Eber mata(tesis lista)

REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA

DE LA FUERZA ARMADA

DIVISIÓN ACADÉMICA, NÚCLEO DELTA AMACURO

CARRERA: ANÁLISIS Y DISEÑO DE SISTEMAS

DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE MIGRACIÓN ENTRE LOS SISTEMAS DE PROCESAMIENTO

DE NÓMINA GUBERNAMENTAL (SISTNOMINA), (EL SISTEMA INTEGRADO DE GESTIÓN PÚBLICA (SINTEGESP)

Y EL SISTEMA INTEGRADO DE GESTIÓN PARA ENTES DEL SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓN DEL

ESTADO DELTA AMACURO, MUNICIPIO TUCUPITA.

(INFORME FINAL DE PASANTÍAS OCUPACIONALES)

Autor:

Eber Ernesto Mata Sandoval

Tutor Académico:

MSc. MELVIN ROMERO

TUCUPITA, MAYO DEL 2015

DEDICATORIA

A mi familia, que constituyen mi aliento para vivir, alimentan mis ganas de

superarme y ser mejor cada día.

A mi madre por creer siempre en mí, apoyarme y ayudarme siempre que la

necesite.

A los pocos compañeros y amigos que se mantuvieron cerca prestándome una

mano en determinados momentos.

Y a todas aquellas personas que de una u otra forma confiaron en mí,

diciéndoles que con trabajo duro y determinación siempre se pueden alcanzar las

metas propuestas.

Eber Ernesto Mata Sandoval

RECONOCIMIENTOS

A Dios Padre Creador, por haberme concedido la fuerza para llegar a feliz

término esta tarea.

A la Universidad Nacional Experimental Politécnica de la Fuerza Armada, por

brindarme la oportunidad de desarrollar mi carrera.

A los profesores, quienes con sus sabias orientaciones, ayudaron en mi

formación en estos tres años de carrera.

A Alexander Amares por aceptarme como pasante, A Melvin Romero como

tutor académico por sus orientaciones en todo momento y al personal de la División

de Tecnología de la Información por toda su ayuda, apoyo y por todo el aprendizaje

que obtuve gracias a ellos, Muchas Gracias.



UNIVERSIDAD NACIONAL EXPERIMENTAL

DE LA FUERZA ARMADA BOLIVARIANA

COORDINACIÓN DE PASANTIAS



APROBACIÓN DEL TUTOR ACADÉMICO

Quien suscribe, el profesor Melvin Romero, titular de la Cédula de Identidad

11.213.194, en condición de tutor académico designado por el departamento de

pasantías adscrito a la División Académica de la Universidad Nacional Experimental

Politécnica de las Fuerzas Armadas Nacional (UNEFA), hace constar que el informe

final presentado por el bachiller: “EBER ERNESTO MATA SANDOVAL”, C.I. Nº

20.159.811, como uno de los requisitos parciales para optar al título de T.S.U en

Análisis y Diseño de Sistemas, reúne las condiciones y méritos suficientes para ser

aprobado con la calificación de _____ puntos.

En Tucupita a Un día del mes de Junio del año Dos Mil Quince.

_____________________

Tutor Académico MSc. MELVIN ROMERO

C.I.: 11.213.194


GOBERNACIÓN DEL ESTADO DELTA AMACURO

SECRETARIA GENERAL DE GOBIERNO

APROBACIÓN DEL INFORME

TUTOR EMPRESARIAL

Yo Alexander Amares titular de la Cédula de Identidad 9.863.112, en mi

carácter de asesor empresarial de las prácticas profesionales elaborado por el

Bachiller: Eber Ernesto Mata Sandoval titular de la Cédula de Identidad

20.159.811, en la Gobernación del Estado Delta Amacuro, en el periodo académico

del 28 de Julio hasta el 14 de Noviembre del 2014, considero reúne los méritos

suficientes de aprobación de acuerdo a los requisitos exigidos por la Gobernación en

el proceso de las prácticas profesionales.

En Tucupita a los Catorce días del mes de Noviembre del año Dos Mil

Catorce.

__________________________

Tutor Empresarial

ING. ALEXANDER AMARES

C.I.: 9.863.112

i

ÍNDICE GENERAL

P.p

Índice General. i

Índice de Tablas. iii

Índice de gráficos. iv

Resumen v

Introducción 1

CAPÍTULO I.

PRESENTACIÓN DE LA EMPRESA

3

Reseña histórica de la Empresa 3

Descripción de la empresa 4

Misión y Visión 5

Objetivos De La Empresa 6

Metas 7

Valores 7

Estructura Organizacional 8

Organigrama Funcional 9

CAPÍTULO II.

DESCRIPCIÓN DEL DEPARTAMENTO 10

Importancia y justificación 10

Objetivos: general y específicos 11

Base legales 12

Descripción del departamento 17

Organigrama del departamento 18

ii

CAPÍTULO III.

DESARROLLO DE LAS ACTIVIDADES

19

Objetivos: generales y específicos 21

Cronograma de actividades 22

Diagrama De Gantt 23

Descripción de las actividades realizadas 24

Limitaciones encontradas en la práctica profesional 59

Aportes del practicante 61

CAPÍTULO IV

CONCLUSIONES Y RECOMENDACIONES

Conclusiones 60

Recomendaciones 62

Glosario de términos 63

Bibliografía 69

Anexos 71

iii

INDICE DE TABLAS

TABLA N° P.p

.

1 Valor propio de los activos 34

2 Identificación de la amenazas 37

3 Degradación de valor 38

4 Probabilidad de ocurrencia 38

5 Valoración de la amenazas 39

6 Identificación De Las Salvaguardas 43

7 Niveles de Madures 46

8 Tarea de Valoración de Salvaguardas 47

9 Impacto potencial 48

10 Impacto residual 50

11 Riesgo potencial 52

12 Riesgo residual 54

iv

ÍNDICE DE GRÁFICOS

GRÁFICOS

N°

P.p

.

1 Organigrama Estructural 8

2 Organigrama Funcional 9

3 Organigrama de la división 18

4 Diagrama de Gantt 22

5 Diagrama De Dependencias Entre Activos 32

6 Interpretación de resultados 55

v



UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA

DE LA FUERZA ARMADA



DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE MIGRACIÓN

ENTRE LOS SISTEMAS DE PROCESAMIENTO DE NÓMINA

GUBERNAMENTAL (SISTNOMINA), (EL SISTEMA INTEGRADO DE GESTION

PUBLICA (SINTEGESP) Y EL SISTEMA INTEGRADO DE GESTIÓN PARA

ENTES DEL SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓN DEL ESTADO

DELTA AMACURO, MUNICIPIO TUCUPITA.

Autor: Eber Ernesto Mata Sandoval.

Tutor Académico: MSc. Melvin Romero.

Junio 2015

RESUMEN

El siguiente informe de pasantías ocupacionales tiene como objetivo principal

la realización de una auditoría al proceso de migración entre los sistemas de

Procesamiento de Nómina Gubernamental (SISTNOMINA), El Sistema Integrado de

Gestión pública (SINTEGESP) al Sistema Integrado De Gestión Para Entes del

Sector Público (SIGESP) con el fin de minimizar la perdida de datos y tiempo en la

migración en la Gobernación del Estado Delta Amacuro, Municipio Tucupita. Este

procesos es sumamente delicado puesto que el SISTNOMINA se encuentra en

software propietario con el manejador de base de datos SQL Server de Microsoft. El

Sistema Integrado de Gestión pública SINTEGESP en Software Libre manejador de

base de datos Mysql; estos dos sistemas migraran sus datos al SIGESP que maneja

una base de datos postgres el informe busca documentar, identificar las amenazas, las

vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas,

determinar del impacto en caso de su materialización y por último la obtención del

riesgo al que se está expuesto con ello las estrategias que faciliten el proceso de

migración dentro de la división de tecnología de la información. La auditoría se

realizó con la metodología de MAGERIT – versión 3.0 Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información, que comprende cuatro fases que

comprende cuatro fases: identificación de activos, identificación de las amenazas,

identificación de las salvaguardas y la estimación de estado de riego.

PALABRAS CLAVES: MIGRACIÓN, SISTNOMINA, SINTEGESP, SIGESP, MAGERIT, AUDITORIA.

1

INTRODUCCIÓN

Desde el inicio de la humanidad las mejoras tecnológicas han sido la norma

para mejorar, reducir costo, crear productos, mejores cosechas, textiles, más

resistencia a las enfermedades, entre otros. El área de la informática no escapa a estas

tendencias de hecho ha incrementado exponencialmente las mejoras tecnológicas a

pesar de ser una rama del conocimiento humano que tiene menos de un siglo.

La palabra clave en esto es la comunicación, pues el hombre ha sido capaz de

comunicarse más fácilmente a través de la tecnología, usando herramientas creadas

por él mismo, en ellas se establecieron estándares enfocados a mejorar la velocidad

desarrollo de nuevos software para los ámbitos de todo el conocimiento humano y

entre ellos las gestiones administrativas.

Ahora bien, los nuevos estilos de gestión de la administración pública,

requieren el uso de modernas herramientas capaces de apoyar categóricamente el

mejoramiento y el cambio de las organizaciones para asumir sus nuevos roles.

En el presente informe se puede constatar unas de las problemáticas que desde

muchos años afectan diversas instituciones y es mejorar el control administrativo e

identificar los activos relevantes para integrar los procesos administrativos en un sólo

sistema como lo es el Sistema Integrado de Gestión para entes del Sector Público

(SIGESP) en la Gobernación del Estado Delta Amacuro, Municipio Tucupita;

partiendo de la data registrada en los sistemas de el procesamiento de nómina

gubernamental (SISTNOMINA), y el sistema integrado de gestión pública

(SINTEGESP).

El proceso de migración de estos dos sistemas necesita un diagnóstico para la

definición de estrategias tendientes a minimizar la perdida de datos, optimizar la

utilización del personal horas hombre destinada a dicha labor de migración y buscar

amenazas al proceso de migración; puntos aprovechables para reducir el tiempo de

http://www.monografias.com/trabajos12/fundteo/fundteo.shtml

http://www.monografias.com/trabajos15/fundamento-ontologico/fundamento-ontologico.shtml

http://www.monografias.com/trabajos11/contrest/contrest.shtml

2

implantación del mismo; crear con dicho informe de auditoría un plan de acción para

este proceso en la gobernación del Estado Delta Amacuro.

Capítulo I: La Información General de la Empresa, la cual consta de Reseña

Histórica, Descripción de la Institución, Misión y Visión de la Institución, Objetivo y

Estructura Organizacional. Capítulo II: el Descripción Del Departamento, este

contiene Importancia y justificación, Objetivos, Base legales, Descripción del

departamento y Organigrama del departamento. Capítulo III: Refleja el Desarrollo De

Las Actividades, Exposición de motivo de la práctica profesional, Objetivos:

generales y específicos, Cronograma de actividades, Diagrama De Gantt, Descripción

de las actividades realizadas y Aportes del practicante. y el Capítulos IV:

Conclusiones y Recomendaciones.

3

CAPÍTULO I

PRESENTACIÓN DE LA EMPRESA

RESEÑA HISTÓRICA

Datos recopilados por el Prof. Cruz José Marín (Historia del Territorio

Federal Delta Amacuro, 1981) señalan que el 27 de Abril de 1884 el Departamento

Zea del Estado Guayana, actualmente Estado Bolívar, fue elevado a la categoría de

Entidad Federal según decreto del Presidente de los Estados Unidos de Venezuela

Antonio Guzmán Blanco; esta entidad federal se denominó Territorio Federal Delta,

su primera capital fue Pedernales y su primer Gobernador el Sr. Manuel Modesto

Gallegos. El 14 de Noviembre de 1887 el Ejecutivo Federal cambia la capital del

Territorio hacia la población de Tucupita, celebrándose esta disposición en acto

público el 24 de Enero de 1888. El General Juan José Yépez estaba al frente del

Poder Ejecutivo Territorial. El 21 de Octubre de 1893 el General Manuel Guzmán

Álvarez Presidente del Consejo de Gobierno encargado del Poder Ejecutivo, decreta

la eliminación del Territorio Federal Delta quedando su espacio geográfico

incorporado al Estado Bolívar.

La Gobernación del Territorio Federal Delta Amacuro surge a raíz de la

creación del Territorio Federal Delta Amacuro (T.F.D.A), el 26 de Abril de 1901

siendo el General Cipriano Castro Presidente provisional de los Estados Unidos de

Venezuela; se designó a San José de Amacuro como capital. Cuatro años más tarde,

el 16 de Mayo de 1905 se traslada la capital del Territorio a Tucupita siendo su

primer Gobernador el Sr. Pedro Alcántara Leal desde 1901 hasta 1904.

4

Después de 1905 la sede del Poder Ejecutivo se ubicó en la calle Bolívar

frente a la Plaza del mismo nombre, en una propiedad de la familia Rojas Díaz pero

debido a que la Gobernación y el cuerpo policial funcionaban en el mismo lugar

cambia nuevamente su ubicación a la calle Pativilca. Ahí permanece hasta el año

1960 fecha en la cual se traslada hasta su sede actual de la Calle Bolívar cruce con

Dalla Costa; siendo el Señor Luís Fernando Aranguren Gobernador del Territorio

Federal Delta Amacuro y Don Rómulo Betancourt el Presidente de Venezuela. El 3

de Agosto de 1991 siendo Presidente de Venezuela el Sr. Carlos Andrés Pérez, el

Congreso de la República decretó una Ley Especial que dio categoría de Estado al

Territorio Federal Delta Amacuro, denominándose: Gobernación del Estado Delta

Amacuro.

DESCRIPCION DE LA EMPRESA

La Gobernación del Estado Delta Amacuro, es un ente organizado que se

dedica a administrar y controlar los recursos asignados al Estado mediante la Ley de

Presupuestos, cumpliendo con los programas establecidos en el presupuesto de

gastos. La Gobernación establece planes locales y regionales dentro del marco del

desarrollo económico y social del Estado.

El objetivo principal de éste ente gubernamental, es alcanzar el bienestar

social de la colectividad, estableciendo sus gastos en función de las necesidades de la

población.

De igual forma, desempeña un rol determinante en las decisiones políticas,

económicas y sociales del país por lo que implementa, aprueba y ejecuta programa

viables dentro de un marco racional de coordinación coherente y de integración que

permita la administración eficaz de los recursos del Estado, aplicando políticas que

favorezcan a la colectividad deltana por igual, a través de la inclusión social y el

5

empleo como condiciones esenciales para promover el respeto a los principios y

derechos fundamentales de sus ciudadanos.

Los ingresos del Estado se distribuyen entre los diferentes sectores que

constituyen el plan de inversión del Estado. La Gobernación debe controlar y

fiscalizar la realización de las actividades administrativas mediante el plan de

acciones que describen el resultado perseguido, las normas a seguir, las etapas a

ejecutar y los métodos a utilizar.

Las gestiones gubernamentales del Estado Delta Amacuro se realizan en la

sede principal ubicada en la Calle Bolívar cruce con Calle Dalla Costa. La

Gobernación está conformada por una serie de direcciones y departamentos que en su

mayoría funcionan en la sede principal antes mencionada y aseguran el cumplimiento

de sus objetivos.

MISIÓN Y VISIÓN

MISIÓN

Mantenerse y afianzarse como una institución del Ejecutivo del estado de

Venezuela, asumiendo el compromiso de ejercer un gobierno democrático que al

amparo de los demás altos valores éticos y trabajo corresponsable, impulse

decididamente la participación social y ofrezca servicios de calidad, en un marco de

legalidad y de justicia, para elevar las condiciones de vida de los deltanos.

VISIÓN

Ser un gobierno democrático, cercano a la comunidad y con sentido humano,

que garantice el estado de derecho, la integridad y el patrimonio de las personas, la

paz social y la justicia, a través de un desarrollo integral que con finanzas públicas

6

sanas, multiplique las oportunidades de educación y empleo, combata la pobreza,

aliente el crecimiento armónico urbano y rural de las regiones, brinde servicios

públicos de calidad para una vida digna y fortalezca la identidad y la participación

ciudadana.

OBJETIVOS DE LA EMPRESA

Fijar los límites de los emolumentos que devenguen los empleados de las

instituciones públicas.

Desarrollar actividades que estimulen las distintas ramas de la economía del

Estado, creando fuentes de trabajo.

Prestar servicios públicos de calidad tales como: Educación, Salud,

Recreación y muchos otros en bienestar de la población.

Diseñar y promover programas y proyectos fundamentales en una visión

compartida entre los actores sociales para el rescate de los valores orientados

a generar sentido de comunidad en los ciudadanos del Estado.

Mantener la vialidad del Estado en condiciones óptimas.

Promover el turismo en la región.

Fomentar y brindar los medios necesarios que faciliten el desarrollo,

intelectual y cultural de la ciudadanía.

Velar por la salud física y mental del pueblo mediante el establecimiento de

programas que permitan asegurar dicho objetivo.

Mantener la armonía, la paz y la defensa del Estado.

7

METAS

Garantizar la equidad, la igualdad de oportunidades, la justicia social y la

participación ciudadana.

Impulsar el desarrollo integral y sustentable del Estado.

Establecer una política concertada entre diferentes organismos que permita

atender la problemática ambiental y la ocupación y uso racional del territorio.

Fortalecer la gestión institucional y de los recursos humanos, modernización e

implementación de nuevos modelos de gestión.

VALORES

Su actuación se basa en el respeto a las garantías individuales, teniendo a la

persona, con su dignidad, como el centro de su atención. Construir consensos

respetando la libertad de decidir y disentir; siendo incluyentes, propiciando la

superación integral de las personas y el desarrollo armónico de la sociedad.

8

ORGANIGRAMA ESTRUCTURAL DE LA GOBERNACIÓN DEL ESTADO

DELTA AMACURO.

Organigrama Estructural

Gráfico Nº 1:

Fuente: Gobernación del Estado Delta Amacuro (2014)

9

ORGANIGRAMA FUNCIONAL DE LA GOBERNACIÓN DEL ESTADO

DELTA AMACURO.

Organigrama Funcional

Gráfico Nº 2:

Fuente: Gobernación del Estado Delta Amacuro (2014)

Dpto. De Compra

Departamento de

Desarrollo

sarrollo

Dpto. Saneamiento

Dpto. Servicios

Técnicos

Dpto. Personal

Dpto.

Mantenimiento y

Soporte Técnico

Archivo General División de

mantenimiento

División de

Personal

División de Tecno.

e Información

Administración

Unidad de Soporte

Técnico

Dpto. Gobierno

Electrónico

Unidad de

Servicios

10

CAPÍTULO II

DESCRIPCIÓN DEL DEPARTAMENTO

IMPORTANCIA Y JUSTIFICACIÓN

La división de la tecnología de la información es el encargado de llevar el

control en las diferentes áreas que debe implementarse aún en aquellas que no son

básicas, ya que la apropiación y el manejo de los recursos disponibles debe

convertirse en una estrategia de uso habitual y cotidiano. Por ende, este departamento

se encarga del estudio, diseño, desarrollo e innovación de los sistemas informáticos

computarizados, particularmente usos del software y hardware. En general, se ocupa

del uso de computadoras y del software electrónico, así como de convertir,

almacenar, proteger, procesar, transmitir y de recuperar la información; así como

también de realizar una variedad de deberes como instalar y diseñar redes de

ordenadores y bases de datos complejas.

La oficina de Tecnologías de la Información es el órgano que se encarga de

administrar, planificar, implementar y gestionar sistemas de información, el cual se

encarga de formular planes de gestión en materia de tecnologías de la información

que sirvan de apoyo a las actividades operativas y de gestión de la gobernación, así

como de los sistemas transversales a su cargo para implementar políticas y normas de

seguridad informática y soluciones de protección de las redes, equipos y sistemas de

información en concordancia con las políticas de seguridad establecidas.

OBJETIVOS: GENERAL Y ESPECÍFICOS

Objetivo General: Coordinar, administrar y controlar los procesos

relacionados con el área de tecnología de la información diseñando, desarrollando e

11

implementando programas y aplicaciones de acuerdo con las necesidades de los

usuarios del sistema, de manera que permita hacer uso eficiente, potencial,

tecnológico y mantener una comunicación efectiva entre los organismo entre los

organismos del estado, la ciudadanía y las empresas.

Objetivos Específicos:

Mantener actualizadas los procesos tecnológicos de la información de acuerdo

a los avances implementados en la administración pública del Estado.

Recopilar y presentar periódicamente informes ante la Secretaria General de

Gobierno, detallando avances tecnológicos aplicados, logros, tiempo de

ejecución y demás indicadores de gestión pertinentes.

Velar porque los sistemas que se desarrollen, cumplan con las consideraciones

fundamentales en el desarrollo del software libre y se encuentren

desarrollados bajo una licencia GNU/GPL.

Alojar los procesos de desarrollo (código fuente, discusiones, documentación

entre otros) en el componente forja contenido en el repositorio nacional de

aplicaciones.

Administrar y controlar los servidores de la plataforma tecnológica velando

por el buen funcionamiento de los mismos.

Mantener la plataforma tecnológica en óptimas condiciones minimizando sus

riesgos de fallas.

Establecer y documentar los procedimientos y responsabilidades asociadas

con la operación y manejo de los servidores.

12

Monitorear a través de sistemas la disponibilidad, capacidad, desempeño y uso

de la plataforma a fin de asegurar su correcta operación y mantener un registro

de sus eventuales fallas.

Garantizar el mantenimiento preventivo y correctivo de sistemas y programas

aplicadas a la red informática de la gobernación del estado Delta Amacuro.

Garantizar de manera razonable, la confidencialidad, integridad y

disponibilidad de la información lo que implica protegerla contra su uso,

divulgación y modificación no autorizada danos o perdidas.

Presentar periódicamente informes detallados, avances de los sistemas de red

aplicados, programas diseñados, ubicación, fallas, avances, logros y demás

indicadores de gestión pertinentes.

Diseñar programas de capacitación para el buen uso de capacitación dirigidos

a empleados de la gobernación del Estado.

BASES LEGALES

CONSTITUCIÓN DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA

(2000).

Artículo 110. El Estado reconocerá el interés público

de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de información necesarios por ser instrumentos

fundamentales para el desarrollo económico, social y político del país, así como para la seguridad y soberanía

nacional. Para el fomento y desarrollo de esas actividades, el Estado destinará recursos suficientes y creará el sistema nacional de ciencia y tecnología de

acuerdo con la ley. El sector privado deberá aportar

13

recursos para los mismos. El Estado garantizará el

cumplimiento de los principios éticos y legales que deben regir las actividades de investigación científica,

humanística y tecnológica. La ley determinará los modos y medios para dar cumplimiento a esta garantía. (p. 44)

La patria debe destinar recursos en el interés público de la ciencia, la

tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de

información necesarios por ser instrumentos fundamentales para el desarrollo

económico, social y político del país, así como para la seguridad y soberanía

nacional.

LEY ORGÁNICA DE CIENCIA, TECNOLOGÍA E INNOVACIÓN (2005).

Artículo 1. La presente Ley tiene por objeto desarrollar los principios orientadores que en materia de ciencia,

tecnología e innovación y sus aplicaciones, establece la Constitución de la República Bolivariana de Venezuela,

organizar el Sistema Nacional de Ciencia, Tecnología e Innovación, definir los lineamientos que orientarán las políticas y estrategias para la actividad científica,

tecnológica, de innovación y sus aplicaciones, con la implantación de mecanismos institucionales y

operativos para la promoción, estímulo y fomento de la investigación científica, la apropiación social del conocimiento y la transferencia e innovación

tecnológica, a fin de fomentar la capacidad para la generación, uso y circulación del conocimiento y de

impulsar el desarrollo nacional. (p. 5)

Los principios que orientan la materia de ciencia, tecnología e innovación y

sus aplicaciones para la promoción, estímulo y fomento de la investigación científica,

la apropiación social del conocimiento y la transferencia e innovación tecnológica, a

fin de fomentar la capacidad para la generación, uso y circulación del conocimiento y

de impulsar el desarrollo y seguridad nacional.

14

Artículo 3. Forman parte del Sistema Nacional de Ciencia, e Innovación, las instituciones públicas o

privadas que generen y desarrollen conocimientos científicos y tecnológicos y procesos de innovación, y

las personas que se dediquen a la planificación, administración, ejecución y aplicación de actividades que posibiliten la vinculación efectiva entre la ciencia,

la tecnología y la sociedad. A tal efecto, forman parte del sistema:

1. El Ministerio de Ciencia y Tecnología, sus

organismos adscritos y las entidades tuteladas por éstos, o aquellas en las que tengan participación.

2. Las instituciones de educación superior y de

formación técnica, academias nacionales, colegios profesionales, sociedades científicas, laboratorios y centros de investigación y

desarrollo, tanto público como privado.

3. Los demás organismos públicos y privados que se dediquen al desarrollo, organización, procesamiento, tecnología e información.

4. Los organismos del sector privado, empresas,

proveedores de servicios, insumos y bienes de capital, redes de información y asistencia que sean incorporados al Sistema.

5. Las personas que a título individual o colectivo, realicen actividades de ciencia, Tecnología e innovación.(p. 7)

Las instituciones públicas o privadas deben generar conocimientos científicos

y tecnológicos y procesos de innovación, y las personas que se dediquen a la

planificación, administración, ejecución y aplicación de actividades que posibiliten la

vinculación efectiva entre la ciencia, la tecnología y la sociedad, dándole un marco

legal en el cual regirse.

15

LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS (2001).

Artículo 4. Sanciones: Las sanciones por los delitos

previstos en esta Ley serán principales y accesorias. Las sanciones principales concurrirán con las penas accesorias y ambas podrán también concurrir entre sí,

de acuerdo con las circunstancias particulares del delito del cual se trate, en los términos indicados en la

presente Ley. (p. 3)

Este artículo nos recuerda que es muy importante que se tenga en cuenta que

el software a pesar de ser intangibles son bienes y como tal están sujetos a sanciones

que se aplican a las personas de acuerdo a las circunstancias particulares del delito

del cual se trate.

Artículo 6. Acceso indebido: Toda persona que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema

que utilice tecnologías de información, será penado con prisión de uno cinco años y multa de diez a cincuenta

unidades tributarias. (p. 4)

El siguiente articulo trata sobre la sanción que se producirá al una persona

entrar a un sistema informático puesto que esto sin permiso es similar a entrar a una

casa sin consentimiento de sus dueños, así como que se intercepte, interfiera o use un

sistema que emplee tecnologías de información sin la debida autorización.

Artículo 7. Sabotaje o daño a sistemas: Todo aquel que con intención destruya, dañe, modifique o realice

cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información o cualesquiera de los componentes que lo conforman,

será penado con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.

Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la información contenida en cualquier sistema que utilice tecnologías de

16

información o en cualquiera de sus componentes. La

pena será de cinco a diez años de prisión y multa de quinientas a mil unidades tributarias, si los efectos

indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión, por cualquier medio, de un virus o programa análogo. (p. 4)

Este articulo habla sobre la sanción que se le da a todo aquel que con

intención destruya, dañe, modifique o realice cualquier acto que altere el

funcionamiento o inutilice un sistema que utilice tecnologías de información o cuales

quiera de los componentes que lo conforman.

Artículo 8. Favorecimiento culposo del sabotaje o daño: Si el delito previsto en el artículo anterior se

cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicará la pena correspondiente según el caso, con una reducción

entre la mitad y dos tercios”. (p. 4)

El siguiente artículo trata sobre la pena que se aplicara según fuese el delito

previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o

inobservancia de las normas establecidas.

DESCRIPCIÓN DEL DEPARTAMENTO

DIVISIÓN DE TECNOLOGÍA E INFORMACIÓN

La División de Tecnología e Información se encarga de ejecutar la

planificación y organización de las actividades vinculadas con las tecnologías

informáticas y de las operaciones necesarias para asegurar el correcto funcionamiento

de la plataforma tecnológica. Dentro de esta división se encuentran los cargos

siguientes:

17

ANALISTA DE PROCESAMIENTO DE DATOS

Las funciones son:

Velar por la seguridad de accesos y operatividad de la plataforma de sistemas.

Analizar los requerimientos de información, transformarlo en requisitos del

sistema y coordinar su implementación.

Supervisar las actividades realizadas por terceros en el desarrollo e

implementación de soluciones informáticas.

ESPECIALISTA DE COMPUTACION

Es capaz de desempeñar funciones dentro de las organizaciones donde se

requiera el uso del computador como herramienta para la gestión de datos y solución

de problemas de negocio.

OPERADOR DE EQUIPOS

Los operadores de computadoras preparan y limpian todo el equipo que se

utiliza en el proceso de datos; mantienen y vigilan las bitácoras e informes de la

computadora, montan y desmontan discos y cintas durante los procesos y colocan las

formas continuas para la impresión. Documentan las actividades diarias, los

suministros empleados y cualquier condición anormal que se presente. El papel de los

operadores es muy importante debido a la gran responsabilidad de operar la unidad

central de proceso y el equipo periférico asociado en el centro de cómputo.

18

ORGANIGRAMA ESTRUCTURAL DE LA DIVISIÓN DE TECNOLOGÍA E

INFORMACIÓN DE LA GOBERNACIÓN DEL ESTADO DELTA

AMACURO.

Organigrama de la división

Gráfico N° 3 Cargos del dpto. de tecnología de información.

Fuente: El Autor (2014)

DIVISIÓN DE TECNOLOGÍA E INFORMACIÓN

ANALISTA DE PROCESAMIENTO DE

DATOS

ESPECIALISTA DE COMPUTACIÓN

OPERADOR

DE EQUIPOS

19

CAPÍTULO III

DESARROLLO DE LAS ACTIVIDADES

OBJETIVOS: GENERAL Y ESPECÍFICOS

Objetivo General:

Desarrollar una Auditoria del Proceso de Migración entre los sistemas de

procesamiento de nómina gubernamental (SISTNOMINA), (el sistema integrado de

gestión pública (SINTEGESP) y el sistema integrado de gestión para entes del sector

público (SIGESP)) en la gobernación del estado Delta Amacuro, Municipio Tucupita.

Objetivos Específicos:

Identificar los activos relevantes dentro de los sistemas a migrar en la Gobernación

del Estado Delta Amacuro, Municipio Tucupita, para garantizar la trasferencia de

datos confiable hacia el SIGESP.

Determinar las posibles amenazas en proceso de migración hacia el SIGESP con el

fin de disminuir la pérdida de datos históricos administrativos de la gobernación.

Indicar las salvaguardas que puedan aparecer, para calificar su eficiencia en frente de

una amenaza al proceso de migración al SIGESP, para elaboración de planes de

contingencia para minimizar pedida de datos histórico administrativos.

Evaluar el impacto derivado de la materialización de la amenaza y estimar el riesgo,

de impacto ponderado con la tasa de ocurrencia de la amenaza en función a la

elaboración de estrategias para disminuir el tiempo de migración y los riegos.

20

CRONOGRAMA DE ACTIVIDADES

El cronograma es una lista de los elementos del sistema que se auditara, en las

fechas previstas y especificando su duración en un intervalo de semanas. Para mostrar

todos los pasos realizados se emplea el diagrama de Gantt, el cual es la herramienta

gráfica cuyo objetivo es mostrar el tiempo de dedicación previsto para diferentes

semanas, fases, actividades, duración y fecha de inicio y culminación programadas a

lo largo de un tiempo total determinado de pasantías y para mostrar una línea de

tiempo en las diferentes actividades haciendo el método más eficiente.

Las diferentes fases integradas en el diagrama de Gantt expresan como se va a

realizar la Auditoria al proceso de migración al sistema SIGESP en la División de

Tecnología de la Información de la Gobernación del Estado Delta Amacuro del

municipio Tucupita; pues la primera fase es identificar los activos relevantes dentro

de los Sistemas SISTNOMINA, SINTEGESP SIGESP en la Gobernación del Estado

Delta Amacuro, Municipio Tucupita hasta la última fase la cual es evaluar el impacto,

definido como el daño sobre el activo derivado de la materialización de la amenaza y

estimar el riesgo de impacto ponderado con la tasa de ocurrencia de la amenaza. Ver

Gráfico N° 4, Pág. 23.

21

Gráfico N° 4. Diagrama de Gantt.

FUENTE: El Autor (2014)

22

DSECRIPCIÓN DE LAS ACTIVIDADES REALIZADAS

Fase I: Caracterización de los Activos

Objetivo: • Identificar los activos relevantes dentro de los sistemas a migrar en la

Gobernación del Estado Delta Amacuro, Municipio Tucupita, para garantizar la

trasferencia de datos confiable hacia el SIGESP

Tareas:

Identificación de los activos que componen el sistema a migrar, sus

características, atributos y clasificación.

Dependencias entre activos la medida en que un activo de orden superior se

puede ver perjudicado por una amenaza materializada sobre un activo de orden

inferior.

Valoración de los activos, el coste que para la organización supondrá la

destrucción del activo.

Recursos: Computadora de escritorio, Una memoria USB, Manual de pasantías

ocupacional UNEFA, Lápiz, Borrador, Sacapuntas, Bolígrafos, Microsoft Office

Word 2010, Cámara Digital, Internet y Metodología MAGERIT – versión 3.0

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

Tiempo: Inicio desde el 28 de Junio hasta el 19 de Septiembre del 2014.

CONTROLES:

Ing. Alexander Amares y MSc. Melvin Romero.

23

Fase II: Caracterización de las Amenazas

Objetivo: • Determinar las posibles amenazas en proceso de migración hacia el

SIGESP con el fin de disminuir la pérdida de datos históricos administrativos de la

gobernación.

TAREAS:

Identificación de las amenazas relevantes sobre cada activo involucrado en la

migración.

Valoración de las amenazas para estimar la frecuencia en que ocurre cada

amenaza sobre cada activo

Degradación de los activos que causaría la amenaza en cada dimensión del activo

si llegara a materializarse.





Tiempo: Iniciado desde el 15 de Septiembre hasta el 17 de Octubre del 2014.

Controles: Ing. Alexander Amares y MSc. Melvin Romero.

24

Fase III: Caracterización de las Salvaguardas

Objetivo: Indicar las salvaguardas que puedan aparecer, para calificar su

eficiencia en frente de una amenaza al proceso de migración al SIGESP, para

elaboración de planes de contingencia para minimizar pedida de datos histórico

administrativos.

TAREAS:

Identificación de las salvaguardas pertinentes para proteger el proceso de

migración.

Valoración de las salvaguardas, para poder conocer su eficiencia.





Tiempo: Iniciado desde el 13 de Octubre hasta el 31 de Octubre del 2014.


25

Fase IV: Estimación del Estado de Riesgo

Objetivo: Evaluar el impacto derivado de la materialización de la amenaza y

estimar el riesgo, de impacto ponderado con la tasa de ocurrencia de la amenaza en

función a la elaboración de estrategias para disminuir el tiempo de migración y los

riegos.

TAREAS:

Estimar el valor para obtener el impacto potencial y el residual al que está

sometido el proceso de migración.

Estimar el valor para obtener el riesgo potencial y el residual al que está sometido

el proceso de migración.




Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,

Software PILAR 5.4.4.

Tiempo: Iniciado desde el 03 de Noviembre hasta el 14 de Noviembre del 2014.


26

DESCRIPCIÓN DE LAS ACTIVIDADES

Las pasantía ocupacionales son efectuadas durante (16) semanas. Estas se

realizaron en la División de Tecnología de la Información de la Gobernación del

Estado Delta Amacuro, dándole cumplimiento a la necesidad de migración en la

institución que presentaba en ese momento; es por ello que se utilizó la metodología

de MAGERIT – versión 3.0 dado que es una metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información. Por tanto, el análisis de riesgos del proceso

de migración en la División de Tecnología de la Información de la Gobernación del

Estado Delta Amacuro del Municipio Tucupita se apoya en que el análisis de riesgos

es una aproximación metódica para determinar el riesgo siguiendo unos pasos

pautados: primero determinar los activos relevantes para la organización, su

interrelación y su valor, en el sentido de qué perjuicio supone su degradación,

segundo determinar a qué amenazas están expuestos aquellos activos, tercero

determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo,

cuarto estimar el impacto definido como el daño sobre el activo derivado de la

materialización de la amenaza y estimar el riesgo definido como el impacto

ponderado con la tasa de ocurrencia o expectativa de materialización de la amenaza.

En base a ello se describen cada una de las fases con sus respectivas actividades:

27

Fase I: Caracterización de los Activos

. (Del 28 de Junio hasta el 19 de Septiembre del 2014)

El primes paso en el inicio de las pasantía fue realizar entrevistas con el tutor

empresarial para la asignar el tema de pasantía, y así evaluar el conocimiento del

tema. También se planteó la problemática del tema y los parámetros que se debían

tomar en cuenta para su realización. El tema asignado para el informe de pasantía fue

desarrollar una auditoria para el proceso de migración entre los sistemas de

procesamiento de nómina gubernamental (SISTNOMINA), (el sistema integrado de

gestión pública (SINTEGESP) y el sistema integrado de gestión para entes del sector

público (SIGESP)) en la gobernación del estado Delta Amacuro, Municipio Tucupita.

Comenzando las actividades del informe de pasantía tenemos las fases de

identificación, dependencias y valoración de los activos. Mediante su desarrollo se

observó cuáles son los activos esenciales del sistema en la parte administrativa,

también se vieron cuáles eran los datos de información, claves criptográficas,

servicios, aplicaciones de software, equipos informáticos (hardware), redes de

comunicación, soportes de información, equipamiento auxiliar, instalaciones y

personal.

El resultado de cada activo es de mucha importancia para la organización y

para el sistema y si falta alguna podría ocasionar perdidas, retraso, entre otros ya que

cada uno depende del otro.

28

Identificación de los activos

[S] Servicios Internos

Para los empleados de la organización se emplean los siguientes servicios:

[www]world wide web

[email] correo electrónico

[dir] servicio de directorio

[edi] intercambio electrónico de datos

[SW] Aplicaciones (software)

Entre las aplicaciones que sustenta a la organización tenemos:

[sist_sigesp] SIGESP

[sist_sistnomina] SISTNOMINA

[sist_sintegesp] SINTEGESP

[office] ofimática

[browser] navegador web

[os] sistema operativo

[otr] otros software

[HW] Equipamiento Informático (hardware)

Dentro de los equipos informáticos con que cuenta la empresa tenemos:

[sdb] servidor de base de datos

[pc] computadoras de escritorios

29

[scan] escáneres

[modem] módems

[wap] punto de acceso inalámbrico

[COM] Redes de Comunicaciones

Dentro de las redes de comunicaciones tenemos:

[pstn] red telefónica

[wifi] red inalámbrica

[lan] red local

[Internet] Internet

[Media] Soporte de Información

En la organización se utilizan los siguientes soportes de información:

[cd] CD-ROM

[dvd] DVD

[usb] memoria USB

[printed] material impreso

[AUX] Equipamiento Auxiliar

La organización cuenta con el siguiente equipamiento auxiliar:

[cabling] cableado

[furniture] mobiliario: armario, entre otros

30

[L] Instalaciones

La organización donde se realizó la auditoría se encuentra ubicada Calle Bolívar

Cruce Con Calle Dalla Costa, siendo el Edificio propio y de una planta.

[building] edificio

[P] Personal

El personal que interactuara con este sistema son:

[ui] usuario internos

[op] operadores

[adm] administradores de sistemas

Dependencias entre Activos

Reconocer las dependencias de activos superiores para así ver que puede

perjudicar si una amenaza se materializa sobre un activo inferior, como se muestra en

la siguiente gráfica:

31

Gráfico 5. DIAGRAMA DE DEPENDENCIAS ENTRE ACTIVOS

Fuente: Realizado en PILAR 5.4.4 (2014)

Leyenda

32

Se realizó esta dependencia de activos gracias a las entrevistas y encuestas

realizadas a los empleados donde se pudo categorizar a los activos como muestra la

figura 5. Los sistemas para el procesamiento de nómina gubernamental

(SISTNOMINA), el sistema integrado de gestión pública (SINTEGESP) son

fundamentales para sus actividades laborales por eso se encuentra en la parte superior

y también el personal que lo utiliza, no obstante la falta de integración de los mismo,

es decir que no comparten data entre ellos sólo informes es fuente de constante

frustración para los entrevistados.

Los programas que están instalados en los equipos son importantes, en el

mismo nivel se encuesta el sistema operativo y el navegador web.

Los servidores uno para el SISTNOMINA y otro para el SINTEGESP está por

encima de todos los equipos; el motivo es que el almacena información y por debajo

están las computadoras de escritorios.

En los activos inferiores están los puntos de acceso inalámbricos, los equipos

auxiliares, los materiales impresos, el escáner y los CD, DVD, y memorias USB.

Los activos de menor jerarquía como son las rede wifi, redes LAN y el

internet.

Todos los activos están dentro del mismo edificio.

Valoración de los Activos

Criterios de valoración utilizados.

Valor Criterio

10 Extremo 9 Muy alto

6-8 Alto

3-5 Medio

1-2 Bajo 0 Despreciable

33

Dimensiones

[D] Disponibilidad

[C] Confiabilidad

[I] Integridad

[A] Autenticidad

[T] Trazabilidad

Tabla 1. Valor propio de los Activos

Dimensiones

Activos [D] [C] [I] [A] [T]

Servicios

World wide web [7] [5] [6]

Correo electrónico [6] [6] [6] [6]

Servicio de directorio [6] [6] [6] [6] [6]

Intercambio electrónico de datos [4] [4] [6] [6] [6]

Aplicaciones (software)

SIGESP [9] [9] [9] [9]

SISTNOMINA [2] [2] [2] [2]

SINTEGESP [8] [8] [8] [8]

Ofimática [7]

Navegador web [7]

Sistema operativo [7]

Otros software [5]

Equipos informáticos (hardware)

Servidor de base de datos [9] [9] [9] [9]

Computadoras de escritorios [6]

Escáneres [8]

Módems [8]

Punto de acceso inalámbrico [7]

Redes de comunicaciones

Red telefónica [7]

34

Red inalámbrica [7]

Red local [7]

Internet [7] [7]

Soportes de información

CD-ROM [7] [7]

DVD [7] [7]

Usb [7] [7]

Material impreso [7] [7]

Equipamiento auxiliar

Cableado [7]

Mobiliario: armario, etc [7]

Instalaciones Edificio [8]

Personal

Usuario internos [8]

Operadores [8]

Administradores de sistemas [8]


Fase II: Caracterización de las Amenazas

(Del 15 de Septiembre hasta el 17 de Octubre del 2014)

En esta fase se pudieron constatar todas las posibles amenazas que afectarían

el proceso de migración hacia el sistema SIGESP. Ellas están clasificadas por una

serie de situaciones como lo son: desastres naturales, de origen industrial, errores y

fallos no intencionados y ataques intencionales.

Identificación de las Amenazas

Tabla 2. Identificación de la amenazas para cada uno de los activos

ACTIVOS AMENAZAS

World wide web [E.1] Errores de los usuarios

Correo electrónico [E.15] Alteración accidental de la información

Servicio de directorio [E.1] Errores de los usuarios

35

[E.15] Alteración accidental de la información

[E.18] Destrucción de información

Intercambio electrónico de datos [E.1] Errores de los usuarios


SIGESP [I.5] Avería de origen físico o lógico

[E.20] Vulnerabilidades de los programas

(software)

[E.21] Errores de mantenimiento / actualización

de programas (software)

[A.5] Suplantación de la identidad del usuario

SISTNOMINA [I.2] Avería de origen físico o lógico


(software)




SINTEGESP [I.6] Avería de origen físico o lógico


(software)




Ofimática [E.1] Errores de los usuarios


(software)



Navegador web [E.1] Errores de los usuarios

[E.8] Difusión de software dañino

[E.19] Fugas de información

Sistema operativo [I.5] Avería de origen físico o lógico

[E.1] Errores de los usuarios

[E.8] Difusión de software dañino


(software)



[A.7] Uso no previsto

Otros software [E.8] Difusión de software dañino


(software)



Servidor de base de datos [N.1] Fuego

[N.2] Daños por agua

[N.3] Desastres Naturales

[I.3] Contaminación medio ambiental[I.5] Avería

de origen físico o lógico

[I.7] Condiciones inadecuadas de temperatura o

humedad

[E.2] Errores del administrador


36

de equipos (hardware)

[A.11] Acceso no autorizado

Computadoras de escritorios [N.2] Daños por agua

[N.*] Desastres Naturales

[I.5] Avería de origen físico o lógico


humedad



[E.24] Caída del sistema por agotamiento de

recursos

[A.6] Abuso de privilegios de acceso

[A.7] Uso no previsto

Escáneres [N.2] Daños por agua



humedad



Módems [N.1] Fuego


[N.*] Desastres Naturales



humedad


Punto de acceso inalámbrico [I.4] Fallo de servicios de comunicaciones

[E.9] Errores de [re-] encaminamiento

Red telefónica [I.4] Fallo de servicios de comunicaciones


Red inalámbrica [I.3] Contaminación medio ambiental[I.4] Fallo

de servicios de comunicaciones


Red local [I.4] Fallo de servicios de comunicaciones


[E.10] Errores secuenciales


[A.9] [Re-] encaminamiento de mensajes

[A.10] [alteración secuencial


Internet [I.4] Fallo de servicios de comunicaciones


CD-ROM [E.15] Alteración accidental de la información


[A.15] modificación de información

[A.19] Divulgación de información

DVD [E.15] Alteración accidental de la información




USB [E.15] Alteración accidental de la información



37


Material impreso [N.1] Fuego



humedad

Cableado [I.3] Contaminación medio ambiental [I.7]

Condiciones inadecuadas de temperatura o

humedad

Mobiliario: armario, etc [I.3] Contaminación medio ambiental

Edificio [N.1] Fuego


[I.*] Desastres industriales

[A.30] Ocupación enemiga

Usuario internos [E.28] Indisponibilidad del personal

Operadores [E.28] Indisponibilidad del personal

Administradores de sistemas [E.28] Indisponibilidad del personal


Valoración de las Amenazas

Tabla 3. Degradación de valor

MA Muy alta

A Alta

M Media

B Baja

MB Muy bajo

0


Tabla 4. Probabilidad de ocurrencia

CS Casi seguro

MA Muy alto

P Posible

PP Poco probable

MB Siglos

MR Muy rara


Valoración de la Amenazas para cada uno de los Activos

Tabla 5. Valoración de la amenazas para cada uno de los activos

ACTIVOS Amenazas P [D] [C] [I] - -

WORLD WIDE WEB [E.1] Errores de los usuarios PP B - - - -

CORREO ELECTRÓNICO [E.15] Alteración accidental

de la información

MR M M M - -

SERVICIO DE

DIRECTORIO

[E.1] Errores de los usuarios PP B B B - -

[E.15] Alteración accidental P M M M - -

38

de la información

[E.18] Destrucción de

información

PP M M M - -

INTERCAMBIO

ELECTRÓNICO DE

DATOS


[E.15] Alteración accidental

de la información

P M M M - -

SIGESP

[I.5] Avería de origen físico o

lógico

P A - - - -

[E.20] Vulnerabilidades de

los programas (software)

P B M M - -

[E.21] Errores de

mantenimiento / actualización


P B B M

- -

[A.5] Suplantación de la

identidad del usuario

P A A A - -

OFIMÁTICA

[E.1] Errores de los usuarios P M M M - -



P M M M

[E.21] Errores de



P M B - - -

NAVEGADOR WEB


[E.8] Difusión de software

dañino

P M M M - -

[E.19] Fugas de información P M M M - -

39

SISTEMA OPERATIVO


lógico

P M - - - -

[E.1] Errores de los usuarios PP M M M - -


dañino

PP B B B - -



P B M M - -

[E.21] Errores de



P M B - - -

[A.7] Uso no previsto P B B B - -

OTROS SOFTWARE


dañino

PP B B B - -



PP B B B - -

[E.21] Errores de



PP M M - - -

SERVIDOR DE BASE DE

DATOS

[N.1] Fuego P A - - - -

[N.2] Daños por agua P A - - - -

[N.*] Desastres Naturales P A - - - -

[I.3] Contaminación medio

ambiental

P A - - - -


lógico

MA MA - - - -

[I.7] Condiciones inadecuadas

de temperatura o humedad

P M M M - -

[E.2] Errores del

administrador

P M - - - -

[E.23] Errores de



MA - A A - -

[A.11] Acceso no autorizado MA A - A - -

COMPUTADORAS DE

ESCRITORIOS

[N.2] Daños por agua PP M - - - -

[N.*] Desastres Naturales PP M - - - -


lógico

P M - - - -



PP M - - - -

[E.23] Errores de



P M - - - -

[E.24] Caída del sistema por

agotamiento de recursos

P M - - - -

[A.6] Abuso de privilegios de

acceso

PP M M M - -

[A.7] Uso no previsto PP M B M - -

ESCÁNERES

[N.2] Daños por agua P M M M - -


lógico

PP B B B - -



P M M M - -

40

[E.23] Errores de


de equipos (hardware

PP B B B - -

MÓDEMS

[N.1] Fuego PP M - - - -

[N.2] Daños por agua PP M - - - -

[N.*] Desastres Naturales PP M - - - -


lógico

P M - - - -



P M - - - -

[A.11] Acceso no autorizado PP - B B - -

PUNTO DE ACCESO

INALÁMBRICO

[I.4] Fallo de servicios de

comunicaciones

P M - - -

[E.9] Errores de [re-]

encaminamiento

P - B - -

RED TELEFÓNICA


comunicaciones

P M - - - -


encaminamiento

P - - B - -

RED INALÁMBRICA


comunicaciones

P M - - - -


encaminamiento

P - - B

RED LOCAL


comunicaciones

PP B - - - -


encaminamiento

P - - M - -

[E.10] Errores secuenciales P - M - - -

[A.5] Suplantación de la

identidad del usuario

P - M M M -

[A.9] [Re-] encaminamiento

de mensajes

P - - M - -

[A.10] [alteración secuencial P - M - - -

[A.11] Acceso no autorizado PP - M - - -

INTERNET


comunicaciones

P A - - - -


de la información

P - B - - -

CD-ROM


de la información

PP - B - - -

[E.19] Fugas de información PP - - B - -

[A.15] modificación de

información

PP - B - - -

[A.19] Divulgación de

información

PP - - B - -

DVD


de la información

PP - B - - -



información

PP - B - - -


información

PP - - B - -

41

USB


de la información

PP - B - - -



información

PP - B - - -


información

PP - - B - -

MATERIAL IMPRESO

[N.1] Fuego P M - - - -

[N.2] Daños por agua P M - - - -



P M - - - -

CABLEADO [I.3] Contaminación medio

ambiental

PP A - - - -

MOBILIARIO: ARMARIO,

ETC

[I.3] Contaminación medio

ambiental

PP M - - - -

EDIFICIO

[N.1] Fuego P A - - - -

[N.2] Daños por agua P A - - - -

[I.*] Desastres industriales P B - - - -

[A.30] Ocupación enemiga P MA - - - -

USUARIO INTERNOS E.28] Indisponibilidad del

personal

PP M M M - -

OPERADORES E.28] Indisponibilidad del

personal

PP M M M - -

ADMINISTRADORES DE

SISTEMAS

E.28] Indisponibilidad del

personal

PP M M M - -


42

Fase III: Caracterización de las Salvaguardas

(Del 13 de Octubre hasta el 31 de Octubre del 2014)

Mediante esta fase podemos observar todas la salvaguardas que nos pueden

ayudar a proteger el proceso de migración del nuevo sistema. Ellas se clasifican en

protección general, protección de las aplicaciones, protección de los equipos,

protección de las comunicaciones, protecciones de los soportes de información,

protección de los elementos auxiliares, protección de las instalaciones y gestión del

personal. Ver Tabla N° 06, Pág. 45.

43

Tabla 6. Identificación de las Salvaguardas


Aspectos Tdp Salvaguardas Dudas Fuente Comen. Recom. On/of Aplicac.

SALVAGUARDAS

G PR (H) Protección General 8 … …

G PR (D) Protección de la Información 7 off …

G EL (K) Gestión de Claves Criptográficas off n.a.

G PR (S) Protección de los Servicios 3 6 … …

G PR

(SW) Protección de las Aplicaciones Informáticas (SW) 7 … …

G PR

(HW) Protección de los Equipos Informáticos (HW) 7 … …

G PR

(COM) Protección de las Comunicaciones 9 … …

G PR (IP) Puntos de Interconexiones: Conexiones entre Zona de

Confianza off n.a.

G PR

(MP) Protección de los Soportes de información 6 … …

G PR (AUX) Elementos Auxiliares 6

F PR (L) Protección de las Instalaciones 7

P PR (PS) Gestión del Personal 5 … …

G AD (G) Organización 6 off n.a.

G RC (BC) {or} Continuidad del Negocio 5 off n.a.

G AD (E) Relaciones Externas 5 off n.a.

G AD (NEW) Adquisición / Desarrollo 4 4 off n.a.

44

Protección General:

Se requiere autorización previa: pertenece al grupo de restricciones de acceso

a la información que a su vez corresponde al control de acceso lógico. La

razón por la cual se escogió esta salvaguarda es porque cualquier persona

puede acceder a los activos inclusive los más importantes. La misma porque

hace frente a las amenazas que están expuestos los activos. Y esta puede ser

aplicada a esta clase de activos: datos/información, servicios, aplicaciones

(software), equipamiento informático (hardware), redes de comunicación y

soportes de información dado que protege a la siguientes dimensiones de

seguridad: integridad, confidencialidad y autenticad.

Hace frente a las siguientes amenazas: errores de los usuarios,

errores del administrador del sistema/ de la seguridad, difusión de software

dañinos, errores de [re]-encaminamiento, errores de secuencia, alteración de la

información, fuga de información, vulnerabilidad de los programas (software),

suplantación de la identidad del usuario, abuso de privilegio de acceso, uso no

previsto, [Re]-encaminamiento de mensajes, alteración de información y

manipulación de hardware.

Protección de las aplicaciones informáticas: se seleccionaron las siguientes

salvaguardas para así reformar las normas de la organización:

Se dispone normativas relativas al cumplimiento de los derechos.

Se controla la instalación de software autorizados y productos con

licencia.

Se cuenta con procedimientos para realizar copias de seguridad.

Se aplican perfiles de seguridad: esta salvaguarda se cumple pero es

bueno reforzarla. Mediante esta salvaguarda podemos hacer frente a

estas amenazas: errores de usuario, difusión de softwares dañinos,

45

vulnerabilidad de los programas (software), errores de mantenimiento,

actualización de programas (software) y uso no previsto.

Protección de los equipos informáticos (HW): a continuación las salvaguardas

adecuadas para la protección de equipos:

Se disponen normativas para el uso correcto de los equipos.

Se uenta con procedimiento de uso de equipamiento.

Protección de las comunicaciones: se han escogido las siguientes salvaguardas

para minimizar el riesgo ya que se cuenta con ellas:

Se dispone de aplicación de perfil de seguridad.

Se cuenta con la normativa de uso de los servicios de red.

Se tiene seguridad de los servicios de red.

Todas las salvaguaradas desplegadas hacen frente a la amenaza de acceso no

autorizado.

Protección de los soportes de informacion: para proteger el único activo se

han escogidos las salvaguaradas más apropiadas:

Proteger el usi de contenedores cerrados.

Se dispoen de normativas relativas a la protección criptografica de los

contenedores.

Elementos auxiliares:

Se asegura la disponibilidad

Siguiendo las normas del fabricante proveeedor

46

Continuidad de operaciones: para asegurar las disponibilidades

de los equipos auxiliares además para contrarestar la amenaza de

contaminacion medioambiental.

Climatizacion: la adecuada climatizacion de cada equipo ayuda a

enfrentar la amenaza que tiene la mayoria de estos componentes

que es: condicion inadecuada de temperatura y humedad.

Protección de las instalaciones:

Se dispone de normativas de seguridad para las instalaciones.

Se cuenta con áreas especificas para equipos informáticos, para

protegerlos de ocupación enemiga.

Gestión del personal: se debe crear las siguientes normas de seguridad:

Se disponen de normativas relativas y de procedimientos para la

gestion de personal (materia de seguridad).

Se tienen normativas de obligado cumplimiento en el desempeño del

puesto de trabajo.

Después de haber realizado esta tarea tendremos la declaratoria de

aplicabilidad que es un documento formal donde consta las salvaguaradas necesarias

para proteger al sistema.

47

Valoración de las Salvaguardas

Tabla 7. Niveles de Madurez

Eficacia Nivel Madurez Estado

0% L0 inexistente inexistente

10% L1 inicial/ad hoc iniciado

50% L2 reproducible, pero intuitivo Parcialmente realizado

90% L3 proceso definido en funcionamiento

95% L4 gestionado y medible monitorizado

100% L5 optimizado mejora continua


48

Tabla 8. Tarea de Valoración de Salvaguardas


Aspectos Tdp Salvaguardas Dudas Fuente Comen. Recom. Target Current PILAR

SALVAGUARDAS

G PR (H) Protección General 8 L5 L1 L3-L4

G PR (S) Protección de los Servicios ¿-? 6 L5 L0-L1 L2-L3

G PR (SW) Protección de las Aplicaciones Informáticas

(SW)

7 L5 L0-L1 L2-L4

G PR (HW) Protección de los Equipos Informáticos

(HW)

7 L5 L0-L1 L2-L4

G PR (COM) Protección de las Comunicaciones 9 L5 L0-L1 L2-L5

G PR (MP) Protección de los Soportes de información 6 L5 L1 L2-L4

G PR (AUX) Elementos Auxiliares 6 L5 L1 L2-L3

F PR (L) Protección de las Instalaciones 7 L5 L1 L2-L4

P PR (PS) Gestión del Personal 5 L5 L1 L2-L3

49

Fase IV: Estimación del Estado de Riesgo

(Del 03 de Noviembre hasta el 14 de Noviembre del 2014)

En esta tarea se procesan e interpretan los resultados obtenidos de las

actividades anteriores para detallar en un informe del estado de riesgo de la

organización.

Estimación del impacto

Su objetivo es:

Establecer el impacto potencial al que está sometido el sistema.

Determinar el impacto residual al que está sometido el sistema.

La fórmula emplea un sistema de salvaguardas, absolutamente ineficaz (ei

= 0) deja el impacto de esta, mientras que un sistema de salvaguardas plenamente

eficaz (ei = 1) reduce el impacto residual a 0.

Impacto residual = impacto potencial x (1 - ei).

Impacto potencial

Se denomina riesgo a la medida del daño probable sobre un sistema.

Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo

sin más que tener en cuenta la probabilidad de ocurrencia.

Impacto potencial sobre cada uno de los activos

Tabla 9. Impacto potencial sobre cada uno de los activos

activos [D] [I] [C] [A] [T]

Servicios

world wide web [4] [6] [6]

correo electrónico [4] [5] [6]

servicio de directorio [5] [6] [6]

50

intercambio electrónico de datos [6] [6] [6]

Equipamiento


SIGESP [8] [8]

SISTNOMINA [4] [3]

SINTEGESP [9] [8]

ofimática [6] [6]

navegador web [7] [7]

sistema operativo [6] [6]

otros software [6] [6]


servidor de base de datos [8] [8]

computadoras de escritorios [6] [6]

escáneres [6] [6]

módems [6] [6]

punto de acceso inalámbrico [3] [3]


red telefónica [4]

red inalámbrica [6]

red local [6] [8] [6]

Internet [6]

Elementos Auxiliares


CD-ROM [3] [3]

DVD [3] [3]

USB [3] [3]

material impreso [6] [6]


cableado [6]

mobiliario: armario, entre otros [4]

instalaciones

edificio [8]

Personal

usuario internos [6]

operadores [8]

51

administradores de sistemas [8]


Los impactos que se muestran con la siguiente escala de según su valor:

Ponderación Descripción

[10] Critico

[9] muy alto

[8] muy alto

[7] Alto

[6] Alto

[5] Medio

[4] Medio

[3] Bajo

[2] Bajo

[1] Despreciable

[0] Despreciable

Impacto Residual Acumulado

Se calcula con los datos del impacto acumulado sobre un activo y

salvaguardas apropiadas para las amenazas sobre dicho activo.

Impacto Residual sobre cada uno de los Activos

Tabla 10. Impacto residual sobre cada uno de los activos

activos [D] [I] [C] [A] [T]

Servicios

world wide web [4] [5] [5]

correo electrónico [2] [4] [5]

servicio de directorio [4] [5] [5]

intercambio electrónico de datos [5] [5] [5]

Equipamiento


SIGESP [5] [5]

52

SISTNOMINA [0] [2]

SINTEGESP [5] [5]

ofimática [0] [0]

navegador web [5] [5]

sistema operativo [4] [4]

otros software [3] [3]


servidor de base de datos [3] [4]

computadoras de escritorios [3] [5]

escáneres [3] [5]

módems [0] [0]

punto de acceso inalámbrico [0] [0]


red telefónica [1]

red inalámbrica [2]

red local [3] [4] [3]

Internet [2]



CD-ROM [3] [3]

DVD [3] [3]

USB [3] [3]

material impreso [3] [3]


cableado [4]

mobiliario: armario, entre otros [0]

Instalaciones

edificio [5]

Personal

usuario internos [4]

Operadores [6]

administradores de sistemas [6]


53

Estimación del Riesgo

Sus objetivos son:

Determinar el riesgo potencial al que está sometido el sistema.

Establecer el riesgo residual al que está sometido el sistema.

Emplea la siguiente formula:

Riesgo residual = impacto residual x frecuencia residual

Riesgo Potencial

Se denomina riesgo a la medida del daño probable sobre un sistema.

Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo

sin más que tener la probabilidad de ocurrencia.

Riesgo potencial sobre cada uno de los activos

Tabla 11. Riesgo potencial sobre cada uno de los activos

activos Dimensión

[D] [I] [C] [A] [T]

Servicios

world wide web [4,2] [5,4] [5,4]

correo electrónico [1,8] [4,2] [5,4]

servicio de directorio [4,2] [5,4] [5,4]

intercambio electrónico de datos [5,4] [5,4] [5,4]

Equipamiento


SIGESP [5,4] [5,4]

SISTNOMINA [3,2] [3,2]

SINTEGESP [5,3] [4,4]

ofimática [5,4] [5,4]

navegador web [5,4] [5,4]

sistema operativo [5,4] [5,4]

otros software [4,5] [4,5]

54


servidor de base de datos [6,6] [6,6]

computadoras de escritorios [4,5] [4,5]

escáneres [1,8] [1,8]

módems [1,8] [1,8]

punto de acceso inalámbrico [1,8] [1,8]


red telefónica [3,3]

red inalámbrica [4,5]

red local [4,5] [6,6] [4,5]

Internet [4,5]



CD-ROM [1,8] [1,8]

DVD [1,8] [1,8]

USB [1,8] [1,8]

material impreso [1,8] [1,8]


cableado [4,5]

mobiliario: armario, entre otros [2,4]

instalaciones

edificio [6,6]

Personal

usuario internos [4,8]

operadores [6,0]

administradores de sistemas [6,0]

FUENTE: El Autor (2014)

Los riesgos se muestran con la siguiente escala de colores según su valor:

Ponderación Descripción

[10] Extremadamente Critico

[9] Extremadamente Critico

[8] Critico

[7] Critico

[6] Muy Alto

55

[5] Muy Alto

[4] Alto

[3] Medio

[2] Bajo

[1] Muy Bajo

[0] Despreciable

Riesgo Residual

Riesgo residual acumulado

La estimación de riesgo residual acumulado nos indica la medida que las

amenazas que afectan a los activos de orden superior que dependen de disco activos.

Los valores de la tabla 10 que tienen resultados mayores a 3 son riesgos altos.

Riesgo residual sobre cada uno de los activos

Tabla 12. Riesgo residual sobre cada uno de los activos

activos Dimensión

[D] [I] [C] [A] [T]

Servicios

world wide web [3,0] [2,1] [2,1]

correo electrónico [1,1] [4,2] [2,1]

servicio de directorio [1,1] [2,1] [2,1]

intercambio electrónico de datos [2,1] [2,1] [2,1]

Equipamiento


SIGESP [4,2] [4,2]

SISTNOMINA [7,5] [7,6]

SINTEGESP [4,2] [4,2]

ofimática [0,83] [0,83]

navegador web [3,2] [3,2]

sistema operativo [3,1] [3,1]

otros software [1,7] [1,7]


56

servidor de base de datos [2,1] [3,8]

computadoras de escritorios [1,7] [3,3]

escáneres [0,59] [0,59]

módems [0,59] [0,59]

punto de acceso inalámbrico [0,59] [0,59]


red telefónica [0,91]

red inalámbrica [1,1]

red local [2,2] [2,8] [2,5]

Internet [1,2]



CD-ROM [0,86] [0,90]

DVD [0,86] [0,90]

USB [0,86] [0,90]

material impreso [0,95] [0,96]


cableado [3,0]

mobiliario: armario, entre otros [0,63]

Instalaciones

edificio [3,5]

Personal

usuario internos [0,97]

operadores [1,9]

administradores de sistemas [1,9]


57

0

1

2

3

4

5www

emaildir

edi

sist

office

browser

os

otr

SDB

pc

scan

scanmodem

wapPSTN

wifi

LAN

Internet

cd

printed

cabling

furniture

building

ui

op

adm

Disponibilidad

Integridad

Confiabilidad

Autenticidad

Interpretación de los resultados

Gráfico N° 6. Interpretación de los resultados


Como se puede observar en la Figura 6 esto es el resultado de todos los pasos

del Análisis de Riesgos. Estos activos del proceso de migración tienen un riesgo

menor al de conservar los sistemas actuales.

LIMITACIONES ENCONTRADAS EN LA PRÁCTICA PROFESIONAL

Entre las limitaciones existentes a la hora de la realización el proceso de

pasantías se encontró difícil la coordinación de esfuerzos con los pasantes que

estaban realizando la auditoria del SISTNOMINA y del SIGESP, puesto que esta

metodología es larga y compleja a la hora de auditar sistemas. Existió también la

limitación de que no se estaba realizando la auditoria del SINTEGESP auditoria que

se debió realizar para analizar los riesgos de la migración en general.

58

Otra de las limitaciones fue la estructura y disponibilidad de los servidores a

la hora de realizar los análisis, puestos que no estaban disponibles a cualquier hora

estos estaban en fase de producción y la creación de servidores independientes fue

descartada por no poseer el hardware necesario para colocar los servidores de prueba

y análisis; esto fue principalmente en el sistema SINTEGESP, porque en el sistema

SIGESP estaba el simulado pero estaba la pasante Beverly Culley, usando el mismo

para sus pasantías.

Con el sistema de SISTNOMINA ocurrió otro inconveniente este era software

propietario y el propietario si bien autorizo la creación del mismo solicito un pago por

dichos servicios los que la administrativa de la gobernación negó y el costo era muy

alto para ser costeado por el autor de este informe.

Por tanto, los análisis realizados al mismo sólo podrían realizarse cuando el

sistema estuviera desocupado de las nóminas. Esto afecto mucho el rendimiento de la

auditoría realizada que estaba limitada a dieciséis semanas.

59

APORTE DEL PARTICIPANTE

Las auditorías realizadas a los sistemas actuales SINTEGESP y

SISTNOMINA fueron necesarias para calcular el riesgo de migrar por la necesidad

de integrar los procesos de nóminas que no se encuentran actualmente dentro de un

solo sistema, manejadores de bases de datos diferentes y sistemas operativos

diferentes los que causa retraso y diferencias en los procesos llevados por separados

para la parte administrativa de la Gobernación del Estado Delta Amacuro, por esta

razón la institución debe migrar a un sistema integrado.

El sistema integrado SIGESP es el sistema seleccionado para llevar la

administración de la gobernación, dado esto surgió la necesidad de verificar con que

se contaba cuáles son los activos informáticos presentes actualmente en los sistemas

en los procesos de auditoria en la metodología utilizada en este informe tiene la

particularidad que define muy bien los riesgo presentes en los sistemas informáticos.

Esta evaluación de riesgos permite a la parte administrativa desarrollar planes

para minimizar esos riesgos puestos que con los informes de auditoría le indicaran a

administración cuales son estos riesgos.

El aporte del participante son los informes de auditoría que permitirán la

planificación ordenada de la migración cumpliendo con los más altos estándares de la

disminución del gasto.

60

CAPITULO IV

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

En el análisis del proceso de migración planificado entre proceso de

migración entre los sistemas para el procesamiento de Nómina Gubernamental

(SISTNOMINA), el Sistema Integrado de Gestión Pública (SINTEGESP) y el

Sistema Integrado de Gestión para Entes del Sector Público (SIGESP) en la

Gobernación del Estado Delta Amacuro, Municipio Tucupita, se formularon las

siguientes conclusiones:

Se logró determinar la realidad de los procedimientos de trabajo que se

utilizaba en la División de Tecnología de la Información de la Gobernación del

Estado Delta Amacuro del Municipio Tucupita, para realizar este estudio se hicieron

observación y entrevista no estructurada realizada al tutor institucional, con la

finalidad de conocerla problemática del tema y los parámetros que se deben tener en

cuenta para su realización.

Los requerimientos están basados en determinar las posibles amenazas

dentro del proceso de migración así el sistema integrado de gestión para entes del

sector público (SIGESP), indicar las salvaguardas que puedan aparecer y evaluar el

impacto, definido como el daño sobre el activo derivado de la materialización de la

amenaza y estimar el riesgo, de impacto ponderado con la tasa de ocurrencia de la

amenaza en el proceso de migración.

61

El proceso de elaboración de salvaguardas para el proceso de migración en la

Gobernación del Estado Delta Amacuro requirió una investigación intensa en los

niveles de desarrollo de software para el nivel de estrategias de implementación de

salvaguardas.

62

RECOMENDACIONES

En las instituciones gubernamentales es muy importante que se tengan

manuales técnico descripciones detalladas de la bases de datos de los módulos

y funciones de los sistemas presente para facilitar los procesos de auditoria de

sistema.

Se recomienda que el proceso de migración valla de la mano con el proveedor

de servicios de sistema al cual se va a migrar puesto que de esta forma se

disminuyen las amenazas presentes y deben ser controlados para evitar futuros

problemas.

Se sugiere que sea contratado personal especializado para fortalecer las

repuestas tecnológicas de la migración para implementar las salvaguardas que

fueron escogidas en el análisis de riesgos.

63

GLOSARIO DE TÉRMINOS

Activos: Componente o funcionalidad de un sistema de información susceptible de

ser atacado deliberada o accidentalmente con consecuencias para la organización.

Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),

comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

(Fuente: La metodología de MAGERIT – versión 3.0)

Análisis y Gestión de Riesgos: Proceso sistemático para estimar la magnitud

de los riesgos a que está expuesta una Organización. Proceso que permite

comprender la naturaleza del riesgo y determinar el nivel de riesgo. (Fuente: La

metodología de MAGERIT – versión 3.0)

Amenazas: Una amenaza informática es toda circunstancia, evento o persona que

tiene el potencial de causar daño a un sistema en forma de robo, destrucción,

divulgación, modificación de datos o negación de servicio (DoS).

(Fuente:http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad)

Archivos: Es un conjunto de bits que son almacenados en un dispositivo. Un archivo

es identificado por un nombre y la descripción de la carpeta o directorio que lo

contiene.(Fuente:http://es.wikipedia.org/wiki/Archivo_%28inform%C3%A1tica%29)

Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información

o la información que el sistema maneja, o violar alguna política de seguridad de

alguna otra manera. (Fuente: La metodología de MAGERIT – versión 3.0)

Auditoría de seguridad: Estudio y examen independiente del historial y actividades

de un sistema de información, con la finalidad de comprobar la idoneidad de los

controles del sistema, asegurar su conformidad con la estructura de

seguridad y procedimientos operativos establecidos, a fin de detectar

http://es.wikipedia.org/wiki/Bit

64

brechas en la seguridad y recomendar cambios en los procedimientos,

controles y estructuras de seguridad. (Fuente: La metodología de MAGERIT –

versión 3.0).

Autenticación: Propiedad o característica consistente en que una entidad es quien

dice ser o bien que garantiza la fuente de la que proceden los datos.(Fuente: La

metodología de MAGERIT – versión 3.0).

Base de Datos: Es un conjunto de datos pertenecientes a un mismo contexto y

almacenados sistemáticamente para su posterior uso.

(Fuente:http://es.wikipedia.org/wiki/Base_de_datos)

Campos: Es un espacio de almacenamiento para un dato en particular. En las bases

de datos, un campo es la mínima unidad de información a la que se puede acceder.

(Fuente:http://es.wikipedia.org/wiki/Campo_%28inform%C3%A1tica%29)

Confidencialidad: Propiedad o característica consistente en que la información ni se

pone a disposición ni se revela a individuos, entidades o procesos no autorizados.


Computador: Es la propiedad de los sistemas que permiten que múltiples procesos

sean ejecutados al mismo tiempo, y que potencialmente puedan interactuar entre sí.

(Fuente:http://www.alegsa.com.ar/Dic/concurrencia.php)

Datos: Es una representación simbólica (numérica, alfabética, algorítmica, etc) de un

atributo o variable cuantitativa o cualitativa. Los datos describen hechos empíricos,

sucesos y entidades. (Fuente:http://es.wikipedia.org/wiki/Dato)

Degradación: Pérdida de valor de un activo como consecuencia de la materialización

de una amenaza. (Fuente: La metodología de MAGERIT – versión 3.0)

http://es.wikipedia.org/wiki/Base_de_datos

http://es.wikipedia.org/wiki/Dato



http://es.wikipedia.org/wiki/Campo_%28inform%C3%A1tica%29

http://www.alegsa.com.ar/Dic/concurrencia.php

http://es.wikipedia.org/wiki/Sistema_simb%C3%B3lico


65

Disponibilidad: Es el aseguramiento de que los usuarios autorizados tienen acceso

cuando lorequieran a la información y sus activos asociados. (Fuente: La metodología

de MAGERIT – versión 3.0)

Documentación: Es simplemente la ciencia que estudia los documentos, relacionada

con la biblioteconomía por un lado y con las ciencias de la información por otro.

(Fuente:http://www.mastermagazine.info/termino/4720.php)

Estado de riesgo: informe: Caracterización de los activos por su riesgo residual; es

decir lo que puede pasar tomando en consideración las salvaguardas desplegadas.


Evaluación de salvaguardas:Informe: Evaluación de la eficacia de las salvaguardas

existentes en relación al riesgo que afrontan. (Fuente: La metodología de MAGERIT

– versión 3.0)

Hardware: Se refiere a todas las partes tangibles de un sistema informático; sus

componentes son: eléctricos, electrónicos, electromecánicos y mecánicos.

(Fuente:http://es.wikipedia.org/wiki/Hardware).

Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza.


Impacto residual: Impacto remanente en el sistema tras la implantación de las

salvaguardas determinadas en el plan de seguridad de la información. (Fuente: La


http://www.mastermagazine.info/termino/5366.php

http://es.wikipedia.org/wiki/Sistema_inform%C3%A1tico

http://es.wikipedia.org/wiki/Hardware

66

Informática: Es una ciencia que estudia métodos, procesos, técnicas, con el fin de

almacenar, procesar y transmitir información y datos en formato digital.

(Fuente:http://es.wikipedia.org/wiki/Inform%C3%A1tica).

Información: Es un conjunto organizado de datos procesados, que constituyen un

mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho

mensaje. (Fuente:http://es.wikipedia.org/wiki/Informaci%C3%B3n)

Integridad: Propiedad o característica consistente en que el activo no ha sido

alterado de manera no autorizada. (Fuente: La metodología de MAGERIT – versión

3.0)

Interfaz de Usuario: Es el medio con que el usuario puede comunicarse con una

máquina, un equipo o una computadora, y comprende todos los puntos de contacto

entre el usuario y el equipo. (Fuente:http://es.wikipedia.org/wiki/Interfaz_de_usuario)

Modelo de valor: Informe: Caracterización del valor que representan los activos para

la Organización así como de las dependencias entre los diferentes activos. (Fuente: La


PostgreSQL: Es un SGBD relacional orientado a objetos y libre, publicado bajo la

licencia BSD. Como muchos otros proyectos de código abierto, el desarrollo de

PostgreSQL no es manejado por una empresa y/o persona, sino que es dirigido por

una comunidad de desarrolladores que trabajan de forma desinteresada, altruista, libre

y/o apoyados por organizaciones comerciales. Dicha comunidad es denominada el

PGDG (PostgreSQLGlobalDevelopmentGroup).

(Fuente:http://es.wikipedia.org/wiki/PostgreSQL)

http://es.wikipedia.org/wiki/Ciencia

http://es.wikipedia.org/wiki/Informaci%C3%B3n


http://es.wikipedia.org/wiki/Electr%C3%B3nica_digital

http://es.wikipedia.org/wiki/Datos

http://es.wikipedia.org/wiki/Mensaje


http://es.wikipedia.org/wiki/Computadora

http://es.wikipedia.org/wiki/Usuario

http://es.wikipedia.org/wiki/Interfaz_de_usuario

http://es.wikipedia.org/wiki/SGBD

http://es.wikipedia.org/wiki/Modelo_relacional

http://es.wikipedia.org/wiki/Base_de_datos_orientada_a_objetos

http://es.wikipedia.org/wiki/Software_libre

http://es.wikipedia.org/wiki/Licencia

http://es.wikipedia.org/wiki/Licencia_BSD

http://es.wikipedia.org/wiki/Software_de_c%C3%B3digo_abierto

http://es.wikipedia.org/wiki/Altruismo

http://es.wikipedia.org/wiki/Empresas

http://es.wikipedia.org/w/index.php?title=PostgreSQL_Global_Development_Group&action=edit&redlink=1

67

Riesgos: Estimación del grado de exposición a que una amenaza se materialice sobre

uno o más activos causando daños o perjuicios a la Organización. (Fuente: La


Riesgo acumulado: Dícese del calculado tomando en consideración el valor propio

de un activo y el valor de los activos que depende de él. Este valor se combina con la

degradación causada por una amenaza y la frecuencia estimada de la misma. (Fuente:

La metodología de MAGERIT – versión 3.0)

Riesgos potenciales: Los riesgos del sistema de información en la hipótesis de que

no hubiera salvaguardas presentes. (Fuente: La metodología de MAGERIT – versión

3.0)

Riesgo residual: Riesgo remanente en el sistema después del tratamiento del riesgo.


Salvaguardas: Procedimiento o mecanismo tecnológico que reduce el riesgo.


SIGESP: Sistema integrado de gestión administrativa para organizaciones del sector

público venezolano; conformado por una serie de módulos, adaptable a cada cliente.

Ha sido diseñado bajo las normas legales que rigen la materia presupuestaria y

administrativa instituciones públicas. (Fuente:http://sigesp.com.ve/sigesp/)

Sistema: Es un conjunto de partes o elementos organizados y relacionados que

interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos,

energía o materia del ambiente y proveen (salida) información, energía o materia.

(Fuente:http://www.alegsa.com.ar/Dic/sistema.php)

68

Sistema Operativo: Es un programa o conjunto de programas que en un sistema

informático gestiona los recursos de hardware y provee servicios a los programas de

aplicación, ejecutándose en modo privilegiado respecto de los restantes y anteriores

próximos y viceversa (aunque puede que parte del mismo se ejecute en espacio de

usuario). (Fuente:http://es.wikipedia.org/wiki/Sistema_operativo)

Software: Es el conjunto de los programas de cómputo, procedimientos, reglas,

documentación y datos asociados, que forman parte de las operaciones de un sistema

de computación. (Fuente:http://es.wikipedia.org/wiki/Software)

Software Libre: Aunque esta denominación a veces se confunde con «gratis» por la

ambigüedad del término free en el idioma inglés, por lo que también se usa libre

software) es la denominación del software que respeta la libertad de todos los

usuarios que adquirieron el producto y, por tanto, una vez obtenido el mismo, puede

ser usado, copiado, estudiado, modificado, y redistribuido libremente de varias

formas. (Fuente:http://es.wikipedia.org/wiki/Software_libre)

Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién

hizo qué y en qué momento. (Fuente: La metodología de MAGERIT – versión 3.0)

Valor: De un activo. Es una estimación del coste inducido por la materialización de

una amenaza. (Fuente: La metodología de MAGERIT – versión 3.0)

Vulnerabilidad: Defecto o debilidad en el diseño, implementación u operación de un

sistema que habilita o facilita la materialización de una amenaza. (Fuente: La


http://es.wikipedia.org/wiki/Programa_inform%C3%A1tico


http://es.wikipedia.org/wiki/Aplicaci%C3%B3n_inform%C3%A1tica

http://es.wikipedia.org/wiki/Aplicaci%C3%B3n_inform%C3%A1tica

http://es.wikipedia.org/wiki/Software


http://es.wikipedia.org/wiki/Libertad


69

REFERENCIAS BIBLIOGRÁFICAS

Metodología de MAGERIT – versión 3.0 Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información libro 1 método


Riesgos de los Sistemas de Información libro 2 catálogo de elementos


Riesgos de los Sistemas de Información libro 3 guía de técnicas

Constitución De La República Bolivariana De Venezuela. (2000)

Ley Orgánica De Ciencia, Tecnología E Innovación. (2005)

Ley Especial Contra Los Delitos Informáticos. (2001)

70

REFERENCIAS ELECTRÓNICAS

http://es.wikipedia.org/wiki/Archivo_%28inform%C3%A1tica%29





http://es.wikipedia.org/wiki/Inform%C3%A1tica



http://es.wikipedia.org/wiki/PostgreSQL

http://es.wikipedia.org/wiki/Sistema_operativo



http://sigesp.com.ve/sigesp/


http://www.alegsa.com.ar/Dic/sistema.php


http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

http://es.wikipedia.org/wiki/Archivo_%28inform%C3%A1tica%29





http://es.wikipedia.org/wiki/Inform%C3%A1tica



http://es.wikipedia.org/wiki/PostgreSQL



http://sigesp.com.ve/sigesp/


http://www.alegsa.com.ar/Dic/sistema.php


http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

ANEXOS

72

Fichas de recolección

1. [info] Activos esenciales: información

[info] información

Código: Nombre:

Descripción:

Propietario:

Responsable:

Tipo:

Valoración

Dimensión Valor Justificación

[I]

[C]

[A]

[T]

Dependencias de activos inferiores (hijos)

activo: grado:

¿Por qué?:

activo: grado:

¿Por qué?:

73

2. [service] activos esenciales: servicio

[service] servicio

Código: Nombre:

Descripción:

Responsable:

Tipo: [per][A] [classified] [C]

Valoración

Dimensión Valor Justificación

[D]

[A]

[T]


activo: grado:

¿Por qué?:

activo: grado:

¿Por qué?:

74

3. [D] datos/ información

[D] datos/ información

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

activo: grado:

¿Por qué?:

4. [K] claves criptográficas

[Key] claves criptográficas

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

activo: grado:

¿Por qué?:

75

5. [S] servicios

[S] servicio

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: Grado:

¿Por qué?:

6. [SW] aplicaciones (software)

[SW] aplicaciones (software)

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

76

7. [HW] equipamiento informático (hardware)

[HW] equipamiento informático (hardware)

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

8. [COM] redes de comunicaciones

[COM] redes de comunicaciones

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

77

9. [Media] soporte de información

[Media] soporte de información

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

10. [AUX] Equipamiento auxiliar

[AUX] Equipamiento auxiliar

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

78

11. [L] Instalaciones

[L] Instalaciones

Código: Nombre:

Descripción:

Responsable:

Tipo:


activo: grado:

¿Por qué?:

12. [P] Personal

[P] Personal

Código: Nombre:

Descripción:

Responsable:

Tipo:

Engineering

Eber mata(tesis lista)