Auditoría Basada en ISOIEC 17799 para La Gestión de Seguridad de Las Tecnologías de Información en La Universidad César Vallejo - Piura.

Facultad de Ingeniera
Escuela Profesional de Ingeniera de Sistemas

Auditora basada en ISO/IEC 17799 para la gestin de
seguridad de las Tecnologas de Informacin en la
Universidad Csar Vallejo - Piura.
Tesis para obtener el Ttulo Profesional de
Ingeniero de Sistemas
Autor
Marco Antonio Riega Reto
Asesor
Ingeniero Juan Miguel Espinoza Saucedo
PIURA PER
2010
Auditora basada en ISO/IEC 17799 para la gestin de

Universidad Csar Vallejo - Piura.
Autor
Asesor
Ingeniero Juan Miguel Espinoza Saucedo
Jurado
Ingeniero Noelia Saavedra Nizama
Ingeniero Aldo S. Pereda Castillo
Ingeniero Elmer Chunga Zapata
Resumen
La Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de

Informacin en la Universidad Csar Vallejo Piura, tiene como objetivo principal la evaluacin de
la gestin de seguridad de las T.I. Hasta el momento, en la Oficina de Tecnologas de Informacin
(OTI) de la UCV-Piura, rgano encargado de administrar las T.I., no se ha desarrollado actividad
alguna de control (auditora) relacionada a sistemas y/o tecnologas de informacin, situacin que
no le permite a la OTI conocer con certeza la eficiencia y eficacia que aporta para la
implementacin, administracin y actualizacin de las T.I. en la UCV-Piura. Ante el hecho antes
descrito surge la necesidad de evaluar la gestin de seguridad de las T.I., es por ello la decisin de
plantear y desarrollar esta tesis, utilizando la metodologa COSO como base para la auditora en la
evaluacin del Control Interno.
El contenido de esta tesis consta de siete captulos, los cuales se describen a continuacin:
Captulo I: Marco Metodolgico, donde se realiza un anlisis de la realidad problemtica,
planteando tanto el objetivo general como los especficos, la hiptesis, la identificacin de las
variables y el diseo de la ejecucin.
Captulo II: Marco Referencial, en este captulo se realiza un anlisis de las definiciones
relacionadas con la Auditora y las Tecnologas de Informacin desde los diferentes puntos de
vista.
Captulo III: Desarrollo de la Investigacin trata sobre la Metodologa y se centra en el anlisis y
desarrollo de una solucin acorde a las necesidades.
Captulo IV: Discusin de Resultados, los cuales se interpretan a travs del anlisis estadstico del
Pre Test y Post Test de cada uno de los cinco indicadores planteados.
Captulo V: Conclusiones y recomendaciones, aqu es donde se da un alcance de los objetivos y
metas logradas con el desarrollo de la presente tesis, as mismo tenemos las sugerencias que se
deben ejecutar para que el trabajo desarrollado sea un instrumento eficaz de solucin de
problemas en la empresa.
Captulo VI: Referencias Bibliogrficas, de los libros y sitios web de donde se extrajo la
informacin.
Captulo VII: Anexos, donde se encuentra los documentos que sustentan el desarrollo de la
presente tesis, como es el caso de los papeles de trabajo.
ndice General
CAPITULO I:
MARCO METODOLGICO.............................................................................................................. 9
1.1 EL PROBLEMA..................................................................................................................... 10
1.1.1 Realidad Problemtica.................................................................................................... 10
1.1.2 Antecedentes del Problema............................................................................................ 12
1.1.3 Formulacin Interrogativa del Problema.........................................................................13
1.1.4 Justificacin de la Investigacin.....................................................................................13
2.1.5 Limitaciones de la Investigacin.....................................................................................14
1.2 OBJETIVO GENERAL........................................................................................................... 14
1.2.1 Objetivos Especficos..................................................................................................... 14
1.3 HIPTESIS........................................................................................................................... 14
1.4 VARIABLES........................................................................................................................... 15
1.4.1 Variables Independiente................................................................................................ 15
1.4.2 Variable Dependiente.................................................................................................... 15
1.4.3 Variable Interveniente.................................................................................................... 15
1.5 DISEO DE EJECUCIN..................................................................................................... 15
1.5.1 Poblacin y Muestra....................................................................................................... 15
1.5.2 Tcnicas e instrumentos, fuentes e Informantes............................................................15
1.5.3 Formas de Anlisis e Interpretacin de Resultados........................................................16
CAPITULO II:MARCO REFERENCIAL........................................................................................... 17
2.1 MARCO TERICO REFERENCIAL......................................................................................18
2.2 MARCO CONCEPTUAL........................................................................................................ 34
CAPITULO III:DESARROLLO DE LA INVESTIGACIN.................................................................35
3.1 PLANIFICACIN DE LA LAUDITORIA..................................................................................36
3.1.1 Determinacin del Objetivo y Alcance de la auditora.....................................................36
3.1.2 Actividades realizadas en la Auditora............................................................................36
3.1.3 Anlisis del ambiente a Auditar y del entorno Auditable..................................................36
3.1.4 Determinacin de los recursos de la Auditora Informtica.............................................36
3.2 EJECUCIN DE LA AUDITORA METODOLOGA COSO BASADA EN ISO/IEC 17799..37
I EL ENTORNO DE CONTROL............................................................................................... 37
II LA MEDICIN DE RIESGOS............................................................................................... 37
III EL CONTROL DE ACTIVIDADES.......................................................................................37
IV LOS SISTEMAS DE COMUNICACIN Y LOS SISTEMAS DE INFORMACIN................38
V EL SISTEMA DE MONITOREO........................................................................................... 38
3.3 SEGUIMIENTO..................................................................................................................... 38
3.3.1 Revisin de los papeles de trabajo y desarrollo de las deficiencias...............................38
3.3.2 Elaboracin de la Carta de Introduccin correspondiente al Informe final......................38
3.4 INFORME.............................................................................................................................. 38
3.4.1 Elaboracin y presentacin del Informe..........................................................................38
CAPITULO IV:DISCUSIN DE RESULTADOS...............................................................................39
CAPITULO V:CONCLUSIONES Y RECOMENDACIONES............................................................57
CAPITULO VI:REFERENCIAS BIBLIOGRFICAS.........................................................................62
CAPITULO VII:ANEXOS................................................................................................................. 65
-ANEXO N 01 : CRONOGRAMA DE LA TESIS
-ANEXO N 02 : INDICADORES DE LA TESIS
-ANEXO N 03: FORMATO DE LAS GUAS DE OBSERVACIN.
-ANEXO N 04 : FORMATO DEL PAPEL DE TRABAJO
-ANEXO N 05: FORMATO DE DEFICIENCIA PARA LA AUDITORA BASADA EN ISO/IEC 17799
PARA LA GESTIN DE SEGURIDAD DE LAS TECNOLOGAS DE INFORMACIN EN LA
UNIVERSIDAD CSAR VALLEJO - PIURA.
-ANEXO N 06: RECURSOS, MATERIALES, PRESUPUESTO Y FINANCIAMIENTO DE LA TESIS
-ANEXO N 07: FORMATO DE LA SOLICITUD DE DOCUMENTACIN.
-ANEXO N 08: FORMATO DE LA ENTREVISTA DE USUARIO.
-ANEXO N 09: FORMATO DE EVALUACIN DEL CUMPLIMIENTO DE LAS FUNCIONES DE
LAS REAS DE LA OTI.
-ANEXO N 10: FORMATO DE LA EVALUACIN DEL PLAN OPERATIVO.
-ANEXO N 11: FORMATO DE LA EVALUACIN DEL REA DE LA OTI.
-ANEXO N 12: FORMATO DE LA EVALUACIN AL REA DE REDES.
-ANEXO N 13: FORMATOS DE LAS EVALUACINES AL REA DE DESARROLLO
-ANEXO N 14: FORMATO DE LA EVALUACIN AL REA DE SOPORTE TECNICO.
-ANEXO N 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.
-ANEXO N 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS REAS DE LA
OTI.
-ANEXO N 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.
-ANEXO N 18: PAPELES DE TRABAJO.
-ANEXO N 19: INFORME FINAL.
-ANEXO N 20: CONSTANCIA DE LA INSTITUCIN.
-ANEXO N 21: CONSTANCIA DE RECEPCIN DE LA SOLICITUD DE DOCUMENTACIN.
ndice de figuras, cuadros, tablas y grficos.

FIGURA N 02: Organigrama Estructural de la Oficina de Tecnologas de Informacin..................12
CUADRO N 01: reas de la OTI y su nmero de trabajadores......................................................15
FIGURA N 01: Organigrama Estructural de la Universidad Privada Csar Vallejo Piura............22
FIGURA N 03: Entorno actual de las T.I......................................................................................... 27
CUADRO N 02: Comparacin de las Metodologas.......................................................................33
Cuadro N 03: Resultado ITEM 1.................................................................................................... 40
Grfico N 01: Resultado ITEM 1.................................................................................................... 40
Cuadro N 11: Resultado ITEM 09.................................................................................................. 53
Grfico N 09: Resultado ITEM 09.................................................................................................. 53
Grfico N 10: Resultado ITEM 10.................................................................................................. 55
Grfico N 11: Resultado ITEM 11................................................................................................... 56
FIGURA N 04: Cronograma de la Tesis.......................................................................................... 67
CUADRO N 15: Indicadores de la Auditora basada en ISO/IEC 17799 para la gestin de
seguridad de las T.I. en la UCV - Piura. (continua).....................................................................69-72
Introduccin
Las sociedades avanzadas de fines del siglo XX son denominadas frecuentemente sociedades de
la informacin, pues el volumen de datos que es procesado, almacenado y transmitido es
inconmensurablemente mayor que a cualquier poca anterior. Actualmente, las tecnologas y la
informacin son medios o recursos de poder, por ello las organizaciones la valoran mucho.
Las Tecnologas de la Informacin estn presentes en todas las reas de las organizaciones. Esta
implantacin generalizada de T.I se ha realizado en muchos casos con escasa planificacin, en
parte porque los conceptos necesarios no estaban suficientemente desarrollados. Por lo tanto, se
hace necesario mejorar la planificacin de futuras implementaciones, la compatibilidad entre
sistemas y la organizacin del personal y de la empresa.
En las organizaciones modernas, tanto pblicas como privadas, la misin de las tecnologas de la
informacin es facilitar la consecucin de sus objetivos estratgicos. Para ello, se invierte una
considerable cantidad de recursos en personal, equipos y tecnologa, adems de los costos
derivados de la posible organizacin estructural que muchas veces conlleva la introduccin de
estas tecnologas. Esta importante inversin debe ser constantemente justificada en trminos de
efectividad. Por tanto, el propsito a alcanzar por una organizacin en la que se realizan auditoras
de sus Tecnologas de Informacin, es asegurar que sus objetivos estratgicos son los mismos
que los de la propia organizacin y que los sistemas de informacin prestan y aseguren el apoyo
adecuado a la consecucin de estos objetivos, tanto en el presente como en su evolucin futura.
La Universidad Csar Vallejo Piura por estar en constante desarrollo hace uso de diferentes
Tecnologas de Informacin, las cuales se apoyan en los procesos que se mantienen y que
generan informacin sobre la que se trabaja internamente, es entonces necesario proteger sta
crtica y valiosa informacin, mediante mecanismos de seguridad eficientes y valederos, por lo
antes indicado, es que he llevado a cabo la Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin, para evaluar: los controles, estrategias y los
activos de la organizacin, manteniendo y fortaleciendo confidencialidad, integridad y
disponibilidad de los datos y tecnologa, teniendo en cuenta las responsabilidades que debe
asumir cada uno de los colaboradores de la UCV Piura..
CAPTULO I
MARCO METODOLGICO
Escuela de Ingeniera de Sistemas
1.1 EL PROBLEMA.
1.1.1 Realidad Problemtica.
La Universidad Csar Vallejo S.A.C. como institucin de educacin superior universitaria al
crear la filial Piura busca formar profesionales debidamente instrumentados en la ciencia, en la
tecnologa y con slida formacin humanstica, que es la demanda de una calidad en cada una
de las carreras que asume desarrollar como compromiso acadmico y su responsabilidad con
la sociedad que apuesta por esta universidad. (UCVPIURA 2002)
El rgano encargado de administrar las Tecnologas de Informacin es la Oficina de
Tecnologas de Informacin o conocido por sus siglas como OTI, el cual es un rgano de apoyo
a las labores administrativas de las distintas reas de la Universidad.
Entre las labores desempeadas por la OTI tenemos:
El desarrollo y soporte de sistemas de informacin para agilizar las actividades que se

realizan en la Universidad diariamente.
El diseo, implementacin, administracin y auditora de las redes de comunicacin de la

Universidad.
La instalacin, configuracin y mantenimiento de los servicios de internet.
La planificacin, organizacin, direccin y supervisin de las actividades de mantenimiento

integral de los equipos de tecnologa de comunicacin y equipos de cmputo.
La programacin y desarrollo de diversos cursos informticos acorde con los avances

tecnolgicos.
Elaboracin de proyectos tecnolgicos que permitan mejorar el servicio brindado a nuestros

alumnos.
Elaboracin de reportes a nivel operacional y gerencial como apoyo en la toma de

decisiones dentro de la Institucin.
Capacitacin del personal para el manejo de los diversos sistemas operacionales.
Problemtica actual:
Carece de un Plan Estratgico de Tecnologas de Informacin (PETI).
La OTI no posee la documentacin de los sistemas de informacin implementados en la

UCV Piura, como: Manuales de usuario y Manuales Tcnicos.
No cuenta con auditora previa de T.I.
No existe una oportuna respuesta a los requerimientos de tecnologas de informacin,

solicitados a la sede de Trujillo.
Parte del hardware con el que cuenta corresponde a la generacin de los equipos que
cuentan con procesadores Pentium Celeron, Pentium III y Pentium IV, lo que generalmente
Auditora basada en ISO/IEC 17799 para la gestin

de seguridad de las T.I. en la UCV - Piura.
Riega Reto
provoca lentitud en el procesamiento de la informacin, afectando el rendimiento y

productividad del colaborador.
La red de computadoras de la UCV Piura cuenta con equipos de comunicaciones (switch y

router) de diferentes marcas, lo cual dificultad y limita la administracin y seguridad de la
red.
No se cuenta con Plan de Recuperacin de Tecnologas de Informacin para los diferentes

procesos que realizan sus reas que lo integran.
Carece de una administracin y distribucin estratgica de los equipos tecnolgicos, de

acuerdo a las funciones y necesidades de los usuarios.
No se ha implementado formalmente algn procedimiento, norma o estndar para efectuar

los trabajos relacionados a la implementacin y mantenimiento de cableado estructurado de
alguna red.
La Oficina de Tecnologas de Informacin no cuenta con sealizaciones bsicas de

seguridad.
No cuentan con manuales de usuario de los sistemas informticos.
Las reas de: redes, soporte tcnico y desarrollo no cuentan con manuales de procesos y
procedimientos.
El Data Center no cumple con requerimientos mnimos como son:
Sensores de movimiento, apertura, fuego y temperatura.
Control de acceso.
Sistema o equipo contra incendio.
Estandarizacin del cableado.
Etiquetado del cableado.
Aire acondicionado de precisin.
Extintores.
Luces de emergencia.
Circuito Cerrado de Televisin.
La Oficina de Tecnologas de Informacin no cuenta con planes de seguridad de las T.I.
El personal de soporte tcnico no cuenta con capacitaciones que permitan fomentar el

desarrollo de capacidades en aspectos tcnicos como: reparacin y mantenimientos de
equipos como: PCs de escritorio, laptop y Caones multimedia.

10
Riega Reto
JEFATURA DE LA
OFICINA DE
TECNOLOGAS DE
INFORMACIN
ASISTENTE
ADMINISTRATIVA
REA DE REDES
REA DE
DESARROLLO
REA DE
SOPORTE
TCNICO
SOPORTE HW/SW
SOPORTE
ELCTRONICO
FIGURA N 02: Organigrama Estructural de la Oficina de Tecnologas de Informacin.

Fuente: UCVPIURA (2009)
1.1.2 Antecedentes del Problema.

Antecedentes Internacionales
SIERRA & GARRIDO (2004) desarrollaron la tesis Anlisis comparativo entre el enfoque
tradicional y los enfoques modernos de evaluacin y mejora del control interno
(Informes COSO, COCO y COBIT) en las organizaciones. Universidad de Carabobo.
Facultad de Ciencias Econmicas y Sociales
Se ha considerado citar esta tesis por el aporte que brinda del anlisis comparativo entre el
enfoque tradicional y los enfoques modernos de evaluacin y mejora del control interno
(Informes COSO, COCO y COBIT) en las organizaciones.
VARGAS (2002) desarroll la tesis Auditora de Sistemas, en la Universidad Catlica
Boliviana San Pedro.
Lo ms resaltante de esta investigacin es que representa la conclusin de los estudios
realizados en el campo de la Auditora de Sistemas. El resultado del trabajo es la propuesta de
una metodologa para realizar una auditora en informtica, que profundiza de manera
especfica en el rea de auditora de sistemas de informacin.
BORGUELLO (2001) desarroll la tesis Seguridad Informtica, Sus implicancias e
Implementacin, en la Universidad Tecnolgica Nacional.

11
Riega Reto
El autor ha considerado tomar como referencia esta investigacin ya que desarrolla un estudio
completo del estado actual y futuro posible de la Seguridad Informtica, adems brinda un
completo plan de estrategias y metodologas de Seguridad Informtica.
Antecedentes Nacionales
FIGUEROA (2003) desarroll la Auditora de Seguridad, en la Universidad Nacional Jos
Faustino Snchez Carrin. Facultad de Ingeniera.
Es de vital importancia citar esta tesis debido al aporte que brinda como gua en los
cuestionarios y encuestas que se debe realizar
para el desarrollo de la evaluacin de
hardware, aplicaciones del software y plan de contingencia y recuperacin.

MAMANI, AROHUANZA QUINONEZ, MUNOZ & POCOHUANCA (2004) desarrollaron la
Auditoria Informtica a la Municipalidad Provincial Mariscal, en la Universidad Jos Carlos
Maritegui. Facultad Ingeniera de Sistemas e Informtica.
El aporte que brinda esta auditora al trabajo de investigacin es ilustrar sobre la aplicacin de
las Normas Nacionales, el alcance, objetivos, cronograma, documentos a utilizar, metodologa
de investigacin, Informe Final y las respectivas conclusiones del caso.

NAJARRO & FIGUEROA (2005) desarrollaron la tesis Planeamiento Estratgico de
Tecnologas de Informacin de La Escuela Superior Privada de Tecnologa-SENATI, en la
Universidad Nacional Mayor de San Marcos. Facultad de Ciencias Matemticas.
Se ha considerado citar esta tesis debido al aporte que brinda sobre las caractersticas de las
problemticas organizacionales, la situacin con respecto a la competencia a travs de un
Planeamiento Estratgico de Tecnologa de Informacin (PETI) y las recomendaciones
sugeridas del caso a la Escuela Superior Privada de Tecnologa-SENATI.
1.1.3 Formulacin Interrogativa del Problema.
La Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las Tecnologas de
Informacin en la Universidad Csar Vallejo Piura?.
1.1.4 Justificacin de la Investigacin.
Justificacin Cientfica: La presente investigacin de auditora basada en ISO/IEC 17799
para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo
Piura es una investigacin cientfica ya que se apoya en el mtodo cientfico cumpliendo con
cada uno de sus procesos, tambin dejando un precedente para futuros investigadores que
deseen desarrollar una investigacin que tenga relacin con sta.
Justificacin Tecnolgica: Para la Universidad Csar Vallejo-Piura la ejecucin de esta
Auditora basada en ISO/IEC 17799 permitir la mejora de la gestin de la seguridad de las
Tecnologas de Informacin as tambin con esta investigacin se dar cuenta de la

12
Riega Reto
importancia de los Sistemas de Informacin y la importancia de la mismas en el uso de las

organizaciones.
Justificacin Organizacional: Hoy en da las empresas necesitan y dependen cada vez ms
de los Sistemas de Informacin, se tiene que poner mayor nfasis en el control de la
informacin y de las herramientas tecnolgicas utilizadas las cuales son el punto de partida
para el buen funcionamiento y crecimiento de la organizacin.
Justificacin del Investigador: La realizacin del presente proyecto de investigacin ayudar
a conseguir el objetivo que es la realizacin de la Auditora basada en ISO/IEC 17799, adems
de ser requisito indispensable para obtener el ttulo de Ingeniero de Sistemas.
2.1.5 Limitaciones de la Investigacin.
No existen muchos antecedentes de investigacin respecto al tema.
Otra limitacin que se present a lo largo del desarrollo de la tesis es la limitacin de tiempo
con que se contaba para entrevistar a los usuarios de las T.I. y al personal del rea de la
OTI.
1.2 OBJETIVO GENERAL.

Mejorar la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo Piura desarrollando la auditora basada en ISO/IEC 17799, utilizando la Metodologa
COSO.
1.2.1 Objetivos Especficos.
Identificar las amenazas que afectan la seguridad y los procesos de las Tecnologas de
informacin.
Identificar el grado de implementacin de los proyectos de la OTI.
Identificar los procedimientos formales para la concesin, administracin de derechos y

perfiles.
Identificar el registro de revisiones peridicas sobre los derechos concedidos a los usuarios.
Identificar los controles para evitar el acceso fsico no autorizado.
Identificar el nmero de controles preventivos y de deteccin sobre el uso de software de

procedencia dudosa.
Identificar el nmero de procedimientos de respaldos regulares y peridicamente validados.
Identificar el procedimiento formal para reportar incidentes de seguridad de la informacin.
Identificar el registro de incidentes de seguridad de la informacin.
Identificar la Poltica de seguridad de la informacin.
Identificar el Plan de continuidad del negocio.
1.3 HIPTESIS.

13
Riega Reto
La Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las Tecnologas de

Informacin en la Universidad Csar Vallejo-Piura.
1.4 VARIABLES.
1.4.1 Variables Independiente: Auditora basada en ISO/IEC 17799 para la Universidad Csar
Vallejo-Piura.
1.4.2 Variable Dependiente: Gestin de seguridad de las Tecnologas de Informacin en la
Universidad Csar Vallejo- Piura.
1.4.3
Variable Interveniente: Metodologa COSO.
1.5 DISEO DE EJECUCIN.

1.5.1 Poblacin y Muestra.
1.5.1.1 Poblacin.
La poblacin est definida por:
El personal de la Oficina de Tecnologas de Informacin, el cual se encuentra conformado

por doce personas.
REA O CARGO
N DE PERSONAS
Jefatura de OTI
Asistente administrativo
rea de Redes
rea de Soporte Tcnico
rea de Desarrollo
TOTAL
1
1
2
3
5
12
CUADRO N 01: reas de la OTI y su nmero de trabajadores.

Elaborado por el autor
1.5.1.2 Muestra.
Por ser poblacin pequea no se calcular muestra, dado que en la Oficina de Tecnologas de
Informacin no existe gran cantidad de personas que laboren en esa rea.
1.5.2 Tcnicas e instrumentos, fuentes e Informantes.
-
Para el ITEM1: Amenazas que afectan la seguridad y los procesos de las Tecnologas de
informacin, se usar la Gua de observacin N 1.

Para el ITEM2: Grado de implementacin de proyectos de la OTI, se usar la Gua de
observacin N 2.
Para el ITEM3: Procedimientos formales para la concesin, administracin de derechos y
perfiles, se usar la Gua de observacin N 3.

Para el ITEM4: Registro de revisiones peridicas sobre los derechos concedidos a los
usuarios, se usar la Gua de observacin N 4.

Para el ITEM5: Controles para evitar el acceso fsico no autorizado, se usar la Gua de
observacin N 5.
Para el ITEM6: Controles preventivos y de deteccin sobre el uso de software de procedencia
dudosa, se usar la Gua de observacin N 6.

14
Riega Reto
Para el ITEM7, Procedimientos de respaldos regulares y peridicamente validados, se usar
la Gua de observacin N 7.
Para el ITEM8, Procedimiento formal para reportar incidentes de seguridad de la informacin,
se usar la Gua de observacin N 8.

Para el ITEM9: Registro de incidentes de seguridad de la informacin, se usar la Gua de
observacin N 9.
Para el ITEM10: Poltica de seguridad de la informacin, se usar la Gua de observacin N
10.
Para el ITEM11: Plan de continuidad del negocio, se usar la Gua de observacin N 11.
(Ver Anexo N 2).

1.5.3 Formas de Anlisis e Interpretacin de Resultados.
Los datos que se obtengan mediante la aplicacin de las tcnicas antes indicadas, sern
ingresados al programa Excel 2007 para medir los datos; con el cual se podrn determinar las
precisiones porcentuales, los ordenamientos de mayor a menor de los indicadores y
finalmente los resultados sern presentados como informacin en forma de cuadros, grficos,
etc.

15
Riega Reto
CAPTULO II
MARCO REFERENCIAL
2.1 MARCO TERICO REFERENCIAL.

I. Universidad Csar Vallejo-Piura.
Resea Histrica
Por Ley N 25350 se crea la Universidad Privada Csar Vallejo teniendo como sede la ciudad
de Trujillo, inicia sus actividades acadmicas con las siguientes facultades y carreras
profesionales. (El Peruano 1991):
1) FACULTAD DE INGENIERA: con la carrera profesional de Ingeniera Civil.
2) FACULTAD DE ARQUITECTURA: con la carrera profesional de Arquitectura.
3) FACULTAD DE CIENCIAS CONTABLES: con la carrera profesional de contabilidad.
4) FACULTAD DE CIENCIAS MEDICAS: con las carreras profesionales de Obstetricia y
Nutricin.
5) FACULTAD DE EDUCACIN: con las carreras profesionales de:
-Educacin Inicial
-Educacin Primaria y
-Educacin Fsica.
6) FACULTAD DE CIENCIAS DE LA COMUNICACIN: con la carrera profesional de
Periodismo.
7) FACULTAD DE HUMANIDADES.
Por Ley N 26409 se dispone que la Asamblea Nacional de Rectores est facultada para
autorizar excepcionalmente el funcionamiento de nuevas facultades o carreras a solicitud de
la Comisin Organizadora de la Universidad Privada Csar Vallejo. (El Peruano 1994).
Por resolucin N 437-95-ANR del 31 de Marzo de 1995 autoriza el funcionamiento de la
carreras profesionales de Administracin, Ingeniera de Sistemas, Psicologa y Derecho de la
Universidad Privada Csar Vallejo. (ANR 1995).
Por resolucin N 265-2006-CONAFU del 21 de Agosto del 2006 autoriza el funcionamiento
de de las carreras profesionales de Ingeniera Industrial, Administracin en Hotelera y
Turismo, Idiomas y Estomatologa. (CONAFU 1996).
reas funcionales y sus funciones generales.
Direccin General
1. Dictar los reglamentos y resoluciones que sean necesarios para el funcionamiento
adecuado de la Filial.
2. Dirigir y controlar la gestin de la Filial con respecto al rgimen acadmico, econmico y
disciplinario de la Filial, coordinando las funciones acadmicas de investigacin y
extensin que ejecute la Filial.
3. Asistir a las sesiones del Comit Ejecutivo que se rene semanalmente para tratar y
resolver los casos planteados en su agenda.

17
Riega Reto
4. Velar por el cumplimiento de los estatus, reglamentos y polticas que regulan la vida
universitaria.
5. Proponer a las autoridades y funcionarios superiores, para su aprobacin del Comit
Ejecutivo, as como contratar a los docentes y no docentes, personal administrativo y de
servicios que la Filial requiera, de conformidad con los estatutos y reglamentos de la Filial.
6. Proponer al Gerente General el presupuesto anual de la filial y sus modificaciones.
7. Informar al Gerente General de los avances en la ejecucin de la programacin acadmica
y de los planes operativos y presupuestos.
8. Ejecutar las acciones dispuestas por la Gerencia General e informar de los resultados.
9. Evaluar el cumplimiento de los objetivos y metas estratgicas que se logran mediante la
ejecucin de los proyectos, programas y actividades de los planes operativos, disponiendo
de la ejecucin de las medidas correctivas.
10. Las dems que le otorguen la ley y el estatuto.
Departamento de Planificacin y Desarrollo
1. Orientar y coordinar la formulacin del plan estratgico institucional de la Filial,
monitoreando su ejecucin.
2. Coordinar la preparacin del plan de desarrollo y plan operativo de la Filial.
3. Dirigir la planificacin de proyectos de cooperacin tcnica nacional e internacional.
4. Evaluar y controlar la ejecucin de los planes operativos.
5. Orientar y coordinar las lneas de investigacin.
6. Informar respecto a los proyectos normativos y sus modificaciones.
7. Brindar asesora tcnica al comit Ejecutivo, a la Gerencia General y a las Direcciones en
materia de su competencia.
8. Impulsar el proceso de planificacin participativa en todos los rganos funcionales de las
Filiales.
9. Proponer procedimientos especficos para la evaluacin y seguimiento de la marcha de la
institucin.
10. Evaluar y consolidar las necedades de la administracin de la informacin y el desarrollo
informtico.
11. Proponer y evaluar la racionalizacin del uso de los recursos Fsicos en relacin a las
necesidades acadmicas de la Filial.
Departamento de Logstica
1. Dirigir, programar, conducir y monitorear el sistema de abastecimiento de la Universidad.
2. Proponer el plan de compras de la Universidad para cada semestre acadmico en funcin
del presupuesto aprobado y el plan operativo institucional.
3. Evaluar y realizar las acciones de materiales y equipos, y recomendar la contratacin de
servicios que la Universidad requiera para sus acciones acadmicas y administrativas.
4. Proponer, administrar y actualizar el registro de Proveedores.

18
Riega Reto
5. Mantener un registro sistemtico y actualizado de precios de los productos y servicios que

se requieren con frecuencia.
6. Registra el movimiento diario frecuente al ingreso y salida de productos, materiales y
equipos de almacn con su respectiva valorizacin y rgano responsable.
7. Actualizar el Kardex de los productos que justifique tcnica y financieramente su
permanencia en el almacn, definiendo el stock mnimo.
Departamento de Recursos Humanos.
1. Proponer a la Alta Direccin las polticas en materia de reclutamiento, seleccin,
desarrollo, capacitacin, evaluacin, compensacin y relaciones laborales del personal
docente, administrativo y de servicio.
2. Velar por el cumplimiento de las polticas antes referidas.
3. Programar las necesidades de recursos humanos de la institucin y efectuar los procesos
de reclutamiento y seleccin de los mismos.
4. Orientar al nuevo personal acerca de las polticas, normas y procedimiento de la
Universidad, as como sus derechos y obligaciones.
5. Organizar y ejecutar programas de capacitacin y desarrollo del personal docente
administrativo y de sus servicios.
6. Disear y ejecutar programas de recreacin, vivienda, cooperativas de consumo y otras
prestaciones y compensaciones.
7. Disear y aplicar lneas de carreras y el sistema de evaluacin del desempeo.
8. Organizar y ejecutar programas de salud y seguridad para el personal docente
administrativo y de servicio.
9. Controlar la asistencia y puntualidad del personal as como la movilizacin interna del
mismo a travs de rotaciones, transferencia, contrataciones, preparaciones y ceses.
10.
Velar por el mantenimiento de la disciplina y la aplicacin correcta de las leyes y

reglamento en materia laboral.
11. Cautelar la emisin de documentos laborales como contratos, nombramientos,

reconocimientos de derechos, resoluciones de ceses y jubilacin, etc.
12. Elaborar las planillas de sueldo y salarios del personal docente, administrativo y de
servicios.
13. Disear y mantener un adecuado sistema de informacin de recursos humanos para la
toma de decisiones.
14. Tener al da un banco de datos sobre informacin diversa sobre el personal.
15. Otras, que le asigne el director administrativo.
Direccin Acadmica
1. Supervisar y evaluar el trabajo curricular de las Facultades y otras unidades acadmicas,
coordinando con los decanos y responsables de dichas unidades.
2. Coordinar y orientar la Educacin.

19
Riega Reto
3. Emitir informes tcnicos sobre asuntos y eventos acadmicos.

4. Emitir opinin tcnica sobre casos de creacin, funcin o supresin de Facultades y otras
unidades acadmicas.
5. Orientar y supervisar la organizacin y el funcionamiento de las Bibliotecas, Hemerotecas,
Videotecas, Fonotecas y otras.
6. Otras que le sean encomendadas por el Rector.
Direccin de Asuntos Estudiantiles.
1. Planificar y proponer las polticas de proyeccin de extensin universitaria.
2. Organizar y promover las actividades de proyeccin y extensin
universitaria en
coordinacin con las escuelas profesionales.

3. Disear y ejecutar estrategias de integracin de la Universidad con la comunidad
organizada en materia de proyeccin y extensin universitaria.
4. Organizar y desarrollar actividades y servicios de bienestar universitario.
5. Apoyar a los egresados en la obtencin de ofertas laborales, becas de estudios y
programas de educacin continua.
6. Investigar la problemtica de los diferentes componentes personales de la Universidad y
disear soluciones.
7. Promover convenios con entidades nacionales y extranjeras sobre proyeccin social y
extensin universitaria.
Oficina de Tecnologas de Informacin.
1. Planificar, disear, implementar y administrar la red informtica mantenindola operativa.
2. Evaluar y gestionar los recursos tecnolgicos de la filial.
3. Velar por el cumplimiento de las normas de seguridad de un modelo integrado, coherente
y consistente de los datos de dominio institucional.
4. Administrar datos para asegurar el mantenimiento de un modelo integrado, coherente y
consistente de los datos de dominio institucional.
5. Disear y mantener actualizado el sistema de la filial.
6. Disear, instalar, poner en operacin y administrar los laboratorios de cmputo.
7. Brindar el servicio de mantenimiento del equipamiento tecnolgico de la filial a las diversas
unidades acadmicas y administrativas.
8. Capacitar y dar soluciones en materia de tecnologa electrnica e informtica a las reas
de la filial.

20
Riega Reto
FIGURA N 01: Organigrama Estructural de la Universidad Privada Csar Va

Fuente: Man
OFICINA DE TECNOLOGAS DE INFORMACIN

21
Riega Reto
II. Auditora basada en ISO/IEC 17799.

Auditora
La Auditora cumple una funcin muy valiosa e independiente, no toma acciones pero emite
opiniones y recomendaciones que deben tomarse en cuenta en la toma de decisiones. La
auditora se apoya de herramientas de anlisis, verificacin y exposicin conformando as
elementos de juicio, los cuales permitirn determinar las debilidades y disfunciones.
Auditora Interna y Auditora Externa
Existen dos tipos de auditora, la Auditora Interna y la Auditora Externa, de las cuales en el
caso de la Auditora Interna es realizada con recursos humanos y materiales propios de la
empresa, ya que la sta cuenta en su estructura organizacional con un rea o unidad de
control interno. Adems este tipo de auditora es permanente y recurrente y se encarga de
elaborar el Plan anual de control donde se consideren las actividades de control a desarrollar
durante el ejercicio en curso.
En el caso de la Auditora Externa el personal que realiza este tipo de actividad de control no
mantiene relacin alguna de dependencia con la entidad auditada, es decir, el personal que
desarrolla la auditoria labora para las entidades supervisoras de la empresa auditada, o para
empresas especializadas en auditoria que desarrollan actividades de control a diferentes
organizaciones.
Para el caso de la Auditora de Tecnologas de Informacin puede ser desarrollada tanto de
manera interna como externa, la misma que se puede desarrollar peridicamente.
Tipos y clases de Auditora
El departamento de informtica a pesar de tener sus actividades dentro de la misma empresa,
trabaja como si fuera una entidad independiente, debido a que su actividad est proyectada al
exterior y a los usuarios, de aqu nace la Auditora Informtica de Usuario, la misma que se
distingue de la informtica interna, ya que en esta ltima se realiza una actividad informtica
cotidiana y real, es por ello que existe una Auditora Informtica de Actividades Internas.
La direccin es quien realiza el control de las actividades del departamento de informtica con
el exterior. La importancia de ese control se debe a que es posible entender las necesidades
que tiene la compaa. El apoyo de la direccin a la Informtica frente al exterior es muy
importante para que esta sea eficiente y eficaz. Este tipo de relaciones forma lo que se
conoce como Auditora Informtica de Direccin y su objetivo.
Con estos tres tipos de Auditora, y sumado a esta la Auditora de Seguridad, se determina
las cuatro grandes reas Generales de la Auditora Informtica ms importantes.
Dentro de estas reas Generales existen otras divisiones en la que la Auditora Informtica se
subdivide, estas son:
22
Riega Reto
Auditoras de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos.

Conformando as las reas especficas de la Auditora Informtica ms importantes.
Los criterios que se aplican para cada rea especfica en una auditora son:
- Se debe tomar desde el punto de vista de la seguridad que la informtica ofrece en general,
o en la rama que se est auditando.
- Desde el funcionamiento interno.
- De acuerdo al apoyo que se recibe desde la direccin, realizndola en un sentido
ascendente, del grado de cumplimiento de las directrices de sta.
- Considerando las necesidades de los usuarios juntamente con sus perspectivas.
Los criterios que se han mencionado pueden ser ampliados, y establecidos de acuerdo a la
real necesidad de la empresa Auditada y a sus caractersticas. (INEI 2008).
ISO/IEC 17799
ISO (la Organizacin Internacional de Estandarizacin) e IEC (la Comisin Electrotcnica
Internacional) forman el sistema especializado para la estandarizacin mundial. Los
organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estndares
Internacionales a travs de los comits establecidos por la organizacin respectiva para lidiar
con reas particulares de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran
en campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, junto con ISO e IEC, tambin participan en el trabajo. En el campo de la
tecnologa de la informacin.
La Norma Tcnica Peruana ISO/IEC 17799 ha sido elaborada por el Comit Tcnico de
Normalizacin de Codificacin e Intercambio Electrnico de datos (EDI), durante los meses
de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005
Informacin technology Code of practice for information security management.
El Comit Tcnico de Normalizacin de Codificacin e Intercambio Electrnico de Datos (EDI)
present a la Comisin de Reglamentos Tcnico y Comerciales -CRT-, con fecha 2006-07-21,
el PNTP-ISO/IEC 17799:2006 para su revisin y aprobacin; siendo sometido a la etapa de
Discusin Pblica el 2006-11-25. No habindose presentado observaciones fue oficializada
como Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin.
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, segunda
edicin, el 22 de enero del 2007. (NTP-ISO/IEC 17799 2009).
Esta Norma Tcnica Peruana establece recomendaciones para realizar la gestin de la
seguridad de la informacin que pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una organizacin. Persigue proporcionar una base comn para

23
Riega Reto
desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la
gestin de la seguridad, as como proporcionar confianza en las relaciones entre
organizaciones. Las recomendaciones que se establecen en esta NTP deberan elegirse y
utilizarse de acuerdo con la legislacin aplicable en la materia. (CENTP 2009).
Estructura de este estndar
Este estndar contiene 11 clusulas de control de seguridad que contienen colectivamente un
total de 39 categoras principales de seguridad y una clusula introductoria conteniendo
temas de evaluacin y tratamiento del riesgo. (NTP ISO/IEC 17799 2009).
Clusulas
Cada clusula contiene un nmero de categoras principales de seguridad. Las 11 clusulas
(acompaadas por el nmero de categoras principales de seguridad incluidas en cada
clusula) son:
a) Poltica de seguridad (1);
b) Organizando la seguridad de informacin (2);
c) Gestin de activos (2);
d) Seguridad en recursos humanos (3);
e) Seguridad fsica y ambiental (2);
f) Gestin de comunicaciones y operaciones (10);
g) Control de acceso (7);
h) Adquisicin, desarrollo y mantenimiento de sistemas de informacin (6);
i) Gestin de incidentes de los sistemas de informacin (2);
j) Gestin de la continuidad del negocio (1);
k) Cumplimiento (3)
III. Gestin de la seguridad de las Tecnologas de Informacin.
Gestin.
Gestin es la accin y efecto de administrar. (RAE 2009).
Administrar es: gobernar, dirigir una institucin, ordenar, disponer, organizar, suministrar,
proporcionar o distribuir algo. (RAE 2009).
Seguridad.
Cualidad de seguro. (RAE 2009).
Seguro

24
Riega Reto
Libre y exento de todo peligro, dao o riesgo. (RAE 2009).
Tecnologas de Informacin.
Se conoce como Tecnologa de Informacin (TI) a la utilizacin de tecnologa
especficamente computadoras y ordenadores electrnicos - para el manejo y procesamiento
de informacin especficamente la captura, transformacin, almacenamiento, proteccin, y
recuperacin de datos e informacin. (DEGERENCIA 2008).
Generalmente todos pensamos que las Tecnologas de Informacin solo se usan en la etapa
de produccin, y vienen a nuestra mente los grandes sistemas de manufactura, o los
sistemas automatizados de produccin continua, sin embargo, actualmente las Tecnologas
de Informacin debern de estar presentes en todas las actividades de la empresa, en decir,
en las etapas de entrada, conversin y salida.
En la etapa de entrada, las tecnologas de informacin debern contener todas las
habilidades, procedimientos y tcnicas que permitan a las organizaciones manejar
eficientemente las relaciones existentes con los grupos de inters (Clientes, proveedores,
gobierno, sindicatos y pblico en general) y el entorno en el que se desenvuelven.
En la etapa de conversin, las Tecnologas de Informacin en combinacin con la
maquinaria, tcnicas y procedimientos, transforman las entradas en salidas.
Una mejor
tecnologa permite a la organizacin aadir valor a las entradas para disminuir el consumo as
como el desperdicio de recursos.
En la etapa de salida, las Tecnologas de Informacin permiten a la empresa ofrecer y
distribuir servicios y productos terminados. Para ser efectiva, una organizacin deber poseer
tcnicas para evaluar la calidad de sus productos terminados, as como para el marketing,
venta y distribucin y para el manejo de servicios de postventa a los clientes.
Las Tecnologas de Informacin en los procesos de entrada, conversin y salida dan a la
compaa una importante ventaja competitiva. Porqu Microsoft es la ms grande compaa
de software?
Por qu Toyota es la manufacturera automotriz ms eficiente?
McDonalds es la ms eficiente compaa de comida rpida?
Porqu
Cada una de estas
organizaciones sobresale en el desarrollo, administracin y uso de Tecnologas de

Informacin para administrar el entorno organizacional y crear valor para toda la compaa.
(UTP 2009)

25
Riega Reto
Gobierno de TI
El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los
procesos y las estructuras que aseguran que las tecnologas de la organizacin apoyen los
objetivos y estrategias de la empresa.
Sistemas
Operativos
FIGURA N 03: Entorno actual de las T.I.

Fuente: NEYRA Crdova, Omar (2008).
Su objetivo es asegurar que las tecnologas aportan valor a la empresa y que el riesgo
asociado a ellas est bajo control. Para extraer valor de la tecnologa, es necesario alinear las
TI con la estrategia de negocio. Por su parte, la gestin del riesgo tiene mltiples dimensiones
que incluyen aspectos como la seguridad, la recuperacin de desastres o la privacidad.
IV. Metodologa de Desarrollo.
4.1 COBIT: Control Objectives for Information and related Technology
La Information Systems Audit and Control Foundation (ISACF) desarroll los Objetivos de
Control para la Informacin y Tecnologa relacionada (COBIT) para servir como una
estructura generalmente aplicable y prcticas de seguridad y control de SI para el control de
la tecnologa de la informacin. Esta estructura COBIT le permite a la gerencia comparar
(benchmarking) la seguridad y prcticas de control de los ambientes de TI, permite a los
usuarios de los servicios de TI asegurarse que existe una adecuada seguridad y control y
permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre
materias de seguridad y control de TI.
La motivacin primaria para brindar esta estructura fue posibilitar el desarrollo de una
poltica clara y buenas prcticas para el control de TI a travs de toda la industria en todo el
mundo.

26
Riega Reto
La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el
control de TI, una lista de Objetivos de Control, y un conjunto de Guas de Auditora. (Los
objetivos de control y las guas de auditora estn referenciadas a la estructura).
Las fases futuras del proyecto proveern guas de auto-evaluacin para la direccin e
identificarn objetivos nuevos o actualizados mediante incorporacin de otros estndares
globales de control que se identifiquen.
Adems, agregar guas de control e identificar indicadores claves de desempeo.
Definicin: COBIT adapt su definicin de control a partir de COSO: Las polticas,
procedimientos, prcticas y estructuras organizacionales estn diseadas para proveer
aseguramiento razonable de que se lograrn los objetivos del negocio y que se prevendrn,
detectarn y corregirn los eventos no deseables.
COBIT adapta su definicin de un objetivo de control de TI del SAC: Una declaracin del
resultado deseado o propsito a lograr implementando procedimientos de control en una
actividad particular de TI.
COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del
negocio. El documento describe objetivos de control de TI independientes de plataformas y
aplicaciones.
Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicacin,
tecnologa, instalaciones y gente. Los datos son definidos en su sentido ms amplio e
incluyen no slo nmeros, textos y fechas, sino tambin objetos tales como grficos y
sonido. Los sistemas de aplicacin son entendidos como la suma de procedimientos
manuales y programados.
La tecnologa se refiere al hardware, sistemas operativos, equipos de redes y otros.
Instalaciones son los recursos utilizados para albergar y soportar los sistemas de
informacin. Gente comprende las capacidades y habilidades individuales para planear,
organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de informacin.
Requerimientos: Para satisfacer los objetivos del negocio, la informacin necesita
conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del
negocio respecto de la informacin. COBIT combina los principios incorporados en los
modelos de referencia existentes en tres amplias categoras: calidad, responsabilidad
fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categoras
superpuestas de criterios para evaluar cun bien estn satisfaciendo los recursos de TI los
requerimientos de informacin del negocio. Estos criterios son efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin.

27
Riega Reto
Procesos y Dominios: En base al anlisis de un documento del Reino Unido sobre

prcticas de administracin de TI de la biblioteca de infraestructura tecnolgica (ITIL),
COBIT clasifica los procesos de TI en cuatro dominios.
Estos cuatro dominios son (1) planeamiento y organizacin, (2) adquisicin e
implementacin, (3) entrega y soporte y (4) monitoreo. El agrupamiento natural de procesos
en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras
organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en
cualquier ambiente de TI.
COBIT presenta una estructura de control para los propietarios de los procesos del negocio.
Cada vez ms, la direccin est totalmente facultada con responsabilidad y autoridad
completa por los procesos del negocio.
COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI,
cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos,
271 objetivos de control referenciados a esos 32 procesos y guas de auditora vinculadas a
los objetivos de control.
Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los
procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por
la declaracin de control, identifica los recursos de TI administrados por los procesos,
establece los controles habilitados y lista los principales objetivos de control aplicables.
4.2 Informe SAC
El informe SAC define el sistema de control interno, describe sus componentes, provee
varias clasificaciones de los controles, describe objetivos de control y riesgos, y define el rol
del auditor interno. El informe provee una gua sobre el uso, administracin y proteccin de
los recursos de tecnologa informtica y discute los efectos de la computacin de usuario
final, las telecomunicaciones y las tecnologas emergentes.
Definicin: El informe SAC define a un sistema de control interno como: un conjunto de
procesos,
funciones,
actividades,
subsistemas,
gente
que
son
agrupados
conscientemente segregados para asegurar el logro efectivo de los objetivos y metas.

El informe enfatiza el rol e impacto de los sistemas computarizados de informacin sobre el
sistema de control interno. El mismo acenta la necesidad de evaluar los riesgos, pesar los
costos y beneficios y construir controles en los sistemas en lugar de agregarlos luego de la
implementacin.
Componentes: El sistema de control interno consiste en tres componentes: el ambiente de
control, los sistemas manuales y automatizados y los procedimientos de control. El
ambiente de control incluye la estructura de la organizacin, la estructura de control, las
polticas y procedimientos y las influencias externas. Los sistemas automatizados consisten
en sistemas y software de aplicacin. SAC discute los riesgos de control asociados con los
28
Riega Reto
sistemas de usuario final y departamentales pero no describe ni define los sistemas

manuales. Los procedimientos de control consisten en controles generales de aplicaciones y
compensatorios.
Clasificaciones: SAC provee cinco esquemas de clasificacin para los controles internos
en los sistemas informticos: (1) preventivos, detectivos, y correctivos, (2) discrecionales y
no-discrecionales, (3) voluntarios y obligatorios, (4) manuales y automatizados y (5)
controles de aplicaciones y generales. Estos esquemas se enfocan en cundo se aplica el
control, si el control puede ser evitado, quin impone la necesidad del control, cmo se
implementa el control, y dnde se implementa el control en el software.
Objetivos de Control y Riesgos: Los riesgos incluyen fraudes, errores, interrupcin del
negocio, y el uso ineficiente e inefectivo de los recursos. Los objetivos de control reducen
estos riesgos y aseguran la integridad de la informacin, la seguridad, y el cumplimiento. La
integridad de la informacin es resguardada por los controles de calidad del input,
procesamiento, output y software. Las medidas de seguridad incluyen los controles de
seguridad de los datos, fsica y de programas. Los controles de cumplimiento aseguran
conformidad con las leyes y regulaciones, los estndares contables y de auditora, y las
polticas y procedimientos internos.
Rol del Auditor Interno: Las responsabilidades de los auditores internos incluyen asegurar
la adecuacin del sistema de control interno, la confiabilidad de los datos y el uso eficiente
de los recursos de la organizacin. A los auditores internos tambin les concierne la
prevencin y deteccin de fraudes, y la coordinacin de actividades con los auditores
externos. Para los auditores internos es necesaria la integracin de las habilidades de
auditora y sistemas de informacin y una comprensin del impacto de la tecnologa
informtica sobre el proceso de auditora. Estos profesionales realizan ahora auditorias
financieras, operativas y de los sistemas de informacin.
4.3 COSO (Comit de organizaciones patrocinadoras de la comisin Treadway).
El informe COSO define el control interno, describe sus componentes, y provee criterios
contra los cuales pueden evaluarse los sistemas de control.
El informe ofrece una gua para la elaboracin de informes pblicos sobre control interno y
provee materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un
sistema de control interno. Dos objetivos principales del informe son (1) establecer una
definicin comn de control interno que sirve a muchas partes diferentes, y (2) provee un
estndar contra el cual las organizaciones pueden evaluar sus sistemas de control y
determinar cmo mejorarlos.

29
Riega Reto
Definicin: El informe COSO define control interno como: un proceso, efectuado por el
directorio, la gerencia y otro personal de la entidad, diseado para proveer un
aseguramiento razonable en relacin al logro de los objetivos en las siguientes categoras:
Efectividad y eficiencia de las operaciones

Confiabilidad de los reportes financieros
Cumplimiento con las leyes y regulaciones aplicables.
Aunque el informe define el control interno como un proceso, recomienda evaluar la
efectividad del control interno a un momento dado.
Componentes:
El
sistema
de
control
interno
consiste
en
cinco
componentes
interrelacionados: (1) ambiente de control, (2) evaluacin de riesgos, (3) actividades de

control, (4) informacin y comunicacin, y (5) monitoreo. El ambiente de control provee la
base para los otros componentes. El mismo abarca factores tales como filosofa y estilo
operativo de la gerencia, polticas y prcticas de recursos humanos, la integridad y valores
ticos de los empleados, la estructura organizacional, y la atencin y direccin del directorio.
El informe COSO brinda una gua para evaluar cada uno de estos factores. Por ejemplo, la
filosofa gerencial y el estilo operativo pueden ser evaluados examinando la naturaleza de
los riesgos del negocio que acepta la gerencia, la frecuencia de su interaccin con los
subordinados, y su actitud hacia los informes financieros.
La evaluacin de riesgo consiste en la identificacin del riesgo y el anlisis del riesgo. La
identificacin del riesgo incluye examinar factores externos tales como los desarrollos
tecnolgicos, la competencia y los cambios econmicos, y factores internos tales como
calidad del personal, la naturaleza de las actividades de la entidad, y las caractersticas de
procesamiento del sistema de informacin. El anlisis de riesgo involucra estimar la
significacin del riesgo, evaluar la probabilidad de que ocurra y considerar cmo
administrarlo.
Las actividades de control consisten en las polticas y procedimientos que aseguran que los
empleados lleven a cabo las directivas de la gerencia. Las actividades de control incluyen
revisiones del sistema de control, los controles fsicos, la segregacin de tareas y los
controles de los sistemas de informacin. Los controles sobre los sistemas de informacin
incluyen los controles generales y los controles de las aplicaciones. Controles generales son
aquellos que cubren el acceso, el desarrollo de software y sistemas.
Controles de las aplicaciones son aquellos que previenen que ingresen errores en el
sistema o detectan y corrigen errores presentes en el sistema.
La entidad obtiene informacin pertinente y la comunica a travs de la organizacin. El
sistema de informacin identifica, captura y reporta informacin financiera y operativa que
es til para controlar las actividades de la organizacin. Dentro de la organizacin, el
personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema de
control interno, tomar seriamente sus responsabilidades por el control interno, y, si es
30
Riega Reto
necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los
individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el
mensaje de que la entidad no tolerar acciones impropias.
La gerencia monitorea el sistema de control revisando el output generado por las
actividades regulares de control y realizando evaluaciones especiales.
Las actividades regulares de control incluyen comparar los activos fsicos con los datos
registrados, seminarios de entrenamiento, y exmenes realizados por auditores internos y
externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las
deficiencias encontradas durante las actividades regulares de control son normalmente
reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones
especiales son normalmente comunicadas a los niveles altos de la organizacin.
Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control
interno, los roles y responsabilidades de las partes que afectan a un sistema. Las
limitaciones incluyen el juicio humano defectuoso, falta de comprensin de las instrucciones,
errores, atropellos de la gerencia, colusin, y consideraciones de costo versus beneficio.
El informe COSO define deficiencias como "condiciones dentro de un sistema de control
interno digno de atencin". Las deficiencias deberan ser reportadas a la persona
responsable por la actividad y a la gerencia que est como mnimo un nivel por encima del
individuo responsable.
Un sistema de control interno es juzgado efectivo si estn presentes y funcionando
efectivamente los cinco componentes respecto de las operaciones, los reportes financieros
y el cumplimiento.

31
Riega Reto
4.4 Justificacin de Metodologa a utilizar

Atributo
Audiencia
Primaria
Control Interno
visto como
COBIT
Direccin, usuarios,
SAC
Auditores Internos
COSO
Auditores Internos,
auditores de SI
Conjunto de
Conjunto de
Direccin
Procesos
procesos
procesos,
incluyendo polticas,
subsistemas y gente
procedimientos,
prcticas
estructuras
organizacionales
Objetivos
Organizacionale
s
del Control
Interno
Operaciones Efectivas Operaciones Efectivas Operaciones Efectivas

y eficientes.
Confidencialidad,
Integridad y
disponibilidad de
informacin.
Informes financieros
Confiables.
Cumplimiento de las
y eficientes.
y eficientes.
Informes financieros Informes financieros
Confiables.
confiables.
Cumplimiento de las
Cumplimiento de las
leyes y regulaciones.
Componentes o
Dominios
Dominios:
Componentes:
Planeamiento y
organizacin
Adquisicin e
implementacin
Entrega y soporte
Monitoreo y
Componentes:
Ambiente de Control
Manual y
Supervisin
Ambiente de Control
Administracin de
Automatizado
Riesgos
Procedimientos de
Actividades
de Control
Control de Sistemas
Informacin y
Comunicacin
evaluacin.
Foco
Efectividad del
CI
Evaluado
Responsabilidad
Tecnologa
Tecnologa
Tecnologa
Informtica
Por un perodo de
Informtica
Por un perodo de
Informtica
En un momento
tiempo
tiempo
dado
Direccin
Direccin
Direccin
por el Sistema
de Control
Interno
CUADRO N 02: Comparacin de las Metodologas.
Elaborado por el autor.

32
Riega Reto
2.2 MARCO CONCEPTUAL.

Auditora basada en ISO/IEC 17799 en la Universidad Csar Vallejo-Piura.
La Auditora cumple una funcin muy valiosa e independiente, no toma acciones pero emite
opiniones y recomendaciones que deben tomarse en cuenta en la toma de decisiones. (INEI
2008); y la NTP ISO/IEC 17799 establece recomendaciones para realizar la gestin de la
seguridad de la informacin que pueden utilizarse por los responsables de iniciar, implantar o
mantener la seguridad (NTP ISO/IEC 17799 2009) para la Universidad Csar Vallejo-Piura.
Gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura.
Gestionar o administrar. (RAE 2009) de Libre y exento de todo peligro, dao o riesgo. (RAE
2009) a un gobierno de TI, ayuda a garantizar que la TI soporte las metas del negocio,
optimice la inversin del negocio en TI, y administre de forma adecuada los riesgos y
oportunidades asociados a la TI. (DELTA 2004); para la Universidad Csar Vallejo-Piura.

33
Riega Reto
CAPTULO III
DESARROLLO DE LA INVESTIGACIN
3.1 PLANIFICACIN DE LA AUDITORIA.

3.1.1 Determinacin del Objetivo y Alcance de la auditora.
-
VER ANEXO N 19 INFORME FINAL.

3.1.2 Actividades realizadas en la Auditora.
Para el desarrollo de la Auditora se realizaron las siguientes actividades:
Entrega de Solicitud documentacin a la OTI.

Desarrollo de Evaluaciones al personal de la OTI.
Desarrollo de Entrevistas con los usuarios de las tecnologas de informacin (personal
administrativo).
Desarrollo de Entrevistas con los jefes de rea.
Registro de Informacin en Guas de observacin.
Desarrollo de cuestionarios por rea.
3.1.3 Anlisis del ambiente a Auditar y del entorno Auditable.
Para analizar el entorno a auditar realic un anlisis de la OTI, para la cual me apoye en el
organigrama del mismo.
3.1.4 Determinacin de los recursos de la Auditora Informtica.
Humanos:
En esta investigacin participan directamente indirectamente las siguientes personas:
Investigador:
Marco Antonio Riega Reto.

Asesor:
Ingeniero Juan Miguel Espinoza Saucedo.
Materiales.
Hardware:
Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador
DVD.
Una impresora Canon IP1000.
Mouse Delux V3.
Software:
Windows XP SP3.
Microsoft Office 2007 (Word, Excel, PowerPoint, Project)
WinRar 3.6.2.
WinZip 10.
Nero 7 Premium.
Adobe Reader 9.
WinAudit 2.1.7.0.
The Dude Freeware 3.4.
35
Riega Reto
Otros Materiales:
Materiales de escritorio.(1 lpiz, 3 lapiceros, 1 grapadora, 1 perforador, 1 regla de 30 cm)
1 Millar Papel A4.
5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon
IP1000.
1 CDs de 700 MB.
2 Flderes Manila A4 Grafos.
Duracell Plus 9v Battery.
Probador de Cables de Red UTP.
3.2 EJECUCIN DE LA AUDITORA METODOLOGA COSO BASADA EN ISO/IEC 17799.

I EL ENTORNO DE CONTROL.
1.1 Solicitud de Manuales y Documentaciones.
Se redacto un oficio en el cual se solicit la documentacin bsica, documentos e informacin
con la que debe contar toda rea encargada de administrar las tecnologas de Informacin, la
cual fue dirigida a la Jefatura de la OTI.
-
VER ANEXO N 07 FORMATO DE LA SOLICITUD DE DOCUMENTACIN.

II LA MEDICIN DE RIESGOS.
2.1 Evaluacin y tratamiento del riesgo.
2.2 Poltica de seguridad
2.3 Aspectos organizativos para la seguridad
Pre test.
VER ANEXO N 08: FORMATO DE LA ENTREVISTA DE USUARIO.

III EL CONTROL DE ACTIVIDADES
En esta fase se aplicaron evaluaciones y cuestionarios en los cuales se evalu:
3.1Clasificacin y control de activos.
3.2 Seguridad en recursos humanos.
3.3 Seguridad fsica y del entorno.
VER ANEXO N 09: FORMATO DE EVALUACIN DEL CUMPLIMIENTO DE LAS
FUNCIONES DE LAS REAS DE LA OTI.

VER ANEXO N 10: FORMATO DE LA EVALUACIN DEL PLAN OPERATIVO.
VER ANEXO N 11: FORMATO DE LA EVALUACIN DEL REA DE LA OTI.
ANEXO N 15: FORMATO DEL CUESTIONARIO APLICADO A LA JEFATURA DE LA OTI.
ANEXO N 16: FORMATO DE LA ENTREVISTA APLICADA A LOS JEFES DE LAS REAS
DE LA OTI.
ANEXO N 17: FORMATO DE LA ENTREVISTA CON EL PERSONAL DE LA OTI.
IV LOS SISTEMAS DE COMUNICACIN Y LOS SISTEMAS DE INFORMACIN
4.1 Gestin de comunicacin y operaciones

36
Riega Reto
4.2 Control de accesos.

4.3 Adquisicin, desarrollo y mantenimiento de sistemas.
-
VER ANEXO N 12: FORMATO DE LA EVALUACIN AL REA DE REDES

VER ANEXO N 13: FORMATOS DE LAS EVALUACINES AL REA DE DESARROLLO
VER ANEXO N 14: FORMATO DE LA EVALUACIN AL REA DE SOPORTE TECNICO.
V EL SISTEMA DE MONITOREO
Para esta fase de monitoreo se aplico el Pos Test, el cual me sirvi para evaluar lo relacionado
a:
5.1 Gestin de incidentes en la seguridad de informacin.
5.2 Gestin de continuidad del negocio.
VER ANEXO N 03: FORMATO DE LAS GUAS DE OBSERVACIN.
3.3 SEGUIMIENTO.
En esta etapa se realizo la:
3.3.1 Revisin de los papeles de trabajo y desarrollo de las deficiencias.
3.3.2 Elaboracin de la Carta de Introduccin correspondiente al Informe final.
-
VER ANEXO N 18 PAPELES DE TRABAJO.

3.4 INFORME.
3.4.1 Elaboracin y presentacin del Informe.
Se elabor y present el informe final a la Jefatura de la OTI.
-

37
Riega Reto
CAPTULO IV
DISCUSIN DE RESULTADOS
4.1 RESULTADOS
4.1.1 Amenazas identificadas que afectan la seguridad y los procesos de las Tecnologas de
informacin.
Cuadro N 03: Resultado ITEM 1
PRE TEST
Nmero de amenazas identificadas que
POST TEST
Nmero de amenazas identificadas que
afectan la seguridad y los procesos de
afectan la seguridad y los procesos de
las Tecnologas de informacin.

0
las Tecnologas de informacin.

24
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en ISO/IEC 17799 para la gestin
de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Autor: Elaborado por el Tesista.
Como se puede apreciar, el Pre Test se evidencia que no se han identificado las amenazas que
afectan la seguridad y los procesos de las Tecnologas de informacin, sin embargo despus del
Post Test, se han identificado Veinticuatro (24) amenazas. Se comprueba que aplicando la
Auditora basada en ISO/IEC 17799 se reconocen algunas amenazas que afecten la seguridad de
informacin, y con ello es necesario que se implementen controles y estrategias que permitan
enfrentar las amenazas y reducir los efectos de stas.
Grfico N 01: Resultado ITEM 1

39
Riega Reto
30
24
25
20
15
10
5
0
Las amenazas identificadas que afectan la seguridad y los procesos de las Tecnologas de
informacin en la UCV-Piura son las siguientes:
Amenazas Naturales
-
Sismos.
Altas temperaturas, calor.
Fenmeno del Nio.
Amenazas No Naturales
-
Incendios
Acceso no autorizado a recursos y/o informacin.
Exposicin no autorizada de informacin.
Robo de equipos.
Robo de datos.
Falla en los servicios de telefnica.
Falla en los servicios elctricos.
Falla en la plataforma de interconexin.
Fraude.
Errores humanos.
Ausencia del personal de la OTI con responsabilidades criticas.
Atentados.
Software malicioso.

40
Riega Reto
Ataque de hackers y/o cracker.
Vandalismo.
Terrorismo.
Explosin.
Incendio externo.
Incendio interno.
Cortocircuito.
Falta de concientizacin en seguridad de T.I.
4.1.2 Grado de implementacin de los proyectos de la OTI.
PRE TEST
POST TEST
Grado de implementacin de los proyectos de la OTI :
Proyectos
Estado
Estado
Certificar a 01 trabajadores de la OTI en Ms
Terminada
En ejecucin
Office
Asistir a cursos de Atencin al Cliente
Capacitar
en
cursos
de
Redes
y
Telecomunicaciones
Capacitar al Soporte Tcnico de la OTI en
Cableado Estructurado
"Certificar al Personal de la OTI en: Microsoft,
Cisco,
HP(equipos
computacionales
y
multimedia), u otros"
Implementacin de una red Inalmbrica entre
Villa Rosita y la UCV Piura
Ampliacin de Anexos Telefnicos
Implementacin del Backbone de Fibra ptica
para el nuevo Edificio de Biblioteca
"Desarrollo y Actualizacin Web (Harvard
College, Centro Comunitario Santa Rosa,
Centro Mdico San Antonio, Consultorio
Jurdico, CEPRE)."

41
En ejecucin
Terminada
Cancelada
Cancelada
En ejecucin
Terminada
Sin ejecutar
Sin ejecutar
Sin ejecutar
Sin ejecutar
Cancelada
Cancelada
En ejecucin
Terminada
En ejecucin
Terminada
Riega Reto
"Desarrollo e Implementacin del Sistema

Acadmico para la I.E.A. ""Harvard College"""
Cambio del Sistema de Componentes al nuevo
Sistema de Soporte Tcnico (Windows y Web)
Rediseo y/o Documentacin de la Red Lgica
y Fsica de la UCV Piura.
Plan de Seguridad de la Informacin.
Realizar el Inventario Fsico y Lgico de la UCV
Piura y realizar el mantenimiento preventivo y
correctivo de los equipos computacionales de la
UCV Piura.
Realizacin de los Backup's de la Base de
Datos de Piura
"Cableado de los nuevos ambientes de Cepre,
Promocin, Esc. Medicina, Esc. Enfermera y
Esc. Marketing. Elaboracin de puntos de voz y
datos"
Implementacin de la Telefona IP en la UCV
Piura
"Adquisicin, Instalacin y Configuracin de
equipos de comunicacin para el nuevo Edificio
de Biblioteca"
En ejecucin
En ejecucin
En ejecucin
Terminada
En ejecucin
En ejecucin
Sin ejecutar
Sin ejecutar
En ejecucin
En ejecucin
En ejecucin
En ejecucin
En ejecucin
Terminada
En ejecucin
Terminada
En ejecucin
Terminada
Fuente:
-
Pre Test y Pos Test de la Tesis Auditora basada en COBIT de la Gestin de Tecnologas
de Informacin en la Universidad Csar Vallejo-Piura

Plan operativo de la OTI 2009.
Como se puede apreciar, en el Pre Test no se evidencia la implementacin total de algunos de los
proyectos, mientras que como resultado del Post Test se puede observar que se tienen once (11)
proyectos implementados, ello como efecto de desarrollar la actividad de control basada en la NTP
ISO 17799.

42
Riega Reto
12
11
10
8
6
4
2
0

43
Riega Reto
4.1.3 Procedimientos formales identificados para la concesin, administracin de derechos

y perfiles.
PRE TEST
Procedimientos formales para la
POST TEST
Procedimientos formales para la
concesin, administracin de derechos
concesin, administracin de derechos
y perfiles
y perfiles
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en COBIT de la Gestin de
Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
Del resultado del PreTest, se constata que la OTI no cuenta con procedimientos formales para la
concesin, administracin de derechos y perfiles de los usuarios. Del desarrollo del Post Test se
tiene la propuesta de implementar el Procedimiento formal para la concesin, administracin de
derechos y perfiles, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC
17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.

44
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0
4.1.4 Registro de revisiones peridicas identificadas sobre los derechos concedidos a los
usuarios.
PRE TEST
Registro de revisiones peridicas sobre
POST TEST
Registro de revisiones peridicas sobre
los derechos concedidos a los usuarios.
los derechos concedidos a los usuarios.
Fuente: Pre Test y Pos Test de la Tesis Auditora basada en COBIT de la Gestin de
Tecnologas de Informacin en la Universidad Csar Vallejo-Piura
La OTI de la UCV Piura, carece de un Registro de revisiones peridicas sobre los derechos
concedidos a los usuarios, se llega a esta conjetura como resultado del PreTest.
Del desarrollo del Post Test, se recomienda la implementacin formal del Registro de revisiones
peridicas sobre los derechos concedidos a los usuarios
Se logra comprobar que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de
seguridad de las T.I. en la UCV-Piura.

45
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0

46
Riega Reto
4.1.5 Controles identificados para evitar el acceso fsico no autorizado.
PRE TEST
Nmero de controles identificados para
POST TEST
Nmero de controles identificados para
evitar el acceso fsico no autorizado.

0
evitar el acceso fsico no autorizado.

3
Como se puede apreciar en el Pre Test, carece de controles para evitar el acceso fsico no
autorizado; en el Post Test con la aplicacin de la Auditora se identifican tres controles que se
proponen implementarlos, para evitar el acceso fsico no autorizado, demostrando una vez ms
que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en
la UCV-Piura.

47
Riega Reto
3.5
3
3
2.5
2
1.5
1
0.5
0

48
Riega Reto
Los controles para evitar el acceso fsico no autorizado serian como los siguientes:
-
Definir claramente el permetro de seguridad.
Implementar controles tecnolgicos que permitan proteger los recursos informticos de accesos
no autorizados, minimizando los efectos ocasionados por fenmenos naturales, usando
mecanismos de control como: barreras fsicas, alarmas, barras metlicas etc.
Implementar un registro de intentos no exitosos a un ambiente no autorizado.

49
Riega Reto
4.1.6 Controles preventivos y de deteccin identificados sobre el uso de software de

procedencia dudosa..
PRE TEST
Nmero de controles preventivos y de
POST TEST
Nmero de controles preventivos y de
deteccin identificados sobre el uso de
deteccin identificados sobre el uso de
software de procedencia dudosa.

0
software de procedencia dudosa.

3
Como se puede apreciar en el desarrollo del Pre Test, no se identific ningn control preventivo, a
diferencia en el Post Test se pudieron identificar tres (3) controles preventivos, los cuales sern
desarrollados e implementados por la OTI, con esto se logra comprobar que aplicando la Auditora
basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
3.5
3
3
2.5
2
1.5
1
0.5
0

50
Riega Reto
Los controles preventivos y de deteccin sobre el uso de software de procedencia dudosa

son los siguientes:
-Poltica para el adecuado uso de software legalmente adquirido.
-Implementar y actualizar un inventario de software para la identidad.
-Inspecciones en los equipos de cmputo que permitan evaluar si se ha instalado software no
autorizado.

51
Riega Reto
4.1.7 Procedimientos identificados para la generacin de respaldos regulares y

peridicamente validados.
PRE TEST
Procedimientos de respaldos regulares
POST TEST
Procedimientos de respaldos regulares
y peridicamente validados.
0
y peridicamente validados.
1
Durante el desarrollo de la Tesis, en el Pre Test no se logro identificar algn procedimiento de

respaldo, a diferencia del Post Test en el cual se logr identificar la necesidad de desarrollar e
implementar un procedimiento de respaldo. Lo cual nos lleva a que aplicando la Auditora basada
en ISO/IEC 17799 ayuda a mejorar la gestin de seguridad de las T.I. en la UCV-Piura.
1.2
1
1
0.8
0.6
0.4
0.2
0

52
Riega Reto

53
Riega Reto
4.1.8 Procedimiento formal identificado para reportar incidentes de seguridad de la

informacin.
PRE TEST
Procedimiento formal para el reporte de
POST TEST
Procedimiento formal para el reporte de
incidentes de seguridad de la
incidentes de seguridad de la
informacin
0
informacin
1
Del resultado del PreTest, se constata que la OTI no cuenta con un procedimiento formal para
reportar incidentes de seguridad de la informacin. Del desarrollo del Post Test se tiene la
propuesta de implementar el procedimiento formal para el reporte de incidentes de seguridad de la
informacin, ello como resultado del desarrollo de la presente auditoria basada en ISO/IEC 17799
de gestin de seguridad de las T.I. en la UCV-Piura.

54
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0

55
Riega Reto
El procedimiento formal para el reporte de incidentes de seguridad de la informacin debe

de contemplar aspectos como los siguientes:
-
Realizar una evaluacin inicial.
Comunicar el incidente.
Contener el dao y minimizar el riesgo.
Identificar el tipo y la gravedad del ataque.
Proteger las pruebas.
Notificar a las reas correspondientes.
Recuperar los sistemas.
Compilar y organizar la documentacin del incidente.
Valorar los daos y costos del incidente.
Revisar las directivas de respuesta y actualizacin.

56
Riega Reto
4.1.9 Identificar la existencia de un registro de incidentes de seguridad de la informacin.
PRE TEST
Registro de incidentes de seguridad de
POST TEST
Registro de incidentes de seguridad de
la informacin.
0
la informacin.
1
La OTI de la UCV Piura, carece de un Registro de incidentes de seguridad de informacin, se llega

a esta conjetura como resultado del Pre Test.
Del desarrollo del Post Test, se recomienda la implementacin formal del Registro de incidentes de
seguridad de informacin.
Se logra comprobar que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de
1.2
1
1
0.8
0.6
0.4
0.2
0

57
Riega Reto
Los posibles incidentes a registrar en seguridad de informacin son los siguientes:
Software Malicioso: se detecto la introduccin de cdigos maliciosos en la infraestructura

tecnolgica de la Entidad, virus informticos. El antivirus que utiliza la empresa (kav6.0.3.837)
no detecta virus como:
Autorun.exe, y otras variantes; la versin del antivirus no es la
actualizada.
-
Inadecuado uso de los recursos tecnolgicos:

- Los usuarios instalan programas ajenos a los autorizados a la empresa.
- Copian y descargan msica en las PCs de la empresa.
- Almacenan archivos personales en las PCs de la empresa como: fotos, documentos.
-
Etc.
Chatear, ingresando a pginas web de las cuales pueden tener acceso a sus correos.
Ingresan a pginas de telefona para mandar mensajes a celulares.
Ingresan a web sociales, para chatear, jugar, colgar fotos, etc.
-Robo de informacin.
-Fraude.

58
Riega Reto
4.1.10 Poltica de seguridad de la informacin.
PRE TEST
Poltica de seguridad de la informacin.
0
POST TEST
1
Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece
de una Poltica de seguridad de la informacin, sin embargo despus del Post Test, se recomienda
el desarrollo e implementacin formal de la Poltica de seguridad de la informacin.
Se comprueba que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de

59
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0

60
Riega Reto
4.1.11 Plan de Continuidad del Negocio.
PRE TEST
Plan de Continuidad del Negocio.
0
POST TEST
Plan de Continuidad del Negocio.
1
Como se puede apreciar, el Pre Test se evidencia que se ha identificado que la UCV Piura carece
de un Plan de Continuidad del Negocio, sin embargo despus del Post Test, se recomienda el
desarrollo e implementacin formal de un Plan de Continuidad del Negocio .
Se comprueba que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de

61
Riega Reto
1.2
1
1
0.8
0.6
0.4
0.2
0

62
Riega Reto
CAPTULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
-Como se puede apreciar en los resultados obtenidos en el ITEM 1, CAPITULO IV: DISCUSIN DE
RESULTADOS, se puede decir que se ha logrado identificar las amenazas que afectan la
seguridad y los procesos de las Tecnologas de informacin,
con esto se comprueba y
concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad
de las T.I. en la UCV-Piura.
-Como se puede apreciar en los resultados obtenidos en el ITEM 2, CAPITULO IV: DISCUSIN DE
RESULTADOS,
se logr identificar que se sigue cumpliendo con la implementacin y
desarrollo de los proyectos del Plan Operativo de la OTI, con esto se comprueba y concluye
que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I.
en la UCV-Piura.
-Se puede apreciar en los resultados obtenidos en el ITEM 3, CAPITULO IV: DISCUSIN DE
RESULTADOS, se ha logrado identificar que se debe implementar un Procedimiento formal
para la concesin, administracin de derechos y perfiles, con esto se comprueba y concluye
que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I.
en la UCV-Piura.
-En el resultado obtenido en el ITEM 4, CAPITULO IV: DISCUSIN DE RESULTADOS, se ha
logrado identificar que se debe implementar un Registro formal de revisiones peridicas sobre
los derechos concedidos a los usuarios, con esto se comprueba y concluye que aplicando la
Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
-En el ITEM 5, CAPITULO IV: DISCUSIN DE RESULTADOS, se identifico tres controles que se
proponen implementarlos, para evitar el acceso fsico no autorizado, con esto se comprueba y
concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad
-Para el ITEM 6, CAPITULO IV: DISCUSIN DE RESULTADOS,
se identifico tres controles
preventivos, los cuales sern desarrollados e implementados por la OTI,
con esto se
comprueba y concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin
de seguridad de las T.I. en la UCV-Piura.
-Segn el resultado obtenido en el ITEM 7, CAPITULO IV: DISCUSIN DE RESULTADOS, se
puede inducir que se ha logrado identificar la necesidad de desarrollar e implementar un
procedimiento de respaldo, con esto se comprueba y concluye que aplicando la Auditora
basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.
-Con el resultado obtenido en el ITEM 8, CAPITULO IV: DISCUSIN DE RESULTADOS, se ha
logrado identificar que la UCV-Piura debe contar con un procedimiento formal para reportar
incidentes de seguridad de la informacin, con esto se comprueba y concluye que aplicando la
Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las T.I. en la UCV-Piura.

64
Riega Reto
-Como se puede apreciar en el resultado obtenido en el ITEM 9, CAPITULO IV: DISCUSIN DE

RESULTADOS, se puede deducir que se ha logrado identificar que se debe implementar de
manera formal un Registro de incidentes de seguridad de informacin, con esto se comprueba
y concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad
-Si se observa el resultado obtenido en el ITEM 10, CAPITULO IV: DISCUSIN DE RESULTADOS,
se puede deducir que se ha logrado identificar que la UCV Piura carece de una Poltica de
seguridad de la informacin para el cual se recomienda el desarrollo e implementacin formal,
con esto se comprueba y concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora
la gestin de seguridad de las T.I. en la UCV-Piura.
-Del resultado obtenido en el ITEM 11, CAPITULO IV: DISCUSIN DE RESULTADOS, se puede
deducir que se ha logrado identificar que la UCV Piura carece de un Plan de Continuidad del
Negocio para el cual se recomienda el desarrollo e implementacin formal,
con esto se
comprueba y concluye que aplicando la Auditora basada en ISO/IEC 17799 mejora la gestin
de seguridad de las T.I. en la UCV-Piura.
-La seguridad no es un tema de un da, ni un tema exclusivo del departamento de TI.
-No se puede garantizar una seguridad al 100%, ya que siempre existen riesgos, por tanto las
medidas, controles y estrategias que se implementen permitirn reducir el riesgo
progresivamente, teniendo un enfoque de mejora continua.
-La NTP ISO/IEC 17799 es un cdigo de buenas prcticas para la administracin de la seguridad
en una organizacin de cualquier naturaleza, al ofrecer un conjunto de controles permite
normar la seguridad de manera clara, especifica y aplicativa; es por ello que se constituye en la
base fundamental para el desarrollo de la presente tesis.
-La Universidad est dando el primer paso en implementar la Gestin de Seguridad de las
Tecnologas de Informacin, indispensable en toda organizacin.
-Para implementar el Manual de Gestin de Seguridad de las Tecnologas de Informacin se
concluye que el mejor camino a seguir es: conocer la naturaleza de la organizacin, hacer un
anlisis de riesgos de posibles amenazas sobre la informacin, para poder llegar a identificar y
disear controles; los cuales sern sometidos a revisiones y aprobaciones.
-La norma ISO 17799 seala como parte esencial la definicin de una estructura organizativa en
cuanto a seguridad, donde se puntualicen roles y responsabilidades que cada integrante de la
organizacin debe asumir.

65
Riega Reto
-Los cambios en la tecnologa influyen en qu y cmo auditar, por lo que inevitablemente, la

auditora ha cambiado de manera drstica en los ltimos aos con el gran impacto que han
generado las tcnicas informticas en la forma de procesarla.
-El control que provee la auditoria es parte de los procesos de negocios y est integrado en ellos,
permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en
cada momento, con lo que, constituye una herramienta til para la gestin, pero no un sustituto
de sta.
Dada la hiptesis: La Auditora basada en ISO/IEC 17799 mejora la gestin de seguridad de las
Tecnologas de Informacin en la Universidad Csar Vallejo-Piura y los resultados que han llevado
a las conclusiones anteriormente expuestas podemos concluir que la hiptesis se prueba total
mente porque los indicadores inciden positivamente sobre estos.
5.2 RECOMENDACIONES
-Como auditor en la realizacin de esta tesis, siempre se debe tener presente, que una auditora no
es una persecucin de culpables, esta es la manera de evitar que las personas auditadas se
sientan intimidados y creen anticuerpos frente a la labor de control. De otra forma, al no lograr
la apertura de los entrevistados, nuestras auditoras no lograrn tener la profundidad necesaria,
afectando la deteccin de fallas del sistema y no cumplir con su objetivo, el detectar las
desviaciones frente a los criterios de la auditora. Es por eso que recomiendo dejar muy en
claro que el objetivo de la presente auditoria es emitir una opinin razonable que permita
implementar controles y estrategias de seguridad de informacin, relacionada a los procesos
del negocio, logrando fortalecer la integridad, disponibilidad y confidencialidad de la informacin
de la empresa para consolidar el logro de los objetivos institucionales.
-Desarrollar capacitacin dirigida al personal de la OTI, en relacin a la implementacin de la NTP
ISO 17799.
-Que la alta Direccin dirija la implementacin de un sistema de gestin de seguridad de
informacin, el mismo que sea difundido a todos los colaboradores de la UCV de Piura.
-Establecer un comit de seguridad de informacin liderado por la alta direccin.

-Establecer un comit de tecnologas de informacin, el mismo que ser responsable de la
implementacin de los proyectos de T.I.

66
Riega Reto
CAPTULO VI
REFERENCIAS BIBLIOGRFICAS
ANR, Asamblea Nacional de Rectores (1995) Resolucin N 437-95-ANR. Oficio N 056-95-SG. Per.
BRAVO CERVANTES, Miguel H.. Auditora del Sistema Informtico. Per. Manuel Chahu E.I.R.L.
CASAE (2008) MAGERIT versin 2: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin. Consejo Superior de Administracin Electrnica. Espaa. [Citado 12 de Octubre del
2008] Disponible en formato PDF en: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
CENTP (2009) Catlogo Especializado de Normas Tcnicas Peruanas [Citado 20 de Septiembre del
2009] en formato PDF en: http://www.bvindecopi.gob.pe/
CONAFU, Consejo Nacional para la Autorizacin de Funcionamiento de Universidades (1996)
Resolucin N 265-2006-CONA.
DEGERENCIA (2008) Pgina web La Gerencia. [Citado 04 de Octubre del 2008] Disponible en:
http://www.degerencia.com/area.php?areaid=2001.FU. Per.
DELTA (2004) Planeacin Estratgica de Tecnologa Informtica. Pgina web de servicios de
asesora y consultora de tecnologa informtica Delta. [Citado 13 de Octubre del 2008] Disponible en
formato PDF en: http://www.deltaasesores.com/docum/txpeti2004a.pdf
EL PERUANO (1991) Normas Legales. Crean la Universidad Privada Csar Vallejo, teniendo como
sede la ciudad de Trujillo, Ley N 25359. p.101813.Per
EL PERUANO (1994) Normas Legales. Modifican artculo de Ley referido a la creacin de carreras
profesionales en universidad privada, Ley N 26409. Per.
GESTIOPOLIS (2008) Pagina web de Gestiopolis [Citado 04 de Octubre del 2008] Disponible en:
http://www.degerencia.com/area.php?areaid=2001.
IESE (2008) Pagina Web de la escuela de direccin de empresas de la Universidad de Navarra.
Gobernar las TI: obtener el mximo valor de la tecnologa. [Citado 04 de Diciembre del 2008]
Disponible
en
formato
PDF
en:
http://www.iese.edu/es/files/Art_ED_Cabre_Microcommerce_ESP_tcm5-7281.pdf.
INEI (2009) Qu es la Auditora Informtica?. Instituto Nacional de Estadstica e Informtica. [Citado
11
de
Octubre
del
2008]
Disponible
en
formato
PDF
en:
http://www1.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5105/Libro.pdf.
ISACA (2009) COBIT 4.1. Espaol. Information Systems Audit and Control Association. [Citado 11 de
Octubre
del
2008]
Disponible
en
formato
PDF
en:
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4
_Espanol.pdf.
HELKYNCOELLO (2009) Pgina web de helkyn coello blog [Citado 25 de Enero del 2009] Disponible
en: http://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-como-integrar-y-adoptar-losestandares-para-un-buen-gobierno-de-ti/

68
Riega Reto
NEYRA Crdova, Omar (2008). Nuevos enfoques de Control Interno en Tecnologas de Informacin
(T.I.), COBIT 4.0., material del curso. Auditora de Sistemas. Escuela Profesional de Ingeniera de
Sistemas de la Universidad Csar Vallejo. Piura-Per.
NTP ISO/IEC 17799 (2009) Norma Tcnica Peruana
ISO/IEC17799-2007
[Citado
20
de
Septiembre
del
- Edi. Tecnologas de Informacin

2009]
en
formato
PDF
en:
http://www.bvindecopi.gob.pe/
RAE (2009) Pgina web de la Real Academia Espaol. Vigsima segunda edicin. Espaa [Citado 20
de Septiembre del 2009] Disponible en: http://www.rae.es/rae.html.
SISBIB (2008) Tesis: Planeamiento Estratgico de Tecnologas de Informacin de La Escuela
Superior Privada de Tecnologa-SENATI. Sistemas de Bibliotecas. Per. [Citado 12 de Octubre del
2008]
Disponible
en
formato
PDF
en:
http://sisbib.unmsm.edu.pe/bibvirtualdata/Tesis/Basic/najarro_bj/najarro_bj.PDF.
UCVPIURA, Universidad Csar Vallejo Piura (2002) Proyecto de creacin de la Filial Piura. Piura
Per.
UCVPIURA, Universidad Csar Vallejo Piura (2006) Manual de Organizacin y Funciones. PiuraPer.
UCVPIURA, Universidad Csar Vallejo Piura (2009) Centro de Informtica y Sistemas. Pagina Web
de la Universidad Csar Vallejo-Piura. [Citado 20 de Septiembre del 2009] Disponible en:
http://www.ucvpiura.edu.pe/cis/.
UTP (2009) Pagina Web de la Universidad Tecnolgica de Puebla. [Citado 11 de Septiembre del
2008] Disponible en formato PDF en:
http://electricidad.utpuebla.edu.mx/Manuales%20de%20asignatura/1er%20cuatrimestre/Informatica
%20I.pdf

69
Riega Reto
CAPTULO VII
ANEXOS
ANEXO N 01
CRONOGRAMA DE LA TESIS
Elaborado por el Autor
FIGURA N 04: Cronogra
a de la Tesis
ANEXO N 02
INDICADORES DE LA TESIS
OMINACIN
enazas que
n la seguridad
rocesos de las
nologas de
ormacin.
Grado de
mentacin de
tos de la OTI.
cedimientos
ales para la
oncesin,
nistracin de
hos y perfiles.
OMINACIN
egistro de
nes peridicas
los derechos
edidos a los
usuarios.
DEFINICIN
CONCEPTUAL
Nmero de
amenazas que
afectan la seguridad
y los procesos de las
Tecnologas de
informacin.
Nmero de proyectos
implementados por la
OTI.
Nmero de
procedimientos
formales para la
concesin,
administracin de
derechos y perfiles.
DEFINICIN OPERACIONAL
NTAASPTI = NAASPTI
NTAASPTI = Nmero total de
amenazas que afectan la
seguridad y los procesos de
las Tecnologas de
informacin.
NAASPTI = Nmero de
amenazas que afectan la
seguridad y los procesos de
las Tecnologas de
informacin.
NTSDT / NSDT
NTSDT = Nmero total de
proyectos implementados por
la OTI
NSDT = Nmero total de
proyectos implementados por
la OTI.
NTPFCADP = NPFCADP
NTPFCADP = Nmero total
de procedimientos formales
para la concesin,
administracin de derechos y
perfiles.
NPFCADP = Nmero de
procedimientos formales para
la concesin, administracin
de derechos y perfiles.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 01
----
Porcentaje
Observacin
Gua de
observacin
N 02
----
Nmero
entero
Observacin
Gua de
observacin
N 03
----
INS

seguridad de las T.I. en la UCV - Piura. (continua)
DEFINICIN
CONCEPTUAL
Nmero de registro
de revisiones
peridicas sobre los
derechos concedidos
a los usuarios.
les para evitar

eso fsico no
utorizado.
Nmero de controles
para evitar el acceso
fsico no autorizado.
es preventivos
Nmero de controles
NTRRPDCU = NRRPDCU
NTRRPDCU = Nmero total
de registro de revisiones
peridicas sobre los derechos
concedidos a los usuarios.
NRRPDCU = Nmero de
registro de revisiones
peridicas sobre los derechos
concedidos a los usuarios.
NTCEAFA = NCEAFA
NTCEAFA = Nmero total de
controles para evitar el acceso
NCEAFA = Nmero de
controles para evitar el acceso
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 04
----
Nmero
entero
Observacin
Gua de
observacin
N 05
----
Nmero
Observacin
Gua de
----
INS
OMINACIN
eteccin sobre
de software de
encia dudosa.
OMINACIN
DEFINICIN
CONCEPTUAL
UNIDAD
preventivos y de
deteccin sobre el
uso de software de
procedencia dudosa.
NTCPDSP = NCPDSP
NTCPDSP = Nmero total de
controles preventivos y de
deteccin sobre el uso de
software de procedencia
dudosa.
NCPDSP = Nmero de
controles preventivos y de
deteccin sobre el uso de
software de procedencia
dudosa.
entero
INSTRUMENTO
FUENTE
INS
INS
observacin
N 06

DEFINICIN
CONCEPTUAL
dimientos de
os regulares y
dicamente
alidados.
Nmero de
procedimientos de
respaldos regulares y
peridicamente
validados.
imiento formal
ra reportar
identes de
uridad de la
ormacin.
Nmero de
procedimiento formal
para reportar
incidentes de
seguridad de la
informacin.
egistro de
identes de
uridad de la
ormacin.
TECNICA
Nmero de registro
de incidentes de
seguridad de la
informacin.
NTPRRPV = NPRRPV
NTPRRPV = Nmero total de
procedimientos de respaldos
regulares y peridicamente
validados.
NPRRPV = Nmero de
procedimientos de respaldos
regulares y peridicamente
validados.
NPFRISI = NPFRISI
NTPFRISI = Nmero total de
procedimiento formal para
reportar incidentes de
seguridad de la informacin.
NPFRISI = Nmero de
procedimiento formal para
reportar incidentes de
NTRISI = NRISI
NTRISI = Nmero total de
registro de incidentes de
NRISI = Nmero de registro
de incidentes de seguridad de
la informacin.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 07
----
Nmero
entero
Observacin
Gua de
observacin
N 08
----
Nmero
entero
Observacin
Gua de
observacin
N 09
----

OMINACIN
DEFINICIN
CONCEPTUAL
a de seguridad
informacin.
Nmero de Poltica
de seguridad de la
informacin.
e continuidad
l negocio.
Nmero de Plan de
continuidad del
negocio.
NTPSI = NPSI
NTPSI = Nmero total de
Poltica de seguridad de la
informacin.
NPSI = Nmero de Poltica de
NTPCN = NPCN
NTPCN = Nmero total de
Plan de continuidad del
negocio.
NPCN = Nmero de Plan de
continuidad del negocio.
UNIDAD
TECNICA
INSTRUMENTO
FUENTE
Nmero
entero
Observacin
Gua de
observacin
N 10
----
Nmero
entero
Observacin
Gua de
observacin
N 11

seguridad de las T.I. en la UCV - Piura. (fin)
INS
ANEXO N 03
FORMATO DE LAS GUAS DE OBSERVACIN
Gua de Observacin N 01:

Gestin de seguridad de las T.I.
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo - Piura.
Objetivo: Tomar datos para identificar las amenazas que afectan la seguridad y procesos de las Tecnologas de informacin.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
EMPRESA: Universidad Csar Vallejo-Piura.
RGANO: Oficina de Tecnologas de Informacin (OTI).
FECHA INICIO: ____/____/____
HORARIO DE EVALUACIN: __________________________
Evento no deseado
Observacin
NOTA(S):..
...........
...
Observador: _______________________________________________________________________________________________________________________
Fecha Entrega: ____/____/____
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Tomar datos para identificar el grado de implementacin de proyectos de la OTI .
DATOS GENERALES:
FECHA INICIO: ____/____/____
Proyecto
Responsables
Estado (Pendiente, en
Proceso,
Implementado)
Nmero de proyectos
NOTA(S):.
...........
.....
Observador: ________________________________________________________________________________

REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar la existencia de controles implementados para la concesin y administracin de derechos y perfiles.
DATOS GENERALES:
FECHA INICIO: ____/____/____
N
1
2
3
4
Controles
Procedimiento formal para la concesin, administracin de derechos y perfiles.
Exista responsable(s) de la administracin de derechos y perfiles.

Que el MOF este adecuado a la administracin y concesin de derechos y perfiles.
Que el rea de recursos humanos y las jefaturas sean los responsables en la autorizacin
para la concesin de derechos y perfiles de los usuarios.
Nmero de procedimientos
Implementad
o
S
No
NOTA(S):.
...........
......
Observador: _______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar el desarrollo de revisiones peridicas sobre los derechos concedidos a los usuarios.
DATOS GENERALES:
FECHA INICIO: ____/____/____
Fecha
Revisin
Objetivo de la revisin
Se Realiz
S
No
Resultados
Nmero de revisiones
NOTA(S):.
......
........
Observador: _______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO

Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en
la Universidad Csar Vallejo - Piura.
Objetivo: Verificar la existencia de controles para evitar el acceso fsico no autorizado.
Instrucciones: Escribir de forma clara, usar lapicero de color azul o negro, cuidado con los borrones o
manchones ya que se dar por anulado todo el documento.
DATOS GENERALES:
FECHA INICIO: ____/____/____
Identificad
o
S
No
Controles
Permetro de seguridad definido.

Barreras fsicas, , etc.
Alarmas
barras metlicas
Dispositivos biomtricos
Bitcora de visitas.
Nmero de Controles
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar la existencia y uso de controles preventivos y de deteccin sobre el uso de software de
procedencia dudosa.
DATOS GENERALES:
FECHA INICIO: ____/____/____
1
2
3
Identificad
o
S
No
Controles
Poltica para el adecuado uso de software legalmente adquirido.

Inventario de software.
Software no autorizado instalado.
Nmero de Controles
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar la existencia de respaldos (copias de seguridad, generadas peridicamente).
DATOS GENERALES:
FECHA INICIO: ____/____/____
Fecha
Respaldo
Tipo
Nmero de Procedimientos
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar la implementacin de aspectos relacionados al control y registro de incidentes de seguridad
de la informacin.
DATOS GENERALES:
FECHA INICIO: ____/____/____
1
2
3
4
5
6
7
8
9
10
Aspectos
Contemplado
S
No
Evaluacin inicial.
Comunicar el incidente
Contener el dao y minimizar el riesgo
Identificar el tipo y la gravedad del ataque
Proteger las pruebas
Notificar a las reas correspondientes
Recuperar los sistemas
Compilar y organizar la documentacin del incidente
Valorar los daos y costos del incidente
Revisar las directivas de respuesta y actualizacin
Nmero de Procedimientos
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO
Objetivo: Tomar datos para identificar el nmero de incidentes registrados en seguridad de informacin.
DATOS GENERALES:
FECHA INICIO: ____/____/____
Incidentes
rea
Fecha
Nmero de Incidentes
NOTA(S):.
......
........
Observador: _______________________________________________________________________________
Medidas Correctivas
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar la existencia de la Poltica de seguridad de la informacin.
DATOS GENERALES:
FECHA INICIO: ____/____/____
Control
Identificad
a
S
No
Fecha de
Aprobacin
Fecha de
ltima
Actualizacin
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO

Objetivo: Verificar la existencia de la Poltica de continuidad del negocio.
DATOS GENERALES:
FECHA INICIO: ____/____/____
Control
Identificad
a
S
No
Fecha de
Aprobacin
Fecha de
ltima
Actualizacin
Poltica de continuidad del negocio.
NOTA(S):.
...........
Observador:
_______________________________________________________________________________
REVISADO
PROCESADO
ARCHIVADO
ANEXO N 04
FORMATO DEL PAPEL DE TRABAJO
Campos del formato del Papel de Trabajo.

El encabezado de cada cdula incluir:
Nombre y siglas de la entidad auditada.

Ejemplo: Universidad La Esperanza.
Tipo de Examen.
Ejemplo: Examen Especial al rea de Abastecimiento.
Periodo del examen.
Ejemplo: Del 01.Ene.09 al 31.Dic.09
Ttulo de la Cdula de Trabajo.
Ejemplo: Licitaciones Pblicas.
En la parte inferior:
En el lado derecho el cdigo de acuerdo al ndice que corresponda.

En el lado izquierdo el nombre o inciales de la persona que la prepar y de quien la revis, as
como las fechas de preparacin y de revisin.
ANEXO N 05
FORMATO DE DEFICIENCIA PARA LA AUDITORA
BASADA EN ISO/IEC 17799 PARA LA GESTIN DE
SEGURIDAD DE LAS TECNOLOGAS DE INFORMACIN
EN LA UNIVERSIDAD CSAR VALLEJO - PIURA.
DEFICIENCIA N ______
FECHA DE LLENADO
DA
MES
REA AUDITADA:
AO
AUDITOR JUNIOR:
DETALLE
Condicin:
Criterio:
Causa:
Efecto:
Recomendaciones:
FECHA DE REVISIN
SUPERVISOR:
DA
MES
AO
Campos del Formato de deficiencia para la Auditora basada en ISO/IEC 17799 para la
gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar Vallejo Piura.
N:
- Se coloca el nmero del hallazgo el cual debe de seguir un orden correlativo conforme se van
descubriendo los mismos.
DETALLE:
- Condicin: Lo que es Aquello que el auditor encuentra o descubre.
- Criterio: Lo que debe ser Marco de referencia con el que se compara la condicin para
encontrar divergencias. Ley, reglamento, carta, circular, memorando, procedimiento, norma de
control interno, norma de sana administracin, principio de contabilidad generalmente aceptado,
opinin de un experto o finalmente juicio del auditor. Para auditoras de sistemas de informacin
y TI: GAISP, COBIT, ISO 17799, SB 443/20a03, NAG 270 y otros.
- Causa: Por qu El origen de la condicin observada. El porqu de la diferencia entre la
condicin y el criterio, debern ser desarrolladas de acuerdo a la explicacin que de el
responsable.
- Efecto: Las consecuencias Surge de las diferencias entre la condicin y el criterio, el efecto
tendr un resultado positivo o negativo
- Recomendacin: Arregla la condicin La recomendacin se deber elaborar habiendo
desarrollado los anteriores atributos del hallazgo. La recomendacin deber emitirse con la idea
de mejorar o anular la condicin y llegar al criterio atacando la causa y arreglar el efecto para
futuras situaciones. La recomendacin deber ser viable tcnica y econmicamente.
ANEXO N 06
RECURSOS, MATERIALES, PRESUPUESTO Y
FINANCIAMIENTO DE LA TESIS
Recursos.
Humanos:
En esta investigacin participan directamente o indirectamente las siguientes personas:
Investigador:

Asesor:
Materiales.
Hardware:
Notebook HP530, Up Core 2 Duo de 1.60 GHZ, HD 120 GB, RAM 2 GB, Lector quemador DVD.
Una impresora Canon IP1000.
Mouse Delux V3.

Software:
Windows XP SP3.
Microsoft Office 2007 (Word, Excel, PowerPoint, Project)
Mozilla Firefox 3.0.10.
Internet Explorer 8.
WinRar 3.6.2.
WinZip 10.
Nero 7 Premium.
Adobe Reader 9.
WinAudit 2.1.7.0.
The Dude Freeware 3.4.
SPSS17.
Otros Materiales:
Materiales de escritorio.(1 lpiz, 3 lapiceros, 1 grapadora, 1 perforador, 1 regla de 30 cm)
1 Millar Papel A4.
5 Cartuchos de tinta compatible color negro NC-00024 BK C.M., NC-00021 BK para Canon
IP1000.
1 CDs de 700 MB.
2 Flderes Manila A4 Grafos.
1 Memoria USB de 32 GB Marca: Kinstong.
Duracell Plus 9v Battery.
Probador de Cables de Red UTP.
Servicios:
Fotocopiado.
Transporte Urbano.
Energa elctrica.
Internet.
Presupuesto:
TABLA N 01: Presupuesto para el desarrollo del proyecto de tesis.
Fuente: Tienda Crdova.

Elaborado por el Autor.
Financiamiento:
El Proyecto fue financiado de la siguiente manera:
El pago al asesor fue financiado por la universidad.

El financiamiento para los recursos de hardware, software, otros materiales y servicios fueron
costeados por el autor que desarrolla la tesis.
ANEXO N 07
FORMATO DE SOLICITUD DE DOCUMENTACIN
AO DE LA UNIN NACIONAL FRENTE A LA CRISIS EXTERNA
Piura, 30 de Octubre de 2009
Ingeniero XXXX XXXXX XXXXX XXXXXX

Jefe de la Oficina de Tecnologas de Informacin de la UCV de Piura
Sirva la presente para saludarle cordialmente y comunicarle que como parte del Desarrollo de mi
Tesis Auditoria basada en ISO 17799 para la gestin de la seguridad de las Tecnologas de
Informacin en la Universidad Csar Vallejo de Piura requiero contar con la documentacin que
detallo a continuacin:
Manual de Organizacin y Funciones de la OTI

Organigrama interno de la OTI
Plan de trabajo de la OTI : Operativo y/o Estratgico. De no contar con esta
documentacin, debe proporcionar la relacin de los principales proyectos planificados y
desarrollados, indicando para cada uno de ellos su grado (porcentaje) de implementacin.

Plan de Mantenimiento de Hardware o algn documento similar.
Plan de Seguridad de Informacin o algn documento similar.
Cronograma de mantenimiento preventivo de hardware
Inventario de Hardware por tipo de equipo: Servidor, estaciones de trabajo, impresoras,
equipos de comunicacin.
Inventario de Software por tipo de software: Sistema operativo, antivirus, software
ofimtico, utilitarios, otros.

Metodologa de Desarrollo de software.
Diagramas de red de computadoras.
Plan de Recuperacin de Tecnologas de Informacin o algn documento similar.
Documento donde se detalle y describa todos los sistemas informticos implementados
por el OTI y a los que se les brinda soporte y/o mantenimiento, con el siguiente detalle:
Nombre del Sistema
Breve descripcin de su
reas usuarias del
funcionalidad
sistema.
Documentacin tcnica de los sistemas: Manuales tcnicos, diccionario de datos,
diagrama entidad relacin, entre otros que se han utilizado en su implementacin.

Manual de Procesos y/o Procedimientos de la OTI .
Diagramas de red.
Por lo antes expuesto, solicito a usted me proporcione la informacin requerida. En caso no se

cuente con parte del requerimiento o no se puede entregar fsicamente, agradecer se me indique
por escrito como respuesta a la presente con el debido sustento.
Agradezco de antemano vuestra atencin y apoyo al presente.
Atentamente,
___________________________
Autor
DNI N XXXXXXXX
ANEXO N 08
FORMATO DE LA ENTREVISTA DE USUARIO
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I. en la UCV - Piura
ENTREVISTA DE USUARIO N: ...

Nombre de Usuario: ...
rea: ... Cargo: ..
Funciones desarrolladas: .....
...
Marque con una ( x ) la alternativa que usted considera es la ms adecuada, escribir de forma
clara, usar lapicero de color azul o negro, cuidado con los borrones o manchones ya que se dar
por anulada la pregunta.
1. La cuenta de usuario asignada para su inicio de sesin de la red tiene clave?
S ( )
No ( )
Desconozco ( )
Por qu?....
...
2. Su cuenta de usuario para acceder a la red es la misma que utiliza para acceder a los
sistemas de informacin de la UCV-Piura?
S ( )
No ( )
Desconozco ( )
S, Por qu?.........
...
3. Para las diferentes cuentas de usuario asignadas como: cuenta de usuario de red, cuenta de
correo electrnico, cuentas de usuarios de sistemas administrativos. Utiliza la misma
contrasea o password?
S ( )
No ( )
S, Por qu?......
...
4. Usted proporciona a otra persona su(s) cuenta(s) de su usuario (login) y clave (password)?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
Por qu?....
...
5. Considera que los servicios que brinda el OTI en el desarrollo de sistemas, instalacin de
redes, mantenimiento, reparacin de computadoras e impresoras, d los resultados esperados
en el desempeo de sus actividades?
S ( )
No ( )
Por qu?....
...
Elaborada por: Marco Antonio Riega Reto
6. Cmo califica la solucin que le brinda el OTI en el desarrollo de sistemas, instalacin de

redes, mantenimiento, reparacin de computadoras e impresoras?
Deficiente ( )
Mejorable ( )
Aceptable ( )
Excelente ( )
Por qu?....
...
7. Hay disponibilidad de la OTI para sus requerimientos?
Nunca ( )
Algunas veces ( )
Casi siempre ( )
Siempre ( )
Por qu?....
...
8. Por qu problemas suele usted llamar al OTI? Marque los problemas por lo que usted suele
llamar.
Problemas con la PC ( )
Problemas con la red ( )
Problemas con el sistemas ( )
Problemas con la impresora ( )
Problemas de inicio de sesin ( )
Otro (
Cual?..................................................................................................................................................
9. Son entregados con puntualidad los trabajos de que realiza el OTI?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
Por qu?....
...
10. Cubre sus necesidades la computadora que le ha sido asignada para las actividades
procesos que realiza?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( )
Por qu?....
...
11. Usted considera que su computadora es:
Lenta ( )
Aceptable ( )
Rpida ( )
Por qu?....
...
12. Existen fallas de exactitud en los procesos de informacin del sistema o sistemas que
utiliza?
S ( )
No ( )
S, En cules?.........
...
13. Le son tiles los reportes que le proporcionan el sistema o sistemas que utiliza?
S ( )
No ( )
Algunos (
14. Cuenta con un manual de usuario por Sistema, completo y actualizado, bien sea en medio
impreso o magntico?
S (
No ( )
15. Es claro y objetivo el manual del usuario? (marcar si respondi S en la pregunto 15)
S (
No ( )
16. Cuando se requiere del desarrollo de un nuevo sistema Qu persona(s) en su rea, es la

encargada de coordinar su diseo y ejecucin con el OTI?
....
17. Qu sistemas, aplicaciones programas deseara que se instalara en su PC que usted

necesite?
..
...
Por qu?....
...
18. Qu opina sobre las capacitaciones que realiza el OTI de los diferentes software o
herramientas tecnolgicas que se utiliza en la empresa?.
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( )
Por qu?....
...
19. Alguna vez ha hecho un informe con los requerimientos de la computadora que usted
necesita?
S (
No ( )
S, Por qu?....
...
20. Le atendieron su requerimiento? (marcar si respondi S en la pregunta 21)
S (
No ( )
No, Por qu?.....

...
21. Su computadora cuenta con acceso a internet?
S (
No ( )
Para qu lo utiliza?......
...
22. Cuenta con el antivirus (Kaspersky 6.0.3.) instalado y actualizado en la computadora que le
asignaron?
S (
No ( )
Desconoco ( )
No, Por qu?....

23. Antes de utilizar la memoria USB la analiza utilizando el antivirus instalado en la
computadora?
S ( )
No ( )
No, Por qu? ....

...
24. Cuenta con el formato: Movimiento nico de Bienes Patrimoniales, para el traslado de
equipos?
S ( )
No ( )
No, Por qu?.....

...
25. Usted comparte alguna carpeta o archivo por Red?
S ( )
No ( )
Algunas veces ( )
S, Con quin o con qu rea? .......

...
26. Esta carpeta o archivo que usted comparte por red tiene algn tipo de seguridad, clave,
password, etc.?
S ( )
No ( )
Algunas veces ( )
No, Por qu?....

...
27. Cuenta con estudios bsicos de computacin, en Office 2007 y Windows XP?.
S ( )
No ( )
S, Cules, donde los realizo y en qu ao? ...
....
Observaciones o recomendaciones al OTI:

......
......
...
...
...
ANEXO N 09
FORMATO DE EVALUACIN DEL CUMPLIMIENTO DE
LAS FUNCIONES DE LAS REAS DE LA OTI
EVALUACIN DEL CUMPLIMIENTO DE LAS FUNCIONES DE LAS REAS DE LA OTI

Coloque un
si la funcin S se cumple y una
si la funcin NO se cumple. E scribir de
forma clara; usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se
dar por anulada su respuesta.
FUNCIONES DE LA JEFATURA DE LA OTI
Formular y ejecutar el PACI (Plan de Avance y Capacitacin Informtica) de la UCV Piura.
Controlar y evaluar la ejecucin de los planes
Proponer, coordinar y supervisar la renovacin en la tecnologa informtica utilizada en la
institucin.
Formular, ejecutar y controlar los programas, aprobado para su funcionamiento y desarrollo
Desarrollar un Plan de Seguridad para proteger la informacin de la base de datos, correos y
pgina web de nuestra institucin.
Evaluar y definir las polticas de seguridad para la red informtica de la universidad
Investigar, estudiar y proponer nuevas tcnicas informticas recomendando a la empresa las
alternativas ms adecuadas para su implementacin.
Administrar las licencias adquiridas por nuestra institucin con las instaladas en las
computadoras de la red de la UCV Piura.
Promover reuniones de trabajo con el personal a cargo para tratar en forma conjunta sobre
resolucin de problemas, informacin de nuevas actividades necesarias.
Elaborar, presentar y sustentar el Plan Operativo del rea.
Otras funciones que asigne el Directorio de la UCV Piura.
FUNCIONES DE LA ASISTENCIA ADMINISTRATIVA
Atender y orientar al cliente (interno y externo) que solicite los servicios de una manera cortes y
amable.
Mantener actualizados archivos fsicos y en base de datos, clasificndolos ordenadamente por
tipo y fecha.
Elaboracin de diversos documentos del rea.
Coordinar reuniones y agenda respectiva.
Hacer y recibir llamadas telefnicas para tener informado a la Jefatura de la OTI
de los
compromisos y dems asuntos.

Elaborar y presentar peridicamente y a solicitud de la Jefatura de la OTI , los reportes
adecuados.
Realizar instrucciones que le sean asignadas por la Jefatura de la OTI .
FUNCIONES DEL AREA DE REDES
Mantener y administrar las comunicaciones internas y externas de la UCV Piura.

Mantener y administrar servicios de internet.
Disear, implementar y administrar las redes de comunicacin de la universidad.
Planificar, ejecutar y supervisar la implementacin del cableado de redes de voz y datos de
nuevas oficinas o sedes.

Disear y proponer polticas de seguridad para equipos, usuarios, sistemas y en general, el
acceso a la red informtica de la universidad.

Operacin de sistemas de resguardo de informacin.
Administracin de direcciones IP.
Instalacin, configuracin y mantenimiento de servidores proxy.
Administracin de servicios de red.
Monitoreo de redes TCP/IP.

Instalacin y mantenimiento de redes de cableado estructurado, incluyendo fibra ptica y
enlaces inalmbricos.
Instalacin y configuracin de equipos de conectividad (modems, switch, routers, wireless).
Administracin, configuracin y mantenimiento de sistemas antivirus en servidores.
Deteccin y control de virus.
Asegurar el mantenimiento, crecimiento, seguridad y operacin de la infraestructura de la red
de enlaces de telefona.
Monitorear, diagnosticar el mantenimiento, aislamiento y deteccin de fallas de la red de
telecomunicaciones.
Realizar el mantenimiento, crecimiento y aplicaciones de correo electrnico.
FUNCIONES DEL AREA DE DESARROLLO (SISTEMAS Y WEB)
Mantener y administrar las bases de datos de la institucin.
Mantener y actualizar la pagina de web de la institucin.
Analizar, desarrollar y soportar sistemas de acuerdo a las necesidades de las diversas reas
para tener un mejor control de la informacin.
Garantizar el ptimo funcionamiento de los diversos sistemas de informacin de la universidad.
Evaluar el hardware y software y preparar los estimados de tiempo y costos para el trabajo de
desarrollo de sistemas.
Configuracin de los servicios de Internet.
Instalacin, configuracin y mantenimiento de servidor de web.
Instalacin, configuracin y mantenimiento de servidores de datos.
Realizar copias de seguridad de la Base de Datos.
FUNCIONES DE SOPORTE TCNICO

Asesorar, evaluar y brindar el soporte tcnico de software y hardware a las diversas reas de la
UCV Piura.
Normar y supervisar el uso de software y hardware.
Controlar por medio de un inventario peridico del hardware que poseen las computadoras de
nuestra institucin.
Planificar, organizar, dirigir y supervisar las actividades de mantenimiento integral de los
equipos de tecnologa de comunicacin y mantenimiento de equipos de cmputo.
Preparar planes y realizar el mantenimiento preventivo, correctivo y predictivo de los todos
equipos computacionales y de multimedia.
Proponer y dar mantenimiento a equipos y accesorios de respaldo para atender situaciones de
emergencia.
Instalacin, actualizacin y soporte de software en todos los equipos computacionales de la
universidad (reas acadmicas y reas administrativas).
Soporte y mantenimiento de la red de la universidad.
Ensamblado y puesto en marcha de nuevos equipos a partir de equipos en desuso o
defectuosos.
Instalar los equipos de cmputo en ambientes apropiados para su buen desempeo y
operatividad.
Ejecucin de la implementacin del cableado de redes de voz y datos en nuevas oficinas o
sedes.
Deteccin y correccin de fallas en computadoras.

FUNCIONES DEL SOPORTE DE LABORATORIOS UCV
Brindar el soporte tcnico de software y hardware a los laboratorios con los que cuenta la
Oficina de Tecnologas de Informacin.
Normar y supervisar el uso de software y hardware en los Laboratorios.
Realizar peridicamente el inventario de hardware y software de los laboratorios de la Oficina
de Tecnologas de Informacin.
Instalacin, actualizacin y soporte de software en todos los equipos computacionales de los
laboratorios de la Oficina de Tecnologas de Informacin.
Controlar el acceso a los laboratorios de cmputo.
Verificar el buen estado de los equipos computacionales, multimedia y muebles de los
laboratorios constantemente.
Realizar instrucciones que le sean asignadas por la Coordinacin Acadmica y la Jefatura de la
OTI .
ANEXO N 10
FORMATO DE LA EVALUACIN DEL PLAN OPERATIVO
CONTROL DE PROYECTOS
1. Quin autoriza los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
2. Cmo se asignan los recursos?.
____________________________________________________________________________
____________________________________________________________________________
3. Cmo se estiman los tiempos de duracin?.
____________________________________________________________________________
____________________________________________________________________________
4. Quin interviene en la planeacin de los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
5. Cmo se calcula el presupuesto del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
6. Qu tcnicas se usan en el control de los proyectos?.
____________________________________________________________________________
____________________________________________________________________________
7. Quin asigna las prioridades?.
____________________________________________________________________________
____________________________________________________________________________
8. Cmo se asignan las prioridades?.
____________________________________________________________________________
____________________________________________________________________________
9. Cmo se controla el avance del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
10. Con qu periodicidad se revisa el reporte de avance del proyecto?.
____________________________________________________________________________
____________________________________________________________________________
11. Cmo se estima el rendimiento del personal?.
____________________________________________________________________________
____________________________________________________________________________
12. Con que frecuencia se estiman los costos de los proyectos para compararlos con los del
presupuestado?.
____________________________________________________________________________
____________________________________________________________________________
13. Qu acciones correctivas se toman en caso de desviaciones?.
____________________________________________________________________________
____________________________________________________________________________
14. Qu pasos y tcnicas siguen en la planeacin y control de los proyectos?
Enumrelos secuencialmente.
( ) Determinacin de los objetivos.
( ) Sealamiento de las polticas.
( ) Designacin del funcionario responsable del proyecto.
( ) Integracin del grupo de trabajo.
( ) Integracin de un comit de decisiones.
( ) Desarrollo de la investigacin.
( ) Documentacin de la investigacin.
( ) Anlisis y valuacin de propuestas.
( ) Seleccin de equipos.
RECURSOS FINANCIEROS Y MATERIALES

RECURSOS FINANCIEROS
1. Se respetan los planteamientos presupuestales del rea?
S ( )
No ( )
No, en qu partidas no se han respetado y en qu monto?

____________________________________________________________________________
2. Los recursos financieros con que cuenta el rea son suficientes para alcanzar los objetivos y
metas establecidos?
S ( )
No ( )
No, Qu efectos se han tenido en el rea al no contar con suficientes recursos financieros?
____________________________________________________________________________
3. Existe un programa sobre los requerimientos del rea?
S ( )
No ( )
4. Qu personas del rea intervienen en su elaboracin?

____________________________________________________________________________
1. Se respetan los planteamientos del rea?
S ( )
No ( )
No, en qu aspectos no se respeta?______________________________________________

2. Los recursos materiales se le proporcionan al rea, son suficientes para cumplir con las
funciones encomendadas?
S ( )
No ( )
No, En qu no son suficientes? _________________________________________________

3. Los recursos materiales se proporcionan oportunamente?
S ( )
No ( )
4. Cules son las principales limitaciones que tiene el rea en cuanto a los recursos materiales?
____________________________________________________________________________
____________________________________________________________________________
Qu sugerencias hara para superar las limitaciones actuales?
____________________________________________________________________________
____________________________________________________________________________
MOBILIARIO Y EQUIPO
5. Se cuenta con el equipo y mobiliario adecuado y en cantidad suficiente para desarrollar su
trabajo?
S ( )
No ( )
Por qu? ___________________________________________________________________

6. Estn adecuadamente distribuidos en el rea del trabajo?
S ( )
No ( )
7. Se ha dejado de realizar actividades por falta de material y equipo?
S ( )
No ( )
S, Qu se hace para solucionar este problema?

____________________________________________________________________________
8. Qu medidas se han tomado?
____________________________________________________________________________
9. Existe el servicio de mantenimiento del equipo?
10. Existen medidas de seguridad?
S ( )
S ( )
No ( )
No ( )
Cules? Por qu?

____________________________________________________________________________
____________________________________________________________________________
11. Qu se hace con el equipo en desuso?
____________________________________________________________________________
12. Sobre quin recae la responsabilidad del equipo?
____________________________________________________________________________
13. Con qu frecuencia se renuevan el equipo y mobiliario?
____________________________________________________________________________
14. Se recogen opiniones y sugerencias que permiten establecer las medidas correctivas con las
cuales lograr un mejor funcionamiento de estos recursos?
S ( )
No ( )
ANEXO N 11
FORMATO DE LA EVALUACIN DEL REA DE LA OTI
(OFICINA)
REA DE LA OTI
ORDEN EN LA OTI
1. Indique la periodicidad con que se hace la limpieza a la OTI:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
Otra (especifique) ( ) __________________________________________

2. Existe un lugar asignado para los backups?
S ( )
No ( )
3. Se tiene asignado un lugar especfico para papelera y utensilios de trabajo? S ( )
No ( )
4. Existen prohibiciones para fumar, tomar alimentos y refrescos en la OTI?

S ( )
No ( )
S, Cul? ___________________________________________________________________
5. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin?
S ( )
No ( )
6. Se controla el ingreso de personas ajenas a la OTI?
S ( )
No ( )
S, Cmo? __________________________________________________________________
7. Mencione los casos en que personal ajeno a la OTI ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
1. Se han adoptado medidas de seguridad en la OTI?
S ( )
No ( )
2. Existen una persona responsable de la seguridad?
S ( )
No ( )
3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad?

S ( )
No ( )
4. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de

mantener una buena imagen y evitar un posible fraude?
S ( )
No ( )
5. Existe alarma para

a) Detectar fuego(calor o humo) en forma automtica? ( )
b) Avisar en forma manual la presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnticos? ( )
e) No existe ( )
6. Esta alarma tambin est conectada
a) Al puesto de guardias? ( )
b) A la estacin de Bomberos? ( )
c) A ningn otro lado? ( )
Otro_________________________________________
7. Existen extintores de fuego
a) Manuales? ( )
b) Automticos? ( )
c) No existen ( )
8. Se ha adiestrado el personal en el manejo de los extintores?
S ( )
No ( )
9. Los extintores, manuales o automticos son a base de

a) Agua, ( )
b) Gas? ( )
c) Otros ( )
10. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?

S ( )
No ( )
11. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para
alcanzarlos?
S ( )
No ( )
12. Saben que hacer los el personal de la OTI, en caso de que ocurra una emergencia
ocasionado por fuego?
S ( )
No ( )
13. El personal ajeno al rea sabe qu hacer en el caso de una emergencia (incendio)?
S ( )
14. Existe salida de emergencia?
No ( )
S ( )
No ( )
15. Esta puerta solo es posible abrirla:

Desde el interior ? ( )
Desde el exterior ? ( )
Ambos Lados ( )
16. Se revisa frecuentemente que no est descompuesta la cerradura de las puertas y de las
ventanas?
S ( )
No ( )
17. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones
en caso de emergencia?
S ( )
No ( )
18. Se ha tomado medidas para minimizar la posibilidad de fuego:

a) Evitando artculos inflamables en el departamento de cmputo? ( )
b) Prohibiendo fumar a los operadores en el interior? ( )
c) Vigilando y manteniendo el sistema elctrico? ( )
d) No se ha previsto ( )
19. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior de la OTI
para evitar daos a los equipos?
S ( )
No ( )
20.Cuenta con botiqun de primeros auxilios?

S ( )
No ( )
ANEXO N 12
FORMATO DE LA EVALUACIN AL REA DE REDES
REA DE REDES - DATA CENTER

ORDEN EN EL DATA CENTER
1. Indique la periodicidad con que se hace la limpieza del Data Center:
No hay programa ( ) Otra (especifique) ( ) __________________________________________

2. Existe un lugar asignado para los backups?
S ( )
No ( )
No ( )
4. Existen prohibiciones para fumar, tomar alimentos y refrescos en el Data Center?

S ( )
No ( )
S, Cul? ___________________________________________________________________
S ( )
No ( )
6. Se controla el ingreso de personas al Data Center?
S ( )
No ( )
S, Cmo? __________________________________________________________________
7. Se tiene restringida la operacin del personal ajeno al rea de Redes en el Data Center?
S ( )
No ( )
8. Mencione los casos en que personal ajeno al rea de Redes opera en el Data Center:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
CONTROL DE MANTENIMIENTO
1. Existe algn tipo de contrato de mantenimiento para los dispositivos o equipos del Data Center.
S ( )
No ( )
2. Existe un programa de mantenimiento preventivo para cada dispositivo o equipo del Data
Center?
S ( )
No ( )
3. Se lleva a cabo tal programa?
S ( )
No ( )
4. Cmo se notifican las fallas?
No se notifican ( )
____________________________________________________________________________
5. Cmo se les da seguimiento?
No se les da seguimiento ( )
____________________________________________________________________________
6. Se realizan mantenimientos correctivos a los equipos del Data Center?
S ( )
No ( )
S, A qu equipos y porque?
____________________________________________________________________________
____________________________________________________________________________
7. Indique la periodicidad con se hace ese mantenimiento a los equipos del Data center:

Cuntas veces? ____________________________________________________________
8. Se lleva un control o registro de fallas y mantenimientos correctivos que se realiza a los
equipos del Data Center?
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
9. Se han adoptado medidas de seguridad?
Fsica ( )
Lgica ( )
Fsica y Lgica ( )
10. Existen una persona responsable de la seguridad?

S ( )
No ( )
11. Existe personal de vigilancia en la institucin?

S ( )
No ( )
12. Se controla el trabajo fuera de horario?

S ( )
No ( )
S, Quin lo controla? _________________________________________________________

No, Por qu? ________________________________________________________________
13. Existe vigilancia en el departamento de cmputo las 24 horas?
S ( )
No ( )
S, Quin? __________________________________
14. Se permite el acceso a los programadores, analistas y operadores?

S ( )
No ( )
S, Por qu? _____________________________________________________
15. El edificio donde se encuentran los servidores, cuenta con medidas de proteccin frente a:
a) Inundacin ( )
b) Terremoto ( )
c) Fuego ( )
d) Sabotaje ( )
16. El Data Center tiene salida al exterior?
S ( )
No ( )
17. Describa brevemente la construccin del Data Center, de preferencia proporcionando planos y
material con que est construido y equipo (muebles, sillas etc.) dentro del mismo.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
18. Existe control en el acceso?
a) Por identificacin personal? ( )
b) Por tarjeta magntica? ( )
c) Por claves verbales? ( )
d) Otras? ( ) Cules? ____________________________________________________
e) No existe ningn control ( )
19. Son controladas las visitas y demostraciones en el Data Center?
S ( )
No ( )
20. Se registra el acceso al Data Center de personas ajenas a la OTI?
S ( )
No ( )
21. Existe alarma para

a) Detectar fuego(calor o humo) en forma automtica? ( )
b) Avisar en forma manual la presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnticos? ( )
e) No existe ( )
22. Existe alarma para detectar condiciones anormales del ambiente?
S ( )
No ( )
23. Esta alarma tambin est conectada

a) Al puesto de guardias? ( )
b) A la estacin de Bomberos? ( )
c) A ningn otro lado? ( )
Otro_________________________________________
24. Existen extintores de fuego
a) Manuales? ( )
b) Automticos? ( )
c) No existen ( )
25. Se ha adiestrado el personal en el manejo de los extintores?
S ( )
No ( )
26. Los extintores, manuales o automticos son a base de

a) Agua, ( ) ( )
b) Gas? ( ) ( )
c) Otros ( ) ( )
27. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
S ( )
No ( )
28. Si es que existen extintores automticos son activados por detectores automticos de fuego?
S ( )
No ( )
29. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el
agua cause ms dao que el fuego?
S ( )
No ( )
30. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el
gas cause ms dao que el fuego?
S ( )
No ( )
31. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para
que el personal:
a) Corte la accin de los extintores por tratarse de falsas alarmas?
b) Pueda cortar la energa Elctrica
S ( )
No ( )
S ( )
No ( )
c) Pueda abandonar el local sin peligro de intoxicacin

d) Es inmediata su accin?
S ( )
S ( )
No ( )
No ( )
32. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para
alcanzarlos?
S ( )
No ( )
33. Sabe que hacer el operador de Redes, en caso de que ocurra una emergencia ocasionado
por fuego?
S ( )
No ( )
34. Existe salida de emergencia?

S ( )
No ( )
35. Esta puerta solo es posible abrirla:

a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( )
36. Se revisa que no est descompuesta la cerradura de esta puerta y de las ventanas?
S ( )
No ( )
37. El Data Center cuenta con un Plan de Seguridad?

S ( )
No ( )
38. Se ha tomado medidas para minimizar la posibilidad de fuego:

a) Evitando artculos inflamables en el departamento de cmputo? (
b) Prohibiendo fumar a los operadores en el interior? (
c) Vigilando y manteniendo el sistema elctrico? (
d) No se ha previsto (
39. Se ha prohibido al operador el consumo de alimentos y bebidas en el interior del Data Center
para evitar daos al equipo?
S ( )
No ( )
40. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
SI ( )
NO ( )
No existe ( )
41. Se han implantado claves o password para garantizar operacin de los equipos del Data
Center, a personal autorizado?
S ( )
No ( )
42. Se mantiene un registro permanente (bitcora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos?
43. Cuentan con servidor(es) de respaldo?.
S ( )
S ( )
No ( )
No ( )
44. Los backups se realizan, se realizan en disco magnticos?

S ( )
No ( )
No, Especificar medio de almacenamiento _______________________________________
45. Los backups son mayores de dos (padres e hijos) y se guardan en lugares seguros y
adecuados?
46. Todas las actividades y procedimientos del rea de Redes
estn normadas mediante
manuales, instructivos, normas, reglamentos, etc.?

S ( )
No ( )
47. Se establecen procedimientos para obtencin de backups de paquetes y de archivos de
datos?
S ( )
No ( )
48. Existen licencias del sistema operativo utilizado.

49. Tienen manuales todas las aplicaciones?
S ( )
S ( )
No ( )
No ( )
50. Existen procedimientos adecuados para conectarse y desconectarse de los equipos

remotos?
S ( )
No ( )
51. Existe un perodo mximo de vida de las contraseas de los usuarios?

Cuanto? ________________
S ( )
No ( )
52. Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el
ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o
deben estar- documentadas en el Documento de Seguridad?
S ( )
No ( )
53. Existen procedimientos de asignacin y distribucin de contraseas?
54. Existen procedimientos para la realizacin de las copias de seguridad?
S ( )
No ( )
S ( )
No ( )
55. Existen procedimientos que aseguran que se realizan los backups al menos una vez cada
semana?
S ( )
No ( )
56. Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de las instalacines?.
S ( )
No ( )
57. Se ha determinado quienes tienen llave para acceder al Data Center?.
__________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
58. Existe un inventario de equipos y software del rea de Redes?
S ( )
No ( )
Solo de equipos ( )
Solo de software (
S, Existen procedimientos de actualizacin de dicho inventario?

59. Existe un plan de infraestructura de redes.
S ( )
S ( )
No ( )
No ( )
60. Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del
procesamiento de los datos que pasan a travs de las redes, y para proteger los sistemas
conectados.
S ( )
No ( )
S, especificar
___________________________________________________________________________
___________________________________________________________________________
__________________________________________________________________________
61. Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y
servicios de red?
S ( )
No ( )
62. Existe una topologa estandarizada en toda la organizacin.

S ( )
No ( )
S, De qu tipo? _____________________________________________________
63. Se sabe cuntos usuarios estn conectados a la red.
S ( )
No ( )
64. Se restringe el nivel de acceso a la informacin de los usuarios.
S ( )
No ( )
65. Se registran las acciones de los usuarios.
S ( )
66. Cuenta la empresa con conexin a internet?
No ( )
S ( )
No ( )
67. Se adopto alguna estructura de seguridad.

S ( )
No ( )
S, Cul? ______________________________________________________________
68. Se encuentran habilitados todos los puntos de red?.
S ( )
69. Cuenta con herramientas necesarias para realizar auditoras.

70. Se dispone de un plan de contingencia de TI.
S ( )
No ( )
S ( )
No ( )
No ( )
71. Existen procedimientos de respaldos de datos.

S ( )
No ( )
S, Cules? ____________________________________________________________
72. Cada qu tiempo se prueban las condiciones del UPS?
___________________________________________________________________________
73. Cunto tiempo dura encendido el UPS, cuando se corta el fluido elctrico?
____________________________________________________________________
ANEXO N 13
FORMATOS DE LAS EVALUACINES AL
REA DE DESARROLLO
REA DE DESARROLLO
ORDEN
1. Indique la periodicidad con que se hace la limpieza al rea de Desarrollo:

No ( )
3. Existen prohibiciones para fumar, tomar alimentos y refrescos en el rea?

S ( )
No ( )
S, Cul? ___________________________________________________________________
S ( )
No ( )
5. Se controla el ingreso de personas ajenas al rea?
S ( )
No ( )
S, Cmo? __________________________________________________________________
6. Mencione los casos en que personal ajeno al rea ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
CONTROL DE DISEO DE SISTEMAS Y PROGRAMACIN
7. Quines intervienen al disear un sistema?
Anlisis
Diseo
Etapas de Diseo
Codificaci
Prueba
n
Puesta en marcha
Usuario
Analista
Programadores
Operadores
Gerente
Auditores internos
Asesores
Jefe de rea
Otro(s)
8. Qu herramientas utilizan los analistas?

____________________________________________________________________________
____________________________________________________________________________
9. Cuntos analistas hay y qu experiencia tienen?

____________________________________________________________________________
____________________________________________________________________________
10. Qu lenguaje conocen los programadores?
____________________________________________________________________________
____________________________________________________________________________
11. Cmo se controla el trabajo de los analistas?
____________________________________________________________________________
____________________________________________________________________________
12. Cmo se controla el trabajo de los programadores?
____________________________________________________________________________
____________________________________________________________________________
13. Qu documentacin acompaa al programa cuando se entrega?
____________________________________________________________________________
____________________________________________________________________________
CONTROLES DE ALMACENAMIENTO LOS BACKUPS

El objetivo de este cuestionario es evaluar la forma como se administra los dispositivos de
almacenamiento bsico de la OTI:
1. Los locales asignados a los backups tienen:
(
) Aire acondicionado
) Proteccin contra fuego (de qu tipo) _____________________________________________
) Cerradura especial.
) Otra: ________________________________________________
2. Qu informacin mnima contiene el inventario de backups?

(
) Nmero de serie o carrete.
) Nombre o clave del usuario.
) Nombre del archivo lgico.
) Nombre del sistema que lo genera.
) Fecha de generacin del archivo.
) Fecha de explicacin del archivo.
) Nmero de expiracin del archivo.
) Nmero de volumen.
) Otros: _____________________________________________________________
3. Se verifican con frecuencia la validez de los inventarios de los backups?

S ( )
No ( )
4. En caso de existir discrepancia entre los discos y su contenido, se resuelven y explican

satisfactoriamente las discrepancias?
S ( )
No ( )
5. Qu tan frecuentes son estas discrepancias?

_______________________________________________ al mes.
6. Se tienen procedimientos que permiten la reconstruccin de un archivo en disco, el cual fue
inadvertidamente destruido?
S ( )
No ( )
7. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de
acceso?.
S ( )
No ( )
Cmo? _______________________________________________________________________
8. Existe un control estricto de las copias de estos archivos?

S ( )
No ( )
9. Qu medio se utiliza para almacenarlos?

(
) Mueble con cerradura
) Bveda
) Otro: __________________________________________________
10. Este almacn est situado:

(
) En el mismo edificio de la OTI .
) En otro lugar.
Cul? ________________________________________________________________________
11. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan stos?
S ( )
No ( )
12. Se certifica la destruccin o baja de los archivos defectuosos?

S ( )
No ( )
13. Se registran como parte del inventario los nuevos backups que recibe la biblioteca?
S ( )
No ( )
14. Se tiene un responsable de los backups?

S ( )
No ( )
15. Se realizan auditoras peridicas a los medios de almacenamiento?

S ( )
No ( )
16. Qu medidas se toman en el caso de extravo de algn dispositivo de almacenamiento?

_______________________________________________________________________________
_______________________________________________________________________________
17. Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado?
S ( )
No ( )
18. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperacin
de archivos?
S ( )
No ( )
19. Estos procedimientos los conocen los operadores?

S ( )
No ( )
Cmo los conoce?

_______________________________________________________________________________
20. Con qu periodicidad se revisan estos procedimientos?
(
) Mensual
) Anual
) Semestral
) Otra_______________________
21. Existe un responsable en caso de falla?

S ( )
No ( )
22. Explique qu polticas se siguen para la obtencin de archivos de respaldo:

_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
23. Existe un procedimiento para el manejo de la informacin de la biblioteca de backups?
S ( )
No ( )
24. Lo conoce y lo sigue el bibliotecario de backups?

S ( )
No ( )
ANEXO N 14
FORMATO DE LA EVALUACIN AL
REA DE SOPORTE TECNICO
CUESTIONARIO AL REA DE SOPORTE TECNICO

ORDEN
1. Indique la periodicidad con que se hace la limpieza a Soporte:

3. Existen prohibiciones para fumar, tomar alimentos y refrescos?
S ( )
No ( )
No ( )
S, Cul? ___________________________________________________________________
S ( )
No ( )
5. Se controla el ingreso de personas ajenas al rea?
S ( )
No ( )
S, Cmo? __________________________________________________________________
6. Mencione los casos en que personal ajeno al rea ingresa al mismo:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
SEGURIDAD
1. El rea cuentan con planes y procedimientos de Mantenimiento?
S ( )
No ( )
2. El rea cuentan con con polticas y Normas sobre seguridad?.
S ( )
No ( )
3. El rea cuenta con personal de apoyo.

S, Cuntos? ____________
S ( )
No ( )
4. Este personal de apoyo cuenta con los conocimientos necesarios para dar soporte.
S ( )
No ( )
5. Se cuenta con las licencias de los software que se instalan en las PCs?
S ( )
No ( )
6. Existe un programa de mantenimiento preventivo para cada equipo de la UCV-Piura?
S ( )
No ( )
7. Se lleva a cabo tal programa?
S ( )
No ( )
8. Se notifican las fallas?.
S ( )
No ( )
9. Se les da seguimiento?
S ( )
No ( )
10. Se les realizan una revisin tcnica correcta a los dispositivos y equipos que atiende en la
OTI?
S ( )
No ( )
11. Existe un documento donde este especificado la relacin de las funciones y obligaciones del
personal?.
S ( )
No ( )
12. Existen procedimientos de realizacin de copias de seguridad y de recuperacin de datos?

S ( )
No ( )
13. Existen medidas a adoptar cuando un soporte es obsoleto o no tiene reparacin?
S ( )
No ( )
S, Cual? __________________________________________________________________
14. Existe un perodo mximo de vida de las contraseas que se utilizan en soporte para los
equipos de la UCV-Piura (administrador)?
S ( )
No ( )
S, Cunto tiempo? ______________________________
15. Existen procedimientos de asignacin y distribucin de contraseas?
16. Existe un inventario de los soportes existentes?.
S ( )
17. Existen procedimientos de actualizacin de dicho inventario?
S ( )
No ( )
No ( )
S ( )
No ( )
18. Se existe una copia del Registro de Entrada y Salida del manteniendo de equipos?
S ( )
No ( )
19. Se determina que personas tienen llaves de acceso (clave administrador de equipo)?
S ( )
No ( )
S, Cmo? _________________________________________________________________
___________________________________________________________________________
20. Cuenta con todas las herramientas y materiales necesarias para poder realizar su trabajo.
S ( )
No ( )
No, Por qu? ______________________________________________________________
___________________________________________________________________________
ANEXO N 15
FORMATO DEL CUESTIONARIO APLICADO A LA
JEFATURA DE LA OTI
ANALISIS DEL CONTROL INTERNO

ESTRUCTURA ORGANICA
Se ajusta la estructura orgnica actual a las disposiciones de la sede Trujillo?
S ( )
No ( )
No, Por qu razn? _______________________________________________________

________________________________________________________________________
OBJETIVO DE LA ESTRUCTURA
La estructura actual est encaminada a la consecucin de los objetivos del rea?
Explique en qu forma.
_______________________________________________________________________________
_______________________________________________________________________________
Permite la estructura actual que se lleven a cabo con eficiencia?
-
Las atribuciones encomendadas?

Las funciones establecidas?
La distribucin del trabajo?
El control interno?
S (
S (
S (
S (
)
)
)
)
No (
No (
No (
No (
)
)
)
)
Si alguna de las respuestas es negativa, explique cul es la razn:

_______________________________________________________________________________
_______________________________________________________________________________
NIVELES JERARQUICOS
Los niveles jerrquicos establecidos actualmente son necesarios y suficientes para el desarrollo
de las actividades del rea?
S ( )
No ( )
Por qu o cules son sus recomendaciones?___________________________________

________________________________________________________________________
Permiten los niveles jerrquicos actuales que se desarrolle adecuadamente la:
-
Operacin?
Supervisin?
S ( )
S ( )
No ( )
No ( )
S ( )
S ( )
S ( )
No ( )
No ( )
No ( )
Los niveles actuales permiten que se tengan una gil

-
Comunicacin ascendente?
Comunicacin descendente?
Toma de decisiones?
Si alguna de las respuestas es negativa, explique cul es la razn.

_______________________________________________________________________________
Se considera que algunas reas deberan tener:
Mayor jerarqua?
Menor jerarqua?
S ( )
S ( )
No ( )
No ( )
Porque razn ___________________________________________________________________

_______________________________________________________________________________
DEPARTAMENTALIZACION
Se consideran adecuados los departamentos, reas en que est dividida actualmente la
estructura de la OTI ?
S ( )
No ( )
No, Por qu razn? _____________________________________________________________

_______________________________________________________________________________
_______________________________________________________________________________
El rea y sus subreas tienen delimitadas con claridad sus responsabilidades?
S ( )
No ( )
No, Qu efectos provoca esta situacin? _____________________________________________

_______________________________________________________________________________
PUESTOS
Los puestos actuales son adecuados a las necesidades que tiene el rea para llevar a cabo sus
funciones?
S ( )
No ( )
No, Por qu razn?_______________________________________________________

________________________________________________________________________
El nmero de empleados que trabajan actualmente es adecuado para cumplir con las funciones
encomendadas?
S ( )
No ( )
NOTA.- Especifique el nmero de personas que reportan a las personas que a su vez reportan a
cada puesto:
-
Jefatura ( )
Jefes de rea (
Personal ( )
El nmero de personas es el adecuado en cada uno de los puestos?
S ( )
No ( )
Por qu? _______________________________________________________________

________________________________________________________________________
No, Cul es el nmero de personal que considerara adecuado (seale el puesto o los
puestos)?________________________________________________________________
________________________________________________________________________
EXPECTATIVAS
Considera que debe revisarse la estructura actual, a fin de hacerla ms eficiente? S ( ) No ( )

Si, Por qu razn? ________________________________________________________
________________________________________________________________________
Cul es la estructura qu propondra?
_______________________________________________________________________________
_______________________________________________________________________________
De realizar una modificacin a la estructura, Cundo considera que debera hacerse?
_______________________________________________________________________________
AUTORIDAD
Se encuentra definida adecuadamente la lnea de autoridad?
S ( )
No ( )
No, Por qu razn? _______________________________________________________
La autoridad va de acuerdo a la responsabilidad?
S ( )
No ( )
No, Por qu razn? _______________________________________________________
En qu rea se ha presentado conflictos por el ejercicio de la autoridad?
S ( )
No ( )
Si, explique en qu casos ___________________________________________________

________________________________________________________________________
Existe en el rea algn sistema de sugerencias y quejas por parte del personal? S ( )
No ( )
EXISTENCIA
Se han establecido las funciones de las reas?
S ( )
No ( )
Por qu no? _____________________________________________________________

________________________________________________________________________
Las funciones estn de acuerdo con las atribuciones legales?
S ( )
No ( )
Por qu no estn de acuerdo? ______________________________________________

________________________________________________________________________
Sugerencias ____________________________________________________________________
_______________________________________________________________________________
Estn por escrito en algn documento las funciones de las reas?
S ( )
No ( )
Cul es la forma de darlas a conocer?

_______________________________________________________________________________
Quin elaboro las funciones?

_______________________________________________________________________________
Participo el rea en su formulacin?
S ( )
No ( )
Por qu causas no participo?________________________________________________

COINCIDENCIAS
Las funciones estn encaminadas a la consecucin de los objetivos institucionales e internos?
S ( )
No ( )
Por qu no? _____________________________________________________________

Sugerencias ______________________________________________________________
________________________________________________________________________
Las funciones del rea estn acorde al reglamento interior?
S ( )
No ( )
No, En qu considera que difieren?___________________________________________

Conocen otras reas las funciones del rea?
S ( )
No ( )
Por qu no?_____________________________________________________________
ADECUADAS
Son adecuadas a la realidad las funciones?
S ( )
No ( )
Por qu no son adecuadas? ________________________________________________

Son adecuadas a las necesidades actuales? _________________________________________
Por qu no? _____________________________________________________________
Cules son sus principales limitaciones?
_______________________________________________________________________________
Sugerencias
_______________________________________________________________________________
Estn adecuadas a la carga de trabajo?
S ( )
No ( )
Existen conflictos por las cargas de trabajo desequilibradas?
S ( )
No ( )
De qu tipo? ____________________________________________________________
Se tiene contemplada la desconcentracin?
S ( )
No ( )
Por qu no? _____________________________________________________________
________________________________________________________________________
Cmo afecta la desconcentracin a las funciones?
_______________________________________________________________________________
_______________________________________________________________________________
Participo la Jefatura de la OTI en su elaboracin?
S ( )
No ( )
Por qu no? _____________________________________________________________

________________________________________________________________________
CUMPLIMIENTO
Estn delimitadas las funciones?
A nivel de rea? (
S ( )
)
A nivel de puesto? (
No ( )
No, por qu? ____________________________________________________________

________________________________________________________________________
Las actividades que realiza son acordes a las funciones que tienen asignadas? S ( )
No ( )
No, Qu tipo de actividades realiza que no estn acorde a las funciones asignadas?
________________________________________________________________________
________________________________________________________________________
Cul es la causa?_________________________________________________________
Quin las ordena?________________________________________________________
Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas?
S ( )
No ( )
No, Cul es su grado de cumplimiento?________________________________________

________________________________________________________________________
La falta de cumplimiento de las funciones es por: (marque las que ocurra)
(
(
(
(
(
) Falta de personal.
) Personal no capacitado.
) Cargas de trabajo excesivas.
) Porque realiza otras actividades.
) La forma en que las ordena.
Cules funciones realiza en forma:

Peridicas?_______________________________________________________________
________________________________________________________________________
Sistemticas?_____________________________________________________________
________________________________________________________________________
Otras?___________________________________________________________________
Tienen programas y tareas encomendadas?
S ( )
No ( )
No, Por qu? ____________________________________________________________

________________________________________________________________________
Permiten cumplir con los programas y tareas encomendadas (necesidades de operacin)?
S ( )
No ( )
No, Por qu causas? ______________________________________________________

________________________________________________________________________
Quin es el responsable de ordenar que se ejecuten las actividades?
_______________________________________________________________________________
En caso de realizar otras actividades, Quin ordena y autoriza?
_______________________________________________________________________________
En caso de no encontrarse el jefe, Quin lo puede realizar?
_______________________________________________________________________________
APOYOS
Para cumplir con sus funciones requiere de apoyo de otras reas?
S ( )
No ( )
Si, De qu tipo? __________________________________________________________

Cul es el rea que proporciona el apoyo?_____________________________________
Se le proporcionan con oportunidad?
S ( )
No ( )
No, Qu le ocasiona?______________________________________________________
No, Cmo resuelve esa falta de apoyo?_______________________________________
Con que frecuencia lo solicita?
_______________________________________________________________________________
Para cumplir con sus funciones, Proporciona apoyos a otras reas?
S ( )
No ( )
Si, Qu tipo de apoyo proporciona?___________________________________________

A cuntas reas? _________________________________________________________
Cules son? _____________________________________________________________
DUPLICIDAD
Existe duplicidad de funciones en otras reas?
S ( )
No ( )
Si, Cules y donde? ______________________________________________________

________________________________________________________________________
Qu conflictos ocasiona? _________________________________________________________
La duplicidad de funciones se debe a que el rea no puede realizarlos?
S ( )
No ( )
Si, Cul es la razn? ______________________________________________________

No, Cul es su funcin al respecto? __________________________________________
Se puede eliminar funciones?
S ( )
No ( )
Si, Cules? _____________________________________________________________

Se puede transferir funciones?
S ( )
No ( )
Si, Cules y adonde? _____________________________________________________

Permite la duplicidad que se d el control interno?
S ( )
No ( )
No, Por qu? ____________________________________________________________

OBJETIVOS
Se han establecido objetivos para la OTI?
S ( )
No ( )
Quin los estableci? _____________________________________________________

Cul es el mtodo para el establecimiento de los objetivos?
_______________________________________________________________________________
Participo el rea en su establecimiento?
S ( )
No ( )
Cules fueron las principales razones de la seleccin de los objetivos?

_______________________________________________________________________________
Los objetivos establecidos son congruentes con:
- Los de la direccin.
S ( )
No ( )
- Los de la subdireccin.
S ( )
No ( )
- Los del departamento/oficina.
S ( )
No ( )
- Los de otros departamentos/oficinas.
S ( )
No ( )
Por qu no se han establecido objetivos para el rea?

_______________________________________________________________________________
Nadie le exige establecerlos?
S ( )
No ( )
Considera importante que se establezcan?
S ( )
No ( )
Es responsabilidad de otra rea establecer los objetivos?
S ( )
No ( )
Cul?__________________________________________________________________
De qu manera planea el trabajo del rea?___________________________________________
FORMALES
Se han definido por escrito los objetivos del rea?
S ( )
No ( )
En qu documento? ______________________________________________________
Por qu no estn definidos por escrito? ______________________________________________
Qu problemas se han derivado de esta situacin? ____________________________________
CONOCIMIENTO
Se han dado a conocer los objetivos?
S ( )
No ( )
A quin se han dado a conocer? ___________________________________________________

Quin ms debera conocerlo?
_______________________________________________________________________________
Qu mtodo se ha utilizado para dar a conocer los objetivos?
_______________________________________________________________________________
Por qu no se han dado a conocer los objetivos? ______________________________________
_______________________________________________________________________________
Considera importante que los conozca el personal?
S ( )
No ( )
Cmo afecta la operacin del rea el hecho de que los objetivos no se hayan dado a conocer o
que su conocimiento sea parcial?
_______________________________________________________________________________
_______________________________________________________________________________
ADECUADOS
Abarcan los objetivos toda la operacin del rea?
S ( )
No ( )
Qu aspectos no se cubren? ______________________________________________________

Los objetivos son claros y precisos?
S ( )
No ( )
Son realistas?
S ( )
No ( )
Se pueden alcanzar?
S ( )
No ( )
Por qu? _______________________________________________________________

Estn de acuerdo con las funciones del rea?
S ( )
No ( )
Sealan cuales son las realizaciones esperadas?
S ( )
No ( )
Son congruentes con los objetivos organizacionales?
S ( )
No ( )
Sirven de gua al personal?
S ( )
No ( )
Sirven para motivar al personal?
S ( )
No ( )
Se han establecido para el corto, mediano y largo plazo?
S ( )
No ( )
Qu adecuaciones puede sugerir para los objetivos actuales?

_______________________________________________________________________________
CUMPLIMIENTO
En qu grado se cumplen los objetivos? _____________________________________________
Existen mecanismos para conocer el grado de cumplimiento de los objetivos? S ( )
No ( )
S, cules? ______________________________________________________________
No, de qu manera se establece el grado de cumplimiento?_______________________
________________________________________________________________________
Se elabora algn reporte sobre el grado de avance en el cumplimiento de los objetivos?
S ( )
No ( )
Para quin y con qu frecuencia? ____________________________________________

________________________________________________________________________
Quin elabora este reporte? ________________________________________________
Qu se hace en caso de desviacin en el cumplimiento de los objetivos?
_______________________________________________________________________________
_______________________________________________________________________________
Qu sugerencias puede hacer para lograr el cumplimiento total de los objetivos?
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
ACTUALIZACIN
Se revisan los objetivos?
S ( )
No ( )
Quin revisa los objetivos? _______________________________________________________

De qu manera se lleva a cabo la revisin? __________________________________________
______________________________________________________________________________
Participa el rea en la actualizacin de los objetivos?
S ( )
No ( )
Cundo se hizo la ltima revisin de los objetivos?

______________________________________________________________________________
De qu manera se incorporan las modificaciones derivadas de las revisiones?
ANEXO N 16
FORMATO DE LA ENTREVISTA APLICADA A LOS
JEFES DE LAS REAS DE LA OTI
ENTREVISTA CON LOS JEFES DE REA

EVALUACIN DE LOS RECURSOS HUMANOS DE LA OTI N: ...
rea: ... Cargo: ..
Marque con una ( x ) la alternativa que usted considera la ms adecuada. Escribir de forma clara;
usar lapicero de color azul o negro. Evite los borrones o enmendaduras ya que se dar por
anulada su respuesta.
El siguiente cuestionario es para obtener informacin de los siguientes aspectos:
DESEMPEO Y CUMPLIMIENTO
Se deja de realizar alguna actividad por falta de personal?
S ( )
Est capacitado el personal para realizar con eficacia sus funciones?
No ( )
S ( )
No ( )
Por qu no? _____________________________________________________________

Es eficaz en el cumplimiento de sus funciones?
S ( )
No ( )
Por qu no? _____________________________________________________________

Los usuarios reportan los mismos problemas
S ( )
No ( )
Marque los problemas por lo suelen llamar:

Problemas con la PC ( )
Problemas con la red ( )
Problemas con el sistema(s) ( )
Problemas con la impresora ( )
Problemas de inicio de sesin ( )
Otro (
Cual?.....................................................................................................................................
Con qu frecuencia:
( ) 1 vez a la semana ( ) 2 veces a la semana ( ) 1 vez al mes ( ) 2 veces al mes
En general, Acata el personal las polticas y procedimientos establecidos?
S ( )
No ( )
En caso responda NO, especifique las situaciones que no permiten acatar lo antes indicado
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo?
S ( )
No ( )
Si, Qu se hace al respecto? _______________________________________________

Respeta el personal la autoridad establecida?
S ( )
No ( )
Por qu no? _____________________________________________________________

Presenta el personal sugerencias para mejorar el desempeo actual?
S ( )
No ( )
CAPACITACIN
Los programas de capacitacin incluyen al personal de:
rea
N de capacitados
Se han identificado las necesidades actuales y futuras de capacitacin del personal del rea?
S ( )
No ( )
Por qu no? _____________________________________________________________

Se desarrollan programas de capacitacin de Seguridad de la Informacin para el personal del
rea?
S ( )
No ( )
No, por qu? ____________________________________________________________

Apoya la Jefatura la realizacin de estos programas?
S ( )
No ( )
Se evalan los resultados de los programas de capacitacin?
S ( )
No ( )
No, Por qu? ____________________________________________________________

________________________________________________________________________
SUPERVISIN
Se supervisa al personal?
S ( )
No ( )
Por qu no se realiza? _____________________________________________________

Cmo se controlan el ausentismo y tardanzas del personal?
_______________________________________________________________________________
Cmo se evala el desempeo del personal?
_______________________________________________________________________________
Por qu no se evala? _____________________________________________________
Cul es la finalidad de la evaluacin del personal?
_______________________________________________________________________________
LIMITACIONES
Cules son los principales factores internos que limitan el desempeo del personal?
_______________________________________________________________________________
Cules son los principales factores externos que limitan el desempeo del personal del rea?
_______________________________________________________________________________
Cul es el ndice de rotacin de personal en:
- Redes
- Soporte
- Acadmico
- Desarrollo
En trminos generales, Se adapta el personal al mejoramiento administrativo (resistencia al

cambio)?
S ( )
No ( )
Cul es el grado de asistencia y puntualidad del personal? ______________________________

Se cuenta con una poltica uniforme y consistente para sancionar la indisciplina del personal?
S ( )
No ( )
Puede el personal presentar quejas y/o problemas?
S ( )
No ( )
S, Cmo se soluciona? ____________________________________________________

Otras reas externas presentan quejas sobre la capacidad y/o atencin del personal del rea?
S ( )
No ( )
S, qu tratamiento se les da? _______________________________________________

________________________________________________________________________
Cules son las principales causas de faltas, tardanzas o ausentismos?
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
CONDICIONES DE TRABAJO
El personal del rea conoce el reglamento interno de trabajo?
S ( )
No ( )
Se apoyan en l para solucionar los conflictos laborales?
S ( )
No ( )
No, por qu? ____________________________________________________________
REMUNERACIONES
Est adecuadamente remunerado con respecto a:
-
Trabajo desempeado?
Puestos similares en otras organizaciones?
Puestos similares en otras reas?
S ( )
S ( )
S ( )
No ( )
No ( )
No ( )
S, cmo repercute? _________________________________________________________

No, cmo repercute? _________________________________________________________
AMBIENTE
El personal est integrado como equipo de trabajo?
S ( )
No ( )
No, Por qu? ____________________________________________________________

Son adecuadas las condiciones ambientales con respecto a:
Espacio del rea?
S ( )
No ( )
Iluminacin?
S ( )
No ( )
Ventilacin?
S ( )
No ( )
Equipo de oficina?
S ( )
No ( )
Mobiliario?
S ( )
No ( )
Ruido?
S ( )
No ( )
Limpieza y/o aseo?
S ( )
No ( )
Instalaciones sanitarias?
S ( )
No ( )
Instalaciones de comunicacin?
S ( )
No ( )
ORGANIZACIN DEL TRABAJO

Participa en la seleccin del personal?
S ( )
No ( )
No, Por qu? ____________________________________________________________

Se prevn las necesidades de personal con anterioridad?
En cantidad?
S ( )
No ( )
En calidad?
S ( )
No ( )
No, Por qu? ____________________________________________________________

Est prevista la sustitucin del personal clave?
S ( )
No ( )
No, Por qu? ____________________________________________________________

DESARROLLO Y MOTIVACIN
Cmo se realiza la motivacin del personal del rea?
_______________________________________________________________________________
Cmo se estimula y se recompensa al personal del rea?
_______________________________________________________________________________
Existe oportunidad de ascenso o de ser promovido?
S ( )
No ( )
Qu poltica hay al respecto? ______________________________________________________

_______________________________________________________________________________
ANEXO N 17
FORMATO DE LA ENTREVISTA CON EL
PERSONAL DE LA OTI
ENTREVISTAS CON EL PERSONAL DE LA OTI

1. Nombre del puesto.
____________________________________________________________________________
2. Fecha en que inicio a trabajar en el rea
(Mes / Ao)
_________ / ___________
3. Puesto del jefe inmediato.

____________________________________________________________________________
4. Puestos a que reporta.
____________________________________________________________________________
____________________________________________________________________________
5. Puestos de las personas que reportan al entrevistado.
____________________________________________________________________________
____________________________________________________________________________
6. Nmero de personas que reportan al entrevistado: _________________________________
7. Describa brevemente las actividades diarias de su puesto.
____________________________________________________________________________
____________________________________________________________________________
8. Actividades peridicas.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
9. Actividades eventuales.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
10. Con qu manuales cuenta para el desempeo de su puesto?

____________________________________________________________________________
____________________________________________________________________________
11. Qu polticas se tiene establecidas para el puesto?
____________________________________________________________________________
____________________________________________________________________________
12. Seale los vacios (falta de inters o importancia) que considere que existe en la organizacin.
___________________________________________________________________
____________________________________________________________________________
13. Cuenta con cargas de trabajo, Cmo cuales?
____________________________________________________________________________
____________________________________________________________________________
14. Cmo las controla?
____________________________________________________________________________
____________________________________________________________________________
15. Cmo se deciden las polticas que han de implantarse?
____________________________________________________________________________
____________________________________________________________________________
16. Cmo recibe las instrucciones de los trabajos encomendados?
____________________________________________________________________________
____________________________________________________________________________
17. Con qu frecuencia recibe capacitacin y de qu tipo?
____________________________________________________________________________
____________________________________________________________________________
18. Sobre qu tema le gustara recibir capacitacin?
____________________________________________________________________________
____________________________________________________________________________
19. Mencione la(s) capacitacin(es) obtenida durante el ltimo ao?
____________________________________________________________________________
____________________________________________________________________________
20. Observaciones.
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
ANEXO N 18
PAPELES DE TRABAJO
Universidad Csar Vallejo Piura

Examen a la Oficina de Tecnologas de Informacin.
Del 05/Sep./2009 al 01/Dic./2009.
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de
Informacin en la Universidad Csar Vallejo - Piura.
El da 30/10/2009 a las 17:55 solicit al Jefe de la OTI la documentacin que detallo en el Formato
de Solicitud de Documentacin (Ver Anexo N 7); el jefe de la OTI slo me proporcion la siguiente
documentacin:
El Manual de Organizacin y Funciones.
El plan Operativo de la OTI 2009.
Inventario de hardware de la Universidad Csar Vallejo - Piura.
M.A.R.R.: 25/Nov./2009
J.M.E.S.: 30/Nov./2009
Cdigo: 001

Del 05/Sep./2009 al 01/Dic./2009.
Los das 24/09/2009 y 25/09/2009 cumpliendo con el desarrollo de la Auditora basada en

ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad
Csar Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la segunda fase: LA
MEDICIN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:
EVALUACION Y TRATAMIENTO DEL RIESGO, se encontr la siguiente deficiencia:
-DEFICIENCIA N 001: No se ha identificado que la UCV Piura cuente con una Poltica de
Seguridad de Informacin
(VER ANEXO N 19 INFORME FINAL)
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 002

Del 05/Sep./2009 al 01/Dic./2009.
Los das del 29/09/09 al 30/09/09 cumpliendo con el desarrollo de la Auditora basada en ISO/IEC
17799 para la gestin de seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la segunda fase: LA
MEDICIN DE RIESGOS, y acorde con el ISO/IEC 17799 respaldado en su dominio:
ORGANIZANDO LA SEGURIDAD DE INFORMACIN, se encontraron las siguientes deficiencias:
- DEFICIENCIA N 002: La UCV Piura carece de una organizacin adecuada de seguridad de
informacin.
- DEFICIENCIA N 003: La UCV Piura carece de un proceso de autorizacin para la gestin de cada
nuevo recurso de tratamiento de la informacin.
- DEFICIENCIA N 004: La UCV Piura carece de requerimientos de confidencialidad o acuerdos de
no divulgacin.
- DEFICIENCIA N 005: La UCV Piura no mantiene contacto apropiado con autoridades relevantes.
- DEFICIENCIA N 006: No se desarrollan actividades relacionadas a la revisin de objetivos de
control, controles, polticas, procesos y procedimientos para seguridad de informacin.
- DEFICIENCIA N 007: La UCV Piura no cuenta con acuerdos de terceras partes que cubran todos
los requisitos de seguridad relevantes.
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 003

Del 05/Sep./2009 al 01/Dic./2009.
Vallejo Piura, siguiendo la metodologa COSO, se procedi a realizar la tercera fase: EL
CONTROL DE ACTIVIDADES, y acorde con el ISO/IEC 17799 respaldado en su dominio:
GESTIN DE ACTIVOS, se encontr la siguiente deficiencia:
-DEFICIENCIA N 008: La UCV Piura no mantiene sus activos claramente identificados ni mantiene
un inventario actualizado de todos activos importantes.
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 004
Del 05/Sep./2009 al 01/Dic./2009.

SEGURIDAD EN RECURSOS HUMANOS, se encontraron las siguientes deficiencias:
- DEFICIENCIA N 009: La UCV Piura no cuenta con las funciones y responsabilidades de los
empleados, contratistas y terceros definidas y documentadas en concordancia con la poltica de
seguridad de la organizacin.
- DEFICIENCIA N 010: La UCV Piura no proporciona entrenamiento a los empleados, contratistas y
usuarios en polticas y procedimientos organizacionales.
- DEFICIENCIA N 011: La UCV Piura carece de un proceso formal disciplinario para empleados
que han cometido un apertura en la seguridad.
- DEFICIENCIA N 012: La UCV Piura no cuenta con un procedimiento formal para las
responsabilidades, para realizar la finalizacin de un empleo o el cambio de este que estn
claramente definidas y asignadas.
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Del 05/Sep./2009 al 01/Dic./2009.
Cdigo: 005

SEGURIDAD FSICA Y AMBIENTAL, se encontraron las siguientes deficiencias:
- DEFICIENCIA N 013: La UCV Piura no cuenta con controles sofisticados para el acceso al
permetro de seguridad.
- DEFICIENCIA N 014: La UCV Piura no cuenta con equipos contra fallos de energa u otras
anomalas elctricas.
- DEFICIENCIA N 015: La OTI no cuenta con un plan o cronograma de mantenimiento preventivo
para los equipos.
- DEFICIENCIA N 016: No se brinda seguridad a los equipos que se encuentran fuera de los
locales de la organizacin tomando en cuenta los diversos riesgos a los que se est expuesto.
- DEFICIENCIA N 017: En la UCV Piura no se revisan los dispositivos de almacenamiento, con el
fin de asegurar que cualquier dato sensible y software con licencia haya sido removido o
sobrescrito con seguridad antes de la eliminacin.
- DEFICIENCIA N 018: En la UCV Piura los equipos, informacin o software son extrados del local
sin autorizacin.
M.A.R.R.: 25/Nov/2009
J.M.E.S.: 30/Nov./2009
Cdigo: 006
ANEXO N 19
INFORME FINAL
INFORME
Auditora basada en ISO/EIC 17799 para la gestin de la
Universidad Csar Vallejo
RESPONSABLE:
PERODO:
Del 12 de septiembre de 2009 al 03 de diciembre de 2009
FECHA DE EMISIN:
03 de Diciembre de 2009.
Piura, 03 de Diciembre de 2009
Ingeniero
Aldo Alexis Avalos Crdova
Jefe de la Oficina de Tecnologas de Informacin.
Sirva la presente para saludarle cordialmente y comunicarle que adjunto encontrar el Informe de
la Auditora practicada a la Oficina de Tecnologas de Informacin desarrollada del 12 de
Septiembre de 2009 al 03 de Diciembre de 2009.
El examen se efectu en ejercicio de desarrollo de mi tesis titulada: Auditora basada en ISO/EIC
17799 para la gestin de la seguridad de las Tecnologas de Informacin en la Universidad Csar
Vallejo - Piura.
Como resultado del examen se encontraron y evidenciaron situaciones que contravienen lo
dispuesto por la Norma, las mismas que se constituyeron como deficiencias.
Atentamente,

DNI: 44027028
Estructura del Informe
Objetivo de la Auditora...................................................................................... 1
Objetivos especficos...................................................................................... 166
Alcance de la Auditora................................................................................... 166
Metodologa de la auditoria............................................................................166
Desarrollo........................................................................................................... 2
Equipo auditor.................................................................................................... 2
reas auditadas.................................................................................................. 2
Marco legal......................................................................................................... 2
Comentarios de importancia.............................................................................. 2
Campos del formato de deficiencia....................................................................3
Deficiencias........................................................................................................ 4
Conclusiones.................................................................................................... 62
OBJETIVO DE LA AUDITORA
Auditar la gestin de la seguridad de las Tecnologas de Informacin en la UCV-Piura.
OBJETIVOS ESPECFICOS
Verificar el cumplimiento de los dominios establecidos en la norma.
Presentar un informe final detallando las deficiencias estructuradas en: condicin, criterio(s),
causa(s), efecto(s) y recomendacin(es), para que stas sean tomadas en cuenta en la toma
de decisiones.
ALCANCE DE LA AUDITORA
El alcance de la evaluacin comprende los 11 Dominios de control de seguridad de la ISO/EIC
17799 las cuales son:
a) Poltica de seguridad.- evaluar la direccin y soporte de la gestin de la seguridad de la
informacin en concordancia con los requerimientos del negocio.
b) Organizando la seguridad de informacin.- evaluar la gestin de seguridad de la informacin
dentro de la organizacin.
c) Gestin de activos.- evaluar la proteccin adecuada sobre los activos de la organizacin.
d) Seguridad en recursos humanos.- evaluar a los empleados, contratistas y terceros, si estos
entienden sus responsabilidades y que sean adecuados para los roles que han sido
considerados.
e) Seguridad fsica y ambiental.- evaluar los accesos no autorizados, daos e interferencias
f)
contra los locales y la informacin de la organizacin.

Gestin de comunicaciones y operaciones.- evaluar la operacin correcta y segura de los
recursos de tratamiento de informacin.

g) Control de acceso.- evaluar los controles de acceso a la informacin.
h) Adquisicin, desarrollo y mantenimiento de sistemas de informacin.- evaluar si la
i)
seguridad est incluida en los sistemas de informacin.

Gestin de incidentes de los sistemas de informacin.- evaluar que los eventos y
debilidades de la seguridad de la informacin sean comunicados de una manera que permita
j)
que se realice una accin correctiva a tiempo.

Gestin de la continuidad del negocio.- evaluar la reaccin a la interrupcin de actividades
del negocio y proteger sus procesos crticos frente a grandes fallos de los sistemas de
informacin o desastres.
METODOLOGA DE LA AUDITORIA
Esta Auditora se realiz teniendo como marco de referencia la Metodologa COSO (Comit de
organizaciones patrocinadoras de la comisin Treadway), como criterio para el Control Interno, y
la NTP ISO/IEC 17799 como marco normativo en la implementacin de seguridad de informacin.
Este procedimiento nos indica que debemos evaluar y obtener evidencias objetivas del
cumplimiento o no cumplimiento con el Estndar, por medio de:
a) Entrevista con los usuarios.
b) Revisin de documentos
c) Revisin de las actividades
d) Demostracin de la propia actividad.
DESARROLLO
Del 12 de septiembre de 2009 al 03 de diciembre de 2009 se desarroll la auditora para la gestin
de la seguridad de las Tecnologas de Informacin, llevando a cabo la agenda de trabajo definida
previamente con el equipo auditor.
En cada una de las reas de trabajo se aplicaron las listas de verificacin previamente diseadas
por el auditor, durante la jornada de trabajo se entrevistaron, adems de los responsables de las
reas y departamentos, al personal que contribuye o participa directa e indirectamente en los
procesos auditados utilizando la metodologa descrita con anterioridad.
EQUIPO AUDITOR
El equipo auditor estuvo conformado por 2 personas, de las cuales uno es Supervisor y un auditor
Junior, quedando el equipo de la siguiente manera:
Supervisor:
Auditor Junior: Marco Antonio Riega Reto.

REAS AUDITADAS
rea Redes y Comunicaciones.
rea de Soporte Tcnico.
rea de Desarrollo.
reas usuarios de los servicios de la OTI.
MARCO LEGAL
La auditora se realiz en base a la NTP ISO/IEC 17799:2007: EDI. Tecnologa de la informacin.
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2a. ed. 173 p.
Esta Norma Tcnica Peruana establece recomendaciones para desarrollar una gestin de la
seguridad de la informacin que pueda utilizarse por los responsables de iniciar, implantar o
mantener la seguridad en una organizacin. Persigue proporcionar una base comn para
desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la
gestin de la seguridad, as como proporcionar confianza en las relaciones entre organizaciones.
COMENTARIOS DE IMPORTANCIA
Se encontr que los activos y la documentacin estn claramente identificados y se mantiene
un inventario de todos los activos importantes.
Durante el desarrollo de la auditora, se observ que los elementos que integran el equipo de
trabajo de la OTI interactan de forma constante.
Que los Principios Bsicos: Lealtad, Trabajo en equipo, Responsabilidad, Calidad de servicio,
Tolerancia e Innovacin descritos en el MOF, forma parte de cada de uno de los elementos que
integra la OTI.
Se realizan reuniones mensuales con el equipo de trabajo, pero estas no son documentadas
con el fin de evidenciarlas, recomendara que se cree un acta por reunin efectuada.
La OTI Piura por formar parte de una filial y dependiente de la principal de Trujillo, debera
contar con una copia de los registros de adquisicin de licencias que se tiene por software al
DTI-Trujillo, teniendo en cuenta: el proveedor, propietario, la duracin de la licencia, nmero de
actualizaciones permitidas, nmero de equipos permitidos para su instalacin y copia de factura
emitida.
En la OTI se realizan las instalaciones de los distintos software, programas o aplicaciones que
se deben o deberan estar instalados en las PCs o laptops de una manera insegura e
imprecisa, para una adecuada administracin del software, programas o aplicaciones a instalar,
sugiero tener un registro de los mismos por cargo y rea.
La UCV-Piura cuenta con personas capacitadas en conocimientos bsicos en computacin,
pero estas son pocas, con los aos que ya tiene forma la misma, se debera tomar en cuenta
que el personal administrativo, que no cuente con los conocimientos bsicos en computacin y
que utilice o tenga a cargo alguna PC u otro equipo tecnolgico, sea capacitado o se capacite
en el uso del mismo.
La OTI se encarga de administrar las T.I. de toda la UCV-Piura y otras empresas como San
Antonio, Santa Rosa, que pertenecen a los propietarios de la universidad, situacin que limita
el adecuado y oportuno soporte que frente a los problemas de T.I. que se presentan en las
unidades organizacionales de la Universidad, ya que generalmente la OTI no cuenta con el
suficiente personal para atender los diferentes problemas Tecnolgicos de las otras empresas o
centros productivos que no forman parte del UCV-Piura.
CAMPOS DEL FORMATO DE DEFICIENCIA
Detalle:
- Condicin: Lo que es Situacin o hecho evidenciado.
- Criterio: Lo que debe ser Marco de referencia con el que se compara la condicin para
encontrar divergencias. Ley, reglamento, norma de control interno.
- Causa: Por qu El origen de la condicin observada.
- Efecto: Las consecuencias Surge de las diferencias entre la condicin y el criterio, el efecto
tendr un resultado positivo o negativo
- Recomendacin: Arregla la condicin La recomendacin se emite con la idea de mejorar o
anular la condicin y llegar al criterio atacando la causa y arreglar el efecto para futuras
situaciones.
DEFICIENCIA N 001
FECHA DE LLENADO
DA
24
MES
Setiembre
REA AUDITADA: OTI

AO
2009
AUDITOR JUNIOR: M.A.R.R.

DETALLE
Condicin:
No se ha identificado que la UCV Piura cuente con una Poltica de Seguridad de Informacin
Criterio:
NTP-ISO/IEC 17799: 4. EVALUACION Y TRATAMIENTO DEL RIESGO, 4.1.- La gerencia debera
aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de
Causa(s):
- La OTI no se basa en ninguna norma o estndar para poder desempear sus funciones.
- No contar con el tiempo y personal suficientemente capacitado en la seguridad de la informacin.
Efecto(s):
- Que el personal de la UCV Piura no conozca las disposiciones necesarias que permitan salvaguardar la
Seguridad de la Informacin.
Recomendaciones:
- La implementacin, aprobacin, publicacin y divulgacin de la Poltica de Seguridad de la Informacin.
- Que una vez que se implemente la Poltica de Seguridad de Informacin, sta debe ser revisada en
intervalos planificados, para lo cual es conveniente implementar un procedimiento de actualizacin para
la Poltica de Seguridad de Informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 002
FECHA DE LLENADO
DA
29
MES
Setiembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura carece de una organizacin adecuada de seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.1.- La gerencia debe
apoyar activamente en la seguridad dentro de la organizacin a travs de direcciones claras
demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la
seguridad de informacin;
Causa(s):
- La UCV Piura no se basa en ninguna norma o estndar para poder administrar las T.I.
- La alta Direccin de la UCV Piura carece de los conocimientos de seguridad de informacin
necesarios.
Efecto(s):
- Inadecuada administracin de la seguridad de informacin.
- No contar con los planes de: seguridad de informacin y continuidad del negocio.
Recomendaciones:
- Que la Direccin General de la UCV-Piura establezca las responsabilidades de seguridad de
informacin ya sea a travs de un puesto organizacional especfico como Oficial de Seguridad de la
Informacin, mediante la creacin de un rea organizacional de seguridad de la informacin, as
como tambin mediante la creacin de un Comit de Seguridad de Informacin.
- Se formalice la constitucin de un comit de seguridad de la informacin, el mismo que deber estar
compuesto por representantes tanto de las reas administrativas como acadmicas de la entidad.
Este comit deber ser liderar por la alta direccin de la entidad.
- Que las responsabilidades que se asignen al rea al Oficial de Seguridad de la informacin sean
concordantes con la poltica de seguridad de la informacin de la UCV-Piura.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 003
FECHA DE LLENADO
DA
29
MES
Setiembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura carece de un proceso de autorizacin para la gestin de cada nuevo recurso de
tratamiento de la informacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.4.- Debera
establecerse un proceso de autorizacin para la gestin de cada nuevo recurso de tratamiento de la
informacin.
Causa(s):
- La alta Direccin de la UCV Piura carece de los conocimientos de seguridad de informacin necesarios.
Efecto(s):
- Inadecuada administracin de los nuevos recursos de tratamiento de la informacin.
- Prdidas econmicas.
Recomendaciones:
Se recomienda que se implemente un proceso de autorizacin para la gestin de recursos de
informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 004
FECHA DE LLENADO
DA
29
MES
Setiembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura carece de requerimientos de confidencialidad o acuerdos de no divulgacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.5.- Requerimientos de
confidencialidad o acuerdos de no divulgacin que reflejen las necesidades de la organizacin para la
proteccin de informacin deben ser identificadas y revisadas regularmente.
Causa(s):
No contar con un Polticas de seguridad.
Efecto(s):
Divulgacin de informacin confidencial.
Recomendaciones:
Se recomienda se implementen acuerdos clausulas de confidencialidad tanto en los contratos, o
convenios con el personal y entidades externas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 005
FECHA DE LLENADO
DA
30
MES
Setiembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no mantiene contacto apropiado con autoridades relevantes.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.6.- Deben ser
mantenidos contactos apropiados con autoridades relevantes.
Causa(s):
No contar con el Plan de continuidad del Negocio.
Efecto(s):
No saber las actividades que se deben desarrollar, as como a quin acudir o llamar en caso de una
emergencia fsica y lgica.
Recomendaciones:
- Se recomienda que se cree y se mantenga actualizada una lista de contactos apropiados como:
Defensa Civil, Cruz Roja, Bomberos y Proveedores de hardware y software, entre otros, que
administren o estn involucrados con los procesos o recursos crticos de informacin.
- Una creada la lista de contactos, se debe mantenerse contactos apropiados con grupos de inters
especial u otros especialistas en foros de seguridad y asociaciones profesionales.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 006
FECHA DE LLENADO
DA
30
MES
Setiembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se desarrollan actividades relacionadas a la revisin de objetivos de control, controles, polticas,
procesos y procedimientos para seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.8.- El alcance de la
organizacin para gestionar la seguridad de informacin y su implementacin (objetivos de control,
controles, polticas, procesos y procedimientos para seguridad de informacin) deben ser revisados
independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de
la seguridad ocurran.
Causa(s):
- No contar con los conocimientos de seguridad de informacin necesarios por parte de la OTI.
- No contar con el suficiente tiempo y personal para el desarrollo de los mismos.
Efecto(s):
Inadecuada administracin de las T.I.
Recomendaciones:
- Se recomienda la implementacin, formalizacin y mantenimiento de los controles, polticas, procesos y
procedimientos para seguridad de informacin, los mismos que deberan ser actualizados
peridicamente o cuando se implemente un cambio significativo en la plataforma tecnolgica.
- Tambin se recomienda que se desarrolle un anlisis y evaluacin de riesgos asociados con el acceso a
la informacin de la entidad que tenga los terceros.
- Anexar los requisitos identificados de seguridad antes de dar a los clientes acceso a la informacin o a
los activos de la organizacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 007
FECHA DE LLENADO
DA
30
MES
Setiembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con acuerdos de terceras partes que cubran todos los requisitos de seguridad
relevantes.
Criterio:
NTP-ISO/IEC 17799: 6. ORGANIZANDO LA SEGURIDAD DE INFORMACIN, 6.11.- Los acuerdos con
terceras partes que implican el acceso, proceso, comunicacin o gestin de la informacin de la
organizacin o de las instalaciones de procesamiento de informacin o la adicin de productos o
servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.
Causa(s):
- No contar con los conocimientos de seguridad de informacin necesarios.
- No contar con un Plan de Seguridad de Informacin.
Efecto(s):
- Daos lgicos: perdida de informacin, alteracin de la configuracin de equipos (switch, router,etc).
- Daos fsicos: prdidas materiales (servidores, switch, PCs, etc.).
Recomendaciones:
Se recomienda implementar bitcora de acceso a la sala de cmputo.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 008
FECHA DE LLENADO
DA
02
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no mantiene sus activos claramente identificados ni mantiene un inventario actualizado de
todos activos importantes.
Criterio:
NTP-ISO/IEC 17799: 7. GESTIN DE ACTIVOS, 7.1.- Todos los activos deben se claramente
identificados y se debe elaborar y mantener un inventario de todos los activos importantes.
Causa(s):
- No contar con el tiempo para el desarrollo del mismo.
- No contar con el suficiente personal para el desarrollo del mismo.
Efecto(s):
- Desconocimiento de los activos que se posee.
- Prdidas o robos de activos.
Recomendaciones:
- Se recomienda que se elabore y mantenga actualizado un inventario de activos de informacin.
- Se recomienda que una vez implementado el inventario de activos de informacin se debe identificar
formalmente a los propietarios de los mismos.
- Se recomienda identificar, revisar y actualizar las reglas asociadas al acceso a los activos de
informacin.
- Una vez identificada las reglas asociadas al acceso a los activos, se recomienda que se establezca
niveles de clasificacin en el acceso a la informacin.
- Establecidos los niveles, definir procedimientos adecuados para marcar y tratar la informacin de
acuerdo al esquema de clasificacin adoptado por la UCV-Piura.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 009
FECHA DE LLENADO
DA
06
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con las funciones y responsabilidades de los empleados, contratistas y terceros
definidas y documentadas en concordancia con la poltica de seguridad de la organizacin.
Criterio:
NTP-ISO/IEC
17799:
8.
SEGURIDAD
EN
RECURSOS
HUMANOS,
8.1.-
Las
funciones
responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en

concordancia con la poltica de seguridad de la organizacin.
Causa(s):
- No contar con la Poltica de seguridad de la Organizacin.
- No contar con los conocimientos de seguridad de informacin necesarios por parte de la gerencia.
Efecto(s):
Que los empleados, contratistas y terceros desconozcan cuales son las funciones y responsabilidades
que deben desempear y tienen hacia la empresa.
Recomendaciones:
- Se recomienda una vez implementada la poltica de seguridad de informacin se actualicen funciones y
responsabilidades de los empleados, contratistas y terceros.
- Se recomienda que la UCV-Piura comunique adecuadamente y de manera trasparente las clausulas y
acuerdos de confidencialidad a los que estn sujetos los empleados contratistas y terceros de la
entidad. De esta manera se garantiza la aceptacin y firma de los contratos.
- Se recomienda que una vez implementado las polticas y procedimientos, requerir o contratar personal
necesario que aplique las polticas y procedimientos de seguridad de la informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 010
MES
Noviembre
REA AUDITADA: OTI
AO
2009
DA
06
MES
Octubre
AO
2009

DETALLE
Condicin:
La UCV Piura no proporciona entrenamiento a los empleados, contratistas y usuarios en polticas y
procedimientos organizacionales.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.5.- Todos los empleados de la
organizacin y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento
apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales
como sean relevantes para la funcin de su trabajo.
Causa(s):
No contar con la Poltica de seguridad y procedimientos organizacionales.
Efecto(s):
- No saber que procedimientos adecuados seguir ante una emergencia.
- Daos fsicos y lgicos en los sistemas de informacin.
Recomendaciones:
Se recomienda la elaboracin de un plan anual de capacitacin de seguridad de la informacin el cual
contemplara el desarrollo de cursos y charlas de seguridad de la informacin dirigidas tanto al personal
como a los contratistas de la entidad.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 011
FECHA DE LLENADO
DA
07
MES
Octubre
MES
Noviembre
REA AUDITADA: OTI

AO
2009
AO
2009
DETALLE
Condicin:
La UCV Piura carece de un proceso formal disciplinario para empleados que han cometido un apertura
en la seguridad.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.6.- Debe existir un proceso formal
disciplinario para empleados que han cometido un apertura en la seguridad.
Causa(s):
- No contar con una Poltica de seguridad.
- Inadecuado control y/o administracin de los permisos, privilegios de usuarios y accesos.
Efecto(s):
- Daos fsicos y lgicos hacia los equipos de T.I.
- Se siga cometiendo la mismo atentado.
Recomendaciones:
Se recomienda elaborar y formalizar un proceso disciplinario para empleados que cometan alguna
apertura en la seguridad.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 012
FECHA DE LLENADO
DA
08
MES
Octubre
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
AO
2009
Condicin:
La UCV Piura no cuenta con un procedimiento formal para las responsabilidades, para realizar la
finalizacin de un empleo o el cambio de este que estn claramente definidas y asignadas.
Criterio:
NTP-ISO/IEC 17799: 8. SEGURIDAD EN RECURSOS HUMANOS, 8.7.- Las responsabilidades para
realizar la finalizacin de un empleo o el cambio de este deben ser claramente definidas y asignadas.
Causa(s):
No contar con una Poltica de seguridad.
Efecto(s):
Inadecuada administracin de las cuentas de usuario.
Recomendaciones:
Se recomienda implementar procedimientos formales para realizar la finalizacin de un empleo o el
cambio de este.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 013
FECHA DE LLENADO
DA
09
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con controles sofisticados para el acceso al permetro de seguridad.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.1.- Los permetros de seguridad (como
paredes, tarjetas de control de entrada a puertas o un puesto manual de recepcin) deben ser usados
para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Causa(s):
Falta de presupuesto.
Efecto(s):
- Falta de control en el acceso y salida al permetro de seguridad.
- Intrusin de personas ajenas al permetro de seguridad.
- Prdidas materiales, robo.
Recomendaciones:
- Se recomienda implementar controles ms sofisticados como: los biomtricos, con la finalidad de mejorar
la seguridad en el acceso al permetro de seguridad.
- Una vez implementado los controles, se recomienda implementar procedimientos para la asignacin del
acceso fsico a las oficinas, despachos y recursos de la entidad.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 014
FECHA DE LLENADO
DA
09
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con equipos contra fallos de energa u otras anomalas elctricas.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.8.- Se deberan proteger los equipos
contra fallos de energa u otras anomalas elctricas en los equipos de apoyo.
Causa(s):
-
No contar con un Plan de seguridad de Informacin.

No contar con un Plan de continuidad del negocio.
Falta de presupuesto.
No contar con los conocimientos de seguridad de informacin necesarios por parte de la gerencia.
Efecto(s):
- Daos fsicos y lgicos a los equipos de T.I.

- Discontinuidad de los procesos de informacin.
Recomendaciones:
Se recomienda ampliar la capacidad del UPS e implementar un grupo electrgeno al Data Center.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 015
FECHA DE LLENADO
DA
10
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La OTI no cuenta con un plan o cronograma de mantenimiento preventivo para los equipos.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.10.- Los equipos deberan mantenerse
adecuadamente para asegurar su continua disponibilidad e integridad.
Causa(s):
- No contar con un Plan de Continuidad del Negocio.
- No contar con el suficiente personal capacitado para dar mantenimiento.
- Falta de tiempo.
Efecto(s):
- Daos fsicos y lgicos irreparables a los equipos de T.I.
- Deterioro de los equipos, tiempo de vida mejor.
Recomendaciones:
Se recomienda implementar y ejecutar un plan o cronograma de mantenimiento preventivo para los
equipos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 016
FECHA DE LLENADO
DA
11
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se brinda seguridad a los equipos que se encuentran fuera de los locales de la organizacin tomando
en cuenta los diversos riesgos a los que se est expuesto.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.11.- Se debe aplicar seguridad a los
equipos que se encuentran fuera de los locales de la organizacin tomando en cuenta los diversos
riesgos a los que se est expuesto.
Causa(s):
No contar con un Plan de Seguridad.
Efecto(s):
- Prdidas o robo de los equipos.
- Daos fsicos y lgicos de los equipos.
- Perdida de Informacin.
Recomendaciones:
Se recomienda implementar medidas de seguridad para los equipos que se encuentra fuera de los
locales de la organizacin, que garanticen la confidencialidad de la informacin adems de la
recuperacin inmediata del hardware.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 017
FECHA DE LLENADO
DA
12
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se revisan los dispositivos de almacenamiento, con el fin de asegurar que cualquier
dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminacin.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.12.- Todos los elementos del equipo que
contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que cualquier
dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminacin.
Causa(s):
No contar con un Plan de Seguridad.
Efecto(s):
Perdida de informacin.
Recomendaciones:
Se recomienda revisar los dispositivos de almacenamiento antes de su eliminacin, as como
implementar formalmente procedimiento para el caso de remover o sobrescribir la informacin que
almacenaba antes de su eliminacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 018
FECHA DE LLENADO
DA
12
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura los equipos, informacin o software son extrados del local sin autorizacin.
Criterio:
NTP-ISO/IEC 17799: 9. SEGURIDAD FSICA Y AMBIENTAL, 9.13.- El equipo, informacin o software no
deben ser sacado fuera del local sin autorizacin.
Causa(s):
- No contar con un Plan de Seguridad.
- No contar con un control de seguridad adecuado, en el acceso y salida del personal.
- No formalizar los acuerdos de confidencialidad y seguridad.
Efecto(s):
- Deterioro de los equipos ms rpidos.
- Perdida de equipos y materiales.
- Desgaste de materiales.
Recomendaciones:
Se recomienda no sacar equipos, software o informacin fuera del local sin autorizacin, as como
implementar procedimiento formal para este tipo de situaciones.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 019
FECHA DE LLENADO
DA
13
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura carece de los documentos de procedimientos de operacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.1.- Se deberan
documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios
que lo requieran.
Causa(s):
- No contar con un Plan de continuidad del Negocio.
Efecto(s):
- Inadecuada utilizacin de los equipos de T.I.
- Deterioro ms rpido de los equipos de T.I.
Recomendaciones:
Se recomienda documentar y mantener los procedimientos de operacin y ponerlos a disposicin de
todos los usuarios que lo requieran, a travs de email, intranet o documentos impresos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 020
FECHA DE LLENADO
DA
13
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se controla formalmente los cambios en los sistemas y recursos de tratamiento de informacin.
Criterio:
controlar los cambios en los sistemas y recursos de tratamiento de informacin.
Causa(s):
- No contar con planes y controles adecuados de mantenimiento a los sistemas y recursos de tratamiento
de informacin.
Efecto(s):
- Deterioro de los recursos de tratamiento de informacin.
- Daos lgicos a los sistemas.
Recomendaciones:
Implementar y mantener actualizado controles que permitan registrar los cambios en los sistemas y
recursos de tratamiento de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 021
FECHA DE LLENADO
DA
13
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se segregan las tareas y las reas de responsabilidad con el fin de reducir las
oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la
organizacin.
Criterio:
segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una
modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin.
Causa(s):
No existe un adecuado anlisis para segregacin de funciones y reas de responsabilidad.
Desconocimiento de las funciones que debe desarrollar el personal.
Efecto(s):
-
Redundancia de actividades desarrolladas.

Desperdicio de horas hombre.
Conflictos en la solucin de problemas.
Posibles Fraudes.
Recomendaciones:
Reestructurar la organizacin interna de la OTI de tal manera que se definan claramente las reas de
desarrollo, soporte, control de calidad y produccin; teniendo en cuenta que los puestos crticos de:
administracin de red, administracin de base de datos, y programacin de sistemas deben de estar
separados.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 022
MES
Noviembre
REA AUDITADA: OTI
AO
2009
DA
13
MES
Octubre
AO
2009

DETALLE
Condicin:
La OTI no cuenta con una estructura de organizacin interna adecuada, no se encuentra bien definidas
las funciones del personal.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.4.- La separacin de
los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no
autorizado o de cambios al sistema operacional.
Causa(s):
MOF no est bien estructurado y no es especfico en las con las funciones de las reas.
Efecto(s):
- No halla un buen desempeo del rea.
- Los trabajadores no tengan bien en claro cules son sus funciones.
- Conflictos internos entre colegas por las funciones y cargos.
Recomendaciones:
Reestructurar la organizacin interna de la OTI de tal manera que se definan claramente las reas de
desarrollo, soporte, control de calidad y produccin; teniendo en cuenta que los puestos crticos de:
administracin de red, administracin de base de datos, y programacin de sistemas deben de estar
separados.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 023
FECHA DE LLENADO
DA
14
MES
Octubre
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
AO
2009
Condicin:
En la UCV Piura no se monitorean ni proyectan capacidades de los equipos de cmputo.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.8.- El uso de
recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas
futuras para asegurar el sistema de funcionamiento requerido.
Causa(s):
- No contar con el suficiente presupuesto.
- La carencia de la importancia de la tecnologa por parte de la gerencia.
Efecto(s):
- Retrasos en los procesos de informacin.
- Tecnologa descontinuada.
- La tecnologa no soporta los procesos y su tiempo de utilizacin se hace ms corto por el crecimiento de
la Universidad.
Recomendaciones:
Se recomienda un monitoreo y proyeccin de capacidades de los equipos de computo.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 024
FECHA DE LLENADO
DA
14
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con controles para detectar el software malicioso y prevenirse contra l.
Criterio:
implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos
adecuados para concientizar a los usuarios.
Causa(s):
No contar con un Plan de seguridad.
Efecto(s):
- Intrusin o instalacin de software malicioso.
- Daos fsicos y lgicos a los equipos.
- Robo de informacin, saturacin de procesos, errores en los sistemas.
Recomendaciones:
Se recomienda implantar controles para prevenir y detectar la presencia de software malicioso.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 025
FECHA DE LLENADO
DA
14
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se realizan copias de manera formal y continua de la informacin esencial del negocio.
Criterio:
hacer regularmente copias de seguridad de toda la informacin esencial del negocio y del software, en
concordancia con la poltica acordada de recuperacin.
Causa(s):
- No contar con un Plan de seguridad.
- No contar con Un Plan de continuidad.
- No lo realizan porque no lo quieren hacer.
Efecto(s):
- Si se daan los datos de los servidores, no hay copias (backups) actualizas de los mismos.
- Perdida de informacin vital para la empresa, irrecuperable.
Recomendaciones:
Realizar copias de seguridad de toda la informacin esencial del negocio, de acuerdo al procedimiento
que se formalice e implemente para la generacin de respaldos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 026
FECHA DE LLENADO
DA
15
MES
Octubre
MES
Noviembre
REA AUDITADA: OTI

AO
2009
AO
2009
DETALLE
Condicin:
En la UCV Piura las redes no son manejadas y controladas adecuadamente.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.13.- Las redes
deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la
seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito.
Causa(s):
- No contar con la tecnologa adecuada.
- No contar con el suficiente presupuesto para comprar de equipos mas apropiados.
Efecto(s):
- Presentarse amenazas en los equipos de la UCV.
- Sistemas vulnerables.
- Perdida de informacin.
Recomendaciones:
Implementar aspectos como:
- Creacin de puesto organizacional en la OTI de Administrador de red.
- Administracin de red por consola.
- Acceso al Centro de Cmputo de slo personal autorizado.
- Contar con herramientas informticas que permitan verificar el uso de la red.
- Coordinar con las empresas de los equipos y servicios de comunicaciones a fin de que el personal del
rea sea capacitado.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 027
FECHA DE LLENADO
DA
17
MES
Octubre
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
AO
2009
Condicin:
En la UCV Piura no hay procedimientos para la gestin de los medios informticos removibles.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.15.- Debera haber
procedimientos para la gestin de los medios informticos removibles.
Causa(s):
- No contar con un procedimiento para la gestin de medios informticos.
Efecto(s):
- Perdida de medios.
- Confusin de medios.
- Cambios de medios.
Recomendaciones:
Se recomienda desarrollar e implementar procedimientos para la gestin de los medios informticos
removibles.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 028
FECHA DE LLENADO
DA
21
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no existen procedimientos formales para eliminar los medios de forma segura y sin
peligro cuando no se necesiten ms.
Criterio:
eliminar los medios de forma segura y sin peligro cuando no se necesiten ms, utilizando procedimientos
formales.
Causa(s):
No cuenta Plan de seguridad.
Efecto(s):
Que la informacin contenida en esos medios sea utilizada por otros despus de que haya sido
eliminada.
Recomendacin:
Implementar un procedimiento que garantice la adecuada y segura eliminacin de medios de
almacenamiento
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 029
FECHA DE LLENADO
DA
22
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no hay procedimientos formales para la manipulacin y almacenamiento de la
informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.17.- Los
procedimientos para la manipulacin y almacenamiento de la informacin deben ser establecidos para
proteger esta informacin de divulgaciones o usos no autorizados.
Causa(s):
No cuenta con un Plan de Seguridad.
Efecto(s):
- Dao de informacin.
- Fuga de informacin.
Recomendaciones:
Establecer procedimientos para la manipulacin y almacenamiento de la informacin, que entre sus
objetivos figure la proteccin de la informacin frente a divulgaciones o usos no autorizados.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 030
FECHA DE LLENADO
DA
23
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura con cuenta con la documentacin de todos sus sistemas.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.18.- La
documentacin de sistemas debe ser protegida contra acceso no autorizado.
Causa(s):
No cuenta con una metodologa de desarrollo.
Efecto(s):
- Errores de programacin.
- Fallas en los sistemas.
- Retraso para encontrar una falla en los sistemas.
Recomendaciones:
Generar, actualizar y resguardar la documentacin de los sistemas.
Implementar mecanismos o controles para la proteccin de la documentacin de los sistemas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 031
FECHA DE LLENADO
DA
24
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con polticas, procedimientos y controles formales de intercambio con el fin de
proteger la informacin a travs de todos los tipos de instalaciones de comunicacin.
Criterio:
establecer polticas, procedimientos y controles formales de intercambio con el fin de proteger la
informacin a travs de todos los tipos de instalaciones de comunicacin.
Causa(s):
Efecto(s):
Recomendaciones:
Establecer polticas, procedimientos y controles formales para el intercambio de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 032
MES
Noviembre
REA AUDITADA: OTI
AO
2009
DA
25
MES
Octubre
AO
2009

DETALLE
Condicin:
La UCV Piura con cuenta con acuerdos formales para el intercambio de informacin y software entre la
organizacin y terceros.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.20.- Los acuerdos
deben ser establecidos para el intercambio de informacin y software entre la organizacin y terceros.
Causa(s):
No contar con una Poltica de seguridad.
Efecto(s):
- Divulgacin de informacin.
- Piratera de software.
Recomendaciones:
Establecer acuerdos de confidencialidad para el intercambio de informacin y software entre la
organizacin y terceros.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 033
FECHA DE LLENADO
DA
25
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no son protegidos los contenedores de informacin contra acceso no autorizado, mal
uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.21.- Los medios
contenedores de informacin deben ser protegidos contra acceso no autorizado, mal uso o corrupcin
durante el transporte fuera de los lmites fsicos de la organizacin.
Causa(s):
Efecto(s):
- Perdida o robo de los contenedores s de informacin.
Recomendaciones:
Proteger los medios contenedores de informacin contra actividades que atenten contra la
confidencialidad, integridad y disponibilidad de la informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 034
FECHA DE LLENADO
DA
25
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con polticas y procedimientos con el fin de proteger la informacin asociada
con la interconexin de sistemas de informacin de negocios.
Criterio:
desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la
interconexin de sistemas de informacin de negocios.
Causa(s):
Efecto(s):
- Intrusin de virus, etc.
Recomendaciones:
Desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la
interconexin de sistemas de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 035
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
26
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se protege la informacin implicada en las transacciones en lnea debe ser protegida
para prevenir la transmisin incompleta
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.25.- La informacin
implicada en las transacciones en lnea debe ser protegida para prevenir la transmisin incompleta, ruta
equivocada, alteracin no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del
mensaje o reproduccin.
Causa(s):
- No contar con grupo electrgeno para los equipos que procesa la informacin de las transacciones.
- No contar con equipos de apoyo, si los equipos de transmisin de las transacciones caen.
Efecto(s):
-
Instrucciones de los procesos.
Usuarios insatisfechos.
Clientes insatisfechos.
Prdidas econmicas.
Recomendaciones:
Implementar mecanismos que protejan la informacin de tal manera que la transmisin de esta se
desarrolle de manera completa evitando su manipulacin por acceso no autorizado.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 036
FECHA DE LLENADO
DA
26
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se registran ni almacenan las actividades de los usuarios, excepciones y eventos de
la seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.27.- Los registros de
auditora grabados de las actividades de los usuarios, excepciones y eventos de la seguridad de
informacin deben ser producidos y guardados para un periodo acordado con el fin de que asistan en
investigaciones futuras y en el monitoreo de los controles de acceso.
Causa(s):
Efecto(s):
- No tener un control y registro de las actividades desempeadas por los usuarios.
- No saber que hacen durante su hora de trabajo.
Recomendaciones:
Implementar registros de auditora tanto en la administracin de la red y los sistemas de informacin de
la UCV-Piura.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 037
FECHA DE LLENADO
DA
26
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se cuenta con un procedimiento para el uso del monitoreo de la instalacin de
procesamiento de informacin.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.28.- Los
procedimientos para el uso del monitoreo de la instalacin de procesamiento de informacin deben ser
establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
Causa(s):
- Carencia de conocimientos en seguridad de T.I.
- Carencia de tiempo y personal para la elaboracin de los mismos.
Efecto(s):
Inadecuada manipulacin de los equipos de T.I.
Recomendaciones:
Establecer procedimientos formales de monitoreo para la instalacin de procesamiento de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 038
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
27
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se registran las actividades del administrador y los operadores de los sistemas.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.30.- Las actividades
del administrador y de los operadores del sistema deben ser registradas.
Causa(s):
Efecto(s):
- Manipulacin de informacin no autorizada.
- Ingresos a sistemas sin autorizaciones o permisos.
Recomendaciones:
Establecer una bitcora de las actividades del administrador y de los operadores del sistema.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 039
FECHA DE LLENADO
DA
27
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura las averas de redes no son registradas y analizadas formalmente.
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.31.- Las averas
deben ser registradas, analizadas y se debe tomar acciones apropiadas.
Causa(s):
Efecto(s):
-
Daos irreparables en los equipos.

Mala manipulacin.
Mala toma de decisiones a la hora realizar alguna reparacin.
No hay control de los equipos.
Recomendaciones:
Registrar y analizar las averas para poder tomar acciones apropiadas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 040
FECHA DE LLENADO
DA
27
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se encuentran sincronizados todos los relojes de los sistemas de procesamiento de
informacin
Criterio:
NTP-ISO/IEC 17799: 10. GESTIN DE COMUNICACIONES Y OPERACIONES, 10.32.- Los relojes de
todos los sistemas de procesamiento de informacin dentro de la organizacin o en el dominio de
seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.
Causa(s):
No hay sincronizacin de los sistemas.
Efecto(s):
- No hay control u hora exacta a de ingreso o salida.
- Malestar de los docentes y trabajadores.
Recomendaciones:
Sincronizar todos los relojes de los sistemas de procesamiento de informacin dentro de la organizacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 041
FECHA DE LLENADO
DA
28
MES
Octubre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con una poltica de control de acceso.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.1.- Una poltica de control de acceso debe ser
establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del
negocio.
Causa(s):
No cuenta una Poltica de seguridad.
Efecto(s):
Acceso a personas ajenas.
Recomendaciones:
Establecer, documentar y actualizar la poltica de control de acceso.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 042
FECHA DE LLENADO
DA
02
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura carece formalmente un procedimiento de registro de altas y bajas de usuarios para
garantizar el acceso a los sistemas y servicios de informacin multiusuario.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.2.- Se debera formalizar un procedimiento de
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin
multiusuario.
Causa(s):
Efecto(s):
Suplantacin de usuarios.
Recomendaciones:
Desarrollar e implementar un procedimiento formal de registro de altas y bajas de usuarios.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 043
FECHA DE LLENADO
DA
02
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La gerencia no revisa los derechos de acceso de los usuarios.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.6.- La gerencia debera establecer un proceso
formal de revisin peridica de los derechos de acceso de los usuarios.
Causa(s):
Carencia de conocimientos tecnolgicos por parte de la gerencia.
Efecto(s):
Que la gerencia no sepa quines tienen permisos y accesos a diferentes programas o paginas y si las
usan si es debido.
Recomendaciones:
Establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 044
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
02
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
Los usuarios de la UCV Piura no siguen buenas prcticas de seguridad para la seleccin y uso de sus
contraseas.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.7.- Los usuarios deberan seguir buenas prcticas
de seguridad para la seleccin y uso de sus contraseas.
Causa(s):
Carencia cocimientos y capacitaciones de la importancia de la seguridad tecnolgica.
Efecto(s):
- Inseguridad para la red.
- Suplantacin de identidad del usuario.
Recomendaciones:
Instruir o capacitar a los usuarios en buenas prcticas de seguridad para la seleccin y uso de sus
contraseas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 045
MES
Noviembre
REA AUDITADA: OTI
AO
2009
DA
02
MES
Noviembre
AO
2009

DETALLE
Condicin:
En la UCV Piura los usuarios no aseguran si los equipos informticos desatendidos estn debidamente
protegidos.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.8.- Los usuarios deberan asegurar que los
equipos informticos desatendidos estn debidamente protegidos.
Causa(s):
- Falta de concientizacin en los usuarios.
- Falta de capacitacin en seguridad informtica a los usuarios.
Efecto(s):
Deterioro rpido de los equipos.
Recomendaciones:
Capacitar a los usuarios en seguridad para la proteccin de los equipos informticos desatendidos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 046
FECHA DE LLENADO
DA
MES
MES
Noviembre
REA AUDITADA: OTI

AO
AO
2009
02
Noviembre
2009

DETALLE
Condicin:
En la UCV Piura no se adopta una poltica de escritorio limpio para papeles y medios removibles de
almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de
informacin.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.9.- Se debera adoptar una poltica de escritorio
limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia
para instalaciones de procesamiento de informacin.
Causa(s):
- Usuarios desordenados.
- Usuarios con carencia en conocimientos de tecnologas de informacin.
Efecto(s):
Desorden en el escritorio de trabajo y unidades.
Recomendaciones:
Desarrollar e implementar una poltica de escritorio limpio para papeles y medios removibles de
almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de
informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 047
FECHA DE LLENADO
DA
02
MES
Noviembre
MES
Noviembre
REA AUDITADA: OTI

AO
2009
AO
2009
DETALLE
Condicin:
Los usuarios de la UCV Piura no cuentan con los accesos directos a los servicios para los que estn
autorizados de una forma especfica.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.10.- Los usuarios slo deberan tener acceso
directo a los servicios para los que estn autorizados de una forma especfica.
Causa(s):
Inadecuada administracin de las cuentas de usuario.
Efecto(s):
- Ingresos y utilizacin de otros programas que no estn autorizados.
- Manipulacin de informacin no autorizada.
Recomendaciones:
Establecer accesos directos de los servicios a los que el usuario slo debe tener acceso.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 048
FECHA DE LLENADO
DA
09
MES
Noviembre
MES
Noviembre
REA AUDITADA: OTI

AO
2009
AO
2009
DETALLE
Condicin:
No se utilizan mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.11.- Se deben utilizar mtodos apropiados de
autentificacin para controlar el acceso de usuarios remotos.
Causa(s):
- Inadecuada administracin de las cuentas de usuario.
Efecto(s):
Ingresos de usuarios a travs de la red a otras PC de la Universidad.
Recomendaciones:
Utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 049
FECHA DE LLENADO
DA
09
MES
Noviembre
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
AO
2009
Condicin:
Las sesiones no se desactivan tras un periodo de inactividad.
Criterio:
NTP-ISO/IEC 17799: 11. CONTROL DE ACCESO, 11.21.- Las sesiones se deberan desactivar tras un
periodo definido de inactividad.
Causa(s):
- Inadecuada administracin de las cuentas de usuario.
Efecto(s):
- Suplantacin de usuarios.
- Inseguridad de acceso.
Recomendaciones:
Establecer periodos de desactivacin para las cuentas de usuarios, dependiendo del estado del mismo,
vacaciones, fines de semana, por jornada laboral o porque ya no labora en la empresa.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 050
FECHA DE LLENADO
DA
10
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se especifica los requisitos de control para los sistemas nuevos o mejoras a sistemas existentes.
Criterio:
NTP-ISO/IEC 17799: 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN, 12.1.- Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a
sistemas existentes deberan especificar los requisitos de control.
Causa(s):
- No contar con Metodologa de desarrollo.
- No contar con un proceso apropiado para adquisicin de sistemas o hacer mejoras a los mismos.
Efecto(s):
- Seguridad inadecuada para los sistemas.
- No tener un control de la informacin o datos que salen o se ingresan a travs de los sistemas.
- No saber si es el mismo usuario que inicio sesin quien es el que est modificando los daos.
Recomendaciones:
Especificar los requisitos de control con los que debe contar los sistemas nuevos o mejoras a los
existentes. Para los sistemas nuevos o mejoras de los existentes se debe implementar formalmente con
metodologa de prueba, as como de un proceso de desarrollo adecuado documentndolo.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
FECHA DE LLENADO
DA
06
DEFICIENCIA N 051
MES
Noviembre
AO
2009
REA AUDITADA: OTI

DA
18
MES
Noviembre
AO
2009

DETALLE
Condicin:
Se debe validar los datos de salida de un sistema de aplicacin para garantizar que el proceso de la
informacin ha sido correcto y apropiado a las circunstancias.
Criterio:
INFORMACIN, 12.5.- Se deberan validar los datos de salida de un sistema de aplicacin para
garantizar que el proceso de la informacin ha sido correcto y apropiado a las circunstancias.
Causa(s):
- No contar con una metodologa de desarrollo
Efecto(s):
-
Cambio de datos, sin autorizacin.

Fuga de informacin.
Alteracin de informacin.
Recomendaciones:
Que los sistemas o aplicaciones debieran validar los datos de salida de un sistema de aplicacin para
garantizar que el proceso de la informacin ha sido correcto y apropiado a las circunstancias.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 052
FECHA DE LLENADO
DA
18
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura no se controlan formalmente los cambios de los sistemas.
Criterio:
INFORMACIN, 12.11.- La implementacin de cambios debe ser controlada usando procedimientos
formales de cambio.
Causa(s):
- No contar con Plan de Mantenimiento.
- No contar con una Metodologa de desarrollo de sistemas.
Efecto(s):
No contar con un control formal y desatollado de cambios y actualizaciones de los sistemas.
Recomendaciones:
Desarrollar e implementar procedimientos formales para controlar en los sistemas.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 053
FECHA DE LLENADO
DA
19
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se reportan formalmente los eventos de seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN, 13.1.Los eventos en la seguridad de informacin deben ser reportados lo ms rpido posible a travs de una
gestin de canales apropiada.
Causa(s):
No contar con Plan de seguridad.
Efecto(s):
- Desconocimiento por parte de la gerencia de los eventos de seguridad de informacin acontecidos.
- Inadecuada toma de decisiones, para los eventos de seguridad de informacin.
Recomendaciones:
Desarrollar e implementar un procedimiento formal de reporte de eventos en la seguridad de informacin,
el cual debe ser establecido junto con una respuesta a incidencias, estableciendo las acciones a ser
tomadas en cuenta al recibir dicho reporte.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 054
FECHA DE LLENADO
DA
19
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
En la UCV Piura los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de
informacin no anotan y reportan cualquier debilidad observada o sospechada en la seguridad de estos
formalmente.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN 13.2.Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de informacin
deben anotar y reportar cualquier debilidad observada o sospechada en la seguridad de estos.
Causa(s):
Efecto(s):
No tener un control y no saber cules son las debilidades observadas o sospechosas que afectan a la
seguridad.
Recomendaciones:
Instruir y educar a los empleados, contratistas y terceros usuarios de los sistemas y servicios de
informacin deben anotar y reportar de manera formal documentada cualquier debilidad observada o
sospechada en la seguridad de estos.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
DEFICIENCIA N 055
MES
Noviembre
AO
2009
FECHA DE LLENADO
DA
20
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La gerencia no cuenta con responsabilidades y procedimientos para asegurar una rpida, efectiva y
ordenada respuesta a los incidentes en la seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN 13.3.Las responsabilidades y procedimientos de la gerencia deben ser establecidas para asegurar una rpida,
efectiva y ordenada respuesta a los incidentes en la seguridad de informacin.
Causa(s):
- La gerencia carece de conocimientos de seguridad de T.I.
Efecto(s):
- Inadecuado control de los procesos y monitorizacin de los servicios.
- Prdida de tiempo a momento de brindar una solucin, en algunos casos toma de decisiones
esquivadas.
Recomendaciones:
Establecer las responsabilidades y procedimientos que se deben seguir para maniobrar los eventos y
debilidades en la seguridad de informacin de una manera efectiva una vez que hayan sido reportados
los mismos, el cual debe ser desarrollado en respuesta al monitoreo, evaluacin y gestin general de los
incidentes en la seguridad de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 056
FECHA DE LLENADO
DA
20
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
No se recolecta o se le hace seguimiento formal al proceso legal o civil cuando una persona haya
cometido un incidente de seguridad de informacin.
Criterio:
NTP-ISO/IEC 17799: 13. GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN 13.5.Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en la
seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser recolectada,
retenida y presentada para estar conforme con las reglas para la colocacin de evidencia en la
jurisdiccin relevante.
Causa(s):
No contar con una Plan de seguridad.
Efecto(s):
- No saber cmo justificar su sancin, no se tiene pruebas.
- No saber que damos pudo o cometi.
Recomendaciones:
Desarrollar e implementar procedimientos internos, los cuales deben ser desarrollados y seguidos
cuando se recolecte y presente evidencia para propsitos disciplinarios maniobrados dentro de la
organizacin. El peso en la evidencia debe cumplir con cualquier requerimiento aplicable. Para lograr
peso en la evidencia, la calidad y lo completo de los controles usados para corregir y proteger
consistentemente la evidencia (como por ejemplo el proceso de control de evidencia) durante el periodo
en que la evidencia que se recupera se almacena y se procesa, debe estar demostrado por un fuerte
seguimiento de dicha evidencia.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
DA
06
MES
Noviembre
AO
2009
DEFICIENCIA N 057
FECHA DE LLENADO
DA
20
MES
Noviembre
REA AUDITADA: OTI

AO
2009

DETALLE
Condicin:
La UCV Piura no cuenta con un proceso de gestin para el desarrollo y el mantenimiento de la
continuidad del negocio.
Criterio:
NTP-ISO/IEC 17799: 14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO 14.1.- Se debera instalar en
toda la organizacin un proceso de gestin para el desarrollo y el mantenimiento de la continuidad del
negocio a travs de la organizacin que trate los requerimientos en la seguridad de informacin
necesarios para la continuidad del negocio.
Causa(s):
- No cuenta con Plan de Continuidad del Negocio.
- No cuenta con el suficiente personal capacitado.
Efecto(s):
- Discontinuidad de los procesos.
- Prdidas econmicas.
- Falla de equipos.
Recomendaciones:
- Desarrollar e implantar un Plan de Contingencia para asegurar que los procesos del negocio se pueden
restaurar en los plazos requeridos las operaciones esenciales.
- Una vez desarrollado e implementado el plan, se deben identificar y evaluar los procesos crticos, as
como analizar las consecuencias de los desastres, fallas de seguridad, perdidas de servicio y
disponibilidad del servicio.
- Desarrollar e implantar planes de mantenimiento y recuperacin para el negocio.
- Tambin que tener en cuenta que el esquema debe ser nico para cada plan de continuidad del negocio,
el plan tambin debe especificar claramente las condiciones para su activacin, as como las personas
responsables de ejecutar cada etapa del plan.
- Realizar simulacros de los planes de continuidad del negocio para asegurar que todos los miembros del
equipo de recuperacin y otro personal relevante estn prevenidos y sepan sus responsabilidades para
la continuidad del negocio y la seguridad de informacin.
FECHA DE REVISIN
SUPERVISOR:
J.M.E.S.
Conclusiones
DA
06
MES
Noviembre
AO
2009
Se debera implementar una sub rea de auditora en Tecnologas de Informacin en el OTI, la

cual deber estar apoyada en las nuevas tcnicas y procedimientos de auditora como son el
anlisis de datos de prueba, simulacin paralela, paquetes de auditora, software de auditora,
entre otros.
No se le da la importancia y valor debido a las Tecnologas de Informacin por parte de la

Direccin de la Universidad, ya que esta hasta la fecha no ha puesto en marcha la creacin de
un Pan Estratgico de Tecnologas de Informacin.
Los usuarios (alumnos y trabajadores) de las Tecnologas de Informacin carecen de los

conocimientos bsicos de seguridad de la informacin como: el analizar con el antivirus la
memoria USB, instalacin y copiado de informacin que no compete o no tiene nada que ver
con la empresa, ingreso a paginas de chat, redes sociales, correos personales, los cuales
pueden contener virus pudiendo daar el equipo o equipos que estn conectados a la red.
Algunos usuarios que laboran en la empresa los cuales cuentan con una PC, manipulan o
tienen a cargo algn equipo de T.I., no cuentan con la capacitacin o no cuentan con los
conocimientos bsicos en la utilizacin del mismo.
No se cuenta con el suficiente personal para cubrir y cumplir todas las labores que tiene y debe
de desempear el OTI.
El personal de la OTI trabaja de forma eficaz, las fallas se dan debido a que no se les
proporciona los materiales adecuados y en vez de eso les abastece con materiales de baja
calidad. El tiempo tambin juega un papel muy importante, ya a que los trabajos le son exigidos
en plazos de tiempo muy cortos a lo que deberan ser.
No hay una adecuada administracin de la seguridad de las Tecnologas de Informacin, ya

que se carece de un Plan de Seguridad.
ANEXO N 20
CONSTANCIA DE LA INSTITUCIN
ANEXO N 21
CONSTANCIA DE RECEPCIN DE LA SOLICITUD
DE DOCUMENTACIN

Auditoría Basada en ISOIEC 17799 para La Gestión de Seguridad de Las Tecnologías de Información en La Universidad César Vallejo - Piura.

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoría Basada en ISOIEC 17799 para La Gestión de Seguridad de Las Tecnologías de Información en La Universidad César Vallejo - Piura.

Caricato da

Copyright:

Formati disponibili

Facultad de Ingeniera

Escuela Profesional de Ingeniera de Sistemas

Auditora basada en ISO/IEC 17799 para la gestin de

Ingeniero Noelia Saavedra Nizama

Ingeniero Aldo S. Pereda Castillo

Ingeniero Elmer Chunga Zapata

La Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las Tecnologas de

ndice de figuras, cuadros, tablas y grficos.

Escuela de Ingeniera de Sistemas

El desarrollo y soporte de sistemas de informacin para agilizar las actividades que se

El diseo, implementacin, administracin y auditora de las redes de comunicacin de la

La instalacin, configuracin y mantenimiento de los servicios de internet.

La planificacin, organizacin, direccin y supervisin de las actividades de mantenimiento

La programacin y desarrollo de diversos cursos informticos acorde con los avances

Elaboracin de proyectos tecnolgicos que permitan mejorar el servicio brindado a nuestros

Elaboracin de reportes a nivel operacional y gerencial como apoyo en la toma de

Capacitacin del personal para el manejo de los diversos sistemas operacionales.

Carece de un Plan Estratgico de Tecnologas de Informacin (PETI).

La OTI no posee la documentacin de los sistemas de informacin implementados en la

No cuenta con auditora previa de T.I.

No existe una oportuna respuesta a los requerimientos de tecnologas de informacin,

Auditora basada en ISO/IEC 17799 para la gestin

Escuela de Ingeniera de Sistemas

provoca lentitud en el procesamiento de la informacin, afectando el rendimiento y

La red de computadoras de la UCV Piura cuenta con equipos de comunicaciones (switch y

No se cuenta con Plan de Recuperacin de Tecnologas de Informacin para los diferentes

Carece de una administracin y distribucin estratgica de los equipos tecnolgicos, de

No se ha implementado formalmente algn procedimiento, norma o estndar para efectuar

La Oficina de Tecnologas de Informacin no cuenta con sealizaciones bsicas de

No cuentan con manuales de usuario de los sistemas informticos.

El Data Center no cumple con requerimientos mnimos como son:

Sensores de movimiento, apertura, fuego y temperatura.

Sistema o equipo contra incendio.

Estandarizacin del cableado.

Etiquetado del cableado.

Aire acondicionado de precisin.

Circuito Cerrado de Televisin.

La Oficina de Tecnologas de Informacin no cuenta con planes de seguridad de las T.I.

El personal de soporte tcnico no cuenta con capacitaciones que permitan fomentar el

Auditora basada en ISO/IEC 17799 para la gestin

Escuela de Ingeniera de Sistemas

FIGURA N 02: Organigrama Estructural de la Oficina de Tecnologas de Informacin.

1.1.2 Antecedentes del Problema.

Auditora basada en ISO/IEC 17799 para la gestin

Escuela de Ingeniera de Sistemas

para el desarrollo de la evaluacin de

hardware, aplicaciones del software y plan de contingencia y recuperacin.

de investigacin, Informe Final y las respectivas conclusiones del caso.

Auditora basada en ISO/IEC 17799 para la gestin

Escuela de Ingeniera de Sistemas

importancia de los Sistemas de Informacin y la importancia de la mismas en el uso de las

No existen muchos antecedentes de investigacin respecto al tema.

1.2 OBJETIVO GENERAL.

Identificar el grado de implementacin de los proyectos de la OTI.

Identificar los procedimientos formales para la concesin, administracin de derechos y

Identificar los controles para evitar el acceso fsico no autorizado.

Identificar el nmero de controles preventivos y de deteccin sobre el uso de software de

Identificar el nmero de procedimientos de respaldos regulares y peridicamente validados.

Identificar el procedimiento formal para reportar incidentes de seguridad de la informacin.

Identificar el registro de incidentes de seguridad de la informacin.

Identificar la Poltica de seguridad de la informacin.

Identificar el Plan de continuidad del negocio.

Auditora basada en ISO/IEC 17799 para la gestin