REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA DIVISIÓN ACADÉMICA, NÚCLEO DELTA AMACURO CARRERA: ANÁLISIS Y DISEÑO DE SISTEMAS DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE MIGRACIÓN ENTRE LOS SISTEMAS DE PROCESAMIENTO DE NÓMINA GUBERNAMENTAL (SISTNOMINA), (EL SISTEMA INTEGRADO DE GESTIÓN PÚBLICA (SINTEGESP) Y EL SISTEMA INTEGRADO DE GESTIÓN PARA ENTES DEL SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓN DEL ESTADO DELTA AMACURO, MUNICIPIO TUCUPITA. (INFORME FINAL DE PASANTÍAS OCUPACIONALES) Autor: Eber Ernesto Mata Sandoval Tutor Académico: MSc. MELVIN ROMERO TUCUPITA, MAYO DEL 2015
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA
DIVISIÓN ACADÉMICA, NÚCLEO DELTA AMACURO
CARRERA: ANÁLISIS Y DISEÑO DE SISTEMAS
DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE MIGRACIÓN ENTRE LOS SISTEMAS DE PROCESAMIENTO
DE NÓMINA GUBERNAMENTAL (SISTNOMINA), (EL SISTEMA INTEGRADO DE GESTIÓN PÚBLICA (SINTEGESP)
Y EL SISTEMA INTEGRADO DE GESTIÓN PARA ENTES DEL SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓN DEL
ESTADO DELTA AMACURO, MUNICIPIO TUCUPITA.
(INFORME FINAL DE PASANTÍAS OCUPACIONALES)
Autor:
Eber Ernesto Mata Sandoval
Tutor Académico:
MSc. MELVIN ROMERO
TUCUPITA, MAYO DEL 2015
DEDICATORIA
A mi familia, que constituyen mi aliento para vivir, alimentan mis ganas de
superarme y ser mejor cada día.
A mi madre por creer siempre en mí, apoyarme y ayudarme siempre que la
necesite.
A los pocos compañeros y amigos que se mantuvieron cerca prestándome una
mano en determinados momentos.
Y a todas aquellas personas que de una u otra forma confiaron en mí,
diciéndoles que con trabajo duro y determinación siempre se pueden alcanzar las
metas propuestas.
Eber Ernesto Mata Sandoval
RECONOCIMIENTOS
A Dios Padre Creador, por haberme concedido la fuerza para llegar a feliz
término esta tarea.
A la Universidad Nacional Experimental Politécnica de la Fuerza Armada, por
brindarme la oportunidad de desarrollar mi carrera.
A los profesores, quienes con sus sabias orientaciones, ayudaron en mi
formación en estos tres años de carrera.
A Alexander Amares por aceptarme como pasante, A Melvin Romero como
tutor académico por sus orientaciones en todo momento y al personal de la División
de Tecnología de la Información por toda su ayuda, apoyo y por todo el aprendizaje
que obtuve gracias a ellos, Muchas Gracias.
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL
DE LA FUERZA ARMADA BOLIVARIANA
COORDINACIÓN DE PASANTIAS
DIVISIÓN ACADÉMICA, NÚCLEO DELTA AMACURO
CARRERA: ANÁLISIS Y DISEÑO DE SISTEMAS
APROBACIÓN DEL TUTOR ACADÉMICO
Quien suscribe, el profesor Melvin Romero, titular de la Cédula de Identidad
11.213.194, en condición de tutor académico designado por el departamento de
pasantías adscrito a la División Académica de la Universidad Nacional Experimental
Politécnica de las Fuerzas Armadas Nacional (UNEFA), hace constar que el informe
final presentado por el bachiller: “EBER ERNESTO MATA SANDOVAL”, C.I. Nº
20.159.811, como uno de los requisitos parciales para optar al título de T.S.U en
Análisis y Diseño de Sistemas, reúne las condiciones y méritos suficientes para ser
aprobado con la calificación de _____ puntos.
En Tucupita a Un día del mes de Junio del año Dos Mil Quince.
_____________________
Tutor Académico MSc. MELVIN ROMERO
C.I.: 11.213.194
REPÚBLICA BOLIVARIANA DE VENEZUELA
GOBERNACIÓN DEL ESTADO DELTA AMACURO
SECRETARIA GENERAL DE GOBIERNO
APROBACIÓN DEL INFORME
TUTOR EMPRESARIAL
Yo Alexander Amares titular de la Cédula de Identidad 9.863.112, en mi
carácter de asesor empresarial de las prácticas profesionales elaborado por el
Bachiller: Eber Ernesto Mata Sandoval titular de la Cédula de Identidad
20.159.811, en la Gobernación del Estado Delta Amacuro, en el periodo académico
del 28 de Julio hasta el 14 de Noviembre del 2014, considero reúne los méritos
suficientes de aprobación de acuerdo a los requisitos exigidos por la Gobernación en
el proceso de las prácticas profesionales.
En Tucupita a los Catorce días del mes de Noviembre del año Dos Mil
Catorce.
__________________________
Tutor Empresarial
ING. ALEXANDER AMARES
C.I.: 9.863.112
i
ÍNDICE GENERAL
P.p
Índice General. i
Índice de Tablas. iii
Índice de gráficos. iv
Resumen v
Introducción 1
CAPÍTULO I.
PRESENTACIÓN DE LA EMPRESA
3
Reseña histórica de la Empresa 3
Descripción de la empresa 4
Misión y Visión 5
Objetivos De La Empresa 6
Metas 7
Valores 7
Estructura Organizacional 8
Organigrama Funcional 9
CAPÍTULO II.
DESCRIPCIÓN DEL DEPARTAMENTO 10
Importancia y justificación 10
Objetivos: general y específicos 11
Base legales 12
Descripción del departamento 17
Organigrama del departamento 18
ii
CAPÍTULO III.
DESARROLLO DE LAS ACTIVIDADES
19
Objetivos: generales y específicos 21
Cronograma de actividades 22
Diagrama De Gantt 23
Descripción de las actividades realizadas 24
Limitaciones encontradas en la práctica profesional 59
Aportes del practicante 61
CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
Conclusiones 60
Recomendaciones 62
Glosario de términos 63
Bibliografía 69
Anexos 71
iii
INDICE DE TABLAS
TABLA N° P.p
.
1 Valor propio de los activos 34
2 Identificación de la amenazas 37
3 Degradación de valor 38
4 Probabilidad de ocurrencia 38
5 Valoración de la amenazas 39
6 Identificación De Las Salvaguardas 43
7 Niveles de Madures 46
8 Tarea de Valoración de Salvaguardas 47
9 Impacto potencial 48
10 Impacto residual 50
11 Riesgo potencial 52
12 Riesgo residual 54
iv
ÍNDICE DE GRÁFICOS
GRÁFICOS
N°
P.p
.
1 Organigrama Estructural 8
2 Organigrama Funcional 9
3 Organigrama de la división 18
4 Diagrama de Gantt 22
5 Diagrama De Dependencias Entre Activos 32
6 Interpretación de resultados 55
v
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA
DIVISIÓN ACADÉMICA, NÚCLEO DELTA AMACURO
CARRERA: ANÁLISIS Y DISEÑO DE SISTEMAS
DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE MIGRACIÓN
ENTRE LOS SISTEMAS DE PROCESAMIENTO DE NÓMINA
GUBERNAMENTAL (SISTNOMINA), (EL SISTEMA INTEGRADO DE GESTION
PUBLICA (SINTEGESP) Y EL SISTEMA INTEGRADO DE GESTIÓN PARA
ENTES DEL SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓN DEL ESTADO
DELTA AMACURO, MUNICIPIO TUCUPITA.
Autor: Eber Ernesto Mata Sandoval.
Tutor Académico: MSc. Melvin Romero.
Junio 2015
RESUMEN
El siguiente informe de pasantías ocupacionales tiene como objetivo principal
la realización de una auditoría al proceso de migración entre los sistemas de
Procesamiento de Nómina Gubernamental (SISTNOMINA), El Sistema Integrado de
Gestión pública (SINTEGESP) al Sistema Integrado De Gestión Para Entes del
Sector Público (SIGESP) con el fin de minimizar la perdida de datos y tiempo en la
migración en la Gobernación del Estado Delta Amacuro, Municipio Tucupita. Este
procesos es sumamente delicado puesto que el SISTNOMINA se encuentra en
software propietario con el manejador de base de datos SQL Server de Microsoft. El
Sistema Integrado de Gestión pública SINTEGESP en Software Libre manejador de
base de datos Mysql; estos dos sistemas migraran sus datos al SIGESP que maneja
una base de datos postgres el informe busca documentar, identificar las amenazas, las
vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas,
determinar del impacto en caso de su materialización y por último la obtención del
riesgo al que se está expuesto con ello las estrategias que faciliten el proceso de
migración dentro de la división de tecnología de la información. La auditoría se
realizó con la metodología de MAGERIT – versión 3.0 Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información, que comprende cuatro fases que
comprende cuatro fases: identificación de activos, identificación de las amenazas,
identificación de las salvaguardas y la estimación de estado de riego.
implantación del mismo; crear con dicho informe de auditoría un plan de acción para
este proceso en la gobernación del Estado Delta Amacuro.
Capítulo I: La Información General de la Empresa, la cual consta de Reseña
Histórica, Descripción de la Institución, Misión y Visión de la Institución, Objetivo y
Estructura Organizacional. Capítulo II: el Descripción Del Departamento, este
contiene Importancia y justificación, Objetivos, Base legales, Descripción del
departamento y Organigrama del departamento. Capítulo III: Refleja el Desarrollo De
Las Actividades, Exposición de motivo de la práctica profesional, Objetivos:
generales y específicos, Cronograma de actividades, Diagrama De Gantt, Descripción
de las actividades realizadas y Aportes del practicante. y el Capítulos IV:
Conclusiones y Recomendaciones.
3
CAPÍTULO I
PRESENTACIÓN DE LA EMPRESA
RESEÑA HISTÓRICA
Datos recopilados por el Prof. Cruz José Marín (Historia del Territorio
Federal Delta Amacuro, 1981) señalan que el 27 de Abril de 1884 el Departamento
Zea del Estado Guayana, actualmente Estado Bolívar, fue elevado a la categoría de
Entidad Federal según decreto del Presidente de los Estados Unidos de Venezuela
Antonio Guzmán Blanco; esta entidad federal se denominó Territorio Federal Delta,
su primera capital fue Pedernales y su primer Gobernador el Sr. Manuel Modesto
Gallegos. El 14 de Noviembre de 1887 el Ejecutivo Federal cambia la capital del
Territorio hacia la población de Tucupita, celebrándose esta disposición en acto
público el 24 de Enero de 1888. El General Juan José Yépez estaba al frente del
Poder Ejecutivo Territorial. El 21 de Octubre de 1893 el General Manuel Guzmán
Álvarez Presidente del Consejo de Gobierno encargado del Poder Ejecutivo, decreta
la eliminación del Territorio Federal Delta quedando su espacio geográfico
incorporado al Estado Bolívar.
La Gobernación del Territorio Federal Delta Amacuro surge a raíz de la
creación del Territorio Federal Delta Amacuro (T.F.D.A), el 26 de Abril de 1901
siendo el General Cipriano Castro Presidente provisional de los Estados Unidos de
Venezuela; se designó a San José de Amacuro como capital. Cuatro años más tarde,
el 16 de Mayo de 1905 se traslada la capital del Territorio a Tucupita siendo su
primer Gobernador el Sr. Pedro Alcántara Leal desde 1901 hasta 1904.
4
Después de 1905 la sede del Poder Ejecutivo se ubicó en la calle Bolívar
frente a la Plaza del mismo nombre, en una propiedad de la familia Rojas Díaz pero
debido a que la Gobernación y el cuerpo policial funcionaban en el mismo lugar
cambia nuevamente su ubicación a la calle Pativilca. Ahí permanece hasta el año
1960 fecha en la cual se traslada hasta su sede actual de la Calle Bolívar cruce con
Dalla Costa; siendo el Señor Luís Fernando Aranguren Gobernador del Territorio
Federal Delta Amacuro y Don Rómulo Betancourt el Presidente de Venezuela. El 3
de Agosto de 1991 siendo Presidente de Venezuela el Sr. Carlos Andrés Pérez, el
Congreso de la República decretó una Ley Especial que dio categoría de Estado al
Territorio Federal Delta Amacuro, denominándose: Gobernación del Estado Delta
Amacuro.
DESCRIPCION DE LA EMPRESA
La Gobernación del Estado Delta Amacuro, es un ente organizado que se
dedica a administrar y controlar los recursos asignados al Estado mediante la Ley de
Presupuestos, cumpliendo con los programas establecidos en el presupuesto de
gastos. La Gobernación establece planes locales y regionales dentro del marco del
desarrollo económico y social del Estado.
El objetivo principal de éste ente gubernamental, es alcanzar el bienestar
social de la colectividad, estableciendo sus gastos en función de las necesidades de la
población.
De igual forma, desempeña un rol determinante en las decisiones políticas,
económicas y sociales del país por lo que implementa, aprueba y ejecuta programa
viables dentro de un marco racional de coordinación coherente y de integración que
permita la administración eficaz de los recursos del Estado, aplicando políticas que
favorezcan a la colectividad deltana por igual, a través de la inclusión social y el
5
empleo como condiciones esenciales para promover el respeto a los principios y
derechos fundamentales de sus ciudadanos.
Los ingresos del Estado se distribuyen entre los diferentes sectores que
constituyen el plan de inversión del Estado. La Gobernación debe controlar y
fiscalizar la realización de las actividades administrativas mediante el plan de
acciones que describen el resultado perseguido, las normas a seguir, las etapas a
ejecutar y los métodos a utilizar.
Las gestiones gubernamentales del Estado Delta Amacuro se realizan en la
sede principal ubicada en la Calle Bolívar cruce con Calle Dalla Costa. La
Gobernación está conformada por una serie de direcciones y departamentos que en su
mayoría funcionan en la sede principal antes mencionada y aseguran el cumplimiento
de sus objetivos.
MISIÓN Y VISIÓN
MISIÓN
Mantenerse y afianzarse como una institución del Ejecutivo del estado de
Venezuela, asumiendo el compromiso de ejercer un gobierno democrático que al
amparo de los demás altos valores éticos y trabajo corresponsable, impulse
decididamente la participación social y ofrezca servicios de calidad, en un marco de
legalidad y de justicia, para elevar las condiciones de vida de los deltanos.
VISIÓN
Ser un gobierno democrático, cercano a la comunidad y con sentido humano,
que garantice el estado de derecho, la integridad y el patrimonio de las personas, la
paz social y la justicia, a través de un desarrollo integral que con finanzas públicas
6
sanas, multiplique las oportunidades de educación y empleo, combata la pobreza,
aliente el crecimiento armónico urbano y rural de las regiones, brinde servicios
públicos de calidad para una vida digna y fortalezca la identidad y la participación
ciudadana.
OBJETIVOS DE LA EMPRESA
Fijar los límites de los emolumentos que devenguen los empleados de las
instituciones públicas.
Desarrollar actividades que estimulen las distintas ramas de la economía del
Estado, creando fuentes de trabajo.
Prestar servicios públicos de calidad tales como: Educación, Salud,
Recreación y muchos otros en bienestar de la población.
Diseñar y promover programas y proyectos fundamentales en una visión
compartida entre los actores sociales para el rescate de los valores orientados
a generar sentido de comunidad en los ciudadanos del Estado.
Mantener la vialidad del Estado en condiciones óptimas.
Promover el turismo en la región.
Fomentar y brindar los medios necesarios que faciliten el desarrollo,
intelectual y cultural de la ciudadanía.
Velar por la salud física y mental del pueblo mediante el establecimiento de
programas que permitan asegurar dicho objetivo.
Mantener la armonía, la paz y la defensa del Estado.
7
METAS
Garantizar la equidad, la igualdad de oportunidades, la justicia social y la
participación ciudadana.
Impulsar el desarrollo integral y sustentable del Estado.
Establecer una política concertada entre diferentes organismos que permita
atender la problemática ambiental y la ocupación y uso racional del territorio.
Fortalecer la gestión institucional y de los recursos humanos, modernización e
implementación de nuevos modelos de gestión.
VALORES
Su actuación se basa en el respeto a las garantías individuales, teniendo a la
persona, con su dignidad, como el centro de su atención. Construir consensos
respetando la libertad de decidir y disentir; siendo incluyentes, propiciando la
superación integral de las personas y el desarrollo armónico de la sociedad.
8
ORGANIGRAMA ESTRUCTURAL DE LA GOBERNACIÓN DEL ESTADO
DELTA AMACURO.
Organigrama Estructural
Gráfico Nº 1:
Fuente: Gobernación del Estado Delta Amacuro (2014)
9
ORGANIGRAMA FUNCIONAL DE LA GOBERNACIÓN DEL ESTADO
DELTA AMACURO.
Organigrama Funcional
Gráfico Nº 2:
Fuente: Gobernación del Estado Delta Amacuro (2014)
Dpto. De Compra
Departamento de
Desarrollo
sarrollo
Dpto. Saneamiento
Dpto. Servicios
Técnicos
Dpto. Personal
Dpto.
Mantenimiento y
Soporte Técnico
Archivo General División de
mantenimiento
División de
Personal
División de Tecno.
e Información
Administración
Unidad de Soporte
Técnico
Dpto. Gobierno
Electrónico
Unidad de
Servicios
10
CAPÍTULO II
DESCRIPCIÓN DEL DEPARTAMENTO
IMPORTANCIA Y JUSTIFICACIÓN
La división de la tecnología de la información es el encargado de llevar el
control en las diferentes áreas que debe implementarse aún en aquellas que no son
básicas, ya que la apropiación y el manejo de los recursos disponibles debe
convertirse en una estrategia de uso habitual y cotidiano. Por ende, este departamento
se encarga del estudio, diseño, desarrollo e innovación de los sistemas informáticos
computarizados, particularmente usos del software y hardware. En general, se ocupa
del uso de computadoras y del software electrónico, así como de convertir,
almacenar, proteger, procesar, transmitir y de recuperar la información; así como
también de realizar una variedad de deberes como instalar y diseñar redes de
ordenadores y bases de datos complejas.
La oficina de Tecnologías de la Información es el órgano que se encarga de
administrar, planificar, implementar y gestionar sistemas de información, el cual se
encarga de formular planes de gestión en materia de tecnologías de la información
que sirvan de apoyo a las actividades operativas y de gestión de la gobernación, así
como de los sistemas transversales a su cargo para implementar políticas y normas de
seguridad informática y soluciones de protección de las redes, equipos y sistemas de
información en concordancia con las políticas de seguridad establecidas.
OBJETIVOS: GENERAL Y ESPECÍFICOS
Objetivo General: Coordinar, administrar y controlar los procesos
relacionados con el área de tecnología de la información diseñando, desarrollando e
11
implementando programas y aplicaciones de acuerdo con las necesidades de los
usuarios del sistema, de manera que permita hacer uso eficiente, potencial,
tecnológico y mantener una comunicación efectiva entre los organismo entre los
organismos del estado, la ciudadanía y las empresas.
Objetivos Específicos:
Mantener actualizadas los procesos tecnológicos de la información de acuerdo
a los avances implementados en la administración pública del Estado.
Recopilar y presentar periódicamente informes ante la Secretaria General de
Gobierno, detallando avances tecnológicos aplicados, logros, tiempo de
ejecución y demás indicadores de gestión pertinentes.
Velar porque los sistemas que se desarrollen, cumplan con las consideraciones
fundamentales en el desarrollo del software libre y se encuentren
desarrollados bajo una licencia GNU/GPL.
Alojar los procesos de desarrollo (código fuente, discusiones, documentación
entre otros) en el componente forja contenido en el repositorio nacional de
aplicaciones.
Administrar y controlar los servidores de la plataforma tecnológica velando
por el buen funcionamiento de los mismos.
Mantener la plataforma tecnológica en óptimas condiciones minimizando sus
riesgos de fallas.
Establecer y documentar los procedimientos y responsabilidades asociadas
con la operación y manejo de los servidores.
12
Monitorear a través de sistemas la disponibilidad, capacidad, desempeño y uso
de la plataforma a fin de asegurar su correcta operación y mantener un registro
de sus eventuales fallas.
Garantizar el mantenimiento preventivo y correctivo de sistemas y programas
aplicadas a la red informática de la gobernación del estado Delta Amacuro.
Garantizar de manera razonable, la confidencialidad, integridad y
disponibilidad de la información lo que implica protegerla contra su uso,
divulgación y modificación no autorizada danos o perdidas.
Presentar periódicamente informes detallados, avances de los sistemas de red
aplicados, programas diseñados, ubicación, fallas, avances, logros y demás
indicadores de gestión pertinentes.
Diseñar programas de capacitación para el buen uso de capacitación dirigidos
a empleados de la gobernación del Estado.
BASES LEGALES
CONSTITUCIÓN DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA
(2000).
Artículo 110. El Estado reconocerá el interés público
de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de información necesarios por ser instrumentos
fundamentales para el desarrollo económico, social y político del país, así como para la seguridad y soberanía
nacional. Para el fomento y desarrollo de esas actividades, el Estado destinará recursos suficientes y creará el sistema nacional de ciencia y tecnología de
acuerdo con la ley. El sector privado deberá aportar
13
recursos para los mismos. El Estado garantizará el
cumplimiento de los principios éticos y legales que deben regir las actividades de investigación científica,
humanística y tecnológica. La ley determinará los modos y medios para dar cumplimiento a esta garantía. (p. 44)
La patria debe destinar recursos en el interés público de la ciencia, la
tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de
información necesarios por ser instrumentos fundamentales para el desarrollo
económico, social y político del país, así como para la seguridad y soberanía
nacional.
LEY ORGÁNICA DE CIENCIA, TECNOLOGÍA E INNOVACIÓN (2005).
Artículo 1. La presente Ley tiene por objeto desarrollar los principios orientadores que en materia de ciencia,
tecnología e innovación y sus aplicaciones, establece la Constitución de la República Bolivariana de Venezuela,
organizar el Sistema Nacional de Ciencia, Tecnología e Innovación, definir los lineamientos que orientarán las políticas y estrategias para la actividad científica,
tecnológica, de innovación y sus aplicaciones, con la implantación de mecanismos institucionales y
operativos para la promoción, estímulo y fomento de la investigación científica, la apropiación social del conocimiento y la transferencia e innovación
tecnológica, a fin de fomentar la capacidad para la generación, uso y circulación del conocimiento y de
impulsar el desarrollo nacional. (p. 5)
Los principios que orientan la materia de ciencia, tecnología e innovación y
sus aplicaciones para la promoción, estímulo y fomento de la investigación científica,
la apropiación social del conocimiento y la transferencia e innovación tecnológica, a
fin de fomentar la capacidad para la generación, uso y circulación del conocimiento y
de impulsar el desarrollo y seguridad nacional.
14
Artículo 3. Forman parte del Sistema Nacional de Ciencia, e Innovación, las instituciones públicas o
privadas que generen y desarrollen conocimientos científicos y tecnológicos y procesos de innovación, y
las personas que se dediquen a la planificación, administración, ejecución y aplicación de actividades que posibiliten la vinculación efectiva entre la ciencia,
la tecnología y la sociedad. A tal efecto, forman parte del sistema:
1. El Ministerio de Ciencia y Tecnología, sus
organismos adscritos y las entidades tuteladas por éstos, o aquellas en las que tengan participación.
2. Las instituciones de educación superior y de
formación técnica, academias nacionales, colegios profesionales, sociedades científicas, laboratorios y centros de investigación y
desarrollo, tanto público como privado.
3. Los demás organismos públicos y privados que se dediquen al desarrollo, organización, procesamiento, tecnología e información.
4. Los organismos del sector privado, empresas,
proveedores de servicios, insumos y bienes de capital, redes de información y asistencia que sean incorporados al Sistema.
5. Las personas que a título individual o colectivo, realicen actividades de ciencia, Tecnología e innovación.(p. 7)
Las instituciones públicas o privadas deben generar conocimientos científicos
y tecnológicos y procesos de innovación, y las personas que se dediquen a la
planificación, administración, ejecución y aplicación de actividades que posibiliten la
vinculación efectiva entre la ciencia, la tecnología y la sociedad, dándole un marco
legal en el cual regirse.
15
LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS (2001).
Artículo 4. Sanciones: Las sanciones por los delitos
previstos en esta Ley serán principales y accesorias. Las sanciones principales concurrirán con las penas accesorias y ambas podrán también concurrir entre sí,
de acuerdo con las circunstancias particulares del delito del cual se trate, en los términos indicados en la
presente Ley. (p. 3)
Este artículo nos recuerda que es muy importante que se tenga en cuenta que
el software a pesar de ser intangibles son bienes y como tal están sujetos a sanciones
que se aplican a las personas de acuerdo a las circunstancias particulares del delito
del cual se trate.
Artículo 6. Acceso indebido: Toda persona que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema
que utilice tecnologías de información, será penado con prisión de uno cinco años y multa de diez a cincuenta
unidades tributarias. (p. 4)
El siguiente articulo trata sobre la sanción que se producirá al una persona
entrar a un sistema informático puesto que esto sin permiso es similar a entrar a una
casa sin consentimiento de sus dueños, así como que se intercepte, interfiera o use un
sistema que emplee tecnologías de información sin la debida autorización.
Artículo 7. Sabotaje o daño a sistemas: Todo aquel que con intención destruya, dañe, modifique o realice
cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologías de información o cualesquiera de los componentes que lo conforman,
será penado con prisión de cuatro a ocho años y multa de cuatrocientas a ochocientas unidades tributarias.
Incurrirá en la misma pena quien destruya, dañe, modifique o inutilice la data o la información contenida en cualquier sistema que utilice tecnologías de
16
información o en cualquiera de sus componentes. La
pena será de cinco a diez años de prisión y multa de quinientas a mil unidades tributarias, si los efectos
indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión, por cualquier medio, de un virus o programa análogo. (p. 4)
Este articulo habla sobre la sanción que se le da a todo aquel que con
intención destruya, dañe, modifique o realice cualquier acto que altere el
funcionamiento o inutilice un sistema que utilice tecnologías de información o cuales
quiera de los componentes que lo conforman.
Artículo 8. Favorecimiento culposo del sabotaje o daño: Si el delito previsto en el artículo anterior se
cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicará la pena correspondiente según el caso, con una reducción
entre la mitad y dos tercios”. (p. 4)
El siguiente artículo trata sobre la pena que se aplicara según fuese el delito
previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o
inobservancia de las normas establecidas.
DESCRIPCIÓN DEL DEPARTAMENTO
DIVISIÓN DE TECNOLOGÍA E INFORMACIÓN
La División de Tecnología e Información se encarga de ejecutar la
planificación y organización de las actividades vinculadas con las tecnologías
informáticas y de las operaciones necesarias para asegurar el correcto funcionamiento
de la plataforma tecnológica. Dentro de esta división se encuentran los cargos
siguientes:
17
ANALISTA DE PROCESAMIENTO DE DATOS
Las funciones son:
Velar por la seguridad de accesos y operatividad de la plataforma de sistemas.
Analizar los requerimientos de información, transformarlo en requisitos del
sistema y coordinar su implementación.
Supervisar las actividades realizadas por terceros en el desarrollo e
implementación de soluciones informáticas.
ESPECIALISTA DE COMPUTACION
Es capaz de desempeñar funciones dentro de las organizaciones donde se
requiera el uso del computador como herramienta para la gestión de datos y solución
de problemas de negocio.
OPERADOR DE EQUIPOS
Los operadores de computadoras preparan y limpian todo el equipo que se
utiliza en el proceso de datos; mantienen y vigilan las bitácoras e informes de la
computadora, montan y desmontan discos y cintas durante los procesos y colocan las
formas continuas para la impresión. Documentan las actividades diarias, los
suministros empleados y cualquier condición anormal que se presente. El papel de los
operadores es muy importante debido a la gran responsabilidad de operar la unidad
central de proceso y el equipo periférico asociado en el centro de cómputo.
18
ORGANIGRAMA ESTRUCTURAL DE LA DIVISIÓN DE TECNOLOGÍA E
INFORMACIÓN DE LA GOBERNACIÓN DEL ESTADO DELTA
AMACURO.
Organigrama de la división
Gráfico N° 3 Cargos del dpto. de tecnología de información.
Fuente: El Autor (2014)
DIVISIÓN DE TECNOLOGÍA E INFORMACIÓN
ANALISTA DE PROCESAMIENTO DE
DATOS
ESPECIALISTA DE COMPUTACIÓN
OPERADOR
DE EQUIPOS
19
CAPÍTULO III
DESARROLLO DE LAS ACTIVIDADES
OBJETIVOS: GENERAL Y ESPECÍFICOS
Objetivo General:
Desarrollar una Auditoria del Proceso de Migración entre los sistemas de
procesamiento de nómina gubernamental (SISTNOMINA), (el sistema integrado de
gestión pública (SINTEGESP) y el sistema integrado de gestión para entes del sector
público (SIGESP)) en la gobernación del estado Delta Amacuro, Municipio Tucupita.
Objetivos Específicos:
Identificar los activos relevantes dentro de los sistemas a migrar en la Gobernación
del Estado Delta Amacuro, Municipio Tucupita, para garantizar la trasferencia de
datos confiable hacia el SIGESP.
Determinar las posibles amenazas en proceso de migración hacia el SIGESP con el
fin de disminuir la pérdida de datos históricos administrativos de la gobernación.
Indicar las salvaguardas que puedan aparecer, para calificar su eficiencia en frente de
una amenaza al proceso de migración al SIGESP, para elaboración de planes de
contingencia para minimizar pedida de datos histórico administrativos.
Evaluar el impacto derivado de la materialización de la amenaza y estimar el riesgo,
de impacto ponderado con la tasa de ocurrencia de la amenaza en función a la
elaboración de estrategias para disminuir el tiempo de migración y los riegos.
20
CRONOGRAMA DE ACTIVIDADES
El cronograma es una lista de los elementos del sistema que se auditara, en las
fechas previstas y especificando su duración en un intervalo de semanas. Para mostrar
todos los pasos realizados se emplea el diagrama de Gantt, el cual es la herramienta
gráfica cuyo objetivo es mostrar el tiempo de dedicación previsto para diferentes
semanas, fases, actividades, duración y fecha de inicio y culminación programadas a
lo largo de un tiempo total determinado de pasantías y para mostrar una línea de
tiempo en las diferentes actividades haciendo el método más eficiente.
Las diferentes fases integradas en el diagrama de Gantt expresan como se va a
realizar la Auditoria al proceso de migración al sistema SIGESP en la División de
Tecnología de la Información de la Gobernación del Estado Delta Amacuro del
municipio Tucupita; pues la primera fase es identificar los activos relevantes dentro
de los Sistemas SISTNOMINA, SINTEGESP SIGESP en la Gobernación del Estado
Delta Amacuro, Municipio Tucupita hasta la última fase la cual es evaluar el impacto,
definido como el daño sobre el activo derivado de la materialización de la amenaza y
estimar el riesgo de impacto ponderado con la tasa de ocurrencia de la amenaza. Ver
Gráfico N° 4, Pág. 23.
21
Gráfico N° 4. Diagrama de Gantt.
FUENTE: El Autor (2014)
22
DSECRIPCIÓN DE LAS ACTIVIDADES REALIZADAS
Fase I: Caracterización de los Activos
Objetivo: • Identificar los activos relevantes dentro de los sistemas a migrar en la
Gobernación del Estado Delta Amacuro, Municipio Tucupita, para garantizar la
trasferencia de datos confiable hacia el SIGESP
Tareas:
Identificación de los activos que componen el sistema a migrar, sus
características, atributos y clasificación.
Dependencias entre activos la medida en que un activo de orden superior se
puede ver perjudicado por una amenaza materializada sobre un activo de orden
inferior.
Valoración de los activos, el coste que para la organización supondrá la
destrucción del activo.
Recursos: Computadora de escritorio, Una memoria USB, Manual de pasantías
ocupacional UNEFA, Lápiz, Borrador, Sacapuntas, Bolígrafos, Microsoft Office
Word 2010, Cámara Digital, Internet y Metodología MAGERIT – versión 3.0
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Tiempo: Inicio desde el 28 de Junio hasta el 19 de Septiembre del 2014.
CONTROLES:
Ing. Alexander Amares y MSc. Melvin Romero.
23
Fase II: Caracterización de las Amenazas
Objetivo: • Determinar las posibles amenazas en proceso de migración hacia el
SIGESP con el fin de disminuir la pérdida de datos históricos administrativos de la
gobernación.
TAREAS:
Identificación de las amenazas relevantes sobre cada activo involucrado en la
migración.
Valoración de las amenazas para estimar la frecuencia en que ocurre cada
amenaza sobre cada activo
Degradación de los activos que causaría la amenaza en cada dimensión del activo
si llegara a materializarse.
Recursos: Computadora de escritorio, Una memoria USB, Manual de pasantías
ocupacional UNEFA, Lápiz, Borrador, Sacapuntas, Bolígrafos, Microsoft Office
Word 2010, Cámara Digital, Internet y Metodología MAGERIT – versión 3.0
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Tiempo: Iniciado desde el 15 de Septiembre hasta el 17 de Octubre del 2014.
Controles: Ing. Alexander Amares y MSc. Melvin Romero.
24
Fase III: Caracterización de las Salvaguardas
Objetivo: Indicar las salvaguardas que puedan aparecer, para calificar su
eficiencia en frente de una amenaza al proceso de migración al SIGESP, para
elaboración de planes de contingencia para minimizar pedida de datos histórico
administrativos.
TAREAS:
Identificación de las salvaguardas pertinentes para proteger el proceso de
migración.
Valoración de las salvaguardas, para poder conocer su eficiencia.
Recursos: Computadora de escritorio, Una memoria USB, Manual de pasantías
ocupacional UNEFA, Lápiz, Borrador, Sacapuntas, Bolígrafos, Microsoft Office
Word 2010, Cámara Digital, Internet y Metodología MAGERIT – versión 3.0
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Tiempo: Iniciado desde el 13 de Octubre hasta el 31 de Octubre del 2014.
Controles: Ing. Alexander Amares y MSc. Melvin Romero.
25
Fase IV: Estimación del Estado de Riesgo
Objetivo: Evaluar el impacto derivado de la materialización de la amenaza y
estimar el riesgo, de impacto ponderado con la tasa de ocurrencia de la amenaza en
función a la elaboración de estrategias para disminuir el tiempo de migración y los
riegos.
TAREAS:
Estimar el valor para obtener el impacto potencial y el residual al que está
sometido el proceso de migración.
Estimar el valor para obtener el riesgo potencial y el residual al que está sometido
el proceso de migración.
Recursos: Computadora de escritorio, Una memoria USB, Manual de pasantías
ocupacional UNEFA, Lápiz, Borrador, Sacapuntas, Bolígrafos, Microsoft Office
Word 2010, Cámara Digital, Internet y Metodología MAGERIT – versión 3.0
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,
Software PILAR 5.4.4.
Tiempo: Iniciado desde el 03 de Noviembre hasta el 14 de Noviembre del 2014.
Controles: Ing. Alexander Amares y MSc. Melvin Romero.
26
DESCRIPCIÓN DE LAS ACTIVIDADES
Las pasantía ocupacionales son efectuadas durante (16) semanas. Estas se
realizaron en la División de Tecnología de la Información de la Gobernación del
Estado Delta Amacuro, dándole cumplimiento a la necesidad de migración en la
institución que presentaba en ese momento; es por ello que se utilizó la metodología
de MAGERIT – versión 3.0 dado que es una metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Por tanto, el análisis de riesgos del proceso
de migración en la División de Tecnología de la Información de la Gobernación del
Estado Delta Amacuro del Municipio Tucupita se apoya en que el análisis de riesgos
es una aproximación metódica para determinar el riesgo siguiendo unos pasos
pautados: primero determinar los activos relevantes para la organización, su
interrelación y su valor, en el sentido de qué perjuicio supone su degradación,
segundo determinar a qué amenazas están expuestos aquellos activos, tercero
determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo,
cuarto estimar el impacto definido como el daño sobre el activo derivado de la
materialización de la amenaza y estimar el riesgo definido como el impacto
ponderado con la tasa de ocurrencia o expectativa de materialización de la amenaza.
En base a ello se describen cada una de las fases con sus respectivas actividades:
27
Fase I: Caracterización de los Activos
. (Del 28 de Junio hasta el 19 de Septiembre del 2014)
El primes paso en el inicio de las pasantía fue realizar entrevistas con el tutor
empresarial para la asignar el tema de pasantía, y así evaluar el conocimiento del
tema. También se planteó la problemática del tema y los parámetros que se debían
tomar en cuenta para su realización. El tema asignado para el informe de pasantía fue
desarrollar una auditoria para el proceso de migración entre los sistemas de
procesamiento de nómina gubernamental (SISTNOMINA), (el sistema integrado de
gestión pública (SINTEGESP) y el sistema integrado de gestión para entes del sector
público (SIGESP)) en la gobernación del estado Delta Amacuro, Municipio Tucupita.
Comenzando las actividades del informe de pasantía tenemos las fases de
identificación, dependencias y valoración de los activos. Mediante su desarrollo se
observó cuáles son los activos esenciales del sistema en la parte administrativa,
también se vieron cuáles eran los datos de información, claves criptográficas,
servicios, aplicaciones de software, equipos informáticos (hardware), redes de
comunicación, soportes de información, equipamiento auxiliar, instalaciones y
personal.
El resultado de cada activo es de mucha importancia para la organización y
para el sistema y si falta alguna podría ocasionar perdidas, retraso, entre otros ya que
cada uno depende del otro.
28
Identificación de los activos
[S] Servicios Internos
Para los empleados de la organización se emplean los siguientes servicios:
[www]world wide web
[email] correo electrónico
[dir] servicio de directorio
[edi] intercambio electrónico de datos
[SW] Aplicaciones (software)
Entre las aplicaciones que sustenta a la organización tenemos:
[sist_sigesp] SIGESP
[sist_sistnomina] SISTNOMINA
[sist_sintegesp] SINTEGESP
[office] ofimática
[browser] navegador web
[os] sistema operativo
[otr] otros software
[HW] Equipamiento Informático (hardware)
Dentro de los equipos informáticos con que cuenta la empresa tenemos:
[sdb] servidor de base de datos
[pc] computadoras de escritorios
29
[scan] escáneres
[modem] módems
[wap] punto de acceso inalámbrico
[COM] Redes de Comunicaciones
Dentro de las redes de comunicaciones tenemos:
[pstn] red telefónica
[wifi] red inalámbrica
[lan] red local
[Internet] Internet
[Media] Soporte de Información
En la organización se utilizan los siguientes soportes de información:
[cd] CD-ROM
[dvd] DVD
[usb] memoria USB
[printed] material impreso
[AUX] Equipamiento Auxiliar
La organización cuenta con el siguiente equipamiento auxiliar:
[cabling] cableado
[furniture] mobiliario: armario, entre otros
30
[L] Instalaciones
La organización donde se realizó la auditoría se encuentra ubicada Calle Bolívar
Cruce Con Calle Dalla Costa, siendo el Edificio propio y de una planta.
[building] edificio
[P] Personal
El personal que interactuara con este sistema son:
[ui] usuario internos
[op] operadores
[adm] administradores de sistemas
Dependencias entre Activos
Reconocer las dependencias de activos superiores para así ver que puede
perjudicar si una amenaza se materializa sobre un activo inferior, como se muestra en
la siguiente gráfica:
31
Gráfico 5. DIAGRAMA DE DEPENDENCIAS ENTRE ACTIVOS
Fuente: Realizado en PILAR 5.4.4 (2014)
Leyenda
32
Se realizó esta dependencia de activos gracias a las entrevistas y encuestas
realizadas a los empleados donde se pudo categorizar a los activos como muestra la
figura 5. Los sistemas para el procesamiento de nómina gubernamental
(SISTNOMINA), el sistema integrado de gestión pública (SINTEGESP) son
fundamentales para sus actividades laborales por eso se encuentra en la parte superior
y también el personal que lo utiliza, no obstante la falta de integración de los mismo,
es decir que no comparten data entre ellos sólo informes es fuente de constante
frustración para los entrevistados.
Los programas que están instalados en los equipos son importantes, en el
mismo nivel se encuesta el sistema operativo y el navegador web.
Los servidores uno para el SISTNOMINA y otro para el SINTEGESP está por
encima de todos los equipos; el motivo es que el almacena información y por debajo
están las computadoras de escritorios.
En los activos inferiores están los puntos de acceso inalámbricos, los equipos
auxiliares, los materiales impresos, el escáner y los CD, DVD, y memorias USB.
Los activos de menor jerarquía como son las rede wifi, redes LAN y el
internet.
Todos los activos están dentro del mismo edificio.
Valoración de los Activos
Criterios de valoración utilizados.
Valor Criterio
10 Extremo 9 Muy alto
6-8 Alto
3-5 Medio
1-2 Bajo 0 Despreciable
33
Dimensiones
[D] Disponibilidad
[C] Confiabilidad
[I] Integridad
[A] Autenticidad
[T] Trazabilidad
Tabla 1. Valor propio de los Activos
Dimensiones
Activos [D] [C] [I] [A] [T]
Servicios
World wide web [7] [5] [6]
Correo electrónico [6] [6] [6] [6]
Servicio de directorio [6] [6] [6] [6] [6]
Intercambio electrónico de datos [4] [4] [6] [6] [6]
Aplicaciones (software)
SIGESP [9] [9] [9] [9]
SISTNOMINA [2] [2] [2] [2]
SINTEGESP [8] [8] [8] [8]
Ofimática [7]
Navegador web [7]
Sistema operativo [7]
Otros software [5]
Equipos informáticos (hardware)
Servidor de base de datos [9] [9] [9] [9]
Computadoras de escritorios [6]
Escáneres [8]
Módems [8]
Punto de acceso inalámbrico [7]
Redes de comunicaciones
Red telefónica [7]
34
Red inalámbrica [7]
Red local [7]
Internet [7] [7]
Soportes de información
CD-ROM [7] [7]
DVD [7] [7]
Usb [7] [7]
Material impreso [7] [7]
Equipamiento auxiliar
Cableado [7]
Mobiliario: armario, etc [7]
Instalaciones Edificio [8]
Personal
Usuario internos [8]
Operadores [8]
Administradores de sistemas [8]
Fuente: El Autor (2014)
Fase II: Caracterización de las Amenazas
(Del 15 de Septiembre hasta el 17 de Octubre del 2014)
En esta fase se pudieron constatar todas las posibles amenazas que afectarían
el proceso de migración hacia el sistema SIGESP. Ellas están clasificadas por una
serie de situaciones como lo son: desastres naturales, de origen industrial, errores y
fallos no intencionados y ataques intencionales.
Identificación de las Amenazas
Tabla 2. Identificación de la amenazas para cada uno de los activos
ACTIVOS AMENAZAS
World wide web [E.1] Errores de los usuarios
Correo electrónico [E.15] Alteración accidental de la información
Servicio de directorio [E.1] Errores de los usuarios
35
[E.15] Alteración accidental de la información
[E.18] Destrucción de información
Intercambio electrónico de datos [E.1] Errores de los usuarios
[E.15] Alteración accidental de la información
SIGESP [I.5] Avería de origen físico o lógico
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
[A.5] Suplantación de la identidad del usuario
SISTNOMINA [I.2] Avería de origen físico o lógico
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
[A.5] Suplantación de la identidad del usuario
SINTEGESP [I.6] Avería de origen físico o lógico
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
[A.5] Suplantación de la identidad del usuario
Ofimática [E.1] Errores de los usuarios
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
Navegador web [E.1] Errores de los usuarios
[E.8] Difusión de software dañino
[E.19] Fugas de información
Sistema operativo [I.5] Avería de origen físico o lógico
[E.1] Errores de los usuarios
[E.8] Difusión de software dañino
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
[A.7] Uso no previsto
Otros software [E.8] Difusión de software dañino
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
Servidor de base de datos [N.1] Fuego
[N.2] Daños por agua
[N.3] Desastres Naturales
[I.3] Contaminación medio ambiental[I.5] Avería
de origen físico o lógico
[I.7] Condiciones inadecuadas de temperatura o
humedad
[E.2] Errores del administrador
[E.23] Errores de mantenimiento / actualización
36
de equipos (hardware)
[A.11] Acceso no autorizado
Computadoras de escritorios [N.2] Daños por agua
[N.*] Desastres Naturales
[I.5] Avería de origen físico o lógico
[I.7] Condiciones inadecuadas de temperatura o
humedad
[E.23] Errores de mantenimiento / actualización
de equipos (hardware)
[E.24] Caída del sistema por agotamiento de
recursos
[A.6] Abuso de privilegios de acceso
[A.7] Uso no previsto
Escáneres [N.2] Daños por agua
[I.5] Avería de origen físico o lógico
[I.7] Condiciones inadecuadas de temperatura o
humedad
[E.23] Errores de mantenimiento / actualización
de equipos (hardware)
Módems [N.1] Fuego
[N.2] Daños por agua
[N.*] Desastres Naturales
[I.5] Avería de origen físico o lógico
[I.7] Condiciones inadecuadas de temperatura o
humedad
[A.11] Acceso no autorizado
Punto de acceso inalámbrico [I.4] Fallo de servicios de comunicaciones
[E.9] Errores de [re-] encaminamiento
Red telefónica [I.4] Fallo de servicios de comunicaciones
[E.9] Errores de [re-] encaminamiento
Red inalámbrica [I.3] Contaminación medio ambiental[I.4] Fallo
de servicios de comunicaciones
[E.9] Errores de [re-] encaminamiento
Red local [I.4] Fallo de servicios de comunicaciones
[E.9] Errores de [re-] encaminamiento
[E.10] Errores secuenciales
[A.5] Suplantación de la identidad del usuario
[A.9] [Re-] encaminamiento de mensajes
[A.10] [alteración secuencial
[A.11] Acceso no autorizado
Internet [I.4] Fallo de servicios de comunicaciones
[E.15] Alteración accidental de la información
CD-ROM [E.15] Alteración accidental de la información
[E.19] Fugas de información
[A.15] modificación de información
[A.19] Divulgación de información
DVD [E.15] Alteración accidental de la información
[E.19] Fugas de información
[A.15] modificación de información
[A.19] Divulgación de información
USB [E.15] Alteración accidental de la información
[E.19] Fugas de información
[A.15] modificación de información
37
[A.19] Divulgación de información
Material impreso [N.1] Fuego
[N.2] Daños por agua
[I.7] Condiciones inadecuadas de temperatura o
humedad
Cableado [I.3] Contaminación medio ambiental [I.7]
Condiciones inadecuadas de temperatura o
humedad
Mobiliario: armario, etc [I.3] Contaminación medio ambiental
Edificio [N.1] Fuego
[N.2] Daños por agua
[I.*] Desastres industriales
[A.30] Ocupación enemiga
Usuario internos [E.28] Indisponibilidad del personal
Operadores [E.28] Indisponibilidad del personal
Administradores de sistemas [E.28] Indisponibilidad del personal
Fuente: El Autor (2014)
Valoración de las Amenazas
Tabla 3. Degradación de valor
MA Muy alta
A Alta
M Media
B Baja
MB Muy bajo
0
Fuente: El Autor (2014)
Tabla 4. Probabilidad de ocurrencia
CS Casi seguro
MA Muy alto
P Posible
PP Poco probable
MB Siglos
MR Muy rara
Fuente: El Autor (2014)
Valoración de la Amenazas para cada uno de los Activos
Tabla 5. Valoración de la amenazas para cada uno de los activos
ACTIVOS Amenazas P [D] [C] [I] - -
WORLD WIDE WEB [E.1] Errores de los usuarios PP B - - - -
CORREO ELECTRÓNICO [E.15] Alteración accidental
de la información
MR M M M - -
SERVICIO DE
DIRECTORIO
[E.1] Errores de los usuarios PP B B B - -
[E.15] Alteración accidental P M M M - -
38
de la información
[E.18] Destrucción de
información
PP M M M - -
INTERCAMBIO
ELECTRÓNICO DE
DATOS
[E.1] Errores de los usuarios PP B B B - -
[E.15] Alteración accidental
de la información
P M M M - -
SIGESP
[I.5] Avería de origen físico o
lógico
P A - - - -
[E.20] Vulnerabilidades de
los programas (software)
P B M M - -
[E.21] Errores de
mantenimiento / actualización
de programas (software)
P B B M
- -
[A.5] Suplantación de la
identidad del usuario
P A A A - -
OFIMÁTICA
[E.1] Errores de los usuarios P M M M - -
[E.20] Vulnerabilidades de
los programas (software)
P M M M
[E.21] Errores de
mantenimiento / actualización
de programas (software)
P M B - - -
NAVEGADOR WEB
[E.1] Errores de los usuarios PP B B B - -
[E.8] Difusión de software
dañino
P M M M - -
[E.19] Fugas de información P M M M - -
39
SISTEMA OPERATIVO
[I.5] Avería de origen físico o
lógico
P M - - - -
[E.1] Errores de los usuarios PP M M M - -
[E.8] Difusión de software
dañino
PP B B B - -
[E.20] Vulnerabilidades de
los programas (software)
P B M M - -
[E.21] Errores de
mantenimiento / actualización
de programas (software)
P M B - - -
[A.7] Uso no previsto P B B B - -
OTROS SOFTWARE
[E.8] Difusión de software
dañino
PP B B B - -
[E.20] Vulnerabilidades de
los programas (software)
PP B B B - -
[E.21] Errores de
mantenimiento / actualización
de programas (software)
PP M M - - -
SERVIDOR DE BASE DE
DATOS
[N.1] Fuego P A - - - -
[N.2] Daños por agua P A - - - -
[N.*] Desastres Naturales P A - - - -
[I.3] Contaminación medio
ambiental
P A - - - -
[I.5] Avería de origen físico o
lógico
MA MA - - - -
[I.7] Condiciones inadecuadas
de temperatura o humedad
P M M M - -
[E.2] Errores del
administrador
P M - - - -
[E.23] Errores de
mantenimiento / actualización
de equipos (hardware)
MA - A A - -
[A.11] Acceso no autorizado MA A - A - -
COMPUTADORAS DE
ESCRITORIOS
[N.2] Daños por agua PP M - - - -
[N.*] Desastres Naturales PP M - - - -
[I.5] Avería de origen físico o
lógico
P M - - - -
[I.7] Condiciones inadecuadas
de temperatura o humedad
PP M - - - -
[E.23] Errores de
mantenimiento / actualización
de equipos (hardware)
P M - - - -
[E.24] Caída del sistema por
agotamiento de recursos
P M - - - -
[A.6] Abuso de privilegios de
acceso
PP M M M - -
[A.7] Uso no previsto PP M B M - -
ESCÁNERES
[N.2] Daños por agua P M M M - -
[I.5] Avería de origen físico o
lógico
PP B B B - -
[I.7] Condiciones inadecuadas
de temperatura o humedad
P M M M - -
40
[E.23] Errores de
mantenimiento / actualización
de equipos (hardware
PP B B B - -
MÓDEMS
[N.1] Fuego PP M - - - -
[N.2] Daños por agua PP M - - - -
[N.*] Desastres Naturales PP M - - - -
[I.5] Avería de origen físico o
lógico
P M - - - -
[I.7] Condiciones inadecuadas
de temperatura o humedad
P M - - - -
[A.11] Acceso no autorizado PP - B B - -
PUNTO DE ACCESO
INALÁMBRICO
[I.4] Fallo de servicios de
comunicaciones
P M - - -
[E.9] Errores de [re-]
encaminamiento
P - B - -
RED TELEFÓNICA
[I.4] Fallo de servicios de
comunicaciones
P M - - - -
[E.9] Errores de [re-]
encaminamiento
P - - B - -
RED INALÁMBRICA
[I.4] Fallo de servicios de
comunicaciones
P M - - - -
[E.9] Errores de [re-]
encaminamiento
P - - B
RED LOCAL
[I.4] Fallo de servicios de
comunicaciones
PP B - - - -
[E.9] Errores de [re-]
encaminamiento
P - - M - -
[E.10] Errores secuenciales P - M - - -
[A.5] Suplantación de la
identidad del usuario
P - M M M -
[A.9] [Re-] encaminamiento
de mensajes
P - - M - -
[A.10] [alteración secuencial P - M - - -
[A.11] Acceso no autorizado PP - M - - -
INTERNET
[I.4] Fallo de servicios de
comunicaciones
P A - - - -
[E.15] Alteración accidental
de la información
P - B - - -
CD-ROM
[E.15] Alteración accidental
de la información
PP - B - - -
[E.19] Fugas de información PP - - B - -
[A.15] modificación de
información
PP - B - - -
[A.19] Divulgación de
información
PP - - B - -
DVD
[E.15] Alteración accidental
de la información
PP - B - - -
[E.19] Fugas de información PP - - B - -
[A.15] modificación de
información
PP - B - - -
[A.19] Divulgación de
información
PP - - B - -
41
USB
[E.15] Alteración accidental
de la información
PP - B - - -
[E.19] Fugas de información PP - - B - -
[A.15] modificación de
información
PP - B - - -
[A.19] Divulgación de
información
PP - - B - -
MATERIAL IMPRESO
[N.1] Fuego P M - - - -
[N.2] Daños por agua P M - - - -
[I.7] Condiciones inadecuadas
de temperatura o humedad
P M - - - -
CABLEADO [I.3] Contaminación medio
ambiental
PP A - - - -
MOBILIARIO: ARMARIO,
ETC
[I.3] Contaminación medio
ambiental
PP M - - - -
EDIFICIO
[N.1] Fuego P A - - - -
[N.2] Daños por agua P A - - - -
[I.*] Desastres industriales P B - - - -
[A.30] Ocupación enemiga P MA - - - -
USUARIO INTERNOS E.28] Indisponibilidad del
personal
PP M M M - -
OPERADORES E.28] Indisponibilidad del
personal
PP M M M - -
ADMINISTRADORES DE
SISTEMAS
E.28] Indisponibilidad del
personal
PP M M M - -
Fuente: El Autor (2014)
42
Fase III: Caracterización de las Salvaguardas
(Del 13 de Octubre hasta el 31 de Octubre del 2014)
Mediante esta fase podemos observar todas la salvaguardas que nos pueden
ayudar a proteger el proceso de migración del nuevo sistema. Ellas se clasifican en
protección general, protección de las aplicaciones, protección de los equipos,
protección de las comunicaciones, protecciones de los soportes de información,
protección de los elementos auxiliares, protección de las instalaciones y gestión del