METODOLOGÍA DE LA

INVESTIGACIÓN

Francisco Nicolás Solarte

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del proyecto
Titulo de la investigación: Responde a los siguientes ítems:

¿Qué se va a hacer? = PROCESO, ¿Sobre que? = OBJETO, ¿Dónde? =

LOCALIZACIÓN

Diseño e implementación de un SGSI para el sistema de

información INFOSALUD en el Hospital San Andrés de la ciudad de
Tumaco

Auditoria a la seguridad de la red de datos del Hospital San Pedro

de la ciudad de Pasto

Diseño de un plan de pruebas para determinar la seguridad de las

redes en las Mi Pymes de la ciudad de Cali
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del proyecto
EL PROBLEMA DE INVESTIGACIÓN
Proyecto: Auditoria a la seguridad de la red de datos del Hospital San Pedro
de la ciudad de Pasto

Problema: El problema general que se presenta es el acceso no autorizado

que ha ocasionado duplicación de información poniendo en peligro la
integridad de la misma y en algunos no se puede acceder a los servicios
implementados en el sistema debido a que no existe un responsable de la
seguridad en la red.

Algunos de los problemas más frecuentes son:

El acceso a la red de datos sin restricciones
El acceso de usuarios que ya no trabajan en el hospital a la red y sistema y a
información confidencial de los pacientes
El préstamo de claves de seguridad entre usuarios del sistema
No existe una adecuada configuración de los servicios que soporta la red
Se han detectado intrusos en el sistema
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
EL PROBLEMA DE INVESTIGACIÓN

Formulación del problema: Pregunta o afirmación

¿Cómo la auditoría a la seguridad de la red de datos ayudará a

disminuir los accesos no autorizados mediante la
implementación de un sistema de control de acceso a la red de
datos del hospital San Pedro de la ciudad de Pasto?
Ó
¿ Cómo la auditoría a la seguridad de la red de datos permitirá
establecer planes de mejoramiento para la protección de la
información y los datos que están soportados por la red de datos
en el Hospital San Pedro de la ciudad de Pasto?
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
OBJETIVOS DE LA INVESTIGACIÓN

Si la pregunta es: ¿Cómo la auditoría a la seguridad de la red de datos

ayudará a disminuir los accesos no autorizados mediante la implementación
de un sistema de control de acceso a la red de datos del hospital San Pedro de
la ciudad de Pasto?

El objetivo general sería:

Objetivo General: Disminuir el número de accesos no autorizados mediante la

implementación de un sistema de control de acceso mediante la aplicación de
procesos de auditoría a la seguridad de la red de datos del hospital San Pedro
de la ciudad de Pasto

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
OBJETIVOS DE LA INVESTIGACIÓN

Objetivos específicos: Son las metas concretas del estudio, y al lograrlas

permiten alcanzar lo que se ha propuesto en el objetivo general. Los objetivos
específicos van ligados a la metodología de desarrollo del proyecto,
generalmente se define o asocia un objetivo específico a cada etapa de la
metodología que se va a aplicar.

La metodología a seguir para una auditoría es genérica donde se

definen cuatro fases o etapas: Fase de conocimiento del área
auditada o sistema de información, fase de planeación de la
auditoría, fase de ejecución de la auditoría y fase de resultados
de la auditoría.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
OBJETIVOS DE LA INVESTIGACIÓN
Objetivos específicos:
- Conocer la red de datos en el hospital mediante visitas e instrumentos de
recolección de información y documentales que permitan determinar los
riesgos de seguridad a que se enfrenta.

- Elaborar el plan de auditoría con el diseño de instrumentos de recolección de

información, plan de pruebas y determinar el estándar aplicado y los recursos
necesarios para llevarla a cabo.

- Aplicar los instrumentos diseñados y ejecutar las pruebas para determinar

los hallazgos en cuanto a la seguridad en la red

- Elaborar el informe final de acuerdo a los resultados obtenidos donde se

identifiquen los hallazgos y recomendaciones sugeridas para la
implementación de planes de mejoramiento.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

JUSTIFICACIÓN DEL PROYECTO

Son las razones que motivan el desarrollo del proyecto

Conveniencia: ¿Qué tan conveniente es la investigación?, esto

sería ¿para que sirve el proyecto?

Relevancia social: ¿Quiénes se beneficiarán con los resultados

del proyecto? Y ¿de que modo?, en resumen ¿qué proyección
social tiene la investigación?

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

JUSTIFICACIÓN DEL PROYECTO

En el primer párrafo hay que redactar claramente porque es

importante desarrollar el proyecto

En los siguientes párrafos se debe describir quienes se

beneficiarán con el desarrollo del proyecto y de que manera se
benefician, uno en cada párrafo para que se haga más entendible
al lector.

Finalmente otro párrafo con una comparación de las ventajas de

trabajar las auditorias frente a la situación actual de la empresa
donde no existen controles.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

ALCANCE Y DELIMITACIÓN DEL PROYECTO

En este ítem debe describirse cuales son los alcances que se

pretende con el proyecto. Para este caso que aspectos de la red
se incluirá en la auditoría

La delimitación se hace en cuanto a tres criterios geográfica, de

espacio y tiempo. Para este caso la delimitación geográfica es el
hospital y su ubicación, la de espacio será la red de datos o
sistema soportado por la misma, tiempo el año en el cual se lleva
a cabo el proyecto.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

ALCANCE Y DELIMITACIÓN DEL PROYECTO

La auditoría se aplicará específicamente a la red de datos que

soporta al sistema de información Dinámica Gerencial
Hospitalaria, en los aspectos de control de acceso a la red de
datos, accesos a través de puntos de red desocupados y
habilitados en el hospital, la administración de la red y la
seguridad de la misma.

El desarrollo del proyecto se llevará a cabo en la ciudad de Pasto,

en el Hospital San Pedro, Sobre la red de datos que soporta el
sistema, el proyectos se llevará a cabo durante el periodo de
tiempo comprendido entre el junio y diciembre del año 2016.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

ESTADO DEL ARTE Y MARCO DE REFERENCIA

El estado del arte hace referencia a todos los estudios,

investigaciones, escritos existentes sobre el tema investigado por
eso es necesario que se hagan consultas bibliográficas en fuentes
de información confiables (libros, artículos, investigaciones,
otras tesis de grado) para logrará entender la metodología a
seguir en el desarrollo del proyecto

Generalmente el estado del arte se elabora teniendo en cuenta

el marco referencial que contiene los siguientes apartes:
Antecedentes, marco contextual de la empresa, marco teórico,
marco conceptual y marco legal
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Antecedentes: Los antecedentes son artículos, investigaciones, y otras tesis

de grado realizadas sobre el tema de estudio.

El proyecto denominado “Auditoría a la red de datos de

EMSSANAR” presentado por Fernanda Salcedo y Joan Velásquez
en la Universidad Politécnica Salesiana de Guayaquil (Ecuador).
En el proyecto se explica la metodología de como hacer una
auditoría y las pruebas de seguridad sobre la red en una
empresa. Este proyecto servirá para aplicar la metodología de
auditoría y planear las pruebas de seguridad sobre la red.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Antecedentes: Los antecedentes son artículos, investigaciones, y otras tesis

de grado realizadas sobre el tema de estudio.

El proyecto denominado “Aplicación de la metodología Magerit

para el análisis y gestión de riesgos de la seguridad de la
información aplicado a la empresa pesquera e industrial bravito
s.a. en la ciudad de Machala” presentado por Karina del Rocío
Gaona Vásquez en la Universidad Politécnica Salesiana en la
ciudad de Cuenca (Ecuador). Este proyecto servirá para la
aplicación de la metodología para la evaluación de riesgos en la
auditoría.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Marco contextual: El marco contextual hace referencia a la

información de la empresa donde se aplicará el proyecto,
generalmente una reseña histórica, el organigrama, la
descripción de la actividad económica, del área informática, el
sistema de información, la red, los servidores o en general los
activos informáticos sobre los cuales se aplicará el proyecto.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Marco Teórico: En el marco teórico van todos los temas que se

aplicarán en el desarrollo del proyecto, el marco teórico debe ser
construido desde fuentes confiables consultadas para los
diferentes temas que serán aplicados en la investigación o
proyecto.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Para un proyecto de auditoría se podría definir algunos temas

como:

Marco Teórico: Seguridad informática y seguridad de la

información, normas ISO/IEC 27001 e ISO/IEC 27001,
Vulnerabilidades y amenazas sobre la redes, Metodologías para
gestión de riesgos de seguridad, Metodología MAGERIT,
controles y clasificación, hasta llegar al tema puntual de auditoría
de sistemas, metodología de la auditoría, auditoría a las redes,
pruebas de seguridad en redes, entre otros.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Marco Conceptual: En el marco conceptual se definen las

variables que serán medidas en la investigación, las variables
pueden clasificarse como variables dependientes e
independientes, para el caso de proyectos de aplicación no se
definen hipótesis de investigación por lo tanto no es importante
diferenciar las variables y las escalas en que serán medidas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Para el caso del proyecto de auditoría se pretende medir los tres

pilares de seguridad y la medición de riesgos en escala de
probabilidad e impacto, debería incluirse las siguientes variables:

Marco Conceptual: Directamente se medirán las

vulnerabilidades, amenazas y riesgos en cuanto a la
disponibilidad, confidencialidad e integridad por lo tanto esas
serán las variables que se definan en el marco conceptual.
Además según la metodología de análisis y evaluación de riesgos
debe valorarse en impacto y probabilidad de ocurrencia de los
riesgos, estas serán otras variables.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

MARCO DE REFERENCIA

Marco Legal: Son las leyes y normas aplicables en la investigación

sobre el tema investigado, para el caso específico de los
proyectos la normatividad y leyes sobre seguridad informática y
de la información en Colombia y si lo hubiere normas de
seguridad en redes.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

METODOLOGÍA DE INVESTIGACIÓN

Aquí se debe mencionar el enfoque investigativo a seguir en el

proyecto y determinar el tipo de investigación que se llevará a
cabo en el proyecto

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

TIPO DE INVESTIGACIÓN

Investigación cuantitativa: Es aquella que utiliza datos

cuantitativos o cuantificables, y que se obtienen por una
cuantificación de las diversas propiedades que se dan en el
objeto de investigación, propiedades que reciben el nombre de
variables.

Investigación cualitativa: Es aquella que utiliza información

cualitativa, y por lo tanto, no se refiere a variables aisladas del
objeto de estudio, sino a su totalidad.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

TIPO DE INVESTIGACIÓN

Para el caso específico de los proyectos de auditoría, SGSI,

pruebas de pentesting, y algunos aplicados de informática
forense el enfoque de investigación es cuantitativo ya que se
pretende hacer la medición de las vulnerabilidades, amenazas y
riesgos en cuanto a la confidencialidad, integridad y
disponibilidad de la información.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

TIPO DE INVESTIGACIÓN: Criterios para clasificar los tipos de

investigación:

Criterio de estudio de entes ideales o materiales: Dependiendo

del tipo de ente estudiado, las investigaciones pueden ser:

Investigación formal o teórica: Es aquella que estudia los entes que no son
fácticos (basados en hechos objetivos) sino ideales; los cuales aunque son
racionales, sistemáticos y verificables, solo existen en la mente humana.

Investigación fáctica o empírica: Es aquella que implica el uso de operaciones

empíricas (fundadas en la experiencia objetiva), tanto para recolección de
datos como en su análisis; además del uso de conceptos y esquemas teóricos.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
TIPO DE INVESTIGACIÓN: Criterios para clasificar los tipos de
investigación

Criterio relacionado con los objetivos extrínsecos o externos

(finalidad): De acuerdo con los objetivos extrínsecos o externos
las investigaciones se clasifican en puras y aplicadas.

Investigación pura o básica: Es aquella que se justifica por la producción de

conocimientos y teorías en la búsqueda del progreso científico.

Investigación aplicada, activa o dinámica: Es la investigación que persigue

fines de aplicación directa o inmediatos, para resolver problemas prácticos, en
circunstancias y características concretas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
TIPO DE INVESTIGACIÓN: Criterios para clasificar los tipos de
investigación

Criterio relacionado con los objetivos intrínsecos o internos

(propósito y productos): De acuerdo con los objetivos intrínsecos
o externos y considerando el nivel de conocimiento que se desea
alcanzar, las investigaciones se clasifican en: exploratorias,
descriptivas, correlacionales y explicativas.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
Investigación exploratoria:

•Cuando el objeto a investigar ha sido poco estudiado o no se ha

estudiado antes.

•Sirven para aumentar el grado de familiaridad con el objeto

investigado.

•Identifican relaciones potenciales entre variables y establecen la

dirección de investigaciones posteriores.

•Se caracterizan por su flexibilidad en la metodología en

comparación con otros tipos de investigación.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
•Se interesan fundamentalmente en descubrir
Ítems del Proyecto
Investigación descriptiva:

•Buscan especificar las propiedades importantes del objeto de

investigación.
•El investigador elige una serie de conceptos a medir,
denominados variables, por lo tanto las variables son conceptos
que pueden tener varios valores y pueden medirse.
•Una vez hecha la medición, los resultados permiten al
investigador describir el fenómeno.
•Se centran en medir con precisión cada una de las variables de
interés para describir el objeto de estudio.
•Requiere de un conocimiento preliminar del objeto de estudio,
para formular las preguntas específicas que se desea responder.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
Investigación correlacional:

•Se centra en saber cómo se va a comportar una variable,

conociendo el comportamiento de otras variables.

•Tienen el propósito de medir el grado de relación existente

entre dos o más variables.

•Este tipo de investigación tiene un valor explicativo parcial.

Cuanto mayor número de variables sean correlacionadas en el
estudio y mayor sea la fuerza de las relaciones, mas completa
será la explicación.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
Investigación explicativa:

•Están dirigidas a responder a las causas de los eventos físicos y

sociales

•Su interés se centra en explicar por qué ocurre un fenómeno y

en que condiciones se da éste, o por qué dos o más variables
están relacionadas.

•Proporcionan un sentido de entendimiento del fenómeno a que

se hace referencia.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
De acuerdo a lo anterior el tipo de investigación que se llevará a
cabo será de tipo exploratoria, descriptiva, y explicativa hay que
explicar el porqué se las clasifica así.

Por ejemplo:

Es una investigación de tipo explicativa porque se trata de explicar la relación

existente entre las vulnerabilidades existentes y los ataques que pueden
presentarse en el sistema de información a causa de esas vulnerabilidades.

Es descriptiva porque trata de describir como se lleva a cabo el proceso de

análisis y evaluación de los riesgos haciendo uso de la metodología Magerit.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

DISEÑO DE LA INVESTIGACIÓN

El diseño de la investigación se refiere al plan o estrategia que

indique las pruebas a efectuar y las técnicas a utilizar para
recolectar y analizar la información que permita responder a las
preguntas de la investigación. De esta manera el diseño permite
confrontar la visión teórica del problema con los datos de la
realidad

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

UNIVERSO Y MUESTRA

La población o universo es el conjunto de personas, elementos o

eventos que tienen características comunes. Las poblaciones
pueden ser finitas o infinitas.

La muestra es una parte o subconjunto de la población,

constituida por un determinado número de individuos u objetos
seleccionados científicamente, la muestra puede ser
probabilística o no probabilística

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

UNIVERSO Y MUESTRA

Para el caso de los proyectos hay que mencionar la población y

muestra, por ejemplo para la auditoría a la red sería el número
de usuarios con acceso a la misma y al sistema de información.

La población serán los usuarios de la red, y quien la administra

La muestra serán estratificada por dependencia, o con

intencionalidad por la experiencia, en general serán los que me
puedan brindar información clave sobre la red y el sistema de
información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN

Hace referencia a los instrumentos metodológicos que utilizará,

y los cuales le permiten recolectar los datos necesarios para la
medición de las variables de interés en el estudio

De la correcta selección de instrumentos dependerá la

correspondencia entre la teoría y la práctica, al vincular
conceptos abstractos con indicadores empíricos.

Los instrumentos a usar dependerán del área a investigar, entre

ellos están las encuestas, los cuestionarios, las entrevistas, las
listas de chequeo, las escalas de medición, entre otras.
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto
VALIDEZ Y CONFIABILIDAD DE LOS INSTRUMENTOS

Validéz y Confiabilidad

La validéz se refiere al grado en que un instrumento mide

realmente las variables que debe medir.

La confiabilidad de un instrumento se refiere al grado en que un

instrumento entrega los mismos resultados al aplicarse en
distintos momentos de la investigación siempre y cuando las
características sean iguales.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

METODOLOGÍA DE DESARROLLO

La metodología de desarrollo hace referencia a las actividades

que se llevarán a cabo para cumplir cada uno de los objetivos
específicos. Cada uno de los objetivos debe descomponerse en
dos o más actividades que permitan lograrlo.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

METODOLOGÍA DE DESARROLLO

Para el ejemplo de la auditoría a la red cuatro (4) objetivos, para

lograr el primer objetivo las actividades serían:

Objetivo 1: Conocer la red de datos en el hospital mediante visitas e

instrumentos de recolección de información y documentales que permitan
determinar los riesgos de seguridad a que se enfrenta.
Actividades:
-Realizar visitas al hospital para identificar aspectos generales de la red y la
documentación existente.
-Solicitar información sobre los inventarios de equipos y planos de la red
- Entrevistar al ingeniero encargado de administrar la red y algunos usuarios
clave del sistema de información
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

PRODUCTO A ENTREGAR

Al finalizar el proyecto se debe entregar algún producto como

resultado de la investigación o aplicación de los procesos de
análisis y evaluación de los riesgos existentes, aquí se debe
mencionar que producto resultará de esa actividad.

Puede ser un manual del SGSI, un plan de contingencias, un

informe final de auditoría con los hallazgos y controles
propuestos, un manual de uso de herramientas de software,
entre otros. Para la auditoría se puede entregar el informe final
de hallazgos y recomendaciones o el plan de mejoramiento
FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

RECURSOS DE INVESTIGACIÓN

Son los recursos necesarios para llevar a cabo la investigación,

entre ellos se menciona los recursos materiales, humanos
(Talento Humano), recursos tecnológicos (computador, cámara
digital, memoria USB, grabadora digital, software, internet,
otros), financieros (presupuesto), durante el tiempo que dure la
investigación

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Ítems del Proyecto

CRONOGRAMA DE ACTIVIDADES

Se trata de mostrar de manera gráfica (diagrama de Gantt) la

relación entre actividades, recursos y tiempo, teniendo en cuenta
las actividades y los indicadores verificables de tiempo.

FI-GQ-GCMU-004-015 V. 001-17-04-2013
PREGUNTAS?

FI-GQ-GCMU-004-015 V. 001-17-04-2013
Gracias

FI-GQ-GCMU-004-015 V. 001-17-04-2013