Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FACULTAD DE INGENIERA
Autores:
Asesor:
CHIMBOTE PERU
2017
INDICE GENERAL
Palabras Clave II
Titulo III
Resumen IV
Abstract V
Introduccin 1
Metodologa 17
Resultados 19
Anlisis Y Discusin 56
Conclusiones 57
Recomendaciones 58
Referencias Bibliogrficas 59
Apndices y Anexos 60
I
PALABRAS CLAVES
Tema AUDITORIA INFORMATICA
Especialidad GESTION
KEYWORDS:
Tema COMPUTER AUDIT
Especialidad MANAGEMENT
LINEA DE INVESTIGACION
CODIGO LINEA
II
TITULO
III
RESUMEN
IV
ABSTRACT
The objective of the investigation was to develop an audit plan for information security
in the area of operations of the digital service company SAC.
It was possible to develop the analysis of risk management, reinforcing the security of
assets and information in general within the area of operations of the company Servicios
Digitales SAC.
V
INTRODUCCIN
1
Teniendo en cuenta tambin otra investigacin de Cceres Garca (2014), en
Huacho - Per, en su tesis de grado titulada: Implementacin de una Auditoria
Informtica para la Oficina de Servicios Informticos de la UNJFSC aplicando el marco
de referencia COBIT, cuyo objetivo fue realizar una evaluacin de la Gestin de la
Informacin en la Oficina de Servicios Informticos de la Universidad Nacional Jos
Faustino Snchez Carrin, con la cual se logr encontrar aspectos que no permiten la
optimizacin y buena gestin de la informacin en dicha oficina la cuales fueron
observadas para la evaluacin correspondiente, usando la metodologa de trabajo COBIT
se logr medir el grado de madurez en la que se encontraba.
2
Debido a que le empresa Servicios Digitales SAC va creciendo poco a poco y
recalcando que es una entidad que se dedica al rubro de telecomunicaciones, la
probabilidad de que la informacin sea interceptada, robada o modificada por personas
inescrupulosas y sin autorizacin de acceso a esta, ha aumentado exponencialmente. Lo
cual resulta peligroso para la organizacin, ya que mucha de la informacin fundamental
para realizacin de los procesos crticos del negocio puede ser vulnerada y amenazada
ocasionando la interrupcin de estos procesos.
Toda esta informacin se ve vulnerable ya que es almacenada en diferentes medios
tanto fsicos como electrnicos y adems es puesta a disposicin del personal que quiera
hacer uso de esta informacin para la toma de decisiones, realizacin de planes, reportes,
inventarios entre otros.
Por todo lo anteriormente citado la empresa se ve en la necesidad de la implementacin
de herramientas, procedimientos, controles y polticas que aseguren la confidencialidad,
disponibilidad e integridad de la informacin, es por esto que se plantea el siguiente
enunciado de la problemtica: Cmo desarrollar una auditoria de la seguridad de la
informacin al rea de operaciones de la empresa Servicio Digitales SAC?
Auditoria
Segn Ramiro Andrade Puga (2000), nos aclara y lo define como el examen posterior
y sistemtico que realiza un profesional auditor, de todas o parte de las operaciones o
actividades de una entidad con el propsito de opinar sobre ellas, o de dictaminar cuando
se trate de estados financieros
Auditoria Informtica
3
Auditoria Externa
Auditoria Interna
Seguridad
Segn Portantier (2012), en su libro Seguridad Informtica, dice que con el correr
de los aos, los seres humanos dependemos cada vez ms de la tecnologa para mantener
nuestro estilo de vida. Ya sea para que las empresas puedan desarrollar sus negocios o
para que las Personas realicen sus tareas cotidianas, la tecnologa siempre est ah
simplificando las cosas. Esto ha llevado A una dependencia en la cual no todas son
ventajas. Adems de malware y virus nos referiremos a programas especializados en robar
informacin bancaria, en extraer datos realizar acciones direccionadas al enriquecimiento
ilcito.
4
Magerit
Para esto la metodologa Magerit persigue ciertos objetivos los cual nos permite
concientizar a los responsables de las organizaciones de informacin de la existencia de
riesgos y de la necesidad de gestionarlos, Ofrecer un mtodo sistemtico para analizar los
riesgos derivados del uso de tecnologas de la informacin y comunicaciones (TIC),
Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control.
5
Figura N 01 Elementos del Anlisis de Riesgo
El cual nos permite ver ciertas definiciones en la metodologa Magerit, como el Riesgo
que es la estimacin del grado de exposicin a que una amenaza se materialice sobre uno
o ms activos causando daos o perjuicios a la Organizacin.
El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de protegido se
encuentra el sistema. En coordinacin con los objetivos, estrategia y poltica de la
Organizacin, las actividades de tratamiento de los riesgos permiten elaborar un plan de
seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Direccin. Al conjunto de estas actividades se le denomina Proceso
de Gestin de Riesgos.
6
En el anlisis de riesgos consideramos los elementos de Magerit:
Activos
Que vienen hacer los recursos del sistema de informacin o relacionados con este,
necesarios para que la organizacin funcione correctamente y alcance los objetivos
propuestos por la direccin.
En lo cual Magerit tiene en cuenta 5 grandes categoras de activos:
7
Conocimiento de las Amenazas
Se definen como los eventos que pueden desencadenar un incidente en la organizacin,
produciendo daos materiales o prdidas inmateriales en sus activos en su diversidad de
sus causas:
Accidentes.
Accidente fsico de origen industrial: incendio, explosin, inundacin por roturas,
contaminacin por industrias cercanas o emisiones radioelctricas.
Avera de origen fsico o lgico, debida a un defecto de origen o sobrevenida
durante el funcionamiento del sistema.
Accidente fsico de origen natural: riada, fenmeno ssmico o volcnico, meteoro,
rayo, corrimiento de tierras, avalancha, derrumbe.
Interrupcin de servicios o de suministros esenciales: energa, agua,
telecomunicacin, fluidos y suministros diversos.
Accidentes mecnicos o electromagnticos: choque, cada, cuerpo extrao,
radiacin, electrosttica
Errores.
Errores de utilizacin ocurridos durante la recogida y transmisin de datos o en
su explotacin por el sistema.
Errores de diseo existentes desde los procesos de desarrollo del software
(incluidos los de dimensionamiento, por la posible saturacin).
Errores de ruta, secuencia o entrega de la informacin en trnsito.
Inadecuacin de monitorizacin, trazabilidad, registro del trfico de informacin.
Amenazas Intencionales Presenciales.
Acceso fsico no autorizado con inutilizacin por destruccin o sustraccin (de
equipos, accesorios o infraestructura).
Acceso lgico no autorizado con intercepcin pasiva simple de la informacin.
Acceso lgico no autorizado con alteracin o sustraccin de la informacin en
trnsito o de configuracin; es decir, reduccin de la confidencialidad para obtener
bienes o servicios aprovechables.
Acceso lgico no autorizado con corrupcin o destruccin de informacin en
trnsito o de configuracin: es decir, reduccin de la integridad y/o disponibilidad
del sistema sin provecho directo (sabotaje inmaterial, infeccin vrica.).
8
Amenazas Intencionales Tele actuadas.
Acceso lgico no autorizado con intercepcin pasiva (para anlisis de trfico...).
Acceso lgico no autorizado con corrupcin o destruccin de informacin en
trnsito o de configuracin.
Acceso lgico no autorizado con modificacin (Insercin, Repeticin) de
informacin en trnsito.
Suplantacin de Origen (del emisor o reemisor, man in the middle) o de
Identidad.
Repudio del Origen o de la Recepcin de informacin en trnsito.
9
Identificacin de Impacto
El Impacto en un Activo es la consecuencia sobre ste de la materializacin de una
Amenaza en agresin, consecuencia que puede desbordar ampliamente el Dominio y
requerir la medida del dao producido a la organizacin. Visto de forma ms dinmica,
Impacto es la diferencia en las estimaciones del estado (de seguridad) del Activo
obtenidas antes y despus del evento de agresin.
10
Procesos
Los procesos son conjuntos de actividades o tareas con delimitacin o cortes de
control.
Dominios
Los dominios son la agrupacin natural de procesos que corresponden a la
responsabilidad organizacional.
Por lo tanto, el marco de referencia conceptual puede ser enfocado desde tres puntos
estratgicos los cuales son los criterios de informacin, recursos y procesos de la
Tecnologa Informacin.
11
Enfoque de Gobierno de TI
Alineacin estratgica, se enfoca en garantizar la alineacin la alineacin entre los
planes de negocio y de TI, mantener y validar la propuesta de valor de TI, y alinear
operaciones de TI con las operaciones de la empresa.
Administracin de recursos, se trata de la inversin ptima, as como la
administracin adecuada de los recursos de TI, aplicaciones, informacin,
infraestructura y personas.
Medicin del desempeo, rastrea y monitorea la estrategia de implementacin, la
terminacin de la investigacin, el uso de los recursos, el desempeo de los
procesos y la entrega del servicio.
Criterio de Informacin
Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos
criterios de control, los cuales son referidos en Cobit como requerimientos de informacin
del negocio. Para ello se definieron los siguientes siete criterios de informacin:
Efectividad, tiene que ver con que la informacin sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta,
consistente y utilizable.
12
Eficiencia, consiste en que la informacin sea generada con el ptimo (ms
productivo y econmico) uso de los recursos.
Confidencialidad, se refiere a la proteccin de informacin sensitiva contra
revelacin no autorizada.
Integridad, est relacionada con la precisin y completitud de la informacin, as
como con su validez de acuerdo a los valores y expectativas del negocio.
Disponibilidad, se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin concierne
a la proteccin de los recursos y las capacidades necesarias asociadas.
Cumplimiento, tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como las polticas internas.
Confiabilidad, se refiere a proporcionar la informacin apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
Recursos de TI
La informacin son los datos en todas sus formas, de entrada, procesados y generados por los
sistemas de informacin, en cualquier forma en que sean utilizados por el negocio.
Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser
internas, por outsourcing o contratadas, de acuerdo a como se requieran
13
Dominios de COBIT
CobiT define las actividades de TI en un modelo genrico de 34 procesos organizado
en cuatro dominios que se llaman:
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que
TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del
servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administracin de los datos y de las instalaciones operativos.
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Abarca la administracin del desempeo, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
Modelo de Madurez
14
Tabla N1: Modelo Genrico de Madures
15
La hiptesis de la investigacin tiene un alcance descriptivo, su fin es el desarrollo de
un plan de auditoria informtica en el rea de operaciones con esto se quiere lograr llegar
tener un mejor control de la informacin, as como reforzar la seguridad del rea de
operaciones.
16
METODOLOGA
La poblacin considerada dentro de estas tesis son los miembros del rea de
operaciones de la empresa Servicios Digitales SAC, que son los responsables de la
seguridad de cualquier actividad que se pretenda ejecutar en la empresa P=5.
La muestra que tenemos por ser una poblacin pequea se tomara la cantidad del
personal que trabaja dentro del rea de operaciones de la empresa M=5.
17
Se estructuraron preguntas abiertas y cerradas que brindaron informacin muy certera
para as poder tener mayor informacin y reforzar el tema de la documentacin.
Segn Glenda Osorio Laura (2012), nos conceptualiza que COBIT es un marco de trabajo
y un conjunto de herramientas de Gobierno de Tecnologa de informacin que le permite
a la gerencia cerrar la brecha entre los requerimientos de control, aspectos tcnicos y
riesgos de negocios. COBIT habilita el desarrollo de polticas claras y buenas prcticas
para el control de la Tecnologa de Informacin a lo largo de las organizaciones.
18
RESULTADOS
A. CUESTIONARIO
Interpretacin:
Figura N5 Cuestionario 1
Fuente: Elaboracin Propia
19
2. El material con que est construido el rea de operaciones es confiable?
Interpretacin:
Figura N6 Cuestionario 2
Fuente: Elaboracin Propia
Interpretacin:
40%
usuarios del rea de operaciones OP no estn en
SI
Figura N7 Cuestionario 3
Fuente: Elaboracin Propia
20
4. La ubicacin de los aires acondicionados es adecuada?
Interpretacin:
Figura N8 Cuestionario 4
Fuente: Elaboracin Propia
Interpretacin:
100%
tendramos que mejorar e instalar una
alarma para incendios.
Figura N9 Cuestionario 5
Fuente: Elaboracin Propia
21
6. estn sealizadas las rutas de evacuacin en caso de incendios?
Interpretacin:
Figura N9 Cuestionario 6
Fuente: Elaboracin Propia
Interpretacin:
20%
usuarios del rea de operaciones OP est de
acuerdo en que la iluminacin es adecuada para el
si
no desarrollo de sus actividades mientras que el 20%
se encuentra en desacuerdo.
80%
Figura N9 Cuestionario 6
Fuente: Elaboracin Propia
22
8. El cableado se encuentra correctamente instalado y debidamente aislado?
Interpretacin:
Interpretacin:
23
10. Cuentan con un switch de apagado de Emergencia en un lugar visible?
Interpretacin:
60%
no apagado de emergencia en un lugar visible
mientras el 20% desconoce su existencia.
Interpretacin:
24
12. El Software esta licenciado al 100%?
Interpretacin:
Interpretacin:
25
14. Cuentan con copia de seguridad en un lugar distinto al de la computadora?
Interpretacin:
100%
Interpretacin:
80%
26
16. Cuentan con un manual para cada programa que se maneja?
Interpretacin:
80%
Interpretacin:
60%
Se observa en el Grfico 17, que el 60% de
los usuarios del rea de operaciones OP
20% 20% afirman si cuentan con soporte por parte del
encargado mientras tenemos un 20% de
personas indecisas y otro 20% en desacuerdo,
lo cual se puede mejorar la efectividad del
servicio.
Figura N21 Encuesta
Fuente: Elaboracin Propia
27
18. Cul es la efectividad de los tcnicos para resolver los problemas de
mantenimiento?
Interpretacin:
Interpretacin:
28
20. Consideras que el servicio de internet debe estar disponible a cualquier hora y
para cualquier usuario?
Interpretacin:
80%
Se observa en el Grfico 20, que el 80% de los
usuarios del rea de operaciones estn de
acuerdo en que el internet est disponible a
20%
cualquier hora y disponible para cualquier
usuario y un 20% de usuarios se encuentran
indecisos en la disponibilidad.
Interpretacin:
80%
Se observa en el Grfico 21, que el 80% de los
usuarios del rea de operaciones encuentran
adecuado las restricciones de ciertas pginas
29
B. APLICACIN DE LA METODOLOGA MAGRIT
ETAPA DE PLANIFICACIN
30
FASE III: INFORME PRELIMINAR
En esta fase se dar la elaboracin del informe preliminar que contiene informacin
acerca de la ejecucin de la auditora, estableciendo en el informe los siguientes puntos:
alcance para la realizacin de la auditora, las herramientas usadas en la misma, los
correspondientes grados de madurez de los procesos contemplados, las recomendaciones
y conclusiones de los procesos propuestos. Luego de la tabulacin de los cuestionarios al
personal encargado del rea de operaciones, el informe ser expuesto a los mismos en
base a los resultados obtenidos, para las pertinentes observaciones y la elaboracin del
informe final.
Una vez que el informe preliminar ha sido examinado por el equipo del rea de
operaciones, se convierte en un informe tcnico, el cual est dirigido al Jefe del rea de
operaciones. Adems, se considera en esta fase la elaboracin del informe ejecutivo que
est dirigido a la Gerencia General de la empresa Servicio Digitales SAC Chimbote.
31
ETAPA DE EJECUCION
FASE I
Gestin Administrativa
Sistema Operativo
Software
Sistema de Registro de clientes
Impresoras
CPU
Equipos
Pizarra digital
Proyector
Comunicaciones Red Wi Fi
Red LAN
Generador Elctrico
Cableado de Red
Estabilizadores de Corriente
Instalaciones Edificio
Secretarias
32
Para la representacin de la dependencia entre activos, proceso necesario dentro la
metodologa Magerit, se utiliz la herramienta Pilar 6.2 mediante la cual se logr el
siguiente grfico:
33
Una vez identificado los activos y su dependencia, se realiza la siguiente fase de Magerit
que es la de identificacin de amenazas por cada activo de la empresa, la cual en el
presente trabajo de investigacin se representa de la siguiente manera:
34
Siniestro
Mala manipulacin
Secretarias Enfermedad
Huelga
Incidente Familiar
FASE II
El grado de impacto Primario (P), cuando el objetivo de control tiene un impacto directo
al requerimiento de informacin de inters.
Espacio Blanco (Vaco), cuando el objetivo de control no tiene impacto alguno sobre el
requerimiento de informacin.
35
Tabla N5 Resumen de cuadro de objetivos de control COBIT
Confidencialidad
Infraestructura
Disponibilidad
Cumplimiento
Confiabilidad
Informacin
Aplicaciones
Efectividad
Integridad
DOMINIO
Eficiencia
Personas
PROCESOS
PO1 Definir un plan estratgico de TI
PO2 Definir la arquitectura de la informacin
PLANEAR Y ORGANIZAR
EVALUAR
EAR Y
36
Para poder obtener los porcentajes de cada uno de los criterios de informacin del rea
de Operaciones de Servicio Digitales SAC, se asignar un valor al grado de impacto
primario (cuyo efecto es alto o fuerte), secundario (cuyo efecto es leve o medio) y blanco
(cuando no tiene ningn tipo de impacto).
Dicho porcentaje ser establecido en base a una propuesta metodolgica establecida por
una metodologa de manejo de riesgos como es COSO (Comit de Organizaciones
Patrocinadoras de la Comisin de Normas), la cual establece una ponderacin para el
grado de impacto que tienen los criterios de informacin dentro de un proceso, adems
de permitir determinar el nivel de riesgo que tendra dicho proceso, para lo cual se
establecen rangos de calificacin como se observa en la siguiente tabla:
IMPACTO CALIFICACION %
BAJO 15% 50%
MEDIO 51% 75%
ALTO 76% 95%
VACIO - -
IMPACTO PROMEDIO
BAJO 32%
MEDIO 63%
ALTO 86%
37
Tabla N8 Impacto sobre los criterios de informacin
CRITERIOS DE INFORMACIN
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
DOMINIO
Eficiencia
PROCESOS
PO1 Definir un plan estratgico de TI
PO2 Definir la arquitectura de la informacin
PLANEAR Y ORGANIZAR
EVALUA
R EAR Y
ME2 Monitorear y evaluar el control interno 0.86 0.86 0.63 0.63 0.86 0.86
R
ME3 Garantizar el cumplimiento regulatorio 0.86 0.86 0.63 0.86 0.86 0.63
ME4 Proporcionar gobierno de TI
Fuente: Elaboracin Propia con Marco de Referencia COBIT 4.1
38
A continuacin, se elaborarn las tablas de madurez para cada proceso, tomando en
consideracin los resultados de los cuestionarios y entrevistas, de esa manera de indica
el grado de madurez y observaciones en cada proceso propuesto por CobiT.
OBSERVACIONES
NO CUMPLE
CUMPLE
NIVEL DE LOS MODELOS DE
MADUREZ
No se cuenta con un
Existe un enfoque de evaluacin de riesgos en desarrollo
plan estratgico que
y se implementa a discrecin de los gerentes de proyecto.
ayude a evaluar y
La administracin de riesgos se da por lo general a
administrar los
N2
39
La evaluacin y administracin de riesgos son
procedimientos estndar. Las excepciones al proceso de
N4
OBSERVACIONES
NO CUMPLE
CUMPLE
NIVEL DE LOS MODELOS DE
MADUREZ
40
Existe conciencia sobre la seguridad y sta es promovida
por la gerencia. Los procedimientos de seguridad de TI
estn definidos y alineados con la poltica de seguridad
N3
OBSERVACIONES
NO CUMPLE
CUMPLE
41
Lugar Ado de manera formal las responsabilidades
Controles internos. Las evaluaciones de control interno de TI se
realizan como parte de las de La gerencia reconoce la necesidad
de administrar y asegurar el control de TI de forma regular. La OBJETIVO NO
experiencia individual para evaluar suficiencia del control CUMPLIDO
N1
42
Tabla N 12 Definir Modelo De Madurez EM2
OBSERVACIONES
NO CUMPLE
CUMPLE
NIVEL DE LOS MODELOS DE
MADUREZ
43
La gerencia apoya y ha institucionalizado el monitoreo
del control interno. Se han desarrollado polticas y
procedimientos para evaluar y reportar las actividades de
monitoreo del control interno. Se ha definido un
programa de educacin y entrenamiento para el
monitoreo del control interno. Se ha definido tambin un
proceso para auto-evaluaciones y revisiones de
aseguramiento del control Interno con roles definidos
N3
44
Tabla N13 Definir Modelo De Madurez EM3
OBSERVACIONES
NO CUMPLE
CUMPLE
NIVEL DE LOS
MODELOS DE MADUREZ
procedimientos individuales de
cumplimiento y se siguen ao con ao. No
existe, sin embargo, un enfoque estndar.
Hay mucha confianza en el conocimiento y
responsabilidad de los individuos, y los
errores son posibles. Se brinda
entrenamiento informal respecto a los
requerimientos externos y a los temas de
cumplimiento.
Se han desarrollado, documentado y
comunicado polticas, procedimientos y
procesos, para garantizar el cumplimiento de
los reglamentos y de las obligaciones
contractuales y legales, pero algunas quiz
no se sigan y algunas quiz estn
desactualizadas o sean pocas prcticas de
implementar. Se realiza poco monitoreo y
existen requisitos de cumplimiento que no
N3
45
Existe un entendimiento completo de
los eventos y de la exposicin a
requerimientos externos, y la
necesidad de asegurar el
cumplimiento a todos los niveles.
Existe un esquema formal de
entrenamiento que asegura que todo
el equipo est consciente de sus
obligaciones de cumplimiento. Las
responsabilidades son claras y se
entiende el empoderamiento de los
procesos. El proceso incluye una
revisin del entorno para identificar
requerimientos externos y cambios
N4
46
Tabla N14 Reporte General de Grado de Madurez
GRADO DE
DOMINIO PROCESO MADUREZ
Planear y Organizar PO9 Evaluar y Administrar los Riesgos de TI 0
Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas 1
Monitorear y Evaluar ME1 Monitorear y Evaluar el Desempeo de TI 0
Entregar y Dar Soporte ME2 Monitorear y Evaluar el Control Interno 0
COBIT establece para el proceso PO9 la necesidad de cumplir con los siguientes objetivos
de control:
Deber ser implementado un plan estratgico que ayude a evaluar y administrar los
riesgos de TI, en la implementacin de este plan deber ser discutida y estarn
involucrados todos los personales del rea de sistemas de la empresa.
47
DOMINIO: Entregar y Dar Soporte (DS5)
COBIT establece para el proceso DS5 la necesidad de cumplir con los siguientes objetivos
de control:
Administracin de la Seguridad de TI
Plan de Seguridad de TI.
Administracin de Identidad.
Administracin de Cuentas de Usuario.
Pruebas, Vigilancia y Monitoreo de la Seguridad.
Definicin de Incidente de Seguridad.
Proteccin de la Tecnologa de Seguridad.
Administracin de Llaves Criptogrficas.
Prevencin, Deteccin y Correccin de Software Malicioso.
Seguridad de la Red.
Intercambio de Datos Sensitivos.
COBIT establece para el proceso ME1 la necesidad de cumplir con los siguientes
objetivos de control:
48
El objetivo principal del modelo de madurez es poder ascender a un grado de madurez
superior, por esto para que el proceso ME1 ascienda a un grado de madurez 1, se
recomendara lo siguiente como estrategia a corto plazo conforme lo establece COBIT:
COBIT establece para el proceso ME2 la necesidad de cumplir con los siguientes
objetivos de control:
49
DOMINIO: Monitorear y Evaluar (ME3)
COBIT establece para el proceso ME3 la necesidad de cumplir con los siguientes
objetivos de control:
50
Tabla N15 Impacto sobre los criterios de informacin
CRITERIOS DE INFORMACIN
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
DOMINIO
Eficiencia
PROCESOS
PO1 Definir un plan estratgico de TI
PO2 Definir la arquitectura de la informacin
PLANEAR Y ORGANIZAR
EVALUA
R EAR Y
ME2 Monitorear y evaluar el control interno 0.86 0.86 0.63 0.63 0.86 0.86
R
ME3 Garantizar el cumplimiento regulatorio 0.86 0.86 0.63 0.86 0.86 0.63
ME4 Proporcionar gobierno de TI
Fuente: Elaboracin Propia con Marco de Referencia COBIT 4.1
51
Los resultados finales del impacto sobre criterios de informacin se mostrarn en la
siguiente tabla los resultados de los procesos definidos por COBIT sobre los criterios de
informacin:
CRITERIOS DE INFORMACIN
MADUREZ
NIVEL DE
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
Eficiencia
PROCESOS
Despus de analizar los resultados que nos da la tabla de criterios de informacin por
impacto, se realiza una nueva tabla con los resultados totales, haciendo sumatoria de cada
uno de los totales reales en cada criterio evaluado por columna; de la misma manera se
suman los totales ideales, y por ltimo el porcentaje alcanzado se halla dividiendo el total
real entre el total ideal y al resultado multiplicarlo por 100.
Tabla N17 Resultados finales del impacto sobre los criterios de informacin
TOTAL REAL 4.3 3.84 3.84 2.12 3.21 4.3 3.84
TOTAL IDEAL 14.9 14.9 8.6 14.9 14.9 6.3 12.6
PORCENTAJE ALCANZADO 28.86 25.77 44.65 14.23 21.54 68.25 30.47 33.39
Fuente: Elaboracin Propia
52
FASE III
Presente:
Equipo Auditor:
El actual informe tiene por finalidad describir los resultados de la evaluacin practicada
al rea de operaciones de la empresa Servicio Digitales SAC- Chimbote, con
determinacin suficiente para ser puesto a consideracin del equipo de evaluacin.
53
PO9: Evaluar y Administrar los Riesgos de TI Grado de madurez: CERO
Conclusin Final: No se cuenta con un plan estratgico que ayude a evaluar y administrar los
riesgos de TI.
Recomendaciones finales:
El personal del rea de sistemas deber implementar un plan estratgico que permita
evaluar y administrar los riesgos de TI.
El personal de sistemas deber tomar decisiones informadas respecto a la exposicin
que estn dispuestos a aceptar.
Conclusin Final: La empresa Servicio Digitales SAC no cuenta con medidas implementadas
para garantizar la seguridad de los sistemas
Recomendaciones finales:
Conclusin Final: La empresa Servicio Digitales SAC no cuenta con un proceso implantado
de monitoreo, no cuenta con los reportes tiles oportunos u precisos que identifiquen el avance
del rea de operaciones hacia los objetivos propuestos.
Recomendaciones finales:
Recomendaciones finales:
54
Grado de madurez: CERO
ME3: Garantizar el Cumplimiento con Requerimientos
Externos
Recomendaciones finales:
ALCANCE DE LA AUDITORIA
El proyecto de auditora nos permiti poder evaluar el estado actual del rea de
operaciones de la empresa Servicio Digitales SAC-Nuevo Chimbote, con el cual
podremos emitir conclusiones y recomendaciones para cada uno de los procesos
contemplados en COBIT.
55
ANALISIS Y DISCUSION
Otro ejemplo interesante en el cual se hace uso del marco de referencia COBIT es el de
Cceres Garca (2014), en el cual propone hacer uso de este marco para realizar una
evaluacin de la gestin de la informacin en la oficina de servicios informticos en la
universidad nacional Faustino Snchez Carrin lo que este fue de mucha ayuda para el
desarrollo de nuestra investigacin y llegando a la conclusin de poder lograr medir el
grado de madures en que se encuentra nuestra empresa.
Y tratando de ver el control interno en los sistemas de informacin el mejor aporte que se
puede apreciar es el de Sigenza Daz (1990), en donde nos establece controles que se
deben tomar en cuenta para garantizar la eficiencia y eficacia en el funcionamiento de los
sistemas de informacin.
56
CONCLUSIONES Y RECOMENDACIONES
CONCLUSION
57
RECOMENDACIONES
I. Se recomienda que documenten todo lo que tenga que ver con Polticas de
seguridad, Manual de seguridad de sistemas, Manual de contingencia, Manual de
usuario y manual de procedimientos entre otros.
II. Establecer un proceso de monitoreo permanente del control interno y tambin se
deber implementar un plan de sistemas a corto plazo el cual permitir el
monitoreo del rea de operaciones y otras reas asignadas y el cual debe de
contener un cronograma de las actividades, asignacin de prioridades y
totalidades de las tareas a desarrollar durante el periodo que se establezca.
III. Establecer un proceso para el monitoreo y evaluacin de TI, lo cual se recomienda
generar reportes indicadores el cual va permitir medir el desempeo por parte de
la gerencia.
IV. Se recomienda que los usuarios puedan solicitar asesoramiento o apoyo y que esto
se pueda dar por una va de correo y as pueda generarse un cdigo de atencin
para el usuario ya que esto permitir poder dar seguimiento a su problema y
despus de solucionar medir su conformidad del usuario al ser resuelto su
problema.
V. Se sugiere una elaboracin de un plan de sistemas a corto plazo el cual ayude a
un monitoreo continuo de los roles de cada profesional del rea de operaciones
en donde deber contener un diagrama de las actividades a realizar.
58
REFERENCIA BIBLIOGRAFICA
Bibliografa
Electrnica, C. S. (2011). AVANTE Seguridad Sistemas. Obtenido de
http://www.avante.es/producto/magerit-metodologia-de-analisis-y-gestion-de-
riesgos-de-los-sistemas-de-informacion/
59
APENDICES Y ANEXOS
FACULTAD DE INGENIERIA
SEGURIDAD INFORMATICA
INTRODUCCION:
Instrucciones:
Lea y conteste detalladamente las preguntas y posibles respuestas. Marqu con una (x),
la respuesta que cree que es conveniente.
60
SI ( ) NO ( )
La ubicacin de los aires acondicionados es adecuada?
SI ( ) NO ( )
Se cuenta con alarma contra incendios?
SI ( ) NO ( )
Estn Sealizadas las rutas de evacuacin en caso de incendios?
SI ( ) NO ( )
Es adecuada la iluminacin en el rea de operaciones?
SI ( ) NO ( )
El cableado se encuentra correctamente instalado y debidamente aislado?
SI ( ) NO ( )
Los equipos cuentan con un estabilizador de energa?
SI ( ) NO ( )
cuentan con un switch de apagado de emergencia en un lugar visible?
SI ( ) NO ( )
Se cuenta con pozo tierra?
SI ( ) NO ( )
El software esta licenciado al 100%?
SI ( ) NO ( )
Cuenta con un plan de mantenimiento preventivo anual?
SI ( ) NO ( )
Cuentan con copia de seguridad en un lugar distinto al de la
computadora?
SI ( ) NO ( )
Se realizan inventarios de los equipos del rea de operaciones?
SI ( ) NO ( )
Cuentan con un manual para cada programa que se maneja?
SI ( ) NO ( )
El encargado del centro de cmputo te brinda soporte cuando la
requieres?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
61
Muy en desacuerdo ( )
Cul es la efectividad de los tcnicos para resolver los problemas de
mantenimiento?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Muy en desacuerdo ( )
Se respetan el control del acceso al centro de cmputo?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Muy en desacuerdo ( )
Consideras que el servicio de internet debe estar disponible a cualquier
hora y para cualquier usuario?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Muy en desacuerdo ( )
Consideras adecuadas las restricciones a ciertas pginas en internet?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Muy en desacuerdo ( )
62
ANEXO MATRIZ DE CONSISTENCIA
METODOLOGIA
PROBLEMA OBJETIVOS HIPOTESIS VARIABLE DIMENSIONES INDICADORES
63