UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
AUDITORÍA INFORMÁTICA BASADA EN NORMA ISO 27004 PARA EL
CONTROL DEL PARQUE TECNOLÓGICO DE UNIANDES PUYO.
AUTOR:
ING. BECERRA ARÉVALO NELSON PATRICIO
ASESORES: ING. FERNANDEZ VILLACRES GUSTAVO EDUARDO, MSc
ING. MARTINEZ CAMPAÑA CARLOS EDUARDO, MSc
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quien suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación realizado
por el señor Ing. Nelson Patricio Becerra Arévalo, Maestrante del Programa de Maestría en
Informática Empresarial, Facultad de Sistemas Mercantiles, con el tema "AUDITORIA
INFORMATICA BASADA EN NORMA ISO 27004 PARA EL CONTROL DEL PARQUE
TECNOLOGICO DE UNIANDES PUYO", ha sido prolijamente revisado, y cumple con todos
los requisitos establecidos en la normativa pertinente de la Universidad Regional Autónoma
de los Andes -UNIANDES-, por lo que apruebo su presentación.
Ambato, marzo de 2017
DECLARACIÓN DE AUTENTICIDAD
Yo, NELSON PATRICIO BECERRA AREVALO, Maestrante del Programa de Maestría en
Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos los
resultados obtenidos en el presente trabajo de investigación, previo a la obtención del
Grado Académico de MAGISTER EN INFORMÁTICA EMPRESARIAL, son absolutamente
originales, auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva
responsabilidad.
Ambato, Julio de 2017
Nelson Patricio Becerra Arévalo
C.I 0602674616
DERECHOS DE AUTOR
Yo, NELSON PATRICIO BECERRA AREVALO, declaro que conozco y acepto la
disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional
Autónoma de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la
UNIANDES, está constituido por: La propiedad intelectual sobre la Investigaciones, trabajos
científicos o técnicos, proyectos profesionales y consultoría que se realicen en la
Universidad o por cuenta de ella.
Ambato, Julio de 2017
Nelson Patricio Becerra Arévalo
C.I 0602674616
DEDICATORIA
Luego de una larga espera, un arduo trabajo, he logrado terminar mi tesis. Es oportuno el
momento para presentar mi agradecimiento a las personas que de una u otra manera han
sido participes para la obtención de esta, mi principal meta.
En primer lugar a Dios, a mis padres, esposa e hijo y a mis hermanos(a) quienes me han
dado la fuerza necesaria para el desarrollo del presente trabajo de investigación, los cuales
han sabido comprender y sacrificar todos los momentos más importantes y necesarios para
que yo pueda llevar en adelante mi superación profesional, y terminar mi carrera
universitaria.
Compensando con el título de Magister en Informática Empresarial.
AGRADECIMIENTO
A la Universidad Autónoma de los Andes “UNIANDES”, a todo su equipo de profesionales
en la docencia universitaria, en especial a los que han estado frente de mi formación
académica durante el ciclo universitario.
Al departamento de Telemática, y a todo su personal que labora en la misma, por la apertura
y colaboración por proporcionarme toda la información necesaria para el desarrollo del
presente trabajo de investigación profesional.
Particularmente expreso mis más sinceros agradecimientos al Ing. Eduardo Fernández
quien con su espíritu de voluntad desinteresada ha estado presente para atender los
requerimientos frente a todas las inquietudes que durante la realización se me ha
presentado.
RESUMEN
El presente trabajo de investigación está orientado a la Auditoría Informática basada en la
aplicación de la Norma Internacional ISO 27004 para el control del Parque Tecnológico de
Unidades Puyo, aplicado a las Tecnologías de Información y Comunicaciones como línea
de investigación bajo un proceso investigativo analítico sintético e inductivo deductivo como
metodología de investigación.
La investigación parte de la necesidad de tener una información documentada con la
finalidad de evaluar la eficiencia y eficacia de los equipos y recursos informáticos que
actualmente posee la Uniandes Puyo para la toma de decisiones oportunas en el control de
procesos técnicos administrativos.
La aplicación de la Norma Internacional ISO 27004 proporciona la ayuda necesaria para
realizar el trabajo de investigación, mismo que permitirá alcanzar todos los objetivos
planteados de una forma eficaz, rápida y sin errores; pero sobre todo, lo más importante
reducir tiempo y coste. Además, ésta norma brinda orientación sobre la elaboración y
utilización de medidas para la evaluación de procesos de auditoria, incluyendo políticas
administrativas, gestión de información de riesgo de seguridad, objetivos de control y
procedimientos para determinar si algún proceso necesita ser cambiado o mejorado.
Con la Auditoria informática se pretende mejorar la funcionalidad operativa de los equipos
y recursos informáticos, además el departamento de Telemática encargado de administrar
éstos contará con una información actualizada del estado de cada uno de ellos, lo que
ABSTRACT
The following research focus is Information technology audit based in the application of the
ISO/IEC 27004 in order to control the technological park of UNIANDES Puyo, by applying
ISO/IEC 27004 to the information and communications technology as line research under
an analytic-synthetic, inductive deductive research process as research methodology.
The research is performed because of the need to have records in order to assess the
efficiency and efficacy of the computer equipment that UNIANDES Puyo has. It also allows
to make adequate decisions in order to control the administrative and technical processes.
The application of the ISO/IEC 27004 provides the necessary background to develop this
research. It allows to accomplish the objectives in an effective and quickly manner without
errors. But above all, the most important aspect is the reduction of time and costs. Moreover,
this norm provides orientation in order to carry out and use audit process assessment by
including administrative policies, information security management, control objectives and
process in order to determine whether a process needs to be changed or improved.
By applying the information technology audit the operational functionality of the computer
equipment will be improved. Moreover, the telematics department which is responsible of
the administration of the computer equipment will have updated information of the situation
of the computer equipment. This allows to have a better technology control and records
ÍNDICE GENERAL
PORTADA
APROBACIÓN DE LOS ASESORES DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
DEDICATORIA
AGRADECIMIENTO
RESUMEN
ABSTRACT
Pág.
INTRODUCCIÓN ... 1
Antecedentes ... 1
Planteamiento del problema ... 1
Actualidad e importancia ... 2
Formulación del problema ... 3
Objeto de Investigación y campo de acción ... 3
Objetivos ... 4
Objetivo general ... 4
Objetivos específicos ... 4
Idea a defender ... 4
Justificación ... 4
CAPÍTULO I. ... 5
MARCO TEÓRICO ... 5
1.1 Origen y Evolución de la Auditoría Informática. ... 5
1.2 Análisis de las distintas posiciones teóricas de las Auditorias Informáticas 5 1.2.1 Importancia de la Auditoria informática. ... 5
Clasificación de la Auditoria ... 7
Ventajas ... 7
Desventajas... 7
Auditoria Externa: ... 8
Ventajas ... 8
Desventajas... 8
1.2.2 Clasificación de la Auditoría en base a los objetivos que persigue. ... 8
Auditoría Financiera. ... 9
Auditoria Administrativa. ... 9
Auditoría Integral. ... 9
Auditoria de calidad. ... 9
Enfoques de la auditoria informática ... 10
Auditoría Informática de Explotación. ... 10
Auditoría Informática de Desarrollo de Proyectos o Aplicaciones ... 10
Satisfacción de Usuarios. ... 11
Control de Procesos y ejecuciones de Programas Críticos. ... 11
Auditoria Informática de Sistemas ... 11
Sistemas Operativos. ... 11
Software Básico ... 12
Tunning ... 12
Auditoria informática con la computadora ... 12
Auditoria informática sin la computadora ... 12
Auditoría a la gestión informática ... 13
Auditoria al sistema de cómputo ... 13
Auditoría a la Seguridad de los Sistemas Computacionales... 14
Auditoría Informática de Comunicaciones y Redes ... 14
Auditoría de la Seguridad Informática ... 15
1.2.3 Sistemas de Información. ... 16
Procesamiento electrónico de datos... 17
Administración de Base de Datos. ... 17
ISO/IEC 27004:2009 ... 17
Control de equipos informáticos. ... 20
... 22
Sistemas de Apoyo a la Toma de Decisiones ... 23
Conclusiones parciales del capítulo. ... 23
CAPITULO II. ... 24
MARCO METODOLOGICO Y PLANTAMIENTO DE LA PROPUESTA. ... 24
2.1 Caracterización del sector, rama, empresa, contexto institucional o problema seleccionado para la investigación. ... 24
Misión ... 25
Visión ... 26
2.2 Descripción del procedimiento metodológico para el desarrollo de la investigación... 26
Tipos de investigación ... 26
2.2.1 Investigación Descriptiva ... 26
2.2.2 Investigación Bibliográfica ... 26
2.2.3 Investigación de Campo ... 27
Cualitativa ... 27
Cuantitativa ... 27
Técnicas ... 28
La entrevista. ... 28
La encuesta. ... 28
Observación. ... 29
Población y muestra ... 31
Muestra... 31
Estrato de la muestra. ... 32
Resultado de la encuesta ... 33
2.4. Conclusiones parciales del capitulo... 39
CAPITULO III. ... 40
VALIDACION Y/O EVALUACION DE DESARROLLO ... 40
Diagnóstico organizacional ... 40
3.1.1 Tema de la propuesta ... 40
3.1.2 Objetivos de la propuesta ... 41
General ... 41
Específicos ... 41
3.1.3 Auditoría Informática basada en Norma ISO 27004 ... 41
3.1.4 Factibilidad ... 42
Factibilidad Operativa... 42
Factibilidad Técnica. ... 42
3.1.5 Descripción de la propuesta ... 42
3.1.5.1 Auditoría Informática con protocolos de actuación ... 42
Protocolos de actuación ... 43
3.2 Análisis de los resultados finales de la investigación ... 43
3.2.1 Auditoría Informática Interna ... 43
3.2.1.1 Desarrollo de la Auditoría Informática ... 43
ANTECEDENTES... 43
METODOLOGÍA ... 44
Fases de una Auditoría Informática... 44
Auditoría Interna ISO ... 45
Siete pasos para realizar la auditoria interna ... 46
MEMORANDO DE REVISION PRELIMINAR ... 46
LISTA DE CHEQUEO ... 51
PLAN DE TRABAJO ... 53
COMPONENTES EVALUADOS ... 63
EVALUACIÓN DE SISTEMAS, PROCEDIMIENTOS Y EQUIPOS DE CÓMPUTO ... 72
INVENTARIO... 72
Inventario Parque Tecnológico Uniandes Puyo ... 81
Infraestructura Tecnológica de Equipos de Cómputo / Periféricos ... 82
Conclusiones Generales ... 96
Recomendaciones ... 96
ÍNDICE DE FIGURAS
Figura 1 Enfoques de la Auditoría Informática ... 10
Figura 2 ISO 27004 ... 17
Figura 3 Sistemas de Información ... 22
Figura 5 Pregunta No. 1 ... 33
Figura 6 Pregunta No. 2 ... 34
Figura 7 Pregunta No. 3 ... 35
Figura 8 Pregunta No. 4 ... 36
Figura 9 Pregunta No. 5 ... 37
Figura 10 Equipos informáticos bodega ... 81
Figura 11 Accesorios ... 81
Figura 12 Equipos en Laboratorio No. 1 ... 82
Figura 13 Equipos en Laboratorio No. 2 ... 83
Figura 14 Equipos en Laboratorio No. 3 ... 84
Figura 15 Equipos en Laboratorio No. 4 ... 85
Figura 16 Equipos en Laboratorio No. 5 ... 86
Figura 17 Equipos Servidores de Datos ... 87
Figura 18 Equipos Departamento Administrativo ... 87
Figura 19 Equipos en Biblioteca (CEDIC)... 88
Figura 20 Equipos para Investigación Científica ... 88
Figura 21 Equipos Salas de Docentes ... 89
Figura 22 Equipos de Audio y Video ... 90
Figura 23 Equipos Activos de Cableado Estructurado ... 90
Figura 24 Equipos de Telefonía ... 91
Figura 25 Equipos de Cómputo y Proyectores ... 92
ÍNDICE DE TABLAS
Tabla 1 Personal Administrativo Entrevistado ... 28
Tabla 2 Personal Docente y Estudiantes Encuestados... 29
Tabla 3 Guía de observación... 30
Tabla 4 Identificación de Población y Muestra ... 31
Tabla 5 Identificación de la Muestra ... 32
Tabla 6 Pregunta No. 1 ... 33
Tabla 7 Pregunta No. 2 ... 34
Tabla 8 Pregunta No. 3 ... 35
Tabla 9 Pregunta No. 4 ... 36
Tabla 10 Pregunta No. 5 ... 37
Tabla 11 Ficha de Diagnóstico Preliminar... 46
Tabla 12 Lista de chequeo ... 51
Tabla 13 Plan de trabajo ... 53
Tabla 14 Programa de Trabajo ... 54
Tabla 15 Políticas de Seguridad ... 56
Tabla 16 Plan de Contingencia ... 58
Tabla 17 Cronograma de Actividades ... 60
Tabla 18 Matriz de Cumplimiento de Acciones ... 70
Tabla 19 Identificación de Necesidades de Información ... 74
Tabla 20 Evaluación de Riesgos ... 75
Tabla 21 Procedimientos de Seguridad ... 77
1
INTRODUCCIÓN
Antecedentes
En una investigación preliminar llevada a cabo en la biblioteca de la Universidad Técnica
de Ambato se han encontrado algunos trabajos de titulación a nivel de pregrado que sirven
como antecedentes al siguiente trabajo investigativo, entre ellos podemos mencionar el
desarrollado por la Srta. Castro Núñez Diana Margoth con su tema “Auditoria Informática
para Optimizar el Manejo de la Información y Equipamiento Informático en el MIES INFA
Tungurahua”, trabajo presentado en el 2012 previo a la obtención del título de Ingeniera en
Sistemas Computacionales e Informáticos. Del estudio se puede concluir que con la
auditoría informática se optimizará la funcionalidad de los equipos informáticos, los archivos
que se generen estarán protegidos, los procesos serán más rápidos y mejorará
notablemente el servicio.
También se ha investigado en los repositorios digitales de varias universidades del país y
es así que se ha encontrado la tesis de la Ing. Karolay Michell Coronel Castro presentada
en el año 2012 en la Universidad Técnica Particular de Loja. En la cual se pudo encontrar
la propuesta del realizador en el sentido de que si una empresa incorpora equipos
tecnológicos se puede mejorar los procesos tanto de entrada como de salida de
información.
En la Universidad Iberoamericana de México se realizó un trabajo investigativo por parte
del Sr. Luis Daniel Álvarez Basaldúa con el tema Seguridad en Informática (Auditoría de
Sistemas), para titulación de pregrado en Ingeniería de Sistemas Empresariales, el mismo
que proporcionará los controles necesarios para que los sistemas sean confiables y
seguros.
Planteamiento del problema
La Universidad Regional Autónoma de los Andes Uniandes extensión Puyo, cuyas
instalaciones se encuentran ubicadas en la calle nueve de Octubre y Francisco de Orellana
en la ciudad de Puyo provincia de Pastaza, es un Centro de Educación Superior que forma
2
como son: Facultad de Jurisprudencia (Derecho), Facultad Dirección de Empresas
(Administración de empresas y Negocios), Facultad Sistemas Mercantiles (Sistemas),
Facultad Sistemas Mercantiles (Contabilidad).
Desde hace algunos años no se ha realizado una Auditoría Informática para evaluar todos
los aspectos más importantes relacionados con los recursos tecnológicos que tiene la
empresa para tener un funcionamiento óptimo, tanto en lo que tiene que ver en velocidad,
seguridad, prevención y mantenimiento, esto ha ocasionado varios inconvenientes entre los
usuarios que utilizan estos recursos, únicamente se cuenta con un inventario de los activos
informáticos registrados en hojas electrónicas en formato que solicitan las entidades de
control de la Universidad ecuatoriana
A continuación se detalla los problemas detectados previa una observación directa de las
actividades cotidianas que se realiza en Uniandes Puyo:
- Riesgos para la seguridad de la información
- Manejo inadecuado de los recursos tecnológicos de la empresa
- Ausencia de medidas de seguridad para proteger el software
- Falta de políticas de contingencia
Con la Auditoría Informática se logrará optimizar los recursos para que funcionen con un
buen rendimiento, se establecerá una política de mantenimiento informático preventivo para
el aprovechamiento de los recursos tecnológicos, se contará con políticas e seguridad para
la protección de la información de mayor relevancia, se crearan líneas de actuación en caso
de contingencias informáticas para que todo se desarrolle de acuerdo a lo previsto, además
se analizará la red informática para ver si es lo suficiente óptima.
Actualidad e importancia
La Provincia de Pastaza se encuentra ubicada en la zona oriental del país, dispone de
varias empresas que brindan servicios y es por ello que en el año de 1997 fue creada la
Universidad Regional Autónoma de los Andes Uniandes tiene su matriz en la ciudad de
Ambato, sus extensiones funcionan en las ciudades de Tulcán, Ibarra, Santo Domingo,
3
algunas dificultades relacionadas con la información de los equipos tecnológicos así por
ejemplo:
- La Uniandes Puyo tiene un registro superficial del número de equipos existentes así
como el estado y las características de los mismos.
- La Uniandes Puyo posee un registro parcial del estado de la mayoría de los equipos
y por lo tanto se dificulta el proceso de baja física de los mismos.
- La Uniandes Puyo no cuenta con una bitácora de las aplicaciones instaladas en los
equipos informáticos, periféricos, etc.
De todo lo mencionado anteriormente se puede deducir que tiene problemas relacionados
con el manejo adecuado de los inventarios, hardware y software del parque tecnológico
perteneciente a Uniandes Puyo.
Formulación del problema
¿Cómo verificar la eficaz gestión de los recursos informáticos de Uniandes Puyo?
Delimitación del problema
El presente trabajo investigativo comprende el desarrollo de una Auditoría Informática
basada en norma ISO 27004 para el control del parque tecnológico de Uniandes Puyo, el
tiempo estimado para el desarrollo de la Auditoría Informática es de seis meses a partir de
la aprobación del perfil de tesis.
Objeto de Investigación y campo de acción
Objeto de investigación: Sistemas informáticos.
Campo de acción: Auditoria Informática.
Línea de investigación
4
Objetivos
Objetivo general
Realizar una Auditoria informática basada en norma ISO 27004 para el control del
parque tecnológico de Unidades Puyo.
Objetivos específicos
- Fundamentar teóricamente el parque tecnológico y la auditoría informática
aplicando la norma ISO 27004.
- Aplicar la metodología científica para obtener el diagnóstico de la situación actual
de los equipos tecnológicos de Uniandes Puyo.
- Diseñar protocolos de actuación basados en la Norma ISO 27004 para
solucionar los problemas del parque tecnológico de Uniandes Puyo.
Idea a defender
Con la Auditoría Informática se mejorará ciertas características en la empresa como:
desempeño, fiabilidad, eficiencia, rentabilidad, seguridad y privacidad.
Justificación
El desarrollo del presente trabajo investigativo es de gran relevancia porque está orientada
a la realización de una Auditoría Informática basada en Norma ISO 27004 para evaluar la
eficacia y eficiencia de los recursos tecnológicos que actualmente dispone Uniandes Puyo,
con la aplicación de la Auditoría Informática se podrá determinar el funcionamiento óptimo
de los Sistemas de Información y Comunicación, y si los mismos contribuyen a la seguridad
de la información generada en las diferentes áreas, así como el estado y las características
de los mismos, además se contará con protocolos de actuación para identificar problemas
y dar solución en un corto plazo para que esto no afecte la productividad de la empresa, se
desarrollará una aplicación web para registrar el inventario de los recursos tecnológicos
auditados, la aplicación web generará tickes para reportar daños en equipos informáticos
ubicados en los diferentes laboratorios y áreas críticas para su reparación.
Con la aplicación web se tendrá datos confiables y verídicos de la situación actual de los
5
CAPÍTULO I.
MARCO TEÓRICO
1.1 Origen y Evolución de la Auditoría Informática.
Según (G.J.A, 2001) La palabra auditoría proviene del latín auditorius, y de esta proviene
la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el
fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la
gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del
negocio.
Según (Bautista, 2010) La Auditoria en informática se refiere a la revisión práctica que se
realiza sobre los recursos informáticos con que cuenta una entidad con el fin de emitir un
informe o dictamen sobre la situación en que se desarrollan y se utilizan esos recursos.
Según (Piattini, 2001) La Auditoria de Tecnología de Información (T.I.) como se le conoce
actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha
consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente,
respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años,
la información es considerada un activo tan o más importante que cualquier otro en una
organización.
1.2 Análisis de las distintas posiciones teóricas de las Auditorias Informáticas
1.2.1 Importancia de la Auditoria informática.
Según (Poveda, 2010) La tecnología de informática, traducida en hardware, software,
sistemas de información, investigación tecnológica, redes locales, bases de datos,
ingeniería de software, telecomunicaciones, servicios y organización de informática, es una
herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios
frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien
6
Lo que resulta innegable es que la informática se convierte cada día en una herramienta
permanentemente de los procesos principalmente de los negocios, en una fuerza
estratégica, en un aliado confiable y oportuno. Lo anterior es posible si se implantan en la
empresa los controles y esquemas de seguridad requeridos para su aprovechamiento
óptimo.
Este personal especializado en informática y auditoría que se encuentra profesionalmente
preparado para auditar en este campo. Lo primero que deben realizar las organizaciones
es la necesidad de contar con una función que evalúe de manera satisfactoria los recursos
de informática, así como los elementos inherentes a ellos.
Una vez que la alta dirección tome conciencia de lo saludable y productivo que resulta
contar con un área independiente que asegure y promueva el buen uso y aprovechamiento
de la tecnología de informática, el siguiente paso es delegar la responsabilidad en personal
altamente capacitado para ejercer la auditoría en informática dentro de la organización
formal y permanentemente.
Existe un cuerpo de conocimientos, normas, técnicas y buenas prácticas dedicadas a la
evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la
información tratada y almacenada a través del computador y equipos a fines, así como la
eficiencia, eficacia y economía con que la administración de un ente están manejando dicha
información y todos los recursos físicos y humanos asociados para su adquisición, captura,
procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el
objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de
general aceptación y conocimiento técnico especifico.
Según (Juarez, 2008) El desarrollo del trabajo del auditor de sistemas requiere de profundos
conocimientos en distintas disciplinas, que de manera coordinada permitan obtener los
resultados deseados. Normalmente este tipo de auditoria la desarrollan equipos
7
Clasificación de la Auditoria
Según (Alpizar, 2008) Existen muchas clasificaciones de la auditoria; sin embargo nos
enfocaremos en la clasificación en base a las personas que la realizan y en base a los
objetivos que persigue.
Si nos referimos a las personas que realizan una Auditoría, veremos que existan dos grupos
bien definidos, los Auditores internos y Auditores externos.
Auditoria Interna:
Según (Dominguez, 2010) En la realización de estos tipos de evaluación, el auditor que
lleva a cabo la auditoría labora en la empresa donde se realiza la misma, y por lo tanto, de
alguna manera está involucrado en su operación normal; debido a esto el auditor puede
tener algún tipo de dependencia con las autoridades de la institución, por lo cual puede
llegar a influir en el juicio que emita sobre la evaluación de las áreas de la empresa.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes
respecto a la auditoría externa, las cuales no son tan perceptibles como en las auditorias
convencionales.
Ventajas
- Conoce las actividades, operaciones y áreas, revisión profunda e informes valiosos.
- No afecta los costos por ser un recurso interno.
- Informes de carácter interno, directo a las autoridades u ayuda a la toma de decisión.
- Permite detectar problemas y desviaciones a tiempo.
Desventajas
- Permite limitar la veracidad, alcance y confiabilidad por intervención interna de
autoridades.
8
Auditoria Externa:
La principal característica de este tipo de auditoria es que la realizan auditores totalmente
ajenos a la empresa, por lo menos en el ámbito profesional y laboral; esto permite que el
auditor externo utilice si libre albedrío en la aplicación de los métodos, técnicas y
herramientas de auditoría con las cuales hará la evaluación de las actividades y
operaciones de la empresa que audita y, por lo tanto, la emisión de resultados será
absolutamente independiente.
Es la revisión independiente que realiza un profesional de la auditoría, con total libertad de
criterio y sin ninguna influencia, con el propósito de evaluar el desempeño de las
actividades, operaciones y funciones que se realizan en la empresa que lo contrata, así
como de la razonabilidad en la emisión de sus resultados.
Ventajas
- Trabajo libre de cualquier intervención interna
- Utilizan técnicas y herramientas probadas en otras empresas
- Dictámenes tienen carácter vinculante
Desventajas
- Desconocimiento de la empresa
- Dependencia de cooperación del Auditado
- Evaluación, alcance y resultados limitado a información recopilada
- Puede desarrollarse en ambientes hostiles
- Aumento de costos de tiempo y trabajo adicional para la empresa.
1.2.2 Clasificación de la Auditoría en base a los objetivos que persigue.
Según (Díaz, 2006) Es claro que si vemos a la Auditoría en base a los objetivos que
9
Auditoría Financiera.
Se realiza con el objetivo primario de emitir una opción sobre los estados financieros de
una organización; consecuentemente se dirige a la evaluación de los aspectos de integridad
y veracidad de la información. Esta certificación solo es válida cuando la emite auditores
externos.
Auditoria Administrativa.
Se orienta a la evaluación de los sistemas administrativos, es decir la estructura de la
organización, el proceso administrativo, la operación y el ambiente de control establecido.
El objetivo de este tipo de revisiones es el determinar: pérdidas y diferencias, mejores
métodos, formas de control, eficiencia operativa y una mejor utilización de los recursos
físicos y humanos.
Auditoría Integral.
Como su nombre lo indica, se realiza con el fin de evaluar en su totalidad el cumplimiento
de los objetivos establecidos por una organización, área o departamento. Puede abarcar
aspectos a todos los tipos de auditoria mencionados, así como a la auditoria de la tecnología
de información.
Auditoria de calidad.
Desde hace algún tiempo las empresas han descubierto la importancia de satisfacer las
necesidades del cliente de la mejor manera. Para ello han adoptado algunos estándares
como el ISO 9000, el cual señala la importancia de la estandarización como la base de la
calidad. Una vez más la auditoria toma un papel importante en la revisión y el seguimiento
10
Enfoques de la auditoria informática
Fuente: Auditoría Informática (MSc. Julio Rito Vargas Avilés, 2009)
Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoria
Informática: de Explotación, de sistemas, de Comunicaciones y de Desarrollo de Proyectos.
Estas son las áreas específicas de la Auditoría Informática más importante.
Auditoría Informática de Explotación.
La explotación informática se ocupa de producir resultados informáticos de todo tipo:
Listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes
automatizadas para lanzar o modificar procesos.
La explotación informática se puede considerar como una fábrica con ciertas peculiaridades
que la distinguen de las reales. Para realizar la explotación informática se dispone de una
materia prima, los datos, que es necesario transformar, y que se someten previamente a
controles de integridad y calidad.
Auditoría Informática de Desarrollo de Proyectos o Aplicaciones
Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada.
El análisis se basa en cuatro aspectos fundamentales:
- Revisión de las metodologías utilizadas
Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras
11
- Se deberán revisar las mismas faces que presuntamente han debido seguir el área
correspondiente al desarrollo.
- Estudio de viabilidad de Desarrollo
- Definición Lógica de la aplicación
- Desarrollo Técnico de la aplicación
- Diseño de programas
- Métodos de pruebas
- Documentación
- Equipo de programación
Satisfacción de Usuarios.
Una aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada
si no sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario
proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el
mantenimiento de la aplicación.
Control de Procesos y ejecuciones de Programas Críticos.
Si los programas fuente y los programas módulo no coincidieran podría provocar graves y
altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje
informativo, etc.
Auditoria Informática de Sistemas
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus
facetas.
Sistemas Operativos.
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer
lugar que los sistemas estén actualizados con las últimas versiones del fabricante,
12
Software Básico
Es fundamental para el auditor conocer los productos de software básico que han sido
facturados aparte de la propia computadora. En cuanto al Software desarrollado por el
personal informático de la empresa, el auditor debe verificar que este no agreda ni
condiciona al sistema.
Tunning
Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del
comportamiento de los Subsistemas y del sistema en su conjunto.
Auditoria informática con la computadora
Esta auditoria se realiza con el apoyo de los equipos de cómputo y sus programas para
evaluar cualquier tipo de actividades y operaciones.
Se aprovecha a la computadora y sus programas para la evaluación de las actividades que
se realizarán utilizando en cada caso las herramientas especiales del sistema y las
tradicionales de la propia auditoría.
Auditoria informática sin la computadora
Es la auditoría cuyos métodos, técnicas y procedimientos se orientan a la evaluación
tradicional de todos los aspectos que afectan a las actividades en las que se utilizan
sistemas informáticos, pero sin el uso de sistemas computacionales:
- Estructura de la organización
- Planes, programas, presupuesto
- Funciones y actividades
- Uso y aprovechamiento de los recursos informáticos
- Sistemas de seguridad y prevención de contingencias
13
Auditoría a la gestión informática
El objetivo principal es evaluar el cumplimiento adecuado de las funciones, operaciones y
actividades de carácter administrativo que ayudan a satisfacer las necesidades de
información de las áreas de la empresa que utilizan sistemas computacionales, a fin de
hacer más eficiente el desempeño del centro de cómputo.
Se enfoca a la revisión de las funciones y actividades de tipo administrativo, a fin de evaluar
la gestión administrativa del sistema computacional, correcto funcionamiento del hardware,
software, componentes asociados, instalaciones, programas, información, mobiliario,
equipos y demás activos informáticos.
El cumplimiento de funciones del personal:
- Empleados y usuarios
- Revisar y evaluar las operaciones del sistema
- Correcto desarrollo, instalación, mantenimiento y uso de los sistemas, equipos e
instalaciones.
Auditoria al sistema de cómputo
Auditoría técnica y especializada que se enfoca únicamente a la evaluación del
funcionamiento y su uso correcto del equipo de cómputo: Composición de sus partes
físicas, periféricos y de los componentes asociados, instalaciones y comunicaciones
internas y externas.
Incluye además, la evaluación de software instalado: Sistema operativo, lenguajes de
procesamiento, programa de desarrollo o cualquier software de apoyo o aplicación.
Auditoría alrededor de la computadora
Revisión especifica que se realiza a todo el ambiente que rodea al equipo de cómputo, a
fin de evaluar todos los aspectos involucrados en el funcionamiento de los sistemas
computacionales de la empresa. No es necesario estar en contacto directo con el sistema,
pero si con todo lo que implica el cumplimiento de las acciones relacionadas con el trabajo
cotidiano de la función informática.
14
- Diseño físico del área de sistemas y áreas que utilicen sistemas
- Análisis y aprobación de propuestas para adquisición de software, hardware,
periféricos, consumibles, muebles, etc.
- Medio ambiente de trabajo
- Gestión administrativa de la función informática
- Control de accesos a los sistemas, áreas de cómputo, a la información y bienes
informáticos
- Diseño de proyectos de nuevos sistemas
- Formatos, formas y métodos para recopilar información
Auditoría a la Seguridad de los Sistemas Computacionales.
Revisión exhaustiva, técnica y especializada de todo lo relacionado con la seguridad de un
sistema computacional:
- Áreas y personal
- Actividades, funciones y acciones preventivas y correctivas para salvaguardar:
Bases de Datos, redes, Sistemas, instalaciones, usuarios.
- Planes contra contingencias y medidas de protección de la información
- Evaluación de los aspectos que contribuyen a la protección y salvaguardia del área
de sistematización Redes o PC.
Auditoría Informática de Comunicaciones y Redes
Según (Enrique, 2005) La creciente importancia de las Comunicaciones ha determinado
que se estudien separadamente del ámbito de Técnica de Sistemas. Naturalmente, siguen
siendo términos difíciles en los conceptos generales de Sistemas y de Arquitecturas de los
Sistemas Informáticos.
Se ha producido un cambio conceptual muy profundo en el tratamiento de las
comunicaciones informáticas y en la construcción de los modernos Sistemas de
Información, basados en Redes de Comunicaciones muy sofisticadas.
Para el Auditor Informático, el entramado conceptual que constituyen las Redes Nodales,
físico-15
lógico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que
repetimos: Las Comunicaciones son el Soporte Físico-Lógico de la Informática en Tiempo
Real. El auditor informático tropieza con la dificultad técnica del entorno, pues ha de analizar
situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio
telefónico que presta el soporte en algunos lugares. Ciertamente, la tarea del auditor es
ardua en este contexto. Como en otros casos, la Auditoria de este sector requiere un equipo
de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales. No
debe olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso
interno de Redes Locales, diseñadas y cableadas con recursos propios. El entorno del
Online tiene una especial relevancia en la Auditoria Informática debido al alto presupuesto
anual que los alquileres de líneas significan. El auditor de Comunicaciones deberá inquirir
sobre los índices de utilización delas líneas contratadas, con información abundante sobre
tiempos de desuso.
Deberá proveerse de la topología de la Red de Comunicaciones, actualizada. La des
actualización de esta documentación significaría una grave debilidad. La inexistencia de
datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se
bordea la Inoperatividad Informática. Sin embargo, y como casi siempre, las debilidades
más frecuentes e importantes en la informática de Comunicaciones se encuentran en las
disfunciones organizativas. La contratación e instalación de líneas va asociada a la
instalación de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes
Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.).
Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una
sola organización.
Auditoría de la Seguridad Informática
Según (Guerrero, 2011) La seguridad en la informática abarca los conceptos de seguridad
física y seguridad lógica. La Seguridad física se refiere a la protección del Hardware y de
los soportes de datos, así como los edificios e instalaciones que los albergan. Contempla
las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. Igualmente, a este
ámbito pertenece la política de Seguros.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los
16
a la información. Se ha tratado con anterioridad la doble condición de la Seguridad
Informática: Como Área General y como Área Específica (seguridad de Explotación,
seguridad de las Aplicaciones, etc.).Así, podrán efectuarse Auditorias de la seguridad global
de una Instalación Informática- Seguridad General-, y Auditorias de la Seguridad de un área
informática de terminada- Seguridad Específica-.Las agresiones a instalaciones
informáticas ocurridas en Europa y América durante los últimos años, han originado
acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones
indebidos a través de las redes de comunicaciones, han acelerado el desarrollo de
productos de seguridad lógica y la utilización de sofisticados medios criptográficos.
1.2.3 Sistemas de Información.
Un auditor en informática requiere conocimientos sobre aspectos como el ciclo ve vida de
desarrollo de sistemas, técnicas de análisis, diseño y programación, técnicas de obtención
de información, empleo de herramientas case, etc. Ya que una de sus funciones principales
será, no solo determinar si otras personas desarrollan en forma adecuada las actividades
que utilizan este tipo de conocimientos sino emitir recomendaciones que permitan mejorar
dichas actividades.
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos
que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad,
seguridad y confidencialidad de la información que se procesa a través de los sistemas de
información. La auditoría de sistemas es una rama especializada de la auditoría que
promueve y aplica conceptos de auditoría en el área de sistemas de información. La
auditoría de los sistemas de información se define como cualquier auditoría que abarca la
revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los procedimientos no
automáticos relacionados con ellos y las interfaces correspondientes. El objetivo final que
tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr
un adecuado control interno en ambientes de tecnología informática con el fin de lograr
17
Procesamiento electrónico de datos.
El auditor de sistemas debe poseer sólidos conocimientos sobre sistemas operativos,
administradores de bases de datos, compiladores, procesadores tipos de memoria y
equipos periféricos como son: terminales, impresoras unidades de almacenamiento entre
otras. Este conocimiento es necesario debido a que tanto la información (archivos de datos)
como los procedimientos de trabajo (programas) residirán en equipos electrónicos y la labor
de analizarlos y evaluarlos requerirá conocimiento detallado al respecto.
Administración de Base de Datos.
El diseño de base de datos, sean relacionales o jerárquicas, se ha convertido en una
actividad muy compleja y sofisticada. La administración tendría que estar a cargo de
explotación.
El auditor de base de datos debería asegurarse que explotación conoce suficientemente
las que son accedidas por los procedimientos que ella ejecuta. Analizará los sistemas de
salvaguarda existentes, que competen igualmente a explotación. Revisará finalmente la
integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.
ISO/IEC 27004:2009
Fuente Auditoría Informática Interna ISO (Dejan Kosutic, 2017)
Según (Quirós, 2010) Son estándares de seguridad publicados por la Comisión
Electrotécnica Internacional (IEC) y la Organización Internacional para la Estandarización
(ISO).
18
Para solucionarlo necesitamos el uso de métricas las cuales nos ayudarán alcanzar
nuestros objetivos de una forma eficaz, rápida, sin errores y lo más importante reduciendo
el coste que nos ocasionarían dichos problemas, los cuales surgirán a la hora de realizar
nuestro trabajo. Si nos encontramos ante un control el cual no sabemos cómo medir, aquí
seria donde entraría el estándar ISO/IEC 27004, el cual nos proporciona la ayuda necesaria
para realizar dicha medición.
La norma ISO/IEC 27004 comienza con una pequeña introducción, en la que cabe destacar
lo siguiente, para aclarar en qué consiste:
Esta Norma Internacional proporciona orientación sobre la elaboración y utilización de
medidas y la medición para evaluar la eficacia de un sistema de gestión de la información
aplicada a la seguridad (SGSI) y controles o grupos de controles, tal como se especifica en
la norma ISO/IEC 27001.
Esto incluye la política, gestión de información de riesgo de seguridad, objetivos de control,
controles, procesos y procedimientos, y apoyar el proceso de su revisión, ayudar a
determinar si alguno de los procesos de SGSI o controles necesitan ser cambiados o
mejorados. Hay que tener en cuenta que ninguna de las mediciones de los controles puede
garantizar la seguridad total.
Con este proyecto se pretende entender mejor la ISO/IEC 27004, además mediante el uso
de los cuestionarios nos indicará si estamos realizando correctamente dicha normativa a
través de una serie de preguntas, las cuales al ser respondidas nos indicará en qué estado
se encuentra la empresa o entidad en la que realiza dicha ISO/IEC 27004.
El objetivo de esta norma es gestionar la seguridad de la información en una empresa,
adicionalmente podemos decir que esta norma puede ser implementada en cualquier tipo
de organización con o sin fines de lucro ya sea pública o privada pequeña o grande está
redactada por los mejores especialistas del mundo en el tema y proporciona una
19
Como implementar ISO 27004
- Obtener el apoyo de la dirección
- Utilizar una metodología para gestión de proyectos
- Definir el alcance del SGSI
- Redactar una política de alto nivel sobre seguridad de la información
- Definir la metodología de evaluación de riesgos
- Realizar la evaluación y el tratamiento de riesgos
- Redactar la declaración de aplicabilidad
- Redactar el plan de tratamiento de riesgos
- Definir la forma de medir la efectividad de sus controles y sus SGSI
- Implementar todos los controles procedimientos necesarios
- Implementar programas de capacitación y concienciación
- Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
- Monitorear y medir su SGSI
- Realizar la Auditoria Interna
- Realizar la revisión por parte de la dirección
- Implementar medidas correctivas
Cómo funciona la Norma ISO
El objetivo principal de esta norma es proteger la confidencialidad, integridad y
disponibilidad de la información en una empresa, esto se lo hace investigando cuales son
los potenciales problemas que podrían afectar la información es decir la evaluación de
riesgos y luego se procede a definir lo que es necesario hacer para evitar que estos
problemas se produzcan, la filosofía de la norma ISO se basa en la gestión de riesgos es
decir que lo primero que hay que hacer es investigar donde están los riegos y luego tratarlos
sistemáticamente.
Estructura de la Norma ISO
- Evaluación y tratamiento de riesgos
20
Siete pasos para realizar la auditoría interna según la Norma ISO
La auditoría interna consiste en los siguientes siete elementos o pasos, los cuales deberían
realizarse en esta secuencia:
1. Revisión de documentos
2. Creación de la lista de verificación de la auditoría interna
3. Escribir el plan de auditoría interna
4. Realizar la auditoría principal
5. Escribir el informe de auditoría interna
6. Escribir las peticiones de acción correctiva
7. Llevar a cabo el seguimiento de las acciones correctivas
Control de equipos informáticos.
Según (Arias, 2009) El control interno que se realice a los sistemas informáticos, permite
obtener diagnósticos de las diferentes dependencias, indicando riesgos y debilidades que
una vez detectados nos ahorran recursos humanos, físicos y financieros de la entidad, si
son corregidos a su debido tiempo.
Las áreas de control en los centros de cómputo son:
- Control de entrada y salida
- Biblioteca de medios magnéticos
- Operación del equipo de procesamiento
- Controles ambientales y de seguridad física
- Recuperación de desastres
- Reportes del mal funcionamiento
- Cambio de software operacional
- Seguridad lógica
21
De acuerdo con lo anterior, algunos puntos de inspección y comprobación que se deben
realizar en el centro de cómputo son los siguientes:
- Que los códigos de identificación y autorización de los usuarios estén adecuadamente
controlados para prevenir accesos no autorizados.
- Que las terminales que permitan el acceso al sistema cuenten con los controles
adecuados para prevenir el uso fraudulento.
- Que las alteraciones de seguridad accidental o intencional sean reportadas a la
administración de procesamiento electrónico de datos.
- Que las intervenciones de los operadores del centro de cómputo sean registrados en
el sistema y que este registro sea cuidadosamente revisado.
- Que se cambie los códigos de acceso
- Que constantemente se revise por un experto en seguridad todos los procesos de
informática.
- Que existan U.P.S contra fallas de energía y protección contra incendio
- Que se cuente con detectores de humo, calor y se les haga mantenimiento preventivo
y correctivo.
- Que se lleve un registro cronológico de los cambios efectuados a los sistemas y a todas
las fallas y mensajes de error que presente el equipo de cómputo.
- Que haya procedimientos adecuados para la recuperación de desastres y otras
amenazas
Sistemas de Información Transaccionales
Según (Olate, Sistemas de informacion estrategicos y tecnologías de información, 2004)
Un sistema de procesamiento de transacciones es un tipo de sistema de información que
recolecta, almacena, modifica y recupera toda la información generada por las
transacciones producidas en una organización. Una transacción es un evento que genera
o modifica los datos que se encuentran eventualmente almacenados en un sistema de
información.
Para que un Sistema de Información pueda ser considerado como un sistema de
procesamiento de transacciones, este debe superar el test ACID.
22
- Fiabilidad
- Inflexibilidad
- Procesamiento controlado
Características de los sistemas de procesamiento de transacciones
- Logran la automatización de los procesos operativos dentro de una organización
- Típicamente, es el primer tipo de sistema de información que se implanta en las
organizaciones
- Muestran una intensa entrada y salida de información
- Este tipo de sistema constituyen la plataforma de información de los Sistemas de
Información para la toma de decisiones.
Los sistemas transaccionales tienen entre sus ventajas:
- Agilizan y automatizan los procesos realizados por las empresas
- Almacenan grandes cantidades de información
- Gestionan las bases de datos
- Transforman tareas complejas para los seres humanos en actividades mas
sencillas.
23
Sistemas de Apoyo a la Toma de Decisiones
Según (Perez, 2006) los sistemas de apoyo para la toma de decisiones son sistemas que
ayudan en el análisis de información de negocios. Su propósito es ayudar a la
administración para que “marque tendencias, señale problemas y tome decisiones inteligentes”. La idea básica es recolectar datos operacionales del negocio y reducirlos a
una forma que pudiera ser usada para analizar el comportamiento del mismo y modificarlos
de una manera inteligente.
El sistema de apoyo a la toma de decisiones es usado por los gerentes de las empresas
para analizar y tomar decisiones efectivas para las organizaciones, de forma que se pueda
aumentar la productividad y ganancias de la empresa, también se usa para recolectar
información y tomar decisiones en los grupos con la ayuda de cuestionarios, o por medio
del uso de un software groupware; están compuestos por componentes primordiales:
- Subsistema de administración del modelo: se compone de comandos, lenguajes de
modelación y el directorio de modelación.
- Subsistema de interfaz de usuario: se compone de hardware y el software y la
iteración del usuario con la máquina.
- Usuario: es quien toma las decisiones en la empresa.
Valoración crítica de los conceptos principales de Auditoria informática
Conclusiones parciales del capítulo.
- El presente capítulo ha permitido sustentar bibliográficamente los principios y
fundamentos básicos de la Auditoría Informática, a través del uso de herramientas
y recursos tecnológicos modernos.
- La Auditoría Informática permitirá tener el control de la función informática en la
empresa.
- La Norma ISO 27004 permitirá verificar el cumplimiento de las medidas de seguridad
24
CAPITULO II.
MARCO METODOLOGICO Y PLANTAMIENTO DE LA PROPUESTA.
2.1 Caracterización del sector, rama, empresa, contexto institucional o problema
seleccionado para la investigación.
La Universidad Regional Autónoma de Los Andes UNIANDES es un Centro de Educación
Superior, entidad de derecho privado y laico, con personería jurídica y autonomía
administrativa y financiera, que ofrece una formación integral a sus estudiantes, sin
distinción de sexo, raza, religión o política; por lo tanto, el ingreso de los alumnos depende
de sus capacidades intelectuales.
La presencia de UNIANDES se fundamenta en la experiencia de más de 20 años en la
educación privada ecuatoriana de entidades educacionales de los distintos niveles
fundados por profesionales de la educación de una trayectoria más de 40 años en el
quehacer educativo y de manera especial en el nivel universitario.
Las entidades educativas privadas que conforman la UNIANDES, se establecieron de la
siguiente forma:
Creación del Instituto Técnico Superior “INSUTEC” de Ambato, provincia de Tungurahua
según Resolución N° 1553 del 5 de septiembre de 1985 y elevación a la categoría de
Tecnológico con Acuerdo N° 4598 del 2 de septiembre de 1993.
Creación del Colegio “INSUTEC” de Ambato con Resolución N° 758 del 30 de octubre de
1990.
Funcionamiento de la Unidad Educativa “INSUTEC” en Ambato, de acuerdo a la Resolución
N° 1437 del 4 de junio de 1993.
Creación del Instituto Técnico Superior “INSUTEC” en Quevedo, provincia de Los Ríos con
Resolución N° 2183 del 17 de junio de 1994 y elevación a la categoría de Tecnológico según
25
Creación del instituto Técnico Superior “1NSUTEC” en Puyo, provincia de Pastaza con
Resolución N° 2184 del 17 de junio de 1994 y elevación a la categoría de Tecnológico según
Resolución N° 867 del 13 de febrero de 1998.
Creación del Colegio “INSUTEC” en Quevedo, provincia de Los Ríos con Resolución N°
098 del 7 de febrero de 1994.
Creación del Instituto Técnico Superior “MONTERREY” en Babahoyo, provincia de Los Ríos
con Resolución N° 1832 del 29 de abril de 1996 y elevación a la categoría de Tecnológico
según Resolución N° 957 del 27 de febrero de 1998.
Creación del Colegio “MONTERREY” en Babahoyo, provincia de Los Ríos, con Resolución
N° 469 del 2 de julio de 1997.
Creación de la Universidad Regional Autónoma de Los Andes UNIANDES, según Ley N° 2
publicada en el Registro Oficial N° 7 del 20 de febrero de 1997.Creación y funcionamiento
del Colegio Menor UNIANDES en la ciudad de Santo Domingo de Los Colorados, Provincia
de Pichincha, con resolución N.- 15 del 21 de diciembre de 2004 y N.- 1105 del 22 de
diciembre del 2004.
Entre los principales servicios que la Universidad Uniandes Puyo brinda a los estudiantes,
docentes, personal administrativo es el acceso ilimitado a internet en dispositivos
electrónicos, laptops, tablas, celulares, uso de laboratorios de computación en horarios de
clases y extra clase para que los estudiantes hagan sus trabajos de investigación,
Bibliotecas virtuales entre otros.
Su característica principal es la de brindar a la comunidad educativa un servicio óptimo y
de calidad.
Misión
Somos una Universidad particular, que tiene como propósito formar profesionales de tercer
y cuarto nivel, de investigación, responsables, competitivos, con conciencia ética y solidaria
capaces de construir al desarrollo nacional y democrático, mediante una educación
humanista, cultural y científica dirigida a bachilleres y profesionales nacionales y
26
Visión
Ser una institución reconocida a nivel nacional e internacional por su calidad, manteniendo
entre sus fortalezas un cuerpo docente de alto nivel académico y un proceso de formación
profesional centrado en el estudiante, acorde con los avances científicos, tecnológicos, de
investigación en vínculo permanente con los sectores sociales y productivos.
2.2 Descripción del procedimiento metodológico para el desarrollo de la
investigación.
Las alternativas metodológicas que se aplicaron en el presente trabajo de investigación, se
diseñaron tomando en consideración la naturaleza del problema, el objeto de la
investigación, además se consideran los recursos humanos, materiales, el ámbito y
población que abarca el trabajo de investigación.
Tipos de investigación
2.2.1 Investigación Descriptiva
En las investigaciones de tipo descriptiva, llamadas también investigaciones diagnósticas,
consiste, fundamentalmente, en caracterizar un fenómeno o situación concreta indicando
sus rasgos más peculiares o diferenciadores. Según se mencionó, trabaja sobre realidades
de hecho y su característica fundamental es la de presentar una interpretación correcta en
la cual se aplicó la entrevista al encargado del departamento de Telemática.
2.2.2 Investigación Bibliográfica
Esta consiste en revisión y consultas a libros, tesis relacionadas con el proyecto de donde
se extrajo información útil para el tema desarrollado, es aquella etapa de la investigación
científica donde se explora qué se ha escrito en la comunidad científica sobre un
determinado tema que es Auditoría Informática Basada En Norma ISO 27004 Para El
Control Del Parque Tecnológico De Unidades Puyo, en la cual se extrajo las informaciones
27
2.2.3 Investigación de Campo
Constituye un proceso sistemático, riguroso y racional de recolección, tratamiento, análisis
y presentación de datos, basado en una estrategia de recolección directa de la realidad de
las informaciones necesarias para la investigación. Con la finalidad de indagar las bases
epistemológicas para comprender la caracterización metodológica del presente proyecto de
investigación se ha utilizado la modalidad investigativa cualitativa y cuantitativa.
Cualitativa
Según (Jesús, 2007) El método de investigación cualitativa es la recogida de información
basada en la observación de comportamientos naturales, discursos, respuestas abiertas
para la posterior interpretación de significados.
Se aplicó una investigación con un enfoque cualitativo, con el propósito de conocer la
realidad actual de la empresa, el mismo que nos permitirá la optimización de resultados con
veracidad y que estos sean medibles para su respectivo análisis oportuno.
Cualitativo por que se realizó en el lugar de los hechos es decir la información se recolectó
de manera interpretativa y se elaboraron herramientas basados en la problemática local de
la empresa, los mismos que permitieron obtener los resultados pertinentes para el presente
trabajo de investigación.
Cuantitativa
Mientras que los métodos cuantitativos aportan valores numéricos de encuestas,
experimentos, entrevistas con respuestas concretas para realizar estudios estadísticos y
ver cómo se comportan sus variables. Muy aplicado en el muestreo.
La investigación cuantitativa se utilizó para descubrir las condiciones actuales de los
sistemas informáticos y recursos tecnológicos en Uniandes Puyo, se aplicó la encuesta a
la comunidad educativa docentes y estudiantes y la entrevista al personal administrativo
28
concretas a los cuestionarios previamente elaborados con la finalidad de conocer sobre el
comportamiento del parque tecnológico de Uniandes Puyo.
Técnicas
Entre las técnicas que se aplicará para recolectar información, se encuentran:
La entrevista.
Es un documento formado por un conjunto de preguntas que deben estar redactadas de
forma coherente, y organizadas, secuenciadas y estructuradas de acuerdo con una
determinada planificación, con el fin de ofrecer toda la información que se precisa llevó a
cabo en Uniandes Puyo.
La presente entrevista con el fin de obtener información cualitativa está dirigida al personal
Administrativo de la Institución, en este caso al Director General de Uniandes Puyo y a los
Técnicos de Telemática.
Tabla 1 Personal Administrativo Entrevistado
Nombre del entrevistado Cargo
Ing. Miguel Velasteguí Director de Uniandes Puyo
Ing. Hermes Paillacho Técnico de Telemática
Elaborado por: Nelson Becerra Arévalo
Fuente: Uniandes Extensión Puyo
La encuesta.
Es una técnica de recogida de datos para la investigación mediante la aplicación de un
cuestionario que se aplica para obtener los datos que ayudarán a definir la situación actual
del proceso de la Auditoría de parque tecnológico de Uniandes Puyo.
La encuesta se aplicó con la finalidad de obtener información cuantitativa de la comunidad
29
Tabla 2 Personal Docente y Estudiantes Encuestados
Elaborado por: Nelson Becerra Arévalo
Fuente: Uniandes Extensión Puyo
Observación.
Es el examen atento de los diferentes aspectos de un fenómeno a fin de estudiar sus
características y comportamiento dentro del medio en donde se desenvuelve éste. La
observación directa de un fenómeno ayuda a realizar el planteamiento adecuado de la
problemática a estudiar. Adicionalmente, entre muchas otras ventajas, permite hacer una
formulación global de la investigación, incluyendo sus planes, programas, técnicas y
herramientas a utilizar.
La observación Directa permitió adquirir de manera activa la información a partir del sentido
de la vista mediante la inspección efectuada directamente a los laboratorios de
computación, áreas administrativos entre otros, Motivo por el cual, esta actividad se realizó
in situ con los Técnicos del departamento de Telemática responsables de la administración
de los recursos informáticos.
Guía de Observación
Objetivo. Identificar el número de equipos informáticos en los laboratorios de computación,
áreas administrativos para verificar su funcionalidad operativa.
Encuestados Total
Docentes 52
30
Tabla 3 Guía de observación
No. ASPECTOS A EVALUAR SI NO OBSERVACIONES
1 Los laboratorios de computación y áreas
administrativas cuentan con iluminación de
seguridad y señalización.
x
2 Los laboratorios de computación y áreas
administrativas disponen de extintores,
sistemas de detectores y alarma en caso de
un incendio.
x
3 Las instalaciones eléctricas en los
laboratorios y áreas administrativas han
sido diseñadas en función del tipo de
equipos utilizados.
x
4 Los laboratorios de computación y áreas
administrativas disponen de instalación de
aire acondicionado.
x
5 El local físico donde funcionan los
laboratorios de computación y áreas
administrativas son apropiadas a sus
necesidades.
x
No porque sus
instalaciones fueron
construidas para otras
actividades.
6 Los equipos informáticos utilizados en los
laboratorios de computación y áreas
administrativas son adecuados para el
trabajo óptimo.
x
7 Los laboratorios de computación cuentan
con una normativa para el uso de los
equipos informáticos.
x
8 Los laboratorios de computación y áreas
administrativas tienen accesos para
personas con capacidades especiales.
x
Únicamente el área
donde funciona
Secretaria general
cuenta con este
