Planificación informática para la gestión operativa en el Gobierno Provincial de Sucumbios

(1)

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES “UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES CARRERA DE SISTEMAS

PROYECTO DE EXAMEN COMPLEXIVO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS E INFORMATICA.

TEMA:

“PLANIFICACIÓN INFORMÁTICA PARA LA GESTIÓN OPERATIVA EN EL GOBIERNO PROVINCIAL DE SUCUMBIOS”

AUTOR: SORIA BUSTOS BRYAN ALEJANDRO

ASESOR: ING. BAÑO NARANJO FREDDY PATRICIO

(2)

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

CERTIFICACÍON

Quien subscribe, legalmente CERTIFICA QUE: El presunto Trabajo de Titulación realizado por el señor, Bryan Alejandro Soria Bustos, estudiante de la Carrera de Sistemas, facultad de Sistemas Mercantiles, con el Tema “PLANIFICACIÓN INFORMÁTICA PARA LA GESTIÓN OPERATIVA EN EL GOBIERNO PROVINCIAL DE SUCUMBIOS”, ha sido prolijamente revisado, y cumple con todos requisitos establecidos en la normativa pertinente de la Universidad Regional Autónoma de los Andes -UNIANDES-, por lo que apruebe su presentación.

Ambato, Julio de 2017

(3)

DECLARACIÓN DE AUTENTICIDAD

Yo, Bryan Alejandro Soria Bustos, estudiante de la Carrera de Sistemas, facultad de Sistemas Mercantiles, declaro que todos los criterios emitidos en el Trabajo de Investigación, previo a la obtención del título de INGENIERO EN SISTEMAS E INFORMATICA, son absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.

____________________________________ BRYAN ALEJANDRO SORIA BUSTOS C.I. 2100372685

(4)

DERECHOS DE AUTOR

Yo, Bryan Alejandro Soria Bustos, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en la Universidad o por cuenta de ella;

____________________________________ BRYAN ALEJANDRO SORIA BUSTOS C.I. 2100372685

(5)

DEDICATORIA

En primera instancia mi agradecimiento es a Dios por darme la vida y permitir toda la ayuda y bendición que él me brinda, el esfuerzo se vea reflejado en obtener los conocimientos adquiridos.

A la ayuda incondicional de mi madre Rosita Bustos, su esfuerzo y sacrificio está reflejado en este trabajo.

A mi padre Fredy Soria que desde el cielo me bendice cada día para ser una buena persona y muy profesional.

A mis hermanos Paul y Fredy que siempre están con migo. A Tony Chiriboga que siempre me apoya en mis decisiones.

A mis primos Patricio, Luis, Juanito Córdova por toda la ayuda que me han dado siempre y los consejos que me dicen para bien.

(6)

AGRADECIMIENTO

Mi agradecimiento a la Universidad UNIANDES, a sus autoridades, sus docentes y administrativo por impartir sus valores en todo este tiempo su conocimiento y facilidades brindadas en la realización del presente trabajo.

A el Ing. Freddy Baño, Asesor de tesis por su paciencia y su bondad al brindar todo su conocimiento en este proyecto. Al director de la carrera el Ing. Carlos Martínez por su apoyo constante en mis años de educación.

También expresar mis agradecimientos a todos los Bibliotecarios/as que me abrieron las puertas de la biblioteca para obtener información.

(7)

ÍNDICE GENERAL

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN DECLARACIÓN DE AUTENTICIDAD

DERECHOS DE AUTOR DEDICATORIA

AGRADECIMIENTO ÍNDICE GENERAL ÍNDICE DE FIGURAS ÍNDICE DE GRÁFICOS ÍNDICE DE TABLAS

INDICE DE ILUSTRACIONES RESUMEN

ABSTRACT

INTRODUCCIÓN ... 1

Antecedentes de la investigación ... 1

Situación problemática ... 2

Formulación del problema ... 3

Objeto de investigación ... 3

Campo de acción ... 3

Identificación de la línea de investigación ... 3

(8)

Objetivos específicos ... 4

Idea a defender ... 4

Justificación ... 4

CAPITULO I ... 6

1. MARCO TEÓRICO ... 6

1.1. Planificación ... 6

1.1.1. Planeación estratégica ... 7

1.1.2. Plan estratégico ... 8

1.1.3. Planeación tecnológica ... 8

1.1.4. Planeación informática ... 9

1.1.5. Plan informático ... 9

1.1.5.1. Consideraciones mínimas que debe contener un plan informático ... 10

1.1.5.2. Sistemas de Información formales e informales ... 11

1.1.6. Auditoria informática ... 11

1.1.6.1. Síntomas de necesidad de una auditoria informática ... 12

1.1.6.2. Aspectos a considerar en auditoría informática ... 17

1.1.6.3. Función de auditoría informática ... 18

1.1.6.4. Perfiles profesionales de la función de Auditoría Informática ... 19

1.1.6.5. Organización de la función de auditoría Informática ... 21

1.1.6.6. Ejemplo de Auditoria Informática ... 23

(9)

1.1.7. Redes ... 29

1.1.7.1. Clasificación de redes ... 33

1.1.7.2. Redes inalámbricas ... 34

1.1.8. Gestión operativa ... 35

1.1.8.1. Control de gestión... 35

1.1.8.2. Los instrumentos del control de gestión ... 36

1.1.8.3. La función de la gestión operativa ... 39

Conclusiones parciales del capítulo. ... 43

CAPITULO II ... 44

2. MARCO METODOLÓGICO ... 44

2.1. Caracterización del Sector ... 44

2.1.1. Gobierno Provincial de Sucumbíos ... 44

2.2. Modalidad de la investigación ... 46

2.3. Tipos de investigación ... 46

2.4. Población y muestra ... 47

2.5. Métodos, técnicas e instrumentos ... 48

2.6. Tabulación de resultados ... 50

Encuesta realizada a los Usuarios de los Servicios del Gobierno Provincial de Sucumbíos 50 Entrevista al Prefecto ... 62

(10)

CAPITULO III ... 66

3. MARCO PROPOSITIVO ... 66

3.1. Tema: ... 66

3.2. Introducción ... 66

3.3. Objetivos de la Propuesta ... 67

3.3.1. Objetivo General ... 67

3.3.2. Objetivos Específicos ... 67

3.4. Desarrollo de la propuesta ... 67

3.4.1. Metodología de elaboración ... 68

3.4.2. Foda tecnológico de la institución ... 73

3.4.3. Auditoria informática inicial ... 74

3.4.4. Áreas estratégicas de la planificación informática ... 80

3.4.4.1. Políticas de hardware ... 80

3.4.4.2. Red de datos ... 82

3.4.4.3. Red MAN Gobierno Provincial ... 87

3.4.5. Políticas de seguridad informática ... 89

3.4.5.1. Seguridades en redes inalámbricas ... 89

3.4.5.2. Pasos prácticos... 90

3.4.5.3. Sistema de Detección de Intrusos (IDS) ... 90

3.4.5.4. Sistema de Prevención de Intrusión ... 91

(11)

3.4.6.1. Sistema operativo ... 96

3.4.7. Portal web ... 98

3.5. Resumen del plan de estrategias ... 98

CONCLUSIONES ... 100

RECOMENDACIONES ... 101 BIBLIOGRAFIA

(12)

ÍNDICE DE FIGURAS

Figura Nº 1: Esquema del concepto clásico de Auditoría ... 12

Figura Nº 2: Esquema de Auditoría Informática de la gestión de tecnologías de información ... 14

Figura Nº 3: Esquema de implementación de controles ... 15

Figura Nº 4: Visión sistemática de la auditoria informática ... 16

Figura Nº 5: Ciclo de vida de una auditoría ... 29

Figura Nº 6: Esquema de una Red LAN ... 33

Figura Nº 7: Esquema de una Red WAN... 34

Figura Nº 8: Red de Datos ... 83

Figura Nº 9: Red de Datos ... 84

Figura Nº 10: Esquema Red MAN ... 87

Figura Nº 11: Cisco ASA with IPS Product Family ... 91

ÍNDICE DE GRÁFICOS Gráfico Nº 1: Sello Gobierno Provincial de Sucumbios ... 44

Gráfico Nº 3: Estructura general de la Propuesta ... 64

(13)

ÍNDICE DE TABLAS

Tabla Nº 1: Población ... 47

Tabla Nº 2: Estratificación de la muestra ... 48

Tabla Nº 3: Resultados de la pregunta 1 ... 50

Tabla Nº 15: Distribución de computadores ... 75

Tabla Nº 18: Direcciones IP de la red ... 86

Tabla Nº 19: Dispositivos para la red MAN ... 88

(14)

INDICE DE ILUSTRACIONES

Ilustración Nº 1: Resultado de la pregunta 1 ... 50

Ilustración Nº 13: Esquema de rendimiento ... 92

(15)

RESUMEN

La administración de las instituciones públicas hoy en día está fuertemente apoyada por la tecnología, esto debido a que toda la gestión operativa que se desarrolla en base a procesos requiere de aspectos informáticos para su ejecución, estos aspectos informáticos son tanto en software como en hardware. Por esta razón es que cada vez las entidades incrementan su parque tecnológico, el mismo que está formado por computadoras, sistemas, redes e Internet.

El incremento de los equipos y de las redes obliga a que dicha adquisición, ubicación y utilización sea realizada de forma planificada.

En la parte inicial del trabajo investigativo se plantea la problemática relacionada con la ausencia de una planificación tecnológica de la institución lo que genera que muchas veces se hacen compras duplicadas, no se realizan mantenimientos adecuados, se complica la expansión y en definitiva se complica la actividad operativa.

El fundamento teórico está relacionado con la planificación en general, dentro de ella se analiza la planificación informática, también se fundamenta aspectos relacionados como la auditoria informática, las redes y varias herramientas de desarrollo de sistemas.

La investigación de campo confirma la sintomatología descrita en la parte inicial del trabajo investigativo, se hicieron encuestas a los usuarios así como también al personal administrativo, el Sr. Prefecto también fue entrevistado y de manera general se ratificó la problemática descrita.

(16)

ABSTRACT

Nowadays, the management of the public institutions is strongly supported by technology. Because the operational management is developed taking into account processes, it requires technological aspects for its implementation. This technological aspects are: software and hardware. Therefore, the institutions increase their technological park which is made up by computers, systems, networks and internet.

The increase of the computerized equipment and networks requires that its procurement, localization, and use are developed in a planned way.

In the first section of this research, the problem related with the lack of technology planning in the institution is presented. As a consequence, duplicate purchases are performed, adequate maintenance is not performed. The expansion stops. As a result, the operational management cannot perform its best.

The theoretical basis is related with the general planning, the IT planning is analysed. Moreover, related aspects such us: computer auditing, the networks, and the various tools for the development of systems are underlined.

The field research confirms the situation described above. Surveys were carried out to the users, as well as to the administrative staff. The prefect was also interviewed and the situation described was confirmed.

(17)

1

INTRODUCCIÓN Antecedentes de la investigación

La administración estratégica es el arte y la ciencia de formular, implementar y evaluar las decisiones interfuncionales que permiten a la organización alcanzar sus objetivos. Integra a la administración, mercadotecnia, finanzas y contabilidad, producción y operaciones, investigación y desarrollo y los sistemas computarizados para el éxito de la empresa (David, 2012).

La incorporación de Tecnologías de Información (TI) en las empresas y organizaciones, es uno de los temas principales a considerar hoy, la necesidad de TI para generar una venta competitiva se hace evidente, esto ha producido una creciente demanda en el desarrollo de los sistemas de información, y demás componentes tecnológicos de infraestructura para dar soporte a las actividades empresa /organización / negocio. Sin embargo es una realidad que el riesgo de las organizaciones también se ha incrementado. (Clempner J., 2008)

La administración de recurso, consolidación e integración de los diferentes aspectos tecnológicos se ha vuelto un atarea compleja, esto ha generado en múltiples ocasiones procesos llenos de amenazas y cuellos de botella.

Luego de realizar una revisión inicial en la biblioteca de Uniandes sobre las tesis de grado presentadas, se debe manifestar que lamentablemente no existen muchos trabajos relacionados con la planificación informática, a nivel de postgrado, se puede señalar el trabajo de la (Magister Zambrano, 2012) con su tema “Plan informático para la gestión operativa en la Universidad Técnica de Manabí, Campus en el Carmen” y del (Magister Fernández, 2006) con su tema “Plan informático para la gestión operativa de la empresa Ecocen”.

(18)

2

Por otro lado se consultó sobre el tema, en la página Web de la Universidad Complutense de Madrid (www.ucm.edu.es) se concluyó que la elaboración del Plan Informático de la UCM y su aprobación por Junta de Gobierno y Consejo Social dotó a la Universidad de una estructura informática, de unos recursos materiales y de la definición de objetivos necesarios, estructurados en proyectos, que ha permitido el crecimiento ordenado y eficaz del uso y aplicación de herramientas informáticas en la gestión e investigación.

El cambio ha sido tan importante que se puede afirmar sin temor a equivocarse que la Universidad Complutense se encuentra en estos momentos entre las universidades españolas que mayor uso hace de herramientas informáticas para su funcionamiento.

Situación problemática

En nuestro país se tiene establecido que son pocas organizaciones las que pueden enfrentar crisis administrativas por la falta de planificación tecnológica e informática, para ello existen empresas que se dedican a ofrecer servicios que resguardan la integridad de la información y tecnificación del hardware y comunicación sin interferencia. Por tanto en nuestro país debe existir un órgano regulador informático, que invite a las empresas a formar parte de éste para el mejor desenvolvimiento y desarrollo de las empresas de nuestro país.

El Gobierno provincial de Sucumbíos, se encuentra ubicado en la región Oriental de nuestro País. Actualmente el prefecto es el Sr. Guido Vargas Ocaña. Los departamentos con que cuenta el Gobierno provincial de Sucumbíos son: Obras públicas, financiero, planificación, desarrollo social, asesoría jurídica.

En calidad de usuario y como técnico en Sistemas, se ha podido observar algunas deficiencias relacionadas con el apoyo que debe brindar la tecnología informática a la gestión operativa provincial, así tenemos:

Tecnológicamente no se ha realizado una auditoria informática de recursos existentes, para evaluar su funcionabilidad y utilización.

No se ha organizado la renovación tecnológica de cada dependencia, cada una de ellas solicita lo que cree necesario para su trabajo.

(19)

3

No se ha explotado avances tecnológicos como el Internet, redes inalámbricas y voz sobre IP.

No se ha intentado integrar a los servicios que ofrece, el apoyo de nuevas herramientas informáticas que permitirían mejorar dichos servicios.

No se han establecido políticas de mantenimiento periódico preventivo dentro de la Institución.

Muchos departamentos no tienen redes estructuradas ni inalámbricas. No se han definido políticas para cambiarse al software libre.

No existe un plan para la renovación estándar de equipos, etc.

En resumen, en el departamento de sistemas se observó que no existe un buen manejo en cuanto al uso de hardware y software, no poseen un plan emergente informático que permita garantizar la seguridad de la información, no se ha realizado una auditoria informática, no se diseñado un plan de seguridad informática, tampoco un plan de contingencia, no hay políticas sobre el manejo de la red, etc.

Formulación del problema

¿Cómo mejorar la gestión operativa del Gobierno Provincial de Sucumbíos? Objeto de investigación

Procesos informáticos. Campo de acción

Planificación tecnológica.

Identificación de la línea de investigación Tecnologías de Información y Comunicaciones. Objetivo general

(20)

4 Objetivos específicos

 Fundamentar científicamente la planificación informática y la gestión operativa.

 Diagnosticar la gestión operativa en el Gobierno Provincial de Sucumbíos, y el grado de apoyo que brinda a la misma la tecnología informática.

 Desarrollar una planificación informática, que contenga estrategias que articulen todos los recursos en el área de las tecnologías

Idea a defender

Con la ejecución de la planificación tecnológica diseñada en este trabajo investigativo y sintetizada en un plan informático, se mejorará la gestión operativa en el Gobierno provincial de Sucumbíos”.

Justificación

El Gobierno Provincial de Sucumbíos, siendo una Institución Pública presenta problemas informáticos administrativos, que deben buscar soluciones alternativas que beneficien el buen desenvolvimiento y manejo correcto de datos. Al desarrollar una auditoria informática en el Gobierno Provincial de Sucumbíos se podrá realizar revisiones globales como parte de un plan que se elabore, esto implica conocer al detalle y reglamentariamente el manejo del hardware y software que permitirá estar encaminado con el uso correcto de la tecnología. Las diferentes dependencias anexas al Gobierno Provincial deben estar conectadas en red, a través de esta comunicación se intercambiará información relevante y se podrá obtener información ágil, veraz y oportuna. El objeto de esta red es compartir los datos, conocer su estructura para enfrentar algún desafío informático de red que se pueda presentar, modificar aspectos que permitan rediseñar la estructura de la red sin que se paralice las actividades y se afecte el manejo de los datos.

(21)

5

Presentaremos propuestas de sistemas en uso de software libre evitando la adquisición de licencias en software propietario; esto permitirá estar reglamentados a través de las políticas de uso de software legal. De esta forma estarán preparados para los cambios informáticos que genera el Gobierno Nacional y evitarse problemas legales por poseer software sin licencias.

Con el fin de mejorar y agilizar la atención al público, se realizara un importante estudio sobre la renovación tecnológica en las oficinas de atención al público, sugiriendo nuevos sistemas de información, que agiliten considerablemente los tiempos de atención sobre todo para aquellos trámites que por su naturaleza requieren de una mayor rapidez. Esto implica propuestas de mejoramiento del sistema y adquisición de tecnología informática acorde a la situación actual.

Adicionalmente un plan de contingencias es necesario para que el Gobierno Provincial de Sucumbíos pueda enfrentar procedimientos alternativos al orden normal, cuyo fin es permitir el normal funcionamiento de esta, aun cuando alguna de sus funciones se viese dañada por un accidente interno o externo.

(22)

6

CAPITULO I

1. MARCO TEÓRICO

1.1. Planificación

La necesidad que tienen las empresas de ajustarse rápidamente a los cambios drásticos en el ambiente económico hace necesario que la administración ejecutiva tenga información disponible y actualizada de tal manera que se dé un adecuado uso de esta y además sirva para tomar decisiones. Con la gran disponibilidad de información a través de toda la empresa, las estrategias se pueden mejorar, las decisiones se pueden tomar con mejor base y las operaciones pueden ser ejecutadas más eficientemente.

Con este preámbulo pasamos a fundamentar teóricamente lo que más tarde denominaremos propuesta de solución al problema planteado y que es motivo de esta tesis.

"La Planificación Estratégica es el proceso por el cual los dirigentes ordenan sus objetivos y sus acciones en el tiempo. No es un dominio de la alta gerencia, sino un proceso de comunicación y de determinación de decisiones en el cual intervienen todos los niveles estratégicos de la empresa". (Hiebaun, 2004)

“La Planificación Estratégica constituye un sistema gerencial que desplaza el énfasis en el "qué lograr" (objetivos) al "qué hacer" (estrategias). Con la Planificación Estratégica se busca concentrarse en aquellos objetivos factibles de lograr y en qué negocio o área competir, en correspondencia con las oportunidades y amenazas que ofrece el entorno”. (Hiebaun, 2004)

(23)

7

que sí tienen algunos, afortunadamente, es que son visionarios que miran más allá que los demás y por ello aciertan en la proyección del futuro”. (Hiebaun, 2004)

Las estrategias son disposiciones generalizadas de las acciones a tomar para cumplir los objetivos generales, si no hay objetivos claros y bien definidos seguramente no existirá una estrategia apropiada para alcanzarlos, además, las estrategias que se planteen deben contemplar la utilización de unos recursos necesarios para desarrollar las actividades que desembocarán en los resultados y deben tener en cuenta cómo se conseguirán dichos recursos y cómo serán aplicados para aumentar las probabilidades de éxito.

Al lado de la planeación y la estrategia se encuentran las políticas, que básicamente son lineamientos que orientan a la administración en la toma de decisiones y por lo general no requieren de la acción, las políticas, las estrategias y el plan en sí deben ser una mezcla única que permita lograr buenos resultados. (Hiebaun, 2004)

1.1.1. Planeación estratégica

La planeación o planificación estratégica es el proceso a través del cual se declara la visión y la misión de la empresa, se analiza la situación externa y externa de ésta, se establecen los objetivos generales, y se formulan las estrategias y planes estratégicos necesarios para alcanzar dichos objetivos.

La planeación estratégica se realiza a nivel de la organización, es decir, considera un enfoque global de la empresa, por lo que se basa en objetivos y estrategias generales, así como en planes estratégicos, que afectan una gran variedad de actividades, pero que parecen simples y genéricos.

(24)

8

Como todo planeamiento, la planeación estratégica es móvil y flexible, cada cierto tiempo se debe analizar y hacer los cambios que fueran necesarios. Asimismo, es un proceso interactivo que involucra a todos los miembros de la empresa, los cuales deben estar comprometidos con ella y motivados en alcanzar los objetivos. (Fred, 2008)

1.1.2. Plan estratégico

“El plan estratégico es una herramienta que nos permite marcarnos el camino para llegar a un lugar concreto. Difícilmente podremos elaborarlo si no sabemos dónde nos encontramos y a dónde queremos ir. Este es, por lo tanto, el punto de partida”. (Aguirre, 2008) Toda empresa diseña planes estratégicos para el logro de sus objetivos y metas planteadas, estos planes pueden ser a corto, mediano y largo plazo, según la amplitud y magnitud de la empresa.

También es importante señalar que la empresa debe precisar con exactitud y cuidado la misión que va a regir a la empresa, la misión es fundamental, ya que esta representa las funciones operativas que va a ejecutar en el mercado y va a suministrar a los consumidores. La esencia de la planeación estratégica consiste en la identificación sistemática de las oportunidades y peligros que surgen en el futuro, los cuales combinados con otros datos importantes proporcionan la base para que una empresa tome mejores decisiones en el presente para explotar las oportunidades y evitar los peligros. (Aguirre, 2008)

1.1.3. Planeación tecnológica

La Planeación Tecnológica es un asunto estratégico, pero muchas empresas no siempre lo visualizan de esta manera. No pocos directivos piensan que la planeación de la tecnología viene después de que la estrategia del negocio ya fue definida y, en casi todos estos casos, sus estrategias tecnológicas se limitan decidir si compran la tecnología que creen que necesitan o si mejor la desarrollan ellas mismas.

Las empresas que manejan la tecnología como algo real ESTRATEGICO, se distinguen de las demás en varios aspectos:

 Tienen muy claro y valoran el IMPACTO de la tecnología en su competitividad.  Saben que deben aprovechar el POTENCIAL de su tecnología actual para no perder

(25)

9

 Conocen bien en qué son tecnológicamente COMPETENTES y en dónde no lo son.  Tienen a ALGUIEN al cuidado cotidiano de los asuntos tecnológicos y que también participa de manera directa en la toma de las decisiones estratégicas” (Gtecnologia, 2011).

1.1.4. Planeación informática

Se entendería a la planificación informática como el proceso de ordenar y organizar las actividades informáticas para que estas se constituyan en un apoyo fundamental al proceso gerencial o científico.

El plan informático se lo podría definir como el camino mediante el cual podemos marcar el avance tecnológico de la empresa, para que se logre un mayor apoyo a la gestión gerencial y por ende al desarrollo empresarial. De esto se deduce que el plan informático se constituye en una herramienta gerencial con características técnicas y forma parte de la planificación estratégica de una compañía. No podemos olvidar que no debe ser una actividad aislada, sino, por el contrario debe estar perfectamente unida al resto de departamentos de la empresa (Ventas, finanzas, producción, calidad, personal etc.). (Triviño, 2010)

1.1.5. Plan informático

Un Plan Informático es un proceso, expresado en un documento escrito y conocido por todos los usuarios del CPD, el cual empieza con el desarrollo de objetivos, define estrategias y políticas para alcanzar tales objetivos, desarrolla planes detallados para asegurar que las estrategias se sigan con el fin de que tales objetivos se realicen en términos de productos y resultados concretos medibles por el CDP, por los usuarios y por el nivel Director de la empresa y/u Organización, en parámetros no técnicos y exentos de ambigüedad.

(26)

10

Un Plan Informático además de un presupuesto de gastos, es un conjunto de planes interrelacionados cuya finalidad es básicamente satisfacer las necesidades de información que el Sistema de Decisiones de la Institución requiere, en la Cantidad, Calidad, Oportunidad y Forma que cada Nivel necesita o anterior debe ser considerado en el marco de la velocidad de desarrollo y de la cantidad de alternativas, (siempre crecientes), que el mercado de Informática ofrece (Triviño, 2010).

1.1.5.1. Consideraciones mínimas que debe contener un plan informático

a) ¿Cuáles son los objetivos y funciones del Departamento de Procesamiento de Datos o Centro de Informática.

b) ¿Qué estrategias alternativas son viables para alcanzar tales objetivos?

c) ¿Qué nivel de recursos se requiere para una operación estable, considerando el Plan de Sistemas vigentes?

d) ¿Qué actividades tenderán a, o podrían ser discordantes?

e) ¿Cuáles son los factores de riesgo para el Plan General y para cada Plan Componente?

f) ¿Qué nivel de crecimiento se puede esperar para cada tarea y/o actividad de cada Plan Componente?

g) Debido al cambio tecnológico constante qué probabilidades existen en el mediano o largo plazo de:

• Instalar un nuevo computador o uno más grande • Cambiar de sistemas operativos

• Cambiar de filosofía de proceso, vale decir: - Proceso Centralizado

- Proceso Descentralizado - Proceso Distribuido

(27)

11

h) ¿Qué impacto tendrán las preguntas anteriores en términos de Recursos, Capacitaciones, Programa de Desarrollo y Cual será la magnitud del esfuerzo involucrado?

i) ¿Cuál es el impacto en los usuarios de los sistemas en cuestión y de las tecnologías para su desarrollo y explotación? (Triviño, 2010)

1.1.5.2. Sistemas de Información formales e informales

La diferencia entre formal e informal suele basarse en que quede constancia escrita o no. La diferencia entre público o privado suele centrarse en la pertenencia a la empresa o al individuo.

El SIG basado en ordenadores es parte del SI público formal, sin embargo la última corriente de usuarios finales, sobre todo en lo que se refiere a aplicaciones de PCs, da también lugar a muchos SIs privados formales. (Jiménez, 2009)

Es interesante resaltar la importancia de estos subsistemas, porque todos ellos ocupan un lugar necesario en la empresa. Así, el SI público formal se caracteriza por pertenecer más a la posición que al individuo, sobreviviendo, en consecuencia, al cambio de personal. Simultáneamente proporciona un esquema de conceptos de la empresa común a todos, aumentando así la eficacia de comunicación y liberando tiempo para otras actividades. El peligro de este sistema reside en que adquiera excesiva prepotencia y pase a dictar el comportamiento del personal de la empresa, en lugar de enriquecer a dicho comportamiento. Además, el coste de desarrollo y mantenimiento es alto, el tiempo de respuesta puede ser lento (recoger datos, introducirlos, tratarlos), la fiabilidad en muchos casos puede ser baja (errores, asunciones, limitaciones de los modelos, tendencia a seleccionar información fácil de medir). Por otro lado, muchas decisiones importantes, en especial las más altas en la pirámide de gestión, necesitan información recibida a través de canales informales e incluso no formalizables. (Jiménez, 2009)

1.1.6. Auditoria informática

(28)

12

los datos, lleva eficazmente los fines de la organización y utiliza eficazmente los recursos.” (Piattini, 2008)

Dentro de la auditoría informática se tiene muy en claro cuatro puntos: "examen", "metódico", "puntual" y “objetivo": (Quinn, 2008)

 La auditoría informática es un examen, pues se verifica o comprueba el sistema informático actualmente en uso.

 Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo petición de la dirección.

 Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informática para buscar la objetividad requerida. (Quinn, 2008)

1.1.6.1. Síntomas de necesidad de una auditoria informática

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases.

 Síntomas de descoordinación y desorganización:

o No coinciden los objetivos de la informática de la empresa y de la propia compañía.

AUDITORIA

REAL

_IDEAL

COMPARACIONES

DIFERENC IA

OBSERVACION ES

Figura Nº 1: Esquema del concepto clásico de Auditoría

(29)

13

 Síntomas de mala imagen e insatisfacción de los usuarios:

o No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio de Software en los computadores.

o No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

o No se cumplen en todos los casos los plazos de entrega de resultados periódicos.

 Síntomas de debilidades económico-financiero: o Incremento desmesurado de costes.

o Necesidad de justificación de inversiones informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

o Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizó el pedido).

 Síntomas de inseguridad: Evaluación de nivel de riesgos: o Seguridad lógica.

o Seguridad física. o Confidencialidad.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

 Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.

 Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. (Álvarez, 2015)

(Hernández Alonso, 2011) “conceptualmente la auditoría toda y cualquiera auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”.

(30)

14

funcionamiento de cualquier área a auditar y su ejecución real en la organización, y comunicarlas a las personas correspondientes.

Se plantea que una de las formas de Auditoría Informática aplicado a Entidades Públicas es el proceso orientado a la identificación de riesgos y controles en la gestión de las tecnologías de información, para su efectivo apoyo al logro de los objetivos de la institución, para el cumplimiento de sus metas estratégicas, asociado a la nueva economía digital en la que se desenvuelve. (Ramírez & Álvarez, 2008)

Por un lado la identificación de riesgos nos sirve para determinar el nivel de exposición de la institución al inadecuado uso de los servicios que brinda la tecnología de la información, pero además permite gestionar los riesgos, implementando controles que están orientados a evitarlos, transferirlos, reducirlos o asumirlos gerencialmente. Por tanto, es necesario definir ambos conceptos: riesgos y controles:

GESTIÓN DE LAS TECNOLOGÍAS

Gestión Ideal de las Tecnologías de Información

Gestión Real de las Tecnologías de Información Comparacione

Diferencia s

RIESGOS

CONTROLES

Figura Nº 2: Esquema de Auditoría Informática de la gestión de tecnologías de información

(31)

15

 Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos establecidos como negocio y que en el tiempo dicha situación genere debilidades en el control interno

 Control: Un control establece las medidas implementadas en las entidades con la finalidad de reducir los riesgos existentes y proteger los activos más importantes. (Álvarez, 2015)

En la siguiente figura se visualiza la estrategia utilizada para la implantación de las mejores prácticas de control. Es un proceso de benchmarking. Que toma en cuenta las mejores recomendaciones internacionales, como las contenidas en el cobit, las utilizadas por empresas de prestigio internacional, las normas internacionales de auditoría, entre otros; los que permiten obtener altos niveles de seguridad, fiabilidad y conformidad en la gestión de la tecnología de la información.

Los riesgos de tecnologías de información que afectan a las entidades Públicas están relacionados con 3 aspectos básicamente:

 Dependencia en el uso de tecnología de información: Relacionada con el uso que efectúa la entidad y la importancia que representa para el desarrollo de sus operaciones.

 Confiabilidad en el uso de tecnología de información: Relacionada con resultados del procesamiento de datos y que no requieren trabajo manual por los usuarios para complementar la información.

Proceso de Benchmarking

¿Cómo eliminarlos, transferirlos y

reducirlos?

RIESGOS _CONTROLES

MEJORES PRÁCTICAS Estándares

Internacionales COBIT

NAGU MAGU

Figura Nº 3: Esquema de implementación de controles

(32)

16

 Cambios en la tecnología de información: Relacionado con la automatización de los procesos principales de la entidad y la adecuación de esos procesos automatizados a nuevas necesidades de la entidad motivados por regulación o por modernización para mantenerse competitivos o lograr su acreditación. (Ramírez & Álvarez, 2008)

Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos y mejores controles, que permitan entregar servicios tecnológicos con calidad y eficiencia, que a su vez permitirá que cualquier empresa alcance un mejor posicionamiento y acreditación dentro de las instituciones de este ramo tanto dentro como fuera del país, apoyando de esta manera a los distintos procesos que está emprendiendo para alcanzar la visión que se ha planteado. (Ramírez & Álvarez, 2008)

Figura Nº 4: Visión sistemática de la auditoria informática

Fuente:http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf

Las etapas para establecer un sistema de control son las siguientes:

(33)

17

 Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables. En esta etapa se investiga (más o menos extensamente) acerca de las causas de las desviaciones que acompañarán un informe con las discrepancias detectadas, para ser fuente de información de la siguiente fase.

 La determinación de acciones correctivas es la tercera etapa. Lleva implícita una decisión: corregir o dejar como está. Obviamente será más certera y económica la solución de la discrepancia mientras más correcto sea el diagnóstico hecho en la etapa anterior.

 La ejecución de las acciones correctivas es el último paso. Sin éste, el control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una acción de control. (Castello, 2006)

1.1.6.2. Aspectos a considerar en auditoría informática

Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos relativos a la Rentabilidad del Sistema. La rentabilidad del sistema debe ser medida mediante el análisis de tres valores fundamentales: la evaluación de los costes actuales, la comparación de esos costes actuales con magnitudes representativas de la organización, y la comparación de los costes del sistema de información de la empresa con los de empresas similares, preferentemente del mismo sector de actividad.

Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de información, es lo que se analiza seguidamente. (Melo, 2005) Evaluación de los costos actuales. Conocer, en términos económicos, los costes que para una empresa supone su sistema de información, constituye uno de los aspectos básicos de la auditoría informática. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en términos generales son los siguientes:

(34)

18

horas/mes, asegurando que la configuración utilizada se corresponde con el menor valor utilización/coste, y examinar la coherencia del mismo.

 Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la explotación (adecuación del sistema operativo, versión del software utilizado) como en los aspectos relativos a la programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado).

 Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes de información, tanto internas como externas de la empresa.

 Grabación de datos. Es necesario conocer también los costes relativos a la transcripción de datos en los soportes adecuados (costes de personal, equipos y máquinas auxiliares).

 Explotación. Análisis de los costes imputados a los factores relativos a la explotación en sentido amplio (tratamiento manual, tiempos de realización de aplicaciones, tiempo de respuesta, control errores, etc.)

 Aplicaciones. Se trata de evaluar los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de desarrollo de cada aplicación medido en horas.

 Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorías, equilibrio entre esas categorías, remuneraciones salariales, horas extraordinarias), se trata de analizar los costes de personal directamente relacionado con el sistema de información. En este apartado deberán tenerse en cuenta también los costes relativos a la formación del personal.

 Documentación. Es necesario no sólo verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa, sino también los costes relativos a su elaboración y actualización.

 Difusión de la información. Se trata de evaluar los costes de difundir la información, es decir, hacer llegar a los usuarios del sistema la información demandada o aquella considerada necesaria en los distintos niveles de la organización. (Melo, 2005) 1.1.6.3. Función de auditoría informática

(35)

19

está especializado en alguna de las múltiples ramas de la auditoría informática, que tiene conocimientos generales de los ámbitos en los que ésta se mueve, que tiene conocimientos empresariales generales, y que además:

 Posea las características necesarias para actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y de gestión que le sean propios.

 Que pueda actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado, puede ser un entorno ineficiente si no es consistente con los objetivos de la organización.

El eterno problema que se ha suscitado durante mucho tiempo es si el auditor informático, al no existir tal formación académica en nuestro país, tenía que ser un auditor convertido en informático, o por el contrario un informático reciclado como auditor informático. En las experiencias habidas, los éxitos y los fracasos se acumulaban por igual en ambos orígenes. (Soto, 2012)

1.1.6.4. Perfiles profesionales de la función de Auditoría Informática

A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día.

De esta forma, dentro de la función de auditoría informática, se deben contemplar las siguientes características para mantener un perfil profesional adecuado y actualizado:

 La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática general. Estos últimos deben contemplar conocimientos básicos en cuanto a:

 Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.

 Gestión del departamento de sistemas.

(36)

20

 Sistema operativo (este aspecto dependerá de varios factores, pero principalmente de si va a trabajar en un entorno único -auditor interno o, por el contrario, va a tener posibilidades de trabajar en varios entornos como auditor externo).

 Telecomunicaciones.  Gestión de bases de datos.  Redes locales.

 Seguridad física.

 Operaciones y planificación informática; efectividad de las operaciones y del rendimiento de los sistemas.

 Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la información.

 Gestión de problemas y de cambios en entornos informáticos.  Administración de datos.

 Ofimática.

 Comercio electrónico.

 Encriptación de datos. (Soto, 2012)

 A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial. Así, en un entorno financiero pueden tener mucha importancia las comunicaciones, y será necesario que alguien dentro de la función de auditoría informática tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en el que las transacciones pueden ser más importantes.

(37)

21

auditoría informática y las conclusiones con el entorno empresarial donde se ubicaba la entidad auditada.

 Esta sensación de que las normas van por sitios diferentes de por dónde va el negocio ha sido fruto muchas veces de la escasa comunicación entre el auditado (objetivos empresariales) y el auditor (objetivos de control). Como quiera que la cruda realidad nos está demostrando en la actualidad cada vez más la necesidad de cada vez mayor control en los sistemas de información, se hace necesario para el auditor informático conocer técnicas de gestión empresarial, y sobre todo de gestión del cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la línea de la búsqueda óptima de la mejor solución para los objetivos empresariales que se persiguen y con los recursos que se tienen.

 El auditor informático debe tener siempre el concepto de Calidad Total (últimamente también llamado Excelencia Empresarial). Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sea reconocido como un elemento valioso dentro de la organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva por la organización. (Soto, 2012)

1.1.6.5. Organización de la función de auditoría Informática

Según lo que hemos comentado hasta ahora, la función de auditoría informática ha pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia que para las organizaciones tienen los sistemas informáticos y de información que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materias de:

 Seguridad.

(38)

22  Tecnología informática.

 Continuidad de operaciones.

 Gestión de riesgos no solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.

Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de la empresa? Está claro que en este caso estamos hablando de una función interna de auditoría informática. La concepción típica en las empresas españolas hasta ahora, es la de que la función de auditoría informática está entroncada dentro de lo que es la función de auditoría interna con rango de subdepartamento. Esta concepción se basa en el nacimiento histórico de la auditoría informática y en la dificultad de separar el elemento informático de lo que es la auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de los sistemas de información que los soportan. (Soto, 2012)

La organización tipo de la auditoría informática, debe contemplar los siguientes principios:

 Su localización puede estar ligada a la localización de la auditoría interna operativa y financiera, pero con independencia de objetivos (aunque haya una coordinación lógica entre ambos departamentos), de planes de formación y de presupuestos.

 La organización operativa tipo debe ser la de un grupo independiente del de auditoría interna, con una accesibilidad total a los sistemas informáticos y de información, e idealmente dependiendo de la misma persona en la empresa que la auditoría interna, que debería ser el director general o consejero delegado. Cualquier otra dependencia puede dar al traste con la imagen del auditor informático y consecuentemente con la aceptación de su trabajo y de sus conclusiones.

(39)

23

 La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o esté trabajando en auditoría informática.

 Los recursos humanos con los que debe contar el departamento deben contemplar una mezcla equilibrada entre personas con formación en auditoría y organización y personas con perfil informático. No obstante, este perfil genérico debe ser tratado con un amplio programa de formación en donde se especifiquen no sólo los objetivos de la función, sino también de la persona.

 Este personal debe contemplar entre su titulación la certificación CISA como un elemento básico para comenzar su carrera como auditor informático. (Soto, 2012) 1.1.6.6. Ejemplo de Auditoria Informática

 Alcance. La auditoría se realizará sobre los sistemas informáticos en computadoras personales que estén conectados a la red interna de la empresa.

 Objetivo. Tener un panorama actualizado de los sistemas de información en cuanto a la seguridad física, las políticas de utilización, transferencia de datos y seguridad de los activos.

 Recursos El número de personas que integraran el equipo de auditoria será de tres, con un tiempo máximo de ejecución de 3 a 4 semanas. (Universidad Pontificia, 2008) Recopilación de información básica

Una semana antes del comienzo de la auditoria se envía un cuestionario a los gerentes o responsables de las distintas áreas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que también lo completen. De esta manera, se obtendrá una visión más global del sistema. Es importante también reconocer y entrevistarse con los responsables del área de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. En las entrevistas incluirán:

(40)

24  Subgerentes de informatica

 Asistentes de informatica

 Tecnicos de soporte externo (Universidad Pontificia, 2008) Identificación de riesgos potenciales

Se evaluara la forma de adquisición de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estándares de la empresa y los requerimientos mínimos para ejecutar los programas base. Dentro de los riesgos posibles, también se contemplaran huecos de seguridad del propio software y la correcta configuración y/o actualización de los equipos críticos como los cortafuegos. Los riesgos potenciales se pueden presentar de la más diversa variedad de formas. (Universidad Pontificia, 2008).

Objetivos de control

Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad, emergencia y desastre recovery de la empresa.

Se hará una revisión de los manuales de política de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos. (Universidad Pontificia, 2008).

Determinación de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware

 El hardware debe estar correctamente identificado y documentado.

(41)

25

 El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.

 Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.

Objetivo N 2: Política de acceso a equipos

 Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.

 Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).

 Los usuarios se desloguearan después de 5 minutos sin actividad.

 Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.

 Uso restringido de medios removibles (USB, CD-ROM, discos externos etc). (Universidad Pontificia, 2008)

Pruebas a realizar

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

 Tomar 10 máquinas al azar y evaluar la dificultad de acceso a las mismas.  Intentar sacar datos con un dispositivo externo.

 Facilidad para desarmar una pc.

 Facilidad de accesos a información de confidencialidad (usuarios y claves).  Verificación de contratos.

(42)

26 Obtención de los resultados

En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretación de los mismos y evitar interpretaciones erróneas. (Universidad Pontificia, 2008)

Conclusiones y Comentarios

En este paso se detallara el resumen de toda la información obtenida, así como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas de resguardo de información (Casos de incendio, robo), manejo y obtención de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de organización empresarial, como son partes responsables de seguridad, mantenimiento y supervisión de las otras áreas. (Universidad Pontificia, 2008)

Redaccion del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos técnicos de cada una de las maquinas auditadas:

 Marca  Modelo

 Número de Serie  Problema encontrado

(43)

27

Presentación del borrador del informe, al responsable de microinformática

Se le presentara el informe borrador a un responsable del área informática, como se aclaró en el punto anterior, con el máximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solución de los mismos, de esta forma evitaremos posibles confusiones futuras. (Universidad Pontificia, 2008)

Redacción del Informe Resumen y Conclusiones

Es en este paso es donde se muestran los verdaderos resultados a los responsables de la empresa, el informe presentado dará a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y observaciones de los auditores. Mientras que en el resumen se verán las posibles soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen uso y también recomendaciones sobre la forma incorrecta de realizar algunos procedimientos. (Universidad Pontificia, 2008) Entrega del informe a los directivos de la empresa

Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.

También se fijan los parámetros si así se requieren para realizar el seguimiento de los puntos en los que el resultado no haya sido satisfactorio o simplemente se quiera verificar que los objetivos de control se sigan cumpliendo a lo largo del tiempo (Universidad Pontificia, 2008).

1.1.6.7. Ciclo de vida de la auditoría informática

(44)

28 Inicio

Este acto se concreta en la primera entrevista con los responsables de la Institución. Se debe solicitar un inventario de los recursos que se va a auditar para hacerse una idea de la extensión y así poder presupuestar el trabajo de auditoría.

Fase de planificación

Se utiliza para asegurarse que el alcance y el contexto de la auditoría se han establecido correctamente, que todos los riesgos se han identificado y se han cuantificado, que se asignan los recursos necesarios para que se pueda realizar la auditoría.

Fase de ejecución

Aquí se lleva acabo las decisiones adoptadas, se ejecutan los procedimientos diseñados en la fase de planificación. No es necesario que esta fase esté terminada para que se active la fase de revisión.

Fase de revisión

(45)

29 Fin

En un momento determinado se termina el trabajo y el ciclo se interrumpe. Es el momento de organizar y archivar los papeles de trabajo de tal forma que se puedan reutilizar y localizar en el futuro, si fuera necesario. (Piattini, 2008)

1.1.7. Redes

Los autores (Raya & Raya, 2006) emiten los siguientes conceptos básicos sobre redes: Una red de ordenadores es un sistema de interconexión entre equipos que permite compartir recursos e informaci6n. Para ello es necesario contar, además de con los ordenadores correspondientes, con las tarjetas de red, los cables de conexión, los dispositivos periféricos y el software conveniente.

Inicio

Planificar

Corregir

Revisar

Planificar

Fin

Entrevista Inicial

Inventario de Recursos

Planificación Estratégica Planificación administrativa

Planificación técnica

técnicaUUVVVVVV

Realizar pruebas de cumplimiento Realizar pruebas sustantivas

Elaborar informes Distribuir Informes

Revisar los papeles de trabajo

Reorganizar y archivar papeles de trabajo

Figura Nº 5: Ciclo de vida de una auditoría

(46)

30

Según su ubicación, se pueden distinguir varios tipos de redes en función de su extensión:

 Si se conectan todos los ordenadores dentro de un mismo edificio, se denomina LAN (Local Área Network).

 Si se encuentran en edificios diferentes distribuidos dentro de la misma universidad, se denomina CAN (Campus Área Network).

 Si se encuentran en edificios diferentes distribuidos en distancias no superiores al ámbito urbano, MAN (Metropolitan Área Network).

 Si están instalados en edificios diferentes de la misma o distinta localidad, provincial o país, WAN (Wide Área Network).

Entre las ventajas de las redes LAN tenemos:

 Posibilidad de compartir periféricos costosos como son: impresoras láser, modem, fax, etc.

 Posibilidad de compartir grandes cantidades de información a través de distintos programas, bases de datos, etc., de manera que sea más fácil su uso y actualización. (Raya & Raya, 2006)

Reduce e incluso elimina la duplicidad de trabajos.

 Permite utilizar el correo electrónico para enviar o recibir mensajes de diferentes usuarios de la misma red e incluso de redes diferentes.

 Reemplaza o complementa miniordenadores de forma eficiente y con un coste bastante más reducido.

 Establece enlaces con mainframes. De esta forma, un ordenador de gran potencia actúa como servidor haciendo que los recursos disponibles estén accesibles para cada uno de los ordenadores personales conectados.

(47)

31

Inicialmente, la instalación de una red se realiza para compartir los dispositivos periféricos u otros dispositivos de salida caros; por ejemplo, las impresoras láser, los fax, etc.

Pero a medida que va creciendo la red, el compartir dichos dispositivos pierde relevancia en comparación con el resto de las ventajas. Las redes enlazan también a las personas proporcionando una herramienta efectiva para la comunicación a través del correo electrónico. Los mensajes se envían instantáneamente a través de la red, los planes de trabajo pueden actualizarse tan pronto como ocurran cambios, y se pueden planificar las reuniones sin necesidad de llamadas telefónicas. (Raya & Raya, 2006)

(Tanenbaumt, 2006), los elementos básicos de una red LAN son:

 Estaciones de trabajo o computadoras

 El servidor de red

 Los cables de comunicación

 Las tarjetas de interface

 El sistema operativo

Hace el siguiente análisis con respecto a la importancia de las redes: Cuando las redes de computadoras (locales o remotas) surgieron, hicieron posible compartir de una manera más eficiente los recursos informáticos (arquitectura de sistemas, paquetes y programas, y finalmente los datos), de los usuarios. En general, esos recursos son sistemas heterogéneos: los equipos de fabricantes tienen características diferentes, utilizan y ejecutan programas con características específicas y distintas para las aplicaciones deseadas para los usuarios, y manipulan y producen datos con formatos incompatibles. Así mismo, equipos idénticos de un único fabricante, que se integran en aplicaciones distintas, pueden presentar características heterogéneas. (Teran David, 2011)

(48)

32

La interconexión de redes, a su vez, contribuye a hacer más difícil el problema, ya que puede haber redes diferentes con servicios de transmisión diferentes, que requieran interfaces diferentes. En necesario, pues, una manera con la cual el problema de las heterogeneidades no haga inviable la interconexión de sistemas distintos. En otras palabras, .como diseñar e implementar una red para la interconexión de sistemas heterogéneos La incompatibilidad de equipos y/o redes fue inicialmente resuelta a través del uso de convertidores.

EI almacenamiento y análisis de información ha sido uno de los grandes problemas a que se ha enfrentado el hombre desde que se inventó la escritura. No fue sino hasta la segunda mitad del siglo XX, en que el hombre pudo resolver en parte este problema, gracias a la invención de la computadora. (Teran David, 2011)

Una red es un conjunto de computadoras interconectadas entre sí, ya sea por medio de cables o de ondas de radio (Wireless).

El principal propósito de armar una red consiste en que todas las computadoras que forman parte de ella se encuentren en condiciones de compartir su información y sus recursos con las demás. De esta manera, se estaría ahorrando dinero, debido a que si se colocara un dispositivo, por ejemplo, una impresora, todas las computadoras de la red podrían utilizarlo. Los recursos que se pueden compartir en una red son:

• Procesador y memoria RAM, al ejecutar aplicaciones de otras PC. • Unidades de disco duro.

• Unidades de disco flexible.

• Unidades de CD-ROM/DVD-ROM. • Impresoras.

• Fax. • Módem.

• Conexión a Internet.

(49)

33 • Ejecución remota de programas de aplicación. • Bases de datos.

• Documentos en general (archivos de texto, imagen, sonido, video, etc.). • Directorios (carpetas).

Como ventaja adicional, la instalación de una red ofrece una interfaz de comunicación a todos sus usuarios. Esto se logra por medio de la utilización del correo electrónico, el chat y la videoconferencia. (Barajas, 2009)

1.1.7.1. Clasificación de redes

Existen dos tipos básicos de redes según su ubicación: redes de área local (LAN) y redes de área extensa (WAN). A continuación, podemos encontrar una amplia explicación de ambos tipos y de sus usos.

Redes de área local (LAN)

Se denomina redes LAN (Local Área Network) a aquéllas que tienen cerca las computadoras: en la misma habitación, en diferentes pisos de un edificio o en edificios muy cercanos. Las redes de área local proveen una excelente velocidad de transferencia, que va desde los 10 hasta los 1.000 Mbps. Esto se debe a la corta distancia existente entre las computadoras, lo cual evita las interferencias. (Venezuela, 2011)

Figura Nº 6: Esquema de una Red LAN

(50)

34 Redes de área extensa (WAN)

Las redes del tipo WAN (Wide Área Network) tienen las computadoras situadas en lugares distantes, como diferentes ciudades, provincias, regiones, países, continentes o, simplemente, edificios muy lejanos dentro de una misma zona. Esta peculiaridad las más proclives a las interferencias, lo cual disminuye su velocidad de transferencia a 30 Mbps. Por lo general, utilizan la línea telefónica para conectarse entre sí, aprovechando la infraestructura lograda por Internet. No obstante, las empresas de mayor envergadura unen las computadoras que forman parte de la red mediante una conexión satelital para conectar, por ejemplo, a sucursales situadas en diferentes países. (Venezuela, 2011)

Figura Nº 7: Esquema de una Red WAN

Fuente: http://webdelprofesor.ula.ve/ingenieria/gilberto/redes/02_introduccion.pdf

1.1.7.2. Redes inalámbricas

Las redes inalámbricas son aquéllas que carecen de cables. Gracias a las ondas de radio, se lograron redes de computadoras de este tipo, aunque su creación refirió varios años de búsqueda.