• Author / Uploaded
• Fernando Guerrero

Citation preview

UNIVERSIDAD TECNOLÓGICA INDOAMÉRICA

CARRERA CONTABILIDAD Y AUDITORÍA AUDITORÍA INFORMÁTICA II

ACTIVIDAD 4.2.2

EJEMPLO DE UN INFORME DE AUDITORÍA INFORMÁTICA (CORTO)

Fernando Manuel Guerrero 9no Nivel Unidad de Apoyo Quito Período Abril – Septiembre 2015

INFORME FINAL DE AUDITORÍA DE SISTEMAS DE LA EMPRESA EXTREX LIMITADA TALLERES REALIZADOS PARA COMPLEMENTAR INFORME FINAL ANEXO Diagnóstico de la situación actual Presentación de la empresa EXTREX LIMITADA ROL BÁSICO Se dedica principalmente a la distribución de los productos. NATURALEZA Comercialización. UBICACIÓN La empresa EXTREX LIMITADA se encuentra ubicada en Melgar del departamento de Cundinamarca en la carrera 22Nº4-93 ANTECEDENTES Los comerciantes ANA SOFIA VARGAS MARTINEZ Y HECTOR CORTEZ conocedores del problema existente del pueblo Melgar / Cundinamarca por cuanto en esto no existía un establecimiento de comercio que vendiera los productos relacionados con la construcción, de ahí nace la idea de crear un establecimiento de comercio llamado FERRON Melgar, su objeto social es promocionar y vender productos como : PVC, cemento, hierro entre otros; para ello se compró un lote de terreno ubicado en la carrera 22Nº4-93 en la cual se construyó una bodega y oficinas con un área aproximadamente de 250 metros cuadrados y una camioneta para su distribución. Para desarrollar el objeto social nos constituimos como empresa con la inscripción de la Cámara de Comercio solicitando el Rut ante la administración de impuestos nacionales y la inscripción en valorización del municipio como comerciante, paso siguiente fue seleccionar los proveedores para eso se contó con la experiencia del vendedor externo en cuanto él ya había trabajado en esta área y esta se abre al público el 2 de junio de 1992. A raíz de algunos inconvenientes de tipo económico originados por mal manejo de cartera y el cierre de la vía principal vía alameda, este negocio se vio abocado a problemas de embargo financieros y de problemas de impuestos lo que hizo que el primero de julio del año 2010 previa a una transacción de venta del establecimiento de comercio y sus inventarios... Esto dio origen a una nueva empresa llamada EXTREX LIMITADA, es el nombre comercial el cual fue registrada en la cámara de comercio, el RUT y por último en la inscripción de planeación para lo cual se hizo una inyección de capital por más de 40 millones de pesos lo que ha permitido volver a llegar a la comunidad con buenos servicios y materiales. MISIÓN Abastecer y satisfacer las necesidades en cuanto a la construcción de vivienda que requieren los habitantes del pueblo brindándoles una calidad en atención y servicios, ofreciéndoles infinitas variedades de productos, además de brindar orientación y consejería en el manejo y uso de nuestros productos en venta y atención al público.

VISIÓN Suministrar el máximo de elementos y productos que la gente solicite con el fin de brindarle comodidad al cliente para que no se vea forzado al desplazamiento a otro pueblo y así hacer que el cliente se sienta cómodo y satisfecho OBJETIVOS • • •

Satisfacer las necesidades del cliente. Ofrecer productos de excelente calidad. Vender al por mayor y vender al detal

ORGANIGRAMA DE LA EMPRESA

MATRIZ DOFA DE EXTREX LIMITADA DEBILIDADES  No posee Backups  No posee su propia página Web

FORTALEZA  Cuenta con personal capacitado  Excelente atención al cliente

OORTUNIDADES  Cuenta con proveedores confiables  Cuenta con clientes al por mayor  Adquisición de equipos actualizados

AMENAZAS  Existe mucha competencia  Pérdida de informacón a causa de equipos obsoletos  Equipos vulnerables

INSTITUTO TOLIMENSE DE FORMACIÓN TÉCNICA PROFESIONAL AUDITORÍA DE SISTEMAS UBICACIÓN: NOVENO SEMESTRE PLANILLA DE CONTROL INTERNO

Septiembre 16/2014

Señores EXTREX LIMITADA Estimados señores Nos es grato someter a su consideración nuestra propuesta para la prestación de los servicios profesionales de auditoría informática. Nuestro propósito en particular es poder servir a la empresa EXTREX Limitada y estaremos comprometidos a ofrecer sus mejores recursos humanos y técnicos para hacerlo. Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia, creatividad y por sobre todo, espíritu de trabajo y dedicación. Una característica de nuestra modalidad de servicio es nuestro contacto personal con el cliente, en especial de nuestros socios y gerentes, de modo tal de estudiar las cuestiones a medida que surjan, tratando en lo posible de anticiparnos a los problemas. El equipo de trabajo estará dirigido por un Socio de la Firma, quién será el responsable de asegurar que reciban un servicio de la más alta calidad. El trabajo de campo será ejecutado por personal capacitado y experimentado en el área informática. Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que se adecua a sus necesidades y responde a nuestra filosofía de servicios profesionales de alto valor agregado. Quedamos a vuestra disposición para efectuar las aclaraciones o ampliaciones que Uds. Consideren necesarias. Sin otro particular, los saludamos muy atentamente Auditora Líder

Gerente Administrativa

--------------------- ---------------

-------------------------- -----------------

YENY YOMAIRA OVIEDO D.

ANA SOFIA VARGAS M.

Ricaurte, 12/Octubre

Señora ANA SOFIA VARGAS M. GERENTE ADMINISTRATIVA De nuestra consideración:

Tenemos el agrado de dirigirnos a ustedes a efectos de elevar a su consideración el alcance del trabajo de Auditoría del Área de Informática practicada los días 16 de septiembre del 2014 hasta el 12 de octubre del 2014, sobre la base del análisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable. Síntesis de la revisión realizada, clasificado en las siguientes secciones: A. Organización y Administración del Área B. Seguridad física y lógica C. Desarrollo y mantenimiento de los sistemas de aplicaciones Según el análisis realizado hemos encontrado falencias como A no existe un Comité y plan informático B. Falta de organización y administración del área C. Falencias en la seguridad física y lógica D. No existe auditoría de sistemas E. Falta de respaldo a las operaciones F. Accesos de los usuarios G. Plan de contingencias H. Entorno de desarrollo y mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como así también las sugerencias de solución se encuentran especificadas en el Anexo adjunto. La aprobación y puesta en práctica de estas sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus clientes. Agradecemos la colaboración prestada durante nuestra visita al personal de la empresa y quedamos a su disposición para cualquier aclaración y/o ampliación de la presente que estime necesaria. Atentamente.

------------------------ -- -----------

---------------------------------------------

YENI YOMAIRA OVIEDO D.

ANA SOFIA VARGAS M.

Auditora Líder

Gerente Administrativa

INFORME FINAL DE AUDITORÍA DE SISTEMAS

ELSA MIREYA VANEGAS GARCÍA DIEGO MAURICIO OZUNA TAPIAS JOSE YESID RUJE VELASQUEZ YENY YOMAIRA OVIEDO DONCEL AUTORES

DANIEL VEZGA ZARTA DOCENTE

INSTITUTO TOLIMENSE DE FORMACIÓN TÉCNICA PROFESIONAL AUDITORÍA DE SISTEMAS RICAURTE/CUNDINAMARCA NOVIEMBRE /2014

INTRODUCCIÓN A través de este trabajo lograremos obtener conocimiento de cada una de las instalaciones que posee la empresa EXTREX LIMITADA nuestro trabajo consiste en hacer auditoria de sistemas detalladamente con el fin de encontrar las falencias y fortalezas que posee la empresa tanto física como lógica. JUSTIFICACIÓN Este trabajo se realizó con el fin de conocer cada de las instalaciones físicas y lógicas que posee la empresa EXTREX LIMITADA, esencialmente en los equipos de cómputo teniendo como objetivo encontrar falencias y fortalezas en el área. FECHA DE INICIACIÓN La auditoría que se realizó en la empresa EXTREX LIMITADA se inició el 16 de septiembre del año 2014. FECHA DE FINALIZACIÓN La auditoría realizada en la empresa EXTREX LIMITADA tiene como fecha de culminación el día 12 de octubre del año 2014. ALCANCE La auditoría de sistemas se realizó en las instalaciones de la empresa EXTREX LIMITADA ubicada en la C22Nº4-93 en especial en los equipos de cómputo. OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. OBJETIVOS ESPECÍFICOS     

Evaluar el diseño y prueba de los sistemas del área de Informática. Determinar la veracidad de la información del área de Informática Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos. Evaluar el control que se tiene sobre el mantenimiento y las fallas de las PC. Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.

RECURSOS El número de personas que integraron el equipo de auditoría. Fueron cuatro (4), con un tiempo máximo de ejecución de 3 a 4 semanas.

AUDITORES:    

Yeny Yomaira Oviedo Doncel (auditora líder) Elsa Mireya Vanegas García José Yesid Ruje Velásquez Diego Mauricio Osuna

ETAPAS DE TRABAJO RECOPILACIÓN DE INFORMACIÓN BÁSICA En el trabajo realizado se le hizo unas entrevistas a la los encargados del manejo de la empresa EXTREX LIMITADA, en el caso presente a la Gerente Administrativa ANA SOFIA VARGAS M. Se le entregaron unos cuestionarios con el objetivo saber cómo es el manejo de los equipos de computo que utilizan y los procesos que se realizan en ellos. Un auditor se encargó de realizar lo anterior como herramienta de trabajo para obtener una visión mejor enfocada en la auditoria ejecutada. TEMAS A ESTUDIAR DE LA EMPRESA EXTREX LIMITADA         

Antecedentes Misión Visión Objetivos Organigrama Características de los equipos de cómputo en lo físico y lógico. Fecha de Actualización e instalación de software en los equipos. Documentación de soporte de los equipos (facturas, licencias del software). Seguridad en prevención de la empresa

DESARROLLO DE LOS TEMAS Se realizó una entrevista a la Gerente Administrativa ANA SOFIA VARGAS M. para conocer los antecedentes de la empresa su misión, visión, objetivos y organigrama. 2. Se realizó una entrevista para determinar si los servicios proporcionados y planeados por la dirección de informática cubre las necesidades de información de las dependencias. 3. Se hizo una visita en la que consistía averiguar cuántos equipos de cómputo posee el establecimiento y su ubicación cada uno de ellos. 4. A través de una entrevista se realizó una lista de chequeo que fue contestada por la Gerente Administrativa ANA SOFIA VARGAS M. 1.

BASE DE ANÁLISIS Y PROCEDIMIENTOS DETALLADOS DE LAS INFORMACIONES RECOPILADAS Y EMITIDOS EN EL PRESENTE INFORME ORGANIZACIÓN Y ADMINISTRACIÓN DEL ÁREA SITUACIÓN ACTUAL: Con respecto a la organización y Administración del Área Informática, hemos observado lo siguiente:

  

El área adolece de una estructura organizacional Existe una exigua cantidad de funcionarios capacitados, afectados al área de sistemas, con lo cual se evidencia heterogeneidad de tareas desarrolladas con una misma persona. Ausencia de manual de funciones para cada puesto de trabajo dentro del área.

SUGERENCIAS  Establecer una estructura organizacional del área de la siguiente manera 1. Gerencia del área informática 2. Jefe del área 3. Desarrollo y mantenimiento de aplicaciones 4. Soporte técnico 5. Centro de atención a usuarios  Contratar personal capacitado para mayor seguridad y manejo en los equipos de cómputo.  Se establezca un manual de funciones para cada uno de los cargos funcionales en que se subdivida el área de cómputo. EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS 





Por falta de una estructura organizacional la empresa se ve afectada a estar en riesgo de pérdida de información por descuido de los que manejan los equipos de cómputo ya que estos no tienen el suficiente conocimiento adecuado para proteger sus documentos, datos digitados, prevención en los equipos, etc. La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores y limita la cantidad de soluciones que puedan implementarse en tiempo y forma oportuna a los efectos de satisfacer los requerimientos de las aéreas funcionales. Si no se obtiene un manual de funcionamiento para cada uno de los empleados la empresa se puede ver afectada debido que cada uno de los trabajadores no tiene ni la mínima idea de cumplir sus funciones para cada uno de los cargos y pueden intervenir en otras aéreas que no les corresponde esto obliga a que posiblemente haya perdida de documentación o datos y pude ser muy difícil saber quién ocasionó tal perdida.

SEGURIDAD FÍSICA Y LÓGICA SITUACIÓN ACTUAL: Durante la revisión, hemos observado lo siguiente:           

No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a Este sector. Cuenta con equipos vulnerables debido a que no tienen instalado ningún antivirus. No existe detectores, ni extintores automáticos. Existe material altamente inflamable, en los que se encuentra documentos que están cerca de los equipos de cómputo, químicos, y material elaborado en plástico. Carencia de un estudio de vulnerabilidad de la FERRETERIA AROD, frente a los riesgos físicos o no físicos, incluyendo el riesgo Informático. No existe un puesto o cargo específico para la función de seguridad Informática. Colocar extintores para cada uno de los accidentes provocados en sus diferentes formas. Tener conocimiento en el manejo de extintores según su clase (A, B, C, D) No existe un guardia de seguridad en la empresa en horarios de la noche para que cuide el lugar. Falta de alarmas de seguridad.

SUGERENCIAS   

  

 

A los efectos de minimizar los riesgos descritos, se sugiere: Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al Área de Informática. Instalar un antivirus a cada uno de los equipos de cómputo el más recomendable el Avast porque no requiere tanto de memoria RAM y es uno de los antivirus más livianos con una capacidad más o menos de 40 MB. Colocar detectores y extintores de incendios automáticos en los lugares necesarios. Remover del Centro de Cómputos los materiales inflamables. Realizar periódicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos débiles que se detecten. Determinar orgánicamente la función de seguridad. Los extintores más recomendados según tipo de uso son:

1. De tipo A: Son los fuegos en materiales combustibles comunes como (Maderas, tela, 2. 3. 4.

5.

  

papel, caucho y muchos plásticos) De tipo B: Son los fuegos de líquidos inflamables y combustibles (grasa de petróleo, alquitrán, bases de aceite para pintura, solventes, lacas, Alcoholes y gases inflamables). De tipo C: son los de gas carbónico o dióxido de carbono, el químico seco común, y de químico seco múltiple; son los recomendados para incendios provocados por equipos eléctricos (electrodomésticos, interruptores, caja de fusibles, y herramientas eléctricas) los de dióxido de carbono hay que usarlos con poca presión, porque con mucha potencia pueden expedir el fuego impiden la conducción de la corriente eléctrica. De tipo D: son de polvo seco especial para ser utilizados en incendios que intervienen metales que arden a mucha temperatura y necesitan mucho oxígeno para su combustión y que con el agua y químico reaccionan violentamente enfría el material por debajo de su temperatura de combustión. (magnesio, titanio, circonio, sodio, litio y potasio).

Se recomienda que los empleados de la empresa EXTREX LIMITADA tomen cursos de manejo y reconocimiento de los extintores según en sus diferentes clases. Colocar guardia de seguridad en la empresa para que este al pendiente de la EXTREX LIMITADA Instalar alarmas como sugerencia de seguridad.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS 





si no hay un guardia de seguridad en el área informática en horarios inhabilitados personas con mala intención podría infiltrarse y robar información muy valiosa incluyendo los equipos de cómputo también. si no hay ningún antivirus instalado los equipos podría recibir cualquier amenaza de virus teniendo como consecuencia perdida de información, bloqueo de los equipos, lentitud en los sistemas de procesamiento etc. En momentos puede pasar cualquier accidente y si no se tiene ningún detector o extintores automáticos el nivel de riesgo que la empresa presente será mayor, porque si hay un incendio y ninguno se ha dado de cuenta este crecerá y las pérdidas aun será más grandes.











 

si por descuido sucede un accidente por documentación o cualquier material inflámamele que están cerca de los equipos de cómputo podría traer como consecuencia dañar física y lógicamente los computadores. Debido a la debilidad del servicio de mantenimiento de los equipos, la continuidad de las actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas. Gracias a los esquemas ineficientes de seguridad con los que cuenta la empresa EXTREX LIMITADA, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las amenazas esta se ve afectada a estar en riesgo de pérdida de información procesada causado por infiltración de manos terceras. Un mal manejo de los extintores pude ocasionar que el accidente sea aún más grave porque cada extintor trae como función combatir los incendios de acuerdo al tipo de accidente. Por falta de conocimiento de los empleados de la empresa en el manejo de los extintores puede ocasionar mayores daños por ejemplo los equipos de cómputo ya que para este tipo de accidente no se pude utilizar extintores de tipo A porque el agua es conductora de energía y esto hace que el equipo afectado provoque un corte circuito. Por falta de personal de seguridad la empresa está en riesgo en ser asaltada. Por falta de alarmas de seguridad la persona que intente infiltrarse y tomar lo ajeno lo hará de una forma más segura en el momento que intente robar la ferretería.

PLAN DE PREVENCIÓN Y CONTIGENCIAS SITUACIÓN ACTUAL: En el transcurso de nuestro trabajo hemos observado lo siguiente:  





Ausencia de un Plan de Contingencia debidamente formalizado en el área de informática. No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios. No existen acuerdos formalizados de centro de cómputos paralelos con otras empresas o proveedores que permitan la restauración inmediata de los servicios informáticos en tiempo oportuno, en caso de contingencia. Ausencia de un plan de prevención en desastres en la EXTREX LIMITADA

SUGERENCIAS 

  

Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informáticos para restablecer la operatoria normal de la empresa y establecer los responsables de cada sistema. Efectuar pruebas simuladas en forma periódica a efectos de monitorear el desempeño de los funcionarios responsables ante eventuales desastres. Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento. Establecer un plan de prevención ante cualquier amenaza ya sea por motivos naturales, operacionales o tecnológicos para impedir o disminuir los efectos que producen con motivo de las ocurrencias de calamidades.

EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS 

Perdida de información vital a causa de accidentes tales como:

1. Por fallas de la red de energía eléctrica pública por diferentes razones ajenas al manejo por parte.

2. Por vulneración de los sistemas de seguridad en operación (Ingreso no autorizado a las instalaciones). 3. Instalación de software de comportamiento errático y/o dañino para la operación de los sistemas computacionales en uso (Virus, sabotaje). 4. Intromisión no calificada a procesos y/o datos de los sistemas, ya sea por curiosidad o malas intenciones. 5. de la Compañía. 

 

Pérdida de la capacidad de procesamiento. 1. Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización sean estos por cambios involuntarios o intencionales, llámese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado. Se incrementa aún más la facilidad de pérdida de información ante cualquier amenaza por falta de contingencia con empresas que posiblemente le pueda ofrecer sus servicios. Por falla de no poseer un plan de prevención la empresa se verá afectada a obtener grandes pérdidas en sus diferentes formas.

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE APLICACIONES POR LAS DEFICIENCIAS SITUACIÓN ACTUAL: Entorno de desarrollo y mantenimiento de las aplicaciones.   

No existe documentaciones técnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren .

SUGERENCIAS: Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos:  Elaborar toda la documentación técnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualización.  Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y aún de los programadores.  Implementar y conservar todas las documentaciones de prueba de los sistemas, como así también las modificaciones y aprobaciones de programas realizadas por los usuarios. EFECTOS Y/O IMPLICACIONES PROBABLES POR LAS DEFICIENCIAS  La escasa documentación técnica de cada sistema dificulta la compresión de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitación del personal nuevo en el área.



Esto implica mayor inseguridad en protección de las librerías y accesos totalmente privados en cada uno de los equipos de cómputo.



Se incrementa aún más la posibilidad de producir modificaciones erróneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna. CARACTERÍSTICAS DE LOS EQUIPOS DE CÓMPUTO

EQUIPO 1

EQUPO 2

SISTEMA OPERATIVO: Microsoft Windows xp professional.

SISTEMA OPERATIVO: Microsoft Windows xp professional.

PROCESADOR: Intel Pentium 4540

PROCESADOR:UnKnown,2400MHz

PLACA BASE: hewlett- packard HPcompacq dc 7100 CMT (PC938A).

PLACA BASE: 63-0100-000001-00101111083107-ATHLON64$1ADMB006_A7309NMS V1.90 083107

MEMORIA DEL SISTEMA: 503MB

MEMORIA DEL SISTEMA: 959 MB

TARJETA DE SONIDO: Intel 82801 FB ICH6 AC97 audio controller( B-1)

TARJETA DE SONIDO: Desconocido

DISCO DURO: Kingston DT 101 G2 USB DEVICE (1900 MG)

DISCO DURO:MULTI FLASH Reader USB divise ST340015A

TECLADO: estándar de 101/102teclas o Microsoft natural PS/2 keyboard.

TECLADO: Quick Launch Buttons.

TARJETA DE RED: broadcom netxtreme gigabit Ethernet (192,168,0.3)

TARJETA DE RED: WAN (PPP/SLPI) interface Ethernet (10.80.212.221).

IMPRESORA: Microsoft office document image writer.

IMPRESORA: Lexmark Z600 series

RATÓN: Mouse compatible/2

RATÓN: Mouse ps/2 de Microsoft.

CPU:intel®pentium®4CPU3.20GHz

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4600+ (CPUID) R00060FB2h

CONCLUSIÓN

El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la misma.