Eber mata(tesis lista)

REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA
DIVISIÓN ACADÉMICA, NÚCLEO DELTA AMACURO
CARRERA: ANÁLISIS Y DISEÑO DE SISTEMAS
DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE
MIGRACIÓN ENTRE LOS SISTEMAS DE PROCESAMIENTO
DE NÓMINA GUBERNAMENTAL (SISTNOMINA), (EL
SISTEMA INTEGRADO DE GESTIÓN PÚBLICA (SINTEGESP)
Y EL SISTEMAINTEGRADO DE GESTIÓN PARA ENTES DEL
SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓN DEL
ESTADO DELTA AMACURO, MUNICIPIO TUCUPITA.
(INFORME FINAL DE PASANTÍAS OCUPACIONALES)
Autor:
Eber Ernesto Mata Sandoval
Tutor Académico:
MSc. MELVIN ROMERO
TUCUPITA, MAYO DEL 2015

DEDICATORIA
A mi familia, que constituyen mi aliento para vivir, alimentan mis ganas de
superarme y ser mejor cada día.
A mi madre por creer siempre en mí, apoyarme y ayudarme siempre que la
necesite.
A los pocos compañeros y amigos que se mantuvieron cerca prestándome una
mano en determinados momentos.
Y a todas aquellas personas que de una u otra forma confiaron en mí,
diciéndoles que con trabajo duro y determinación siempre se pueden alcanzar las
metas propuestas.
Eber Ernesto Mata Sandoval

RECONOCIMIENTOS
A Dios Padre Creador, por haberme concedido la fuerza para llegar a feliz
término esta tarea.
A la Universidad Nacional Experimental Politécnica de la Fuerza Armada, por
brindarme la oportunidad de desarrollar mi carrera.
A los profesores, quienes con sus sabias orientaciones, ayudaron en mi
formación en estos tres años de carrera.
A Alexander Amares por aceptarme como pasante, A Melvin Romero como
tutor académico por sus orientaciones en todo momento y al personal de la División
de Tecnología de la Información por toda su ayuda, apoyo y por todo el aprendizaje
que obtuve gracias a ellos, Muchas Gracias.

UNIVERSIDAD NACIONAL EXPERIMENTAL
DE LA FUERZA ARMADA BOLIVARIANA
COORDINACIÓN DE PASANTIAS
APROBACIÓN DEL TUTOR ACADÉMICO
Quien suscribe, el profesor Melvin Romero, titular de la Cédula de Identidad
11.213.194, en condición de tutor académico designado por el departamento de
pasantías adscrito a la División Académica de la Universidad Nacional Experimental
Politécnica de las Fuerzas Armadas Nacional (UNEFA), hace constar que el informe
final presentado por el bachiller: “EBER ERNESTO MATA SANDOVAL”, C.I. Nº
20.159.811, como uno de los requisitos parciales para optar al título de T.S.U en
Análisis y Diseño de Sistemas, reúne las condiciones y méritos suficientes para ser
aprobado con la calificación de _____ puntos.
En Tucupita a Un día del mes de Junio del año Dos Mil Quince.
_____________________
Tutor Académico
MSc. MELVIN ROMERO
C.I.: 11.213.194

GOBERNACIÓN DEL ESTADO DELTA AMACURO
SECRETARIA GENERAL DE GOBIERNO
APROBACIÓN DEL INFORME
TUTOR EMPRESARIAL
Yo Alexander Amares titular de la Cédula de Identidad 9.863.112, en mi
carácter de asesor empresarial de las prácticas profesionales elaborado por el
Bachiller: Eber Ernesto Mata Sandoval titular de la Cédula de Identidad
20.159.811, en la Gobernación del Estado Delta Amacuro, en el periodo académico
del 28 de Julio hasta el 14 de Noviembre del 2014, considero reúne los méritos
suficientes de aprobación de acuerdo a los requisitos exigidos por la Gobernación en
el proceso de las prácticas profesionales.
En Tucupita a los Catorce días del mes de Noviembre del año Dos Mil
Catorce.
__________________________
Tutor Empresarial
ING. ALEXANDER AMARES
C.I.: 9.863.112

i
ÍNDICE GENERAL
P.p
Índice General. i
Índice de Tablas. iii
Índice de gráficos. iv
Resumen v
Introducción 1
CAPÍTULO I.
PRESENTACIÓN DE LA EMPRESA
3
Reseña histórica de la Empresa 3
Descripción de la empresa 4
Misión y Visión 5
Objetivos De La Empresa 6
Metas 7
Valores 7
Estructura Organizacional 8
Organigrama Funcional 9
CAPÍTULO II.
DESCRIPCIÓN DEL DEPARTAMENTO
10
Importancia y justificación 10
Objetivos: general y específicos 11
Base legales 12
Descripción del departamento 17
Organigrama del departamento 18

ii
CAPÍTULO III.
DESARROLLO DE LAS ACTIVIDADES
19
Objetivos: generales y específicos 21
Cronograma de actividades 22
Diagrama De Gantt 23
Descripción de las actividades realizadas 24
Limitaciones encontradas en la práctica profesional 59
Aportes del practicante 61
CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
Conclusiones 60
Recomendaciones 62
Glosario de términos 63
Bibliografía 69
Anexos 71

iii
INDICE DE TABLAS
TABLA N°
P.p
.
1 Valor propio de los activos 34
2 Identificación de la amenazas 37
3 Degradación de valor 38
4 Probabilidad de ocurrencia 38
5 Valoración de la amenazas 39
6 Identificación De Las Salvaguardas 43
7 Niveles de Madures 46
8 Tarea de Valoración de Salvaguardas 47
9 Impacto potencial 48
10 Impacto residual 50
11 Riesgo potencial 52
12 Riesgo residual 54

iv
ÍNDICE DE GRÁFICOS
GRÁFICOS
N°
P.p
.
1 Organigrama Estructural 8
2 Organigrama Funcional 9
3 Organigrama de la división 18
4 Diagrama de Gantt 22
5 Diagrama De Dependencias Entre Activos 32
6 Interpretación de resultados 55

v
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA
DESARROLLO DE UNA AUDITORIA PARA EL PROCESO DE MIGRACIÓN
ENTRE LOS SISTEMAS DE PROCESAMIENTO DE NÓMINA
GUBERNAMENTAL (SISTNOMINA), (EL SISTEMA INTEGRADO DE GESTION
PUBLICA (SINTEGESP) Y EL SISTEMA INTEGRADO DE GESTIÓN PARA
ENTES DEL SECTOR PÚBLICO (SIGESP)) EN LA GOBERNACIÓNDEL ESTADO
DELTA AMACURO, MUNICIPIO TUCUPITA.
Autor: Eber Ernesto Mata Sandoval.
Tutor Académico: MSc. Melvin Romero.
Junio 2015
RESUMEN
El siguiente informe de pasantías ocupacionales tiene como objetivo principal
la realización de una auditoría al proceso de migración entre los sistemas de
Procesamiento de Nómina Gubernamental (SISTNOMINA), El Sistema Integrado de
Gestión pública (SINTEGESP) al Sistema Integrado De Gestión Para Entes del
Sector Público (SIGESP) con el fin de minimizar la perdida de datos y tiempo en la
migración en la Gobernación del Estado Delta Amacuro, Municipio Tucupita. Este
procesos es sumamente delicado puesto que el SISTNOMINA se encuentra en
software propietario con el manejador de base de datos SQL Server de Microsoft. El
Sistema Integrado de Gestión pública SINTEGESP en Software Libre manejador de
base de datos Mysql; estos dos sistemas migraran sus datos al SIGESP que maneja
una base de datos postgres el informe busca documentar, identificar las amenazas, las
vulnerabilidades asociadas, calcular la probabilidad de ocurrencia de esas amenazas,
determinar del impacto en caso de su materialización y por último la obtención del
riesgo al que se está expuesto con ello las estrategias que faciliten el proceso de
migración dentro de la división de tecnología de la información. La auditoría se
realizó con la metodología de MAGERIT – versión 3.0 Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información, que comprende cuatro fases que
comprende cuatro fases: identificación de activos, identificación de las amenazas,
identificación de las salvaguardas y la estimación de estado de riego.
PALABRAS CLAVES: MIGRACIÓN, SISTNOMINA, SINTEGESP, SIGESP,
MAGERIT, AUDITORIA.

1
INTRODUCCIÓN
Desde el inicio de la humanidad las mejoras tecnológicas han sido la norma
para mejorar, reducir costo, crear productos, mejores cosechas, textiles, más
resistencia a las enfermedades, entre otros. El área de la informática no escapa a estas
tendencias de hecho ha incrementado exponencialmente las mejoras tecnológicas a
pesar de ser una rama del conocimiento humano que tiene menos de un siglo.
La palabra clave en esto es la comunicación, pues el hombre ha sido capaz de
comunicarse más fácilmente a través de la tecnología, usando herramientas creadas
por él mismo, en ellas se establecieron estándares enfocados a mejorar la velocidad
desarrollo de nuevos software para los ámbitos de todo el conocimiento humano y
entre ellos las gestiones administrativas.
Ahora bien, los nuevos estilos de gestión de la administración pública,
requieren el uso de modernas herramientas capaces de apoyar categóricamente el
mejoramiento y el cambio de las organizaciones para asumir sus nuevos roles.
En el presente informe se puede constatar unas de las problemáticas que desde
muchos años afectan diversas instituciones y es mejorar el control administrativo e
identificar los activos relevantes para integrar los procesos administrativos en un sólo
sistema como lo es el Sistema Integrado de Gestión para entes del Sector Público
(SIGESP) en la Gobernación del Estado Delta Amacuro, Municipio Tucupita;
partiendo de la data registrada en los sistemas de el procesamiento de nómina
gubernamental (SISTNOMINA), y el sistema integrado de gestión pública
(SINTEGESP).
El proceso de migración de estos dos sistemas necesita un diagnóstico para la
definición de estrategias tendientes a minimizar la perdida de datos, optimizar la
utilización del personal horas hombre destinada a dicha labor de migración y buscar
amenazas al proceso de migración; puntos aprovechables para reducir el tiempo de

2
implantación del mismo; crear con dicho informe de auditoría un plan de acción para
este proceso en la gobernación del Estado Delta Amacuro.
Capítulo I: La Información General de la Empresa, la cual consta de Reseña
Histórica, Descripción de la Institución, Misión y Visión de la Institución, Objetivo y
Estructura Organizacional. Capítulo II: el Descripción Del Departamento, este
contiene Importancia y justificación, Objetivos, Base legales, Descripción del
departamento y Organigrama del departamento. Capítulo III: Refleja el Desarrollo De
Las Actividades, Exposición de motivo de la práctica profesional, Objetivos:
generales y específicos, Cronograma de actividades, Diagrama De Gantt, Descripción
de las actividades realizadas y Aportes del practicante. y el Capítulos IV:
Conclusiones y Recomendaciones.

3
CAPÍTULO I
PRESENTACIÓN DE LA EMPRESA
RESEÑA HISTÓRICA
Datos recopilados por el Prof. Cruz José Marín (Historia del Territorio
Federal Delta Amacuro, 1981) señalan que el 27 de Abril de 1884 el Departamento
Zea del Estado Guayana, actualmente Estado Bolívar, fue elevado a la categoría de
Entidad Federal según decreto del Presidente de los Estados Unidos de Venezuela
Antonio Guzmán Blanco; esta entidad federal se denominó Territorio Federal Delta,
su primera capital fue Pedernales y su primer Gobernador el Sr. Manuel Modesto
Gallegos. El 14 de Noviembre de 1887 el Ejecutivo Federal cambia la capital del
Territorio hacia la población de Tucupita, celebrándose esta disposición en acto
público el 24 de Enero de 1888. El General Juan José Yépez estaba al frente del
Poder Ejecutivo Territorial. El 21 de Octubre de 1893 el General Manuel Guzmán
Álvarez Presidente del Consejo de Gobierno encargado del Poder Ejecutivo, decreta
la eliminación del Territorio Federal Delta quedando su espacio geográfico
incorporado al Estado Bolívar.
La Gobernación del Territorio Federal Delta Amacuro surge a raíz de la
creación del Territorio Federal Delta Amacuro (T.F.D.A), el 26 de Abril de 1901
siendo el General Cipriano Castro Presidente provisional de los Estados Unidos de
Venezuela; se designó a San José de Amacuro como capital. Cuatro años más tarde,
el 16 de Mayo de 1905 se traslada la capital del Territorio a Tucupita siendo su
primer Gobernador el Sr. Pedro Alcántara Leal desde 1901 hasta 1904.

4
Después de 1905 la sede del Poder Ejecutivo se ubicó en la calle Bolívar
frente a la Plaza del mismo nombre, en una propiedad de la familia Rojas Díaz pero
debido a que la Gobernación y el cuerpo policial funcionaban en el mismo lugar
cambia nuevamente su ubicación a la calle Pativilca. Ahí permanece hasta el año
1960 fecha en la cual se traslada hasta su sede actual de la Calle Bolívar cruce con
Dalla Costa; siendo el Señor Luís Fernando Aranguren Gobernador del Territorio
Federal Delta Amacuro y Don Rómulo Betancourt el Presidente de Venezuela. El 3
de Agosto de 1991 siendo Presidente de Venezuela el Sr. Carlos Andrés Pérez, el
Congreso de la República decretó una Ley Especial que dio categoría de Estado al
Territorio Federal Delta Amacuro, denominándose: Gobernación del Estado Delta
Amacuro.
DESCRIPCION DE LA EMPRESA
La Gobernación del Estado Delta Amacuro, es un ente organizado que se
dedica a administrar y controlar los recursos asignados al Estado mediante la Ley de
Presupuestos, cumpliendo con los programas establecidos en el presupuesto de
gastos. La Gobernación establece planes locales y regionales dentro del marco del
desarrollo económico y social del Estado.
El objetivo principal de éste ente gubernamental, es alcanzar el bienestar
social de la colectividad, estableciendo sus gastos en función de las necesidades de la
población.
De igual forma, desempeña un rol determinante en las decisiones políticas,
económicas y sociales del país por lo que implementa, aprueba y ejecuta programa
viables dentro de un marco racional de coordinación coherente y de integración que
permita la administración eficaz de los recursos del Estado, aplicando políticas que
favorezcan a la colectividad deltana por igual, a través de la inclusión social y el

5
empleo como condiciones esenciales para promover el respeto a los principios y
derechos fundamentales de sus ciudadanos.
Los ingresos del Estado se distribuyen entre los diferentes sectores que
constituyen el plan de inversión del Estado. La Gobernación debe controlar y
fiscalizar la realización de las actividades administrativas mediante el plan de
acciones que describen el resultado perseguido, las normas a seguir, las etapas a
ejecutar y los métodos a utilizar.
Las gestiones gubernamentales del Estado Delta Amacuro se realizan en la
sede principal ubicada en la Calle Bolívar cruce con Calle Dalla Costa. La
Gobernación está conformada por una serie de direcciones y departamentos que en su
mayoría funcionan en la sede principal antes mencionada y aseguran el cumplimiento
de sus objetivos.
MISIÓN Y VISIÓN
MISIÓN
Mantenerse y afianzarse como una institución del Ejecutivo del estado de
Venezuela, asumiendo el compromiso de ejercer un gobierno democrático que al
amparo de los demás altos valores éticos y trabajo corresponsable, impulse
decididamente la participación social y ofrezca servicios de calidad, en un marco de
legalidad y de justicia, para elevar las condiciones de vida de los deltanos.
VISIÓN
Ser un gobierno democrático, cercano a la comunidad y con sentido humano,
que garantice el estado de derecho, la integridad y el patrimonio de las personas, la
paz social y la justicia, a través de un desarrollo integral que con finanzas públicas

6
sanas, multiplique las oportunidades de educación y empleo, combata la pobreza,
aliente el crecimiento armónico urbano y rural de las regiones, brinde servicios
públicos de calidad para una vida digna y fortalezca la identidad y la participación
ciudadana.
OBJETIVOS DE LA EMPRESA
 Fijar los límites de los emolumentos que devenguen los empleados de las
instituciones públicas.
 Desarrollar actividades que estimulen las distintas ramas de la economía del
Estado, creando fuentes de trabajo.
 Prestar servicios públicos de calidad tales como: Educación, Salud,
Recreación y muchos otros en bienestar de la población.
 Diseñar y promover programas y proyectos fundamentales en una visión
compartida entre los actores sociales para el rescate de los valores orientados
a generar sentido de comunidad en los ciudadanos del Estado.
 Mantener la vialidad del Estado en condiciones óptimas.
 Promover el turismo en la región.
 Fomentar y brindar los medios necesarios que faciliten el desarrollo,
intelectual y cultural de la ciudadanía.
 Velar por la salud física y mental del pueblo mediante el establecimiento de
programas que permitan asegurar dicho objetivo.
 Mantener la armonía, la paz y la defensa del Estado.

7
METAS
 Garantizar la equidad, la igualdad de oportunidades, la justicia social y la
participación ciudadana.
 Impulsar el desarrollo integral y sustentable del Estado.
 Establecer una política concertada entre diferentes organismos que permita
atender la problemática ambiental y la ocupación y uso racional del territorio.
 Fortalecer la gestión institucional y de los recursos humanos, modernización e
implementación de nuevos modelos de gestión.
VALORES
Su actuación se basa en el respeto a las garantías individuales, teniendo a la
persona, con su dignidad, como el centro de su atención. Construir consensos
respetando la libertad de decidir y disentir; siendo incluyentes, propiciando la
superación integral de las personas y el desarrollo armónico de la sociedad.

8
ORGANIGRAMA ESTRUCTURAL DE LA GOBERNACIÓN DEL ESTADO
DELTA AMACURO.
Organigrama Estructural
Gráfico Nº 1:
Fuente: Gobernación del Estado Delta Amacuro (2014)

9
ORGANIGRAMA FUNCIONAL DE LA GOBERNACIÓN DEL ESTADO
DELTA AMACURO.
Organigrama Funcional
Gráfico Nº 2:
Fuente: Gobernación del Estado Delta Amacuro (2014)
Dpto. De Compra
Departamento de
Desarrollo
sarrollo
Dpto. Saneamiento
Dpto. Servicios
Técnicos
Dpto. Personal
Dpto.
Mantenimiento y
Soporte Técnico
Archivo GeneralDivisión de
mantenimiento
División de
Personal
División de Tecno.
e Información
Administración
Unidad de Soporte
Técnico
Dpto. Gobierno
Electrónico
Unidad de
Servicios

10
CAPÍTULO II
IMPORTANCIA Y JUSTIFICACIÓN
La división de la tecnología de la información es el encargado de llevar el
control en las diferentes áreas que debe implementarse aún en aquellas que no son
básicas, ya que la apropiación y el manejo de los recursos disponibles debe
convertirse en una estrategia de uso habitual y cotidiano. Por ende, este departamento
se encarga del estudio, diseño, desarrollo e innovación de los sistemas informáticos
computarizados, particularmente usos del software y hardware. En general, se ocupa
del uso de computadoras y del software electrónico, así como de convertir,
almacenar, proteger, procesar, transmitir y de recuperar la información; así como
también de realizar una variedad de deberes como instalar y diseñar redes de
ordenadores y bases de datos complejas.
La oficina de Tecnologías de la Información es el órgano que se encarga de
administrar, planificar, implementar y gestionar sistemas de información, el cual se
encarga de formular planes de gestión en materia de tecnologías de la información
que sirvan de apoyo a las actividades operativas y de gestión de la gobernación, así
como de los sistemas transversales a su cargo para implementar políticas y normas de
seguridad informática y soluciones de protección de las redes, equipos y sistemas de
información en concordancia con las políticas de seguridad establecidas.
OBJETIVOS: GENERAL Y ESPECÍFICOS
Objetivo General: Coordinar, administrar y controlar los procesos
relacionados con el área de tecnología de la información diseñando, desarrollando e

11
implementando programas y aplicaciones de acuerdo con las necesidades de los
usuarios del sistema, de manera que permita hacer uso eficiente, potencial,
tecnológico y mantener una comunicación efectiva entre los organismo entre los
organismos del estado, la ciudadanía y las empresas.
Objetivos Específicos:
 Mantener actualizadas los procesos tecnológicos de la información de acuerdo
a los avances implementados en la administración pública del Estado.
 Recopilar y presentar periódicamente informes ante la Secretaria General de
Gobierno, detallando avances tecnológicos aplicados, logros, tiempo de
ejecución y demás indicadores de gestión pertinentes.
 Velar porque los sistemas que se desarrollen, cumplan con las consideraciones
fundamentales en el desarrollo del software libre y se encuentren
desarrollados bajo una licencia GNU/GPL.
 Alojar los procesos de desarrollo (código fuente, discusiones, documentación
entre otros) en el componente forja contenido en el repositorio nacional de
aplicaciones.
 Administrar y controlar los servidores de la plataforma tecnológica velando
por el buen funcionamiento de los mismos.
 Mantener la plataforma tecnológica en óptimas condiciones minimizando sus
riesgos de fallas.
 Establecer y documentar los procedimientos y responsabilidades asociadas
con la operación y manejo de los servidores.

12
 Monitorear a través de sistemas la disponibilidad, capacidad, desempeño y uso
de la plataforma a fin de asegurar su correcta operación y mantener un registro
de sus eventuales fallas.
 Garantizar el mantenimiento preventivo y correctivo de sistemas y programas
aplicadas a la red informática de la gobernación del estado Delta Amacuro.
 Garantizar de manera razonable, la confidencialidad, integridad y
disponibilidad de la información lo que implica protegerla contra su uso,
divulgación y modificación no autorizada danos o perdidas.
 Presentar periódicamente informes detallados, avances de los sistemas de red
aplicados, programas diseñados, ubicación, fallas, avances, logros y demás
indicadores de gestión pertinentes.
 Diseñar programas de capacitación para el buen uso de capacitación dirigidos
a empleados de la gobernación del Estado.
BASES LEGALES
CONSTITUCIÓN DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA
(2000).
Artículo 110. El Estado reconocerá el interés público
de la ciencia, la tecnología, el conocimiento, la
innovación y sus aplicaciones y los servicios de
información necesarios por ser instrumentos
fundamentales para el desarrollo económico, social y
político del país, así como para la seguridad y soberanía
nacional. Para el fomento y desarrollo de esas
actividades, el Estado destinará recursos suficientes y
creará el sistema nacional de ciencia y tecnología de
acuerdo con la ley. El sector privado deberá aportar

13
recursos para los mismos. El Estado garantizará el
cumplimiento de los principios éticos y legales que
deben regir las actividades de investigación científica,
humanística y tecnológica. La ley determinará los
modos y medios para dar cumplimiento a esta garantía.
(p. 44)
La patria debe destinar recursos en el interés público de la ciencia, la
tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de
información necesarios por ser instrumentos fundamentales para el desarrollo
económico, social y político del país, así como para la seguridad y soberanía
nacional.
LEY ORGÁNICA DE CIENCIA, TECNOLOGÍA E INNOVACIÓN (2005).
Artículo 1. La presente Ley tiene por objeto desarrollar
los principios orientadores que en materia de ciencia,
tecnología e innovación y sus aplicaciones, establece la
Constitución de la República Bolivariana de Venezuela,
organizar el Sistema Nacional de Ciencia, Tecnología e
Innovación, definir los lineamientos que orientarán las
políticas y estrategias para la actividad científica,
tecnológica, de innovación y sus aplicaciones, con la
implantación de mecanismos institucionales y
operativos para la promoción, estímulo y fomento de la
investigación científica, la apropiación social del
conocimiento y la transferencia e innovación
tecnológica, a fin de fomentar la capacidad para la
generación, uso y circulación del conocimiento y de
impulsar el desarrollo nacional. (p. 5)
Los principios que orientan la materia de ciencia, tecnología e innovación y
sus aplicaciones para la promoción, estímulo y fomento de la investigación científica,
la apropiación social del conocimiento y la transferencia e innovación tecnológica, a
fin de fomentar la capacidad para la generación, uso y circulación del conocimiento y
de impulsar el desarrollo y seguridad nacional.

14
Artículo 3. Forman parte del Sistema Nacional de
Ciencia, e Innovación, las instituciones públicas o
privadas que generen y desarrollen conocimientos
científicos y tecnológicos y procesos de innovación, y
las personas que se dediquen a la planificación,
administración, ejecución y aplicación de actividades
que posibiliten la vinculación efectiva entre la ciencia,
la tecnología y la sociedad. A tal efecto, forman parte
del sistema:
1. El Ministerio de Ciencia y Tecnología, sus
organismos adscritos y las entidades tuteladas
por éstos, o aquellas en las que tengan
participación.
2. Las instituciones de educación superior y de
formación técnica, academias nacionales,
colegios profesionales, sociedades científicas,
laboratorios y centros de investigación y
desarrollo, tanto público como privado.
3. Los demás organismos públicos y privados que
se dediquen al desarrollo, organización,
procesamiento, tecnología e información.
4. Los organismos del sector privado, empresas,
proveedores de servicios, insumos y bienes de
capital, redes de información y asistencia que
sean incorporados al Sistema.
5. Las personas que a título individual o colectivo,
realicen actividades de ciencia, Tecnología e
innovación.(p. 7)
Las instituciones públicas o privadas deben generar conocimientos científicos
y tecnológicos y procesos de innovación, y las personas que se dediquen a la
planificación, administración, ejecución y aplicación de actividades que posibiliten la
vinculación efectiva entre la ciencia, la tecnología y la sociedad, dándole un marco
legal en el cual regirse.

15
LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS (2001).
Artículo 4. Sanciones: Las sanciones por los delitos
previstos en esta Ley serán principales y accesorias.
Las sanciones principales concurrirán con las penas
accesorias y ambas podrán también concurrir entre sí,
de acuerdo con las circunstancias particulares del delito
del cual se trate, en los términos indicados en la
presente Ley. (p. 3)
Este artículo nos recuerda que es muy importante que se tenga en cuenta que
el software a pesar de ser intangibles son bienes y como tal están sujetos a sanciones
que se aplican a las personas de acuerdo a las circunstancias particulares del delito
del cual se trate.
Artículo 6. Acceso indebido: Toda persona que sin la
debida autorización o excediendo la que hubiere
obtenido, acceda, intercepte, interfiera o use un sistema
que utilice tecnologías de información, será penado con
prisión de uno cinco años y multa de diez a cincuenta
unidades tributarias. (p. 4)
El siguiente articulo trata sobre la sanción que se producirá al una persona
entrar a un sistema informático puesto que esto sin permiso es similar a entrar a una
casa sin consentimiento de sus dueños, así como que se intercepte, interfiera o use un
sistema que emplee tecnologías de información sin la debida autorización.
Artículo 7. Sabotaje o daño a sistemas: Todo aquel que
con intención destruya, dañe, modifique o realice
cualquier acto que altere el funcionamiento o inutilice
un sistema que utilice tecnologías de información o
cualesquiera de los componentes que lo conforman,
será penado con prisión de cuatro a ocho años y multa
de cuatrocientas a ochocientas unidades tributarias.
Incurrirá en la misma pena quien destruya, dañe,
modifique o inutilice la data o la información contenida
en cualquier sistema que utilice tecnologías de

16
información o en cualquiera de sus componentes. La
pena será de cinco a diez años de prisión y multa de
quinientas a mil unidades tributarias, si los efectos
indicados en el presente artículo se realizaren mediante
la creación, introducción o transmisión, por cualquier
medio, de un virus o programa análogo. (p. 4)
Este articulo habla sobre la sanción que se le da a todo aquel que con
intención destruya, dañe, modifique o realice cualquier acto que altere el
funcionamiento o inutilice un sistema que utilice tecnologías de información o cuales
quiera de los componentes que lo conforman.
Artículo 8. Favorecimiento culposo del sabotaje o
daño: Si el delito previsto en el artículo anterior se
cometiere por imprudencia, negligencia, impericia o
inobservancia de las normas establecidas, se aplicará la
pena correspondiente según el caso, con una reducción
entre la mitad y dos tercios”. (p. 4)
El siguiente artículo trata sobre la pena que se aplicara según fuese el delito
previsto en el artículo anterior se cometiere por imprudencia, negligencia, impericia o
inobservancia de las normas establecidas.
DIVISIÓN DE TECNOLOGÍA E INFORMACIÓN
La División de Tecnología e Información se encarga de ejecutar la
planificación y organización de las actividades vinculadas con las tecnologías
informáticas y de las operaciones necesarias para asegurar el correcto funcionamiento
de la plataforma tecnológica. Dentro de esta división se encuentran los cargos
siguientes:

17
ANALISTA DE PROCESAMIENTO DE DATOS
Las funciones son:
 Velar por la seguridad de accesos y operatividad de la plataforma de sistemas.
 Analizar los requerimientos de información, transformarlo en requisitos del
sistema y coordinar su implementación.
 Supervisar las actividades realizadas por terceros en el desarrollo e
implementación de soluciones informáticas.
ESPECIALISTA DE COMPUTACION
Es capaz de desempeñar funciones dentro de las organizaciones donde se
requiera el uso del computador como herramienta para la gestión de datos y solución
de problemas de negocio.
OPERADOR DE EQUIPOS
Los operadores de computadoras preparan y limpian todo el equipo que se
utiliza en el proceso de datos; mantienen y vigilan las bitácoras e informes de la
computadora, montan y desmontan discos y cintas durante los procesos y colocan las
formas continuas para la impresión. Documentan las actividades diarias, los
suministros empleados y cualquier condición anormal que se presente. El papel de los
operadores es muy importante debido a la gran responsabilidad de operar la unidad
central de proceso y el equipo periférico asociado en el centro de cómputo.

18
ORGANIGRAMA ESTRUCTURAL DE LA DIVISIÓN DE TECNOLOGÍA E
INFORMACIÓN DE LA GOBERNACIÓN DEL ESTADO DELTA
AMACURO.
Organigrama de la división
Gráfico N° 3 Cargos del dpto. de tecnología de información.
Fuente: El Autor (2014)
DIVISIÓN DE TECNOLOGÍA
E INFORMACIÓN
ANALISTA DE
PROCESAMIENTO DE
DATOS
ESPECIALISTA DE
COMPUTACIÓN
OPERADOR
DE EQUIPOS

19
CAPÍTULO III
DESARROLLO DE LAS ACTIVIDADES
OBJETIVOS: GENERAL Y ESPECÍFICOS
Objetivo General:
Desarrollar una Auditoria del Proceso de Migración entre los sistemas de
procesamiento de nómina gubernamental (SISTNOMINA), (el sistema integrado de
gestión pública (SINTEGESP) y el sistema integrado de gestión para entes del sector
público (SIGESP)) en la gobernación del estado Delta Amacuro, Municipio Tucupita.
Objetivos Específicos:
 Identificar los activos relevantes dentro de los sistemas a migrar en la Gobernación
del Estado Delta Amacuro, Municipio Tucupita, para garantizar la trasferencia de
datos confiable hacia el SIGESP.
 Determinar las posibles amenazas en proceso de migración hacia el SIGESP con el
fin de disminuir la pérdida de datos históricos administrativos de la gobernación.
 Indicar las salvaguardas que puedan aparecer, para calificar su eficiencia en frente de
una amenaza al proceso de migración al SIGESP, para elaboración de planes de
contingencia para minimizar pedida de datos histórico administrativos.
 Evaluar el impacto derivado de la materialización de la amenaza y estimar el riesgo,
de impacto ponderado con la tasa de ocurrencia de la amenaza en función a la
elaboración de estrategias para disminuir el tiempo de migración y los riegos.

20
CRONOGRAMA DE ACTIVIDADES
El cronograma es una lista de los elementos del sistema que se auditara, en las
fechas previstas y especificando su duración en un intervalo de semanas. Para mostrar
todos los pasos realizados se emplea el diagrama de Gantt, el cual es la herramienta
gráfica cuyo objetivo es mostrar el tiempo de dedicación previsto para diferentes
semanas, fases, actividades, duración y fecha de inicio y culminación programadas a
lo largo de un tiempo total determinado de pasantías y para mostrar una línea de
tiempo en las diferentes actividades haciendo el método más eficiente.
Las diferentes fases integradas en el diagrama de Gantt expresan como se va a
realizar la Auditoria al proceso de migración al sistema SIGESP en la División de
Tecnología de la Información de la Gobernación del Estado Delta Amacuro del
municipio Tucupita; pues la primera fase es identificar los activos relevantes dentro
de los Sistemas SISTNOMINA, SINTEGESP SIGESP en la Gobernación del Estado
Delta Amacuro, Municipio Tucupita hasta la última fase la cual es evaluar el impacto,
definido como el daño sobre el activo derivado de la materialización de la amenaza y
estimar el riesgo de impacto ponderado con la tasa de ocurrencia de la amenaza. Ver
Gráfico N° 4, Pág. 23.

21
Gráfico N° 4. Diagrama de Gantt.
FUENTE: El Autor (2014)

22
DSECRIPCIÓN DE LAS ACTIVIDADES REALIZADAS
Fase I: Caracterización de los Activos
Objetivo: • Identificar los activos relevantes dentro de los sistemas a migrar en la
Gobernación del Estado Delta Amacuro, Municipio Tucupita, para garantizar la
trasferencia de datos confiable hacia el SIGESP
Tareas:
 Identificación de los activos que componen el sistema a migrar, sus
características, atributos y clasificación.
 Dependencias entre activos la medida en que un activo de orden superior se
puede ver perjudicado por una amenaza materializada sobre un activo de orden
inferior.
 Valoración de los activos, el coste que para la organización supondrá la
destrucción del activo.
Recursos: Computadora de escritorio, Una memoria USB, Manual de pasantías
ocupacional UNEFA, Lápiz, Borrador, Sacapuntas, Bolígrafos, Microsoft Office
Word 2010, Cámara Digital, Internet y Metodología MAGERIT – versión 3.0
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Tiempo: Inicio desde el 28 de Junio hasta el 19 de Septiembre del 2014.
CONTROLES:
Ing. Alexander Amares y MSc. Melvin Romero.

23
Fase II: Caracterización de las Amenazas
Objetivo: • Determinar las posibles amenazas en proceso de migración hacia el
SIGESP con el fin de disminuir la pérdida de datos históricos administrativos de la
gobernación.
TAREAS:
 Identificación de las amenazas relevantes sobre cada activo involucrado en la
migración.
 Valoración de las amenazas para estimar la frecuencia en que ocurre cada
amenaza sobre cada activo
 Degradación de los activos que causaría la amenaza en cada dimensión del activo
si llegara a materializarse.
Tiempo: Iniciado desde el 15 de Septiembre hasta el 17 de Octubre del 2014.
Controles: Ing. Alexander Amares y MSc. Melvin Romero.

24
Fase III: Caracterización de las Salvaguardas
Objetivo: Indicar las salvaguardas que puedan aparecer, para calificar su
eficiencia en frente de una amenaza al proceso de migración al SIGESP, para
elaboración de planes de contingencia para minimizar pedida de datos histórico
administrativos.
TAREAS:
 Identificación de las salvaguardas pertinentes para proteger el proceso de
migración.
 Valoración de las salvaguardas, para poder conocer su eficiencia.
Tiempo: Iniciado desde el 13 de Octubre hasta el 31 de Octubre del 2014.

25
Fase IV: Estimación del Estado de Riesgo
Objetivo: Evaluar el impacto derivado de la materialización de la amenaza y
estimar el riesgo, de impacto ponderado con la tasa de ocurrencia de la amenaza en
función a la elaboración de estrategias para disminuir el tiempo de migración y los
riegos.
TAREAS:
 Estimar el valor para obtener el impacto potencial y el residual al que está
sometido el proceso de migración.
 Estimar el valor para obtener el riesgo potencial y el residual al que está sometido
el proceso de migración.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,
Software PILAR 5.4.4.
Tiempo: Iniciado desde el 03 de Noviembre hasta el 14 de Noviembre del 2014.

26
DESCRIPCIÓN DE LAS ACTIVIDADES
Las pasantía ocupacionales son efectuadas durante (16) semanas. Estas se
realizaron en la División de Tecnología de la Información de la Gobernación del
Estado Delta Amacuro, dándole cumplimiento a la necesidad de migración en la
institución que presentaba en ese momento; es por ello que se utilizó la metodología
de MAGERIT – versión 3.0 dado que es una metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Por tanto, el análisis de riesgos del proceso
de migración en la División de Tecnología de la Información de la Gobernación del
Estado Delta Amacuro del Municipio Tucupita se apoya en que el análisis de riesgos
es una aproximación metódica para determinar el riesgo siguiendo unos pasos
pautados: primero determinar los activos relevantes para la organización, su
interrelación y su valor, en el sentido de qué perjuicio supone su degradación,
segundo determinar a qué amenazas están expuestos aquellos activos, tercero
determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo,
cuarto estimar el impacto definido como el daño sobre el activo derivado de la
materialización de la amenaza y estimar el riesgo definido como el impacto
ponderado con la tasa de ocurrencia o expectativa de materialización de la amenaza.
En base a ello se describen cada una de las fases con sus respectivas actividades:

27
Fase I: Caracterización de los Activos
. (Del 28 de Junio hasta el 19 de Septiembre del 2014)
El primes paso en el inicio de las pasantía fue realizar entrevistas con el tutor
empresarial para la asignar el tema de pasantía, y así evaluar el conocimiento del
tema. También se planteó la problemática del tema y los parámetros que se debían
tomar en cuenta para su realización. El tema asignado para el informe de pasantía fue
desarrollar una auditoria para el proceso de migración entre los sistemas de
procesamiento de nómina gubernamental (SISTNOMINA), (el sistema integrado de
gestión pública (SINTEGESP) y el sistema integrado de gestión para entes del sector
público (SIGESP)) en la gobernación del estado Delta Amacuro, Municipio Tucupita.
Comenzando las actividades del informe de pasantía tenemos las fases de
identificación, dependencias y valoración de los activos. Mediante su desarrollo se
observó cuáles son los activos esenciales del sistema en la parte administrativa,
también se vieron cuáles eran los datos de información, claves criptográficas,
servicios, aplicaciones de software, equipos informáticos (hardware), redes de
comunicación, soportes de información, equipamiento auxiliar, instalaciones y
personal.
El resultado de cada activo es de mucha importancia para la organización y
para el sistema y si falta alguna podría ocasionar perdidas, retraso, entre otros ya que
cada uno depende del otro.

28
Identificación de los activos
[S] Servicios Internos
Para los empleados de la organización se emplean los siguientes servicios:
 [www]world wide web
 [email] correo electrónico
 [dir] servicio de directorio
 [edi] intercambio electrónico de datos
[SW] Aplicaciones (software)
Entre las aplicaciones que sustenta a la organización tenemos:
 [sist_sigesp] SIGESP
 [sist_sistnomina] SISTNOMINA
 [sist_sintegesp] SINTEGESP
 [office] ofimática
 [browser] navegador web
 [os] sistema operativo
 [otr] otros software
[HW] Equipamiento Informático (hardware)
Dentro de los equipos informáticos con que cuenta la empresa tenemos:
 [sdb] servidor de base de datos
 [pc] computadoras de escritorios

29
 [scan] escáneres
 [modem] módems
 [wap] punto de acceso inalámbrico
[COM] Redes de Comunicaciones
Dentro de las redes de comunicaciones tenemos:
 [pstn] red telefónica
 [wifi] red inalámbrica
 [lan] red local
 [Internet] Internet
[Media] Soporte de Información
En la organización se utilizan los siguientes soportes de información:
 [cd] CD-ROM
 [dvd] DVD
 [usb] memoria USB
 [printed] material impreso
[AUX] Equipamiento Auxiliar
La organización cuenta con el siguiente equipamiento auxiliar:
 [cabling] cableado
 [furniture] mobiliario: armario, entre otros

30
[L] Instalaciones
La organización donde se realizó la auditoría se encuentra ubicada Calle Bolívar
Cruce Con Calle Dalla Costa, siendo el Edificio propio y de una planta.
 [building] edificio
[P] Personal
El personal que interactuara con este sistema son:
 [ui] usuario internos
 [op] operadores
 [adm] administradores de sistemas
Dependencias entre Activos
Reconocer las dependencias de activos superiores para así ver que puede
perjudicar si una amenaza se materializa sobre un activo inferior, como se muestra en
la siguiente gráfica:

31
Gráfico 5. DIAGRAMA DE DEPENDENCIAS ENTRE ACTIVOS
Fuente: Realizado en PILAR 5.4.4 (2014)
Leyenda

32
Se realizó esta dependencia de activos gracias a las entrevistas y encuestas
realizadas a los empleados donde se pudo categorizar a los activos como muestra la
figura 5. Los sistemas para el procesamiento de nómina gubernamental
(SISTNOMINA), el sistema integrado de gestión pública (SINTEGESP) son
fundamentales para sus actividades laborales por eso se encuentra en la parte superior
y también el personal que lo utiliza, no obstante la falta de integración de los mismo,
es decir que no comparten data entre ellos sólo informes es fuente de constante
frustración para los entrevistados.
Los programas que están instalados en los equipos son importantes, en el
mismo nivel se encuesta el sistema operativo y el navegador web.
Los servidores uno para el SISTNOMINA y otro para el SINTEGESP está por
encima de todos los equipos; el motivo es que el almacena información y por debajo
están las computadoras de escritorios.
En los activos inferiores están los puntos de acceso inalámbricos, los equipos
auxiliares, los materiales impresos, el escáner y los CD, DVD, y memorias USB.
Los activos de menor jerarquía como son las rede wifi, redes LAN y el
internet.
Todos los activos están dentro del mismo edificio.
Valoración de los Activos
Criterios de valoración utilizados.
Valor Criterio
10 Extremo
9 Muy alto
6-8 Alto
3-5 Medio
1-2 Bajo
0 Despreciable

33
Dimensiones
[D] Disponibilidad
[C] Confiabilidad
[I] Integridad
[A] Autenticidad
[T] Trazabilidad
Tabla 1. Valor propio de los Activos
Dimensiones
Activos [D] [C] [I] [A] [T]
Servicios
World wide web [7] [5] [6]
Correo electrónico [6] [6] [6] [6]
Servicio de directorio [6] [6] [6] [6] [6]
Intercambio electrónico de datos [4] [4] [6] [6] [6]
Aplicaciones (software)
SIGESP [9] [9] [9] [9]
SISTNOMINA [2] [2] [2] [2]
SINTEGESP [8] [8] [8] [8]
Ofimática [7]
Navegador web [7]
Sistema operativo [7]
Otros software [5]
Equipos informáticos (hardware)
Servidor de base de datos [9] [9] [9] [9]
Computadoras de escritorios [6]
Escáneres [8]
Módems [8]
Punto de acceso inalámbrico [7]
Redes de comunicaciones
Red telefónica [7]

34
Red inalámbrica [7]
Red local [7]
Internet [7] [7]
Soportes de información
CD-ROM [7] [7]
DVD [7] [7]
Usb [7] [7]
Material impreso [7] [7]
Equipamiento auxiliar
Cableado [7]
Mobiliario: armario, etc [7]
Instalaciones
Edificio [8]
Personal
Usuario internos [8]
Operadores [8]
Administradores de sistemas [8]
Fase II: Caracterización de las Amenazas
(Del 15 de Septiembre hasta el 17 de Octubre del 2014)
En esta fase se pudieron constatar todas las posibles amenazas que afectarían
el proceso de migración hacia el sistema SIGESP. Ellas están clasificadas por una
serie de situaciones como lo son: desastres naturales, de origen industrial, errores y
fallos no intencionados y ataques intencionales.
Identificación de las Amenazas
Tabla 2. Identificación de la amenazas para cada uno de los activos
ACTIVOS AMENAZAS
World wide web [E.1] Errores de los usuarios
Correo electrónico [E.15] Alteración accidental de la información
Servicio de directorio [E.1] Errores de los usuarios

35
[E.15] Alteración accidental de la información
[E.18] Destrucción de información
Intercambio electrónico de datos [E.1] Errores de los usuarios
SIGESP [I.5] Avería de origen físico o lógico
[E.20] Vulnerabilidades de los programas
(software)
[E.21] Errores de mantenimiento / actualización
de programas (software)
[A.5] Suplantación de la identidad del usuario
SISTNOMINA [I.2] Avería de origen físico o lógico
(software)
SINTEGESP [I.6] Avería de origen físico o lógico
(software)
Ofimática [E.1] Errores de los usuarios
(software)
Navegador web [E.1] Errores de los usuarios
[E.8] Difusión de software dañino
[E.19] Fugas de información
Sistema operativo [I.5] Avería de origen físico o lógico
[E.1] Errores de los usuarios
[E.8] Difusión de software dañino
(software)
[A.7] Uso no previsto
Otros software [E.8] Difusión de software dañino
(software)
Servidor de base de datos [N.1] Fuego
[N.2] Daños por agua
[N.3] Desastres Naturales
[I.3] Contaminación medio ambiental[I.5] Avería
de origen físico o lógico
[I.7] Condiciones inadecuadas de temperatura o
humedad
[E.2] Errores del administrador

36
de equipos (hardware)
[A.11] Acceso no autorizado
Computadoras de escritorios [N.2] Daños por agua
[N.*] Desastres Naturales
[I.5] Avería de origen físico o lógico
humedad
[E.24] Caída del sistema por agotamiento de
recursos
[A.6] Abuso de privilegios de acceso
[A.7] Uso no previsto
Escáneres [N.2] Daños por agua
humedad
Módems [N.1] Fuego
[N.*] Desastres Naturales
humedad
Punto de acceso inalámbrico [I.4] Fallo de servicios de comunicaciones
[E.9] Errores de [re-] encaminamiento
Red telefónica [I.4] Fallo de servicios de comunicaciones
Red inalámbrica [I.3] Contaminación medio ambiental[I.4] Fallo
de servicios de comunicaciones
Red local [I.4] Fallo de servicios de comunicaciones
[E.10] Errores secuenciales
[A.9] [Re-] encaminamiento de mensajes
[A.10] [alteración secuencial
Internet [I.4] Fallo de servicios de comunicaciones
CD-ROM [E.15] Alteración accidental de la información
[A.15] modificación de información
[A.19] Divulgación de información
DVD [E.15] Alteración accidental de la información
USB [E.15] Alteración accidental de la información

37
Material impreso [N.1] Fuego
humedad
Cableado [I.3] Contaminación medio ambiental [I.7]
Condiciones inadecuadas de temperatura o
humedad
Mobiliario: armario, etc [I.3] Contaminación medio ambiental
Edificio [N.1] Fuego
[I.*] Desastres industriales
[A.30] Ocupación enemiga
Usuario internos [E.28] Indisponibilidad del personal
Operadores [E.28] Indisponibilidad del personal
Administradores de sistemas [E.28] Indisponibilidad del personal
Valoración de las Amenazas
Tabla 3. Degradación de valor
MA Muy alta
A Alta
M Media
B Baja
MB Muy bajo
0
Tabla 4. Probabilidad de ocurrencia
CS Casi seguro
MA Muy alto
P Posible
PP Poco probable
MB Siglos
MR Muy rara
Valoración de la Amenazas para cada uno de los Activos
Tabla 5. Valoración de la amenazas para cada uno de los activos
ACTIVOS Amenazas P [D] [C] [I] - -
WORLD WIDE WEB [E.1] Errores de los usuarios PP B - - - -
CORREO ELECTRÓNICO
[E.15] Alteración accidental
de la información
MR M M M - -
SERVICIO DE
DIRECTORIO
[E.1] Errores de los usuarios PP B B B - -
[E.15] Alteración accidental P M M M - -

38
de la información
[E.18] Destrucción de
información
PP M M M - -
INTERCAMBIO
ELECTRÓNICO DE
DATOS
de la información
P M M M - -
SIGESP
[I.5] Avería de origen físico o
lógico
P A - - - -
[E.20] Vulnerabilidades de
los programas (software)
P B M M - -
[E.21] Errores de
mantenimiento / actualización
P B B M
- -
[A.5] Suplantación de la
identidad del usuario
P A A A - -
OFIMÁTICA
[E.1] Errores de los usuarios P M M M - -
P M M M
[E.21] Errores de
P M B - - -
NAVEGADOR WEB
[E.8] Difusión de software
dañino
P M M M - -
[E.19] Fugas de información P M M M - -

39
SISTEMA OPERATIVO
lógico
P M - - - -
[E.1] Errores de los usuarios PP M M M - -
dañino
PP B B B - -
P B M M - -
[E.21] Errores de
P M B - - -
[A.7] Uso no previsto P B B B - -
OTROS SOFTWARE
dañino
PP B B B - -
PP B B B - -
[E.21] Errores de
PP M M - - -
SERVIDOR DE BASE DE
DATOS
[N.1] Fuego P A - - - -
[N.2] Daños por agua P A - - - -
[N.*] Desastres Naturales P A - - - -
[I.3] Contaminación medio
ambiental
P A - - - -
lógico
MA MA - - - -
[I.7] Condiciones inadecuadas
de temperatura o humedad
P M M M - -
[E.2] Errores del
administrador
P M - - - -
[E.23] Errores de
MA - A A - -
[A.11] Acceso no autorizado MA A - A - -
COMPUTADORAS DE
ESCRITORIOS
[N.2] Daños por agua PP M - - - -
[N.*] Desastres Naturales PP M - - - -
lógico
P M - - - -
PP M - - - -
[E.23] Errores de
P M - - - -
[E.24] Caída del sistema por
agotamiento de recursos
P M - - - -
[A.6] Abuso de privilegios de
acceso
PP M M M - -
[A.7] Uso no previsto PP M B M - -
ESCÁNERES
[N.2] Daños por agua P M M M - -
lógico
PP B B B - -
P M M M - -

40
[E.23] Errores de
de equipos (hardware
PP B B B - -
MÓDEMS
[N.1] Fuego PP M - - - -
[N.2] Daños por agua PP M - - - -
[N.*] Desastres Naturales PP M - - - -
lógico
P M - - - -
P M - - - -
[A.11] Acceso no autorizado PP - B B - -
PUNTO DE ACCESO
INALÁMBRICO
[I.4] Fallo de servicios de
comunicaciones
P M - - -
[E.9] Errores de [re-]
encaminamiento
P - B - -
RED TELEFÓNICA
comunicaciones
P M - - - -
encaminamiento
P - - B - -
RED INALÁMBRICA
comunicaciones
P M - - - -
encaminamiento
P - - B
RED LOCAL
comunicaciones
PP B - - - -
encaminamiento
P - - M - -
[E.10] Errores secuenciales P - M - - -
[A.5] Suplantación de la
identidad del usuario
P - M M M -
[A.9] [Re-] encaminamiento
de mensajes
P - - M - -
[A.10] [alteración secuencial P - M - - -
[A.11] Acceso no autorizado PP - M - - -
INTERNET
comunicaciones
P A - - - -
de la información
P - B - - -
CD-ROM
de la información
PP - B - - -
[E.19] Fugas de información PP - - B - -
[A.15] modificación de
información
PP - B - - -
[A.19] Divulgación de
información
PP - - B - -
DVD
de la información
PP - B - - -
información
PP - B - - -
información
PP - - B - -

41
USB
de la información
PP - B - - -
información
PP - B - - -
información
PP - - B - -
MATERIAL IMPRESO
[N.1] Fuego P M - - - -
[N.2] Daños por agua P M - - - -
P M - - - -
CABLEADO
ambiental
PP A - - - -
MOBILIARIO: ARMARIO,
ETC
ambiental
PP M - - - -
EDIFICIO
[N.1] Fuego P A - - - -
[N.2] Daños por agua P A - - - -
[I.*] Desastres industriales P B - - - -
[A.30] Ocupación enemiga P MA - - - -
USUARIO INTERNOS
E.28] Indisponibilidad del
personal
PP M M M - -
OPERADORES
personal
PP M M M - -
ADMINISTRADORES DE
SISTEMAS
personal
PP M M M - -

42
Fase III: Caracterización de las Salvaguardas
(Del 13 de Octubre hasta el 31 de Octubre del 2014)
Mediante esta fase podemos observar todas la salvaguardas que nos pueden
ayudar a proteger el proceso de migración del nuevo sistema. Ellas se clasifican en
protección general, protección de las aplicaciones, protección de los equipos,
protección de las comunicaciones, protecciones de los soportes de información,
protección de los elementos auxiliares, protección de las instalaciones y gestión del
personal. Ver Tabla N° 06, Pág. 45.

43
Tabla 6. Identificación de las Salvaguardas
Aspectos Tdp Salvaguardas Dudas Fuente Comen. Recom. On/of Aplicac.
SALVAGUARDAS
G PR (H) Protección General 8 … …
G PR (D) Protección de la Información 7 off …
G EL (K) Gestión de Claves Criptográficas off n.a.
G PR (S) Protección de los Servicios 3 6 … …
G
PR
(SW) Protección de las Aplicaciones Informáticas (SW) 7
… …
G
PR
(HW) Protección de los Equipos Informáticos (HW) 7
… …
G
PR
(COM) Protección de las Comunicaciones 9
… …
G
PR (IP) Puntos de Interconexiones: Conexiones entre Zona de
Confianza
off n.a.
G
PR
(MP) Protección de los Soportes de información 6 … …
G PR (AUX) Elementos Auxiliares 6
F PR (L) Protección de las Instalaciones 7
P PR (PS) Gestión del Personal 5 … …
G AD (G) Organización 6 off n.a.
G RC (BC) {or} Continuidad del Negocio 5 off n.a.
G AD (E) Relaciones Externas 5 off n.a.
G AD (NEW) Adquisición / Desarrollo 4 4 off n.a.

44
 Protección General:
Se requiere autorización previa: pertenece al grupo de restricciones de acceso
a la información que a su vez corresponde al control de acceso lógico. La
razón por la cual se escogió esta salvaguarda es porque cualquier persona
puede acceder a los activos inclusive los más importantes. La misma porque
hace frente a las amenazas que están expuestos los activos. Y esta puede ser
aplicada a esta clase de activos: datos/información, servicios, aplicaciones
(software), equipamiento informático (hardware), redes de comunicación y
soportes de información dado que protege a la siguientes dimensiones de
seguridad: integridad, confidencialidad y autenticad.
Hace frente a las siguientes amenazas: errores de los usuarios,
errores del administrador del sistema/ de la seguridad, difusión de software
dañinos, errores de [re]-encaminamiento, errores de secuencia, alteración de la
información, fuga de información, vulnerabilidad de los programas (software),
suplantación de la identidad del usuario, abuso de privilegio de acceso, uso no
previsto, [Re]-encaminamiento de mensajes, alteración de información y
manipulación de hardware.
 Protección de las aplicaciones informáticas: se seleccionaron las siguientes
salvaguardas para así reformar las normas de la organización:
 Se dispone normativas relativas al cumplimiento de los derechos.
 Se controla la instalación de software autorizados y productos con
licencia.
 Se cuenta con procedimientos para realizar copias de seguridad.
 Se aplican perfiles de seguridad: esta salvaguarda se cumple pero es
bueno reforzarla. Mediante esta salvaguarda podemos hacer frente a
estas amenazas: errores de usuario, difusión de softwares dañinos,

45
vulnerabilidad de los programas (software), errores de mantenimiento,
actualización de programas (software) y uso no previsto.
 Protección de los equipos informáticos (HW): a continuación las salvaguardas
adecuadas para la protección de equipos:
 Se disponen normativas para el uso correcto de los equipos.
 Se uenta con procedimiento de uso de equipamiento.
 Protección de las comunicaciones: se han escogido las siguientes salvaguardas
para minimizar el riesgo ya que se cuenta con ellas:
 Se dispone de aplicación de perfil de seguridad.
 Se cuenta con la normativa de uso de los servicios de red.
 Se tiene seguridad de los servicios de red.
Todas las salvaguaradas desplegadas hacen frente a la amenaza de acceso no
autorizado.
 Protección de los soportes de informacion: para proteger el único activo se
han escogidos las salvaguaradas más apropiadas:
 Proteger el usi de contenedores cerrados.
 Se dispoen de normativas relativas a la protección criptografica de los
contenedores.
 Elementos auxiliares:
 Se asegura la disponibilidad
 Siguiendo las normas del fabricante proveeedor

46
 Continuidad de operaciones: para asegurar las disponibilidades
de los equipos auxiliares además para contrarestar la amenaza de
contaminacion medioambiental.
 Climatizacion: la adecuada climatizacion de cada equipo ayuda a
enfrentar la amenaza que tiene la mayoria de estos componentes
que es: condicion inadecuada de temperatura y humedad.
 Protección de las instalaciones:
 Se dispone de normativas de seguridad para las instalaciones.
 Se cuenta con áreas especificas para equipos informáticos, para
protegerlos de ocupación enemiga.
 Gestión del personal: se debe crear las siguientes normas de seguridad:
 Se disponen de normativas relativas y de procedimientos para la
gestion de personal (materia de seguridad).
 Se tienen normativas de obligado cumplimiento en el desempeño del
puesto de trabajo.
Después de haber realizado esta tarea tendremos la declaratoria de
aplicabilidad que es un documento formal donde consta las salvaguaradas necesarias
para proteger al sistema.

47
Valoración de las Salvaguardas
Tabla 7. Niveles de Madurez
Eficacia Nivel Madurez Estado
0% L0 inexistente inexistente
10% L1 inicial/ad hoc iniciado
50% L2 reproducible, pero intuitivo Parcialmente realizado
90% L3 proceso definido en funcionamiento
95% L4 gestionado y medible monitorizado
100% L5 optimizado mejora continua

48
Tabla 8. Tarea de Valoración de Salvaguardas
Aspectos Tdp Salvaguardas Dudas Fuente Comen. Recom. Target Current PILAR
SALVAGUARDAS
G PR (H) Protección General 8 L5 L1 L3-L4
G PR (S) Protección de los Servicios ¿-? 6 L5 L0-L1 L2-L3
G
PR (SW) Protección de las Aplicaciones Informáticas
(SW)
7 L5 L0-L1 L2-L4
G
PR (HW) Protección de los Equipos Informáticos
(HW)
7 L5 L0-L1 L2-L4
G PR (COM) Protección de las Comunicaciones 9 L5 L0-L1 L2-L5
G PR (MP) Protección de los Soportes de información 6 L5 L1 L2-L4
G PR (AUX) Elementos Auxiliares 6 L5 L1 L2-L3
F PR (L) Protección de las Instalaciones 7 L5 L1 L2-L4
P PR (PS) Gestión del Personal 5 L5 L1 L2-L3

49
Fase IV: Estimación del Estado de Riesgo
(Del 03 de Noviembre hasta el 14 de Noviembre del 2014)
En esta tarea se procesan e interpretan los resultados obtenidos de las
actividades anteriores para detallar en un informe del estado de riesgo de la
organización.
Estimación del impacto
Su objetivo es:
 Establecer el impacto potencial al que está sometido el sistema.
 Determinar el impacto residual al que está sometido el sistema.
La fórmula emplea un sistema de salvaguardas, absolutamente ineficaz (ei
= 0) deja el impacto de esta, mientras que un sistema de salvaguardas plenamente
eficaz (ei = 1) reduce el impacto residual a 0.
Impacto residual = impacto potencial x (1 - ei).
Impacto potencial
Se denomina riesgo a la medida del daño probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo
sin más que tener en cuenta la probabilidad de ocurrencia.
Impacto potencial sobre cada uno de los activos
Tabla 9. Impacto potencial sobre cada uno de los activos
activos [D] [I] [C] [A] [T]
Servicios
world wide web [4] [6] [6]
correo electrónico [4] [5] [6]
servicio de directorio [5] [6] [6]

50
intercambio electrónico de datos [6] [6] [6]
Equipamiento
SIGESP [8] [8]
SISTNOMINA [4] [3]
SINTEGESP [9] [8]
ofimática [6] [6]
navegadorweb [7] [7]
sistema operativo [6] [6]
otros software [6] [6]
servidor de base de datos [8] [8]
computadoras de escritorios [6] [6]
escáneres [6] [6]
módems [6] [6]
punto de acceso inalámbrico [3] [3]
red telefónica [4]
red inalámbrica [6]
red local [6] [8] [6]
Internet [6]
Elementos Auxiliares
CD-ROM [3] [3]
DVD [3] [3]
USB [3] [3]
material impreso [6] [6]
cableado [6]
mobiliario: armario, entre otros [4]
instalaciones
edificio [8]
Personal
usuario internos [6]
operadores [8]

51
administradores de sistemas [8]
Los impactos que se muestran con la siguiente escala de según su valor:
Ponderación Descripción
[10] Critico
[9] muy alto
[8] muy alto
[7] Alto
[6] Alto
[5] Medio
[4] Medio
[3] Bajo
[2] Bajo
[1] Despreciable
[0] Despreciable
Impacto Residual Acumulado
Se calcula con los datos del impacto acumulado sobre un activo y
salvaguardas apropiadas para las amenazas sobre dicho activo.
Impacto Residual sobre cada uno de los Activos
Tabla 10. Impacto residual sobre cada uno de los activos
activos [D] [I] [C] [A] [T]
Servicios
world wide web [4] [5] [5]
correo electrónico [2] [4] [5]
servicio de directorio [4] [5] [5]
intercambio electrónico de datos [5] [5] [5]
Equipamiento
SIGESP [5] [5]

52
SISTNOMINA [0] [2]
SINTEGESP [5] [5]
ofimática [0] [0]
navegadorweb [5] [5]
sistema operativo [4] [4]
otros software [3] [3]
servidor de base de datos [3] [4]
computadoras de escritorios [3] [5]
escáneres [3] [5]
módems [0] [0]
punto de acceso inalámbrico [0] [0]
red telefónica [1]
red inalámbrica [2]
red local [3] [4] [3]
Internet [2]
CD-ROM [3] [3]
DVD [3] [3]
USB [3] [3]
material impreso [3] [3]
cableado [4]
mobiliario: armario, entre otros [0]
Instalaciones
edificio [5]
Personal
usuario internos [4]
Operadores [6]
administradores de sistemas [6]

53
Estimación del Riesgo
Sus objetivos son:
 Determinar el riesgo potencial al que está sometido el sistema.
 Establecer el riesgo residual al que está sometido el sistema.
Emplea la siguiente formula:
Riesgo residual = impacto residual x frecuencia residual
Riesgo Potencial
Se denomina riesgo a la medida del daño probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo
sin más que tener la probabilidad de ocurrencia.
Riesgo potencial sobre cada uno de los activos
Tabla 11. Riesgo potencial sobre cada uno de los activos
activos
Dimensión
[D] [I] [C] [A] [T]
Servicios
world wide web [4,2] [5,4] [5,4]
correo electrónico [1,8] [4,2] [5,4]
servicio de directorio [4,2] [5,4] [5,4]
intercambio electrónico de datos [5,4] [5,4] [5,4]
Equipamiento
SIGESP [5,4] [5,4]
SISTNOMINA [3,2] [3,2]
SINTEGESP [5,3] [4,4]
ofimática [5,4] [5,4]
navegadorweb [5,4] [5,4]
sistema operativo [5,4] [5,4]
otros software [4,5] [4,5]

54
servidor de base de datos [6,6] [6,6]
computadoras de escritorios [4,5] [4,5]
escáneres [1,8] [1,8]
módems [1,8] [1,8]
punto de acceso inalámbrico [1,8] [1,8]
red telefónica [3,3]
red inalámbrica [4,5]
red local [4,5] [6,6] [4,5]
Internet [4,5]
CD-ROM [1,8] [1,8]
DVD [1,8] [1,8]
USB [1,8] [1,8]
material impreso [1,8] [1,8]
cableado [4,5]
mobiliario: armario, entre otros [2,4]
instalaciones
edificio [6,6]
Personal
usuario internos [4,8]
operadores [6,0]
administradores de sistemas [6,0]
FUENTE: El Autor (2014)
Los riesgos se muestran con la siguiente escala de colores según su valor:
Ponderación Descripción
[10] Extremadamente
Critico
[9] Extremadamente
Critico
[8] Critico
[7] Critico
[6] Muy Alto

55
[5] Muy Alto
[4] Alto
[3] Medio
[2] Bajo
[1] Muy Bajo
[0] Despreciable
Riesgo Residual
Riesgo residual acumulado
La estimación de riesgo residual acumulado nos indica la medida que las
amenazas que afectan a los activos de orden superior que dependen de disco activos.
Los valores de la tabla 10 que tienen resultados mayores a 3 son riesgos altos.
Riesgo residual sobre cada uno de los activos
Tabla 12. Riesgo residual sobre cada uno de los activos
activos
Dimensión
[D] [I] [C] [A] [T]
Servicios
world wide web [3,0] [2,1] [2,1]
correo electrónico [1,1] [4,2] [2,1]
servicio de directorio [1,1] [2,1] [2,1]
intercambio electrónico de datos [2,1] [2,1] [2,1]
Equipamiento
SIGESP [4,2] [4,2]
SISTNOMINA [7,5] [7,6]
SINTEGESP [4,2] [4,2]
ofimática [0,83] [0,83]
navegadorweb [3,2] [3,2]
sistema operativo [3,1] [3,1]
otros software [1,7] [1,7]

56
servidor de base de datos [2,1] [3,8]
computadoras de escritorios [1,7] [3,3]
escáneres [0,59] [0,59]
módems [0,59] [0,59]
punto de acceso inalámbrico [0,59] [0,59]
red telefónica [0,91]
red inalámbrica [1,1]
red local [2,2] [2,8] [2,5]
Internet [1,2]
CD-ROM [0,86] [0,90]
DVD [0,86] [0,90]
USB [0,86] [0,90]
material impreso [0,95] [0,96]
cableado [3,0]
mobiliario: armario, entre otros [0,63]
Instalaciones
edificio [3,5]
Personal
usuario internos [0,97]
operadores [1,9]
administradores de sistemas [1,9]

57
0
1
2
3
4
5
www
email
dir
edi
sist
office
browser
os
otr
SDB
pc
scan
scan
modem
wap
PSTN
wifi
LAN
Internet
cd
printed
cabling
furniture
building
ui
op
adm
Disponibilidad
Integridad
Confiabilidad
Autenticidad
Interpretación de los resultados
Gráfico N° 6. Interpretación de los resultados
Como se puede observar en la Figura 6 esto es el resultado de todos los pasos
del Análisis de Riesgos. Estos activos del proceso de migración tienen un riesgo
menor al de conservar los sistemas actuales.
LIMITACIONES ENCONTRADAS EN LA PRÁCTICA PROFESIONAL
Entre las limitaciones existentes a la hora de la realización el proceso de
pasantías se encontró difícil la coordinación de esfuerzos con los pasantes que
estaban realizando la auditoria del SISTNOMINA y del SIGESP, puesto que esta
metodología es larga y compleja a la hora de auditar sistemas. Existió también la
limitación de que no se estaba realizando la auditoria del SINTEGESP auditoria que
se debió realizar para analizar los riesgos de la migración en general.

58
Otra de las limitaciones fue la estructura y disponibilidad de los servidores a
la hora de realizar los análisis, puestos que no estaban disponibles a cualquier hora
estos estaban en fase de producción y la creación de servidores independientes fue
descartada por no poseer el hardware necesario para colocar los servidores de prueba
y análisis; esto fue principalmente en el sistema SINTEGESP, porque en el sistema
SIGESP estaba el simulado pero estaba la pasante Beverly Culley, usando el mismo
para sus pasantías.
Con el sistema de SISTNOMINA ocurrió otro inconveniente este era software
propietario y el propietario si bien autorizo la creación del mismo solicito un pago por
dichos servicios los que la administrativa de la gobernación negó y el costo era muy
alto para ser costeado por el autor de este informe.
Por tanto, los análisis realizados al mismo sólo podrían realizarse cuando el
sistema estuviera desocupado de las nóminas. Esto afecto mucho el rendimiento de la
auditoría realizada que estaba limitada a dieciséis semanas.

59
APORTE DEL PARTICIPANTE
Las auditorías realizadas a los sistemas actuales SINTEGESP y
SISTNOMINA fueron necesarias para calcular el riesgo de migrar por la necesidad
de integrar los procesos de nóminas que no se encuentran actualmente dentro de un
solo sistema, manejadores de bases de datos diferentes y sistemas operativos
diferentes los que causa retraso y diferencias en los procesos llevados por separados
para la parte administrativa de la Gobernación del Estado Delta Amacuro, por esta
razón la institución debe migrar a un sistema integrado.
El sistema integrado SIGESP es el sistema seleccionado para llevar la
administración de la gobernación, dado esto surgió la necesidad de verificar con que
se contaba cuáles son los activos informáticos presentes actualmente en los sistemas
en los procesos de auditoria en la metodología utilizada en este informe tiene la
particularidad que define muy bien los riesgo presentes en los sistemas informáticos.
Esta evaluación de riesgos permite a la parte administrativa desarrollar planes
para minimizar esos riesgos puestos que con los informes de auditoría le indicaran a
administración cuales son estos riesgos.
El aporte del participante son los informes de auditoría que permitirán la
planificación ordenada de la migración cumpliendo con los más altos estándares de la
disminución del gasto.

60
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
En el análisis del proceso de migración planificado entre proceso de
migración entre los sistemas para el procesamiento de Nómina Gubernamental
(SISTNOMINA), el Sistema Integrado de Gestión Pública (SINTEGESP) y el
Sistema Integrado de Gestión para Entes del Sector Público (SIGESP) en la
Gobernación del Estado Delta Amacuro, Municipio Tucupita, se formularon las
siguientes conclusiones:
Se logró determinar la realidad de los procedimientos de trabajo que se
utilizaba en la División de Tecnología de la Información de la Gobernación del
Estado Delta Amacuro del Municipio Tucupita, para realizar este estudio se hicieron
observación y entrevista no estructurada realizada al tutor institucional, con la
finalidad de conocerla problemática del tema y los parámetros que se deben tener en
cuenta para su realización.
Los requerimientos están basados en determinar las posibles amenazas
dentro del proceso de migración así el sistema integrado de gestión para entes del
sector público (SIGESP), indicar las salvaguardas que puedan aparecer y evaluar el
impacto, definido como el daño sobre el activo derivado de la materialización de la
amenaza y estimar el riesgo, de impacto ponderado con la tasa de ocurrencia de la
amenaza en el proceso de migración.

61
El proceso de elaboración de salvaguardas para el proceso de migración en la
Gobernación del Estado Delta Amacuro requirió una investigación intensa en los
niveles de desarrollo de software para el nivel de estrategias de implementación de
salvaguardas.

62
RECOMENDACIONES
 En las instituciones gubernamentales es muy importante que se tengan
manuales técnico descripciones detalladas de la bases de datos de los módulos
y funciones de los sistemas presente para facilitar los procesos de auditoria de
sistema.
 Se recomienda que el proceso de migración valla de la mano con el proveedor
de servicios de sistema al cual se va a migrar puesto que de esta forma se
disminuyen las amenazas presentes y deben ser controlados para evitar futuros
problemas.
 Se sugiere que sea contratado personal especializado para fortalecer las
repuestas tecnológicas de la migración para implementar las salvaguardas que
fueron escogidas en el análisis de riesgos.

63
GLOSARIO DE TÉRMINOS
Activos: Componente o funcionalidad de un sistema de información susceptible de
ser atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
(Fuente: La metodología de MAGERIT – versión 3.0)
Análisis y Gestión de Riesgos: Proceso sistemático para estimar la magnitud
de los riesgos a que está expuesta una Organización. Proceso que permite
comprender la naturaleza del riesgo y determinar el nivel de riesgo. (Fuente: La
metodología de MAGERIT – versión 3.0)
Amenazas: Una amenaza informática es toda circunstancia, evento o persona que
tiene el potencial de causar daño a un sistema en forma de robo, destrucción,
divulgación, modificación de datos o negación de servicio (DoS).
(Fuente:http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad)
Archivos: Es un conjunto de bits que son almacenados en un dispositivo. Un archivo
es identificado por un nombre y la descripción de la carpeta o directorio que lo
contiene.(Fuente:http://es.wikipedia.org/wiki/Archivo_%28inform%C3%A1tica%29)
Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información
o la información que el sistema maneja, o violar alguna política de seguridad de
alguna otra manera. (Fuente: La metodología de MAGERIT – versión 3.0)
Auditoría de seguridad: Estudio y examen independiente del historial y actividades
de un sistema de información, con la finalidad de comprobar la idoneidad de los
controles del sistema, asegurar su conformidad con la estructura de
seguridad y procedimientos operativos establecidos, a fin de detectar

64
brechas en la seguridad y recomendar cambios en los procedimientos,
controles y estructuras de seguridad. (Fuente: La metodología de MAGERIT –
versión 3.0).
Autenticación: Propiedad o característica consistente en que una entidad es quien
dice ser o bien que garantiza la fuente de la que proceden los datos.(Fuente: La
metodología de MAGERIT – versión 3.0).
Base de Datos: Es un conjunto de datos pertenecientes a un mismo contexto y
almacenados sistemáticamente para su posterior uso.
(Fuente:http://es.wikipedia.org/wiki/Base_de_datos)
Campos: Es un espacio de almacenamiento para un dato en particular. En las bases
de datos, un campo es la mínima unidad de información a la que se puede acceder.
(Fuente:http://es.wikipedia.org/wiki/Campo_%28inform%C3%A1tica%29)
Confidencialidad: Propiedad o característica consistente en que la información ni se
pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Computador: Es la propiedad de los sistemas que permiten que múltiples procesos
sean ejecutados al mismo tiempo, y que potencialmente puedan interactuar entre sí.
(Fuente:http://www.alegsa.com.ar/Dic/concurrencia.php)
Datos: Es una representación simbólica (numérica, alfabética, algorítmica, etc) de un
atributo o variable cuantitativa o cualitativa. Los datos describen hechos empíricos,
sucesos y entidades. (Fuente:http://es.wikipedia.org/wiki/Dato)
Degradación: Pérdida de valor de un activo como consecuencia de la materialización
de una amenaza. (Fuente: La metodología de MAGERIT – versión 3.0)

65
Disponibilidad: Es el aseguramiento de que los usuarios autorizados tienen acceso
cuando lorequieran a la información y sus activos asociados. (Fuente: La metodología
de MAGERIT – versión 3.0)
Documentación: Es simplemente la ciencia que estudia los documentos, relacionada
con la biblioteconomía por un lado y con las ciencias de la información por otro.
(Fuente:http://www.mastermagazine.info/termino/4720.php)
Estado de riesgo: informe: Caracterización de los activos por su riesgo residual; es
decir lo que puede pasar tomando en consideración las salvaguardas desplegadas.
Evaluación de salvaguardas:Informe: Evaluación de la eficacia de las salvaguardas
existentes en relación al riesgo que afrontan. (Fuente: La metodología de MAGERIT
– versión 3.0)
Hardware: Se refiere a todas las partes tangibles de un sistema informático; sus
componentes son: eléctricos, electrónicos, electromecánicos y mecánicos.
(Fuente:http://es.wikipedia.org/wiki/Hardware).
Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza.
Impacto residual: Impacto remanente en el sistema tras la implantación de las
salvaguardas determinadas en el plan de seguridad de la información. (Fuente: La

66
Informática: Es una ciencia que estudia métodos, procesos, técnicas, con el fin de
almacenar, procesar y transmitir información y datos en formato digital.
(Fuente:http://es.wikipedia.org/wiki/Inform%C3%A1tica).
Información: Es un conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho
mensaje. (Fuente:http://es.wikipedia.org/wiki/Informaci%C3%B3n)
Integridad: Propiedad o característica consistente en que el activo no ha sido
alterado de manera no autorizada. (Fuente: La metodología de MAGERIT – versión
3.0)
Interfaz de Usuario: Es el medio con que el usuario puede comunicarse con una
máquina, un equipo o una computadora, y comprende todos los puntos de contacto
entre el usuario y el equipo. (Fuente:http://es.wikipedia.org/wiki/Interfaz_de_usuario)
Modelo de valor: Informe: Caracterización del valor que representan los activos para
la Organización así como de las dependencias entre los diferentes activos. (Fuente: La
PostgreSQL: Es un SGBD relacional orientado a objetos y libre, publicado bajo la
licencia BSD. Como muchos otros proyectos de código abierto, el desarrollo de
PostgreSQL no es manejado por una empresa y/o persona, sino que es dirigido por
una comunidad de desarrolladores que trabajan de forma desinteresada, altruista, libre
y/o apoyados por organizaciones comerciales. Dicha comunidad es denominada el
PGDG (PostgreSQLGlobalDevelopmentGroup).
(Fuente:http://es.wikipedia.org/wiki/PostgreSQL)

67
Riesgos: Estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización. (Fuente: La
Riesgo acumulado: Dícese del calculado tomando en consideración el valor propio
de un activo y el valor de los activos que depende de él. Este valor se combina con la
degradación causada por una amenaza y la frecuencia estimada de la misma. (Fuente:
La metodología de MAGERIT – versión 3.0)
Riesgos potenciales: Los riesgos del sistema de información en la hipótesis de que
no hubiera salvaguardas presentes. (Fuente: La metodología de MAGERIT – versión
3.0)
Riesgo residual: Riesgo remanente en el sistema después del tratamiento del riesgo.
Salvaguardas: Procedimiento o mecanismo tecnológico que reduce el riesgo.
SIGESP: Sistema integrado de gestión administrativa para organizaciones del sector
público venezolano; conformado por una serie de módulos, adaptable a cada cliente.
Ha sido diseñado bajo las normas legales que rigen la materia presupuestaria y
administrativa instituciones públicas. (Fuente:http://sigesp.com.ve/sigesp/)
Sistema: Es un conjunto de partes o elementos organizados y relacionados que
interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos,
energía o materia del ambiente y proveen (salida) información, energía o materia.
(Fuente:http://www.alegsa.com.ar/Dic/sistema.php)

68
Sistema Operativo: Es un programa o conjunto de programas que en un sistema
informático gestiona los recursos de hardware y provee servicios a los programas de
aplicación, ejecutándose en modo privilegiado respecto de los restantes y anteriores
próximos y viceversa (aunque puede que parte del mismo se ejecute en espacio de
usuario). (Fuente:http://es.wikipedia.org/wiki/Sistema_operativo)
Software: Es el conjunto de los programas de cómputo, procedimientos, reglas,
documentación y datos asociados, que forman parte de las operaciones de un sistema
de computación. (Fuente:http://es.wikipedia.org/wiki/Software)
Software Libre: Aunque esta denominación a veces se confunde con «gratis» por la
ambigüedad del término free en el idioma inglés, por lo que también se usa libre
software) es la denominación del software que respeta la libertad de todos los
usuarios que adquirieron el producto y, por tanto, una vez obtenido el mismo, puede
ser usado, copiado, estudiado, modificado, y redistribuido libremente de varias
formas. (Fuente:http://es.wikipedia.org/wiki/Software_libre)
Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quién
hizo qué y en qué momento. (Fuente: La metodología de MAGERIT – versión 3.0)
Valor: De un activo. Es una estimación del coste inducido por la materialización de
una amenaza. (Fuente: La metodología de MAGERIT – versión 3.0)
Vulnerabilidad: Defecto o debilidad en el diseño, implementación u operación de un
sistema que habilita o facilita la materialización de una amenaza. (Fuente: La

69
REFERENCIAS BIBLIOGRÁFICAS
Metodología de MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información libro 1 método
Riesgos de los Sistemas de Información libro 2 catálogo de elementos
Riesgos de los Sistemas de Información libro 3 guía de técnicas
Constitución De La República Bolivariana De Venezuela. (2000)
Ley Orgánica De Ciencia, Tecnología E Innovación. (2005)
Ley Especial Contra Los Delitos Informáticos. (2001)

70
REFERENCIAS ELECTRÓNICAS
http://es.wikipedia.org/wiki/Archivo_%28inform%C3%A1tica%29
http://es.wikipedia.org/wiki/Base_de_datos
http://es.wikipedia.org/wiki/Campo_%28inform%C3%A1tica%29
http://es.wikipedia.org/wiki/Dato
http://es.wikipedia.org/wiki/Hardware
http://es.wikipedia.org/wiki/Inform%C3%A1tica
http://es.wikipedia.org/wiki/Informaci%C3%B3n
http://es.wikipedia.org/wiki/Interfaz_de_usuario
http://es.wikipedia.org/wiki/PostgreSQL
http://es.wikipedia.org/wiki/Sistema_operativo
http://es.wikipedia.org/wiki/Software
http://es.wikipedia.org/wiki/Software_libre
http://sigesp.com.ve/sigesp/
http://www.alegsa.com.ar/Dic/concurrencia.php
http://www.alegsa.com.ar/Dic/sistema.php
http://www.mastermagazine.info/termino/4720.php
http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

72
Fichas de recolección
1. [info] Activos esenciales: información
[info] información
Código: Nombre:
Descripción:
Propietario:
Responsable:
Tipo:
Valoración
Dimensión Valor Justificación
[I]
[C]
[A]
[T]
Dependencias de activos inferiores (hijos)
activo: grado:
¿Por qué?:
activo: grado:
¿Por qué?:

73
2. [service] activos esenciales: servicio
[service] servicio
Código: Nombre:
Descripción:
Responsable:
Tipo: [per][A] [classified] [C]
Valoración
Dimensión Valor Justificación
[D]
[A]
[T]
activo: grado:
¿Por qué?:
activo: grado:
¿Por qué?:

74
3. [D] datos/ información
[D] datos/ información
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:
activo: grado:
¿Por qué?:
4. [K] claves criptográficas
[Key] claves criptográficas
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:
activo: grado:
¿Por qué?:

75
5. [S] servicios
[S] servicio
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: Grado:
¿Por qué?:
6. [SW] aplicaciones (software)
[SW] aplicaciones (software)
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:

76
7. [HW] equipamiento informático (hardware)
[HW] equipamiento informático (hardware)
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:
8. [COM] redes de comunicaciones
[COM] redes de comunicaciones
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:

77
9. [Media] soporte de información
[Media] soporte de información
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:
10. [AUX] Equipamiento auxiliar
[AUX] Equipamiento auxiliar
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:

78
11. [L] Instalaciones
[L] Instalaciones
Código: Nombre:
Descripción:
Responsable:
Tipo:
activo: grado:
¿Por qué?:
12. [P] Personal
[P] Personal
Código: Nombre:
Descripción:
Responsable:
Tipo:

Eber mata(tesis lista)

Recomendados

Recomendados

Más contenido relacionado

Similar a Eber mata(tesis lista)

Similar a Eber mata(tesis lista) (20)

Último

Último (20)

Eber mata(tesis lista)