CAPÍTULO II

MARCO REFERENCIAL

Antecedentes de la Investigación

Es posible hacer notar que para la realización de esta investigación se

tomaron en cuenta algunos antecedentes que servirán de base para el
sustento de la misma, los cuales se señalan a continuación:

Cadme y Duque (2012), elaboraron su trabajo de tesis titulado,

“Auditoria de Seguridad Informática ISO 27001 para la Empresa de
Alimentos “Italimentos CIA. LTDA.”, donde plantearon una auditoria con
base en la norma ISO 27001, que habla de la seguridad en la información, y
se enfocaron en auditar todos y cada uno de los procesos y componentes de
la seguridad de la información dentro de la empresa, debieron desglosar las
distintas partes de la organización y manejar un alto nivel de conocimiento de
las actividades, personal, activos, y equipos que la empresa posee para
asegurar su valiosa información. Se selecciona este tema en particular, por
su estrecha relación con la investigación que se describe en este trabajo, al
elegir una auditoria como herramienta para el descubrimiento de las fallas o
posibles riesgos y amenazas que se puedan presentar en la organización, es
decir, se deberá auditar la organización parte por parte para conocer en
detalle el objeto del estudio.

9
 Duarte (2012), presentó su tesis de grado titulada, “Procesos de
Auditoria en Sistemas de Información en la Empresa Industrial
Productos Lácteos González CIA. LTDA”, propuso una revisión minuciosa
en dicha organización por revelar cierto malestar interno referente a la
operatividad del Sistema Informático que utiliza, por lo tanto, se requería de
una evaluación sistemática sobre la funcionalidad del mismo, la cual se
realizó siguiendo las pautas establecidas por La metodología usada fue la
Auditoria de Sistemas Computacionales (2002). Sin mencionar que entre los
hallazgos se descubrió que la empresa no contaba con un manual de
políticas y funciones actualizadas. Se tomo en consideración este trabajo de
investigación por el hecho que se concentra en la revisión del sistema de
información de la empresa y se pretende descubrir las fallas que posea, para
posteriormente brindar soluciones factibles a las problemáticas..

Quintuña (2012), elaboro su tesis de grado titulada “Auditoria

Informática a la Superintendencia de Telecomunicaciones (SUPERTEL)”,
donde plantea un recorrido por los diversos estándares, técnicas y normas
que rigen actualmente los procesos de auditoría informática, aplicadas a la
superintendencia de telecomunicaciones, fue un proceso que permitió
fortalecer debilidades y mejorar la aportación de las TICs a la consecución de
los objetivos institucionales de la SUPERTEL, mediante recomendaciones y
planes de acción emitidos con el objeto de que cada individuo y función de la
institución opere de modo productivo y efectivo en sus actividades diarias.
Luego de haber realizado un estudio y análisis comparativo de las
metodologías, normas, técnicas, y estándares que rigen los procesos de
auditoría en la actualidad, además de examinar la legislación informática
vigente en el Ecuador, se ha determinado como marco de referencia para la
ejecución de la auditoría a COBIT (Control Objectives for Information and
related Tecnology), por ser un estándar que asocia las mejores prácticas
para el control de TI y para la implementación de Gobierno de estas;

9
características que lo han posicionado como uno de los modelos más
utilizados en el mundo por usuarios, directivos y auditores. Como se
mencionó anteriormente, la auditoria utilizada fue la COBIT, y de esta se
tomaron algunas referencias metodológicas por ser la más completa en
cuanto a asociaciones y prácticas para el control de las tecnologías de la
información.

Ávila (2010), publicó su trabajo especial de grado bajo el titulo,

“Evaluación a la Plataforma Tecnológica del Instituto Universitario
Politécnico “Santiago Mariño” Extensión Porlamar”, como parte esencial
para obtener el título de ingeniero de sistemas, en dicha investigación de
destacó la necesidad de correr una Auditoria de Sistemas Computacionales,
al presentarse una problemática en el área de tecnología, basados en la
problemática que se generaba a la hora de la movilización de los equipos
entre las distintas sedes del Instituto, es por eso que dicha auditoria
evidenció las fallas y propuso soluciones tangibles tanto para el finiquito de la
falla, así como, para el mejoramiento y eliminación de riesgos, la mejora de
los activos tangibles e intangibles. En dicha investigación se recurrió a la
Auditoria de Sistemas Computacionales (2002) propuesta por Carlos Muñoz
Raso, la cual será usada como base para el proceso de auditoría del
presente estudio.

Bases Teóricas

Sistemas

Los sistemas son conjuntos de elementos que interactúan entre sí

para alcanzar algún objetivo. De hecho los sistemas son todos aquellos que

10
rodean al ser humano. Según Seen (1998), “Un sistema es simplemente un
conjunto de componentes que interactúan para alcanzar un objetivo”. (p.11).

Por lo que se determina que los sistemas tienen a lograr dos grandes
objetivos; satisfacer las necesidades operacionales o técnicas de una
empresa y disminuir las necesidades físicas y mentales del ser humano, para
ello debe existir un profesional que se encargue de verificar que el sistema
desempeñe sus procesos correctamente y que sus resultados sean los
esperados.

Características de los Sistemas

Según Bertalanffy (1976), un sistema es un conjunto de unidades

recíprocamente relacionadas. De ahí se deducen dos conceptos: propósito (u
objetivo) y globalismo (o totalidad)

 Propósito u Objetivo: todo sistema tiene uno o algunos propósitos. Los

elementos (u objetivos), como también las relaciones, definen una
distribución que trata siempre de alcanzar un objetivo.
 Globalismo o Totalidad: un cambio en una de las unidades de un
sistema, con probabilidad producirá cambio en las otras. El efecto total
se presenta como un ajuste a todo el sistema. Hay una relación de
causa/efecto. De estos cambios y ajustes se derivan dos fenómenos:
entropía y homeostasis.
 Entropía: es la tendencia de los sistemas a desgastarse, a
desintegrarse, para el relajamiento de los estándares y un aumento de
la aleatoriedad. La entropía aumenta con el correr del tiempo. Si
aumenta la información, disminuye la entropía, pues la información es
la base de la configuración del orden. De aquí nace la negentropia, o
sea, la información como medio o instrumento de ordenación de
sistema.

11
  Homeostasis: es el equilibrio dinámico entre las partes de sistema. Los
sistemas tienen una tendencia a adaptarse con el fin de alcanzar un
equilibrio interno frente a los cambios externos del entorno.

Tipos de Sistemas

Al respecto cabe citar que Solano (2005) [documento en línea], define

lo siguiente:

En cuanto a su constitución, pueden ser físicos o abstractos:

 Sistemas físicos o concretos: son los compuestos por equipos,

maquinarias, objetos o cosas reales, es decir, el hardware.
 Sistemas abstractos: son los compuestos por conceptos, planes,
hipótesis e ideas, es decir, el software.

En cuanto a su naturaleza, pueden ser cerrados o abiertos:

 Sistemas cerrados: no presentan intercambio con el medio

ambiente que los rodea, son herméticos a cualquier influencia
ambiental. No reciben ningún recurso externo y nada produce que
sea enviado hacia afuera.
 Sistemas abiertos: presentan intercambio con el ambiente, a través
de entradas y salidas. Intercambian energía y materia con el
ambiente. Son adaptativos para sobrevivir. Su estructura es óptima
cuando el conjunto de elementos del sistema se organiza,
aproximadamente a una operación adaptativa. La adaptabilidad es
un continuo proceso de aprendizaje y de auto-organización.

12
 Auditoria

A su vez Muñoz (2002), define auditoria como:

Proceso sistemático que consiste en obtener y evaluar
objetivamente evidencias sobre las afirmaciones relativas a los actos y
eventos de carácter económico; con el fin de determinar el grado de
correspondencia entre esas afirmaciones y los criterios establecidos,
para luego comunicar los resultados a las personas interesadas.
(p.11).

Tipos de Auditorias
Según Quintero (2006) [Documento en línea], los tipos de auditoría
son los siguientes:

 Auditoría fiscal: consiste en verificar el correcto y oportuno pago de los

impuestos y obligaciones fiscales de los contribuyentes desde el punto
de vista físico, direcciones o tesorerías de haciendas estatales o
haciendas municipales.
 Auditoría contable (de estados financieros): consiste en una revisión
exploratoria y critica de los controles subyacentes y los registros de
contabilidad de una empresa realizada por un contador público, cuya
conclusión es un dictamen acerca de la corrección de los estados
financieros de la empresa.
 Auditoría interna: proviene de la auditoria financiera y consiste en una
actividad de evaluación que se desarrolla de forma independiente en
una organización a fin de revisar la contabilidad, las finanzas y otras
operaciones como base de un servicio protector y constructivo para la
administración. En un instrumento de control que funciona por medio
de la evaluación de la eficacia de otras clases de control, tales como:
procedimientos; contabilidad y demás registros; informes financieros;
normas de ejecución, entre otros.

13
 Auditoría externa: es la revisión independiente que realiza un
profesional de la auditoria, con total libertad de criterio y sin ninguna
influencia, con el propósito de evaluar el desempeño de las
actividades, operaciones y funciones que se realizan en la empresa
que lo contrata, así como de la razonabilidad en la emisión de sus
resultados financieros.
 Auditoria Operacional: se define como una técnica para evaluar
sistemáticamente una función o unidad con referencia a normas de la
empresa utilizando personal no especializado en el área de estudio,
con el objeto de asegurar la administración, que sus objetivos se
cumplan y determinar qué condiciones pueden mejorarse. Como por
ejemplo la auditoria de operaciones y la evaluación de cumplimiento
de políticas de compra.
 Auditoria Administrativa: es un examen detallado de la administración
de un organismo social realizado por un profesional de la
administración con el fin de evaluar la eficiencia de sus resultados, sus
metas fijadas con base en la organización, sus recursos humanos,
financieros, materiales, sus métodos y controles, y su forma de operar.
 Auditoria Integral: es un examen que proporciona una evaluación
objetiva y constructiva acerca del grado en que los recursos humanos,
financieros y materiales son manejados con debidas economías,
eficacia y eficiencia.
 Auditoria legalidad: este tipo de auditoría tiene como finalidad revisar
si la dependencia o entidad, en el desarrollo de sus actividades, ha
observado el cumplimiento de disposiciones legales que sean
aplicables (leyes, reglamentos, decretos, circulares, entre otros).
 Auditoria de sistemas: es la revisión independiente que realiza un
auditor profesional, aplicando técnicas, métodos y procedimientos
especializados, a fin de evaluar el cumplimiento de las funciones,

14
 actividades, tareas y procedimientos de una entidad administrativa, así
como dictaminar sobre el resultado de dicha evaluación.

Objetivos de la Auditoria de Sistemas:

Muñoz (2002), los define como:

 Búsqueda de la mejor relación costo-beneficio de los sistemas

automáticos computarizados diseñados e implantados por el área de
sistemas.
 Incrementar la satisfacción de los usuarios de los sistemas
computarizados.
 Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
 Conocer la situación actual del área informática y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.
 Seguridad de personal, datos, hardware, software e instalaciones.
 Apoyo de función informática a las metas y objetivos de la
organización.
 Seguridad, utilidad, confianza, privacidad, y disponibilidad en el
ambiente informático.
 Minimizar existencias de riesgo en el uso de Tecnologías de
Información.
 Decisiones de inversión y gastos innecesarios.
 Capacitación y educación sobre controles en los Sistemas de
Información.

Normas de Auditoria

Entre las normas de la auditoria Quintero (2006) las describe de la

siguiente manera:

15
  Normas generales: la auditoria debe ser realizada por una persona o
personas que cuentan con la capacitación técnica adecuada y la
competencia de auditor. Debe tenerse cuidado con el desempeño de
la auditoria y en la preparación del informe.
 Normas para el trabajo: el trabajo ha de ser planteado adecuadamente
y los asistentes deben ser supervisados de forma adecuada.

Ha de conseguirse suficiente y competente evidencia mediante

inspección, observación, consultas y confirmaciones para tener así
una base razonable para una opinión con respecto a la información o
área que se está auditando

 Normas de la información: el informe debe manifestar si la información

o área auditada se presenta de conformidad con los principios o bases
establecidas como guía de auditoría.

Las evaluaciones informativas han de considerarse razonablemente

adecuadas a no ser que se indique lo contrario en el informe.

El informe debe contener una opinión general presentada y de los

puntos que involucren relevancia en el contexto auditado. Cuando no
se pueda expresar una opinión global, deben manifestarse las razones
de ello.

Principios y Valores del Auditor

Según Muñoz (ob.cit), los aspectos fundamentales que debe poseer el

profesional que se quiere dedicar a la actividad de la auditoria, son los
siguientes:
1. Honestidad: se dice de quien actúa con veracidad, sinceridad,
franqueza, honradez e imparcialidad en el cumplimiento de cualquier
encomienda, actividad o trabajo. En el caso del auditor, es el cabal

16
 cumplimiento de cada una de estas cualidades, con lo cual
proporciona la garantía de calidad profesional y moral que demandan
de esta actividad, las empresas y personas.

2. Integridad: la persona que posee esta cualidad es de principios sólidos

y fundamentales y actúa de forma honorable, recta, valerosa y se
apega a sus convicciones, cualesquiera que estas sean, y las hace
respetar; lo mismo sucede con el cumplimiento de los compromisos,
trabajo y actividades que se le encomiendan. Está claro que el
profesional que actúa como auditor debe poseer estas cualidades.

3. Cumplimiento: se dice que una persona es cumplida y digna de

confianza, cuando cumple escrupulosamente sus promesas, sus
compromisos y respeta la esencia y letra de los convenios que
contrae. Es obvio que el auditor que desea poseer esta cualidad debe
actuar conforme se indica en este punto, ya que será lo que le
ayudara a realizar cabalmente sus actividades.

4. Lealtad: es la cualidad que caracteriza a quien es noble, recto,

honesto y honrado con su familia, amigos, patrones, clientes y con su
país, respetando sobre casi todas las cosas una adhesión y
constancia con quienes le unen lazos de amistad, amor o
profesionalismo. En el caso del auditor, además del cabal respeto a lo
anterior, también se considera que es la fidelidad que guarda para sus
auditados, no utilizando ni revelando información que obtiene en forma
confidencial de la empresa auditada.

5. Imparcialidad: es cuando una persona en este caso el auditor, busca

actuar de manera equitativa en el cumplimiento de su trabajo o de
cualquier acciones que emprende, tratando siempre de ser justo,
honesto y razonable en los juicios que emite, y evitando, tomar partido

17
 hacia algún lado en cualquier auditoria. Además como profesional de
la auditoria, siempre debe estar dispuesto a reconocer errores y
cambiar de posición, creencia y acciones cuando sea necesario, y
debe procurar actuar siempre con un amplio compromiso de justicia
equidad, tolerancia y trato igual con los funcionarios y empleados que
audite.

6. Respeto a los demás: es la cualidad que caracteriza a quien

demuestra consideración y estima por la dignidad, la intimidad y el
derecho de autodeterminación de la gente, al actuar siempre de
manera cortes expedita y decente, y al proporcionarles lo que
necesitan para la mejor toma de decisiones, sin avergonzarles ni
degradarles. Esto es lo que debe hacer el auditor, independientemente
del puesto y posición que represente en la empresa.

7. Ciudadano responsable: se dice de la persona, en este caso el

auditor, que está dispuesta a respetar y hacer cumplir las leyes,
normas y reglamentos del país, al aceptar la responsabilidad y
solidaridad tanto en los derechos como en las obligaciones, que le
imponen la sociedad, las empresas y sus conciudadanos. Esta
persona respeta los principios y reglas que regulan las relaciones
laborales, morales, comerciales, sociales y de cualquier otro tipo;
también evita y, en su caso, protesta contra las injusticias.

8. Ve por los demás: cuando una persona es atenta y amable en su

trato, cuando es compartida, generosa y además tiene un amplio
sentido de ayuda hacia sus semejantes, se dice que ésta persona ve
por los demás; esta, específicamente, es una de las principales
funciones que debe cumplir el auditor, ya que como su actividad
fundamental es auditar (en este caso evaluar el trabajo del jefe y el

18
 empleado), siempre estará en contacto con los demás, pero desde
una posición de supervisión.

9. Búsqueda de la Excelencia: es evidente que las personas de éxito, así

como los auditores profesiones destacados, son aquellos que buscan
la excelencia (que sobresalen en merito y bondad) como normas ético-
morales que regulan la actuación del auditor. Estas personas
procuran, en todas sus acciones, ser siempre diligentes, confiables,
trabajadoras y comprometidas con el servicio que prestan en la
empresa, realizando su trabajo, en este caso la evaluación de las
áreas que auditan lo mejor que pueden.

10. Responsabilidad: es el hecho de aceptar el compromiso que implica la

toma de decisiones y las consecuencias previstas por las acciones u
omisiones por el cumplimiento del trabajo. En el caso especifico del
auditor, con la evaluación que realiza y el dictamen que emite,
adquiere el compromiso ineludible de una actuación profesional,
aceptando plenamente la consecuencia de su actuación personal.

11. Confiabilidad: es una de las cualidades más buscadas en el

profesional que se dedica a la auditoria, ya que asume que su
actuación esta apegada a las normas de criterio que regulan esta
profesión (animo de hacer las cosas con rectitud). Por esta razón el
auditado puede confiar en que el auditor aplicará las herramientas y
métodos necesarios para realizar la auditoria.

12. Veracidad: es la cualidad que dice o profesa la verdad, se confiere

veracidad a quien actúa con suficiente honestidad, experiencia,
conocimiento en su ramo, para emitir opiniones y juicios que estén
avalados por una confianza en lo que dice. En el caso del auditor, se

19
 refiere a la utilización de herramientas, métodos y procedimientos de
auditoría, con las cuales se puede obtener datos fidedignos.

Criterios y Responsabilidad del Auditor

Según Muñoz (ob.cit), los criterios y responsabilidades se pueden agrupar

de la siguiente manera:

 Criterios y responsabilidades del auditor en el aspecto ético-moral.

 Criterios y responsabilidad del auditor en el aspecto profesional-
personal.
 Criterios y responsabilidad del auditor en el aspecto laboral.
 Criterios y responsabilidad del auditor en el aspecto de elementos de
juicio.
 Criterios y responsabilidad del auditor en su respuesta ante las
autoridades, leyes, normas y reglamentos.
 Criterios y responsabilidad del auditor en la presentación de
resultados.

Tecnología

En cuanto a esto cabe señalar que Muñoz (ob.cit), define tecnología

como “el conjunto de elementos técnicos, herramientas y procedimientos
específicos mediante los cuales se puede realizar con eficiencia y eficacia un
arte, especialidad o una actividad productiva”.

Sistema de Variables

Al respecto, Ávila (2001), indica lo siguiente:

Las variables expresan sus características, atributos o

aspectos que se desean conoce, explicar, dimensionar, y

20
 estudiar con el objetivo investigado. Las variables son
características observables, susceptibles de adoptar distintos
valores o ser expresados en varias categorías y siempre están
referidas a las unidades del análisis. (p.107).

Cuadro 1.
Sistema de Variables

VARIABLE DEFINICION

Actividades y Mecanismos mediante los cuales un negocio

Operaciones busca generar ingresos y beneficios. a través de
estrategias a implementar.

Proceso donde se realiza una elección entre las

Procesos Operativos
opciones disponibles, para resolver un problema
con diferente contexto.

Revisión de la contabilidad de una empresa,

Auditoría
de una sociedad, etc., realizada por un
auditor

Resultados Efecto y consecuencia de un hecho,

operación o deliberación

Descripción, oral o escrita, de las

Informe
características y circunstancias de un
suceso o asunto
Nota. Elaboración propia.(2015)

Bases Legales

La propuesta de estudio de Vulnerabilidad del Sistema del

Departamento de Recepción de la Empresa “Corporación Hotelera Playa El
Tirano”, está sustentada y amparada por leyes en Venezuela, como también
respaldada en la Norma de Certificación Internacional que se va a utilizar

21
para la evaluación de la auditoria, que de acuerdo a lo expresado por Solano
(2004) [Documento en línea], referente a las normas ISO, dice:

Son documentos técnicos de referencia que han sido

elaborados a partir de la información, las experiencias y las
innovaciones de diferentes organizaciones a escala
internacional, y han evolucionado para adecuarse más a los
clientes y eliminar la burocracia con la que siempre se ha
relacionado la Gestión de Calidad.

Entre las normas ISO se encuentra la Norma de Certificación

Internacional 17.999, publicada en el año 2000, que según Mosquera (2006)
[Documento en línea], “es un código de buenas prácticas para la
administración de la seguridad de la información de una organización, de tal
forma que le permita en todo momento garantizar la confidencialidad,
integridad y disponibilidad de la información que maneja. (p.7).

Además, expresa que:

La norma tiene su origen en el British Standard DB 7.799,

la cual consta de dos partes, en la primera parte se tiene la
Normalización, que se convirtió en la Norma ISO/IEC
17.999:2.000, la segunda parte: Certificación que hasta el año
2005 se le trabajaba en base a BS 7.799-2, ahora se lo hace con
la norma ISO 27.001. La Norma ISO 17.999 tiene dos versiones
la 2000 y la 2005. (p.7).
Por otro lado, Quintero (2006) [Documento en línea], la Norma ISO
17.999:2005 está organizada en las siguientes secciones:

 Alcance: recomendaciones para la gestión de la seguridad de la

información como base común para el desarrollo de estándares
comunes de seguridad.
 Términos y definiciones: señala definiciones a ser aplicadas para la
administración de la seguridad.
 Estructura del estándar: detalle para asistir al uso y aplicación más
amena y fácil del estándar.

22
  Evaluación y manejo del riesgo: proporciona enfoques sobre la
importancia de efectuar una administración de riesgos para definir los
controles aplicables. Necesidad de un continuo seguimiento y
administración de los riesgos.
 Dominios: contienen controles, y estos a su vez objetivos,
constituyéndose así en el punto de partida para el desarrollo de
políticas, normas, procedimientos y estándares propios de cada
organización.

Del mismo modo, Argentero (2006) [Documento en línea], define los

diez (10) dominios de control que cubren casi por completo la Gestión de
Seguridad de la Información que establece la Norma ISO/IEC 17.999:

1. Políticas de seguridad: el estándar define como obligatorias las

políticas de seguridades documentales y procedimientos internos de
la organización que permitan su actualización y revisión por parte de
un Comité de Seguridad.
2. Aspectos Organizativos: establece el marco formal de seguridad que
debe integrar una organización.
3. Clasificación y control de activos: el análisis de riesgos generara el
inventario de activos que deberá ser administrado y controlado con
base en ciertos criterios de clasificación y etiquetado de información,
es decir, los activos serán etiquetados de acuerdo con su nivel de
confidencialidad.
4. Seguridad ligada al personal: contrario a lo que uno se pueda
imaginar, no se orienta a la seguridad del personal desde la óptica de
protección civil, sino a proporcionar controles a las acciones del
personal que opera con los activos de información. Su objetivo es
contar con los elementos necesarios para mitigar el riesgo inherente a
la interacción humana, o sea, establecer claras responsabilidades por
parte del personal en materia de seguridad de la información.

23
5. Seguridad física y del entorno: identificar los parámetros de
seguridad, de forma que se puedan establecer controles en el manejo
de equipos, transferencias de información y control de los accesos a
las distintas áreas con base en el tipo de seguridad establecida.
6. Gestión de comunicaciones y operaciones: integrar los
procedimientos de operación de la infraestructura tecnológica y el de
controles de seguridad documentados, que van desde el control de
cambio en la configuración de los equipos, manejo de incidentes,
administración de aceptación de sistemas, hasta el control de códigos
maliciosos.
7. Control de accesos: habilitar los mecanismos que permitan monitorear
el acceso a los activos de información, que incluyen los
procedimientos de administración de usuarios, definición de
responsabilidades o perfiles de seguridad y el control de accesos a
las aplicaciones.
8. Desarrollo y mantenimiento de sistemas: la organización debe
disponer de procedimientos que garanticen la calidad y seguridad de
los sistemas desarrollados para las tareas especificas de la
organización.
9. Gestión de continuidad del negocio: el sistema de administración de la
seguridad debe integrar los procedimientos de recuperación en caso
de contingencias, los cuales deberán ser revisados de manera
constante y puestos a pruebas con la finalidad de determinar las
limitaciones de los mismos.
10. Cumplimiento o conformidad de la legislación: la organización
establecerá los requerimientos de seguridad que deben cumplir todos
sus proveedores, socios y usuarios; estos se encontraran
formalizados en los contratos o convenios.

24
 De estos dominios nombrados se derivan 36 objetivos de control y
127 o más controles, ambos se encuentran destinados a dotar y esparcir
seguridad a la información en el ambiente digital, a través de numerosas
auditorias, consultorías y/o paradigmas. (Ver figura 1).

Estructura Piramidal de Dominios de Control de la Norma ISO 17.999

Figura 1. Estructura Piramidal de Dominios de Control de la Norma ISO 17.999.

Fuente. “Evaluación de la Plataforma Tecnológica Del Instituto Universitario
Politécnico “Santiago Mariño”, Extensión Porlamar. (Ávila, 2010)

Y conjuntamente, la Ley Contra los Delitos Informáticos, publicada en gaceta

oficial el 30 de Octubre de 2001, Nº 37.313 por la Asamblea Nacional de la
República Bolivariana de Venezuela, tal y como lo expresa en los Artículos
1,6, 7, 11, 12, 20 21 y 22, protege de manera integral los sistemas que
utilicen tecnologías de información, así como previenen y sancionan los
delitos cometidos contra tales sistemas o cualesquiera de sus componentes.
Además, posee en su articulado las diversas legislaciones que le competen
a un proyecto informático.

25
 De la citada ley se tomaran en cuenta cada uno de los artículos para
evaluar la Vulnerabilidad del Sistema del Departamento de Recepción de la
Empresa “Corporación Hotelera Playa El Tirano”, y de esta manera
establecer cuales aplican a la hora de proponer la auditoría computacional
enfocados en la seguridad, confidencialidad, integridad de la información de
los usuarios y de la organización.

Por consiguiente, en ejercicio de la atribución que le confiere el

Artículo 6 Numeral 1 del Decreto de la Asamblea Nacional Constituyente
mediante el cual se establece el Régimen de Transición del Poder Público,
publicado en la Gaceta Oficial No. 36.920 de fecha 28 de marzo del año
2000, se decreta la Ley Orgánica de Telecomunicaciones, la cual cuenta con
ciertos artículos que se tomaron en consideración, los cuales son: Artículos
4, 5 y 6, que contienen las normas específicas aplicables al presente
estudio.

Definición de Términos Básicos

Confidencialidad: asegurar que únicamente, el personal autorizado tenga

acceso a la información. (Argentero, 2006) [Documento en línea].

Consultoría: consiste en dar asesoramiento o consejo sobre lo que ha de

hacer o como llevar adecuadamente una determinada actividad para obtener
los fines deseados. (Definición operacional)

Controles: prácticas, procedimientos o mecanismos que reducen el nivel de

riesgo. (Argentero, 2006) [Documento en línea].

Disponibilidad: cerciorarse que los usuarios autorizados tendrán acceso a

la información cuando la requiera y sus medio asociados. (Argentero 2006)
[Documento en línea].

26
Entrenamiento y Capacidad Profesional: el trabajo de auditoría debe ser
desempeñado por personas que, teniendo en título profesional legalmente
expedido y reconocido, tenga entrenamiento técnico adecuado y capacidad
profesional como auditores. (Definición operacional).

Ecuanimidad: la actitud del auditor debe ser totalmente libre de prejuicios.

(Definición operacional).

Evidencia objetiva: Consiste en una información cuya veracidad se puede

demostrar basada en hechos obtenidos mediante observación, medición,
ensayo y u otro medios. (Solano, 2006) [Documento en línea].

Gestión de Calidad: es el conjunto de actividades de la función general de

la dirección que determinan la política de la calidad, los objetivos, las
responsabilidades, y se implantan por medio tales como la planificación de la
calidad, el control de la calidad, el aseguramiento de la calidad y la mejora
de localidad dentro del marco el sistema de calidad. (Caballano, 2004)
[Documento en línea].

Guía Protocolar: conjunto de normas a llevar a cabo. (Definición

operacional).

Integridad: garantizar que la información no será alterada, eliminada o

destruida por entidades no autorizadas, preservando exactitud y completitud
de la misma y de los métodos de su procesamiento. (Argentero, C. 2006)
[Documento en línea].

Independencia: el auditor está obligado a mantener una independencia

mental en todos los asuntos relativos a su trabajo profesional. (Vilches, R.
2007). [Documento en línea].

ISO: es la denominación con que se conoce a La Organización Internacional

para la Estandarización. (Definición operacional).

27
Normas de auditoría: son los requisitos mínimos de calidad, relativas a la
personalidad del auditor, al trabajo que desempeña y a la información que
rinde como resultado de ese trabajo. (Quintero, 2006) [Documento en línea].

Objetivos de control: resultados que se esperan alcanzar mediante la

implementación de inspecciones. (Argentero, 2006). [Documento en línea].

Plataforma tecnológica: son todos aquellos equipos de

telecomunicaciones, sistemas de información, gestión y administración, es
decir, la tecnología adecuada que permite la consecución de los objetivos
planificados por la empresa. (Ávila, 2010). [Documento en línea].

Seguridad informática: son diversas técnicas, aplicaciones y dispositivos

encargados de asegurar la integridad y privacidad de la información de un
sistema informático y de sus usuarios. (Definición operacional).

28