GRUPO 3 - INFORME

ESCUELA DE CIENCIAS ADMINISTRATIVAS Y CONTABLES

ESTUDIANTE: Jimmy Lapo, Henry Conforme, Anderson Unda –
Jose Morales
CARRERA: CONTABILIDAD Y AUDITORÍA
MATERIA: Auditoria Informatica
NIVEL: 8vo “A”
FECHA: 11/11/2019

DOCENTE: Mg. Luis Morejon

SANTO DOMINGO, ECUADOR

 TABLA DE CONTENIDO
1. INTRODUCCIÓN .................................................................................................... 3
2. DESARROLLO ........................................................................................................ 4
2.1. FUNDAMENTOS DE AUDITORIA INFORMÁTICA ................................... 4
2.1.1. Definición y clases de auditoría.................................................................. 4
2.1.2. Definición de auditoría informática ............................................................ 6
2.1.3. Enfoques de auditoría informática .............................................................. 7
2.1.4. La auditoría informática como apoyo de las otras auditorías ................... 10
2.1.5. Perfil profesional del auditor informático ................................................ 10
2.1.6. ISACA y la certificación CISA ................................................................ 12
2.1.7. Normas relacionadas con auditoría informática ....................................... 15
2.2. SISTEMAS DE INFORMACIÓN COMPUTARIZADOS ............................. 21
2.2.1. Definición Sistema de Información .......................................................... 21
2.2.2. Sistema de información computarizado ................................................... 22
2.2.3. Plan informático ....................................................................................... 22
2.2.4. Proceso de desarrollo e implantación de sistemas .................................... 23
2.2.5. Organización de datos .............................................................................. 24
2.2.6. Métodos de Procesamiento Automático de datos ..................................... 25
2.2.7. Conectividad: redes .................................................................................. 26
2.2.8. Data Warehouse ........................................................................................ 28
2.2.9. Datamining ............................................................................................... 29
2.2.10. Inteligencia Artificial (IA) .................................................................... 30
2.2.11. E-Business / E-Comerce ....................................................................... 31
2.2.12. Plan de Recuperación de Desastres, DRP ............................................. 33
3. CONCLUSIONES .................................................................................................. 35
4. BIBLIOGRAFÍA .................................................................................................... 36
 1. INTRODUCCIÓN

El manejo de equipos de computación en las organizaciones, ha tenido una

repercusión significativa en el trabajo del auditor, no solamente en lo referente a sistemas

de información, sino también a la utilización de las computadoras en la auditoría. Al

efectuar auditorías donde existen sistemas computarizados, el auditor se enfrenta a

muchos problemas de diversas condiciones.

Uno de ellos, es la verificación de los procedimientos administrativos de control

interno establecidos en la empresa auditada, el uso de paquetes de programas

generalizados de auditoría ayuda en gran medida a la ejecución de pruebas de auditoría,

a la elaboración de evidencias plasmadas en los papeles de trabajo.

Consecuentemente, se hace imprescindible el empleo de las tecnologías de la

información, ya que facilitan la exploración de evidencias, así como reducir al mínimo el

riesgo de la auditoría para que los resultados reflejen la realidad objetiva, así como de la

materialidad detectada y elevar notablemente la eficiencia en el trabajo.

 2. DESARROLLO

2.1. FUNDAMENTOS DE AUDITORIA INFORMÁTICA

2.1.1. Definición y clases de auditoría

Definición

La auditoría es también denominada revisión o verificación, es la última fase del proceso

contable, cuyo fin es la supervisión del mismo por un profesional independiente, función

que efectúa mediante el análisis selectivo de la actividad de la empresa: orgánico,

funcional y económico-financiero. (Sánchez & Alvarado, 2014, p.31)

Según Tapia , Guevara, Castillo, Rojas , & Salomon (2016)

La auditoría es revisar que los hechos, fenómenos y operaciones se den en la forma en

que fueron planteados, y que las políticas y procedimientos establecidos se han observado

y respetado. Es evaluar la forma en que se administra y opera para aprovechar al máximo

los recursos. (p.46)

De acuerdo al criterio de los autores detallados anteriormente, la auditoría es un

examen sistemático, que una persona, ya sea de manera personal o en conjunto con otras

de una organización, realiza sobre un registro o proceso que contenga información o datos

erróneos, de esa manera se emite una opinión objetiva y competente, con el fin de evitar

o disminuir riesgos y a futuro mejorar las decisiones que tome la organización.

Clases de auditoría

➢ Por su lugar de aplicación

• Auditoría externa

• Auditoría interna
➢ Por su área de aplicación

• Financiera

• Administrativa

• Operacional

• Integral

• Gubernamental

• De sistemas

➢ Especializadas en áreas especifícas

• Del área médica

• Del desarrollo de obras y construcciones

• Fiscal

• Laboral

• De proyectos de inversión

• De caja chica o caja mayor

• Del manejo de mercancías

• Ambiental

• De sistemas

➢ De sistemas computacionales

• Auditoría informática

• Auditoría con la computadora

• Auditoría sin la computadora

• Auditoría a la gestión informática

• Auditoría al sistema de computo

• Auditoría alrededor de la computadora

• Auditoría de seguridad de sistemas computacionales

 • Auditoría a los sistemas de redes

• Auditoría integral a los centros de computo. (p. 12)

De acuerdo a lo mencionado por los autores se puede apreciar que los tipos de auditoría

varían según la necesidad que exista en cada organización.

De acuerdo a (Piattii & Del Peso, 2001) las clases de auditoría son:
Tabla 1

Clases de auditoría
CLASES AUDITORÍA AUDITORÍA AUDITORÍA AUDITORÍA
ADMINISTRATIV OPERACIONA CONTABLE INFORMATIC
A L A
NATURALEZA Técnica de control Técnica de Técnica de Técnica de
administrativo control control control
administrativo administrativo administrativo
PROPÓSITO Evaluar y mejorar la Promover la Dictamen a los Evaluar los
administración eficiencia de las estados recursos
operaciones financieros informáticos
ALCANCE La eficiencia y La eficiencia de El sistema Todas las
productividad del las operaciones contable actividades
proceso productivo informáticas
FUNDAMENTO La ciencia La ciencia Principios de Normativa
administrativa y la administrativa y contabilidad y institucional y
normativa de la la normativa de la normas de legal
empresa empresa auditoría
METODOLOGÍ Apoyado en métodos Técnicas y Técnicas y Técnicas y
A científicos procedimientos procedimientos procedimientos
predeterminados predeterminado predeterminados
s
APLICACIÓN A la empresa y sus A las funciones A los estados A todas las áreas
funciones básicas de la empresa financieros de la empresa
PROYECCIÓN Hacia el futuro Hacia el futuro Hacia el pasado Hacia el futuro
INFORME Amplio Amplio Preciso Amplio y preciso
Nota: Adaptado de “Auditoría informática un enfoque práctico” por (Piattii & Del Peso, 2001)

En cambio, Muñoz (2002) clasifica a la auditoría de la siguiente manera:

2.1.2. Definición de auditoría informática

“Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un

sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva

a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos”

(Piattii & Del Peso, 2001).

 La auditoría informática de acuerdo a Hernández (2003).

Es un proceso formal ejecutado por especialistas del área de Auditoría y de Informática, que
se orienta a la verificación y aseguramiento de que las Políticas y procedimientos establecidos
para el manejo y uso adecuado de la Tecnología de Informática en la Organización se lleven
a cabo de una manera oportuna y eficiente. (p. 11)

Con relación a lo expuesto anteriormente se puede decir que la auditoría

informática tiene que realizarla una persona especializada ya sea en auditoría o en

sistemas, de manera que esta asegure el soporte técnico requerido por la alta dirección

todo esto con el fin de que su organización sea confiable y eficiente en el uso de la

tecnología de la información.

2.1.3. Enfoques de auditoría informática

Para Muñoz (2002). Los enfoques de auditoría son los siguientes:

Auditoría alrededor del computador

En este enfoque de auditoría, los programas y los archivos de datos no se auditan. La

auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la
salida de información. Es el más cómodo para los auditores de sistemas, por cuanto
únicamente se verifica la efectividad del sistema de control interno en el ambiente externo
de la máquina. Naturalmente que se examinan los controles desde el origen de los datos
para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud,
exactitud y legalidad. (p. 15)

Objetivos

1. Verificar la existencia de una adecuada segregación funcional.

2. Comprobar la eficiencia de los controles sobre seguridades físicas y

lógicas de los datos.

 3. Asegurarse de la existencia de controles dirigidos a que todos los datos

enviados a proceso estén autorizados.

4. Comprobar la existencia de controles para asegurar que todos los datos

enviados sean procesados.

5. Cerciorarse que los procesos se hacen con exactitud.

6. Comprobar que los datos sean sometidos a validación antes de ordenar su

proceso.

7. Verificar la validez del procedimiento utilizado para corregir

inconsistencias y la posterior realimentación de los datos corregidos al

proceso.

8. Examinar los controles de salida de la información para asegurar que se

eviten los riesgos entre sistemas y el usuario.

9. Verificar la satisfacción del usuario. En materia de los informes recibidos.

10. Comprobar la existencia y efectividad de un plan de contingencias, para

asegurar la continuidad de los procesos y la recuperación de los datos en

caso de desastres.

Auditoría a través del computador

Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como

complemento del enfoque de auditoría alrededor del computador, en el sentido de que su

acción va dirigida a evaluar el sistema de controles diseñados para minimizar fraudes y

los errores que normalmente tienen origen en los programas. Es más exigente que el

anterior por lo que es necesario saber con cierto rigor, lenguajes de programación o

desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje. (p. 17)

Objetivos
 1. Asegurar que los programas procesan los datos, de acuerdo con las

necesidades del usuario o dentro de los parámetros de precisión previstos.

2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los

programas.

3. Verificar que los programadores modifiquen los programas solamente en

los aspectos autorizados.

4. Comprobar que los programas utilizados en producción son los

debidamente autorizados por el administrador.

5. Verificar la existencia de controles eficientes para evitar que los

programas sean modificados con fines ilícitos o que se utilicen programas

no autorizados para los procesos corrientes.

6. Cerciorarse que todos los datos son sometidos a validación antes de

ordenar su proceso correspondiente.

Auditoría con la computadora

Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos

en medios magnéticos, con el auxilio del computador y de software de auditoría

generalizado y /o a la medida. Es relativamente completo para verificar la existencia, la

integridad y la exactitud de los datos, en grandes volúmenes de transacciones. La

auditoría con el computador es fácil de desarrollar porque los programas de auditoría

vienen documentados de tal manera que se convierten en instrumentos de sencilla

aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin

avanzados conocimientos de informática. (p. 18) Los paquetes de auditoría permiten

desarrollar operaciones y prueba, tales como:

 1. Recálculos y verificación de información, como, por ejemplo, relaciones

sobre nómina, montos de depreciación y acumulación de intereses, entre

otros.

2. Demostración gráfica de datos seleccionados.

3. Selección de muestras estadísticas.

4. Preparación de análisis de cartera por antigüedad.

2.1.4. La auditoría informática como apoyo de las otras auditorías

En la actualidad todas las empresas cuentan con tecnología actual, la auditoría

informática surge como apoyo a las demás auditorias debido a que se complementan de

cierta manera, las entidades deben contar con controles informáticos de las políticas y

procedimientos que aseguren a los niveles directivos, que los recursos humanos,

materiales y financieros están siendo orientados a la rentabilidad y competitividad de la

compañía (Muñoz, 2002). Si se presentan problemas como improductividad o mal

servicio del área informática dado a que no se realizó una correcta auditoría de la misma,

las demás auditorías van a verse afectadas directamente, por ello es esencial que todas

estas vayan de la mano para garantizar el éxito de la organización.

2.1.5. Perfil profesional del auditor informático

Es un profesional dedicado al análisis de sistemas de información que está

especializado en alguna de las ramas de la auditoría informática, que tiene conocimientos

generales de los ámbitos en los que ésta se mueve, además de contar con conocimientos

empresariales generales. El auditor puede actuar como consultor con su auditado, dándole

ideas de cómo enfocar la construcción de los elementos de control y administración que

le sean propios.
 Además, puede actuar como consejero con la organización en la que está

desarrollando su labor. Un entorno informático bien controlado puede ser ineficiente si

no es consistente con los objetivos de la organización. Según Piattii & Del Peso (2001).

El auditor informático debe ser una persona con un alto grado de calificación técnica y al

mismo tiempo estar integrado a las corrientes organizativas empresariales. Así mismo el

autor describe que se deben contemplar las siguientes características de un perfil

profesional adecuado y actualizado:

1. Se deben poseer una mezcla de conocimientos de auditoría financiera y de

informática en general. En el área informática, se debe tener conocimientos
básicos de:

• Todo tipo de conocimientos tecnológicos, de forma actualizada y

especializada respecto a las plataformas existentes en la organización.
• Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo).
• Administración del Departamento de Informática.
• Análisis de riesgos en un entorno informático.
• Sistemas operativos.
• Telecomunicaciones.
• Administración de Bases de Datos.
• Redes locales
• Seguridad física
• Operación y planificación informática (efectividad de las operaciones y
rendimiento del sistema)
• Administración de seguridad de los sistemas (planes de contingencia)
• Administración del cambio
• Administración de Datos
• Automatización de oficinas (ofimática)
• Comercio electrónico
• Encriptación de datos
 2. Especialización en función de la importancia económica que tienen distintos
componentes financieros dentro del entorno empresarial. Por ejemplo, en un
entorno financiero pueden tener mucha importancia las comunicaciones, por lo
que se debe tener una especialización en esa rama.
3. Debe conocer técnicas de administración de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de
la empresa y a los recursos que se poseen.
4. Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y
trabajo sean reconocidos como un elemento valioso dentro de la empresa y que
los resultados sean aceptados en su totalidad. (p. 111-112)

2.1.6. ISACA y la certificación CISA

Historia de ISACA

ISACA fue conformada por personas que reconocieron la necesidad de contar con

una fuente centralizada de información y guías en el creciente campo de la auditoría a los

controles de los sistemas computacionales. Hoy, ISACA tiene más de 115,000 miembros

en todo el mundo. ISACA comenzó en 1967, cuando un pequeño grupo de personas con

trabajos similares como auditar controles en los sistemas computacionales que se estaban

haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones, se

sentaron a discutir la necesidad de tener una fuente centralizada de información y guías

en dicho campo.

En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors

Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976

la asociación formó una fundación de educación para llevar a cabo proyectos de

investigación de gran escala para expandir los conocimientos y el valor en el campo de

gobierno y control de TI. Conocida previamente como la Information Systems Audit and

Control Association (Asociación de Auditoría y Control en Sistemas de Información),

ISACA ahora es solo un acrónimo, que refleja la amplia gama de profesionales en

gobierno de TI a los que sirve.

Hoy, los integrantes en todo el mundo se caracterizan por su diversidad. Viven y

trabajan en más de 180 países y cubren una variedad de puestos profesionales

relacionados con TI sólo por nombrar algunos ejemplos, auditor de SI, consultor,

profesional de la educación, profesional de seguridad de SI, regulador, director ejecutivo

de información (CIO) y auditor interno. Algunos son nuevos en el campo, otros están en

niveles medios de la gerencia y algunos otros están en los rangos más elevados. Trabajan

en casi todas las categorías de industrias, incluyendo finanzas y banca, contabilidad

pública, gobierno y sector público, servicios y manufactura.

Esta diversidad permite que los miembros aprendan unos de otros, e intercambien

puntos de vista muy diferentes sobre una variedad de tópicos profesionales. Esta ha sido

considerada durante mucho tiempo como una de las fortalezas. Desde su creación, ISACA

se ha convertido en una organización global que establece las pautas para los

profesionales en gobierno, control, seguridad y auditoría de la información. Sus

estándares de auditoría y control de SI son seguidos por profesionales de todo el mundo.

Sus investigaciones abordan temas profesionales que son desafíos para sus miembros.

CISA

Es una certificación para auditores respaldada por la Asociación de Control y

Auditoría de Sistemas de Información (ISACA) (Information Systems Audit and Control
Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA.
Fue establecida en 1978, debido a las siguientes razones:

• Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditorías de sistemas.
 • Proveer una herramienta motivacional para los auditores de sistemas de
información para mantener sus habilidades, y monitorizar la efectividad de los
programas de mantenimiento.

• Proveer criterios de ayudar y gestión en la selección de personal y desarrolladores.

El primer examen se llevó a cabo en 1981, y los registros han crecido cada año.

En la actualidad, el examen es ofrecido en 11 idiomas y más de 200 lugares de todo el

mundo. En 2005, la ISACA anunció que el examen se ofrecerá en junio y diciembre, y

que empezaría en 2005. Anteriormente, el examen sólo había sido administrado

anualmente, en junio. Más de 50 mil candidatos han conseguido el certificado CISA. La

certificación CISA es aprobada formalmente por el Departamento de Defensa de los

Estados Unidos en la categoría de Aseguramiento de Información Técnica.

Requisitos de CISA

• Los candidatos a la certificación CISA deben pasar un examen de acuerdo con el

Código Profesional de Ética de ISACA, además de comprobar cinco años de
experiencia en auditoría de sistemas, control interno y seguridad informática y
tener un programa de educación continua.

• Un mínimo de un año de experiencia en sistemas de información o un año de

experiencia en auditorías operacionales, pueden ser sustituidos por un año de
experiencia auditoría de sistemas, control interno y seguridad informática.

• 60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos años
de experiencia respectivamente de auditoría de sistemas, control interno y
seguridad informática.

• 2 años de instructor de tiempo completo en Universidad en campos relacionados

(ejemplo: ciencias computacionales, contabilidad, auditoría de sistemas de
información, pueden ser sustituidos por un año de experiencia de auditoría de
sistemas de información, control interno y seguridad de informática.
2.1.7. Normas relacionadas con auditoría informática

El desarrollo de una auditoría se basa en la aplicación de estándares, técnicas y

procedimientos de auditoría, por lo que es esencial señalar que para el auditor en

informática conocer los productos de software que han sido creados para apoyar su

función aparte de los elementos del propio computador resulta esencial, esto por razones

económicas y para facilitar el manejo de la información.

Control Objectives for Information Related Technolgy – COBIT

COBIT es una guía de mejores prácticas presentado como framework (marco de

trabajo), dirigida al control y supervisión de tecnología de la información (TI), también

se puede definir como un conjunto de herramientas de soporte empleadas por los

gerentes para reducir la brecha entre los requerimientos de control y los riesgos del

negocio (Saavedra & Torres, 2012).

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de

objetivos de control generalmente aceptados para las tecnologías de la información que

sean autorizados, actualizados, e internacionales para el uso del día a día de los gestores

de negocios (también directivos) y auditores".

Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda

a entender sus Sistemas de Información y decidir el nivel de seguridad y control que es

necesario para proteger los activos de sus compañías mediante el desarrollo de un

modelo de administración de las tecnologías de la información.

Este marco de trabajo cuenta con cinco principios que una organización debe
seguir para adoptar la gestión de TI:
• Satisfacción de las necesidades de los accionistas: se alinean las necesidades de

los accionistas con los objetivos empresariales específicos, objetivos de TI y

 objetivos habilitadores. Se optimiza el uso de recursos cuando se obtienen

beneficios con un nivel aceptable de riesgo.

• Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI

son asumidos desde una perspectiva global, de tal modo que se cubren todas las

necesidades corporativas de TI.

• Aplicar un único modelo de referencia integrado: integra los mejores marcos

de Information Systems Audit and Control Association (ISACA) como Val IT,

que relaciona los procesos de COBIT con los de la gerencia requeridos para

conseguir un buen valor de las inversiones en TI.

• Posibilitar un enfoque holístico: los habilitadores de COBIT están identificados

en siete categorías que abarcan la empresa de punta a punta. Individual y

colectivamente, estos factores influyen para que el gobierno y la gestión de TI

operen en función de las necesidades del negocio.

• Separar el gobierno de la gestión: distingue con claridad los ámbitos del

gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las funciones

relacionadas con la evaluación, la dirección y el monitoreo de las TI. El gobierno

busca asegurar el logro de los objetivos empresariales y también evalúa las

necesidades de los accionistas, así como las condiciones y las opciones existentes.

ISO 27001:2005 Sistema de Gestión de Seguridad de Información

Esta Norma Internacional se ha preparado para proporcionar un modelo para

establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de

Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debería ser

una decisión estratégica para una organización. El diseño e implementación del SGSI de

una organización está influenciado por sus necesidades y objetivos, requisitos de

seguridad, los procesos empleados y la estructura de la organización. (ISO, 2005)

Enfoque de proceso

El enfoque basado en procesos para la gestión de la seguridad de información

presentado en esta Norma alienta a sus usuarios a enfatizar la importancia de:

a) comprender los requisitos de seguridad de la información de una organización y la

necesidad de establecer políticas y objetivos para la seguridad de la información;

b) implementar y operar controles para gestionar los riesgos de seguridad de la

información de una organización en el contexto de los riesgos comerciales generales de

la organización;

c) monitorear y revisar el desempeño y la efectividad del SGSI; y

d) mejora continua basada en la medición objetiva.

Esta Norma Internacional adopta el modelo "Plan-Do-Check-Act" (PDCA), que

se aplica para estructurar todos los procesos del SGSI como se describe en la tabla:

Tabla N° 1. Modelo PHVA aplicado a procesos

Establecer la política, los objetivos, los procesos y los

Planificar (establecer el procedimientos del SGSI relevantes para administrar el

SGSI) riesgo y mejorar la seguridad de la información para

entregar resultados.

Hacer (implementar y operar Implementar y operar la política, controles, procesos y

el SGSI) procedimientos del SGSI.

Evaluar y, cuando corresponda, mida el rendimiento del

Verificar (monitorear y proceso con respecto a la política, los objetivos y la

revisar el SGSI experiencia práctica del SGSI e informe los resultados

a la gerencia para su revisión.

 Tomar medidas correctivas y preventivas, basadas en

Actuar (mantener y mejorar los resultados de la auditoría interna y la revisión de la

el SGSI) gestión del SGSI u otra información relevante, para

lograr la mejora continua.

Fuente: Sistemas de gestión de seguridad de la información, ISO, (2005)

Contexto de la organización

Los requisitos establecidos en esta Norma Internacional son genéricos y están

destinados a ser aplicables a todas las organizaciones, independientemente de su tipo,

tamaño y naturaleza. Está diseñado para ser adecuado para varios tipos diferentes de uso,

incluidos los siguientes:

• Utilizar dentro de las organizaciones para formular requisitos y objetivos de

seguridad.

• Utilizar dentro de las organizaciones como una forma de garantizar que los riesgos

de seguridad se gestionen de manera rentable.

• Utilizar dentro de las organizaciones para garantizar el cumplimiento de las leyes

y reglamento.

• Utilizar dentro de una organización como marco de proceso para la

implementación y gestión de controles para garantizar que se cumplan los

objetivos de seguridad específicos de una organización.

• Definición de nuevos procesos de gestión de seguridad de la información.

• Identificación y aclaración de los procesos existentes de gestión de seguridad de

la información.

• Uso por la administración de organizaciones para determinar el estado de las

actividades de administración de seguridad de la información.

Information Technology Infrastructure Library – ITIL 2

Es un acrónimo de Biblioteca de Infraestructura de Tecnologías de la Información,

el cual es un conjunto reconocido de mejores prácticas para la Gestión de servicios de

tecnología de la información. El gobierno británico creó ITIL cuando observó que la

creciente dependencia en TI requería un conjunto de prácticas estándar. (Segovia, s.f.)

En base a Segovia (s.f.), define como “Un conjunto de publicaciones de mejores

prácticas para Gestión de servicios de TI. ITIL proporciona asesoramiento sobre la

provisión de servicios de TI de calidad y de los procesos, funciones y demás capacidades

necesarias para darles apoyo. El marco de ITIL está basado en un ciclo de vida del servicio

y consiste de cinco etapas (estrategia del servicio, diseño del servicio, transición del

servicio, operación del servicio y mejora continua del servicio) que cuentan con su propia

publicación de apoyo”

ITIL está organizada en las siguientes cinco etapas:

• Estrategia del servicio: alinear la estrategia de TI con los objetivos y expectativas

generales del negocio y asegurar que las decisiones resulten en valores

mensurables para la organización.

• Diseño del servicio: garantizar que los servicios de TI equilibren los costos,

funcionalidades y desempeño y que estén diseñados para cumplir los objetivos de

negocio (asegurando que logre tanto el objetivo como el uso).

• Transición del servicio: asegurar que los servicios de TI nuevos, modificados y

retirados cumplan las necesidades del negocio. Y que los cambios sean

gestionados y controlados eficientemente, logrando el cambio en forma rápida, a

bajo costo y, al mismo tiempo, otorgando mayor valor.

 • Operación del servicio: asegurar que los servicios de TI sean operados en forma

segura y confiable para dar apoyo a las necesidades de su negocio.

• Mejora continua del servicio: se centra en mejorar la calidad, eficiencia y

efectividad de sus servicios de TI y en reducir costos.

National Institute of Standards and Technology – NIST

Misión

La misión del NIST es promover la innovación y la competitividad industrial de

los Estados Unidos mediante el avance de la ciencia de la medición, los estándares y la

tecnología de manera que mejoren la seguridad económica y nuestra calidad de vida. La

nanotecnología es un componente importante de la misión del NIST, desde la

investigación de vanguardia hasta la coordinación del desarrollo de estándares que

promueven el comercio, los programas del NIST en nanotecnología impactan

directamente las prioridades importantes para la economía y el bienestar de la nación

2.2. SISTEMAS DE INFORMACIÓN COMPUTARIZADOS

2.2.1. Definición Sistema de Información

A la hora de definir un sistema de información existe un amplio abanico de

definiciones. Tal vez la más precisa sea la propuesta por Andreu, Ricart y Valor (1991),

en la cual un sistema de información queda definido como: “conjunto formal de procesos

que, operando sobre una colección de datos estructurada de acuerdo a las necesidades de

la empresa, recopila, elabora y distribuyen selectivamente la información necesaria para

la operación de dicha empresa y para las actividades de dirección y control

correspondientes, apoyando, al menos en parte, los procesos de toma de decisiones

necesarios para desempeñar funciones de negocio de la empresa de acuerdo con su

estrategia”.

De acuerdo a Murdick (1989) un sistema de información es aquel que permite

recopilar, administrar y manipular un conjunto de datos que conforman la información

necesaria para que los estamentos ejecutivos de una organización puedan realizar una

toma de decisiones oportuna.

Todo sistema de información utiliza como materia prima los datos, los cuales

almacena, procesa y transforma para obtener como resultado final información, la cual

será suministrada a los diferentes usuarios del sistema, existiendo además un proceso de

retroalimentación o “feedback”, en la cual se ha de valorar si la información obtenida se

adecua a lo esperado. (Laudon & Laudon, 1996)

En forma general, es aquel conjunto ordenado de elementos que permite

manipular toda aquella información necesaria para implementar aspectos específicos de

la toma de decisiones. Se puede decir que todo sistema de información surge de la

necesidad de información que experimenta una organización para mejorar el proceso de

toma de decisiones.

2.2.2. Sistema de información computarizado

K y J Laudon (1996) definen al sistema de información computarizado como:

“sistemas computacionales a cualquier nivel en la empresa que cambian las metas,

operaciones, servicios, productos o relaciones del medio ambiente para ayudar a la

institución a obtener una ventaja competitiva”

Por otro lado, Gonzales (2012) lo define como cualquier equipo o sistema

interconectado o subsistema de equipos de computación o telecomunicación que es usado

en la adquisición, almacenamiento, manipulación, administración, movimiento, control,

presentación, conmutación, intercambio, transmisión, o recepción de datos, e incluye

software, firmware y hardware

2.2.3. Plan informático

Un plan informático formal es un proceso, expresado en un documento escrito y

conocido por todos los usuarios de la unidad de Informática, el cual empieza con el

desarrollo de objetivos, define estrategias y políticas para alcanzar tales objetivos,

desarrolla planes detallados para asegurar que las estrategias se sigan con el fin de que

tales objetivos se realicen en términos de productos y resultados concretos medibles por

la unidad de Informática, por los usuarios y por el nivel Director de la empresa y/u

organización, en parámetros no técnicos y exentos de ambigüedad. (Niemann, 2014)

Cristóbal plantea que el plan informático debe iniciarse en el estudio de la misión

de la empresa y sus objetivos estratégicos. Deben identificarse las áreas de intervención

críticas del plan y su prioridad. El plan informático normalmente debe concluir con la
identificación de muchos proyectos ordenados cronológicamente que van dando cuenta

de las implementaciones armónicas en las áreas de infraestructura y sistemas de

información de la empresa. (Cristobal, 2012)

Este debe contemplar un horizonte que alcanza un período variable entre 3 y 5

años dependiendo del tamaño de la organización. No obstante, el mismo debe ser revisado

por lo menos en períodos anuales, y reformulado cada vez que se modifiquen en forma

sustancial los objetivos y metas planteadas por el nivel Directivo de la organización.

(Niemann, 2014)

2.2.4. Proceso de desarrollo e implantación de sistemas

Un sistema de información, nace, se desarrolla y muere junto con la empresa, en

pocas palabras existe durante toda la vida de la organización. Se debe tener claro que un

sistema de Información no necesariamente se implementa en forma computacional, sin

embargo, es muy fácil demostrar que la computación es la mejor herramienta de la que

disponemos para entregar y mantener la información requerida. (AIS, 2018)

La idea de construir un Sistema de Información para una organización, aparece

cuando los niveles ejecutivos de la organización determinan que la forma actual de

controlar y mantener la información, es insuficiente para los volúmenes que se manejan,

inoportuna respecto al tiempo requerido en la toma de decisiones o incompatible con las

normas y políticas de la empresa. (Avison, 1999)

Las etapas de vida de una implementación especifican de un sistema de

información, también conocidas como las etapas de vida de un S.I son las siguientes de

acuerdo a Murdick (1989):

• Análisis de Requerimientos
 • Diseño Lógico

• Diseño Físico

• Construcción

• Pruebas

• Explotación

• Mantención o mantenimiento

Cada etapa debe ser documentada con elementos físicos o electrónicos que den

garantía al cumplimiento exitoso de la actividad. También en cada etapa desarrollada

deben hacerse controles de calidad que minimicen el riesgo de errores, mediante pruebas

y simulaciones.

2.2.5. Organización de datos

Una organización de datos es una estructura física-lógica que permite realizar

operaciones computacionales como es el editar, guardar actualizar entre otros, sobre un

contenido de información. Entre ellas se puede distinguir 2 tipos de estructuras según la

Universidad Carlos III de Madrid (2019):

1. Estructura Física: Describe la manera física (bytes) de almacenar los datos

en un soporte. Se enfoca en los detalles físicos de un dispositivo o en la

forma física en las que están almacenados los datos de un dispositivo de

almacenamiento.

2. Estructura Lógica: describe la manera lógica de representar la información

a los usuarios, es decir cómo la ve. Es una descripción de los requisitos

funcionales de un sistema, es la expresión conceptual de lo que hará el

sistema para resolver problemas identificados en el análisis previo.

La organización de datos puede ser de dos tipos como se verá a continuación:

1. Organización no estructurada: son los datos que no están en una base de datos o

están contenidos en algún otro tipo de estructuras de datos. Los datos no

estructurados a su vez pueden ser textuales o no textuales.

La organización no estructurada se caracteriza por utilizar información no

estructurada contenida en libros, artículos e informes. Además, por contener gran

variedad de información lo que imposibilita determinar un campo por cada tema.

2. Organización estructurada: es aquella que utiliza datos definidos (facturas, recibos

de clientes, etc.). Este diseño deberá reconocer con método y exactitud los datos

que se van a utilizar, antes de su implementación y a diferencia de la no

estructurada esta si puede determinar campos por cada tema.

2.2.6. Métodos de Procesamiento Automático de datos

Por procesamiento de datos se entienden habitualmente las técnicas eléctricas,

electrónicas o mecánicas usadas para manipular datos para el empleo humano o de

máquinas. El término procesamiento automático de datos se refiere a las operaciones

realizadas por medio de equipos de registros unitario, tales como el sistema de tarjetas

perforadas creada por Herman Hollerith basado en la lógica de Boole. (Laudon &

Laudon, 1996)

Por otro lado, un dato es un símbolo lingüístico o numérico que representa ya sea

algo concreto como abstracto En el momento de enlazar datos como, por ejemplo, "1, 2,

3" = "ventas diarias de enero 1,2,3", los datos se convierten en información. Es habitual

confundir datos con información. (Laudon & Laudon, 1996)

Podemos definir, primero, a un sistema como el conjunto de individuos, objetos,

etc., interrelacionados que concurren a un mismo fin, es decir, que realizan una misma
función con un mismo propósito. Los integrantes se modifican entre sí, y los agentes

externos modifican al sistema. (Rodenes et al., 2017).

Mientras que el procedimiento esta es la acción que se ejecuta, en este caso sobre

los datos, y que logra en ellos una transformación. Entonces podemos concluir que el

procesamiento de Datos es cualquier ordenación o tratamiento de datos, o los elementos

básicos de información, mediante el empleo de un sistema. (Rodenes et al., 2017).

En el procesamiento automático el tipo que se emplea es el proceso electrónico,

es cuál es el que se emplea en computadoras por lo que la intervención humana no es

requerida en cada etapa. Una vez que se ingresan los datos la computadora efectúa los

procesos requerido automáticamente y emite el resultado deseado.

2.2.7. Conectividad: redes

Es importante distinguir entre este concepto y el de conexión: mientras que la

conectividad se mantiene igual a lo largo de la vida de un dispositivo hasta que se

actualizan o mejoran sus partes, las conexiones comienzan y terminan, y dentro de un

mismo contexto (haciendo uso de una misma red de equipos con conectividades

invariables) pueden tener características diferentes cada vez. (Uyless Black, 2010).

Redes

En su formulación más sencilla, una red informática está formada por dos o más

ordenadores conectados entre sí. Esta conexión es doble: la conexión física, que

se establece mediante conectores, cables y otros medios inalámbricos (por

ejemplo, teléfonos inalámbricos) y la conexión lógica, mediante el transporte de

datos a través de un medio físico. (Avison, 1999, pg. 103)

Características de una red

De acuerdo a Gómez et Al. (2017) los siguientes puntos son características

esenciales de toda red:

• Velocidad Es la velocidad a la que se transmiten los datos por segundo a través

de la red. Suelen medirse con un test de velocidad. La rapidez de subida y descarga

de datos será diferente según los estándares que utilicemos y también según el

tipo de red o medio a través del que se transmiten los datos (inalámbrica, fibra

óptica, cables de teléfono o coaxial).

• Seguridad de la red Es uno de los aspectos más peligrosos que rodean a las redes

inalámbricas, como ya hablamos en otra ocasión. La aparición de intrusos que nos

quitan ancho de banda es una de las razones que convierte estas redes en bastante

más vulnerables.

• Confiabilidad. - Mide el grado de probabilidades que existe de que uno de los

nodos de la red se averíe y por tanto se produzcan fallos. En parte dependerá de

la topología de la red que hallamos instalado y del lugar que ocupa el componente

averiado. Cuando uno de los componentes no funciona, puede afectar al

funcionamiento de toda la red o por el contrario constituir un problema local.

• Escalabilidad Una red no puede añadir nuevos componentes de forma continua

y esperar que funcione a la misma velocidad. A medida que añadimos nuevos

nodos y estos se hallan funcionando a la vez, la conexión a Internet se reduce, la

velocidad de transmisión de datos en general es menor y hay más probabilidad de

errores.

• Disponibilidad Es la capacidad que posee una red para hallarse disponible y

completamente activa cuando la necesitamos. Hablamos de la cantidad de tiempo

posible en que podemos someter los nodos a unas condiciones de rendimiento

 necesarias en nuestra empresa. El objetivo es conseguir que la red se halle

disponible según las necesidades de uso para las que se ha instalado.

2.2.8. Data Warehouse

Un Data Warehouse es un gran almacén de datos e información que, además,

recoge todos aquellos que son realmente necesarios para la realización de análisis e

informes relacionados con el Business Inteligencie. Una parte fundamental en la toma de

decisiones de las grandes empresas a la hora de establecer objetivos, establecer

normativas y plantear riesgos. (Sinexxus, 2019)

Aunque su nombre provenga de la palabra almacén, sus labores van más allá del

almacenamiento, como ya hemos explicado. Es un sistema que se aloja en el servidor de

una compañía o en la nube y que recopila datos sobre las OLTP (Procesamiento de

Transacciones En Línea) y varias fuentes más de información para su posterior selección

y extracción de cara a un uso con fines analíticos. (Muñoz, 2012)

Una arquitectura que se divide en 3 estructuras: básica, básica con zona de ensayo

y básica con zona de ensayo y con data martes. La primera proporciona datos brutos junto

con metadatos para facilitar su acceso; la segunda ofrece la posibilidad de limpiar la

información en función de la utilidad que se le vaya a dar; y la tercera ofrece soluciones

para diferentes líneas de negocios (Hernández, 2003)

¿Para qué sirve el Data Warehouse?

Aunque la finalidad principal del Data Warehouse es almacenar la información ya

depurada para su posterior empleo a nivel empresarial, es una herramienta que facilita la

toma de decisiones dentro de una compañía, así como también mejora la calidad de estas.

Además, permite almacenar también consultas hechas anteriormente o análisis ya

realizados, además de una mayor rapidez a la hora de acceder a la información.

2.2.9. Datamining

El Datamining es el conjunto de técnicas y tecnologías que permiten explorar

grandes bases de datos, de manera automática o semiautomática, con el objetivo de

encontrar patrones repetitivos, tendencias o reglas que expliquen el comportamiento de

los datos en un determinado contexto (Violeta, 2004)

Básicamente, el Datamining surge para intentar ayudar a comprender el contenido

de un repositorio de datos. Con este fin, hace uso de prácticas estadísticas y, en algunos

casos, de algoritmos de búsqueda próximos a la Inteligencia Artificial y a las redes

neuronales.

De forma general, los datos son la materia prima bruta. En el momento que el

usuario les atribuye algún significado especial pasan a convertirse en información.

Cuando los especialistas elaboran o encuentran un modelo, haciendo que la interpretación

que surge entre la información y ese modelo represente un valor agregado, entonces nos

referimos al conocimiento (Violeta, 2004).

2.2.10. Inteligencia Artificial (IA)

La inteligencia artificial (IA) hace posible que las máquinas aprendan de la

experiencia, se ajusten a nuevas aportaciones y realicen tareas como hacen los humanos.

La mayoría de los ejemplos de inteligencia artificial de los que usted escucha hoy se

sustentan mayormente en aprendizaje a fondo y procesamiento del lenguaje natural.

Mediante el uso de estas tecnologías, las computadoras pueden ser entrenadas para

realizar tareas específicas procesando grandes cantidades de datos y reconociendo

patrones en los datos (Russell & Norving, 2017).

Tipos de inteligencia artificial

Los expertos en ciencias de la computación Stuart Russell y Peter Norvig (2017)

diferencian varios tipos de inteligencia artificial:

• Sistemas que piensan como humanos: automatizan actividades como la toma de

decisiones, la resolución de problemas y el aprendizaje. Un ejemplo son las redes

neuronales artificiales.

• Sistemas que actúan como humanos: se trata de computadoras que realizan

tareas de forma similar a como lo hacen las personas. Es el caso de los robots.

• Sistemas que piensan racionalmente: intentan emular el pensamiento lógico

racional de los humanos, es decir, se investiga cómo lograr que las máquinas

puedan percibir, razonar y actuar en consecuencia. Los sistemas expertos se

engloban en este grupo.

• Sistemas que actúan racionalmente: idealmente, son aquellos que tratan

de imitar de manera racional el comportamiento humano, como los agentes

inteligentes.
2.2.11. E-Business / E-Comerce

E-Business

El e-business consiste en introducir tecnologías de la comunicación para realizar

las actividades de un negocio. Es un conjunto de nuevas tecnologías y nuevas estrategias

de negocio para desarrollar estos negocios en línea, Pero no hay que confundir, e-business

no es un negocio de tecnología sino un negocio de cualquier naturaleza que utiliza nuevas

tecnologías de cara a mejorar la gestión (Joannes,2010).

Tipos de E-Business

• Subastas en Línea: Las subastas por Internet son más democráticas que las que

se realizan en casas de subastas físicas, porque este medio permite la participación

de todo aquel que tenga una conexión.

• Portales de compra-venta entre particulares: Quien así lo desee puede ser

ofertante, comprador o las dos cosas a la vez.

• Banca Electrónica o E-banking: La banca electrónica constituye uno de los

negocios más exitosos de la red. Permite que los clientes accedan a sus cuentas

bancarias y operen por medio de un sitio Web fácil de usar, La banca on-line

ahorra tiempo y dinero a usuarios y a empresas.

• Guías Electrónicas: Las guías son siempre útiles para encontrar un servicio o

producto en especial.

• Ingeniería en Línea: Hoy en día ya no es pertinente donde están los ingenieros.

Todo aquel que tenga conexión a Internet puede participar en el desarrollo. Se han

creado herramientas conjuntas para el desarrollo.

• Juegos de Azar electrónicos: Son uno de los negocios más rentables en Internet.
 • E-learning: El aprendizaje on-line brinda una nueva dimensión del aprendizaje

digital. En lugar de recibir un CD o disquete que contiene un archivo ejecutable

que explique un tema y contenga una evaluación, el alumno accede al material on-

line. Y se puede además hacer consultas y chatear con las demás personas que

están en línea en el curso.

• Correo Electrónico: Hay quienes no asocian el correo electrónico con los

negocios digitales, pero la comunicación es la base de todo negocio Cada vez más

organizaciones se comunican en forma digital.

• Marketing Electrónico: En la sociedad de la informática, todo fluye. Gracias al

Internet las empresas pueden responder a las demandas de cada cliente y tratar a

cada uno según sus preferencias.

E- Comerce

La creencia de que los conceptos de e-business y el e-commerce son sinónimos y

se refieren al mismo concepto es totalmente errónea. En realidad, si bien el e-commerce

cubre los procesos por los cuales se llega a los clientes y proveedores y cubre todos los

canales de venta, incluyendo marketing, pedidos, entrega, servicio postventa y derivados,

el e-business va mucho más allá. El e-business incluye en su razón de ser el e-commerce

en su totalidad, pero también cubre otros procesos internos como pueden ser la

producción, administración, desarrollo de productos, área de riesgos, área de finanzas,

desarrollo estratégico, gestión del conocimiento y recursos humanos. (Joannes,2010).

El e-commerce, en función de quienes sean los actores implicados puede

clasificarse en cuatro categorías distintas:

 • B2B: Este es el caso en el que el comercio electrónico se da entre dos empresas

(Business to Business).

• B2C: Este es el caso en el que el comercio electrónico se da entre la empresa y el

consumidor final (Business to Consumer).

• B2A: Este es el caso de la relación que se establece entre las empresas y la

Administración (Business to Administration).

• C2A: En este último caso nos referimos a la relación que se establece entre la

Administración y el consumidor final, el ciudadano (Consumer to

Administration).

2.2.12. Plan de Recuperación de Desastres, DRP

Un Plan de Recuperación de Desastres, DRP, por sus siglas en inglés, Disaster

Recovery Planning, se entiende como las acciones o prácticas efectivas de medidas de

seguridad, que garantizan una adecuada recuperación de la operatividad mínima de los

sistemas luego de una contingencia o desastre, en la que se vean afectados los procesos y

recursos informáticos que soportan un negocio.

Los desastres a los que se ven expuestos los sistemas informáticos pueden ser de

diversos tipos y así mismo su impacto a nivel físico puede variar. A continuación, algunos

desastres que pueden afectar a una organización:

• Incendios. • Terremotos.

• Inundaciones • Volcanes.

• Huracanes. • Incidentes de Seguridad

• Tormentas severas. • Falla de equipamiento

• Deslizamientos de tierra • Fallas de Energía.

• Tsunamis.
 Los eventos en la anterior lista tienen el potencial de infligir daño a edificios, equipo

y sistemas de TI. Pueden matar, herir o desplazar personas, sin mencionar que pueden evitar

que asistan a sus trabajos. Los desastres pueden tener los siguientes efectos en las

organizaciones:

• Los desastres naturales son imposibles de predecir y mucho menos de contener, estos

eventos normalmente presentan daños graves en edificios que impiden el acceso a los

mismos, además de los efectos que causa en los trabajadores debido a las potenciales

pérdidas humanas causadas por el desastre.

• Un desastre puede afectar los sistemas de telecomunicación, lo que puede dejar a una

empresa totalmente aislada de proveedores, contratistas y de sus clientes.

• Las fallas en el trasporte, ya sea por daños en las vías o por disturbios que afecten los

sistemas de transporte masivo pueden causar imposibilidad de los trabajadores para

desplazarse hasta sus sitios de trabajo. (Acosta R, 2009)

 3. CONCLUSIONES

• Respecto a algunas de las virtudes de las herramientas tecnológicas abarcadas

relacionadas con la auditoria informática, se puede mencionar que son caracterizadas

por promover la innovación y la competitividad industrial, optimizar procesos de

fabricación, mejorar la ciencia y la tecnología de medición, mejorar la seguridad

pública, desarrollar estándares equitativos y facilitar el comercio justo.

• La implementación de normativas de calidad como en el caso de la ISO, están

diseñadas para garantizar la selección de controles de seguridad adecuados dentro de

la empresa, que protejan los activos de información y brinden confianza a las partes

interesadas internas y externas.

• La auditoría de sistemas debe hacerse por profesionales expertos ya sea en auditoría

o en informática, ya que esta debe brindar a la empresa una ventaja competitiva, una

auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada,

destacando principalmente económicas.

• Las auditorias informáticas se conforman obteniendo información y documentación

de todo tipo dentro de la organización. Los informes finales de los auditores deben

ser realizados de manera objetiva de acuerdo a sus capacidades para analizar las

situaciones de debilidad o fortaleza de los diferentes medios existentes.

 4. BIBLIOGRAFÍA

Acosta Galindo Ricardo Alfonso. (2009) Plan de Recuperación de Desastres, Universidad

Piloto de Colombia.

Andreu, Ricart, & Valor. (1991). Estrategia y sistemas de información. Madrid: Mc Graw

Hill.

Association for Information Systems (AIS) obtenido de: http://www.aisnet.org/

A.P. Gómez, j. j. Regalado, J. G. García, O. Sánchez, K. Marcillo & J. Marcillo. (2017).

V Fundamentos sobre la gestión de base de datos. 3 ciencias.

Avison (1999). Developing Info Systems. Mc Graw Hill

Cristobal, S. (2012). Desarrollo De Los Planes Informáticos.Mc Graw Hill

Gonzales, F. (2012). Introducción a los sistemas de Información: Fundamentos. Mexico.

Heather, E. (2018). Instituto Nacional de Estándares y Tecnología (NIST). Linkedin.

Recuperado de https://bit.ly/34SBiYm

Hernández, E. (2003). Tesis para obtener el grado en informática administrativa.

Universidad autónoma de Nuevo León. Monterrey.

ISO. (2005). ISO / IEC 27001: 2005 – Tecnología de la información - Técnicas de

seguridad - Sistemas de gestión de seguridad de la información. Recuperado de

https://www.iso.org/standard/42103.html
Joannes. (2010, febrero 4). E-business y aspectos fundamentales de los negocios

electrónicos. Recuperado de https://www.gestiopolis.com/e-business-aspectos-

fundamentales-negocios-electronicos/

Kessinger, K. & Gellman, M. (2009). ISACA Lanza Risk IT Framework Para Ayudar a

Organizaciones a Equilibrar los Riesgos Con los Beneficios. ISACA. Estados

Unidos. Recuperado de https://bit.ly/2MTBBfk

Laudon, K., & Laudon, J. (1996). Administración de los sistemas de información. México:

Prentice Hall.

Muñoz, C. (2002). Auditoría en sistemas computacionales. México: Pearson.

Murdick, R. (1989). Sistemas de Información. Prentice Hall Latinoamericana: México.

Piattii, M., & Del Peso, E. (2001). Auditoría informatica: un enfoque práctico. México:

Alfaomega.

Rodenes,M., Arango,M., Puig, J. & Torralba, J. (2003). Reingeniería de procesos y

transformación organizativa. España: Alfaomega

Russel,S & Norving, P. (2017). Inteligencia Artificial: Un enfoque moderno. Madrid:

España, Editorial Prentice Hall

Saavedra, J. & Torres, A. (2012). Modelo de Gobierno de TI como apoyo al proceso de

transformación digital en empresas de la industria editorial. Universidad ICESI.

Santiago de Cali. Recuperado de https://bit.ly/31QydpP

Sánchez, J., & Alvarado, M. (2014). Teoría y práctica de la auditoría I: Concepto y

metodología. Madrid: Ediciones Pirámide.

Segovia, A. (s.f.) ¿Qué es ITIL? Advisera. Recuperado de https://bit.ly/2PvxCqT

Sinexxus. (2019). Retrieved 6 November 2019,

fromhttps://www.sinnexus.com/business_intelligence/datawarehouse.aspx.

Tapia , C., Guevara, E., Castillo, S., Rojas , M., & Salomon, L. (2016). Fundamentos de

auditoría: aplicación práctica de las Normas Internacionales de Auditoría. México:

Instituto Mexicano de Contadores Públicos.

Universidad Carlos III de Madrid (2019). Organización de datos. Disponible en:

http://ocw.uc3m.es/ingenieria-informatica/informatica/documentos-teoria/tema-

5organizacion-de-los-datos

Violeta, V. (2004). Data Mining y el descubrimiento del conocimiento (7th ed.). Lima,Perú:

Industrial Data.