Actividad 17 Abril 2021

UNIVERSIDAD DE CARTAGENA
Fundada en 1827
PROGRAMAS DE EDUCACIÓN SUPERIOR ABIERTA Y A DISTANCIA
ACTIVIDAD No.1
ASIGNATURA AUDITORIA TECNOLOGICA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SOFTWARE
CENTRO TUTORIAL LORICA
IX SEMESTRE
Fecha 24 abril 2021
Apreciado Estudiante la Actividad No.1 Consiste en las Siguientes Preguntas:

1. Identifique y Defina el concepto y propósito de la Auditoria Tecnológica en una
organización.
2. Identifique y Defina los principios de auditoria en una organización.
3. Identifique y Defina que son los Activos en una organización.
4. Identifique y Defina en que consiste la seguridad de la información.
5. En que consiste el Derecho Informático, realice una breve síntesis de su historia,
evolución y funcionalidad.
6. En qué consisten los Delitos Informáticos, defina, y de ejemplos.
7. Identifique y Defina ISO/IEC Guía 73:2002 (Riesgo).
8. En que consiste el análisis del riesgo en una organización.
9. Identifique y Defina en que consiste la evaluación del riesgo en una organización.
10. Identifique y Defina en que consiste la valoración del riesgo en una organización.
11. Identifique y Defina en que consiste la gestión del riesgo en una organización.
12. Identifique y Defina en que consiste el tratamiento del riesgo en una organización.
La Actividad deben Realizarla individualmente, Utilizar las Normas APA. Agradezco el

cumplimiento de la Actividad y desarrollo de esta.
TUTOR:
EUGUENIS ALFONSO YANEZ SEGURA
Ingeniero de Sistemas
Especialista en Gerencia de Proyectos
Especialista en Gestión y Seguridad de Base de Datos
Maestrante Recursos Digitales para la Educación
¡Siempre a la altura de los tiempos!

Dirección: Campus Zaragocilla área de la Salud; Teléfonos: 6697395 – 6698359; Fax: 6697146
Cartagena D.T y C - Bolívar
Fundada en 1827
1. Identifique y Defina el concepto y propósito de la Auditoria Tecnológica en una

organización.
Qué es la Auditoría Tecnológica
Es un servicio que permite analizar el patrimonio tecnológico de una empresa, en otras

palabras, consiste en analizar la tecnología que una empresa está usando en una actividad
concreta y la comparación con el estado de la técnica al nivel geográfico que se defina
(regional, nacional o internacional). Permite por tanto identificar las principales exigencias,
necesidades, debilidades y fortalezas de una empresa.
Por qué es importante realizar una Auditoría Tecnológica
La importancia de la auditoría tecnológica reside en la valiosa información que aporta

acerca de su empresa:
 Identifica el potencial tecnológico de la empresa.
 Prioriza las necesidades y orienta las inversiones.
 Aprovecha las fortalezas detectadas y corrige las debilidades.
 Define qué condiciones debemos cumplir y qué tecnología necesitamos para ser
competitivos.
 Identifica cuándo debemos adquirir tecnología.
 Aporta información acerca de protección de la propiedad industrial.
Para qué sirve una Auditoría Tecnológica en mi empresa
La auditoría tecnológica es un elemento muy importante que ayuda a establecer la

estrategia tecnológica de la empresa. El principal objetivo que se persigue es que el
patrimonio tecnológico esté siempre aumentando o al menos manteniéndose. La Auditoría
Tecnológica permite identificar las tecnologías que deberían incorporarse y las que ya no
son de interés para la empresa, y por tanto pueden licenciarse o venderse (obteniendo unos
ingresos extra).
Cuáles son las fases de una Auditoría Tecnológica
De forma general, independientemente del método empleado, el proceso para la realización

de una auditoría tecnológica es el siguiente:
 Se debe realizar un inventario tecnológico y evaluar la base de conocimiento.

 Se deben definir las tecnologías y los productos de la empresa.

Fundada en 1827
 Una vez conocemos las tecnologías, se deben calcular los niveles de tecnología de
la empresa y analizar la posición de la empresa con respecto a sus competidores.
 Sacar conclusiones relativas al resultado del análisis de las tecnologías y la posición
relativa de la empresa. Las conclusiones aquí sacadas servirán como dato de partida
para establecer una estrategia tecnológica.
¿Qué son y cómo se evalúan el inventario tecnológico y la base de conocimiento?
En qué consisten el inventario tecnológico y la base de conocimiento?
El inventario tecnológico consiste en interrogarse sobre las herramientas que se disponen y

la tecnología que emplean, mientras que la base de conocimiento consiste en el saber hacer
del que goza la empresa en todas sus actividades, ambos conceptos referidos de forma
global desde la concepción de los productos o servicios que ofrece hasta la atención
posventa, pasando evidentemente por la producción, la comercialización, la gestión de
cobros, etc.
Cómo se realiza un inventario tecnológico?
Para realizar un inventario tecnológico, es necesario realizar un inventario de la maquinaria,

equipos y herramientas informáticas que posee la empresa. Para todos estos, habrá que
establecer su estado de propiedad (propio, leasing…) y el desempeño diario de cada uno,
así como establecer el estado actual de los mismos y los años de uso de cada uno de ellos.
¿Cómo se evalúa la base de conocimiento?
Para evaluar la base de conocimiento, es muy importante establecer el dominio de las

tecnologías actuales por parte del personal de la empresa. Para ello, es importante conocer
datos como son el número de expertos en la empresa, su experiencia en el manejo de dichas
tecnologías o documentación de los procesos para el manejo de cada tecnología entre otros.
Algunos de estos datos se pueden adquirir por ejemplo mediante el uso de encuestas
correctamente diseñadas.
2. Identifique y Defina los principios de auditoria en una organización.
La auditoría se caracteriza por depender de diferentes principios. Los principios tienen que
ayudar a realizar la auditoría, es decir, proporcionan herramientas eficientes y fiables de
apoyo a las políticas y controles de gestión, facilitando información sobre cómo debe actuar
una organización para mejorar su desempeño.

Fundada en 1827
Adherirse a los principios es un requisito previo para establecer las conclusiones de la

auditoría que sean pertinentes y suficientes y permiten que los auditores trabajen
independientes para conseguir conclusiones similares en circunstancias similares.
Las orientaciones se basan en 6 principios que procedemos a señalar:
Integridad
Es un fundamento de la profesionalidad. Los auditores y las personas que realizan la
gestión de un programa de auditoría deben desempeñar su trabajo con honestidad,
diligencia y responsabilidad, observar y cumplir todos los requisitos legales que sean
aplicables, demostrar la competencia a la hora de realizar su trabajo, desarrollar su trabajo
de forma imparcial, es decir, sin estar influenciados por nada y por nadie, ser sensible a
cualquier influencia que pueda ejercer su juicio mientras realiza una auditoría.
Presentación imparcial
Es la obligación de informar con veracidad y exactitud. Todos los hallazgos, conclusiones e
informes tienen que reflejar con veracidad y exactitud las actividades que se realizan
durante las auditorías. Se tiene que informar de todos los obstáculos que se encuentran en
el camino al realizar la auditoría y las opiniones divergentes que se queden sin resolver
entre el equipo auditor y la persona auditada. La comunicación tiene que ser veraz, exacta,
objetiva, oportuna, clara y completa.

Ser profesional
Contar con diligencia y tener juicio a la hora de realizar la auditoría. Los auditores deben
proceder con mucho cuidado, según la importancia que tenga la tarea que quieren
desempeñar y la confianza que se deposite en ellos por el cliente de la auditoría y por las
demás partes interesadas. Un gran factor a tener en cuenta a la hora de realizar su trabajo
con el debido cuidado profesional es contar con la capacidad de realizar juicios razonados
con todas las situaciones de la auditoría.
Confidencialidad
Se debe realizar cuidando la seguridad de la información. Los auditores deben proceder con
discreción durante la utilización y la protección de la información que ha adquirido durante
la realización de la auditoría. La información de la auditoría no puede usarse de forma
inapropiada para beneficio personal del auditor o del cliente de la auditoría, de forma que
pueda perjudicar al interés legítimo del auditado. El concepto incluye el tratamiento
apropiado de la información sensible o confidencial.
Independiente
Es la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la
auditoría. Los auditores deben ser independientes a la actividad que se quiere auditar

Fundada en 1827
siempre y cuando sea posible, además existen casos en los que deben actuar de forma libre
contra el conflicto de intereses. Para las auditorías internas, los auditores deben ser
independientes de los responsables operativos de la sección que se desea auditar. Los
auditores deben mantener la objetividad según el proceso de auditoría para asegurarse de
los hallazgos y las conclusiones de la auditoría que se basan sólo en la evidencia de la
auditoría.
Para las empresas pequeñas, puede que no sea posible que los auditores internos sean
independientes del todo de la actividad que deben auditar, pero tiene que hacer esfuerzos
para eliminar esta barrera y fomentar la objetividad.
Enfoque basado en la evidencia

Es el método racional para conseguir las conclusiones de las auditorías fiables y
reproducibles en un proceso de auditoría sistemático. La evidencia de la auditoría tiene que
ser verificable. En general se basa en la información que tienen disponible, ya que la
auditoría se realiza durante un tiempo limitado y con recursos que tiene fin. Se tiene que
aplicar una utilización apropiada para el muestreo, ya que se relaciona de forma estrecha
con la confianza que puede depositarse en las conclusiones de la auditoría.
3. Identifique y Defina que son los Activos en una organización.
Los activos son todos aquellos bienes, recursos, derechos y valores con los que cuenta una
empresa, es decir, todo aquello que suma a su favor. Pueden ser bienes inmuebles,
construcciones, infraestructuras, máquinas, vehículos, equipos tecnológicos o sistemas
informáticos, pero también derechos de cobro por servicios prestados a terceros o la venta
física de productos y bienes a sus clientes.
En esta categoría también procede incluir aquellas inversiones, títulos o bonos cuyos
beneficios se proyectan a medio o largo plazo. Aunque sus ventajas no son inmediatas ni se
traduce en liquidez, son elementos patrimoniales en potencia.
Lo contrario del activo es el pasivo, es decir, aquellos elementos por los que la empresa está
obligada a responder ante terceros: deudas, préstamos, créditos, compromisos salariales,
impuestos, y cargas fiscales, entre otros ejemplos.
Los activos se dividen en dos tipos: activos no corrientes y activos corrientes. El primer

grupo habla de aquellos bienes que permanecen en poder de la empresa durante al menos
un año; el segundo, de los que se mantienen menos de ese plazo.
Criterios para establecer el valor de los activos empresariales

Fundada en 1827
Aunque todos los activos suponen beneficios, independiente de si éstos se materializan a

largo o medio plazo, no todos tienen la misma importancia para el funcionamiento, la
liquidez, el rendimiento y la viabilidad de los negocios.
O dicho de otra manera: hay activos con más peso que otros. Ahora bien, ¿qué criterios
existen para determinar el valor de un activo? Repasemos algunos de ellos:
 Coste histórico: es aquel que se establece para aquellos bienes que tienen un cierto
arraigo a una marca o empresa. La mayoría de las veces no es igual que el coste
real, pues siempre hay en el coste histórico un componente simbólico que se asigna
por cuestiones de tradición e identidad.
 Coste de venta: es el precio con el que un producto o bien sale a la venta en el
mercado. Este valor suele llevar implícito el beneficio que la empresa obtendrá tras
haberlo diseñado, fabricado y comercializado.
 Coste amortizado: señala el importe por el que inicialmente ha sido valorado un
bien o activo, menos los reembolsos que se han producido en su proceso de venta.
Algunas veces se calcula con el interés efectivo de la diferencia entre el importe
inicial y el valor del reembolso.
 Valor neto: se refiere al coste del bien o producto sin que se incluya en dicha cifra
lo referido a pago de impuestos, cuotas de intermediarios o proveedores, entre otros.
Cuando se añaden estos componentes se le denomina valor bruto.
4. Identifique y Defina en que consiste la seguridad de la información.
Por seguridad de la información se entiende el conjunto de medidas preventivas y

reactivas que permiten resguardar y proteger la información. Dicho de otro modo, son todas
aquellas políticas de uso y medidas que afectan al tratamiento de los datos que se utilizan
en una organización.
La seguridad de la información es una pieza fundamental para que la empresa pueda llevar
a cabo sus operaciones sin asumir demasiados riesgos, puesto que los datos que se manejan
son esenciales para el devenir del negocio. Además, también hay que tener en cuenta que la
seguridad de la información debe hacer frente a los riesgos, analizarlos, prevenirlos y
encontrar soluciones rápidas para eliminarlos si se diera el caso.
La sociedad está cada vez más sensibilizada con este aspecto. Como individuos, somos
conscientes de lo importante que es mantener nuestra privacidad y por ello, 2018 supone un
punto de inflexión.
Con la entrada en vigor de la GDPR, la seguridad de la información y de los datos
sensibles de los ciudadanos de la UE se convierten en asunto de máxima prioridad. Su

Fundada en 1827
pérdida o tratamiento inadecuado puede incurrir en multas de hasta 2o millones de euros o

el 4% de la facturación anual de la organización.
Te explicamos en qué se basan los mecanismos de seguridad de la información y cuáles son
sus principales cambios con la llegada de la GDPR.
¿En qué se basa la seguridad de la información?
La seguridad de la información, como concepto, se basa en cuatro pilares: la
disponibilidad, la integridad, la confidencialidad y la autenticación.
 Disponibilidad: Acceso a la información cuando se requiere, teniendo en cuenta la
privacidad. Evitar “caídas” del sistema que permitan accesos ilegítimos, que
impidan el acceso al correo…
 Confidencialidad: Información accesible solo para personal autorizado. La
información no debe llegar a personas o entidades que no estén autorizados.
 Integridad: Información correcta sin modificaciones no autorizadas ni errores. Se
protege frente a vulnerabilidades externas o posibles errores humanos.
 Autenticación: Información procedente de un usuario que es quien dice ser. Se
verifica y se debe garantizar que el origen de los datos es correcto.
5. En qué consiste el Derecho Informático, realice una breve síntesis de su historia,

evolución y funcionalidad.
El derecho informático o derecho de la informática es un conjunto de principios y normas

que regulan los efectos jurídicos de la relación entre el derecho y la informática. Esta
actividad involucra aquello referente a la contratación informática, delitos cometidos
mediante su uso, relaciones laborales a que ella da lugar, litigios sobre la propiedad de
programas o datos, etcétera.
La informática es un fenómeno multifacético de la realidad contemporánea. Surge como

una actividad creada por el hombre como un instrumento esencial para superar las
dificultades generadas por la aceleración del progreso y su natural consecuencia: la
explosión informativa. La difusión de la informática ha impactado significativamente a la
cultura, la economía, la política, las ciencias, las comunicaciones y la organización del
trabajo, entre otras muchas áreas de la actividad social. El derecho como fenómeno social
tiene como objeto el regular las actividades del hombre en sociedad. El derecho como
fenómeno social se encuentra en constante evolución en relación con la evolución de la
sociedad. El derecho adapta continuamente sus reglas a las nuevas relaciones sociales y
económicas. La creación de un nuevo derecho es por lo general el resultado de una
experimentación social previa. A partir de derechos existentes y de montajes contractuales,
los sectores interesados logran introducir un nuevo objeto de derecho.

Fundada en 1827
Es por lo que la aparición de la informática en la sociedad ha generado múltiples relaciones

entre ella y el Derecho. Los vertiginosos avances tecnológicos en esta materia, con el uso
masivo de los computadores y la comunicación interactiva, presentan un nuevo y original
desafío al derecho. La informática ha provocado la aparición de reglas de derecho que le
son particulares, dispersos algunos, inadecuadas otras, algunas veces contradictorias, que
han desafiado a las tradicionales instituciones del derecho.
También la informática ha invadido sectores de la vida jurídica como el de la
documentación y Registros, así como en la propia administración de justicia. Es por lo
antes referido y en aras de dilucidar los conceptos cardinales del Derecho Informático,
debemos retrotraernos a su piedra angular: la informática. La informática surge en el seno
de la cibernética, ciencia que apareció como respuesta a una inquietud racional del hombre.
El asidero histórico de la aparición de la cibernética como género y de la informática como
especie, se encuentra en la acción del factor social (la necesidad social de un aumento en
la producción y en el capital), el factor técnico-científico (los avances de la ciencia y la
técnica en diversas áreas del conocimiento humano) y el factor histórico (la necesidad de
unificar los avances científico-técnicos de ese momento histórico para que funcionara como
unidad multitudinaria) de una época de convulso desarrollo intelectual.
De esta forma, el hombre se enfrenta a una necesidad de información y gestión eficaz de la
misma, por lo que recurrió a reformular postulados y técnicas que fueran capaces de
solucionar esta problemática con la implementación de nuevas formas de
manejo, organización y utilización de la información. Sin embargo, el desarrollo
y evolución de la informática no culminó en ese momento sino encontró su inicio jugando
un papel trascendental en todos los órdenes del desarrollo humano, impulsando novedosos
cambios y entretejiendo otros horizontes para las ciencias.
Adjuntamente, se alcanzaron objetivos como la transferencia de información, la
potenciación de las comunicaciones, la explotación de programas de uso institucional y
privado, la implementación de la ofimática, el perfeccionamiento de la formulación
de políticas, planeación y conducción de estrategias organizacionales; el perfeccionamiento
de la comunicación, dirección y supervisión de empleados, el
eficiente control de nóminas, contabilidad o inventarios, y la consolidación de
los sistemas de pago automatizado, entre otros aspectos. La informatización de la sociedad
llegó a alcanzar insospechados niveles. Desde hace ya algún tiempo, en el área industrial
escuchamos sobre robótica e implicaciones como el aumento de la productividad con
reducciones de tiempo y costos. Así mismo, el área de la medicina se ha beneficiado de
esta revolución informática con la creación e implementación de programas para gestionar
historias clínicas, exámenes, diagnósticos y pruebas de laboratorio con mayor exactitud.
En igual sentido, el Derecho ha conseguido notables y significativos resultados a
consecuencia de los aportes de una informática especializada en la arena legal, es decir, la
Informática Jurídica; entendida como el conjunto de aplicaciones de la informática en el
ámbito del Derecho. Hablamos de una técnica interdisciplinaria que fusiona las

Fundada en 1827
aplicaciones informáticas con el Derecho para la automatización de información jurídica y

la elaboración y aprovechamiento de los instrumentos de análisis y tratamiento de dicha
información.
Esta vertiente de la informática germina en 1959 en los Estados Unidos, con el desarrollo
de las primeras investigaciones sobre recuperación automatizada de documentos jurídicos.
Fue en la Universidad de Pittsburg, Pennsylvania, a través del Health Law Center, donde
John Horty concibió la idea de crear un mecanismo para obtener acceso automatizado a la
información legal. De esta manera, se expanden los usos de las computadoras a las áreas
lingüísticas.
En 1959, el Health Law Center colocó los ordenamientos jurídicos de Pennsylvania en
cintas magnéticas; quedando constituida la recopilación legal informática. Dicho sistema
fue demostrado en 1960, ante la Barra de la Asociación Americana de Abogados pasando a
la historia como la primera demostración de un sistema legal automatizado de búsqueda de
información. En 1966, doce Estados de Estados Unidos tenían este sistema, y para 1968,
cincuenta Estados de ese mismo país lo acogieron.
Actualmente, el Derecho Informático recurre al tratamiento automatizado de
las fuentes del conocimiento jurídico a través de los sistemas de documentación legislativa,
jurisprudencial y doctrinal (informática jurídica documental); las fuentes
de producción jurídica a través de la elaboración informática de los factores lógico-
formales que concurren en el proceso legislativo y en la decisión judicial (informática
jurídica decisional); y los procesos de organización de la infraestructura o medios
instrumentales con los que se gestiona el Derecho (informática jurídica de gestión).
Así, a causa de esa necesidad del Derecho de atemperarse a las circunstancias de la
sociedad que regula, se abre paso un nuevo campo de acción con el Derecho Informático.
En 1949 con la obra de Norbert Wiener, encontramos una de las primeras alusiones a esta
rama del derecho, cuando establece la relación entre Derecho y Cibernética; conjuntamente
al artículo "The next step forward" publicado el mismo año por Lee Loavenger.
El cambio que se ha experimentado en el campo de la computación y tele comunicaciones
en los últimos años, ha impactado de alguna manera en diversos sectores o ámbitos de la
sociedad, como en lo político, social y especialmente en el campo jurídico en cuanto a la
administración de justicia.
En Venezuela, urgía de un nuevo mecanismo para mejorar la calidad de nuestro sistema
judicial, donde la administración de justicia podría actuar de una forma más expedita,
eficiente, además de agilizar asuntos de carácter jurídico-administrativos, sin muchos
contratiempos, siempre buscando evitar engorrosos trabajos que de alguna manera
retrasaban las actividades propias de la administración de justicia.
Tomando en cuenta esta problemática y su posible solución por medios tecnológicos, nace
como producto del Convenio de Cooperación 3521-VE entre el Consejo de la Judicatura,
ahora Dirección Ejecutiva de la Magistratura y el Banco Mundial, el nuevo Modelo
Organizacional y Sistema Integral de Gestión, Decisión y Documentación JURIS 2000.

Fundada en 1827
Hoy día es posible hablar acerca de la Administración de Justicia automatizada, mejor

conocida como Informática Jurídica, por lo menos en las tareas administrativas que se
desarrollan en las dependencias judiciales. Claro está que, gracias a este sistema se
optimizan las labores de los Tribunales, permitiendo impartir una justicia rápida y eficaz.
En ese sentido dentro de nuestro contexto y así ir a la par de la globalización en cuanto a la
evolución tecnológica e informática, Venezuela fue progresivamente incorporando la
norma jurídica para sostener dichos avances, es por ello que el artículo 110º de la
Constitución de la República Bolivariana de Venezuela reconoce el interés de la ciencia y
tecnología para el desarrollo del país, y establece el compromiso del Estado para la
creación del Ministerio de Ciencia, Tecnología e Innovación y el compromiso del sector
privado en aportar recursos para el sistema nacional de ciencia y tecnología. Nace en el
año 2000 la Ley Orgánica de Telecomunicaciones que deroga el Reglamento de las
Telecomunicaciones y establece el marco legal para las telecomunicaciones en Venezuela y
regula las actividades necesarias para la prestación de ese servicio. En febrero de 2001 se
crea la Ley sobre Mensajes de Datos y firmas electrónicas Otorga y reconoce eficacia y
valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible
en formato electrónico, así como regula todo lo relativo a los Proveedores de Servicios de
Certificación y los Certificados Electrónicos. Así mismo la Ley especial contra delitos
informáticos que brinda protección a los ciudadanos que utilicen tecnologías de
información, así como la prevención y sanción de los delitos cometidos contra los sistemas
o con el uso de la tecnología y se regulan los delitos de: sabotaje, daño de sistemas,
falsificación documentos, acceso indebido, espionaje informático, violación de privacidad o
de datos personales, revelación indebida de información personal, difusión o exhibición de
material pornográfico adulto o de niños y adolescentes, apropiación de propiedad
intelectual.
6. En qué consisten los Delitos Informáticos, defina, y de ejemplo
Delito informático, delito cibernético o ciberdelito es toda aquella acción antijurídica que

se realiza en el entorno digital, espacio digital o de Internet. Ante el extendido uso y
utilización de las nuevas tecnologías en todas las esferas de la vida (economía, cultura,
industria, ciencia, educación, información, comunicación, etc.) y el creciente número de
usuarios, consecuencia de la globalización digital de la sociedad, la delincuencia también se
ha expandido a esa dimensión. Gracias al anonimato y a la información personal que se
guarda en el entorno digital, los delincuentes han ampliado su campo de acción y los delitos
y amenazas a la seguridad se han incrementado exponencialmente.
Además de los ataques que tienen como objetivo destruir y dañar activos, sistemas de
información y otros sistemas de computadoras, utilizando medios electrónicos y/o redes
de Internet, se producen nuevos delitos contra la identidad, la propiedad y la seguridad de
las personas, empresas e instituciones, muchos de ellos como consecuencia del valor que

Fundada en 1827
han adquirido los activos digitales para la big data empresarial y sus propietarios bien sean
entes jurídicos o personas naturales. Existen también otras conductas criminales que aunque
no pueden considerarse como delito, se definen como ciberataques o abusos informáticos y
forman parte de la criminalidad informática.2 La criminalidad informática consiste en la
realización de un tipo de actividades que, reuniendo los requisitos que delimitan el
concepto de delito, son llevados a cabo utilizando un elemento informático.
Los delitos informáticos son actividades ilícitas o antijurídicas que:

 Se cometen mediante el uso de entornos digitales, redes, blockchain, computadoras,
sistemas informáticos u otros dispositivos de las nuevas tecnologías de información
y comunicación (la informática es el medio o instrumento para realizar un hecho
anti jurídico).
 Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas
informáticos (delitos informáticos).
Los Ciberdelitos son actitudes contrarias a los intereses de las personas teniendo como
instrumento o fin (concepto atípico) a las computadoras.
En la actualidad debe hablarse de ciberdelitos, pues este concepto sustantiva las
consecuencias que se derivan de la peculiaridad que constituye la red digital como medio
de comisión del hecho delictivo, y que ofrece contornos singulares y problemas propios,
como por ejemplo la dificultad de determinar el lugar de comisión de tales hechos ilícitos,
indispensable para la determinación de la jurisdicción y competencia penal, para su
enjuiciamiento y aplicación de la correspondiente ley penal, los problemas para la
localización y obtención de las pruebas de tales hechos delictivos, la insuficiente regulación
legal de los ilícitos que pueden realizarse a través de la Red o de las diligencias procesales
de investigación aplicables para el descubrimiento de los mismos —normativa igualmente
desbordada por el imparable avance de las innovaciones tecnológicas—, o, en fin, la
significativa afectación que la investigación policial en Internet tiene sobre los derechos
fundamentales de los ciudadanos.
Por todo ello, la última orientación jurídica es priorizar el enfoque en la seguridad en las
redes y los sistemas de información. A tal fin obedece la Directiva de la Unión Europea
relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las
redes y sistemas de información en la Unión, también conocida como Directiva NIS. Esta
Directiva impone, por ello, a las entidades gestoras de servicios esenciales, así como a los
prestadores de ciertos servicios digitales considerados clave en el funcionamiento de
Internet, la obligación de establecer sistemas de gestión de la seguridad de la información
en sus organizaciones y de notificar a las autoridades los incidentes que tengan especial
gravedad. Además, obliga a los Estados miembros a supervisar el cumplimiento de estas
obligaciones y a velar por que existan equipos de respuesta a incidentes de seguridad con
capacidad para proteger a las empresas de la propagación de estos incidentes. Así mismo,
impulsa la cooperación entre autoridades nacionales y el intercambio de información como

Fundada en 1827
medio para elevar el nivel de seguridad en la Unión Europea frente a las amenazas de
carácter transfronterizo.
Mucha información es almacenada en un reducido espacio, con una posibilidad de
recuperación inmediata, pero por complejas que sean las medidas de seguridad que se
puedan implantar, aún no existe un método infalible de protección.
La criminalidad informática tiene un alcance mayor y puede incluir delitos tradicionales
como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en
los cuales ordenadores y redes han sido utilizados como medio. Con el desarrollo de la
programación y de Internet, los delitos informáticos se han vuelto más frecuentes y
sofisticados.
La Organización de Naciones Unidas reconoce los siguientes tipos de delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras; en este se reúne:
la manipulación de datos de entrada (sustraer datos), manipulación de programas
(modificar programas del sistema o insertar nuevos programas o rutinas),
manipulación de los datos de salida (fijación de un objeto al funcionamiento de
sistemas de información, el caso de los cajeros automáticos) y fraude efectuado por
manipulación informática (se sacan pequeñas cantidades de dinero de unas cuentas
a otras).
2. Manipulación de datos de entrada; como objetivo cuando se altera directamente
los datos de una información computarizada. Como instrumento cuando se usan las
computadoras como medio de falsificación de documentos.
3. Daños o modificaciones de programas o datos computarizados; entran tres
formas de delitos: sabotaje informático (eliminar o modificar sin autorización
funciones o datos de una computadora con el objeto de obstaculizar el
funcionamiento) y acceso no autorizado a servicios y sistemas informáticos (ya sea
por curiosidad, espionaje o por sabotaje).
7. IDENTIFIQUE Y DEFINA ISO/IEC GUÍA 73:2002 (RIESGO).

La gestión de riesgos forma parte de los procesos de gestión más amplios de las empresas.
La gestión de riesgos depende del contexto en el que se utilice. La terminología utilizada en
cada contexto puede variar. Cuando unos términos relacionados con la gestión de riesgos se
usan en una norma, es imprescindible que no se tergiverse ni malinterprete el significado
con el que se emplean dentro del contexto de la norma. Por consiguiente, esta Guía
proporciona definiciones para los diferentes significados que puede tener cada término, sin
aportar definiciones que se contradigan. Cada vez más, las empresas utilizan procesos de
gestión de riesgos para optimizar la gestión de las oportunidades potenciales. Esto difiere
del proceso de evaluación de riesgos descrito en la Guía ISO/CEI 51, en la que el riesgo
sólo puede tener consecuencias negativas. Sin embargo, ya que la comunidad empresarial
adopta cada vez más el enfoque más amplio al riesgo, esta Guía pretende recoger ambas
situaciones. Las definiciones de esta Guía son más amplias en cuanto a concepto que las de

Fundada en 1827
la Guía ISO/CEI 51. Para asuntos relacionados con la seguridad, las definiciones facilitadas
en la Guía ISO/CEI 51 siguen vigentes. Estas constan en el Anexo A de la Guía ISO/CEI
73. Se proporciona una lista alfabética de términos en inglés y francés. NOTA Cuando un
término definido en esta Guía se remite a otra definición, aparece en negrita junto con su
remisión. Los términos citados en las notas aparecen en negrita pero sin remisiones.
8. EN QUE CONSISTE EL ANÁLISIS DEL RIESGO EN UNA

ORGANIZACIÓN.
El análisis de riesgos ISO 9001 es una de las mayores novedades que ha incorporado la
nueva versión de la norma. El análisis de riesgos ISO 9001 es considerado uno de los pasos
más importantes para la identificación de los posibles problemas que podrían surgir en la
organización, también conocidos como riesgos. Servirá como herramienta de decisión para
hacer frente a dichos riesgos. La evaluación y análisis de riesgos ISO 9001 son utilizados
actualmente por muchas empresas especialmente en el proceso de diseño del producto. Un
método usado comúnmente de identificación y análisis de riesgos ISO 9001 es el Análisis
de Modos de Fallo y Efectos (FMEA) que se realiza durante el diseño de un producto o
proceso. La idea de esta evaluación es identificar todos los posibles problemas que podrían
surgir en el producto o proceso, identificar la criticidad global del riesgo y decidir qué hacer
al respecto. Esto suena bastante simple, pero puede presentar desafíos.
Software ISO 9001

Con la intención de gestionar y supervisar de una manera fácil, sencilla y eficaz el
desarrollo del Sistema de Gestión de Calidad según los requisitos establecidos en la norma
ISO 9001, las organizaciones y empresas hacen uso, entre otras herramientas, del Software
ISOTools Excelente, el cual posibilita y facilita el control del sistema garantizando la
obtención de óptimos beneficios.
La evaluación de riesgos permite a las empresas adoptar medidas y tomar decisiones

enfocadas en cumplir los objetivos establecidos.
Este es un proceso interno fundamental porque permite detectar los riesgos que se
podrían materializar y de qué manera estos afectarían el normal desarrollo de las
actividades.
El objetivo de esta evaluación es conocer las características de la amenaza y su
origen, teniendo en cuenta la probabilidad de ocurrencia, el nivel de impacto y escenarios
en los que se pueda presentar.
En este especial podrás encontrar toda la información relacionada sobre las etapas y
procesos que debes llevar a cabo para realizar una adecuada evaluación de los riesgos que
pueden presentarse en tu compañía.
¿Cómo utilizar esta guía?

Fundada en 1827
Esta guía la desarrollamos para brindarte información general acerca de la importancia

de la evaluación de riesgos dentro de un sistema de gestión de riesgos.
A continuación presentamos los aspectos más importantes que debes tener en cuenta
para lograr un adecuado análisis a partir de los pasos que debes seguir para poder
ejecutarlo de manera eficiente.
La guía está dividida en ocho ítems que te servirán para hacer la evaluación de riesgos en
tu organización, puedes usarla en el proceso de gestión de riesgos.
¿Cómo realizar la evaluación de riesgos?
Teniendo como referente la norma internacional ISO 31000, existen cuatro pasos
básicos que debes seguir para realizar una evaluación de riesgos.
1. Identificación de riesgos
Como su nombre lo indica, en esta etapa se deben identificar los posibles riesgos, tanto
internos como externos, a los que está enfrentada la empresa. Pueden ser vistos como algo
positivo en la medida en que pueden contribuir al mejoramiento de ciertas actividades o
negativo porque pueden afectar de manera directa el cumplimiento de los objetivos. Para
esto hay que contar con toda la información necesaria y actualizada de la empresa.
Una vez se cuenten con todos los recursos, lo siguiente es llevar a cabo el análisis de todos
los escenarios para comenzar a reconocer las amenazas que se pueden presentar.
Se deben tener en cuenta los siguientes aspectos:
 ¿Qué genera el riesgo? Ya sea tangible o intangible.
 Causas y eventos.

Fundada en 1827
 DOFA (debilidades, oportunidades, fortalezas y amenazas).

 Contexto interno y externo.
 Cambios que se pueden generar.
 Indicadores de cada riesgo.
 Activos y recursos de la empresa.
 Acceso a la información.
 Mitos, sesgos y suposiciones de las partes interesadas.
2. Análisis de riesgos
Después de identificar los riesgos, el siguiente paso en la evaluación es analizarlos. Este
análisis puede realizarse teniendo en cuenta diferentes grados de detalle y complejidad, esto
depende de qué es lo que se quiere lograr con el análisis. Por otro lado es importante
conocer la disponibilidad, la confiabilidad de la información y los recursos.
Para este análisis comúnmente se aplican técnicas cualitativas, cuantitativas o ambas,
esto ya depende de cada empresa directamente.
Para realizar este análisis es clave tener en cuenta:
 La probabilidad de que pueda ocurrir y la consecuencias que traería.
 El origen e impacto de las consecuencias.
 La complejidad e interconexión.
 La eficacia y eficiencia de los controles establecidos.
 El nivel de sensibilidad y confianza.
3. Valoración de riesgos
Este paso es fundamental porque contribuye directamente a la toma de decisiones. Cuando
hablamos de valoración nos referimos a la comparación que se hace con los resultados
obtenidos en el análisis y los criterios que se establecieron para cada riesgo con el fin de
determinar cuándo se necesita poner en marcha un plan adicional.
Las decisiones que esto pueden llevar son:
 Optar por no hacer nada más.
 Llevar a cabo un nuevo análisis para entender más a fondo el riesgo.
 Continuar implementando los controles ya establecidos.
 Redefinir los objetivos.
4. Tratamiento de riesgos
Elegir las mejores opciones para el tratamiento de los riesgos depende del balance que se
haga entre los beneficios que se generan por el logro de objetivos frente a costos, esfuerzos
y desventajas.
Se debe considerar lo siguiente:
 Tener en cuenta diferentes opciones para el tratamiento del riesgo.
 Verificar la eficiencia y eficacia.
 Confirmar si el riesgo residual es aceptable.

Fundada en 1827
 Si no es aceptable generar nuevas opciones de tratamiento.

Métodos para la evaluación de riesgos
En la gestión de riesgos son conocidos tres tipos de métodos para su calificación y

evaluación: el método cualitativo, semicualitativo y el cuantitativo.
1. Método cualitativo
Este método debe su popularidad a que por lo general es el inicio de cualquier estudio de
riesgos, y es muy utilizado cuando el tiempo y los recursos monetarios son escasos, dado
que comparativamente con el método cuantitativo su inversión en ambos aspectos es
menor.
En el método cualitativo el criterio y el conocimiento de expertos en el tema analizado
es el imperante. Su principal ventaja se debe a su mayor facilidad de cálculo, al no
implicar una valoración económica o de probabilidad.
El análisis cualitativo se construye bajo elementos que se relacionan entre sí: amenazas,
vulnerabilidades, impacto y, en algunos casos, controles.
Amenazas: son los eventos identificados como aquellos que podrán afectar los objetivos
del proyecto.

Fundada en 1827
Vulnerabilidades: son aquellos factores o elementos que pueden aumentar el riesgo de que

en el proyecto se materialice una amenaza.
Impactos: son las consecuencias de la materialización de las amenazas. Los impactos se
asocian a un determinado nivel: alto, medio y bajo. Estos a su vez se asocian a ciertos
factores, que pueden ser económicos, operativos, humanos o de pérdida de imagen.
Controles: son las medidas que pueden contrarrestar los eventos de riesgo. Entre los
controles podemos encontrar preventivos, correctivos y detectivos.
Con el tiempo se han creado técnicas para intentar hacer más preciso el método y disminuir
el grado de subjetividad que lo rodea. Sin embargo, dada la complejidad e importancia que
han tomado los riesgos para las empresas en los últimos años, este método es
complementado y ampliado con técnicas del método cuantitativo.
2. Método semicualitativo
Se construye bajo un sistema de índices, teniendo en cuenta las situaciones que fueron
analizadas para poder clasificar los riesgos que se puedan presentar, y a su vez, contar con
un plan de acción.
Es importante asignar tareas a los diferentes factores de riesgo que se puedan dar en
determinadas situaciones, con el fin de adquirir el nivel de riesgos. Comúnmente se
realizan cuestionarios de chequeo que permiten identificar los factores y su
importancia.
Hay que tener presente que los métodos pueden ser riesgos intrínsecos, índice Dow y
método Gretener.

Fundada en 1827
3. Método cuantitativo
El método cuantitativo en el análisis de riesgos es aquel que permite obtener una
valoración numérica de la materialización de un evento, ya sea negativo o positivo, en
términos de los criterios definidos, que pueden ser monetarios, operativos, técnicos,
humanos, entre otros, lo que hace más tangible y objetivo el análisis.
Sin embargo, hay autores que van más allá y lo definen como aquel método que permite
asociar una probabilidad y su correspondiente distribución al evento de riesgo y las
consecuencias que pueden ocasionar en los objetivos del proyecto.
Por lo general, el análisis cuantitativo se realiza después del análisis cualitativo, pero
hay autores que indican que se pueden hacer por separado y de forma simultánea,
mientras hay otros quienes piensan que este debe primar sobre el cualitativo. En todo caso,
lo más recomendable es que uno sea complemento del otro para así sumar sinergias.
Para llevar a cabo un análisis de este tipo, es necesaria la utilización de técnicas
matemáticas y estadísticas, las cuales exigen la recolección de datos. Entre las técnicas
más destacadas y utilizadas se encuentran las siguientes:
 Análisis de sensibilidad.
 Valor esperado monetario.
 Árboles de decisión.
 Simulación de Monte Carlo.
 Regresión lineal.
 Regresión no lineal.

Fundada en 1827
 Series de tiempo.
 Teoría de juegos.
 ARC.
Ventajas del método cuantitativo:
 Objetividad.
 Generalización de los resultados.
 Hace más tangible el resultado del riesgo.
 Conceptos y teorías robustas, lo que le da mayor validez a los resultados.
Desventajas del método cuantitativo:
 Complejidad en algunos cálculos.
 Puede llegar a ser demasiado rígido por las técnicas estadísticas y matemáticas
empleadas.
 Demanda mayores recursos en tiempo y dinero.
¿Qué es la evaluación de riesgos?
La evaluación de riesgos es fundamental dentro de la gestión, esta se realiza antes de

designar el plan de acción que se va a implementar para la prevención. Es clave tener en
cuenta que la evaluación se debe validar y registrar, una vez se haga esto, se le debe
comunicar a toda la organización.

Fundada en 1827
La principal función de la evaluación de riesgos es introducir todos los elementos

cualitativos y cuantitativos a la información que se obtuvo luego de realizar el análisis de
los riesgos para de esta forma establecer acciones y tomar decisiones en el tratamiento que
se le va a dar.
Gracias a la evaluación se puede determinar el impacto que la materialización de uno de los
riesgos pueda tener sobre la empresa. Este es el paso más importante dentro de la
gestión y el que más dificultad genera porque hay una alta probabilidad de que se puedan
cometer errores.
Estrategia de administración de riesgos

En este punto debe realizarse la vinculación del riesgo con los objetivos y la estrategia
organizacional:
Categorías de riesgos

Fundada en 1827
Riesgo financiero
Está directamente relacionado con todo lo que tiene que ver con el sistema financiero de la
compañía, operaciones, transacciones y movimientos, pueden ser alguno de los siguientes:
 Riesgo de crédito.
 Riesgo de cambio.
 Riesgo de liquidez.
 Riesgo tasas de interés.
 Riesgo de mercado.
 Riesgo de gestión.
Riesgo operativo
Son los riesgos que afectan las actividades de la organización impidiendo cumplir con los
objetivos establecidos.

Fundada en 1827
Riesgo de cumplimiento
Son los que no son compensados. Normalmente se enfocan en actividades para gestionar
los riesgos empresariales.
Procesos en la evaluación de riesgos
 Realizar evaluaciones de riesgos para que las diferentes áreas de la organización o

procesos puedan calificar los riesgos que tienen asignados.
 Parametrizar la metodología de evaluación de riesgos.
 Calificar los riesgos por diferentes actores.
 Manejar flujos de aprobación una vez se realice las calificaciones por los usuarios.
 Conservar el histórico de las diferentes evaluaciones realizadas a los riesgos.


Actividad 17 Abril 2021

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Actividad 17 Abril 2021

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE CARTAGENA

Apreciado Estudiante la Actividad No.1 Consiste en las Siguientes Preguntas:

La Actividad deben Realizarla individualmente, Utilizar las Normas APA. Agradezco el

¡Siempre a la altura de los tiempos!

1. Identifique y Defina el concepto y propósito de la Auditoria Tecnológica en una

Es un servicio que permite analizar el patrimonio tecnológico de una empresa, en otras

Por qué es importante realizar una Auditoría Tecnológica

La importancia de la auditoría tecnológica reside en la valiosa información que aporta

Para qué sirve una Auditoría Tecnológica en mi empresa

La auditoría tecnológica es un elemento muy importante que ayuda a establecer la

Cuáles son las fases de una Auditoría Tecnológica

De forma general, independientemente del método empleado, el proceso para la realización

 Se debe realizar un inventario tecnológico y evaluar la base de conocimiento.

¡Siempre a la altura de los tiempos!

En qué consisten el inventario tecnológico y la base de conocimiento?

El inventario tecnológico consiste en interrogarse sobre las herramientas que se disponen y

Cómo se realiza un inventario tecnológico?

Para realizar un inventario tecnológico, es necesario realizar un inventario de la maquinaria,

¿Cómo se evalúa la base de conocimiento?

Para evaluar la base de conocimiento, es muy importante establecer el dominio de las

2. Identifique y Defina los principios de auditoria en una organización.

¡Siempre a la altura de los tiempos!

Adherirse a los principios es un requisito previo para establecer las conclusiones de la

¡Siempre a la altura de los tiempos!

Enfoque basado en la evidencia

3. Identifique y Defina que son los Activos en una organización.

Los activos se dividen en dos tipos: activos no corrientes y activos corrientes. El primer

Criterios para establecer el valor de los activos empresariales

¡Siempre a la altura de los tiempos!

Aunque todos los activos suponen beneficios, independiente de si éstos se materializan a

4. Identifique y Defina en que consiste la seguridad de la información.

Por seguridad de la información se entiende el conjunto de medidas preventivas y

¡Siempre a la altura de los tiempos!

pérdida o tratamiento inadecuado puede incurrir en multas de hasta 2o millones de euros o

5. En qué consiste el Derecho Informático, realice una breve síntesis de su historia,

El derecho informático o derecho de la informática es un conjunto de principios y normas

La informática es un fenómeno multifacético de la realidad contemporánea. Surge como

¡Siempre a la altura de los tiempos!

Es por lo que la aparición de la informática en la sociedad ha generado múltiples relaciones

¡Siempre a la altura de los tiempos!

aplicaciones informáticas con el Derecho para la automatización de información jurídica y

¡Siempre a la altura de los tiempos!

Hoy día es posible hablar acerca de la Administración de Justicia automatizada, mejor

6. En qué consisten los Delitos Informáticos, defina, y de ejemplo

Delito informático, delito cibernético o ciberdelito es toda aquella acción antijurídica que

¡Siempre a la altura de los tiempos!

Los delitos informáticos son actividades ilícitas o antijurídicas que:

¡Siempre a la altura de los tiempos!

7. IDENTIFIQUE Y DEFINA ISO/IEC GUÍA 73:2002 (RIESGO).

¡Siempre a la altura de los tiempos!

8. EN QUE CONSISTE EL ANÁLISIS DEL RIESGO EN UNA

Software ISO 9001

La evaluación de riesgos permite a las empresas adoptar medidas y tomar decisiones

¡Siempre a la altura de los tiempos!

Esta guía la desarrollamos para brindarte información general acerca de la importancia

¡Siempre a la altura de los tiempos!

 DOFA (debilidades, oportunidades, fortalezas y amenazas).

¡Siempre a la altura de los tiempos!

 Si no es aceptable generar nuevas opciones de tratamiento.

En la gestión de riesgos son conocidos tres tipos de métodos para su calificación y

¡Siempre a la altura de los tiempos!

Vulnerabilidades: son aquellos factores o elementos que pueden aumentar el riesgo de que

¡Siempre a la altura de los tiempos!