UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

MODALIDAD A DISTANCIA
2019 - 2019

TRABAJO

Apellidos: Castrillón Dueñas

Nombres : Carlos Andrés
Nº Cédula : 1719705756 Nivel : Noveno

Trabajo: 1ro 2do CALIFICACIÓN

Carrera: Ingeniería Licenciatura

AE CA AP

Profesor : CHRISTIAN JAVIER TELLO SANTILLAN

Asignatura: AUDITORIA DE SISTEMAS INFORMATICOS I

Fecha de entrega: 14 noviembre 2019

--------------------------
FIRMA DEL ESTUDIANTE

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS
MODALIDAD A DISTANCIA

COMPROBANTE DE ENTREGA DE TRABAJO 1ro 2do _

Apellidos Castrillón Dueñas Asignatura :AUDITORIA DE SISTEMAS INFORMATICOS I

Nombres : Carlos Andrés Fecha y firma de recepción :
2.1 PRIMER TRABAJO
2.1.1 Actividad 1
Mediante un Mapa Conceptual explique ITIL y realice un análisis de la importancia o no de la aplicación de ITIL en su empresa.
ITIL

Biblioteca de
Information
Infraestructuras de
Technology
Tecnologías de la
Infraestructure Library
Información

Marco de trabajo de
Fases
buenas prácticas

Aplicables a la Gestión Estrategia para los Diseño de los Servicios Transición de los Operación de los Mejora Continua de los
de Servicios de TI Servicios TI TI Servicios TI Servicios TI Servicios TI

Diseña nuevos servicios

Mejorala gestión Convierte la Gestión Integrar productos y Ofrecer servicios
o modificar los ya Calidad de los
provisión de servicios del Servicio en un servicios en el entorno adpatados a las
existentes para su productos y servicios
TI. activo estratégico de producción necesidades del cliente
incorporación

Evitar los problemas Debe seguir las

Organizacion y Procesos internos
asociados con servicios Gestion Financiera directrices establecidas
cordinacion Optimizados
IT en la fase de Estrategia

Ofrece soluciones a los

Gestion del Portafolio Mayor Satisfaccion del
problemas con menor
de Servicios cliente
impacto.

Retornos de la
Gestión de la Demanda
inversion
Establezca 10 preguntas de control interno relacionadas con ITIL.

Cuestionario de Control Interno

ITIL
RESPUESTA
Nº PREGUNTA OBSERVACIONES
SI NO N/A
1 ¿El acceso a los equipos informáticos así
como de la información se encuentra
restringida para el personal autorizado?
2 ¿Se mantiene un adecuado registro y control
sobre el uso de los servicios por parte de los
usuarios?
3 ¿Los recursos de infraestructura con los que
cuenta los servidores son apropiados?
4 ¿Existen políticas que incluyan controles de
TI?
5 ¿Se han definido, asignado y aceptado las
responsabilidades de TI y de controles de TI?
6 ¿Se han asegurado lógica y físicamente los
equipos y herramientas de la infraestructura
de TI?
7 ¿Se usan mecanismos de control para el
acceso y la autenticación?
8 ¿Se ha implementado un software antivirus y
se realiza su mantenimiento?
9 ¿Se ha implementado una tecnología de
filtros de seguridad conforme a la política de
la empresa (por ejemplo, en lo lugares de
conexiones externas, como Internet, y en los
lugares donde se necesita una separación
entre redes internas)?
10 ¿Existen procesos de gestión de
configuración, de cambios y de
aseguramiento de calidad?
2.1.2 Actividad 2

En la empresa o institución que usted labora, analice las Normas de Control Interno 410
de la Contraloría General del Estado, y proponga al menos cuatro preguntas de control
interno de cada norma.

410-01 Organización informática

1. ¿La empresa ServiVet cuenta con un modelo de información?

2. ¿Los recursos tecnológicos dentro de la empresa tienen una facilidad para ser
compartidos?
3. ¿Existe personal responsable que se encargue de regularizar y estandarizar todo
lo relacionado con la tecnología en la entidad?
4. ¿Dentro de la estructura organizacional de la empresa se encuentra determinada
la unidad encargada de la información?

410-02 Segregación de funciones

1. ¿El departamento encargado de la información aplica la segregación de
funciones?
2. ¿Existe una adecuada asignación de funciones y responsabilidades evitando
funciones incompatibles?
3. ¿Los puestos de trabajo para la unidad de tecnologías de la información se
contemplan teniendo en cuenta la experiencia y habilidades necesarias para el
buen desempeño en el área de trabajo?
4. ¿Los sistemas de información que posee la empresa son de fácil manejo apra el
personal?

410-03 Plan informático estratégico de tecnología

1. ¿La unidad de tecnología de la información tiene un plan estratégico institucional
para administrar los recursos?
2. ¿El plan estratégico y los planes operativos de tecnologías de información son
analizados y aprobados por la máxima autoridad de la organización?
3. ¿Se monitorea, evalúa y actualiza de manera permanente el grado de ejecución
para la toma de medidas en caso de desviaciones?
4. ¿El plan informático estratégico especifica como contribuirá a los objetivos
estratégicos de la organización?

410-04 Políticas y procedimientos

1. ¿La Unidad de Tecnología cuenta con políticas y procedimientos?
2. ¿El plan estratégico y los planes operativos de tecnología de información, es
aprobado por la máxima autoridad?
3. ¿Los planes asegurarán que se asignen los recursos apropiados de la función de
servicios de tecnología de información a base de lo establecido en su plan
estratégico?
4. ¿Existen Políticas de Seguridad Industrial?
410-05 Modelo de información organizacional
1. ¿El departamento cuenta con un modelo de información organizacional?
2. ¿Se realiza un proceso de clasificación de los datos para especificar y aplicar
niveles de seguridad y propiedad?
3. Se establecen políticas, estándares y procedimientos que permitan regular las
actividades relacionadas con tecnología de información y comunicaciones en la
empresa.
4. Se garantiza disponibilidad, integridad, exactitud y seguridad sobre la base de la
definición e implantación de los procesos y procedimientos correspondientes.

410-06 Administración de proyectos tecnológicos

1. ¿Se ha establecido una persona quien gestione, elabore, ejecute y emprenda
proyectos tecnológicos que favorezcan a la empresa?
2. ¿Se han establecido Políticas de Seguridad Industrial?
3. La base de datos cuenta con seguridad que brinde confianza
4. Se mantiene una actualización de la capacidad en equipos, ya sea hardware y
bases de datos más robustas que permitan manejar mayor información y
faciliten su procesamiento.

410-07 Desarrollo y adquisición de software aplicativo

1. Se cumple con totalidad la adquisición de software de conformidad con el Plan
Anual de Adquisiciones.
2. ¿Por medio de la utilización de políticas se intenta dar soluciones tecnológicas al
departamento?
3. ¿Se identifica, prioriza y específica los requerimientos funcionales de las
unidades usuarias?
4. Se busca soluciones tecnológicas considerando las políticas establecidas.

410-08 Adquisiciones de infraestructura tecnológica

1. Dentro del plan anual de contrataciones se estableció adquirir y dar
mantenimiento a la infraestructura tecnológica
2. ¿Los procedimientos de adquisiciones de infraestructura tecnológica son
calificados y aprobados por la máxima autoridad?
3. ¿Se ha cumplió lo establecido en el plan anual de contrataciones lo dispuesto
para la adquisición de hardware?
4. ¿El plan de adquisición tecnológica se alinea con el plan de infraestructura
tecnológica?
410-09 Mantenimiento y control de la infraestructura tecnológica
1. ¿Se mantiene el control de los bienes informáticos por medio de un inventario
actualizado?
2. ¿Se elaborará un plan de mantenimiento preventivo o correctivo de la
infraestructura tecnológica?
3. ¿Existe el control y registro de las versiones del software que ingresa a
producción?
4. ¿El mantenimiento de los recursos tecnológicos se realiza de forma constante?

410-10 Seguridad de tecnología de información

 1. ¿Existe el adecuado almacenamiento de respaldos con información crítica y
sensible en lugares externos a la organización?
2. ¿La obtención de respaldos se realiza periódicamente?
3. ¿Se mantiene ambiente con temperatura y humedad relativa del aire
contralado?
4. ¿El departamento posee un sistema de alarma anti incendios que puedan
prevenir la pérdida de recursos?

410-11 Plan de contingencias

1. ¿Existe un plan de contingencia que describa las acciones a tomar en caso de
emergencia hacia los equipos tecnológicos de la información?
2. ¿El personal conoce sobre la existencia y manejo del plan de contingencia en
caso de una emergencia?
3. ¿En caso de suscitarse una emergencia esta designado alguien a ejecutar las
funciones del plan de contingencia?
4. ¿En plan de contingencia está en constante mejoras para su buen
funcionamiento?

410-12 Administración de soporte de tecnología de información

1. ¿Se efectúan revisiones periódicas para determinar si la capacidad y desempeño
actual y futura de los recursos tecnológicos son suficientes para satisfacer a los
usuarios?
2. Se mantiene una identificación, autenticación y autorización de los usuarios, así
como la administración de sus cuentas.
3. ¿Es han establecido medidas de seguridad que permitan a los usuarios internos,
externos y temporales interactuar con los sistemas y servicios tecnológicos
mediante la utilización de una identificación?
4. ¿Se efectúan medidas de prevención, detección y seguridad que protejan a los
sistemas de información y a la tecnología de la organización de software
malicioso y virus informático?

410-13 Monitoreo y evaluación de los procesos y servicios

1. ¿Se define sobre la base de operaciones de la entidad, indicadores de
desempeño y meretrices del proceso para monitorear la gestión y acciones
correctivas?
2. ¿Cree que al efectuar el proceso de monitoreo nos ayudara a salvaguardar y
alargar la vida útil de los equipos informáticos?
3. ¿Conoce usted si existe un proceso de monitoreo en la institución, o si se
aplicado antes alguna herramienta de monitoreo?
4. ¿Es necesario establecer el alcance, la metodología y el proceso a seguir para
monitorear la tecnología de la información?

410-14 Sitio web, servicios de internet e intranet

1. ¿Se encuentran formalizados la normas, procedimientos, e instructivos de los
servicios de sitios web, internet extranet?
 2. ¿Los servicios web e internet han facilitado la metodología de los funcionarios?
3. ¿La cobertura WIFI cumple satisface las necesidades de los usuarios?
4. ¿La velocidad del servicio de internet es el adecuado?

410-15 Capacitación informática

1. ¿Usted cree que es importante para la empresa contar con una excelente
capacitación tecnológica?
2. ¿Se organizan eventos de capacitación para los funcionarios de la emrpesa?
3. ¿El conocimiento adquirido por los técnicos informáticos es el más adecuado
para el desarrollo del departamento?
4. ¿Cuenta con un plan de capacitación y especialización?

410-16 Comité informático

1. ¿El departamento posee un comité informático encardo de realizar las
actividades correspondientes al área?
2. ¿El comité informático esta formalizado y claramente definido dentro del
departamento?
3. ¿Existe jefes de área para potenciar y controlar de mejor manera el desarrollo
del departamento?
4. ¿Las normas emitidas por la máxima autoridad son evaluadas por el comité
informático para que se cumplan con normalidad sin ningún tipo de novedades
ajenas al área?

410-17 Firmas electrónicas

1. ¿Los archivos electrónicos o mensajes de datos firmados electrónicamente se
conservarán en su estado original en medios electrónicos seguros?
2. ¿Los titulares de certificados de firma electrónica y dispositivos portables
seguros son los responsables de su buen uso y protección?
3. ¿Las respectivas claves de acceso no son divulgadas ni compartidas en ningún
momento?
4. ¿La empresa posee el sistema de firmas electrónicas para realizar transacciones,
procedimientos y contratos virtuales?

2.1.3 Actividad 3
Identifique los Delitos Informáticos tipificados en la Ley Ecuatoriana genere un informe
en el cual se pueda evidenciar un ejemplo de cada uno de los delitos.

Delitos informáticos

Debido al gran crecimiento informático que se ha dado en los últimos años, hoy en día
es posible realizar algunas actividades que en años pasados hubiese sido casi imposible
realizarlas, en el Ecuador se ha presenciado un crecimiento tecnológico bastante visible
y con ello un consumo del internet, tan potencializado que ha llevado a ser una
prioridad, así como también el uso de las computadoras y teléfonos inteligentes
volviéndose una de las herramientas más usadas tanto en la vida personal como en la
laboral, obligando a los usuarios a buscar formas de proteger su información y datos
 privados. En el Ecuador se han recibido muchas denuncias relacionado con robo de
contraseñas, clonaciones de tarjetas de créditos, ataques a paginas gubernamentales,
etc. Para lo cual a finales del 2014 se aprobó el CODIGO ORGÁNICO INTEGRAL PENAL
(COIP), mismo que incluye artículos que sancionan el cometimiento de actos ilícitos
informáticos.

Los actos ilícitos que se realizan con la ayuda de las Tecnologías de la Información y
Comunicación (TIC), se denominan delitos informáticos. Luis Camacho Losa (1987),
define al delito informático como cualquier acción dolosa o culposa, es decir, con
intención o sin intención, que cause daño ya sea a personas o entidades de forma directa
o inmediata a la víctima, haciendo uso de forma activa de dispositivos utilizados en las
actividades informáticas.

El delito informático no solo está vinculado a la conducta delictiva a través de medios o

herramientas informáticas si no también es considerado como delito informático a la
afectación de la información.

Los delitos informáticos reconocidos son en el Ecuador y sancionados son:

 Pornografía infantil – 13 a 16 años de prisión.

 Entre los delitos relativos a la prostitución al utilizar a menores o incapaces con

fines exhibicionistas o pornográficos.

 La inducción, promoción, favorecimiento o facilitamiento de la prostitución de

una persona menor de edad o incapaz. (art 187)

 La producción, venta, distribución, exhibición, por cualquier medio, de material

pornográfico en cuya elaboración hayan sido utilizados menores de edad o
incapaces, aunque el material tuviere su origen en el extranjero o fuere
desconocido. (art 189)

 Violación del derecho a la intimidad – de uno a tres años de prisión

 Grabar un video o tomar una fotografía difundirlo con el ánimo de hacer daño,
de menoscabar a alguien.
 Revelación ilegal de información de bases de datos – de uno a tres años de prisión
 Revelación de información registrada y contenida en ficheros base de datos o
semejantes para provecho propio o de un tercero.

 Interceptación de comunicaciones – de tres a cinco años de prisión

 Interceptar llamadas telefónicas para obtener información sin la autorización de
un juez
 Pharming y Phishing – de tres a cinco años de prisión
  Redirigir el nombre de dominio de una entidad de confianza a una página web,
en apariencia idéntica, pero que en realidad ha sido creada por el atacante para
obtener los datos privados del usuario, generalmente datos bancarios.

 Fraude informático – de tres a cinco años de prisión

 Introducción, alteración o borrado de datos informáticos, o la interferencia en
sistemas informáticos.

 Ataque a la integridad de sistemas informáticos – de tres a cinco años de prisión

 La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause
malfuncionamiento, comportamiento no deseado o suprima datos informáticos,
mensajes de correo electrónico, de sistemas de tratamiento de información,
telemático o de telecomunicaciones a todo o partes de sus componentes lógicos
que lo rigen.
 Delitos contra la información pública reservada legalmente – de tres a cinco años de
prisión
 La persona que destruya o inutilice información.

 Acceso no consentido a un sistema informático, telemático o de telecomunicaciones –

de tres a cinco años de prisión.
 La persona que sin autorización acceda en todo o en parte a un
sistema informático
 2.1.4 Actividad 4
Realice un mapa conceptual de la ISO 27000
Estandar Internacional - Evalua SGSI
de las empresas
Establecer el SGSI
Alcance, politicas, enfoque de la
evaluación de riesgos, identificacion
de riesgos, identificar y evaluar
operaciones, Objetivos de control
Responsabilidad de la gerencia
ISO 27000
Implementar y operar SGSI
Formular un Plan,
Implementar el plan
Medir la efectividad de los controles
Capacitaciones
Manejo operaciones SGSI
Mejorar recursos
Crear, implemtar mejorar y
controlar los SGSI
Monitoriar y revisar el SGSI Mantener y mejorar El SGIS
Implementar mejoras
Tomar acciones correctivas y
Requerimiento de documentacion preventivas
Comunicar resultados
Revisiones regulares de efectividad
Medicion de controles de seguridad Asegurar las mejoras y objetivos
Revisar evaluaciones
Documentacion detallada
Mejorar contibuamente las
Control de documentos
Operaciones
Control de registros
Insumos de la revision
Resultado de la revision