitar errores de interpretación
|
·
EN LA OPERACIÓN (pruebas concurrentes)
En el sistema real se ingresan transacciones
reales y transacciones simuladas. La técnica se denomina ITF (integrated test facilities o mini compañía).
Se generan registros especiales de auditoría
dentro de los registros principales del procesamiento (debiendo estar
debidamente identificados).
La técnica sólo es aplicable en organizaciones
que cuentan con organismos de superintendencia que lo permiten, de otro modo
podría ser considerada como fraude).
Requiere baja pericia técnica y le aporta al
auditor el factor sorpresa pero puede tener inconvenientes en su implementación
o en su control si las transacciones simuladas no son debidamente identificadas
SEGURIDAD FÍSICA Y LÓGICA
La seguridad física y la seguridad lógica se
relacionan con medidas preventivas de impactos en la organización. La
información debe ser clasificada de acuerdo a sus principales características y
se debe plantear el impacto de distintos acontecimientos (en lo posible de
forma cuantitativa). Adicionalmente se debe plantear la probabilidad de
ocurrencia de cada hecho fortuito a los efectos de tratar de minimizar todos
los riesgos.
Seguridad física – RIESGOS
·
Propios de la zona geográfica: incendios,
inundaciones, tormentas, epidemias, terremotos
·
Propios de la vecindad: pueden ser permanentes (por
ej. que la organización se encuentre lindando a una estación de servicio) o
transitorios (por ej. que existan obras en la cercanía de la organización)
·
Propios del ente: son los riesgos del edificio, como
los materiales con los que está construido, la disposición física del
equipamiento eléctrico, la insonorización, etc.
Seguridad lógica
Los datos pueden sufrir consultas y
modificaciones no autorizadas, además de destrucciones.
Por ello se deben implementar medidas de
seguridad lógica que hacen a la:
·
Identificación: de la persona que quiere acceder a
esos datos
·
Autenticación: de esa persona. Se debe certificar
que quien se identifica es quien dice ser (“algo que uno sabe, algo que uno
tiene, algo que uno es”). Si se utilizan claves las mismas deben ser únicas,
fáciles de memorizar, expirables luego de un lapso determinado y deben aceptar
una cantidad mínima de intentos fallidos. Es recomendable contar con un sector
que se encargue de la administración de todas las claves.
·
Autorización: se deben limitar las autorizaciones en
el uso de los recursos del SI (tanto de los datos como de las funciones que
puedan realizarse con esos datos)
·
Documentación: se deben llevar registros de todos
los acontecimientos para tareas de vigilancia y seguimiento estadístico.
PLAN DE CONTINGENCIA
La organización debe estar preparada para la
ocurrencia de hechos accidentales, desastres naturales o actos intencionales
que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB (continuity of business). Las principales causas
de la falta de prevención son:
·
“No nos puede pasar a nosotros”
·
Apatía en los cargos jerárquicos
·
Desconocimiento de cómo preparar un plan
·
Difícil cuantificación de beneficios
Se deben analizar todos los riesgos, establecer
los recursos críticos, elaborar un proyecto, desarrollar el plan y realizar las
pruebas pertinentes
Fase de emergencia: si se produce algún hecho grave, se debe
establecer el ambiente de reconstrucción y recuperación y minimizar los daños
ocurridos (las medidas de prevención serán fundamentales para evitar daños
graves).
Fase de enlace: se deben brindar alternativas de procesamiento
para mantener la capacidad operativa y se deben facilitar las tareas de
recuperación del ambiente.
Fase de back-up: es necesario continuar operando con el
procesamiento alternativo proveyendo los sets de copias de resguardo necesarios
para ello.
Fase de recupero: se debe restaurar totalmente el SI a su normal
funcionamiento, discontinuando la operación con el procesamiento alternativo y
convirtiendo las operaciones y archivos del modo de enlace al modo normal
3.6 Personal responsable del área
La finalidad principal del auditor es evaluar y dar
seguimiento oportuno al conjunto de proyectos de auditoría en informática que
serán ejecutados en un plazo determinado con el fin de apoyar las estrategias
del negocio, considerando los diversos factores internos y externos que se
relacionan con la organización.
Cada uno de estos proyectos deberá estar enmarcado
en los límites definidos para la función, esto es, debe enfocarse al control,
seguridad y auditoría de los diferentes elementos que mantengan contacto
directo o indirecto con la tecnología informática.
Los auditores en informática dirigirán la
participación directa y entusiasta del personal de informática y de los
usuarios involucrados durante la auditoría.
El responsable de la función de auditoría en
informática (externo o interno) que revise las diferentes áreas de informática se debe coordinar con el
responsable de la auditoría tradicional, la alta dirección y con el responsable
de informática mediante reuniones formales y periódicas con objeto de lograr
objetivos comunes para el bien del negocio.
Funciones mínimas
a) Evaluación y verificación de los controles y
procedimientos relacionados con la función de informática dentro de la
organización.
b) La
validación de los controles y procedimientos utilizados para el aseguramiento
estable del uso eficiente de los recursos de informática dentro de la
organización.
c) Evaluación, verificación e implantación oportuna
de los controles y procedimientos que se requieren para el aseguramiento del
buen uso y aprovechamiento de la función de informática.
d) Aseguramiento
permanente de la existencia y cumplimiento de los controles y procedimientos
que regulan las actividades y utilización de los recursos de informática de
acuerdo con las políticas de la organización.
e) Desarrollar la auditoría en informática conforme
normas y políticas estandarizadas a nivel nacional e internacional.
f) Evaluar
las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del
negocio.
g) Elaborar un plan de auditoría en informática en
los plazos determinados por el responsable de la función
h) Obtener la aprobación formal de los proyectos
del plan y difundirlos entre los involucrados con el mismo.
i)
Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de auditoría en informática.
Administración de
la función de auditoría en informática
Una vez formalizada la función en cualquiera de las
situaciones organizacionales señaladas, se define un mecanismo de
administración y control de la función.
Dicho mecanismo garantizará que los recursos y
proyectos involucrados en el proceso de desempeño y gestión de la auditoría en
informática obedezcan los principios básicos de un proceso administrativo.
Entre otros, los elementos más importantes e indispensables son la planeación,
personal, control y seguimiento del desempeño.
Objetivos principales de la administración de la
auditoría en informática, una vez que inicie el desempeño de sus funciones que
la conviertan en una área eficiente y de valor agregado.
Asegurar que la función de auditoría cubra y
proteja los mayores riesgos y exposiciones existentes en el medio informático
en el negocio.
Asegurar que los recursos de informática (hardware,
software, telecomunicaciones, servicios, personal, etc.) se orienten al logro
de los objetivos y las estrategias de las organizaciones.
Asegurar la formulación, elaboración y difusión
formal de las políticas, controles y procedimientos inherentes a la auditoría
en informática que garanticen el uso y aprovechamiento óptimo y eficiente de
cada uno de los recursos de informática en el negocio.
Asegurar el cumplimiento formal de las políticas,
controles y procedimientos definidos en cada proyecto de auditoría en
informática mediante un seguimiento oportuno.
Asegurar que se den los resultados esperados por el
negocio mediante la coordinación y apoyo recíproco con:
-
Auditoría - Asesores
externos
-
Informática -Alta
dirección.
Con el fin de que los objetivos y metas de la
función de auditoría en informática se
llevan a cabo con éxito, es necesario considerar lo siguiente:
Elaborar y formalizar los planes de auditoría en
informática.
Administrar la función de manera eficiente.
Dirigir y controlar los proyectos de auditoría en
informática con oportunidad.
Revisar y evaluar de manera periódica el desempeño
de los auditores en informática.
Evaluar el desempeño de la función informática.
Alinear los productos con auditoría financiera,
operativa, administrativa.
Coordinar esfuerzos con usuarios y personal de
informática.
3.7
Determinar el nivel de aplicación de alguna de las normas consideradas para la
auditoría del hardware.
En una auditoría financiera basada en el análisis de los
riesgos, el estudio y revisión de los sistemas de información en los que se
sustenta la gestión de una entidad (empresa o fundación pública, ayuntamiento,
administración de la comunidad autónoma, etc.) se ha convertido en una
actividad de importancia creciente, en la medida en que esa gestión se basa
fundamentalmente en unos sistemas de información que, en general, han ido
adquiriendo una complejidad cada vez mayor, lo que ha generado una serie de
nuevos riesgos de auditoría (inherentes y de control) que deben ser
considerados en la estrategia de auditoría.
·
Nivel de la entidad
Los controles a este nivel se reflejan en la forma de
funcionar de una organización, e incluyen políticas, procedimientos y otras
prácticas de alto nivel que marcan las pautas de la organización. Son un
componente fundamental del modelo COSO y deben tener en cuenta las operaciones TI que respaldan la información
financiera.
El ambiente o entorno de control y el compromiso con
comportamientos éticos es una “filosofía” de trabajo que debe emanar de arriba
hacia abajo, desde los altos puestos directivos hacia el resto de la
organización. Es esencial que el tono adecuado de control sea marcado por los
máximos responsables de la entidad, que se envíe un mensaje a toda la
organización de que los controles deben ser tomados en serio.
Los controles a nivel de entidad tienen influencia
significativa sobre el rigor con el que el sistema de control interno es
diseñado y opera en el conjunto de los procesos. La existencia de unos CGTI
rigurosos a este nivel, como son, por ejemplo, unas políticas y procedimientos
bien definidos y comunicados, con frecuencia sugieren un entorno operativo TI
más fiable.
En sentido contrario, las organizaciones con unos
controles débiles a este nivel es más probable que tengan dificultades a la
hora de realizar actividades de control regularmente. Por consiguiente, la
fortaleza o debilidad de los controles a nivel de entidad tendrá su efecto en
la naturaleza, extensión y momento en que se realicen las pruebas de auditoría.
·
Nivel de los sistemas TI
Los servicios de tecnología de la información constituyen
la base de las operaciones y son prestados a través de toda la organización.
Normalmente incluyen la gestión de redes, la gestión de bases de datos, la
gestión de sistemas operativos, la gestión de almacenamiento, la gestión de las
instalaciones y sus servicios y la administración de seguridad. Todo ello está
gestionado generalmente por un departamento TI centralizado.
Los controles en el nivel de los sistemas TI están
formados por los procesos que gestionan los recursos específicos del sistema TI
relacionados con su soporte general o con las aplicaciones principales; son más
específicos que los establecidos al nivel de entidad y normalmente están
relacionados con un tipo determinado de tecnología.
·
Nivel de procesos/aplicaciones de gestión
Los procesos de gestión (o procesos de negocio) son los
mecanismos que emplea una entidad para desarrollar su misión y prestar un
servicio a sus destinatarios o usuarios.
Los inputs, el procesamiento y los outputs son aspectos
de los procesos de gestión, que cada vez están más automatizados e integrados
en complejos sistemas informáticos.
Si el auditor llega a una conclusión favorable sobre los
CGTI al nivel de la entidad y de los sistemas TI, se deberá evaluar y comprobar
la eficacia de los CGTI en aquellas aplicaciones significativas que van a ser
revisadas, antes de revisar sus controles de aplicación.
Categorías de controles
|
Subcategorías y controles principales
|
A. Marco organizativo
|
Organización y
personal de TI
Independencia del departamento TI
Segregación de funciones en el departamento de TI
Procedimientos del departamento de sistemas
Planificación,
políticas y procedimientos
Plan estratégico de sistemas
Procedimientos de gestión de riesgos
Políticas y normas de gestión de la seguridad de la información
Planes de formación y concienciación en seguridad TI
|
Cumplimiento
regulatorio
LOPD
Esquema Nacional de Seguridad
Control licenciamiento software
|
|
B.Gestión de cambios en aplicaciones y sistemas
|
Adquisición de
aplicaciones y sistemas
|
Desarrollo
interno de aplicaciones
Existencia de una metodología de desarrollo de aplicaciones
Participación de los usuarios en el diseño de la aplicaciones
Documentación
Planes de pruebas con usuarios y aprobación antes del pase a
explotación
|
|
Gestión de
cambios
Documentación de la petición y necesidad del cambio
|
|
C.Operaciones de los sistemas de información
|
Operaciones TI
Inventario de hardware y software
Procedimientos de control de la actividad
Gestión de incidencias
Antivirus
|
Seguridad física
Controles de acceso físico a la entidad
Controles de acceso físico al CPD
|
|
Servicios
externos
|
|
D.Controles de acceso a datos y programas
|
Protección de
las redes y comunicaciones
|
Procedimientos
de gestión de usuarios
|
|
Mecanismos de
identificación y autenticación
|
|
Gestión de
derechos de acceso
|
|
E.Continuidad del servicio
|
Copias de
seguridad
Procedimientos de copias de seguridad
Copias externalizadas
|
Planes de
continuidad
Plan de recuperación de desastres
Plan de continuidad de la actividad
Pruebas periódicas
Centros alternativos de procesamiento
|
Bibliografías
http://ing-informatica.esy.es/uncategorized/unidad-3/