See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/291344596

Auditoría externa de sistemas de información: Un caso práctico de trabajo

conjunto entre un organismo provincial y la U.N.P.A.

Article · January 2009

CITATIONS READS

0 3,260

6 authors, including:

Javier Díaz Carlos A. Talay

Universidad Nacional de La Plata Universidad Nacional de la Patagonia Austral
167 PUBLICATIONS   155 CITATIONS    8 PUBLICATIONS   3 CITATIONS   

SEE PROFILE SEE PROFILE

Luis Sierpe
Universidad Nacional de la Patagonia Austral
3 PUBLICATIONS   9 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Recommender Systems for learning resources. Educational Data Mining. Learning Analytics View project

Análisis de performance del protocolo TCP utilizado en redes móviles View project

All content following this page was uploaded by Javier Díaz on 21 January 2016.

The user has requested enhancement of the downloaded file.

 Auditoría externa de sistemas de información: Un caso
práctico de trabajo conjunto entre un organismo
provincial y la U.N.P.A.

Javier F. Díaz1, Carlos A. Talay2, Griselda Rojas2,

Luís Sierpe2, Gustavo Livacic2 y Carlos Amarilla2

1
L.I.N.T.I. – Universidad Nacional de La Plata
Calle 50 y 115 – 1er. Piso – Edificio Bosque Oeste
E-mail: jdiaz@info.unlp.edu.ar
2
Universidad Nacional de la Patagonia Austral
Unidad Académica Río Gallegos
Santa Cruz (9400), Argentina
E-mail: carlostalay@yahoo.com.ar, patagoniaustral@gmail.com, lsierpe2001ar@yahoo.com.ar,
livacic@gmail.com, carlos.amarilla@gmail.com

Resumen: El objetivo de este trabajo es exponer los aspectos fundamentales de

un proyecto de investigación destinado a analizar, estudiar y proponer
procedimientos para la administración segura de información, en el contexto de
un acuerdo realizado entre un organismo público de la Provincia de Santa Cruz
y la U.N.P.A. (Universidad Nacional de la Patagonia Austral).

Palabras claves: Auditoría, Sistemas de información, Resguardo de activos.

1. Introducción

A medida que los centros de cómputos de las distintas reparticiones públicas de la

provincia de Santa Cruz fueron evolucionando, incrementando la complejidad a nivel
de servicios prestados y la cantidad de los usuarios que podían tener acceso a estos
servicios, comenzaron a surgir distintos tipos de inconvenientes vinculados a la
infraestructura existente, los sistemas y los procedimientos con los cuales se
administraba la información. En este contexto, la carencia de procedimientos y
políticas de seguridad eran una constante en el funcionamiento de los centros de
cómputos y particularmente en los circuitos que recorría la información, desde su
generación, pasando por su procesamiento, la forma en que se presentaba para que
fuera consultada por los usuarios y las formas en que se realizaba su resguardo. Cómo
se observó en más de una ocasión, el hecho ignorar estos aspectos tuvo serias
consecuencias a nivel económico y político. Paralelamente a esto, existía una
necesidad creciente de dotar a los organismos públicos de tecnologías que les
permitieran solucionar problemas o ampliar el rango de servicios que pudieran ofrecer
y en algunos casos debían brindar, lo que llevó a afrontar nuevas problemáticas.
 Hoy en día estas complicaciones han adquirido otra magnitud debido al gran
desarrollo que las tecnologías de la información y comunicaciones han
experimentado, la forma en que los usuarios pueden acceder a la información alojada
en servidores es cada vez más variada. Por ejemplo, dentro de las medidas que
debemos tomar para resguardar la seguridad de los datos, las restricciones de acceso
físico a las terminales ubicadas en las distintas dependencias que se encuentran
conectadas a servidores de una organización, no son suficientes para lograr evitar el
acceso indebido a determinados datos, ya que la presencia física en esos ámbitos no es
una condición indispensable para lograr el acceso a la información.
Nuevos paradigmas generan aplicaciones que definen innovadores modos de
relacionarse. Esto conlleva a prestar especial atención a los procedimientos que la
organización posee en materia de seguridad, generándose desafíos en este sentido. A
fin de lograr estos objetivos, debemos abarcar aspectos de origen legal [1] [2] (por
ejemplo, requerimiento de utilización de bases de datos disociadas conforme ley de
protección de datos personales o aspectos técnicos exigidos por la ley de firma digital,
a fin de otorgar valor al documento electrónico), técnicos (uso de protocolos de
seguridad, VPN, duplicación de recursos, etc.), administrativos [3] (reglamentos
internos de uso, normas, procedimientos, definición de misiones y funciones de los
responsables del área informática), etc. En este sentido, es importante destacar que
para lograr los objetivos, las instituciones que han avanzado en estos aspectos han
tenido necesariamente que actualizar la infraestructura tecnológica y realizar planes
de capacitación, no sin antes definir una adecuada política tecnológica, apoyada desde
las máximas autoridades que debieron considerar los aspectos de seguridad y
conjugarlos con las tecnologías de la información, teniendo una visón estratégica que
incluya la definición de políticas internas y presupuestarias.
Dada la relación de proximidad que existe entre la mayoría de los responsables de
estos centros de cómputos y docentes de la U.N.P.A.-U.A.R.G., establecida y
afianzada en el tiempo debido a que son ávidos receptores de cursos de capacitación
que la universidad les propone, dan por resultado que en las conversaciones
mantenidas en referencia a la problemática que el sector comúnmente afronta, se
analizó la posibilidad de conformar un grupo de trabajo integrado por docentes de la
U.N.P.A.-U.A.R.G., que pudiera llevar adelante un trabajo que considerara los
aspectos de manejo seguro de información y que elaborase un informe donde se
destacase las falencias en tal sentido, proponiendo las soluciones más adecuadas,
dependiendo del tipo de organización.
Es así, que bajo estas circunstancia, se presentó la oportunidad de abordar una
problemática de este tipo, tomando cómo referencia la estructura de un organismo
estatal que se dedica a la construcción y adjudicación de grupos habitacionales en la
Provincia de Santa Cruz. Sobre esta organización se estudió cómo realizar un manejo
seguro de los datos a través de una auditoría, para posteriormente generar una
propuesta integral que optimizaría el uso de recursos e información. Esta propuesta
abarcó un conjunto de procedimientos y normas de trabajo que contemplaron los
aspectos de seguridad a nivel físico, sistemas, administrativos y de capacitación de
personal.

2. Antes de comenzar
 Un aspecto importante a tener en cuenta, antes de desarrollar cualquier otra
consideración, es la formalización de las condiciones del trabajo a realizar con el ente
en donde se desarrollará la actividad, es decir, se deben especificar los términos en
que se llevará a cabo el proyecto. Para ello se elaboró un documento en donde las dos
instituciones acuerdan las características y condiciones del trabajo a llevar a cabo y el
tiempo en que se desarrollará el mismo. Este documento especifica de la manera más
detallada posible los alcances del proyecto y el compromiso de ambas partes en
llevarlo adelante. En este caso en particular, además de la realización de un acuerdo
de este tipo, existía de antemano un acuerdo marco de vinculación entre la Provincia
de Santa Cruz y la U.N.P.A., plasmado en el decreto provincial 1.232/04 [4]. Este
hecho allanó el camino para darle forma a la vinculación y solo requirió la firma
adicional de una carta intención entre los dos organismos para iniciar los trámites que
dieron origen a la presentación formal del proyecto en los circuitos administrativos de
la U.N.P.A.. Por último, cómo existía la posibilidad de tener acceso a información
sensible para el ente estatal, se firmaron acuerdos de confidencialidad entre los
integrantes del grupo de trabajo y la institución. En estos acuerdos los integrantes se
comprometían a no divulgar aspectos críticos, que eventualmente fuesen detectados.
Si bien no se tenía contemplado el acceso a las bases de datos, también se incluyó en
el acuerdo restricciones para divulgar información sobre este tipo de información, por
parte de los integrantes del grupo, a fin de dar tranquilidad a las autoridades de la
institución.

3. Planificación y método
El organismo donde se planificó ejecutar el proyecto, posee un centro de cómputos en
donde se procesa información en tres aspectos fundamentales para la institución, el
sistema de ejecución de obras (licitación y avance de obras), adjudicaciones
(distribución de viviendas y recupero) y sistemas para uso interno (mesa de entradas,
personal, patrimonio, etc.). Todos estos sistemas son propiedad de la institución y
desarrollados por su personal, el cual, aparte de desarrollarlos, se encarga de ponerlos
en funcionamiento y darles el mantenimiento adecuado. También posee un sector que
se encarga de dar mantenimiento ligero de hardware, la recepción de nuevos equipos,
realización del tendido del cableado, mantenimiento de la instalación eléctrica de
equipos existentes, el soporte técnico de los usuarios de la institución y también posee
personal responsable de realizar la carga de datos. Así mismo los distintos sectores
que componen la organización son usuarios de los sistemas y cargan datos acordes a
la función que desempeñan, siendo luego estos datos procesados y utilizados por otros
actores.
Esta institución posee una importante cantidad de equipos instalados en la ciudad
de Río Gallegos y dependencias distribuidas en el interior provincial de Santa Cruz,
que generan y procesan información en forma local para luego enviarla a la
administración central, donde es organizada, registrada, integrada a las bases de datos
y resguardarla.
En el momento en que se planificó el inicio del trabajo, las autoridades se
encontraban realizando una planificación que implicaba la revisión de los sistemas
informáticos existentes, la implementación de nuevos sistemas de manejo de
información y el análisis de una integración con las delegaciones distribuidas en el
interior de la provincia mediante la puesta en marcha de una red interconectada de
datos, que uniría todas las dependencias y que permitiría el manejo integrado y en
línea de la información. Para ello, estaba en análisis la posibilidad que esta
interconexión se pudiera realizar mediante la integración a una red provincial de datos
que se encontraba en etapa de ejecución.
A partir de la decisión de realizar estas tareas de enlace entre todas las
dependencias del interior con la administración central y la red provincial, las
autoridades estaban determinadas a mejorar, formalizar e implementar circuitos y
procedimientos que ordenen el manejo de la información para todo el sistema, a fin de
lograr un nivel de calidad en su tratamiento y resguardo de la información.
Teniendo en cuenta las consideraciones expuestas y observando algunas de las
principales normas de referencia existentes [5] [6] [7] [8] y habiendo considerado las
características más adecuadas para realizar la planificación del trabajo, se procedió a
la realización del siguiente cronograma:

Fase Tiempo estimado

Capacitación y recopilación de documentación 4 (cuatro) meses
Relevamiento 1 (un) mes
Análisis y procesamiento de los datos obtenidos 2 (dos) meses
Planificación de mejoras del funcionamiento 4 (cuatro) meses
Revisión externa 1 (un) mes
Presentación de informe 1 (un) mes
Capacitación del personal 2 (dos) meses
Implantación de medidas 3 (tres) meses
Seguimiento 6 (seis) meses

La etapa de relevamiento fue afrontada con los alumnos guiados por un docente
que coordinó los accesos a la institución y diagramó los procedimientos de basados en
la capacitación que estos habían recibido para la identificar de los activos y la
confección de las encuestas. Los detalles de cada una de estas etapas son definidas a
continuación:

3.1 Conformación del grupo de trabajo

Si bien existían en la U.N.P.A. algunos docentes del área de informática que
poseían los conocimientos básicos sobre seguridad informática, no se encontraban
organizados en un grupo que pudiera encarar en forma sistematizada e integral un
trabajo de este tipo. Es así que se convocó a estos docentes y otros docentes de
carreras afines para formar un grupo de trabajo interdisciplinario de profesionales con
distintos perfiles que permitieran afrontar los aspectos del manejo seguro de la
información desde distintos ángulos y realizar un análisis más integral de los
problemas que se pudieran plantear. Por ello, además de docentes del área
informática, que tienen perfiles de formación propios de la carrera cómo Licenciados
en Sistemas e Ingenieros, se sumó al grupo una Abogada y un Ingeniero Industrial
(con orientación en administración y negocios). Paralelamente se expuso el proyecto a
los alumnos de segundo y tercer año de la carrera de Analista de Sistemas, que
manifestando una importante respuesta y asistieron a la convocatoria. De todos los
postulantes que se presentaron se seleccionaron 6 (seis) para integrar el proyecto. A
este grupo de alumnos se le brindó capacitación sobre aspectos generales de seguridad
informática, análisis de riesgo, determinación y clasificación de activos de una
organización.
Con el grupo de docentes se mantuvieron reuniones en donde se les explicó las
características del trabajo, se revisó documentación existente sobre trabajos previos y
se revisaron análisis comparativos sobre normas existentes [9] [10] [11], se coordinó
la distribución de las tareas que cada uno debía afrontar y se dictó un curso de
capacitación a cargo de un especialista en auditorías de sistemas de información.

3.2 Fase de relevamiento y determinación de requerimientos

El trabajo comenzó organizando a los alumnos en grupos, supervisados por un
docente. Estos grupos de trabajo concurrieron al ente estatal en el cual se ejecutó el
proyecto, relevaron todos los activos existentes y determinaron su ubicación. Así
mismo llevaron a cabo una encuesta sobre el personal, en donde se determinaban
entre otras cosas las condiciones de trabajo, que tipo de equipamiento utilizaban, con
que aplicaciones, que tipo de datos generaban, que tipos de datos consultaban y las
carencias que ellos entendían que tenían para poder desarrollar correctamente sus
tareas. Posteriormente se organizaron reuniones con los integrantes del centro de
cómputos y el grupo de docentes del proyecto, que relevaron las condiciones físicas
de funcionamiento, la ubicación de equipamiento en el centro de cómputos, las
condiciones de acceso a los mismos, los sistemas que se encontraban en
funcionamiento, cómo era el procedimiento para el desarrollo de software, qué
sistemas se tenía planificado desarrollar y cómo era la estructura de resguardo de
información. Se identificó cómo eran los circuitos de la información, cómo estaban
asignados los privilegios de acceso a los distintos tipos de información, cómo eran los
procedimientos de atención a los usuarios y la manera en que interactuaba el centro de
cómputos con los distintos departamentos.

3.3 Análisis y procesamiento de los datos obtenidos

Una vez recabada la información, que fuera detallada en la etapa anterior, se
procedió a compendiar y organizar los datos de la forma más adecuada, de tal manera
de apreciar los aspectos más relevantes. Es así que se realizaron planos de ubicación
del equipamiento dentro de la institución y se verificaron las vías de acceso a los
mismos. Posteriormente se realizó la clasificación de los activos, ubicándolos por
grupos de riesgo e importancia dentro del esquema de funcionamiento de la
organización. De las encuestas se determinaron las falencias que constituían un
común denominador y se identificó a los actores que conformaban grupos con
deficiencias comunes, luego se verificó que tipo de capacitación cubría estas
falencias. Se analizaron los tipos de sistemas desarrollados, las políticas de seguridad
existentes, la distribución de misiones y funciones de integrante del centro de
cómputos, los servicios que prestaba el centro de cómputos a los distintos
departamentos, cómo eran los procedimientos de solicitud y prestación de los
servicios y las ideas existentes acerca del desarrollo futuro de sistemas y servicios.

3.4 Planificación de mejoras del funcionamiento

Una vez analizados los datos, el grupo de trabajo procedió a determinar los
aspectos relevantes a tener en cuenta sobre las opciones de mejora de los
procedimientos que se deberían implementar, intentando de esta manera, optimizar el
desarrollo de los procesos en un correcto funcionamiento de conjunto. En esta etapa
se generaron los documentos que brindaron un análisis en función de los datos
recabados y se propusieron procedimientos que introducían las mejoras que se
consideraron pertinentes, teniendo cómo ejes centrales los que a continuación se
detallan:

3.4.1 Seguridad física, ambiental y recursos humanos

Clasificación y descripción de los activos, tanto físicos cómo a nivel de
recursos humanos. Se plantearon las posibles amenazas que hay sobre ellos y
se identificaron las vulnerabilidades.

Determinación de perímetros de seguridad física.

Ubicación física de los equipos, acondicionamiento de los ambientes, el tipo
de accesibilidad física y la planificación del mantenimiento que se producía
sobre ellos.

Revisión del suministro de energía eléctrica y condiciones del cableado
estructurado.

Encuestas sobre actividades desarrolladas por el personal, las herramientas
que utilizaban y las falencias de formación que ellos consideraban que
afectaban su pleno desenvolvimiento en el área en la cual trabajaban.

Análisis de planes de continuidad de negocio sobre la actual propuesta,
teniendo cómo base la actual plataforma de trabajo (cursos de capacitación
que incluyan charlas de concientización en seguridad de la información [11],
legislación vigente en referencia a los delitos informáticos [12], asistencia
técnica, auditorías periódicas, planificación estratégica, etc.).

3.4.2 Comunicaciones y operaciones de vinculación con otros sectores

El tipo de procedimientos de interconexión a nivel de redes internas. La
forma en que se llevaban a cabo los procedimientos para el intercambio de
información entre dependencias propias y otras dependencias del estado
provincial.

Configuración de servidores. Servicios que se proporcionan a los usuarios y
tipos de bases de datos utilizadas.

Control de acceso remoto y a través de servicios disponibles por Internet.

Procedimientos para la utilización de los servicios de red.

Control de acceso a servicios y páginas de Internet.

Análisis de integración con la red provincial de informática. Compatibilidad
de datos y servicios integrados.

Resguardos de información. Procedimientos de resguardo. Tipo de soporte
físico. Disposición final.

Monitoreo mediante software de diagnóstico de la red. Verificación del tipo
y magnitud de tráfico. Análisis de performance.

3.4.3 Administración y Control de accesos

Utilización de software antivirus y periodicidad de verificación de la
actualizaciones de la versiones de software utilizado.

Fuentes de generación de información. Análisis de los circuitos de
información. Confidencialidad, integridad y disponibilidad de la
información.

Determinación de las falencias y necesidades que poseen los usuarios
respecto al uso de las aplicaciones utilizadas.

Manejo de incidentes. Registro de eventos. Plan de contingencia.

Políticas de acceso, registro de usuarios, gestión de cuentas (ABM),
definición de privilegios y responsabilidades.

Uso de claves personales y la forma en que estas eran generadas.

Integración de Servicios. Autentificación de usuarios en conexiones externas.
Configuraciones adecuadas que permitan un uso adecuado de las plataformas
que prestan los servicios (Subdivisión de redes, segregación de servicios por
equipos, subdivisión de usuarios en grupos que posean iguales características
y privilegios, autentificación de usuarios para conexiones externas, Firewalls,
protección de los puertos y monitoreo de tráfico hacia y desde el exterior).

3.4.4 Desarrollo y mantenimiento de sistemas

Compatibilidad entre las distintas aplicaciones y tecnologías de bases de
datos utilizadas.

Normalización de procedimientos para el desarrollo de software.

Análisis y especificaciones de los requerimientos de seguridad.

Seguridad de los procesos de desarrollo y soporte.

Procedimientos de documentación.

Es de destacar que existieron temas que afectaban transversalmente a la

organización cómo la segregación de tareas, determinación de responsabilidades y la
planificación de desarrollos futuros. A medida que se avanzaba con la elaboración de
los informes, se mantenían contactos periódicos con los responsables del centro de
cómputos y la administración a fin de verificar la exactitud de las conclusiones
parciales obtenidas sobre la información procesada y los resultados intermedios
obtenidos, generando un proceso continuo de evaluación y verificación de las
conclusiones obtenidas.
Finalizado el proceso, se compaginaron los distintos análisis y conclusiones
obteniéndose dos documentos que conformaron el “Informe Técnico” y el ”Informe
Ejecutivo”.

3.5 Presentación del informe

Una vez terminadas las etapas precedentes, se procedió a elevar al organismo dos
informes el “Informe Técnico” y el “Informe Ejecutivo”.
El “Informe Técnico” se orientó particularmente a los responsables de los sectores
operativos directamente involucrados (director de administración, de quién depende el
centro de cómputos, el director del centro de cómputos y su personal). En este caso se
realizó una reunión con los actores y se expusieron los resultados, sus implicancias y
las posibles soluciones, atendiéndose consultas puntuales.
El segundo documento, correspondiente al ”Informe Ejecutivo”, se orientó hacia
las máximas autoridades de la organización, presidente y vocales. En este informe se
expusieron, con terminología sencilla, las falencias detectadas, los riesgos que estas
determinan y las posibles soluciones a estos problemas. En este caso se definió el
informe con una orientación que proporciona una visión de carácter estratégico, de tal
manera que los actores de este nivel tengan una herramienta que les permita entender
las acciones que se deben tomar para lograr, con el menor grado de riesgo posible, el
desarrollo de las políticas de la institución.
Si bien el carácter del informe es confidencial, podría decirse a grandes rasgos, que
se detectaron falencias en determinados procedimientos que no contemplaban
situaciones en donde se generaban vulnerabilidades en el manejo de la información,
cómo así también deficiencias en los circuitos de información, los procedimientos en
el desarrollo de los sistemas y la infraestructura. Así mismo se propuso un plan de
capacitación del personal, organizado por niveles, que atiende a las necesidades sobre
aspectos laborales de los distintos grupos.

4. Conclusiones y continuidad de negocios

En lo referente a la ejecución del trabajo podemos decir que existieron diversos tipos
de inconvenientes que retrasaron la ejecución del mismo. Algunos de estos
inconvenientes se basaron en que los integrantes del grupo (tanto alumnos como
docentes) estábamos realizando el trabajo en paralelo con nuestras ocupaciones
habituales y si bien los tiempos calculados en el cronograma fueron determinados de
manera holgada, la coordinación para llevar adelante el programa sufría a menudo
demoras. También existieron causas externas, ya que al momento de coordinar
reuniones y/o entrevistas de trabajo con miembros de la institución, el personal se
podía encontrar afectado en alguna tarea que absorbía todo su tiempo laboral o estaba
en comisión de servicio en alguna dependencia del interior. Otra causa perturbadora
fueron reestructuraciones de índole político que concluyeron con el recambio de
autoridades en cargos importantes, que obligó en algunos casos a efectuar
nuevamente entrevistas para explicar el motivo de nuestro trabajo, los objetivos que
se habían planteados y los beneficios que estos reportarían para la institución.
Un aspecto particular referente a la métrica del trabajo es que no se puede
determinar mejoras en el funcionamiento, mediante métodos comparativos, ya que no
existen registros previos. La administración pública provincial carece de
procedimientos que permitan documentar incidentes y de esta manera poder realizar
comparaciones en cuanto al desempeño que puede tener la implementación de
medidas que tiendan a reducir incidentes o mejorar la eficiencia. En este sentido, el
informe remitido a las autoridades contempla la implementación de un procedimiento
para registrar incidentes y generar a futuro antecedentes que permitan documentar y
poder comparar actividades desarrolladas en períodos de tiempo equivalentes.
Para el grupo de investigación, el desarrollo del trabajo ha tenido un impacto
positivo ya que se generó el primer trabajo formal de este tipo, del cual tenemos
conocimiento, desarrollado en el ámbito estatal de la Provincia de Santa Cruz. Con
este objetivo se conformó un grupo de trabajo que permitió abordar estas necesidades
desde la universidad, aportando los conocimientos necesarios para desarrollar
procedimientos que puedan mejorar el funcionamiento a nivel de manejo de
información en una organización.
En lo referente a los alumnos la experiencia resultó muy positiva ya que recibieron
cursos de capacitación sobre el tema y tuvieron la oportunidad de aplicar estos
conocimientos a un caso real completando el ciclo de aprendizaje, enriqueciendo
aspectos de su formación académica en tópicos que no son abordados en forma
amplia en las materias del plan de la carrera de Analista de Sistemas. Es de destacar
que los alumnos se vieron motivados por esta actividad y manifestaron interés en
variados aspectos de la misma, por tanto se recomienda la realización de proyectos de
este tipo.
En este contexto podemos verificar dos aspectos importantes a destacar. El primero
es que se logró conformar un grupo de trabajo local en un área que carecía de
desarrollo a nivel provincial. Los integrantes de este grupo recibieron capacitación
ampliando sus conocimientos, permitiendo la aplicación de las técnicas y
procedimientos vistos a un caso real.
El segundo aspecto que tenemos es el beneficio para el receptor del trabajo. En este
caso, el ente sobre el cual se llevó adelante el trabajo, cuenta con un informe que le
permite entender las falencias que posee su organización a nivel de infraestructura y
procedimientos. Mediante la implementación de las mejoras propuestas, puede lograr
generar condiciones de trabajo más seguras que le permitan resguardar los activos que
atesora la organización. Con este informe el responsable del área de administración,
de quién depende el centro de cómputos, podrá analizar y determinar cómo es la
mejor manera de poner en práctica las soluciones propuestas para sortear estas
falencias, pero además le brinda un valor agregado, el cual reside en el respaldo que
aporta tener un informe realizado por un grupo perteneciente al ámbito académico sin
fines de lucro, al momento de plantear las modificaciones, requerir la aprobación de
normas por parte las autoridades superiores y solicitar los recursos necesarios.
A nivel de continuidad de negocios, podemos expresar que tal como se explicita en
el informe final, no existe un plan de contingencia que contemple procedimientos a
seguir en caso de producirse algún tipo de incidente. Por ello uno de los trabajos
futuros a desarrollar sería la elaboración de un manual de procedimientos, que
tomando como base los trabajos de análisis de riesgos realizados, redacte un manual
de procedimientos que permita definir las acciones a seguir ante la ocurrencia de un
incidente dado, tratando de reducir a su mínima expresión el impacto producido.
Teniendo en cuenta las consideraciones expuestas, creemos que la descripción de
este trabajo es un aporte de base para todas aquellas personas que deseen iniciar una
actividad de estas características.
Por último queremos decir que el proyecto que dio origen a este documento fue
financiado totalmente por los fondos asignados al proyecto de investigación 29A/198
radicado en la UNPA-UARG.

5. Agradecimientos
Deseamos agradecer la colaboración prestada por los docentes Alicia E. Santana y
Gonzalo Miranda de la U.N.P.A.. A la docente Lía Molinari de la U.N.L.P, que
compartió generosamente con nosotros sus conocimientos y experiencia brindando un
importante ayuda a la ejecución de este proyecto. No queremos finalizar sin dejar de
 mencionar a los alumnos Andrea Villagra, Fernanda Oyarzo, Mauro Rippa, Cristian
Albello, Leonardo Méndez y Diego Enrriquez, pertenecientes a la carrera Analista de
Sistemas de la U.N.P.A.-U.A.R.G., que participaron en el proyecto aportando su
entusiasmo y dedicación.

6. Referencias
[1] Ley 25.326/00 de habeas data - http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-
64999/64790/ norma.htm
[2] Ley 25.506/01 de firma digital - http://www.certificadoscopitec.org.ar/info_ley25506.htm
[3] Modelo de política de seguridad de la información para entes de la administración pública
nacional, Subsecretaría de la Gestión Pública. Versión 1, Julio-2005
[4] Boletín Oficial de la provincia de Santa Cruz, # 3741. 10 de junio 2004
[5] Política de seguridad de la información, Decisión Administrativa 669/2004 - SIGEN
[6] Código de práctica para la administración de la seguridad de la administración - Norma
IRAM-ISO 17.799 - http://www.jefaturadegabinete.gov.ar/Paginas/UAI/Pdf/NormaISO17
799.pdf
[7] COBIT 4.0 (Control OBjectives for Information and related Technology) - Information
Systems Audit and Control Association (ISACA) & IT Governance Institute (ITGI).
[8] ITIL (Information Technology Infrastructure Library) - OGC (Office of Government
Commerce)
[9] Jummy Heschl - “CoBiT in Relations to Other International Standards”. Information
System Control Journal, vol. 4, 2004
[10] “Aligning CoBiT®, ITIL® and ISO 17799 for business benefits”. Governance Institute®,
Ofice Government Institute® and the IT Service Managerment Forum®
[11] R. Castillo, A. Di Mare, V. Díaz y H. Díez - “Concientización en seguridad de la
información” - Universidad de los Andes - Bogotá, Colombia
[12] Ley 26388/08 sobre delitos informáticos - http://www.infoleg.gov.ar/infolegInternet/
anexos/140000-144999/141790/norma.htm

View publication stats