Iso2022-Informe Borrador Corregido

GRUPO ISO 2022
CASO DE ESTUDIO 7: Gestión de la información para la protección de

datos del área operativa de la compañía TRANSCARBOLIVAR CIA
LTDA.
AUDITORIA DE SISTEMAS
INTEGRANTES DEL EQUIPO:
1. Aranda Choque Daniela Laura
2. Callisaya Oblitas Paola Daniela
3. Cazas Sossi Yoselin Iveth
4. Chinche Velásquez Freddy Jaime
5. Franco Gonzales Miriam Laura
6. Larico Calle Carlos Manuel
7. Lima Chuquimia Karla Gigliola
DOCENTE:
ING. XIMENA CABRERA TAPIA
LA PAZ – BOLIVIA
1
CARTA DE PRESENTACIÓN DEL TRABAJO REALIZADO DEL GRUPO O EQUIPO DE
TRABAJO A LA UNIVERSIDAD
ISO 2022
EQUIPO DE TRABAJO DE AUDITORIA
DE SITEMAS
La Paz, 26 de noviembre de 2021
Estimados Señores:
UNIVERSIDAD CENTRAL – SEDE LA PAZ
Presente. –
REF.: PRESENTACION DEL INFORME DE AUDITORIA DE SISTEMAS
Estimados señores:
Nos dirijimos a ustedes para hacerles llegar mediante la presente el trabajo de auditoria de
sistemas de un caso de estudio realizado por el equipo de trabajo ISO 2022.
El mismo que esta efectuado con la dedicación y el trabajo duro del equipo que fue
conformado por estudiantes de la carrera de Contaduría Publica Complementaria II/2021,
que está cursando el primer semestre del mismo, en la materia de Auditoria de Sistemas
con la Ingeniera Ximena Cabrera, quien ha sido un gran apoyo y soporte con todos los
conocimientos impartidos en su materia.
Esperando que el presente informa llegue a sus manos, nos despedimos.
Atentamente.
Equipo de trabajo – ISO 2022
2
CARTA DE PRESENTACIÓN DEL GRUPO Y/O EQUIPO DE TRABAJO A LA EMPRESA
ISO 2022
EQUIPO DE TRABAJO DE AUDITORIA
DE SITEMAS
La Paz, 26 de noviembre de 2021
Estimados Señores:
TRANSCARBOLIVAR CIA. LTDA.
Presente. –
REF.: PRESENTACION DEL EQUIPO DE TRABAJO ISO 2022
Estimados señores:
El equipo de trabajo ISO 2022 se presenta a ustedes mediante la presente, para presentarles
el informe de Auditoria del Caso de Estudio que está enfocada en la empresa
TRANSCARBOLIVAR CIA. LTDA., el cual esta adjunto a esta misiva.
El informe esta efectuado con la dedicación y el trabajo duro del equipo que fue conformado
por estudiantes de la carrera de Contaduría Pública Complementaria II/2021, de la
Universidad Central de Bolivia.
Esperando que el presente informa llegue a sus manos y sea de ayuda, nos despedimos.
Atentamente.
Equipo de trabajo – ISO 2022
3
INDICE
CARTA DE PRESENTACIÓN DEL TRABAJO REALIZADO DEL GRUPO O EQUIPO DE
TRABAJO A LA UNIVERSIDAD .......................................................................................... 2
CARTA DE PRESENTACIÓN DEL GRUPO Y/O EQUIPO DE TRABAJO A LA EMPRESA 3
INDICE ................................................................................................................................ 4
INFORME ............................................................................................................................ 5
1. ANTECEDENTES ...................................................................................................... 5
2. IDENTIFICACIÓN DEL GRUPO (NOMBRE, LOGO), PARTICIPANTES .................. 5
3. IDENTIFICACIÓN DE LA EMPRESA – CASO DE ESTUDIO (RUBRO,

UBICACIÓN, AÑOS DE ANTIGÜEDAD). ........................................................................ 6
4. REQUERIMIENTO O LA NECESIDAD ANALIZADA (OBJETIVO DEL TRABAJO). 6
5. PLAN DE TRABAJO ELABORADO ......................................................................... 6
6. PLANIFICACIÓN DEL TRABAJO ............................................................................. 8
7. METODOLOGÍA UTILIZADA EN EL ANÁLISIS ..................................................... 13
8. INSTRUMENTOS, HERRAMIENTAS UTILIZADAS EN EL ANÁLISIS ................... 13
8.1. INSTRUMENTOS UTILIZADAS EN EL ANÁLISIS ........................................... 13
9. .................................................................................................................................... 17
10. OBSERVACIONES RESULTADO DEL ANÁLISIS. ............................................. 17
11. CONCLUSIONES DEL TRABAJO DE ANÁLISIS................................................ 17
12. RECOMENDACIONES DEL TRABAJO DE ANÁLISIS. ...................................... 18
PAPELES DE TRABAJO ................................................................................................... 19
ANEXOS............................................................................................................................ 30
4
INFORME
1. ANTECEDENTES
El presente trabajo cumple con los requerimientos básicos presentados por la docente de
Auditoria de Sistemas la Ingeniera Ximena Cabrera, en base a todos los conocimientos que
se nos fue impartido en su materia.
Tomando como base y soporte los puntos enseñados desde los elementos básicos de lo
que es una auditoria hasta la evaluación y control de la auditoria
2. IDENTIFICACIÓN DEL GRUPO (NOMBRE, LOGO), PARTICIPANTES
El grupo ISO 2022, es un equipo de trabajo en el que se realza el trabajo en equipo, el
esfuerzo y la dedicación que cada uno de los integrantes está dispuesto a entregar al
proyecto a realizar.
Este equipo ha sido conformado para la ejecución de un trabajo de Auditoria de Sistemas
de un caso de estudio seleccionado, el cual fue elegido por los que conforman dicho grupo.
Los integrantes del grupo son:
1. Aranda Choque Daniela Laura

2. Callisaya Oblitas Paola Daniela
3. Cazas Sossi Yoselin Iveth
4. Chinche Velásquez Freddy Jaime
5. Franco Gonzales Miriam Laura
6. Larico Calle Carlos Manuel
7. Lima Chuquimia Karla Gigliola
Y el logo del grupo es:
5
3. IDENTIFICACIÓN DE LA EMPRESA – CASO DE ESTUDIO (RUBRO, UBICACIÓN,
AÑOS DE ANTIGÜEDAD).
La Empresa TRANSCARBOLIVAR CIA. LTDA. de transporte de carga pesada, fue
creada y fundada en la casa de uno de los socios de la misma, con el fin de poder transitar
con tranquilidad por las vías y carreteras de todo el Ecuador ayudando así a la
comercialización de las cargas pesadas o livianas para que se tenga una mejor entrega
y la carga este en óptimo estado, de acuerdo a la necesidad e importancia que tiene este
sector económico en la región. Es decir, empezó sus actividades con el objetivo de
transportar carga regular o no regular pesada o liviana por carreteras en todo el Ecuador.
La compañía comenzó sus actividades el 13 de mayo de 2013. Las oficinas están
situadas en la Provincia de Manabí, Cantón Bolívar, Parroquia Calceta en las carreteras
Vía Canuto – Chone, en el barrio las mercedes, frente a la Urbanización María Sol.
4. REQUERIMIENTO O LA NECESIDAD ANALIZADA (OBJETIVO DEL TRABAJO).
El trabajo efectuado tienes como objetivo:
Validar el diseño del plan de seguridad informática aplicando las normas ISO/ 27005 que
gestione la información del área operativa de la Compañía TRANSCARBOLIVAR CIA.
LTDA de la provincia de Manabí del cantón Bolívar.
5. PLAN DE TRABAJO ELABORADO

NRO ACTIVIDAD
1 Coordinación del equipo de trabajo
2 Selección del caso de estudio
3 Elaboración del plan de trabajo
4 Conocer la empresa atreves del caso de estudio
5 Recopilar todo el material que sea necesario para conocer mejor a la empresa (entrevistas,
encuestas, informes, etc.)
6 Describir de la situación de la empresa
7 Determinar el objetivo y el alcance de la auditoria
8 Determinar los recursos necesarios para realizar la auditoria
9 Recopilar de información y selección de datos cuantitativos y cualitativos
10 Determinar la metodología del caso de estudio
11 Identificar los tipos de controles utilizados
12 Identificar los tipos de procesos utilizados
6
13 Revisión y ajustes del primer avance del informe de auditoria
14 Presentación del primer avance del informe de auditoria
15 Estudiar y recopilar las normas utilizadas
16 Recopilar evidencias para el estudio
17 Identificar los controles para el proceso de auditoria
18 Descripción del uso de cada uno de los controles identificados
19 Identificar las herramientas utilizadas en el proceso de auditoria
20 Describir las herramientas identificados
21 Identificar los instrumentos utilizados en el proceso de auditoria
22 Describir los instrumentos identificados
23 Identificar las técnicas de evaluación en el proceso de auditoria
24 Describir las técnicas de evaluación en el proceso de auditoria
25 Revisión y ajustes del segundo avance del informe de auditoria
26 Presentación del segundo avance del informe de auditoria
27 Designar y describir los tipos de controles para ejecutar en el proceso de auditoria
28 Designar y describir los instrumentos de recopilación de datos para ejecutar en el proceso
de auditoria
29 Designar y describir las técnicas de evaluación a ser ejecutadas en el proceso de auditoria
30 Analizar y evaluar la información obtenida del caso de estudio
31 Analizar los resultados obtenidos del proceso de auditoria
32 Validar la evaluación, los resultados y las conclusiones del proceso de auditoria
33 Revisión y esquematización del informe de auditoria
34 Presentación del informe de auditoria
7
6. PLANIFICACIÓN DEL TRABAJO
EMPRESA: TRANSCARBOLIVAR CIA LTDA VIGENCIA DD MM AA
AUDITORES: CONSULTORES ISO 2022 DEL 27 9 21
PERIODO: DEL 05 AL 22 DE OCTUBRE DEL
2021 22 10 21
AL
PLAN DE TRABAJO
ACTIVIDAD RECURSOS TIEMPO (SEMANAS)
RECURSOS
OTROS FECHA FECHA
Nro. DETALLE RESPONSABLE ECONOMICOS 1 2 3 4 5 6 7 8 9 10
RECURSOS INICIO FINAL
(bs)
Coordinacion del
CONSULTORES
1 equipo 0 27/09/2021 27/09/2021
ISO 2022
de trabajo
Selección del caso CONSULTORES Caso de
2 0 29/09/2021 29/09/2021
de estudio ISO 2022 estudio
Elaboracion del Libro de
CONSULTORES
3 plan de 0 Muñoz 05/10/2021 07/10/2021
ISO 2022
trabajo Rasso
Conocer la empresa
CONSULTORES Caso de
4 atraves del caso 0 09/10/2021 09/10/2021
ISO 2023 estudio
de estudio
Recopilar todo el
material que sea
Caso de
necesario para
estudio y
conocer mejor a la CONSULTORES
5 0 busqueda de 09/10/2021 09/10/2021
empresa ISO 2024
informacion
(entrevistas,
en google
encuestas,
informes, etc)
Describir de la
CONSULTORES Caso de
6 situacion de la 0 10/10/2021 10/10/2021
ISO 2025 estudio
empresa
Determinar el
objetivo y el Conocimientos
7 Franco Miriam 0 10/10/2021 11/10/2021
alcance de la propios
auditoria
Determinar los
recursos necesarios Conocimientos
8 Cazas Yoselin 0 11/10/2021 11/10/2021
para realizar la propios
auditoria
8
Recopilar de Caso de
información y estudio y
CONSULTORES
9 selección de datos 0 busqueda de 10/10/2021 12/10/2021
ISO 2022
cuantitativos y informacion
cualitativos en google
Libro de
Muñoz Rasso,
Determinar la
Aranda caso de
10 metodologia del 0 11/10/2021 12/10/2021
Daniela estudio y
caso de estudio
conocimientos
propios
Libro de
Identificar los Muñoz Rasso,
Chinche
tipos de caso de
11 Freddy 0 11/10/2021 12/10/2021
controles estudio y
Larico Carlos
utilizados conocimientos
propios
Libro de
Muñoz Rasso,
Identificar los Lima Karla
caso de
12 tipos de Callisaya 0 11/10/2021 12/10/2021
estudio y
procesos utilizados Paola
conocimientos
propios
Revisión y ajustes
del primer avance CONSULTORES Conocimientos
13 0 13/10/2021 14/10/2021
del informe de ISO 2022 propios
auditoria
Presentacion del
primer avance del
14 Larico Carlos 0 15/10/2021 15/10/2021
informe de
auditoria
Caso de
Aranda
Estudiar y estudio y
Daniela
15 recopilar las 0 busqueda de 16/10/2021 17/10/2021
Callisaya
normas utilizadas informacion
Paola
en google
Aranda
Recopilar
Daniela Caso de
16 evidencias para el 0 16/10/2021 17/10/2021
Callisaya estudio
estudio
Paola
9
Libro de
Muñoz Rasso,
Identificar los caso de
Cazas Yoselin
controles para el estudio,
17 Chinche 0 17/10/2021 18/10/2021
proceso de busqueda en
Freddy
auditoria google y
conocimientos
propios
Libro de
Muñoz Rasso,
Identificar las
caso de
herramientas Cazas Yoselin
estudio,
19 utilizados en el Chinche 0 17/10/2021 18/10/2021
busqueda en
proceso de Freddy
google y
auditoria
conocimientos
propios
Describir las Cazas Yoselin
Conocimientos
20 herramientas Chinche 0 19/10/2021 19/10/2021
adquiridos
identificados Freddy
Libro de
Muñoz Rasso,
Identificar los
caso de
instrumentos Franco Miriam
estudio,
21 utilizados en el Larico Carlos 0 17/10/2021 18/10/2021
busqueda en
proceso de Lima Karla
google y
auditoria
conocimientos
propios
Describir los Franco Miriam
Conocimientos
22 instrumentos Larico Carlos 0 19/10/2021 19/10/2021
adquiridos
identificados Lima Karla
Libro de
Muñoz Rasso,
Identificar las
caso de
tecnicas de
CONSULTORES estudio,
23 evaluacion en el 0 17/10/2021 18/10/2021
ISO 2022 busqueda en
proceso de
google y
auditoria
conocimientos
propios
Describir las
tecnicas de
CONSULTORES Conocimientos
24 evaluacion en el 0 19/10/2021 19/10/2021
ISO 2022 adquiridos
proceso de
auditoria
10
Revisión y ajustes
del segundo avance CONSULTORES Conocimientos
25 0 20/10/2021 21/10/2021
del informe de ISO 2022 propios
auditoria
Presentacion del
segundo
26 Larico Carlos 0 22/10/2021 22/10/2021
avance del informe
de auditoria
Designar y Papeles de
describir los tipos Callisaya trabajo,
de controles para Paola informacion
27 0 23/10/2021 23/10/2021
ejecutar en el Chinche recopilada y
proceso de Freddy conocimientos
auditoria Larico Carlos adquiridos
Designar y
Papeles de
describir los
trabajo,
intrumentos de
Cazas Yoselin informacion
28 recopilacion de 0 23/10/2021 23/10/2021
Franco Miriam recopilada y
datos para ejecutar
conocimientos
en el proceso de
adquiridos
auditoria
Designar y
Papeles de
describir las
trabajo,
tecnicas de Aranda
informacion
29 evaluacion a ser Daniela 0 23/10/2021 23/10/2021
recopilada y
ejecutadas en el Lima Karla
conocimientos
proceso de
adquiridos
auditoria
Papeles de
Analizar y evaluar trabajo,
la informacion CONSULTORES informacion
30 0 24/10/2021 25/10/2021
obtenida del caso ISO 2022 recopilada y
de estudio conocimientos
adquiridos
11
Papeles de
Analizar los
trabajo,
resultados
CONSULTORES informacion
31 obtenidos del 0 25/10/2021 26/10/2021
ISO 2022 recopilada y
proceso de
conocimientos
auditoria
adquiridos
Validar la Papeles de
evaluacion, los trabajo,
resultados y las CONSULTORES informacion
32 0 25/10/2021 26/10/2021
conclusiones ISO 2022 recopilada y
del proceso de conocimientos
auditoria adquiridos
Papeles de
Revisión y trabajo,
esquematizacion del CONSULTORES informacion
33 0 27/10/2021 28/10/2021
informe de ISO 2022 recopilada y
auditoria conocimientos
adquiridos
Presentacion del
34 informe de Larico Carlos 0 29/10/2021 29/10/2021
auditoria
12
7. METODOLOGÍA UTILIZADA EN EL ANÁLISIS
TEMA: PLAN DE SEGURIDAD INFORMATICA BASADA EN NORMA ISO/ TEC 27005
PARA OPTIMIZAR LA GESTION DE LA INFORMACION DEL AREA OPERATIVA DE
LA COMPANIA DE TRANSPORTE TRANSCARBOLIVAR CIA . LTDA DEL CANTON
BOLIVIAR.
METODOLOGIA: ISO/TEC 27005

VERSION: ISO/ TEC 27005 : 2008
PARA QUE SIRVIERON LOS METODOS: LOS METODOS SIRVIERON PARA LA
RECOLECCION DE DATOS, QUE AYUDARON A RESOLVER LOS PROBLEMAS Y
RECIBIR RIESGOS ENCONTRADOS EN LA COMPAÑIA TRANSPORTE
TRANSCARBOLIVAR CIA LTDA DEL CANTON BOLIVAR
8. INSTRUMENTOS, HERRAMIENTAS UTILIZADAS EN EL ANÁLISIS
8.1. INSTRUMENTOS UTILIZADAS EN EL ANÁLISIS
INSTRUMENTOS O HERRAMIENTAS UTILIZADAS
CUESTIONARIOS:
El cuestionario, conglomerado de preguntas que le permiten al auditor evaluar los eventos
más relevantes de la organización.
Es un instrumento fundamental para obtener datos de tipo cualitativo según la
metodología seleccionada, orientado a recoger, procesar y analizar información sobre los
hechos más relevante de la organización y/o población determinada, su diligenciamiento
es de tipo personal y unitario en base a los componentes establecidos en el Marco
Integrado de Control Interno COSO.
LA ENCUESTA
Una encuesta es un procedimiento dentro de los diseños de una investigación descriptiva
en el que el investigador recopila datos mediante el cuestionario previamente diseñado,
sin modificar el entorno ni el fenómeno donde se recoge la información ya sea para
entregarlo en forma de tríptico, gráfica o tabla.
Entre las encuestas a diligenciar se tienen:
• Encuesta 1 – A la Compañía Transbolivar CIA. LTDA.
• Encuesta 2 – AL gerente de la Compañía Transbolivar CIA. LTDA
• Encuesta 3 – Actividades de Control
ENCUESTA 1
FORMATO DE LA ENTREVISTA COMPAÑÍA TRANSCARBOLIVAR CIA LTDA
1.- ¿CÓMO QUE TANTA FRECUENCIA EXISTE PERDIDA DE DATOS?
2.- ¿CON QUE TIPO DE EQUIPOS CUENTA LA COMPAÑÍA DE TRANSPORTE DE
13
CARGA PESADA TRANSCARBOLIVAR CIA LDTA?
3.- ¿CUÁNTAS PERSONAS TRABAJAN EN EL ÁREA OPERATIVA Y DEL ÁREA
TECNOLÓGICA?
4.- ¿ESTÁ CAPACITADO TODO EL PERSONAL DE LA COMPAÑÍA PARA LAS
TAREAS QUE DESEMPEÑAN CADA TRABAJADOR?
5.- ¿USTED SABE SI EL DEPARTAMENTO TIENE TODO LICENCIAS ADECUADAS
PARA CADA EQUIPO TECNOLÓGICO, ETC.?
6.- ¿QUÉ TIPO DE DOCUMENTACIONES TIENE EL ÁREA OPERATIVA DE LA
COMPAÑÍA DE CARGA PESADA?
7.- ¿QUÉ TANTA ANTIGÜEDAD TIENE SUS EQUIPOS EN TODAS LAS ÁREA DE LA
COMPAÑÍA?
8.- ¿TIENEN PLANES ANTI-FALLAS? ¿CUALES?
9.- ¿CUÁL ES EL PRESUPUESTO QUE ESTÁ ASIGNADOS PARA LAS DIFERENTES
ÁREAS Y SOLUCIÓN A LOS PROBLEMAS SUSCITADOS?
10.- ¿ESTARÍA DISPUESTO A QUE SE REALICE LA IMPLEMENTACIÓN DEL PLAN
DE SEGURIDAD INFORMÁTICA EN SU COMPAÑÍA DE CARGA PESADA
ENCUESTA 2
ENCUESTA REALIZADA A GERENTE DE LA COMPAÑÍA TRANSCARBOLIVAR CIA
LTDA.
PREGUNTAS
RESPUESTAS
1.- ¿Cómo que tanta frecuencia existe perdida de datos?
La actualidad de la compañía es que existen perdida de datos cada semana por
reiterados reclamos de los socios.
2.- ¿Con que tipo de equipos cuenta la compañía de transporte de carga pesada
TRANSCARBOLIVAR CIA LTDA?
La compañía cuenta con laptos y computados de mesa el cual le sirvió para el trabajo
diario de todas las actividades realizadas por la compañía nuestro principal ingreso es
por medio de nuestros socios de la compañía.
3.- ¿Cuántas personas trabajan en el área operativa y del área tecnológica?
En el área de Tecnológica cuenta con dos personas las cuales realizan las reparaciones
adecuadas para el soporte de todos los equipos y los chequeos necesarios para evitar
posteriores fallas.
4.- ¿Está capacitado todo el personal de la compañía para las tareas que desempeñan
cada trabajador?
14
En nuestra Institución trabajamos con personas que están preparadas que han cruzado
su carrera universitaria con éxito y además con una experiencia que hasta el día de hoy
nos ha permitido trabajar sin ninguna clase de inconvenientes que no sean de gravedad.
Es por ello que el personal de tecnologías si está capacitado para ese puesto, pero eso
no significa que debemos quedarnos ahí. ¡Tenemos que mejorar mucho más! Y sin dejar
a un lado al conductor del vehículo de carga pesada.
5.- ¿Usted sabe si el departamento tiene todo licencias adecuadas para cada equipo
tecnológico, etc.?
En la actualidad un 70% de los equipos de la compañía TRANSCARBOLIVAR CIA LTDA,
no cuentan con las licencias adecuadas para todos los equipos que posee. Sin dejar a
un lado que el equipo tecnológico está trabajando es esos costos.
6.- ¿Qué tipo de documentaciones tiene el área operativa de la compañía de carga
pesada?
Se tiene el manejo de toda clase de documentación, que una compañía de carga pesada
tenga que administrar como compras de los equipos de computación y de oficina hasta
facturas de combustibles de socios e incluso los recibos de viaje de la carga transportada
sin dejar a un lado los contratos con entidades públicas y privadas.
7.- ¿Qué tanta antigüedad tiene sus equipos en todas las áreas de la compañía?
Por el momento contamos con 6 equipos con cuales existen antiguos y nuevos, lo cual
se están renovando poco a poco para dar un mejor servicio y facilite el trabajo.
8.- ¿Tienen planes para prevenir riesgos en los datos? ¿Cuáles?
Pon el momento no poseemos aun un plan de seguridad para equipos y de respaldos de
la información, pero si tenemos un pequeño fondo para comprar la pieza y reemplazarla.
9.- ¿Cuál es el presupuesto que está asignados para las diferentes áreas y solución a los
problemas suscitados?
En cuanto a nuestro presupuesto ha variado poco en los últimos años por que la
tecnología que es la que más cambia en la actualidad. Para esto del presupuesto siempre
nos basamos en los contratos y aprobación de los socios, previamente revisado los
balances generales del año que ha trascurrido.
10.- ¿Estaría dispuesto a que se realice la implementación del plan de seguridad
informática en su compañía de carga pesada?
Claro, es importante ya que respalda nuestros equipos e información es de suma
importancia para la compañía, ya que es el trabajo que dará frutos para cualquier
circunstancia de la compañía.
ENCUESTA 3
15
FORMATO DE LA ENCUESTA
1.- ¿SABE USTED QUE ES UN PLAN INFORMATICO?
SI NO
2.- ¿ESTARIA DE ACUERDO QUE LA COMPAÑÍA POSEA PLANES DE CONTIGENCIA
PARA LA PROTECCION DE LA INFORMACION?
SI NO
3.- ¿CREE USTED QUE LA COMPAÑÍA POSEE UN PLAN DE SEGURIDAD PARA LA
PROTECCION DE LOS DATOS?
SI NO
4.- ¿CREE USTED QUE LA COMPAÑÍA DEBERIA TENER POLITICAS O NOMAS DE
SEGURIDAD PARA LA INFORMACION?
SI NO
5.- ¿CRE USTED QUE LA COMPAÑÍA DEBERIA TENER RESTRICCIONES PARA EL
INGRESO DE LOS DATOS AL SISTEMA?
SI NO
6.- ¿EXISTE EL PERSONAL ADECUADO PARA RESOLVER LOS PROBLEMAS DE
REDES?
SI NO
7.- ¿EXISTEN REGLAS O NORMAS PARA EL MANEJO DE LOS EQUIPOS?
SI NO
8.- ¿CREE USTED QUE SE SIENTE CAPACITADO PARA RESOLVER UN PROBLEMA
INFORMÁTICO?
SI NO
9.- ¿CREE USTED QUE LA COMPAÑÍA NECESITA NORMAS PARA EL INGRESO DE
LOS DATOS AL SISTEMA?
SI NO
10.- CREE USTED QU ELA COMPAÑÍA CUENTA CON UN INVENTARIO DE LOS
ACTIVOS INFORMATICOS?
SI NO
FICHA DE CAMPO
La ficha de campo es un instrumento utilizado por los investigadores para registrar y
organizar información. En otras palabras, la fuente principal de información es la del sitio
donde ocurre el problema que se investiga.
Se dice que es una ficha de campo porque se genera en una investigación de campo, es
decir, una investigación en una zona en particular.
16
La ficha de campo forma parte de un sin fin de fichas de trabajo que permiten el recolectar
datos importantes.
FICHA DE RESUMEN
AUTOR: GRUPO ISO 2022
TITULO: CASO DE ESTUDIO 7
FECHA: 20/11/21
RESUMEN:
La compañía de carga pesada TRANSCARBOLIVAR CIA LTDA del Cantón Bolívar,
actualmente no cuenta con un plan de seguridad informática, ya que dicho documento es
de tal importancia para la seguridad de la información y equipos informáticos que son de
vital importancia para la misma compañía y el departamento de tecnologías de la
información.
9. OBSERVACIONES RESULTADO DEL ANÁLISIS.

Dentro de los objetivos que se plantean en el caso de estudio, esto como actividades a
ser elaboradas, se pudo observar que:
• Si bien cumple con la elaboración del plan informático no va en relación a la norma ISO
27005, ya que no se hizo ningún control para identificar los riesgos y aplicar esta
normativa.
• Dentro de la elaboración del plan informático se evidencio que no se elaboró un
documento del manejo del personal para evitar conflictos entre el área administrativa y
trabajadores de campo.
10. CONCLUSIONES DEL TRABAJO DE ANÁLISIS.

Una vez analizada todas las áreas críticas de la empresa y toda la información brindad
por la empresa Transcarbolivar LTDA. se encontró falencias en el manejo y control de la
información de la empresa.
Al implantar el plan de seguridad informático ISO/IEC 27005, Gestión de Riesgos de la
Seguridad de la Información, este al ser un estándar internacional garantiza que esta
norma pueda suministrar las directrices para la gestión de riesgos, apoyándose
fundamentalmente en los requisitos que se requieren para una mayor seguridad
tecnológica de la información.
El desarrollo de este plan informático se concentra en mejorar la seguridad de la
información y evitar riesgos con el fin de optimizar la integridad la disponibilidad y
confidencialidad de la empresa Transcarbolivar LTDA.
17
Analizado el caso de estudio dentro de la empresa, hemos llegado a la conclusión de que
las propuestas hechas en el plan de seguridad para la empresa son y serán factibles para
su desarrollo, no encontramos falencias en el plan de seguridad propuestos para la
empresa Transcarbolivar ltda.
11. RECOMENDACIONES DEL TRABAJO DE ANÁLISIS.
La norma ISO 27005 se encuentra diseñada como soporte para poder aplicarla en
cualquier organización.
El caso de estudio es de gran importancia para el avance en el campo de la seguridad
de la información en el área de transporte pesado, la implementación de un plan de
seguridad informática que gestione el área operativa es poco visto en sectores como el
transporte pesado, por lo que se podría recomendar al caso de estudio.
• Se recomienda las evaluaciones según el plan informático de la compañía e
incrementar los controles necesarios para el logro de objetivos.
• Realizar informes continuos sobre la seguridad de la información, la infraestructura
y los recursos tecnológicos para mejorar la calidad de los servicios prestados.
• Se recomienda capacitación permanente según cronograma del personal y sus
diferentes áreas, en lo que se refiere a normas de seguridad, planes, proyectos,
reglamentos y manuales, todo para reducir el riesgo de la información.
• Difundir el caso de estudio para que sea un punto de inicio para la implementación
de seguridad informática.
• Incentivar a la empresa a TRANSCARBOLIVAR CIA LTDA. a compartir su
experiencia con esta implementación, para abrir puertas al cuidado de la
información.
• Capacitar e informar al equipo de trabajo para tener medidas de precaución con
sus equipos y la información que tienen en ellos.
• Recomendamos como grupo ISO 2022 a la empresa transcarbolivar ldta hacer
seguimientos a futuro sobre el plan de seguridad propuesto y capacitar a al
personal en las áreas de la información.
18
PAPELES DE TRABAJO
A. IDENTIFICAR EN EL CASO DE ESTUDIO, LA METODOLOGIA Y LA VERSION DE LA
METODOLOGIA
TEMA: PLAN DE SEGURIDAD INFORMATICA BASADA EN NORMA ISO/ TEC 27005

PARA OPTIMIZAR LA GESTION DE LA INFORMACION DEL AREA OPERATIVA DE
LA COMPANIA DE TRANSPORTE TRANSCARBOLIVAR CIA . LTDA DEL CANTON
BOLIVIAR.
METODOLOGIA: ISO/TEC 27005

VERSION: ISO/ TEC 27005 : 2008
PARA QUE SIRVIERON LOS METODOS: LOS METODOS SIRVIERON PARA LA
RECOLECCION DE DATOS, QUE AYUDARON A RESOLVER LOS PROBLEMAS Y
RECIBIR RIESGOS ENCONTRADOS EN LA COMPAÑIA TRANSPORTE
TRANSCARBOLIVAR CIA LTDA DEL CANTON BOLIVAR
B. IDENTIFICAR EN EL CASO DE ESTUDIO TIPOS DE CONTROLES EMPLEADOS POR

EL PROCESO DE AUDITORIA EMPLEADO.
TIPOS DE CONTROLES ISO 27005 (GESTION DE SEGURIDAD)
Los controles son obligatorios para la aplicabilidad en el trabajo. Estos son encargados de
la seguridad de la información y son quienes deben definir cuáles son los que se van
aplicar para la protección de datos.
Se debe definir:
1. Responsabilidades para administrar los controles

2. Medir y monitorear la efectividad de los controles
3. Implementar acciones correctivas cuando se detectan fallos en los controles, de tal
manera que se asegure el logro de los objetivos propuestos.
Existen 114 controles de seguridad, se debe elegir cual aplica mejor a las necesidades de
la organización, se dividen en secciones:
• Políticas de seguridad de la información
• Organización de la seguridad de la información
• Seguridad de los recursos humanos
• Gestión de Activos
• Controles de acceso
19
• Criptografía – Cifrado y gestión de claves
• Seguridad física y ambiental
• Seguridad operacional
• Seguridad de las comunicaciones
• Adquisición, desarrollo y mantenimiento del sistema
• Gestión de incidentes de seguridad de la información
• Cumplimiento
C. IDENTIFICAR EN EL CASO DE ESTUDIO LOS PROCESOS A SER ANALIZADOS.

ACTIVIDADES
Políticas de seguridad de la Información.
Seguridad de los equipos.
Segregación de funciones.
Supervisión.
Control de acceso.
Responsabilidad y procedimientos.
Plan de contingencia.
Manejo de Área Operativa
20
A. IDENTIFICAR NORMAS UTILIZADOS EN EL CASO DE ESTUDIO
EMPRESA: AREA AUDITADA DIA MES AÑO

Área operativa de la compañía de Transporte de
ISO 2022 16 10 21
Carga Pesada TRANSCARBOLIVAR CIA LTDA.
IDENTIFICACION DE NORMAS
EVIDENCIA EXTRAIDA DEL CASO DE ESTUDIO:
NORMA ISO/IEC 27005 PARA LA SEGURIDAD DE LA INFORMACIÓN

La norma ISO 27005 es el estándar internacional encargada de la gestión de riesgos de seguridad de información.
Dicha norma contiene las directrices que se deben realizar para llevar a cabo el proceso de gestión del riesgo, y es
aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que amenacen la seguridad de
la información de su organización. No recomienda una metodología concreta, lo cual dependerá de la organización
escoger la metodología que mejor se acople a sus objetivos de negocio. Es por esto que se hace necesario definir y seguir
una metodología que se adapte al entorno o contexto a abarcar; es aquí donde una organización toma lo que puede ser
la decisión más importante en el proceso de gestión del riesgo, ya que elegir el camino menos adecuado traerá como
resultado menos eficiencia, y por lo tanto mayor costo y esfuerzo para lograr el objetivo, que consiste en manejar el
riesgo de una manera más económica de lo que costaría recuperarse de un incidente de seguridad. (Diego Espinoza,
2014)
FUENTE:
CASO DE ESTUDIO 7: Pagina 17
21
ISO 2022 16 10 21
NORMA ISO/IEC 27005 PARA LA SEGURIDAD DE LA INFORMACIÓN

LLa ISO 27005 establece las directrices para la gestión del riesgo en la seguridad de la información, además de que
también apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la
aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento
de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante
para un completo entendimiento de la norma ISO/IEC 27005:2008 que es aplicable a todo tipo de organizaciones (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención
de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. (Urbina, 2016)
FUENTE:
22
ISO 2022 16 10 21
NORMAS ISO 27000

Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la
Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares
y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y
mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la
transferencia de tecnologías. (Publicas, 2008)
FUENTE:
23
ISO 2022 16 10 21
FAMILIA DE NORMAS ISO/IEC

En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad (desarrollados o en
fase de desarrollo) que proporciona un marco para la gestión de la seguridad. (Publicas, 2008)
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y
mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña. (Publicas, 2008)
Sin dejar a un lado las normas ISO son de vital importantes para cualquier compañía ya que esta les enseña a
mantener y prevenir posteriores error o perdidas de datos importante para la empresa con un orden adecuado.
FUENTE:
24
ISO 2022 16 10 21
FUENTE:
B. IDENTIFICAR EN EL CASO DE ESTUDIO, LOS CONTROLES QUE HAN SIDO UTILIZADOS
25
C. IDENTIFICAR PARA QUE SIRVEN CADA UNO DE ELLOS
EL CASO DE ESTUDIO PROPONE UTILIZAR LA METODOLOGIA ISO 27005, YA QUE NO CUENTA CON LOS DEBIDOS CONTROLES NECESARIOS
PARA EL BUEN FUNCIONAMIENTO DE LA EMPRESA, Y AUN NO HAN SIDO APLICADAS AL ENTE.
26
D. IDENTIFICAR EN EL CASO DE ESTUDIO, LAS HERRAMIENTAS DE TRABAJO QUE HAN SIDO EMPLEADAS

Área operativa de la compañía de
ISO 2022 Transporte de Carga Pesada 17 10 21
TRANSCARBOLIVAR CIA LTDA.
IDENTIFICACION DE HERRAMIENTAS
La encuesta:
Es una técnica que consiste en obtener información acerca de una parte de la población o muestra, mediante el
uso del cuestionario o de la entrevista. (Pardinas, 2005)
FUENTE:
CASO DE ESTUDIO 7: Pagina 22 (ANEXO 1)
27
La entrevista:
Consiste en obtención de información oral de parte de una persona, recabada por el entrevistador
directamente. (Pardinas, 2005)
La entrevista, que se llevará a cabo con el director del área Operativa de la compañía TRANSCARBOLIVAR
CIA. LTDA.
FUENTE:
CASO DE ESTUDIO 7: Pagina 22 (ANEXO 2 Y 3)
28
La Observación:
Con el fin de recolectar datos suficientes para verificar las hipótesis formuladas se hace necesario, precisamente
observar los fenómenos en cuestión con objeto de determinar si existe una adecuación entre ellos y las hipótesis.
(Pardinas, 2005)
Con técnicas antes mencionadas, la compañía ha encontrado la posible respuesta a algunos problemas
encontrados y para prevenir algunos riesgos, que se puedan suscitar; en primera instancia utilizaron la
entrevista hacia el gerente de la compañía TRANSCARBOLIVAR CIA LTDA, que de una manera empírica,
comento el problema, el cual está teniendo el área operativa, también utilizaron la encuesta que le ayudo a
descifrar en manera general algunos problemas que poseen el trabajador de la compañía y por último la
observación que por ejemplos la aplicaron al haber encontrado el problema en sí y de haber encontrado algunos
factores del porqué del problema.
FUENTE:
29
FORMATO DE LA ENCUESTA
1.- ¿SABE USTED QUE ES UN PLAN INFORMATICO?
SI NO
2.- ¿ESTARIA DE ACUERDO QUE LA COMPAÑÍA POSEA PLANES DE CONTIGENCIA PARA

LA PROTECCION DE LA INFORMACION?
SI NO
3.- ¿CREE USTED QUE LA COMPAÑÍA POSEE UN PLAN DE SEGURIDAD PARA LA

PROTECCION DE LOS DATOS?
SI NO
4.- ¿CREE USTED QUE LA COMPAÑÍA DEBERIA TENER POLITICAS O NOMAS DE SEGURIDAD
PARA LA INFORMACION?
SI NO
5.- ¿CRE USTED QUE LA COMPAÑÍA DEBERIA TENER RESTRICCIONES PARA EL INGRESO DE
LOS DATOS AL SISTEMA?
SI NO
6.- ¿EXISTE EL PERSONAL ADECUADO PARA RESOLVER LOS PROBLEMAS DE REDES?
SI NO
7.- ¿EXISTEN REGLAS O NORMAS PARA EL MANEJO DE LOS EQUIPOS?
SI NO
8.- ¿CREE USTED QUE SE SIENTE CAPACITADO PARA RESOLVER UN PROBLEMA INFORMÁTICO?
SI NO
9.- ¿CREE USTED QUE LA COMPAÑÍA NECESITA NORMAS PARA EL INGRESO DE LOS
DATOS AL SISTEMA?
SI NO
10.- CREE USTED QU ELA COMPAÑÍA CUENTA CON UN INVENTARIO DE LOS

ACTIVOS INFORMATICOS?
SI NO
30
FORMATO DE LA ENTREVISTA
COMPAÑÍA TRANSCARBOLIVAR CIA LTDA
.
2.- ¿CON QUE TIPO DE EQUIPOS CUENTA LA COMPAÑÍA DE TRANSPORTE

DE CARGA PESADA TRANSCARBOLIVAR CIA LDTA?
3.- ¿CUÁNTAS PERSONAS TRABAJAN EN EL ÁREA OPERATIVA Y DEL ÁREA

TECNOLÓGICA?
4.- ¿ESTÁ CAPACITADO TODO EL PERSONAL DE LA COMPAÑÍA PARA LAS

TAREAS QUE DESEMPEÑAN CADA TRABAJADOR?
5.- ¿USTED SABE SI EL DEPARTAMENTO TIENE TODO LICENCIAS

ADECUADAS PARA CADA EQUIPO TECNOLÓGICO, ETC.?
6.- ¿QUÉ TIPO DE DOCUMENTACIONES TIENE EL ÁREA OPERATIVA DE LA

COMPAÑÍA DE CARGA PESADA?
7.- ¿QUÉ TANTA ANTIGÜEDAD TIENE SUS EQUIPOS EN TODAS LAS ÁREA DE LA
COMPAÑÍA?
9.- ¿CUÁL ES EL PRESUPUESTO QUE ESTÁ ASIGNADOS PARA LAS DIFERENTES

ÁREAS Y SOLUCIÓN A LOS PROBLEMAS SUSCITADOS?
10.- ¿ESTARÍA DISPUESTO A QUE SE REALICE LA IMPLEMENTACIÓN DEL PLAN

DE SEGURIDAD INFORMÁTICA EN SU COMPAÑÍA DE CARGA PESADA
31
ENCUESTA REALIZADA A GERENTE DE LA COMPAÑÍA
PREGUNTAS RESPUESTAS
La actualidad de la compañía es que
1.- ¿Cómo que tanta frecuencia existen perdida de datos cada
existe perdida de datos? semana por reiterados reclamos de
los socios.
La compañía cuenta con laptos y

computados de mesa el cual le sirvió
2.- ¿Con que tipo de equipos cuenta
para el trabajo diario de todas las
la compañía de transporte de carga
actividades realizadas por la
pesada TRANSCARBOLIVAR CIA
compañía nuestro principal ingreso es
LTDA?
por medio de nuestros socios de la
compañía.
En el área de Tecnológica cuenta con

dos personas las cuales realizan las
3.- ¿Cuántas personas trabajan en el
reparaciones adecuadas para el
área operativa y del área
soporte de todos los equipos y los
tecnológica?
chequeos necesarios para evitar
posteriores fallas.
En nuestra Institución trabajamos con

personas que están preparadas que
han cruzado su carrera universitaria
4.- ¿Está capacitado todo el personal con éxito y además con una
de la compañía para las tareas que experiencia que hasta el día de hoy
desempeñan cada trabajador? nos ha permitido trabajar sin ninguna
clase de inconvenientes que no sean
de gravedad. Es por ello que el
personal de tecnologías si está
capacitado para ese puesto, pero eso
no significa que debemos quedarnos
32
ahí. ¡Tenemos que mejorar mucho
más! Y sin dejar a un lado al conductor
del vehículo de carga pesada.
En la actualidad un 70% de los

equipos de la compañía
TRANSCARBOLIVAR CIA LTDA, no
5.- ¿Usted sabe si el departamento
cuentan con las licencias adecuadas
tiene todo licencias adecuadas para
para todos los equipos que posee. Sin
cada equipo tecnológico, etc.?
dejar a un lado que el equipo
tecnológico está trabajando es esos
costos.
Se tiene el manejo de toda clase de

documentación, que una compañía de
carga pesada tenga que administrar
como compras de los equipos de
6.- ¿Qué tipo de documentaciones
computación y de oficina hasta
tiene el área operativa de la
facturas de combustibles de socios e
compañía de carga pesada?
incluso los recibos de viaje de la carga
transportada sin dejar a un lado los
contratos con entidades públicas y
privadas.
Por el momento contamos con 6

7.- ¿Qué tanta antigüedad tiene sus equipos con cuales existen antiguos y
equipos en todas las áreas de la nuevos, lo cual se están renovando
compañía? poco a poco para dar un mejor servicio
y facilite el trabajo.
Pon el momento no poseemos aun un

plan de seguridad para equipos y de
8.- ¿Tienen planes para prevenir
respaldos de la información, pero si
riesgos en los datos? ¿Cuáles?
tenemos un pequeño fondo para
comprar la pieza y reemplazarla.
33
En cuanto a nuestro presupuesto ha
variado poco en los últimos años por
que la tecnología que es la que más
9.- ¿Cuál es el presupuesto que está cambia en la actualidad. Para esto del
asignados para las diferentes áreas y presupuesto siempre nos basamos en
solución a los problemas suscitados? los contratos y aprobación de los
socios, previamente revisado los
balances generales del año que ha
trascurrido.
Claro, es importante ya que respalda

10.- ¿Estaría dispuesto a que se nuestros equipos e información es de
realice la implementación del plan de suma importancia para la compañía,
seguridad informática en su ya que es el trabajo que dará frutos
compañía de carga pesada? para cualquier circunstancia de la
compañía.
Fuente: Gerente de la compañía. Realizado por: Bosco Montesdeoca
34
E. IDENTIFICAR EN EL CASO DE ESTUDIO, LOS INSTRUMENTOS DE TRABAJO QUE HAN SIDO EMPLEADOS

IDENTIFICACION DE INSTRUMENTOS
Cuestionario: El cuestionario es un formato redactado en forma de interrogatorio en donde se obtiene

información acerca de las variables que se va a investigar.
FUENTE:
35
Guía de encuesta:
Son anotaciones de preguntas previo a una encuesta claramente identificada.
FUENTE:
36
Área operativa de la compañía de Transporte
ISO 2022 de Carga Pesada TRANSCARBOLIVAR CIA 17 10 21
LTDA.
Fichas de campo:
Esta ficha es un gran auxiliar de la investigación para anotar todo cuanto observamos en el lugar de los hechos, lo
que servirá luego para la construcción del conocimiento.
FUENTE:
37
ANEXOS
F. IDENTIFICAR EN EL CASO DE ESTUDIO, LOS CONTROLES QUE HAN SIDO
UTILIZADOS EN EL PROCESO DE LA AUDITORIA.
EL CASO DE ESTUDIO PROPONE UTILIZAR LA METODOLOGIA ISO 27005, YA QUE NO

CUENTA CON LOS DEBIDOS CONTROLES NECESARIOS PARA EL BUEN
FUNCIONAMIENTO DE LA EMPRESA, Y AUN NO HAN SIDO APLICADAS AL ENTE.
G. IDENTIFICAR EN EL CASO DE ESTUDIO, LAS HERRAMIENTAS DE TRABAJO QUE
FUERON EMPLEADAS EN EL PROCESO DE LA AUDITORIA.
➢ ESTADISTICA DESCRIPTIVA:
La estadística descriptiva es una disciplina que se encarga de recoger, almacenar, ordenar,

realizar tablas o gráficos y calcular parámetros básicos sobre el conjunto de datos. El cual es
utilizado en la tabulación de los datos recolectados por medio de la encuesta realizada.
INTERPRETACIÓN DE RESULTADOS DE LA ENCUENTA REALIZADA
Encuesta a Personal y Socios
Mediante esta
pregunta, le puede
Personal determinar el
conocimiento que
1.- ¿Sabe 35 tienen los
usted que es % señores
un plan conductores y
informático? 65%
personal
SI
N
O
administrativo
sobre un plan
informático.
38
Mediante esta
2.- ¿Estaría de Personal pregunta se dará
acuerdo que la cuenta que tan
compañía posea 10% importante es un
planes de plan de
contingencia para contingencia para
la protección de la 90% la protección de la
información? información
SI
N
O
Mediante esta
pregunta se podrá
definir qué tan
3.- ¿Cree usted Personal
involucrado y el
que la compañía nivel de
posee un plan de conocimiento que
55% 45%
seguridad para tiene los
la protección de trabajadores de la
los datos? compañía con esta
SI
N
O
con los planes de
seguridad.
De la pregunta
4.- ¿Cree usted Personal efectuada al
que la compañía personal de la
debería tener 20% compañía si creen
políticas o normas SI que debería tener
80% N
de seguridad para O políticas o normas
la información? para la seguridad

de la información.
39
Con esta pregunta
5.- ¿Cree usted Personal la mayoría del
que la compañía personal está de
debería tener 0% acuerdo con las
restricciones para SI restricciones para
100% N
el ingreso de los evitar pérdidas de
O
datos al sistema? información y de
datos del sistema.
Con esta pregunta

Personal demostrara que
6.- ¿Existe el no existe nadie
personal adecuado 0% especializado
para resolver los para resolver los
problemas de problemas
tecnológicos? 100% tecnológicos en
SI
N
O
cada área.
Mediante esta
pregunta se
Personal pudieron percatar
7.- ¿Existen reglas o dar cuenta que
o normas para el existe un 50% de
50% 50% SI
manejo de los los trabajadores
equipos? NO que no conocen
uso o manejo de
los equipos de
tecnología.
40
Con esta
pregunta se pudo
Personal determinar si el
8.- ¿Cree usted personal está
que se siente 25 capacitado para
capacitado % resolver un
para resolver problema
un problema SI
informático o
informático? 75%
prevenir un
NO
riesgo.
Mediante esta
9.- ¿Cree usted pregunta pudo
que la compañía determinar que
Personal se necesita una
necesita
capacitación
capacitaciones constante para
seguidas para el 25 los problemas de
% los señores
conductores con
ingreso de los SI
75% un computador al
N
datos al sistema ingreso de datos.
O
principalmente
con los señores
conductores?
Mediante esta
10.- ¿Cree usted Personal
pregunta la
que la compañía mayoría el
personal no
cuenta con un 30%
conoce sobre
inventario de los 70 SI los activos de
% N información.
activos de
O
información?
Fuente: Personal de la compañía. Realizado por: Bosco Montesdeoca.
H. IDENTIFICAR EN EL CASO DE ESTUDIO, LOS INSTRUMENTOS DE TRABAJO QUE

FUERON EMPLEADOS EN EL PROCESO DE LA AUDITORIA.
41
➢ La encuesta:
Es una técnica que consiste en obtener información acerca de una parte de la población o
muestra, mediante el uso del cuestionario o de la entrevista, consiguiendo de ellas datos a
través de preguntas sencillas y simples; que se podrán centralizar con el uso de la estadística,
la cual ayudara para cuantificarlas y darles una interpretación sobre el fenómeno de sistemas
estudiado.
ENCUESTA REALIZADA A GERENTE DE LA COMPAÑÍA
PREGUNTAS RESPUESTAS
La actualidad de la compañía es que existen

1.- ¿Cómo que tanta frecuencia existe perdida de datos cada semana por reiterados
perdida de datos? reclamos de los socios.
La compañía cuenta con laptos y computados

de mesa el cual le sirvió para el trabajo diario
2.- ¿Con que tipo de equipos cuenta la de todas las actividades realizadas por la
compañía de transporte de carga pesada compañía nuestro principal ingreso es por
TRANSCARBOLIVAR CIA LTDA? medio de nuestros socios de la compañía.
En el área de Tecnológica cuenta con dos

personas las cuales realizan las reparaciones
3.- ¿Cuántas personas trabajan en el área adecuadas para el soporte de todos los
operativa y del área tecnológica? equipos y los chequeos necesarios para evitar
posteriores fallas.
42
En nuestra Institución trabajamos con
personas que están preparadas que han
cruzado su carrera universitaria con éxito y
además con una experiencia que hasta el día
4.- ¿Está capacitado todo el personal de la de hoy nos ha permitido trabajar sin ninguna
compañía para las tareas que desempeñan clase de inconvenientes que no sean de
cada trabajador? gravedad. Es por ello que el personal de
tecnologías si está capacitado para ese
puesto, pero eso
no significa que debemos quedarnos
43
ahí. ¡Tenemos que mejorar mucho más! Y sin
dejar a un lado al conductor del vehículo de
carga pesada.
En la actualidad un 70% de los equipos de la

compañía TRANSCARBOLIVAR CIA LTDA, no
cuentan con las licencias adecuadas para
5.- ¿Usted sabe si el departamento tiene todos los equipos que posee. Sin dejar a un
todo licencias adecuadas para cada equipo lado que el equipo tecnológico está
tecnológico, etc.? trabajando es esos costos.
Se tiene el manejo de toda clase de

documentación, que una compañía de carga
pesada tenga que administrar como compras
de los equipos de computación y de oficina
hasta facturas de combustibles de socios e
6.- ¿Qué tipo de documentaciones tiene el incluso los recibos de viaje de la carga
área operativa de la compañía de carga transportada sin dejar a un lado los contratos
pesada? con entidades públicas y privadas.
Por el momento contamos con 6 equipos con

7.- ¿Qué tanta antigüedad tiene sus equipos cuales existen antiguos y nuevos, lo cual se
en todas las áreas de la compañía? están renovando poco a poco para dar un
mejor servicio y facilite el trabajo.
Pon el momento no poseemos aun un plan de

seguridad para equipos y de respaldos de la
8.- ¿Tienen planes para prevenir riesgos información, pero si tenemos un pequeño
en los datos? ¿Cuáles? fondo para comprar la pieza y reemplazarla.
44
En cuanto a nuestro presupuesto ha variado
poco en los últimos años por que la
tecnología que es la que más cambia en la
actualidad. Para esto del presupuesto
9.- ¿Cuál es el presupuesto que está siempre nos basamos en los contratos y
asignados para las diferentes áreas y solución aprobación de los socios, previamente
a los problemas suscitados? revisado los balances generales del año que
ha trascurrido.
Claro, es importante ya que respalda

10.- ¿Estaría dispuesto a que se realice la nuestros equipos e información es de suma
implementación del plan de seguridad importancia para la compañía, ya que es el
informática en su compañía de carga trabajo que dará frutos para cualquier
pesada? circunstancia de la compañía.
Fuente: Gerente de la compañía. Realizado por: Bosco Montesdeoca
➢ La entrevista:
La entrevista es un instrumento de recopilación de información que se realiza en forma directa,

donde el responsable de realizarla interroga e investiga al responsable del área para obtener
la información que se requiere, en el caso de estudio se entrevista al gerente de la compañía
TRANSCARBOLIVAR CIA LTDA. (ANEXO 2 Y 3)
FORMATO DE LA ENTREVISTA
COMPAÑÍA TRANSCARBOLIVAR CIA LTDA
.
45
2.- ¿CON QUE TIPO DE EQUIPOS CUENTA LA COMPAÑÍA DE TRANSPORTE DE CARGA PESADA
TRANSCARBOLIVAR CIA LDTA?
3.- ¿CUÁNTAS PERSONAS TRABAJAN EN EL ÁREA OPERATIVA Y DEL ÁREA TECNOLÓGICA?
4.- ¿ESTÁ CAPACITADO TODO EL PERSONAL DE LA COMPAÑÍA PARA LAS TAREAS QUE
DESEMPEÑAN CADA TRABAJADOR?
5.- ¿USTED SABE SI EL DEPARTAMENTO TIENE TODO LICENCIAS
ADECUADAS PARA CADA EQUIPO TECNOLÓGICO, ETC.?
6.- ¿QUÉ TIPO DE DOCUMENTACIONES TIENE EL ÁREA OPERATIVA DE LA COMPAÑÍA DE CARGA

PESADA?
7.- ¿QUÉ TANTA ANTIGÜEDAD TIENE SUS EQUIPOS EN TODAS LAS ÁREA DE LA COMPAÑÍA?
9.- ¿CUÁL ES EL PRESUPUESTO QUE ESTÁ ASIGNADOS PARA LAS DIFERENTES ÁREAS Y SOLUCIÓN
A LOS PROBLEMAS SUSCITADOS?
10.- ¿ESTARÍA DISPUESTO A QUE SE REALICE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD

INFORMÁTICA EN SU COMPAÑÍA DE CARGA PESADA
46
➢ La Observación:
Con el fin de recolectar datos suficientes para verificar las hipótesis formuladas se hace
necesario, precisamente observar los fenómenos en cuestión con objeto de determinar si
existe una adecuación entre ellos y las hipótesis.
➢ Cuestionario:
Es la recopilación de datos mediante el diseño de preguntas a realizar en la encuesta, en

las que los encuestados responderán en base a su perspectiva de la situación; de esta
manera obtiene información útil que puede concentrar, clasificar e interpretar por medio de
su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el
aspecto investigado.
➢ Guía de encuesta:
Son anotaciones de preguntas previo a una encuesta claramente identificada.

➢ Fichas de campo:
Esta ficha es un gran auxiliar de la investigación para anotar todo cuanto observamos en el
lugar de los hechos, lo que servirá luego para la construcción del conocimiento.
D) IDENTIFICAR EN EL CASO DE ESTUDIO, LAS TÉCNICAS DE EVALUACIÓN QUE
FUERON EMPLEADOS EN EL PROCESO DE LA AUDITORÍA.
MÉTODO DE SIGNIFICANCIA
LA APLICACIÓN DEL MÉTODO DE SIGNIFICANCIA PERMITE REALIZAR LA
VERIFICACIÓN DE UNA HIPÓTESIS SOBRE UNA POBLACIÓN, EXPRESADA A
TRAVÉS DE PARÁMETROS PARA CIERTAS VARIABLES.
DIAGNOSTICO
SE REALIZÓ UN DIAGNOSTICO A LA COMPAÑÍA TRANSCARBOLIVAR CIA LTDA,
GRACIAS A LAS ENCUESTAS QUE SE APLICARON A PERSONAS QUE TIENE USO
CONTINUO DE ESTE SI. LA INFORMACIÓN OBTENIDA NO ES MUY EXTENSA YA QUE
COMO SE HA MENCIONADO CONSTANTEMENTE EN ESTE DOCUMENTO, LOS
PROCESOS Y PROCEDIMIENTOS NO ESTÁN DOCUMENTADOS; PERO FUE DE
MUCHA AYUDA PARA LEVANTAR INFORMACIÓN BASE, PARA PODER INICIAR A LA
COMPAÑÍA TRANSCARBOLIVAR CIA LTDA EN EL MUNDO DE LOS ESTÁNDARES
INTERNACIONALES Y LAS BUENAS PRÁCTICAS .
SE REALIZO UN DIAGNOSTICO MUY EXACTO Y REAL DEL ESTADO DE SUS
PROCESOS, DÁNDOLE LAS HERRAMIENTAS NECESARIAS, PARA LA TOMA DE
DECISIONES Y CREACIÓN DE MEDIDAS DE CONTROL QUE PERMITIRÁ LA MEJORA
EN LA CALIDAD DEL SISTEMA Y TIEMPO DE RESPUESTA A LAS SOLICITUDES QUE
SE LE REALIZAN.
RECOLECCIÓN DE DATOS
• ENTREVISTA
CONSISTE EN LA OBTENCIÓN DE LA INFORMACIÓN ORAL DE PARTE DE UNA
PERSONA RECABADA POR EL ENTREVISTADOR DIRECTAMENTE.
LA ENTREVISTA QUE SE LLEVARA ACABO CON EL DIRECTOR DEL ÁREA
47
OPERATIVA DE LA COMPAÑÍA TRANSCARBOLIVAR
ESTA TÉCNICA SE UTILIZÓ POR LOS AUDITORES YA QUE A TRAVÉS DE ESTA SE
OBTIENE INFORMACIÓN SOBRE LO QUE ESTÁ AUDITANDO, ADEMÁS DE TIPS QUE
PERMITIRÁN CONOCER MÁS SOBRE LOS PUNTOS A EVALUAR O ANALIZAR. LA
ENTREVISTA EN GENERAL ES UN MEDIO DIRECTO PARA LA RECOLECCIÓN DE
INFORMACIÓN PARA LA CAPTURA DE LOS DATOS INFORMADOS POR MEDIO DE
GRABADORAS DIGITALES O CUALQUIER OTRO MEDIO. EN LA ENTREVISTA, EL
AUDITOR INTERROGA, INVESTIGA Y CONFORMA DIRECTAMENTE SOBRE LOS
ASPECTOS QUE SE ESTÁ AUDITANDO. EN SU APLICACIÓN SE UTILIZA UNA GUÍA
GENERAL DE LA ENTREVISTA, QUE CONTIENE UNA SERIE DE PREGUNTAS SOBRE
LOS TEMAS QUE SE QUIERE TOCAR, Y QUE A MEDIDA QUE AVANZA PUEDEN IRSE
ADAPTANDO PARA PROFUNDIZAR Y PREGUNTAR SOBRE EL TEMA.
• OBSERVACIÓN
CON EL FIN DE RECOLECTAR DATOS SUFICIENTES PARA VERIFICAR LAS
HIPÓTESIS FORMULADAS SE HACE NECESARIO, PRECISAMENTE OBSERVAR LOS
FENÓMENOS EN CUESTIÓN CON OBJETO DE DETERMINAR SI EXISTE UNA
ADECUACIÓN ENTRE ELLOS Y LAS HIPÓTESIS.
LA COMPAÑÍA HA ENCONTRADO LA POSIBLE RESPUESTA A ALGUNOS
PROBLEMAS ENCONTRADOS Y PARA PREVENIR ALGUNOS RIESGOS, QUE SE
PUEDAN SUSCITAR; EN PRIMERA INSTANCIA UTILIZARON LA ENTREVISTA HACIA
EL GERENTE DE LA COMPAÑÍA TRANSCARBOLIVAR CIA LTDA, QUE DE UNA
MANERA EMPÍRICA, COMENTO EL PROBLEMA, EL CUAL ESTÁ TENIENDO EL ÁREA
OPERATIVA, TAMBIÉN UTILIZARON LA ENCUESTA QUE LE AYUDO A DESCIFRAR EN
MANERA GENERAL ALGUNOS PROBLEMAS QUE POSEEN EL TRABAJADOR DE LA
COMPAÑÍA Y POR ÚLTIMO LA OBSERVACIÓN QUE POR EJEMPLOS LA APLICARON
AL HABER ENCONTRADO EL PROBLEMA EN SÍ Y DE HABER ENCONTRADO
ALGUNOS FACTORES DEL PORQUÉ DEL PROBLEMA.
LAS TÉCNICAS MÁS UTILIZADAS PARA EXAMINAR LOS DIFERENTES ASPECTOS
DE LA LA COMPAÑÍA TRANSCARBOLIVAR CIA LTDA QUE INTERVIENEN EN EL
FUNCIONAMIENTO DEL ÁREA INFORMÁTICA , PERMITE RECOLECTAR LA
INFORMACIÓN DIRECTAMENTE SOBRE EL COMPORTAMIENTO DE LOS SISTEMAS,
DEL ÁREA DE INFORMÁTICA, DE LAS FUNCIONES Y ACTIVIDADES, LOS
PROCEDIMIENTOS Y OPERACIÓN DE LOS SISTEMAS, Y DE CUALQUIER HECHO
QUE OCURRA EN EL ÁREA. EN EL CASO ESPECÍFICO DE LA AUDITORIA SE APLICA
PARA OBSERVAR TODO LO RELACIONADO CON EL ÁREA INFORMÁTICA Y LOS
SISTEMAS DE UNA ORGANIZACIÓN CON EL PROPÓSITO DE PERCIBIR, EXAMINAR,
O ANALIZAR LOS EVENTOS QUE SE PRESENTAN EN EL DESARROLLO DE LAS
ACTIVIDADES DEL ÁREA O DE UN SISTEMA QUE PERMITA EVALUAR EL
CUMPLIMIENTO DE LAS FUNCIONES, OPERACIONES Y PROCEDIMIENTOS.
• ENCUESTA
SE UTILIZO UNA TÉCNICA QUE CONSISTE EN OBTENER INFORMACIÓN ACERCA DE
UNA PARTE DE LA POBLACIÓN O MUESTRA MEDIANTE EL USO DEL CUESTIONARIO
O LA ENTREVISTA
LAS ENCUESTAS UTILIZADAS FRECUENTEMENTE PARA RECOLECTAR
48
INFORMACIÓN SOBRE ASPECTOS COMO EL SERVICIO, EL COMPORTAMIENTO Y
UTILIDAD DEL EQUIPO, LA ACTUACIÓN DEL PERSONAL Y LOS USUARIOS, ENTRE
OTROS JUICIOS DE LA FUNCIÓN INFORMÁTICA. NO EXISTEN REGLAS PARA EL USO
DE LAS ENCUESTAS, SOLO LOS QUE REGULAN LOS ASPECTOS TÉCNICOS Y
ESTADÍSTICOS TALES COMO LA ELECCIÓN DEL UNIVERSO Y LA MUESTRA, QUE SE
CONTEMPLAN DENTRO DE LA APLICACIÓN DE MÉTODOS PROBABILÍSTICOS Y
ESTADÍSTICOS PARA HACER LA MEJOR ELECCIÓN DE LAS MUESTRAS Y
RECOLECCIÓN DE OPINIONES DE LA COMPAÑÍA TRANSCARBOLIVAR CIA LTDA
• CUESTIONARIOS
LOS CUESTIONARIOS QUE SE UTILIZARON SON PREGUNTAS IMPRESAS EN
FORMATOS O FICHAS EN QUE EL AUDITADO RESPONDE DE ACUERDO A SU
CRITERIO, DE ESTA MANERA EL AUDITOR OBTIENE INFORMACIÓN QUE
POSTERIORMENTE PUEDE CLASIFICAR E INTERPRETAR POR MEDIO DE LA
TABULACIÓN Y ANÁLISIS, PARA EVALUAR LO QUE SE ESTÁ AUDITANDO Y EMITIR
UNA OPCIÓN SOBRE EL ASPECTO EVALUADO DE LA COMPAÑÍA
TRANSCARBOLIVAR CIA LTDA
• INVENTARIOS
CONSISTIÓ EN HACER UN RECUENTO FÍSICO DE LO QUE SE ESTÁ AUDITANDO,
CON EL FIN DE COMPARARLO CON LO QUE EXISTE EN LOS DOCUMENTOS EN LA
MISMA FECHA. CONSISTE EN COMPARAR LAS CANTIDADES REALES EXISTENTES
CON LAS QUE DEBERÍA HABER PARA COMPROBAR QUE SEAN IGUALES, DE LO
CONTRARIO INICIAR LA INVESTIGACIÓN DE LA DIFERENCIA PARA ESTABLECER
LAS CAUSAS. CON LA APLICACIÓN DE ESTA HERRAMIENTA DE LA AUDITORIA
TRADICIONAL, EL AUDITOR DE SISTEMAS TAMBIÉN PUEDE EXAMINAR LAS
EXISTENCIAS DE LOS ELEMENTOS DISPONIBLES PARA EL FUNCIONAMIENTO DEL
ÁREA INFORMÁTICA O DEL SISTEMA, CONTABILIZANDO LOS EQUIPOS DE
CÓMPUTO, LA INFORMACIÓN Y LOS DATOS DE LA EMPRESA, LOS PROGRAMAS,
PERIFÉRICOS, CONSUMIBLES, DOCUMENTOS, RECURSOS INFORMÁTICOS, Y
DEMÁS ASPECTOS QUE SE DESEE CONOCER, CON EL FIN DE COMPARAR LA
CANTIDAD REAL CON LAS EXISTENCIAS QUE SE REGISTRAN EN LOS
DOCUMENTOS.
49
E) NOMINAR LOS TIPOS DE CONTROLES QUE SERÁN EMPLEADOS POR EL
GRUPO EN EL PROCESO DE AUDITORÍA A SER EJECUTADO SOBRE EL CASO
DE ESTUDIO, DESCRIBIENDO EL USO DEL MISMO.
CUMPLIMIENTO:
• Se deberá verificar el cumplimiento de las leyes, reglamentos y normas vigentes para el manejo
de las tic´s y la institución misma.
• Cumplir con todas las obligaciones en cuanto a la implementación de sistemas de seguridad y

control.
• Cumplimiento de obligaciones ante los órganos de control externo (estado).
POLITICAS DE SEGURIDAD DE LA INFORMACION:
• Confidencialidad, integridad y accesibilidad (CIA) de la información. Es toda la información que

integra el campo de la seguridad del sistema, la integración de toda esta información debe ser
conjunta deberá estar disponible en cualquier momento, información rápida veraz y verificable.
CONTROL DE EJECUCIÓN:
• Generar políticas de ejecución, es un instructivo donde se deberá cumplir con los objetivos de la
institución.
• Control de operaciones, medir y cuantificar el desarrollo y cumplimiento de las actividades
planificadas.
• Control orientado al diseño de generación de acciones y mecanismos de control y evaluación.
CONTROL DE EVALUACIÓN:
• Realizar evaluaciones de control interno, implica un examen a la efectividad del sistema de la

organización. Un sistema fuerte reduce el riesgo de actividad fuera de las normas.
• Seguimiento a la gestión, consiste en el análisis y recopilación sistemático de la información a
medida que avanzan los objetivos previstos, el objetivo es mejorar la eficacia y efectividad de la
organización.
• Verificación y evaluación permanente, es la comparación de impacto real del proyecto con los
planes estratégicos establecidos.
ADQUISICION, DESARROLLO Y MANTENIMIENTO DEL SISTEMA:
• Se deberá garantizar el funcionamiento, mantenimiento y completo desarrollo de los equipos para

la seguridad de la información por ser una parte integral del organismo.
• Garantizar que la seguridad de la información ha sido diseñada e implementada dentro del ciclo
de vida del desarrollo de los sistemas de información.
F) NOMINAR LOS INSTRUMENTOS DE RECOPILACIÓN DE DATOS QUE SERÁN
EMPLEADOS EN EL PROCESO DE LA AUDITORIA A SER EJECUTADO SOBRE
EL CASO DE ESTUDIO, DESCRIBIENDO EL USO DEL MISMO
➢ OBSERVACION:
50
La observación nos permitirá adquirir conocimientos atreves del caso de estudio para examinar
los distintos aspectos que repercuten en el funcionamiento del área operativa del sistema de
información de la compañía TRANSCARBOLIVAR CIA LTDA, que nos ayudara a recolectar la
información necesaria sobre:
• la seguridad del sistema informático,
• las vulnerabilidades,
• los riesgos y
• las operaciones que se realicen.
G) NOMINAR LAS TECNICAS DE EVALUACION DE TRABAJO QUE SERAN
EMPLEADAS EN EL PROCESO DE AUDITORIA A SER EJECUTADO SOBRE EL
CASO DE ESTUDIO, DESCRIBIENDO EL USO DEL MISMO.
LA ENCUESTA
Es una técnica que se empleo con el fin de obtener información acerca de una parte de la
población o muestra, mediante el uso del cuestionario o de la entrevista.
LA ENTREVISTA
Esta técnica consiste en la obtención de información oral de parte de una persona, esta
información recabada directamente por el entrevistador.
LA OBSERVACION
Es el registro visual de lo que ocurre en una situación real, clasificando y consignando los datos
de acuerdo con algún esquema previsto.
Se empleo esta técnica con la finalidad de recabar datos suficientes para verificar la hipótesis
formulada, por lo mismo se hace necesario precisamente observar los fenómenos en cuestión,
con objeto de determinar si existe una correcta relación entre ellos y las hipótesis.
H) Analizar con la información extraida el porque del uso de los controles,

herramientas, instrumentos y técnicas de evaluación en el proceso de auditoria
ejecutado en el caso de estudio.
Los controles
En el análisis es una correlación para la Auditoria porque se puede revisar y evaluar la estructura
del control, para determinar si el mismo es efectivo y eficiente. El propósito de la revisión del
control es determinar si se cumplen los objetivos elementales del mismo.
Los controles contribuyen a la seguridad de los datos, y el buen funcionamiento de los sistemas
de información que se utiliza en la empresa. Detecta las irregularidades y errores y da guía hacia
una solución factible evaluando todos los niveles de autoridad y la administración del personal.
Las Herramientas
En análisis, las herramientas sirven para medir los problemas detectados en la empresa, que
dificultan y vulneran la seguridad de los datos, asi mismo también da soluciones a esos
problemas, en este caso se pudo detectar las falencias por falta de información y capacitación
del personal de TRANSCARBOLIVAR CIA LTDA.
Los Instrumentos
En el análisis, los instrumentos detallan mas los problemas surgidos en el área operativa de la
empresa e identificar las solucione a aplicar dentro de la misma, a la par de también adquirir
información a través del caso de estudio.
Las Técnicas
Todas las técnicas usadas, los métodos y pruebas de investigación permiten comprobar la
situación del personal y de los sistemas de información, para que el auditor pueda emitir una
opinión clara y profesional. Permite obtener evidencia con la cual el auditor fundamenta sus
51
opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias.
Las técnicas y los procedimientos están estrechamente relacionados. Si las técnicas son
desacertadas, la auditoria no alcanzará las normas aceptadas de ejecución.
En Conclusión
Se analizo mediante observaciones e investigación, las funciones, la situación de la empresa en
el área operativa y las falencias detectadas en los sistemas de informacion que dañan y debilitan
el buen funcionamiento y desarrollo de la empresa.
Se utilizaron las encuestas y entrevistas para valorar los problemas identificados para aplicar los
controles y funcionamientos correctos dentro de TRANSCARBOLIVAR CIA LTDA.
I) Analizar con la información extraída el resultado del proceso de auditoria

ejecutado, de donde proviene cada observación y a dónde quiere llegar con cada
una de ellas.
OBSERVACIONES
• Diseñar un plan de seguridad informática que gestione la información del área operativa
utilizando la norma ISO/IEC 27005 para la Compañía TRANSCARBOLIVAR CIA. LTDA.
• Fundamentar bibliográficamente los conceptos relacionados con la teoría en seguridad,
auditoria y operatividad informática, estándares de seguridad para reducir los riesgos de
perdida de datos.
• Realizar investigación sobre la problemática de la seguridad de información del área
operativa de la Compañía TRANSCARBOLIVAR CIA. LTDA para reducir y evitar posibles
riesgos de los datos.
• Elaborar el plan de seguridad que gestione la información del área operativa de la
Compañía TRANSCARBOLIVAR CIA. LTDA.
OBSERVACION RESULTADO A OBTENER

Diseñar un plan de seguridad informática Conocer e implementar medidas
que gestione la información del área de seguridad de la información permitirá
operativa utilizando la norma ISO/IEC ofrecer tranquilidad a los clientes acerca
27005 para la Compañía de los datos que ellos mismos
TRANSCARBOLIVAR CIA. LTDA. proporcionan, ofrece seguridad al interior
y da certeza de que los procesos no
tendrán problema con la información para
funcionar adecuadamente
Fundamentar bibliográficamente los La importancia de la información para la
conceptos relacionados con la teoría en empresa radica en que es un recurso
seguridad, auditoria y operatividad esencial, éstas la utilizan al desempeñar
informática, estándares de seguridad para sus operaciones diarias y de manera
reducir los riesgos de perdida de datos. estratégica para la búsqueda de un alto
nivel competitivo y crecimiento.
Otorgando así al personal en general un
poa para conocimiento de las reglas de la
institución y de igual manera reforzarlo con
capacitación por las distintas área que se
tiene en la empresa
Realizar investigación sobre la La inseguridad de la información, como
problemática de la seguridad de cualquier amenaza, debe ser una
información del área operativa de la responsabilidad de todo el personal
Compañía TRANSCARBOLIVAR CIA.
52
LTDA para reducir y evitar posibles atenderla. Esto involucra desde el primer
riesgos de los datos. nivel hasta el personal de menor jerarquía.
Esto también conlleva responsabilidades

como institución: enseñarles cómo cuidar
y procurar la seguridad de la información
de la empresa, por lo tanto la capacitación
en implementación de software o incluso
las medidas de seguridad tomadas como
política de la empresa deben ser dadas a
conocer.
Este es un reto, ya que cualquier grieta al

interior puede vulnerar la seguridad total
de la empresa.
Elaborar el plan de seguridad que gestione Por seguridad de la información se
la información del área operativa de la entiende el conjunto de medidas
Compañía TRANSCARBOLIVAR CIA. preventivas y reactivas que permiten
LTDA. resguardar y proteger la información.
Dicho de otro modo, son todas aquellas
políticas de uso y medidas que afectan al
tratamiento de los datos que se utilizan en
una organización. Como: el reglamento
interno, mismo que debe ser cumplido a
totalidad para preservar la información de
manera segura.
J) GENERAR EL ANALISIS DE LA INFORMACION ATRAIDA Y VALORAR SU

PERTINENCIA, GENERANDO SUS PROPIAS CONCLUSIONES, VALIDANDO LOS
RESULTADOS DE LA EVALUACION EJECUTADA EN EL CASO DE ESTUDIO
EMITIENDO SU OPINION, OBSERVACION, RECOMENDACIÓN, ETC.
La compañía de carga pesada TRANSCARBOLIVAR CIA LTDA al no manejar controles para el

área operativa, ni contar con un plan de seguridad informática y equipos informáticos esenciales
para la empresa se propone la elaboración de un plan de seguridad informática en base a la
norma ISO 27005. Todo esto en base a la elaboración de políticas planes de contingencia,
diagramas, fichas de registro, etc.
OPINION:
La implementación de este plan de seguridad informática ayuda de base para la compañía ya
que no se tiene ningún conocimiento en el área informático y que no tienen los debidos controles
ni seguridad en el área operativa en relación a los activos informáticos, sin embargo, dentro del
caso de estudio se pudo evidenciar algunas observaciones en cuanto al cumplimiento de los
objetivos que se plantean.
OBSERVACION:
Dentro de los objetivos que se plantean en el caso de estudio, esto como actividades a ser
elaboradas, se pudo observar que:
• Si bien cumple con la elaboración del plan informático no va en relación a la norma ISO
27005, ya que no se hizo ningún control para identificar los riesgos y aplicar esta
normativa.
53
• Dentro de la elaboración del plan informático se evidencio que no se elaboro un
documento del manejo del personal para evitar conflictos entre el área administrativa y
trabajadores de campo.
RECOMENDACIÓN:
Se recomienda realizar controles mensuales para poder aplicar la norma ISO 27005 y evitar los
riegos de la seguridad de la información, generar el documento de manejo del personal, capacitar
al personal de la empresa acerca de normativa de seguridad de información para reducir riesgos
de información.
54

Iso2022-Informe Borrador Corregido

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso2022-Informe Borrador Corregido

Cargado por

Copyright:

Formatos disponibles

GRUPO ISO 2022

CASO DE ESTUDIO 7: Gestión de la información para la protección de

La Paz, 26 de noviembre de 2021

REF.: PRESENTACION DEL INFORME DE AUDITORIA DE SISTEMAS

Esperando que el presente informa llegue a sus manos, nos despedimos.

La Paz, 26 de noviembre de 2021

REF.: PRESENTACION DEL EQUIPO DE TRABAJO ISO 2022

CARTA DE PRESENTACIÓN DEL GRUPO Y/O EQUIPO DE TRABAJO A LA EMPRESA 3

2. IDENTIFICACIÓN DEL GRUPO (NOMBRE, LOGO), PARTICIPANTES .................. 5

3. IDENTIFICACIÓN DE LA EMPRESA – CASO DE ESTUDIO (RUBRO,

4. REQUERIMIENTO O LA NECESIDAD ANALIZADA (OBJETIVO DEL TRABAJO). 6

5. PLAN DE TRABAJO ELABORADO ......................................................................... 6

6. PLANIFICACIÓN DEL TRABAJO ............................................................................. 8

7. METODOLOGÍA UTILIZADA EN EL ANÁLISIS ..................................................... 13

8. INSTRUMENTOS, HERRAMIENTAS UTILIZADAS EN EL ANÁLISIS ................... 13

8.1. INSTRUMENTOS UTILIZADAS EN EL ANÁLISIS ........................................... 13

10. OBSERVACIONES RESULTADO DEL ANÁLISIS. ............................................. 17

11. CONCLUSIONES DEL TRABAJO DE ANÁLISIS................................................ 17

12. RECOMENDACIONES DEL TRABAJO DE ANÁLISIS. ...................................... 18

PAPELES DE TRABAJO ................................................................................................... 19

1. Aranda Choque Daniela Laura

5. PLAN DE TRABAJO ELABORADO

METODOLOGIA: ISO/TEC 27005

9. OBSERVACIONES RESULTADO DEL ANÁLISIS.

10. CONCLUSIONES DEL TRABAJO DE ANÁLISIS.

TEMA: PLAN DE SEGURIDAD INFORMATICA BASADA EN NORMA ISO/ TEC 27005

METODOLOGIA: ISO/TEC 27005

B. IDENTIFICAR EN EL CASO DE ESTUDIO TIPOS DE CONTROLES EMPLEADOS POR

TIPOS DE CONTROLES ISO 27005 (GESTION DE SEGURIDAD)

1. Responsabilidades para administrar los controles

C. IDENTIFICAR EN EL CASO DE ESTUDIO LOS PROCESOS A SER ANALIZADOS.

EMPRESA: AREA AUDITADA DIA MES AÑO

NORMA ISO/IEC 27005 PARA LA SEGURIDAD DE LA INFORMACIÓN

NORMA ISO/IEC 27005 PARA LA SEGURIDAD DE LA INFORMACIÓN

NORMAS ISO 27000

FAMILIA DE NORMAS ISO/IEC

B. IDENTIFICAR EN EL CASO DE ESTUDIO, LOS CONTROLES QUE HAN SIDO UTILIZADOS

EMPRESA: AREA AUDITADA DIA MES AÑO

2.- ¿ESTARIA DE ACUERDO QUE LA COMPAÑÍA POSEA PLANES DE CONTIGENCIA PARA

3.- ¿CREE USTED QUE LA COMPAÑÍA POSEE UN PLAN DE SEGURIDAD PARA LA

6.- ¿EXISTE EL PERSONAL ADECUADO PARA RESOLVER LOS PROBLEMAS DE REDES?

7.- ¿EXISTEN REGLAS O NORMAS PARA EL MANEJO DE LOS EQUIPOS?

10.- CREE USTED QU ELA COMPAÑÍA CUENTA CON UN INVENTARIO DE LOS

2.- ¿CON QUE TIPO DE EQUIPOS CUENTA LA COMPAÑÍA DE TRANSPORTE

3.- ¿CUÁNTAS PERSONAS TRABAJAN EN EL ÁREA OPERATIVA Y DEL ÁREA

4.- ¿ESTÁ CAPACITADO TODO EL PERSONAL DE LA COMPAÑÍA PARA LAS

5.- ¿USTED SABE SI EL DEPARTAMENTO TIENE TODO LICENCIAS

6.- ¿QUÉ TIPO DE DOCUMENTACIONES TIENE EL ÁREA OPERATIVA DE LA

8.- ¿TIENEN PLANES ANTI-FALLAS? ¿CUALES?

9.- ¿CUÁL ES EL PRESUPUESTO QUE ESTÁ ASIGNADOS PARA LAS DIFERENTES

10.- ¿ESTARÍA DISPUESTO A QUE SE REALICE LA IMPLEMENTACIÓN DEL PLAN

La compañía cuenta con laptos y

En el área de Tecnológica cuenta con

En nuestra Institución trabajamos con

En la actualidad un 70% de los

Se tiene el manejo de toda clase de

Por el momento contamos con 6

Pon el momento no poseemos aun un

Claro, es importante ya que respalda

Fuente: Gerente de la compañía. Realizado por: Bosco Montesdeoca

EMPRESA: AREA AUDITADA DIA MES AÑO

Área operativa de la compañía de

Cuestionario: El cuestionario es un formato redactado en forma de interrogatorio en donde se obtiene

EL CASO DE ESTUDIO PROPONE UTILIZAR LA METODOLOGIA ISO 27005, YA QUE NO