auditoría basada en isoiec 17799 para la gestión de seguridad de las tecnologías de información...
DESCRIPTION
auditoria basada en iso 17799TRANSCRIPT
Facultad de Ingeniería
Escuela Profesional de Ingeniería de Sistemas
Auditoría basada en ISO/IEC 17799 para la gestión de
seguridad de las Tecnologías de Información en la
Universidad César Vallejo - Piura.
Tesis para obtener el Título Profesional de
Ingeniero de Sistemas
Autor
Marco Antonio Riega Reto
Asesor
Ingeniero Juan Miguel Espinoza Saucedo
PIURA – PERÚ
2010
Auditoría basada en ISO/IEC 17799 para la gestión de
seguridad de las Tecnologías de Información en la
Universidad César Vallejo - Piura.
AutorMarco Antonio Riega Reto
AsesorIngeniero Juan Miguel Espinoza Saucedo
Jurado
Ingeniero Noelia Saavedra Nizama
Ingeniero Aldo S. Pereda Castillo
Ingeniero Elmer Chunga Zapata
Resumen
La Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de
Información en la Universidad César Vallejo – Piura, tiene como objetivo principal la evaluación de
la gestión de seguridad de las T.I. Hasta el momento, en la Oficina de Tecnologías de Información
(OTI) de la UCV-Piura, órgano encargado de administrar las T.I., no se ha desarrollado actividad
alguna de control (auditoría) relacionada a sistemas y/o tecnologías de información, situación que
no le permite a la OTI conocer con certeza la eficiencia y eficacia que aporta para la
implementación, administración y actualización de las T.I. en la UCV-Piura. Ante el hecho antes
descrito surge la necesidad de evaluar la gestión de seguridad de las T.I., es por ello la decisión
de plantear y desarrollar esta tesis, utilizando la metodología COSO como base para la auditoría
en la evaluación del Control Interno.
El contenido de esta tesis consta de siete capítulos, los cuales se describen a continuación:
Capítulo I: Marco Metodológico, donde se realiza un análisis de la realidad problemática,
planteando tanto el objetivo general como los específicos, la hipótesis, la identificación de las
variables y el diseño de la ejecución.
Capítulo II: Marco Referencial, en este capítulo se realiza un análisis de las definiciones
relacionadas con la Auditoría y las Tecnologías de Información desde los diferentes puntos de
vista.
Capítulo III: Desarrollo de la Investigación trata sobre la Metodología y se centra en el análisis y
desarrollo de una solución acorde a las necesidades.
Capítulo IV: Discusión de Resultados, los cuales se interpretan a través del análisis estadístico del
Pre Test y Post Test de cada uno de los cinco indicadores planteados.
Capítulo V: Conclusiones y recomendaciones, aquí es donde se da un alcance de los objetivos y
metas logradas con el desarrollo de la presente tesis, así mismo tenemos las sugerencias que se
deben ejecutar para que el trabajo desarrollado sea un instrumento eficaz de solución de
problemas en la empresa.
Capítulo VI: Referencias Bibliográficas, de los libros y sitios web de donde se extrajo la
información.
Capítulo VII: Anexos, donde se encuentra los documentos que sustentan el desarrollo de la
presente tesis, como es el caso de los papeles de trabajo.
Índice General
CAPITULO I:
MARCO METODOLÓGICO.............................................................................................................9
1.1 EL PROBLEMA..................................................................................................................... 10
1.1.1 Realidad Problemática....................................................................................................10
1.1.2 Antecedentes del Problema............................................................................................12
1.1.3 Formulación Interrogativa del Problema.........................................................................13
1.1.4 Justificación de la Investigación.....................................................................................13
2.1.5 Limitaciones de la Investigación.....................................................................................14
1.2 OBJETIVO GENERAL...........................................................................................................14
1.2.1 Objetivos Específicos.....................................................................................................14
1.3 HIPÓTESIS........................................................................................................................... 14
1.4 VARIABLES........................................................................................................................... 15
1.4.1 Variables Independiente................................................................................................15
1.4.2 Variable Dependiente....................................................................................................15
1.4.3 Variable Interveniente....................................................................................................15
1.5 DISEÑO DE EJECUCIÓN.....................................................................................................15
1.5.1 Población y Muestra.......................................................................................................15
1.5.2 Técnicas e instrumentos, fuentes e Informantes............................................................15
1.5.3 Formas de Análisis e Interpretación de Resultados........................................................16
CAPITULO II:MARCO REFERENCIAL...........................................................................................17
2.1 MARCO TEÓRICO REFERENCIAL......................................................................................18
2.2 MARCO CONCEPTUAL........................................................................................................34
CAPITULO III:DESARROLLO DE LA INVESTIGACIÓN.................................................................35
3.1 PLANIFICACIÓN DE LA LAUDITORIA.................................................................................36
3.1.1 Determinación del Objetivo y Alcance de la auditoría.....................................................36
3.1.2 Actividades realizadas en la Auditoría............................................................................36
3.1.3 Análisis del ambiente a Auditar y del entorno Auditable.................................................36
3.1.4 Determinación de los recursos de la Auditoría Informática.............................................36
3.2 EJECUCIÓN DE LA AUDITORÍA – METODOLOGÍA COSO BASADA EN ISO/IEC 17799.37
I EL ENTORNO DE CONTROL...............................................................................................37
II LA MEDICIÓN DE RIESGOS...............................................................................................37
III EL CONTROL DE ACTIVIDADES.......................................................................................37
IV LOS SISTEMAS DE COMUNICACIÓN Y LOS SISTEMAS DE INFORMACIÓN................38
V EL SISTEMA DE MONITOREO...........................................................................................38
3.3 SEGUIMIENTO.....................................................................................................................38
3.3.1 Revisión de los papeles de trabajo y desarrollo de las deficiencias...............................38
3.3.2 Elaboración de la Carta de Introducción correspondiente al Informe final......................38
3.4 INFORME.............................................................................................................................. 38
3.4.1 Elaboración y presentación del Informe..........................................................................38
CAPITULO IV:DISCUSIÓN DE RESULTADOS..............................................................................39
CAPITULO V:CONCLUSIONES Y RECOMENDACIONES............................................................57
CAPITULO VI:REFERENCIAS BIBLIOGRÁFICAS.........................................................................62
CAPITULO VII:ANEXOS................................................................................................................. 65
- ANEXO N° 01 : CRONOGRAMA DE LA TESIS
- ANEXO N° 02 : INDICADORES DE LA TESIS
- ANEXO N° 03: FORMATO DE LAS GUÍAS DE OBSERVACIÓN.
- ANEXO N° 04 : FORMATO DEL PAPEL DE TRABAJO
- ANEXO N° 05: FORMATO DE DEFICIENCIA PARA LA AUDITORÍA BASADA EN ISO/IEC
17799 PARA LA GESTIÓN DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN EN
LA UNIVERSIDAD CÉSAR VALLEJO - PIURA.
- ANEXO N° 06: RECURSOS, MATERIALES, PRESUPUESTO Y FINANCIAMIENTO DE LA
TESIS
- ANEXO N° 07: FORMATO DE LA SOLICITUD DE DOCUMENTACIÓN.
- ANEXO N° 08: FORMATO DE LA ENTREVISTA DE USUARIO.
- ANEXO N° 09: FORMATO DE EVALUACIÓN DEL CUMPLIMIENTO DE LAS FUNCIONES DE
LAS ÁREAS DE LA OTI.
- ANEXO N° 10: FORMATO DE LA EVALUACIÓN DEL PLAN OPERATIVO.
- ANEXO N° 11: FORMATO DE LA EVALUACIÓN DEL ÁREA DE LA OTI.
- ANEXO N° 12: FORMATO DE LA EVALUACIÓN AL ÁREA DE REDES.
- ANEXO N° 13: FORMATOS DE LAS EVALUACIÓNES AL ÁREA DE DESARROLLO
- ANEXO N° 14: FORMATO DE LA EVALUACIÓN AL ÁREA DE SOPORTE TECNICO.
- ANEXO N° 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.
- ANEXO N° 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS ÁREAS
DE LA OTI.
- ANEXO N° 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.
- ANEXO N° 18: PAPELES DE TRABAJO.
- ANEXO N° 19: INFORME FINAL.
- ANEXO N° 20: CONSTANCIA DE LA INSTITUCIÓN.
- ANEXO N° 21: CONSTANCIA DE RECEPCIÓN DE LA SOLICITUD DE DOCUMENTACIÓN.
Índice de figuras, cuadros, tablas y gráficos.
FIGURA Nº 02: Organigrama Estructural de la Oficina de Tecnologías de Información.................12
CUADRO Nº 01: Áreas de la OTI y su número de trabajadores......................................................15
FIGURA Nº 01: Organigrama Estructural de la Universidad Privada César Vallejo – Piura............22
FIGURA Nº 03: Entorno actual de las T.I........................................................................................27
CUADRO N° 02: Comparación de las Metodologías.......................................................................33
Cuadro N° 03: Resultado ITEM 1....................................................................................................40
Gráfico N° 01: Resultado ITEM 1....................................................................................................40
Cuadro N° 04: Resultado ITEM 2....................................................................................................42
Gráfico N° 02: Resultado ITEM 2....................................................................................................43
Cuadro N° 05: Resultado ITEM 3....................................................................................................44
Gráfico N° 03: Resultado ITEM 3....................................................................................................44
Cuadro N° 06: Resultado ITEM 4....................................................................................................45
Gráfico N° 04: Resultado ITEM 4....................................................................................................45
Cuadro N° 07: Resultado ITEM 5....................................................................................................46
Gráfico N° 05: Resultado ITEM 5....................................................................................................46
Cuadro N° 08: Resultado ITEM 6....................................................................................................48
Gráfico N° 06: Resultado ITEM 6....................................................................................................48
Cuadro N° 09: Resultado ITEM 7....................................................................................................50
Gráfico N° 07: Resultado ITEM 7....................................................................................................50
Cuadro N° 10: Resultado ITEM 8....................................................................................................51
Gráfico N° 08: Resultado ITEM 8....................................................................................................51
Cuadro N° 11: Resultado ITEM 09..................................................................................................53
Gráfico N° 09: Resultado ITEM 09..................................................................................................53
Cuadro N° 12: Resultado ITEM 10..................................................................................................55
Gráfico N° 10: Resultado ITEM 10..................................................................................................55
Cuadro N° 13: Resultado ITEM 11..................................................................................................56
Gráfico N° 11: Resultado ITEM 11..................................................................................................56
FIGURA Nº 04: Cronograma de la Tesis.........................................................................................67
CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de
seguridad de las T.I. en la UCV - Piura. (continua)....................................................................69-72
Introducción
Las sociedades avanzadas de fines del siglo XX son denominadas frecuentemente sociedades de
la información, pues el volumen de datos que es procesado, almacenado y transmitido es
inconmensurablemente mayor que a cualquier época anterior. Actualmente, las tecnologías y la
información son medios o recursos de poder, por ello las organizaciones la valoran mucho.
Las Tecnologías de la Información están presentes en todas las áreas de las organizaciones. Esta
implantación generalizada de T.I se ha realizado en muchos casos con escasa planificación, en
parte porque los conceptos necesarios no estaban suficientemente desarrollados. Por lo tanto, se
hace necesario mejorar la planificación de futuras implementaciones, la compatibilidad entre
sistemas y la organización del personal y de la empresa.
En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la
información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una
considerable cantidad de recursos en personal, equipos y tecnología, además de los costos
derivados de la posible organización estructural que muchas veces conlleva la introducción de
estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de
efectividad. Por tanto, el propósito a alcanzar por una organización en la que se realizan auditorías
de sus Tecnologías de Información, es asegurar que sus objetivos estratégicos son los mismos
que los de la propia organización y que los sistemas de información prestan y aseguren el apoyo
adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.
La Universidad César Vallejo – Piura por estar en constante desarrollo hace uso de diferentes
Tecnologías de Información, las cuales se apoyan en los procesos que se mantienen y que
generan información sobre la que se trabaja internamente, es entonces necesario proteger ésta
crítica y valiosa información, mediante mecanismos de seguridad eficientes y valederos, por lo
antes indicado, es que he llevado a cabo la Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información, para evaluar: los controles, estrategias y los
activos de la organización, manteniendo y fortaleciendo confidencialidad, integridad y
disponibilidad de los datos y tecnología, teniendo en cuenta las responsabilidades que debe
asumir cada uno de los colaboradores de la UCV Piura..
CAPÍTULO I
MARCO METODOLÓGICO
Escuela de Ingeniería de Sistemas
1.1 EL PROBLEMA.
1.1.1 Realidad Problemática.
La Universidad César Vallejo S.A.C. como institución de educación superior universitaria al
crear la filial Piura busca formar profesionales debidamente instrumentados en la ciencia, en la
tecnología y con sólida formación humanística, que es la demanda de una calidad en cada una
de las carreras que asume desarrollar como compromiso académico y su responsabilidad con
la sociedad que apuesta por esta universidad. (UCVPIURA 2002)
El órgano encargado de administrar las Tecnologías de Información es la Oficina de
Tecnologías de Información o conocido por sus siglas como OTI, el cual es un órgano de apoyo
a las labores administrativas de las distintas áreas de la Universidad.
Entre las labores desempeñadas por la OTI tenemos:
El desarrollo y soporte de sistemas de información para agilizar las actividades que se
realizan en la Universidad diariamente.
El diseño, implementación, administración y auditoría de las redes de comunicación de la
Universidad.
La instalación, configuración y mantenimiento de los servicios de internet.
La planificación, organización, dirección y supervisión de las actividades de mantenimiento
integral de los equipos de tecnología de comunicación y equipos de cómputo.
La programación y desarrollo de diversos cursos informáticos acorde con los avances
tecnológicos.
Elaboración de proyectos tecnológicos que permitan mejorar el servicio brindado a nuestros
alumnos.
Elaboración de reportes a nivel operacional y gerencial como apoyo en la toma de
decisiones dentro de la Institución.
Capacitación del personal para el manejo de los diversos sistemas operacionales.
Problemática actual:
Carece de un Plan Estratégico de Tecnologías de Información (PETI).
La OTI no posee la documentación de los sistemas de información implementados en la
UCV Piura, como: Manuales de usuario y Manuales Técnicos.
No cuenta con auditoría previa de T.I.
No existe una oportuna respuesta a los requerimientos de tecnologías de información,
solicitados a la sede de Trujillo.
Parte del hardware con el que cuenta corresponde a la generación de los equipos que
cuentan con procesadores Pentium Celeron, Pentium III y Pentium IV, lo que generalmente
provoca lentitud en el procesamiento de la información, afectando el rendimiento y
productividad del colaborador.
Auditoría basada en ISO/IEC 17799 para la gestión 10 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
La red de computadoras de la UCV Piura cuenta con equipos de comunicaciones (switch y
router) de diferentes marcas, lo cual dificultad y limita la administración y seguridad de la
red.
No se cuenta con Plan de Recuperación de Tecnologías de Información para los diferentes
procesos que realizan sus áreas que lo integran.
Carece de una administración y distribución estratégica de los equipos tecnológicos, de
acuerdo a las funciones y necesidades de los usuarios.
No se ha implementado formalmente algún procedimiento, norma o estándar para efectuar
los trabajos relacionados a la implementación y mantenimiento de cableado estructurado de
alguna red.
La Oficina de Tecnologías de Información no cuenta con señalizaciones básicas de
seguridad.
No cuentan con manuales de usuario de los sistemas informáticos.
Las áreas de: redes, soporte técnico y desarrollo no cuentan con manuales de procesos y
procedimientos.
El Data Center no cumple con requerimientos mínimos como son:
Sensores de movimiento, apertura, fuego y temperatura.
Control de acceso.
Sistema o equipo contra incendio.
Estandarización del cableado.
Etiquetado del cableado.
Aire acondicionado de precisión.
Extintores.
Luces de emergencia.
Circuito Cerrado de Televisión.
La Oficina de Tecnologías de Información no cuenta con planes de seguridad de las T.I.
El personal de soporte técnico no cuenta con capacitaciones que permitan fomentar el
desarrollo de capacidades en aspectos técnicos como: reparación y mantenimientos de
equipos como: PC’s de escritorio, laptop y Cañones multimedia.
Auditoría basada en ISO/IEC 17799 para la gestión 11 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
FIGURA Nº 02: Organigrama Estructural de la Oficina de Tecnologías de Información.Fuente: UCVPIURA (2009)
1.1.2 Antecedentes del Problema.
Antecedentes Internacionales
SIERRA & GARRIDO (2004) desarrollaron la tesis Análisis comparativo entre el enfoque
tradicional y los enfoques modernos de evaluación y mejora del control interno
(Informes COSO, COCO y COBIT) en las organizaciones. Universidad de Carabobo.
Facultad de Ciencias Económicas y Sociales
Se ha considerado citar esta tesis por el aporte que brinda del análisis comparativo entre el
enfoque tradicional y los enfoques modernos de evaluación y mejora del control interno
(Informes COSO, COCO y COBIT) en las organizaciones.
VARGAS (2002) desarrolló la tesis Auditoría de Sistemas, en la Universidad Católica
Boliviana San Pedro.
Lo más resaltante de esta investigación es que representa la conclusión de los estudios
realizados en el campo de la Auditoría de Sistemas. El resultado del trabajo es la propuesta de
una metodología para realizar una auditoría en informática, que profundiza de manera
específica en el área de auditoría de sistemas de información.
BORGUELLO (2001) desarrolló la tesis Seguridad Informática, Sus implicancias e
Implementación, en la Universidad Tecnológica Nacional.
El autor ha considerado tomar como referencia esta investigación ya que desarrolla un estudio
Auditoría basada en ISO/IEC 17799 para la gestión 12 Riega Reto de seguridad de las T.I. en la UCV - Piura.
JEFATURA DE LA OFICINA DE
TECNOLOGÍAS DE INFORMACIÓN
ÁREA DE REDES ÁREA DE DESARROLLO ÁREA DE SOPORTE TÉCNICO
SOPORTE HW/SW
SOPORTE ELÉCTRONICO
ASISTENTE ADMINISTRATIVA
Escuela de Ingeniería de Sistemas
completo del estado actual y futuro posible de la Seguridad Informática, además brinda un
completo plan de estrategias y metodologías de Seguridad Informática.
Antecedentes Nacionales
FIGUEROA (2003) desarrolló la Auditoría de Seguridad, en la Universidad Nacional José
Faustino Sánchez Carrión. Facultad de Ingeniería.
Es de vital importancia citar esta tesis debido al aporte que brinda como guía en los
cuestionarios y encuestas que se debe realizar para el desarrollo de la evaluación de
hardware, aplicaciones del software y plan de contingencia y recuperación.
MAMANI, AROHUANZA QUINONEZ, MUNOZ & POCOHUANCA (2004) desarrollaron la
Auditoria Informática a la Municipalidad Provincial Mariscal, en la Universidad José Carlos
Mariátegui. Facultad Ingeniería de Sistemas e Informática.
El aporte que brinda esta auditoría al trabajo de investigación es ilustrar sobre la aplicación de
las Normas Nacionales, el alcance, objetivos, cronograma, documentos a utilizar, metodología
de investigación, Informe Final y las respectivas conclusiones del caso.
NAJARRO & FIGUEROA (2005) desarrollaron la tesis Planeamiento Estratégico de
Tecnologías de Información de La Escuela Superior Privada de Tecnología-SENATI, en la
Universidad Nacional Mayor de San Marcos. Facultad de Ciencias Matemáticas.
Se ha considerado citar esta tesis debido al aporte que brinda sobre las características de las
problemáticas organizacionales, la situación con respecto a la competencia a través de un
Planeamiento Estratégico de Tecnología de Información (PETI) y las recomendaciones
sugeridas del caso a la Escuela Superior Privada de Tecnología-SENATI.
1.1.3 Formulación Interrogativa del Problema.
¿La Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las Tecnologías de
Información en la Universidad César Vallejo – Piura?.
1.1.4 Justificación de la Investigación.
Justificación Científica: La presente investigación de auditoría basada en ISO/IEC 17799
para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo
– Piura es una investigación científica ya que se apoya en el método científico cumpliendo con
cada uno de sus procesos, también dejando un precedente para futuros investigadores que
deseen desarrollar una investigación que tenga relación con ésta.
Justificación Tecnológica: Para la Universidad César Vallejo-Piura la ejecución de esta
Auditoría basada en ISO/IEC 17799 permitirá la mejora de la gestión de la seguridad de las
Tecnologías de Información así también con esta investigación se dará cuenta de la
importancia de los Sistemas de Información y la importancia de la mismas en el uso de las
organizaciones.
Auditoría basada en ISO/IEC 17799 para la gestión 13 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Justificación Organizacional: Hoy en día las empresas necesitan y dependen cada vez más
de los Sistemas de Información, se tiene que poner mayor énfasis en el control de la
información y de las herramientas tecnológicas utilizadas las cuales son el punto de partida
para el buen funcionamiento y crecimiento de la organización.
Justificación del Investigador: La realización del presente proyecto de investigación ayudará
a conseguir el objetivo que es la realización de la Auditoría basada en ISO/IEC 17799, además
de ser requisito indispensable para obtener el título de Ingeniero de Sistemas.
2.1.5 Limitaciones de la Investigación.
No existen muchos antecedentes de investigación respecto al tema.
Otra limitación que se presentó a lo largo del desarrollo de la tesis es la limitación de tiempo
con que se contaba para entrevistar a los usuarios de las T.I. y al personal del área de la
OTI.
1.2 OBJETIVO GENERAL.
Mejorar la gestión de seguridad de las Tecnologías de Información en la Universidad César
Vallejo – Piura desarrollando la auditoría basada en ISO/IEC 17799, utilizando la Metodología
COSO.
1.2.1 Objetivos Específicos.
Identificar las amenazas que afectan la seguridad y los procesos de las Tecnologías de
información.
Identificar el grado de implementación de los proyectos de la OTI.
Identificar los procedimientos formales para la concesión, administración de derechos y
perfiles.
Identificar el registro de revisiones periódicas sobre los derechos concedidos a los usuarios.
Identificar los controles para evitar el acceso físico no autorizado.
Identificar el número de controles preventivos y de detección sobre el uso de software de
procedencia dudosa.
Identificar el número de procedimientos de respaldos regulares y periódicamente validados.
Identificar el procedimiento formal para reportar incidentes de seguridad de la información.
Identificar el registro de incidentes de seguridad de la información.
Identificar la Política de seguridad de la información.
Identificar el Plan de continuidad del negocio.
1.3 HIPÓTESIS.
La Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las Tecnologías de
Información en la Universidad César Vallejo-Piura.
1.4 VARIABLES.
Auditoría basada en ISO/IEC 17799 para la gestión 14 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
1.4.1 Variables Independiente: Auditoría basada en ISO/IEC 17799 para la Universidad César
Vallejo-Piura.
1.4.2 Variable Dependiente: Gestión de seguridad de las Tecnologías de Información en la
Universidad César Vallejo- Piura.
1.4.3 Variable Interveniente: Metodología COSO.
1.5 DISEÑO DE EJECUCIÓN.
1.5.1 Población y Muestra.
1.5.1.1 Población.
La población está definida por:
El personal de la Oficina de Tecnologías de Información, el cual se encuentra conformado
por doce personas.
ÁREA O CARGO N° DE PERSONAS
Jefatura de OTI 1
Asistente administrativo 1
Área de Redes 2
Área de Soporte Técnico 3
Área de Desarrollo 5
TOTAL 12
CUADRO Nº 01: Áreas de la OTI y su número de trabajadores.Elaborado por el autor
1.5.1.2 Muestra.
Por ser población pequeña no se calculará muestra, dado que en la Oficina de Tecnologías de
Información no existe gran cantidad de personas que laboren en esa área.
1.5.2 Técnicas e instrumentos, fuentes e Informantes.
- Para el ITEM1: Amenazas que afectan la seguridad y los procesos de las Tecnologías de
información, se usará la Guía de observación N° 1.
- Para el ITEM2: Grado de implementación de proyectos de la OTI, se usará la Guía de
observación N° 2.
- Para el ITEM3: Procedimientos formales para la concesión, administración de derechos y
perfiles, se usará la Guía de observación N° 3.
- Para el ITEM4: Registro de revisiones periódicas sobre los derechos concedidos a los
usuarios, se usará la Guía de observación N° 4.
- Para el ITEM5: Controles para evitar el acceso físico no autorizado, se usará la Guía de
observación N° 5.
Auditoría basada en ISO/IEC 17799 para la gestión 15 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
- Para el ITEM6: Controles preventivos y de detección sobre el uso de software de procedencia
dudosa, se usará la Guía de observación N° 6.
- Para el ITEM7, Procedimientos de respaldos regulares y periódicamente validados, se usará
la Guía de observación N° 7.
- Para el ITEM8, Procedimiento formal para reportar incidentes de seguridad de la información,
se usará la Guía de observación N° 8.
- Para el ITEM9: Registro de incidentes de seguridad de la información, se usará la Guía de
observación N° 9.
- Para el ITEM10: Política de seguridad de la información, se usará la Guía de observación N°
10.
- Para el ITEM11: Plan de continuidad del negocio, se usará la Guía de observación N° 11.
(Ver Anexo N° 2).
1.5.3 Formas de Análisis e Interpretación de Resultados.
Los datos que se obtengan mediante la aplicación de las técnicas antes indicadas, serán
ingresados al programa Excel 2007 para medir los datos; con el cual se podrán determinar las
precisiones porcentuales, los ordenamientos de mayor a menor de los indicadores y
finalmente los resultados serán presentados como información en forma de cuadros, gráficos,
etc.
Auditoría basada en ISO/IEC 17799 para la gestión 16 Riega Reto de seguridad de las T.I. en la UCV - Piura.
CAPÍTULO II
MARCO REFERENCIAL
Escuela de Ingeniería de Sistemas
2.1 MARCO TEÓRICO REFERENCIAL.
I. Universidad César Vallejo-Piura.
Reseña Histórica
Por Ley Nº 25350 se crea la Universidad Privada César Vallejo teniendo como sede la ciudad
de Trujillo, inicia sus actividades académicas con las siguientes facultades y carreras
profesionales. (El Peruano 1991):
1) FACULTAD DE INGENIERÍA: con la carrera profesional de Ingeniería Civil.
2) FACULTAD DE ARQUITECTURA: con la carrera profesional de Arquitectura.
3) FACULTAD DE CIENCIAS CONTABLES: con la carrera profesional de contabilidad.
4) FACULTAD DE CIENCIAS MEDICAS: con las carreras profesionales de Obstetricia y
Nutrición.
5) FACULTAD DE EDUCACIÓN: con las carreras profesionales de:
-Educación Inicial
-Educación Primaria y
-Educación Física.
6) FACULTAD DE CIENCIAS DE LA COMUNICACIÓN: con la carrera profesional de
Periodismo.
7) FACULTAD DE HUMANIDADES.
Por Ley N° 26409 se dispone que la Asamblea Nacional de Rectores está facultada para
autorizar excepcionalmente el funcionamiento de nuevas facultades o carreras a solicitud de
la Comisión Organizadora de la Universidad Privada César Vallejo. (El Peruano 1994).
Por resolución Nº 437-95-ANR del 31 de Marzo de 1995 autoriza “el funcionamiento de la
carreras profesionales de Administración, Ingeniería de Sistemas, Psicología y Derecho de la
Universidad Privada “César Vallejo”. (ANR 1995).
Por resolución Nº 265-2006-CONAFU del 21 de Agosto del 2006 autoriza el funcionamiento
de de las carreras profesionales de Ingeniería Industrial, Administración en Hotelería y
Turismo, Idiomas y Estomatología. (CONAFU 1996).
Áreas funcionales y sus funciones generales.
Dirección General
1. Dictar los reglamentos y resoluciones que sean necesarios para el funcionamiento
adecuado de la Filial.
2. Dirigir y controlar la gestión de la Filial con respecto al régimen académico, económico y
disciplinario de la Filial, coordinando las funciones académicas de investigación y
extensión que ejecute la Filial.
3. Asistir a las sesiones del Comité Ejecutivo que se reúne semanalmente para tratar y
resolver los casos planteados en su agenda.
Auditoría basada en ISO/IEC 17799 para la gestión 18 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4. Velar por el cumplimiento de los estatus, reglamentos y políticas que regulan la vida
universitaria.
5. Proponer a las autoridades y funcionarios superiores, para su aprobación del Comité
Ejecutivo, así como contratar a los docentes y no docentes, personal administrativo y de
servicios que la Filial requiera, de conformidad con los estatutos y reglamentos de la Filial.
6. Proponer al Gerente General el presupuesto anual de la filial y sus modificaciones.
7. Informar al Gerente General de los avances en la ejecución de la programación académica
y de los planes operativos y presupuestos.
8. Ejecutar las acciones dispuestas por la Gerencia General e informar de los resultados.
9. Evaluar el cumplimiento de los objetivos y metas estratégicas que se logran mediante la
ejecución de los proyectos, programas y actividades de los planes operativos, disponiendo
de la ejecución de las medidas correctivas.
10.Las demás que le otorguen la ley y el estatuto.
Departamento de Planificación y Desarrollo
1. Orientar y coordinar la formulación del plan estratégico institucional de la Filial,
monitoreando su ejecución.
2. Coordinar la preparación del plan de desarrollo y plan operativo de la Filial.
3. Dirigir la planificación de proyectos de cooperación técnica nacional e internacional.
4. Evaluar y controlar la ejecución de los planes operativos.
5. Orientar y coordinar las líneas de investigación.
6. Informar respecto a los proyectos normativos y sus modificaciones.
7. Brindar asesoría técnica al comité Ejecutivo, a la Gerencia General y a las Direcciones en
materia de su competencia.
8. Impulsar el proceso de planificación participativa en todos los órganos funcionales de las
Filiales.
9. Proponer procedimientos específicos para la evaluación y seguimiento de la marcha de la
institución.
10.Evaluar y consolidar las necedades de la administración de la información y el desarrollo
informático.
11.Proponer y evaluar la racionalización del uso de los recursos Físicos en relación a las
necesidades académicas de la Filial.
Departamento de Logística
1. Dirigir, programar, conducir y monitorear el sistema de abastecimiento de la Universidad.
2. Proponer el plan de compras de la Universidad para cada semestre académico en función
del presupuesto aprobado y el plan operativo institucional.
3. Evaluar y realizar las acciones de materiales y equipos, y recomendar la contratación de
servicios que la Universidad requiera para sus acciones académicas y administrativas.
4. Proponer, administrar y actualizar el registro de Proveedores.
Auditoría basada en ISO/IEC 17799 para la gestión 19 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
5. Mantener un registro sistemático y actualizado de precios de los productos y servicios que
se requieren con frecuencia.
6. Registra el movimiento diario frecuente al ingreso y salida de productos, materiales y
equipos de almacén con su respectiva valorización y órgano responsable.
7. Actualizar el Kardex de los productos que justifique técnica y financieramente su
permanencia en el almacén, definiendo el stock mínimo.
Departamento de Recursos Humanos.
1. Proponer a la Alta Dirección las políticas en materia de reclutamiento, selección,
desarrollo, capacitación, evaluación, compensación y relaciones laborales del personal
docente, administrativo y de servicio.
2. Velar por el cumplimiento de las políticas antes referidas.
3. Programar las necesidades de recursos humanos de la institución y efectuar los procesos
de reclutamiento y selección de los mismos.
4. Orientar al nuevo personal acerca de las políticas, normas y procedimiento de la
Universidad, así como sus derechos y obligaciones.
5. Organizar y ejecutar programas de capacitación y desarrollo del personal docente
administrativo y de sus servicios.
6. Diseñar y ejecutar programas de recreación, vivienda, cooperativas de consumo y otras
prestaciones y compensaciones.
7. Diseñar y aplicar líneas de carreras y el sistema de evaluación del desempeño.
8. Organizar y ejecutar programas de salud y seguridad para el personal docente
administrativo y de servicio.
9. Controlar la asistencia y puntualidad del personal así como la movilización interna del
mismo a través de rotaciones, transferencia, contrataciones, preparaciones y ceses.
10. Velar por el mantenimiento de la disciplina y la aplicación correcta de las leyes y
reglamento en materia laboral.
11.Cautelar la emisión de documentos laborales como contratos, nombramientos,
reconocimientos de derechos, resoluciones de ceses y jubilación, etc.
12.Elaborar las planillas de sueldo y salarios del personal docente, administrativo y de
servicios.
13.Diseñar y mantener un adecuado sistema de información de recursos humanos para la
toma de decisiones.
14.Tener al día un banco de datos sobre información diversa sobre el personal.
15.Otras, que le asigne el director administrativo.
Dirección Académica
1. Supervisar y evaluar el trabajo curricular de las Facultades y otras unidades académicas,
coordinando con los decanos y responsables de dichas unidades.
2. Coordinar y orientar la Educación.
Auditoría basada en ISO/IEC 17799 para la gestión 20 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
3. Emitir informes técnicos sobre asuntos y eventos académicos.
4. Emitir opinión técnica sobre casos de creación, función o supresión de Facultades y otras
unidades académicas.
5. Orientar y supervisar la organización y el funcionamiento de las Bibliotecas, Hemerotecas,
Videotecas, Fonotecas y otras.
6. Otras que le sean encomendadas por el Rector.
Dirección de Asuntos Estudiantiles.
1. Planificar y proponer las políticas de proyección de extensión universitaria.
2. Organizar y promover las actividades de proyección y extensión universitaria en
coordinación con las escuelas profesionales.
3. Diseñar y ejecutar estrategias de integración de la Universidad con la comunidad
organizada en materia de proyección y extensión universitaria.
4. Organizar y desarrollar actividades y servicios de bienestar universitario.
5. Apoyar a los egresados en la obtención de ofertas laborales, becas de estudios y
programas de educación continua.
6. Investigar la problemática de los diferentes componentes personales de la Universidad y
diseñar soluciones.
7. Promover convenios con entidades nacionales y extranjeras sobre proyección social y
extensión universitaria.
Oficina de Tecnologías de Información.
1. Planificar, diseñar, implementar y administrar la red informática manteniéndola operativa.
2. Evaluar y gestionar los recursos tecnológicos de la filial.
3. Velar por el cumplimiento de las normas de seguridad de un modelo integrado, coherente
y consistente de los datos de dominio institucional.
4. Administrar datos para asegurar el mantenimiento de un modelo integrado, coherente y
consistente de los datos de dominio institucional.
5. Diseñar y mantener actualizado el sistema de la filial.
6. Diseñar, instalar, poner en operación y administrar los laboratorios de cómputo.
7. Brindar el servicio de mantenimiento del equipamiento tecnológico de la filial a las diversas
unidades académicas y administrativas.
8. Capacitar y dar soluciones en materia de tecnología electrónica e informática a las áreas
de la filial.
Auditoría basada en ISO/IEC 17799 para la gestión 21 Riega Reto de seguridad de las T.I. en la UCV - Piura.
OFICIN
A DE TECN
OLO
GÍAS D
E INFO
RMACIÓ
N
Fuente: Manual de Organización y Funciones UCV– Piura (2009).
FIGURA Nº 01: Organigrama Estructural de la Universidad
Privada César Vallejo – Piura
Escuela de Ingeniería de Sistemas
Auditoría basada en ISO/IEC 17799 para la gestión 22 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
II. Auditoría basada en ISO/IEC 17799.
Auditoría
La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero emite
opiniones y recomendaciones que deben tomarse en cuenta en la toma de decisiones. La
auditoría se apoya de herramientas de análisis, verificación y exposición conformando así
elementos de juicio, los cuales permitirán determinar las debilidades y disfunciones.
Auditoría Interna y Auditoría Externa
Existen dos tipos de auditoría, la Auditoría Interna y la Auditoría Externa, de las cuales en el
caso de la Auditoría Interna es realizada con recursos humanos y materiales propios de la
empresa, ya que la ésta cuenta en su estructura organizacional con un área o unidad de
control interno. Además este tipo de auditoría es permanente y recurrente y se encarga de
elaborar el Plan anual de control donde se consideren las actividades de control a desarrollar
durante el ejercicio en curso.
En el caso de la Auditoría Externa el personal que realiza este tipo de actividad de control no
mantiene relación alguna de dependencia con la entidad auditada, es decir, el personal que
desarrolla la auditoria labora para las entidades supervisoras de la empresa auditada, o para
empresas especializadas en auditoria que desarrollan actividades de control a diferentes
organizaciones.
Para el caso de la Auditoría de Tecnologías de Información puede ser desarrollada tanto de
manera interna como externa, la misma que se puede desarrollar periódicamente.
Tipos y clases de Auditoría
El departamento de informática a pesar de tener sus actividades dentro de la misma empresa,
trabaja como si fuera una entidad independiente, debido a que su actividad está proyectada al
exterior y a los usuarios, de aquí nace la Auditoría Informática de Usuario, la misma que se
distingue de la informática interna, ya que en esta última se realiza una actividad informática
cotidiana y real, es por ello que existe una Auditoría Informática de Actividades Internas.
La dirección es quien realiza el control de las actividades del departamento de informática con
el exterior. La importancia de ese control se debe a que es posible entender las necesidades
que tiene la compañía. El apoyo de la dirección a la Informática frente al “exterior” es muy
importante para que esta sea eficiente y eficaz. Este tipo de relaciones forma lo que se
conoce como Auditoría Informática de Dirección y su objetivo.
Con estos tres tipos de Auditoría, y sumado a esta la Auditoría de Seguridad, se determina
las cuatro grandes Áreas Generales de la Auditoría Informática más importantes.
Dentro de estas Áreas Generales existen otras divisiones en la que la Auditoría Informática se
subdivide, estas son:
Auditoría basada en ISO/IEC 17799 para la gestión 23 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Auditorías de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos.
Conformando así las áreas específicas de la Auditoría Informática más importantes.
Los criterios que se aplican para cada área específica en una auditoría son:
- Se debe tomar desde el punto de vista de la seguridad que la informática ofrece en general,
o en la rama que se está auditando.
- Desde el funcionamiento interno.
- De acuerdo al apoyo que se recibe desde la dirección, realizándola en un sentido
ascendente, del grado de cumplimiento de las directrices de ésta.
- Considerando las necesidades de los usuarios juntamente con sus perspectivas.
Los criterios que se han mencionado pueden ser ampliados, y establecidos de acuerdo a la
real necesidad de la empresa Auditada y a sus características. (INEI 2008).
ISO/IEC 17799
ISO (la Organización Internacional de Estandarización) e IEC (la Comisión Electrotécnica
Internacional) forman el sistema especializado para la estandarización mundial. Los
organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estándares
Internacionales a través de los comités establecidos por la organización respectiva para lidiar
con áreas particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran
en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, junto con ISO e IEC, también participan en el trabajo. En el campo de la
tecnología de la información.
La Norma Técnica Peruana ISO/IEC 17799 ha sido elaborada por el Comité Técnico de
Normalización de Codificación e Intercambio Electrónico de datos (EDI), durante los meses
de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005
Información technology – Code of practice for information security management.
El Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI)
presentó a la Comisión de Reglamentos Técnico y Comerciales -CRT-, con fecha 2006-07-21,
el PNTP-ISO/IEC 17799:2006 para su revisión y aprobación; siendo sometido a la etapa de
Discusión Pública el 2006-11-25. No habiéndose presentado observaciones fue oficializada
como Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información.
Código de buenas prácticas para la gestión de la seguridad de la información, segunda
edición, el 22 de enero del 2007. (NTP-ISO/IEC 17799 2009).
Esta Norma Técnica Peruana establece recomendaciones para realizar la gestión de la
seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una organización. Persigue proporcionar una base común para
Auditoría basada en ISO/IEC 17799 para la gestión 24 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad, así como proporcionar confianza en las relaciones entre
organizaciones. Las recomendaciones que se establecen en esta NTP deberían elegirse y
utilizarse de acuerdo con la legislación aplicable en la materia. (CENTP 2009).
Estructura de este estándar
Este estándar contiene 11 cláusulas de control de seguridad que contienen colectivamente un
total de 39 categorías principales de seguridad y una cláusula introductoria conteniendo
temas de evaluación y tratamiento del riesgo. (NTP ISO/IEC 17799 2009).
Cláusulas
Cada cláusula contiene un número de categorías principales de seguridad. Las 11 cláusulas
(acompañadas por el número de categorías principales de seguridad incluidas en cada
cláusula) son:
a) Política de seguridad (1);
b) Organizando la seguridad de información (2);
c) Gestión de activos (2);
d) Seguridad en recursos humanos (3);
e) Seguridad física y ambiental (2);
f) Gestión de comunicaciones y operaciones (10);
g) Control de acceso (7);
h) Adquisición, desarrollo y mantenimiento de sistemas de información (6);
i) Gestión de incidentes de los sistemas de información (2);
j) Gestión de la continuidad del negocio (1);
k) Cumplimiento (3)
III. Gestión de la seguridad de las Tecnologías de Información.
Gestión.
Gestión es la acción y efecto de administrar. (RAE 2009).
Administrar es: gobernar, dirigir una institución, ordenar, disponer, organizar, suministrar,
proporcionar o distribuir algo. (RAE 2009).
Seguridad.
Cualidad de seguro. (RAE 2009).
Seguro
Libre y exento de todo peligro, daño o riesgo. (RAE 2009).
Tecnologías de Información.
Auditoría basada en ISO/IEC 17799 para la gestión 25 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Se conoce como Tecnología de Información (TI) a la utilización de tecnología –
específicamente computadoras y ordenadores electrónicos - para el manejo y procesamiento
de información – específicamente la captura, transformación, almacenamiento, protección, y
recuperación de datos e información. (DEGERENCIA 2008).
Generalmente todos pensamos que las Tecnologías de Información solo se usan en la etapa
de producción, y vienen a nuestra mente los grandes sistemas de manufactura, o los
sistemas automatizados de producción continua, sin embargo, actualmente las Tecnologías
de Información deberán de estar presentes en todas las actividades de la empresa, en decir,
en las etapas de entrada, conversión y salida.
En la etapa de entrada, las tecnologías de información deberán contener todas las
habilidades, procedimientos y técnicas que permitan a las organizaciones manejar
eficientemente las relaciones existentes con los grupos de interés (Clientes, proveedores,
gobierno, sindicatos y público en general) y el entorno en el que se desenvuelven.
En la etapa de conversión, las Tecnologías de Información en combinación con la
maquinaria, técnicas y procedimientos, transforman las entradas en salidas. Una mejor
tecnología permite a la organización añadir valor a las entradas para disminuir el consumo así
como el desperdicio de recursos.
En la etapa de salida, las Tecnologías de Información permiten a la empresa ofrecer y
distribuir servicios y productos terminados. Para ser efectiva, una organización deberá poseer
técnicas para evaluar la calidad de sus productos terminados, así como para el marketing,
venta y distribución y para el manejo de servicios de postventa a los clientes.
Las Tecnologías de Información en los procesos de entrada, conversión y salida dan a la
compañía una importante ventaja competitiva. ¿Porqué Microsoft es la más grande compañía
de software? ¿Por qué Toyota es la manufacturera automotriz más eficiente? ¿Porqué
McDonald’s es la más eficiente compañía de comida rápida? Cada una de estas
organizaciones sobresale en el desarrollo, administración y uso de Tecnologías de
Información para administrar el entorno organizacional y crear valor para toda la compañía.
(UTP 2009)
Gobierno de TI
El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los
procesos y las estructuras que aseguran que las tecnologías de la organización apoyen los
objetivos y estrategias de la empresa.
Auditoría basada en ISO/IEC 17799 para la gestión 26 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
FIGURA Nº 03: Entorno actual de las T.I.Fuente: NEYRA Córdova, Omar (2008).
Su objetivo es asegurar que las tecnologías aportan valor a la empresa y que el riesgo
asociado a ellas está bajo control. Para extraer valor de la tecnología, es necesario alinear las
TI con la estrategia de negocio. Por su parte, la gestión del riesgo tiene múltiples dimensiones
que incluyen aspectos como la seguridad, la recuperación de desastres o la privacidad.
IV. Metodología de Desarrollo.
4.1 COBIT: Control Objectives for Information and related Technology
La Information Systems Audit and Control Foundation (ISACF) desarrolló los Objetivos de
Control para la Información y Tecnología relacionada (COBIT) para servir como una
estructura generalmente aplicable y prácticas de seguridad y control de SI para el control de
la tecnología de la información. Esta estructura COBIT le permite a la gerencia comparar
(benchmarking) la seguridad y prácticas de control de los ambientes de TI, permite a los
usuarios de los servicios de TI asegurarse que existe una adecuada seguridad y control y
permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre
materias de seguridad y control de TI.
La motivación primaria para brindar esta estructura fue posibilitar el desarrollo de una
política clara y buenas prácticas para el control de TI a través de toda la industria en todo el
mundo.
La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el
control de TI, una lista de Objetivos de Control, y un conjunto de Guías de Auditoría. (Los
objetivos de control y las guías de auditoría están referenciadas a la estructura).
Auditoría basada en ISO/IEC 17799 para la gestión 27 Riega Reto de seguridad de las T.I. en la UCV - Piura.
SistemasOperativos
Escuela de Ingeniería de Sistemas
Las fases futuras del proyecto proveerán guías de auto-evaluación para la dirección e
identificarán objetivos nuevos o actualizados mediante incorporación de otros estándares
globales de control que se identifiquen.
Además, agregar guías de control e identificar indicadores claves de desempeño.
Definición: COBIT adaptó su definición de control a partir de COSO: Las políticas,
procedimientos, prácticas y estructuras organizacionales están diseñadas para proveer
aseguramiento razonable de que se lograrán los objetivos del negocio y que se prevendrán,
detectarán y corregirán los eventos no deseables.
COBIT adapta su definición de un objetivo de control de TI del SAC: Una declaración del
resultado deseado o propósito a lograr implementando procedimientos de control en una
actividad particular de TI.
COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del
negocio. El documento describe objetivos de control de TI independientes de plataformas y
aplicaciones.
Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicación,
tecnología, instalaciones y gente. Los datos son definidos en su sentido más amplio e
incluyen no sólo números, textos y fechas, sino también objetos tales como gráficos y
sonido. Los sistemas de aplicación son entendidos como la suma de procedimientos
manuales y programados.
La tecnología se refiere al hardware, sistemas operativos, equipos de redes y otros.
Instalaciones son los recursos utilizados para albergar y soportar los sistemas de
información. Gente comprende las capacidades y habilidades individuales para planear,
organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de información.
Requerimientos: Para satisfacer los objetivos del negocio, la información necesita
conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del
negocio respecto de la información. COBIT combina los principios incorporados en los
modelos de referencia existentes en tres amplias categorías: calidad, responsabilidad
fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categorías
superpuestas de criterios para evaluar cuán bien están satisfaciendo los recursos de TI los
requerimientos de información del negocio. Estos criterios son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.
Procesos y Dominios: En base al análisis de un documento del Reino Unido sobre
prácticas de administración de TI de la biblioteca de infraestructura tecnológica (ITIL),
COBIT clasifica los procesos de TI en cuatro dominios.
Estos cuatro dominios son (1) planeamiento y organización, (2) adquisición e
implementación, (3) entrega y soporte y (4) monitoreo. El agrupamiento natural de procesos
Auditoría basada en ISO/IEC 17799 para la gestión 28 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras
organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en
cualquier ambiente de TI.
COBIT presenta una estructura de control para los propietarios de los procesos del negocio.
Cada vez más, la dirección está totalmente facultada con responsabilidad y autoridad
completa por los procesos del negocio.
COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI,
cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos,
271 objetivos de control referenciados a esos 32 procesos y guías de auditoría vinculadas a
los objetivos de control.
Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los
procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por
la declaración de control, identifica los recursos de TI administrados por los procesos,
establece los controles habilitados y lista los principales objetivos de control aplicables.
4.2 Informe SAC
El informe SAC define el sistema de control interno, describe sus componentes, provee
varias clasificaciones de los controles, describe objetivos de control y riesgos, y define el rol
del auditor interno. El informe provee una guía sobre el uso, administración y protección de
los recursos de tecnología informática y discute los efectos de la computación de usuario
final, las telecomunicaciones y las tecnologías emergentes.
Definición: El informe SAC define a un sistema de control interno como: un conjunto de
procesos, funciones, actividades, subsistemas, y gente que son agrupados o
conscientemente segregados para asegurar el logro efectivo de los objetivos y metas.
El informe enfatiza el rol e impacto de los sistemas computarizados de información sobre el
sistema de control interno. El mismo acentúa la necesidad de evaluar los riesgos, pesar los
costos y beneficios y construir controles en los sistemas en lugar de agregarlos luego de la
implementación.
Componentes: El sistema de control interno consiste en tres componentes: el ambiente de
control, los sistemas manuales y automatizados y los procedimientos de control. El
ambiente de control incluye la estructura de la organización, la estructura de control, las
políticas y procedimientos y las influencias externas. Los sistemas automatizados consisten
en sistemas y software de aplicación. SAC discute los riesgos de control asociados con los
sistemas de usuario final y departamentales pero no describe ni define los sistemas
manuales. Los procedimientos de control consisten en controles generales de aplicaciones y
compensatorios.
Auditoría basada en ISO/IEC 17799 para la gestión 29 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Clasificaciones: SAC provee cinco esquemas de clasificación para los controles internos
en los sistemas informáticos: (1) preventivos, detectivos, y correctivos, (2) discrecionales y
no-discrecionales, (3) voluntarios y obligatorios, (4) manuales y automatizados y (5)
controles de aplicaciones y generales. Estos esquemas se enfocan en cuándo se aplica el
control, si el control puede ser evitado, quién impone la necesidad del control, cómo se
implementa el control, y dónde se implementa el control en el software.
Objetivos de Control y Riesgos: Los riesgos incluyen fraudes, errores, interrupción del
negocio, y el uso ineficiente e inefectivo de los recursos. Los objetivos de control reducen
estos riesgos y aseguran la integridad de la información, la seguridad, y el cumplimiento. La
integridad de la información es resguardada por los controles de calidad del input,
procesamiento, output y software. Las medidas de seguridad incluyen los controles de
seguridad de los datos, física y de programas. Los controles de cumplimiento aseguran
conformidad con las leyes y regulaciones, los estándares contables y de auditoría, y las
políticas y procedimientos internos.
Rol del Auditor Interno: Las responsabilidades de los auditores internos incluyen asegurar
la adecuación del sistema de control interno, la confiabilidad de los datos y el uso eficiente
de los recursos de la organización. A los auditores internos también les concierne la
prevención y detección de fraudes, y la coordinación de actividades con los auditores
externos. Para los auditores internos es necesaria la integración de las habilidades de
auditoría y sistemas de información y una comprensión del impacto de la tecnología
informática sobre el proceso de auditoría. Estos profesionales realizan ahora auditorias
financieras, operativas y de los sistemas de información.
4.3 COSO (Comité de organizaciones patrocinadoras de la comisión Treadway).
El informe COSO define el control interno, describe sus componentes, y provee criterios
contra los cuales pueden evaluarse los sistemas de control.
El informe ofrece una guía para la elaboración de informes públicos sobre control interno y
provee materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un
sistema de control interno. Dos objetivos principales del informe son (1) establecer una
definición común de control interno que sirve a muchas partes diferentes, y (2) provee un
estándar contra el cual las organizaciones pueden evaluar sus sistemas de control y
determinar cómo mejorarlos.
Definición: El informe COSO define control interno como: un proceso, efectuado por el
directorio, la gerencia y otro personal de la entidad, diseñado para proveer un
aseguramiento razonable en relación al logro de los objetivos en las siguientes categorías:
Efectividad y eficiencia de las operaciones
Confiabilidad de los reportes financieros
Auditoría basada en ISO/IEC 17799 para la gestión 30 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Cumplimiento con las leyes y regulaciones aplicables.
Aunque el informe define el control interno como un proceso, recomienda evaluar la
efectividad del control interno a un momento dado.
Componentes: El sistema de control interno consiste en cinco componentes
interrelacionados: (1) ambiente de control, (2) evaluación de riesgos, (3) actividades de
control, (4) información y comunicación, y (5) monitoreo. El ambiente de control provee la
base para los otros componentes. El mismo abarca factores tales como filosofía y estilo
operativo de la gerencia, políticas y prácticas de recursos humanos, la integridad y valores
éticos de los empleados, la estructura organizacional, y la atención y dirección del directorio.
El informe COSO brinda una guía para evaluar cada uno de estos factores. Por ejemplo, la
filosofía gerencial y el estilo operativo pueden ser evaluados examinando la naturaleza de
los riesgos del negocio que acepta la gerencia, la frecuencia de su interacción con los
subordinados, y su actitud hacia los informes financieros.
La evaluación de riesgo consiste en la identificación del riesgo y el análisis del riesgo. La
identificación del riesgo incluye examinar factores externos tales como los desarrollos
tecnológicos, la competencia y los cambios económicos, y factores internos tales como
calidad del personal, la naturaleza de las actividades de la entidad, y las características de
procesamiento del sistema de información. El análisis de riesgo involucra estimar la
significación del riesgo, evaluar la probabilidad de que ocurra y considerar cómo
administrarlo.
Las actividades de control consisten en las políticas y procedimientos que aseguran que los
empleados lleven a cabo las directivas de la gerencia. Las actividades de control incluyen
revisiones del sistema de control, los controles físicos, la segregación de tareas y los
controles de los sistemas de información. Los controles sobre los sistemas de información
incluyen los controles generales y los controles de las aplicaciones. Controles generales son
aquellos que cubren el acceso, el desarrollo de software y sistemas.
Controles de las aplicaciones son aquellos que previenen que ingresen errores en el
sistema o detectan y corrigen errores presentes en el sistema.
La entidad obtiene información pertinente y la comunica a través de la organización. El
sistema de información identifica, captura y reporta información financiera y operativa que
es útil para controlar las actividades de la organización. Dentro de la organización, el
personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema de
control interno, tomar seriamente sus responsabilidades por el control interno, y, si es
necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los
individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el
mensaje de que la entidad no tolerará acciones impropias.
Auditoría basada en ISO/IEC 17799 para la gestión 31 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
La gerencia monitorea el sistema de control revisando el output generado por las
actividades regulares de control y realizando evaluaciones especiales.
Las actividades regulares de control incluyen comparar los activos físicos con los datos
registrados, seminarios de entrenamiento, y exámenes realizados por auditores internos y
externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las
deficiencias encontradas durante las actividades regulares de control son normalmente
reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones
especiales son normalmente comunicadas a los niveles altos de la organización.
Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control
interno, los roles y responsabilidades de las partes que afectan a un sistema. Las
limitaciones incluyen el juicio humano defectuoso, falta de comprensión de las instrucciones,
errores, atropellos de la gerencia, colusión, y consideraciones de costo versus beneficio.
El informe COSO define deficiencias como "condiciones dentro de un sistema de control
interno digno de atención". Las deficiencias deberían ser reportadas a la persona
responsable por la actividad y a la gerencia que está como mínimo un nivel por encima del
individuo responsable.
Un sistema de control interno es juzgado efectivo si están presentes y funcionando
efectivamente los cinco componentes respecto de las operaciones, los reportes financieros
y el cumplimiento.
Auditoría basada en ISO/IEC 17799 para la gestión 32 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.4 Justificación de Metodología a utilizar
Atributo COBIT SAC COSO
Audiencia
Primaria
Dirección, usuarios,
auditores de SI
Auditores Internos Auditores Internos,
Dirección
Control Interno
visto como
Conjunto de procesos
incluyendo políticas,
procedimientos,
prácticas
estructuras
organizacionales
Conjunto de procesos,
subsistemas y gente
Procesos
Objetivos
Organizacionales
del Control
Interno
Operaciones
Efectivas y
eficientes.
Confidencialidad,
Integridad y
disponibilidad de
información.
Informes financieros
Confiables.
Cumplimiento de las
leyes y regulaciones.
Operaciones
Efectivas y
eficientes.
Informes financieros
Confiables.
Cumplimiento de las
leyes y regulaciones.
Operaciones
Efectivas y
eficientes.
Informes financieros
confiables.
Cumplimiento de las
leyes y regulaciones.
Componentes o
Dominios
Dominios:
Planeamiento y
organización
Adquisición e
implementación
Entrega y soporte
Monitoreo y
evaluación.
Componentes:
Ambiente de Control
Manual y
Automatizado
Procedimientos de
Control de Sistemas
Componentes:
Supervisión
Ambiente de Control
Administración de
Riesgos
Actividades de
Control
Información y
Comunicación
Foco Tecnología Informática Tecnología Informática Tecnología Informática
Efectividad del CI
Evaluado
Por un período de
tiempo
Por un período de
tiempo
En un momento dado
Responsabilidad
por el Sistema de
Control Interno
Dirección Dirección Dirección
CUADRO N° 02: Comparación de las Metodologías.
Elaborado por el autor.
Auditoría basada en ISO/IEC 17799 para la gestión 33 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
2.2 MARCO CONCEPTUAL.
Auditoría basada en ISO/IEC 17799 en la Universidad César Vallejo-Piura.
“La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero emite
opiniones y recomendaciones que deben tomarse en cuenta en la toma de decisiones”. (INEI
2008); y “la NTP ISO/IEC 17799 establece recomendaciones para realizar la gestión de la
seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad” (NTP ISO/IEC 17799 2009) para la Universidad César Vallejo-Piura.
Gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura.
“Gestionar o administrar”. (RAE 2009) de “Libre y exento de todo peligro, daño o riesgo”. (RAE
2009) a “un gobierno de TI, ayuda a garantizar que la TI soporte las metas del negocio,
optimice la inversión del negocio en TI, y administre de forma adecuada los riesgos y
oportunidades asociados a la TI”. (DELTA 2004); para la Universidad César Vallejo-Piura.
Auditoría basada en ISO/IEC 17799 para la gestión 34 Riega Reto de seguridad de las T.I. en la UCV - Piura.
CAPÍTULO III
DESARROLLO DE LA INVESTIGACIÓN
Escuela de Ingeniería de Sistemas
3.1 PLANIFICACIÓN DE LA AUDITORIA.
3.1.1 Determinación del Objetivo y Alcance de la auditoría.
- VER ANEXO N° 19 INFORME FINAL.
3.1.2 Actividades realizadas en la Auditoría.
Para el desarrollo de la Auditoría se realizaron las siguientes actividades:
- Entrega de Solicitud documentación a la OTI.
- Desarrollo de Evaluaciones al personal de la OTI.
- Desarrollo de Entrevistas con los usuarios de las tecnologías de información (personal
administrativo).
- Desarrollo de Entrevistas con los jefes de área.
- Registro de Información en Guías de observación.
- Desarrollo de cuestionarios por área.
3.1.3 Análisis del ambiente a Auditar y del entorno Auditable.
Para analizar el entorno a auditar realicé un análisis de la OTI, para la cual me apoye en el
organigrama del mismo.
3.1.4 Determinación de los recursos de la Auditoría Informática.Humanos:
En esta investigación participan directamente ó indirectamente las siguientes personas:
Investigador:
Marco Antonio Riega Reto.
Asesor:
Ingeniero Juan Miguel Espinoza Saucedo.
Materiales.
Hardware:
Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador
DVD.
Una impresora Canon IP1000.
Mouse Delux V3.
Software:
Windows XP SP3.
Microsoft Office 2007 (Word, Excel, PowerPoint, Project)
WinRar 3.6.2.
WinZip 10.
Nero 7 Premium.
Adobe Reader 9.
WinAudit 2.1.7.0.
Auditoría basada en ISO/IEC 17799 para la gestión 36 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
The Dude Freeware 3.4.
Otros Materiales:
Materiales de escritorio.(1 lápiz, 3 lapiceros, 1 grapadora, 1 perforador, 1 regla de 30 cm)
1 Millar Papel A4.
5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon
IP1000.
1 CD’s de 700 MB.
2 Fólderes Manila A4 Grafos.
Duracell Plus 9v Battery.
Probador de Cables de Red UTP.
3.2 EJECUCIÓN DE LA AUDITORÍA – METODOLOGÍA COSO BASADA EN ISO/IEC 17799.
I EL ENTORNO DE CONTROL.
1.1 Solicitud de Manuales y Documentaciones.
Se redacto un oficio en el cual se solicitó la documentación básica, documentos e información
con la que debe contar toda área encargada de administrar las tecnologías de Información, la
cual fue dirigida a la Jefatura de la OTI.
- VER ANEXO N° 07 FORMATO DE LA SOLICITUD DE DOCUMENTACIÓN.
II LA MEDICIÓN DE RIESGOS.
2.1 Evaluación y tratamiento del riesgo.
2.2 Política de seguridad
2.3 Aspectos organizativos para la seguridad
Pre test.
- VER ANEXO N° 08: FORMATO DE LA ENTREVISTA DE USUARIO.
III EL CONTROL DE ACTIVIDADES
En esta fase se aplicaron evaluaciones y cuestionarios en los cuales se evaluó:
3.1Clasificación y control de activos.
3.2 Seguridad en recursos humanos.
3.3 Seguridad física y del entorno.
- VER ANEXO N° 09: FORMATO DE EVALUACIÓN DEL CUMPLIMIENTO DE LAS
FUNCIONES DE LAS ÁREAS DE LA OTI.
- VER ANEXO N° 10: FORMATO DE LA EVALUACIÓN DEL PLAN OPERATIVO.
- VER ANEXO N° 11: FORMATO DE LA EVALUACIÓN DEL ÁREA DE LA OTI.
- ANEXO N° 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.
- ANEXO N° 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS ÁREAS
DE LA OTI.
- ANEXO N° 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.
Auditoría basada en ISO/IEC 17799 para la gestión 37 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
IV LOS SISTEMAS DE COMUNICACIÓN Y LOS SISTEMAS DE INFORMACIÓN
4.1 Gestión de comunicación y operaciones
4.2 Control de accesos.
4.3 Adquisición, desarrollo y mantenimiento de sistemas.
- VER ANEXO N° 12: FORMATO DE LA EVALUACIÓN AL ÁREA DE REDES
- VER ANEXO N° 13: FORMATOS DE LAS EVALUACIÓNES AL ÁREA DE DESARROLLO
- VER ANEXO N° 14: FORMATO DE LA EVALUACIÓN AL ÁREA DE SOPORTE TECNICO.
V EL SISTEMA DE MONITOREO
Para esta fase de monitoreo se aplico el Pos Test, el cual me sirvió para evaluar lo relacionado
a:
5.1 Gestión de incidentes en la seguridad de información.
5.2 Gestión de continuidad del negocio.
- VER ANEXO N° 03: FORMATO DE LAS GUÍAS DE OBSERVACIÓN.
3.3 SEGUIMIENTO.
En esta etapa se realizo la:
3.3.1 Revisión de los papeles de trabajo y desarrollo de las deficiencias.
3.3.2 Elaboración de la Carta de Introducción correspondiente al Informe final.
- VER ANEXO N° 18 PAPELES DE TRABAJO.
- VER ANEXO N° 19 INFORME FINAL.
3.4 INFORME.
3.4.1 Elaboración y presentación del Informe.
Se elaboró y presentó el informe final a la Jefatura de la OTI.
- VER ANEXO N° 19 INFORME FINAL.
Auditoría basada en ISO/IEC 17799 para la gestión 38 Riega Reto de seguridad de las T.I. en la UCV - Piura.
CAPÍTULO IV
DISCUSIÓN DE RESULTADOS
Escuela de Ingeniería de Sistemas
4.1 RESULTADOS
4.1.1 Amenazas identificadas que afectan la seguridad y los procesos de las Tecnologías de
información.
Cuadro N° 03: Resultado ITEM 1
PRE TEST POST TEST
Número de amenazas identificadas que
afectan la seguridad y los procesos de las
Tecnologías de información.
Número de amenazas identificadas que
afectan la seguridad y los procesos de las
Tecnologías de información.
0 24
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que no se han identificado las amenazas que
afectan la seguridad y los procesos de las Tecnologías de información, sin embargo después del
Post Test, se han identificado Veinticuatro (24) amenazas. Se comprueba que aplicando la
Auditoría basada en ISO/IEC 17799 se reconocen algunas amenazas que afecten la seguridad de
información, y con ello es necesario que se implementen controles y estrategias que permitan
enfrentar las amenazas y reducir los efectos de éstas.
Gráfico N° 01: Resultado ITEM 1
Núm
ero
de a
men
azas
iden
tifica
das
que
afec
tan
la s
egur
idad
y lo
s pr
o-ce
sos
de la
s Te
cnol
ogía
s de
info
rma-
ción
.
Núm
ero
de a
men
azas
iden
tifica
das
que
afec
tan
la s
egur
idad
y lo
s pr
o-ce
sos
de la
s Te
cnol
ogía
s de
info
rma-
ción
.
PRE TEST POST TEST
05
1015202530
0
24
Auditoría basada en ISO/IEC 17799 para la gestión 40 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Las amenazas identificadas que afectan la seguridad y los procesos de las Tecnologías de información en la UCV-Piura son las siguientes:
Amenazas Naturales
- Sismos.
- Altas temperaturas, calor.
- Fenómeno del Niño.
Amenazas No Naturales
- Incendios
- Acceso no autorizado a recursos y/o información.
- Exposición no autorizada de información.
- Robo de equipos.
- Robo de datos.
- Falla en los servicios de telefónica.
- Falla en los servicios eléctricos.
- Falla en la plataforma de interconexión.
- Fraude.
- Errores humanos.
- Ausencia del personal de la OTI con responsabilidades criticas.
- Atentados.
- Software malicioso.
- Ataque de hackers y/o cracker.
- Vandalismo.
- Terrorismo.
- Explosión.
- Incendio externo.
- Incendio interno.
- Cortocircuito.
- Falta de concientización en seguridad de T.I.
Auditoría basada en ISO/IEC 17799 para la gestión 41 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.2 Grado de implementación de los proyectos de la OTI.
Cuadro N° 04: Resultado ITEM 2
PRE TEST POST TESTGrado de implementación de los proyectos de la OTI :
Proyectos Estado Estado
Certificar a 01 trabajadores de la OTI en Ms Office En ejecuciónTerminada
Asistir a cursos de Atención al Cliente En ejecución Terminada
Capacitar en cursos de Redes y Telecomunicaciones Cancelada Cancelada
Capacitar al Soporte Técnico de la OTI en Cableado Estructurado
En ejecución Terminada
"Certificar al Personal de la OTI en: Microsoft, Cisco, HP(equipos computacionales y multimedia), u otros"
Sin ejecutar Sin ejecutar
Implementación de una red Inalámbrica entre Villa Rosita y la UCV Piura
Sin ejecutar Sin ejecutar
Ampliación de Anexos Telefónicos Cancelada Cancelada
Implementación del Backbone de Fibra Óptica para el nuevo Edificio de Biblioteca
En ejecución Terminada
"Desarrollo y Actualización Web (Harvard College, Centro Comunitario Santa Rosa, Centro Médico San Antonio, Consultorio Jurídico, CEPRE)."
En ejecución Terminada
"Desarrollo e Implementación del Sistema Académico para la I.E.A. ""Harvard College"""
En ejecución En ejecución
Cambio del Sistema de Componentes al nuevo Sistema de Soporte Técnico (Windows y Web)
En ejecución Terminada
Rediseño y/o Documentación de la Red Lógica y Física de la UCV Piura.
En ejecución En ejecución
Plan de Seguridad de la Información. Sin ejecutar Sin ejecutar
Realizar el Inventario Físico y Lógico de la UCV Piura y realizar el mantenimiento preventivo y correctivo de los equipos computacionales de la UCV Piura.
En ejecución En ejecución
Realización de los Backup's de la Base de Datos de Piura
En ejecución En ejecución
"Cableado de los nuevos ambientes de Cepre, Promoción, Esc. Medicina, Esc. Enfermería y Esc. Marketing. Elaboración de puntos de voz y datos"
En ejecución Terminada
Implementación de la Telefonía IP en la UCV Piura En ejecución Terminada
"Adquisición, Instalación y Configuración de equipos de comunicación para el nuevo Edificio de Biblioteca"
En ejecución Terminada
Auditoría basada en ISO/IEC 17799 para la gestión 42 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Fuente:
- Pre Test y Pos Test de la Tesis “Auditoría basada en COBIT de la Gestión de
Tecnologías de Información en la Universidad César Vallejo-Piura”
- Plan operativo de la OTI 2009.
Autor: Elaborado por el Tesista.
Como se puede apreciar, en el Pre Test no se evidencia la implementación total de algunos de los
proyectos, mientras que como resultado del Post Test se puede observar que se tienen once (11)
proyectos implementados, ello como efecto de desarrollar la actividad de control basada en la NTP
ISO 17799.
Gráfico N° 02: Resultado ITEM 2
Grado de implementación de los proyectos de la OTI
Grado de implementación de los proyectos de la OTI
PRE TEST POST TEST
0
2
4
6
8
10
12
0
11
Auditoría basada en ISO/IEC 17799 para la gestión 43 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.3 Procedimientos formales identificados para la concesión, administración de derechos y perfiles.
Cuadro N° 05: Resultado ITEM 3
PRE TEST POST TEST
Procedimientos formales para la concesión,
administración de derechos y perfiles
Procedimientos formales para la concesión,
administración de derechos y perfiles
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en COBIT de la Gestión de
Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Del resultado del PreTest, se constata que la OTI no cuenta con procedimientos formales para la
concesión, administración de derechos y perfiles de los usuarios. Del desarrollo del Post Test se
tiene la propuesta de implementar el Procedimiento formal para la concesión, administración de
derechos y perfiles, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC
17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
Gráfico N° 03: Resultado ITEM 3
Proc
edim
ient
os fo
rmal
es p
ara
la
conc
esió
n, a
dmin
istr
ació
n de
de
rech
os y
per
files
Proc
edim
ient
os fo
rmal
es p
ara
la
conc
esió
n, a
dmin
istr
ació
n de
de
rech
os y
per
files
PRE TEST POST TEST
00.20.40.60.8
11.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 44 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.4 Registro de revisiones periódicas identificadas sobre los derechos concedidos a los
usuarios.
Cuadro N° 06: Resultado ITEM 4
PRE TEST POST TEST
Registro de revisiones periódicas sobre los
derechos concedidos a los usuarios.
Registro de revisiones periódicas sobre los
derechos concedidos a los usuarios.
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en COBIT de la Gestión de
Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
La OTI de la UCV Piura, carece de un Registro de revisiones periódicas sobre los derechos
concedidos a los usuarios, se llega a esta conjetura como resultado del PreTest.
Del desarrollo del Post Test, se recomienda la implementación formal del Registro de revisiones
periódicas sobre los derechos concedidos a los usuarios
Se logra comprobar que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de
seguridad de las T.I. en la UCV-Piura.
Gráfico N° 04: Resultado ITEM 4
Registro de revisiones periódicas sobre los derechos concedidos a los usuarios.
Registro de revisiones periódicas sobre los derechos concedidos a los usuarios.
PRE TEST POST TEST
0
0.2
0.4
0.6
0.8
1
1.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 45 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.5 Controles identificados para evitar el acceso físico no autorizado.
Cuadro N° 07: Resultado ITEM 5
PRE TEST POST TEST
Número de controles identificados para
evitar el acceso físico no autorizado.
Número de controles identificados para
evitar el acceso físico no autorizado.
0 3
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Como se puede apreciar en el Pre Test, carece de controles para evitar el acceso físico no
autorizado; en el Post Test con la aplicación de la Auditoría se identifican tres controles que se
proponen implementarlos, para evitar el acceso físico no autorizado, demostrando una vez más
que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en
la UCV-Piura.
Gráfico N° 05: Resultado ITEM 5
Número de controles para evitar el acceso físico no autorizado.
Número de controles para evitar el acceso físico no autorizado.
PRE TEST POST TEST
0
0.5
1
1.5
2
2.5
3
3.5
0
3
Auditoría basada en ISO/IEC 17799 para la gestión 46 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Los controles para evitar el acceso físico no autorizado serian como los siguientes:
- Definir claramente el perímetro de seguridad.
- Implementar controles tecnológicos que permitan proteger los recursos informáticos de accesos
no autorizados, minimizando los efectos ocasionados por fenómenos naturales, usando
mecanismos de control como: barreras físicas, alarmas, barras metálicas etc.
- Implementar un registro de intentos no exitosos a un ambiente no autorizado.
Auditoría basada en ISO/IEC 17799 para la gestión 47 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.6 Controles preventivos y de detección identificados sobre el uso de software de
procedencia dudosa..
Cuadro N° 08: Resultado ITEM 6
PRE TEST POST TEST
Número de controles preventivos y de
detección identificados sobre el uso de
software de procedencia dudosa.
Número de controles preventivos y de
detección identificados sobre el uso de
software de procedencia dudosa.
0 3
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Como se puede apreciar en el desarrollo del Pre Test, no se identificó ningún control preventivo, a
diferencia en el Post Test se pudieron identificar tres (3) controles preventivos, los cuales serán
desarrollados e implementados por la OTI, con esto se logra comprobar que aplicando la Auditoría
basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
Gráfico N° 06: Resultado ITEM 6
Núm
ero
de c
ontr
oles
pre
venti
vos
y de
det
ecci
ón id
entifi
cado
s so
bre
el
uso
de s
oftw
are
de p
roce
denc
ia
dudo
sa.
Núm
ero
de c
ontr
oles
pre
venti
vos
y de
det
ecci
ón id
entifi
cado
s so
bre
el
uso
de s
oftw
are
de p
roce
denc
ia
dudo
sa.
PRE TEST POST TEST
00.5
11.5
22.5
33.5
0
3
Auditoría basada en ISO/IEC 17799 para la gestión 48 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Los controles preventivos y de detección sobre el uso de software de procedencia dudosa
son los siguientes:
- Política para el adecuado uso de software legalmente adquirido.
- Implementar y actualizar un inventario de software para la identidad.
- Inspecciones en los equipos de cómputo que permitan evaluar si se ha instalado software no
autorizado.
Auditoría basada en ISO/IEC 17799 para la gestión 49 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.7 Procedimientos identificados para la generación de respaldos regulares y
periódicamente validados.
Cuadro N° 09: Resultado ITEM 7
PRE TEST POST TEST
Procedimientos de respaldos regulares y
periódicamente validados.
Procedimientos de respaldos regulares y
periódicamente validados.
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Durante el desarrollo de la Tesis, en el Pre Test no se logro identificar algún procedimiento de
respaldo, a diferencia del Post Test en el cual se logró identificar la necesidad de desarrollar e
implementar un procedimiento de respaldo. Lo cual nos lleva a que aplicando la Auditoría basada
en ISO/IEC 17799 ayuda a mejorar la gestión de seguridad de las T.I. en la UCV-Piura.
Gráfico N° 07: Resultado ITEM 7
Núm
ero
de p
roce
dim
ient
os d
e re
spal
do re
gula
res y
per
-ió
dica
men
te v
alid
ados
.
Núm
ero
de p
roce
dim
ient
os d
e re
spal
do re
gula
res y
per
-ió
dica
men
te v
alid
ados
.
PRE TEST POST TEST
00.20.40.60.8
11.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 50 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.8 Procedimiento formal identificado para reportar incidentes de seguridad de la
información.
Cuadro N° 10: Resultado ITEM 8
PRE TEST POST TEST
Procedimiento formal para el reporte de
incidentes de seguridad de la información
Procedimiento formal para el reporte de
incidentes de seguridad de la información
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Del resultado del PreTest, se constata que la OTI no cuenta con un procedimiento formal para
reportar incidentes de seguridad de la información. Del desarrollo del Post Test se tiene la
propuesta de implementar el procedimiento formal para el reporte de incidentes de seguridad de la
información, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC 17799
de gestión de seguridad de las T.I. en la UCV-Piura.
Gráfico N° 08: Resultado ITEM 8
Regi
stro
de
inci
dent
es d
e se
guri
dad
de la
info
rmac
ión.
Regi
stro
de
inci
dent
es d
e se
guri
dad
de la
info
rmac
ión.
PRE TEST POST TEST
00.20.40.60.8
11.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 51 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
El procedimiento formal para el reporte de incidentes de seguridad de la información debe
de contemplar aspectos como los siguientes:
- Realizar una evaluación inicial.
- Comunicar el incidente.
- Contener el daño y minimizar el riesgo.
- Identificar el tipo y la gravedad del ataque.
- Proteger las pruebas.
- Notificar a las áreas correspondientes.
- Recuperar los sistemas.
- Compilar y organizar la documentación del incidente.
- Valorar los daños y costos del incidente.
- Revisar las directivas de respuesta y actualización.
Auditoría basada en ISO/IEC 17799 para la gestión 52 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.9 Identificar la existencia de un registro de incidentes de seguridad de la información.
Cuadro N° 11: Resultado ITEM 09
PRE TEST POST TEST
Registro de incidentes de seguridad de la
información.
Registro de incidentes de seguridad de la
información.
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
La OTI de la UCV Piura, carece de un Registro de incidentes de seguridad de información, se llega
a esta conjetura como resultado del Pre Test.
Del desarrollo del Post Test, se recomienda la implementación formal del Registro de incidentes
de seguridad de información.
Se logra comprobar que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
Gráfico N° 09: Resultado ITEM 09
Regi
stro
de
inci
dent
es d
e se
guri
dad
de la
info
rma-
ción
.
Regi
stro
de
inci
dent
es d
e se
guri
dad
de la
info
rma-
ción
.
PRE TEST POST TEST
00.20.40.60.8
11.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 53 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
Los posibles incidentes a registrar en seguridad de información son los siguientes:
- Software Malicioso: se detecto la introducción de códigos maliciosos en la infraestructura
tecnológica de la Entidad, virus informáticos. El antivirus que utiliza la empresa (kav6.0.3.837)
no detecta virus como: Autorun.exe, y otras variantes; la versión del antivirus no es la
actualizada.
- Inadecuado uso de los recursos tecnológicos:
- Los usuarios instalan programas ajenos a los autorizados a la empresa.
- Copian y descargan música en las PC´s de la empresa.
- Almacenan archivos personales en las PC´s de la empresa como: fotos, documentos.
Etc.
- Chatear, ingresando a páginas web de las cuales pueden tener acceso a sus correos.
- Ingresan a páginas de telefonía para mandar mensajes a celulares.
- Ingresan a web sociales, para chatear, jugar, colgar fotos, etc.
- Robo de información.
- Fraude.
Auditoría basada en ISO/IEC 17799 para la gestión 54 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.10 Política de seguridad de la información.
Cuadro N° 12: Resultado ITEM 10
PRE TEST POST TEST
Política de seguridad de la información. Política de seguridad de la información.
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece
de una Política de seguridad de la información, sin embargo después del Post Test, se recomienda
el desarrollo e implementación formal de la Política de seguridad de la información.
Se comprueba que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de
seguridad de las T.I. en la UCV-Piura.
Gráfico N° 10: Resultado ITEM 10
Políti
ca d
e se
guri
dad
de la
info
r-m
ació
n.
Políti
ca d
e se
guri
dad
de la
info
r-m
ació
n.
PRE TEST POST TEST
00.20.40.60.8
11.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 55 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
4.1.11 Plan de Continuidad del Negocio.
Cuadro N° 13: Resultado ITEM 11
PRE TEST POST TEST
Plan de Continuidad del Negocio. Plan de Continuidad del Negocio.
0 1
Fuente: Pre Test y Pos Test de la Tesis “Auditoría basada en ISO/IEC 17799 para la gestión
de seguridad de las Tecnologías de Información en la Universidad César Vallejo-Piura”
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece
de un Plan de Continuidad del Negocio, sin embargo después del Post Test, se recomienda el
desarrollo e implementación formal de un Plan de Continuidad del Negocio.
Se comprueba que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de
seguridad de las T.I. en la UCV-Piura.
Gráfico N° 11: Resultado ITEM 11
Plan de Continuidad del Negocio. Plan de Continuidad del Negocio.PRE TEST POST TEST
0
0.2
0.4
0.6
0.8
1
1.2
0
1
Auditoría basada en ISO/IEC 17799 para la gestión 56 Riega Reto de seguridad de las T.I. en la UCV - Piura.
CAPÍTULO V
CONCLUSIONES Y RECOMENDACIONES
Escuela de Ingeniería de Sistemas
5.1 CONCLUSIONES
- Como se puede apreciar en los resultados obtenidos en el ITEM 1, CAPITULO IV: DISCUSIÓN
DE RESULTADOS, se puede decir que se ha logrado identificar las amenazas que afectan la
seguridad y los procesos de las Tecnologías de información, con esto se comprueba y
concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad
de las T.I. en la UCV-Piura.
- Como se puede apreciar en los resultados obtenidos en el ITEM 2, CAPITULO IV: DISCUSIÓN
DE RESULTADOS, se logró identificar que se sigue cumpliendo con la implementación y
desarrollo de los proyectos del Plan Operativo de la OTI, con esto se comprueba y concluye
que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I.
en la UCV-Piura.
- Se puede apreciar en los resultados obtenidos en el ITEM 3, CAPITULO IV: DISCUSIÓN DE
RESULTADOS, se ha logrado identificar que se debe implementar un Procedimiento formal
para la concesión, administración de derechos y perfiles, con esto se comprueba y concluye
que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I.
en la UCV-Piura.
- En el resultado obtenido en el ITEM 4, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se ha
logrado identificar que se debe implementar un Registro formal de revisiones periódicas sobre
los derechos concedidos a los usuarios, con esto se comprueba y concluye que aplicando la
Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
- En el ITEM 5, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se identifico tres controles que
se proponen implementarlos, para evitar el acceso físico no autorizado, con esto se
comprueba y concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión
de seguridad de las T.I. en la UCV-Piura.
- Para el ITEM 6, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se identifico tres controles
preventivos, los cuales serán desarrollados e implementados por la OTI, con esto se
comprueba y concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión
de seguridad de las T.I. en la UCV-Piura.
- Según el resultado obtenido en el ITEM 7, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se
puede inducir que se ha logrado identificar la necesidad de desarrollar e implementar un
procedimiento de respaldo, con esto se comprueba y concluye que aplicando la Auditoría
basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
Auditoría basada en ISO/IEC 17799 para la gestión 58 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
- Con el resultado obtenido en el ITEM 8, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se ha
logrado identificar que la UCV-Piura debe contar con un procedimiento formal para reportar
incidentes de seguridad de la información, con esto se comprueba y concluye que aplicando la
Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
- Como se puede apreciar en el resultado obtenido en el ITEM 9, CAPITULO IV: DISCUSIÓN DE
RESULTADOS, se puede deducir que se ha logrado identificar que se debe implementar de
manera formal un Registro de incidentes de seguridad de información, con esto se comprueba
y concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad
de las T.I. en la UCV-Piura.
- Si se observa el resultado obtenido en el ITEM 10, CAPITULO IV: DISCUSIÓN DE
RESULTADOS, se puede deducir que se ha logrado identificar que la UCV Piura carece de
una Política de seguridad de la información para el cual se recomienda el desarrollo e
implementación formal, con esto se comprueba y concluye que aplicando la Auditoría basada
en ISO/IEC 17799 mejora la gestión de seguridad de las T.I. en la UCV-Piura.
- Del resultado obtenido en el ITEM 11, CAPITULO IV: DISCUSIÓN DE RESULTADOS, se
puede deducir que se ha logrado identificar que la UCV Piura carece de un Plan de Continuidad
del Negocio para el cual se recomienda el desarrollo e implementación formal, con esto se
comprueba y concluye que aplicando la Auditoría basada en ISO/IEC 17799 mejora la gestión
de seguridad de las T.I. en la UCV-Piura.
- La seguridad no es un tema de un día, ni un tema exclusivo del departamento de TI.
- No se puede garantizar una seguridad al 100%, ya que siempre existen riesgos, por tanto las
medidas, controles y estrategias que se implementen permitirán reducir el riesgo
progresivamente, teniendo un enfoque de mejora continua.
- La NTP ISO/IEC 17799 es un código de buenas prácticas para la administración de la
seguridad en una organización de cualquier naturaleza, al ofrecer un conjunto de controles
permite normar la seguridad de manera clara, especifica y aplicativa; es por ello que se
constituye en la base fundamental para el desarrollo de la presente tesis.
- La Universidad está dando el primer paso en implementar la Gestión de Seguridad de las
Tecnologías de Información, indispensable en toda organización.
- Para implementar el Manual de Gestión de Seguridad de las Tecnologías de Información se
concluye que el mejor camino a seguir es: conocer la naturaleza de la organización, hacer un
Auditoría basada en ISO/IEC 17799 para la gestión 59 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
análisis de riesgos de posibles amenazas sobre la información, para poder llegar a identificar y
diseñar controles; los cuales serán sometidos a revisiones y aprobaciones.
- La norma ISO 17799 señala como parte esencial la definición de una estructura organizativa en
cuanto a seguridad, donde se puntualicen roles y responsabilidades que cada integrante de la
organización debe asumir.
- Los cambios en la tecnología influyen en qué y cómo auditar, por lo que inevitablemente, la
auditoría ha cambiado de manera drástica en los últimos años con el gran impacto que han
generado las técnicas informáticas en la forma de procesarla.
- El control que provee la auditoria es parte de los procesos de negocios y está integrado en
ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y
aplicabilidad en cada momento, con lo que, constituye una herramienta útil para la gestión, pero
no un sustituto de ésta.
Dada la hipótesis: “La Auditoría basada en ISO/IEC 17799 mejora la gestión de seguridad de las
Tecnologías de Información en la Universidad César Vallejo-Piura” y los resultados que han
llevado a las conclusiones anteriormente expuestas podemos concluir que la hipótesis se prueba
total mente porque los indicadores inciden positivamente sobre estos.
5.2 RECOMENDACIONES
- Como auditor en la realización de esta tesis, siempre se debe tener presente, que una auditoría
no es una persecución de culpables, esta es la manera de evitar que las personas auditadas se
sientan intimidados y creen anticuerpos frente a la labor de control. De otra forma, al no lograr
la apertura de los entrevistados, nuestras auditorías no lograrán tener la profundidad necesaria,
afectando la detección de fallas del sistema y no cumplir con su objetivo, el detectar las
desviaciones frente a los criterios de la auditoría. Es por eso que recomiendo dejar muy en
claro que el objetivo de la presente auditoria es emitir una opinión razonable que permita
implementar controles y estrategias de seguridad de información, relacionada a los procesos
del negocio, logrando fortalecer la integridad, disponibilidad y confidencialidad de la información
de la empresa para consolidar el logro de los objetivos institucionales.
- Desarrollar capacitación dirigida al personal de la OTI, en relación a la implementación de la
NTP ISO 17799.
- Que la alta Dirección dirija la implementación de un sistema de gestión de seguridad de
información, el mismo que sea difundido a todos los colaboradores de la UCV de Piura.
Auditoría basada en ISO/IEC 17799 para la gestión 60 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
- Establecer un comité de seguridad de información liderado por la alta dirección.
- Establecer un comité de tecnologías de información, el mismo que será responsable de la
implementación de los proyectos de T.I.
Auditoría basada en ISO/IEC 17799 para la gestión 61 Riega Reto de seguridad de las T.I. en la UCV - Piura.
CAPÍTULO VI
REFERENCIAS BIBLIOGRÁFICAS
Escuela de Ingeniería de Sistemas
ANR, Asamblea Nacional de Rectores (1995) Resolución Nº 437-95-ANR. Oficio Nº 056-95-SG. Perú.
BRAVO CERVANTES, Miguel H.. Auditoría del Sistema Informático. Perú. Manuel Chahu E.I.R.L.
CASAE (2008) MAGERIT – versión 2: Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información. Consejo Superior de Administración Electrónica. España. [Citado 12 de Octubre del
2008] Disponible en formato PDF en: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
CENTP (2009) Catálogo Especializado de Normas Técnicas Peruanas [Citado 20 de Septiembre del
2009] en formato PDF en: http://www.bvindecopi.gob.pe/
CONAFU, Consejo Nacional para la Autorización de Funcionamiento de Universidades (1996)
Resolución Nº 265-2006-CONA.
DEGERENCIA (2008) Página web La Gerencia. [Citado 04 de Octubre del 2008] Disponible en:
http://www.degerencia.com/area.php?areaid=2001.FU. Perú.
DELTA (2004) Planeación Estratégica de Tecnología Informática. Página web de servicios de
asesoría y consultoría de tecnología informática Delta. [Citado 13 de Octubre del 2008] Disponible en
formato PDF en: http://www.deltaasesores.com/docum/txpeti2004a.pdf
EL PERUANO (1991) Normas Legales. Crean la Universidad Privada César Vallejo, teniendo como
sede la ciudad de Trujillo, Ley Nº 25359. p.101813.Perú
EL PERUANO (1994) Normas Legales. Modifican artículo de Ley referido a la creación de carreras
profesionales en universidad privada, Ley Nº 26409. Perú.
GESTIOPOLIS (2008) Pagina web de Gestiopolis [Citado 04 de Octubre del 2008] Disponible en:
http://www.degerencia.com/area.php?areaid=2001.
IESE (2008) Pagina Web de la escuela de dirección de empresas de la Universidad de Navarra.
Gobernar las TI: obtener el máximo valor de la tecnología. [Citado 04 de Diciembre del 2008]
Disponible en formato PDF en:
http://www.iese.edu/es/files/Art_ED_Cabre_Microcommerce_ESP_tcm5-7281.pdf.
INEI (2009) ¿Qué es la Auditoría Informática?. Instituto Nacional de Estadística e Informática. [Citado
11 de Octubre del 2008] Disponible en formato PDF en:
http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro.pdf.
Auditoría basada en ISO/IEC 17799 para la gestión 63 Riega Reto de seguridad de las T.I. en la UCV - Piura.
Escuela de Ingeniería de Sistemas
ISACA (2009) COBIT 4.1. Español. Information Systems Audit and Control Association. [Citado 11 de
Octubre del 2008] Disponible en formato PDF en:
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/
CobiT4_Espanol.pdf.
HELKYNCOELLO (2009) Página web de helkyn coello blog [Citado 25 de Enero del 2009] Disponible
en: http://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-como-integrar-y-adoptar-los-
estandares-para-un-buen-gobierno-de-ti/
NEYRA Córdova, Omar (2008). Nuevos enfoques de Control Interno en Tecnologías de Información
(T.I.), COBIT 4.0., material del curso. Auditoría de Sistemas. Escuela Profesional de Ingeniería de
Sistemas de la Universidad César Vallejo. Piura-Perú.
NTP ISO/IEC 17799 (2009) Norma Técnica Peruana - Edi. Tecnologías de Información
ISO/IEC17799-2007 [Citado 20 de Septiembre del 2009] en formato PDF en:
http://www.bvindecopi.gob.pe/
RAE (2009) Página web de la Real Academia Español. Vigésima segunda edición. España [Citado 20
de Septiembre del 2009] Disponible en: http://www.rae.es/rae.html.
SISBIB (2008) Tesis: Planeamiento Estratégico de Tecnologías de Información de La Escuela
Superior Privada de Tecnología-SENATI. Sistemas de Bibliotecas. Perú. [Citado 12 de Octubre del
2008] Disponible en formato PDF en:
http://sisbib.unmsm.edu.pe/bibvirtualdata/Tesis/Basic/najarro_bj/najarro_bj.PDF.
UCVPIURA, Universidad César Vallejo Piura (2002) Proyecto de creación de la Filial Piura. Piura –
Perú.
UCVPIURA, Universidad César Vallejo Piura (2006) Manual de Organización y Funciones. Piura-
Perú.
UCVPIURA, Universidad César Vallejo Piura (2009) Centro de Informática y Sistemas. Pagina Web
de la Universidad César Vallejo-Piura. [Citado 20 de Septiembre del 2009] Disponible en:
http://www.ucvpiura.edu.pe/cis/.
UTP (2009) Pagina Web de la Universidad Tecnológica de Puebla. [Citado 11 de Septiembre del
2008] Disponible en formato PDF en:
http://electricidad.utpuebla.edu.mx/Manuales%20de%20asignatura/1er%20cuatrimestre/Informatica
%20I.pdf
Auditoría basada en ISO/IEC 17799 para la gestión 64 Riega Reto de seguridad de las T.I. en la UCV - Piura.
CAPÍTULO VII
ANEXOS
ANEXO N° 01
CRONOGRAMA DE LA TESIS
Elabo
rado po
r el A
utor
FIG
UR
A N
º 04: C
ron
og
rama d
e la T
esis
ANEXO N° 02
INDICADORES DE LA TESIS
ITEM DENOMINACIÓNDEFINICIÓN
CONCEPTUALDEFINICIÓN OPERACIONAL UNIDAD TECNICA INSTRUMENTO FUENTE INSTRUMENTO
I.1.
Amenazas que afectan la seguridad y los procesos de las
Tecnologías de información.
Número de amenazas que
afectan la seguridad y los procesos de las
Tecnologías de información.
NTAASPTI = NAASPTINTAASPTI = Número total de
amenazas que afectan la seguridad y los procesos de
las Tecnologías de información.
NAASPTI = Número de amenazas que afectan la
seguridad y los procesos de las Tecnologías de
información.
Número entero
ObservaciónGuía de
observaciónN° 01
---- ----
I.2.
Grado de implementación de
proyectos de la OTI.
Número de proyectos implementados por la
OTI.
NTSDT / NSDTNTSDT = Número total de
proyectos implementados por la OTI
NSDT = Número total de proyectos implementados por
la OTI.
Porcentaje ObservaciónGuía de
observaciónN° 02
---- ----
I.3.
Procedimientos formales para la
concesión, administración de
derechos y perfiles.
Número de procedimientos formales para la
concesión, administración de
derechos y perfiles.
NTPFCADP = NPFCADPNTPFCADP = Número total de procedimientos formales
para la concesión, administración de derechos y
perfiles.NPFCADP = Número de
procedimientos formales para la concesión, administración
de derechos y perfiles.
Número entero
ObservaciónGuía de
observaciónN° 03
---- ----
CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura. (continua)Elaborado por el autor.
ITEM DENOMINACIÓNDEFINICIÓN
CONCEPTUALDEFINICIÓN OPERACIONAL UNIDAD TECNICA INSTRUMENTO FUENTE INSTRUMENTO
I.4.
Registro de revisiones periódicas sobre los derechos concedidos a los
usuarios.
Número de registro de revisiones
periódicas sobre los derechos concedidos
a los usuarios.
NTRRPDCU = NRRPDCUNTRRPDCU = Número total
de registro de revisiones periódicas sobre los derechos
concedidos a los usuarios.NRRPDCU = Número de
registro de revisiones periódicas sobre los derechos
concedidos a los usuarios.
Número entero
ObservaciónGuía de
observaciónN° 04
---- ----
I.5.
Controles para evitar el acceso físico no
autorizado.
Número de controles para evitar el acceso físico no autorizado.
NTCEAFA = NCEAFANTCEAFA = Número total de
controles para evitar el acceso físico no autorizado.
NCEAFA = Número de controles para evitar el acceso
físico no autorizado.
Número entero
ObservaciónGuía de
observaciónN° 05
---- ----
I.6.
Controles preventivos y de detección sobre el uso de software de procedencia dudosa.
Número de controles preventivos y de
detección sobre el uso de software de
procedencia dudosa.
NTCPDSP = NCPDSPNTCPDSP = Número total de
controles preventivos y de detección sobre el uso de software de procedencia
dudosa.NCPDSP = Número de
controles preventivos y de detección sobre el uso de software de procedencia
dudosa.
Número entero
ObservaciónGuía de
observaciónN° 06
---- ----
CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura. (continua)Elaborado por el autor.
ITEM DENOMINACIÓNDEFINICIÓN
CONCEPTUALDEFINICIÓN OPERACIONAL UNIDAD TECNICA INSTRUMENTO FUENTE INSTRUMENTO
I.7.
Procedimientos de respaldos regulares y
periódicamente validados.
Número de procedimientos de
respaldos regulares y periódicamente
validados.
NTPRRPV = NPRRPVNTPRRPV = Número total de procedimientos de respaldos regulares y periódicamente
validados.NPRRPV = Número de
procedimientos de respaldos regulares y periódicamente
validados.
Número entero
ObservaciónGuía de
observaciónN° 07
---- ----
I.8.
Procedimiento formal para reportar incidentes de
seguridad de la información.
Número de procedimiento formal
para reportar incidentes de
seguridad de la información.
NPFRISI = NPFRISINTPFRISI = Número total de
procedimiento formal para reportar incidentes de
seguridad de la información.NPFRISI = Número de
procedimiento formal para reportar incidentes de
seguridad de la información.
Número entero
ObservaciónGuía de
observaciónN° 08
---- ----
I.9.
Registro de incidentes de
seguridad de la información.
Número de registro de incidentes de seguridad de la
información.
NTRISI = NRISINTRISI = Número total de registro de incidentes de
seguridad de la información.NRISI = Número de registro
de incidentes de seguridad de la información.
Número entero
ObservaciónGuía de
observaciónN° 09
---- ----
CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura. (continua)Elaborado por el autor.
ITEM DENOMINACIÓNDEFINICIÓN
CONCEPTUALDEFINICIÓN OPERACIONAL UNIDAD TECNICA INSTRUMENTO FUENTE INSTRUMENTO
I.10. Política de seguridad de la información.
Número de Política de seguridad de la
información.
NTPSI = NPSINTPSI = Número total de
Política de seguridad de la información.
NPSI = Número de Política de seguridad de la información.
Número entero
ObservaciónGuía de
observaciónN° 10
---- ----
I.11. Plan de continuidad del negocio.
Número de Plan de continuidad del
negocio.
NTPCN = NPCNNTPCN = Número total de
Plan de continuidad del negocio.
NPCN = Número de Plan de continuidad del negocio.
Número entero
ObservaciónGuía de
observaciónN° 11
CUADRO N° 15: Indicadores de la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura. (fin)
Elaborado por el autor.
ANEXO N° 03
FORMATO DE LAS GUÍAS DE OBSERVACIÓN
Guía de Observación Nº 01:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Objetivo: Tomar datos para identificar las amenazas que afectan la seguridad y procesos de las Tecnologías de información.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
Evento no deseado Observación
NOTA(S):…………………………………………………………………………………………….………….
……………………………………………………………………………………………………………..…....……………………………………………………….....
………………………………………………….…………………………..
Observador: _______________________________________________________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 02:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Objetivo: Tomar datos para identificar el grado de implementación de proyectos de la OTI .
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° Proyecto ResponsablesEstado (Pendiente, en
Proceso, Implementado)
Número de proyectos
NOTA(S):…………………………………………………………………………………………….
………………………………………………………………………………………………………………………..…....……………………………………………………….....
………………………………………………………………….…………………………………………..………..
Observador: ________________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 03:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Objetivo: Verificar la existencia de controles implementados para la concesión y administración de derechos y perfiles.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° ControlesImplementado
Sí No1 Procedimiento formal para la concesión, administración de derechos y perfiles.
2 Exista responsable(s) de la administración de derechos y perfiles.3 Que el MOF este adecuado a la administración y concesión de derechos y perfiles.4 Que el área de recursos humanos y las jefaturas sean los responsables en la autorización para la
concesión de derechos y perfiles de los usuarios.Número de procedimientos
NOTA(S):…………………………………………………………………………………………….
………………………………………………………………………………………………………………………..…....……………………………………………………….....
…………………………………………………….………………………………………………...………………..
Observador: _______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 04:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Objetivo: Verificar el desarrollo de revisiones periódicas sobre los derechos concedidos a los usuarios.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N°Fecha
RevisiónObjetivo de la revisión
Se RealizóResultados
Sí No
Número de revisiones
NOTA(S):…………………………………………………………………………………………….
………………………………………………………………………………………………………………………..…....
……………………………………………………….....………………………………….…………………………………………..
Observador: _______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 05:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en
la Universidad César Vallejo - Piura.
Objetivo: Verificar la existencia de controles para evitar el acceso físico no autorizado.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° ControlesIdentificado
Sí NoPerímetro de seguridad definido.
Barreras físicas, , etc.Alarmasbarras metálicasDispositivos biométricosBitácora de visitas.Número de Controles
NOTA(S):…………………………………………………………………………………………….
…………………………………………………………………………………………………………………
……..…....……………………………………………………….....
………………………………………………………
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 06:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en
la Universidad César Vallejo - Piura.
Objetivo: Verificar la existencia y uso de controles preventivos y de detección sobre el uso de software de
procedencia dudosa.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° ControlesIdentificado
Sí No1 Política para el adecuado uso de software legalmente adquirido.
2 Inventario de software.
3 Software no autorizado instalado.
Número de Controles
NOTA(S):…………………………………………………………………………………………….
…………………………………………………………………………………………………………………
……..…....……………………………………………………….....
………………………………………………………
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 07:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en
la Universidad César Vallejo - Piura.
Objetivo: Verificar la existencia de respaldos (copias de seguridad, generadas periódicamente).
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° Respaldo Fecha Tipo
Número de Procedimientos
NOTA(S):…………………………………………………………………………………………….
…………………………………………………………………………………………………………………
……..…....……………………………………………………….....
………………………………………………………
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 08:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en
la Universidad César Vallejo - Piura.
Objetivo: Verificar la implementación de aspectos relacionados al control y registro de incidentes de
seguridad de la información.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° AspectosContemplado
Sí No1 Evaluación inicial.2 Comunicar el incidente3 Contener el daño y minimizar el riesgo4 Identificar el tipo y la gravedad del ataque5 Proteger las pruebas6 Notificar a las áreas correspondientes7 Recuperar los sistemas8 Compilar y organizar la documentación del incidente9 Valorar los daños y costos del incidente10 Revisar las directivas de respuesta y actualización
Número de Procedimientos
NOTA(S):…………………………………………………………………………………………….
…………………………………………………………………………………………………………………
……..…....……………………………………………………….....
………………………………………………………
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 9:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Objetivo: Tomar datos para identificar el número de incidentes registrados en seguridad de información.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
N° Incidentes Área Fecha Medidas Correctivas
Número de Incidentes
NOTA(S):…………………………………………………………………………………………….
………………………………………………………………………………………………………………………..…....
……………………………………………………….....……………………………….……………………………………………..
Observador: _______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 10:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en
la Universidad César Vallejo - Piura.
Objetivo: Verificar la existencia de la Política de seguridad de la información.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
ControlIdentificada Fecha de
AprobaciónFecha de última
ActualizaciónSí NoPolítica de seguridad de la información.
NOTA(S):…………………………………………………………………………………………….
…………………………………………………………………………………………………………………
……..…....……………………………………………………….....
………………………………………………………
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
Guía de Observación Nº 11:
Gestión de seguridad de las T.I.
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en
la Universidad César Vallejo - Piura.
Objetivo: Verificar la existencia de la Política de continuidad del negocio.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dará por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad César Vallejo-Piura.
ÓRGANO: Oficina de Tecnologías de Información (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIÓN: __________________________
ControlIdentificada Fecha de
AprobaciónFecha de última
ActualizaciónSí NoPolítica de continuidad del negocio.
NOTA(S):…………………………………………………………………………………………….
…………………………………………………………………………………………………………………
……..…....……………………………………………………….....
………………………………………………………
Observador:
_______________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO PROCESADO ARCHIVADO
ANEXO N° 04
FORMATO DEL PAPEL DE TRABAJO
Campos del formato del Papel de Trabajo.
El encabezado de cada cédula incluirá:
Nombre y siglas de la entidad auditada.
Ejemplo: Universidad “La Esperanza”.
Tipo de Examen.
Ejemplo: Examen Especial al Área de Abastecimiento.
Periodo del examen.
Ejemplo: Del 01.Ene.09 al 31.Dic.09
Título de la Cédula de Trabajo.
Ejemplo: Licitaciones Públicas.
En la parte inferior:
En el lado derecho el código de acuerdo al índice que corresponda.
En el lado izquierdo el nombre o iníciales de la persona que la preparó y de quien la revisó, así
como las fechas de preparación y de revisión.
ANEXO N° 05
FORMATO DE DEFICIENCIA PARA LA AUDITORÍA
BASADA EN ISO/IEC 17799 PARA LA GESTIÓN DE
SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN
EN LA UNIVERSIDAD CÉSAR VALLEJO - PIURA.
DEFICIENCIA N° ______
FECHA DE LLENADOÁREA AUDITADA:
DÍA MES AÑOAUDITOR JUNIOR:
DETALLE
Condición:
Criterio:
Causa:
Efecto:
Recomendaciones:
SUPERVISOR:FECHA DE REVISIÓN
DÍA MES AÑO
Elaborado por el autor.
Campos del Formato de deficiencia para la Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo -
Piura.
N°:
- Se coloca el número del hallazgo el cual debe de seguir un orden correlativo conforme se van
descubriendo los mismos.
DETALLE:
- Condición: “Lo que es” Aquello que el auditor encuentra o descubre.
- Criterio: “Lo que debe ser” Marco de referencia con el que se compara la condición para
encontrar divergencias. Ley, reglamento, carta, circular, memorando, procedimiento, norma de
control interno, norma de sana administración, principio de contabilidad generalmente aceptado,
opinión de un experto o finalmente juicio del auditor. Para auditorías de sistemas de información
y TI: GAISP, COBIT, ISO 17799, SB 443/20a03, NAG 270 y otros.
- Causa: “Por qué” El origen de la condición observada. El porqué de la diferencia entre la
condición y el criterio, deberán ser desarrolladas de acuerdo a la explicación que de el
responsable.
- Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio, el efecto
tendrá un resultado positivo o negativo
- Recomendación: “Arregla la condición” La recomendación se deberá elaborar habiendo
desarrollado los anteriores atributos del hallazgo. La recomendación deberá emitirse con la idea
de mejorar o anular la condición y llegar al criterio atacando la causa y arreglar el efecto para
futuras situaciones. La recomendación deberá ser viable técnica y económicamente.
ANEXO N° 06
RECURSOS, MATERIALES, PRESUPUESTO Y FINANCIAMIENTO DE LA TESIS
Recursos.
Humanos:
En esta investigación participan directamente o indirectamente las siguientes personas:
Investigador:
Marco Antonio Riega Reto.
Asesor:
Ingeniero Juan Miguel Espinoza Saucedo.
Materiales.
Hardware:
Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador
DVD.
Una impresora Canon IP1000.
Mouse Delux V3.
Software:
Windows XP SP3.
Microsoft Office 2007 (Word, Excel, PowerPoint, Project)
Mozilla Firefox 3.0.10.
Internet Explorer 8.
WinRar 3.6.2.
WinZip 10.
Nero 7 Premium.
Adobe Reader 9.
WinAudit 2.1.7.0.
The Dude Freeware 3.4.
SPSS17.
Otros Materiales:
Materiales de escritorio.(1 lápiz, 3 lapiceros, 1 grapadora, 1 perforador, 1 regla de 30 cm)
1 Millar Papel A4.
5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon
IP1000.
1 CD’s de 700 MB.
2 Fólderes Manila A4 Grafos.
1 Memoria USB de 32 GB Marca: Kinstong.
Duracell Plus 9v Battery.
Probador de Cables de Red UTP.
Servicios:
Fotocopiado.
Transporte Urbano.
Energía eléctrica.
Internet.
Presupuesto:
TABLA Nº 01: Presupuesto para el desarrollo del proyecto de tesis.
RECURSO DESCRIPCIÓN CANTIDAD TOTAL (S/.)
PersonalResponsable del trabajo de investigación 1 150.00 150.00
Asesor 1 270.00 270.00
SUBTOTAL 420.00
Hardware
Notebook HP530, Up Core 2 Duo de 1.60 GHZ, 1 2220.00 2220.00Una impresora Canon IP1000. 1 100.00 100.00Mouse Delux V3 1 20.00 20.00
SUBTOTAL 2320.00
Software
Windows XP SP3. 1 450.00 450.00
1 210.00 210.00
Mozilla Firefox 3.5.2. 1 0.00 0.00Internet Explorer 8. 1 0.00 0.00WinRar 3.6.2. 1 0.00 0.00WinZip 10. 1 0.00 0.00Nero 7 Premium. 1 0.00 0.00Adobe Reader 9. 1 0.00 0.00WinAudit 2.1.7.0. 1 0.00 0.00The Dude Freeware 3.4. 1 0.00 0.00SPSS17. 1 0.00 0.00
SUBTOTAL 660.00
1 25.00 25.00
Millar Papel A4. 1 25.00 25.00
5 10.00 50.00
CD’s de 700 MB. 1 1.50 1.50Fólderes Manila A4 Grafos. 2 0.70 1.40Memoria USB de 32 GB Marca: Kinstong. 1 100.00 100.00Duracell Plus 9v Battery. 2 8.00 16.00Probador de Cables de Red UTP. 1 300.00 300.00
SUBTOTAL 518.90
Servicios
Fotocopiado 0 0.10 0.00Trasporte Urbano 1 100.00 100.00Energía eléctrica. 3 30.00 90.00Internet 3 120.00 360.00
SUBTOTAL 550.00
PRECIO UNITARIO
(S/.)
Microsoft Office 2007 Basic (Word, Excel, PowerPoint, Project)
Otros Materiales
Materiales de escritorio.(lápiz, lapiceros, grapadora, perforador, regla)
Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon IP1000.
Fuente: Tienda Córdova.Elaborado por el Autor.
Financiamiento:
El Proyecto fue financiado de la siguiente manera:
El pago al asesor fue financiado por la universidad.
El financiamiento para los recursos de hardware, software, otros materiales y servicios fueron
costeados por el autor que desarrolla la tesis.
ANEXO N° 07
FORMATO DE SOLICITUD DE DOCUMENTACIÓN
“AÑO DE LA UNIÓN NACIONAL FRENTE A LA CRISIS EXTERNA”
Piura, 30 de Octubre de 2009
Ingeniero XXXX XXXXX XXXXX XXXXXX
Jefe de la Oficina de Tecnologías de Información de la UCV de Piura
Sirva la presente para saludarle cordialmente y comunicarle que como parte del Desarrollo de mi
Tesis “Auditoria basada en ISO 17799 para la gestión de la seguridad de las Tecnologías de
Información en la Universidad César Vallejo de Piura” requiero contar con la documentación que
detallo a continuación:
Manual de Organización y Funciones de la OTI
Organigrama interno de la OTI
Plan de trabajo de la OTI : Operativo y/o Estratégico. De no contar con esta
documentación, debe proporcionar la relación de los principales proyectos planificados y
desarrollados, indicando para cada uno de ellos su grado (porcentaje) de implementación.
Plan de Mantenimiento de Hardware o algún documento similar.
Plan de Seguridad de Información o algún documento similar.
Cronograma de mantenimiento preventivo de hardware
Inventario de Hardware por tipo de equipo: Servidor, estaciones de trabajo, impresoras,
equipos de comunicación.
Inventario de Software por tipo de software: Sistema operativo, antivirus, software
ofimático, utilitarios, otros.
Metodología de Desarrollo de software.
Diagramas de red de computadoras.
Plan de Recuperación de Tecnologías de Información o algún documento similar.
Documento donde se detalle y describa todos los sistemas informáticos implementados
por el OTI y a los que se les brinda soporte y/o mantenimiento, con el siguiente detalle:
Nombre del Sistema Breve descripción de su
funcionalidad
Áreas usuarias del
sistema.
Documentación técnica de los sistemas: Manuales técnicos, diccionario de datos,
diagrama entidad relación, entre otros que se han utilizado en su implementación.
Manual de Procesos y/o Procedimientos de la OTI .
Diagramas de red.
Por lo antes expuesto, solicito a usted me proporcione la información requerida. En caso no se
cuente con parte del requerimiento o no se puede entregar físicamente, agradeceré se me indique
por escrito como respuesta a la presente con el debido sustento.
Agradezco de antemano vuestra atención y apoyo al presente.
Atentamente,
___________________________Autor
DNI N° XXXXXXXX
ANEXO N° 08
FORMATO DE LA ENTREVISTA DE USUARIO
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ENTREVISTA DE USUARIO N°: ……..….
Nombre de Usuario: ………….…….………………….
Área: ………….…….……………………………. Cargo: ……………………….………………………….
Funciones desarrolladas: ……………………….……………………….……………………….…………..
…………………………………………………………………………………………………………………...
Marque con una ( x ) la alternativa que usted considera es la más adecuada, escribir de forma
clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dará
por anulada la pregunta.
1. ¿La cuenta de usuario asignada para su inicio de sesión de la red tiene clave?
Sí ( ) No ( ) Desconozco ( )
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
2. ¿Su cuenta de usuario para acceder a la red es la misma que utiliza para acceder a los
sistemas de información de la UCV-Piura?
Sí ( ) No ( ) Desconozco ( )
Sí, ¿Por qué?………………………………………………………...……….………………………….....…
…………………………………………………………………………………………………………………...
3. Para las diferentes cuentas de usuario asignadas como: cuenta de usuario de red, cuenta de
correo electrónico, cuentas de usuarios de sistemas administrativos…. ¿Utiliza la misma
contraseña o password?
Sí ( ) No ( )
Sí, ¿Por qué?……………..………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
4. ¿Usted proporciona a otra persona su(s) cuenta(s) de su usuario (login) y clave (password)?
Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( )
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
5. ¿Considera que los servicios que brinda el OTI en el desarrollo de sistemas, instalación de
redes, mantenimiento, reparación de computadoras e impresoras, dé los resultados esperados
en el desempeño de sus actividades?
Sí ( ) No ( )
¿Por qué?…………………………………………………………...………….………………………………
…………………………………………………………………………...………………………………………
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
6. ¿Cómo califica la solución que le brinda el OTI en el desarrollo de sistemas, instalación de
redes, mantenimiento, reparación de computadoras e impresoras?
Deficiente ( ) Mejorable ( ) Aceptable ( ) Excelente ( )
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
7. ¿Hay disponibilidad de la OTI para sus requerimientos?
Nunca ( ) Algunas veces ( ) Casi siempre ( ) Siempre ( )
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
8. ¿Por qué problemas suele usted llamar al OTI? Marque los problemas por lo que usted suele
llamar.
Problemas con la PC ( ) Problemas con la red ( ) Problemas con la impresora ( )
Problemas con el sistemas ( ) Problemas de inicio de sesión ( ) Otro ( )
¿Cual?..................................................................................................................................................
9. ¿Son entregados con puntualidad los trabajos de que realiza el OTI?
Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( )
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
10.¿Cubre sus necesidades la computadora que le ha sido asignada para las actividades ó
procesos que realiza?
No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( )
¿Por qué?……………………………………………………………………….……………………...………
…………………………………………………………………………………………………………...………
11.Usted considera que su computadora es:
Lenta ( ) Aceptable ( ) Rápida ( )
¿Por qué?……………………………………………………………………….……………………...………
…………………………………………………………………………………………………………...………
12. ¿Existen fallas de exactitud en los procesos de información del sistema o sistemas que
utiliza?
Sí ( ) No ( )
Sí, ¿En cuáles?......…………………………………………………………………………………………...
…………………………………………………………………………………………………………………...
13. ¿Le son útiles los reportes que le proporcionan el sistema o sistemas que utiliza?
Sí ( ) No ( ) Algunos ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
14. ¿Cuenta con un manual de usuario por Sistema, completo y actualizado, bien sea en medio
impreso o magnético?
Sí ( ) No ( )
15. ¿Es claro y objetivo el manual del usuario? (marcar si respondió Sí en la pregunto 15)
Sí ( ) No ( )
16. Cuando se requiere del desarrollo de un nuevo sistema ¿Qué persona(s) en su área, es la
encargada de coordinar su diseño y ejecución con el OTI?
…………...……………………………………………………………………….……………………………
…………………………………………………………………………………………………………………
17. ¿Qué sistemas, aplicaciones ó programas desearía que se instalara en su PC que usted
necesite?
……………………………………………………………………………………………..……………………
………………………………………………………………...…………………………………………………
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
18. ¿Qué opina sobre las capacitaciones que realiza el OTI de los diferentes software o
herramientas tecnológicas que se utiliza en la empresa?.
No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( )
¿Por qué?…………………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
19. ¿Alguna vez ha hecho un informe con los requerimientos de la computadora que usted
necesita?
Sí ( ) No ( )
Sí, ¿Por qué?……………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
20. ¿Le atendieron su requerimiento? (marcar si respondió Sí en la pregunta 21)
Sí ( ) No ( )
No, ¿Por qué?….…………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
21. ¿Su computadora cuenta con acceso a internet?
Sí ( ) No ( )
¿Para qué lo utiliza?…...………………………………………………………..……….……………………
……………………………………………………………………………………………...……………………
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
22. ¿Cuenta con el antivirus (Kaspersky 6.0.3.) instalado y actualizado en la computadora que le
asignaron?
Sí ( ) No ( ) Desconoco ( )
No, ¿Por qué?……………………………………………………………….……………………………...…
23. Antes de utilizar la memoria USB la analiza utilizando el antivirus instalado en la
computadora?
Sí ( ) No ( )
No, ¿Por qué? ………………………………………………………….…………………………………...…
…………………………………………………………………………………………………………………...
24.¿Cuenta con el formato: Movimiento Único de Bienes Patrimoniales, para el traslado de
equipos?
Sí ( ) No ( )
No, ¿Por qué?…………………………………………………………………..…………………………...…
…………………………………………………………………………………………………………………...
25.¿Usted comparte alguna carpeta o archivo por Red?
Sí ( ) No ( ) Algunas veces ( )
Sí, ¿Con quién o con qué área? ……………………………..….………………..……………..…………
…………………………………………………………………………………………………………..……….
26.¿Esta carpeta o archivo que usted comparte por red tiene algún tipo de seguridad, clave,
password, etc.?
Sí ( ) No ( ) Algunas veces ( )
No, ¿Por qué?……………………………………………………………….……………………………...…
…………………………………………………………………………………………………………………...
27.¿Cuenta con estudios básicos de computación, en Office 2007 y Windows XP?.
Sí ( ) No ( )
Sí, ¿Cuáles, donde los realizo y en qué año? ……...……………………………………………………
…………………………………………………………….………….………………………………………..
…………………………………………………………………………………………………………………
Observaciones o recomendaciones al OTI:
……………………………………………………………………………………...………………………..….
…………………………………………………………………………………………………...………..…….
………………………………………………………………………………………………………………..….
………………………………………………………………………………………………………………..….
………………………………………………………………………………………………………………..….
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 09
FORMATO DE EVALUACIÓN DEL CUMPLIMIENTO DE
LAS FUNCIONES DE LAS ÁREAS DE LA OTI
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
EVALUACIÓN DEL CUMPLIMIENTO DE LAS FUNCIONES DE LAS ÁREAS DE LA OTI
Coloque un si la función SÍ se cumple y una si la función NO se cumple. E scribir de
forma clara; usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se
dará por anulada su respuesta.
FUNCIONES DE LA JEFATURA DE LA OTI
Formular y ejecutar el PACI (Plan de Avance y Capacitación Informática) de la UCV Piura.
Controlar y evaluar la ejecución de los planes
Proponer, coordinar y supervisar la renovación en la tecnología informática utilizada en la
institución.
Formular, ejecutar y controlar los programas, aprobado para su funcionamiento y desarrollo
Desarrollar un Plan de Seguridad para proteger la información de la base de datos, correos y
página web de nuestra institución.
Evaluar y definir las políticas de seguridad para la red informática de la universidad
Investigar, estudiar y proponer nuevas técnicas informáticas recomendando a la empresa las
alternativas más adecuadas para su implementación.
Administrar las licencias adquiridas por nuestra institución con las instaladas en las
computadoras de la red de la UCV Piura.
Promover reuniones de trabajo con el personal a cargo para tratar en forma conjunta sobre
resolución de problemas, información de nuevas actividades necesarias.
Elaborar, presentar y sustentar el Plan Operativo del área.
Otras funciones que asigne el Directorio de la UCV Piura.
FUNCIONES DE LA ASISTENCIA ADMINISTRATIVA
Atender y orientar al cliente (interno y externo) que solicite los servicios de una manera cortes y
amable.
Mantener actualizados archivos físicos y en base de datos, clasificándolos ordenadamente por
tipo y fecha.
Elaboración de diversos documentos del área.
Coordinar reuniones y agenda respectiva.
Hacer y recibir llamadas telefónicas para tener informado a la Jefatura de la OTI de los
compromisos y demás asuntos.
Elaborar y presentar periódicamente y a solicitud de la Jefatura de la OTI , los reportes
adecuados.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
FUNCIONES DEL AREA DE REDES
Mantener y administrar las comunicaciones internas y externas de la UCV Piura.
Mantener y administrar servicios de internet.
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
Diseñar, implementar y administrar las redes de comunicación de la universidad.
Planificar, ejecutar y supervisar la implementación del cableado de redes de voz y datos de
nuevas oficinas o sedes.
Diseñar y proponer políticas de seguridad para equipos, usuarios, sistemas y en general, el
acceso a la red informática de la universidad.
Operación de sistemas de resguardo de información.
Administración de direcciones IP.
Instalación, configuración y mantenimiento de servidores proxy.
Administración de servicios de red.
Monitoreo de redes TCP/IP.
Instalación y mantenimiento de redes de cableado estructurado, incluyendo fibra óptica y
enlaces inalámbricos.
Instalación y configuración de equipos de conectividad (modems, switch, routers, wireless).
Administración, configuración y mantenimiento de sistemas antivirus en servidores.
Detección y control de virus.
Asegurar el mantenimiento, crecimiento, seguridad y operación de la infraestructura de la red
de enlaces de telefonía.
Monitorear, diagnosticar el mantenimiento, aislamiento y detección de fallas de la red de
telecomunicaciones.
Realizar el mantenimiento, crecimiento y aplicaciones de correo electrónico.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
FUNCIONES DEL AREA DE DESARROLLO (SISTEMAS Y WEB)
Mantener y administrar las bases de datos de la institución.
Mantener y actualizar la pagina de web de la institución.
Analizar, desarrollar y soportar sistemas de acuerdo a las necesidades de las diversas áreas
para tener un mejor control de la información.
Garantizar el óptimo funcionamiento de los diversos sistemas de información de la universidad.
Evaluar el hardware y software y preparar los estimados de tiempo y costos para el trabajo de
desarrollo de sistemas.
Configuración de los servicios de Internet.
Instalación, configuración y mantenimiento de servidor de web.
Instalación, configuración y mantenimiento de servidores de datos.
Realizar copias de seguridad de la Base de Datos.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
FUNCIONES DE SOPORTE TÉCNICO
Asesorar, evaluar y brindar el soporte técnico de software y hardware a las diversas áreas de la
UCV Piura.
Normar y supervisar el uso de software y hardware.
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
Controlar por medio de un inventario periódico del hardware que poseen las computadoras de
nuestra institución.
Planificar, organizar, dirigir y supervisar las actividades de mantenimiento integral de los
equipos de tecnología de comunicación y mantenimiento de equipos de cómputo.
Preparar planes y realizar el mantenimiento preventivo, correctivo y predictivo de los todos
equipos computacionales y de multimedia.
Proponer y dar mantenimiento a equipos y accesorios de respaldo para atender situaciones de
emergencia.
Instalación, actualización y soporte de software en todos los equipos computacionales de la
universidad (áreas académicas y áreas administrativas).
Soporte y mantenimiento de la red de la universidad.
Ensamblado y puesto en marcha de nuevos equipos a partir de equipos en desuso o
defectuosos.
Instalar los equipos de cómputo en ambientes apropiados para su buen desempeño y
operatividad.
Ejecución de la implementación del cableado de redes de voz y datos en nuevas oficinas o
sedes.
Detección y corrección de fallas en computadoras.
Detección y control de virus.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
FUNCIONES DEL SOPORTE DE LABORATORIOS UCV
Brindar el soporte técnico de software y hardware a los laboratorios con los que cuenta la
Oficina de Tecnologías de Información.
Normar y supervisar el uso de software y hardware en los Laboratorios.
Realizar periódicamente el inventario de hardware y software de los laboratorios de la Oficina
de Tecnologías de Información.
Instalación, actualización y soporte de software en todos los equipos computacionales de los
laboratorios de la Oficina de Tecnologías de Información.
Controlar el acceso a los laboratorios de cómputo.
Verificar el buen estado de los equipos computacionales, multimedia y muebles de los
laboratorios constantemente.
Detección y control de virus.
Realizar instrucciones que le sean asignadas por la Coordinación Académica y la Jefatura de la
OTI .
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 10
FORMATO DE LA EVALUACIÓN DEL PLAN OPERATIVO
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
CONTROL DE PROYECTOS
1. ¿Quién autoriza los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
2. ¿Cómo se asignan los recursos?.
____________________________________________________________________________
____________________________________________________________________________
3. ¿Cómo se estiman los tiempos de duración?.
____________________________________________________________________________
____________________________________________________________________________
4. ¿Quién interviene en la planeación de los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
5. ¿Cómo se calcula el presupuesto del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
6. ¿Qué técnicas se usan en el control de los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
7. ¿Quién asigna las prioridades?.
____________________________________________________________________________
____________________________________________________________________________
8. ¿Cómo se asignan las prioridades?.
____________________________________________________________________________
____________________________________________________________________________
9. ¿Cómo se controla el avance del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
10.¿Con qué periodicidad se revisa el reporte de avance del proyecto?.
____________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
____________________________________________________________________________
11.¿Cómo se estima el rendimiento del personal?.
____________________________________________________________________________
____________________________________________________________________________
12.¿Con que frecuencia se estiman los costos de los proyectos para compararlos con los del
presupuestado?.
____________________________________________________________________________
____________________________________________________________________________
13.¿Qué acciones correctivas se toman en caso de desviaciones?.
____________________________________________________________________________
____________________________________________________________________________
14.¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
Enumérelos secuencialmente.
( ) Determinación de los objetivos.
( ) Señalamiento de las políticas.
( ) Designación del funcionario responsable del proyecto.
( ) Integración del grupo de trabajo.
( ) Integración de un comité de decisiones.
( ) Desarrollo de la investigación.
( ) Documentación de la investigación.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
RECURSOS FINANCIEROS Y MATERIALES
RECURSOS FINANCIEROS
1. ¿Se respetan los planteamientos presupuestales del área? Sí ( ) No ( )
No, ¿en qué partidas no se han respetado y en qué monto?
____________________________________________________________________________
2. ¿Los recursos financieros con que cuenta el área son suficientes para alcanzar los objetivos y
metas establecidos? Sí ( ) No ( )
No, ¿Qué efectos se han tenido en el área al no contar con suficientes recursos financieros?
____________________________________________________________________________
3. ¿Existe un programa sobre los requerimientos del área? Sí ( ) No ( )
4. ¿Qué personas del área intervienen en su elaboración?
____________________________________________________________________________
1. ¿Se respetan los planteamientos del área? Sí ( ) No ( )
No, ¿en qué aspectos no se respeta?______________________________________________
2. ¿Los recursos materiales se le proporcionan al área, son suficientes para cumplir con las
funciones encomendadas? Sí ( ) No ( )
No, ¿En qué no son suficientes? _________________________________________________
3. ¿Los recursos materiales se proporcionan oportunamente? Sí ( ) No ( )
4. ¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursos materiales?
____________________________________________________________________________
____________________________________________________________________________
¿Qué sugerencias haría para superar las limitaciones actuales?
____________________________________________________________________________
____________________________________________________________________________
MOBILIARIO Y EQUIPO
5. ¿Se cuenta con el equipo y mobiliario adecuado y en cantidad suficiente para desarrollar su
trabajo?
Sí ( ) No ( )
¿Por qué? ___________________________________________________________________
6. ¿Están adecuadamente distribuidos en el área del trabajo? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
7. ¿Se ha dejado de realizar actividades por falta de material y equipo? Sí ( ) No ( )
Sí, ¿Qué se hace para solucionar este problema?
____________________________________________________________________________
8. ¿Qué medidas se han tomado?
____________________________________________________________________________
9. ¿Existe el servicio de mantenimiento del equipo? Sí ( ) No ( )
10.Existen medidas de seguridad? Sí ( ) No ( )
¿Cuáles? ¿Por qué?
____________________________________________________________________________
____________________________________________________________________________
11.¿Qué se hace con el equipo en desuso?
____________________________________________________________________________
12.¿Sobre quién recae la responsabilidad del equipo?
____________________________________________________________________________
13.¿Con qué frecuencia se renuevan el equipo y mobiliario?
____________________________________________________________________________
14.¿Se recogen opiniones y sugerencias que permiten establecer las medidas correctivas con las
cuales lograr un mejor funcionamiento de estos recursos? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 11
FORMATO DE LA EVALUACIÓN DEL ÁREA DE LA OTI
(OFICINA)
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ÁREA DE LA OTI
ORDEN EN LA OTI
1. Indique la periodicidad con que se hace la limpieza a la OTI:
Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( )
Otra (especifique) ( ) __________________________________________
2. Existe un lugar asignado para los backups? Sí ( ) No ( )
3. ¿Se tiene asignado un lugar específico para papelería y utensilios de trabajo? Sí ( ) No ( )
4. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en la OTI?
Sí ( ) No ( )
Sí, ¿Cuál? ___________________________________________________________________
5. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición?
Sí ( ) No ( )
6. ¿Se controla el ingreso de personas ajenas a la OTI? Sí ( ) No ( )
Sí, ¿Cómo? __________________________________________________________________
7. Mencione los casos en que personal ajeno a la OTI ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
1. ¿Se han adoptado medidas de seguridad en la OTI? Sí ( ) No ( )
2. ¿Existen una persona responsable de la seguridad? Sí ( ) No ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?
Sí ( ) No ( )
4. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de
mantener una buena imagen y evitar un posible fraude?
Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
5. ¿Existe alarma para
a) Detectar fuego(calor o humo) en forma automática? ( )
b) Avisar en forma manual la presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnéticos? ( )
e) No existe ( )
6. ¿Esta alarma también está conectada
a) Al puesto de guardias? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________
7. Existen extintores de fuego
a) Manuales? ( )
b) Automáticos? ( )
c) No existen ( )
8. ¿Se ha adiestrado el personal en el manejo de los extintores? Sí ( ) No ( )
9. ¿Los extintores, manuales o automáticos son a base de
a) Agua, ( )
b) Gas? ( )
c) Otros ( )
10.¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
Sí ( ) No ( )
11.¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para
alcanzarlos?
Sí ( ) No ( )
12.¿Saben que hacer los el personal de la OTI, en caso de que ocurra una emergencia
ocasionado por fuego?
Sí ( ) No ( )
13.¿El personal ajeno al área sabe qué hacer en el caso de una emergencia (incendio)?
Sí ( ) No ( )
14.¿Existe salida de emergencia? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
15.¿Esta puerta solo es posible abrirla:
Desde el interior ? ( ) Desde el exterior ? ( ) Ambos Lados ( )
16.¿Se revisa frecuentemente que no esté descompuesta la cerradura de las puertas y de las
ventanas?
Sí ( ) No ( )
17.¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones
en caso de emergencia?
Sí ( ) No ( )
18.¿Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en el departamento de cómputo? ( )
b) Prohibiendo fumar a los operadores en el interior? ( )
c) Vigilando y manteniendo el sistema eléctrico? ( )
d) No se ha previsto ( )
19.¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de la OTI
para evitar daños a los equipos?
Sí ( ) No ( )
20.¿Cuenta con botiquín de primeros auxilios?
Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 12
FORMATO DE LA EVALUACIÓN AL ÁREA DE REDES
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ÁREA DE REDES - DATA CENTER
ORDEN EN EL DATA CENTER
1. Indique la periodicidad con que se hace la limpieza del Data Center:
Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( ) __________________________________________
2. Existe un lugar asignado para los backups? Sí ( ) No ( )
3. ¿Se tiene asignado un lugar específico para papelería y utensilios de trabajo? Sí ( ) No ( )
4. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el Data Center?
Sí ( ) No ( )
Sí, ¿Cuál? ___________________________________________________________________
5. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición?
Sí ( ) No ( )
6. ¿Se controla el ingreso de personas al Data Center? Sí ( ) No ( )
Sí, ¿Cómo? __________________________________________________________________
7. ¿Se tiene restringida la operación del personal ajeno al Área de Redes en el Data Center?
Sí ( ) No ( )
8. Mencione los casos en que personal ajeno al Área de Redes opera en el Data Center:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
CONTROL DE MANTENIMIENTO
1. Existe algún tipo de contrato de mantenimiento para los dispositivos o equipos del Data Center.
Sí ( ) No ( )
2. ¿Existe un programa de mantenimiento preventivo para cada dispositivo o equipo del Data
Center?
Sí ( ) No ( )
3. ¿Se lleva a cabo tal programa? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
4. ¿Cómo se notifican las fallas? No se notifican ( )
____________________________________________________________________________
5. ¿Cómo se les da seguimiento? No se les da seguimiento ( )
____________________________________________________________________________
6. ¿Se realizan mantenimientos correctivos a los equipos del Data Center? Sí ( ) No ( )
Sí, ¿A qué equipos y porque?
____________________________________________________________________________
____________________________________________________________________________
7. Indique la periodicidad con se hace ese mantenimiento a los equipos del Data center:
Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( )
Otra (especifique) ( ) __________________________________________
Cuántas veces? ____________________________________________________________
8. ¿Se lleva un control o registro de fallas y mantenimientos correctivos que se realiza a los
equipos del Data Center?
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
9. ¿Se han adoptado medidas de seguridad?
Física ( ) Lógica ( ) Física y Lógica ( )
10.¿Existen una persona responsable de la seguridad?
Sí ( ) No ( )
11.¿Existe personal de vigilancia en la institución?
Sí ( ) No ( )
12.¿Se controla el trabajo fuera de horario?
Sí ( ) No ( )
Sí, ¿Quién lo controla? _________________________________________________________
No, ¿Por qué? ________________________________________________________________
13.¿Existe vigilancia en el departamento de cómputo las 24 horas?
Sí ( ) No ( )
Sí, ¿Quién? __________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
14.¿Se permite el acceso a los programadores, analistas y operadores?
Sí ( ) No ( )
Sí, ¿Por qué? _____________________________________________________
15.El edificio donde se encuentran los servidores, cuenta con medidas de protección frente a:
a) Inundación ( )
b) Terremoto ( )
c) Fuego ( )
d) Sabotaje ( )
16.El Data Center tiene salida al exterior?
Sí ( ) No ( )
17.Describa brevemente la construcción del Data Center, de preferencia proporcionando planos y
material con que está construido y equipo (muebles, sillas etc.) dentro del mismo.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
18.¿Existe control en el acceso?
a) Por identificación personal? ( )
b) Por tarjeta magnética? ( )
c) Por claves verbales? ( )
d) Otras? ( ) ¿Cuáles? ____________________________________________________
e) No existe ningún control ( )
19.¿Son controladas las visitas y demostraciones en el Data Center? Sí ( ) No ( )
20.¿Se registra el acceso al Data Center de personas ajenas a la OTI? Sí ( ) No ( )
21.¿Existe alarma para
a) Detectar fuego(calor o humo) en forma automática? ( )
b) Avisar en forma manual la presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnéticos? ( )
e) No existe ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
22.¿Existe alarma para detectar condiciones anormales del ambiente? Sí ( ) No ( )
23.¿Esta alarma también está conectada
a) Al puesto de guardias? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________
24.Existen extintores de fuego
a) Manuales? ( )
b) Automáticos? ( )
c) No existen ( )
25.¿Se ha adiestrado el personal en el manejo de los extintores?
Sí ( ) No ( )
26.¿Los extintores, manuales o automáticos son a base de
a) Agua, ( ) ( )
b) Gas? ( ) ( )
c) Otros ( ) ( )
27.¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
Sí ( ) No ( )
28.¿Si es que existen extintores automáticos son activados por detectores automáticos de fuego?
Sí ( ) No ( )
29.¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el
agua cause más daño que el fuego?
Sí ( ) No ( )
30.¿Si los extintores automáticos son a base de gas, ¿Se ha tomado medidas para evitar que el
gas cause más daño que el fuego?
Sí ( ) No ( )
31.¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para
que el personal:
a) Corte la acción de los extintores por tratarse de falsas alarmas? Sí ( ) No ( )
b) Pueda cortar la energía Eléctrica Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
c) Pueda abandonar el local sin peligro de intoxicación Sí ( ) No ( )
d) Es inmediata su acción? Sí ( ) No ( )
32.¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para
alcanzarlos?
Sí ( ) No ( )
33.¿Sabe que hacer el operador de Redes, en caso de que ocurra una emergencia ocasionado
por fuego?
Sí ( ) No ( )
34.¿Existe salida de emergencia?
Sí ( ) No ( )
35.¿Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( )
36.¿Se revisa que no esté descompuesta la cerradura de esta puerta y de las ventanas?
Sí ( ) No ( )
37.¿El Data Center cuenta con un Plan de Seguridad?
Sí ( ) No ( )
38.¿Se ha tomado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en el departamento de cómputo? ( )
b) Prohibiendo fumar a los operadores en el interior? ( )
c) Vigilando y manteniendo el sistema eléctrico? ( )
d) No se ha previsto ( )
39.¿Se ha prohibido al operador el consumo de alimentos y bebidas en el interior del Data Center
para evitar daños al equipo?
Sí ( ) No ( )
40.¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
SI ( ) NO ( ) No existe ( )
41. ¿Se han implantado claves o password para garantizar operación de los equipos del Data
Center, a personal autorizado?
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
Sí ( ) No ( )
42. ¿Se mantiene un registro permanente (bitácora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos? Sí ( ) No ( )
43. ¿Cuentan con servidor(es) de respaldo?. Sí ( ) No ( )
44. ¿Los backups se realizan, se realizan en disco magnéticos? Sí ( ) No ( )
No, Especificar medio de almacenamiento _______________________________________
45. ¿Los backups son mayores de dos (padres e hijos) y se guardan en lugares seguros y
adecuados?
46. ¿Todas las actividades y procedimientos del área de Redes están normadas mediante
manuales, instructivos, normas, reglamentos, etc.?
Sí ( ) No ( )
47. ¿Se establecen procedimientos para obtención de backups de paquetes y de archivos de
datos?
Sí ( ) No ( )
48. Existen licencias del sistema operativo utilizado. Sí ( ) No ( )
49. ¿Tienen manuales todas las aplicaciones? Sí ( ) No ( )
50. ¿Existen procedimientos adecuados para conectarse y desconectarse de los equipos
remotos?
Sí ( ) No ( )
51. ¿Existe un período máximo de vida de las contraseñas de los usuarios? Sí ( ) No ( )
¿Cuanto? ________________
52. ¿Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o
deben estar- documentadas en el Documento de Seguridad?
Sí ( ) No ( )
53. ¿Existen procedimientos de asignación y distribución de contraseñas? Sí ( ) No ( )
54. ¿Existen procedimientos para la realización de las copias de seguridad? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
55. ¿Existen procedimientos que aseguran que se realizan los backups al menos una vez cada
semana?
Sí ( ) No ( )
56. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de las instalaciónes?.
Sí ( ) No ( )
57. ¿Se ha determinado quienes tienen llave para acceder al Data Center?.
__________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
58. Existe un inventario de equipos y software del Área de Redes?
Sí ( ) No ( ) Solo de equipos ( ) Solo de software ( )
Sí, ¿Existen procedimientos de actualización de dicho inventario? Sí ( ) No ( )
59. Existe un plan de infraestructura de redes. Sí ( ) No ( )
60. Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del
procesamiento de los datos que pasan a través de las redes, y para proteger los sistemas
conectados. Sí ( ) No ( )
Sí, especificar
___________________________________________________________________________
___________________________________________________________________________
__________________________________________________________________________
61. Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y
servicios de red?
Sí ( ) No ( )
62. Existe una topología estandarizada en toda la organización. Sí ( ) No ( )
Sí, ¿De qué tipo? _____________________________________________________
63. Se sabe cuántos usuarios están conectados a la red. Sí ( ) No ( )
64. Se restringe el nivel de acceso a la información de los usuarios. Sí ( ) No ( )
65. Se registran las acciones de los usuarios. Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
66. ¿Cuenta la empresa con conexión a internet? Sí ( ) No ( )
67. Se adopto alguna estructura de seguridad. Sí ( ) No ( )
Sí, ¿Cuál? ______________________________________________________________
68. ¿Se encuentran habilitados todos los puntos de red?. Sí ( ) No ( )
69. Cuenta con herramientas necesarias para realizar auditorías. Sí ( ) No ( )
70. Se dispone de un plan de contingencia de TI. Sí ( ) No ( )
71. Existen procedimientos de respaldos de datos. Sí ( ) No ( )
Sí, ¿Cuáles? ____________________________________________________________
72. Cada qué tiempo se prueban las condiciones del UPS?
___________________________________________________________________________
73. ¿Cuánto tiempo dura encendido el UPS, cuando se corta el fluido eléctrico?
____________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 13
FORMATOS DE LAS EVALUACIÓNES AL
ÁREA DE DESARROLLO
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ÁREA DE DESARROLLO
ORDEN
1. Indique la periodicidad con que se hace la limpieza al Área de Desarrollo:
Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( )
Otra (especifique) ( ) __________________________________________
2. ¿Se tiene asignado un lugar específico para papelería y utensilios de trabajo? Sí ( ) No ( )
3. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el área?
Sí ( ) No ( )
Sí, ¿Cuál? ___________________________________________________________________
4. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición?
Sí ( ) No ( )
5. ¿Se controla el ingreso de personas ajenas al área? Sí ( ) No ( )
Sí, ¿Cómo? __________________________________________________________________
6. Mencione los casos en que personal ajeno al área ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN
7. ¿Quiénes intervienen al diseñar un sistema?
Etapas de Diseño
Análisis Diseño Codificació
n
Pruebas Puesta en marcha
Usuario
Analista
Programadores
Operadores
Gerente
Auditores internos
Asesores
Jefe de Área
Otro(s)
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
8. ¿Qué herramientas utilizan los analistas?
____________________________________________________________________________
____________________________________________________________________________
9. ¿Cuántos analistas hay y qué experiencia tienen?
____________________________________________________________________________
____________________________________________________________________________
10.¿Qué lenguaje conocen los programadores?
____________________________________________________________________________
____________________________________________________________________________
11.¿Cómo se controla el trabajo de los analistas?
____________________________________________________________________________
____________________________________________________________________________
12.¿Cómo se controla el trabajo de los programadores?
____________________________________________________________________________
____________________________________________________________________________
13.¿Qué documentación acompaña al programa cuando se entrega?
____________________________________________________________________________
____________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
CONTROLES DE ALMACENAMIENTO LOS BACKUPS
El objetivo de este cuestionario es evaluar la forma como se administra los dispositivos de
almacenamiento básico de la OTI:
1. Los locales asignados a los backups tienen:
( ) Aire acondicionado
( ) Protección contra fuego (de qué tipo) _____________________________________________
( ) Cerradura especial.
( ) Otra: ________________________________________________
2. ¿Qué información mínima contiene el inventario de backups?
( ) Número de serie o carrete.
( ) Nombre o clave del usuario.
( ) Nombre del archivo lógico.
( ) Nombre del sistema que lo genera.
( ) Fecha de generación del archivo.
( ) Fecha de explicación del archivo.
( ) Número de expiración del archivo.
( ) Número de volumen.
( ) Otros: _____________________________________________________________
3. ¿Se verifican con frecuencia la validez de los inventarios de los backups?
Sí ( ) No ( )
4. En caso de existir discrepancia entre los discos y su contenido, ¿se resuelven y explican
satisfactoriamente las discrepancias?
Sí ( ) No ( )
5. ¿Qué tan frecuentes son estas discrepancias?
_______________________________________________ al mes.
6. ¿Se tienen procedimientos que permiten la reconstrucción de un archivo en disco, el cual fue
inadvertidamente destruido? Sí ( ) No ( )
7. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de
acceso?.
Sí ( ) No ( )
¿Cómo? _______________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
8. ¿Existe un control estricto de las copias de estos archivos?
Sí ( ) No ( )
9. ¿Qué medio se utiliza para almacenarlos?
( ) Mueble con cerradura
( ) Bóveda
( ) Otro: __________________________________________________
10.Este almacén está situado:
( ) En el mismo edificio de la OTI .
( ) En otro lugar.
¿Cuál? ________________________________________________________________________
11. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan éstos?
Sí ( ) No ( )
12. ¿Se certifica la destrucción o baja de los archivos defectuosos?
Sí ( ) No ( )
13. ¿Se registran como parte del inventario los nuevos backups que recibe la biblioteca?
Sí ( ) No ( )
14. ¿Se tiene un responsable de los backups?
Sí ( ) No ( )
15. ¿Se realizan auditorías periódicas a los medios de almacenamiento?
Sí ( ) No ( )
16. ¿Qué medidas se toman en el caso de extravío de algún dispositivo de almacenamiento?
_______________________________________________________________________________
_______________________________________________________________________________
17. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado?
Sí ( ) No ( )
18. En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperación
de archivos?
Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
19. ¿Estos procedimientos los conocen los operadores?
Sí ( ) No ( )
¿Cómo los conoce?
_______________________________________________________________________________
20. ¿Con qué periodicidad se revisan estos procedimientos?
( ) Mensual ( ) Anual ( ) Semestral ( ) Otra_______________________
21. ¿Existe un responsable en caso de falla?
Sí ( ) No ( )
22. Explique qué políticas se siguen para la obtención de archivos de respaldo:
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
23. ¿Existe un procedimiento para el manejo de la información de la biblioteca de backups?
Sí ( ) No ( )
24. ¿Lo conoce y lo sigue el bibliotecario de backups?
Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 14
FORMATO DE LA EVALUACIÓN AL
ÁREA DE SOPORTE TECNICO
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
CUESTIONARIO AL ÁREA DE SOPORTE TECNICO
ORDEN
1. Indique la periodicidad con que se hace la limpieza a Soporte:
Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( )
Otra (especifique) ( ) __________________________________________
2. ¿Se tiene asignado un lugar específico para papelería y utensilios de trabajo? Sí ( ) No ( )
3. ¿Existen prohibiciones para fumar, tomar alimentos y refrescos? Sí ( ) No ( )
Sí, ¿Cuál? ___________________________________________________________________
4. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición?
Sí ( ) No ( )
5. ¿Se controla el ingreso de personas ajenas al área? Sí ( ) No ( )
Sí, ¿Cómo? __________________________________________________________________
6. Mencione los casos en que personal ajeno al área ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
1. ¿El área cuentan con planes y procedimientos de Mantenimiento? Sí ( ) No ( )
2. ¿El área cuentan con con políticas y Normas sobre seguridad?. Sí ( ) No ( )
3. El área cuenta con personal de apoyo. Sí ( ) No ( )
Sí, ¿Cuántos? ____________
4. Este personal de apoyo cuenta con los conocimientos necesarios para dar soporte.
Sí ( ) No ( )
5. ¿Se cuenta con las licencias de los software que se instalan en las PC’s?
Sí ( ) No ( )
6. ¿Existe un programa de mantenimiento preventivo para cada equipo de la UCV-Piura?
Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
7. ¿Se lleva a cabo tal programa? Sí ( ) No ( )
8. ¿Se notifican las fallas?. Sí ( ) No ( )
9. ¿Se les da seguimiento? Sí ( ) No ( )
10. ¿Se les realizan una revisión técnica correcta a los dispositivos y equipos que atiende en la
OTI?
Sí ( ) No ( )
11. ¿Existe un documento donde este especificado la relación de las funciones y obligaciones del
personal?.
Sí ( ) No ( )
12. ¿Existen procedimientos de realización de copias de seguridad y de recuperación de datos?
Sí ( ) No ( )
13. ¿Existen medidas a adoptar cuando un soporte es obsoleto o no tiene reparación?
Sí ( ) No ( )
Sí, ¿Cual? __________________________________________________________________
14. ¿Existe un período máximo de vida de las contraseñas que se utilizan en soporte para los
equipos de la UCV-Piura (administrador)?
Sí ( ) No ( )
Sí, ¿Cuánto tiempo? ______________________________
15. ¿Existen procedimientos de asignación y distribución de contraseñas? Sí ( ) No ( )
16. ¿Existe un inventario de los soportes existentes?. Sí ( ) No ( )
17. ¿Existen procedimientos de actualización de dicho inventario? Sí ( ) No ( )
18. ¿Se existe una copia del Registro de Entrada y Salida del manteniendo de equipos?
Sí ( ) No ( )
19. ¿Se determina que personas tienen llaves de acceso (clave administrador de equipo)?
Sí ( ) No ( )
Sí, ¿Cómo? _________________________________________________________________
___________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
20. Cuenta con todas las herramientas y materiales necesarias para poder realizar su trabajo.
Sí ( ) No ( )
No, ¿Por qué? ______________________________________________________________
___________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 15
FORMATO DEL CUESTIONARIO APLICADO A LA
JEFATURA DE LA OTI
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ANALISIS DEL CONTROL INTERNO
ESTRUCTURA ORGANICA
¿Se ajusta la estructura orgánica actual a las disposiciones de la sede Trujillo?
Sí ( ) No ( )
No, ¿Por qué razón? _______________________________________________________
________________________________________________________________________
OBJETIVO DE LA ESTRUCTURA
¿La estructura actual está encaminada a la consecución de los objetivos del área?
Explique en qué forma.
_______________________________________________________________________________
_______________________________________________________________________________
¿Permite la estructura actual que se lleven a cabo con eficiencia?
- ¿Las atribuciones encomendadas? Sí ( ) No ( )
- ¿Las funciones establecidas? Sí ( ) No ( )
- ¿La distribución del trabajo? Sí ( ) No ( )
- ¿El control interno? Sí ( ) No ( )
Si alguna de las respuestas es negativa, explique cuál es la razón:
_______________________________________________________________________________
_______________________________________________________________________________
NIVELES JERARQUICOS
¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo
de las actividades del área? Sí ( ) No ( )
¿Por qué o cuáles son sus recomendaciones?___________________________________
________________________________________________________________________
Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la:
- ¿Operación? Sí ( ) No ( )
- ¿Supervisión? Sí ( ) No ( )
Los niveles actuales permiten que se tengan una ágil
- ¿Comunicación ascendente? Sí ( ) No ( )
- ¿Comunicación descendente? Sí ( ) No ( )
- ¿Toma de decisiones? Sí ( ) No ( )
Si alguna de las respuestas es negativa, explique cuál es la razón.
_______________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
Se considera que algunas áreas deberían tener:
- ¿Mayor jerarquía? Sí ( ) No ( )
- ¿Menor jerarquía? Sí ( ) No ( )
Porque razón ___________________________________________________________________
_______________________________________________________________________________
DEPARTAMENTALIZACION
¿Se consideran adecuados los departamentos, áreas en que está dividida actualmente la
estructura de la OTI ? Sí ( ) No ( )
No, ¿Por qué razón? _____________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
¿El área y sus subáreas tienen delimitadas con claridad sus responsabilidades?
Sí ( ) No ( )
No, ¿Qué efectos provoca esta situación? _____________________________________________
_______________________________________________________________________________
PUESTOS
¿Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus
funciones?
Sí ( ) No ( )
No, ¿Por qué razón?_______________________________________________________
________________________________________________________________________
¿El número de empleados que trabajan actualmente es adecuado para cumplir con las funciones
encomendadas?
Sí ( ) No ( )
NOTA.- Especifique el número de personas que reportan a las personas que a su vez reportan a
cada puesto:
- Jefatura ( )
- Jefes de área ( )
- Personal ( )
¿El número de personas es el adecuado en cada uno de los puestos? Sí ( ) No ( )
¿Por qué? _______________________________________________________________
________________________________________________________________________
No, ¿Cuál es el número de personal que consideraría adecuado (señale el puesto o los
puestos)?________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
________________________________________________________________________
EXPECTATIVAS
¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente? Sí ( ) No ( )
Si, ¿Por qué razón? ________________________________________________________
________________________________________________________________________
¿Cuál es la estructura qué propondría?
_______________________________________________________________________________
_______________________________________________________________________________
De realizar una modificación a la estructura, ¿Cuándo considera que debería hacerse?
_______________________________________________________________________________
AUTORIDAD
¿Se encuentra definida adecuadamente la línea de autoridad? Sí ( ) No ( )
No, ¿Por qué razón? _______________________________________________________
¿La autoridad va de acuerdo a la responsabilidad? Sí ( ) No ( )
No, ¿Por qué razón? _______________________________________________________
¿En qué área se ha presentado conflictos por el ejercicio de la autoridad? Sí ( ) No ( )
Si, explique en qué casos ___________________________________________________
________________________________________________________________________
¿Existe en el área algún sistema de sugerencias y quejas por parte del personal? Sí ( ) No ( )
EXISTENCIA
¿Se han establecido las funciones de las áreas? Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
________________________________________________________________________
¿Las funciones están de acuerdo con las atribuciones legales? Sí ( ) No ( )
¿Por qué no están de acuerdo? ______________________________________________
________________________________________________________________________
Sugerencias ____________________________________________________________________
_______________________________________________________________________________
¿Están por escrito en algún documento las funciones de las áreas? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Cuál es la forma de darlas a conocer?
_______________________________________________________________________________
¿Quién elaboro las funciones?
_______________________________________________________________________________
¿Participo el área en su formulación? Sí ( ) No ( )
¿Por qué causas no participo?________________________________________________
COINCIDENCIAS
¿Las funciones están encaminadas a la consecución de los objetivos institucionales e internos?
Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
Sugerencias ______________________________________________________________
________________________________________________________________________
¿Las funciones del área están acorde al reglamento interior? Sí ( ) No ( )
No, ¿En qué considera que difieren?___________________________________________
¿Conocen otras áreas las funciones del área? Sí ( ) No ( )
¿Por qué no?_____________________________________________________________
ADECUADAS
¿Son adecuadas a la realidad las funciones? Sí ( ) No ( )
¿Por qué no son adecuadas? ________________________________________________
¿Son adecuadas a las necesidades actuales? _________________________________________
¿Por qué no? _____________________________________________________________
¿Cuáles son sus principales limitaciones?
_______________________________________________________________________________
Sugerencias
_______________________________________________________________________________
¿Están adecuadas a la carga de trabajo? Sí ( ) No ( )
¿Existen conflictos por las cargas de trabajo desequilibradas? Sí ( ) No ( )
¿De qué tipo? ____________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Se tiene contemplada la desconcentración? Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
________________________________________________________________________
¿Cómo afecta la desconcentración a las funciones?
_______________________________________________________________________________
_______________________________________________________________________________
¿Participo la Jefatura de la OTI en su elaboración? Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
________________________________________________________________________
CUMPLIMIENTO
¿Están delimitadas las funciones? Sí ( ) No ( )
¿A nivel de área? ( ) ¿A nivel de puesto? ( )
No, ¿por qué? ____________________________________________________________
________________________________________________________________________
¿Las actividades que realiza son acordes a las funciones que tienen asignadas? Sí ( ) No ( )
No, ¿Qué tipo de actividades realiza que no están acorde a las funciones asignadas?
________________________________________________________________________
________________________________________________________________________
¿Cuál es la causa?_________________________________________________________
¿Quién las ordena?________________________________________________________
¿Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas?
Sí ( ) No ( )
No, ¿Cuál es su grado de cumplimiento?________________________________________
________________________________________________________________________
La falta de cumplimiento de las funciones es por: (marque las que ocurra)
( ) Falta de personal.
( ) Personal no capacitado.
( ) Cargas de trabajo excesivas.
( ) Porque realiza otras actividades.
( ) La forma en que las ordena.
¿Cuáles funciones realiza en forma:
Periódicas?_______________________________________________________________
________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
Sistemáticas?_____________________________________________________________
________________________________________________________________________
Otras?___________________________________________________________________
¿Tienen programas y tareas encomendadas? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
________________________________________________________________________
¿Permiten cumplir con los programas y tareas encomendadas (necesidades de operación)?
Sí ( ) No ( )
No, ¿Por qué causas? ______________________________________________________
________________________________________________________________________
¿Quién es el responsable de ordenar que se ejecuten las actividades?
_______________________________________________________________________________
En caso de realizar otras actividades, ¿Quién ordena y autoriza?
_______________________________________________________________________________
En caso de no encontrarse el jefe, ¿Quién lo puede realizar?
_______________________________________________________________________________
APOYOS
¿Para cumplir con sus funciones requiere de apoyo de otras áreas? Sí ( ) No ( )
Si, ¿De qué tipo? __________________________________________________________
¿Cuál es el área que proporciona el apoyo?_____________________________________
¿Se le proporcionan con oportunidad? Sí ( ) No ( )
No, ¿Qué le ocasiona?______________________________________________________
No, ¿Cómo resuelve esa falta de apoyo?_______________________________________
¿Con que frecuencia lo solicita?
_______________________________________________________________________________
Para cumplir con sus funciones, ¿Proporciona apoyos a otras áreas? Sí ( ) No ( )
Si, ¿Qué tipo de apoyo proporciona?___________________________________________
¿A cuántas áreas? _________________________________________________________
¿Cuáles son? _____________________________________________________________
DUPLICIDAD
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Existe duplicidad de funciones en otras áreas? Sí ( ) No ( )
Si, ¿Cuáles y donde? ______________________________________________________
________________________________________________________________________
¿Qué conflictos ocasiona? _________________________________________________________
¿La duplicidad de funciones se debe a que el área no puede realizarlos? Sí ( ) No ( )
Si, ¿Cuál es la razón? ______________________________________________________
No, ¿Cuál es su función al respecto? __________________________________________
¿Se puede eliminar funciones? Sí ( ) No ( )
Si, ¿Cuáles? _____________________________________________________________
¿Se puede transferir funciones? Sí ( ) No ( )
Si, ¿Cuáles y adonde? _____________________________________________________
¿Permite la duplicidad que se dé el control interno? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
OBJETIVOS
¿Se han establecido objetivos para la OTI? Sí ( ) No ( )
¿Quién los estableció? _____________________________________________________
¿Cuál es el método para el establecimiento de los objetivos?
_______________________________________________________________________________
¿Participo el área en su establecimiento? Sí ( ) No ( )
¿Cuáles fueron las principales razones de la selección de los objetivos?
_______________________________________________________________________________
Los objetivos establecidos son congruentes con:
- Los de la dirección. Sí ( ) No ( )
- Los de la subdirección. Sí ( ) No ( )
- Los del departamento/oficina. Sí ( ) No ( )
- Los de otros departamentos/oficinas. Sí ( ) No ( )
¿Por qué no se han establecido objetivos para el área?
_______________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Nadie le exige establecerlos? Sí ( ) No ( )
¿Considera importante que se establezcan? Sí ( ) No ( )
¿Es responsabilidad de otra área establecer los objetivos? Sí ( ) No ( )
¿Cuál?__________________________________________________________________
¿De qué manera planea el trabajo del área?___________________________________________
FORMALES
¿Se han definido por escrito los objetivos del área? Sí ( ) No ( )
¿En qué documento? ______________________________________________________
¿Por qué no están definidos por escrito? ______________________________________________
¿Qué problemas se han derivado de esta situación? ____________________________________
CONOCIMIENTO
¿Se han dado a conocer los objetivos? Sí ( ) No ( )
¿A quién se han dado a conocer? ___________________________________________________
¿Quién más debería conocerlo?
_______________________________________________________________________________
¿Qué método se ha utilizado para dar a conocer los objetivos?
_______________________________________________________________________________
¿Por qué no se han dado a conocer los objetivos? ______________________________________
_______________________________________________________________________________
¿Considera importante que los conozca el personal? Sí ( ) No ( )
¿Cómo afecta la operación del área el hecho de que los objetivos no se hayan dado a conocer o
que su conocimiento sea parcial?
_______________________________________________________________________________
_______________________________________________________________________________
ADECUADOS
¿Abarcan los objetivos toda la operación del área? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Qué aspectos no se cubren? ______________________________________________________
¿Los objetivos son claros y precisos? Sí ( ) No ( )
¿Son realistas? Sí ( ) No ( )
¿Se pueden alcanzar? Sí ( ) No ( )
¿Por qué? _______________________________________________________________
¿Están de acuerdo con las funciones del área? Sí ( ) No ( )
¿Señalan cuales son las realizaciones esperadas? Sí ( ) No ( )
¿Son congruentes con los objetivos organizacionales? Sí ( ) No ( )
¿Sirven de guía al personal? Sí ( ) No ( )
¿Sirven para motivar al personal? Sí ( ) No ( )
¿Se han establecido para el corto, mediano y largo plazo? Sí ( ) No ( )
¿Qué adecuaciones puede sugerir para los objetivos actuales?
_______________________________________________________________________________
CUMPLIMIENTO
¿En qué grado se cumplen los objetivos? _____________________________________________
¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos? Sí ( ) No ( )
Sí, ¿cuáles? ______________________________________________________________
No, ¿de qué manera se establece el grado de cumplimiento?_______________________
________________________________________________________________________
¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de los objetivos?
Sí ( ) No ( )
¿Para quién y con qué frecuencia? ____________________________________________
________________________________________________________________________
¿Quién elabora este reporte? ________________________________________________
¿Qué se hace en caso de desviación en el cumplimiento de los objetivos?
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
_______________________________________________________________________________
_______________________________________________________________________________
¿Qué sugerencias puede hacer para lograr el cumplimiento total de los objetivos?
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
ACTUALIZACIÓN
¿Se revisan los objetivos? Sí ( ) No ( )
Quién revisa los objetivos? _______________________________________________________
¿De qué manera se lleva a cabo la revisión? __________________________________________
______________________________________________________________________________
¿Participa el área en la actualización de los objetivos? Sí ( ) No ( )
¿Cuándo se hizo la última revisión de los objetivos?
______________________________________________________________________________
¿De qué manera se incorporan las modificaciones derivadas de las revisiones?
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 16
FORMATO DE LA ENTREVISTA APLICADA A LOS
JEFES DE LAS ÁREAS DE LA OTI
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ENTREVISTA CON LOS JEFES DE ÁREA
EVALUACIÓN DE LOS RECURSOS HUMANOS DE LA OTI N°: ……..….
Área: ………….…….……………………………. Cargo: ……………………….………………………….
Marque con una ( x ) la alternativa que usted considera la más adecuada. Escribir de forma clara;
usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se dará por
anulada su respuesta.
El siguiente cuestionario es para obtener información de los siguientes aspectos:
DESEMPEÑO Y CUMPLIMIENTO
¿Se deja de realizar alguna actividad por falta de personal? Sí ( ) No ( )
¿Está capacitado el personal para realizar con eficacia sus funciones? Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
¿Es eficaz en el cumplimiento de sus funciones? Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
Los usuarios reportan los mismos problemas Sí ( ) No ( )
Marque los problemas por lo suelen llamar:
Problemas con la PC ( ) Problemas con la red ( ) Problemas con la impresora ( )
Problemas con el sistema(s) ( ) Problemas de inicio de sesión ( ) Otro ( )
¿Cual?.....................................................................................................................................
Con qué frecuencia:
( ) 1 vez a la semana ( ) 2 veces a la semana ( ) 1 vez al mes ( ) 2 veces al mes
En general, ¿Acata el personal las políticas y procedimientos establecidos? Sí ( ) No ( )
En caso responda NO, especifique las situaciones que no permiten acatar lo antes indicado
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo?
Sí ( ) No ( )
Si, ¿Qué se hace al respecto? _______________________________________________
¿Respeta el personal la autoridad establecida? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Por qué no? _____________________________________________________________
¿Presenta el personal sugerencias para mejorar el desempeño actual? Sí ( ) No ( )
CAPACITACIÓN
Los programas de capacitación incluyen al personal de:
Área N° de capacitados
¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área?
Sí ( ) No ( )
¿Por qué no? _____________________________________________________________
¿Se desarrollan programas de capacitación de Seguridad de la Información para el personal del
área? Sí ( ) No ( )
No, ¿por qué? ____________________________________________________________
¿Apoya la Jefatura la realización de estos programas? Sí ( ) No ( )
¿Se evalúan los resultados de los programas de capacitación? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
________________________________________________________________________
SUPERVISIÓN
¿Se supervisa al personal? Sí ( ) No ( )
¿Por qué no se realiza? _____________________________________________________
¿Cómo se controlan el ausentismo y tardanzas del personal?
_______________________________________________________________________________
¿Cómo se evalúa el desempeño del personal?
_______________________________________________________________________________
¿Por qué no se evalúa? _____________________________________________________
¿Cuál es la finalidad de la evaluación del personal?
_______________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
LIMITACIONES
¿Cuáles son los principales factores internos que limitan el desempeño del personal?
_______________________________________________________________________________
¿Cuáles son los principales factores externos que limitan el desempeño del personal del área?
_______________________________________________________________________________
¿Cuál es el índice de rotación de personal en:
- Redes ( )
- Soporte ( )
- Académico ( )
- Desarrollo ( )
En términos generales, ¿Se adapta el personal al mejoramiento administrativo (resistencia al
cambio)?
Sí ( ) No ( )
¿Cuál es el grado de asistencia y puntualidad del personal? ______________________________
¿Se cuenta con una política uniforme y consistente para sancionar la indisciplina del personal?
Sí ( ) No ( )
¿Puede el personal presentar quejas y/o problemas? Sí ( ) No ( )
Sí, ¿Cómo se soluciona? ____________________________________________________
¿Otras áreas externas presentan quejas sobre la capacidad y/o atención del personal del área?
Sí ( ) No ( )
Sí, ¿qué tratamiento se les da? _______________________________________________
________________________________________________________________________
¿Cuáles son las principales causas de faltas, tardanzas o ausentismos?
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
CONDICIONES DE TRABAJO
¿El personal del área conoce el reglamento interno de trabajo? Sí ( ) No ( )
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
¿Se apoyan en él para solucionar los conflictos laborales? Sí ( ) No ( )
No, ¿por qué? ____________________________________________________________
REMUNERACIONES
¿Está adecuadamente remunerado con respecto a:
- Trabajo desempeñado? Sí ( ) No ( )
- Puestos similares en otras organizaciones? Sí ( ) No ( )
- Puestos similares en otras áreas? Sí ( ) No ( )
Sí, ¿cómo repercute? _________________________________________________________
No, ¿cómo repercute? _________________________________________________________
AMBIENTE
¿El personal está integrado como equipo de trabajo? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
¿Son adecuadas las condiciones ambientales con respecto a:
Espacio del área? Sí ( ) No ( )
Iluminación? Sí ( ) No ( )
Ventilación? Sí ( ) No ( )
Equipo de oficina? Sí ( ) No ( )
Mobiliario? Sí ( ) No ( )
Ruido? Sí ( ) No ( )
Limpieza y/o aseo? Sí ( ) No ( )
Instalaciones sanitarias? Sí ( ) No ( )
Instalaciones de comunicación? Sí ( ) No ( )
ORGANIZACIÓN DEL TRABAJO
¿Participa en la selección del personal? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
¿Se prevén las necesidades de personal con anterioridad?
¿En cantidad? Sí ( ) No ( )
¿En calidad? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
¿Está prevista la sustitución del personal clave? Sí ( ) No ( )
No, ¿Por qué? ____________________________________________________________
DESARROLLO Y MOTIVACIÓN
¿Cómo se realiza la motivación del personal del área?
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
_______________________________________________________________________________
¿Cómo se estimula y se recompensa al personal del área?
_______________________________________________________________________________
¿Existe oportunidad de ascenso o de ser promovido? Sí ( ) No ( )
¿Qué política hay al respecto? ______________________________________________________
_______________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 17
FORMATO DE LA ENTREVISTA CON EL
PERSONAL DE LA OTI
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
ENTREVISTAS CON EL PERSONAL DE LA OTI
1. Nombre del puesto.
____________________________________________________________________________
2. Fecha en que inicio a trabajar en el área (Mes / Año) _________ / ___________
3. Puesto del jefe inmediato.
____________________________________________________________________________
4. Puestos a que reporta.
____________________________________________________________________________
____________________________________________________________________________
5. Puestos de las personas que reportan al entrevistado.
____________________________________________________________________________
____________________________________________________________________________
6. Número de personas que reportan al entrevistado: _________________________________
7. Describa brevemente las actividades diarias de su puesto.
____________________________________________________________________________
____________________________________________________________________________
8. Actividades periódicas.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
9. Actividades eventuales.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
10.¿Con qué manuales cuenta para el desempeño de su puesto?
____________________________________________________________________________
____________________________________________________________________________
11.¿Qué políticas se tiene establecidas para el puesto?
Elaborada por: Marco Antonio Riega Reto
Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las T.I. en la UCV - Piura
____________________________________________________________________________
____________________________________________________________________________
12.Señale los vacios (falta de interés o importancia) que considere que existe en la organización.
___________________________________________________________________
____________________________________________________________________________
13.Cuenta con cargas de trabajo, ¿Cómo cuales?
____________________________________________________________________________
____________________________________________________________________________
14.¿Cómo las controla?
____________________________________________________________________________
____________________________________________________________________________
15.¿Cómo se deciden las políticas que han de implantarse?
____________________________________________________________________________
____________________________________________________________________________
16.¿Cómo recibe las instrucciones de los trabajos encomendados?
____________________________________________________________________________
____________________________________________________________________________
17.¿Con qué frecuencia recibe capacitación y de qué tipo?
____________________________________________________________________________
____________________________________________________________________________
18.¿Sobre qué tema le gustaría recibir capacitación?
____________________________________________________________________________
____________________________________________________________________________
19.Mencione la(s) capacitación(es) obtenida durante el último año?
____________________________________________________________________________
____________________________________________________________________________
20.Observaciones.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Elaborada por: Marco Antonio Riega Reto
ANEXO N° 18
PAPELES DE TRABAJO
Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
El día 30/10/2009 a las 17:55 solicité al Jefe de la OTI la documentación que detallo en el Formato
de Solicitud de Documentación (Ver Anexo N° 7); el jefe de la OTI sólo me proporcionó la siguiente
documentación:
El Manual de Organización y Funciones.
El plan Operativo de la OTI 2009.
Inventario de hardware de la Universidad César Vallejo - Piura.
M.A.R.R.: 25/Nov./2009 Código: 001J.M.E.S.: 30/Nov./2009
Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Los días 24/09/2009 y 25/09/2009 cumpliendo con el desarrollo de la “Auditoría basada en
ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad
César Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la segunda fase: LA
MEDICIÓN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:
EVALUACION Y TRATAMIENTO DEL RIESGO, se encontró la siguiente deficiencia:
- DEFICIENCIA N° 001: No se ha identificado que la UCV Piura cuente con una Política de Seguridad de Información
(VER ANEXO N° 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009 Código: 002J.M.E.S.: 30/Nov./2009
Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Los días del 29/09/09 al 30/09/09 cumpliendo con el desarrollo de la “Auditoría basada en ISO/IEC
17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César
Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la segunda fase: LA
MEDICIÓN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:
ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, se encontraron las siguientes deficiencias:
- DEFICIENCIA N° 002: La UCV Piura carece de una organización adecuada de seguridad de
información.
- DEFICIENCIA N° 003: La UCV Piura carece de un proceso de autorización para la gestión de
cada nuevo recurso de tratamiento de la información.
- DEFICIENCIA N° 004: La UCV Piura carece de requerimientos de confidencialidad o acuerdos
de no divulgación.
- DEFICIENCIA N° 005: La UCV Piura no mantiene contacto apropiado con autoridades
relevantes.
- DEFICIENCIA N° 006: No se desarrollan actividades relacionadas a la revisión de objetivos de
control, controles, políticas, procesos y procedimientos para seguridad de información.
- DEFICIENCIA N° 007: La UCV Piura no cuenta con acuerdos de terceras partes que cubran
todos los requisitos de seguridad relevantes.
(VER ANEXO N° 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009 Código: 003J.M.E.S.: 30/Nov./2009
Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Los días del 02/10/09 al 05/10/09 cumpliendo con el desarrollo de la “Auditoría basada en ISO/IEC
17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César
Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
GESTIÓN DE ACTIVOS, se encontró la siguiente deficiencia:
- DEFICIENCIA N° 008: La UCV Piura no mantiene sus activos claramente identificados ni
mantiene un inventario actualizado de todos activos importantes.
(VER ANEXO N° 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009 Código: 004J.M.E.S.: 30/Nov./2009
Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Los días del 06/10/09 al 08/10/09 cumpliendo con el desarrollo de la “Auditoría basada en ISO/IEC
17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César
Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
SEGURIDAD EN RECURSOS HUMANOS, se encontraron las siguientes deficiencias:
- DEFICIENCIA N° 009: La UCV Piura no cuenta con las funciones y responsabilidades de los
empleados, contratistas y terceros definidas y documentadas en concordancia con la política de
seguridad de la organización.
- DEFICIENCIA N° 010: La UCV Piura no proporciona entrenamiento a los empleados, contratistas
y usuarios en políticas y procedimientos organizacionales.
- DEFICIENCIA N° 011: La UCV Piura carece de un proceso formal disciplinario para empleados
que han cometido un apertura en la seguridad.
- DEFICIENCIA N° 012: La UCV Piura no cuenta con un procedimiento formal para las
responsabilidades, para realizar la finalización de un empleo o el cambio de este que estén
claramente definidas y asignadas.
(VER ANEXO N° 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009 Código: 005J.M.E.S.: 30/Nov./2009
Universidad César Vallejo – PiuraExamen a la Oficina de Tecnologías de Información.Del 05/Sep./2009 al 01/Dic./2009.Auditoría basada en ISO/IEC 17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César Vallejo - Piura.
Los días del 09/10/09 al 12/10/09 cumpliendo con el desarrollo de la “Auditoría basada en ISO/IEC
17799 para la gestión de seguridad de las Tecnologías de Información en la Universidad César
Vallejo – Piura”, siguiendo la metodología COSO, se procedió a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
SEGURIDAD FÍSICA Y AMBIENTAL, se encontraron las siguientes deficiencias:
- DEFICIENCIA N° 013: La UCV Piura no cuenta con controles sofisticados para el acceso al
perímetro de seguridad.
- DEFICIENCIA N° 014: La UCV Piura no cuenta con equipos contra fallos de energía u otras
anomalías eléctricas.
- DEFICIENCIA N° 015: La OTI no cuenta con un plan o cronograma de mantenimiento preventivo
para los equipos.
- DEFICIENCIA N° 016: No se brinda seguridad a los equipos que se encuentran fuera de los
locales de la organización tomando en cuenta los diversos riesgos a los que se está expuesto.
- DEFICIENCIA N° 017: En la UCV Piura no se revisan los dispositivos de almacenamiento, con el
fin de asegurar que cualquier dato sensible y software con licencia haya sido removido o
sobrescrito con seguridad antes de la eliminación.
- DEFICIENCIA N° 018: En la UCV Piura los equipos, información o software son extraídos del
local sin autorización.
(VER ANEXO N° 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009 Código: 006J.M.E.S.: 30/Nov./2009
ANEXO N° 19
INFORME FINAL
INFORME
“Auditoría basada en ISO/EIC 17799 para la gestión de la
seguridad de las Tecnologías de Información en la
Universidad César Vallejo”
RESPONSABLE:
Marco Antonio Riega Reto.
PERÍODO:
Del 12 de septiembre de 2009 al 03 de diciembre de 2009
FECHA DE EMISIÓN:
03 de Diciembre de 2009.
Piura, 03 de Diciembre de 2009
Ingeniero
Aldo Alexis Avalos Córdova
Jefe de la Oficina de Tecnologías de Información.
Sirva la presente para saludarle cordialmente y comunicarle que adjunto encontrará el Informe de
la Auditoría practicada a la Oficina de Tecnologías de Información desarrollada del 12 de
Septiembre de 2009 al 03 de Diciembre de 2009.
El examen se efectuó en ejercicio de desarrollo de mi tesis titulada: “Auditoría basada en ISO/EIC
17799 para la gestión de la seguridad de las Tecnologías de Información en la Universidad César
Vallejo - Piura”.
Como resultado del examen se encontraron y evidenciaron situaciones que contravienen lo
dispuesto por la Norma, las mismas que se constituyeron como deficiencias.
Atentamente,
Marco Antonio Riega Reto
DNI: 44027028
Estructura del Informe
Objetivo de la Auditoría....................................................................................................................1
Objetivos específicos.....................................................................................................................166
Alcance de la Auditoría..................................................................................................................166
Metodología de la auditoria..........................................................................................................166
Desarrollo..........................................................................................................................................2
Equipo auditor...................................................................................................................................2
Áreas auditadas.................................................................................................................................2
Marco legal........................................................................................................................................2
Comentarios de importancia.............................................................................................................2
Campos del formato de deficiencia...................................................................................................3
Deficiencias.......................................................................................................................................4
Conclusiones...................................................................................................................................62
OBJETIVO DE LA AUDITORÍA
Auditar la gestión de la seguridad de las Tecnologías de Información en la UCV-Piura.
OBJETIVOS ESPECÍFICOS
Verificar el cumplimiento de los dominios establecidos en la norma.
Presentar un informe final detallando las deficiencias estructuradas en: condición, criterio(s),
causa(s), efecto(s) y recomendación(es), para que éstas sean tomadas en cuenta en la toma
de decisiones.
ALCANCE DE LA AUDITORÍA
El alcance de la evaluación comprende los 11 Dominios de control de seguridad de la ISO/EIC
17799 las cuales son:
a) Política de seguridad.- evaluar la dirección y soporte de la gestión de la seguridad de la
información en concordancia con los requerimientos del negocio.
b) Organizando la seguridad de información.- evaluar la gestión de seguridad de la información
dentro de la organización.
c) Gestión de activos.- evaluar la protección adecuada sobre los activos de la organización.
d) Seguridad en recursos humanos.- evaluar a los empleados, contratistas y terceros, si estos
entienden sus responsabilidades y que sean adecuados para los roles que han sido
considerados.
e) Seguridad física y ambiental.- evaluar los accesos no autorizados, daños e interferencias
contra los locales y la información de la organización.
f) Gestión de comunicaciones y operaciones.- evaluar la operación correcta y segura de los
recursos de tratamiento de información.
g) Control de acceso.- evaluar los controles de acceso a la información.
h) Adquisición, desarrollo y mantenimiento de sistemas de información.- evaluar si la
seguridad está incluida en los sistemas de información.
i) Gestión de incidentes de los sistemas de información.- evaluar que los eventos y
debilidades de la seguridad de la información sean comunicados de una manera que permita
que se realice una acción correctiva a tiempo.
j) Gestión de la continuidad del negocio.- evaluar la reacción a la interrupción de actividades
del negocio y proteger sus procesos críticos frente a grandes fallos de los sistemas de
información o desastres.
METODOLOGÍA DE LA AUDITORIA
Esta Auditoría se realizó teniendo como marco de referencia la Metodología COSO (Comité de
organizaciones patrocinadoras de la comisión Treadway), como criterio para el Control Interno, y
la NTP ISO/IEC 17799 como marco normativo en la implementación de seguridad de información.
Este procedimiento nos indica que debemos evaluar y obtener evidencias objetivas del
cumplimiento o no cumplimiento con el Estándar, por medio de:
a) Entrevista con los usuarios.
b) Revisión de documentos
c) Revisión de las actividades
d) Demostración de la propia actividad.
DESARROLLO
Del 12 de septiembre de 2009 al 03 de diciembre de 2009 se desarrolló la auditoría para la gestión
de la seguridad de las Tecnologías de Información, llevando a cabo la agenda de trabajo definida
previamente con el equipo auditor.
En cada una de las áreas de trabajo se aplicaron las listas de verificación previamente diseñadas
por el auditor, durante la jornada de trabajo se entrevistaron, además de los responsables de las
áreas y departamentos, al personal que contribuye o participa directa e indirectamente en los
procesos auditados utilizando la metodología descrita con anterioridad.
EQUIPO AUDITOR
El equipo auditor estuvo conformado por 2 personas, de las cuales uno es Supervisor y un auditor
Junior, quedando el equipo de la siguiente manera:
Supervisor: Ingeniero Juan Miguel Espinoza Saucedo.
Auditor Junior: Marco Antonio Riega Reto.
ÁREAS AUDITADAS
Área Redes y Comunicaciones.
Área de Soporte Técnico.
Área de Desarrollo.
Áreas usuarios de los servicios de la OTI.
MARCO LEGAL
La auditoría se realizó en base a la NTP ISO/IEC 17799:2007: EDI. Tecnología de la información.
Código de buenas prácticas para la gestión de la seguridad de la información. 2a. ed. 173 p.
Esta Norma Técnica Peruana establece recomendaciones para desarrollar una gestión de la
seguridad de la información que pueda utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una organización. Persigue proporcionar una base común para
desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones.
COMENTARIOS DE IMPORTANCIA
Se encontró que los activos y la documentación están claramente identificados y se mantiene
un inventario de todos los activos importantes.
Durante el desarrollo de la auditoría, se observó que los elementos que integran el equipo de
trabajo de la OTI interactúan de forma constante.
Que los Principios Básicos: Lealtad, Trabajo en equipo, Responsabilidad, Calidad de servicio,
Tolerancia e Innovación descritos en el MOF, forma parte de cada de uno de los elementos que
integra la OTI.
Se realizan reuniones mensuales con el equipo de trabajo, pero estas no son documentadas
con el fin de evidenciarlas, recomendaría que se cree un acta por reunión efectuada.
La OTI – Piura por formar parte de una filial y dependiente de la principal de Trujillo, debería
contar con una copia de los registros de adquisición de licencias que se tiene por software al
DTI-Trujillo, teniendo en cuenta: el proveedor, propietario, la duración de la licencia, número de
actualizaciones permitidas, número de equipos permitidos para su instalación y copia de factura
emitida.
En la OTI se realizan las instalaciones de los distintos software, programas o aplicaciones que
se deben o deberían estar instalados en las PC’s o laptops de una manera insegura e
imprecisa, para una adecuada administración del software, programas o aplicaciones a instalar,
sugiero tener un registro de los mismos por cargo y área.
La UCV-Piura cuenta con personas capacitadas en conocimientos básicos en computación,
pero estas son pocas, con los años que ya tiene forma la misma, se debería tomar en cuenta
que el personal administrativo, que no cuente con los conocimientos básicos en computación y
que utilice o tenga a cargo alguna PC u otro equipo tecnológico, sea capacitado o se capacite
en el uso del mismo.
La OTI se encarga de administrar las T.I. de toda la UCV-Piura y otras empresas como San
Antonio, Santa Rosa, que pertenecen a los propietarios de la universidad, situación que limita
el adecuado y oportuno soporte que frente a los problemas de T.I. que se presentan en las
unidades organizacionales de la Universidad, ya que generalmente la OTI no cuenta con el
suficiente personal para atender los diferentes problemas Tecnológicos de las otras empresas
o centros productivos que no forman parte del UCV-Piura.
CAMPOS DEL FORMATO DE DEFICIENCIA
Detalle:
- Condición: “Lo que es” Situación o hecho evidenciado.
- Criterio: “Lo que debe ser” Marco de referencia con el que se compara la condición para
encontrar divergencias. Ley, reglamento, norma de control interno.
- Causa: “Por qué” El origen de la condición observada.
- Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio, el efecto
tendrá un resultado positivo o negativo
- Recomendación: “Arregla la condición” La recomendación se emite con la idea de mejorar o
anular la condición y llegar al criterio atacando la causa y arreglar el efecto para futuras
situaciones.
DEFICIENCIA N° 001
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA24
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se ha identificado que la UCV Piura cuente con una Política de Seguridad de Información
Criterio:
NTP-ISO/IEC 17799: 4. EVALUACION Y TRATAMIENTO DEL RIESGO, 4.1.- La gerencia debería
aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de política
de seguridad de la información.
Causa(s):
- La OTI no se basa en ninguna norma o estándar para poder desempeñar sus funciones.
- No contar con el tiempo y personal suficientemente capacitado en la seguridad de la información.
Efecto(s):
- Que el personal de la UCV Piura no conozca las disposiciones necesarias que permitan salvaguardar la
Seguridad de la Información.
Recomendaciones:
- La implementación, aprobación, publicación y divulgación de la Política de Seguridad de la Información.
- Que una vez que se implemente la Política de Seguridad de Información, ésta debe ser revisada en
intervalos planificados, para lo cual es conveniente implementar un procedimiento de actualización para
la Política de Seguridad de Información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 002
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA29
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura carece de una organización adecuada de seguridad de información.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.1.- La gerencia debe
apoyar activamente en la seguridad dentro de la organización a través de direcciones claras
demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la
seguridad de información;
Causa(s):
- La UCV Piura no se basa en ninguna norma o estándar para poder administrar las T.I.
- La alta Dirección de la UCV Piura carece de los conocimientos de seguridad de información
necesarios.
Efecto(s):
- Inadecuada administración de la seguridad de información.
- No contar con los planes de: seguridad de información y continuidad del negocio.
Recomendaciones:
- Que la Dirección General de la UCV-Piura establezca las responsabilidades de seguridad de
información ya sea a través de un puesto organizacional específico como “Oficial de Seguridad de la
Información”, ó mediante la creación de un área organizacional de seguridad de la información, así
como también mediante la creación de un Comité de Seguridad de Información.
- Se formalice la constitución de un comité de seguridad de la información, el mismo que deberá estar
compuesto por representantes tanto de las áreas administrativas como académicas de la entidad.
Este comité deberá ser liderar por la alta dirección de la entidad.
- Que las responsabilidades que se asignen al Área ó al Oficial de Seguridad de la información sean
concordantes con la política de seguridad de la información de la UCV-Piura.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 003
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA29
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura carece de un proceso de autorización para la gestión de cada nuevo recurso de
tratamiento de la información.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.4.- Debería
establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la
información.
Causa(s):
- La alta Dirección de la UCV Piura carece de los conocimientos de seguridad de información necesarios.
Efecto(s):
- Inadecuada administración de los nuevos recursos de tratamiento de la información.
- Pérdidas económicas.
Recomendaciones:
Se recomienda que se implemente un proceso de autorización para la gestión de recursos de
información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 004
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA29
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura carece de requerimientos de confidencialidad o acuerdos de no divulgación.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.5.- Requerimientos de
confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la organización para la
protección de información deben ser identificadas y revisadas regularmente.
Causa(s):
No contar con un Políticas de seguridad.
Efecto(s):
Divulgación de información confidencial.
Recomendaciones:
Se recomienda se implementen acuerdos ó clausulas de confidencialidad tanto en los contratos, o
convenios con el personal y entidades externas.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 005
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA30
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no mantiene contacto apropiado con autoridades relevantes.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.6.- Deben ser
mantenidos contactos apropiados con autoridades relevantes.
Causa(s):
No contar con el Plan de continuidad del Negocio.
Efecto(s):
No saber las actividades que se deben desarrollar, así como a quién acudir o llamar en caso de una
emergencia física y lógica.
Recomendaciones:
- Se recomienda que se cree y se mantenga actualizada una lista de contactos apropiados como:
Defensa Civil, Cruz Roja, Bomberos y Proveedores de hardware y software, entre otros, que
administren o estén involucrados con los procesos o recursos críticos de información.
- Una creada la lista de contactos, se debe mantenerse contactos apropiados con grupos de interés
especial u otros especialistas en foros de seguridad y asociaciones profesionales.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 006
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA30
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se desarrollan actividades relacionadas a la revisión de objetivos de control, controles, políticas,
procesos y procedimientos para seguridad de información.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.8.- El alcance de la
organización para gestionar la seguridad de información y su implementación (objetivos de control,
controles, políticas, procesos y procedimientos para seguridad de información) deben ser revisados
independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de
la seguridad ocurran.
Causa(s):
- No contar con los conocimientos de seguridad de información necesarios por parte de la OTI.
- No contar con el suficiente tiempo y personal para el desarrollo de los mismos.
Efecto(s):
Inadecuada administración de las T.I.
Recomendaciones:
- Se recomienda la implementación, formalización y mantenimiento de los controles, políticas, procesos y
procedimientos para seguridad de información, los mismos que deberían ser actualizados
periódicamente o cuando se implemente un cambio significativo en la plataforma tecnológica.
- También se recomienda que se desarrolle un análisis y evaluación de riesgos asociados con el acceso
a la información de la entidad que tenga los terceros.
- Anexar los requisitos identificados de seguridad antes de dar a los clientes acceso a la información o a
los activos de la organización.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 007
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA30
MESSetiembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con acuerdos de terceras partes que cubran todos los requisitos de seguridad
relevantes.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIÓN, 6.11.- Los acuerdos con
terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la
organización o de las instalaciones de procesamiento de información o la adición de productos o
servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.
Causa(s):
- No contar con los conocimientos de seguridad de información necesarios.
- No contar con un Plan de Seguridad de Información.
Efecto(s):
- Daños lógicos: perdida de información, alteración de la configuración de equipos (switch, router,etc).
- Daños físicos: pérdidas materiales (servidores, switch, PC’s, etc.).
Recomendaciones:
Se recomienda implementar bitácora de acceso a la sala de cómputo.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 008
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no mantiene sus activos claramente identificados ni mantiene un inventario actualizado de
todos activos importantes.
Criterio:
NTP-ISO/IEC 17799: 7. GESTIÓN DE ACTIVOS, 7.1.- Todos los activos deben se claramente
identificados y se debe elaborar y mantener un inventario de todos los activos importantes.
Causa(s):
- No contar con el tiempo para el desarrollo del mismo.
- No contar con el suficiente personal para el desarrollo del mismo.
Efecto(s):
- Desconocimiento de los activos que se posee.
- Pérdidas o robos de activos.
Recomendaciones:
- Se recomienda que se elabore y mantenga actualizado un inventario de activos de información.
- Se recomienda que una vez implementado el inventario de activos de información se debe identificar
formalmente a los propietarios de los mismos.
- Se recomienda identificar, revisar y actualizar las reglas asociadas al acceso a los activos de
información.
- Una vez identificada las reglas asociadas al acceso a los activos, se recomienda que se establezca
niveles de clasificación en el acceso a la información.
- Establecidos los niveles, definir procedimientos adecuados para marcar y tratar la información de
acuerdo al esquema de clasificación adoptado por la UCV-Piura.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 009
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA06
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con las funciones y responsabilidades de los empleados, contratistas y terceros
definidas y documentadas en concordancia con la política de seguridad de la organización.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.1.- Las funciones y
responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en
concordancia con la política de seguridad de la organización.
Causa(s):
- No contar con la Política de seguridad de la Organización.
- No contar con los conocimientos de seguridad de información necesarios por parte de la gerencia.
Efecto(s):
Que los empleados, contratistas y terceros desconozcan cuales son las funciones y responsabilidades
que deben desempeñar y tienen hacia la empresa.
Recomendaciones:
- Se recomienda una vez implementada la política de seguridad de información se actualicen funciones y
responsabilidades de los empleados, contratistas y terceros.
- Se recomienda que la UCV-Piura comunique adecuadamente y de manera trasparente las clausulas y
acuerdos de confidencialidad a los que están sujetos los empleados contratistas y terceros de la
entidad. De esta manera se garantiza la aceptación y firma de los contratos.
- Se recomienda que una vez implementado las políticas y procedimientos, requerir o contratar personal
necesario que aplique las políticas y procedimientos de seguridad de la información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 010
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA06
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no proporciona entrenamiento a los empleados, contratistas y usuarios en políticas y
procedimientos organizacionales.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.5.- Todos los empleados de la
organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento
apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales
como sean relevantes para la función de su trabajo.
Causa(s):
No contar con la Política de seguridad y procedimientos organizacionales.
Efecto(s):
- No saber que procedimientos adecuados seguir ante una emergencia.
- Daños físicos y lógicos en los sistemas de información.
Recomendaciones:
Se recomienda la elaboración de un plan anual de capacitación de seguridad de la información el cual
contemplara el desarrollo de cursos y charlas de seguridad de la información dirigidas tanto al personal
como a los contratistas de la entidad.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 011
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA07
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura carece de un proceso formal disciplinario para empleados que han cometido un apertura
en la seguridad.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.6.- Debe existir un proceso formal
disciplinario para empleados que han cometido un apertura en la seguridad.
Causa(s):
- No contar con una Política de seguridad.
- Inadecuado control y/o administración de los permisos, privilegios de usuarios y accesos.
Efecto(s):
- Daños físicos y lógicos hacia los equipos de T.I.
- Se siga cometiendo la mismo atentado.
Recomendaciones:
Se recomienda elaborar y formalizar un proceso disciplinario para empleados que cometan alguna
apertura en la seguridad.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 012
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA08
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con un procedimiento formal para las responsabilidades, para realizar la
finalización de un empleo o el cambio de este que estén claramente definidas y asignadas.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.7.- Las responsabilidades para
realizar la finalización de un empleo o el cambio de este deben ser claramente definidas y asignadas.
Causa(s):
No contar con una Política de seguridad.
Efecto(s):
Inadecuada administración de las cuentas de usuario.
Recomendaciones:
Se recomienda implementar procedimientos formales para realizar la finalización de un empleo o el
cambio de este.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 013
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA09
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con controles sofisticados para el acceso al perímetro de seguridad.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.1.- Los perímetros de seguridad (como
paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deben ser usados
para proteger áreas que contengan información y recursos de procesamiento de información.
Causa(s):
Falta de presupuesto.
Efecto(s):
- Falta de control en el acceso y salida al perímetro de seguridad.
- Intrusión de personas ajenas al perímetro de seguridad.
- Pérdidas materiales, robo.
Recomendaciones:
- Se recomienda implementar controles más sofisticados como: los biométricos, con la finalidad de
mejorar la seguridad en el acceso al perímetro de seguridad.
- Una vez implementado los controles, se recomienda implementar procedimientos para la asignación del
acceso físico a las oficinas, despachos y recursos de la entidad.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 014
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA09
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con equipos contra fallos de energía u otras anomalías eléctricas.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.8.- Se deberían proteger los equipos
contra fallos de energía u otras anomalías eléctricas en los equipos de apoyo.
Causa(s):
- No contar con un Plan de seguridad de Información.
- No contar con un Plan de continuidad del negocio.
- Falta de presupuesto.
- No contar con los conocimientos de seguridad de información necesarios por parte de la gerencia.
Efecto(s):
- Daños físicos y lógicos a los equipos de T.I.
- Discontinuidad de los procesos de información.
Recomendaciones:
Se recomienda ampliar la capacidad del UPS e implementar un grupo electrógeno al Data Center.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 015
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA10
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La OTI no cuenta con un plan o cronograma de mantenimiento preventivo para los equipos.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.10.- Los equipos deberían mantenerse
adecuadamente para asegurar su continua disponibilidad e integridad.
Causa(s):
- No contar con un Plan de Continuidad del Negocio.
- No contar con el suficiente personal capacitado para dar mantenimiento.
- Falta de tiempo.
Efecto(s):
- Daños físicos y lógicos irreparables a los equipos de T.I.
- Deterioro de los equipos, tiempo de vida mejor.
Recomendaciones:
Se recomienda implementar y ejecutar un plan o cronograma de mantenimiento preventivo para los
equipos.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 016
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA11
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se brinda seguridad a los equipos que se encuentran fuera de los locales de la organización tomando
en cuenta los diversos riesgos a los que se está expuesto.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.11.- Se debe aplicar seguridad a los
equipos que se encuentran fuera de los locales de la organización tomando en cuenta los diversos
riesgos a los que se está expuesto.
Causa(s):
No contar con un Plan de Seguridad.
Efecto(s):
- Pérdidas o robo de los equipos.
- Daños físicos y lógicos de los equipos.
- Perdida de Información.
Recomendaciones:
Se recomienda implementar medidas de seguridad para los equipos que se encuentra fuera de los
locales de la organización, que garanticen la confidencialidad de la información además de la
recuperación inmediata del hardware.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 017
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA12
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se revisan los dispositivos de almacenamiento, con el fin de asegurar que cualquier
dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminación.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.12.- Todos los elementos del equipo que
contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que cualquier
dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminación.
Causa(s):
No contar con un Plan de Seguridad.
Efecto(s):
Perdida de información.
Recomendaciones:
Se recomienda revisar los dispositivos de almacenamiento antes de su eliminación, así como
implementar formalmente procedimiento para el caso de remover o sobrescribir la información que
almacenaba antes de su eliminación.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 018
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA12
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura los equipos, información o software son extraídos del local sin autorización.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FÍSICA Y AMBIENTAL, 9.13.- El equipo, información o software no
deben ser sacado fuera del local sin autorización.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con un control de seguridad adecuado, en el acceso y salida del personal.
- No formalizar los acuerdos de confidencialidad y seguridad.
Efecto(s):
- Deterioro de los equipos más rápidos.
- Perdida de equipos y materiales.
- Desgaste de materiales.
Recomendaciones:
Se recomienda no sacar equipos, software o información fuera del local sin autorización, así como
implementar procedimiento formal para este tipo de situaciones.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 019
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA13
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura carece de los documentos de procedimientos de operación.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.1.- Se deberían
documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios
que lo requieran.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con un Plan de continuidad del Negocio.
Efecto(s):
- Inadecuada utilización de los equipos de T.I.
- Deterioro más rápido de los equipos de T.I.
Recomendaciones:
Se recomienda documentar y mantener los procedimientos de operación y ponerlos a disposición de
todos los usuarios que lo requieran, a través de email, intranet o documentos impresos.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 020
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA13
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se controla formalmente los cambios en los sistemas y recursos de tratamiento de información.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.2.- Se deberían
controlar los cambios en los sistemas y recursos de tratamiento de información.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con planes y controles adecuados de mantenimiento a los sistemas y recursos de tratamiento
de información.
Efecto(s):
- Deterioro de los recursos de tratamiento de información.
- Daños lógicos a los sistemas.
Recomendaciones:
Implementar y mantener actualizado controles que permitan registrar los cambios en los sistemas y
recursos de tratamiento de información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 021
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA13
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se segregan las tareas y las áreas de responsabilidad con el fin de reducir las
oportunidades de una modificación no autorizada o no intencional, o el de un mal uso de los activos de la
organización.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.3.- Se deberían
segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una
modificación no autorizada o no intencional, o el de un mal uso de los activos de la organización.
Causa(s):
No existe un adecuado análisis para segregación de funciones y áreas de responsabilidad.
Desconocimiento de las funciones que debe desarrollar el personal.
Efecto(s):
- Redundancia de actividades desarrolladas.
- Desperdicio de horas hombre.
- Conflictos en la solución de problemas.
- Posibles Fraudes.
Recomendaciones:
Reestructurar la organización interna de la OTI de tal manera que se definan claramente las áreas de
desarrollo, soporte, control de calidad y producción; teniendo en cuenta que los puestos críticos de:
administración de red, administración de base de datos, y programación de sistemas deben de estar
separados.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 022
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA13
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La OTI no cuenta con una estructura de organización interna adecuada, no se encuentra bien definidas
las funciones del personal.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.4.- La separación de
los recursos para desarrollo, prueba y producción es importante para reducir los riesgos de un acceso no
autorizado o de cambios al sistema operacional.
Causa(s):
MOF no está bien estructurado y no es específico en las con las funciones de las áreas.
Efecto(s):
- No halla un buen desempeño del área.
- Los trabajadores no tengan bien en claro cuáles son sus funciones.
- Conflictos internos entre colegas por las funciones y cargos.
Recomendaciones:
Reestructurar la organización interna de la OTI de tal manera que se definan claramente las áreas de
desarrollo, soporte, control de calidad y producción; teniendo en cuenta que los puestos críticos de:
administración de red, administración de base de datos, y programación de sistemas deben de estar
separados.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 023
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA14
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se monitorean ni proyectan capacidades de los equipos de cómputo.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.8.- El uso de
recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas
futuras para asegurar el sistema de funcionamiento requerido.
Causa(s):
- No contar con el suficiente presupuesto.
- La carencia de la importancia de la tecnología por parte de la gerencia.
Efecto(s):
- Retrasos en los procesos de información.
- Tecnología descontinuada.
- La tecnología no soporta los procesos y su tiempo de utilización se hace más corto por el crecimiento
de la Universidad.
Recomendaciones:
Se recomienda un monitoreo y proyección de capacidades de los equipos de computo.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 024
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA14
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con controles para detectar el software malicioso y prevenirse contra él.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.10.- Se deberían
implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos
adecuados para concientizar a los usuarios.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Intrusión o instalación de software malicioso.
- Daños físicos y lógicos a los equipos.
- Robo de información, saturación de procesos, errores en los sistemas.
Recomendaciones:
Se recomienda implantar controles para prevenir y detectar la presencia de software malicioso.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 025
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA14
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se realizan copias de manera formal y continua de la información esencial del negocio.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.12.- Se deberían
hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en
concordancia con la política acordada de recuperación.
Causa(s):
- No contar con un Plan de seguridad.
- No contar con Un Plan de continuidad.
- No lo realizan porque no lo quieren hacer.
Efecto(s):
- Si se dañan los datos de los servidores, no hay copias (backups) actualizas de los mismos.
- Perdida de información vital para la empresa, irrecuperable.
Recomendaciones:
Realizar copias de seguridad de toda la información esencial del negocio, de acuerdo al procedimiento
que se formalice e implemente para la generación de respaldos.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 026
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA15
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura las redes no son manejadas y controladas adecuadamente.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.13.- Las redes
deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la
seguridad en los sistemas y aplicaciones usando las redes, incluyendo información en tránsito.
Causa(s):
- No contar con la tecnología adecuada.
- No contar con el suficiente presupuesto para comprar de equipos mas apropiados.
Efecto(s):
- Presentarse amenazas en los equipos de la UCV.
- Sistemas vulnerables.
- Perdida de información.
Recomendaciones:
Implementar aspectos como:
- Creación de puesto organizacional en la OTI de “Administrador de red”.
- Administración de red por consola.
- Acceso al Centro de Cómputo de sólo personal autorizado.
- Contar con herramientas informáticas que permitan verificar el uso de la red.
- Coordinar con las empresas de los equipos y servicios de comunicaciones a fin de que el personal del
área sea capacitado.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 027
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA17
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no hay procedimientos para la gestión de los medios informáticos removibles.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.15.- Debería haber
procedimientos para la gestión de los medios informáticos removibles.
Causa(s):
- No contar con un Plan de seguridad.
- No contar con un procedimiento para la gestión de medios informáticos.
Efecto(s):
- Perdida de medios.
- Confusión de medios.
- Cambios de medios.
Recomendaciones:
Se recomienda desarrollar e implementar procedimientos para la gestión de los medios informáticos
removibles.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 028
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA21
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no existen procedimientos formales para eliminar los medios de forma segura y sin
peligro cuando no se necesiten más.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.16.- Se deberían
eliminar los medios de forma segura y sin peligro cuando no se necesiten más, utilizando procedimientos
formales.
Causa(s):
No cuenta Plan de seguridad.
Efecto(s):
Que la información contenida en esos medios sea utilizada por otros después de que haya sido
eliminada.
Recomendación:
Implementar un procedimiento que garantice la adecuada y segura eliminación de medios de
almacenamiento
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 029
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA22
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no hay procedimientos formales para la manipulación y almacenamiento de la
información.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.17.- Los
procedimientos para la manipulación y almacenamiento de la información deben ser establecidos para
proteger esta información de divulgaciones o usos no autorizados.
Causa(s):
No cuenta con un Plan de Seguridad.
Efecto(s):
- Perdida de información.
- Daño de información.
- Fuga de información.
Recomendaciones:
Establecer procedimientos para la manipulación y almacenamiento de la información, que entre sus
objetivos figure la protección de la información frente a divulgaciones o usos no autorizados.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 030
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA23
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura con cuenta con la documentación de todos sus sistemas.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.18.- La
documentación de sistemas debe ser protegida contra acceso no autorizado.
Causa(s):
No cuenta con una metodología de desarrollo.
Efecto(s):
- Errores de programación.
- Fallas en los sistemas.
- Retraso para encontrar una falla en los sistemas.
Recomendaciones:
Generar, actualizar y resguardar la documentación de los sistemas.
Implementar mecanismos o controles para la protección de la documentación de los sistemas.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 031
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA24
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con políticas, procedimientos y controles formales de intercambio con el fin de
proteger la información a través de todos los tipos de instalaciones de comunicación.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.19.- Se deberían
establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la
información a través de todos los tipos de instalaciones de comunicación.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Fuga de información.
- Perdida de información.
Recomendaciones:
Establecer políticas, procedimientos y controles formales para el intercambio de información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 032
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA25
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura con cuenta con acuerdos formales para el intercambio de información y software entre la
organización y terceros.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.20.- Los acuerdos
deben ser establecidos para el intercambio de información y software entre la organización y terceros.
Causa(s):
No contar con una Política de seguridad.
Efecto(s):
- Divulgación de información.
- Piratería de software.
Recomendaciones:
Establecer acuerdos de confidencialidad para el intercambio de información y software entre la
organización y terceros.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 033
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA25
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no son protegidos los contenedores de información contra acceso no autorizado, mal
uso o corrupción durante el transporte fuera de los límites físicos de la organización.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.21.- Los medios
contenedores de información deben ser protegidos contra acceso no autorizado, mal uso o corrupción
durante el transporte fuera de los límites físicos de la organización.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Perdida de información.
- Perdida o robo de los contenedores s de información.
Recomendaciones:
Proteger los medios contenedores de información contra actividades que atenten contra la
confidencialidad, integridad y disponibilidad de la información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 034
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA25
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con políticas y procedimientos con el fin de proteger la información asociada
con la interconexión de sistemas de información de negocios.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.23.- Se deberían
desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la
interconexión de sistemas de información de negocios.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Fuga de información.
- Intrusión de virus, etc.
Recomendaciones:
Desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la
interconexión de sistemas de información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 035
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA26
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se protege la información implicada en las transacciones en línea debe ser protegida
para prevenir la transmisión incompleta
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.25.- La información
implicada en las transacciones en línea debe ser protegida para prevenir la transmisión incompleta, ruta
equivocada, alteración no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del
mensaje o reproducción.
Causa(s):
- No contar con grupo electrógeno para los equipos que procesa la información de las transacciones.
- No contar con equipos de apoyo, si los equipos de transmisión de las transacciones caen.
Efecto(s):
- Perdida de información.
- Instrucciones de los procesos.
- Usuarios insatisfechos.
- Clientes insatisfechos.
- Pérdidas económicas.
Recomendaciones:
Implementar mecanismos que protejan la información de tal manera que la transmisión de esta se
desarrolle de manera completa evitando su manipulación por acceso no autorizado.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 036
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA26
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se registran ni almacenan las actividades de los usuarios, excepciones y eventos de
la seguridad de información.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.27.- Los registros de
auditoría grabados de las actividades de los usuarios, excepciones y eventos de la seguridad de
información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en
investigaciones futuras y en el monitoreo de los controles de acceso.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- No tener un control y registro de las actividades desempeñadas por los usuarios.
- No saber que hacen durante su hora de trabajo.
Recomendaciones:
Implementar registros de auditoría tanto en la administración de la red y los sistemas de información de
la UCV-Piura.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 037
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA26
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se cuenta con un procedimiento para el uso del monitoreo de la instalación de
procesamiento de información.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.28.- Los
procedimientos para el uso del monitoreo de la instalación de procesamiento de información deben ser
establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
Causa(s):
- Carencia de conocimientos en seguridad de T.I.
- Carencia de tiempo y personal para la elaboración de los mismos.
Efecto(s):
Inadecuada manipulación de los equipos de T.I.
Recomendaciones:
Establecer procedimientos formales de monitoreo para la instalación de procesamiento de información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 038
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA27
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se registran las actividades del administrador y los operadores de los sistemas.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.30.- Las actividades
del administrador y de los operadores del sistema deben ser registradas.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Manipulación de información no autorizada.
- Ingresos a sistemas sin autorizaciones o permisos.
Recomendaciones:
Establecer una bitácora de las actividades del administrador y de los operadores del sistema.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 039
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA27
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura las averías de redes no son registradas y analizadas formalmente.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.31.- Las averías
deben ser registradas, analizadas y se debe tomar acciones apropiadas.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Daños irreparables en los equipos.
- Mala manipulación.
- Mala toma de decisiones a la hora realizar alguna reparación.
- No hay control de los equipos.
Recomendaciones:
Registrar y analizar las averías para poder tomar acciones apropiadas.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 040
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA27
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se encuentran sincronizados todos los relojes de los sistemas de procesamiento de
información
Criterio:
NTP-ISO/IEC 17799: 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES, 10.32.- Los relojes de
todos los sistemas de procesamiento de información dentro de la organización o en el dominio de
seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.
Causa(s):
No hay sincronización de los sistemas.
Efecto(s):
- No hay control u hora exacta a de ingreso o salida.
- Malestar de los docentes y trabajadores.
Recomendaciones:
Sincronizar todos los relojes de los sistemas de procesamiento de información dentro de la organización.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 041
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA28
MESOctubre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con una política de control de acceso.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.1.- Una política de control de acceso debe ser
establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del
negocio.
Causa(s):
No cuenta una Política de seguridad.
Efecto(s):
Acceso a personas ajenas.
Recomendaciones:
Establecer, documentar y actualizar la política de control de acceso.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 042
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura carece formalmente un procedimiento de registro de altas y bajas de usuarios para
garantizar el acceso a los sistemas y servicios de información multiusuario.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.2.- Se debería formalizar un procedimiento de
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información
multiusuario.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
Suplantación de usuarios.
Recomendaciones:
Desarrollar e implementar un procedimiento formal de registro de altas y bajas de usuarios.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 043
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La gerencia no revisa los derechos de acceso de los usuarios.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.6.- La gerencia debería establecer un proceso
formal de revisión periódica de los derechos de acceso de los usuarios.
Causa(s):
Carencia de conocimientos tecnológicos por parte de la gerencia.
Efecto(s):
Que la gerencia no sepa quiénes tienen permisos y accesos a diferentes programas o paginas y si las
usan si es debido.
Recomendaciones:
Establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 044
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
Los usuarios de la UCV Piura no siguen buenas prácticas de seguridad para la selección y uso de sus
contraseñas.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.7.- Los usuarios deberían seguir buenas prácticas
de seguridad para la selección y uso de sus contraseñas.
Causa(s):
Carencia cocimientos y capacitaciones de la importancia de la seguridad tecnológica.
Efecto(s):
- Fuga de información.
- Inseguridad para la red.
- Suplantación de identidad del usuario.
Recomendaciones:
Instruir o capacitar a los usuarios en buenas prácticas de seguridad para la selección y uso de sus
contraseñas.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 045
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura los usuarios no aseguran si los equipos informáticos desatendidos estén debidamente
protegidos.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.8.- Los usuarios deberían asegurar que los
equipos informáticos desatendidos estén debidamente protegidos.
Causa(s):
- Falta de concientización en los usuarios.
- Falta de capacitación en seguridad informática a los usuarios.
Efecto(s):
Deterioro rápido de los equipos.
Recomendaciones:
Capacitar a los usuarios en seguridad para la protección de los equipos informáticos desatendidos.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 046
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se adopta una política de escritorio limpio para papeles y medios removibles de
almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de
información.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.9.- Se debería adoptar una política de escritorio
limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia
para instalaciones de procesamiento de información.
Causa(s):
- Usuarios desordenados.
- Usuarios con carencia en conocimientos de tecnologías de información.
Efecto(s):
Desorden en el escritorio de trabajo y unidades.
Recomendaciones:
Desarrollar e implementar una política de escritorio limpio para papeles y medios removibles de
almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de
información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 047
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA02
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
Los usuarios de la UCV Piura no cuentan con los accesos directos a los servicios para los que estén
autorizados de una forma específica.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.10.- Los usuarios sólo deberían tener acceso
directo a los servicios para los que estén autorizados de una forma específica.
Causa(s):
Inadecuada administración de las cuentas de usuario.
Efecto(s):
- Ingresos y utilización de otros programas que no están autorizados.
- Manipulación de información no autorizada.
Recomendaciones:
Establecer accesos directos de los servicios a los que el usuario sólo debe tener acceso.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 048
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA09
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se utilizan métodos apropiados de autentificación para controlar el acceso de usuarios remotos
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.11.- Se deben utilizar métodos apropiados de
autentificación para controlar el acceso de usuarios remotos.
Causa(s):
- Inadecuada administración de las cuentas de usuario.
- No contar con un Plan de Seguridad.
Efecto(s):
Ingresos de usuarios a través de la red a otras PC de la Universidad.
Recomendaciones:
Utilizar métodos apropiados de autentificación para controlar el acceso de usuarios remotos.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 049
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA09
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
Las sesiones no se desactivan tras un periodo de inactividad.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.21.- Las sesiones se deberían desactivar tras un
periodo definido de inactividad.
Causa(s):
- Inadecuada administración de las cuentas de usuario.
- No contar con un Plan de seguridad.
Efecto(s):
- Suplantación de usuarios.
- Inseguridad de acceso.
Recomendaciones:
Establecer periodos de desactivación para las cuentas de usuarios, dependiendo del estado del mismo,
vacaciones, fines de semana, por jornada laboral o porque ya no labora en la empresa.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 050
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA10
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se especifica los requisitos de control para los sistemas nuevos o mejoras a sistemas existentes.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN, 12.1.- Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a
sistemas existentes deberían especificar los requisitos de control.
Causa(s):
- No contar con Metodología de desarrollo.
- No contar con un proceso apropiado para adquisición de sistemas o hacer mejoras a los mismos.
Efecto(s):
- Seguridad inadecuada para los sistemas.
- No tener un control de la información o datos que salen o se ingresan a través de los sistemas.
- No saber si es el mismo usuario que inicio sesión quien es el que está modificando los daos.
Recomendaciones:
Especificar los requisitos de control con los que debe contar los sistemas nuevos o mejoras a los
existentes. Para los sistemas nuevos o mejoras de los existentes se debe implementar formalmente con
metodología de prueba, así como de un proceso de desarrollo adecuado documentándolo.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 051
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA18
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
Se debe validar los datos de salida de un sistema de aplicación para garantizar que el proceso de la
información ha sido correcto y apropiado a las circunstancias.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN, 12.5.- Se deberían validar los datos de salida de un sistema de aplicación para
garantizar que el proceso de la información ha sido correcto y apropiado a las circunstancias.
Causa(s):
- No contar con una metodología de desarrollo
- No contar con un Plan de Seguridad.
Efecto(s):
- Cambio de datos, sin autorización.
- Fuga de información.
- Perdida de información.
- Alteración de información.
Recomendaciones:
Que los sistemas o aplicaciones debieran validar los datos de salida de un sistema de aplicación para
garantizar que el proceso de la información ha sido correcto y apropiado a las circunstancias.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 052
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA18
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura no se controlan formalmente los cambios de los sistemas.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN, 12.11.- La implementación de cambios debe ser controlada usando procedimientos
formales de cambio.
Causa(s):
- No contar con Plan de Mantenimiento.
- No contar con una Metodología de desarrollo de sistemas.
Efecto(s):
No contar con un control formal y desatollado de cambios y actualizaciones de los sistemas.
Recomendaciones:
Desarrollar e implementar procedimientos formales para controlar en los sistemas.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 053
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA19
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se reportan formalmente los eventos de seguridad de información.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN, 13.1.-
Los eventos en la seguridad de información deben ser reportados lo más rápido posible a través de una
gestión de canales apropiada.
Causa(s):
No contar con Plan de seguridad.
Efecto(s):
- Desconocimiento por parte de la gerencia de los eventos de seguridad de información acontecidos.
- Inadecuada toma de decisiones, para los eventos de seguridad de información.
Recomendaciones:
Desarrollar e implementar un procedimiento formal de reporte de eventos en la seguridad de información,
el cual debe ser establecido junto con una respuesta a incidencias, estableciendo las acciones a ser
tomadas en cuenta al recibir dicho reporte.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 054
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA19
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
En la UCV Piura los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de
información no anotan y reportan cualquier debilidad observada o sospechada en la seguridad de estos
formalmente.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN 13.2.-
Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de información
deben anotar y reportar cualquier debilidad observada o sospechada en la seguridad de estos.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
No tener un control y no saber cuáles son las debilidades observadas o sospechosas que afectan a la
seguridad.
Recomendaciones:
Instruir y educar a los empleados, contratistas y terceros usuarios de los sistemas y servicios de
información deben anotar y reportar de manera formal documentada cualquier debilidad observada o
sospechada en la seguridad de estos.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 055
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA20
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La gerencia no cuenta con responsabilidades y procedimientos para asegurar una rápida, efectiva y
ordenada respuesta a los incidentes en la seguridad de información.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN 13.3.-
Las responsabilidades y procedimientos de la gerencia deben ser establecidas para asegurar una rápida,
efectiva y ordenada respuesta a los incidentes en la seguridad de información.
Causa(s):
- No contar con un Plan de Seguridad.
- La gerencia carece de conocimientos de seguridad de T.I.
Efecto(s):
- Inadecuado control de los procesos y monitorización de los servicios.
- Pérdida de tiempo a momento de brindar una solución, en algunos casos toma de decisiones
esquivadas.
Recomendaciones:
Establecer las responsabilidades y procedimientos que se deben seguir para maniobrar los eventos y
debilidades en la seguridad de información de una manera efectiva una vez que hayan sido reportados
los mismos, el cual debe ser desarrollado en respuesta al monitoreo, evaluación y gestión general de los
incidentes en la seguridad de información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 056
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA20
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
No se recolecta o se le hace seguimiento formal al proceso legal o civil cuando una persona haya
cometido un incidente de seguridad de información.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN 13.5.-
Cuando una acción de seguimiento contra una persona u organización, después de un incidente en la
seguridad de información, implique acción legal (civil o criminal), la evidencia debe ser recolectada,
retenida y presentada para estar conforme con las reglas para la colocación de evidencia en la
jurisdicción relevante.
Causa(s):
No contar con una Plan de seguridad.
Efecto(s):
- No saber cómo justificar su sanción, no se tiene pruebas.
- No saber que damos pudo o cometió.
Recomendaciones:
Desarrollar e implementar procedimientos internos, los cuales deben ser desarrollados y seguidos
cuando se recolecte y presente evidencia para propósitos disciplinarios maniobrados dentro de la
organización. El peso en la evidencia debe cumplir con cualquier requerimiento aplicable. Para lograr
peso en la evidencia, la calidad y lo completo de los controles usados para corregir y proteger
consistentemente la evidencia (como por ejemplo el proceso de control de evidencia) durante el periodo
en que la evidencia que se recupera se almacena y se procesa, debe estar demostrado por un fuerte
seguimiento de dicha evidencia.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
DEFICIENCIA N° 057
FECHA DE LLENADOÁREA AUDITADA: OTI
DÍA20
MESNoviembre
AÑO2009 AUDITOR JUNIOR: M.A.R.R.
DETALLE
Condición:
La UCV Piura no cuenta con un proceso de gestión para el desarrollo y el mantenimiento de la
continuidad del negocio.
Criterio:
NTP-ISO/IEC 17799: 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 14.1.- Se debería instalar en
toda la organización un proceso de gestión para el desarrollo y el mantenimiento de la continuidad del
negocio a través de la organización que trate los requerimientos en la seguridad de información
necesarios para la continuidad del negocio.
Causa(s):
- No cuenta con Plan de Continuidad del Negocio.
- No cuenta con el suficiente personal capacitado.
Efecto(s):
- Discontinuidad de los procesos.
- Pérdidas económicas.
- Falla de equipos.
Recomendaciones:
- Desarrollar e implantar un Plan de Contingencia para asegurar que los procesos del negocio se pueden
restaurar en los plazos requeridos las operaciones esenciales.
- Una vez desarrollado e implementado el plan, se deben identificar y evaluar los procesos críticos, así
como analizar las consecuencias de los desastres, fallas de seguridad, perdidas de servicio y
disponibilidad del servicio.
- Desarrollar e implantar planes de mantenimiento y recuperación para el negocio.
- También que tener en cuenta que el esquema debe ser único para cada plan de continuidad del
negocio, el plan también debe especificar claramente las condiciones para su activación, así como las
personas responsables de ejecutar cada etapa del plan.
- Realizar simulacros de los planes de continuidad del negocio para asegurar que todos los miembros del
equipo de recuperación y otro personal relevante están prevenidos y sepan sus responsabilidades para
la continuidad del negocio y la seguridad de información.
SUPERVISOR:J.M.E.S.
FECHA DE REVISIÓN
DÍA06
MESNoviembre
AÑO2009
Conclusiones
Se debería implementar una sub área de auditoría en Tecnologías de Información en el OTI, la
cual deberá estar apoyada en las nuevas técnicas y procedimientos de auditoría como son el
análisis de datos de prueba, simulación paralela, paquetes de auditoría, software de auditoría,
entre otros.
No se le da la importancia y valor debido a las Tecnologías de Información por parte de la
Dirección de la Universidad, ya que esta hasta la fecha no ha puesto en marcha la creación de
un Pan Estratégico de Tecnologías de Información.
Los usuarios (alumnos y trabajadores) de las Tecnologías de Información carecen de los
conocimientos básicos de seguridad de la información como: el analizar con el antivirus la
memoria USB, instalación y copiado de información que no compete o no tiene nada que ver
con la empresa, ingreso a paginas de chat, redes sociales, correos personales, los cuales
pueden contener virus pudiendo dañar el equipo o equipos que estén conectados a la red.
Algunos usuarios que laboran en la empresa los cuales cuentan con una PC, manipulan o
tienen a cargo algún equipo de T.I., no cuentan con la capacitación o no cuentan con los
conocimientos básicos en la utilización del mismo.
No se cuenta con el suficiente personal para cubrir y cumplir todas las labores que tiene y debe
de desempeñar el OTI.
El personal de la OTI trabaja de forma eficaz, las fallas se dan debido a que no se les
proporciona los materiales adecuados y en vez de eso les abastece con materiales de baja
calidad. El tiempo también juega un papel muy importante, ya a que los trabajos le son exigidos
en plazos de tiempo muy cortos a lo que deberían ser.
No hay una adecuada administración de la seguridad de las Tecnologías de Información, ya
que se carece de un Plan de Seguridad.
ANEXO N° 20
CONSTANCIA DE LA INSTITUCIÓN
ANEXO N° 21
CONSTANCIA DE RECEPCIÓN DE LA SOLICITUD
DE DOCUMENTACIÓN