METODOLOGIA PARA FORMAR LA HABILIDAD DE AUDITAR SISTEMAS
INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE
INFORMACIÓN EN LA CARRERA DE INGENIERÍA DE SISTEMA DE
INFORMACIÓN DE LA UNIVERSIDAD APEC
Tesis para optar por el título de
MAESTRÍA EN CIENCIAS DE LA EDUCACIÓN Mención
ENSEÑANZA DE LAS CIENCIAS DE LA INGENIERIA
Sustentante José Aquino Aquino
Tutor
Dr. Raúl Ortiz Pérez
Estudios y Tesis realizados dentro del Programa de Desarrollo Profesional Docente de la Universidad APEC,
bajo acuerdo inter-institucional con la Universidad de Camagüey, Cuba.
Santo Domingo, Distrito Nacional
Agosto 2007
UNIVERSIDAD DE CAMAGÜEY
CENTRO DE ESTUDIOS DE CIENCIAS DE LA EDUCACIÓN
“ENRIQUE JOSÉ VARONA”
METODOLOGIA PARA FORMAR LA HABILIDAD DE AUDITAR SISTEMAS INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE INFORMACIÓN EN LA CARRERA DE INGENIERÍA DE SISTEMA DE INFORMACIÓN DE LA UNIVERSIDAD APEC
Autor: Ing. José Aquino Aquino Tutor: Dr. Raúl Ortiz Pérez
TESIS PRESENTADA EN OPCION AL TITULO DE MASTER EN CIENCIAS DE LA EDUCACION
Mención ENSEÑANZA DE LAS CIENCIAS DE LA INGENIERIA
Estudios y Tesis realizados dentro del Programa de Desarrollo Profesional Docente de la Universidad APEC,
bajo acuerdo inter-institucional con la Universidad de Camagüey, Cuba.
Santo Domingo, Distrito Nacional Agosto, 2007
DEDICATORIA
A Dios. Por permitirme ver el nuevo día y acompañarme en cada paso en mi vida; Por los padres a quien el le ha dado la vida y por el fruto de esta unos hermanos llenos de vida. Por la familia que admiro cada día y el apoyo incondicional que recibo de esta durante el día. Por mi esposa y mi hijo que llenan de luz y esperanza mi día a día. Por los momentos felices y de angustia que nos trae la vida. A ti te doy las gracias cada día. A mis padres. José Alt. Aquino Reyes y Violeta Maria Aquino, quienes han sido para mí un patrón de tenacidad y deseo de superación, enseñándome que la educación y el trabajo con esmero nos llevan a lograr las metas deseadas. A mis hermanos. Raysa, Charito, Miosotys, Yesenia y Edinson; quienes me llenan de entusiasmo a salir adelante…estoy orgulloso de ustedes, así que le exhorto a que no se detenga para lograr lo que realmente quieren. A mi hijo. Axel Adrian Aquino Gómez, con la esperanza de que este trabajo te sirva de ejemplo para alcanzar metas y objetivos en tu vida, y cuando pueda leer este texto entienda que todo en la vida se logra con mucho esfuerzo y sacrificio. Pero quiero enseñarte mi hijo que en nuestro vocabulario no puede existir la palabra imposible, todo se puede lograr con amor y dedicación. A mi esposa Yudaily. Por su gran apoyo íntegro y paciencia durante todo el desarrollo de este trabajo, ayudándome a estar presente en el hogar en los momentos que realmente no estaba…besos…muchas gracias mi amor. A mis sobrinos. Nicaury, Orladis, Perla, Gerald y Ashly Violeta; mis queridos sobrinos un nuevo día es otra oportunidad de ser mejores; la educación le permitirá a cada uno de ustedes lograr sus metas anheladas y ser entes formados con valores y principios; que luego le ayudaran a sembrar la semilla que le permitirá cosechar buenos frutos en la sociedad. A todos ellos, con gran cariño, dedico estas líneas.
AGRADECIMIENTOS
A Dios porque estuvo y esta acompañándome en cada paso de mi vida. A los excelentes profesores de la Universidad de Camaguey, que sin sus orientaciones no hubiese logrado esta meta, que significa tanto para mí. Dr. Raúl Ortiz, asesor y amigo, quien en cada momento estuvo presente con sus sabios consejos, trayendo luz donde la oscuridad llegaba; gracias por enseñarme, que nuestro todopoderoso derrame bendiciones para usted y su familia. Al cuerpo que conforma la máxima autoridad de la universidad APEC por apoyar estas iniciativas que fomentan la calidad en la formación docente de nuestra sociedad; sin lugar a dudas me siento sumamente orgulloso de ser parte de tan prestigiosa casa de estudio. Al amigo y profesor Lic. Manuel De Jesús Peña, fuiste la piedra angular, por motivarme a seguir…gracias… Al Prof. Ing. Máximo Ramírez, tus consejos y tú dedicada atención en los momentos cuando todo se quería venir abajo; aprovecho para decirte que puedes contar conmigo. A mis queridos amigos: Juana, Pequeño, Magali, Ivelisse, Damaris, Jacqueline, Santiago, entre otros importantes amigos y compañeros. A estos y a todos aquellos que me apoyaron…que entendieron que era importante realizar este proyecto de investigación. Gracias.
I N D I C E
INTRODUCCION CAPÍTULO 1. FORMACIÓN DE LA HABILIDAD DE AUDITAR SISTEMAS
INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE
INFORMACIÓN .................................................................................................... 1
1.1 CARACTERIZACIÓN DEL PROCESO DE FORMACION DE HABILIDAD EN LA ASIGNATURA
AUDITORIA DE SISTEMAS DE INFORMACIÓN .................................................................................................................. 8
1.2 ASPECTOS TEORICOS RELATIVOS A LAS HABILIDADES Y AL
PROCESO DE SU FORMACION .............................................................. 15
1.3 EVALUACION DIAGNOSTICA DEL TRABAJO RELACIONADO CON
LA FORMACION DE LA HABILIDAD DE AUDITORIA DE SISTEMAS
INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE
INFORMACIÓN DE LA CARRERA DE INGENIERÍA DE SISTEMAS DE
INFORMACIÓN ......................................................................................... 21
CAPITULO II: METODOLOGÍA PARA LA FORMACION DE HABILIDADES
DE AUDITAR SISTEMA EN LA ASIGNATURA AUDITORIA DE SISTEMA DE
INFORMACIÓN PARA LOS ESTUDIANTES DE LA CARRERA INGENIERÍA
DE SISTEMAS DE INFORMACIÓN..................................................................... 28
2.1 PARTICULARIDADES DE LA HABILIDAD DE AUDITAR SISTEMAS
INFORMÁTICOS ....................................................................................... 28
2.2 FUNDAMENTOS TEORICOS DE LA PROPUESTA DE
METODOLOGIA ........................................................................................ 40
2.3 PRESENTACION DE LA METODOLOGIA QUE SE DEFIENDE ........ 43
2.4 CONCRECION DE LA METODOLOGIA EN EL CONTEXTO DE UN
TEMA DE LA ASIGNATURA ..................................................................... 49
2.5 VALORACION POR VIA EMPIRICA DE LA FACTIBILIDAD DE LA
PROPUESTA QUE SE OFRECE EN LA TESIS ........................................ 58
CONCLUSIONES ................................................................................................ 62
RECOMENDACIONES ........................................................................................ 63
BIBLIOGRAFIA ANEXOS
I N D I C E
INTRODUCCION CAPÍTULO 1. FORMACIÓN DE LA HABILIDAD DE AUDITAR SISTEMAS
INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE
INFORMACIÓN .................................................................................................... 1
1.1 CARACTERIZACIÓN DEL PROCESO DE FORMACION DE HABILIDAD EN LA ASIGNATURA
AUDITORIA DE SISTEMAS DE INFORMACIÓN .................................................................................................................. 8
1.2 ASPECTOS TEORICOS RELATIVOS A LAS HABILIDADES Y AL
PROCESO DE SU FORMACION .............................................................. 15
1.3 EVALUACION DIAGNOSTICA DEL TRABAJO RELACIONADO CON
LA FORMACION DE LA HABILIDAD DE AUDITORIA DE SISTEMAS
INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE
INFORMACIÓN DE LA CARRERA DE INGENIERÍA DE SISTEMAS DE
INFORMACIÓN ......................................................................................... 21
CAPITULO II: METODOLOGÍA PARA LA FORMACION DE HABILIDADES
DE AUDITAR SISTEMA EN LA ASIGNATURA AUDITORIA DE SISTEMA DE
INFORMACIÓN PARA LOS ESTUDIANTES DE LA CARRERA INGENIERÍA
DE SISTEMAS DE INFORMACIÓN..................................................................... 28
2.1 PARTICULARIDADES DE LA HABILIDAD DE AUDITAR SISTEMAS
INFORMÁTICOS ....................................................................................... 28
2.2 FUNDAMENTOS TEORICOS DE LA PROPUESTA DE
METODOLOGIA ........................................................................................ 40
2.3 PRESENTACION DE LA METODOLOGIA QUE SE DEFIENDE ........ 43
2.4 CONCRECION DE LA METODOLOGIA EN EL CONTEXTO DE UN
TEMA DE LA ASIGNATURA ..................................................................... 49
2.5 VALORACION POR VIA EMPIRICA DE LA FACTIBILIDAD DE LA
PROPUESTA QUE SE OFRECE EN LA TESIS ........................................ 58
CONCLUSIONES ................................................................................................ 62
RECOMENDACIONES ........................................................................................ 63
BIBLIOGRAFIA ANEXOS
I N T R O D U C C I O N
Con el crecimiento que ha tenido el desarrollo de las tecnologías y ante el
nuevo entorno económico mundial, los países están obligados a preparar
profesionales en áreas de la informática y las telecomunicaciones, capaces de
enfrentar los retos que se tienen hoy en día.
Es un hecho que las tecnologías de la información, actualmente son elementos
fundamentales para la superación y desarrollo de un país. Por tal razón, los
países desarrollados basan su crecimiento en la aplicación y la programación
estratégica de las herramientas computacionales y han definido políticas que
los inducirán a su permanencia en el dinamismo mundial de los próximos años.
De esta forma se han ido acuñando términos como “Edad de la Cibernética” y
“Edad de la Información” (Mc. Luhan, 1964), “Sociedad del Conocimiento”
(Drucker, 1969), “Sociedad Tecnotrónica” (Brzezinski, 1970) “Sociedad de la
Información (Kohyama, 1972, y Masuda, 1982), “Sociedad posindustrial” (Bell,
1973), “Sociedad Telemática” (Norac-Minc, 1978), “Revolución de las
Comunicaciones” (Ploman, 1984) y “Ser Digital” (Negroponte, 1965).
Dentro de cada uno de estos términos que en su momento han ayudado a
fomentar el uso de las tecnologías; podemos legitimar que el tema de la
auditoria en informática aun se mantenía en el anonimato; pero con los avance
que demuestra la implementación de tecnología a su paso; se agrega el
ingrediente de la implementación de las auditorias en sistemas informáticos.
Todo esto se debe a los problemas más frecuentes en los centros de
informática que es la falta de una adecuada organización, que permita avanzar
al ritmo de las exigencias de las organizaciones. A esto hay que agregar la
situación que presentan los nuevos equipos en cuanto al uso de sistemas
sofisticados, tales como: base de datos, redes y sistemas de información.
La expansión de la tecnología de información y comunicación, ha incrementado
la demanda de control de los sistemas de información, como el control sobre la
privacidad de la misma y su integridad; y sobre los cambios de las aplicaciones.
Agregamos que existe una preocupación sobre la caída de los sistemas y
sobre la seguridad de la continuidad del procesamiento de la información, en
caso de que los sistemas sufran ataques informáticos o puedan sufrir caídas
por desperfectos técnicos que no fueron previstos al momento de su diseño e
implementación.
Al igual que cualquier área de la organización, los sistemas de TI deben estar
sometidos a controles de calidad y auditoria informática porque las
computadoras y los centros de procesamiento de datos son blancos
apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista
la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera
información errónea, con la posibilidad de que se provoque un efecto cascada y
afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseñado puede
convertirse en una herramienta muy peligrosa para la gestión y la coordinación
de la organización.
Un profesional dedicado a la auditoria informática, debe de velar por la correcta
utilización de los amplios recursos que la empresa pone en juego para disponer
de un eficiente y eficaz sistema de Información; además que deberá comprobar
los controles y procedimientos informáticos mas complejos.
Como se recoge en el informe PricewaterhouseCoopers 2006 State of the
Internal Audit Profession Study durante los tres últimos años la sección 404 de
la Ley SOX con los requerimientos específicos que obligan a las compañías a
"documentar, evaluar, verificar y monitorizar sus controles internos sobre los
informes financieros" ha supuesto en EE.UU. un gran paso cualitativo para el
afianzamiento de la Auditoria Informática y ha supuesto también un gran
incremento de la demanda de Auditores Informáticos. Otras disposiciones
legales como Basilea II, "HIPAA" (Acta, "Health Insurance Portability and
Accountability") y GLBA ("Graham-Leach Bliley Act") también están
constribuyendo.a este afianzamiento.
La entrada en vigor, durante 2006, de la norma ISO/IEC 27001 como estándar
mundial para los Sistemas de Gestión de Seguridad de la Información SGSI y
sus requerimientos de Auditoría para la obtención de las certificaciones,
también han de suponer un gran incremento de la demanda de Auditores
Informáticos. Otros estándares en los que ya está participando España, como
los Criterios Comunes, también precisan de Auditores de Seguridad de
Productos y Sistemas Informáticos.
En España la LOPD (Ley Orgánica de Protección de Datos Personales) está
sirviendo de base para que el Auditor en Informática sea un profesional cada
vez más solicitado. En la actualidad tanto en las Empresas Privadas como en
las Administraciones y Organismos Públicos se están llevando a cabo
proyectos de adecuación de sus Sistemas Informáticos a la LOPD que
requieren de la Auditoría Informática.
Aunque en la actualidad la legislación existente relacionada con la Informática
sigue siendo escasa, en los últimos años los Gobiernos comienzan a tomar
conciencia de la necesidad de exigir responsabilidades en los riesgos
derivados de los sistemas informáticos y de la necesidad de establecer
controles adecuados. Podemos observar como en estas nuevas leyes la
Auditoría Informática siempre está presente.
La Auditoría y Seguridad Informática avanzan en paralelo en la nueva Sociedad
de la Información, que con su propio afianzamiento está incrementando la
demanda de Auditores en Informática e Ingenieros especializados en
Seguridad Informática.
Este problema afecta de manera directa al sector productivo de nuestro país;
ya que al no contar con el personal informático con experiencia en auditoria en
sistemas informáticos, acuden a la contratación de recursos humanos externo;
influyendo esto en gran manera al crecimiento de la tasa de desempleo de
nuestro país.
Estos escenarios nos llevan a definir una situación problémica sobre el alto
porcentaje de estudiantes con deficiencias en la ejecución de la auditoria
informática dentro de la asignatura Auditoria de sistemas de información, que
se imparte en la carrera de Ingeniería de Sistemas de Información que se
desarrolla en la Universidad APEC.
En consecuencia planteamos el problema de investigación en término de lograr
que los alumnos de la asignatura Auditoria de Sistemas de Información que se
imparte en la Carrera Ingeniería de Sistemas de Información de la Universidad
APEC alcancen la habilidad de auditar sistemas informáticos.
En tal sentido, las instituciones educativas deberán aportar a la sociedad
recursos humanos que formen la estructura sólida en informática, acorde con
los países del primer mundo, sobre la que crecerá la economía nacional. Por
eso los científicos sociales, técnicos y políticos han debatido ampliamente y
desde distintos puntos de vista los impactos que en la sociedad está
produciendo el desarrollo de las tecnologías de la información y aquellos que
se van a producir como consecuencia en su amplia difusión en la sociedad.
Ahora podemos exponer que el objeto de estudio se fundamenta en el: Proceso
de formación de habilidades dentro de la materia Auditoria de Sistemas de
Información en los estudiantes de ingeniería de sistemas de la Universidad
APEC.
Y como objetivo de la investigación tenemos elaborar una metodología para
formar en los alumnos de la asignatura Auditoria de Sistemas de Información,
la habilidad de auditar sistemas informáticos.
Nuestro campo de acción estará apoyado en el proceso de formación de la
habilidad de auditar sistemas informáticos en la asignatura Auditoria de
Sistema de Información.
Elaborar una metodología para formar en los alumnos de la asignatura
Auditoria de Sistema de Información, la habilidad de auditar sistemas
informáticos.
Nuestra idea a defender se enmarca, con una metodología basada en el
trabajo de los estudiantes sobre tareas que constituyan “casos” de interés
profesional en el área de Auditoria Informática, se propicia la formación de la
habilidad de auditar sistemas informáticos dentro de la asignatura Auditoria de
Sistemas de Información que se incluye en la carrera de Ingeniería de Sistema
de Información de UNAPEC.
Las tareas que se realizaron para el logro del objetivo, fueron:
1. Caracterización del proceso de formación y desarrollo de habilidades en
la asignatura auditoria de sistemas de información.
2. Aspectos teóricos relativos a las habilidades y al proceso de su
formación.
3. Evaluación diagnostica del trabajo relacionado con la formación de la
habilidad de auditar sistemas informáticos en la asignatura Auditoria De
Sistemas de Información de la carrera de Ingeniería de Sistemas de
Información.
4. Particularidades de la habilidad de auditar sistemas informáticos.
5. Fundamentos teóricos de la propuesta de metodología.
6. Presentación de la metodología que se defiende
7. Concreción de la metodología en el contexto de un tema de la
asignatura
8. Valoración por vía empírica de la factibilidad de la propuesta que se
ofrece en la tesis.
Métodos y Técnicas de Investigación:
Serán utilizadas:
Encuestas por medio de preguntas escritas para conocer las
opiniones e intereses del grupo que cursaron la asignatura, sobre el
desarrollo de ésta y los aspectos que contribuyen u obstaculizan el
desarrollo de las habilidades necesarias para auditar sistemas
informáticos.
Entrevistas individuales y grupales: por vía de entrevistas
estandarizadas y mediante una conversación planificada, recopilar
informaciones con estudiantes en particular y luego con el grupo,
acerca de su parecer sobre las posibles razones de las deficiencias
en la formación de habilidades para auditar sistemas informáticos.
Evaluación de Expertos:: para valorar la metodología propuesta a
través del criterio de especialistas en el área de la auditoria.
La Población objeto del estudio serán los estudiantes de la asignatura de que
han cursado la asignatura Auditoria de Sistemas de Información. Tomaremos
un universo del curso, aproximadamente 12 estudiantes.
La Novedad científica de esta investigación está representada, por el diseño
de una metodología que permita formar las habilidades necesarias para auditar
sistemas de información.
La presente investigación será abordada desde una concepción Humanista, por
entender que para desarrollar las habilidades necesarias para auditar sistemas
informáticos no se puede partir de una concepción tradicional o de educación
bancaria, toda vez que la actividad docente tiene un objetivo más formativo que
informativo y como se plantea en los postulados de la UNESCO “es mejor una
cabeza bien puesta, que una cabeza bien llena”, como parte de la metodología
en la enseñanza, las actividades deben estar orientadas a desarrollar en los
estudiantes además de sus aptitudes y capacidades, la criticidad y el
discernimiento de las informaciones que recibe y para ello, hay que tomar en
cuenta los intereses, convicciones, ideales, las intenciones y la
autovaloración de éstos.
En relación a los paradigmas psicopedagógicos, el enfoque histórico cultural
es el referente teórico asumido en la Metodología propuesta, porque este
ofrece una concepción sistémica del proceso docente educativo, lo cual tiene
muy en cuenta su carácter activo y mediatizado, lo que hace posible el análisis
integral de la habilidad auditar sistemas informáticos, reconoce el carácter
científico de la enseñanza y la unidad entre la instrucción y la educación y
reconoce además a la educación como la fuente del desarrollo del individuo,
distinguiendo dos niveles del mismo lo ya aprendido y lo que sería capaz de
aprender con la ayuda del entorno social y que deviene en lo expresado
teóricamente como zona de desarrollo próximo.
ESTRUCTURA DE LA TESIS
La investigación está organizada en dos capítulos en los cuales se trata de
forma esencial lo siguiente:
En el capítulo I, se caracteriza por la formación de la habilidad de auditar
sistemas informáticos en la asignatura Auditoria de Sistemas de Información.
En el Capitulo II se presenta la estrategia para la formación de habilidades de
auditar sistema en la asignatura Auditoria de Sistema de Información para los
estudiantes de la carrera de Ingeniería de Sistemas de Información.
CAPÍTULO 1. FORMACIÓN DE LA HABILIDAD DE AUDITAR SISTEMAS INFORMÁTICOS EN LA ASIGNATURA
AUDITORIA DE SISTEMAS DE INFORMACIÓN.
Introducción:
El propósito de este capitulo es definir el proceso de formar la habilidad de
auditar sistemas informáticos en la asignatura auditoria de sistemas de
información.
Desde el inicio de la carrera de Ingeniería de Sistemas de Información; hemos notado como la asignatura de Auditoria de Sistemas
de Información ha estado presente en los últimos cuatrimestres de la carrera. En el pensum del año 1989, aparece en el 8vo.
Cuatrimestre, luego en la modificación del pensum del año 1991 es movida al 9no. Cuatrimestre, en el año 1997 paso nuevamente a l
8vo. Cuatrimestre; quedando así en la posición 10vo. en el año 2004, donde se le realizo su ultima modificación al pensum.
Estos movimientos nos llevan a concebir que la asignatura tenga una
importancia relevante para el estudiante de término de la carrera de Ingeniería
de Sistemas de Información.
Pues bien, el término de auditoría se ha empleado con frecuencia de forma
incorrecta, porque ha sido tomado como sinónimo de detección de errores y
fallas. El concepto de auditoría es mucho más que eso, pues tiene como fin
evaluar y mejorar la eficacia y eficiencia de una organización, al examinar su
gestión.
La Auditoria Informática fue definida como un proceso evolutivo “que mediante
técnicas y procedimientos aplicados en una organización por personal
independiente a la operación de la misma, evalúa la función de tecnología de
información y su aportación al cumplimiento de los objetivos institucionales;
emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel
de apoyo al cumplimiento de dichos objetivos.
“La auditoria no es una actividad meramente mecánica que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevados a
cabo, son de carácter indudable. La misma requiere el ejercicio de un juicio
profesional, sólido y maduro, para juzgar los procedimientos que deben de
seguirse y estimar los resultados obtenidos”.
Por tal razón, la informática ha sido un área que ha cambiado drásticamente en
los últimos años. En una generación, la tecnología ha cambiado tanto que lo
que sorprendió hace algunos años, como la llegada del hombre a la luna, o
bien la creación del horno de microondas, hoy nos parece algo muy familiar. En
una década hemos visto el cambio en la organización de la informática: si hace
poco era algo común la tarjeta perforadora, hoy la vemos como algo de un
pasado muy remoto, y consideramos como algo normal el uso de
microcomputadores y redes.
Todo esto ha demandado que se tengan especialistas dentro del área de la
informática. Ya no se puede pensar en el personal de informática que podía
trabajar con microcomputadores y con grandes computadoras, o bien en la
persona que conocía en detalle sobre bases de datos y de comunicaciones; así
que esto abre paso a la Auditoria en Informática.
Por tales razones, la constante evolución tecnológica condiciona de manera
determinante la aparición de nuevos perfiles profesionales altamente
cualificados, capaces de gestionar los Sistemas de Información, anticiparse
a las necesidades de los mismos y a su repercusión en la lógica de negocio
de las empresas.
El escenario actual nos revela cómo la tecnología de los Sistemas de
Información, ha pasado de ser un apoyo en la gestión para convertirse en un
factor diferencial que potencia la competitividad de las organizaciones
en sus respectivos sectores.
Atrás queda la etapa en que las decisiones en el ámbito de los Sistemas de
Información se centraban exclusivamente en aspectos de reducción de costes.
Hoy en día la sociedad evoluciona hacia nuevos escenarios en los que, tanto
la toma de decisiones como los avances en el ámbito de las TIC deben
alinearse para consolidar las organizaciones en sus marcos de actuación.
La misión de la carrera Ingeniería de Sistemas de Información es formar
profesionales que apoyen a la alta gerencia a comprender y apreciar el rol de
las Tecnologías de la Información (TI), para contribuir al logro eficiente de los
planes estratégicos de la organización y al proceso de toma de decisiones;
además anticipar e implementar las nuevas necesidades de sistemas de
información, para dar respuesta a las mismas, dentro de la ejecución de los
planes de la organización; así como, la administración efectiva de los recursos
computacionales (hardware y software) para responder adecuadamente a las
necesidades de información y la solución viable a los problemas informáticos
de la organización.
Para obtener el perfil requerido por el mercado laboral y responder a los
problemas profesionales y a las habilidades que el egresado debe dominar
para enfrentar con éxito el ejercicio de la profesión, la Universidad ha diseñado
un plan de estudio que integra asignaturas que contemplan de manera
paralela la teoría y la práctica.
La filosofía de esta Ingeniería da un mayor peso a las asignaturas básicas.
Además de incluir asignaturas de apoyo y de estudios generales que
coadyuven a la formación integral de los estudiantes, se ofertan asignaturas
electivas especializadas en áreas diversas. Las asignaturas del plan se
pueden agrupar del siguiente modo:
Asignaturas comunes: corresponden a aquellas materias que dan una fuerte
formación básica que permiten preparación general de acuerdo con los
objetivos que definen la carrera. Proporcionan a los alumnos la formación
básica de carácter teórico, histórico e instrumental que les permita introducirse
al conocimiento de la realidad social contemporánea, en particular la formación
social dominicana.
Asignaturas Básicas o pertenecientes al Tronco integrador. El tronco
integrador está constituido por un conjunto de materias cuya finalidad es la de
crear a lo largo de la carrera un espacio de estudio multidisciplinario y de
síntesis, que permita al estudiante conocer las características del trabajo que
desarrollan los administradores de empresas, partiendo desde los problemas
básicos de la administración en general. Las Disciplinas Básicas contienen
aquellas ciencias o ramas del saber que, sin identificarse con el objeto de la
profesión ni con alguna de sus partes, sí poseen contenidos imprescindibles
para poder operar con dichos aspectos profesionales. La estructura de los
contenidos responde también a la lógica de la ciencia respectiva. Proveen al
alumno de la información básica sobre los conceptos y problemas
fundamentales de la organización y sus principales técnicas administrativas,
capacitando al alumno en el análisis de las unidades de producción y de
servicios dentro de un contexto político.
Especializadas: son asignaturas de nivel avanzado cuyo objetivo es proveer al
alumno de sólidos conocimientos del área de sistemas de información. Son
propias y específicas de la carrera. Contienen los campos de acción de la
profesión, es decir, son aquellas que instruyen al alumno en los fundamentos
científicos y tecnológicos de un aspecto esencial de la profesión.
La estructura de los contenidos responde a la lógica de la administración y
contienen las esferas de actuación del profesional, es decir, son aquellas más
cercanas al objeto de la profesión. En estas disciplinas el estudiante aprende
los aspectos científicos y tecnológicos de la profesión y además penetra en las
relaciones sociales, humanas y administrativas inherentes a su profesión. En
ellas el estudiante desarrolla sus habilidades y valores profesionales mediante
su participación en la solución de problemas reales de la profesión.
Asignaturas Electivas: son aquellas que permiten la flexibilización académica
del plan de estudio y posibilitan la adquisición de conocimientos de acuerdo
con las inquietudes del estudiante y las necesidades del medio en que se
desenvuelve.
La asignatura “Auditoria de Sistemas de Información” forma parte de las
asignaturas especializadas, siendo así que para su selección el estudiante
deberá cursar 10 asignaturas; una por cada cuatrimestre; empezando desde el
primer cuatrimestre hasta el décimo. Dentro de los objetivos generales de ésta
asignatura se encuentra proporcionarle al estudiante los conocimientos
generales sobre los distintos tipos de auditorias, controles y la relación que
estos tienen con el área de informática; además de conocer los distintos niveles
de control de datos, procedimientos y seguridad en los distintos sistemas
computarizados.
El proceso enseñanza-aprendizaje de la asignatura Auditoria de Sistemas de Información, utilizado hasta ahora, un único
aspecto considerado fundamental:
Los objetivos generales de la asignatura:
1.- Proporcionar al estudiante los conocimientos generales sobre los distintos
tipos de auditorias, controles y la relación que estos tienen con el área de
informática.
2.- Específicamente conocerá los distintos niveles de control de datos,
procedimientos y seguridad en los distintos sistemas computarizados.
3.- Conocer los más recientes productos de auditoria computacional.
Como se observa, el programa de la asignatura no presenta las habilidades
que serán desarrolladas en la misma.
Métodos y técnicas de enseñanza utilizadas
Por la particularidad de la materia y el perfil de los participantes (estudiantes de
final de carrera y que en su mayoría trabajan y estudian), se utiliza una
metodología dinámica y participativa que garantice la integración de todos los
estudiantes y a la vez que puedan dominar los conceptos y su aplicabilidad en
su desempeño profesional.
Cuando se inicia el curso se realiza un sondeo o evaluación diagnóstica de los
conocimientos, percepción y expectativas de los estudiantes, para tener una
idea del nivel del grupo en general. La clase siempre inicia con una
exposición oral del docente y luego se pasa al análisis de estudios de casos
cuidadosamente seleccionados, a realizar ejercicios prácticos o a comentar
alguna lectura dirigida previamente.
Para sacar mayor provecho a las lecturas, se recurre con frecuencia a la
utilización de resúmenes, para reducir a términos breves y precisos lo esencial
de los temas –que generalmente son muy extensos-, sinopsis, para
explicaciones condensada y cronológica de asuntos relacionados entre sí, y
facilitar una visión conjunta, esquemas, para sintetizar las ideas principales,
secundarias y los detalles considerados trascendentes y a mapas
conceptuales.
Los recursos didácticos, utilizados son los siguientes:
Recursos didácticos convencionales (libros, material impreso,
publicaciones, etc.)
Proyección de Transparencias
Pizarrón y Portafolios para explicar ejercicios y cálculos
Data Show para fijar la atención en algunos temas
El logro de los objetivos planteados se evalúan de manera continua y
sistemática en base a:
Diálogos entre estudiantes y docente y estudiantes-estudiantes,
ejercicios prácticos y trabajos grupales,
Presentación en clase
Practica en laboratorio con sistemas de apoyo interactivo
Demostraciones de productos de auditorias
Para ello, el docente, observa y valora la consistencia de los argumentos,
capacidad de respuesta, coherencia y lógica de las respuestas, capacidad
interpretativa y de resolver problemas y/o ejercicios, etc.
A pesar de, notamos que los alumnos de la carrera Ingeniería en Sistemas de
Información de UNAPEC que cursan la asignatura Auditoría de Sistemas de
Información, cuando deben analizar la debilidad de un sistema informático, los
mismos no presentan las habilidades necesarias para determinar la situación;
realizando esta con deficiencias en la formación de las habilidades que debían
haber alcanzado durante la carrera, pues éste trabajo debe el ser reflejo de
todo el proceso de aprendizaje.
Presentan además deficiencias para realizar un informe ejecutivo de la
auditoria realizada, que les permita mostrarlo adecuadamente. No cumplen con
las etapas de exploración, planeamiento, ejecución y seguimiento; que deben
de llevar las auditorias informáticas en los sistemas de información.
Al punto de analizar cada una de las causas descritas anteriormente,
asumimos como posible causa principal las dificultades en la dirección del
proceso de la formación de las habilidades. Esto así, porque es posible que la
forma en que se imparte la docencia de la asignatura Auditoria de Sistema de
Información, sea adecuada para desarrollar los contenidos, pero no para lograr
el objetivo de auditar sistemas informáticos.
Aprovechamos para hacer recordatorio sobre el dominio de la habilidad, que
tiene como objetivo fundamental, es que los alumnos alcancen un determinado
nivel de dominio en la acción. Para lograr ese propósito, el docente orientará la
ejecución de algunos tipos de tareas que concreten las metas a alcanzar.
Las mismas deben ser ejecutadas de manera frecuente y periódica, con
diferentes sistemas de conocimientos y distintas gradaciones de complejidad;
desde las más simples hasta las más complejas atendiendo al grado de
desarrollo alcanzado por los alumnos.
Ello requiere que el profesor domine las condiciones individuales de cada uno,
pues así le permitirá orientarlos de manera más precisa hacia las operaciones
donde radican las mayores dificultades. En este momento el alumno desarrolla
su independencia, realiza por sí solo las tareas partiendo del conocimiento que
tiene del por qué y para qué ejecutarlas.
1.1 CARACTERIZACIÓN DEL PROCESO DE FORMACION DE HABILIDAD EN LA ASIGNATURA AUDITORIA DE
SISTEMAS DE INFORMACION
El capitulo tiene como objetivo demostrar el grado de importancia en la
formación del estudiante de desarrollar habilidades para obtener su crecimiento
individual y su colaboración de manera productiva en el desarrollo económico
de la sociedad, adecuándose a los cambios fundamentales que se requieren
en las tradiciones, ideas, religiones y cultura de los diferentes seres humanos
que satisfacen su entorno.
El medio globalizado, para estos fines, exige un profesor a la vanguardia de los
acontecimientos. Realizador y motivador del progreso social de los pueblos,
que estimule el razonamiento crítico del individuo ante el mundo, el valor crítico
constructivo, la sociabilidad y la flexibilidad. El educador ha de ser un
orientador constructor de conocimientos, comprometido con el aprendizaje,
creador de conciencia que urge para lograr la armonía del hombre con la
naturaleza para que los manejos de los cambios ambientales contribuyan a la
supervivencia de todos los seres vivos.
La investigación científica permite utilizar métodos y procedimientos lógicos y
efectivos para el proceso docente-educativo basada en concepciones
pedagógicas y didácticas que contribuyan a formar un profesional con las
habilidades de planificar que requieren estos tiempos.
Las habilidades son el contenido de aquellas acciones dominadas por el
hombre, estructuradas en operaciones ordenadas y orientadas a la
consecución de un objetivo, que le permiten a éste interactuar con objetos
determinados de la realidad y con otros sujetos. Y que según A. N. Leontiev
(1981), constituyen un producto del aprendizaje con características específicas
y una manera de regular la actividad del sujeto.
Para los psicólogos, como A. Petrovsky (1984) se define la habilidad como "el
dominio de un complejo sistema de acciones psíquicas y prácticas necesarias
para una regulación racional de la actividad, con ayuda de conocimientos y
hábitos que la persona posee".
Clasificación de las habilidades
La clasificación de las habilidades responde a los diversos criterios asumidos
por distintos autores, en dependencia de sus concepciones sobre las
habilidades. En el libro se asume una clasificación que parte de la
consideración de que las habilidades formando parte del contenido de una
disciplina, caracterizan en el plano didáctico a las acciones que el estudiante
realiza al interactuar con el objeto de estudio o de trabajo. Desde este punto de
vista las habilidades pueden clasificarse en:
1. Habilidades específicas (vinculadas a una rama de la cultura o profesión).
Constituyen el tipo de habilidad que el sujeto desarrolla en su interacción con
un objeto de estudio o trabajo concreto y que en el proceso de enseñanza
aprendizaje, una vez que son suficientemente sistematizadas y generalizadas
se concretan en métodos propios de los diferentes objeto de la cultura que se
configuran como contenido.
2. Habilidades lógicas. Son las que le permiten al hombre asimilar,
comprender, construir el conocimiento, guardan una estrecha relación con los
procesos fundamentales del pensamiento, tales como, el análisis síntesis,
abstracción concreción y generalización. Se desarrollan a través de las
habilidades específicas. Están en la base del desarrollo del resto de las
habilidades y en general de toda actividad cognoscitiva del hombre.
3. Habilidades del procesamiento de la información y comunicación. Son
las que le permiten al hombre procesar la información, donde se incluyen
aquellas que permiten obtener la información y reelaborar la información. Aquí
incluimos aquellas habilidades propias del proceso docente como tomar notas,
hacer resúmenes, así como exponer los conocimientos tanto de forma escrita
como oral.
Entre todos estos tipos de habilidades existen nexos incuestionables, pues las
unas se condicionan a las otras, ellas forman parte de un gran sistema en el
que las habilidades lógicas sirven de soporte. No obstante la clasificación de
carácter general que hemos realizado, en el contexto de la didáctica de la
educación superior, precisamos un tipo específico de habilidad que se forma
en dicho contexto y que forman la base de la actuación del profesional,
estamos hablando de las habilidades profesionales.
Las habilidades profesionales constituyen el contenido de aquellas acciones
del sujeto orientadas a la transformación del objeto de la profesión. (H. Fuentes
1997a). Es el tipo de habilidad que a lo largo del proceso de formación del
profesional deberá sistematizarse hasta convertirse en una habilidad con un
grado de generalidad tal, que le permita aplicar los conocimientos, actuar y
transformar su objeto de trabajo, y por lo tanto resolver los problemas más
generales y frecuentes que se presenten en las diferentes esferas de
actuación, esto es, los problemas profesionales.
Constituyen, por consiguiente, la esencia de la actuación del profesional y
punto de partida del modelo del profesional, y descansan sobre la base de
conocimientos teóricos y prácticos adquiridos por el sujeto y en el resto de las
habilidades antes mencionadas.
Estas habilidades son aportadas fundamentalmente por disciplinas y
asignaturas del ejercicio de la profesión, las que al ser sistematizadas y
generalizadas a lo largo de la carrera, se integran en lo que en nuestra
concepción didáctica se denominan Invariantes de Habilidad Profesional.
Por ejemplo: Para un Auditor Evaluar las evidencias que confirman o refutan
una información emitida por una empresa, para un arquitecto el proyectar, el
diseñar y construir en el objeto de su profesión. Para un farmacéutico,
determinar el régimen posológico de un medicamento. Para un ingeniero,
diagnosticar un problema técnico. Para un profesor, guiar el proceso docente
educativo, entre otras.
Todas estas habilidades que también pueden ser comprendidas como
habilidades específicas son aportadas directamente por disciplinas o
asignaturas propias del ejercicio de la profesión. Las mismas, al ser
sistematizadas, es decir, generalizadas a lo largo de toda la carrera, como
expresábamos antes, le posibilitarán al futuro profesional interactuar y
transformar su objeto de trabajo, a través de la aplicación de conocimientos y
habilidades a un nivel profesional.
La Universidad Apec esta inmersa en la creación de un profesional con una
preparación integral, científica y técnica; con una formación humanística y
social que lo habilite para desempeñarse con los valores requeridos por la
sociedad, acorde a las necesidades del mercado nacional e internacional.
Unos ciudadanos críticos y preparados para un buen desempeño en el
contexto globalizado, donde el conocimiento, la investigación y el aprendizaje
sean los factores del crecimiento y desarrollo del país.
En la formación del pregrado uno de los objetivos principales es lograr la
transformación del estudiante a través del desarrollo de habilidades
estratégicas y tácticas, para la generación de destrezas para obtener como
resultado un profesional con desempeño eficiente y eficaz.
Entre los objetivos se encuentran los siguientes:
1. Educar a través de la instrucción: que permite la transmisión de los
conocimientos y habilidades que desarrolla al estudiante.
2. Formar valores que eleven la calidad de la gestión y cumplir con el
compromiso social de mejorar el nivel de vida de los ciudadanos y así de los
pueblos.
3. Utilizar los avances de la tecnología para la generación de conocimientos, la
información y la comunicación de los mismos. La Tecnología contemporánea
representa un reto a la educación globalizada, es por lo tanto que los
estudiantes deben ampliar su cultura utilizando los medios tecnológicos para
mejorar su desempeño, de ahí que la Universidad ha de seguir siendo
vanguardista en el uso favorable de estas tecnologías y que puedan estar al
alcance del educando.
4. Profesionalización del Personal Docente: Los cambios que se producen en la
sociedad contemporánea influye en el quehacer de las universidades. El
concepto de educación permanente surge por las características del mercado
cambiante, donde los avances exigen cambios de los profesionales en su
forma de hacer y ser y por ende el personal docente tiene que adecuarse a las
necesidades actuales de la sociedad.
Definimos la habilidad como la dimensión del contenido que muestra el
comportamiento del hombre en una rama del saber propio de la cultura de la
humanidad. Es, desde el punto de vista psicológico, el sistema de acciones y
operaciones dominado por el sujeto que responde a un objetivo.
Las habilidades, formando parte del contenido de una disciplina, caracterizan
en el plano didáctico, las acciones que el estudiante realiza al interactuar con
su objeto de estudio con el fin de transformarlo, de humanizarlo. Al analizar a
la habilidad, como acción que es, se puede descomponer en operaciones.
Mientras la habilidad se vincula con la intención, la operación lo hace con las
condiciones, de modo tal que en cada habilidad se pueden determinar
eslabones de la misma u operaciones cuya integración permite el dominio por
el estudiante de un modo de actuación.
Al caracterizar a la habilidad atendiendo a su estructura, además del conjunto
de operaciones que la forman se pueden destacar los aspectos siguientes: al
estudiante, que debe dominar dicha habilidad para alcanzar el objetivo; el
objeto, sobre el que recae la acción del estudiante (el contenido); la orientación
de la acción, que determina la estructura de dicha acción (el método); el
contexto en que se desarrolla; y el resultado de la acción (que no
necesariamente coincide con el objetivo).
Las habilidades de cada disciplina docente podemos clasificarlas, según su
nivel de sistematicidad en: las propias de la ciencia especifica; las habilidades
lógicas, tanto formal como dialéctica, también llamadas intelectuales o
teóricas, las que se aplican en cualquier ciencia, tales como inducción-
deducción, análisis-síntesis, generalización, abstracción-concreción,
clasificación, definición, las de la investigación científica, etcétera. Además, se
presentan las habilidades propias del proceso docente en sí mismo, y de
autoinstrucción, tales como el tomar notas, la realización de resúmenes y de
fichas, el desarrollo de los informes, la lectura rápida y eficiente, entre otros.
Se puede afirmar, entonces, que las habilidades son "educables" en el sentido
en que es posible contribuir a su formación de diversas maneras; se habla, por
ejemplo, de que el conocimiento del proceso a seguir, de las técnicas para
llevarlo a cabo, el acceso a información sobre cómo deben manejarse los
recursos y materiales precisos, la comprensión del problema a resolver,
etcétera, concurren a la formación de las habilidades, y por lo tanto, de las
competencias.
Sin embargo, no se puede afirmar que la formación de una habilidad sea
consecuencia exclusivamente de procesos cognitivos complementados con la
ejercitación en el desempeño de ciertas tareas; el ser humano no es
"compartimentalizado", no se pueden considerar las habilidades como
elementos aislables explicables por sí mismos; es un hecho que las actitudes
del individuo son un factor de suma importancia que está presente en el
proceso mediante el cual se pretende que éste desarrolle una habilidad,
estimulando o inhibiendo los avances en el proceso mencionado; inclusive los
valores que el individuo ha internalizado, lo llevan a establecer prioridades en
su vida que pueden estimular o desestimular el interés por la formación de
determinadas habilidades.
La formación de habilidades tiene además, como nota característica, la
posibilidad de transferencia en el sentido en que una habilidad no se desarrolla
para un momento o acción determinados, sino que se convierte en una
cualidad, en una forma de respuesta aplicable a múltiples situaciones que
comparten esencialmente la misma naturaleza; de allí que se hable de que las
habilidades desarrolladas por un individuo configuran una forma peculiar de
resolver tareas o resolver problemas en áreas de actividad
I.2 ASPECTOS TEORICOS RELATIVOS A LAS HABILIDADES Y AL
PROCESO DE SU FORMACION.
Tomando iniciativas como la expresada por el Dr. Zayas, en la Escuela en la
vida; donde al igual que en los conocimientos, las habilidades más generales
se tienen que formar y desarrollar mediante la actuación conjunta coordinada
de todas las disciplinas docentes que forman parte del plan de estudio.
En una línea de pensamiento similar a la que desarrollamos entre el concepto y
la convicción, podemos plantear que el dominio por el estudiante de las
habilidades va conformando en este sus capacidades, es decir, "el complejo de
cualidades de la personalidad que posibilitan al ser humano el dominio de las
acciones", sin embargo tanto la convicción como la capacidad son
configuraciones complejas de la personalidad que se van conformando en un
todo único de interinfluencias.
Al trabajar con las habilidades es necesario determinar aquellas que resultan
las fundamentales o esenciales o que, en calidad de invariantes, deben
aparecer en el contenido de la asignatura. Estas invariantes son las que
indefectiblemente deben llegar a ser dominadas por los estudiantes y son las
que aseguran el desarrollo de sus capacidades cognoscitivas, es decir, la
formación en la personalidad del estudiante de aquellas potencialidades que le
permiten enfrentar problemas complejos y resolverlos mediante la aplicación
de dichas invariantes.
La tarea consiste en escoger aquellas invariantes de habilidades que
garanticen los modos de actuar propios del egresado que, de acuerdo con su
objeto de trabajo, se concretan en el modelo del egresado. La determinación
de estas invariantes precisa, en buena medida, la estructura de los contenidos
de la asignatura.
Las habilidades más generales o invariantes se forman mediante la articulación
sistémica de otras de orden menor cuya integración posibilita su desarrollo. Es
entonces en la tarea donde se concretan las acciones y operaciones a
realizar en la clase y fuera de ella, es decir los cursitas aprenden ejecutando
las acciones que el docente concibe como concreción de su actividad en la
clase, las cuales se presentan en forma de tarea.
De modo que si realizan de manera frecuente y periódica, bajo
determinadas condiciones, tareas cada vez más complejas, con
diferentes conocimientos por o cuya esencia es la misma, se logrará el
dominio de la habilidad.
El problema relacionado con la formación de habilidades se ha convertido en
uno de los temas cardinales de reflexión en el ámbito educativo. Es
comprensible que en nuestra sociedad contemporánea compleja, dinámica y
cambiante, una simple “transmisión de conocimientos” o lo que es más exacto,
transmisión de información carezca de sentido.
A partir de estas razones es que en los tratados de Didáctica actuales se
consideran los métodos para enseñar a aprender, así como los valores,
componentes esenciales del contenido, “la escuela debe inculcar más el gusto
y el placer de aprender, la capacidad de aprender a aprender, la curiosidad del
intelecto”.
Este propósito de preparar al hombre para la vida aprendiendo a aprender, es
objeto de análisis de un gran número de publicaciones en el campo psicológico
y pedagógico especialmente. Es obvio destacar que tal aspiración no
constituye una pretensión propia de los tiempos modernos, desde épocas
remotas en el campo de la pedagogía se expone la necesidad de que el
alumno no constituya un “depósito de conocimientos”. Lógicamente las
demandas de la sociedad moderna no indican otra alternativa a la institución
escolar.
Una de las formas de abocarse a tales demandas es desarrollando en los
escolares un pensamiento que les permita ser creativos, versátiles y
autónomos. De este modo, podrían adaptarse a las condiciones actuales así
como contribuir a su transformación. La formación de las habilidades
intelectuales le permite al alumno en gran medida educarse para el futuro.
La formación de dichas habilidades que posibiliten al escolar pensar lógica y
dialécticamente es una de las tareas más importantes y a la vez complejas del
maestro contemporáneo. En la práctica escolar y muy a pesar de las
exigencias actuales el proceso de enseñanza-aprendizaje posee en gran
medida un carácter reproductivo. Son innumerables las causas que determinan
la mencionada deficiencia entre éstas se encuentran prioritariamente la
insuficiente claridad conceptual en el campo de acción pedagógica y
psicológica por parte del docente y la no posesión de herramientas que le
permitan desarrollar los niveles de aplicación y creación en sus discípulos.
Se le denomina formación de las habilidades a la etapa que comprende la
adquisición consciente de los modos de actuar, cuando bajo la dirección del
maestro o profesor el alumno recibe la orientación sobre la forma de aprender,
es precisamente en esta etapa donde la base orientadora de la acción (BOA),
fundamentada por N. Talizina ocupa un importante lugar.
En este caso, según su teoría se debe resolver ¿Qué se conoce del objeto?
¿Cómo se presentan las operaciones que hay que cumplimentar? ¿Cuáles son
las condiciones externas en las cuales hay que desarrollar dichas
operaciones?, también se requiere precisar ¿en qué nivel de desarrollo
intelectual se enmarca el alumno?
Se hace referencia a la formación de la habilidad cuando una vez adquiridos
los modos de actuación se inicia el proceso de ejercitación, es decir, de uso de
la habilidad recién formada, de modo que vaya haciéndose cada vez más fácil
de producir o usar. Son indicadores de un buen desarrollo: la rapidez, y
corrección con que se ejecuta la acción.
La separación total entre las citadas etapas resulta prácticamente imposible en
la estructuración de la actividad docente. No obstante, la identificación de sus
características posee un valor metodológico para proyectar las estrategias
acorde con la etapa que predomina.
En detalle minucioso podemos presentar la relación que guardan las
habilidades entre si y con los hábitos en el proceso de su formación. El
profesor al plantearse los objetivos determina en realidad que ejecuciones
debe realizar el alumno. Si el profesor induce al alumno a lograr el mismo
objetivo, por ejemplo, definir un concepto, para el logro de lo cual tiene que
cumplir las mismas tareas (analizar, sintetizar, comparar, abstraer y
generalizar) en diferentes momentos del aprendizaje, entonces el profesor
trabaja por la formación de una habilidad y varios hábitos.
Con otro planteamiento el profesor puede utilizar la misma tarea para lograr
diferentes objetivos y entonces tan sólo obtendría la formación de un hábito. La
dinámica de la estructura de la actuación favorece la formación de habilidades
y hábitos y la transferencia de unas a las otras. Con frecuencia el profesor verá
que el hábito formado en correspondencia con una habilidad determinada, le
es útil para la formación de una nueva habilidad o en la ejecución de otra
habilidad diferente.
Cuando se produce un aspecto facilitador de la formación de los nuevos
hábitos por los ya formados, se habla de la transferencia de hábitos. Cuando
los hábitos anteriormente formados ejercen una influencia negativa sobre el
proceso de formación de uno nuevo, hablamos de interferencia de hábitos.
Cuando son muchas las habilidades y los hábitos y la interacción entre ellos, el
individuo logra una excelente ejecución caracterizada por su precisión y
rapidez. Así, se formó o esta muy cercana la presencia de la capacidad.
En diversas investigaciones pedagógicas se aborda el problema de la
formación de las habilidades en calidad de componentes esenciales del
contenido de enseñanza. En ellas se investiga sobre las estrategias más
eficientes para formarlas y sobre cuándo considerar que las habilidades están
formadas en el nivel que se desea.
Estas son las cuestiones científicas que más se debaten con relación a los
modelos pedagógicos orientados a su formación, de los hábitos y las
capacidades. La asimilación de habilidades está acompañada de procesos
cognoscitivos. Este proceso exige la atención voluntaria y consciente, la
asimilación real del sistema de acciones que la conforman, así como del
conocimiento al cual está asociada. Además, su formación exige de los
alumnos comprender el significado y el valor de estas habilidades y hábitos
para el propio proceso del conocer.
Durante varios años diferentes enfoque en la psicología han considerado que
las habilidades constituyen elementos psicológicos estructurales de la
personalidad, vinculados a su función reguladora-ejecutora, que se forman,
desarrollan y manifiestan en la actividad, asumiendo así, que la teoría de la
actividad es el fundamento ineludible para un adecuado enfoque del problema.
En el proceso formativo son necesarios diferentes tipos de tareas, y son
diversas las clasificaciones y taxonomías que aparecen en la bibliografía.
En el presente trabajo hemos catalogado las tareas según la función que
desempeñan en el proceso formativo y sus eslabones:
Para asegurar las condiciones. Tienen como finalidad crear las
condiciones necesarias para la realización de la acción. Se
presentan tareas que tienen como finalidad la realización de
algunas operaciones de la acción. Sirven para la preparación
individual y son ejecutadas por los cursistas teniendo en cuenta
sus propias necesidades, determinadas en un diagnóstico
previo.
Para orientar y asimilar la habilidad. Permiten presentar al
cursista la habilidad que se desea desarrollar, orientarlos hacia
su sistema operacional e indicadores para evaluar su grado de
desarrollo. Son utilizadas con el propósito de motivarlos de
forma tal que se cree en ellos la contradicción entre lo que
hasta ese momento pueden hacer y lo que deben ser capaces
de llegar a hacer. Para ello el docente puede presenta diversas
situaciones y con la utilización del método de elaboración
conjunta, a través de la utilización de preguntas heurísticas
previamente elaboradas, dirige la atención hacia el sistema de
conocimientos de la disciplina, y al sistema operacional de la
habilidad e indicadores para que tomen conciencia de ellos.
Para dominar la habilidad. Persiguen la realización de la acción
que debe ser dominada como habilidad. Su complejidad estará
en dependencia del tipo de situación. Las tareas que se
incluyen serán ejecutadas por la totalidad de los alumnos
manteniéndose una atención diferenciada a los que no han
logrado satisfacer las condiciones necesarias relativas al dominio
de la acción; en específico, en aquellas tareas cuya complejidad
en ascenso así lo requieran. Como el tiempo del que se dispone
en el aula tiene un límite, la auto-preparación que logre el
cursista es vital. De ahí que el docente deba realizar una
selección de las tareas más significativas, lo cual le permitirá
controlar el cumplimiento del objetivo.
1.3 EVALUACION DIAGNOSTICA DEL TRABAJO RELACIONADO CON LA
FORMACION DE LA HABILIDAD DE AUDITORIA DE SISTEMAS
INFORMÁTICOS EN LA ASIGNATURA AUDITORIA DE SISTEMAS DE
INFORMACIÓN DE LA CARRERA DE INGENIERÍA DE SISTEMAS DE
INFORMACIÓN.
Haciendo un poco de historia, la Universidad APEC es la Institución
primogénita de Acción Pro Educación y Cultura (APEC), fue constituida en
1964 cuando empresarios, comerciantes, profesionales y hombres de iglesia,
deciden crear una entidad sin fines de lucro, gestora de la educación superior
en la República Dominicana.
Dentro de algunos de sus objetivos expone la formación de profesionales a
nivel técnico superior, tecnólogo, grado y post-grado, de acuerdo con las
exigencias nacionales e internacionales de la ciencia y la tecnología; además
de preparar y especializar profesionales en aquellas tecnologías necesarias
para el desarrollo industrial y empresarial.
La misma al arribar a sus 42 años de fundada, ha sido reconocida por
organismos internacionales; considerándola en la lista de las cien mejores
universidades de Centroamérica y el Caribe, según Webometrics Ranking of
Latin American, en los resultados obtenidos en julio del año 2006.
Entre las carreras que se ofertan a nivel de grado en la Universidad APEC. se
encuentran: Administración de Empresas, Mercadotecnia, Administración
Turística y Hotelera, Contabilidad, Publicidad, Ingeniería en Sistemas de
Información (ISI), Ingeniería en Sistema de Computación (ISC), Técnico en
Administración de Software (TAS), Ingeniería Industrial, Ingeniería Eléctrica,
entre otras, agrupadas en escuelas o decanatos.
Los estudiantes de las carreras de informática (ISI, ISC y TAS), pertenecen a la
Escuela de Informática, y al igual que todas las carreras, se rigen por el
pensum diseñado según las exigencias de cada especialidad.
En el caso que nos concierne, se enmarca en la carrera de Ingeniería de
Sistemas de Información (ISI), particularmente en la asignatura Auditoria de
Sistemas de Información (INF-208); donde hemos realizado un diagnostico con
la participación de los estudiantes que cursaron la asignatura, notando
debilidades que no colaboran en fortalecer las habilidades que se pretenden
formar.
Presentamos en detalle la composición del programa de la asignatura Auditoria
de Sistemas de Información, el mismo desarrollado por el cuerpo docente de la
escuela de informática y consta de las siguientes especificaciones:
Código de la materia (INF-208).
Frecuencia semanal de tres horas.
Se imparte en el décimo cuatrimestre de las carrera Ingeniería de
Sistemas de Información y en la carrera de Licenciatura en
Contabilidad
Asignatura prerrequisito (Administración de Centro).
Objetivos generales y específicos.
Contenidos por unidad de aprendizaje.
Aspectos sobre la metodología, expresada en el programa de una
manera muy general.
Diseño de la evaluación, de carácter sumativo, dividido en tres
períodos, los dos primeros tienen un valor de 35 puntos cada uno y
un período final por un valor de 30 puntos, para un total de 100
puntos como máximo y 70 puntos como mínimo, aunque, cada
período evaluativo requiere un valor mínimo de 15 puntos.
Bibliografía, sugiere tres libros: Auditoria, La Función de Informática,
Auditoria en centro de cómputos; ningunos presentan el año de
edición.
En los objetivos generales de la asignatura Auditoria de Sistemas de
Información en la Universidad APEC se tienen los siguientes puntos:
o Proporcionar al estudiante los conocimientos generales sobre los
distintos tipos de auditorias, controles y la relación que estos tienen con
el área de informática.
o Específicamente conocerá los distintos niveles de control de datos,
procedimientos y seguridad en los distintos sistemas computarizados.
o Podrá conocer los más recientes productos de auditoria computacional.
De acuerdo al programa de clase que acabamos de observar, notamos que el
mismo esta mas bien destinado a una parte teórica de conceptos generales en
relación a la Auditoria de Sistemas de Información; donde realmente
entendemos importante la realización de estudios de casos que puedan
apoyarse en técnicas generales y especificas; tales como: entrevistas,
revisiones de documentos, evaluación de riesgos y controles, muestreo
estadístico, verificaciones de cálculos, pruebas de cumplimiento y sustantivas,
herramientas de auditoria y software.
En ese mismo orden, notamos que no existe dentro del programa la realización
de informes de auditorias; siendo esta habilidad fundamental para que este
logre sus objetivos y cumpla con los propósitos de ofrecer los elementos que
permitan al lector conocer, de forma fácil los resultados del trabajo realizado
por los auditores.
El alumno debe conocer e interpretar la regulación de las mejores prácticas de
Auditoria en Informática como administrar los riesgos en tecnología informática,
en base a los organismos nacionales e internacionales.
Indiscutiblemente en el programa de la asignatura Auditoria de Sistemas de
Información, vigente en la escuela de informática de la Universidad APEC no
se declara cómo debe ser el trabajo para contribuir a la formación de las
habilidades antes mencionadas.
El resultado que obtuvimos en una población de 16 estudiantes, al realizar un
diagnostico de la asignatura Auditoria de Sistemas de Información, impartida en
el en el cuatrimestre enero-abril 2007 y otros estudiantes que se encuentran
cursando el monográfico 2007, se obtuvo que:
Aspecto MODA PORCENTAJE
Años de experiencia laboral que tienes en el área de
auditoria de sistemas de información.
2-5 años
No tiene experiencia
29%
57%
Como catalogas el nivel de preparación alcanzado en
la asignatura auditoria de sistemas de información?
Regular
Malo
80%
10%
Como seleccionas el tipo de auditoria conveniente
para un determinado caso?
No sabe 100%
Que partes componen un informe de auditoria de
sistemas de información? No sabe 100%
Cita algunos software de auditoria de sistemas de
información que hayas usado.
No sabe 90%
Menciona las certificaciones que puede obtener un
auditor de sistemas de información.
No sabe 100%
Al cursar la asignatura auditoria de sistemas de
información has encontrado dificultades en:
Método Auditar
Laboratorio
87%
13%
Menciona un ejemplo de caso de auditoria que hayas
realizado.
No han realizado 100%
Clasifica la importancia que le atribuyes al empleo de
una metodología para la formación de la habilidad
para auditar sistemas de información.
Muy importante 100%
Cita factores principales que a tu juicio podrían
mejorar el proceso de formación de la habilidad de
auditar sistemas de información.
Enseñanza casos reales
Trabajos investigativos
90%
10%
De acuerdo a esta evaluación, podemos observar que en nuestra segunda
pregunta, obtuvimos un 80% de la muestra catalogaban el nivel de preparación
alcanzado es regular y un 10% expresa que es malo; por tal motivo, vemos que
el 100% no sabe seleccionar el tipo de auditoria conveniente para un
determinado caso, al igual que 90% desconoce algún software de auditoria.
El estudio evidencio que el 87% de los estudiantes han encontrado dificultades
en el método de auditar y un 10% en los laboratorios. Donde todos los
estudiantes estuvieron de acuerdo en un 100% es que le atribuyen mucha
importancia al empleo de una metodología para la formación de la habilidad de
auditar sistemas de información; y el 90% argumenta que los factores que a su
juicio podría mejorar el proceso de formación de la habilidad, estaría la
enseñanza de casos reales.
Si hacemos referencia a un estudio recientemente publicado por la firma KPMG
de España (Octubre 2006), que decía que el 86% de las organizaciones,
suelen utilizar alguna metodología o marco de referencia estándar; tales como:
COBIT, ISO17799 Y SAS70; estamos ante una situación que debemos de
ponerle mucha atención dentro de nuestra aulas.
La misma también arrojo un dato interesante por los estudiantes de la carrera
de ingeniería de sistemas de computación (ISC) quienes desean que esta
asignatura sea incluida dentro de su pensum, ya que solamente se le aplica a
los estudiantes de la carrera de Ingeniería de Sistemas de Información (ISI); y
ellos entienden que deben de formar esta habilidad, por lo importante que es
dentro de la carrera de sistemas.
CONCLUSIONES DEL CAPÍTULO.
Al concluir este epígrafe se debe resaltar que:
Las habilidades son las destrezas que se requieren para poder aplicar los
conocimientos en situaciones concretas y se orientan hacia la capacitación y
hacia el poder hacer.
Existe una estrecha interacción entre las habilidades intelectuales generales y
las específicas lo que permite afirmar que, junto a estas habilidades de carácter
más general y básico que cobran su matiz peculiar en dependencia del tipo de
tarea en que se utilicen, el estudiante pone en juego recursos muy específicos,
y de hecho especializado, para la realización de sus actividades concretas y la
solución de tareas en las correspondientes áreas.
La habilidad de auditar sistemas informáticos, se incluye entre las habilidades
profesionales, ya que se constituye por otras habilidades que se forman en las
diferentes disciplinas y asignaturas del plan de estudio de la Ingeniería de
Sistemas de Información de la UNAPEC.
“Si educador y educando fueran la misma persona, no habría por que hablar de
uno y de otro, porque uno no sabría del otro”.
Pablo Freire
CAPITULO II: ESTRATEGIA PARA LA FORMACION DE HABILIDADES DE
AUDITAR SISTEMA EN LA ASIGNATURA AUDITORIA DE SISTEMA DE
INFORMACIÓN PARA LOS ESTUDIANTES DE LA CARRERA INGENIERÍA
DE SISTEMAS DE INFORMACION.
Siguiendo con la estructura de nuestra tesis, nos avocamos a presentarle el segundo Capítulo, donde se expondrán las
particularidades de las habilidades de auditar sistema en la asignatura de auditoria de sistema de información para los estudiantes de
la carrera de ingeniería de sistemas de información.
2.1 PARTICULARIDADES DE LA HABILIDAD DE AUDITAR SISTEMAS
INFORMATICOS
En la auditoría de sistemas, el auditor aplica directamente a los mismos sus
herramientas de auditoría o sus ‘prácticas cerebrales’ para comprobar la
solidez de dicho sistema. Incide de forma clara sobre el mismo en la búsqueda
de agujeros de seguridad que explotar de cara a incluirlos en un informe final.
La habilidad de auditar sistemas informáticos tiene una vertiente más técnica y
se centra en la verificación de controles en el procesado de información en
sistemas informáticos, incidiendo sobre los mismos para poder evaluar su
eficacia y poder presentar el correspondiente informe a la alta dirección. El
auditor verifica información en términos de confidencialidad, integridad,
disponibilidad.
Durante las actuaciones de auditoría, procede a examinar y evaluar los
procesos dentro del área de procesado de datos, analizando los recursos
aplicados al procesado y tomar conclusiones sobre los sistemas
computarizados, con la consecuente toma de evidencias que respalden sus
juicios sobre los sistemas.
El desarrollo de una auditoría se basa en la aplicación de habilidades apoyadas
en: normas, técnicas y procedimientos de auditoría. Para nuestro caso,
estudiaremos aquellas enfocadas a la auditoría en informática.
Es fundamental mencionar que para el auditor en informática debe conocer los
productos de software que han sido creados para apoyar su función aparte de
los componentes de la propia computadora resulta esencial, esto por razones
económicas y para facilitar el manejo de la información.
El auditor desempeña sus labores mediante la aplicación de una serie de
conocimientos especializados que vienen a formar el cuerpo técnico de su
actividad. Este adquiere responsabilidades, no solamente con la persona que
directamente contratan sus servicios, sino con un número de personas
desconocidas para él que van a utilizar el resultado de su trabajo como base
para tomar decisiones.
La auditoria no es una actividad meramente mecánica, que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo
son de carácter indudable. La misma requiere el ejercicio de un juicio
profesional, sólido maduro, para juzgar los procedimientos que deben seguirse
y estimar los resultados obtenidos.
Por tal razón, es sumamente importante que este profesional de la tecnología
basado en auditoria de sistemas pueda desarrollar habilidades para reflejar las
deficiencias en el informe de forma clara y entendible por personal no
familiarizado con la actividad informática.
Tener conocimientos sobre Sistemas Automatizados de Información, sobre
política de inversión en recursos informáticos, análisis de riesgos, diseño de
sistemas de control interno y seguridad informática.
Poseer experiencia en análisis de sistemas, bases de datos, redes,
conocimientos elementales de administración y contabilidad, entre otros.
La utilización de equipos de computación en las organizaciones, ha tenido una
repercusión importante en el trabajo del auditor, no sólo en lo que se refiere a
los sistemas de información, sino también al uso de las computadoras en la
auditoría.
Al llevar a cabo auditorías donde existen sistemas computarizados, el auditor
se enfrenta a muchos problemas de muy diversa condición, uno de ellos, es la
revisión de los procedimientos administrativos de control interno establecidos
en la empresa que es auditada.
La utilización de paquetes de programas generalizados de auditoría ayuda en
gran medida a la realización de pruebas de auditoría, a la elaboración de
evidencias plasmadas en los papeles de trabajo.
Según (zavaro-martinez) las técnicas de auditoría Asistidas por Computadora
(CAAT) son la utilización de determinados paquetes de programas que actúan
sobre los datos, llevando a cabo con más frecuencia los trabajos siguientes:
Selección e impresión de muestras de auditorías sobre bases
estadísticas o no estadísticas, a lo que agregamos, sobre la base de los
conocimientos adquiridos por los auditores.
Verificación matemática de sumas, multiplicaciones y otros cálculos en
los archivos del sistema auditado.
Realización de funciones de revisión analítica, al establecer
comparaciones, calcular razones, identificar fluctuaciones y llevar a
cabo cálculos de regresión múltiple.
Manipulación de la información al calcular subtotales, sumar y clasificar
la información, volver a ordenar en serie la información, etc.
Examen de registros de acuerdo con los criterios especificados.
Búsqueda de alguna información en particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las bases de datos del sistema
que se audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que
permiten al auditor, evaluar las múltiples aplicaciones específicas del sistema
que emplea la unidad auditada, el examinar un diverso número de operaciones
específicas del sistema, facilitar la búsqueda de evidencias, reducir al mínimo
el riesgo de la auditoría para que los resultados expresen la realidad objetiva
de las deficiencias, así como de las violaciones detectadas y elevar
notablemente la eficiencia en el trabajo.
Teniendo en cuenta que se hacía imprescindible auditar sistemas informáticos;
así como diseñar programas auditores, se deben incorporar especialistas
informáticos, formando equipos multidisciplinarios capaces de incursionar en
las auditorías informáticas y comerciales, independientemente de las contables,
donde los auditores que cumplen la función de jefes de equipo, están en la
obligación de documentarse sobre todos los temas auditados.
De esta forma los auditores adquieren más conocimientos de los diferentes
temas, pudiendo incluso, sin especialistas de las restantes materias realizar
análisis de esos temas, aunque en ocasiones es necesario que el auditor se
asesore con expertos, tales como, ingenieros industriales, abogados,
especialistas de recursos humanos o de normalización del trabajo para obtener
evidencia que le permita reunir elementos de juicio suficientes.
Esta actividad profesional debe de ir acompañada con normas de auditoria, que
son definidas como requisitos mínimos de calidad relativos a la personalidad
del auditor, al trabajo que desempeña ya la información que rinde como
resultado de este trabajo realizado.
La podemos clasificar en:
Normas personales
Normas de ejecución del trabajo
Normas de información
Las Normas Personales: son cualidades que el auditor debe tener para ejercer
sin dolo una auditoria, basados en sus conocimientos profesionales así como
en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus
sugerencias.
Las Normas de Ejecución del trabajo: son la planificación de los métodos y
procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.
Las Normas de Información: son el resultado que el auditor debe entregar a los
interesados para que se den cuenta de su trabajo, también es conocido como
informe o dictamen.
Dentro de las habilidades que debe de desarrollar este profesional de la
informática, tenemos las llamadas técnicas. Que se definen como “los métodos
prácticos de investigación y prueba que utiliza el auditor para obtener la
evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo
se basa en su criterio o juicio, según las circunstancias”.
Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de
la empresa u organización a ser auditada, que pudieran necesitar una mayor
atención.
Las técnicas procedimientos están estrechamente relacionados, si las técnicas
no son elegidas adecuadamente, la auditoría no alcanzará las normas
aceptadas de ejecución, por lo cual las técnicas así como los procedimientos
de auditoría tienen una gran importancia para el auditor.
Según el Instituto Mexicanos de Contadores Públicos (IMCP) en su libro
Normas y procedimientos de auditoría las técnicas se clasifican
generalmente con base en la acción que se va a efectuar, estas acciones
pueden ser oculares, verbales, por escrito, por revisión del contenido de
documentos y por examen físico.
Siguiendo esta clasificación las técnicas de auditoría se agrupan
específicamente de la siguiente manera:
Estudio General
Análisis
Inspección
Confirmación
Investigación
Declaración
Certificación
Observación
Cálculo
Procedimientos.
Al conjunto de técnicas de investigación aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinión del auditor dentro de
una auditoría, se les dan el nombre de procedimientos de auditoría en
informática.
La combinación de dos o más procedimientos, derivan en programas de
auditoría, y al conjunto de programas de auditoría se le denomina plan de
auditoría, el cual servirá al auditor para llevar una estrategia y organización de
la propia auditoría.
El auditor no puede obtener el conocimiento que necesita para sustentar su
opinión en una sola prueba, es necesario examinar los hechos, mediante varias
técnicas de aplicación simultánea.
En General los procedimientos de auditoría permiten:
Obtener conocimientos del control interno.
Analizar loas características del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditoría.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o
procedimiento de auditoría serán los mas indicados par obtener su opinión.
Análisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y
procedimientos de auditoría, de los cuales destacan el análisis de datos, ya que
para las organizaciones el conjunto de datos o información son de tal
importancia que es necesario verificarlos y comprobarlos, así también tiene la
misma importancia para el auditar ya que debe de utilizar diversas técnicas
para el análisis de datos, basados en (bib-solis-2002), las cuales se describen
a continuación.
Comparación de programas: esta técnica se emplea para efectuar una
comparación de código (fuente, objeto o comandos de proceso) entre la versión
de un programa en ejecución y la versión de un programa piloto que ha sido
modificado en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas: esta técnica emplea un software
especializado que permite analizar los programas en ejecución, indicando el
número de veces que cada línea de código es procesada y las de las variables
de memoria que estuvieron presentes.
Análisis de código de programas: Se emplea para analizar los programas de
una aplicación. El análisis puede efectuarse en forma manual (en cuyo caso
sólo se podría analizar el código ejecutable).
Datos de prueba: Se emplea para verificar que los procedimientos de control
incluidos los programas de una aplicación funcionen correctamente. Los datos
de prueba consisten en la preparación de una serie de transacciones que
contienen tanto datos correctos como datos erróneos predeterminados.
Datos de prueba integrados: Esta técnica muy similar a la anterior, con la
diferencia de que en ésta se debe crear una entidad, falsa dentro de los
sistemas de información.
Análisis de bitácoras: Existen varios tipos de bitácoras que pueden ser
analizadas por el auditor, ya sea en forma manual o por medio de programas
especializados, tales como bitácoras de fallas del equipo, bitácoras de accesos
no autorizados, bitácoras de uso de recursos, bitácoras de procesos
ejecutados.
Simulación paralela: Técnica muy utilizada que consiste en desarrollar
programas o módulos que simulen a los programas de un sistema en
producción. El objetivo es procesar los dos programas o módulos de forma
paralela e identificar diferencias entre los resultados de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a
través del tiempo para verificar su calidad en cuanto a las necesidades de
control, integridad y confidencialidad, este es precisamente el ámbito de esta
técnica, a continuación se muestran los procesos de monitoreo:
• M1 Monitoreo del proceso.
• M2 Evaluar lo adecuado del control Interno.
• M3 Obtención de aseguramiento independiente.
• M4 Proveer auditoría independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de desempeño y la
implementación de sistemas de soporte así como la atención regular a los
reportes emitidos.
Para ello la gerencia podrá definir indicadores claves de desempeño y factores
críticos de éxito y compararlos con los niveles propuestos para evaluar el
desempeño de los procesos de la organización.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los
procesos de TI, para ello se debe monitorear la efectividad de los controles
internos a través de actividades administrativas, de supervisión,
comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en
forma regular.
M3 Obtención de aseguramiento independiente
Incrementa los niveles de confianza entre la organización, clientes y
proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación
independiente de seguridad y control interno antes de implementar nuevos
servicios de tecnología de información que resulten críticos, así como para
trabajar con nuevos proveedores de servicios de tecnología de información,
luego la gerencia deberá adoptar como trabajo rutinario tanto hacer
evaluaciones periódicas sobre la efectividad de los servicios de tecnología de
información, de los proveedores de estos servicios así como también
asegurarse el cumplimiento de los compromisos contractuales de los servicios
de tecnología de información y de los proveedores de dichos servicios.
M4 Proveer auditoría independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores
prácticas de su implementación, lo que se logra con el uso de auditorías
independientes desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deberá establecer los estatutos para la función de
auditoría, destacando en este documento la responsabilidad, autoridad y
obligaciones de la auditoría.
El auditor deberá ser independiente del auditado, esto significa que los
auditores no deberán estar relacionados con la sección o departamento que
esté siendo auditado y en lo posible deberá ser independiente de la propia
empresa, esta auditoría deberá respetar la ética y los estándares profesionales,
seleccionando para ello auditores que sean técnicamente competentes, es
decir que cuenten con habilidades y conocimientos que aseguren tareas
efectivas y eficientes de auditoría informática.
La función de la auditoría informática deberá proporcionar un reporte que
muestre los objetivos, período de cobertura, naturaleza y trabajo de auditoría
realizado, así como también la organización, conclusión y recomendaciones
relacionadas con el trabajo de auditoría informática llevado a cabo.
Análisis de bitácoras.
Hoy en día los sistemas de cómputo se encuentran expuestos a distintas
amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo
que se hacen más complejos, el número de ataques también aumenta, por lo
anterior las organizaciones deben reconocer la importancia y utilidad de la
información contenida en las bitácoras de los sistemas de computo así como
mostrar algunas herramientas que ayuden a automatizar el proceso de análisis
de las mismas.
El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo
generan una gran cantidad de información, conocidas como bitácoras o
archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad,
así como para el auditor.
Una bitácora puede registrar mucha información acerca de eventos
relacionados con el sistema que la genera los cuales pueden ser:
• Fecha y hora.
• Direcciones IP origen y destino.
• Dirección IP que genera la bitácora.
• Usuarios.
• Errores.
La importancia de las bitácoras es la de recuperar información ante incidentes
de seguridad, detección de comportamiento inusual, información para resolver
problemas, evidencia legal, es de gran ayuda en las tareas de cómputo
forense.
Las Herramientas de análisis de bitácoras mas conocidas son las siguientes:
• Para UNIX, Logcheck, SWATCH.
• Para Windows, LogAgent
Las bitácoras contienen información crítica es por ello que deben ser
analizadas, ya que están teniendo mucha relevancia, como evidencia en
aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el análisis de
bitácoras, es importante registrar todas las bitácoras necesarias de todos los
sistemas de cómputo para mantener un control de las mismas.
2.2 FUNDAMENTOS TEORICOS DE LA PROPUESTA DE METODOLOGIA
Al punto de considerar diferentes teorías pedagógicas y psicológicas
relacionadas con la formación de las habilidades permite asumir a la teoría
Histórico cultural de Vigotsky y seguidores. Durante varios años, diferentes
enfoques en la psicología han considerado que las habilidades constituyen
elementos psicológicos estructurales de la personalidad, vinculados a su
función reguladora-ejecutora, que se forman, desarrollan y manifiestan en la
actividad, asumiendo así, que la teoría de la actividad es el fundamento
necesario para un adecuado enfoque del problema.
En este Paradigma Histórico-Cultural la educación tiene un fuerte carácter
desarrollador, pues se interesa por la creación de las capacidades antes que
por la acumulación de conocimientos, con lo cual el estudiante es el centro de
todo el proceso, su fin primordial y su protagonista por excelencia.
El Paradigma Histórico-Cultural provee las bases para una Pedagogía que se
sitúa en la perspectiva del conocimiento posible y mira hacia el futuro, en lugar
de contentarse con reconocer y describir el nivel actual de los estudiantes
según los grupos de edades a que pertenecen.
Esa perspectiva dialéctica que atiende al conocimiento por conquistar, su
raigambre socio-cultural y la manera objetiva en que describe el proceso de
formación de la psiquis superior del individuo, han dado al Paradigma Histórico-
Cultural el prestigio y la aceptación que hoy posee.
Como sustento de la presente propuesta, lo que se sintetiza en los siguientes
presupuestos teóricos y metodológicos:
Aunque para la formación de habilidades el principal instrumento es el
propio sujeto, este es un proceso de participación, de colaboración y
de interacción. En el grupo, en la comunicación con los otros, las
personas desarrollan el compromiso y la responsabilidad, individual y
social, elevan su capacidad para reflexionar divergente y creadora,
para la evaluación crítica y autocrítica, para solucionar problemas y
tomar decisiones. El papel protagónico y activo de la persona no
niega, en resumen, la mediación social.
El proceso de formación de habilidades es una experiencia intelectual
y emocional. Comprende la personalidad como un todo. Se desarrolla
conjuntamente con los conocimientos, valores, capacidades, pero de
manera inseparable, es un proceso de enriquecimiento cognitivo-
afectivo, donde se forman sentimientos, valores, convicciones, ideales,
donde emerge la propia persona y sus orientaciones ante la vida.
Es preciso tomar en cuenta el encargo social y características del
proceso enseñanza-aprendizaje de la educación superior en RD.
Debe lograrse una integración armónica de los componentes del
proceso de enseñanza-aprendizaje en dependencia del contexto en
que se ejecuta.
La Metodología debe reflejar la unidad dialéctica entre los
conocimientos, las habilidades y los valores, es decir trabajar por:
formar los tipos de actividad que incluyen desde el principio un
sistema dado de conocimientos y valores y que aseguren su
aplicación en diversas situaciones.
Asumir que el problema de la formación de las habilidades y
conocimientos asociados a éstas, supone la responsabilidad de
planificar, ejecutar y controlar un proceso de enseñanza-aprendizaje
integral, que en su dinámica garantice la enseñanza, la educación y
el desarrollo del futuro profesional.
El principio metodológico que sustenta la metodología se encuentra en la
estructura de la actividad que permite entender la actividad humana en el
marco de su carácter sistémico y dinámico y cuyo núcleo está en el motivo que
la incita.
De esta forma se pone de manifiesto como las acciones que se despliegan
expresan la célula del comportamiento del hombre y se dirigen en todos los
casos al logro de los objetivos conscientemente planteados, y en función del
motivo que se relaciona con la actividad en cuestión.
La tarea se manifiesta como realización de los objetivos que el estudiante debe
lograr y para lo cual tiene que ejecutar acciones (habilidades). En la medida
que solucione estas tareas se van desarrollando en él habilidades para la
actividad prevista por el profesor.
2.3 PRESENTACION DE LA METODOLOGIA QUE SE DEFIENDE
Tenemos la posibilidad de reconocer una serie de etapas generales, comunes
y estratégicas para los modelos pedagógicos orientados a la formación de
habilidades.
La estructura de la metodología que se propone a continuación, parte de las
etapas que se expresan desde la bibliografía especializada. Estas etapas son:
Planificación y organización
La incorporación de un esquema es un paso decisivo en la formación de
habilidades en los alumnos, y para garantizar resultados calificados en su
aplicación, lo ideal es primeramente introducir cambios en el proceso docente,
que facilite la forma a través de las cuales los estudiantes desarrollaran
habilidades necesarias para elaborar auditorias de sistemas de información
dentro de una entidad determinada.
Apoyándonos en el hecho de que una materia no es un componente aislado,
sino que se encuentra inmersa en un entorno social, educativo y forma parte
de un plan de estudios, presentaremos una propuesta para la mejoría o
rediseño del programa de la asignatura, Auditoria de Sistemas de Información.
Todo lo expresado con anterioridad permiten comprender la necesidad de:
Determinar las habilidades fundamentales que se han de desarrollar en la
asignatura.
Considerar las habilidades precedentes que se deben desarrollar teniendo
en cuenta los problemas profesionales que ha de resolver el futuro
egresado.
En el estudio efectuado al programa de la asignatura se observó que existen
imprecisiones en la formulación de los objetivos y habilidades, ya que no se
enuncian aquellas que con mayor prioridad deben desarrollarse, tampoco se
aprecia la integración entre aquellas de mayor grado de generalidad
(profesionales) y otras de menor grado que la componen. De dicho análisis se
concluyó que:
Los objetivos son deficientes y no orientados a formar habilidades y que
no incluyen el tema principal de la asignatura
El Programa esta basado mas en teorías que en la practica de los
modelos o estándar que esta basada la Auditoria de Sistemas de
Información.
Tampoco crea las condiciones de formar la habilidad en determinar que
tipo de auditoria puede aplicarse.
Al igual que no existe en el programa la realización de informe de
auditoria que pueda realizar el estudiante.
Propuesta de mejoría del programa de la asignatura Auditoria de
Sistemas de Información
En la determinación del sistema de habilidades, con el propósito de
asegurar la adecuación del sistema de conocimientos, es fundamental
considerar que se cumplan los siguientes requisitos.
➢ Estén orientadas hacia las ideas rectoras y permitan revelar o
profundizar en la esencia de los conocimientos.
➢ Se formen apoyándose en las leyes del proceso de asimilación y con la
calidad requerida, en función de los problemas fundamentales que
sustenta la carrera.
➢ Estén orientadas hacia la solución de tareas y la formación de los
modos de actuación profesional que permitan el logro de los objetivos.
De todo lo anterior se determinó:
Incluir dentro de los objetivos generales el gobierno de la tecnología de
la información y la necesidad de la auditoria informática, para
proporcionar mayor peso específico al tema dentro del programa, lo cual
conlleva a incluir la habilidad de Auditar Sistemas de Información como
una habilidad profesional.
Comprender la necesidad de la existencia de la Auditoría de Sistemas
de Información en las organizaciones y los distintos roles que la
Auditoría de Sistemas de Información juega en las mismas.
Conocer los principios de ética y legislación que afectan tanto a la
actuación como auditor en las áreas más importantes de aplicación de
las Tecnologías de la información en los momentos actuales.
Usar códigos de ética profesional para evaluar acciones específicas de
los Sistemas de Información.
Realizar un análisis de un problema simple encontrado en un proceso
de seguimiento y control y determinar los fallos producidos en los
controles establecidos
Elaborar sugerencias a incorporar en un proceso de auditoría y redactar
el correspondiente informe en casos simples
Explicar los diferentes marcos de referencia para la implantación de
dichos controles.
Esbozar y explicar las regulaciones internacionales de la Auditoria de
Sistemas de Información.
De esta manera, el programa se adaptara en ciertas partes, a los principios
actuales de acuerdo a las normativas internacionales que rigen la Auditoria de
Sistemas de Información y el verdadero rol del auditor informático.
Proyección de la ejecución
Para esta etapa, se parte de que una metodología adecuada requiere: tener
en cuenta los conocimientos previos de los estudiantes,
capacidad de motivarlos y la existencia de un plan para ello. Y que dicho plan
debe ser flexible para adaptarse a las posibles contingencias que se van
presentando.
Es necesario planificar un diagnóstico que tenga en cuenta:
los conocimientos e ideas previas que poseen sobre la Auditoria de
Sistemas de Información.
las habilidades básicas para enfrentar las situaciones problémicas,
los intereses cognoscitivos de los estudiantes relacionados con el tema.
Luego se realizará un análisis del contenido para determinar cuáles
contenidos se deben incluir en correspondencia con los resultados del
diagnóstico. A partir de esos contenidos y, la selección, elaboración y rediseño
de los problemas, se ajustarán las formas de organización de la enseñanza del
tema.
➢ Ejecución
MOTIVACIÓN Y COMPRENSIÓN DEL CONTENIDO
Esta etapa tiene como objetivos:
Motivar a los estudiantes para desarrollar las actividades involucradas.
Orientarlos sobre las acciones que deben ejecutar de manera voluntaria.
Orientarlos acerca de los indicadores para evaluar la calidad del trabajo
final.
Se comenzará con un proceso de motivación al alumno, tomando en cuenta
que la motivación es la base de cualquier actividad, y que si esta no se logra,
el resto del proceso tampoco puede lograrse o se afecta su calidad.
En ésta etapa se buscará lograr una disposición positiva para desarrollar las
múltiples actividades en que se verá involucrado el estudiante y una
orientación sobre las ejecuciones que deberá realizar para Auditar Sistemas de
Información.
Aquí se le hará ver al alumno que el conocimiento que él posee es insuficiente
para lograr a tener las habilidades necesarias para auditar sistemas
informáticos, se le creará la contradicción entre lo que sabe y lo que debe
saber, a partir de lo importante que es manejar las habilidades de auditar
sistemas informáticos.
Además, en ésta parte se orientará al alumno, sobre qué hacer y cómo
hacerlo, se le explicará por qué debe realizar determinadas tareas, de los
conocimientos anteriormente adquiridos qué debe estudiar y repasar para la
realización de las acciones y tareas, y por último, cómo puede controlar por sí
mismo la eficiencia de las ejecuciones. Se trazará el objetivo de aprendizaje y
se creará el contexto problémico para generar la necesidad del aprendizaje de
los nuevos contenidos del tema en los estudiantes a través de las siguientes
actividades:
Análisis de situaciones y hechos que revelen las contradicciones de los
esquemas existentes el análisis correcto en la Auditoria de Sistemas de
Información.
Ampliar y profundizar los conceptos, mediante la aplicación de los
conocimientos previos y habilidades básicas por medio de la solución del
problema a través de la estrategia preconcebida llegando a comprender el
contenido.
Aplicando los conocimientos y las habilidades adquiridas, arribará a nuevos
conocimientos y habilidades.
Crear Procedimientos para la Operación y para la Recuperación ante
Desastres. La pista de auditoría es a lo que todo el mundo va a recurrir
cuando se pierdan o comprometan datos de cualquier tipo. Es necesario
crear políticas y procedimientos que gobiernen cómo se accede a las
pistas de auditoría y cómo se recuperan los datos perdidos. Todas las
operaciones de recuperación también deben ser auditadas.
Gestión Centralizada. Hay que asegurar que los procedimientos
operacionales sean controlados desde un solo punto y que los análisis
puedan ser aplicados a todo el registro de la auditoría de datos. Una
plataforma de auditoría de datos debe ser capaz de auditar múltiples bases
de datos en múltiples servidores físicos.
SISTEMATIZACIÓN Y GENERALIZACIÓN DEL CONTENIDO
En ésta parte, se da el momento en que el alumno será capaz de relacionar el
nuevo contenido aprendido con otros que él ya posee. De una forma u otra
será capaz de resumir cuáles son las invariantes funcionales de la acción que
debe dominar.
Luego de solucionar problemas y ejercicios orientados o por interés propio del
estudiante, serán presentados al grupo completo como resultado del trabajo
individual o en grupo, valorándose los resultados por parte del docente.
Control
El proceso de control sirve de mecanismo de información para corregir errores
cometidos o situaciones generadas en el proceso, que necesiten revisión o
volver atrás. El conocimiento de los fallos nos guía para insistir en los aspectos
que resultan más difíciles de comprender y asimilar para los alumnos.
EVALUACIÓN DE LOS RESULTADOS DEL APRENDIZAJE
Para medir la evolución del proceso, se recurrirá la autoevaluación por los
estudiantes de los resultados alcanzados en la etapa anterior, de la clase y
en el desarrollo de todo el tema, haciendo énfasis en el nivel de satisfacción
del objetivo de aprendizaje trazado en la unidad.
El docente realizará las precisiones necesarias de cada aspecto del tema:
• Casos de estudio
• Trabajo en grupo
• Trabajos individuales
• Participación en clase o laboratorio
2.4 CONCRECION DE LA METODOLOGIA EN EL CONTEXTO DE UN
TEMA DE LA ASIGNATURA
Para la demostración de las características de la aplicación de la Metodología
para la formación de la habilidad de auditar sistemas informáticos, que
habíamos definido en el tema anterior, se tomó como escenario particular el
Tema II de la asignatura Auditoria de Sistemas de Información.
De acuerdo a las principales etapas y fases de la referida Metodología, a
continuación se ejemplificara el funcionamiento de cada una de ellas:
Etapa de Planificación y Organización:
Fase 1: Prueba Diagnostica:
Atendiendo inicialmente a la declaración de objetivos que se consigna en el
correspondiente programa de asignatura (que se expone a continuación):
OBJETIVO GENERAL:
Proporcionar al estudiante los conocimientos generales sobre los distintos tipos de auditorias, controles y la relación que estos tienen con el área de informática.
Conocer los distintos niveles de control de datos, procedimientos y seguridad en los distintos sistemas computarizados.
Conocer los más recientes productos de auditoria computacional.
Podemos observar que esta previsto que el estudiante obtenga los
conocimientos necesarios para auditar sistemas informáticos; notamos que el
tema que presenta afinidad a tales efectos es el Tema II de la asignatura
Auditoria de Sistemas de Información, que a continuación presentamos:
Objetivos: Definir las funciones de la auditoria limitada al campo de auditoria de
sistemas informáticos. Donde se mencionaran los componentes de la auditoria
de sistemas y se detallaran los roles que la misma debe cumplir dentro de la
organización.
Observamos que el objetivo que se declara no resulta adecuado para alcanzar
el propósito deseado; presentando el programa insuficiencia para lograr el
objetivo. Ante tal situación, se propone como objetivo corregido el siguiente:
Objetivo: Auditar sistemas informáticos: Estudios de casos.
Con relación al contenido, hay que plantear que para el Tema II el actual
programa contiene lo siguiente:
2.1 Introducción. Conceptos generales
2.2 La auditoria de sistemas
2.3 Clasificación
2.3.1 En el desarrollo de sistemas
2.3.2 Auditoria de sistemas en funcionamiento
2.3.3 Auditoria al centro de cómputos
2.4 La auditoria como rol
2.5 Técnicas de auditorias de sistemas
Este contenido no incluye aspectos fundamentales para que el educando
pueda realmente alcanzar habilidad en auditar sistemas informáticos. Por tal
razón, proponemos una versión corregida del contenido de este programa:
2.1 Conceptos generales Auditoria de Sistemas
2.1.1 Alcance y objetivos de la Auditoria de Sistemas
2.1.2 Función de la Auditoria de Sistemas en las TIC´s
2.1.3 Función del Auditor de Sistemas
2.2 Normas y regulaciones internacionales de la Auditora de Sistemas
2.3 Necesidad de aplicar Auditoria de Sistemas
2.4 Examinar la operación de los componentes de sistemas automatizados
2.4 Metodología de Auditoria de Sistemas
2.4.1 Participar en la revisión del diseño de las aplicaciones informáticas
2.4.2 Evaluar los controles implementados en los sistemas informáticos
2.4.3 Inspeccionar la eficacia, utilidad, fiabilidad y seguridad de los
equipos e información.
2.4.4 Revisar las interfaces con sistemas externos y no automatizados
2.5 Tipos de auditoria que pueden realizarse
2.6 Técnicas de auditoria en cada caso
2.7 Realizar análisis de casos
2.8 Elaborar informe sobre la realidad y las recomendaciones
Las reformas que hemos realizado al contenido del programa parten de una
preevaluación por profesores que imparten la asignatura y otros profesionales
expertos en el área los cuales la consideran de correctas.
A continuación presentamos ejemplos de tareas tipos “Casos” que utilizaremos:
Ejemplo de Caso 1
La empresa Consorcio TDT Comercial, se dedica a la venta de jugadas de números de loterías, la misma cuenta con una infraestructura tecnológica de un servidor principal localizado en la cede central de la empresa, el cual tiene una aplicación que le permite vender números en línea desde sucursales remotas. Este a su vez controla las operaciones que se realizan en 10 sucursales que
trabajan conectadas remotamente al sistema de venta de jugadas, utilizando una conexión VPN. Cada sucursal cuenta con un computador que esta configurado para conectarse con el servidor principal. El sistema solo permite realizar ventas hasta las 8:49p.m., porque a la 8:50p.m. es realizado el sorteo que determinará los números ganadores. En el momento de que la sucursal no pueda conectarse a la central, esta a su vez cuenta con una versión del sistema que esta instalada localmente, pero que solo se puede utilizar cuando no existe una conexión valida con el servidor, dándose este caso se ha confirmado que el usuario se ha puesto de acuerdo con otras personas, para que después de las 8:50 p.m., ya realizado el sorteo y conociéndose los números ganadores, han tramado cambiarle la hora al computador, asignándole a este una hora inferior a la 8:49p.m, para que de esta manera el sistema le permita realizar ventas de jugadas, en la que ellos incluyen los números que han sido determinado como ganadores en el sorteo recientemente realizado; de esta manera logran hacer este fraude y la persona que ha actuado como cómplice es favorecida con un ticket premiado. El administrador de la banca considera que la referida sucursal esta vendiendo demasiados números premiados, por tal razón le solicita a usted una consulta para que le verifique que podría estar pasando.
El estudiante deberá realizar un estudio preliminar del caso, que tipo de técnica
de auditoria aplicar, enunciar un control que hubiera prevenido el problema o
posibilitado su detección y elaborar un informe sobre la realidad y las
recomendaciones.
Ejemplo de Caso 2
XX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a través de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son considerados "clientes especiales", debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes especiales. Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales. El 2 de mayo de 2003 la compañía incrementó sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes
comunes fue actualizado en dicho porcentaje. En lo que atañe a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros –por razones comerciales -recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseñados al efecto, procediéndose a la actualización del archivo maestro. En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas. Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el equivalente a US$50.000. El fraude fue descubierto accidentalmente, despidiéndose al involucrado, pero no se interrumpió la relación comercial.
El estudiante deberá realizar una revisión y evaluación de controles
implementados en una aplicación que está en producción. Indicar hallazgo (si
lo hay), riesgo y recomendación. Además el estudiante deberá realizar un
estudio preliminar del caso, enunciar un control que hubiera prevenido el
problema o posibilitado su detección y elaborar un informe sobre la realidad y las
recomendaciones.
Ejemplo de Caso 3
ODL Dominicana, empresa dedicada a consultarías en informática y recursos
humanos; posee un personal de 130 personas, con una red área local que
tiene 100 PC conectada a través de cable UTP, la misma tiene servidores de
Base de Datos, Correo, Internet y Antivirus; además tiene una conexión VPN
con una entidad bancaria. Al momento de procesar la nomina correspondiente
al mes se ha notado que la aplicación de nomina se demora al momento de
entrar en el sistema; pero se comprueba que existe conectividad en la red y los
demás servidores están arriba.
El estudiante deberá examinar la operación de los componentes de sistemas
automatizados, revisar las interfaces con sistemas externos y no
automatizados.
Las tres tareas tipo casos que fueron utilizadas y que tienen diferentes grados
de complejidad en el desarrollo de la clase en cada una están incluidas:
motivación y comprensión del contenido, sistematización y generalización del
contenido, evaluación y formación de la habilidad de auditar, debemos recordar
que un mismo tipo de tarea puede ser ejecutado en una o más clases, o incluso
fuera de ellas; o por el contrario, en una misma clase se pueden emplear
diversos tipos de tareas, las cuales a su vez pueden servir como instrumentos
para la evaluación de la habilidad de auditar sistemas informáticos.
Ejemplo # 1
Objetivo: Revisión y evaluación de los controles implementados en un sistema.
Para el logro de este objetivo se les instruirá a los estudiantes sobre como
determinar la evaluación del diseño de control, definir los riesgos que pudieran
existir; y los tipos de control y posibles controles hacer implementados en las
aplicaciones.
Caso de estudio:
Contenidos: La empresa Consorcio TDT Comercial, se dedica a la venta de jugadas de números de loterías, la misma cuenta con una infraestructura tecnológica de un servidor principal localizado en la cede central de la empresa, el cual tiene una aplicación que le permite vender números en línea desde sucursales remotas. Este a su vez controla las operaciones que se realizan en 10 sucursales que trabajan conectadas remotamente al sistema de venta de jugadas, utilizando una conexión VPN. Cada sucursal cuenta con un
computador que esta configurado para conectarse con el servidor principal. El sistema solo permite realizar ventas hasta las 8:49p.m., porque a la 8:50p.m. es realizado el sorteo que determinará los números ganadores. En el momento de que la sucursal no pueda conectarse a la central, esta a su vez cuenta con una versión del sistema que esta instalada localmente, pero que solo se puede utilizar cuando no existe una conexión valida con el servidor, dándose este caso se ha confirmado que el usuario se ha puesto de acuerdo con otras personas, para que después de las 8:50 p.m., ya realizado el sorteo y conociéndose los números ganadores, han tramado cambiarle la hora al computador, asignándole a este una hora inferior a la 8:49p.m, para que de esta manera el sistema le permita realizar ventas de jugadas, en la que ellos incluyen los números que han sido determinado como ganadores en el sorteo recientemente realizado; de esta manera logran hacer este fraude y la persona que ha actuado como cómplice es favorecida con un ticket premiado. El administrador de la banca considera que la referida sucursal esta vendiendo demasiados números premiados, por tal razón le solicita a usted una consulta para que le verifique que podría estar pasando.
El estudiante deberá realizar un estudio preliminar del caso, enunciar un control
que hubiera prevenido el problema o posibilitado su detección y elaborar un
informe sobre la realidad y las recomendaciones.
Aquí orientamos a los estudiantes a:
Participar en la revisión del diseño de las aplicaciones informáticas
Inspeccionar la eficacia, utilidad, fiabilidad y seguridad de los equipos e
información.
Revisar las interfaces con sistemas externos y no automatizados.
Evaluar los controles implementados en los sistemas informáticos.
Elaborar informe sobre la realidad y las recomendaciones.
Ejemplo # 2
Objetivo: Enunciar un control que hubiera prevenido el problema o posibilitado
su detección y elaborar un informe sobre la realidad y las recomendaciones.
Caso de estudio:
Contenidos: XX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a través de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son considerados "clientes especiales", debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporción que aquellas facturadas a los clientes especiales. Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automáticamente actualizado; los propios supervisores estipulan qué porción del incremento se aplica a cada uno de los clientes especiales. El 2 de mayo de 2003 la compañía incrementó sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje. En lo que atañe a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros –por razones comerciales -recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseñados al efecto, procediéndose a la actualización del archivo maestro. En la oportunidad, uno de los supervisores acordó con uno de sus clientes especiales no incrementar los precios de venta (omitió remitir el citado formulario para su procesamiento) a cambio de una "comisión’’ del 5% de las ventas. Ningún funcionario en la oficina central detectó la no actualización de los precios facturados a referido cliente razón por la cual la compañía se vio perjudicada por el equivalente a US$50.000. El fraude fue descubierto accidentalmente, despidiéndose al involucrado, pero no se interrumpió la relación comercial.
El estudiante deberá realizar una revisión y evaluación de controles
implementados en una aplicación que está en producción. Indicar hallazgo (si
lo hay), riesgo y recomendación. Además el estudiante deberá realizar un
estudio preliminar del caso, enunciar un control que hubiera prevenido el
problema o posibilitado su detección y elaborar un informe sobre la realidad y las
recomendaciones.
Aquí orientamos a los estudiantes a:
Examinar la operación de los componentes de sistemas
automatizados.
Evaluar los controles implementados en los sistemas informáticos.
Elaborar informe sobre la realidad y las recomendaciones.
Inspeccionar la eficacia, utilidad, fiabilidad y seguridad de los equipos e
información.
Revisar las interfaces con sistemas externos y no automatizados.
Ejemplo # 3
Objetivo: Examinar las operaciones de los componentes de sistemas
automatizados.
Caso de estudio:
Contenidos: ODL Dominicana, empresa dedicada a consultarías en
informática y recursos humanos; posee un personal de 130 personas, con una
red área local que tiene 100 PC conectada a través de cable UTP, la misma
tiene servidores de Base de Datos, Correo, Internet y Antivirus; además tiene
una conexión VPN con una entidad bancaria. Al momento de procesar la
nomina correspondiente al mes se ha notado que la aplicación de nomina se
demora al momento de entrar en el sistema; pero se comprueba que existe
conectividad en la red y los demás servidores están arriba.
El estudiante deberá examinar la operación de los componentes de sistemas
automatizados, revisar las interfaces con sistemas externos y no
automatizados.
Aquí orientamos a los estudiantes a:
Inspeccionar la eficacia, utilidad, fiabilidad y seguridad de los equipos e
información.
Revisar las interfaces con sistemas externos y no automatizados.
Examinar la operación de los componentes de sistemas
automatizados.
2.5 VALORACION POR VIA EMPIRICA DE LA FACTIBILIDAD DE LA PROPUESTA QUE SE OFRECE EN LA TESIS A modo de buscar apoyo de tipo práctico a la Metodología que se ofrece como
producto fundamental del presente trabajo, se procedió a realizar una
valoración del mismo por medio de la técnica de consulta a especialistas en la
materia. Para ello se confeccionó un instrumento de consulta. A continuación
se presenta el ejemplar de dicho instrumento que fue diseñado para aplicar a
modo de encuesta entre un determinado grupo de especialistas.
Estimado(a) consultado(a), la presente encuesta forma parte de una
investigación que se propone perfeccionar la preparación de los estudiantes de
la carrera de Ingeniería en Sistemas de Información de UNAPEC, en relación a
la habilidad que deben alcanzar para auditar sistemas informáticos.
Teniendo en cuenta la información complementaria sobre nuestra propuesta de
trabajo que previamente pusimos a su disposición, le pedimos que nos valore
con sinceridad y objetividad las diferentes cuestiones que a continuación
sometemos a su consideración.
En relación a la Metodología que le proporcionamos a revisar en documento
adjunto a esta encuesta, y que pretende que los estudiantes alcancen la
habilidad de auditar sistemas informáticos, le pedimos nos declare su nivel de
acuerdo con el grupo de aspectos que más abajo le exponemos, clasificando
sus respuestas según la escala que a continuación se le presenta:
1: Fuertemente de acuerdo
2: De acuerdo
3: Indeciso
4: En desacuerdo
5: Fuertemente en desacuerdo
1- La Metodología para que el estudiante aprenda a auditar sistemas
informáticos debe tener en cuenta una etapa de Planificación y
organización que protagoniza el profesor, y otra etapa de
Sistematización y generalización del contenido que protagoniza el
estudiante.
2- La etapa de Planificación debe precisar los objetivos y los contenidos de
las mismas.
3- La Ejecución debe prestar atención personalizada al estudiante y darle
evaluación tanto sistemática (formativa) como final (sumativa)
4- Para alcanzar habilidad de auditar sistemas informáticos, el estudiante
debe recorrer el siguiente grupo de operaciones fundamentales:
a. Examinar la operación de los componentes de sistemas
automatizados.
b. Participar en la revisión del diseño de las aplicaciones
informáticas
c. Evaluar los controles implementados en los sistemas
informáticos.
d. Inspeccionar la eficacia, utilidad, fiabilidad y seguridad de los
equipos e información.
e. Revisar las interfaces con sistemas externos y no automatizados.
f. Elaborar informe sobre la realidad y las recomendaciones.
La cantidad de profesionales a consultar por vía de esta herramienta fue
conformada entre aquellos que cumplan condiciones como las siguientes:
Experiencia mínima de 0-1 años en el área de auditoria de sistemas de
información.
Tener grados científicos de Postgrado, Maestría o Doctorados afines al
área.
Contar con experiencia profesional en el área de auditar sistemas
informáticos.
La cantidad de los consultados que se manejó fue de 12 especialistas.
Como resultado del procesamiento de las pruebas aplicadas a los especialistas, impartida por el autor de esta tesis, en fecha junio 2007, se obtuvo que: ASPECTO MODA PORCENTAJE
Titulaciones con que cuenta el especialista Ingeniero
Maestría
47%
24%
Experiencia profesional en el área de Auditoria de Sistemas. 2-5 años 84%
La metodología para que el alumno aprenda a auditar sistemas
informáticos debe tener en cuenta cuatro etapas (Planificación,
Motivación, Sistematización y Evaluación).
Fuertemente de Acuerdo
De acuerdo
50%
50%
La Planificación: Prueba Diagnostica y Análisis del contenido de
la asignatura.
Fuertemente de Acuerdo
De acuerdo
67%
33%
La Motivación: Motivación para el desarrollo, Creación Contexto
Problémico.
Fuertemente de Acuerdo
De acuerdo
59%
33%
LA SISTEMATIZACION Y GENERALIZACION DEL
CONTENIDO: ESTUDIANTES DEBEN DE RESOLVER CASOS,
ESTUDIANTES ENFRETAN PROBLEMA POR RESOLVER
Fuertemente de Acuerdo
De acuerdo
75%
25%
LA EVALUACION: EVALUACIÓN POR PARES,
ACLARACIONES DEL DOCENTE, PRUEBA DE CONTROL DE
APRENDIZAJE
Fuertemente de Acuerdo
De acuerdo
83%
17%
PARA ALCANZAR HABILIDAD DE AUDITAR SISTEMAS
INFORMATICO, EL ESTUDIANTE DEBE CONOCER LOS
SIGUIENTES PUNTOS:
a. Examinar la operación de los componentes de los sistemas automatizados.
b. Participar en la revisión del diseño de las aplicaciones informáticas.
c. Evaluar los controles implementados en los sistemas informáticos.
d. Inspeccionar la eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
e. Revisar las interfaces con sistemas externos y no automatizados. f. Elaborar informe sobre la realidad y las recomendaciones.
Fuertemente de Acuerdo
De acuerdo
50%
42%
CONCLUSIONES DEL CAPÍTULO:
El problema de la formación de las habilidades y conocimientos
asociados a éstas, supone la responsabilidad de planificar, motivar,
sistematizar y evaluar un proceso de enseñanza-aprendizaje integral,
que en su dinámica garantice la enseñanza, la educación y el
desarrollo del futuro profesional.
Con la metodología ofrecida se puede lograr una motivación
adecuada en los Estudiantes para auditar sistemas informáticos de
acuerdo con los requisitos establecidos en el sistema operacional,
permitiendo la adquisición de conocimientos y habilidades
profesionales, mediante su participación activa en el proceso de
enseñanza aprendizaje, a través de las tareas tipo casos que se
realizaran para el desarrollo de los principales contenidos del tema.
“Los problemas relacionados con la educación no son solamente problemas
pedagógicos. Son problemas políticos y éticos como cualquier problema
financiero.”
Pablo Freire
Recomendaciones:
Mostrar la metodología al Decanato de Informática y a los organismos
correspondientes de la universidad para su valoración corporativa.
El Programa de la asignatura auditoria de sistema de información debe
ser rediseñado a los fines de que al tema de Auditar Sistemas, por ser el
eje transversal de la materia se pueda dedicar el tiempo necesario que
garantice la aplicación correcta de la Metodología.
Estudiar la posibilidad de que la asignatura Auditoria de Sistemas, sea
adicionada en el pensum de la Carrera Ingeniería de Sistemas de
Computación (ISC); por el hecho de que estos no forman esta habilidad
que el mercado laboral le exige y le permitiría ser un egresado mas
completo en el área de la informática.
Crear una segunda asignatura Auditoria de Sistema de Información II, de
tal manera que nos permita desarrollar la habilidad de auditar en un
sentido mas amplio y en ella solo participarían estudiantes de la carrera
de sistemas, excluyendo así a los estudiantes de contabilidad.
Efectuar los procedimientos metodológicos en el proceso de formación
docente-educativo en la auditoria de sistemas de información, con el
objetivo de lograr la formación de habilidades en el estudiante de
Ingeniería en Sistemas de Información que cumpla con las exigencias
del mercado y las demandas de las empresas.
Desarrollar investigaciones en las clases y en toda la carrera, con el
propósito de conseguir un egresado competente que cumpla con el perfil
de profesional que espera la sociedad.
Integrar lo laboral, investigativo y lo académico mediante métodos de
proyectos para que el egresado de la universidad APEC logre una visión
más amplia del mundo empresarial nacional e internacional.
Conclusiones:
De acuerdo a las evaluaciones realizadas mediante los instrumentos de
investigación, existe insatisfacción en el proceso docente educativo por
parte de los estudiantes, los cuales están demandando en la actualidad
un proceso de formación más coherente con las exigencias sociales y
requerimientos de las empresas, mayor vinculación con la práctica, así
como en lo laboral investigativo, mediante el desarrollo de proyectos,
otra forma de culminación de sus estudios y mayor presencia de algunas
materias.
A partir de los conceptos, principios y pasos metodológicos
fundamentados en el desarrollo del trabajo fue posible elaborar una
metodología de formación de la habilidad de auditar sistemas
informáticos en la carrera de Ingeniería en Sistemas de Información, que
integra lo laboral, investigativo y lo académico mediante casos de
estudios y proyectos que respondan a las exigencias profesionales
actuales.
Para obtener un adecuado proceso de formación de la habilidad en
auditar sistemas informáticos en la asignatura Auditoria de Sistemas de
Información de la carrera de ingeniería sistemas de información es
necesario formar a los estudiantes de acuerdo a las exigencias del
mercado laboral que demanda el nivel empresarial.
Es necesario acercar la universidad a la sociedad, a través de las
empresas e iniciar un proceso de investigación educativa mediante
proyectos planteados en clases.
La apreciación por expertos y especialistas que manejan el área de
auditoria de sistemas en nuestro país proporcionó resultados generales
positivos que demuestran su viabilidad en las condiciones concretas en
que se pretende implementar esta metodología.
Entendemos que es de vital importancia un cambio de actitud tanto de
los maestros como en los alumnos, con el fin de alcanzar la unificación
de los elementos primordiales en el proceso de formación de habilidades
en auditar sistemas de información.
BIBLIOGRAFIA Alvira, F. y Garcia Ferrando, M. (1996) El análisis de la realidad social.
Métodos y técnicas de investigación. (2a. Edición) Madrid: Alianza Universidad Textos, 1996. pp.87-109.
Delors, Jacques. La Educación encierra un tesoro. Madrid, España.
Ediciones UNESCO, Santillana. P.4 Wertsch James V.(2001) Vygosky y la formación social de la mente.
Buenos Aires. Paidós. P.226
Fernández Grajales, Nubia. Memorias VIII Congreso Latinoamericano de Auditoría Interna y Administración de Riesgos - CLAIN, La Habana, Cuba, Mayo 19 - 21 de 2004.
Boletín “C” de Normas de Auditoria del Instituto Mexicano
de Contadores Montes de Oca Recio y Machado Ramírez. La Formación y Desarrollo
de Habilidades en el Proceso Docente-Educativo. Universidad de Camagüey. Cuba.
Fuentes González, Calixto Fuentes y Álvarez Valiente, Ilsa Bernardina. Dinámica del proceso docente educativo de la educación superior. Cuba
Solís Montes, Gustavo Adolfo. Reingeniería de la Auditoría
Informática. 2002. Trillas. México. Vigotsky, L. S. 1987 Historia de las Funciones Psíquicas Superiores. La
Habana. Editorial Científico-Técnica Talízina Nina. La Teoría de la actividad de estudio como base de la
didáctica en la Educación Superior, México, Universidad Autónoma Metropolitana, Unidad Kochimilco, 1994, Pág. 25.
Álvarez de Zayas, Carlos M. (1992) Didáctica, La escuela en la vida.
La Habana: Ed. Pueblo y Educación, 1999. Petrovski, A.V. Psicología evolutiva y pedagógica. Moscú. Editorial
Progreso, 1980, p.248. Ramos, Daniel. The Auditor´s Role in IT Governance. http://www.latinbanking.com/memoriascongreso_clain.php
Bayardo, Moreno y Guadalupe, María. Coordinadora de Formación y
Actualización de Docentes de la Secretaría de Educación Jalisco. Profesora Investigadora de la Universidad de Guadalajara.
Navarro, Ruben Edel. El desarrollo de habilidades sociales ¿determinan
el éxito académico?, Boletín informativo electrónico, RedCientifica. Junio 2003. http://www.redcientifica.com/doc/doc200306230601.html
Echenique, A. José. Auditoria en Informática.
Cordoves, Enrique. La Auditoria Informática en Cuba. Una visión desde la Investigación Judicial, Revista de Derecho Informático, ISSN:1681-5726, Edición: Alfa-Redi. No.097, Agosto 2006.
Machado, E. y Montes de Oca, N.: Aprendizaje basado en la solución
de tareas (ABST). Revista Iberoamericana de Educación (ISSN:1681-5653).
Breit, Ana A. Impacto de las Tecnologías de la Información y
Comunicación (TIC) en el ámbito de las unidades de información. IV Reunión de Bibliotecarios del INTA. Mendoza, 12 al 16 de Septiembre de 2005.
Verdún Carrillo, José y Caro Tover, Edmundo. Jornada de
Intercambio UPM de Experiencia de Adaptación a ects. Universidad Politécnica de Madrid. 7 Septiembre 2005.
ISACA, 2004. Disponible en http://www.isaca.org.cl pagina vigente al 16 de
abril de 2004. MAGERIT, 2004. Disponible en www.csi.map.es/csi/pg5m20.htm , página
vigente al 10 de mayo de 2007. Castello Ricardo, 1998. Auditoría en entornos informáticos. 125 páginas.
Editorial Universidad Nacional de Córdoba.
Piattini Mario y del Peso Emilio, 2003. Auditoría Informática, un enfoque
práctico. 659 páginas. Editorial Alfaomega-Rama. ISbn: 958-682-455-1 Serrano A., José. Gestión de Riesgo y La Auditoria de Sistemas.
Conferencia OLACEFS. Gobierno de Chile. Santiago de Chile. Junio 2006.
Top Related