AUDITORIA AL DEPARTAMENTO DE CONTRATACIONES DEL

MINISTERIO DE TELECOMUNICACIONES BASADO EN LA NORMA

ISO 22301.

Materia: Auditoria Informática

Carrera: Desarrollo de Software, Redes y Telecomunicaciones.
Profesor: Msc. Diego Ortega

Autores:
• Anthony Cárdenas
• Alex Velázquez
• Adrián Rea
 INDICE GENERAL
INTRODUCCIÓN
I. GENERALIDADES DE LA EMPRESA
Naturaleza de la empresa ……………………………………………………………………
Ubicación ……………………………………………………………………………………
Misión ……………………………………………………………………………………….
Visión ……………………………………………………………………………………….
Análisis FODA ………………………………………………………………………………
Organigrama de la Empresa …………………………………………………………………
Descripción de los procesos y funciones ……………………………………………………
Norma ISO 22301 …………………………………………………………………………...
Modelo de Madurez …………………………………………………………………………
Auditoria de tics Aplicando ISO …………………………………………………………….
Área a Auditar ……………………………………………………………………………….
Reclutamiento de la información ……………………………………………………………
Documentos de Gestión en el Área Informática …………………………………………….
Herramientas y Técnicas …………………………………………………………………….
Motivo o Necesidad de la Auditoria …………………………………………………………
II. EJECUCIÓN DE LA AUDITORIA
Situación Actual de Área de Sistemas……………………………………………………….
Objetivos del Departamento…………………………………………………………………
Seguridad del Departamento…………………………………………………………………
Características de la plataforma Tecnológica………………………………………………..
Determinación de los Problemas y Planteamiento de Hipótesis……………………………..
Formulación de Hipótesis……………………………………………………………………
Aplicación de la Auditoría…………………………………………………………………...
Modelo de Madurez de los Procesos…………………………………………………………
Reporte General de los Grados de Madurez………………………………………………….
Resumen de Procesos y Criterios de Información por Impacto………………………………
Resultados Finales del Impacto Sobre los Criterios de Información…………………………
III. ANÁLISIS DE LOS RESULTADOS
Informe Técnico………………………………………………………………………………
Informe Ejecutivo…………………………………………………………………………….
IV. CONCLUSIONES Y RECOMENDACIONES
Recomendaciones……………………………………………………………………………
Conclusiones…………………………………………………………………………………
Glosario………………………………………………………………………………………
Referencias Bibliográficas………………………………………………………………….
 INTRODUCCION
Una auditoría, en el contexto de la economía y el mundo empresarial, es el proceso de
evaluación minuciosa de una sociedad u organización con el ánimo de conocer sus
características específicas, así como sus fortalezas y debilidades.
Por medio de trabajos de auditoría, es posible llevar a cabo valoraciones de todo tipo
atendiendo a criterios de análisis y medición exhaustivos.
Principalmente, una auditoría persigue localizar aspectos relacionados con la rentabilidad o la
eficiencia en los diferentes departamentos o delegaciones corporativas que conforman una
empresa.
La norma ISO 22301 especifica los requisitos para un sistema de gestión encargado de proteger
a la empresa de incidentes que provoquen una interrupción en la actividad, reducir la
probabilidad de que se produzcan y garantizar la recuperación de la empresa.
Esta normativa reúne todos los requisitos para llevar a cabo la correcta y adecuada
implementación de un Sistema de Gestión de Continuidad de Negocio, el cual deberá
identificar las capacidades que tiene una organización para enfrentar diferentes tipos de
incidentes que se pueda presentar.
La ISO 22301 permite mejorar el negocio internamente y realizar una correcta planificación
para garantizar la continuidad de este.
Un Sistema de Gestión de la Continuidad del Negocio (BCMS, en inglés) le permite revisar
constantemente los riesgos de su negocio y el conocer el grado real de preparación para
responder ante situaciones imprevistas, ayudándole a minimizar el impacto en el negocio
de las posibles interrupciones:
• Construyendo una cadena de suministro más resistente y fiable.
• Preservando y mejorando su imagen corporativa.
• Reduciendo los costes globales.
• Asegurando la gobernanza corporativa y cumplimiento con los requerimientos aplicables.
• Creando un clima de confianza con los empleados, proveedores, partes interesadas y
clientes.
La definición de Gestión de Continuidad del Negocio
“Proceso de gestión holístico que identifica las amenazas potenciales de una organización
y los impactos que pueden causar en las operaciones del negocio si esas amenazas se
materializan. Además, proporciona un marco de trabajo para construir una organización
más resistente con capacidad para responder de forma efectiva y proteger los intereses
de las partes interesadas clave, su reputación, imagen de marca y actividades de valor
añadido.”
Los beneficios que ofrece esta normativa son:

• Permite la coordinación entre los empleados.

• Se puede identificar los riesgos a los que puede estar expuesta la compañía y de qué
manera pueden afectar la continuidad de la empresa.
• Contar con las respuestas adecuadas al momento de enfrentar una crisis.
• Tener la capacidad para recuperarse rápidamente.
• Contribuye a mejorar la reputación.
• Valor agregado frente a la competencia.
• Generar confianza antes los clientes y nuevos prospectos.
 CAPITULO 1
PLANTEAMINETO DEL PROBLEMA
Naturaleza de la Empresa:
El Ministerio de Telecomunicaciones y la Sociedad de la Información es una cartera de Estado
que tiene como objetivo apoyar el proceso de mejoramiento de los servicios que prestan las
instituciones del sector de telecomunicaciones, coordinar las acciones para a través de políticas
y proyectos promocionar la Sociedad de la Información y del Conocimiento y las Tecnologías
de la Información y Comunicación. En la actualidad este ministerio forma parte del Consejo
Sectorial de Infraestructura y Recursos No Renovables.
UBICACIÓN GEOGRAFICA
El Ministerio de Telecomunicaciones y de la Sociedad de la Información se encuentra ubicado
en la Av. 6 de Diciembre N25-75 y Av. Colón, Quito.

Fuente: https://goo.gl/maps/8UAzY7vso9hDzP786

MISIÓN
Ser el órgano rector del desarrollo de las tecnologías de la información y comunicación en el
Ecuador, que incluyen las telecomunicaciones y el espectro radioeléctrico, que emite políticas,
planes generales y realiza el seguimiento y evaluación de su implementación, coordinando
acciones con los actores de los sectores estratégicos para garantizar el acceso igualitario a los
servicios y promover su uso efectivo, eficiente y eficaz, que asegure el avance hacia la sociedad
de la información para el buen vivir de la población ecuatoriana.
VISIÓN
Constituirse en la entidad, referente de la gestión pública, que lidere y gobierne todos los
procesos necesarios para que los ciudadanos accedan y generen información y conocimiento,
mediante el uso efectivo de las tecnologías de la información y comunicación integrados
activamente al proceso de desarrollo social y solidario del Ecuador.
 OBJETIVOS ESTRATEGICOS
• Establecer y coordinar la política del sector de las telecomunicaciones, orientada a
satisfacer las necesidades de toda la población.
• Desarrollar los planes de manera concertada con la Agencia de Regulación y Control de
las Telecomunicaciones y con la ciudadanía.
• Garantizar la masificación de las Tecnologías de la Información y Comunicación en la
población del Ecuador, incrementando y mejorando la Infraestructura de
Telecomunicaciones.
• Apoyar y facilitar la gestión de la Agencia de Regulación y Control de las
Telecomunicaciones para el cumplimiento del Plan Nacional de Desarrollo.
• Funcionar como enlace entre la gestión del sector y las decisiones presidenciales
• Diseñar y ejecutar programas y proyectos específicos de corto y mediano plazo, que
respondan a las políticas de desarrollo del sector.
• Liderar los procesos de diseño, creación, implantación, desarrollo y actualización de un
Sistema de Información de las Telecomunicaciones
• Realizar investigaciones aplicadas, informes y estudios específicos del sector de las
telecomunicaciones y de las condiciones socio-económicas que determinan su
desarrollo, que permitan el diseño, la formulación, implementación y evaluación de las
políticas sectoriales y el desarrollo institucional.
• Identificar, coordinar y obtener recursos de cooperación, nacionales o internacionales,
alineándolos con las políticas de desarrollo de las telecomunicaciones.
• Realizar el monitoreo, seguimiento y evaluación a las políticas, planes, programas y
proyectos del sector de las telecomunicaciones.

ANÁLISIS FODA (FORTALEZAS, OPORTUNIDADES, DEBILIDADES Y

AMENAZAS)

FODA
FORTALEZAS DEBILIDADES

• Disponibilidad de Infocentro a nivel • Rotación de personal y falta de

nacional con prioridad en áreas rurales.
• Buen clima laboral.
• Representante sectorial ante organismos
internacionales.
• Personal técnico con formación de
cuarto nivel.
incentivos institucionales para
crecimiento profesional.
• Información insuficiente.
• Escasos estudios del sector TIC en el
país.
• Falta de cultura de innovación y
gestión de riesgos en el sector.
• Reactivos en el sistema de
planificación sectorial y nacional.
• Falta de planes de marketing.
 OPORTUNIDADES AMENAZAS
• Las TIC son un eje transversal a los • Emisión de la política de austeridad.
sectores productivos. • Ministerio creado mediante Decreto
• Baja transformación digital de micro y Ejecutivo.
pequeños empresarios. • Ministerio no posicionado en la
• Cooperación de organismos opinión pública y en el resto de
internacionales para promover el sectores.
sector. • Formar parte del Consejo de
• Fomento de la industria de software Infraestructura y Recursos no
nacional. renovables.

METAS ORGANIZACIONALES
Corto Plazo:
Mejorar la calidad del sistema de contratación del ministerio y estar preparado ante cualquier
amenaza que se presente en este software.
Mediano Plazo:
Ampliar el alcance del sistema de contrataciones que tienen actualmente para así tener una
mejora continua en el departamento de contrataciones.
Largo Plazo:
Utilizar nuevas tecnologías para poder llegar al alcance que se espera en el mejoramiento del
sistema ante cualquier error que se pueda presentar en alguna ocasión.

ORGANIGRAMA DEL MINISTERIO

 NORMATIVA ISO 22301
Sistema de Gestión de Continuidad de Negocio
ISO 22301 es una norma internacional de gestión de continuidad de negocio. Esta ha sido
creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica original,
BS 25999-2 y otras normas.
ISO 22301 identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio,
estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.
Proporciona una base de entendimiento, desarrollo e implantación de continuidad de
negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su
empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios
y del cliente.
La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar
trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus
empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando
y comercializando.
La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:
Establecer, implantar, mantener y mejorar un SGCN.
Demostrar conformidad con la política establecida de la continuidad de negocio de la
organización.
Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas
prácticas reconocidas internacionalmente.
Norma ISO 22301
Estructura de la norma ISO 22301
La norma ISO 22301 está organizada según la siguiente estructura:
Ámbito de aplicación.
Referencias normativas.
Términos y definiciones.
Contexto de la organización. Consiste en identificar el alcance del SGCN, teniendo en cuenta
los objetivos estratégicos de la organización, sus productos y servicios claves, su tolerancia al
riesgo, así como cualquier obligación reglamentaria.
Liderazgo. La alta dirección debe demostrar un compromiso continuo con el SGCN. A través
de su liderazgo y acciones, la dirección puede crear un ambiente en el cual el personal esté
completamente involucrado y el sistema de gestión pueda funcionar de manera eficaz en
sinergia con los objetivos de la organización.
Planificación. Se establecen objetivos estratégicos y principios para la orientación del SGCN en
su totalidad.
Soporte. La gestión diaria de un Sistema de Gestión de la Continuidad de Negocio, se basa en
el uso de los recursos apropiados para cada actividad. Estos recursos incluyen personal
competente, toma de conciencia y comunicación, etc. todo esto debe estar apoyado por la
documentación que sea necesaria.
Operación. Después de la planificación del SGCN, la organización debe ponerlo en
funcionamiento.
Evaluación del desempeño. La norma ISO 22301 requiere un seguimiento permanente del
sistema, así como revisiones periódicas para mejorar su operación.
Mejora. La organización puede mejorar continuamente la eficacia de su sistema de gestión a
través del uso de la política de continuidad de negocio, los objetivos, los resultados de
auditorías, los indicadores, las acciones correctivas y preventivas y la revisión por la dirección.
Software para ISO 22301
La Plataforma ISOTools facilita la automatización de la ISO 22301
La Plataforma Tecnológica ISOTools facilita la implementación, automatización y
mantenimiento del SGCN según ISO22301.
Bajo un enfoque por procesos conforme al ciclo PHVA (Planear – Hacer – Verificar – Actuar) ,
ISOTools permite a las organizaciones estar preparadas ante posibles incidentes tecnológicos,
naturales, o de cualquier otra naturaleza que puedan poner en riesgo la continuidad de su
actividad.
ISOTools garantiza la continuidad de negocio, ya que identifica y gestiona fácilmente los
riesgos, disminuyendo así los tiempos de inactividad, la probabilidad de ocurrencia y costos, de
este modo la organización está preparada para actuar en caso de que se sucedan.
Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO
9001, ISO 14001 y OHSAS 18001, de forma sencilla gracias a su estructura modular.
BCMS proporciona a la Gestión de Riesgos Empresariales:
• Una mejor comprensión de las actividades más importantes (productos y servicios) y los
recursos necesarios que les dan soporte.
• Un marco para la mitigación del riesgo.
• Interacción con el negocio y un enfoque pragmático para entender los desafíos de todos los
días.
La Gestión de Riesgos Empresariales aporta al BCMS:
• Una visión global del riesgo.
• Acceso a la gestión corporativa del negocio.
• Sistemas de monitorización y gestión del riesgo.
• Una mejor visión de las amenazas y riesgos.
Un enfoque integrado permite:
• Una mejor priorización.
• Un tratamiento de los riesgos más sistemático y pragmático.
• Mayor eficiencia en la inversión en la gestión de riesgos.

Como se va implementar la norma ISO 22301 en nuestro Proyecto de Auditoría:

El proyecto se llevará acabo sobre el correcto funcionamiento del sistema de Contrataciones

que se evaluará en el Ministerio de Telecomunicaciones, como ya antes mencionado esta
norma (ISO 22301) trata sobre continuidad de negocio en la que nos da a conocer que acciones
tomará la institución en el caso de que este sistema falle.
Que otras medidas tienen para poder solventar este conflicto y así nosotros poder ir
documentando y evaluando si es una organización funcional. A continuación:
• Realizaremos los oportunos análisis de riesgos.
• Haremos un estudio pertinente de los diferentes procesos que intriga a la organización y
las actividades llevadas en cada uno de ellos.
• Determinaremos el impacto probable que puede causar interrupciones en el normal
funcionamiento de negocio y hacer una evaluación de este.

• Tendremos identificado las actividades, los recursos y las prioridades a la hora de

recuperar el previsto desarrollo de la norma ISO 22301.
• Estableceremos el tiempo máximo de recuperación.
 • Identificación de las amenazas y eliminación de los riesgos.

HERRAMIENTAS Y TÉCNICAS
Herramientas:
Las herramientas a utilizar para la recolección de información son:
• Sistema Operativo Windows 10.
• Microsoft Office 2019.
• WinAudit.
• Internet.

Técnicas:
Las técnicas a utilizar para la recolección de información son:
• Investigación.
• Recolectación de información mediante internet.

MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMÁTICA

• Establecer una política de mantenimiento informático preventivo para el

aprovechamiento de los equipos.
• Transmitir a la plantilla la información necesaria para el manejo de los dispositivos
informáticos sin ocasionar problemas.
• Establecimiento de una política de seguridad online. Página web, redes sociales, correos
electrónicos, servidor, etc.
• Estudiar la composición de la red informática de la empresa y comprobar que es lo
suficiente óptima.

CAPITULO II

Situación Actual del Departamento

El desarrollo tecnológico ha llevado a los sectores de Tecnologías de la Información a volverse
cada vez más sofisticados, lo que hace la calidad del talento humano requerido para los
diferentes sectores sea cada vez más relevante en la industria.
Con la finalidad de promover el desarrollo de los factores de mejora del país y también generar
vías de desarrollo del sector impulsados por la incorporación de mejores prácticas
internacionales, se plantean objetivos del Plan Nacional.
Seguridad de Acuerdos con Terceras Partes
• La política de seguridad de la información y los controles para asegurar la protección de
activo
• Asegura la concientización del usuario sobre responsabilidades y aspectos de la
seguridad de la información
• Responsabilidades relacionadas con la instalación y el mantenimiento del software y el
hardware.
• La estructura clara y los formatos acordados para la presentación de los informes
• La política de control del acceso.
• El derecho a monitorear y revocar cualquier actividad relacionada con los activos de la
organización
 • El establecimiento de un proceso de escalada para la solución de problemas
• La descripción de cada servicio que va a estar disponible y los objetivos del servicio.
• La descripción de cada servicio que va a estar disponible y los objetivos del servicio.
FORMULACIÓN DE LA HIPÓTESIS

HIPÓTESIS GENERAL
La implementación del sistema web denominado como SIGIC (Sistema de Gestión Integrada y
Control de Procesos) si controla los procesos de capacitación ejecutados por La Academia.
HIPÓTESIS ESPECÍFICAS
• La centralización de la información en un repositorio de base de datos influirá en
el correcto y ordenado análisis de la información. Dimensión d1: centralización
y accesibilidad.
• El proceso de registro de información a través del sistema web minimizará el
tiempo de entrega de los informes finales al cliente. Dimensión d2: velocidad.
• La Estandarización de la información resultante de los eventos de capacitación
generará mayor confiabilidad de los indicadores en los informes finales.
Dimensión d3: estandarización. Dimensión d4: confiabilidad.
• Un diagrama de procesos definido, administrado y controlado por el sistema web
influirá positivamente en la operativa del negocio evitando incidencias no
previstas y manteniendo la integridad de la información. Dimensión d5:
integridad.
Objetivos específicos
• Establecer y determinar un procedimiento que contenga las condiciones de
identificación que deberán cumplirse de manera obligatoria por parte de los prestadores
de servicio móvil avanzado; y por parte de las personas naturales o jurídicas de los
sectores priorizados, que realicen estas llamadas a través de las redes de los prestadores
del SMA, con fines informativos, de venta directa, comercial, publicitaria o proselitista.
• Dotar a los abonados, clientes y usuarios de mecanismos que permitan viabilizar la
correcta aplicación de lo establecido en la Ley Orgánica de Telecomunicaciones, en
relación con los derechos y obligaciones establecidos respecto de la realización de
llamadas con fines informativos, de venta directa, comercial, publicitaria o proselitista.

Objetivo Estratégico: “Incrementar el uso de las TIC para la transformación productiva

y desarrollo económico”
El Ministerio de Telecomunicaciones y de la Sociedad de la Información tiene muy claro que
las necesidades tecnológicas de la ciudadanía deben ser satisfechas en forma eficiente y eficaz,
siendo cada vez más inclusivas acorde al avance de la tecnología, para lo cual se plantearon tres
objetivos que permitan fortalecer la infraestructura e incrementar el conocimiento y la
productividad en general. Para el cumplimiento del objetivo estratégico “Incrementar el uso de
las TIC para la transformación productiva y desarrollo económico” se soporta en el trabajo de
la Subsecretaria de Telecomunicaciones de la Sociedad de la Información y Comunicación con
las Direcciones: Políticas de Telecomunicaciones y Tecnologías de la Información y
Comunicación, Supervisión y Evaluación de Empresas de Telecomunicaciones. La
Subsecretaría de Asuntos Postales y Registro Civil con las Direcciones: Políticas de Asuntos
Postales y Registro Civil y Supervisión y Evaluación de Empresas Postales y Registro Civil.
 APLICACIÓN DE LA AUDITORIA

Los controles de complejidad se clasifican en tres niveles

Básico (B): Los recursos necesarios para la implementación son de un nivel inferior, se aplica
fácilmente sin la necesidad de tener grandes conocimientos en el área.
Intermedio (I) : Los recursos para implementarlos son aceptables, se pueden aplicar al tener
conocimientos en el área
Avanzados (A): Los recursos son necesarios para implantarlo en su consideración, se necesita
de un análisis en la cual conlleve un determinado resultado y de para tener un programa de
complejidad.

los controles de alcance se clasifican en tres:

Procesos (PRO) : aplica a la dirección o al personal de gestión.

Tecnología (TI): aplica al personal técnico especializado.
Personal (PER): aplica a todo el personal.

CONTROL DE ALCANCE

NIVEL ALCANCE CONTROL CHEK

La Investigación de los cuyos beneficios que trae la ISO

I PRO 22301 cuales serían aplicables para el departamento de
contrataciones del ministerio de telecomunicaciones.
Presentar los beneficios a la dirección y obtener su
I PRO/TI compromiso
A PRO Obtener la aprobación formal para el proyecto
Definir qué partes interesadas necesitan estar informadas
I PER sobre cada paso del proyecto
I PER Organizar una reunión inicial
A PRO Identificar las partes interesadas

B PRO Identificar los requerimientos de las partes interesadas

A PRO Decidir los objetivos de continuidad del negocio

B PRO/TI Desarrollar la metodología de evaluación de riesgos

I TI Capacitar a su equipo para el proyecto

MODELO DE MADUREZ DE LOS PROCESOS

Los niveles de madurez se establecerán como una medida progresiva de toda la organización en
base a un perfil de procesos concreto para cada nivel, establecido por unos niveles mínimos de
capacidad para cada proceso y por un conjunto de procesos predefinidos para cada nivel.
El modelo de madurez (CMM, por sus siglas en inglés) es el grado en el que una compañía
asimila o integra buenas prácticas en lo que respecta a la dirección de diversos programas o
proyectos. Comprende diversos factores, como herramientas de medición, criterios de
evaluación, entre otros. Además, es muy utilizado para realizar y refinar los procesos de
desarrollo de software.

Mediante este modelo, se pueden analizar todas las competencias en cuanto a dirección de
proyectos, para luego compararlas con estándares nacionales o internacionales. De esta
comparación se puede establecer qué es lo que se necesita cambiar o mejorar.

-Mejoramiento continuo.
-Auditorías internas y externas.
-Uso estratégico en el sistema de contrataciones.

-Medición, análisis y evaluación de su sistema (software).

-Revisión de la alta gerencia.
-Comunicaciones externas

-Establecimiento e implementación de procedimiento.

-Adquirir y asignar recursos y competencias.
-Concienciación y comunicación interna.
-Ejercicios iniciales de testeo.

-Evaluación de riesgos.
-Estrategia de continuidad del negocio.
-Información documentada.

-Liderazgo y compromiso de la dirección

-Establecimiento de la política
-Asignación de los roles de las organizaciones y autoridades y responsabilidades

Aislad Organización Extendido

REPORTE GENERAL DE LOS GRADOS DE MADUREZ

Los grados de madurez del análisis llevado a cabo en el departamento de contrataciones del
Ministerio de Telecomunicaciones los cuales fueron evaluados bajo la norma ISO 22301.

RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO

DOMINIO PLANEAR Y ORGANIZAR

El Ministerio de Telecomunicaciones ha optado por utilizar un nuevo y mejor sistema de

contratación para así agilitar el proceso de ingresos de nuevo personal a las diferentes áreas de
la organización.

Dominio: Adquirir e Implementar (AI)

A nivel de dominio, el Ministerio tiene que tener previsto que si su sistema falla debe tener
otras herramientas optimas para poder solventar esta caída de software, hay que tener en cuenta
que los sistemas no siempre son estables, y es por eso que debemos implementar nuevas
técnicas en cada uno de los procesos realizados por la organización.

Dominio: Monitorear y Evaluar (ME)

A través de la auditoría realizada al Departamento de Contrataciones del Ministerio de

Telecomunicaciones nos pudimos dar cuenta la importancia de tener un sistema confiable y
estable, para llevar a cabo el proceso de reclutamiento de personal para la organización, y que
todo este nuevo personal se pueda capacitar de una manera adecuada para así que su
desempeño sea favorable.

RESULTADOS FINALES DE IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

A continuación, se presentará el análisis correspondiente a los criterios de información:

Efectividad

La efectividad en la auditoria tuvo un 75%, por lo que nos podemos dar cuenta que todo el
trabajo realizado fueron sumamente efectivos para poder ir mejorando en el transcurso de los
años y tratar de llegar a la máxima efectividad.
Eficiencia

La eficiencia basada en la norma ISO 22301 en los cuales se realizó un análisis de los procesos
de control y monitoreo que nos dan como resultado el 85%, dando a conocer que al ser una
organización publica y estar dirigida y gobernada los procesos han logrado llegar al alcance
debido y se ha ido superando año tras año.

Confidencialidad

La confidencialidad de la información y procesos es un aspecto muy importante en el

Ministerio de Telecomunicaciones, por lo que se ha creado un software más seguro para
salvaguardar toda la documentación del personal que trabaja en la misma llegando así a un
nivel del 93%.

Integridad

La integridad de la información y la ISO 22301, es casi optima, dicho resultado se respalda tras
las evidencias recolectadas las cuales alcanzaron un 88%, donde se podría tener un mayor
rango si se implementaran nuevas tecnologías a nivel de software.

Disponibilidad

La disponibilidad de la información a través de la ISO 22301, se encuentra con un porcentaje

del 90% donde se puede visualizar que se encuentra en un nivel alto, este promedio podría ir
mejorando al actualizar a un sistema más avanzado.

Cumplimiento

El cumplimento del plan estratégico y objetivos para el departamento de contrataciones, se

encuentra en el ultimo nivel con un 80% de correcta ejecución. Este resultado se ve con un gran
avance a las constantes auditorias internas que se han llevado a cabo y a la correcta
modificación de ciertos procesos que no estaban con una buena implementación.

Confiabilidad

Este criterio es uno de los más importantes y además uno con mayor rango en evidencia
operacional eficiente con un 72% ya que tanto el departamento de contrataciones, tienen planes
tanto de operación diaria como planes de emergencia al presentarse alguna falla en el sistema
asegurando toda la información que en esta se encuentra.
 CAPITULO III

INFORME TÉCNICO

ALCANCE

La auditoria pretende evaluar el departamento de contrataciones del Ministerio de

Telecomunicaciones mediante el proceso el auditor proporcionará estrategias a las actividades
que son realizadas en dicha organización empleando la norma ISO 22301.

Objetivos

Objetivo General

• Realizar una auditoría al departamento de contrataciones Ministerio de

Telecomunicaciones mediante el uso de la norma ISO 22301.

Objetivos Específicos

• Identificar los problemas técnicos en el departamento de contrataciones y sus posibles

soluciones.
• Realizar informes de auditoria en los que se establezcan hechos importantes.
• Evaluar la seguridad en el área de contrataciones.
 RESULTADOS DE LA EVALUACIÓN DE CADA PROCESO:
DOMINIO PLANEAR Y ORGANIZAR
ESTRATEGIAS DE LOS OEI
OBJETIVOS ESTRATÉGICOS
INSTITUCIONALES (OEI)
EI 1: INCREMENTAR LA APROPIACIÓN DE
LAS TIC EN LA POBLACIÓN PARA EL
DESARROLLO SOCIAL E INCLUSIVO DEL
PAÍS
OEI 2: INCREMENTAR LA DIGITALIZACIÓN
DE LOS SECTORES PRODUCTIVOS QUE
CONTRIBUYA AL DESARROLLO DEL PAÍS.
OEI 3: INCREMENTAR EL ENTORNO
HABILITANTE PARA EL DESARROLLO
DIGITAL EN EL PAÍS.
OEI 4: INCREMENTAR EL GOBIERNO
ELECTRÓNICO EN EL PAÍS.
OEI 5: INCREMENTAR LA EFICIENCIA
OPERACIONAL DEL MINTEL
OEI 6: INCREMENTAR EL DESARROLLO DE
TALENTO HUMANO DEL MINTEL
OEI 7: INCREMENTAR EL USO EFICIENTE
DEL PRESUPUESTO DEL MINTEL
ESTRATÉGIAS
a) Desarrollar competencias digitales en la
población.
b) Potenciar el acceso y asequibilidad a las TIC.
c) Impulsar el desarrollo de servicios digitales
a) Fomentar el uso de TIC en las MiPYMES.
b) Impulsar el comercio electrónico en el país.
c) Promover mecanismos para el desarrollo de la
industria TIC.
d) Impulsar el desarrollo de servicios digitales.
e) Potenciar la inversión en innovación y
emprendimiento.
a) Implementar Agendas de Regulación
b) Generar un ambiente de confianza en el uso
de servicios digitales.
a) Impulsar el desarrollo y uso de servicios
digitales gubernamentales.
b) Promover la identidad digital en el país.
a) Establecer e implementar una cultura y
mejores prácticas de administración de
proyectos.
b) Mejorar los procesos inter e
institucionales.
a) Desarrollar las competencias técnicas y
gerenciales del ministerio.
b) Mejorar los procesos y las prácticas para
identificar, atraer y retener al talento
humano.
a) Establecer mecanismos transparentes para
el ejercicio presupuestal con un enfoque
de rendición de Cuentas.
b) Establecer procesos y responsabilidades
para el monitoreo y control del avance
financiero de proyecto.
Implementación de la política pública con enfoque territorial.

Los proyectos que ejecuta el MINTEL tienen por objetivo beneficiar a la población de las áreas
urbano – marginales, de los sectores menos favorecidos a nivel nacional. Con el impulso de
estos proyectos se contribuye a que la población tenga acceso a las tecnologías de la
Información y Comunicación y con ello a un mundo donde la transformación abarca el ámbito
social, económico y personal.

IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

Criterios de la Información Porcentajes Observaciones

Efectividad 75% El objetivo es alcanzar el 100%,
para esto la información en el
Ministerio de
Telecomunicaciones debe ser
entregada de forma correcta,
consistente y utilizable.
Eficiencia 85% El objetivo es alcanzar el 100%,
para esto la información debe
ser generada optimizando los
recursos.
Confidencialidad 93% El objetivo es alcanzar el 100%,
para esto la información vital
sea protegida contra la
revelación no autorizada.
Integridad 88% El objetivo es alcanzar el 100%,
para esto la información debe
ser precisa, completa y valida.
Disponibilidad 90% El objetivo es alcanzar el 100%,
para esto la información esté
disponible cuando esta sea
requerida por parte de las áreas
del negocio en cualquier
momento.
Cumplimiento 80% El objetivo es alcanzar el 100%,
para esto las leyes, reglamentos
y acuerdos contractuales a los
 que está sujeta el proceso del
negocio, como políticas
internas.
Confiabilidad 72% El objetivo es alcanzar el 100%,
para esto se debe respetar y
proporcionar la información
apropiada con el fin de que la
Gerencia General administre la
organización.

Dominio Adquirir e Implementar

Identificar Soluciones Automatizadas.

conclusión. - el proceso se encuentra en el nivel de la madurez 1 puesto que existe la

conciencia de la necesidad de definir requerimientos y de identificar las soluciones
tecnológicas.
Recomendaciones en la norma ISO 22301. - Alinear cada riesgo con acciones concretas
enmarcadas en un plan de contingencia para eliminar o reducir las pérdidas.

Adquirir y Mantener Software Aplicativo.

conclusión. - el proceso se encuentra en el nivel de madurez 2 por cuanto

existen procesos de adquisición y mantenimiento de software aplicativo en base ala
experiencia.

Recomendaciones en la norma ISO 22301. - Bajo un enfoque por procesos conforme al ciclo
PHVA (Planear – Hacer – Verificar – Actuar), ISOTools permite a las organizaciones estar
preparadas ante posibles incidentes tecnológicos, naturales, o de cualquier otra naturaleza que
puedan poner en riesgo la continuidad de su actividad.

Este software permite la integración del estándar ISO 22301 con otras normas, tales como ISO
9001, ISO 14001 y OHSAS 18001. De forma sencilla gracias a su estructura modular.

Adquirir y Mantener la Infraestructura Tecnológica

conclusión. - el proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un
plan de adquisición de tecnología, por Io tanto no se controlan los procesos de adquirir,
implantar y actualizar infraestructura tecnológica.
Recomendaciones en la norma ISO 22301. - ISO 22301 identifica los fundamentos de un
Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la
terminología de gestión de continuidad de negocio.

Facilitar la Operación y el Uso.

conclusión. - el proceso se encuentra en el nivel de madurez 1, puesto que

no existe una generación de documentación, pero se tiene la conciencia de que es

necesario.
Recomendaciones en la norma ISO 22301. - A través de su liderazgo y acciones, la dirección
puede crear un ambiente en el cual el personal esté completamente involucrado y el sistema de
gestión pueda funcionar de manera eficaz en sinergia con los objetivos de la organización.

Adquirir Recursos de Tecnología de Información.

conclusión. - el proceso se encuentra en el nivel de madurez 4, ya que la

adquisición se integra totalmente con los sistemas generales del gobierno, sigue el

proceso de compras públicas en de algún recurso de tecnología de información.

Recomendaciones en la norma ISO 22301. - Generar vínculos entre la política de
continuidad de negocio y los objetivos planteados por la organización.

Definir y Administrar los Niveles de Servicio.

conclusión. - el proceso se encuentra en el nivel de madurez 1, ya que no se

administra los niveles de servicio, la rendición de cuentas no se encuentra definido

realmente.
Recomendaciones en la norma ISO 22301. - Asegurar que el Sistema de Gestión de
Continuidad de Negocio sea compatible con la estrategia seguida por la empresa como también
asegurarse de que se cumplen los objetivos y los planes del sistema.

Administrar los Servicios de Terceros.

conclusión. - el proceso se encuentra en el nivel de madurez 3 por cuanto

existen procedimientos documentados para controlar los servicios de terceros, los

procesos son claros para realizar la negociación con los proveedores.

Recomendaciones en la norma ISO 22301. - La gestión diaria de un Sistema de Gestión de la
Continuidad de Negocio se encuentra basada en la utilización de recursos apropiados para cada
actividad realizada por la organización. La utilización de los recursos incluye al personal, ya
que pueden necesitar formación, comunicación, etc.

Administrar el Desempeño y la Capacidad.

conclusión. - el proceso se encuentra en el nivel de madurez 1, puesto que

los usuarios regularmente tienen que resolver los inconvenientes que se presenten

para aplacar las limitaciones de desempeño y capacidad.

Recomendaciones en la norma ISO 22301. - Certificar su Sistema de Gestión de Continuidad
de Negocio mediante un organismo externo de certificación.
Garantizar la Continuidad del Servicio.
conclusión. - el proceso se encuentra en el nivel de madurez ,1 por cuanto

no se cuenta con un plan de continuidad de servicios.

Recomendaciones en la norma ISO 22301. - Actividades realizadas por la empresa,
servicios, productos, cadenas de suministros e impactos potenciales que se relacionan con un
incidente para generar una interrupción.

Garantizar la Seguridad de los Sistemas.

conclusión. - el proceso se encuentra en el nivel de madurez ,1 por cuanto

no se cuenta con un plan de continuidad de servicios.

Recomendaciones en la norma ISO 22301. - La mejora continua puede estar definida
como todas las acciones, se realizan a lo largo de toda la organización, para incrementar
la eficiencia y la eficacia de los procesos y los controles ofreciendo más beneficios a la
empresa.

Dominio Monitorear y Evaluar.

Monitorear y Evaluar el Desempeño del Departamento de Informática

conclusión. - el proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un
proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el
desempeño.
Recomendaciones en la norma ISO 22301. - Definir y recolectar los datos del monitoreo

Monitorear y Evaluar el control Interno.

conclusión. - el proceso se encuentra en el nivel de madurez 0, por cuanto,

No se tiene procedimientos para monitorear la efectividad de los controles

internos.
Recomendaciones en la norma ISO 22301. - Realizar una autoevaluación del control interno
de

la administración de procesos, políticas y contratos, mediante revisiones de

terceros asegurar la completitud y efectividad de los controles internos.

Garantizar El Cumplimiento Regulatorio.

conclusión. - el proceso se encuentra en el nivel de madurez 1 por cuanto,

se siguen procesos informales para mantener el cumplimiento regulatorio.

Recomendaciones en la norma ISO 22301. - Procedimientos de continuidad de negocio:
establecer un protocolo adecuado de comunicaciones externas e internas, deben ser específicos,
deben tener flexibilidad para responder ante amenazas, se tiene que desarrollar sobre hipótesis
establecidas y analizadas, se deben minimizar las consecuencias estableciendo estrategias de
mitigación.

CAPITULO IV

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

La auditoría informática, es muy importante realizarlas en cierto tiempo ya que permite a través
de una revisión independiente, la evaluación de actividades o procesos y el funcionamiento de
cualquier organización en la cual podemos obtener resultados reales de todos los procesos que
se llevan acabo en esta.

1. Dependiendo de cómo la tecnología de la información es aplicada en la organización, esta

podrá tener un alto impacto en el logro de su visión, misión u objetivos estratégicos.
2. La seguridad en las redes es un aspecto crítico que no se puede descuidar. Debido a que las
transmisiones viajan por un medio inseguro, se requieren mecanismos que aseguren la
confidencialidad de los datos, así como su integridad y autenticidad
3. Las empresas o instituciones deberán de contar con un adecuado control interno sobre todas
sus áreas y en especial sobre el área de telecomunicaciones para garantizar una mejor
utilización de sus recursos.
 4. A través de la auditoría de telecomunicaciones se lleva a cabo un exhaustivo análisis del
estado de seguridad de telecomunicaciones y de sus sistemas frente a usuarios de Internet y
usuarios de su propia organización.

RECOMENDACIONES
El progreso de la auditoría interna propuesta para el Ministerio de Telecomunicaciones se realizó
con la finalidad de obtener los procesos que se realizan en la organización y el sistema que se
utiliza para el proceso de contrataciones y poder obtener información en cuanto a brechas de
seguridad no identificadas en auditorias y controles internos efectuados con anterioridad. Por tal
motivo, se recomienda:

• Realizar auditorías mínimo 1 a 2 veces al año.

• Establecer procesos de respaldos en cuanto a la información almacenada en el año, en
discos externos o almacenamiento en la nube.
• Realizar mantenimiento correcto, preventivo a los equipos de computación.
• Mantener actualizada la información sobre el Ministerio de Telecomunicaciones.
• Dar soporte técnico al sistema de contrataciones para el buen funcionamiento por parte
de los usuarios.
• Salvaguardar información que se encuentran en los servidores.
• Realizar por lo menos una a dos pruebas del sistema de contrataciones, este es importante
para así ver el funcionamiento si es bueno o tiene imperfectos y si es así poder
solventarlos.

GLOSARIO

ISO 22301

La norma ISO 22301 especifica los requisitos para un sistema de gestión encargado de proteger
a su empresa de incidentes que provoquen una interrupción en la actividad, reducir la
probabilidad de que se produzcan y garantizar la recuperación de su empresa.

Análisis FODA

Es una herramienta de análisis estratégico que permite, a través de una exploración del
ambiente interno y externo de una organización, obtener un diagnóstico preciso de la situación
actual de la entidad y del sector al que pertenece, y tomar decisiones acordes con los objetivos
y políticas formuladas.

Banda ancha:

Es la red (de cualquier tipo) que tiene una elevada capacidad para transportar información que
incide en la velocidad de transmisión de esta. Así entonces, es la transmisión de datos
simétricos por la cual se envían simultáneamente varias piezas de información, con el objeto de
incrementar la velocidad de transmisión efectiva.

Fibra óptica:

Filamento de material dieléctrico, como el vidrio o los polímeros acrílicos, capaz de conducir y
transmitir impulsos luminosos de uno a otro de sus extremos; permite la transmisión de
comunicaciones telefónicas, de televisión, etc., a gran velocidad y distancia, sin necesidad de
utilizar señales eléctricas.

Infocentros:

Son espacios comunitarios de participación y desarrollo, que garantizan el acceso inclusivo a

las Tecnologías de la Información y Comunicación de las poblaciones de parroquias rurales y
urbanas marginales del Ecuador.

Servicio Móvil Avanzado:

Es el servicio de telecomunicaciones del servicio móvil terrestre, que facilita toda transmisión,
emisión y recepción de signos, señales, escritos, imágenes, sonidos, voz, datos o información
de cualquier naturaleza.

Servicio de telefonía fija:

Conduce tráfico telefónico conmutado a través de equipos terminales localizados

geográficamente en una ubicación determinada, siendo su acceso alámbrico o inalámbrico.

Servicio de acceso a Internet:

Permite la provisión del acceso a la red mundial Internet, por medio de plataformas y redes de
acceso implementadas para tal fin.

Servicio de televisión abierta:

Es el servicio de radiocomunicación que permite la difusión de programación de imágenes y
sonido a distancia, cuyas emisiones son recibidas directamente por el público en general.
 REFERENCIAS BIBLIOGRÁFICAS
1. file:///C:/Users/Alexander/Downloads/es-iso-22301-guia-
comparativa-low-res%20(2).pdf
2. file:///C:/Users/Alexander/Downloads/Continuidad_Negocio-
ISO-22301%20(2).pdf
3. file:///C:/Users/Alexander/Downloads/MATI-TFG-JAGV-
B29148%20(1).pdf
4. https://www.telecomunicaciones.gob.ec/
5. https://www.isotools.org/normas/riesgos-y-seguridad/iso-22301/
6. https://www.bsigroup.com/es-ES/ISO-22301-continuidad-de-
negocio/
7. https://www.valoradata.com/blog/norma-iso-22301/