UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN SISTEMAS E INFORMATICA.
TEMA:
“PLANIFICACIÓN INFORMÁTICA PARA LA GESTIÓN OPERATIVA EN EL GOBIERNO MUNICIPAL DEL CANTÓN DE PATATE”
AUTOR (A): GÓMEZ COELLO JOHANNA CAROLINA
ASESOR (A): ING. FERNÁNDEZ VILLACRES GUSTAVO EDUARDO
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACÍON
Quien subscribe, legalmente CERTIFICA QUE: El presunto Trabajo de Titulación
realizado por la señora, Johanna Carolina Gómez Coello, estudiante de la Carrera de
Sistemas, facultad de Sistemas Mercantiles, con el Tema “PLANIFICACIÓN
INFORMÁTICA PARA LA GESTIÓN OPERATIVA EN EL GOBIERNO
MUNICIPAL DEL CANTÓN DE PATATE”, ha sido prolijamente revisado, y cumple
con todos requisitos establecidos en la normativa pertinente de la Universidad Regional
Autónoma de los Andes -UNIANDES-, por lo que apruebe su presentación.
Ambato, Noviembre de 2016
______________________________
Ing. Fernández Villacres Gustavo Eduardo
DECLARACIÓN DE AUTENTICIDAD
Yo, Johanna Carolina Gómez Coello, estudiante de la Carrera de Sistemas, facultad de
Sistemas Mercantiles, declaro que todos los criterios emitidos en el Trabajo de Investigación,
previo a la obtención del título de INGENIERA EN SISTEMAS E INFORMATICA, son
absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son
de mi exclusiva responsabilidad.
Ambato, Noviembre de 2016
______________________________
Johanna Carolina Gómez Coello
C.I. 1804801965
DERECHOS DE AUTOR
Yo, Johanna Carolina Gómez Coello, declaro que conozco y acepto la disposición
constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de
Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES,
está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos científicos
o técnicos, proyectos profesionales y consultaría que se realicen en la Universidad o por
cuenta de ella;
Ambato, Noviembre de 2016
______________________________
Johanna Carolina Gómez Coello
C.I. 1804801965
DEDICATORIA
No ofrezcas a Dios sólo el dolor de tus penitencias, ofrécele también tus alegrías.
Esta tesis se la dedico a mi Dios quien supo guiarme por el buen camino, darme fuerzas para
seguir adelante y no desmayar en los problemas que se presentaban, enseñándome a encarar
las adversidades sin perder nunca la dignidad ni desfallecer en el intento.
A mis Padres Marco y Silvia, quienes siempre han velado por el bienestar de mi hija
Antonela mientras yo estudiaba, a mi Esposo Marcelo quien me ha impulsado a continuar
con mis estudios superiores convirtiéndose en un pilar fundamental siendo mi apoyo en todo
momento depositando su entera confianza en cada reto que se me presentaba sin dudar ni un
solo momento en mi inteligencia y capacidad.
A mi familia quienes por ellos soy lo que soy; Por su apoyo, consejo, compresión, amor,
ayuda en los momentos difíciles, y por ayudarme con los recursos necesarios para estudiar.
Me han dado todo lo que soy como persona, mis valores, mis principios, mi carácter, mi
empeño, mi perseverancia, mi coraje para conseguir mis objetivos.
AGRADECIMIENTO
Dar gracias a Dios por lo que se tiene, allí comienza el arte de vivir.
Agradezco a toda mi familia y a todas las personas de corazón noble y bueno que siempre
han estado junto a mí y me han dado su cariño, su apoyo y sus consejos para salir adelante.
A mis profesores, por brindarme siempre su tiempo y sus conocimientos que me han servido
de mucho para culminar así mi carrera, en especial quiero agradecerle a mi tutor Ing.
Eduardo Fernández, ya que él estuvo conmigo siempre guiándome, ayudándome,
enseñándome y dándome aliento para seguir adelante.
Y a todos los integrantes de mi facultad, por abrirme siempre las puertas y poder ser pare de
todos los proyectos, gracias a todos por el apoyo brindado.
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
DEDICATORIA
AGRADECIMIENTO
ÍNDICE GENERAL
ÍNDICE DE FIGURAS
ÍNDICE DE GRÁFICOS
ÍNDICE DE TABLAS
INDICE DE ILUSTRACIONES
RESUMEN EJECUTIVO
ABSTRACT
INTRODUCCIÓN ...1
Antecedentes de la investigación ...1
Situación problemática ...2
Formulación del problema ...3
Objeto de investigación ...4
Campo de acción ...4
Identificación de la línea de investigación...4
Objetivo general ...4
Objetivos específicos ...4
Idea a defender ...5
Justificación ...5
Metodología de la investigación ...7
Significación Práctica ...8
CAPITULO I ...9
1. MARCO TEÓRICO ...9
1.1. Fundamentación científica ...9
1.2. Planificación ...9
1.2.1. Planeación estratégica ... 10
1.2.2. Plan estratégico ... 11
1.2.3. Planeación tecnológica... 12
1.2.4. Planeación informática... 12
1.2.5. Plan informático ... 13
1.2.5.1. Consideraciones mínimas que debe contener un plan informático ... 13
1.2.5.2. Sistemas de Información formales e informales ... 14
1.2.6. Auditoria informática ... 15
1.2.6.1. Síntomas de necesidad de una auditoria informática ... 16
1.2.6.2. Aspectos a considerar en auditoría informática ... 21
1.2.6.3. Función de auditoría informática... 23
1.2.6.4. Perfiles profesionales de la función de Auditoría Informática ... 23
1.2.6.5. Organización de la función de auditoría Informática ... 25
1.2.6.6. Ejemplo de Auditoria Informática ... 27
1.2.6.7. Ciclo de vida de la auditoría informática ... 32
1.2.7. Redes ... 33
1.2.7.1. Clasificación de redes ... 37
1.2.7.2. Redes inalámbricas ... 38
1.2.8. Gestión operativa ... 38
1.2.8.1. Control de gestión ... 39
1.2.8.2. Los instrumentos del control de gestión ... 40
Conclusiones parciales del capítulo. ... 47
CAPITULO II ... 48
2. MARCO METODOLÓGICO ... 48
2.1. Caracterización del Sector... 48
2.1.1. Gobierno Municipal del Cantón Patate ... 48
2.2. Modalidad de la investigación ... 51
2.3. Tipos de investigación ... 51
2.4. Población y muestra ... 51
2.5. Métodos, técnicas e instrumentos ... 53
2.6. Tabulación de resultados ... 54
Encuesta realizada a la población de Patate ... 55
Encuesta al personal Administrativo ... 61
Entrevista al Alcalde ... 67
2.7. Propuesta del investigador ... 68
Conclusiones parciales del capitulo ... 70
CAPITULO III ... 71
3. MARCO PROPOSITIVO ... 71
3.1. Tema: ... 71
3.2. Introducción ... 71
3.3. Objetivos de la Propuesta ... 72
3.3.1. Objetivo General ... 72
3.3.2. Objetivos Específicos ... 72
3.4. Desarrollo de la propuesta ... 72
3.4.1. Metodología de elaboración ... 73
3.4.2. Foda tecnológico de la institución ... 78
3.4.3. Auditoria informática inicial ... 80
3.4.4.1. Políticas de hardware ... 89
3.4.4.2. Red de datos ... 90
3.4.4.3. Red MAN Municipio – Registro de la propiedad ... 95
3.4.5. Políticas de seguridad informática ... 96
3.4.5.1. Seguridades en redes inalámbricas ... 96
3.4.5.2. Pasos prácticos ... 98
3.4.5.3. Sistema de Detección de Intrusos (IDS) ... 98
3.4.5.4. Cisco asa 5512-x IPS (Sistema de Prevención de Intrusión) ... 99
3.4.6. Software ... 104
3.4.6.1. Sistema operativo ... 104
3.4.7. Portal web de promoción turística ... 106
3.5. Resumen del plan de estrategias ... 107
CONCLUSIONES ... 108
RECOMENDACIONES ... 109
BIBLIOGRAFIA
ÍNDICE DE FIGURAS
Figura Nº 1: Esquema del concepto clásico de Auditoría ... 16
Figura Nº 2: Esquema de Auditoría Informática de la gestión de tecnologías de información ... 18
Figura Nº 3: Esquema de implementación de controles ... 19
Figura Nº 4: Visión sistemática de la auditoria informática ... 20
Figura Nº 5: Ciclo de vida de una auditoría... 33
Figura Nº 6: Esquema de una Red LAN ... 37
Figura Nº 7: Esquema de una Red WAN ... 38
Figura Nº 8: Red de Datos ... 91
Figura Nº 9: Red de Datos ... 92
Figura Nº 10: Esquema Red MAN ... 95
Figura Nº 11: Cisco ASA with IPS Product Family ... 99
ÍNDICE DE GRÁFICOS Gráfico Nº 1: Sello Gobierno municipal Patate ... 48
Gráfico Nº 2: Organigrama Estructural ... 50
Gráfico Nº 3: Estructura general de la Propuesta... 69
ÍNDICE DE TABLAS
Tabla Nº 1: Población ... 52
Tabla Nº 2: Estratificación de la muestra ... 53
Tabla Nº 3: Resultados de la pregunta 1 ... 55
Tabla Nº 4: Resultados de la pregunta 2 ... 56
Tabla Nº 5: Resultados de la pregunta 3 ... 57
Tabla Nº 6: Resultados de la pregunta 4 ... 58
Tabla Nº 7: Resultados de la pregunta 5 ... 59
Tabla Nº 8: Resultados de la pregunta 6 ... 60
Tabla Nº 9: Resultados de la pregunta 1 ... 61
Tabla Nº 10: Resultados de la pregunta 2 ... 62
Tabla Nº 11: Resultados de la pregunta 3 ... 63
Tabla Nº 12: Resultados de la pregunta 4 ... 64
Tabla Nº 13: Resultados de la pregunta 5 ... 65
Tabla Nº 14: Resultados de la pregunta 6 ... 66
Tabla Nº 15: Distribución de computadores ... 81
Tabla Nº 16: Distribución de computadores ... 86
Tabla Nº 17: Distribución de computadores ... 89
Tabla Nº 18: Direcciones IP de la red ... 94
Tabla Nº 19: Dispositivos para la red MAN ... 96
INDICE DE ILUSTRACIONES
Ilustración Nº 1: Resultado de la pregunta 1 ... 55
Ilustración Nº 2: Resultado de la pregunta 2 ... 56
Ilustración Nº 3: Resultado de la pregunta 3 ... 57
Ilustración Nº 4: Resultado de la pregunta 4 ... 58
Ilustración Nº 5: Resultado de la pregunta 5 ... 59
Ilustración Nº 6: Resultado de la pregunta 6 ... 60
Ilustración Nº 7: Resultado de la pregunta 1 ... 61
Ilustración Nº 8: Resultado de la pregunta 2 ... 62
Ilustración Nº 9: Resultado de la pregunta 3 ... 63
Ilustración Nº 10: Resultado de la pregunta 4 ... 64
Ilustración Nº 11: Resultado de la pregunta 5 ... 65
Ilustración Nº 12: Resultado de la pregunta 6 ... 66
Ilustración Nº 13: Esquema de rendimiento ... 100
RESUMEN EJECUTIVO
La administración de las instituciones públicas hoy en día está fuertemente apoyando
fuertemente por la tecnología, este debido a que toda la gestión operativa que se desarrolla
en base a procesos requiere de aspectos informáticos para su ejecución, estos aspectos
informáticos son tanto en software como en hardware. Por esta razón es que cada vez las
entidades municipales incrementan su parque tecnológico, el mismo que está formado por
computadoras, sistemas, redes e internet.
El incremento de los equipos y de las redes obliga a que dicha adquisición, ubicación y
utilización sea realizada de forma planificada.
En la parte inicial del trabajo investigativo se plantea la problemática relacionada con la
ausencia de una planificación tecnológica de la institución lo que genera que muchas veces
se hacen compras duplicadas, no se realizan mantenimientos adecuados, se complica la
expansión y en definitiva se complica la actividad operativa.
El fundamento teórico está relacionado con la planificación en general, dentro de ella se
analiza la planificación informática, también se fundamenta aspectos relacionados como la
auditoria informática, las redes y varias herramientas de desarrollo de sistemas.
La investigación de campo confirma la sintomatología descrita en la parte inicial del trabajo
investigativo, se hicieron encuestas a los usuarios así como también al personal
administrativo, el alcalde también fue entrevistado y de manera general se ratificó la
problemática descrita.
En la parte final se desarrolló la propuesta de solución a la problemática planteada, esta
consistió en la elaboración de un plan informática para organizar todas las actividades que
tienen que ver con el aspecto tecnológico. Previo a la elaboración del plan se desarrolló una
auditoria informática básica, la misma que sirvió como diagnóstico inicial.
Finalmente se concluye que hoy en día todas las entidades municipales deben desarrollar
ABSTRACT
The administration of public institutions today is strongly supported by technology, because
all the operational management that is developed based on processes requires IT aspects for
implementation, these software issues are both software and hardware. This is the reason
why more municipal entities will increase its technological park, the same one that uses
computers, systems, networks and the Internet.
The increase in equipment and networks requires that such acquisition, location and use the
work should be made in a planned way.
The first part of the research is related to the lack of technological planning of the institution
which generates that often duplicate purchases are made arises. Moreover inadequate
maintenance are performed, the expansion is complicated and ultimately the operational
activity is complicated
The theoretical foundation is related to the general planning. This deals with computer
planning, the same that is based on computer-related aspects. This one works with computer
audits, networks and various systems development tools.
Field research confirms the symptoms described in the first part of the research for this
reason the users were surveyed as well as administrative staff and the mayor in order to
describe the problem mentioned above.
To conclude the proposed solution to the problem is the same that tried to develop an IT plan
to organize all activities relational with the technological aspect previously developed. Prior
to the development of the plan was developed an audit basic computing, the same that served
as the initial diagnosis.
Finally we conclude that today all municipal entities must develop a computer planning for
1
INTRODUCCIÓN
Antecedentes de la investigación
Luego de realizar una revisión inicial en la biblioteca de Uniandes sobre las tesis de grado
presentadas, se debe manifestar que lamentablemente no existen muchos trabajos
relacionados con la planificación informática, a nivel de postgrado, se puede señalar el
trabajo de la (Magister Zambrano, 2012) con su tema “Plan informático para la gestión
operativa en la Universidad Técnica de Manabí, Campus en el Carmen” y del (Magister
Fernández, 2006) con su tema “Plan informático para la gestión operativa de la empresa
Ecocen”.
A nivel de pregrado, también se pueden señalar algunos trabajos anteriores que también nos
sirven como antecedentes, así tenemos, el de la (Ing.Campoverde, 2009) denominado
“Planificación tecnología del Municipio de Santo Domingo” y el trabajo del (Ing. Solís,
2009) cuyo tema fue: “Planificación Informática del Municipio de Arosemena Tola”. De
ambos trabajos se puede concluir que la planificación tecnológica es de vital importancia en
la eficiencia de las Instituciones y es por ello que debe ser elaborada cuidadosamente para
que su aplicación brinde los frutos requeridos.
Por otro lado se consultó sobre el tema, en la página Web de la Universidad Complutense de
Madrid (www.ucm.edu.es) se concluyó que la elaboración del Plan Informático de la UCM
y su aprobación por Junta de Gobierno y Consejo Social dotó a la Universidad de una
estructura informática, de unos recursos materiales y de la definición de objetivos necesarios,
estructurados en proyectos, que ha permitido el crecimiento ordenado y eficaz del uso y
aplicación de herramientas informáticas en la gestión e investigación.
El cambio ha sido tan importante que se puede afirmar sin temor a equivocarse que la
Universidad Complutense se encuentra en estos momentos entre las universidades españolas
2
Situación problemática
La informática constituye el eje central que hoy en día mueve a los negocios a nivel mundial,
esto implica una gran inversión económica para el uso y manejo adecuado de los datos y de
esta forma establecer una información veraz que permita retroalimentar decisiones que se
tomen en la empresa para el correcto funcionamiento, crecimiento y desarrollo.
Históricamente, el apoyo computacional al trabajo de las organizaciones mundiales, ha sido
orientado hacia el trabajo administrativo, principalmente, los llamados sistemas de
información administrativos; en estos trabajos no se ha considerado una planificación
informática que permita apoyar las posibles eventualidades que se pudieran presentar con el
uso y manejo incorrecto no solo de datos, si no de equipos de cómputo, planes emergentes
informáticos que si estuvieran presentes apoyarían en el desarrollo del proceso informático
de las empresas del mundo.
Actualmente, a partir de la experiencia inicial ganada en el uso del rudimentario correo
electrónico entre usuarios de mainframes, con el apoyo de los trabajos realizados a nivel
redes de área local y expandida, y, sobre todo, la aparición de los sistemas Cliente/servidor,
han comenzado a surgir tecnologías que, en mayor o menor medida, apoyan el trabajo de
equipos.
En nuestro medio se tiene establecido que son pocas los municipios que pueden enfrentar
crisis administrativas por la falta de planificación tecnológica e informática, para ello existen
empresas que se dedican a ofrecer servicios que resguardan la integridad de la información
y tecnificación del hardware y comunicación sin interferencia. Por tanto en nuestro país
debe existir un órgano regulador informático, que invite a las empresas a formar parte de
éste para el mejor desenvolvimiento y desarrollo de las empresas de nuestro país.
El Gobierno Municipal del Cantón de Patate, se encuentra ubicado en la Provincia de
Tungurahua. Actualmente el alcalde es el Lic. Medardo Chiliquinga, el mismo que lleva dos
periodos de mandato en la Institución. Los departamentos con que cuenta el Gobierno
Municipal de Patate son: Obras públicas, financiero, planificación, desarrollo social, asesoría
3
En calidad de usuario Municipal y como técnico en Sistemas, se ha podido observar algunas
deficiencias relacionadas con el apoyo que debe brindar la tecnología informática a la
gestión operativa Municipal, así tenemos:
Tecnológicamente no se ha realizado una auditoria informática de recursos existentes, para evaluar su funcionabilidad y utilización.
No se ha organizado la renovación tecnológica de cada dependencia, cada una de ellas solicita lo que cree necesario para su trabajo.
No se ha especificado los objetivos de mejoramiento que tiene el Municipio, para en base a ellos planificar el apoyo tecnológico.
No se ha explotado avances tecnológicos como el Internet, redes inalámbricas y voz sobre IP.
No se ha intentado integrar a los servicios municipales, el apoyo de nuevas herramientas informáticas que permitirían mejorar dichos servicios.
No se han establecido políticas de mantenimiento periódico preventivo dentro de la Institución.
Muchos departamentos no tienen redes estructuradas ni inalámbricas.
El portal no es independiente funciona bajo el dominio de AME.
El portal no tiene servicios al usuario como pago de impuestos, patentes, información de trámites y servicios generales a la ciudadanía en línea.
No se han definido políticas para cambiarse al software libre.
No existe un plan para la renovación estándar de equipos, etc.
En resumen, en el departamento de sistemas se observó que no existe un buen manejo en
cuanto al uso de hardware y software, no poseen un plan emergente informático que permita
garantizar la seguridad de la información, no se ha realizado una auditoria informática, no
se diseñado un plan de seguridad informática, tampoco un plan de contingencia, no hay
políticas sobre el manejo de la red, etc.
Formulación del problema
¿Cómo mejorar la gestión operativa del Gobierno Municipal del Cantón de Patate en la
4
Objeto de investigación
Procesos informáticos.
Campo de acción
Planificación tecnológica.
La investigación ha sido desarrollada en el Gobierno Municipal del Cantón de Patate en la
Provincia de Tungurahua, el mismo que se encuentra ubicado en la avenida Ambato y Juan
Montalvo.
Se trabajó con la información obtenida durante el 2015 y el plan será aplicable desde el año
2015 hasta al 2016.
Identificación de la línea de investigación
Tecnologías de Información y Comunicaciones.
Objetivo general
Desarrollar una planificación informática del Gobierno Municipal del Cantón de Patate para
que en base a su aplicación se pueda mejorar la gestión operativa.
Objetivos específicos
Fundamentar científicamente la planificación informática y la gestión operativa.
5
Desarrollar una planificación informática, que contenga estrategias que articulen todos los recursos en el área de las tecnologías.
Idea a defender
Con la ejecución de la planificación tecnológica diseñada en este trabajo investigativo y
sintetizada en un plan informático, se mejorará la gestión operativa en el Gobierno Municipal
del Cantón Patate en la Provincia de Tungurahua”.
Justificación
El Gobierno Municipal del Cantón de Patate, siendo una Institución Pública presenta
problemas informáticos administrativos, que deben buscar soluciones alternativas que
beneficien el buen desenvolvimiento y manejo correcto de datos. Al desarrollar una auditoria
informática en el Gobierno Municipal de Patate se podrá realizar revisiones globales como
parte de un plan que se elabore, esto implica conocer al detalle y reglamentariamente el
manejo del hardware y software que permitirá estar encaminado con el uso correcto de la
tecnología.
Las diferentes dependencias anexas a la Municipalidad deben estar conectadas en red, a
través de esta comunicación se intercambiará información relevante y se podrá obtener
información ágil, veraz y oportuna. El objeto de esta red es compartir los datos, conocer su
estructura para enfrentar algún desafío informático de red que se pueda presentar, modificar
aspectos que permitan rediseñar la estructura de la red sin que se paralice las actividades y
se afecte el manejo de los datos.
Se establecerán políticas de control para el buen uso de los equipos informáticos y se
desarrollará un plan que permita ampliar un mantenimiento adecuado a los equipos; a través
de estos medios se evitará afrontar estos inconvenientes que retrasan el trabajo e impiden el
6
Presentaremos propuestas de sistemas en uso de software libre evitando la adquisición de
licencias en software propietario; esto permite estar reglamentados a través de las políticas
de uso de software legal. De esta forma estarán preparados para los cambios informáticos
que genera el Gobierno Nacional y evitarse problemas legales por poseer software sin
licencias.
Con el fin de mejorar y agilizar la atención al público, se realizara un importante estudio
sobre la renovación tecnológica en las oficinas de atención al público, sugiriendo nuevos
sistemas de información, que agiliten considerablemente los tiempos de atención sobre todo
para aquellos trámites que por su naturaleza requieren de una mayor rapidez. Esto implica
propuestas de mejoramiento del sistema y adquisición de tecnología informática acorde a la
situación actual de la era del progreso.
Los procesos automatizados, son factores de vital importancia en las Municipalidades, por
esto se realizará una planificación informática que permita el control de la tecnologías que
posee el Municipio de Patate, lo que conlleva una correcta distribución de los equipos
informáticos que posea. La planificación permite estructurar, organizar y mejorar el área
informática para obtener una mayor eficiencia a través de resultados y eficiente servicio.
Con una adecuada restructuración planificada de la red se logrará incorporar a cada una de
las dependencias de la Municipalidad permitiendo comunicación veraz y efectiva al
momento de ejecutar los diferentes trámites en la misma.
El plan de contingencias es necesario para que el Gobierno Municipal de Patate pueda
enfrentar procedimientos alternativos al orden normal, cuyo fin es permitir el normal
funcionamiento de esta, aun cuando alguna de sus funciones se viese dañada por un accidente
interno o externo.
La Planificación Informática, será de gran ayuda para directivos y en general cualquier
7
Metodología de la investigación
Se aplicó el paradigma cuali-cuantitativo en el mismo que el aspecto cualitativo se obtendrá
observaciones a realizar en el sitio mismo donde se manifiesta la problemática.
En cambio el aspecto cuantitativo se lograra en base encuetas que arrojaran resultados
estilísticos.
Entre los métodos utilizados tenemos:
El Analítico Sintético aplicado durante la elaboración del marco teórico, esto debido a que
se recopilo información en libros, revistas, internet, se la analizo y luego se la sintetizo en el
marco teórico.
El Inductivo Deductivo que es el procedimiento es el más idóneo, planeado, conforme las
características del objeto que sigue la investigación científica para descubrir, conocer y
explicar las formas de existencia de los procesos del universo, de desentrañar sus conexiones
internas, comprender cada vez más profundamente, generalizar conocimientos adquiridos,
demostrados rigurosamente mediante la observación de movimientos de la realidad,
experimento a sus aplicaciones técnicas. Este es un método de inferencia basado en la lógica
y relacionado con el estudio de hechos particulares, aunque es deductivo en un sentido parte
de lo general a lo particular e inductivo en sentido contrario va de los particular a lo general.
Dentro de la investigación este método pretende buscar las causas del problema y los efectos.
Aporte Teórico
Se realiza una compilación de la investigación realizada, se da a conocer la importancia de
implementar la automatización de procesos informáticos para el desarrollo empresarial, y se
aportan criterios propios a partir de los vertidos por los autores nacionales e internacionales
8
Significación Práctica
La practicidad del presente proyecto de investigación radico en el desarrollo e
implementación de varias actividades propuestas en el plan informático.
9
CAPITULO I
1. MARCO TEÓRICO
1.1. Fundamentación científica
El presente trabajo investigativo se fundamenta científicamente en los siguientes temas:
1.2. Planificación
La necesidad que tienen las empresas de ajustarse rápidamente a los cambios drásticos en
el ambiente económico hace necesario que la administración ejecutiva tenga información
disponible y actualizada de tal manera que se dé un adecuado uso de esta y además sirva
para tomar decisiones. Con la gran disponibilidad de información a través de toda la
empresa, las estrategias se pueden mejorar, las decisiones se pueden tomar con mejor base
y las operaciones pueden ser ejecutadas más eficientemente.
Con este preámbulo pasamos a fundamentar teóricamente lo que más tarde denominaremos
propuesta de solución al problema planteado y que es motivo de esta tesis.
"La Planificación Estratégica es el proceso por el cual los dirigentes ordenan sus objetivos y
sus acciones en el tiempo. No es un dominio de la alta gerencia, sino un proceso de
comunicación y de determinación de decisiones en el cual intervienen todos los niveles
estratégicos de la empresa". (Hiebaun, 2004)
“La Planificación Estratégica constituye un sistema gerencial que desplaza el énfasis en el
"qué lograr" (objetivos) al "qué hacer" (estrategias). Con la Planificación Estratégica se
busca concentrarse en aquellos objetivos factibles de lograr y en qué negocio o área
competir, en correspondencia con las oportunidades y amenazas que ofrece el entorno”.
(Hiebaun, 2004)
La Planificación Estratégica tiene por finalidad producir cambios profundos en los mercados
10
definidas: formulación de misión, objetivos organizacionales; análisis de las fortalezas y
limitaciones de la empresa; análisis del entorno; formulación de estrategias. (Hiebaun, 2004)
“La Planeación tiene mucho que ver con previsión, planear es tratar de anticiparse a
situaciones que nos pueden afectar, positiva o negativamente, por ello se hace necesario al
interior de las organizaciones este tipo de ejercicio, para tratar de anticipar cambios o sucesos
futuros, tratando de enfrentarlos y canalizarlos para bien. Desafortunadamente, los
administradores no son magos o mentalistas que puedan predecir el futuro con exactitud, lo
que sí tienen algunos, afortunadamente, es que son visionarios que miran más allá que los
demás y por ello aciertan en la proyección del futuro”. (Hiebaun, 2004)
Las estrategias son disposiciones generalizadas de las acciones a tomar para cumplir los
objetivos generales, si no hay objetivos claros y bien definidos seguramente no existirá una
estrategia apropiada para alcanzarlos, además, las estrategias que se planteen deben
contemplar la utilización de unos recursos necesarios para desarrollar las actividades que
desembocarán en los resultados y deben tener en cuenta cómo se conseguirán dichos recursos
y cómo serán aplicados para aumentar las probabilidades de éxito.
Al lado de la planeación y la estrategia se encuentran las políticas, que básicamente son
lineamientos que orientan a la administración en la toma de decisiones y por lo general no
requieren de la acción, las políticas, las estrategias y el plan en sí deben ser una mezcla única
que permita lograr buenos resultados. (Hiebaun, 2004)
1.2.1. Planeación estratégica
La planeación o planificación estratégica es el proceso a través del cual se declara la visión
y la misión de la empresa, se analiza la situación externa y externa de ésta, se establecen los
objetivos generales, y se formulan las estrategias y planes estratégicos necesarios para
alcanzar dichos objetivos.
La planeación estratégica se realiza a nivel de la organización, es decir, considera un enfoque
11
planes estratégicos, que afectan una gran variedad de actividades, pero que parecen simples
y genéricos.
Debido a que la planeación estratégica toma en cuenta a la empresa en su totalidad, ésta debe
ser realizada por la cúpula de la empresa y ser proyectada a largo plazo, teóricamente para
un periodo de 5 a 10 años, aunque en la práctica, hoy en día se suele realizar para un periodo
de 3 a un máximo de 5 años, esto debido a los cambios constantes que se dan el mercado.
Sobre la base de la planeación estratégica es que se elaboran los demás planes de la empresa,
tantos los planes tácticos como los operativos, por lo que un plan estratégico no se puede
considerar como la suma de éstos.
Como todo planeamiento, la planeación estratégica es móvil y flexible, cada cierto tiempo
se debe analizar y hacer los cambios que fueran necesarios. Asimismo, es un proceso
interactivo que involucra a todos los miembros de la empresa, los cuales deben estar
comprometidos con ella y motivados en alcanzar los objetivos. (Fred, 2008)
1.2.2. Plan estratégico
“El plan estratégico es una herramienta que nos permite marcarnos el camino para llegar a
un lugar concreto. Difícilmente podremos elaborarlo si no sabemos dónde nos encontramos
y a dónde queremos ir. Este es, por lo tanto, el punto de partida”. (Aguirre, 2008) Toda
empresa diseña planes estratégicos para el logro de sus objetivos y metas planteadas, estos
planes pueden ser a corto, mediano y largo plazo, según la amplitud y magnitud de la
empresa.
También es importante señalar que la empresa debe precisar con exactitud y cuidado la
misión que va a regir a la empresa, la misión es fundamental, ya que esta representa las
funciones operativas que va a ejecutar en el mercado y va a suministrar a los consumidores.
La esencia de la planeación estratégica consiste en la identificación sistemática de las
12
importantes proporcionan la base para que una empresa tome mejores decisiones en el
presente para explotar las oportunidades y evitar los peligros. (Aguirre, 2008)
1.2.3. Planeación tecnológica
La Planeación Tecnológica es un asunto estratégico, pero muchas empresas no siempre lo
visualizan de esta manera. No pocos directivos piensan que la planeación de la tecnología
viene después de que la estrategia del negocio ya fue definida y, en casi todos estos casos,
sus estrategias tecnológicas se limitan decidir si compran la tecnología que creen que
necesitan o si mejor la desarrollan ellas mismas.
Las empresas que manejan la tecnología como algo real ESTRATEGICO, se distinguen de
las demás en varios aspectos:
Tienen muy claro y valoran el IMPACTO de la tecnología en su competitividad.
Saben que deben aprovechar el POTENCIAL de su tecnología actual para no
perder la ventaja que tienen sobre sus competidores.
Conocen bien en qué son tecnológicamente COMPETENTES y en dónde no lo son.
Tienen a ALGUIEN al cuidado cotidiano de los asuntos tecnológicos y que también
participa de manera directa en la toma de las decisiones estratégicas” (Gtecnologia,
2011).
1.2.4. Planeación informática
Se entendería a la planificación informática como el proceso de ordenar y organizar las
actividades informáticas para que estas se constituyan en un apoyo fundamental al proceso
gerencial o científico.
El plan informático se lo podría definir como el camino mediante el cual podemos marcar el
avance tecnológico de la empresa, para que se logre un mayor apoyo a la gestión gerencial
y por ende al desarrollo empresarial. De esto se deduce que el plan informático se constituye
en una herramienta gerencial con características técnicas y forma parte de la planificación
13
sino, por el contrario debe estar perfectamente unida al resto de departamentos de la empresa
(Ventas, finanzas, producción, calidad, personal etc.). (Triviño, 2010)
1.2.5. Plan informático
Un Plan Informático es un proceso, expresado en un documento escrito y conocido por todos
los usuarios del CPD, el cual empieza con el desarrollo de objetivos, define estrategias y
políticas para alcanzar tales objetivos, desarrolla planes detallados para asegurar que las
estrategias se sigan con el fin de que tales objetivos se realicen en términos de productos y
resultados concretos medibles por el CDP, por los usuarios y por el nivel Director de la
empresa y/u Organización, en parámetros no técnicos y exentos de ambigüedad.
Un Plan Informático, no es un método para resolver problemas corrientes en cortos períodos,
puesto que no permite competir con cambios inesperados, esto no es un indicador de un error
de concepto, pero prueba el riesgo adquirido en las actividades del plan. Un Plan Informático
debe contemplar un horizonte que alcanza un período variable entre 3 y 5 años dependiendo
del tamaño de la Institución. No obstante el mismo debe ser revisado por lo menos en
períodos anuales, y reformulado cada vez que se modifiquen en forma sustancial los
objetivos y metas planteados por el nivel Directivo de la Organización.
Un Plan Informático además de un presupuesto de gastos, es un conjunto de planes
interrelacionados cuya finalidad es básicamente satisfacer las necesidades de información
que el Sistema de Decisiones de la Institución requiere, en la Cantidad, Calidad, Oportunidad
y Forma que cada Nivel necesita o anterior debe ser considerado en el marco de la velocidad
de desarrollo y de la cantidad de alternativas, (siempre crecientes), que el mercado de
Informática ofrece (Triviño, 2010).
1.2.5.1. Consideraciones mínimas que debe contener un plan informático
a) ¿Cuáles son los objetivos y funciones del Departamento de Procesamiento de Datos
o Centro de Informática.
14
c) ¿Qué nivel de recursos se requiere para una operación estable, considerando el Plan
de Sistemas vigentes?
d) ¿Qué actividades tenderán a, o podrían ser discordantes?
e) ¿Cuáles son los factores de riesgo para el Plan General y para cada Plan
Componente?
f) ¿Qué nivel de crecimiento se puede esperar para cada tarea y/o actividad de cada
Plan Componente?
g) Debido al cambio tecnológico constante qué probabilidades existen en el mediano o
largo plazo de:
• Instalar un nuevo computador o uno más grande • Cambiar de sistemas operativos
• Cambiar de filosofía de proceso, vale decir:
- Proceso Centralizado
- Proceso Descentralizado
- Proceso Distribuido
- Una combinación de las anteriores
h) ¿Qué impacto tendrán las preguntas anteriores en términos de Recursos,
Capacitaciones, Programa de Desarrollo y Cual será la magnitud del esfuerzo
involucrado?
i) ¿Cuál es el impacto en los usuarios de los sistemas en cuestión y de las tecnologías
para su desarrollo y explotación? (Triviño, 2010)
1.2.5.2. Sistemas de Información formales e informales
La diferencia entre formal e informal suele basarse en que quede constancia escrita o no. La
diferencia entre público o privado suele centrarse en la pertenencia a la empresa o al
individuo.
El SIG basado en ordenadores es parte del SI público formal, sin embargo la última corriente
de usuarios finales, sobre todo en lo que se refiere a aplicaciones de PCs, da también lugar a
15
Es interesante resaltar la importancia de estos subsistemas, porque todos ellos ocupan un
lugar necesario en la empresa. Así, el SI público formal se caracteriza por pertenecer más a
la posición que al individuo, sobreviviendo, en consecuencia, al cambio de personal.
Simultáneamente proporciona un esquema de conceptos de la empresa común a todos,
aumentando así la eficacia de comunicación y liberando tiempo para otras actividades.
El peligro de este sistema reside en que adquiera excesiva prepotencia y pase a dictar el
comportamiento del personal de la empresa, en lugar de enriquecer a dicho comportamiento.
Además, el coste de desarrollo y mantenimiento es alto, el tiempo de respuesta puede ser
lento (recoger datos, introducirlos, tratarlos), la fiabilidad en muchos casos puede ser baja
(errores, asunciones, limitaciones de los modelos, tendencia a seleccionar información fácil
de medir). Por otro lado, muchas decisiones importantes, en especial las más altas en la
pirámide de gestión, necesitan información recibida a través de canales informales e incluso
no formalizables. (Jiménez, 2009)
1.2.6. Auditoria informática
“La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva eficazmente los fines de la organización y utiliza eficazmente los recursos.”
16
Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen",
"metódico", "puntual" y “objetivo": (Quinn, 2008)
La auditoría informática es un examen, pues se verifica o comprueba el sistema informático actualmente en uso.
Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual,
ya que se realiza en un momento determinado y bajo petición de la dirección.
Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informática para buscar la objetividad requerida. (Quinn, 2008)
1.2.6.1. Síntomas de necesidad de una auditoria informática
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases.
Síntomas de descoordinación y desorganización:
o No coinciden los objetivos de la informática de la empresa y de la propia compañía.
AUDITORIA
REAL
IDEAL
COMPARACIONES
DIFERENC IA
OBSERVACION ES
Figura Nº 1: Esquema del concepto clásico de Auditoría
17
Síntomas de mala imagen e insatisfacción de los usuarios:
o No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio de
Software en los computadores.
o No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
o No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Síntomas de debilidades económico-financiero:
o Incremento desmesurado de costes.
o Necesidad de justificación de inversiones informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).
o Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo
de proyectos y al órgano que realizó el pedido).
Síntomas de inseguridad: Evaluación de nivel de riesgos:
o Seguridad lógica.
o Seguridad física.
o Confidencialidad.
Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización
de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección requisitos legales, protección
de confidencialidad y cobertura ante errores y fraudes. (Álvarez, 2015)
(Hernández Alonso, 2011) “conceptualmente la auditoría toda y cualquiera auditoría, es la
actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a
análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones
que le han sido prescritas”.
De aquí se deduce la importancia de establecer una opinión objetiva fundada en las
18
funcionamiento de cualquier área a auditar y su ejecución real en la organización, y
comunicarlas a las personas correspondientes.
Se plantea que una de las formas de Auditoría Informática aplicado a Entidades Públicas es
el proceso orientado a la identificación de riesgos y controles en la gestión de las tecnologías
de información, para su efectivo apoyo al logro de los objetivos de la institución, para el
cumplimiento de sus metas estratégicas, asociado a la nueva economía digital en la que se
desenvuelve. (Ramírez & Álvarez, 2008)
Por un lado la identificación de riesgos nos sirve para determinar el nivel de exposición de
la institución al inadecuado uso de los servicios que brinda la tecnología de la información,
pero además permite gestionar los riesgos, implementando controles que están orientados a
evitarlos, transferirlos, reducirlos o asumirlos gerencialmente. Por tanto, es necesario definir
ambos conceptos: riesgos y controles:
Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos establecidos como negocio y que en el tiempo dicha situación genere debilidades en el control interno
GESTIÓN DE LAS TECNOLOGÍAS
Gestión Ideal de las
Tecnologías de Información
Gestión Real de las
Tecnologías de Información
Comparacione
Diferencia s
RIESGOS
CONTROLE S
Figura Nº 2: Esquema de Auditoría Informática de la gestión de tecnologías de información
19
Control: Un control establece las medidas implementadas en las entidades con la finalidad de reducir los riesgos existentes y proteger los activos más importantes.
(Álvarez, 2015)
En la siguiente figura se visualiza la estrategia utilizada para la implantación de las mejores
prácticas de control. Es un proceso de benchmarking. Que toma en cuenta las mejores
recomendaciones internacionales, como las contenidas en el cobit, las utilizadas por
empresas de prestigio internacional, las normas internacionales de auditoría, entre otros; los
que permiten obtener altos niveles de seguridad, fiabilidad y conformidad en la gestión de
la tecnología de la información.
Los riesgos de tecnologías de información que afectan a las entidades Públicas están
relacionados con 3 aspectos básicamente:
Dependencia en el uso de tecnología de información: Relacionada con el uso que efectúa la entidad y la importancia que representa para el desarrollo de sus
operaciones.
Confiabilidad en el uso de tecnología de información: Relacionada con resultados del procesamiento de datos y que no requieren trabajo manual por los usuarios para
complementar la información.
Proceso de Benchmarking
¿Cómo eliminarlos, transferirlos y
reducirlos?
RIESGOS CONTROLES
MEJORES PRÁCTICAS Estándares
Internacionales COBIT
NAGU
MAGU
Figura Nº 3: Esquema de implementación de controles
20
Cambios en la tecnología de información: Relacionado con la automatización de los procesos principales de la entidad y la adecuación de esos procesos
automatizados a nuevas necesidades de la entidad motivados por regulación o por
modernización para mantenerse competitivos o lograr su acreditación. (Ramírez &
Álvarez, 2008)
Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos y
mejores controles, que permitan entregar servicios tecnológicos con calidad y eficiencia, que
a su vez permitirá que cualquier empresa alcance un mejor posicionamiento y acreditación
dentro de las instituciones de este ramo tanto dentro como fuera del país, apoyando de esta
manera a los distintos procesos que está emprendiendo para alcanzar la visión que se ha
planteado. (Ramírez & Álvarez, 2008)
Figura Nº 4: Visión sistemática de la auditoria informática
Fuente:http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/audito
ria.pdf
Las etapas para establecer un sistema de control son las siguientes:
21
considerado deseable. Este es el primer elemento a establecer para instrumentar un
sistema de control. En esta especificación se deberán incluir, entre otros, la precisión
con que se medirá el parámetro a verificar, el método de medición y el instrumento
sensible que se aplicará, la periodicidad en la aplicación y hasta los responsables de esta
tarea.
Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables. En esta etapa se investiga (más o menos extensamente) acerca de las causas
de las desviaciones que acompañarán un informe con las discrepancias detectadas, para
ser fuente de información de la siguiente fase.
La determinación de acciones correctivas es la tercera etapa. Lleva implícita una decisión: corregir o dejar como está. Obviamente será más certera y económica la
solución de la discrepancia mientras más correcto sea el diagnóstico hecho en la etapa
anterior.
La ejecución de las acciones correctivas es el último paso. Sin éste, el control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó
solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una
acción de control. (Castello, 2006)
1.2.6.2. Aspectos a considerar en auditoría informática
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos
relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe ser medida mediante
el análisis de tres valores fundamentales: la evaluación de los costes actuales, la comparación
de esos costes actuales con magnitudes representativas de la organización, y la comparación
de los costes del sistema de información de la empresa con los de empresas similares,
preferentemente del mismo sector de actividad.
Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la
22
Evaluación de los costos actuales. Conocer, en términos económicos, los costes que para una
empresa supone su sistema de información, constituye uno de los aspectos básicos de la
auditoría informática. Se trata de cuantificar los costes de los distintos elementos que
configuran el sistema de información y que en términos generales son los siguientes:
Hardware. Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha evolución. Es importante conocer el coste del material (unidad
central, periféricos, soporte) durante los últimos cinco años. También será necesario
analizar la utilización de cada elemento hardware de la configuración, cifrándola en
horas/mes, asegurando que la configuración utilizada se corresponde con el menor
valor utilización/coste, y examinar la coherencia del mismo.
Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la explotación (adecuación del sistema operativo, versión del software
utilizado) como en los aspectos relativos a la programación de las distintas
aplicaciones (prioridades de ejecución, lenguaje utilizado).
Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes de información, tanto internas como externas de la empresa.
Grabación de datos. Es necesario conocer también los costes relativos a la transcripción de datos en los soportes adecuados (costes de personal, equipos y
máquinas auxiliares).
Explotación. Análisis de los costes imputados a los factores relativos a la explotación en sentido amplio (tratamiento manual, tiempos de realización de
aplicaciones, tiempo de respuesta, control errores, etc.)
Aplicaciones. Se trata de evaluar los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes
de desarrollo de cada aplicación medido en horas.
Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorías, equilibrio entre esas categorías, remuneraciones salariales, horas
extraordinarias), se trata de analizar los costes de personal directamente relacionado
con el sistema de información. En este apartado deberán tenerse en cuenta también
23
Documentación. Es necesario no sólo verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa, sino también los
costes relativos a su elaboración y actualización.
Difusión de la información. Se trata de evaluar los costes de difundir la información, es decir, hacer llegar a los usuarios del sistema la información demandada o aquella
considerada necesaria en los distintos niveles de la organización. (Melo, 2005)
1.2.6.3. Función de auditoría informática
Para tratar de definir el perfil de un auditor informático, la definición más exacta, quizás, es
que es un profesional dedicado al análisis de sistemas de información informatizados que
está especializado en alguna de las múltiples ramas de la auditoría informática, que tiene
conocimientos generales de los ámbitos en los que ésta se mueve, que tiene conocimientos
empresariales generales, y que además:
Posea las características necesarias para actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y de
gestión que le sean propios.
Que pueda actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado, puede ser un entorno ineficiente si
no es consistente con los objetivos de la organización.
El eterno problema que se ha suscitado durante mucho tiempo es si el auditor informático,
al no existir tal formación académica en nuestro país, tenía que ser un auditor convertido en
informático, o por el contrario un informático reciclado como auditor informático. En las
experiencias habidas, los éxitos y los fracasos se acumulaban por igual en ambos orígenes.
(Soto, 2012)
1.2.6.4. Perfiles profesionales de la función de Auditoría Informática
A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor informático debe
ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado
24
De esta forma, dentro de la función de auditoría informática, se deben contemplar las
siguientes características para mantener un perfil profesional adecuado y actualizado:
La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática general.
Estos últimos deben contemplar conocimientos básicos en cuanto a:
Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto
de desarrollo.
Gestión del departamento de sistemas.
Análisis de riesgos en un entorno informático.
Sistema operativo (este aspecto dependerá de varios factores, pero
principalmente de si va a trabajar en un entorno único -auditor interno o, por el
contrario, va a tener posibilidades de trabajar en varios entornos como auditor
externo).
Telecomunicaciones.
Gestión de bases de datos.
Redes locales.
Seguridad física.
Operaciones y planificación informática; efectividad de las operaciones y del
rendimiento de los sistemas.
Gestión de la seguridad de los sistemas y de la continuidad empresarial a través
de planes de contingencia de la información.
Gestión de problemas y de cambios en entornos informáticos.
Administración de datos.
Ofimática.
Comercio electrónico.
Encriptación de datos. (Soto, 2012)
A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en
un entorno empresarial. Así, en un entorno financiero pueden tener mucha
importancia las comunicaciones, y será necesario que alguien dentro de la función
25
válido para un entorno productivo en el que las transacciones pueden ser más
importantes.
Uno de los problemas que más han incidido en la escasa presencia de auditores informáticos en nuestro país, es quizás la a veces escasa relación entre el trabajo de
auditoría informática y las conclusiones con el entorno empresarial donde se ubicaba
la entidad auditada.
Esta sensación de que las normas van por sitios diferentes de por dónde va el negocio
ha sido fruto muchas veces de la escasa comunicación entre el auditado (objetivos
empresariales) y el auditor (objetivos de control). Como quiera que la cruda realidad
nos está demostrando en la actualidad cada vez más la necesidad de cada vez mayor
control en los sistemas de información, se hace necesario para el auditor informático
conocer técnicas de gestión empresarial, y sobre todo de gestión del cambio, ya que
las recomendaciones y soluciones que se aporten deben estar en la línea de la
búsqueda óptima de la mejor solución para los objetivos empresariales que se
persiguen y con los recursos que se tienen.
El auditor informático debe tener siempre el concepto de Calidad Total (últimamente también llamado Excelencia Empresarial). Como parte de un colectivo empresarial,
bien sea permanentemente como auditor interno o puntualmente como auditor
externo, el concepto de calidad total hará que sus conclusiones y trabajo sea
reconocido como un elemento valioso dentro de la organización y que los resultados
sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia
imagen del auditor informático sea más reconocida de forma positiva por la
organización. (Soto, 2012)
1.2.6.5. Organización de la función de auditoría Informática
Según lo que hemos comentado hasta ahora, la función de auditoría informática ha pasado
de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla
un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia que para las
26
estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial,
en el que va a ser analista, auditor y asesor en materias de:
Seguridad.
Control interno operativo.
Eficiencia y eficacia
Tecnología informática.
Continuidad de operaciones.
Gestión de riesgos no solamente de los sistemas informáticos objeto de su estudio,
sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el
contexto empresarial.
Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de la empresa? Está
claro que en este caso estamos hablando de una función interna de auditoría informática.
La concepción típica en las empresas españolas hasta ahora, es la de que la función de
auditoría informática está entroncada dentro de lo que es la función de auditoría interna con
rango de subdepartamento. Esta concepción se basa en el nacimiento histórico de la
auditoría informática y en la dificultad de separar el elemento informático de lo que es la
auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de los
sistemas de información que los soportan. (Soto, 2012)
La organización tipo de la auditoría informática, debe contemplar los siguientes principios:
Su localización puede estar ligada a la localización de la auditoría interna operativa y financiera, pero con independencia de objetivos (aunque haya una coordinación
lógica entre ambos departamentos), de planes de formación y de presupuestos.
La organización operativa tipo debe ser la de un grupo independiente del de auditoría interna, con una accesibilidad total a los sistemas informáticos y de información, e
idealmente dependiendo de la misma persona en la empresa que la auditoría interna,
que debería ser el director general o consejero delegado. Cualquier otra dependencia
puede dar al traste con la imagen del auditor informático y consecuentemente con la
27
La dependencia, en todo caso, debe ser del máximo responsable operativo de la organización, nunca del departamento de organización o del de sistemas (abundan
los casos en que esta dependencia existe), ni del departamento financiero
administrativo.
La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o esté trabajando en auditoría informática.
Los recursos humanos con los que debe contar el departamento deben contemplar una mezcla equilibrada entre personas con formación en auditoría y organización y
personas con perfil informático. No obstante, este perfil genérico debe ser tratado
con un amplio programa de formación en donde se especifiquen no sólo los objetivos
de la función, sino también de la persona.
Este personal debe contemplar entre su titulación la certificación CISA como un elemento básico para comenzar su carrera como auditor informático. (Soto, 2012)
1.2.6.6. Ejemplo de Auditoria Informática
Alcance. La auditoría se realizará sobre los sistemas informáticos en computadoras
personales que estén conectados a la red interna de la empresa.
Objetivo. Tener un panorama actualizado de los sistemas de información en cuanto
a la seguridad física, las políticas de utilización, transferencia de datos y seguridad
de los activos.
Recursos El número de personas que integraran el equipo de auditoria será de tres,
con un tiempo máximo de ejecución de 3 a 4 semanas. (Universidad Pontificia, 2008)
Recopilación de información básica
Una semana antes del comienzo de la auditoria se envía un cuestionario a los gerentes o
responsables de las distintas áreas de la empresa. El objetivo de este cuestionario es saber
los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de
distribuir este cuestionario a los distintos empleados con acceso a los computadores, para
28
Es importante también reconocer y entrevistarse con los responsables del área de sistemas
de la empresa para conocer con mayor profundidad el hardware y el software utilizado.
En las entrevistas incluirán:
Director / Gerente de Informatica
Subgerentes de informatica
Asistentes de informatica
Tecnicos de soporte externo (Universidad Pontificia, 2008)
Identificación de riesgos potenciales
Se evaluara la forma de adquisición de nuevos equipos o aplicativos de software. Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los estándares
de la empresa y los requerimientos mínimos para ejecutar los programas base. Dentro de los
riesgos posibles, también se contemplaran huecos de seguridad del propio software y la
correcta configuración y/o actualización de los equipos críticos como los cortafuegos. Los
riesgos potenciales se pueden presentar de la más diversa variedad de formas. (Universidad
Pontificia, 2008)
Objetivos de control
Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad, emergencia
y desastre recovery de la empresa.
Se hará una revisión de los manuales de política de la empresa, que los procedimientos de
los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que
puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
29
Determinación de los procedimientos de control
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos
definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware
El hardware debe estar correctamente identificado y documentado.
Se debe contar con todas las órdenes de compra y facturas con el fin de contar
con el respaldo de las garantías ofrecidas por los fabricantes.
El acceso a los componentes del hardware esté restringido a la directo a las
personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de fechas, problemas,
soluciones y próximo mantenimiento propuesto.
Objetivo N 2: Política de acceso a equipos
Cada usuario deberá contar con su nombre de usuario y contraseña para acceder
a los equipos.
Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando
mayúsculas y minúsculas).
Los usuarios se desloguearan después de 5 minutos sin actividad.
Los nuevos usuarios deberán ser autorizados mediante contratos de
confidencialidad y deben mantenerse luego de finalizada la relación laboral.
Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).
(Universidad Pontificia, 2008)
Pruebas a realizar
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los
objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:
Tomar 10 máquinas al azar y evaluar la dificultad de acceso a las mismas.
