auditoría basada en isoiec 17799 para la gestión de seguridad de las tecnologías de información...

Facultad de Ingeniería

Escuela Profesional de Ingeniería de Sistemas

Auditoría basada en ISO/IEC 17799 para la gestión de

seguridad de las Tecnologías de Información en la

Universidad César Vallejo - Piura.

Tesis para obtener el Título Profesional de

Ingeniero de Sistemas

Autor

Marco Antonio Riega Reto

Asesor

Ingeniero Juan Miguel Espinoza Saucedo

PIURA – PERÚ

2010

Auditoría basada en ISO/IEC 17799 para la gestión de


Universidad César Vallejo - Piura.

AutorMarco Antonio Riega Reto

AsesorIngeniero Juan Miguel Espinoza Saucedo

Jurado

Ingeniero Noelia Saavedra Nizama

Ingeniero Aldo S. Pereda Castillo

Ingeniero Elmer Chunga Zapata

Resumen

La Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de

Información en la Universidad César Vallejo – Piura, tiene como objetivo principal la evaluación de

la gestión de seguridad de las T.I. Hasta el momento, en la Oficina de Tecnologías de Información

(OTI) de la UCV-Piura, órgano encargado de administrar las T.I., no se ha desarrollado actividad

alguna de control (auditoría) relacionada a sistemas y/o tecnologías de información, situación que

no le permite a la OTI conocer con certeza la eficiencia y eficacia que aporta para la

implementación, administración y actualización de las T.I. en la UCV-Piura. Ante el hecho antes

descrito surge la necesidad de evaluar la gestión de seguridad de las T.I., es por ello la decisión

de plantear y desarrollar esta tesis, utilizando la metodología COSO como base para la auditoría

en la evaluación del Control Interno.

El contenido de esta tesis consta de siete capítulos, los cuales se describen a continuación:

Capítulo I: Marco Metodológico, donde se realiza un análisis de la realidad problemática,

planteando tanto el objetivo general como los específicos, la hipótesis, la identificación de las

variables y el diseño de la ejecución.

Capítulo II: Marco Referencial, en este capítulo se realiza un análisis de las definiciones

relacionadas con la Auditoría y las Tecnologías de Información desde los diferentes puntos de

vista.

Capítulo III: Desarrollo de la Investigación trata sobre la Metodología y se centra en el análisis y

desarrollo de una solución acorde a las necesidades.

Capítulo IV: Discusión de Resultados, los cuales se interpretan a través del análisis estadístico del

Pre Test y Post Test de cada uno de los cinco indicadores planteados.

Capítulo V: Conclusiones y recomendaciones, aquí es donde se da un alcance de los objetivos y

metas logradas con el desarrollo de la presente tesis, así mismo tenemos las sugerencias que se

deben ejecutar para que el trabajo desarrollado sea un instrumento eficaz de solución de

problemas en la empresa.

Capítulo VI: Referencias Bibliográficas, de los libros y sitios web de donde se extrajo la

información.

Capítulo VII: Anexos, donde se encuentra los documentos que sustentan el desarrollo de la

presente tesis, como es el caso de los papeles de trabajo.

Índice General

CAPITULO I:

MARCO METODOLÓGICO.............................................................................................................9

1.1 EL PROBLEMA..................................................................................................................... 10

1.1.1 Realidad Problemática....................................................................................................10

1.1.2 Antecedentes del Problema............................................................................................12

1.1.3 Formulación Interrogativa del Problema.........................................................................13

1.1.4 Justificación de la Investigación.....................................................................................13

2.1.5 Limitaciones de la Investigación.....................................................................................14

1.2 OBJETIVO GENERAL...........................................................................................................14

1.2.1 Objetivos Específicos.....................................................................................................14

1.3 HIPÓTESIS........................................................................................................................... 14

1.4 VARIABLES........................................................................................................................... 15

1.4.1 Variables Independiente................................................................................................15

1.4.2 Variable Dependiente....................................................................................................15

1.4.3 Variable Interveniente....................................................................................................15

1.5 DISEÑO DE EJECUCIÓN.....................................................................................................15

1.5.1 Población y Muestra.......................................................................................................15

1.5.2 Técnicas e instrumentos, fuentes e Informantes............................................................15

1.5.3 Formas de Análisis e Interpretación de Resultados........................................................16

CAPITULO II:MARCO REFERENCIAL...........................................................................................17

2.1 MARCO TEÓRICO REFERENCIAL......................................................................................18

2.2 MARCO CONCEPTUAL........................................................................................................34

CAPITULO III:DESARROLLO DE LA INVESTIGACIÓN.................................................................35

3.1 PLANIFICACIÓN DE LA LAUDITORIA.................................................................................36

3.1.1 Determinación del Objetivo y Alcance de la auditoría.....................................................36

3.1.2 Actividades realizadas en la Auditoría............................................................................36

3.1.3 Análisis del ambiente a Auditar y del entorno Auditable.................................................36

3.1.4 Determinación de los recursos de la Auditoría Informática.............................................36

3.2 EJECUCIÓN DE LA AUDITORÍA – METODOLOGÍA COSO BASADA EN ISO/IEC 17799.37

I EL ENTORNO DE CONTROL...............................................................................................37

II LA MEDICIÓN DE RIESGOS...............................................................................................37

III EL CONTROL DE ACTIVIDADES.......................................................................................37

IV LOS SISTEMAS DE COMUNICACIÓN Y LOS SISTEMAS DE INFORMACIÓN................38

V EL SISTEMA DE MONITOREO...........................................................................................38

3.3 SEGUIMIENTO.....................................................................................................................38

3.3.1 Revisión de los papeles de trabajo y desarrollo de las deficiencias...............................38

3.3.2 Elaboración de la Carta de Introducción correspondiente al Informe final......................38

3.4 INFORME.............................................................................................................................. 38

3.4.1 Elaboración y presentación del Informe..........................................................................38

CAPITULO IV:DISCUSIÓN DE RESULTADOS..............................................................................39

CAPITULO V:CONCLUSIONES Y RECOMENDACIONES............................................................57

CAPITULO VI:REFERENCIAS BIBLIOGRÁFICAS.........................................................................62

CAPITULO VII:ANEXOS................................................................................................................. 65

- ANEXO N° 01 : CRONOGRAMA DE LA TESIS

- ANEXO N° 02 : INDICADORES DE LA TESIS

- ANEXO N° 03: FORMATO DE LAS GUÍAS DE OBSERVACIÓN.

- ANEXO N° 04 : FORMATO DEL PAPEL DE TRABAJO

- ANEXO N° 05: FORMATO DE DEFICIENCIA PARA LA AUDITORÍA BASADA EN ISO/IEC

17799 PARA LA GESTIÓN DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN EN

LA UNIVERSIDAD CÉSAR VALLEJO - PIURA.

- ANEXO N° 06: RECURSOS, MATERIALES, PRESUPUESTO Y FINANCIAMIENTO DE LA

TESIS

- ANEXO N° 07: FORMATO DE LA SOLICITUD DE DOCUMENTACIÓN.

- ANEXO N° 08: FORMATO DE LA ENTREVISTA DE USUARIO.

- ANEXO N° 09: FORMATO DE EVALUACIÓN DEL CUMPLIMIENTO DE LAS FUNCIONES DE

LAS ÁREAS DE LA OTI.

- ANEXO N° 10: FORMATO DE LA EVALUACIÓN DEL PLAN OPERATIVO.

- ANEXO N° 11: FORMATO DE LA EVALUACIÓN DEL ÁREA DE LA OTI.

- ANEXO N° 12: FORMATO DE LA EVALUACIÓN AL ÁREA DE REDES.

- ANEXO N° 13: FORMATOS DE LAS EVALUACIÓNES AL ÁREA DE DESARROLLO

- ANEXO N° 14: FORMATO DE LA EVALUACIÓN AL ÁREA DE SOPORTE TECNICO.

- ANEXO N° 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.

- ANEXO N° 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS ÁREAS

DE LA OTI.

- ANEXO N° 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.

- ANEXO N° 18: PAPELES DE TRABAJO.

- ANEXO N° 19: INFORME FINAL.

- ANEXO N° 20: CONSTANCIA DE LA INSTITUCIÓN.

- ANEXO N° 21: CONSTANCIA DE RECEPCIÓN DE LA SOLICITUD DE DOCUMENTACIÓN.

Índice de figuras, cuadros, tablas y gráficos.

FIGURA Nº 02: Organigrama Estructural de la Oficina de Tecnologías de Información.................12

CUADRO Nº 01: Áreas de la OTI y su número de trabajadores......................................................15

FIGURA Nº 01: Organigrama Estructural de la Universidad Privada César Vallejo – Piura............22

FIGURA Nº 03: Entorno actual de las T.I........................................................................................27

CUADRO N° 02: Comparación de las Metodologías.......................................................................33

Cuadro N° 03: Resultado ITEM 1....................................................................................................40

Gráfico N° 01: Resultado ITEM 1....................................................................................................40















Cuadro N° 11: Resultado ITEM 09..................................................................................................53

Gráfico N° 09: Resultado ITEM 09..................................................................................................53





FIGURA Nº 04: Cronograma de la Tesis.........................................................................................67

CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de

seguridad de las T.I. en la UCV - Piura. (continua)....................................................................69-72

Introducción

Las sociedades avanzadas de fines del siglo XX son denominadas frecuentemente sociedades de

la información, pues el volumen de datos que es procesado, almacenado y transmitido es

inconmensurablemente mayor que a cualquier época anterior. Actualmente, las tecnologías y la

información son medios o recursos de poder, por ello las organizaciones la valoran mucho.

Las Tecnologías de la Información están presentes en todas las áreas de las organizaciones. Esta

implantación generalizada de T.I se ha realizado en muchos casos con escasa planificación, en

parte porque los conceptos necesarios no estaban suficientemente desarrollados. Por lo tanto, se

hace necesario mejorar la planificación de futuras implementaciones, la compatibilidad entre

sistemas y la organización del personal y de la empresa.

En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la

información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una

considerable cantidad de recursos en personal, equipos y tecnología, además de los costos

derivados de la posible organización estructural que muchas veces conlleva la introducción de

estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de

efectividad. Por tanto, el propósito a alcanzar por una organización en la que se realizan auditorías

de sus Tecnologías de Información, es asegurar que sus objetivos estratégicos son los mismos

que los de la propia organización y que los sistemas de información prestan y aseguren el apoyo

adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.

La Universidad César Vallejo – Piura por estar en constante desarrollo hace uso de diferentes

Tecnologías de Información, las cuales se apoyan en los procesos que se mantienen y que

generan información sobre la que se trabaja internamente, es entonces necesario proteger ésta

crítica y valiosa información, mediante mecanismos de seguridad eficientes y valederos, por lo

antes indicado, es que he llevado a cabo la Auditoría basada en ISO/IEC 17799 para la gestión

de seguridad de las Tecnologías de Información, para evaluar: los controles, estrategias y los

activos de la organización, manteniendo y fortaleciendo confidencialidad, integridad y

disponibilidad de los datos y tecnología, teniendo en cuenta las responsabilidades que debe

asumir cada uno de los colaboradores de la UCV Piura..

CAPÍTULO I

MARCO METODOLÓGICO

Escuela de Ingeniería de Sistemas

1.1 EL PROBLEMA.

1.1.1 Realidad Problemática.

La Universidad César Vallejo S.A.C. como institución de educación superior universitaria al

crear la filial Piura busca formar profesionales debidamente instrumentados en la ciencia, en la

tecnología y con sólida formación humanística, que es la demanda de una calidad en cada una

de las carreras que asume desarrollar como compromiso académico y su responsabilidad con

la sociedad que apuesta por esta universidad. (UCVPIURA 2002)

El órgano encargado de administrar las Tecnologías de Información es la Oficina de

Tecnologías de Información o conocido por sus siglas como OTI, el cual es un órgano de apoyo

a las labores administrativas de las distintas áreas de la Universidad.

Entre las labores desempeñadas por la OTI tenemos:

El desarrollo y soporte de sistemas de información para agilizar las actividades que se

realizan en la Universidad diariamente.

El diseño, implementación, administración y auditoría de las redes de comunicación de la

Universidad.

La instalación, configuración y mantenimiento de los servicios de internet.

La planificación, organización, dirección y supervisión de las actividades de mantenimiento

integral de los equipos de tecnología de comunicación y equipos de cómputo.

La programación y desarrollo de diversos cursos informáticos acorde con los avances

tecnológicos.

Elaboración de proyectos tecnológicos que permitan mejorar el servicio brindado a nuestros

alumnos.

Elaboración de reportes a nivel operacional y gerencial como apoyo en la toma de

decisiones dentro de la Institución.

Capacitación del personal para el manejo de los diversos sistemas operacionales.

Problemática actual:

Carece de un Plan Estratégico de Tecnologías de Información (PETI).

La OTI no posee la documentación de los sistemas de información implementados en la

UCV Piura, como: Manuales de usuario y Manuales Técnicos.

No cuenta con auditoría previa de T.I.

No existe una oportuna respuesta a los requerimientos de tecnologías de información,

solicitados a la sede de Trujillo.

Parte del hardware con el que cuenta corresponde a la generación de los equipos que

cuentan con procesadores Pentium Celeron, Pentium III y Pentium IV, lo que generalmente

provoca lentitud en el procesamiento de la información, afectando el rendimiento y

productividad del colaborador.

Auditoría basada en ISO/IEC 17799 para la gestión 10 Riega Reto de seguridad de las T.I. en la UCV - Piura.


La red de computadoras de la UCV Piura cuenta con equipos de comunicaciones (switch y

router) de diferentes marcas, lo cual dificultad y limita la administración y seguridad de la

red.

No se cuenta con Plan de Recuperación de Tecnologías de Información para los diferentes

procesos que realizan sus áreas que lo integran.

Carece de una administración y distribución estratégica de los equipos tecnológicos, de

acuerdo a las funciones y necesidades de los usuarios.

No se ha implementado formalmente algún procedimiento, norma o estándar para efectuar

los trabajos relacionados a la implementación y mantenimiento de cableado estructurado de

alguna red.

La Oficina de Tecnologías de Información no cuenta con señalizaciones básicas de

seguridad.

No cuentan con manuales de usuario de los sistemas informáticos.

Las áreas de: redes, soporte técnico y desarrollo no cuentan con manuales de procesos y

procedimientos.

El Data Center no cumple con requerimientos mínimos como son:

Sensores de movimiento, apertura, fuego y temperatura.

Control de acceso.

Sistema o equipo contra incendio.

Estandarización del cableado.

Etiquetado del cableado.

Aire acondicionado de precisión.

Extintores.

Luces de emergencia.

Circuito Cerrado de Televisión.

La Oficina de Tecnologías de Información no cuenta con planes de seguridad de las T.I.

El personal de soporte técnico no cuenta con capacitaciones que permitan fomentar el

desarrollo de capacidades en aspectos técnicos como: reparación y mantenimientos de

equipos como: PC’s de escritorio, laptop y Cañones multimedia.



FIGURA Nº 02: Organigrama Estructural de la Oficina de Tecnologías de Información.Fuente: UCVPIURA (2009)

1.1.2 Antecedentes del Problema.

Antecedentes Internacionales

SIERRA & GARRIDO (2004) desarrollaron la tesis Análisis comparativo entre el enfoque

tradicional y los enfoques modernos de evaluación y mejora del control interno

(Informes COSO, COCO y COBIT) en las organizaciones. Universidad de Carabobo.

Facultad de Ciencias Económicas y Sociales

Se ha considerado citar esta tesis por el aporte que brinda del análisis comparativo entre el

enfoque tradicional y los enfoques modernos de evaluación y mejora del control interno

(Informes COSO, COCO y COBIT) en las organizaciones.

VARGAS (2002) desarrolló la tesis Auditoría de Sistemas, en la Universidad Católica

Boliviana San Pedro.

Lo más resaltante de esta investigación es que representa la conclusión de los estudios

realizados en el campo de la Auditoría de Sistemas. El resultado del trabajo es la propuesta de

una metodología para realizar una auditoría en informática, que profundiza de manera

específica en el área de auditoría de sistemas de información.

BORGUELLO (2001) desarrolló la tesis Seguridad Informática, Sus implicancias e

Implementación, en la Universidad Tecnológica Nacional.

El autor ha considerado tomar como referencia esta investigación ya que desarrolla un estudio


JEFATURA DE LA OFICINA DE

TECNOLOGÍAS DE INFORMACIÓN

ÁREA DE REDES ÁREA DE DESARROLLO ÁREA DE SOPORTE TÉCNICO

SOPORTE HW/SW

SOPORTE ELÉCTRONICO

ASISTENTE ADMINISTRATIVA


completo del estado actual y futuro posible de la Seguridad Informática, además brinda un

completo plan de estrategias y metodologías de Seguridad Informática.

Antecedentes Nacionales

FIGUEROA (2003) desarrolló la Auditoría de Seguridad, en la Universidad Nacional José

Faustino Sánchez Carrión. Facultad de Ingeniería.

Es de vital importancia citar esta tesis debido al aporte que brinda como guía en los

cuestionarios y encuestas que se debe realizar para el desarrollo de la evaluación de

hardware, aplicaciones del software y plan de contingencia y recuperación.

MAMANI, AROHUANZA QUINONEZ, MUNOZ & POCOHUANCA (2004) desarrollaron la

Auditoria Informática a la Municipalidad Provincial Mariscal, en la Universidad José Carlos

Mariátegui. Facultad Ingeniería de Sistemas e Informática.

El aporte que brinda esta auditoría al trabajo de investigación es ilustrar sobre la aplicación de

las Normas Nacionales, el alcance, objetivos, cronograma, documentos a utilizar, metodología

de investigación, Informe Final y las respectivas conclusiones del caso.

NAJARRO & FIGUEROA (2005) desarrollaron la tesis Planeamiento Estratégico de

Tecnologías de Información de La Escuela Superior Privada de Tecnología-SENATI, en la

Universidad Nacional Mayor de San Marcos. Facultad de Ciencias Matemáticas.

Se ha considerado citar esta tesis debido al aporte que brinda sobre las características de las

problemáticas organizacionales, la situación con respecto a la competencia a través de un

Planeamiento Estratégico de Tecnología de Información (PETI) y las recomendaciones

sugeridas del caso a la Escuela Superior Privada de Tecnología-SENATI.

1.1.3 Formulación Interrogativa del Problema.

¿La Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las Tecnologías de

Información en la Universidad César Vallejo – Piura?.

1.1.4 Justificación de la Investigación.

Justificación Científica: La presente investigación de auditoría basada en ISO/IEC 17799

para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo

– Piura es una investigación científica ya que se apoya en el método científico cumpliendo con

cada uno de sus procesos, también dejando un precedente para futuros investigadores que

deseen desarrollar una investigación que tenga relación con ésta.

Justificación Tecnológica: Para la Universidad César Vallejo-Piura la ejecución de esta

Auditoría basada en ISO/IEC 17799 permitirá la mejora de la gestión de la seguridad de las

Tecnologías de Información así también con esta investigación se dará cuenta de la

importancia de los Sistemas de Información y la importancia de la mismas en el uso de las

organizaciones.



Justificación Organizacional: Hoy en día las empresas necesitan y dependen cada vez más

de los Sistemas de Información, se tiene que poner mayor énfasis en el control de la

información y de las herramientas tecnológicas utilizadas las cuales son el punto de partida

para el buen funcionamiento y crecimiento de la organización.

Justificación del Investigador: La realización del presente proyecto de investigación ayudará

a conseguir el objetivo que es la realización de la Auditoría basada en ISO/IEC 17799, además

de ser requisito indispensable para obtener el título de Ingeniero de Sistemas.

2.1.5 Limitaciones de la Investigación.

No existen muchos antecedentes de investigación respecto al tema.

Otra limitación que se presentó a lo largo del desarrollo de la tesis es la limitación de tiempo

con que se contaba para entrevistar a los usuarios de las T.I. y al personal del área de la

OTI.

1.2 OBJETIVO GENERAL.

Mejorar la gestión de seguridad de las Tecnologías de Información en la Universidad César

Vallejo – Piura desarrollando la auditoría basada en ISO/IEC 17799, utilizando la Metodología

COSO.

1.2.1 Objetivos Específicos.

Identificar las amenazas que afectan la seguridad y los procesos de las Tecnologías de

información.

Identificar el grado de implementación de los proyectos de la OTI.

Identificar los procedimientos formales para la concesión, administración de derechos y

perfiles.

Identificar el registro de revisiones periódicas sobre los derechos concedidos a los usuarios.

Identificar los controles para evitar el acceso físico no autorizado.

Identificar el número de controles preventivos y de detección sobre el uso de software de

procedencia dudosa.

Identificar el número de procedimientos de respaldos regulares y periódicamente validados.

Identificar el procedimiento formal para reportar incidentes de seguridad de la información.

Identificar el registro de incidentes de seguridad de la información.

Identificar la Política de seguridad de la información.

Identificar el Plan de continuidad del negocio.

1.3 HIPÓTESIS.

La Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las Tecnologías de

Información en la Universidad César Vallejo-Piura.

1.4 VARIABLES.



1.4.1 Variables Independiente: Auditoría basada en ISO/IEC 17799 para la Universidad César

Vallejo-Piura.

1.4.2 Variable Dependiente: Gestión de seguridad de las Tecnologías de Información en la

Universidad César Vallejo- Piura.

1.4.3 Variable Interveniente: Metodología COSO.

1.5 DISEÑO DE EJECUCIÓN.

1.5.1 Población y Muestra.

1.5.1.1 Población.

La población está definida por:

El personal de la Oficina de Tecnologías de Información, el cual se encuentra conformado

por doce personas.

ÁREA O CARGO N° DE PERSONAS

Jefatura de OTI 1

Asistente administrativo 1

Área de Redes 2

Área de Soporte Técnico 3

Área de Desarrollo 5

TOTAL 12

CUADRO Nº 01: Áreas de la OTI y su número de trabajadores.Elaborado por el autor

1.5.1.2 Muestra.

Por ser población pequeña no se calculará muestra, dado que en la Oficina de Tecnologías de

Información no existe gran cantidad de personas que laboren en esa área.

1.5.2 Técnicas e instrumentos, fuentes e Informantes.

- Para el ITEM1: Amenazas que afectan la seguridad y los procesos de las Tecnologías de

información, se usará la Guía de observación N° 1.

- Para el ITEM2: Grado de implementación de proyectos de la OTI, se usará la Guía de

observación N° 2.

- Para el ITEM3: Procedimientos formales para la concesión, administración de derechos y

perfiles, se usará la Guía de observación N° 3.

- Para el ITEM4: Registro de revisiones periódicas sobre los derechos concedidos a los

usuarios, se usará la Guía de observación N° 4.

- Para el ITEM5: Controles para evitar el acceso físico no autorizado, se usará la Guía de

observación N° 5.



- Para el ITEM6: Controles preventivos y de detección sobre el uso de software de procedencia

dudosa, se usará la Guía de observación N° 6.

- Para el ITEM7, Procedimientos de respaldos regulares y periódicamente validados, se usará

la Guía de observación N° 7.

- Para el ITEM8, Procedimiento formal para reportar incidentes de seguridad de la información,

se usará la Guía de observación N° 8.

- Para el ITEM9: Registro de incidentes de seguridad de la información, se usará la Guía de

observación N° 9.

- Para el ITEM10: Política de seguridad de la información, se usará la Guía de observación N°

10.

- Para el ITEM11: Plan de continuidad del negocio, se usará la Guía de observación N° 11.

(Ver Anexo N° 2).

1.5.3 Formas de Análisis e Interpretación de Resultados.

Los datos que se obtengan mediante la aplicación de las técnicas antes indicadas, serán

ingresados al programa Excel 2007 para medir los datos; con el cual se podrán determinar las

precisiones porcentuales, los ordenamientos de mayor a menor de los indicadores y

finalmente los resultados serán presentados como información en forma de cuadros, gráficos,

etc.


CAPÍTULO II

MARCO REFERENCIAL


2.1 MARCO TEÓRICO REFERENCIAL.

I. Universidad César Vallejo-Piura.

Reseña Histórica

Por Ley Nº 25350 se crea la Universidad Privada César Vallejo teniendo como sede la ciudad

de Trujillo, inicia sus actividades académicas con las siguientes facultades y carreras

profesionales. (El Peruano 1991):

1) FACULTAD DE INGENIERÍA: con la carrera profesional de Ingeniería Civil.

2) FACULTAD DE ARQUITECTURA: con la carrera profesional de Arquitectura.

3) FACULTAD DE CIENCIAS CONTABLES: con la carrera profesional de contabilidad.

4) FACULTAD DE CIENCIAS MEDICAS: con las carreras profesionales de Obstetricia y

Nutrición.

5) FACULTAD DE EDUCACIÓN: con las carreras profesionales de:

-Educación Inicial

-Educación Primaria y

-Educación Física.

6) FACULTAD DE CIENCIAS DE LA COMUNICACIÓN: con la carrera profesional de

Periodismo.

7) FACULTAD DE HUMANIDADES.

Por Ley N° 26409 se dispone que la Asamblea Nacional de Rectores está facultada para

autorizar excepcionalmente el funcionamiento de nuevas facultades o carreras a solicitud de

la Comisión Organizadora de la Universidad Privada César Vallejo. (El Peruano 1994).

Por resolución Nº 437-95-ANR del 31 de Marzo de 1995 autoriza “el funcionamiento de la

carreras profesionales de Administración, Ingeniería de Sistemas, Psicología y Derecho de la

Universidad Privada “César Vallejo”. (ANR 1995).

Por resolución Nº 265-2006-CONAFU del 21 de Agosto del 2006 autoriza el funcionamiento

de de las carreras profesionales de Ingeniería Industrial, Administración en Hotelería y

Turismo, Idiomas y Estomatología. (CONAFU 1996).

Áreas funcionales y sus funciones generales.

Dirección General

1. Dictar los reglamentos y resoluciones que sean necesarios para el funcionamiento

adecuado de la Filial.

2. Dirigir y controlar la gestión de la Filial con respecto al régimen académico, económico y

disciplinario de la Filial, coordinando las funciones académicas de investigación y

extensión que ejecute la Filial.

3. Asistir a las sesiones del Comité Ejecutivo que se reúne semanalmente para tratar y

resolver los casos planteados en su agenda.



4. Velar por el cumplimiento de los estatus, reglamentos y políticas que regulan la vida

universitaria.

5. Proponer a las autoridades y funcionarios superiores, para su aprobación del Comité

Ejecutivo, así como contratar a los docentes y no docentes, personal administrativo y de

servicios que la Filial requiera, de conformidad con los estatutos y reglamentos de la Filial.

6. Proponer al Gerente General el presupuesto anual de la filial y sus modificaciones.

7. Informar al Gerente General de los avances en la ejecución de la programación académica

y de los planes operativos y presupuestos.

8. Ejecutar las acciones dispuestas por la Gerencia General e informar de los resultados.

9. Evaluar el cumplimiento de los objetivos y metas estratégicas que se logran mediante la

ejecución de los proyectos, programas y actividades de los planes operativos, disponiendo

de la ejecución de las medidas correctivas.

10.Las demás que le otorguen la ley y el estatuto.

Departamento de Planificación y Desarrollo

1. Orientar y coordinar la formulación del plan estratégico institucional de la Filial,

monitoreando su ejecución.

2. Coordinar la preparación del plan de desarrollo y plan operativo de la Filial.

3. Dirigir la planificación de proyectos de cooperación técnica nacional e internacional.

4. Evaluar y controlar la ejecución de los planes operativos.

5. Orientar y coordinar las líneas de investigación.

6. Informar respecto a los proyectos normativos y sus modificaciones.

7. Brindar asesoría técnica al comité Ejecutivo, a la Gerencia General y a las Direcciones en

materia de su competencia.

8. Impulsar el proceso de planificación participativa en todos los órganos funcionales de las

Filiales.

9. Proponer procedimientos específicos para la evaluación y seguimiento de la marcha de la

institución.

10.Evaluar y consolidar las necedades de la administración de la información y el desarrollo

informático.

11.Proponer y evaluar la racionalización del uso de los recursos Físicos en relación a las

necesidades académicas de la Filial.

Departamento de Logística

1. Dirigir, programar, conducir y monitorear el sistema de abastecimiento de la Universidad.

2. Proponer el plan de compras de la Universidad para cada semestre académico en función

del presupuesto aprobado y el plan operativo institucional.

3. Evaluar y realizar las acciones de materiales y equipos, y recomendar la contratación de

servicios que la Universidad requiera para sus acciones académicas y administrativas.

4. Proponer, administrar y actualizar el registro de Proveedores.



5. Mantener un registro sistemático y actualizado de precios de los productos y servicios que

se requieren con frecuencia.

6. Registra el movimiento diario frecuente al ingreso y salida de productos, materiales y

equipos de almacén con su respectiva valorización y órgano responsable.

7. Actualizar el Kardex de los productos que justifique técnica y financieramente su

permanencia en el almacén, definiendo el stock mínimo.

Departamento de Recursos Humanos.

1. Proponer a la Alta Dirección las políticas en materia de reclutamiento, selección,

desarrollo, capacitación, evaluación, compensación y relaciones laborales del personal

docente, administrativo y de servicio.

2. Velar por el cumplimiento de las políticas antes referidas.

3. Programar las necesidades de recursos humanos de la institución y efectuar los procesos

de reclutamiento y selección de los mismos.

4. Orientar al nuevo personal acerca de las políticas, normas y procedimiento de la

Universidad, así como sus derechos y obligaciones.

5. Organizar y ejecutar programas de capacitación y desarrollo del personal docente

administrativo y de sus servicios.

6. Diseñar y ejecutar programas de recreación, vivienda, cooperativas de consumo y otras

prestaciones y compensaciones.

7. Diseñar y aplicar líneas de carreras y el sistema de evaluación del desempeño.

8. Organizar y ejecutar programas de salud y seguridad para el personal docente

administrativo y de servicio.

9. Controlar la asistencia y puntualidad del personal así como la movilización interna del

mismo a través de rotaciones, transferencia, contrataciones, preparaciones y ceses.

10. Velar por el mantenimiento de la disciplina y la aplicación correcta de las leyes y

reglamento en materia laboral.

11.Cautelar la emisión de documentos laborales como contratos, nombramientos,

reconocimientos de derechos, resoluciones de ceses y jubilación, etc.

12.Elaborar las planillas de sueldo y salarios del personal docente, administrativo y de

servicios.

13.Diseñar y mantener un adecuado sistema de información de recursos humanos para la

toma de decisiones.

14.Tener al día un banco de datos sobre información diversa sobre el personal.

15.Otras, que le asigne el director administrativo.

Dirección Académica

1. Supervisar y evaluar el trabajo curricular de las Facultades y otras unidades académicas,

coordinando con los decanos y responsables de dichas unidades.

2. Coordinar y orientar la Educación.



3. Emitir informes técnicos sobre asuntos y eventos académicos.

4. Emitir opinión técnica sobre casos de creación, función o supresión de Facultades y otras

unidades académicas.

5. Orientar y supervisar la organización y el funcionamiento de las Bibliotecas, Hemerotecas,

Videotecas, Fonotecas y otras.

6. Otras que le sean encomendadas por el Rector.

Dirección de Asuntos Estudiantiles.

1. Planificar y proponer las políticas de proyección de extensión universitaria.

2. Organizar y promover las actividades de proyección y extensión universitaria en

coordinación con las escuelas profesionales.

3. Diseñar y ejecutar estrategias de integración de la Universidad con la comunidad

organizada en materia de proyección y extensión universitaria.

4. Organizar y desarrollar actividades y servicios de bienestar universitario.

5. Apoyar a los egresados en la obtención de ofertas laborales, becas de estudios y

programas de educación continua.

6. Investigar la problemática de los diferentes componentes personales de la Universidad y

diseñar soluciones.

7. Promover convenios con entidades nacionales y extranjeras sobre proyección social y

extensión universitaria.

Oficina de Tecnologías de Información.

1. Planificar, diseñar, implementar y administrar la red informática manteniéndola operativa.

2. Evaluar y gestionar los recursos tecnológicos de la filial.

3. Velar por el cumplimiento de las normas de seguridad de un modelo integrado, coherente

y consistente de los datos de dominio institucional.

4. Administrar datos para asegurar el mantenimiento de un modelo integrado, coherente y

consistente de los datos de dominio institucional.

5. Diseñar y mantener actualizado el sistema de la filial.

6. Diseñar, instalar, poner en operación y administrar los laboratorios de cómputo.

7. Brindar el servicio de mantenimiento del equipamiento tecnológico de la filial a las diversas

unidades académicas y administrativas.

8. Capacitar y dar soluciones en materia de tecnología electrónica e informática a las áreas

de la filial.


OFICIN

A DE TECN

OLO

GÍAS D

E INFO

RMACIÓ

N

Fuente: Manual de Organización y Funciones UCV– Piura (2009).

FIGURA Nº 01: Organigrama Estructural de la Universidad

Privada César Vallejo – Piura




II. Auditoría basada en ISO/IEC 17799.

Auditoría

La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero emite

opiniones y recomendaciones que deben tomarse en cuenta en la toma de decisiones. La

auditoría se apoya de herramientas de análisis, verificación y exposición conformando así

elementos de juicio, los cuales permitirán determinar las debilidades y disfunciones.

Auditoría Interna y Auditoría Externa

Existen dos tipos de auditoría, la Auditoría Interna y la Auditoría Externa, de las cuales en el

caso de la Auditoría Interna es realizada con recursos humanos y materiales propios de la

empresa, ya que la ésta cuenta en su estructura organizacional con un área o unidad de

control interno. Además este tipo de auditoría es permanente y recurrente y se encarga de

elaborar el Plan anual de control donde se consideren las actividades de control a desarrollar

durante el ejercicio en curso.

En el caso de la Auditoría Externa el personal que realiza este tipo de actividad de control no

mantiene relación alguna de dependencia con la entidad auditada, es decir, el personal que

desarrolla la auditoria labora para las entidades supervisoras de la empresa auditada, o para

empresas especializadas en auditoria que desarrollan actividades de control a diferentes

organizaciones.

Para el caso de la Auditoría de Tecnologías de Información puede ser desarrollada tanto de

manera interna como externa, la misma que se puede desarrollar periódicamente.

Tipos y clases de Auditoría

El departamento de informática a pesar de tener sus actividades dentro de la misma empresa,

trabaja como si fuera una entidad independiente, debido a que su actividad está proyectada al

exterior y a los usuarios, de aquí nace la Auditoría Informática de Usuario, la misma que se

distingue de la informática interna, ya que en esta última se realiza una actividad informática

cotidiana y real, es por ello que existe una Auditoría Informática de Actividades Internas.

La dirección es quien realiza el control de las actividades del departamento de informática con

el exterior. La importancia de ese control se debe a que es posible entender las necesidades

que tiene la compañía. El apoyo de la dirección a la Informática frente al “exterior” es muy

importante para que esta sea eficiente y eficaz. Este tipo de relaciones forma lo que se

conoce como Auditoría Informática de Dirección y su objetivo.

Con estos tres tipos de Auditoría, y sumado a esta la Auditoría de Seguridad, se determina

las cuatro grandes Áreas Generales de la Auditoría Informática más importantes.

Dentro de estas Áreas Generales existen otras divisiones en la que la Auditoría Informática se

subdivide, estas son:



Auditorías de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos.

Conformando así las áreas específicas de la Auditoría Informática más importantes.

Los criterios que se aplican para cada área específica en una auditoría son:

- Se debe tomar desde el punto de vista de la seguridad que la informática ofrece en general,

o en la rama que se está auditando.

- Desde el funcionamiento interno.

- De acuerdo al apoyo que se recibe desde la dirección, realizándola en un sentido

ascendente, del grado de cumplimiento de las directrices de ésta.

- Considerando las necesidades de los usuarios juntamente con sus perspectivas.

Los criterios que se han mencionado pueden ser ampliados, y establecidos de acuerdo a la

real necesidad de la empresa Auditada y a sus características. (INEI 2008).

ISO/IEC 17799

ISO (la Organización Internacional de Estandarización) e IEC (la Comisión Electrotécnica

Internacional) forman el sistema especializado para la estandarización mundial. Los

organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estándares

Internacionales a través de los comités establecidos por la organización respectiva para lidiar

con áreas particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran

en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no

gubernamentales, junto con ISO e IEC, también participan en el trabajo. En el campo de la

tecnología de la información.

La Norma Técnica Peruana ISO/IEC 17799 ha sido elaborada por el Comité Técnico de

Normalización de Codificación e Intercambio Electrónico de datos (EDI), durante los meses

de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005

Información technology – Code of practice for information security management.

El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI)

presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT-, con fecha 2006-07-21,

el PNTP-ISO/IEC 17799:2006 para su revisión y aprobación; siendo sometido a la etapa de

Discusión Pública el 2006-11-25. No habiéndose presentado observaciones fue oficializada

como Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información.

Código de buenas prácticas para la gestión de la seguridad de la información, segunda

edición, el 22 de enero del 2007. (NTP-ISO/IEC 17799 2009).

Esta Norma Técnica Peruana establece recomendaciones para realizar la gestión de la

seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o

mantener la seguridad en una organización. Persigue proporcionar una base común para



desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la

gestión de la seguridad, así como proporcionar confianza en las relaciones entre

organizaciones. Las recomendaciones que se establecen en esta NTP deberían elegirse y

utilizarse de acuerdo con la legislación aplicable en la materia. (CENTP 2009).

Estructura de este estándar

Este estándar contiene 11 cláusulas de control de seguridad que contienen colectivamente un

total de 39 categorías principales de seguridad y una cláusula introductoria conteniendo

temas de evaluación y tratamiento del riesgo. (NTP ISO/IEC 17799 2009).

Cláusulas

Cada cláusula contiene un número de categorías principales de seguridad. Las 11 cláusulas

(acompañadas por el número de categorías principales de seguridad incluidas en cada

cláusula) son:

a) Política de seguridad (1);

b) Organizando la seguridad de información (2);

c) Gestión de activos (2);

d) Seguridad en recursos humanos (3);

e) Seguridad física y ambiental (2);

f) Gestión de comunicaciones y operaciones (10);

g) Control de acceso (7);

h) Adquisición, desarrollo y mantenimiento de sistemas de información (6);

i) Gestión de incidentes de los sistemas de información (2);

j) Gestión de la continuidad del negocio (1);

k) Cumplimiento (3)

III. Gestión de la seguridad de las Tecnologías de Información.

Gestión.

Gestión es la acción y efecto de administrar. (RAE 2009).

Administrar es: gobernar, dirigir una institución, ordenar, disponer, organizar, suministrar,

proporcionar o distribuir algo. (RAE 2009).

Seguridad.

Cualidad de seguro. (RAE 2009).

Seguro

Libre y exento de todo peligro, daño o riesgo. (RAE 2009).

Tecnologías de Información.



Se conoce como Tecnología de Información (TI) a la utilización de tecnología –

específicamente computadoras y ordenadores electrónicos - para el manejo y procesamiento

de información – específicamente la captura, transformación, almacenamiento, protección, y

recuperación de datos e información. (DEGERENCIA 2008).

Generalmente todos pensamos que las Tecnologías de Información solo se usan en la etapa

de producción, y vienen a nuestra mente los grandes sistemas de manufactura, o los

sistemas automatizados de producción continua, sin embargo, actualmente las Tecnologías

de Información deberán de estar presentes en todas las actividades de la empresa, en decir,

en las etapas de entrada, conversión y salida.

En la etapa de entrada, las tecnologías de información deberán contener todas las

habilidades, procedimientos y técnicas que permitan a las organizaciones manejar

eficientemente las relaciones existentes con los grupos de interés (Clientes, proveedores,

gobierno, sindicatos y público en general) y el entorno en el que se desenvuelven.

En la etapa de conversión, las Tecnologías de Información en combinación con la

maquinaria, técnicas y procedimientos, transforman las entradas en salidas. Una mejor

tecnología permite a la organización añadir valor a las entradas para disminuir el consumo así

como el desperdicio de recursos.

En la etapa de salida, las Tecnologías de Información permiten a la empresa ofrecer y

distribuir servicios y productos terminados. Para ser efectiva, una organización deberá poseer

técnicas para evaluar la calidad de sus productos terminados, así como para el marketing,

venta y distribución y para el manejo de servicios de postventa a los clientes.

Las Tecnologías de Información en los procesos de entrada, conversión y salida dan a la

compañía una importante ventaja competitiva. ¿Porqué Microsoft es la más grande compañía

de software? ¿Por qué Toyota es la manufacturera automotriz más eficiente? ¿Porqué

McDonald’s es la más eficiente compañía de comida rápida? Cada una de estas

organizaciones sobresale en el desarrollo, administración y uso de Tecnologías de

Información para administrar el entorno organizacional y crear valor para toda la compañía.

(UTP 2009)

Gobierno de TI

El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los

procesos y las estructuras que aseguran que las tecnologías de la organización apoyen los

objetivos y estrategias de la empresa.



FIGURA Nº 03: Entorno actual de las T.I.Fuente: NEYRA Córdova, Omar (2008).

Su objetivo es asegurar que las tecnologías aportan valor a la empresa y que el riesgo

asociado a ellas está bajo control. Para extraer valor de la tecnología, es necesario alinear las

TI con la estrategia de negocio. Por su parte, la gestión del riesgo tiene múltiples dimensiones

que incluyen aspectos como la seguridad, la recuperación de desastres o la privacidad.

IV. Metodología de Desarrollo.

4.1 COBIT: Control Objectives for Information and related Technology

La Information Systems Audit and Control Foundation (ISACF) desarrolló los Objetivos de

Control para la Información y Tecnología relacionada (COBIT) para servir como una

estructura generalmente aplicable y prácticas de seguridad y control de SI para el control de

la tecnología de la información. Esta estructura COBIT le permite a la gerencia comparar

(benchmarking) la seguridad y prácticas de control de los ambientes de TI, permite a los

usuarios de los servicios de TI asegurarse que existe una adecuada seguridad y control y

permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre

materias de seguridad y control de TI.

La motivación primaria para brindar esta estructura fue posibilitar el desarrollo de una

política clara y buenas prácticas para el control de TI a través de toda la industria en todo el

mundo.

La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el

control de TI, una lista de Objetivos de Control, y un conjunto de Guías de Auditoría. (Los

objetivos de control y las guías de auditoría están referenciadas a la estructura).


SistemasOperativos


Las fases futuras del proyecto proveerán guías de auto-evaluación para la dirección e

identificarán objetivos nuevos o actualizados mediante incorporación de otros estándares

globales de control que se identifiquen.

Además, agregar guías de control e identificar indicadores claves de desempeño.

Definición: COBIT adaptó su definición de control a partir de COSO: Las políticas,

procedimientos, prácticas y estructuras organizacionales están diseñadas para proveer

aseguramiento razonable de que se lograrán los objetivos del negocio y que se prevendrán,

detectarán y corregirán los eventos no deseables.

COBIT adapta su definición de un objetivo de control de TI del SAC: Una declaración del

resultado deseado o propósito a lograr implementando procedimientos de control en una

actividad particular de TI.

COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del

negocio. El documento describe objetivos de control de TI independientes de plataformas y

aplicaciones.

Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicación,

tecnología, instalaciones y gente. Los datos son definidos en su sentido más amplio e

incluyen no sólo números, textos y fechas, sino también objetos tales como gráficos y

sonido. Los sistemas de aplicación son entendidos como la suma de procedimientos

manuales y programados.

La tecnología se refiere al hardware, sistemas operativos, equipos de redes y otros.

Instalaciones son los recursos utilizados para albergar y soportar los sistemas de

información. Gente comprende las capacidades y habilidades individuales para planear,

organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de información.

Requerimientos: Para satisfacer los objetivos del negocio, la información necesita

conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del

negocio respecto de la información. COBIT combina los principios incorporados en los

modelos de referencia existentes en tres amplias categorías: calidad, responsabilidad

fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categorías

superpuestas de criterios para evaluar cuán bien están satisfaciendo los recursos de TI los

requerimientos de información del negocio. Estos criterios son efectividad, eficiencia,

confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.

Procesos y Dominios: En base al análisis de un documento del Reino Unido sobre

prácticas de administración de TI de la biblioteca de infraestructura tecnológica (ITIL),

COBIT clasifica los procesos de TI en cuatro dominios.

Estos cuatro dominios son (1) planeamiento y organización, (2) adquisición e

implementación, (3) entrega y soporte y (4) monitoreo. El agrupamiento natural de procesos



en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras

organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en

cualquier ambiente de TI.

COBIT presenta una estructura de control para los propietarios de los procesos del negocio.

Cada vez más, la dirección está totalmente facultada con responsabilidad y autoridad

completa por los procesos del negocio.

COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI,

cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos,

271 objetivos de control referenciados a esos 32 procesos y guías de auditoría vinculadas a

los objetivos de control.

Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los

procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por

la declaración de control, identifica los recursos de TI administrados por los procesos,

establece los controles habilitados y lista los principales objetivos de control aplicables.

4.2 Informe SAC

El informe SAC define el sistema de control interno, describe sus componentes, provee

varias clasificaciones de los controles, describe objetivos de control y riesgos, y define el rol

del auditor interno. El informe provee una guía sobre el uso, administración y protección de

los recursos de tecnología informática y discute los efectos de la computación de usuario

final, las telecomunicaciones y las tecnologías emergentes.

Definición: El informe SAC define a un sistema de control interno como: un conjunto de

procesos, funciones, actividades, subsistemas, y gente que son agrupados o

conscientemente segregados para asegurar el logro efectivo de los objetivos y metas.

El informe enfatiza el rol e impacto de los sistemas computarizados de información sobre el

sistema de control interno. El mismo acentúa la necesidad de evaluar los riesgos, pesar los

costos y beneficios y construir controles en los sistemas en lugar de agregarlos luego de la

implementación.

Componentes: El sistema de control interno consiste en tres componentes: el ambiente de

control, los sistemas manuales y automatizados y los procedimientos de control. El

ambiente de control incluye la estructura de la organización, la estructura de control, las

políticas y procedimientos y las influencias externas. Los sistemas automatizados consisten

en sistemas y software de aplicación. SAC discute los riesgos de control asociados con los

sistemas de usuario final y departamentales pero no describe ni define los sistemas

manuales. Los procedimientos de control consisten en controles generales de aplicaciones y

compensatorios.



Clasificaciones: SAC provee cinco esquemas de clasificación para los controles internos

en los sistemas informáticos: (1) preventivos, detectivos, y correctivos, (2) discrecionales y

no-discrecionales, (3) voluntarios y obligatorios, (4) manuales y automatizados y (5)

controles de aplicaciones y generales. Estos esquemas se enfocan en cuándo se aplica el

control, si el control puede ser evitado, quién impone la necesidad del control, cómo se

implementa el control, y dónde se implementa el control en el software.

Objetivos de Control y Riesgos: Los riesgos incluyen fraudes, errores, interrupción del

negocio, y el uso ineficiente e inefectivo de los recursos. Los objetivos de control reducen

estos riesgos y aseguran la integridad de la información, la seguridad, y el cumplimiento. La

integridad de la información es resguardada por los controles de calidad del input,

procesamiento, output y software. Las medidas de seguridad incluyen los controles de

seguridad de los datos, física y de programas. Los controles de cumplimiento aseguran

conformidad con las leyes y regulaciones, los estándares contables y de auditoría, y las

políticas y procedimientos internos.

Rol del Auditor Interno: Las responsabilidades de los auditores internos incluyen asegurar

la adecuación del sistema de control interno, la confiabilidad de los datos y el uso eficiente

de los recursos de la organización. A los auditores internos también les concierne la

prevención y detección de fraudes, y la coordinación de actividades con los auditores

externos. Para los auditores internos es necesaria la integración de las habilidades de

auditoría y sistemas de información y una comprensión del impacto de la tecnología

informática sobre el proceso de auditoría. Estos profesionales realizan ahora auditorias

financieras, operativas y de los sistemas de información.

4.3 COSO (Comité de organizaciones patrocinadoras de la comisión Treadway).

El informe COSO define el control interno, describe sus componentes, y provee criterios

contra los cuales pueden evaluarse los sistemas de control.

El informe ofrece una guía para la elaboración de informes públicos sobre control interno y

provee materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un

sistema de control interno. Dos objetivos principales del informe son (1) establecer una

definición común de control interno que sirve a muchas partes diferentes, y (2) provee un

estándar contra el cual las organizaciones pueden evaluar sus sistemas de control y

determinar cómo mejorarlos.

Definición: El informe COSO define control interno como: un proceso, efectuado por el

directorio, la gerencia y otro personal de la entidad, diseñado para proveer un

aseguramiento razonable en relación al logro de los objetivos en las siguientes categorías:

Efectividad y eficiencia de las operaciones

Confiabilidad de los reportes financieros



Cumplimiento con las leyes y regulaciones aplicables.

Aunque el informe define el control interno como un proceso, recomienda evaluar la

efectividad del control interno a un momento dado.

Componentes: El sistema de control interno consiste en cinco componentes

interrelacionados: (1) ambiente de control, (2) evaluación de riesgos, (3) actividades de

control, (4) información y comunicación, y (5) monitoreo. El ambiente de control provee la

base para los otros componentes. El mismo abarca factores tales como filosofía y estilo

operativo de la gerencia, políticas y prácticas de recursos humanos, la integridad y valores

éticos de los empleados, la estructura organizacional, y la atención y dirección del directorio.

El informe COSO brinda una guía para evaluar cada uno de estos factores. Por ejemplo, la

filosofía gerencial y el estilo operativo pueden ser evaluados examinando la naturaleza de

los riesgos del negocio que acepta la gerencia, la frecuencia de su interacción con los

subordinados, y su actitud hacia los informes financieros.

La evaluación de riesgo consiste en la identificación del riesgo y el análisis del riesgo. La

identificación del riesgo incluye examinar factores externos tales como los desarrollos

tecnológicos, la competencia y los cambios económicos, y factores internos tales como

calidad del personal, la naturaleza de las actividades de la entidad, y las características de

procesamiento del sistema de información. El análisis de riesgo involucra estimar la

significación del riesgo, evaluar la probabilidad de que ocurra y considerar cómo

administrarlo.

Las actividades de control consisten en las políticas y procedimientos que aseguran que los

empleados lleven a cabo las directivas de la gerencia. Las actividades de control incluyen

revisiones del sistema de control, los controles físicos, la segregación de tareas y los

controles de los sistemas de información. Los controles sobre los sistemas de información

incluyen los controles generales y los controles de las aplicaciones. Controles generales son

aquellos que cubren el acceso, el desarrollo de software y sistemas.

Controles de las aplicaciones son aquellos que previenen que ingresen errores en el

sistema o detectan y corrigen errores presentes en el sistema.

La entidad obtiene información pertinente y la comunica a través de la organización. El

sistema de información identifica, captura y reporta información financiera y operativa que

es útil para controlar las actividades de la organización. Dentro de la organización, el

personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema de

control interno, tomar seriamente sus responsabilidades por el control interno, y, si es

necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los

individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el

mensaje de que la entidad no tolerará acciones impropias.



La gerencia monitorea el sistema de control revisando el output generado por las

actividades regulares de control y realizando evaluaciones especiales.

Las actividades regulares de control incluyen comparar los activos físicos con los datos

registrados, seminarios de entrenamiento, y exámenes realizados por auditores internos y

externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las

deficiencias encontradas durante las actividades regulares de control son normalmente

reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones

especiales son normalmente comunicadas a los niveles altos de la organización.

Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control

interno, los roles y responsabilidades de las partes que afectan a un sistema. Las

limitaciones incluyen el juicio humano defectuoso, falta de comprensión de las instrucciones,

errores, atropellos de la gerencia, colusión, y consideraciones de costo versus beneficio.

El informe COSO define deficiencias como "condiciones dentro de un sistema de control

interno digno de atención". Las deficiencias deberían ser reportadas a la persona

responsable por la actividad y a la gerencia que está como mínimo un nivel por encima del

individuo responsable.

Un sistema de control interno es juzgado efectivo si están presentes y funcionando

efectivamente los cinco componentes respecto de las operaciones, los reportes financieros

y el cumplimiento.



4.4 Justificación de Metodología a utilizar

Atributo COBIT SAC COSO

Audiencia

Primaria

Dirección, usuarios,

auditores de SI

Auditores Internos Auditores Internos,

Dirección

Control Interno

visto como

Conjunto de procesos

incluyendo políticas,

procedimientos,

prácticas

estructuras

organizacionales

Conjunto de procesos,

subsistemas y gente

Procesos

Objetivos

Organizacionales

del Control

Interno

Operaciones

Efectivas y

eficientes.

Confidencialidad,

Integridad y

disponibilidad de

información.

Informes financieros

Confiables.

Cumplimiento de las

leyes y regulaciones.

Operaciones

Efectivas y

eficientes.


Confiables.

Cumplimiento de las


Operaciones

Efectivas y

eficientes.


confiables.

Cumplimiento de las


Componentes o

Dominios

Dominios:

Planeamiento y

organización

Adquisición e

implementación

Entrega y soporte

Monitoreo y

evaluación.

Componentes:

Ambiente de Control

Manual y

Automatizado

Procedimientos de

Control de Sistemas

Componentes:

Supervisión

Ambiente de Control

Administración de

Riesgos

Actividades de

Control

Información y

Comunicación

Foco Tecnología Informática Tecnología Informática Tecnología Informática

Efectividad del CI

Evaluado

Por un período de

tiempo

Por un período de

tiempo

En un momento dado

Responsabilidad

por el Sistema de

Control Interno

Dirección Dirección Dirección

CUADRO N° 02: Comparación de las Metodologías.

Elaborado por el autor.



2.2 MARCO CONCEPTUAL.

Auditoría basada en ISO/IEC 17799 en la Universidad César Vallejo-Piura.

“La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero emite

opiniones y recomendaciones que deben tomarse en cuenta en la toma de decisiones”. (INEI

2008); y “la NTP ISO/IEC 17799 establece recomendaciones para realizar la gestión de la

seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o

mantener la seguridad” (NTP ISO/IEC 17799 2009) para la Universidad César Vallejo-Piura.

Gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura.

“Gestionar o administrar”. (RAE 2009) de “Libre y exento de todo peligro, daño o riesgo”. (RAE

2009) a “un gobierno de TI, ayuda a garantizar que la TI soporte las metas del negocio,

optimice la inversión del negocio en TI, y administre de forma adecuada los riesgos y

oportunidades asociados a la TI”. (DELTA 2004); para la Universidad César Vallejo-Piura.


CAPÍTULO III

DESARROLLO DE LA INVESTIGACIÓN


3.1 PLANIFICACIÓN DE LA AUDITORIA.

3.1.1 Determinación del Objetivo y Alcance de la auditoría.

- VER ANEXO N° 19 INFORME FINAL.

3.1.2 Actividades realizadas en la Auditoría.

Para el desarrollo de la Auditoría se realizaron las siguientes actividades:

- Entrega de Solicitud documentación a la OTI.

- Desarrollo de Evaluaciones al personal de la OTI.

- Desarrollo de Entrevistas con los usuarios de las tecnologías de información (personal

administrativo).

- Desarrollo de Entrevistas con los jefes de área.

- Registro de Información en Guías de observación.

- Desarrollo de cuestionarios por área.

3.1.3 Análisis del ambiente a Auditar y del entorno Auditable.

Para analizar el entorno a auditar realicé un análisis de la OTI, para la cual me apoye en el

organigrama del mismo.

3.1.4 Determinación de los recursos de la Auditoría Informática.Humanos:

En esta investigación participan directamente ó indirectamente las siguientes personas:

Investigador:

Marco Antonio Riega Reto.

Asesor:

Ingeniero Juan Miguel Espinoza Saucedo.

Materiales.

Hardware:

Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador

DVD.

Una impresora Canon IP1000.

Mouse Delux V3.

Software:

Windows XP SP3.

Microsoft Office 2007 (Word, Excel, PowerPoint, Project)

WinRar 3.6.2.

WinZip 10.

Nero 7 Premium.

Adobe Reader 9.

WinAudit 2.1.7.0.



The Dude Freeware 3.4.

Otros Materiales:

Materiales de escritorio.(1 lápiz, 3 lapiceros, 1 grapadora, 1 perforador, 1 regla de 30 cm)

1 Millar Papel A4.

5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon

IP1000.

1 CD’s de 700 MB.

2 Fólderes Manila A4 Grafos.

Duracell Plus 9v Battery.

Probador de Cables de Red UTP.

3.2 EJECUCIÓN DE LA AUDITORÍA – METODOLOGÍA COSO BASADA EN ISO/IEC 17799.

I EL ENTORNO DE CONTROL.

1.1 Solicitud de Manuales y Documentaciones.

Se redacto un oficio en el cual se solicitó la documentación básica, documentos e información

con la que debe contar toda área encargada de administrar las tecnologías de Información, la

cual fue dirigida a la Jefatura de la OTI.

- VER ANEXO N° 07 FORMATO DE LA SOLICITUD DE DOCUMENTACIÓN.

II LA MEDICIÓN DE RIESGOS.

2.1 Evaluación y tratamiento del riesgo.

2.2 Política de seguridad

2.3 Aspectos organizativos para la seguridad

Pre test.

- VER ANEXO N° 08: FORMATO DE LA ENTREVISTA DE USUARIO.

III EL CONTROL DE ACTIVIDADES

En esta fase se aplicaron evaluaciones y cuestionarios en los cuales se evaluó:

3.1Clasificación y control de activos.

3.2 Seguridad en recursos humanos.

3.3 Seguridad física y del entorno.

- VER ANEXO N° 09: FORMATO DE EVALUACIÓN DEL CUMPLIMIENTO DE LAS

FUNCIONES DE LAS ÁREAS DE LA OTI.

- VER ANEXO N° 10: FORMATO DE LA EVALUACIÓN DEL PLAN OPERATIVO.

- VER ANEXO N° 11: FORMATO DE LA EVALUACIÓN DEL ÁREA DE LA OTI.

- ANEXO N° 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.

- ANEXO N° 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS ÁREAS

DE LA OTI.

- ANEXO N° 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.



IV LOS SISTEMAS DE COMUNICACIÓN Y LOS SISTEMAS DE INFORMACIÓN

4.1 Gestión de comunicación y operaciones

4.2 Control de accesos.

4.3 Adquisición, desarrollo y mantenimiento de sistemas.

- VER ANEXO N° 12: FORMATO DE LA EVALUACIÓN AL ÁREA DE REDES

- VER ANEXO N° 13: FORMATOS DE LAS EVALUACIÓNES AL ÁREA DE DESARROLLO

- VER ANEXO N° 14: FORMATO DE LA EVALUACIÓN AL ÁREA DE SOPORTE TECNICO.

V EL SISTEMA DE MONITOREO

Para esta fase de monitoreo se aplico el Pos Test, el cual me sirvió para evaluar lo relacionado

a:

5.1 Gestión de incidentes en la seguridad de información.

5.2 Gestión de continuidad del negocio.

- VER ANEXO N° 03: FORMATO DE LAS GUÍAS DE OBSERVACIÓN.

3.3 SEGUIMIENTO.

En esta etapa se realizo la:

3.3.1 Revisión de los papeles de trabajo y desarrollo de las deficiencias.

3.3.2 Elaboración de la Carta de Introducción correspondiente al Informe final.

- VER ANEXO N° 18 PAPELES DE TRABAJO.


3.4 INFORME.

3.4.1 Elaboración y presentación del Informe.

Se elaboró y presentó el informe final a la Jefatura de la OTI.



CAPÍTULO IV

DISCUSIÓN DE RESULTADOS


4.1 RESULTADOS

4.1.1 Amenazas identificadas que afectan la seguridad y los procesos de las Tecnologías de

información.

Cuadro N° 03: Resultado ITEM 1

PRE TEST POST TEST

Número de amenazas identificadas que

afectan la seguridad y los procesos de las

Tecnologías de información.

Número de amenazas identificadas que



0 24

Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión

de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”

Autor: Elaborado por el Tesista.

Como se puede apreciar, el Pre Test se evidencia que no se han identificado las amenazas que

afectan la seguridad y los procesos de las Tecnologías de información, sin embargo después del

Post Test, se han identificado Veinticuatro (24) amenazas. Se comprueba que aplicando la

Auditoría basada en ISO/IEC 17799 se reconocen algunas amenazas que afecten la seguridad de

información, y con ello es necesario que se implementen controles y estrategias que permitan

enfrentar las amenazas y reducir los efectos de éstas.

Gráfico N° 01: Resultado ITEM 1

Núm

ero

de a

men

azas

iden

tifica

das

que

afec

tan

la s

egur

idad

y lo

s pr

o-ce

sos

de la

s Te

cnol

ogía

s de

info

rma-

ción

.

Núm

ero

de a

men

azas

iden

tifica

das

que

afec

tan

la s

egur

idad

y lo

s pr

o-ce

sos

de la

s Te

cnol

ogía

s de

info

rma-

ción

.

PRE TEST POST TEST

05

1015202530

0

24



Las amenazas identificadas que afectan la seguridad y los procesos de las Tecnologías de información en la UCV-Piura son las siguientes:

Amenazas Naturales

- Sismos.

- Altas temperaturas, calor.

- Fenómeno del Niño.

Amenazas No Naturales

- Incendios

- Acceso no autorizado a recursos y/o información.

- Exposición no autorizada de información.

- Robo de equipos.

- Robo de datos.

- Falla en los servicios de telefónica.

- Falla en los servicios eléctricos.

- Falla en la plataforma de interconexión.

- Fraude.

- Errores humanos.

- Ausencia del personal de la OTI con responsabilidades criticas.

- Atentados.

- Software malicioso.

- Ataque de hackers y/o cracker.

- Vandalismo.

- Terrorismo.

- Explosión.

- Incendio externo.

- Incendio interno.

- Cortocircuito.

- Falta de concientización en seguridad de T.I.



4.1.2 Grado de implementación de los proyectos de la OTI.


PRE TEST POST TESTGrado de implementación de los proyectos de la OTI :

Proyectos Estado Estado

Certificar a 01 trabajadores de la OTI en Ms Office En ejecuciónTerminada

Asistir a cursos de Atención al Cliente En ejecución Terminada

Capacitar en cursos de Redes y Telecomunicaciones Cancelada Cancelada

Capacitar al Soporte Técnico de la OTI en Cableado Estructurado

En ejecución Terminada

"Certificar al Personal de la OTI en: Microsoft, Cisco, HP(equipos computacionales y multimedia), u otros"

Sin ejecutar Sin ejecutar

Implementación de una red Inalámbrica entre Villa Rosita y la UCV Piura

Sin ejecutar Sin ejecutar

Ampliación de Anexos Telefónicos Cancelada Cancelada

Implementación del Backbone de Fibra Óptica para el nuevo Edificio de Biblioteca


"Desarrollo y Actualización Web (Harvard College, Centro Comunitario Santa Rosa, Centro Médico San Antonio, Consultorio Jurídico, CEPRE)."


"Desarrollo e Implementación del Sistema Académico para la I.E.A. ""Harvard College"""

En ejecución En ejecución

Cambio del Sistema de Componentes al nuevo Sistema de Soporte Técnico (Windows y Web)


Rediseño y/o Documentación de la Red Lógica y Física de la UCV Piura.


Plan de Seguridad de la Información. Sin ejecutar Sin ejecutar

Realizar el Inventario Físico y Lógico de la UCV Piura y realizar el mantenimiento preventivo y correctivo de los equipos computacionales de la UCV Piura.


Realización de los Backup's de la Base de Datos de Piura


"Cableado de los nuevos ambientes de Cepre, Promoción, Esc. Medicina, Esc. Enfermería y Esc. Marketing. Elaboración de puntos de voz y datos"


Implementación de la Telefonía IP en la UCV Piura En ejecución Terminada

"Adquisición, Instalación y Configuración de equipos de comunicación para el nuevo Edificio de Biblioteca"




Fuente:

- Pre Test y Pos Test de la Tesis “Auditoría basada en COBIT de la Gestión de

Tecnologías de Información en la Universidad César Vallejo-Piura”

- Plan operativo de la OTI 2009.


Como se puede apreciar, en el Pre Test no se evidencia la implementación total de algunos de los

proyectos, mientras que como resultado del Post Test se puede observar que se tienen once (11)

proyectos implementados, ello como efecto de desarrollar la actividad de control basada en la NTP

ISO 17799.


Grado de implementación de los proyectos de la OTI

Grado de implementación de los proyectos de la OTI

PRE TEST POST TEST

0

2

4

6

8

10

12

0

11



4.1.3 Procedimientos formales identificados para la concesión, administración de derechos y perfiles.


PRE TEST POST TEST

Procedimientos formales para la concesión,

administración de derechos y perfiles

Procedimientos formales para la concesión,

administración de derechos y perfiles

0 1

Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en COBIT de la Gestión de



Del resultado del PreTest, se constata que la OTI no cuenta con procedimientos formales para la

concesión, administración de derechos y perfiles de los usuarios. Del desarrollo del Post Test se

tiene la propuesta de implementar el Procedimiento formal para la concesión, administración de

derechos y perfiles, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC

17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.


Proc

edim

ient

os fo

rmal

es p

ara

la

conc

esió

n, a

dmin

istr

ació

n de

de

rech

os y

per

files

Proc

edim

ient

os fo

rmal

es p

ara

la

conc

esió

n, a

dmin

istr

ació

n de

de

rech

os y

per

files

PRE TEST POST TEST

00.20.40.60.8

11.2

0

1



4.1.4 Registro de revisiones periódicas identificadas sobre los derechos concedidos a los

usuarios.


PRE TEST POST TEST

Registro de revisiones periódicas sobre los

derechos concedidos a los usuarios.

Registro de revisiones periódicas sobre los

derechos concedidos a los usuarios.

0 1

Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en COBIT de la Gestión de



La OTI de la UCV Piura, carece de un Registro de revisiones periódicas sobre los derechos

concedidos a los usuarios, se llega a esta conjetura como resultado del PreTest.

Del desarrollo del Post Test, se recomienda la implementación formal del Registro de revisiones

periódicas sobre los derechos concedidos a los usuarios

Se logra comprobar que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de

seguridad de las T.I. en la UCV-Piura.


Registro de revisiones periódicas sobre los derechos concedidos a los usuarios.

Registro de revisiones periódicas sobre los derechos concedidos a los usuarios.

PRE TEST POST TEST

0

0.2

0.4

0.6

0.8

1

1.2

0

1



4.1.5 Controles identificados para evitar el acceso físico no autorizado.


PRE TEST POST TEST

Número de controles identificados para

evitar el acceso físico no autorizado.

Número de controles identificados para

evitar el acceso físico no autorizado.

0 3




Como se puede apreciar en el Pre Test, carece de controles para evitar el acceso físico no

autorizado; en el Post Test con la aplicación de la Auditoría se identifican tres controles que se

proponen implementarlos, para evitar el acceso físico no autorizado, demostrando una vez más

que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en

la UCV-Piura.


Número de controles para evitar el acceso físico no autorizado.


PRE TEST POST TEST

0

0.5

1

1.5

2

2.5

3

3.5

0

3



Los controles para evitar el acceso físico no autorizado serian como los siguientes:

- Definir claramente el perímetro de seguridad.

- Implementar controles tecnológicos que permitan proteger los recursos informáticos de accesos

no autorizados, minimizando los efectos ocasionados por fenómenos naturales, usando

mecanismos de control como: barreras físicas, alarmas, barras metálicas etc.

- Implementar un registro de intentos no exitosos a un ambiente no autorizado.



4.1.6 Controles preventivos y de detección identificados sobre el uso de software de

procedencia dudosa..


PRE TEST POST TEST

Número de controles preventivos y de

detección identificados sobre el uso de

software de procedencia dudosa.


detección identificados sobre el uso de

software de procedencia dudosa.

0 3




Como se puede apreciar en el desarrollo del Pre Test, no se identificó ningún control preventivo, a

diferencia en el Post Test se pudieron identificar tres (3) controles preventivos, los cuales serán

desarrollados e implementados por la OTI, con esto se logra comprobar que aplicando la Auditoría

basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.


Núm

ero

de c

ontr

oles

pre

venti

vos

y de

det

ecci

ón id

entifi

cado

s so

bre

el

uso

de s

oftw

are

de p

roce

denc

ia

dudo

sa.

Núm

ero

de c

ontr

oles

pre

venti

vos

y de

det

ecci

ón id

entifi

cado

s so

bre

el

uso

de s

oftw

are

de p

roce

denc

ia

dudo

sa.

PRE TEST POST TEST

00.5

11.5

22.5

33.5

0

3



Los controles preventivos y de detección sobre el uso de software de procedencia dudosa

son los siguientes:

- Política para el adecuado uso de software legalmente adquirido.

- Implementar y actualizar un inventario de software para la identidad.

- Inspecciones en los equipos de cómputo que permitan evaluar si se ha instalado software no

autorizado.



4.1.7 Procedimientos identificados para la generación de respaldos regulares y

periódicamente validados.


PRE TEST POST TEST

Procedimientos de respaldos regulares y




0 1




Durante el desarrollo de la Tesis, en el Pre Test no se logro identificar algún procedimiento de

respaldo, a diferencia del Post Test en el cual se logró identificar la necesidad de desarrollar e

implementar un procedimiento de respaldo. Lo cual nos lleva a que aplicando la Auditoría basada

en ISO/IEC 17799 ayuda a mejorar la gestión de seguridad de las T.I. en la UCV-Piura.


Núm

ero

de p

roce

dim

ient

os d

e re

spal

do re

gula

res y

per

-ió

dica

men

te v

alid

ados

.

Núm

ero

de p

roce

dim

ient

os d

e re

spal

do re

gula

res y

per

-ió

dica

men

te v

alid

ados

.

PRE TEST POST TEST

00.20.40.60.8

11.2

0

1



4.1.8 Procedimiento formal identificado para reportar incidentes de seguridad de la

información.


PRE TEST POST TEST

Procedimiento formal para el reporte de

incidentes de seguridad de la información

Procedimiento formal para el reporte de

incidentes de seguridad de la información

0 1




Del resultado del PreTest, se constata que la OTI no cuenta con un procedimiento formal para

reportar incidentes de seguridad de la información. Del desarrollo del Post Test se tiene la

propuesta de implementar el procedimiento formal para el reporte de incidentes de seguridad de la

información, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC 17799

de gestión de seguridad de las T.I. en la UCV-Piura.


Regi

stro

de

inci

dent

es d

e se

guri

dad

de la

info

rmac

ión.

Regi

stro

de

inci

dent

es d

e se

guri

dad

de la

info

rmac

ión.

PRE TEST POST TEST

00.20.40.60.8

11.2

0

1



El procedimiento formal para el reporte de incidentes de seguridad de la información debe

de contemplar aspectos como los siguientes:

- Realizar una evaluación inicial.

- Comunicar el incidente.

- Contener el daño y minimizar el riesgo.

- Identificar el tipo y la gravedad del ataque.

- Proteger las pruebas.

- Notificar a las áreas correspondientes.

- Recuperar los sistemas.

- Compilar y organizar la documentación del incidente.

- Valorar los daños y costos del incidente.

- Revisar las directivas de respuesta y actualización.



4.1.9 Identificar la existencia de un registro de incidentes de seguridad de la información.


PRE TEST POST TEST

Registro de incidentes de seguridad de la

información.

Registro de incidentes de seguridad de la

información.

0 1




La OTI de la UCV Piura, carece de un Registro de incidentes de seguridad de información, se llega

a esta conjetura como resultado del Pre Test.

Del desarrollo del Post Test, se recomienda la implementación formal del Registro de incidentes

de seguridad de información.

Se logra comprobar que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.


Regi

stro

de

inci

dent

es d

e se

guri

dad

de la

info

rma-

ción

.

Regi

stro

de

inci

dent

es d

e se

guri

dad

de la

info

rma-

ción

.

PRE TEST POST TEST

00.20.40.60.8

11.2

0

1



Los posibles incidentes a registrar en seguridad de información son los siguientes:

- Software Malicioso: se detecto la introducción de códigos maliciosos en la infraestructura

tecnológica de la Entidad, virus informáticos. El antivirus que utiliza la empresa (kav6.0.3.837)

no detecta virus como: Autorun.exe, y otras variantes; la versión del antivirus no es la

actualizada.

- Inadecuado uso de los recursos tecnológicos:

- Los usuarios instalan programas ajenos a los autorizados a la empresa.

- Copian y descargan música en las PC´s de la empresa.

- Almacenan archivos personales en las PC´s de la empresa como: fotos, documentos.

Etc.

- Chatear, ingresando a páginas web de las cuales pueden tener acceso a sus correos.

- Ingresan a páginas de telefonía para mandar mensajes a celulares.

- Ingresan a web sociales, para chatear, jugar, colgar fotos, etc.

- Robo de información.

- Fraude.



4.1.10 Política de seguridad de la información.


PRE TEST POST TEST

Política de seguridad de la información. Política de seguridad de la información.

0 1




Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece

de una Política de seguridad de la información, sin embargo después del Post Test, se recomienda

el desarrollo e implementación formal de la Política de seguridad de la información.

Se comprueba que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de



Políti

ca d

e se

guri

dad

de la

info

r-m

ació

n.

Políti

ca d

e se

guri

dad

de la

info

r-m

ació

n.

PRE TEST POST TEST

00.20.40.60.8

11.2

0

1



4.1.11 Plan de Continuidad del Negocio.


PRE TEST POST TEST

Plan de Continuidad del Negocio. Plan de Continuidad del Negocio.

0 1




Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece

de un Plan de Continuidad del Negocio, sin embargo después del Post Test, se recomienda el

desarrollo e implementación formal de un Plan de Continuidad del Negocio.

Se comprueba que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de



Plan de Continuidad del Negocio. Plan de Continuidad del Negocio.PRE TEST POST TEST

0

0.2

0.4

0.6

0.8

1

1.2

0

1


CAPÍTULO V

CONCLUSIONES Y RECOMENDACIONES


5.1 CONCLUSIONES

- Como se puede apreciar en los resultados obtenidos en el ITEM 1, CAPITULO IV: DISCUSIÓN

DE RESULTADOS, se puede decir que se ha logrado identificar las amenazas que afectan la

seguridad y los procesos de las Tecnologías de información, con esto se comprueba y

concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad

de las T.I. en la UCV-Piura.

- Como se puede apreciar en los resultados obtenidos en el ITEM 2, CAPITULO IV: DISCUSIÓN

DE RESULTADOS, se logró identificar que se sigue cumpliendo con la implementación y

desarrollo de los proyectos del Plan Operativo de la OTI, con esto se comprueba y concluye

que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I.

en la UCV-Piura.

- Se puede apreciar en los resultados obtenidos en el ITEM 3, CAPITULO IV: DISCUSIÓN DE

RESULTADOS, se ha logrado identificar que se debe implementar un Procedimiento formal

para la concesión, administración de derechos y perfiles, con esto se comprueba y concluye

que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I.

en la UCV-Piura.

- En el resultado obtenido en el ITEM 4, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se ha

logrado identificar que se debe implementar un Registro formal de revisiones periódicas sobre

los derechos concedidos a los usuarios, con esto se comprueba y concluye que aplicando la

Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.

- En el ITEM 5, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se identifico tres controles que

se proponen implementarlos, para evitar el acceso físico no autorizado, con esto se

comprueba y concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión

de seguridad de las T.I. en la UCV-Piura.

- Para el ITEM 6, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se identifico tres controles

preventivos, los cuales serán desarrollados e implementados por la OTI, con esto se



- Según el resultado obtenido en el ITEM 7, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se

puede inducir que se ha logrado identificar la necesidad de desarrollar e implementar un

procedimiento de respaldo, con esto se comprueba y concluye que aplicando la Auditoría

basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.



- Con el resultado obtenido en el ITEM 8, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se ha

logrado identificar que la UCV-Piura debe contar con un procedimiento formal para reportar

incidentes de seguridad de la información, con esto se comprueba y concluye que aplicando la

Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.

- Como se puede apreciar en el resultado obtenido en el ITEM 9, CAPITULO IV: DISCUSIÓN DE

RESULTADOS, se puede deducir que se ha logrado identificar que se debe implementar de

manera formal un Registro de incidentes de seguridad de información, con esto se comprueba

y concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad

de las T.I. en la UCV-Piura.

- Si se observa el resultado obtenido en el ITEM 10, CAPITULO IV: DISCUSIÓN DE

RESULTADOS, se puede deducir que se ha logrado identificar que la UCV Piura carece de

una Política de seguridad de la información para el cual se recomienda el desarrollo e

implementación formal, con esto se comprueba y concluye que aplicando la Auditoría basada

en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.

- Del resultado obtenido en el ITEM 11, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se

puede deducir que se ha logrado identificar que la UCV Piura carece de un Plan de Continuidad

del Negocio para el cual se recomienda el desarrollo e implementación formal, con esto se



- La seguridad no es un tema de un día, ni un tema exclusivo del departamento de TI.

- No se puede garantizar una seguridad al 100%, ya que siempre existen riesgos, por tanto las

medidas, controles y estrategias que se implementen permitirán reducir el riesgo

progresivamente, teniendo un enfoque de mejora continua.

- La NTP ISO/IEC 17799 es un código de buenas prácticas para la administración de la

seguridad en una organización de cualquier naturaleza, al ofrecer un conjunto de controles

permite normar la seguridad de manera clara, especifica y aplicativa; es por ello que se

constituye en la base fundamental para el desarrollo de la presente tesis.

- La Universidad está dando el primer paso en implementar la Gestión de Seguridad de las

Tecnologías de Información, indispensable en toda organización.

- Para implementar el Manual de Gestión de Seguridad de las Tecnologías de Información se

concluye que el mejor camino a seguir es: conocer la naturaleza de la organización, hacer un



análisis de riesgos de posibles amenazas sobre la información, para poder llegar a identificar y

diseñar controles; los cuales serán sometidos a revisiones y aprobaciones.

- La norma ISO 17799 señala como parte esencial la definición de una estructura organizativa en

cuanto a seguridad, donde se puntualicen roles y responsabilidades que cada integrante de la

organización debe asumir.

- Los cambios en la tecnología influyen en qué y cómo auditar, por lo que inevitablemente, la

auditoría ha cambiado de manera drástica en los últimos años con el gran impacto que han

generado las técnicas informáticas en la forma de procesarla.

- El control que provee la auditoria es parte de los procesos de negocios y está integrado en

ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y

aplicabilidad en cada momento, con lo que, constituye una herramienta útil para la gestión, pero

no un sustituto de ésta.

Dada la hipótesis: “La Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las

Tecnologías de Información en la Universidad César Vallejo-Piura” y los resultados que han

llevado a las conclusiones anteriormente expuestas podemos concluir que la hipótesis se prueba

total mente porque los indicadores inciden positivamente sobre estos.

5.2 RECOMENDACIONES

- Como auditor en la realización de esta tesis, siempre se debe tener presente, que una auditoría

no es una persecución de culpables, esta es la manera de evitar que las personas auditadas se

sientan intimidados y creen anticuerpos frente a la labor de control. De otra forma, al no lograr

la apertura de los entrevistados, nuestras auditorías no lograrán tener la profundidad necesaria,

afectando la detección de fallas del sistema y no cumplir con su objetivo, el detectar las

desviaciones frente a los criterios de la auditoría. Es por eso que recomiendo dejar muy en

claro que el objetivo de la presente auditoria es emitir una opinión razonable que permita

implementar controles y estrategias de seguridad de información, relacionada a los procesos

del negocio, logrando fortalecer la integridad, disponibilidad y confidencialidad de la información

de la empresa para consolidar el logro de los objetivos institucionales.

- Desarrollar capacitación dirigida al personal de la OTI, en relación a la implementación de la

NTP ISO 17799.

- Que la alta Dirección dirija la implementación de un sistema de gestión de seguridad de

información, el mismo que sea difundido a todos los colaboradores de la UCV de Piura.



- Establecer un comité de seguridad de información liderado por la alta dirección.

- Establecer un comité de tecnologías de información, el mismo que será responsable de la

implementación de los proyectos de T.I.


CAPÍTULO VI

REFERENCIAS BIBLIOGRÁFICAS


ANR, Asamblea Nacional de Rectores (1995) Resolución Nº 437-95-ANR. Oficio Nº 056-95-SG. Perú.

BRAVO CERVANTES, Miguel H.. Auditoría del Sistema Informático. Perú. Manuel Chahu E.I.R.L.

CASAE (2008) MAGERIT – versión 2: Metodología de Análisis y Gestión de Riesgos de los Sistemas

de Información. Consejo Superior de Administración Electrónica. España. [Citado 12 de Octubre del

2008] Disponible en formato PDF en: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

CENTP (2009) Catálogo Especializado de Normas Técnicas Peruanas [Citado 20 de Septiembre del

2009] en formato PDF en: http://www.bvindecopi.gob.pe/

CONAFU, Consejo Nacional para la Autorización de Funcionamiento de Universidades (1996)

Resolución Nº 265-2006-CONA.

DEGERENCIA (2008) Página web La Gerencia. [Citado 04 de Octubre del 2008] Disponible en:

http://www.degerencia.com/area.php?areaid=2001.FU. Perú.

DELTA (2004) Planeación Estratégica de Tecnología Informática. Página web de servicios de

asesoría y consultoría de tecnología informática Delta. [Citado 13 de Octubre del 2008] Disponible en

formato PDF en: http://www.deltaasesores.com/docum/txpeti2004a.pdf

EL PERUANO (1991) Normas Legales. Crean la Universidad Privada César Vallejo, teniendo como

sede la ciudad de Trujillo, Ley Nº 25359. p.101813.Perú

EL PERUANO (1994) Normas Legales. Modifican artículo de Ley referido a la creación de carreras

profesionales en universidad privada, Ley Nº 26409. Perú.

GESTIOPOLIS (2008) Pagina web de Gestiopolis [Citado 04 de Octubre del 2008] Disponible en:

http://www.degerencia.com/area.php?areaid=2001.

IESE (2008) Pagina Web de la escuela de dirección de empresas de la Universidad de Navarra.

Gobernar las TI: obtener el máximo valor de la tecnología. [Citado 04 de Diciembre del 2008]

Disponible en formato PDF en:

http://www.iese.edu/es/files/Art_ED_Cabre_Microcommerce_ESP_tcm5-7281.pdf.

INEI (2009) ¿Qué es la Auditoría Informática?. Instituto Nacional de Estadística e Informática. [Citado

11 de Octubre del 2008] Disponible en formato PDF en:

http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro.pdf.



ISACA (2009) COBIT 4.1. Español. Information Systems Audit and Control Association. [Citado 11 de

Octubre del 2008] Disponible en formato PDF en:

http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/

CobiT4_Espanol.pdf.

HELKYNCOELLO (2009) Página web de helkyn coello blog [Citado 25 de Enero del 2009] Disponible

en: http://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-como-integrar-y-adoptar-los-

estandares-para-un-buen-gobierno-de-ti/

NEYRA Córdova, Omar (2008). Nuevos enfoques de Control Interno en Tecnologías de Información

(T.I.), COBIT 4.0., material del curso. Auditoría de Sistemas. Escuela Profesional de Ingeniería de

Sistemas de la Universidad César Vallejo. Piura-Perú.

NTP ISO/IEC 17799 (2009) Norma Técnica Peruana - Edi. Tecnologías de Información

ISO/IEC17799-2007 [Citado 20 de Septiembre del 2009] en formato PDF en:

http://www.bvindecopi.gob.pe/

RAE (2009) Página web de la Real Academia Español. Vigésima segunda edición. España [Citado 20

de Septiembre del 2009] Disponible en: http://www.rae.es/rae.html.

SISBIB (2008) Tesis: Planeamiento Estratégico de Tecnologías de Información de La Escuela

Superior Privada de Tecnología-SENATI. Sistemas de Bibliotecas. Perú. [Citado 12 de Octubre del

2008] Disponible en formato PDF en:

http://sisbib.unmsm.edu.pe/bibvirtualdata/Tesis/Basic/najarro_bj/najarro_bj.PDF.

UCVPIURA, Universidad César Vallejo Piura (2002) Proyecto de creación de la Filial Piura. Piura –

Perú.

UCVPIURA, Universidad César Vallejo Piura (2006) Manual de Organización y Funciones. Piura-

Perú.

UCVPIURA, Universidad César Vallejo Piura (2009) Centro de Informática y Sistemas. Pagina Web

de la Universidad César Vallejo-Piura. [Citado 20 de Septiembre del 2009] Disponible en:

http://www.ucvpiura.edu.pe/cis/.

UTP (2009) Pagina Web de la Universidad Tecnológica de Puebla. [Citado 11 de Septiembre del

2008] Disponible en formato PDF en:

http://electricidad.utpuebla.edu.mx/Manuales%20de%20asignatura/1er%20cuatrimestre/Informatica

%20I.pdf


CAPÍTULO VII

ANEXOS

ANEXO N° 01

CRONOGRAMA DE LA TESIS

Elabo

rado po

r el A

utor

FIG

UR

A N

º 04: C

ron

og

rama d

e la T

esis

ANEXO N° 02

INDICADORES DE LA TESIS

ITEM DENOMINACIÓNDEFINICIÓN

CONCEPTUALDEFINICIÓN OPERACIONAL UNIDAD TECNICA INSTRUMENTO FUENTE INSTRUMENTO

I.1.

Amenazas que afectan la seguridad y los procesos de las


Número de amenazas que



NTAASPTI = NAASPTINTAASPTI = Número total de

amenazas que afectan la seguridad y los procesos de

las Tecnologías de información.

NAASPTI = Número de amenazas que afectan la

seguridad y los procesos de las Tecnologías de

información.

Número entero

ObservaciónGuía de

observaciónN° 01

---- ----

I.2.

Grado de implementación de

proyectos de la OTI.

Número de proyectos implementados por la

OTI.

NTSDT / NSDTNTSDT = Número total de

proyectos implementados por la OTI

NSDT = Número total de proyectos implementados por

la OTI.

Porcentaje ObservaciónGuía de

observaciónN° 02

---- ----

I.3.

Procedimientos formales para la

concesión, administración de

derechos y perfiles.

Número de procedimientos formales para la

concesión, administración de

derechos y perfiles.

NTPFCADP = NPFCADPNTPFCADP = Número total de procedimientos formales

para la concesión, administración de derechos y

perfiles.NPFCADP = Número de

procedimientos formales para la concesión, administración

de derechos y perfiles.

Número entero


observaciónN° 03

---- ----

CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura. (continua)Elaborado por el autor.



I.4.

Registro de revisiones periódicas sobre los derechos concedidos a los

usuarios.

Número de registro de revisiones

periódicas sobre los derechos concedidos

a los usuarios.

NTRRPDCU = NRRPDCUNTRRPDCU = Número total

de registro de revisiones periódicas sobre los derechos

concedidos a los usuarios.NRRPDCU = Número de

registro de revisiones periódicas sobre los derechos

concedidos a los usuarios.

Número entero


observaciónN° 04

---- ----

I.5.

Controles para evitar el acceso físico no

autorizado.


NTCEAFA = NCEAFANTCEAFA = Número total de

controles para evitar el acceso físico no autorizado.

NCEAFA = Número de controles para evitar el acceso

físico no autorizado.

Número entero


observaciónN° 05

---- ----

I.6.

Controles preventivos y de detección sobre el uso de software de procedencia dudosa.


detección sobre el uso de software de

procedencia dudosa.

NTCPDSP = NCPDSPNTCPDSP = Número total de

controles preventivos y de detección sobre el uso de software de procedencia

dudosa.NCPDSP = Número de

controles preventivos y de detección sobre el uso de software de procedencia

dudosa.

Número entero


observaciónN° 06

---- ----




I.7.



Número de procedimientos de

respaldos regulares y periódicamente

validados.

NTPRRPV = NPRRPVNTPRRPV = Número total de procedimientos de respaldos regulares y periódicamente

validados.NPRRPV = Número de

procedimientos de respaldos regulares y periódicamente

validados.

Número entero


observaciónN° 07

---- ----

I.8.

Procedimiento formal para reportar incidentes de

seguridad de la información.

Número de procedimiento formal

para reportar incidentes de


NPFRISI = NPFRISINTPFRISI = Número total de

procedimiento formal para reportar incidentes de

seguridad de la información.NPFRISI = Número de

procedimiento formal para reportar incidentes de


Número entero


observaciónN° 08

---- ----

I.9.

Registro de incidentes de


Número de registro de incidentes de seguridad de la

información.

NTRISI = NRISINTRISI = Número total de registro de incidentes de

seguridad de la información.NRISI = Número de registro

de incidentes de seguridad de la información.

Número entero


observaciónN° 09

---- ----




I.10. Política de seguridad de la información.

Número de Política de seguridad de la

información.

NTPSI = NPSINTPSI = Número total de

Política de seguridad de la información.

NPSI = Número de Política de seguridad de la información.

Número entero


observaciónN° 10

---- ----

I.11. Plan de continuidad del negocio.

Número de Plan de continuidad del

negocio.

NTPCN = NPCNNTPCN = Número total de

Plan de continuidad del negocio.

NPCN = Número de Plan de continuidad del negocio.

Número entero


observaciónN° 11

CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura. (fin)


ANEXO N° 03

FORMATO DE LAS GUÍAS DE OBSERVACIÓN

Guía de Observación Nº 01:

Gestión de seguridad de las T.I.

Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.

Objetivo: Tomar datos para identificar las amenazas que afectan la seguridad y procesos de las Tecnologías de información.

Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará por anulado todo el documento.

DATOS GENERALES:

EMPRESA: Universidad César Vallejo-Piura.

ÓRGANO: Oficina de Tecnologías de Información (OTI).

FECHA INICIO: ____/____/____

HORARIO DE EVALUACIÓN: __________________________

Evento no deseado Observación

NOTA(S):…………………………………………………………………………………………….………….

……………………………………………………………………………………………………………..…....……………………………………………………….....

………………………………………………….…………………………..

Observador: _______________________________________________________________________________________________________________________

Fecha Entrega: ____/____/____

REVISADO PROCESADO ARCHIVADO




Objetivo: Tomar datos para identificar el grado de implementación de proyectos de la OTI .


DATOS GENERALES:



FECHA INICIO: ____/____/____


N° Proyecto ResponsablesEstado (Pendiente, en

Proceso, Implementado)

Número de proyectos

NOTA(S):…………………………………………………………………………………………….

………………………………………………………………………………………………………………………..…....……………………………………………………….....

………………………………………………………………….…………………………………………..………..

Observador: ________________________________________________________________________________






Objetivo: Verificar la existencia de controles implementados para la concesión y administración de derechos y perfiles.


DATOS GENERALES:



FECHA INICIO: ____/____/____


N° ControlesImplementado

Sí No1 Procedimiento formal para la concesión, administración de derechos y perfiles.

2 Exista responsable(s) de la administración de derechos y perfiles.3 Que el MOF este adecuado a la administración y concesión de derechos y perfiles.4 Que el área de recursos humanos y las jefaturas sean los responsables en la autorización para la

concesión de derechos y perfiles de los usuarios.Número de procedimientos

NOTA(S):…………………………………………………………………………………………….

………………………………………………………………………………………………………………………..…....……………………………………………………….....

…………………………………………………….………………………………………………...………………..

Observador: _______________________________________________________________________________






Objetivo: Verificar el desarrollo de revisiones periódicas sobre los derechos concedidos a los usuarios.


DATOS GENERALES:



FECHA INICIO: ____/____/____


N°Fecha

RevisiónObjetivo de la revisión

Se RealizóResultados

Sí No

Número de revisiones

NOTA(S):…………………………………………………………………………………………….

………………………………………………………………………………………………………………………..…....

……………………………………………………….....………………………………….…………………………………………..

Observador: _______________________________________________________________________________





Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en

la Universidad César Vallejo - Piura.

Objetivo: Verificar la existencia de controles para evitar el acceso físico no autorizado.

Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o

manchones ya que se dará por anulado todo el documento.

DATOS GENERALES:



FECHA INICIO: ____/____/____


N° ControlesIdentificado

Sí NoPerímetro de seguridad definido.

Barreras físicas, , etc.Alarmasbarras metálicasDispositivos biométricosBitácora de visitas.Número de Controles

NOTA(S):…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

……..…....……………………………………………………….....

………………………………………………………

Observador:

_______________________________________________________________________________







Objetivo: Verificar la existencia y uso de controles preventivos y de detección sobre el uso de software de

procedencia dudosa.



DATOS GENERALES:



FECHA INICIO: ____/____/____


N° ControlesIdentificado

Sí No1 Política para el adecuado uso de software legalmente adquirido.

2 Inventario de software.

3 Software no autorizado instalado.

Número de Controles

NOTA(S):…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

……..…....……………………………………………………….....

………………………………………………………

Observador:

_______________________________________________________________________________







Objetivo: Verificar la existencia de respaldos (copias de seguridad, generadas periódicamente).



DATOS GENERALES:



FECHA INICIO: ____/____/____


N° Respaldo Fecha Tipo

Número de Procedimientos

NOTA(S):…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

……..…....……………………………………………………….....

………………………………………………………

Observador:

_______________________________________________________________________________







Objetivo: Verificar la implementación de aspectos relacionados al control y registro de incidentes de




DATOS GENERALES:



FECHA INICIO: ____/____/____


N° AspectosContemplado

Sí No1 Evaluación inicial.2 Comunicar el incidente3 Contener el daño y minimizar el riesgo4 Identificar el tipo y la gravedad del ataque5 Proteger las pruebas6 Notificar a las áreas correspondientes7 Recuperar los sistemas8 Compilar y organizar la documentación del incidente9 Valorar los daños y costos del incidente10 Revisar las directivas de respuesta y actualización

Número de Procedimientos

NOTA(S):…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

……..…....……………………………………………………….....

………………………………………………………

Observador:

_______________________________________________________________________________






Objetivo: Tomar datos para identificar el número de incidentes registrados en seguridad de información.


DATOS GENERALES:



FECHA INICIO: ____/____/____


N° Incidentes Área Fecha Medidas Correctivas

Número de Incidentes

NOTA(S):…………………………………………………………………………………………….

………………………………………………………………………………………………………………………..…....

……………………………………………………….....……………………………….……………………………………………..

Observador: _______________________________________________________________________________







Objetivo: Verificar la existencia de la Política de seguridad de la información.



DATOS GENERALES:



FECHA INICIO: ____/____/____


ControlIdentificada Fecha de

AprobaciónFecha de última

ActualizaciónSí NoPolítica de seguridad de la información.

NOTA(S):…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

……..…....……………………………………………………….....

………………………………………………………

Observador:

_______________________________________________________________________________







Objetivo: Verificar la existencia de la Política de continuidad del negocio.



DATOS GENERALES:



FECHA INICIO: ____/____/____


ControlIdentificada Fecha de

AprobaciónFecha de última

ActualizaciónSí NoPolítica de continuidad del negocio.

NOTA(S):…………………………………………………………………………………………….

…………………………………………………………………………………………………………………

……..…....……………………………………………………….....

………………………………………………………

Observador:

_______________________________________________________________________________



ANEXO N° 04

FORMATO DEL PAPEL DE TRABAJO

Campos del formato del Papel de Trabajo.

El encabezado de cada cédula incluirá:

Nombre y siglas de la entidad auditada.

Ejemplo: Universidad “La Esperanza”.

Tipo de Examen.

Ejemplo: Examen Especial al Área de Abastecimiento.

Periodo del examen.

Ejemplo: Del 01.Ene.09 al 31.Dic.09

Título de la Cédula de Trabajo.

Ejemplo: Licitaciones Públicas.

En la parte inferior:

En el lado derecho el código de acuerdo al índice que corresponda.

En el lado izquierdo el nombre o iníciales de la persona que la preparó y de quien la revisó, así

como las fechas de preparación y de revisión.

ANEXO N° 05

FORMATO DE DEFICIENCIA PARA LA AUDITORÍA

BASADA EN ISO/IEC 17799 PARA LA GESTIÓN DE

SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN

EN LA UNIVERSIDAD CÉSAR VALLEJO - PIURA.

DEFICIENCIA N° ______

FECHA DE LLENADOÁREA AUDITADA:

DÍA MES AÑOAUDITOR JUNIOR:

DETALLE

Condición:

Criterio:

Causa:

Efecto:

Recomendaciones:

SUPERVISOR:FECHA DE REVISIÓN

DÍA MES AÑO


Campos del Formato de deficiencia para la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo -

Piura.

N°:

- Se coloca el número del hallazgo el cual debe de seguir un orden correlativo conforme se van

descubriendo los mismos.

DETALLE:

- Condición: “Lo que es” Aquello que el auditor encuentra o descubre.

- Criterio: “Lo que debe ser” Marco de referencia con el que se compara la condición para

encontrar divergencias. Ley, reglamento, carta, circular, memorando, procedimiento, norma de

control interno, norma de sana administración, principio de contabilidad generalmente aceptado,

opinión de un experto o finalmente juicio del auditor. Para auditorías de sistemas de información

y TI: GAISP, COBIT, ISO 17799, SB 443/20a03, NAG 270 y otros.

- Causa: “Por qué” El origen de la condición observada. El porqué de la diferencia entre la

condición y el criterio, deberán ser desarrolladas de acuerdo a la explicación que de el

responsable.

- Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio, el efecto

tendrá un resultado positivo o negativo

- Recomendación: “Arregla la condición” La recomendación se deberá elaborar habiendo

desarrollado los anteriores atributos del hallazgo. La recomendación deberá emitirse con la idea

de mejorar o anular la condición y llegar al criterio atacando la causa y arreglar el efecto para

futuras situaciones. La recomendación deberá ser viable técnica y económicamente.

ANEXO N° 06

RECURSOS, MATERIALES, PRESUPUESTO Y FINANCIAMIENTO DE LA TESIS

Recursos.

Humanos:

En esta investigación participan directamente o indirectamente las siguientes personas:

Investigador:


Asesor:

Ingeniero Juan Miguel Espinoza Saucedo.

Materiales.

Hardware:

Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador

DVD.

Una impresora Canon IP1000.

Mouse Delux V3.

Software:

Windows XP SP3.

Microsoft Office 2007 (Word, Excel, PowerPoint, Project)

Mozilla Firefox 3.0.10.

Internet Explorer 8.

WinRar 3.6.2.

WinZip 10.

Nero 7 Premium.

Adobe Reader 9.

WinAudit 2.1.7.0.

The Dude Freeware 3.4.

SPSS17.

Otros Materiales:

Materiales de escritorio.(1 lápiz, 3 lapiceros, 1 grapadora, 1 perforador, 1 regla de 30 cm)

1 Millar Papel A4.

5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon

IP1000.

1 CD’s de 700 MB.

2 Fólderes Manila A4 Grafos.

1 Memoria USB de 32 GB Marca: Kinstong.

Duracell Plus 9v Battery.

Probador de Cables de Red UTP.

Servicios:

Fotocopiado.

Transporte Urbano.

Energía eléctrica.

Internet.

Presupuesto:

TABLA Nº 01: Presupuesto para el desarrollo del proyecto de tesis.

RECURSO DESCRIPCIÓN CANTIDAD TOTAL (S/.)

PersonalResponsable del trabajo de investigación 1 150.00 150.00

Asesor 1 270.00 270.00

SUBTOTAL 420.00

Hardware

Notebook HP530, Up Core 2 Duo de 1.60 GHZ, 1 2220.00 2220.00Una impresora Canon IP1000. 1 100.00 100.00Mouse Delux V3 1 20.00 20.00

SUBTOTAL 2320.00

Software

Windows XP SP3. 1 450.00 450.00

1 210.00 210.00

Mozilla Firefox 3.5.2. 1 0.00 0.00Internet Explorer 8. 1 0.00 0.00WinRar 3.6.2. 1 0.00 0.00WinZip 10. 1 0.00 0.00Nero 7 Premium. 1 0.00 0.00Adobe Reader 9. 1 0.00 0.00WinAudit 2.1.7.0. 1 0.00 0.00The Dude Freeware 3.4. 1 0.00 0.00SPSS17. 1 0.00 0.00

SUBTOTAL 660.00

1 25.00 25.00

Millar Papel A4. 1 25.00 25.00

5 10.00 50.00

CD’s de 700 MB. 1 1.50 1.50Fólderes Manila A4 Grafos. 2 0.70 1.40Memoria USB de 32 GB Marca: Kinstong. 1 100.00 100.00Duracell Plus 9v Battery. 2 8.00 16.00Probador de Cables de Red UTP. 1 300.00 300.00

SUBTOTAL 518.90

Servicios

Fotocopiado 0 0.10 0.00Trasporte Urbano 1 100.00 100.00Energía eléctrica. 3 30.00 90.00Internet 3 120.00 360.00

SUBTOTAL 550.00

PRECIO UNITARIO

(S/.)

Microsoft Office 2007 Basic (Word, Excel, PowerPoint, Project)

Otros Materiales

Materiales de escritorio.(lápiz, lapiceros, grapadora, perforador, regla)

Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon IP1000.

Fuente: Tienda Córdova.Elaborado por el Autor.

Financiamiento:

El Proyecto fue financiado de la siguiente manera:

El pago al asesor fue financiado por la universidad.

El financiamiento para los recursos de hardware, software, otros materiales y servicios fueron

costeados por el autor que desarrolla la tesis.

ANEXO N° 07

FORMATO DE SOLICITUD DE DOCUMENTACIÓN

“AÑO DE LA UNIÓN NACIONAL FRENTE A LA CRISIS EXTERNA”

Piura, 30 de Octubre de 2009

Ingeniero XXXX XXXXX XXXXX XXXXXX

Jefe de la Oficina de Tecnologías de Información de la UCV de Piura

Sirva la presente para saludarle cordialmente y comunicarle que como parte del Desarrollo de mi

Tesis “Auditoria basada en ISO 17799 para la gestión de la seguridad de las Tecnologías de

Información en la Universidad César Vallejo de Piura” requiero contar con la documentación que

detallo a continuación:

Manual de Organización y Funciones de la OTI

Organigrama interno de la OTI

Plan de trabajo de la OTI : Operativo y/o Estratégico. De no contar con esta

documentación, debe proporcionar la relación de los principales proyectos planificados y

desarrollados, indicando para cada uno de ellos su grado (porcentaje) de implementación.

Plan de Mantenimiento de Hardware o algún documento similar.

Plan de Seguridad de Información o algún documento similar.

Cronograma de mantenimiento preventivo de hardware

Inventario de Hardware por tipo de equipo: Servidor, estaciones de trabajo, impresoras,

equipos de comunicación.

Inventario de Software por tipo de software: Sistema operativo, antivirus, software

ofimático, utilitarios, otros.

Metodología de Desarrollo de software.

Diagramas de red de computadoras.

Plan de Recuperación de Tecnologías de Información o algún documento similar.

Documento donde se detalle y describa todos los sistemas informáticos implementados

por el OTI y a los que se les brinda soporte y/o mantenimiento, con el siguiente detalle:

Nombre del Sistema Breve descripción de su

funcionalidad

Áreas usuarias del

sistema.

Documentación técnica de los sistemas: Manuales técnicos, diccionario de datos,

diagrama entidad relación, entre otros que se han utilizado en su implementación.

Manual de Procesos y/o Procedimientos de la OTI .

Diagramas de red.

Por lo antes expuesto, solicito a usted me proporcione la información requerida. En caso no se

cuente con parte del requerimiento o no se puede entregar físicamente, agradeceré se me indique

por escrito como respuesta a la presente con el debido sustento.

Agradezco de antemano vuestra atención y apoyo al presente.

Atentamente,

___________________________Autor

DNI N° XXXXXXXX

ANEXO N° 08

FORMATO DE LA ENTREVISTA DE USUARIO

Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura

ENTREVISTA DE USUARIO N°: ……..….

Nombre de Usuario: ………….…….………………….

Área: ………….…….……………………………. Cargo: ……………………….………………………….

Funciones desarrolladas: ……………………….……………………….……………………….…………..

…………………………………………………………………………………………………………………...

Marque con una ( x ) la alternativa que usted considera es la más adecuada, escribir de forma

clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará

por anulada la pregunta.

1. ¿La cuenta de usuario asignada para su inicio de sesión de la red tiene clave?

Sí ( ) No ( ) Desconozco ( )

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

2. ¿Su cuenta de usuario para acceder a la red es la misma que utiliza para acceder a los

sistemas de información de la UCV-Piura?

Sí ( ) No ( ) Desconozco ( )

Sí, ¿Por qué?………………………………………………………...……….………………………….....…

…………………………………………………………………………………………………………………...

3. Para las diferentes cuentas de usuario asignadas como: cuenta de usuario de red, cuenta de

correo electrónico, cuentas de usuarios de sistemas administrativos…. ¿Utiliza la misma

contraseña o password?

Sí ( ) No ( )

Sí, ¿Por qué?……………..………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

4. ¿Usted proporciona a otra persona su(s) cuenta(s) de su usuario (login) y clave (password)?

Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( )

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

5. ¿Considera que los servicios que brinda el OTI en el desarrollo de sistemas, instalación de

redes, mantenimiento, reparación de computadoras e impresoras, dé los resultados esperados

en el desempeño de sus actividades?

Sí ( ) No ( )

¿Por qué?…………………………………………………………...………….………………………………

…………………………………………………………………………...………………………………………

Elaborada por: Marco Antonio Riega Reto


6. ¿Cómo califica la solución que le brinda el OTI en el desarrollo de sistemas, instalación de

redes, mantenimiento, reparación de computadoras e impresoras?

Deficiente ( ) Mejorable ( ) Aceptable ( ) Excelente ( )

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

7. ¿Hay disponibilidad de la OTI para sus requerimientos?

Nunca ( ) Algunas veces ( ) Casi siempre ( ) Siempre ( )

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

8. ¿Por qué problemas suele usted llamar al OTI? Marque los problemas por lo que usted suele

llamar.

Problemas con la PC ( ) Problemas con la red ( ) Problemas con la impresora ( )

Problemas con el sistemas ( ) Problemas de inicio de sesión ( ) Otro ( )

¿Cual?..................................................................................................................................................

9. ¿Son entregados con puntualidad los trabajos de que realiza el OTI?

Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( )

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

10.¿Cubre sus necesidades la computadora que le ha sido asignada para las actividades ó

procesos que realiza?

No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( )

¿Por qué?……………………………………………………………………….……………………...………

…………………………………………………………………………………………………………...………

11.Usted considera que su computadora es:

Lenta ( ) Aceptable ( ) Rápida ( )

¿Por qué?……………………………………………………………………….……………………...………

…………………………………………………………………………………………………………...………

12. ¿Existen fallas de exactitud en los procesos de información del sistema o sistemas que

utiliza?

Sí ( ) No ( )

Sí, ¿En cuáles?......…………………………………………………………………………………………...

…………………………………………………………………………………………………………………...

13. ¿Le son útiles los reportes que le proporcionan el sistema o sistemas que utiliza?

Sí ( ) No ( ) Algunos ( )



14. ¿Cuenta con un manual de usuario por Sistema, completo y actualizado, bien sea en medio

impreso o magnético?

Sí ( ) No ( )

15. ¿Es claro y objetivo el manual del usuario? (marcar si respondió Sí en la pregunto 15)

Sí ( ) No ( )

16. Cuando se requiere del desarrollo de un nuevo sistema ¿Qué persona(s) en su área, es la

encargada de coordinar su diseño y ejecución con el OTI?

…………...……………………………………………………………………….……………………………

…………………………………………………………………………………………………………………

17. ¿Qué sistemas, aplicaciones ó programas desearía que se instalara en su PC que usted

necesite?

……………………………………………………………………………………………..……………………

………………………………………………………………...…………………………………………………

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

18. ¿Qué opina sobre las capacitaciones que realiza el OTI de los diferentes software o

herramientas tecnológicas que se utiliza en la empresa?.

No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( )

¿Por qué?…………………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

19. ¿Alguna vez ha hecho un informe con los requerimientos de la computadora que usted

necesita?

Sí ( ) No ( )

Sí, ¿Por qué?……………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

20. ¿Le atendieron su requerimiento? (marcar si respondió Sí en la pregunta 21)

Sí ( ) No ( )

No, ¿Por qué?….…………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

21. ¿Su computadora cuenta con acceso a internet?

Sí ( ) No ( )

¿Para qué lo utiliza?…...………………………………………………………..……….……………………

……………………………………………………………………………………………...……………………



22. ¿Cuenta con el antivirus (Kaspersky 6.0.3.) instalado y actualizado en la computadora que le

asignaron?

Sí ( ) No ( ) Desconoco ( )

No, ¿Por qué?……………………………………………………………….……………………………...…

23. Antes de utilizar la memoria USB la analiza utilizando el antivirus instalado en la

computadora?

Sí ( ) No ( )

No, ¿Por qué? ………………………………………………………….…………………………………...…

…………………………………………………………………………………………………………………...

24.¿Cuenta con el formato: Movimiento Único de Bienes Patrimoniales, para el traslado de

equipos?

Sí ( ) No ( )

No, ¿Por qué?…………………………………………………………………..…………………………...…

…………………………………………………………………………………………………………………...

25.¿Usted comparte alguna carpeta o archivo por Red?

Sí ( ) No ( ) Algunas veces ( )

Sí, ¿Con quién o con qué área? ……………………………..….………………..……………..…………

…………………………………………………………………………………………………………..……….

26.¿Esta carpeta o archivo que usted comparte por red tiene algún tipo de seguridad, clave,

password, etc.?

Sí ( ) No ( ) Algunas veces ( )

No, ¿Por qué?……………………………………………………………….……………………………...…

…………………………………………………………………………………………………………………...

27.¿Cuenta con estudios básicos de computación, en Office 2007 y Windows XP?.

Sí ( ) No ( )

Sí, ¿Cuáles, donde los realizo y en qué año? ……...……………………………………………………

…………………………………………………………….………….………………………………………..

…………………………………………………………………………………………………………………

Observaciones o recomendaciones al OTI:

……………………………………………………………………………………...………………………..….

…………………………………………………………………………………………………...………..…….

………………………………………………………………………………………………………………..….

………………………………………………………………………………………………………………..….

………………………………………………………………………………………………………………..….


ANEXO N° 09

FORMATO DE EVALUACIÓN DEL CUMPLIMIENTO DE

LAS FUNCIONES DE LAS ÁREAS DE LA OTI


EVALUACIÓN DEL CUMPLIMIENTO DE LAS FUNCIONES DE LAS ÁREAS DE LA OTI

Coloque un si la función SÍ se cumple y una si la función NO se cumple. E scribir de

forma clara; usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se

dará por anulada su respuesta.

FUNCIONES DE LA JEFATURA DE LA OTI

Formular y ejecutar el PACI (Plan de Avance y Capacitación Informática) de la UCV Piura.

Controlar y evaluar la ejecución de los planes

Proponer, coordinar y supervisar la renovación en la tecnología informática utilizada en la

institución.

Formular, ejecutar y controlar los programas, aprobado para su funcionamiento y desarrollo

Desarrollar un Plan de Seguridad para proteger la información de la base de datos, correos y

página web de nuestra institución.

Evaluar y definir las políticas de seguridad para la red informática de la universidad

Investigar, estudiar y proponer nuevas técnicas informáticas recomendando a la empresa las

alternativas más adecuadas para su implementación.

Administrar las licencias adquiridas por nuestra institución con las instaladas en las

computadoras de la red de la UCV Piura.

Promover reuniones de trabajo con el personal a cargo para tratar en forma conjunta sobre

resolución de problemas, información de nuevas actividades necesarias.

Elaborar, presentar y sustentar el Plan Operativo del área.

Otras funciones que asigne el Directorio de la UCV Piura.

FUNCIONES DE LA ASISTENCIA ADMINISTRATIVA

Atender y orientar al cliente (interno y externo) que solicite los servicios de una manera cortes y

amable.

Mantener actualizados archivos físicos y en base de datos, clasificándolos ordenadamente por

tipo y fecha.

Elaboración de diversos documentos del área.

Coordinar reuniones y agenda respectiva.

Hacer y recibir llamadas telefónicas para tener informado a la Jefatura de la OTI de los

compromisos y demás asuntos.

Elaborar y presentar periódicamente y a solicitud de la Jefatura de la OTI , los reportes

adecuados.

Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .

FUNCIONES DEL AREA DE REDES

Mantener y administrar las comunicaciones internas y externas de la UCV Piura.

Mantener y administrar servicios de internet.



Diseñar, implementar y administrar las redes de comunicación de la universidad.

Planificar, ejecutar y supervisar la implementación del cableado de redes de voz y datos de

nuevas oficinas o sedes.

Diseñar y proponer políticas de seguridad para equipos, usuarios, sistemas y en general, el

acceso a la red informática de la universidad.

Operación de sistemas de resguardo de información.

Administración de direcciones IP.

Instalación, configuración y mantenimiento de servidores proxy.

Administración de servicios de red.

Monitoreo de redes TCP/IP.

Instalación y mantenimiento de redes de cableado estructurado, incluyendo fibra óptica y

enlaces inalámbricos.

Instalación y configuración de equipos de conectividad (modems, switch, routers, wireless).

Administración, configuración y mantenimiento de sistemas antivirus en servidores.

Detección y control de virus.

Asegurar el mantenimiento, crecimiento, seguridad y operación de la infraestructura de la red

de enlaces de telefonía.

Monitorear, diagnosticar el mantenimiento, aislamiento y detección de fallas de la red de

telecomunicaciones.

Realizar el mantenimiento, crecimiento y aplicaciones de correo electrónico.


FUNCIONES DEL AREA DE DESARROLLO (SISTEMAS Y WEB)

Mantener y administrar las bases de datos de la institución.

Mantener y actualizar la pagina de web de la institución.

Analizar, desarrollar y soportar sistemas de acuerdo a las necesidades de las diversas áreas

para tener un mejor control de la información.

Garantizar el óptimo funcionamiento de los diversos sistemas de información de la universidad.

Evaluar el hardware y software y preparar los estimados de tiempo y costos para el trabajo de

desarrollo de sistemas.

Configuración de los servicios de Internet.

Instalación, configuración y mantenimiento de servidor de web.

Instalación, configuración y mantenimiento de servidores de datos.

Realizar copias de seguridad de la Base de Datos.


FUNCIONES DE SOPORTE TÉCNICO

Asesorar, evaluar y brindar el soporte técnico de software y hardware a las diversas áreas de la

UCV Piura.

Normar y supervisar el uso de software y hardware.



Controlar por medio de un inventario periódico del hardware que poseen las computadoras de

nuestra institución.

Planificar, organizar, dirigir y supervisar las actividades de mantenimiento integral de los

equipos de tecnología de comunicación y mantenimiento de equipos de cómputo.

Preparar planes y realizar el mantenimiento preventivo, correctivo y predictivo de los todos

equipos computacionales y de multimedia.

Proponer y dar mantenimiento a equipos y accesorios de respaldo para atender situaciones de

emergencia.

Instalación, actualización y soporte de software en todos los equipos computacionales de la

universidad (áreas académicas y áreas administrativas).

Soporte y mantenimiento de la red de la universidad.

Ensamblado y puesto en marcha de nuevos equipos a partir de equipos en desuso o

defectuosos.

Instalar los equipos de cómputo en ambientes apropiados para su buen desempeño y

operatividad.

Ejecución de la implementación del cableado de redes de voz y datos en nuevas oficinas o

sedes.

Detección y corrección de fallas en computadoras.



FUNCIONES DEL SOPORTE DE LABORATORIOS UCV

Brindar el soporte técnico de software y hardware a los laboratorios con los que cuenta la

Oficina de Tecnologías de Información.

Normar y supervisar el uso de software y hardware en los Laboratorios.

Realizar periódicamente el inventario de hardware y software de los laboratorios de la Oficina

de Tecnologías de Información.

Instalación, actualización y soporte de software en todos los equipos computacionales de los

laboratorios de la Oficina de Tecnologías de Información.

Controlar el acceso a los laboratorios de cómputo.

Verificar el buen estado de los equipos computacionales, multimedia y muebles de los

laboratorios constantemente.


Realizar instrucciones que le sean asignadas por la Coordinación Académica y la Jefatura de la

OTI .


ANEXO N° 10

FORMATO DE LA EVALUACIÓN DEL PLAN OPERATIVO


CONTROL DE PROYECTOS

1. ¿Quién autoriza los proyectos?.

____________________________________________________________________________

____________________________________________________________________________

2. ¿Cómo se asignan los recursos?.

____________________________________________________________________________

____________________________________________________________________________

3. ¿Cómo se estiman los tiempos de duración?.

____________________________________________________________________________

____________________________________________________________________________

4. ¿Quién interviene en la planeación de los proyectos?.

____________________________________________________________________________

____________________________________________________________________________

5. ¿Cómo se calcula el presupuesto del proyecto?.

____________________________________________________________________________

____________________________________________________________________________

6. ¿Qué técnicas se usan en el control de los proyectos?.

____________________________________________________________________________

____________________________________________________________________________

7. ¿Quién asigna las prioridades?.

____________________________________________________________________________

____________________________________________________________________________

8. ¿Cómo se asignan las prioridades?.

____________________________________________________________________________

____________________________________________________________________________

9. ¿Cómo se controla el avance del proyecto?.

____________________________________________________________________________

____________________________________________________________________________

10.¿Con qué periodicidad se revisa el reporte de avance del proyecto?.

____________________________________________________________________________



____________________________________________________________________________

11.¿Cómo se estima el rendimiento del personal?.

____________________________________________________________________________

____________________________________________________________________________

12.¿Con que frecuencia se estiman los costos de los proyectos para compararlos con los del

presupuestado?.

____________________________________________________________________________

____________________________________________________________________________

13.¿Qué acciones correctivas se toman en caso de desviaciones?.

____________________________________________________________________________

____________________________________________________________________________

14.¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?

Enumérelos secuencialmente.

( ) Determinación de los objetivos.

( ) Señalamiento de las políticas.

( ) Designación del funcionario responsable del proyecto.

( ) Integración del grupo de trabajo.

( ) Integración de un comité de decisiones.

( ) Desarrollo de la investigación.

( ) Documentación de la investigación.

( ) Análisis y valuación de propuestas.

( ) Selección de equipos.



RECURSOS FINANCIEROS Y MATERIALES

RECURSOS FINANCIEROS

1. ¿Se respetan los planteamientos presupuestales del área? Sí ( ) No ( )

No, ¿en qué partidas no se han respetado y en qué monto?

____________________________________________________________________________

2. ¿Los recursos financieros con que cuenta el área son suficientes para alcanzar los objetivos y

metas establecidos? Sí ( ) No ( )

No, ¿Qué efectos se han tenido en el área al no contar con suficientes recursos financieros?

____________________________________________________________________________

3. ¿Existe un programa sobre los requerimientos del área? Sí ( ) No ( )

4. ¿Qué personas del área intervienen en su elaboración?

____________________________________________________________________________

1. ¿Se respetan los planteamientos del área? Sí ( ) No ( )

No, ¿en qué aspectos no se respeta?______________________________________________

2. ¿Los recursos materiales se le proporcionan al área, son suficientes para cumplir con las

funciones encomendadas? Sí ( ) No ( )

No, ¿En qué no son suficientes? _________________________________________________

3. ¿Los recursos materiales se proporcionan oportunamente? Sí ( ) No ( )

4. ¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursos materiales?

____________________________________________________________________________

____________________________________________________________________________

¿Qué sugerencias haría para superar las limitaciones actuales?

____________________________________________________________________________

____________________________________________________________________________

MOBILIARIO Y EQUIPO

5. ¿Se cuenta con el equipo y mobiliario adecuado y en cantidad suficiente para desarrollar su

trabajo?

Sí ( ) No ( )

¿Por qué? ___________________________________________________________________

6. ¿Están adecuadamente distribuidos en el área del trabajo? Sí ( ) No ( )



7. ¿Se ha dejado de realizar actividades por falta de material y equipo? Sí ( ) No ( )

Sí, ¿Qué se hace para solucionar este problema?

____________________________________________________________________________

8. ¿Qué medidas se han tomado?

____________________________________________________________________________

9. ¿Existe el servicio de mantenimiento del equipo? Sí ( ) No ( )

10.Existen medidas de seguridad? Sí ( ) No ( )

¿Cuáles? ¿Por qué?

____________________________________________________________________________

____________________________________________________________________________

11.¿Qué se hace con el equipo en desuso?

____________________________________________________________________________

12.¿Sobre quién recae la responsabilidad del equipo?

____________________________________________________________________________

13.¿Con qué frecuencia se renuevan el equipo y mobiliario?

____________________________________________________________________________

14.¿Se recogen opiniones y sugerencias que permiten establecer las medidas correctivas con las

cuales lograr un mejor funcionamiento de estos recursos? Sí ( ) No ( )


ANEXO N° 11

FORMATO DE LA EVALUACIÓN DEL ÁREA DE LA OTI

(OFICINA)


ÁREA DE LA OTI

ORDEN EN LA OTI

1. Indique la periodicidad con que se hace la limpieza a la OTI:

Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( )

Otra (especifique) ( ) __________________________________________

2. Existe un lugar asignado para los backups? Sí ( ) No ( )

3. ¿Se tiene asignado un lugar específico para papelería y utensilios de trabajo? Sí ( ) No ( )

4. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en la OTI?

Sí ( ) No ( )

Sí, ¿Cuál? ___________________________________________________________________

5. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición?

Sí ( ) No ( )

6. ¿Se controla el ingreso de personas ajenas a la OTI? Sí ( ) No ( )

Sí, ¿Cómo? __________________________________________________________________

7. Mencione los casos en que personal ajeno a la OTI ingresa al mismo:

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

SEGURIDAD

1. ¿Se han adoptado medidas de seguridad en la OTI? Sí ( ) No ( )

2. ¿Existen una persona responsable de la seguridad? Sí ( ) No ( )

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

Sí ( ) No ( )

4. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de

mantener una buena imagen y evitar un posible fraude?

Sí ( ) No ( )



5. ¿Existe alarma para

a) Detectar fuego(calor o humo) en forma automática? ( )

b) Avisar en forma manual la presencia del fuego? ( )

c) Detectar una fuga de agua? ( )

d) Detectar magnéticos? ( )

e) No existe ( )

6. ¿Esta alarma también está conectada

a) Al puesto de guardias? ( )

b) A la estación de Bomberos? ( )

c) A ningún otro lado? ( )

Otro_________________________________________

7. Existen extintores de fuego

a) Manuales? ( )

b) Automáticos? ( )

c) No existen ( )

8. ¿Se ha adiestrado el personal en el manejo de los extintores? Sí ( ) No ( )

9. ¿Los extintores, manuales o automáticos son a base de

a) Agua, ( )

b) Gas? ( )

c) Otros ( )

10.¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

Sí ( ) No ( )

11.¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para

alcanzarlos?

Sí ( ) No ( )

12.¿Saben que hacer los el personal de la OTI, en caso de que ocurra una emergencia

ocasionado por fuego?

Sí ( ) No ( )

13.¿El personal ajeno al área sabe qué hacer en el caso de una emergencia (incendio)?

Sí ( ) No ( )

14.¿Existe salida de emergencia? Sí ( ) No ( )



15.¿Esta puerta solo es posible abrirla:

Desde el interior ? ( ) Desde el exterior ? ( ) Ambos Lados ( )

16.¿Se revisa frecuentemente que no esté descompuesta la cerradura de las puertas y de las

ventanas?

Sí ( ) No ( )

17.¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones

en caso de emergencia?

Sí ( ) No ( )

18.¿Se ha tomado medidas para minimizar la posibilidad de fuego:

a) Evitando artículos inflamables en el departamento de cómputo? ( )

b) Prohibiendo fumar a los operadores en el interior? ( )

c) Vigilando y manteniendo el sistema eléctrico? ( )

d) No se ha previsto ( )

19.¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de la OTI

para evitar daños a los equipos?

Sí ( ) No ( )

20.¿Cuenta con botiquín de primeros auxilios?

Sí ( ) No ( )


ANEXO N° 12

FORMATO DE LA EVALUACIÓN AL ÁREA DE REDES


ÁREA DE REDES - DATA CENTER

ORDEN EN EL DATA CENTER

1. Indique la periodicidad con que se hace la limpieza del Data Center:


No hay programa ( ) Otra (especifique) ( ) __________________________________________

2. Existe un lugar asignado para los backups? Sí ( ) No ( )


4. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el Data Center?

Sí ( ) No ( )

Sí, ¿Cuál? ___________________________________________________________________


Sí ( ) No ( )

6. ¿Se controla el ingreso de personas al Data Center? Sí ( ) No ( )

Sí, ¿Cómo? __________________________________________________________________

7. ¿Se tiene restringida la operación del personal ajeno al Área de Redes en el Data Center?

Sí ( ) No ( )

8. Mencione los casos en que personal ajeno al Área de Redes opera en el Data Center:

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

CONTROL DE MANTENIMIENTO

1. Existe algún tipo de contrato de mantenimiento para los dispositivos o equipos del Data Center.

Sí ( ) No ( )

2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo o equipo del Data

Center?

Sí ( ) No ( )

3. ¿Se lleva a cabo tal programa? Sí ( ) No ( )



4. ¿Cómo se notifican las fallas? No se notifican ( )

____________________________________________________________________________

5. ¿Cómo se les da seguimiento? No se les da seguimiento ( )

____________________________________________________________________________

6. ¿Se realizan mantenimientos correctivos a los equipos del Data Center? Sí ( ) No ( )

Sí, ¿A qué equipos y porque?

____________________________________________________________________________

____________________________________________________________________________

7. Indique la periodicidad con se hace ese mantenimiento a los equipos del Data center:



Cuántas veces? ____________________________________________________________

8. ¿Se lleva un control o registro de fallas y mantenimientos correctivos que se realiza a los

equipos del Data Center?

____________________________________________________________________________

____________________________________________________________________________

SEGURIDAD

9. ¿Se han adoptado medidas de seguridad?

Física ( ) Lógica ( ) Física y Lógica ( )

10.¿Existen una persona responsable de la seguridad?

Sí ( ) No ( )

11.¿Existe personal de vigilancia en la institución?

Sí ( ) No ( )

12.¿Se controla el trabajo fuera de horario?

Sí ( ) No ( )

Sí, ¿Quién lo controla? _________________________________________________________

No, ¿Por qué? ________________________________________________________________

13.¿Existe vigilancia en el departamento de cómputo las 24 horas?

Sí ( ) No ( )

Sí, ¿Quién? __________________________________



14.¿Se permite el acceso a los programadores, analistas y operadores?

Sí ( ) No ( )

Sí, ¿Por qué? _____________________________________________________

15.El edificio donde se encuentran los servidores, cuenta con medidas de protección frente a:

a) Inundación ( )

b) Terremoto ( )

c) Fuego ( )

d) Sabotaje ( )

16.El Data Center tiene salida al exterior?

Sí ( ) No ( )

17.Describa brevemente la construcción del Data Center, de preferencia proporcionando planos y

material con que está construido y equipo (muebles, sillas etc.) dentro del mismo.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

18.¿Existe control en el acceso?

a) Por identificación personal? ( )

b) Por tarjeta magnética? ( )

c) Por claves verbales? ( )

d) Otras? ( ) ¿Cuáles? ____________________________________________________

e) No existe ningún control ( )

19.¿Son controladas las visitas y demostraciones en el Data Center? Sí ( ) No ( )

20.¿Se registra el acceso al Data Center de personas ajenas a la OTI? Sí ( ) No ( )

21.¿Existe alarma para

a) Detectar fuego(calor o humo) en forma automática? ( )

b) Avisar en forma manual la presencia del fuego? ( )

c) Detectar una fuga de agua? ( )

d) Detectar magnéticos? ( )

e) No existe ( )



22.¿Existe alarma para detectar condiciones anormales del ambiente? Sí ( ) No ( )

23.¿Esta alarma también está conectada

a) Al puesto de guardias? ( )

b) A la estación de Bomberos? ( )

c) A ningún otro lado? ( )

Otro_________________________________________

24.Existen extintores de fuego

a) Manuales? ( )

b) Automáticos? ( )

c) No existen ( )

25.¿Se ha adiestrado el personal en el manejo de los extintores?

Sí ( ) No ( )

26.¿Los extintores, manuales o automáticos son a base de

a) Agua, ( ) ( )

b) Gas? ( ) ( )

c) Otros ( ) ( )

27.¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

Sí ( ) No ( )

28.¿Si es que existen extintores automáticos son activados por detectores automáticos de fuego?

Sí ( ) No ( )

29.¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el

agua cause más daño que el fuego?

Sí ( ) No ( )

30.¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el

gas cause más daño que el fuego?

Sí ( ) No ( )

31.¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para

que el personal:

a) Corte la acción de los extintores por tratarse de falsas alarmas? Sí ( ) No ( )

b) Pueda cortar la energía Eléctrica Sí ( ) No ( )



c) Pueda abandonar el local sin peligro de intoxicación Sí ( ) No ( )

d) Es inmediata su acción? Sí ( ) No ( )

32.¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para

alcanzarlos?

Sí ( ) No ( )

33.¿Sabe que hacer el operador de Redes, en caso de que ocurra una emergencia ocasionado

por fuego?

Sí ( ) No ( )

34.¿Existe salida de emergencia?

Sí ( ) No ( )

35.¿Esta puerta solo es posible abrirla:

a) Desde el interior ? ( )

b) Desde el exterior ? ( )

c) Ambos Lados ( )

36.¿Se revisa que no esté descompuesta la cerradura de esta puerta y de las ventanas?

Sí ( ) No ( )

37.¿El Data Center cuenta con un Plan de Seguridad?

Sí ( ) No ( )

38.¿Se ha tomado medidas para minimizar la posibilidad de fuego:

a) Evitando artículos inflamables en el departamento de cómputo? ( )

b) Prohibiendo fumar a los operadores en el interior? ( )

c) Vigilando y manteniendo el sistema eléctrico? ( )

d) No se ha previsto ( )

39.¿Se ha prohibido al operador el consumo de alimentos y bebidas en el interior del Data Center

para evitar daños al equipo?

Sí ( ) No ( )

40.¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?

SI ( ) NO ( ) No existe ( )

41. ¿Se han implantado claves o password para garantizar operación de los equipos del Data

Center, a personal autorizado?



Sí ( ) No ( )

42. ¿Se mantiene un registro permanente (bitácora) de todos los procesos realizados, dejando

constancia de suspensiones o cancelaciones de procesos? Sí ( ) No ( )

43. ¿Cuentan con servidor(es) de respaldo?. Sí ( ) No ( )

44. ¿Los backups se realizan, se realizan en disco magnéticos? Sí ( ) No ( )

No, Especificar medio de almacenamiento _______________________________________

45. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares seguros y

adecuados?

46. ¿Todas las actividades y procedimientos del área de Redes están normadas mediante

manuales, instructivos, normas, reglamentos, etc.?

Sí ( ) No ( )

47. ¿Se establecen procedimientos para obtención de backups de paquetes y de archivos de

datos?

Sí ( ) No ( )

48. Existen licencias del sistema operativo utilizado. Sí ( ) No ( )

49. ¿Tienen manuales todas las aplicaciones? Sí ( ) No ( )

50. ¿Existen procedimientos adecuados para conectarse y desconectarse de los equipos

remotos?

Sí ( ) No ( )

51. ¿Existe un período máximo de vida de las contraseñas de los usuarios? Sí ( ) No ( )

¿Cuanto? ________________

52. ¿Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el

ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o

deben estar- documentadas en el Documento de Seguridad?

Sí ( ) No ( )

53. ¿Existen procedimientos de asignación y distribución de contraseñas? Sí ( ) No ( )

54. ¿Existen procedimientos para la realización de las copias de seguridad? Sí ( ) No ( )



55. ¿Existen procedimientos que aseguran que se realizan los backups al menos una vez cada

semana?

Sí ( ) No ( )

56. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de las instalaciónes?.

Sí ( ) No ( )

57. ¿Se ha determinado quienes tienen llave para acceder al Data Center?.

__________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

58. Existe un inventario de equipos y software del Área de Redes?

Sí ( ) No ( ) Solo de equipos ( ) Solo de software ( )

Sí, ¿Existen procedimientos de actualización de dicho inventario? Sí ( ) No ( )

59. Existe un plan de infraestructura de redes. Sí ( ) No ( )

60. Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del

procesamiento de los datos que pasan a través de las redes, y para proteger los sistemas

conectados. Sí ( ) No ( )

Sí, especificar

___________________________________________________________________________

___________________________________________________________________________

__________________________________________________________________________

61. Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y

servicios de red?

Sí ( ) No ( )

62. Existe una topología estandarizada en toda la organización. Sí ( ) No ( )

Sí, ¿De qué tipo? _____________________________________________________

63. Se sabe cuántos usuarios están conectados a la red. Sí ( ) No ( )

64. Se restringe el nivel de acceso a la información de los usuarios. Sí ( ) No ( )

65. Se registran las acciones de los usuarios. Sí ( ) No ( )



66. ¿Cuenta la empresa con conexión a internet? Sí ( ) No ( )

67. Se adopto alguna estructura de seguridad. Sí ( ) No ( )

Sí, ¿Cuál? ______________________________________________________________

68. ¿Se encuentran habilitados todos los puntos de red?. Sí ( ) No ( )

69. Cuenta con herramientas necesarias para realizar auditorías. Sí ( ) No ( )

70. Se dispone de un plan de contingencia de TI. Sí ( ) No ( )

71. Existen procedimientos de respaldos de datos. Sí ( ) No ( )

Sí, ¿Cuáles? ____________________________________________________________

72. Cada qué tiempo se prueban las condiciones del UPS?

___________________________________________________________________________

73. ¿Cuánto tiempo dura encendido el UPS, cuando se corta el fluido eléctrico?

____________________________________________________________________


ANEXO N° 13

FORMATOS DE LAS EVALUACIÓNES AL

ÁREA DE DESARROLLO


ÁREA DE DESARROLLO

ORDEN

1. Indique la periodicidad con que se hace la limpieza al Área de Desarrollo:




3. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el área?

Sí ( ) No ( )

Sí, ¿Cuál? ___________________________________________________________________


Sí ( ) No ( )

5. ¿Se controla el ingreso de personas ajenas al área? Sí ( ) No ( )

Sí, ¿Cómo? __________________________________________________________________

6. Mencione los casos en que personal ajeno al área ingresa al mismo:

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN

7. ¿Quiénes intervienen al diseñar un sistema?

Etapas de Diseño

Análisis Diseño Codificació

n

Pruebas Puesta en marcha

Usuario

Analista

Programadores

Operadores

Gerente

Auditores internos

Asesores

Jefe de Área

Otro(s)



8. ¿Qué herramientas utilizan los analistas?

____________________________________________________________________________

____________________________________________________________________________

9. ¿Cuántos analistas hay y qué experiencia tienen?

____________________________________________________________________________

____________________________________________________________________________

10.¿Qué lenguaje conocen los programadores?

____________________________________________________________________________

____________________________________________________________________________

11.¿Cómo se controla el trabajo de los analistas?

____________________________________________________________________________

____________________________________________________________________________

12.¿Cómo se controla el trabajo de los programadores?

____________________________________________________________________________

____________________________________________________________________________

13.¿Qué documentación acompaña al programa cuando se entrega?

____________________________________________________________________________

____________________________________________________________________________



CONTROLES DE ALMACENAMIENTO LOS BACKUPS

El objetivo de este cuestionario es evaluar la forma como se administra los dispositivos de

almacenamiento básico de la OTI:

1. Los locales asignados a los backups tienen:

( ) Aire acondicionado

( ) Protección contra fuego (de qué tipo) _____________________________________________

( ) Cerradura especial.

( ) Otra: ________________________________________________

2. ¿Qué información mínima contiene el inventario de backups?

( ) Número de serie o carrete.

( ) Nombre o clave del usuario.

( ) Nombre del archivo lógico.

( ) Nombre del sistema que lo genera.

( ) Fecha de generación del archivo.

( ) Fecha de explicación del archivo.

( ) Número de expiración del archivo.

( ) Número de volumen.

( ) Otros: _____________________________________________________________

3. ¿Se verifican con frecuencia la validez de los inventarios de los backups?

Sí ( ) No ( )

4. En caso de existir discrepancia entre los discos y su contenido, ¿se resuelven y explican

satisfactoriamente las discrepancias?

Sí ( ) No ( )

5. ¿Qué tan frecuentes son estas discrepancias?

_______________________________________________ al mes.

6. ¿Se tienen procedimientos que permiten la reconstrucción de un archivo en disco, el cual fue

inadvertidamente destruido? Sí ( ) No ( )

7. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de

acceso?.

Sí ( ) No ( )

¿Cómo? _______________________________________________________________________



8. ¿Existe un control estricto de las copias de estos archivos?

Sí ( ) No ( )

9. ¿Qué medio se utiliza para almacenarlos?

( ) Mueble con cerradura

( ) Bóveda

( ) Otro: __________________________________________________

10.Este almacén está situado:

( ) En el mismo edificio de la OTI .

( ) En otro lugar.

¿Cuál? ________________________________________________________________________

11. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan éstos?

Sí ( ) No ( )

12. ¿Se certifica la destrucción o baja de los archivos defectuosos?

Sí ( ) No ( )

13. ¿Se registran como parte del inventario los nuevos backups que recibe la biblioteca?

Sí ( ) No ( )

14. ¿Se tiene un responsable de los backups?

Sí ( ) No ( )

15. ¿Se realizan auditorías periódicas a los medios de almacenamiento?

Sí ( ) No ( )

16. ¿Qué medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?

_______________________________________________________________________________

_______________________________________________________________________________

17. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de

almacenamiento, al personal autorizado?

Sí ( ) No ( )

18. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperación

de archivos?

Sí ( ) No ( )



19. ¿Estos procedimientos los conocen los operadores?

Sí ( ) No ( )

¿Cómo los conoce?

_______________________________________________________________________________

20. ¿Con qué periodicidad se revisan estos procedimientos?

( ) Mensual ( ) Anual ( ) Semestral ( ) Otra_______________________

21. ¿Existe un responsable en caso de falla?

Sí ( ) No ( )

22. Explique qué políticas se siguen para la obtención de archivos de respaldo:

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

23. ¿Existe un procedimiento para el manejo de la información de la biblioteca de backups?

Sí ( ) No ( )

24. ¿Lo conoce y lo sigue el bibliotecario de backups?

Sí ( ) No ( )


ANEXO N° 14

FORMATO DE LA EVALUACIÓN AL

ÁREA DE SOPORTE TECNICO


CUESTIONARIO AL ÁREA DE SOPORTE TECNICO

ORDEN

1. Indique la periodicidad con que se hace la limpieza a Soporte:




3. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos? Sí ( ) No ( )

Sí, ¿Cuál? ___________________________________________________________________


Sí ( ) No ( )

5. ¿Se controla el ingreso de personas ajenas al área? Sí ( ) No ( )

Sí, ¿Cómo? __________________________________________________________________

6. Mencione los casos en que personal ajeno al área ingresa al mismo:

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

SEGURIDAD

1. ¿El área cuentan con planes y procedimientos de Mantenimiento? Sí ( ) No ( )

2. ¿El área cuentan con con políticas y Normas sobre seguridad?. Sí ( ) No ( )

3. El área cuenta con personal de apoyo. Sí ( ) No ( )

Sí, ¿Cuántos? ____________

4. Este personal de apoyo cuenta con los conocimientos necesarios para dar soporte.

Sí ( ) No ( )

5. ¿Se cuenta con las licencias de los software que se instalan en las PC’s?

Sí ( ) No ( )

6. ¿Existe un programa de mantenimiento preventivo para cada equipo de la UCV-Piura?

Sí ( ) No ( )



7. ¿Se lleva a cabo tal programa? Sí ( ) No ( )

8. ¿Se notifican las fallas?. Sí ( ) No ( )

9. ¿Se les da seguimiento? Sí ( ) No ( )

10. ¿Se les realizan una revisión técnica correcta a los dispositivos y equipos que atiende en la

OTI?

Sí ( ) No ( )

11. ¿Existe un documento donde este especificado la relación de las funciones y obligaciones del

personal?.

Sí ( ) No ( )

12. ¿Existen procedimientos de realización de copias de seguridad y de recuperación de datos?

Sí ( ) No ( )

13. ¿Existen medidas a adoptar cuando un soporte es obsoleto o no tiene reparación?

Sí ( ) No ( )

Sí, ¿Cual? __________________________________________________________________

14. ¿Existe un período máximo de vida de las contraseñas que se utilizan en soporte para los

equipos de la UCV-Piura (administrador)?

Sí ( ) No ( )

Sí, ¿Cuánto tiempo? ______________________________

15. ¿Existen procedimientos de asignación y distribución de contraseñas? Sí ( ) No ( )

16. ¿Existe un inventario de los soportes existentes?. Sí ( ) No ( )

17. ¿Existen procedimientos de actualización de dicho inventario? Sí ( ) No ( )

18. ¿Se existe una copia del Registro de Entrada y Salida del manteniendo de equipos?

Sí ( ) No ( )

19. ¿Se determina que personas tienen llaves de acceso (clave administrador de equipo)?

Sí ( ) No ( )

Sí, ¿Cómo? _________________________________________________________________

___________________________________________________________________________



20. Cuenta con todas las herramientas y materiales necesarias para poder realizar su trabajo.

Sí ( ) No ( )

No, ¿Por qué? ______________________________________________________________

___________________________________________________________________________


ANEXO N° 15

FORMATO DEL CUESTIONARIO APLICADO A LA

JEFATURA DE LA OTI


ANALISIS DEL CONTROL INTERNO

ESTRUCTURA ORGANICA

¿Se ajusta la estructura orgánica actual a las disposiciones de la sede Trujillo?

Sí ( ) No ( )

No, ¿Por qué razón? _______________________________________________________

________________________________________________________________________

OBJETIVO DE LA ESTRUCTURA

¿La estructura actual está encaminada a la consecución de los objetivos del área?

Explique en qué forma.

_______________________________________________________________________________

_______________________________________________________________________________

¿Permite la estructura actual que se lleven a cabo con eficiencia?

- ¿Las atribuciones encomendadas? Sí ( ) No ( )

- ¿Las funciones establecidas? Sí ( ) No ( )

- ¿La distribución del trabajo? Sí ( ) No ( )

- ¿El control interno? Sí ( ) No ( )

Si alguna de las respuestas es negativa, explique cuál es la razón:

_______________________________________________________________________________

_______________________________________________________________________________

NIVELES JERARQUICOS

¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo

de las actividades del área? Sí ( ) No ( )

¿Por qué o cuáles son sus recomendaciones?___________________________________

________________________________________________________________________

Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la:

- ¿Operación? Sí ( ) No ( )

- ¿Supervisión? Sí ( ) No ( )

Los niveles actuales permiten que se tengan una ágil

- ¿Comunicación ascendente? Sí ( ) No ( )

- ¿Comunicación descendente? Sí ( ) No ( )

- ¿Toma de decisiones? Sí ( ) No ( )

Si alguna de las respuestas es negativa, explique cuál es la razón.

_______________________________________________________________________________



Se considera que algunas áreas deberían tener:

- ¿Mayor jerarquía? Sí ( ) No ( )

- ¿Menor jerarquía? Sí ( ) No ( )

Porque razón ___________________________________________________________________

_______________________________________________________________________________

DEPARTAMENTALIZACION

¿Se consideran adecuados los departamentos, áreas en que está dividida actualmente la

estructura de la OTI ? Sí ( ) No ( )

No, ¿Por qué razón? _____________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

¿El área y sus subáreas tienen delimitadas con claridad sus responsabilidades?

Sí ( ) No ( )

No, ¿Qué efectos provoca esta situación? _____________________________________________

_______________________________________________________________________________

PUESTOS

¿Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus

funciones?

Sí ( ) No ( )

No, ¿Por qué razón?_______________________________________________________

________________________________________________________________________

¿El número de empleados que trabajan actualmente es adecuado para cumplir con las funciones

encomendadas?

Sí ( ) No ( )

NOTA.- Especifique el número de personas que reportan a las personas que a su vez reportan a

cada puesto:

- Jefatura ( )

- Jefes de área ( )

- Personal ( )

¿El número de personas es el adecuado en cada uno de los puestos? Sí ( ) No ( )

¿Por qué? _______________________________________________________________

________________________________________________________________________

No, ¿Cuál es el número de personal que consideraría adecuado (señale el puesto o los

puestos)?________________________________________________________________



________________________________________________________________________

EXPECTATIVAS

¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente? Sí ( ) No ( )

Si, ¿Por qué razón? ________________________________________________________

________________________________________________________________________

¿Cuál es la estructura qué propondría?

_______________________________________________________________________________

_______________________________________________________________________________

De realizar una modificación a la estructura, ¿Cuándo considera que debería hacerse?

_______________________________________________________________________________

AUTORIDAD

¿Se encuentra definida adecuadamente la línea de autoridad? Sí ( ) No ( )

No, ¿Por qué razón? _______________________________________________________

¿La autoridad va de acuerdo a la responsabilidad? Sí ( ) No ( )

No, ¿Por qué razón? _______________________________________________________

¿En qué área se ha presentado conflictos por el ejercicio de la autoridad? Sí ( ) No ( )

Si, explique en qué casos ___________________________________________________

________________________________________________________________________

¿Existe en el área algún sistema de sugerencias y quejas por parte del personal? Sí ( ) No ( )

EXISTENCIA

¿Se han establecido las funciones de las áreas? Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

________________________________________________________________________

¿Las funciones están de acuerdo con las atribuciones legales? Sí ( ) No ( )

¿Por qué no están de acuerdo? ______________________________________________

________________________________________________________________________

Sugerencias ____________________________________________________________________

_______________________________________________________________________________

¿Están por escrito en algún documento las funciones de las áreas? Sí ( ) No ( )



¿Cuál es la forma de darlas a conocer?

_______________________________________________________________________________

¿Quién elaboro las funciones?

_______________________________________________________________________________

¿Participo el área en su formulación? Sí ( ) No ( )

¿Por qué causas no participo?________________________________________________

COINCIDENCIAS

¿Las funciones están encaminadas a la consecución de los objetivos institucionales e internos?

Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

Sugerencias ______________________________________________________________

________________________________________________________________________

¿Las funciones del área están acorde al reglamento interior? Sí ( ) No ( )

No, ¿En qué considera que difieren?___________________________________________

¿Conocen otras áreas las funciones del área? Sí ( ) No ( )

¿Por qué no?_____________________________________________________________

ADECUADAS

¿Son adecuadas a la realidad las funciones? Sí ( ) No ( )

¿Por qué no son adecuadas? ________________________________________________

¿Son adecuadas a las necesidades actuales? _________________________________________

¿Por qué no? _____________________________________________________________

¿Cuáles son sus principales limitaciones?

_______________________________________________________________________________

Sugerencias

_______________________________________________________________________________

¿Están adecuadas a la carga de trabajo? Sí ( ) No ( )

¿Existen conflictos por las cargas de trabajo desequilibradas? Sí ( ) No ( )

¿De qué tipo? ____________________________________________________________



¿Se tiene contemplada la desconcentración? Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

________________________________________________________________________

¿Cómo afecta la desconcentración a las funciones?

_______________________________________________________________________________

_______________________________________________________________________________

¿Participo la Jefatura de la OTI en su elaboración? Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

________________________________________________________________________

CUMPLIMIENTO

¿Están delimitadas las funciones? Sí ( ) No ( )

¿A nivel de área? ( ) ¿A nivel de puesto? ( )

No, ¿por qué? ____________________________________________________________

________________________________________________________________________

¿Las actividades que realiza son acordes a las funciones que tienen asignadas? Sí ( ) No ( )

No, ¿Qué tipo de actividades realiza que no están acorde a las funciones asignadas?

________________________________________________________________________

________________________________________________________________________

¿Cuál es la causa?_________________________________________________________

¿Quién las ordena?________________________________________________________

¿Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas?

Sí ( ) No ( )

No, ¿Cuál es su grado de cumplimiento?________________________________________

________________________________________________________________________

La falta de cumplimiento de las funciones es por: (marque las que ocurra)

( ) Falta de personal.

( ) Personal no capacitado.

( ) Cargas de trabajo excesivas.

( ) Porque realiza otras actividades.

( ) La forma en que las ordena.

¿Cuáles funciones realiza en forma:

Periódicas?_______________________________________________________________

________________________________________________________________________



Sistemáticas?_____________________________________________________________

________________________________________________________________________

Otras?___________________________________________________________________

¿Tienen programas y tareas encomendadas? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

________________________________________________________________________

¿Permiten cumplir con los programas y tareas encomendadas (necesidades de operación)?

Sí ( ) No ( )

No, ¿Por qué causas? ______________________________________________________

________________________________________________________________________

¿Quién es el responsable de ordenar que se ejecuten las actividades?

_______________________________________________________________________________

En caso de realizar otras actividades, ¿Quién ordena y autoriza?

_______________________________________________________________________________

En caso de no encontrarse el jefe, ¿Quién lo puede realizar?

_______________________________________________________________________________

APOYOS

¿Para cumplir con sus funciones requiere de apoyo de otras áreas? Sí ( ) No ( )

Si, ¿De qué tipo? __________________________________________________________

¿Cuál es el área que proporciona el apoyo?_____________________________________

¿Se le proporcionan con oportunidad? Sí ( ) No ( )

No, ¿Qué le ocasiona?______________________________________________________

No, ¿Cómo resuelve esa falta de apoyo?_______________________________________

¿Con que frecuencia lo solicita?

_______________________________________________________________________________

Para cumplir con sus funciones, ¿Proporciona apoyos a otras áreas? Sí ( ) No ( )

Si, ¿Qué tipo de apoyo proporciona?___________________________________________

¿A cuántas áreas? _________________________________________________________

¿Cuáles son? _____________________________________________________________

DUPLICIDAD



¿Existe duplicidad de funciones en otras áreas? Sí ( ) No ( )

Si, ¿Cuáles y donde? ______________________________________________________

________________________________________________________________________

¿Qué conflictos ocasiona? _________________________________________________________

¿La duplicidad de funciones se debe a que el área no puede realizarlos? Sí ( ) No ( )

Si, ¿Cuál es la razón? ______________________________________________________

No, ¿Cuál es su función al respecto? __________________________________________

¿Se puede eliminar funciones? Sí ( ) No ( )

Si, ¿Cuáles? _____________________________________________________________

¿Se puede transferir funciones? Sí ( ) No ( )

Si, ¿Cuáles y adonde? _____________________________________________________

¿Permite la duplicidad que se dé el control interno? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

OBJETIVOS

¿Se han establecido objetivos para la OTI? Sí ( ) No ( )

¿Quién los estableció? _____________________________________________________

¿Cuál es el método para el establecimiento de los objetivos?

_______________________________________________________________________________

¿Participo el área en su establecimiento? Sí ( ) No ( )

¿Cuáles fueron las principales razones de la selección de los objetivos?

_______________________________________________________________________________

Los objetivos establecidos son congruentes con:

- Los de la dirección. Sí ( ) No ( )

- Los de la subdirección. Sí ( ) No ( )

- Los del departamento/oficina. Sí ( ) No ( )

- Los de otros departamentos/oficinas. Sí ( ) No ( )

¿Por qué no se han establecido objetivos para el área?

_______________________________________________________________________________



¿Nadie le exige establecerlos? Sí ( ) No ( )

¿Considera importante que se establezcan? Sí ( ) No ( )

¿Es responsabilidad de otra área establecer los objetivos? Sí ( ) No ( )

¿Cuál?__________________________________________________________________

¿De qué manera planea el trabajo del área?___________________________________________

FORMALES

¿Se han definido por escrito los objetivos del área? Sí ( ) No ( )

¿En qué documento? ______________________________________________________

¿Por qué no están definidos por escrito? ______________________________________________

¿Qué problemas se han derivado de esta situación? ____________________________________

CONOCIMIENTO

¿Se han dado a conocer los objetivos? Sí ( ) No ( )

¿A quién se han dado a conocer? ___________________________________________________

¿Quién más debería conocerlo?

_______________________________________________________________________________

¿Qué método se ha utilizado para dar a conocer los objetivos?

_______________________________________________________________________________

¿Por qué no se han dado a conocer los objetivos? ______________________________________

_______________________________________________________________________________

¿Considera importante que los conozca el personal? Sí ( ) No ( )

¿Cómo afecta la operación del área el hecho de que los objetivos no se hayan dado a conocer o

que su conocimiento sea parcial?

_______________________________________________________________________________

_______________________________________________________________________________

ADECUADOS

¿Abarcan los objetivos toda la operación del área? Sí ( ) No ( )



¿Qué aspectos no se cubren? ______________________________________________________

¿Los objetivos son claros y precisos? Sí ( ) No ( )

¿Son realistas? Sí ( ) No ( )

¿Se pueden alcanzar? Sí ( ) No ( )

¿Por qué? _______________________________________________________________

¿Están de acuerdo con las funciones del área? Sí ( ) No ( )

¿Señalan cuales son las realizaciones esperadas? Sí ( ) No ( )

¿Son congruentes con los objetivos organizacionales? Sí ( ) No ( )

¿Sirven de guía al personal? Sí ( ) No ( )

¿Sirven para motivar al personal? Sí ( ) No ( )

¿Se han establecido para el corto, mediano y largo plazo? Sí ( ) No ( )

¿Qué adecuaciones puede sugerir para los objetivos actuales?

_______________________________________________________________________________

CUMPLIMIENTO

¿En qué grado se cumplen los objetivos? _____________________________________________

¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos? Sí ( ) No ( )

Sí, ¿cuáles? ______________________________________________________________

No, ¿de qué manera se establece el grado de cumplimiento?_______________________

________________________________________________________________________

¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de los objetivos?

Sí ( ) No ( )

¿Para quién y con qué frecuencia? ____________________________________________

________________________________________________________________________

¿Quién elabora este reporte? ________________________________________________

¿Qué se hace en caso de desviación en el cumplimiento de los objetivos?



_______________________________________________________________________________

_______________________________________________________________________________

¿Qué sugerencias puede hacer para lograr el cumplimiento total de los objetivos?

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

ACTUALIZACIÓN

¿Se revisan los objetivos? Sí ( ) No ( )

Quién revisa los objetivos? _______________________________________________________

¿De qué manera se lleva a cabo la revisión? __________________________________________

______________________________________________________________________________

¿Participa el área en la actualización de los objetivos? Sí ( ) No ( )

¿Cuándo se hizo la última revisión de los objetivos?

______________________________________________________________________________

¿De qué manera se incorporan las modificaciones derivadas de las revisiones?


ANEXO N° 16

FORMATO DE LA ENTREVISTA APLICADA A LOS

JEFES DE LAS ÁREAS DE LA OTI


ENTREVISTA CON LOS JEFES DE ÁREA

EVALUACIÓN DE LOS RECURSOS HUMANOS DE LA OTI N°: ……..….

Área: ………….…….……………………………. Cargo: ……………………….………………………….

Marque con una ( x ) la alternativa que usted considera la más adecuada. Escribir de forma clara;

usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se dará por

anulada su respuesta.

El siguiente cuestionario es para obtener información de los siguientes aspectos:

DESEMPEÑO Y CUMPLIMIENTO

¿Se deja de realizar alguna actividad por falta de personal? Sí ( ) No ( )

¿Está capacitado el personal para realizar con eficacia sus funciones? Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

¿Es eficaz en el cumplimiento de sus funciones? Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

Los usuarios reportan los mismos problemas Sí ( ) No ( )

Marque los problemas por lo suelen llamar:

Problemas con la PC ( ) Problemas con la red ( ) Problemas con la impresora ( )

Problemas con el sistema(s) ( ) Problemas de inicio de sesión ( ) Otro ( )

¿Cual?.....................................................................................................................................

Con qué frecuencia:

( ) 1 vez a la semana ( ) 2 veces a la semana ( ) 1 vez al mes ( ) 2 veces al mes

En general, ¿Acata el personal las políticas y procedimientos establecidos? Sí ( ) No ( )

En caso responda NO, especifique las situaciones que no permiten acatar lo antes indicado

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo?

Sí ( ) No ( )

Si, ¿Qué se hace al respecto? _______________________________________________

¿Respeta el personal la autoridad establecida? Sí ( ) No ( )



¿Por qué no? _____________________________________________________________

¿Presenta el personal sugerencias para mejorar el desempeño actual? Sí ( ) No ( )

CAPACITACIÓN

Los programas de capacitación incluyen al personal de:

Área N° de capacitados

¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área?

Sí ( ) No ( )

¿Por qué no? _____________________________________________________________

¿Se desarrollan programas de capacitación de Seguridad de la Información para el personal del

área? Sí ( ) No ( )

No, ¿por qué? ____________________________________________________________

¿Apoya la Jefatura la realización de estos programas? Sí ( ) No ( )

¿Se evalúan los resultados de los programas de capacitación? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

________________________________________________________________________

SUPERVISIÓN

¿Se supervisa al personal? Sí ( ) No ( )

¿Por qué no se realiza? _____________________________________________________

¿Cómo se controlan el ausentismo y tardanzas del personal?

_______________________________________________________________________________

¿Cómo se evalúa el desempeño del personal?

_______________________________________________________________________________

¿Por qué no se evalúa? _____________________________________________________

¿Cuál es la finalidad de la evaluación del personal?

_______________________________________________________________________________



LIMITACIONES

¿Cuáles son los principales factores internos que limitan el desempeño del personal?

_______________________________________________________________________________

¿Cuáles son los principales factores externos que limitan el desempeño del personal del área?

_______________________________________________________________________________

¿Cuál es el índice de rotación de personal en:

- Redes ( )

- Soporte ( )

- Académico ( )

- Desarrollo ( )

En términos generales, ¿Se adapta el personal al mejoramiento administrativo (resistencia al

cambio)?

Sí ( ) No ( )

¿Cuál es el grado de asistencia y puntualidad del personal? ______________________________

¿Se cuenta con una política uniforme y consistente para sancionar la indisciplina del personal?

Sí ( ) No ( )

¿Puede el personal presentar quejas y/o problemas? Sí ( ) No ( )

Sí, ¿Cómo se soluciona? ____________________________________________________

¿Otras áreas externas presentan quejas sobre la capacidad y/o atención del personal del área?

Sí ( ) No ( )

Sí, ¿qué tratamiento se les da? _______________________________________________

________________________________________________________________________

¿Cuáles son las principales causas de faltas, tardanzas o ausentismos?

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

CONDICIONES DE TRABAJO

¿El personal del área conoce el reglamento interno de trabajo? Sí ( ) No ( )



¿Se apoyan en él para solucionar los conflictos laborales? Sí ( ) No ( )

No, ¿por qué? ____________________________________________________________

REMUNERACIONES

¿Está adecuadamente remunerado con respecto a:

- Trabajo desempeñado? Sí ( ) No ( )

- Puestos similares en otras organizaciones? Sí ( ) No ( )

- Puestos similares en otras áreas? Sí ( ) No ( )

Sí, ¿cómo repercute? _________________________________________________________

No, ¿cómo repercute? _________________________________________________________

AMBIENTE

¿El personal está integrado como equipo de trabajo? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

¿Son adecuadas las condiciones ambientales con respecto a:

Espacio del área? Sí ( ) No ( )

Iluminación? Sí ( ) No ( )

Ventilación? Sí ( ) No ( )

Equipo de oficina? Sí ( ) No ( )

Mobiliario? Sí ( ) No ( )

Ruido? Sí ( ) No ( )

Limpieza y/o aseo? Sí ( ) No ( )

Instalaciones sanitarias? Sí ( ) No ( )

Instalaciones de comunicación? Sí ( ) No ( )

ORGANIZACIÓN DEL TRABAJO

¿Participa en la selección del personal? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

¿Se prevén las necesidades de personal con anterioridad?

¿En cantidad? Sí ( ) No ( )

¿En calidad? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

¿Está prevista la sustitución del personal clave? Sí ( ) No ( )

No, ¿Por qué? ____________________________________________________________

DESARROLLO Y MOTIVACIÓN

¿Cómo se realiza la motivación del personal del área?



_______________________________________________________________________________

¿Cómo se estimula y se recompensa al personal del área?

_______________________________________________________________________________

¿Existe oportunidad de ascenso o de ser promovido? Sí ( ) No ( )

¿Qué política hay al respecto? ______________________________________________________

_______________________________________________________________________________


ANEXO N° 17

FORMATO DE LA ENTREVISTA CON EL

PERSONAL DE LA OTI


ENTREVISTAS CON EL PERSONAL DE LA OTI

1. Nombre del puesto.

____________________________________________________________________________

2. Fecha en que inicio a trabajar en el área (Mes / Año) _________ / ___________

3. Puesto del jefe inmediato.

____________________________________________________________________________

4. Puestos a que reporta.

____________________________________________________________________________

____________________________________________________________________________

5. Puestos de las personas que reportan al entrevistado.

____________________________________________________________________________

____________________________________________________________________________

6. Número de personas que reportan al entrevistado: _________________________________

7. Describa brevemente las actividades diarias de su puesto.

____________________________________________________________________________

____________________________________________________________________________

8. Actividades periódicas.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

9. Actividades eventuales.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

10.¿Con qué manuales cuenta para el desempeño de su puesto?

____________________________________________________________________________

____________________________________________________________________________

11.¿Qué políticas se tiene establecidas para el puesto?



____________________________________________________________________________

____________________________________________________________________________

12.Señale los vacios (falta de interés o importancia) que considere que existe en la organización.

___________________________________________________________________

____________________________________________________________________________

13.Cuenta con cargas de trabajo, ¿Cómo cuales?

____________________________________________________________________________

____________________________________________________________________________

14.¿Cómo las controla?

____________________________________________________________________________

____________________________________________________________________________

15.¿Cómo se deciden las políticas que han de implantarse?

____________________________________________________________________________

____________________________________________________________________________

16.¿Cómo recibe las instrucciones de los trabajos encomendados?

____________________________________________________________________________

____________________________________________________________________________

17.¿Con qué frecuencia recibe capacitación y de qué tipo?

____________________________________________________________________________

____________________________________________________________________________

18.¿Sobre qué tema le gustaría recibir capacitación?

____________________________________________________________________________

____________________________________________________________________________

19.Mencione la(s) capacitación(es) obtenida durante el último año?

____________________________________________________________________________

____________________________________________________________________________

20.Observaciones.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________


ANEXO N° 18

PAPELES DE TRABAJO

Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.

El día 30/10/2009 a las 17:55 solicité al Jefe de la OTI la documentación que detallo en el Formato

de Solicitud de Documentación (Ver Anexo N° 7); el jefe de la OTI sólo me proporcionó la siguiente

documentación:

El Manual de Organización y Funciones.

El plan Operativo de la OTI 2009.

Inventario de hardware de la Universidad César Vallejo - Piura.

M.A.R.R.: 25/Nov./2009 Código: 001J.M.E.S.: 30/Nov./2009


Los días 24/09/2009 y 25/09/2009 cumpliendo con el desarrollo de la “Auditoría basada en

ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad

César Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la segunda fase: LA

MEDICIÓN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:

EVALUACION Y TRATAMIENTO DEL RIESGO, se encontró la siguiente deficiencia:

- DEFICIENCIA N° 001: No se ha identificado que la UCV Piura cuente con una Política de Seguridad de Información

(VER ANEXO N° 19 INFORME FINAL)

M.A.R.R.: 25/Nov/2009 Código: 002J.M.E.S.: 30/Nov./2009


Los días del 29/09/09 al 30/09/09 cumpliendo con el desarrollo de la “Auditoría basada en ISO/IEC

17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César

Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la segunda fase: LA

MEDICIÓN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:

ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, se encontraron las siguientes deficiencias:

- DEFICIENCIA N° 002: La UCV Piura carece de una organización adecuada de seguridad de

información.

- DEFICIENCIA N° 003: La UCV Piura carece de un proceso de autorización para la gestión de

cada nuevo recurso de tratamiento de la información.

- DEFICIENCIA N° 004: La UCV Piura carece de requerimientos de confidencialidad o acuerdos

de no divulgación.

- DEFICIENCIA N° 005: La UCV Piura no mantiene contacto apropiado con autoridades

relevantes.

- DEFICIENCIA N° 006: No se desarrollan actividades relacionadas a la revisión de objetivos de

control, controles, políticas, procesos y procedimientos para seguridad de información.

- DEFICIENCIA N° 007: La UCV Piura no cuenta con acuerdos de terceras partes que cubran

todos los requisitos de seguridad relevantes.






Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la tercera fase: EL

CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:

GESTIÓN DE ACTIVOS, se encontró la siguiente deficiencia:

- DEFICIENCIA N° 008: La UCV Piura no mantiene sus activos claramente identificados ni

mantiene un inventario actualizado de todos activos importantes.








SEGURIDAD EN RECURSOS HUMANOS, se encontraron las siguientes deficiencias:

- DEFICIENCIA N° 009: La UCV Piura no cuenta con las funciones y responsabilidades de los

empleados, contratistas y terceros definidas y documentadas en concordancia con la política de

seguridad de la organización.

- DEFICIENCIA N° 010: La UCV Piura no proporciona entrenamiento a los empleados, contratistas

y usuarios en políticas y procedimientos organizacionales.

- DEFICIENCIA N° 011: La UCV Piura carece de un proceso formal disciplinario para empleados

que han cometido un apertura en la seguridad.

- DEFICIENCIA N° 012: La UCV Piura no cuenta con un procedimiento formal para las

responsabilidades, para realizar la finalización de un empleo o el cambio de este que estén

claramente definidas y asignadas.








SEGURIDAD FÍSICA Y AMBIENTAL, se encontraron las siguientes deficiencias:

- DEFICIENCIA N° 013: La UCV Piura no cuenta con controles sofisticados para el acceso al

perímetro de seguridad.

- DEFICIENCIA N° 014: La UCV Piura no cuenta con equipos contra fallos de energía u otras

anomalías eléctricas.

- DEFICIENCIA N° 015: La OTI no cuenta con un plan o cronograma de mantenimiento preventivo

para los equipos.

- DEFICIENCIA N° 016: No se brinda seguridad a los equipos que se encuentran fuera de los

locales de la organización tomando en cuenta los diversos riesgos a los que se está expuesto.

- DEFICIENCIA N° 017: En la UCV Piura no se revisan los dispositivos de almacenamiento, con el

fin de asegurar que cualquier dato sensible y software con licencia haya sido removido o

sobrescrito con seguridad antes de la eliminación.

- DEFICIENCIA N° 018: En la UCV Piura los equipos, información o software son extraídos del

local sin autorización.



ANEXO N° 19

INFORME FINAL

INFORME

“Auditoría basada en ISO/EIC 17799 para la gestión de la


Universidad César Vallejo”

RESPONSABLE:


PERÍODO:

Del 12 de septiembre de 2009 al 03 de diciembre de 2009

FECHA DE EMISIÓN:

03 de Diciembre de 2009.

Piura, 03 de Diciembre de 2009

Ingeniero

Aldo Alexis Avalos Córdova

Jefe de la Oficina de Tecnologías de Información.

Sirva la presente para saludarle cordialmente y comunicarle que adjunto encontrará el Informe de

la Auditoría practicada a la Oficina de Tecnologías de Información desarrollada del 12 de

Septiembre de 2009 al 03 de Diciembre de 2009.

El examen se efectuó en ejercicio de desarrollo de mi tesis titulada: “Auditoría basada en ISO/EIC

17799 para la gestión de la seguridad de las Tecnologías de Información en la Universidad César

Vallejo - Piura”.

Como resultado del examen se encontraron y evidenciaron situaciones que contravienen lo

dispuesto por la Norma, las mismas que se constituyeron como deficiencias.

Atentamente,

Marco Antonio Riega Reto

DNI: 44027028

Estructura del Informe

Objetivo de la Auditoría....................................................................................................................1

Objetivos específicos.....................................................................................................................166

Alcance de la Auditoría..................................................................................................................166

Metodología de la auditoria..........................................................................................................166

Desarrollo..........................................................................................................................................2

Equipo auditor...................................................................................................................................2

Áreas auditadas.................................................................................................................................2

Marco legal........................................................................................................................................2

Comentarios de importancia.............................................................................................................2

Campos del formato de deficiencia...................................................................................................3

Deficiencias.......................................................................................................................................4

Conclusiones...................................................................................................................................62

OBJETIVO DE LA AUDITORÍA

Auditar la gestión de la seguridad de las Tecnologías de Información en la UCV-Piura.

OBJETIVOS ESPECÍFICOS

Verificar el cumplimiento de los dominios establecidos en la norma.

Presentar un informe final detallando las deficiencias estructuradas en: condición, criterio(s),

causa(s), efecto(s) y recomendación(es), para que éstas sean tomadas en cuenta en la toma

de decisiones.

ALCANCE DE LA AUDITORÍA

El alcance de la evaluación comprende los 11 Dominios de control de seguridad de la ISO/EIC

17799 las cuales son:

a) Política de seguridad.- evaluar la dirección y soporte de la gestión de la seguridad de la

información en concordancia con los requerimientos del negocio.

b) Organizando la seguridad de información.- evaluar la gestión de seguridad de la información

dentro de la organización.

c) Gestión de activos.- evaluar la protección adecuada sobre los activos de la organización.

d) Seguridad en recursos humanos.- evaluar a los empleados, contratistas y terceros, si estos

entienden sus responsabilidades y que sean adecuados para los roles que han sido

considerados.

e) Seguridad física y ambiental.- evaluar los accesos no autorizados, daños e interferencias

contra los locales y la información de la organización.

f) Gestión de comunicaciones y operaciones.- evaluar la operación correcta y segura de los

recursos de tratamiento de información.

g) Control de acceso.- evaluar los controles de acceso a la información.

h) Adquisición, desarrollo y mantenimiento de sistemas de información.- evaluar si la

seguridad está incluida en los sistemas de información.

i) Gestión de incidentes de los sistemas de información.- evaluar que los eventos y

debilidades de la seguridad de la información sean comunicados de una manera que permita

que se realice una acción correctiva a tiempo.

j) Gestión de la continuidad del negocio.- evaluar la reacción a la interrupción de actividades

del negocio y proteger sus procesos críticos frente a grandes fallos de los sistemas de

información o desastres.

METODOLOGÍA DE LA AUDITORIA

Esta Auditoría se realizó teniendo como marco de referencia la Metodología COSO (Comité de

organizaciones patrocinadoras de la comisión Treadway), como criterio para el Control Interno, y

la NTP ISO/IEC 17799 como marco normativo en la implementación de seguridad de información.

Este procedimiento nos indica que debemos evaluar y obtener evidencias objetivas del

cumplimiento o no cumplimiento con el Estándar, por medio de:

a) Entrevista con los usuarios.

b) Revisión de documentos

c) Revisión de las actividades

d) Demostración de la propia actividad.

DESARROLLO

Del 12 de septiembre de 2009 al 03 de diciembre de 2009 se desarrolló la auditoría para la gestión

de la seguridad de las Tecnologías de Información, llevando a cabo la agenda de trabajo definida

previamente con el equipo auditor.

En cada una de las áreas de trabajo se aplicaron las listas de verificación previamente diseñadas

por el auditor, durante la jornada de trabajo se entrevistaron, además de los responsables de las

áreas y departamentos, al personal que contribuye o participa directa e indirectamente en los

procesos auditados utilizando la metodología descrita con anterioridad.

EQUIPO AUDITOR

El equipo auditor estuvo conformado por 2 personas, de las cuales uno es Supervisor y un auditor

Junior, quedando el equipo de la siguiente manera:

Supervisor: Ingeniero Juan Miguel Espinoza Saucedo.

Auditor Junior: Marco Antonio Riega Reto.

ÁREAS AUDITADAS

Área Redes y Comunicaciones.

Área de Soporte Técnico.

Área de Desarrollo.

Áreas usuarios de los servicios de la OTI.

MARCO LEGAL

La auditoría se realizó en base a la NTP ISO/IEC 17799:2007: EDI. Tecnología de la información.

Código de buenas prácticas para la gestión de la seguridad de la información. 2a. ed. 173 p.

Esta Norma Técnica Peruana establece recomendaciones para desarrollar una gestión de la

seguridad de la información que pueda utilizarse por los responsables de iniciar, implantar o

mantener la seguridad en una organización. Persigue proporcionar una base común para

desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la

gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones.

COMENTARIOS DE IMPORTANCIA

Se encontró que los activos y la documentación están claramente identificados y se mantiene

un inventario de todos los activos importantes.

Durante el desarrollo de la auditoría, se observó que los elementos que integran el equipo de

trabajo de la OTI interactúan de forma constante.

Que los Principios Básicos: Lealtad, Trabajo en equipo, Responsabilidad, Calidad de servicio,

Tolerancia e Innovación descritos en el MOF, forma parte de cada de uno de los elementos que

integra la OTI.

Se realizan reuniones mensuales con el equipo de trabajo, pero estas no son documentadas

con el fin de evidenciarlas, recomendaría que se cree un acta por reunión efectuada.

La OTI – Piura por formar parte de una filial y dependiente de la principal de Trujillo, debería

contar con una copia de los registros de adquisición de licencias que se tiene por software al

DTI-Trujillo, teniendo en cuenta: el proveedor, propietario, la duración de la licencia, número de

actualizaciones permitidas, número de equipos permitidos para su instalación y copia de factura

emitida.

En la OTI se realizan las instalaciones de los distintos software, programas o aplicaciones que

se deben o deberían estar instalados en las PC’s o laptops de una manera insegura e

imprecisa, para una adecuada administración del software, programas o aplicaciones a instalar,

sugiero tener un registro de los mismos por cargo y área.

La UCV-Piura cuenta con personas capacitadas en conocimientos básicos en computación,

pero estas son pocas, con los años que ya tiene forma la misma, se debería tomar en cuenta

que el personal administrativo, que no cuente con los conocimientos básicos en computación y

que utilice o tenga a cargo alguna PC u otro equipo tecnológico, sea capacitado o se capacite

en el uso del mismo.

La OTI se encarga de administrar las T.I. de toda la UCV-Piura y otras empresas como San

Antonio, Santa Rosa, que pertenecen a los propietarios de la universidad, situación que limita

el adecuado y oportuno soporte que frente a los problemas de T.I. que se presentan en las

unidades organizacionales de la Universidad, ya que generalmente la OTI no cuenta con el

suficiente personal para atender los diferentes problemas Tecnológicos de las otras empresas

o centros productivos que no forman parte del UCV-Piura.

CAMPOS DEL FORMATO DE DEFICIENCIA

Detalle:

- Condición: “Lo que es” Situación o hecho evidenciado.

- Criterio: “Lo que debe ser” Marco de referencia con el que se compara la condición para

encontrar divergencias. Ley, reglamento, norma de control interno.

- Causa: “Por qué” El origen de la condición observada.

- Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio, el efecto

tendrá un resultado positivo o negativo

- Recomendación: “Arregla la condición” La recomendación se emite con la idea de mejorar o

anular la condición y llegar al criterio atacando la causa y arreglar el efecto para futuras

situaciones.

DEFICIENCIA N° 001

FECHA DE LLENADOÁREA AUDITADA: OTI

DÍA24

MESSetiembre

AÑO2009 AUDITOR JUNIOR: M.A.R.R.

DETALLE

Condición:

No se ha identificado que la UCV Piura cuente con una Política de Seguridad de Información

Criterio:

NTP-ISO/IEC 17799: 4. EVALUACION Y TRATAMIENTO DEL RIESGO, 4.1.- La gerencia debería

aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de política

de seguridad de la información.

Causa(s):

- La OTI no se basa en ninguna norma o estándar para poder desempeñar sus funciones.

- No contar con el tiempo y personal suficientemente capacitado en la seguridad de la información.

Efecto(s):

- Que el personal de la UCV Piura no conozca las disposiciones necesarias que permitan salvaguardar la

Seguridad de la Información.

Recomendaciones:

- La implementación, aprobación, publicación y divulgación de la Política de Seguridad de la Información.

- Que una vez que se implemente la Política de Seguridad de Información, ésta debe ser revisada en

intervalos planificados, para lo cual es conveniente implementar un procedimiento de actualización para

la Política de Seguridad de Información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 002


DÍA29

MESSetiembre


DETALLE

Condición:

La UCV Piura carece de una organización adecuada de seguridad de información.

Criterio:

NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.1.- La gerencia debe

apoyar activamente en la seguridad dentro de la organización a través de direcciones claras

demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la

seguridad de información;

Causa(s):

- La UCV Piura no se basa en ninguna norma o estándar para poder administrar las T.I.

- La alta Dirección de la UCV Piura carece de los conocimientos de seguridad de información

necesarios.

Efecto(s):

- Inadecuada administración de la seguridad de información.

- No contar con los planes de: seguridad de información y continuidad del negocio.

Recomendaciones:

- Que la Dirección General de la UCV-Piura establezca las responsabilidades de seguridad de

información ya sea a través de un puesto organizacional específico como “Oficial de Seguridad de la

Información”, ó mediante la creación de un área organizacional de seguridad de la información, así

como también mediante la creación de un Comité de Seguridad de Información.

- Se formalice la constitución de un comité de seguridad de la información, el mismo que deberá estar

compuesto por representantes tanto de las áreas administrativas como académicas de la entidad.

Este comité deberá ser liderar por la alta dirección de la entidad.

- Que las responsabilidades que se asignen al Área ó al Oficial de Seguridad de la información sean

concordantes con la política de seguridad de la información de la UCV-Piura.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 003


DÍA29

MESSetiembre


DETALLE

Condición:

La UCV Piura carece de un proceso de autorización para la gestión de cada nuevo recurso de

tratamiento de la información.

Criterio:

NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.4.- Debería

establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la

información.

Causa(s):

- La alta Dirección de la UCV Piura carece de los conocimientos de seguridad de información necesarios.

Efecto(s):

- Inadecuada administración de los nuevos recursos de tratamiento de la información.

- Pérdidas económicas.

Recomendaciones:

Se recomienda que se implemente un proceso de autorización para la gestión de recursos de

información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 004


DÍA29

MESSetiembre


DETALLE

Condición:

La UCV Piura carece de requerimientos de confidencialidad o acuerdos de no divulgación.

Criterio:

NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.5.- Requerimientos de

confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la organización para la

protección de información deben ser identificadas y revisadas regularmente.

Causa(s):

No contar con un Políticas de seguridad.

Efecto(s):

Divulgación de información confidencial.

Recomendaciones:

Se recomienda se implementen acuerdos ó clausulas de confidencialidad tanto en los contratos, o

convenios con el personal y entidades externas.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 005


DÍA30

MESSetiembre


DETALLE

Condición:

La UCV Piura no mantiene contacto apropiado con autoridades relevantes.

Criterio:

NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.6.- Deben ser

mantenidos contactos apropiados con autoridades relevantes.

Causa(s):

No contar con el Plan de continuidad del Negocio.

Efecto(s):

No saber las actividades que se deben desarrollar, así como a quién acudir o llamar en caso de una

emergencia física y lógica.

Recomendaciones:

- Se recomienda que se cree y se mantenga actualizada una lista de contactos apropiados como:

Defensa Civil, Cruz Roja, Bomberos y Proveedores de hardware y software, entre otros, que

administren o estén involucrados con los procesos o recursos críticos de información.

- Una creada la lista de contactos, se debe mantenerse contactos apropiados con grupos de interés

especial u otros especialistas en foros de seguridad y asociaciones profesionales.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 006


DÍA30

MESSetiembre


DETALLE

Condición:

No se desarrollan actividades relacionadas a la revisión de objetivos de control, controles, políticas,

procesos y procedimientos para seguridad de información.

Criterio:

NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.8.- El alcance de la

organización para gestionar la seguridad de información y su implementación (objetivos de control,

controles, políticas, procesos y procedimientos para seguridad de información) deben ser revisados

independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de

la seguridad ocurran.

Causa(s):

- No contar con los conocimientos de seguridad de información necesarios por parte de la OTI.

- No contar con el suficiente tiempo y personal para el desarrollo de los mismos.

Efecto(s):

Inadecuada administración de las T.I.

Recomendaciones:

- Se recomienda la implementación, formalización y mantenimiento de los controles, políticas, procesos y

procedimientos para seguridad de información, los mismos que deberían ser actualizados

periódicamente o cuando se implemente un cambio significativo en la plataforma tecnológica.

- También se recomienda que se desarrolle un análisis y evaluación de riesgos asociados con el acceso

a la información de la entidad que tenga los terceros.

- Anexar los requisitos identificados de seguridad antes de dar a los clientes acceso a la información o a

los activos de la organización.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 007


DÍA30

MESSetiembre


DETALLE

Condición:

La UCV Piura no cuenta con acuerdos de terceras partes que cubran todos los requisitos de seguridad

relevantes.

Criterio:

NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.11.- Los acuerdos con

terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la

organización o de las instalaciones de procesamiento de información o la adición de productos o

servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.

Causa(s):

- No contar con los conocimientos de seguridad de información necesarios.

- No contar con un Plan de Seguridad de Información.

Efecto(s):

- Daños lógicos: perdida de información, alteración de la configuración de equipos (switch, router,etc).

- Daños físicos: pérdidas materiales (servidores, switch, PC’s, etc.).

Recomendaciones:

Se recomienda implementar bitácora de acceso a la sala de cómputo.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 008


DÍA02

MESOctubre


DETALLE

Condición:

La UCV Piura no mantiene sus activos claramente identificados ni mantiene un inventario actualizado de

todos activos importantes.

Criterio:

NTP-ISO/IEC 17799: 7. GESTIÓN DE ACTIVOS, 7.1.- Todos los activos deben se claramente

identificados y se debe elaborar y mantener un inventario de todos los activos importantes.

Causa(s):

- No contar con el tiempo para el desarrollo del mismo.

- No contar con el suficiente personal para el desarrollo del mismo.

Efecto(s):

- Desconocimiento de los activos que se posee.

- Pérdidas o robos de activos.

Recomendaciones:

- Se recomienda que se elabore y mantenga actualizado un inventario de activos de información.

- Se recomienda que una vez implementado el inventario de activos de información se debe identificar

formalmente a los propietarios de los mismos.

- Se recomienda identificar, revisar y actualizar las reglas asociadas al acceso a los activos de

información.

- Una vez identificada las reglas asociadas al acceso a los activos, se recomienda que se establezca

niveles de clasificación en el acceso a la información.

- Establecidos los niveles, definir procedimientos adecuados para marcar y tratar la información de

acuerdo al esquema de clasificación adoptado por la UCV-Piura.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 009


DÍA06

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con las funciones y responsabilidades de los empleados, contratistas y terceros

definidas y documentadas en concordancia con la política de seguridad de la organización.

Criterio:

NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.1.- Las funciones y

responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en

concordancia con la política de seguridad de la organización.

Causa(s):

- No contar con la Política de seguridad de la Organización.

- No contar con los conocimientos de seguridad de información necesarios por parte de la gerencia.

Efecto(s):

Que los empleados, contratistas y terceros desconozcan cuales son las funciones y responsabilidades

que deben desempeñar y tienen hacia la empresa.

Recomendaciones:

- Se recomienda una vez implementada la política de seguridad de información se actualicen funciones y

responsabilidades de los empleados, contratistas y terceros.

- Se recomienda que la UCV-Piura comunique adecuadamente y de manera trasparente las clausulas y

acuerdos de confidencialidad a los que están sujetos los empleados contratistas y terceros de la

entidad. De esta manera se garantiza la aceptación y firma de los contratos.

- Se recomienda que una vez implementado las políticas y procedimientos, requerir o contratar personal

necesario que aplique las políticas y procedimientos de seguridad de la información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 010


DÍA06

MESOctubre


DETALLE

Condición:

La UCV Piura no proporciona entrenamiento a los empleados, contratistas y usuarios en políticas y

procedimientos organizacionales.

Criterio:

NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.5.- Todos los empleados de la

organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento

apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales

como sean relevantes para la función de su trabajo.

Causa(s):

No contar con la Política de seguridad y procedimientos organizacionales.

Efecto(s):

- No saber que procedimientos adecuados seguir ante una emergencia.

- Daños físicos y lógicos en los sistemas de información.

Recomendaciones:

Se recomienda la elaboración de un plan anual de capacitación de seguridad de la información el cual

contemplara el desarrollo de cursos y charlas de seguridad de la información dirigidas tanto al personal

como a los contratistas de la entidad.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 011


DÍA07

MESOctubre


DETALLE

Condición:

La UCV Piura carece de un proceso formal disciplinario para empleados que han cometido un apertura

en la seguridad.

Criterio:

NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.6.- Debe existir un proceso formal

disciplinario para empleados que han cometido un apertura en la seguridad.

Causa(s):

- No contar con una Política de seguridad.

- Inadecuado control y/o administración de los permisos, privilegios de usuarios y accesos.

Efecto(s):

- Daños físicos y lógicos hacia los equipos de T.I.

- Se siga cometiendo la mismo atentado.

Recomendaciones:

Se recomienda elaborar y formalizar un proceso disciplinario para empleados que cometan alguna

apertura en la seguridad.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 012


DÍA08

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con un procedimiento formal para las responsabilidades, para realizar la

finalización de un empleo o el cambio de este que estén claramente definidas y asignadas.

Criterio:

NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.7.- Las responsabilidades para

realizar la finalización de un empleo o el cambio de este deben ser claramente definidas y asignadas.

Causa(s):

No contar con una Política de seguridad.

Efecto(s):

Inadecuada administración de las cuentas de usuario.

Recomendaciones:

Se recomienda implementar procedimientos formales para realizar la finalización de un empleo o el

cambio de este.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 013


DÍA09

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con controles sofisticados para el acceso al perímetro de seguridad.

Criterio:

NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.1.- Los perímetros de seguridad (como

paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deben ser usados

para proteger áreas que contengan información y recursos de procesamiento de información.

Causa(s):

Falta de presupuesto.

Efecto(s):

- Falta de control en el acceso y salida al perímetro de seguridad.

- Intrusión de personas ajenas al perímetro de seguridad.

- Pérdidas materiales, robo.

Recomendaciones:

- Se recomienda implementar controles más sofisticados como: los biométricos, con la finalidad de

mejorar la seguridad en el acceso al perímetro de seguridad.

- Una vez implementado los controles, se recomienda implementar procedimientos para la asignación del

acceso físico a las oficinas, despachos y recursos de la entidad.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 014


DÍA09

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con equipos contra fallos de energía u otras anomalías eléctricas.

Criterio:

NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.8.- Se deberían proteger los equipos

contra fallos de energía u otras anomalías eléctricas en los equipos de apoyo.

Causa(s):

- No contar con un Plan de seguridad de Información.

- No contar con un Plan de continuidad del negocio.

- Falta de presupuesto.

- No contar con los conocimientos de seguridad de información necesarios por parte de la gerencia.

Efecto(s):

- Daños físicos y lógicos a los equipos de T.I.

- Discontinuidad de los procesos de información.

Recomendaciones:

Se recomienda ampliar la capacidad del UPS e implementar un grupo electrógeno al Data Center.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 015


DÍA10

MESOctubre


DETALLE

Condición:

La OTI no cuenta con un plan o cronograma de mantenimiento preventivo para los equipos.

Criterio:

NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.10.- Los equipos deberían mantenerse

adecuadamente para asegurar su continua disponibilidad e integridad.

Causa(s):

- No contar con un Plan de Continuidad del Negocio.

- No contar con el suficiente personal capacitado para dar mantenimiento.

- Falta de tiempo.

Efecto(s):

- Daños físicos y lógicos irreparables a los equipos de T.I.

- Deterioro de los equipos, tiempo de vida mejor.

Recomendaciones:

Se recomienda implementar y ejecutar un plan o cronograma de mantenimiento preventivo para los

equipos.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 016


DÍA11

MESOctubre


DETALLE

Condición:

No se brinda seguridad a los equipos que se encuentran fuera de los locales de la organización tomando

en cuenta los diversos riesgos a los que se está expuesto.

Criterio:

NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.11.- Se debe aplicar seguridad a los

equipos que se encuentran fuera de los locales de la organización tomando en cuenta los diversos

riesgos a los que se está expuesto.

Causa(s):

No contar con un Plan de Seguridad.

Efecto(s):

- Pérdidas o robo de los equipos.

- Daños físicos y lógicos de los equipos.

- Perdida de Información.

Recomendaciones:

Se recomienda implementar medidas de seguridad para los equipos que se encuentra fuera de los

locales de la organización, que garanticen la confidencialidad de la información además de la

recuperación inmediata del hardware.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 017


DÍA12

MESOctubre


DETALLE

Condición:

En la UCV Piura no se revisan los dispositivos de almacenamiento, con el fin de asegurar que cualquier

dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la

eliminación.

Criterio:

NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.12.- Todos los elementos del equipo que

contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que cualquier

dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la

eliminación.

Causa(s):

No contar con un Plan de Seguridad.

Efecto(s):

Perdida de información.

Recomendaciones:

Se recomienda revisar los dispositivos de almacenamiento antes de su eliminación, así como

implementar formalmente procedimiento para el caso de remover o sobrescribir la información que

almacenaba antes de su eliminación.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 018


DÍA12

MESOctubre


DETALLE

Condición:

En la UCV Piura los equipos, información o software son extraídos del local sin autorización.

Criterio:

NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.13.- El equipo, información o software no

deben ser sacado fuera del local sin autorización.

Causa(s):

- No contar con un Plan de Seguridad.

- No contar con un control de seguridad adecuado, en el acceso y salida del personal.

- No formalizar los acuerdos de confidencialidad y seguridad.

Efecto(s):

- Deterioro de los equipos más rápidos.

- Perdida de equipos y materiales.

- Desgaste de materiales.

Recomendaciones:

Se recomienda no sacar equipos, software o información fuera del local sin autorización, así como

implementar procedimiento formal para este tipo de situaciones.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 019


DÍA13

MESOctubre


DETALLE

Condición:

La UCV Piura carece de los documentos de procedimientos de operación.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.1.- Se deberían

documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios

que lo requieran.

Causa(s):


- No contar con un Plan de continuidad del Negocio.

Efecto(s):

- Inadecuada utilización de los equipos de T.I.

- Deterioro más rápido de los equipos de T.I.

Recomendaciones:

Se recomienda documentar y mantener los procedimientos de operación y ponerlos a disposición de

todos los usuarios que lo requieran, a través de email, intranet o documentos impresos.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 020


DÍA13

MESOctubre


DETALLE

Condición:

No se controla formalmente los cambios en los sistemas y recursos de tratamiento de información.

Criterio:


controlar los cambios en los sistemas y recursos de tratamiento de información.

Causa(s):


- No contar con planes y controles adecuados de mantenimiento a los sistemas y recursos de tratamiento

de información.

Efecto(s):

- Deterioro de los recursos de tratamiento de información.

- Daños lógicos a los sistemas.

Recomendaciones:

Implementar y mantener actualizado controles que permitan registrar los cambios en los sistemas y

recursos de tratamiento de información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 021


DÍA13

MESOctubre


DETALLE

Condición:

En la UCV Piura no se segregan las tareas y las áreas de responsabilidad con el fin de reducir las

oportunidades de una modificación no autorizada o no intencional, o el de un mal uso de los activos de la

organización.

Criterio:


segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una

modificación no autorizada o no intencional, o el de un mal uso de los activos de la organización.

Causa(s):

No existe un adecuado análisis para segregación de funciones y áreas de responsabilidad.

Desconocimiento de las funciones que debe desarrollar el personal.

Efecto(s):

- Redundancia de actividades desarrolladas.

- Desperdicio de horas hombre.

- Conflictos en la solución de problemas.

- Posibles Fraudes.

Recomendaciones:

Reestructurar la organización interna de la OTI de tal manera que se definan claramente las áreas de

desarrollo, soporte, control de calidad y producción; teniendo en cuenta que los puestos críticos de:

administración de red, administración de base de datos, y programación de sistemas deben de estar

separados.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 022


DÍA13

MESOctubre


DETALLE

Condición:

La OTI no cuenta con una estructura de organización interna adecuada, no se encuentra bien definidas

las funciones del personal.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.4.- La separación de

los recursos para desarrollo, prueba y producción es importante para reducir los riesgos de un acceso no

autorizado o de cambios al sistema operacional.

Causa(s):

MOF no está bien estructurado y no es específico en las con las funciones de las áreas.

Efecto(s):

- No halla un buen desempeño del área.

- Los trabajadores no tengan bien en claro cuáles son sus funciones.

- Conflictos internos entre colegas por las funciones y cargos.

Recomendaciones:

Reestructurar la organización interna de la OTI de tal manera que se definan claramente las áreas de

desarrollo, soporte, control de calidad y producción; teniendo en cuenta que los puestos críticos de:

administración de red, administración de base de datos, y programación de sistemas deben de estar

separados.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 023


DÍA14

MESOctubre


DETALLE

Condición:

En la UCV Piura no se monitorean ni proyectan capacidades de los equipos de cómputo.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.8.- El uso de

recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas

futuras para asegurar el sistema de funcionamiento requerido.

Causa(s):

- No contar con el suficiente presupuesto.

- La carencia de la importancia de la tecnología por parte de la gerencia.

Efecto(s):

- Retrasos en los procesos de información.

- Tecnología descontinuada.

- La tecnología no soporta los procesos y su tiempo de utilización se hace más corto por el crecimiento

de la Universidad.

Recomendaciones:

Se recomienda un monitoreo y proyección de capacidades de los equipos de computo.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 024


DÍA14

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con controles para detectar el software malicioso y prevenirse contra él.

Criterio:


implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos

adecuados para concientizar a los usuarios.

Causa(s):

No contar con un Plan de seguridad.

Efecto(s):

- Intrusión o instalación de software malicioso.

- Daños físicos y lógicos a los equipos.

- Robo de información, saturación de procesos, errores en los sistemas.

Recomendaciones:

Se recomienda implantar controles para prevenir y detectar la presencia de software malicioso.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 025


DÍA14

MESOctubre


DETALLE

Condición:

No se realizan copias de manera formal y continua de la información esencial del negocio.

Criterio:


hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en

concordancia con la política acordada de recuperación.

Causa(s):

- No contar con un Plan de seguridad.

- No contar con Un Plan de continuidad.

- No lo realizan porque no lo quieren hacer.

Efecto(s):

- Si se dañan los datos de los servidores, no hay copias (backups) actualizas de los mismos.

- Perdida de información vital para la empresa, irrecuperable.

Recomendaciones:

Realizar copias de seguridad de toda la información esencial del negocio, de acuerdo al procedimiento

que se formalice e implemente para la generación de respaldos.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 026


DÍA15

MESOctubre


DETALLE

Condición:

En la UCV Piura las redes no son manejadas y controladas adecuadamente.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.13.- Las redes

deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la

seguridad en los sistemas y aplicaciones usando las redes, incluyendo información en tránsito.

Causa(s):

- No contar con la tecnología adecuada.

- No contar con el suficiente presupuesto para comprar de equipos mas apropiados.

Efecto(s):

- Presentarse amenazas en los equipos de la UCV.

- Sistemas vulnerables.

- Perdida de información.

Recomendaciones:

Implementar aspectos como:

- Creación de puesto organizacional en la OTI de “Administrador de red”.

- Administración de red por consola.

- Acceso al Centro de Cómputo de sólo personal autorizado.

- Contar con herramientas informáticas que permitan verificar el uso de la red.

- Coordinar con las empresas de los equipos y servicios de comunicaciones a fin de que el personal del

área sea capacitado.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 027


DÍA17

MESOctubre


DETALLE

Condición:

En la UCV Piura no hay procedimientos para la gestión de los medios informáticos removibles.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.15.- Debería haber

procedimientos para la gestión de los medios informáticos removibles.

Causa(s):


- No contar con un procedimiento para la gestión de medios informáticos.

Efecto(s):

- Perdida de medios.

- Confusión de medios.

- Cambios de medios.

Recomendaciones:

Se recomienda desarrollar e implementar procedimientos para la gestión de los medios informáticos

removibles.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 028


DÍA21

MESOctubre


DETALLE

Condición:

En la UCV Piura no existen procedimientos formales para eliminar los medios de forma segura y sin

peligro cuando no se necesiten más.

Criterio:


eliminar los medios de forma segura y sin peligro cuando no se necesiten más, utilizando procedimientos

formales.

Causa(s):

No cuenta Plan de seguridad.

Efecto(s):

Que la información contenida en esos medios sea utilizada por otros después de que haya sido

eliminada.

Recomendación:

Implementar un procedimiento que garantice la adecuada y segura eliminación de medios de

almacenamiento

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 029


DÍA22

MESOctubre


DETALLE

Condición:

En la UCV Piura no hay procedimientos formales para la manipulación y almacenamiento de la

información.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.17.- Los

procedimientos para la manipulación y almacenamiento de la información deben ser establecidos para

proteger esta información de divulgaciones o usos no autorizados.

Causa(s):

No cuenta con un Plan de Seguridad.

Efecto(s):


- Daño de información.

- Fuga de información.

Recomendaciones:

Establecer procedimientos para la manipulación y almacenamiento de la información, que entre sus

objetivos figure la protección de la información frente a divulgaciones o usos no autorizados.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 030


DÍA23

MESOctubre


DETALLE

Condición:

La UCV Piura con cuenta con la documentación de todos sus sistemas.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.18.- La

documentación de sistemas debe ser protegida contra acceso no autorizado.

Causa(s):

No cuenta con una metodología de desarrollo.

Efecto(s):

- Errores de programación.

- Fallas en los sistemas.

- Retraso para encontrar una falla en los sistemas.

Recomendaciones:

Generar, actualizar y resguardar la documentación de los sistemas.

Implementar mecanismos o controles para la protección de la documentación de los sistemas.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 031


DÍA24

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con políticas, procedimientos y controles formales de intercambio con el fin de

proteger la información a través de todos los tipos de instalaciones de comunicación.

Criterio:


establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la

información a través de todos los tipos de instalaciones de comunicación.

Causa(s):


Efecto(s):



Recomendaciones:

Establecer políticas, procedimientos y controles formales para el intercambio de información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 032


DÍA25

MESOctubre


DETALLE

Condición:

La UCV Piura con cuenta con acuerdos formales para el intercambio de información y software entre la

organización y terceros.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.20.- Los acuerdos

deben ser establecidos para el intercambio de información y software entre la organización y terceros.

Causa(s):

No contar con una Política de seguridad.

Efecto(s):

- Divulgación de información.

- Piratería de software.

Recomendaciones:

Establecer acuerdos de confidencialidad para el intercambio de información y software entre la

organización y terceros.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 033


DÍA25

MESOctubre


DETALLE

Condición:

En la UCV Piura no son protegidos los contenedores de información contra acceso no autorizado, mal

uso o corrupción durante el transporte fuera de los límites físicos de la organización.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.21.- Los medios

contenedores de información deben ser protegidos contra acceso no autorizado, mal uso o corrupción

durante el transporte fuera de los límites físicos de la organización.

Causa(s):


Efecto(s):


- Perdida o robo de los contenedores s de información.

Recomendaciones:

Proteger los medios contenedores de información contra actividades que atenten contra la

confidencialidad, integridad y disponibilidad de la información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 034


DÍA25

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con políticas y procedimientos con el fin de proteger la información asociada

con la interconexión de sistemas de información de negocios.

Criterio:


desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la

interconexión de sistemas de información de negocios.

Causa(s):


Efecto(s):


- Intrusión de virus, etc.

Recomendaciones:

Desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la

interconexión de sistemas de información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 035


DÍA26

MESOctubre


DETALLE

Condición:

En la UCV Piura no se protege la información implicada en las transacciones en línea debe ser protegida

para prevenir la transmisión incompleta

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.25.- La información

implicada en las transacciones en línea debe ser protegida para prevenir la transmisión incompleta, ruta

equivocada, alteración no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del

mensaje o reproducción.

Causa(s):

- No contar con grupo electrógeno para los equipos que procesa la información de las transacciones.

- No contar con equipos de apoyo, si los equipos de transmisión de las transacciones caen.

Efecto(s):


- Instrucciones de los procesos.

- Usuarios insatisfechos.

- Clientes insatisfechos.


Recomendaciones:

Implementar mecanismos que protejan la información de tal manera que la transmisión de esta se

desarrolle de manera completa evitando su manipulación por acceso no autorizado.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 036


DÍA26

MESOctubre


DETALLE

Condición:

En la UCV Piura no se registran ni almacenan las actividades de los usuarios, excepciones y eventos de

la seguridad de información.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.27.- Los registros de

auditoría grabados de las actividades de los usuarios, excepciones y eventos de la seguridad de

información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en

investigaciones futuras y en el monitoreo de los controles de acceso.

Causa(s):


Efecto(s):

- No tener un control y registro de las actividades desempeñadas por los usuarios.

- No saber que hacen durante su hora de trabajo.

Recomendaciones:

Implementar registros de auditoría tanto en la administración de la red y los sistemas de información de

la UCV-Piura.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 037


DÍA26

MESOctubre


DETALLE

Condición:

En la UCV Piura no se cuenta con un procedimiento para el uso del monitoreo de la instalación de

procesamiento de información.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.28.- Los

procedimientos para el uso del monitoreo de la instalación de procesamiento de información deben ser

establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.

Causa(s):

- Carencia de conocimientos en seguridad de T.I.

- Carencia de tiempo y personal para la elaboración de los mismos.

Efecto(s):

Inadecuada manipulación de los equipos de T.I.

Recomendaciones:

Establecer procedimientos formales de monitoreo para la instalación de procesamiento de información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 038


DÍA27

MESOctubre


DETALLE

Condición:

En la UCV Piura no se registran las actividades del administrador y los operadores de los sistemas.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.30.- Las actividades

del administrador y de los operadores del sistema deben ser registradas.

Causa(s):


Efecto(s):

- Manipulación de información no autorizada.

- Ingresos a sistemas sin autorizaciones o permisos.

Recomendaciones:

Establecer una bitácora de las actividades del administrador y de los operadores del sistema.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 039


DÍA27

MESOctubre


DETALLE

Condición:

En la UCV Piura las averías de redes no son registradas y analizadas formalmente.

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.31.- Las averías

deben ser registradas, analizadas y se debe tomar acciones apropiadas.

Causa(s):


Efecto(s):

- Daños irreparables en los equipos.

- Mala manipulación.

- Mala toma de decisiones a la hora realizar alguna reparación.

- No hay control de los equipos.

Recomendaciones:

Registrar y analizar las averías para poder tomar acciones apropiadas.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 040


DÍA27

MESOctubre


DETALLE

Condición:

En la UCV Piura no se encuentran sincronizados todos los relojes de los sistemas de procesamiento de

información

Criterio:

NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.32.- Los relojes de

todos los sistemas de procesamiento de información dentro de la organización o en el dominio de

seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.

Causa(s):

No hay sincronización de los sistemas.

Efecto(s):

- No hay control u hora exacta a de ingreso o salida.

- Malestar de los docentes y trabajadores.

Recomendaciones:

Sincronizar todos los relojes de los sistemas de procesamiento de información dentro de la organización.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 041


DÍA28

MESOctubre


DETALLE

Condición:

La UCV Piura no cuenta con una política de control de acceso.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.1.- Una política de control de acceso debe ser

establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del

negocio.

Causa(s):

No cuenta una Política de seguridad.

Efecto(s):

Acceso a personas ajenas.

Recomendaciones:

Establecer, documentar y actualizar la política de control de acceso.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 042


DÍA02

MESNoviembre


DETALLE

Condición:

En la UCV Piura carece formalmente un procedimiento de registro de altas y bajas de usuarios para

garantizar el acceso a los sistemas y servicios de información multiusuario.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.2.- Se debería formalizar un procedimiento de

registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información

multiusuario.

Causa(s):


Efecto(s):

Suplantación de usuarios.

Recomendaciones:

Desarrollar e implementar un procedimiento formal de registro de altas y bajas de usuarios.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 043


DÍA02

MESNoviembre


DETALLE

Condición:

La gerencia no revisa los derechos de acceso de los usuarios.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.6.- La gerencia debería establecer un proceso

formal de revisión periódica de los derechos de acceso de los usuarios.

Causa(s):

Carencia de conocimientos tecnológicos por parte de la gerencia.

Efecto(s):

Que la gerencia no sepa quiénes tienen permisos y accesos a diferentes programas o paginas y si las

usan si es debido.

Recomendaciones:

Establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 044


DÍA02

MESNoviembre


DETALLE

Condición:

Los usuarios de la UCV Piura no siguen buenas prácticas de seguridad para la selección y uso de sus

contraseñas.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.7.- Los usuarios deberían seguir buenas prácticas

de seguridad para la selección y uso de sus contraseñas.

Causa(s):

Carencia cocimientos y capacitaciones de la importancia de la seguridad tecnológica.

Efecto(s):


- Inseguridad para la red.

- Suplantación de identidad del usuario.

Recomendaciones:

Instruir o capacitar a los usuarios en buenas prácticas de seguridad para la selección y uso de sus

contraseñas.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 045


DÍA02

MESNoviembre


DETALLE

Condición:

En la UCV Piura los usuarios no aseguran si los equipos informáticos desatendidos estén debidamente

protegidos.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.8.- Los usuarios deberían asegurar que los

equipos informáticos desatendidos estén debidamente protegidos.

Causa(s):

- Falta de concientización en los usuarios.

- Falta de capacitación en seguridad informática a los usuarios.

Efecto(s):

Deterioro rápido de los equipos.

Recomendaciones:

Capacitar a los usuarios en seguridad para la protección de los equipos informáticos desatendidos.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 046


DÍA02

MESNoviembre


DETALLE

Condición:

En la UCV Piura no se adopta una política de escritorio limpio para papeles y medios removibles de

almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de

información.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.9.- Se debería adoptar una política de escritorio

limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia

para instalaciones de procesamiento de información.

Causa(s):

- Usuarios desordenados.

- Usuarios con carencia en conocimientos de tecnologías de información.

Efecto(s):

Desorden en el escritorio de trabajo y unidades.

Recomendaciones:

Desarrollar e implementar una política de escritorio limpio para papeles y medios removibles de

almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de

información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 047


DÍA02

MESNoviembre


DETALLE

Condición:

Los usuarios de la UCV Piura no cuentan con los accesos directos a los servicios para los que estén

autorizados de una forma específica.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.10.- Los usuarios sólo deberían tener acceso

directo a los servicios para los que estén autorizados de una forma específica.

Causa(s):

Inadecuada administración de las cuentas de usuario.

Efecto(s):

- Ingresos y utilización de otros programas que no están autorizados.

- Manipulación de información no autorizada.

Recomendaciones:

Establecer accesos directos de los servicios a los que el usuario sólo debe tener acceso.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 048


DÍA09

MESNoviembre


DETALLE

Condición:

No se utilizan métodos apropiados de autentificación para controlar el acceso de usuarios remotos

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.11.- Se deben utilizar métodos apropiados de

autentificación para controlar el acceso de usuarios remotos.

Causa(s):

- Inadecuada administración de las cuentas de usuario.


Efecto(s):

Ingresos de usuarios a través de la red a otras PC de la Universidad.

Recomendaciones:

Utilizar métodos apropiados de autentificación para controlar el acceso de usuarios remotos.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 049


DÍA09

MESNoviembre


DETALLE

Condición:

Las sesiones no se desactivan tras un periodo de inactividad.

Criterio:

NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.21.- Las sesiones se deberían desactivar tras un

periodo definido de inactividad.

Causa(s):

- Inadecuada administración de las cuentas de usuario.


Efecto(s):

- Suplantación de usuarios.

- Inseguridad de acceso.

Recomendaciones:

Establecer periodos de desactivación para las cuentas de usuarios, dependiendo del estado del mismo,

vacaciones, fines de semana, por jornada laboral o porque ya no labora en la empresa.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 050


DÍA10

MESNoviembre


DETALLE

Condición:

No se especifica los requisitos de control para los sistemas nuevos o mejoras a sistemas existentes.

Criterio:

NTP-ISO/IEC 17799: 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIÓN, 12.1.- Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a

sistemas existentes deberían especificar los requisitos de control.

Causa(s):

- No contar con Metodología de desarrollo.

- No contar con un proceso apropiado para adquisición de sistemas o hacer mejoras a los mismos.

Efecto(s):

- Seguridad inadecuada para los sistemas.

- No tener un control de la información o datos que salen o se ingresan a través de los sistemas.

- No saber si es el mismo usuario que inicio sesión quien es el que está modificando los daos.

Recomendaciones:

Especificar los requisitos de control con los que debe contar los sistemas nuevos o mejoras a los

existentes. Para los sistemas nuevos o mejoras de los existentes se debe implementar formalmente con

metodología de prueba, así como de un proceso de desarrollo adecuado documentándolo.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 051


DÍA18

MESNoviembre


DETALLE

Condición:

Se debe validar los datos de salida de un sistema de aplicación para garantizar que el proceso de la

información ha sido correcto y apropiado a las circunstancias.

Criterio:


INFORMACIÓN, 12.5.- Se deberían validar los datos de salida de un sistema de aplicación para

garantizar que el proceso de la información ha sido correcto y apropiado a las circunstancias.

Causa(s):

- No contar con una metodología de desarrollo


Efecto(s):

- Cambio de datos, sin autorización.



- Alteración de información.

Recomendaciones:

Que los sistemas o aplicaciones debieran validar los datos de salida de un sistema de aplicación para

garantizar que el proceso de la información ha sido correcto y apropiado a las circunstancias.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 052


DÍA18

MESNoviembre


DETALLE

Condición:

En la UCV Piura no se controlan formalmente los cambios de los sistemas.

Criterio:


INFORMACIÓN, 12.11.- La implementación de cambios debe ser controlada usando procedimientos

formales de cambio.

Causa(s):

- No contar con Plan de Mantenimiento.

- No contar con una Metodología de desarrollo de sistemas.

Efecto(s):

No contar con un control formal y desatollado de cambios y actualizaciones de los sistemas.

Recomendaciones:

Desarrollar e implementar procedimientos formales para controlar en los sistemas.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 053


DÍA19

MESNoviembre


DETALLE

Condición:

No se reportan formalmente los eventos de seguridad de información.

Criterio:

NTP-ISO/IEC 17799: 13. GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN, 13.1.-

Los eventos en la seguridad de información deben ser reportados lo más rápido posible a través de una

gestión de canales apropiada.

Causa(s):

No contar con Plan de seguridad.

Efecto(s):

- Desconocimiento por parte de la gerencia de los eventos de seguridad de información acontecidos.

- Inadecuada toma de decisiones, para los eventos de seguridad de información.

Recomendaciones:

Desarrollar e implementar un procedimiento formal de reporte de eventos en la seguridad de información,

el cual debe ser establecido junto con una respuesta a incidencias, estableciendo las acciones a ser

tomadas en cuenta al recibir dicho reporte.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 054


DÍA19

MESNoviembre


DETALLE

Condición:

En la UCV Piura los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de

información no anotan y reportan cualquier debilidad observada o sospechada en la seguridad de estos

formalmente.

Criterio:

NTP-ISO/IEC 17799: 13. GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN 13.2.-

Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de información

deben anotar y reportar cualquier debilidad observada o sospechada en la seguridad de estos.

Causa(s):


Efecto(s):

No tener un control y no saber cuáles son las debilidades observadas o sospechosas que afectan a la

seguridad.

Recomendaciones:

Instruir y educar a los empleados, contratistas y terceros usuarios de los sistemas y servicios de

información deben anotar y reportar de manera formal documentada cualquier debilidad observada o

sospechada en la seguridad de estos.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 055


DÍA20

MESNoviembre


DETALLE

Condición:

La gerencia no cuenta con responsabilidades y procedimientos para asegurar una rápida, efectiva y

ordenada respuesta a los incidentes en la seguridad de información.

Criterio:


Las responsabilidades y procedimientos de la gerencia deben ser establecidas para asegurar una rápida,

efectiva y ordenada respuesta a los incidentes en la seguridad de información.

Causa(s):


- La gerencia carece de conocimientos de seguridad de T.I.

Efecto(s):

- Inadecuado control de los procesos y monitorización de los servicios.

- Pérdida de tiempo a momento de brindar una solución, en algunos casos toma de decisiones

esquivadas.

Recomendaciones:

Establecer las responsabilidades y procedimientos que se deben seguir para maniobrar los eventos y

debilidades en la seguridad de información de una manera efectiva una vez que hayan sido reportados

los mismos, el cual debe ser desarrollado en respuesta al monitoreo, evaluación y gestión general de los

incidentes en la seguridad de información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 056


DÍA20

MESNoviembre


DETALLE

Condición:

No se recolecta o se le hace seguimiento formal al proceso legal o civil cuando una persona haya

cometido un incidente de seguridad de información.

Criterio:


Cuando una acción de seguimiento contra una persona u organización, después de un incidente en la

seguridad de información, implique acción legal (civil o criminal), la evidencia debe ser recolectada,

retenida y presentada para estar conforme con las reglas para la colocación de evidencia en la

jurisdicción relevante.

Causa(s):

No contar con una Plan de seguridad.

Efecto(s):

- No saber cómo justificar su sanción, no se tiene pruebas.

- No saber que damos pudo o cometió.

Recomendaciones:

Desarrollar e implementar procedimientos internos, los cuales deben ser desarrollados y seguidos

cuando se recolecte y presente evidencia para propósitos disciplinarios maniobrados dentro de la

organización. El peso en la evidencia debe cumplir con cualquier requerimiento aplicable. Para lograr

peso en la evidencia, la calidad y lo completo de los controles usados para corregir y proteger

consistentemente la evidencia (como por ejemplo el proceso de control de evidencia) durante el periodo

en que la evidencia que se recupera se almacena y se procesa, debe estar demostrado por un fuerte

seguimiento de dicha evidencia.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

DEFICIENCIA N° 057


DÍA20

MESNoviembre


DETALLE

Condición:

La UCV Piura no cuenta con un proceso de gestión para el desarrollo y el mantenimiento de la

continuidad del negocio.

Criterio:

NTP-ISO/IEC 17799: 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 14.1.- Se debería instalar en

toda la organización un proceso de gestión para el desarrollo y el mantenimiento de la continuidad del

negocio a través de la organización que trate los requerimientos en la seguridad de información

necesarios para la continuidad del negocio.

Causa(s):

- No cuenta con Plan de Continuidad del Negocio.

- No cuenta con el suficiente personal capacitado.

Efecto(s):

- Discontinuidad de los procesos.


- Falla de equipos.

Recomendaciones:

- Desarrollar e implantar un Plan de Contingencia para asegurar que los procesos del negocio se pueden

restaurar en los plazos requeridos las operaciones esenciales.

- Una vez desarrollado e implementado el plan, se deben identificar y evaluar los procesos críticos, así

como analizar las consecuencias de los desastres, fallas de seguridad, perdidas de servicio y

disponibilidad del servicio.

- Desarrollar e implantar planes de mantenimiento y recuperación para el negocio.

- También que tener en cuenta que el esquema debe ser único para cada plan de continuidad del

negocio, el plan también debe especificar claramente las condiciones para su activación, así como las

personas responsables de ejecutar cada etapa del plan.

- Realizar simulacros de los planes de continuidad del negocio para asegurar que todos los miembros del

equipo de recuperación y otro personal relevante están prevenidos y sepan sus responsabilidades para

la continuidad del negocio y la seguridad de información.

SUPERVISOR:J.M.E.S.

FECHA DE REVISIÓN

DÍA06

MESNoviembre

AÑO2009

Conclusiones

Se debería implementar una sub área de auditoría en Tecnologías de Información en el OTI, la

cual deberá estar apoyada en las nuevas técnicas y procedimientos de auditoría como son el

análisis de datos de prueba, simulación paralela, paquetes de auditoría, software de auditoría,

entre otros.

No se le da la importancia y valor debido a las Tecnologías de Información por parte de la

Dirección de la Universidad, ya que esta hasta la fecha no ha puesto en marcha la creación de

un Pan Estratégico de Tecnologías de Información.

Los usuarios (alumnos y trabajadores) de las Tecnologías de Información carecen de los

conocimientos básicos de seguridad de la información como: el analizar con el antivirus la

memoria USB, instalación y copiado de información que no compete o no tiene nada que ver

con la empresa, ingreso a paginas de chat, redes sociales, correos personales, los cuales

pueden contener virus pudiendo dañar el equipo o equipos que estén conectados a la red.

Algunos usuarios que laboran en la empresa los cuales cuentan con una PC, manipulan o

tienen a cargo algún equipo de T.I., no cuentan con la capacitación o no cuentan con los

conocimientos básicos en la utilización del mismo.

No se cuenta con el suficiente personal para cubrir y cumplir todas las labores que tiene y debe

de desempeñar el OTI.

El personal de la OTI trabaja de forma eficaz, las fallas se dan debido a que no se les

proporciona los materiales adecuados y en vez de eso les abastece con materiales de baja

calidad. El tiempo también juega un papel muy importante, ya a que los trabajos le son exigidos

en plazos de tiempo muy cortos a lo que deberían ser.

No hay una adecuada administración de la seguridad de las Tecnologías de Información, ya

que se carece de un Plan de Seguridad.

ANEXO N° 20

CONSTANCIA DE LA INSTITUCIÓN

ANEXO N° 21

CONSTANCIA DE RECEPCIÓN DE LA SOLICITUD

DE DOCUMENTACIÓN

auditoría basada en isoiec 17799 para la gestión de seguridad de las tecnologías de información...

Documents