Acta constitutiva del proyecto

PARA GESTIONAR LA AUDITORIA DEL SISTEMA SIMPLERISK EL CUAL

LLEVA EL REGISTRO Y CONTROL DE LOS RIESGOS DE LA PLATAFORMA
TECNOLÓGICA DEL METRO DE CARACAS C.A

Programa Nacional de Formación en Informática (PNFI)

Integrantes del equipo:

Apellidos y Nombres Correo electrónico

Pichardo Macías Juan Carlos jcpima@hotmail.com
Hernández Pérez Karen Edith NERACK_EDITH@HOTMAIL.ES

Enero, 2018

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Índice de Contenido
1. Descripción del Proyecto Socio Tecnológico....................................................1
2. Propósito o justificación del proyecto socio tecnológico................................1
3. Metas y objetivos.................................................................................................1
4. Antecedentes de la comunidad...........................................................................2
5. Marco legal del proyecto socio tecnológico......................................................3
6. Alcances del proyecto socio tecnológico..........................................................4
7. Limitaciones.........................................................................................................5
8. Enfoque del proyecto...........................................................................................5
9. Riesgos de alto nivel............................................................................................9
10. Entregables del proyecto socio tecnológico...................................................9
11. Cronograma de hitos.......................................................................................10

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
1. Descripción del Proyecto Socio Tecnológico
Proyecto para gestionar la auditoria del sistema
Nombre del Proyecto
SimpleRisk el cual lleva el registro y control de los
riesgos de la plataforma tecnológica del metro de
caracas C.A
Comunidad Metro de Caracas C.A

Nombre contacto Dr. Gregorio Morales

comunidad

Teléfono contacto 0414-231-6172

comunidad

Correo electrónico gmorales@metrodecaracas.com.ve

comunidad

Gerente del proyecto Pichardo Macías Juan Carlos

Fecha de inicio del 29-01-2018

proyecto

Fecha de finalización 07-05-2018

del proyecto

2. Propósito o justificación del proyecto socio tecnológico

El propósito de este proyecto socio-tecnológico es evaluar el Sistema SimpleRisk que
lleva el registro y control de los riesgos de la plataforma tecnológica de la organización
Metro de Caracas C.A”, con el fin de identificar, analizar y verificar la disponibilidad,
integridad y disponibilidad de la información que registrar el software.

3. Metas y objetivos
Este proyecto tiene como metas principales, Identificar problemas en el sistema de
Evaluación de Riesgos en la Gerencia General de Tecnología de la Información del
Metro de Caracas C.A. Con el objetivo de mejorar la aplicación, la calidad del software,
seguridad de la base de datos y Redes. Además de esto, generar un informe de gestión
final de auditoría donde se reflejen las evidencias, resultados obtenidos y
recomendaciones a la comunidad.
Objetivo General
 Gestionar la auditoria del sistema SimpleRisk el cual lleva el registro y control de
los riesgos de la plataforma tecnológica del metro de caracas C.A
Objetivos Específicos
 Evaluar y Analizar la estructura de la base de datos.
 Analizar los atributos de calidad del software.

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 1
  Examinar los elementos de la seguridad física y lógica de los datos.
 Definir la gestión de redes.
 Determinar los factores de riesgos que afectan el sistema.

4. Antecedentes de la comunidad
La historia del Metro de Caracas se remonta a casi 50 años. La primera vez que se habló
de un transporte rápido masivo para la ciudad capital fue en 1947, cuando dos empresas
francesas presentaron proposiciones para estudios, proyectos, construcción y explotación
de un sistema Metro, durante un número de años con garantía de interés sobre el capital
invertido. Entre 1965 y 1967 se realizaron nuevamente investigaciones que demostraron
que el problema de transporte en la ciudad no podía ser resuelto sin la incorporación de
un nuevo sistema de transporte masivo. En 1968 se comenzó a elaborar el proyecto del
Metro de Caracas, seleccionándose para ello al consorcio internacional formado por las
empresas Parsons, Brinckerhoff, Quade & Douglas de Nueva York y Alan Voorhees de
Washington D. C., iniciándose los planes para la construcción de la Línea 1 eje Catia -
Petare. En diciembre del mismo año se promulgó el decreto de expropiaciones de los
inmuebles afectados por la construcción del tramo Catia - El Silencio. Las actividades del
proyecto abarcaron todo el año de 1969 y los primeros seis meses de 1970.Durante 1972
y 1973 se avanzó en el anteproyecto de la primera línea, abriéndose a finales de 1973, la
licitación internacional para las obras civiles de la estación Agua Salud.
La Oficina de Proyectos y Obras del Metro de Caracas inició sus actividades en 1976 con
la apertura de la licitación pública internacional de los equipos para la línea Propatria -
Palo Verde. En abril de 1977 pasa a depender del Ministerio del Poder Popular para
Transporte Terrestre, y cuatro meses más tarde, el 8 de agosto, se funda la Compañía
Anónima Metro de Caracas, que a cargo del Dibujante Arquitectónico José Alberto
Centeno Bello se encargó de terminar la Línea 1, tramo comprendido entre Propatria y
Palo Verde.
En la actualidad los tramos y líneas abarcan varios ejes y la extensión de la Gran
Caracas, incluyendo las ciudades satélites de Guarenas, Guatire y Los Teques.
Misión de la C.A. metro de caracas
Transportar ciudadanos y ciudadanas, a través de un Sistema Metropolitano de
Transporte conformado por el Sistema Ferroviario Metropolitano (Metro), el Sistema de
Transporte Superficial (Metrobús), el Sistema Teleférico (Metrocable) o cualquier otra
modalidad, con una organización apegada a los principios de la nueva sociedad socialista,
prestando un servicio integrado, solidario y de calidad, que considere el respeto a la
dignidad del ser humano y contribuya a elevar la calidad de vida de los habitantes de la
Gran Caracas.
Visión de la C.A. metro de caracas
Ser la empresa socialista de servicio público ejemplar en el país, a través de la prestación
de un servicio integrado en la Gran Caracas, solidario y de calidad, con un alto grado de
sensibilidad social.
Tomando en cuenta la información suministrada por el personal de la comunidad del
Metro de Caracas C.A encargados del sistema a auditar observamos que el presente es
elegible para la gestión de auditoría por reunir los requisitos solicitados, a saber

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 2
encontrarse en ambiente de producción además de estar interconectado a todas las
unidades “oficinas y estaciones del metro”. El nivel de prioridad es alto ya que el sistema a
auditar maneja información referente al recurso humano en lo referente a entrada, salida,
vacaciones y permisos, entre otros y es de vital importancia verificar la funcionalidad del
mismo y saber que se puede mejorar.

5. Marco legal del proyecto socio tecnológico

Las bases legales consideradas para este proyecto explican la sustentación jurídica
conformada con las normas, reglas, estatutos, artículos, leyes u otra representación legal
que apoye el Proyecto Socio tecnológico, esto está fundamentado por la Constitución de
la República Bolivariana de Venezuela (1999) específicamente en los artículos 108 y 110.
El Artículo 108 se refiere a:
Los medios de comunicación social, públicos y privados, deben contribuir a la
formación ciudadana. El Estado garantizará servicios públicos de radio, televisión y
redes de bibliotecas y de informática, con el fin de permitir el acceso universal a la
información. Los centros educativos deben incorporar el conocimiento y aplicación
de las nuevas tecnologías, de sus innovaciones, según los requisitos que establezca
la ley.
Citando el Artículo 110 indica que:
El Estado reconocerá el interés público de la ciencia, la tecnología, el conocimiento, la
innovación y sus aplicaciones y los servicios de información necesarios por ser
instrumentos fundamentales para el desarrollo económico, social y político del país, así
como para la seguridad y soberanía nacional. Para el fomento y desarrollo de esas
actividades, el Estado destinará recursos suficientes y creará el sistema nacional de
ciencia y tecnología de acuerdo con la ley. El sector privado deberá aportar recursos para
las mismas. El Estado garantizará el cumplimiento de los principios éticos y legales que
deben regir las actividades de investigación científica, humanística y tecnológica. La ley
determinará los modos y medios para dar cumplimiento a esta garantía.
Ley Orgánica de Ciencia, Tecnología e Innovación (2005), destaca
En su Artículo1 que:
La presente Ley tiene por objeto desarrollar los principios orientadores que en
materia de ciencia, tecnología e innovación y sus aplicaciones, establece la
Constitución de la República Bolivariana de Venezuela, organizar el Sistema
Nacional de Ciencia, Tecnología e Innovación, definir los lineamientos que
orientarán las políticas y estrategias para la actividad científica, tecnológica, de
innovación y sus aplicaciones, con la implantación de mecanismos institucionales y
operativos para la promoción, estímulo y fomento de la investigación científica, la
apropiación social del conocimiento y la transferencia e innovación tecnológica, a fin
de fomentar la capacidad para la generación, uso y circulación del conocimiento y
de impulsar el desarrollo nacional. En consecuencia el Estado promueve y formula
políticas de incentivo para impulsar el desarrollo de la ciencia y tecnología, además
de fortalecer el intercambio internacional en materia tecnológica creando sistemas
innovadores en todos los sectores públicos y privados.

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 3
Ley de Info-gobierno
La Ley de Info-gobierno establece las normas, principios y lineamientos que rigen el uso
de las Tecnologías de Información Libre en los procesos del Estado, con el objetivo de
mejorar la gestión pública, facilitar el acceso de los ciudadanos a la información en sus
roles de contralor y usuario, además de promover el desarrollo nacional que garantice la
soberanía tecnológica. Y para lograr estos objetivos establece mecanismos de
financiamiento para el desarrollo de tecnologías libres y sanciones para aquellos
funcionarios que obstaculicen la adopción del software libre en la administración pública
venezolana. Plan Nacional de Ciencia y Tecnología (ciencia y tecnología para la gente,
Febrero 2001) Establece lineamientos para impulsar el desarrollo del capital humano y de
sus capacidades de creación, absorción y difusión de conocimientos y tecnologías,
constituyendo el eje fundamental de los grandes procesos de cambio.

Ley Especial sobre Delitos Informáticos. (Octubre 2001)

Tiene por objeto la protección integral de los sistemas que utilicen tecnologías de
información, así como la prevención y sanción de los delitos cometidos contra tales
sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de
dichas tecnologías.

Plan de la Patria 2013-2019

1.5. Desarrollar nuestras capacidades científico-tecnológicas vinculadas a las
necesidades del pueblo.

6. Alcances del proyecto socio tecnológico

Este proyecto socio tecnológico servirá de marco para efectuar diversas evaluaciones a
los factores que conforman al Sistema Evaluación de Riesgos midiendo y poniendo de
manifiesto sus ventajas y desventajas con el objetivo de generar un informe final que
sirva referencia real y actualizada del desempeño del sistema comparado contra los
baremos internacionales que regulan el diseño y funcionamiento de los sistemas
informáticos.

7. Limitaciones
Para este momento no se identificaron limitantes en el proyecto.

8. Enfoque del proyecto

Motivado a los requerimientos específicos del Colegio Universitario de Caracas (CUC) el
cual desea una auditoría integral del Sistema escogido, se plantea hacer uso de las
siguientes metodologías:
 NAGAS (Las Normas De Auditoria Generalmente Aceptadas)
Son los principios fundamentales de auditoría a los que deben enmarcarse el desempeño
los auditores durante el proceso de la auditoría. El cumplimiento de estas normas
garantiza la calidad del trabajo profesional del auditor.

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 4
En la actualidad las NAGAS, vigente en nuestro país, Venezuela, son 10, las mismas que
constituyen los (10) diez mandamientos para el auditor y son:
Normas Generales o Personales
o Entrenamiento y capacidad profesional.
o Independencia.
o Cuidado o esmero profesional.
Normas de Ejecución del Trabajo
o Planeamiento y Supervisión.
o Estudio y Evaluación del Control Interno.
o Evidencia Suficiente y Competente.
Normas de Preparación del Informe
o Aplicación de los Principios de Contabilidad Generalmente Aceptados.
o Consistencia.
o Revelación Suficiente.
o Opinión del Auditor.

 PMBOK (Project Management Body of Knowledge)

Es el estándar más ampliamente reconocido para manejar y administrar proyectos, es el
conjunto de conocimientos para dirigir un proyecto y residen en los practicantes y
académicos que los aplican y los desarrollan; son conjunto de conocimientos
extraordinariamente amplio, producto tanto de la experiencia como del estudio y del
desarrollo sistemático. La Guía PMBOK sirve para identificar el subconjunto de
Fundamentos de la Dirección de Proyectos generalmente reconocido como buenas
prácticas, indicando que existe un acuerdo general en que la correcta aplicación de estas
habilidades, herramientas y técnicas puede aumentar las posibilidades de éxito de una
amplia variedad de proyectos diferentes. Esta guía también proporciona y promueve un
vocabulario común para analizar, escribir y aplicar la dirección de proyectos. Este
vocabulario estándar es un elemento esencial de cualquier profesión. Finalmente no se
debe olvidar que el equipo de dirección del proyecto es responsable de determinar lo que
es apropiado para cada proyecto determinado haciendo uso de todas las herramientas y
recursos a su alcance.
 ISO 9126
Es un estándar internacional para la evaluación de la calidad del software. El estándar
está dividido en cuatro partes las cuales dirigen, realidad, métricas externas, métricas
internas y calidad en las métricas de uso y expendido. El modelo de calidad establecido
en la primera parte del estándar, ISO 9126-1, clasifica la calidad del software en un
conjunto estructurado de características y subcaracterísticas de la siguiente manera:
o Funcionalidad
o Adecuación
o Exactitud
o Interoperabilidad
o Seguridad
o Cumplimiento funcional
Francisco Villa, Pueblillo, Joloapan, Veracruz
Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 5
 o Fiabilidad
o Madurez
o Recuperabilidad
o Tolerancia a fallos
o Cumplimiento de Fiabilidad
o Usabilidad
o Aprendizaje
o Comprensión
o Operatividad
o Atractividad
o Eficiencia
o Comportamiento en el tiempo
o Comportamiento de recursos
o Mantenibilidad
o Estabilidad
o Facilidad de análisis
o Facilidad de cambio
o Facilidad de pruebas
o Portabilidad
o Capacidad de instalación
o Capacidad de reemplazamiento
o Adaptabilidad
o Co-Existencia

 ISO 27002
Es un estándar para la seguridad de la información publicado por la International
Organization for Standardization y la Comisión Electrotécnica Internacional. El Estandard
ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la
seguridad de la información a todos los interesados y responsables en iniciar, implantar o
mantener sistemas de gestión de la seguridad de la información. La seguridad de la
información se define en el estándar como "la preservación de la confidencialidad
(asegurando que sólo quienes estén autorizados pueden acceder a la información),
integridad (asegurando que la información y sus métodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la
información y a sus activos asociados cuando lo requieran)". Dentro de cada sección, se
especifican los objetivos de los distintos controles para la seguridad de la información.
Para cada uno de los controles se indica asimismo una guía para su implantación. El
número total de controles suma 114 entre todas las secciones aunque cada organización
debe considerar previamente cuántos serán realmente los aplicables según sus propias
necesidades.
 Las 12 reglas de Codd
Las 12 reglas de Codd son un sistema de reglas propuestas por Edgar F. Codd, del
modelo relacional para las bases de datos, diseñado para definir qué requiere un sistema
de administración de base de datos.
Codd se percató de que existían bases de datos en el mercado las cuales decían ser
relacionales, pero lo único que hacían era guardar la información en las tablas, sin estar
Francisco Villa, Pueblillo, Joloapan, Veracruz
Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 6
estas tablas literalmente normalizadas entonces éste publicó 12 reglas que un verdadero
sistema relacional debería tener aunque en la práctica algunas de ellas son difíciles de
realizar. Un sistema podrá considerarse "más relacional" cuantas más de estas 12 reglas
se apliquen sobre él.
Regla 1: la regla de la información, toda la información en la base de datos es
representada unidireccionalmente, por valores en posiciones de las columnas dentro de
filas de tablas. Toda la información en una base de datos relacional se representa
explícitamente en el nivel lógico exactamente de una manera: con valores en tablas.
Regla 2: la regla del acceso garantizado, todos los datos deben ser accesibles sin
ambigüedad. Esta regla es esencialmente una nueva exposición del requisito fundamental
para las llaves primarias. Dice que cada valor escalar individual en la base de datos debe
ser lógicamente direccionable especificando el nombre de la tabla, la columna que lo
contiene y la llave primaria.
Regla 3: tratamiento sistemático de valores nulos, el Sistema de Gestión de Base de
Datos debe permitir que haya campos nulos. Debe tener una representación de la
"información que falta y de la información inaplicable" que es sistemática, distinto de todos
los valores regulares.
Regla 4: catálogo dinámico en línea basado en el modelo relacional, el sistema debe
soportar un catálogo en línea, el catálogo relacional debe ser accesible a los usuarios
autorizados. Es decir, los usuarios autorizados deben poder tener acceso a la estructura
de la base de datos (catálogo).
Regla 5: la regla comprensiva del sublenguaje de los datos. El sistema debe soportar por
lo menos un lenguaje relacional que:
o Tenga una sintaxis lineal.
o Puede ser utilizado de manera interactiva.
o Soporte operaciones de definición de datos, operaciones de manipulación de
datos (actualización así como la recuperación), seguridad e integridad y
operaciones de administración de transacciones.
Regla 6: regla de actualización, todas las vistas que son teóricamente actualizables
deben ser actualizables por el sistema.
Regla 7: alto nivel de inserción, actualización y borrado, permitiendo el sistema realizar
manipulación de datos de alto nivel, es decir, sobre conjuntos de tuplas. Esto significa que
los datos no solo se pueden recuperar de una base de datos relacional de filas múltiples
y/o de tablas múltiples, sino también pueden realizarse inserciones, actualización y
borrados sobre varias tuplas y/o tablas al mismo tiempo (no sólo sobre registros
individuales).
Regla 8: independencia física de los datos, los programas de aplicación y actividades del
terminal permanecen inalterados a nivel lógico cuando quiera que se realicen cambios en
las representaciones de almacenamiento o métodos de acceso.
Regla 9: independencia lógica de los datos, los cambios al nivel lógico (tablas, columnas,
filas, etc.) no deben requerir un cambio a una solicitud basada en la estructura. La
independencia de datos lógica es más difícil de lograr que la independencia física de
datos.
Francisco Villa, Pueblillo, Joloapan, Veracruz
Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 7
Regla 10: independencia de la integridad, las limitaciones de la integridad se deben
especificar por separado de los programas de la aplicación y se almacenan en la base de
datos. Debe ser posible cambiar esas limitaciones sin afectar innecesariamente las
aplicaciones existentes.
Regla 11: independencia de la distribución, la distribución de las porciones de la base de
datos a las varias localizaciones debe ser invisible a los usuarios de la base de datos. Los
usos existentes deben continuar funcionando con éxito:
o Cuando una versión distribuida del SGBD se introdujo por primera vez
o Cuando se distribuyen los datos existentes se redistribuyen en todo el sistema.
Regla 12: la regla de la no subversión si el sistema proporciona una interfaz de bajo nivel
de registro, a parte de una interfaz relacional, que esa interfaz de bajo nivel no se pueda
utilizar para subvertir el sistema, por ejemplo: sin pasar por seguridad relacional o
limitación de integridad. Esto es debido a que existen sistemas anteriormente no
relacionales que añadieron una interfaz relacional, pero con la interfaz nativa existe la
posibilidad de trabajar no relacionalmente.
 Normas formales
Las formas normales (NF) proporcionan los criterios para determinar el grado de
vulnerabilidad de una tabla a inconsistencias y anomalías lógicas. Cuanta más alta sea la
forma normal aplicable a una tabla, menos vulnerable será a inconsistencias y anomalías.
Cada tabla tiene una "forma normal más alta" (HNF): por definición, una tabla siempre
satisface los requisitos de su HNF y de todas las formas normales más bajas que su HNF;
también por definición, una tabla no puede satisfacer los requisitos de ninguna forma
normal más arriba que su HNF.
Las formas normales son aplicables a tablas individuales; decir que una base de datos
entera está en la forma normal n es decir que todas sus tablas están en la forma normal
n.
Las bases de datos relacionales actuales, a menos que sean para fines muy específicos,
tratan de satisfacer las normas formales desde de la primera (1NF) hasta la BCNF
(Coyce-Codd Normal Form).

9. Riesgos de alto nivel

Descripción del Acción de Acción de
Impacto
Riesgo Mitigación Contingencia

Acontecimientos
Hacer entrega
políticos que Replantear la
del Acta
puedan afectar el planificación del
Constitutiva y
tiempo proyecto ALTO
Continuar con la
establecido para conjuntamente con
entregas del
la elaboración del la comunidad
proyecto.
proyecto

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 8
10. Entregables del proyecto socio tecnológico
 Solicitud de Propuesta
 Carta de Postulación
 Carta de Presentación
 Carta de Compromiso
 Acta de Satisfacción del Proyecto
 Acta de Cierre de Proyecto

11. Cronograma de hitos

Hitos Fecha
Carta de Postulación, Carta de Presentación, Planilla de
solicitud de carta de postulación, Carta de Compromiso
Acta Constitutiva
EDT (Estructura de Despliegue de Trabajo)
Plan de Ejecución.
Informe de gestión de Base de Datos.
Atributos de calidad e Indicadores de software

Francisco Villa, Pueblillo, Joloapan, Veracruz

Tel. Cel.: (044) 222 572 9933
E-mail: NERACK_EDITH@HOTMAIL.ES
Pá gina 9