Yan Freddy Mejora Seguridad Cobit PDF

UNIVERSIDAD PRIVADA ANTENOR ORREGO
FACULTAD DE INGENIERA
ESCUELA PROFESIONAL DE INGENIERA DE COMPUTACIN Y SISTEMAS
Plan de mejora de la Seguridad de Informacin y Continuidad del

Centro de Datos de la Gerencia Regional de Educacin La Libertad
aplicando lineamientos ISO 27001 y buenas prcticas COBIT
TESIS PARA OBTENER EL TITULO PROFESIONAL DE INGENIERO DE

COMPUTACIN Y SISTEMAS
AUTORES:
BACH. YAN CARRANZA, FREDDY
BACH. ZAVALA VASQUEZ, CINTHIA LILIANA
ASESOR:
ING. DIAZ SNCHEZ, JAIME EDUARDO
TRUJILLO PER
2013
Plan de mejora de la Seguridad de Informacin y Continuidad
del Centro de Datos de la Gerencia Regional de Educacin La
Libertad aplicando lineamientos ISO 27001 y buenas prcticas
COBIT
Elaborado por:
Bach. YAN CARRANZA, FREDDY
Bach. ZAVALA VASQUEZ, CINTHIA LILIANA
Aprobada por:
Ing. Karla Melndez Revilla, CIP 120097

Presidente
Ing. Carlos Gaytn Toledo, CIP 84519

Secretario
Ing. Walter Moncada Carcamo, CIP 33829

Vocal
Ing. Jaime E. Daz Snchez, CIP 73304

Asesor
PRESENTACIN
Seores Miembros del Jurado:
De conformidad y en cumplimiento de los requisitos estipulados en el reglamento

de grados y Ttulos de la Universidad Privada Antenor Orrego y el Reglamento
interno de la Escuela Profesional de Ingeniera de Computacin y Sistemas,
ponemos a vuestra disposicin el presente Trabajo de Suficiencia Profesional
titulado: Plan de mejora de la Seguridad de Informacin y Continuidad del Centro
de Datos de la Gerencia Regional de Educacin La Libertad aplicando lineamientos
ISO 27001 y buenas prcticas COBIT para obtener el Ttulo Profesional de
Ingeniero de Computacin y Sistemas mediante la modalidad de Tesis.
El contenido de la presente tesis ha sido desarrollado tomando como marco de

referencia los lineamientos establecidos y los conocimientos adquiridos durante
nuestra formacin profesional, consulta de fuentes bibliogrficas e informacin
obtenida de la Gerencia Regional de Educacin La Libertad.
Los Autores.
Bach. ZAVALA VASQUEZ, CINTHIA

Bach. YAN CARRANZA, FREDDY LILIANA
Ing. Estadstico. COESPE 494
DEDICATORIA
.
A Dios, por darme vida, me diste varias pruebas de fe, y a

creer en los milagros.
A mis padres Susana y Hernn, por sus consejos y

buenos deseos.
Al amor de mi vida Freddy, al cual amo cada da ms.
A mis hermanos Carlos y Wendy, por su afecto y

apoyo constante. A la vez a m querida Zatomy
quien descansa en paz en el cielo.
A mis amigos Oscar, Laly, Faby, Diego, Carmen y

Christian, por ser mis compaeros de trabajo de los cursos,
entre risas y renegadas se hicieron buenos proyectos.
DEDICATORIA
.
A Dios, por darme vida, me diste varias pruebas de fe, y a

creer en los milagros.
A mis padres Genaro y Ana, papi taplenco me enseaste

en ser correcto, honesto y sobretodo puntual, mi mami
por su incansable apoyo incondicional, por ensearme
principios, valores, y a nunca rendirme a pesar de todo,
y siempre seguir adelante.
A mis hermanos, Genaro por molestarme a seguir

mejorando y a no dejarme, mi hermana Magali por
el apoyo econmico para poder estudiar en la
universidad, sus continuas quejas de mejorar los
trabajos que presentaba, me ayudaron a mejorar en
lo profesional, aun me sigues dando lecciones
(manzanitas).
A mi princesita bella Cinthia por su apoyo en los

momentos difciles, mi amiga, compaera de tesis y
pareja gracias por seguir aguantndome.
A la memoria de mi linda wawita, gracias por ser

mi despertador, por alegrarme los das.
A mi amigo Daniel por los das de relajo y

tertulias de proyectos innovadores, seguimos en la
lucha.
A mis amigos Vctor, Oscar, Laly, Diego, Ricardo, Jaime,
Fiore, por ser mis compaeros de trabajo de los cursos,
entre risas y renegadas se hicieron buenos proyectos.
AGRADECIMIENTO
A nuestro asesor el Ing. Jaime Daz, quien por sus valiosos

aportes tanto en lo profesional como en lo personal, nos ha
permitido lograr la tesis. Gracias por todo
A los Ingenieros Karla Melendez, Carlos Gaytn y Walter

Moncada, por su colaboracin en la revisin y correccin
del presente trabajo.
Plan de mejora de la Seguridad de Informacin y Continuidad del Centro de Datos
de la Gerencia Regional de Educacin La Libertad aplicando lineamientos ISO
27001 y buenas prcticas COBIT
RESUMEN
Por: Freddy Yan Carranza

Cinthia Liliana Zavala Vsquez
La presente tesis tiene de captulos, anexos, y tiene como principal objetivo Elaborar un
Plan de Mejora de seguridad de la informacin y continuidad del Centro de Datos, y
mostrar los resultados obtenidos de la auditoria de sistemas, utilizando la metodologa
MAIGTI, el marco de trabajo y las directrices de auditora propuestas por lineamientos
ISO 27001 y buenas prcticas COBIT 4.0.
El Captulo I presenta una descripcin de las definiciones, buenas prcticas, lineamientos y

la Metodologa utilizada, tambin del Marco Metodolgico empleada en la tesis.
El Captulo II detalla una visin de la situacin actual del centro de datos de la GRELL y
realizacin de la auditoria de sistemas, en donde se seleccionaran los procesos de control
ms adecuados propuestos por ISO 27001 y COBIT 4.0 que se ajusten a la situacin actual
del centro de datos, en donde se evaluar y se realizar recomendaciones. Al igual se
presentar los resultados de la auditoria a travs de un informe, en donde se mostrar el
anlisis de los resultados, y se entregar las conclusiones finales por cada proceso
evaluado.
El Captulo III detalla los planes de mejora, como la Implementacin de un Sistema de

Gestin de Seguridad de la Informacin redactando los objetivos, alcance, metodologa,
fases, entre otros y un Plan de Continuidad del Negocio con fases y un Plan de
Normalizacin.
El Captulo IV detalla la inversin de la solucin.
Finalmente, se presentan las conclusiones y recomendaciones de la tesis.

Information Security and Data Center Continuity Improvement Plan for La Libertad
Regional Office of Education applying ISO 27001 guidelines and COBIT best
practices.
ABSTRACT
Por: Freddy Yan Carranza

Cinthia Liliana Zavala Vsquez
ABSTRACT
This thesis project consists of chapters, and appendices, which are aimed to develop a Plan
to Improve information security and Data Center continuity, and show the results obtained
from the information system audit, using the MAIGTI methodology, the ISO 27001
proposed framework and audit guidelines and COBIT 4.0 best practices.
Chapter I presents an overview of the definitions, best practices, guidelines and the
methodology used, and also the methodological framework used in this thesis.
Chapter II describes an overview of the GRELLs data center current situation and the
information system audit realization, where the most appropriate control processes that fit
the data center current situation will be selected proposed by ISO 27001 and COBIT 4.0,
where it will be evaluated and recommendations will be make. The audit results will also
be presented through a report where the analysis results will be shown and the final
conclusions for each evaluated process will be presented.
Chapter III details the improvement plans like the implementation of an Information
Security Management System redacting the objectives, scope, methodology, phases,
among others, a Business Continuity Plan with phases and a Normalization Plan.
Chapter IV details the solution investment.
Finally, this thesis project recommendations and conclusions are presented.

Tabla de Contenidos
PRESENTACIN 3
DEDICATORIA 4
DEDICATORIA 5
AGRADECIMIENTO 6
RESUMEN 7
ABSTRACT 8
ABSTRACT 8
INTRODUCCIN 12
Cap. I: FUNDAMENTO TEORICO 11

1.1 Conceptos/Definiciones 11
1.2 Mtodos, Buenas Prcticas, Estndares 14
ITIL 14
COBIT 16
ISO/IEC 27001 21
ISO/IEC 17799 22
1.2.1 Normativas 24
1.3 Metodologa 25
1.4 Marco Metodolgico 28
1.4.1 Diseo de Contrastacin 28
1.4.2 Tipo y Mtodo de muestreo 29
1.4.3 Tcnicas y Mtodos de obtencin de datos 29
1.4.4 Diseo de Instrumentos para la recoleccin de datos 30
1.4.5 Forma en que se analizarn e interpretarn los resultados de la investigacin. 31
1.4.6 Estadsticas utilizadas para el anlisis de la hiptesis de investigacin. 31
Cap. II: RESULTADOS 32
2. Aplicacin de la Auditoria de Sistemas 32

2.1 Prefacio 32
2.2 Diagnostico Preliminar 33
2.2.1 Descripcin de la Empresa 33
2.2.2 Programa de Auditoria 34
2.2.3 Artefactos de Auditora 36
2.3 Resultados de la Auditoria 52
2.3.1 RESUMEN EJECUTIVO 52
2.3.2 INTRODUCCIN 53
2.3.3 PROPUESTA TCNICA 54
2.3.4 Antecedentes 54
2.3.5 Objetivos 54
Etapa de Planificacin 57
Etapa de Trabajo de Campo 57
Etapa de anlisis y estructuracin de la informacin. 57
Etapa de la Elaboracin del Informe 58
2.3.6 EVALUACIN GENERAL 58
2.3.7 REVISIN DEL AVANCE DE IMPLEMENTACIN DE RECOMENDACIONES DE
LA AUDITORIA ANTERIOR 69
2.3.8 CONCLUSIONES DE LA AUDITORIA 102
Captulo III: PLAN DE MEJORA DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA

INFORMACIN Y CONTINUIDAD 104
3. SGSI Y PCN 104

3.1 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN 104
3.1.1 OBJETIVOS 105
3.1.2 ALCANCE DEL DIAGNOSTICO SITUACIONAL INICIAL 105
3.1.3 METODOLOGA 105
3.1.4 DIAGNOSTICO SITUACIONAL INICIAL 106
3.1.5 TIEMPO DE IMPLEMENTACIN 107
3.1.6 CRONOGRAMA DE ACTIVIDADES 108
3.1.7 FASES Y ACTIVIDADES 109
3.1.8 CONSIDERACIONES A LA IMPLEMENTACIN DEL SGSI 115
3.1.9 DIFICULTADES DE UN SGSI 116
3.1.10 SELECCIN DE LA PLATAFORMA DE CONTROL Y LOS OBJETIVOS DE
CONTROL 119
3.2 PLAN DE CONTINUIDAD DE NEGOCIO 120
3.2.1 Fases 122
3.2.2 Plan de Normalizacin de Servicios luego de la contingencia 123
Captulo IV: REQUERIMIENTOS DE TI E INVERSIN DE LA SOLUCIN 127

4.1 COSTO DE LA INVERSIN 127
CONCLUSIONES 130
RECOMENDACIONES 132
REFERENCIAS BIBLIOGRFICAS 133

Tabla de Cuadros
Figura N 1: Fundamentos de la Gestin de TI ............................................................................................... 15
Figura N 2: Criterios y Recursos ................................................................................................................... 19
Figura N 3: Modelo Genrico de Madurez .................................................................................................... 21
Figura N 4: Naturaleza de la forma ISO/IEC 27001:00 ................................................................................. 22
Figura N 5: Cronograma del Proyecto ........................................................................................................... 32
Tabla de Figuras
Cuadro N 1: Lista de Objetivos de Control segn ISO 1779 ......................................................................... 22

Cuadro N 2: Cuadro Resumen Fases de Metodologa ................................................................................... 27
Cuadro N 3: Cuadro Detalle Universo ........................................................................................................... 28
INTRODUCCIN
En los ltimos aos todo lo relacionado respecto a seguridad de la informacin y

continuidad de procesos suscita un gran inters. Las empresas y organismos del estado
estn ms concientizados de los riesgos que conlleva la actividad electrnica.
En una poca como la actual, donde estamos en un mundo globalizado, donde la

informacin de los negocios ha tomado un papel muy relevante y en la que casi en su
totalidad fluye por canales electrnicos, la continuidad del negocio depende de la
seguridad y del flujo ininterrumpido de dicha informacin, esto explica el porqu es
importante salvaguardar la informacin de la empresa en un lugar seguro y confiable.
En nuestra realidad, los problemas son muchos, la primera razn es que la gran mayora de
nuestros centros de datos han sido implementados sin ninguna normativa, al no tener las
normativas no se va a contar con ninguna medida de seguridad, como procedimientos y
controles en caso de alguna contingencia, entre otros.
Los centros de datos tienen que cumplir con ciertas caractersticas en cuanto la parte de la
seguridad de la infraestructura fsica, y como se ve parte de la premisa de un buen diseo
en cuanto es la confiabilidad, tenemos tambin ver la disponibilidad, seguridad al acceso
del centro de datos con cualquier tecnologa, tambin en seguridad a la ambientacin, una
buena climatizacin, refrigeracin entre otros
La Gerencia Regional de Educacin La Libertad no es ajena a esta problemtica, es un

rgano especializado del Gobierno Regional de La Libertad, encargados de asegurar la
adecuacin y aplicacin de las polticas nacionales y regionales de educacin, cultura,
deporte, recreacin, ciencia y tecnologa y que aporta iniciativas propias para mejorar los
niveles de aprendizaje de los nios, adolescentes, jvenes y adultos, para mejorar la
calidad educativa y como consecuencia el desarrollo integral de la poblacin Libertea.
La presente tesis busca disear un Plan de Mejora de la Seguridad de la Informacin y

Continuidad para una institucin del estado que cubra lo que pide la circular para evitar
problemas regulatorios con este organismo. Para esto, se utilizarn estndares y buenas
prcticas reconocidas mundialmente para poder desarrollar una auditoria de sistemas y as
poder tener una base que se pueda implementar un plan de mejora de seguridad y
continuidad, aplicable a cualquier Centro de Datos. Cabe resaltar que estos estndares y
buenas prcticas indican qu es lo que se debe realizar, pero no especifican cmo se deben
implementar los controles. Estos van a depender de la necesidad de la empresa y de la
inversin que desee realizar en temas de seguridad, con lo que se puede afirmar que por lo
expuesto anteriormente y por los conocimientos que se tiene, en la presente tesis se
propone la evaluacin de una auditora al Centro de Datos de la Gerencia Regional de
Educacin La Libertad, que permita mejorar la seguridad y la continuidad del Centro de
Datos.
Por lo anterior, se formula el siguiente problema de investigacin: Cmo mejorar la

seguridad de la informacin y continuidad de la operatividad del Centro de Datos de la
Gerencia Regional de Educacin La Libertad? y su respectiva Hiptesis Aplicando un
Plan de Mejora basado en los lineamientos ISO/IEC 27001 y las buenas prcticas COBIT
se mejorar la seguridad de la informacin y continuidad de la operatividad del Centro de
Datos de la Gerencia Regional de Educacin La Libertad.
Asimismo, el Objetivo General a conseguir es: Elaborar un Plan de Mejora para el

mejoramiento de seguridad de la informacin y continuidad del Centro de Datos de la
Gerencia Regional de Educacin La Libertad. Y sus Objetivos Especficos son:
a. Aplicar una Auditora de Sistemas al Centro de Datos de la GRELL.

b. Identificar y evaluar los riesgos de TI asociados al Centro de Datos de la
GRELL.
c. Identificar y evaluar los controles de TI existentes, asociados al Centro de
Datos de la GRELL, basndose en COBIT, sobre la seguridad y continuidad de
la informacin.
d. Identificar y Evaluar las normas de control interno para las TICs
implementadas en el Centro de Datos.
e. Evaluar los planes de contingencia y de continuidad de negocio asociados al
Centro de Datos.
f. Elaborar el Plan de Mejora basndose en la NTP ISO/IEC 27001 y las Buenas
Prcticas de COBIT 4.1.
Los aportes de la investigacin son:
- Tecnolgico: Uso eficiente de las tecnologas de informacin, para tener un

mejor control en los ambientes computarizados para contribuir a la
modernizacin y eficiencia, realizar evaluaciones de riesgos en ambientes de
cmputo y disear los controles apropiados para disminuir esos riesgos.
- Sistmico: Uso seguro y adecuado de los sistemas de informacin bajo

determinadas normas y buenas prcticas, para gestionar sus sistemas de forma
rpida y segura, los Sistemas Informticos estn sometidos al control
correspondiente.
El aporte que brinda este proyecto a la institucin es de informar el estado actual de los
sistemas de informacin y continuidad del Centro de Datos; as como las recomendaciones
necesarias para superar las falencias encontradas segn las buenas prcticas y
alineamientos por COBIT e ISO/IEC 27001 respectivamente. Tambin se proporcionar el
Plan de Mejora para ser evaluado por la institucin y as poder a implementar.
Cap. I: FUNDAMENTO TEORICO
1.1 Conceptos/Definiciones
Seguridad: Es el conjunto de medidas tcnicas, educacionales, mdicas y

psicolgicas empleadas para prevenir accidentes, eliminar las condiciones,
inseguras del ambiente, e instruir o convencer a las personas, acerca de la necesidad
de implantacin de prcticas preventivas. (Contralora General de la Repblica)
Informacin: Comunicacin o adquisicin de conocimientos que permiten ampliar

o precisar los que se poseen sobre una materia determinada.(Real Acadmia
Espaola)
Plan de Contingencias: es un documento de carcter confidencial que describe los

procedimientos que debe seguir la Oficina e Informtica para actuar en caso de una
emergencia que interrumpa la operatividad del sistema de cmputo. (Contralora
General de la Repblica)
Sistema de Informacin: est constituido por los mtodos y procedimientos

establecidos para registrar, procesar, resumir e informar sobre las operaciones de
una entidad. La calidad de la informacin que brinda el sistema afecta la capacidad
de la gerencia para adoptar decisiones adecuadas que permitan controlar las
actividades de la entidad. (Contralora General de la Repblica)
Contralora: La Contralora General es el ente tcnico rector del Sistema Nacional

de Control, dotado de autonoma administrativa, funcional, econmica y financiera,
que tiene por misin dirigir y supervisar con eficiencia y eficacia el control
gubernamental, orientando su accionar al fortalecimiento y transparencia de la
gestin de las entidades, la promocin de valores y la responsabilidad de los
funcionarios y servidores pblicos, as como, contribuir con los Poderes del Estado
en la toma de decisiones y con la ciudadana para su adecuada participacin en el
control social. No puede ejercer atribuciones o funciones distintas a las establecidas
11
en la Constitucin Poltica, en esta Ley, las disposiciones reglamentarias y las
normas tcnicas especializadas que emita en uso de sus atribuciones.(Contralora
General de la Repblica)
Riesgo: La posibilidad de que ocurra un evento adverso que afecte el logro de los
objetivos.(Real Acadmia Espaola)
Evento: Acaecimiento. Eventualidad, hecho imprevisto, o que puede acaecer. (Real

Acadmia Espaola)
Impacto: El resultado o efecto de un evento. Puede existir una gama de posibles

impactos asociados a un evento. El impacto de un evento puede ser positivo o
negativo sobre los objetivos relacionados de la entidad. (Urbina Mancilla, 2006)
Integridad: est relacionada con la precisin y completitud de la informacin, as

como con su validez de acuerdo a los valores y expectativas del negocio. (Institute,
2007)
Disponibilidad: se refiere a que la informacin est disponible cuando sea

requerida por los procesos del negocio en cualquier momento. Tambin concierne a
la proteccin de los recursos y las capacidades necesarias asociadas. (Institute,
2007)
Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como polticas internas. (Institute, 2007)
Confiabilidad: se refiere a proporcionar la informacin apropiada para que la

gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.(Institute, 2007)
Centro de Datos: Cuando se habla del Centro de Datos se est refiriendo a la
12
ubicacin donde concentran todos los recursos necesarios para el procesamiento de
informacin de una organizacin.
Tecnologas de informacin y comunicacin: Conjunto de tecnologas que

permiten la adquisicin, produccin, almacenamiento, tratamiento, comunicacin,
registro y presentacin de informacin, en forma de voz, imgenes y datos
contenidos en seales de naturaleza acstica, ptica o electromagntica.(Urbina
Mancilla, 2006)
Concepto de las Normas de Control Interno: Las Normas de Control Interno,

constituyen lineamientos, criterios, mtodos y disposiciones para la aplicacin y
regulacin del control interno en las principales reas de la actividad administrativa
u operativa de las entidades, incluidas las relativas a la gestin financiera, logstica,
de personal, de obras, de sistemas de informacin y de valores ticos, entre otras.
Se dictan con el propsito de promover una administracin adecuada de los
recursos pblicos en las entidades del Estado. Los titulares, funcionarios y
servidores de cada entidad, segn su competencia, son responsables de establecer,
mantener, revisar y actualizar la estructura de control interno en funcin a la
naturaleza de sus actividades y volumen de operaciones. Asimismo, es obligacin
de los titulares, la emisin de las normas especficas aplicables a su entidad, de
acuerdo con su naturaleza, estructura, funciones y procesos en armona con lo
establecido en el presente documento. (Contralora General de la Repblica)
Auditora: ISO (2002). A travs de la norma ISO 19011:2002, indico las

siguientes definiciones para los trminos: Criterio de Auditoria, Evidencia de
Auditoria, Auditoria y Hallazgos de Auditoria, las cuales se muestran a
continuacin:
Criterio de Auditoria es un conjunto de polticas, procedimientos o requisitos.
Evidencia de Auditoria comprende registros, declaraciones de hechos o cualquier
otra informacin pertinente y verificable para los Criterios de Auditora.
Auditoria es un proceso sistemtico, independiente y documentado para obtener
evidencia de la Auditoria y evaluarlas de manera objetiva con el fin de determinar
13
la extensin en que se cumplen los Criterios de Auditora.
Hallazgos de Auditora son los resultados de la evaluacin de la Evidencia de
Auditora recopilada frente a los Criterios de Auditora. Los Hallazgos de Auditora
pueden indicar conformidad o no conformidad con los Criterios de Auditora u
oportunidades de mejora.(Paredes, 2011)
1.2 Mtodos, Buenas Prcticas, Estndares
ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la

Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin
de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la
estructura base ha demostrado ser til para las organizaciones en todos los sectores
a travs de su adopcin por innumerables compaas como base para consulta,
educacin y soporte de herramientas de software. Hoy, ITIL es conocido y
utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms
de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en
aumento ha dado como resultado una necesidad creciente de servicios informticos
de calidad que se correspondan con los objetivos del negocio, y que satisfagan los
requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de
estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La
aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye
a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios
y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de
mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca
del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del
producto (u obtencin). De esta manera, los procesos eficaces y eficientes de la
14
Gestin de Servicios TI se convierten en esenciales para el xito de los
departamentos de TI. Esto se aplica a cualquier tipo de organizacin, grande o
pequea, pblica o privada, con servicios TI centralizados o descentralizados, con
servicios TI internos o suministrados por terceros. En todos los casos, el servicio
debe ser fiable, consistente, de alta calidad, y de coste aceptable.(ITIL-Gestin de
Servicios TI) (Ver fig. 1).
ITIL es el enfoque ms ampliamente aceptado para la gestin de servicios de TI en
el mundo. ITIL proporciona un conjunto coherente de mejores prcticas,
procedentes de los sectores pblico y privado a nivel internacional.(ITIL-Gestin
de Servicios TI)
Figura N 1: Fundamentos de la Gestin de TI
Fuente: ITIL- Gestin de Servicios TI- Consultora Osiatis
15
COBIT
a) Definicin:
COBIT (Control Objectives for Information and related Technology).
Es el marco aceptado internacionalmente como una buena prctica para el control
de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para
implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de
control, directivas de aseguramiento, medidas de desempeo y resultados, factores
crticos de xito y modelos de madurez.(Institute, 2007)
Para ayudar a las organizaciones a satisfacer con xito los desafos de los negocios
actualmente, el IT Governance Institute (ITGI) ha publicado la versin de COBIT
4.2
COBIT es un framework de Gobierno de TI y un conjunto de herramientas de
soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha
entre los requerimientos de control, los aspectos tcnicos y riesgos de negocio.
COBIT hace posible el desarrollo de una poltica clara y las buenas prcticas
para los controles de T.I. a travs de las organizaciones.
COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a
incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica
la implementacin de la estructura COBIT.(Institute, 2007)
b) Estructura:
COBIT tiene 34 procesos genricos agrupados en 4dominios, que cubren 215

objetivos de control, clasificados en cuatro dominios:
ISACA (1998) indic que el COBIT comprende los siguientes grupos de
objetivos de control:
Planificacin y organizacin (PO): Estrategias y tcticas. Identificar la

manera en que TI pueda contribuir de la mejor manera al logro de los
objetivos del negocio.
a. Plan de informtica alineado al Plan Estratgico de la organizacin
16
b. Planes de proyectos.
c. Plan de seguridad
d. Plan de continuidad de Negocio
e. Plan de Capacitacin
f. Plan de Licenciamiento de Software
g. Plan de mantenimiento preventivo y correctivo
h. Plan de Calidad
i. Presupuestos
j. Estructura Organizacional
k. Recursos Disponibles
l. Metodologas de trabajo
Adquisicin e Implementacin (AI): Identificacin de soluciones,

desarrollo o adquisicin, cambios y/o mantenimiento de sistemas existentes.
a. Adquisiciones de tecnologas de la Informacin y afines: equipos de
cmputo, equipos de red, licencias de software, sistema de
informacin, etc.
b. Propuestas tcnicas
c. Propuestas econmicas
d. Evaluaciones de proveedores
e. Contratos
f. Desarrollo de tecnologas de la informacin de base
g. Desarrollo de sistemas de informacin
h. Cumplimiento de metodologas y documentacin respectiva.
Entregar y Dar Soporte (DS): Cubre la entrega de los servicios

requeridos. Incluye la prestacin del servicio, la administracin de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administracin de los datos y de las instalaciones operacionales.
a. Entrega de servicios de Desarrollo e Implantacin de Sistemas de
Informacin
17
b. Evaluacin de posibles soluciones de lo desarrollado o comprado e
implantado
c. Medidas de Seguridad
d. Nivel de satisfaccin de los usuarios con respecto al servicio
otorgado
e. Entrega de servicios de Soporte Tcnico
f. Infraestructura de Tecnologas de la Informacin: Hardware y
Software de Base, as como servicios relacionados.
Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de

forma regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administracin del
desempeo, el monitoreo del control interno, el cumplimiento regulatorio y
la aplicacin del gobierno.
a. Seguimiento de los planes
b. Evaluacin interna del desempeo
c. Certificaciones o acreditaciones independientes de control y
seguridad
d. Provisin de auditora independiente(Paredes, 2011)
c) Criterios de Informacin y recursos de TI segn COBIT:

Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que COBIT hace referencia como requerimientos de
negocio para la informacin. Al establecer la lista de requerimientos, COBIT
combina los principios contenidos en los modelos referenciales existentes y
conocidos:
Efectividad: Se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin
ptima (ms productiva y econmica) de recursos.
Confidencialidad: Se refiere a la proteccin de informacin sensible contra
divulgacin no autorizada.
18
Integridad: Se refiere a la precisin y suficiencia de la informacin, as
como a su validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta
es requerida por el proceso de negocio ahora y en el futuro. Tambin se
refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est sujeto, por
ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin: Se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para
ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Figura N 2: Criterios y Recursos
Fuente: IT Governance Institute
Los recursos de TI identificados en COBIT pueden identificarse/definirse como se

muestra a continuacin:
Datos: Los elementos de datos en su ms amplio sentido (por ejemplo,
externos e internos), estructurados y no estructurados, grficos, sonido, etc.
Aplicaciones: Se entiende como sistemas de aplicacin la suma de
procedimientos manuales y programados.
19
Tecnologa: La tecnologa cubre hardware, software, sistemas operativos,
sistemas de administracin de base de datos, redes, multimedia, etc.
Instalaciones: Recursos para alojar y dar soporte a los sistemas de
informacin.
Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, soportar y monitorear
servicios y sistemas de informacin.
d) Modelo genrico de madurez

0 No Existente: Carencia completa de cualquier proceso reconocible. La
empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial: Existe evidencia que la empresa ha reconocido que los
problemas existen y requieren ser resueltos, Sin embargo; no existen
procesos estndar en su lugar existen enfoques ad hoc que tienden a ser
aplicados de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
2 repetible: Se han desarrollado los procesos hasta el punto en que se
siguen procedimientos similares en diferentes reas que realizan la misma
tarea. No hay entrenamiento o comunicacin formal de los procedimientos
estndar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores
son muy probables.
3 Definido: Los procedimientos se han estandarizado y documentado, y se
han difundido a travs de entrenamiento. Sin embargo, se deja que el
individuo decida estos procesos, y es poco probable que se detecten
desviaciones. Los procedimientos en s no son sofisticados pero formalizan
las prcticas existentes.
4 Administrado: Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no estn trabajando de
forma efectiva. Los procesos estn bajo constante mejora y proporcionan
buenas prcticas. Se usa la automatizacin y herramientas de una manera
limitada o fragmentada.
20
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor
prctica, se basan en los resultados de mejoras continuas y en un modelo de
madurez con otras empresas. TI se usa de forma integrada para automatizar
el flujo de trabajo, brindado herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte de manera rpida.
Figura N 3: Modelo Genrico de Madurez
Fuente: IT Governance Institute
ISO/IEC 27001
Alexander (2007) indic que el ISO/IEC 27001:2005 se ha desarrollado como

modelo para el establecimiento, la implementacin, la operacin, el monitoreo, la
revisin, el mantenimiento y la mejora de un Sistema de Gestin de Seguridad de la
Informacin para cualquier clase de organizacin. El diseo y la implantacin se
encuentran influenciado por las necesidades, los objetivos, los requisitos de
seguridad, los procesos, los empleados, el tamao, los sistemas de soporte y la
estructura de organizacin. Est basado en el ciclo de Deming (Plan, Do, Check,
Act) como se muestra en la siguiente figura:
21
Figura N 4: Naturaleza de la forma ISO/IEC 27001:00
Fuente:(Paredes, 2011)
ISO/IEC 17799
ISO/IEC 17799 Cdigo de Buenas Prcticas de Gestin de Seguridad de la

Informacin, en la prctica, es una norma que provee una serie de objetivos de
control para la gestin de procesos y proyectos de infraestructura de tecnologas de
informacin. Tambin incluye secciones relacionadas a la seguridad en el
desarrollo de sistemas de informacin y a la gestin de la continuidad del negocio,
entre otras. ISO/IEC 17799 incluye los siguientes grupos de objetivos de control:
Cuadro N 1: Lista de Objetivos de Control segn ISO 1779
A. Evaluacin y Tratamiento del
Riesgo
a. Documento de Poltica de Seguridad de la Informacin.
B. Poltica de Seguridad
b. Revisin y Evaluacin
a. Estructura para la Seguridad de la Informacin: Comit,
C. Aspectos Organizativos de la Recursos, Responsabilidades, Asesora de Expertos,
Seguridad Colaboracin entre Organizacin y Evaluacin Independiente.
b. Seguridad en los accesos de terceras partes Outsourcing.
D. Clasificacin y Control de Activos a. Responsabilidades sobre los activos
22
b. Clasificacin de la Informacin
a. Seguridad antes del empleo
E. Seguridad en Recursos Humanos b. Seguridad durante el empleo
c. Finalizacin o cambio del empleo
a. rea Seguras
F. Seguridad Fsica y del Entorno b. Seguridad de los equipos
c. Controles Generales
a. Procedimientos y Responsabilidades de Operacin
b. Gestin de Servicios externos
c. Planificacin y Aceptacin del Sistema
d. Proteccin contra software malicioso
G. Gestin de Comunicaciones y e. Gestin de respaldo y Recuperacin
Operaciones f. Gestin de Seguridad en redes
g. Uso y seguridad de los medios de informacin
h. Intercambio de Informacin y Software
i. Servicio de correo electrnico
j. Monitoreo
a. Requisito de negocio para el control de accesos
b. Gestin de Acceso a Usuarios
c. Responsabilidad de los usuarios
d. Control de Acceso a Red
H. Control de Accesos
e. Control de Acceso al sistema operativo
f. Control de acceso a las aplicaciones
g. Seguimiento de acceso y uso del sistema
i informtica mvil y teletrabajo
a. Requisito de la seguridad en los sistemas
b. Seguridad de las aplicacin
I. Adquisicin, desarrollo y c. Controles criptogrficos
Mantenimiento de Sistemas d. Seguridad de los archivos del sistema
e. Seguridad en los procesos de desarrollo y soporte
f. Gestin de la vulnerabilidad tcnica
J. Gestin de los Incidentes de la
Seguridad de la Informacin
a. planificacin
K. Gestin de la Continuidad del b. Prueba
Negocio
c. Mantenimiento y revaluacin de los planes de continuidad
a. cumplimiento de los requisitos legales
L. Cumplimiento b. revisiones de la poltica d seguridad y la conformidad tcnica
c. Consideraciones sobre la auditoria de sistemas

Fuente:(Paredes, 2011)
23
1.2.1 Normativas
Normas de control interno para sistemas computarizados
Los sistemas computarizados permiten a los usuarios ingresar a los documentos y
programas en forma directa, ya sea a travs de un microcomputador, conocido
como computadora personal Lap Top (micro-computador porttil), o mediante
terminales que se le denominan micro-computadoras en lnea. Los controles
internos que requieren los ambientes que emplean microcomputadoras son diversas
y por lo general estn referidos a los accesos, contraseas, desarrollo y
mantenimiento del sistema; los mismos que contribuyen a brindar seguridad y
confiabilidad al procesamiento de la informacin.
Conforme surgen nuevas tecnologas, los usuarios emplean sistemas de cmputo

cada vez ms complejos, lo que incrementa las aplicaciones que manejan y, a su
vez, aumenta el riesgo y plantea la necesidad de implementar nuevos controles
internos.
Las normas de control interno que se presentan en esta seccin describen los
controles que son necesarios para la implementacin del rea de informtica y el
plan de sistemas de informacin de la entidad, segn su actividad y durante un
perodo determinado, as como los controles de datos fuente, de operacin y de
salida que preserven el flujo de informacin adems de su integridad. Asimismo,
tales normas desarrollan los controles internos requeridos para el mantenimiento de
equipos de cmputo y medidas de seguridad para el Software (programas de
computacin) y Hardware (equipamiento informtico), as como los aspectos de
implementacin del Plan de Contingencias de la Entidad. (Urbina Mancilla, 2006)
Norma general para el componente de informacin y comunicacin

Se entiende por el componente de informacin y comunicacin, los mtodos,
procesos, canales, medios y acciones que, con enfoque sistmico y regular,
aseguren el flujo de informacin en todas las direcciones con calidad y
oportunidad. Esto permite cumplir con las responsabilidades individuales y
grupales.
24
La informacin no solo se relaciona con los datos generados internamente, sino
tambin con sucesos, actividades y condiciones externas que deben traducirse a la
forma de datos o informacin para la toma de decisiones. Asimismo, debe existir
una comunicacin efectiva en sentido amplio a travs de los procesos y niveles
jerrquicos de la entidad.
La comunicacin es inherente a los sistemas de informacin, siendo indispensable
su adecuada transmisin al personal para que pueda cumplir con sus
responsabilidades.(Urbina Mancilla, 2006)
1.3 Metodologa
MAIGTI (Metodologa para la Auditora Integral de Gestin de las
Tecnologas de la Informacin).
MAIGTI enlaza los diversos conceptos de buenas prcticas del gobierno
corporativo de gestin de las tecnologas de la informacin( COBIT de ISACA) ,
la gestin de los procesos de ciclo de vida de desarrollo de software (ISO/IEC
12207), las buenas prcticas de la gestin de la seguridad de la informacin
(ISO/IEC 17799), la gestin de los servicios de tecnologas de
informacin(ISO/IEC 20000 o ITIL); as como la gestin de Proyectos del Project
Management Institute (PMOBOK), sobre la base de una simplificacin del proceso
general de auditora descrito en la norma ISO 19011:2002 y de una adaptacin del
esquema de procesos de la ISO 9001:2000(ISO,2000). Se usarn estas normas y
buenas prcticas por las siguientes razones:
a. El COBIT da un marco para la evaluacin basado en el ciclo de calidad
de Deming (Plan, Do, Check, Act).
b. Los estndares ISO/IEC 12207, ISO/IEC 17799 e ISO/IEC 20000 se
complementan entres si, de manera que no existe cruce entre ellos si no
interrelaciones muy tiles.
c. Si bien el PMBOK no es un estndar propio de la tecnologa de
informacin, contiene una serie de aspectos muy importantes con respecto
a la gestin de proyectos alineados a la estrategia organizacional, adems
de complementar algunos aspectos de las normas citadas previamente, y
25
hacer referencia a metodologas de gestin de proyectos en relacin a
tiempo y costos, entre otros aspectos, que son muy tiles para la gestin de
proyectos de tecnologas de informacin.
La estructura de la MAIGTI comprende los siguientes elementos:

a) Objetivo (la finalidad de la auditora).
b) Alcance (detalle de lo que est incluido y lo que no est incluido como
parte de la auditora).
c) Entradas (requerimientos de informacin).
d) Proceso de MAIGTI (evaluaciones a realizar).
e) Salidas (papeles de trabajo e informe de auditora).
Asimismo, cada uno de los procedimientos para la evaluacin de los principales

objetivos de control dentro de los subprocesos de MAIGTI, comprende la siguiente
estructura: (a) objetivo (la finalidad del procedimiento de auditora), (b) alcance
(detalle de lo que est incluido y lo que no est incluido como parte de la auditora
a realizarse a travs del procedimiento), (c) entradas (requerimientos de
informacin para ejecutar el procedimiento de auditora), (d) proceso (detalle de
los pasos a seguir en el procedimiento de auditora), y (e) salidas (hallazgos
evidenciados como resultado de la ejecucin del proceso).
Fig. N 4: Estructura de la MAIGTI
Fuente: MAIGTI- Emigdio Alfaro Paredes.
26
A continuacin se lista las fases dadas dentro de la MAIGTI.
1. Determinar el Objetivo
2. Especificar el Alcance y Elaborar el Plan de Trabajo.
3. Solicitar la Informacin.
4. Recibir la Informacin. Ordenarla e Ingresarla al proceso MAIGTI.
5. Ejecutar el proceso MAIGTI.
a. Evaluar DOC s, Planificacin y Organizacin.
b. Evaluar DOC s, Adquisicin e Implementacin.
c. Evaluar DOC s , Entrega de Servicio y Soporte
d. Evaluar DOC s, Monitoreo Y Control
e. Ejecutar Procedimientos
6. Comunicar, Discutir y Corregir Informe
7. Distribuir Informe Final
Cuadro N 2: Cuadro Resumen Fases de Metodologa

Fases de la
tem Descripcin Herramienta Entregable
Metodologa
Documento de
Open Office 2010- Objetivos de la
Detalla la finalidad para la cual se
1 Objetivo (Writer,Calc),OpenProj - Auditoria,
ha desarrollado el procedimiento.
Project Management Cronograma de
Trabajo
Detalla de lo que est incluido y lo
que no est incluido como parte de
la auditora:
a) Evaluacin de la
Planificacin y
Organizacin Open Office 2010- Documento de
2 Alcance b) Evaluacin de la (Writer, Calc),OpenProj Plan de Trabajo de
Adquisicin e - Project Management Auditora
Implementacin
c) Evaluacin de la Entrega
de Servicios y Soporte
d) D. Evaluacin del
Monitoreo y Control
CheckList de
Detalla los requerimientos de Open Office 2010-
Documentos
3 Entradas informacin necesarios para el (Writer),OpenProj -
Evaluados durante
desarrollo del procedimiento Project Management
la Auditora
27
Documento del
Detalla las actividades a ser Open Office 2010-
Informe
4 Proceso realizadas como parte del (Writer), OpenProj -
Preliminar e
procedimiento Project Management
Informe final.
Detalla las observaciones que se
Open Office 2010- Papeles de
podra encontrar como resultado de
5 Salidas (Writer),OpenProj - Trabajo, Informe
la ejecucin de las actividades del
Project Management Final de Auditoria
procedimiento
1.4 Marco Metodolgico
1.4.1 Diseo de Contrastacin
Se Utilizara un diseo no experimental y descriptivo, porque no se manipularn las

variables y se tiene la necesidad de indagar la incidencia y los valores que se
manifiestan una o ms variables, tal como lo definen (Hernndez, R; Hernndez, C.
y P. Batista, 1997). En pocas palabras, se describe el fenmeno tal cual sin
introducir modificaciones.
Adems, exhibe el conocimiento de la realidad tal como se presenta en una

situacin de espacio y de tiempo dado. Aqu se observa y se registra, o se
pregunta y se registra.
1.4.1.1 Universo
El universo de la investigacin Plan de Mejora de la Seguridad y Continuidad del

Centro de Datos de la Gerencia Regional de Educacin de La Libertad aplicando
lineamientos ISO 27001 y buenas prcticas COBIT, est constituida por 4 personas
en las siguientes categoras:(Lopez, 1970)
Cuadro N 3: Cuadro Detalle Universo
Empleados 2
Investigadores 2
Poblacin 4
28
1.4.1.2 Muestra
No se realizar muestra porque se tomar en cuenta a toda la poblacin debido a la

cantidad del personal que est involucrado en el estudio los cuales solamente son 4.
1.4.2 Tipo y Mtodo de muestreo
1.4.2.1 Tipo de muestreo
Como el mtodo del muestreo utilizado fue el no probabilstico, el tipo aplicado fue
el de dirigido o directo. Ya que permite seleccionar a la poblacin adecuada, que
pueda generar la informacin suficiente y necesaria para este estudio.
1.4.2.2 Mtodo de muestreo
El mtodo de muestreo empleado fue el no probabilstico, debido a que la eleccin

de los elementos no depende que todas tengan la misma probabilidad de ser
elegidos, sino de cumplir con ciertas caractersticas especficas segn el objeto de
la investigacin.
1.4.3 Tcnicas y Mtodos de obtencin de datos
Entrevista: Esta herramienta se utilizar con los miembros que estn involucrados
en el sistema, debido a que la poblacin es pequea y eso permitir realizar una
investigacin ms completa y directa.
El auditor comienza a continuacin las relaciones personales con el auditado lo

hace de tres formas:
1. Mediante la peticin de documentacin concreta.
2. Mediante entrevistas en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo
29
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en

ellas, ste recoge ms informacin y mejor matizada, que la proporcionada por
medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace
un auditor, interroga y se interroga a s mismo.
Es necesario elegir bien a qu personas se va a entrevistar, y dependiendo del tema

se elegir normalmente entre directivos, jefes de proyecto, analistas,
programadores, usuarios, operadores entre otros.
Observacin: Una de las tcnicas ms populares, de mayor impacto y ms

utilizadas para examinar los diferentes aspectos que repercuten en el
funcionamiento del rea, es la aplicacin de diversas tcnicas y mtodos de
observacin que permiten recolectar directamente la informacin necesaria sobre el
comportamiento del sistema, del rea de sistemas, de las funciones, actividades y
operaciones del equipo procesador o de cualquier otro hecho, accin o fenmeno
del mbito de sistemas.(Razo, 2002)
1.4.4 Diseo de Instrumentos para la recoleccin de datos
Lista de verificacin o Checklist.

Se realizar con el objetivo de capturar informacin de control, procedimiento y
medidas seguridad; para validar la funcin de intervencin de estos y los niveles de
responsabilidad.
Se disear una lista de verificacin para cada procedimiento de control
establecidos a utilizar dentro de la investigacin, los cuales permitirn alcanzar el
objetivo general de la investigacin.
El auditor, habitualmente informtico de profesin percibe con cierta facilidad el
perfil tcnico y los conocimientos del auditado precisamente a travs de las
preguntas que este le formula. Esta percepcin configura el principio de autoridad
30
y prestigio que el auditor debe poseer. El auditor deber aplicar la Checklist de
modo que el auditado responda clara y escuetamente (concisamente).
Se deber interrumpir lo menos posible a ste, y solamente en los casos en las
respuestas sean parte sustancialmente de la pregunta. En algunas ocasiones, se har
necesario evitar aquel a que exponga con mayor amplitud un tema concreto, y en
cualquier caso, se deber evitar absolutamente la presin sobre el mismo.
1.4.5 Forma en que se analizarn e interpretarn los resultados de la investigacin.
Se realizar una recopilacin de datos por medio del instrumento que se disear el
cual tendr que ser tabulado en una escala porcentual; cada pregunta tabulada
pasar por un proceso de anlisis para sacar conclusiones de dicha informacin.
1.4.6 Estadsticas utilizadas para el anlisis de la hiptesis de investigacin.
El instrumento a utilizar no tiene mtodo estadstico definido por lo que no se

sugiere algn estadstico a utilizar en especial para el anlisis de las hiptesis de la
investigacin.
31
Cap. II: RESULTADOS
2. Aplicacin de la Auditoria de Sistemas
2.1 Prefacio
Durante el desarrollo de este captulo se conocer ms a fondo a la Gerencia
Regional de Educacin La Libertad., su descripcin, su infraestructura y cmo
est organizada estructuralmente, determinar cmo esta detallada su rea de
cmputo.
Con estos conocimientos previos se establece el plan de Auditora de Sistemas, el

cual contempla el objetivo principal, el alcance de la Auditora, personal que
va realizar la Auditora, qu personas estarn involucradas, la ejecucin de la
Auditora que contempla la recopilacin de informacin, establecer una
evaluacin y clasificacin de riesgos para poder determinar cules son los
procesos ms crticos y determinar observaciones que ayudarn a la Gerencia
Regional de Educacin La Libertad a controlar de mejor manera todo lo
relacionado con Tecnologas de Informacin.
Para la ejecucin de la Auditora de Sistemas aplicando ISO 27001 y COBIT

4.0 se realiz el siguiente cronograma.
Figura N 5: Cronograma del Proyecto
32
2.2 Diagnostico Preliminar
2.2.1 Descripcin de la Empresa
El Centro de Cmputo de la Gerencia Regional de Educacin La Libertad tiene

como funcin principal Administrar la Red Informtica Local (LAN) que incluye:
Administracin de Cuentas de Usuario, Administracin de estaciones de Trabajo,
Administracin de cada punto de la red de datos de la Institucin.
Esto significa que para poder desarrollar las labores encomendadas por la actual
gestin cumplen con los siguientes encargos:
Velar por la seguridad fsica y lgica del parque informtico de la DRELL

el cual incluye hardware y Software.
Velar por el buen funcionamiento de los gabinetes de comunicaciones y
servidores los cuales reciben mantenimiento preventivo 03 veces al ao.
Salvaguardar las bases de datos de Sistema nico de Planillas, Sistema de
Trmite Documentario, Sistema Nexus, SILEG y el AESCA (Sistemas de
Escalafn), se generan copias de seguridad peridicamente.
Brindar soporte tcnico en hardware y software a los ms de 100 usuarios
con los que cuenta la Institucin, atendiendo a sus llamadas cada vez que se
requiera.
Brindar apoyo en la parte informtica ante cualquier solicitud de nuestros
compaeros de trabajo: apoyo a eventos, elaboracin de reportes
especficos para presupuesto y planillas, apoyo tcnico en elaboracin de la
declaracin del formulario 600 al PDT de la SUNAT.
Administrar el uso de Internet e Intranet, el cual se encuentra restringido
slo para uso de consultas concernientes al trabajo diario en esta Direccin
Regional.
Brindar soporte en la Instalacin del Sistema de Trmite Documentario, as
como administrar las cuentas de usuario del mismo.
33
2.2.2 Programa de Auditoria
OBJETIVO OBJETIVO PROCEDIMIENTOS DE HECHO
OBJETIVOS CODIGO COMPONENTE N PROC REF. PAPEL/TRABAJO
GENERAL CONTROL COBIT CONTROL POR
Revisar las observaciones y
Verificar el estado actual de Procedimiento para el
Monitorear y Evaluar el recomendaciones de informes PT01: Recomendaciones de las
las recomendaciones de las ME2 PR01 seguimiento de informes de FY/CZ
Control Interno. de auditoras anteriores as Auditorias Anteriores.
auditorias anteriores Auditora Interna.
como su seguimiento.
Evaluar si los planes,
estrategias y presupuestos de
Procedimiento para la auditoria PT02: Planeacin Estratgica
Definir el Plan estratgico los sistemas de informacin
PO1 PR02 de la Planificacin Estratgica FY/CZ de Tecnologas de
de TI. son consistentes con las metas
Evaluar la Planeacin y de Tecnologa de Informacin. Informacin.
estratgicas y comerciales de
Estrategias de los Recursos la empresa.
de informacin.
Procedimiento para la auditoria
Evaluar si los proyectos de TI PT03: Planes de Proyecto de
de los Planes de Proyecto de
PO10 Administrar Proyectos. estn acordes con las PR03 FY/CZ Desarrollo de Sistemas de
Desarrollo de Sistemas de
necesidades de la empresa Informacin.
Elaborar el Plan de Informacin.
Mejora de la seguridad
Procedimiento de auditora
y continuidad del PT11: Mantenimiento de
PR11 para el mantenimiento de la FY/CZ
Centro de Datos de la Evaluar el estado de las Biblioteca de Medios.
Evaluar los procedimientos de biblioteca de medios
Gerencia Regional de Operaciones de los Sistemas DS11 Administrar los datos
Educacin La Libertad. de Informacin respaldo Procedimiento para la auditoria
PT12: Procedimiento de
PR12 al procedimiento de eliminacin FY/CZ
Eliminacin de Medios.
de medios
PT04: Documentacin de los
de la documentacin de los
PR04 FY/CZ Manuales de los Sistemas de
manuales de usuario de los
Informacin.
sistemas de informacin.
Evaluar el adecuado Evaluar los manuales,
Mantenimiento e polticas, normas y Procedimiento para la auditoria
Facilitar la operacin y el PT05: Manuales de
implantacin de los sistemas AI4 procedimientos que de los manuales de
uso PR05 FY/CZ Procedimientos de desarrollo
de Aplicacin y Base de garanticen la adecuada procedimientos de desarrollo de
de sistemas de Informacin.
Datos gestin de las operaciones. sistemas de informacin.
PT06: Manuales de
de los manuales de
PR06 FY/CZ Procedimientos de Soporte
procedimiento de soporte
Tcnico.
tcnico
34
Programa de Auditoria
OBJETIVO OBJETIVO CONTROL PROCEDIMIENTOS DE HECHO
OBJETIVOS CODIGO COMPONENTE N PROC REF. PAPEL/TRABAJO
GENERAL COBIT CONTROL POR
Procedimiento para la auditoria PT07: Metodologa
de la metodologa para la Requerimiento de Soporte
PR07 FY/CZ
Evaluar que los niveles de atencin de requerimientos de Tcnico-Sistemas de
servicio en los ambientes de soporte tcnico Informacin.
Definir y administrar
DS1 procesamiento cumplan o
niveles de Servicio Procedimiento para la auditoria
superen las expectativas de la de la metodologa para la PT08: Metodologa de
empresa. PR08 atencin de requerimientos de FY/CZ Requerimientos de Desarrollo-
Evaluar el adecuado desarrollo de sistemas de sistemas de Informacin
Mantenimiento e informacin.
implantacin de los Evaluar si los nuevos sistemas
sistemas de Aplicacin y de aplicacin se implantan de Procedimiento para la auditoria PT09: Metodologa de
Base de Datos Instalar y acreditar
AI7 manera apropiada y funciona PR09 de la metodologa de desarrollo FY/CZ Desarrollo de Sistemas de
soluciones y cambios
de acuerdo a las intenciones de sistemas de informacin Informacin.
de la empresa.
Evaluar si todas las Procedimiento para la revisin
modificaciones necesarias a de los formularios de control de
PT10: Formularios de Control
AI6 Administrar cambios los sistemas de aplicacin PR10 cambios en proyectos de FY/CZ
Elaborar el Plan de de Cambios.
existentes son implantadas Compra o Desarrollo de
Mejora de la seguridad oportunamente. Sistemas de Informacin
y continuidad del
Centro de Datos de la Evaluar los manuales,
Gerencia Regional de polticas y procedimiento que
Educacin La Libertad garanticen la adecuada PT13: Plan de Seguridad de la
PR13 del Plan de Seguridad de la FY/CZ
seguridad de la informacin. Informacin.
Informacin
Estructura de Gobierno de
Seguridad de la Informacin.

Evaluacin del Control de PT14: Seguridad de Acceso a
PR14 de la seguridad de acceso a los FY/CZ
Evaluar el estado de la Accesos a los sistemas los Sistemas de Informacin.
Garantizar la seguridad de sistemas de informacin
Seguridad de la DS5
los sistemas
informacin
PT15: Seguridad de Acceso al
PR15 de la seguridad de acceso al FY/CZ
Centro de Computo Principal.
Evaluacin del Control de centro de cmputo principal
Accesos a los centros de
computo Procedimiento para la auditoria
PT16: Seguridad de Acceso al
PR16 de la seguridad de acceso al FY/CZ
centro de Computo Alterno.
centro de cmputo alterno
Evaluar el estado de la Procedimiento para la auditoria

Garantizar la continuidad Evaluar el Plan de PT17: Plan de Contingencias
Gestin de Continuidad de DS4 PR17 del Plan de Contingencias de FY/CZ
del servicio recuperacin de desastres de Informtica
Negocio Informtica (PCI)
35
2.2.3 Artefactos de Auditora
2.2.3.1 Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Fecha Inicio Fecha Fin Estado
DE CONTROL
COBIT
Revisar informacin de la auditoria de TI
anterior
Revisar detalladamente los informes de la

auditoria de TI anterior
En los informes de auditora anterior

Verificar el Revisar las
verificar la inclusin de las observaciones
estado actual de observaciones y P042 Procedimiento
Monitorear y de los informes de otras auditorias
las recomendaciones de para el seguimiento de
ME2 Evaluar el Control P01 anteriores FY/CZ 27-02-13 28-02-13 Ejecutado
recomendaciones informes de auditoras informes de Auditora
Interno
de las auditorias anteriores as como su Interna
anteriores seguimiento Identificar las observaciones de informes de
auditoras anteriores que a la fecha no hayan
sido subsanadas
Realizar el seguimiento de las observaciones

de informes anteriores que a la fecha no
hayan sido subsanadas (Entrevistas,
muestreos)
36
Cronograma de Ejecucin de Procedimientos de Auditoria
OBJETIVO
PROCEDIMIENTOS DE Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Fecha Fin Estado
CONTROL Inicio
COBIT
Revisar informacin del Plan estratgico
de la organizacin, Plan estratgico de
TI
Evaluar si los planes,
estrategias y Verificar la alineacin de los proyectos
presupuestos de los incluidos en el PETI y el Plan
P005 Procedimiento para la
sistemas de estratgico de la Organizacin
Definir el Plan auditoria de la Planificacin
PO1 informacin son P02 FY/CZ 01-03-13 02-03-13 Ejecutado
estratgico de TI Estratgica de Tecnologa de
consistentes con las Verificar la elaboracin de presupuestos
Informacin
metas estratgicas y y cronogramas claros para cada uno de
comerciales de la los proyectos
empresa.
Verificar la existencia de indicadores de
Gestin
Revisar informacin del PETI y el Plan

estratgico de la organizacin
Evaluar la P006 Procedimiento para la

Verificar la alineacin de los proyectos
Planeacin y auditoria de los Planes de
P03 al PETI y al Plan estratgico de la FY/CZ 04-03-13 04-03-13 Ejecutado
Estrategias de los Proyecto de Desarrollo de
Organizacin
Recursos de Sistemas de Informacin
informacin.
Verificar la asignacin de presupuestos,
cronogramas y responsabilidades de
Evaluar si los ejecucin de los proyectos
proyectos de TI estn
Administrar Revisar informacin Actas de reunin,
PO10 acordes con las
Proyectos Cotizaciones, Evaluacin de la
necesidades de la
empresa. propuesta, Contrato para la compra de
Sistemas de Informacin
P007 Procedimiento para la Verificar la alineacin del Proyecto al

auditoria de los Planes de PETI y Plan estratgico de la
P04 FY/CZ 05-03-13 05-03-13 Ejecutado
Proyecto de Compra de Organizacin
Sistemas de Informacin
Verificar la existencia de anlisis de
Generacin de valor del proyecto
Verificar la existencia de presupuesto

adecuado para el proyecto
37
OBJETIVO
PROCEDIMIENTOS DE
CONTROL
COBIT
Revisar informacin del listado de
todo los manuales de usuario,
acceso a todos los manuales de
usuario y procedimiento para
otorgar accesos a los manuales de
P035 Procedimiento para la usuario
auditoria de la documentacin
P05 FY/CZ 06-03-13 06-03-13 Ejecutado
de los manuales de usuario de Revisar los manuales de usuario de
los sistemas de informacin los sistemas crticos del negocio.
Verificar el acceso de los usuarios a

Evaluar los manuales, los manuales de usuario de los
polticas, normas y sistemas de informacin
Administrar las procedimientos que
DS13 Revisar informacin de las
operaciones garanticen la
adecuada gestin de Metodologas de Desarrollo
las operaciones. P040 Procedimiento para la utilizadas y Manuales de
auditoria de los manuales de procedimientos de desarrollo de
P06 FY/CZ 07-03-13 07-03-13 Ejecutado
procedimientos de desarrollo de sistemas de informacin
sistemas de informacin Verificar el cumplimiento del
procedimiento de acuerdo a la
Evaluar el estado
metodologa de desarrollo
de las
Operaciones de Revisin de la informacin de las
los Sistemas de P039 Procedimiento para la metodologas y Manuales de
Informacin auditoria de los manuales de procedimientos de soporte tcnico
P07 FY/CZ 07-03-13 07-03-13 Ejecutado
procedimiento de soporte Verificar el cumplimiento de los
tcnico procedimientos de acuerdo a la
metodologa de soporte tcnico
Revisar informacin de
P032 Procedimiento para la metodologas de atencin de
auditoria de la metodologa para requerimientos de soporte tcnico
P08 FY/CZ 08-03-13 08-03-13 Ejecutado
la atencin de requerimientos de Verificar la inclusin de Niveles de
soporte tcnico Servicio, para la atencin de
Evaluar que los requerimientos de soporte tcnico
niveles de servicio en Revisar informacin de
Definir y
los ambientes de Metodologas de atencin de
administrar
DS1 procesamiento requerimientos de desarrollo o
niveles de
cumplan o superen las P033 Procedimiento para la mantenimiento ya sea si lo realiza
Servicio
expectativas de la auditoria de la metodologa para personal interno o proveedor
gerencia. P09 la atencin de requerimientos de Revisar detalladamente la FY/CZ 08-03-13 08-03-13 Ejecutado
desarrollo de sistemas de metodologa y el Procedimiento de
informacin atencin de requerimientos de
desarrollo de sistemas de
informacin ya sea con personal
interno o proveedor
38
OBJETIVO
PROCEDIMIENTOS DE
CONTROL
COBIT
Revisar informacin del listado de
todo los manuales de usuario,
acceso a todos los manuales de
usuario y procedimiento para
otorgar accesos a los manuales de
P035 Procedimiento para la usuario
auditoria de la documentacin
P05 FY/CZ 11-03-13 11-03-13 Ejecutado
de los manuales de usuario de Revisar los manuales de usuario de
los sistemas de informacin los sistemas crticos del negocio.
Evaluar los manuales,
polticas, normas y Verificar el acceso de los usuarios a
Administrar las procedimientos que los manuales de usuario de los
DS13
operaciones garanticen la sistemas de informacin
adecuada gestin de
las operaciones. Verificar el cumplimiento del
procedimiento de acuerdo a la FY/CZ 11-03-13 11-03-13 Ejecutado
metodologa de desarrollo
Revisin de la informacin de las
Evaluar el estado P039 Procedimiento para la metodologas y Manuales de
de las auditoria de los manuales de procedimientos de soporte tcnico
Operaciones de P07 FY/CZ 12-03-13 12-03-13 Ejecutado
procedimiento de soporte Verificar el cumplimiento de los
los Sistemas de tcnico procedimientos de acuerdo a la
Informacin metodologa de soporte tcnico
Revisar informacin de
P032 Procedimiento para la metodologas de atencin de
auditoria de la metodologa para requerimientos de soporte tcnico
P08 FY/CZ 12-03-13 12-03-13 Ejecutado
la atencin de requerimientos de Verificar la inclusin de Niveles de
soporte tcnico Servicio, para la atencin de
Evaluar que los requerimientos de soporte tcnico
niveles de servicio en Revisar informacin de
Definir y
los ambientes de Metodologas de atencin de
administrar
DS1 procesamiento requerimientos de desarrollo o
niveles de
cumplan o superen las P033 Procedimiento para la mantenimiento ya sea si lo realiza
Servicio
expectativas de la auditoria de la metodologa para personal interno o proveedor
gerencia. P09 la atencin de requerimientos de Revisar detalladamente la FY/CZ 13-03-13 13-03-13 Ejecutado
desarrollo de sistemas de metodologa y el Procedimiento de
informacin atencin de requerimientos de
desarrollo de sistemas de
informacin ya sea con personal
interno o proveedor
39
OBJETIVO
N PROCEDIMIENTOS DE Fecha Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE ACTIVIDADES DE CONTROL Responsable Estado
PROC CONTROL Inicio Fin
COBIT
Evaluar si los Revisar informacin de procedimientos para la generacin
nuevos sistemas de de contratos para la compra de software Base (SB),
Adquirir y aplicacin se P028 Procedimiento para la cotizaciones, evaluacin de las cotizaciones, Contratos y
mantener el adquieren o auditoria de los contratos adendas para las compras de SB
AI2 P10 FY/CZ 14-03-13 14-03-13 Ejecutado
software desarrollan de para la compra de software
aplicativo acuerdo a las de base Revisar las cotizaciones y evaluaciones para la compra de
intenciones de la SB
Gerencia Revisar los contratos para la compra de SB
Evaluar si los Revisar detalladamente la metodologa de desarrollo de
nuevos sistemas de software comparndola con la ISO 12207
aplicacin se
Instalar y P031 Procedimiento para la
implantan de
acreditar auditoria de la metodologa
AI7 manera apropiada P11 FY/CZ 14-03-13 14-03-13 Ejecutado
soluciones y de desarrollo de sistemas de Revisar la ejecucin de la metodologa de desarrollo de
y funciona de
cambios informacin sistemas de informacin
acuerdo a las
intenciones de la
empresa.
Evaluar el Revisar informacin de la metodologa de atencin de

adecuado requerimientos de desarrollo (controles de cambios) o
Mantenimiento mantenimiento de sistemas ya sea cuando lo realiza
e implantacin Evaluar si todas personal interno o proveedor, formularios de control de
de los sistemas las modificaciones P047 Procedimiento para la cambios funcionales y tcnicos
de Aplicacin y necesarias a los revisin de los formularios
Base de Datos Administrar sistemas de de control de cambios en
AI6 P12 FY/CZ 15-03-13 15-03-13 Ejecutado
cambios aplicacin proyectos de Compra o Revisar detalladamente la metodologa de atencin de
existentes son Desarrollo de Sistemas de requerimientos de desarrollo o mantenimiento
implantadas Informacin
oportunamente
Revisar detalladamente los formularios de control de
cambios funcionales y cambios tcnicos para la compra de
o desarrollo de sistemas de informacin
Revisar informacin de procedimientos de mantenimiento

de la biblioteca de medios y eliminacin de los medios de
Procedimiento de auditora almacenamiento
P13 para el mantenimiento de la FY/CZ 16-03-13 16-03-13 Ejecutado
Evaluar los biblioteca de medios Revisar detalladamente el Procedimiento del
Administrar
DS11 procedimientos de mantenimiento de la biblioteca de medios de
los datos
respaldo almacenamiento de datos
Procedimiento para la Revisar detalladamente el Procedimiento de eliminacin de
P14 auditoria al procedimiento de los medios de comunicacin, equipos y medios de FY/CZ 16-03-13 16-03-13 Ejecutado
eliminacin de medios almacenamiento de datos
40
OBJETIVO
PROCEDIMIENTOS Fecha Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Estado
DE CONTROL Inicio Fin
COBIT
Evaluar los Revisar informacin del Plan de Seguridad de informacin, actas de
manuales, polticas reunin donde se aprueba el plan, Diagrama de Gantt para la
y procedimiento ejecucin de actividades del Plan de Seguridad
que garanticen la Verificar la asignacin de presupuesto, cronogramas y
P010 Procedimiento
adecuada responsabilidades para la elaboracin del Plan de Seguridad de
para la auditoria del
seguridad de la P15 Informacin FY/CZ 18-03-13 18-03-13 Ejecutado
Plan de Seguridad de la
informacin.
Informacin Verificar la alineacin del Plan de Seguridad de Informacin al PETI
Estructura de
Gobierno de Verificar la implementacin de las actividades indicadas en el Plan
Seguridad de la de Seguridad de Informacin
Informacin.
Revisar informacin de listado de accesos de todos los usuarios
sobre los sistemas de informacin, procedimiento para otorgar
P037 Procedimiento accesos a los sistemas de informacin
Evaluacin del
para la auditoria de la Revisar detalladamente el perfil de accesos de cada personal y
Control de
P16 seguridad de acceso a seleccionar los de mayor riesgos para posteriormente evidenciar el FY/CZ 19-03-13 19-03-13 Ejecutado
Accesos a los
los sistemas de uso adecuado
sistemas
informacin Revisar detalladamente el procedimiento para otorgar accesos al
personal verificando la autorizacin del Jefe de rea y la unidad de
riesgos
Revisar informacin de listado de personas que tienen acceso al
Evaluar el centro de cmputo, capacitacin al personal de seguridad
Garantizar la
estado de la (vigilancia), Procedimiento para brindar acceso al centro de datos a
DS5 seguridad de los
Seguridad de personas ajenas a la organizacin
sistemas
la informacin P054 procedimiento
para la auditoria de la Revisar el acceso por la puerta principal del edificio donde se
P17 seguridad de acceso al encuentra el centro de datos principal FY/CZ 20-03-13 20-03-13 Ejecutado
centro de cmputo Revisar el acceso al piso donde se encuentra el centro de datos
principal principal
Revisar el acceso al centro de datos principal
Evaluacin del Analizar la prdida de valor que se podra originar en caso de ser
Control de violentada la seguridad de acceso al centro de datos principal
Accesos a los Revisar informacin de listado de personas que tienen acceso al
centros de centro de cmputo alterno, capacitacin al personal de seguridad
computo (vigilancia), Procedimiento para brindar acceso al centro de datos
alterno a personas ajenas a la organizacin
P056 Procedimiento
para la auditoria de la Revisar el acceso por la puerta principal del edificio donde se
P18 seguridad de acceso al encuentra el centro de datos alterno FY/CZ 21-03-13 21-03-13 Ejecutado
centro de cmputo Revisar el acceso al piso donde se encuentra el centro de datos
alterno alterno
Revisar el acceso al centro de datos alterno
Analizar la prdida de valor que se podra originar en caso de ser
violentada la seguridad de acceso al centro de datos alterno
41
OBJETIVO
PROCEDIMIENTOS DE Fecha Fecha
OBJETIVOS CODIGO CONTROL COMPONENTE N PROC ACTIVIDADES DE CONTROL Responsable Estado
CONTROL Inicio Fin
COBIT
Revisar informacin del Plan estratgico de la
Organizacin, PETI, Plan de contingencia
Informtica, Diagrama de Gantt del PCI
Verificar la asignacin de presupuesto,
Evaluar el estado P008 Procedimiento para la cronograma y responsabilidades para la
Garantizar la Evaluar el Plan de elaboracin del PCI
de la Gestin de auditoria del Plan de
DS4 continuidad del recuperacin de P19 FY/CZ 22-03-13 22-03-13 Ejecutado
Continuidad de Contingencias de Informtica Revisar detalladamente la funcionalidad y
servicio desastres
Negocio (PCI) claridad del PCI
Revisar el procedimiento de pruebas del PCI
Verificar la asignacin de presupuesto,
cronograma y responsabilidades para la
ejecucin del PCI
42
2.2.3.2 Lista de Documentos a Solicitar
1. Descripcin de la institucin
2. Actividades y Ubicacin donde se desarrolla los servicio de informtica.
3. Diagrama Organizacional de TI
4. Descripcin de funciones del personal de TI
5. Descripcin del Departamento de Gestin de TI
6. Datos para el Contacto del responsable del departamento de la Gestin de TI
7. Descripcin del Departamento de Desarrollo de Software
8. Datos para el Contacto del responsable del departamento de Desarrollo de
Software
9. Descripcin del Departamento de Soporte tcnico
10. Datos para el Contacto del responsable del departamento de Soporte
Tcnico
11. Descripcin del Departamento de Administracin de Base de datos
12. Datos para el Contacto del responsable del departamento de Administracin
de Base de Datos
13. Descripcin del Departamento de Operaciones
14. Datos para el Contacto del responsable del departamento de Operaciones
15. Descripcin del Departamento de Seguridad de Informacin
16. Datos para el Contacto del responsable de Seguridad de Informacin
17. 2. Inventarios
18. Inventario de Software utilizado por GRELL
19. Inventario de Equipos de Cmputo utilizado por GRELL
20. 3. Informacin para ejecucin de procedimientos de Control
21. Informe de Auditora de TI anterior
22. Evidencias (email, informes, Cartas, PrintScreen, Memorando, Oficios, etc.)
de seguimiento a las observaciones de informes de auditoras anteriores
23. Plan estratgico de la organizacin
24. Plan estratgico de TI
25. Plan de cada Proyecto de TI donde se incluya presupuestos, cronogramas y
responsabilidades de ejecucin del mismo
26. Actas de reunin donde se evale la compra de sistemas de informacin
43
27. Cotizaciones de compra de sistemas de informacin
28. Actas de reunin o documento donde se evale las propuestas para la
compra del sistema de informacin
29. Documento de presupuestos para cada proyecto de TI
30. Lista de todos los manuales de usuario
31. Procedimiento de acceso a todos los manuales de usuario
32. Procedimiento para otorgar accesos a los manuales de usuario
33. Manuales de usuario de los sistemas crticos del negocio
34. Documentos donde se describan las Metodologas de Desarrollo de software
utilizadas
35. Procedimiento de Desarrollo de sistemas de informacin
36. Documento donde se describa las Metodologas de soporte tcnico utilizadas
37. Procedimiento de soporte tcnico
38. Metodologas de atencin de requerimientos de soporte tcnico
39. Procedimiento de requerimientos de soporte tcnicos, deber incluir los
SLAs
40. Metodologas de atencin de requerimientos de desarrollo de sistemas de
informacin
41. Procedimiento de requerimientos de desarrollo de sistema de informacin
42. Procedimientos para la generacin de contratos para la compra de software
Base (SB)
43. Cotizaciones para la compra de Software Base
44. Informacin de evaluacin de las cotizaciones de compra de Software Base
45. Contratos y adendas a los contratos para las compras de Software Base
46. Metodologa de desarrollo de software
47. Metodologa de atencin de requerimientos de desarrollo o mantenimiento
de software (control de cambios en los sistemas)
48. Formularios de control de cambios funcionales en los sistemas
49. Formularios de control de cambios tcnicos en los sistemas
50. Procedimientos de mantenimiento de la biblioteca de medios
51. Procedimiento de eliminacin de los medios de almacenamiento
52. Plan de Seguridad de informacin
53. Actas de reunin donde se aprueba el Plan de Seguridad de Informacin
44
54. Diagrama de Gantt para la ejecucin de actividades del Plan de Seguridad
55. Informacin de cumplimiento de actividades indicadas en el Plan de
Seguridad de Informacin
56. Listado de accesos de todos los usuarios sobre los sistemas de informacin
(Matriz de perfiles de usuarios)
57. Procedimiento para otorgar accesos a los sistemas de informacin
58. Listado de personas que tienen acceso al centro de cmputo principal
59. Evidencia de capacitacin sobre control de acceso a las reas restringidas
(Centro de datos principal) dirigidas al personal de seguridad (vigilancia)
60. Procedimiento para brindar acceso al centro de datos principal a personas
ajenas a la organizacin
61. Listado de personas que tienen acceso al centro de cmputo alterno
62. Evidencia de capacitacin sobre control de acceso a las reas restringidas
(Centro de datos alterno) dirigidas al personal de seguridad (vigilancia)
63. Procedimiento para brindar acceso al centro de datos alterno a personas
ajenas a la organizacin
64. Plan de contingencia Informtica
65. Diagrama de Gantt de la elaboracin del Plan de Contingencia Informtica
incluyendo (costos, actividades, cronograma y responsabilidades).
2.2.3.3 Cuestionarios
Ubicacin y Construccin del Centro de Cmputo
1. El edificio donde se encuentra la computadora est situado a salvo de?
Inundacin? ()
Terremoto? ()
Fuego? ()
Sabotaje? ()
2. El centro de cmputo da al exterior?

SI NO
45
3. Describa brevemente la construccin del centro de cmputo; de preferencia
tomando en cuenta el material con que fue construido, as como el equipo
(muebles, sillas, etc.) del centro.
________________________________________________________________
4. Tiene el cuarto de mquinas una instalacin de escaparate y, si es as, pueden
ser rotos los vidrios con facilidad?
SI NO
5. Est el centro de cmputo en un lugar de alto trfico de personas?
SI NO
6. Se tiene materiales o paredes inflamables dentro el centro de cmputo?
SI NO
7. Se tiene paredes que despiden polvo?
SI NO
8. Se tiene paredes que no estn adecuadamente selladas?
SI NO
9. Se tiene grandes ventanales orientados a la entrada o salida del sol?
SI NO
10. Existe lugar suficiente para los equipos?
SI NO
11. Est sobre saturada la instalacin?
SI NO
12. Se tiene lugar previsto? Este es el adecuado para
Almacenamiento de equipos magnticos SI NO
Formatos y papel para impresoras SI NO
Mesas de trabajo y muebles SI NO
rea y mobiliario para mantenimiento SI NO
Equipo de telecomunicaciones SI NO
Consola del operador SI NO
rea de recepcin SI NO
Microcomputadoras SI NO
Fuentes de poder SI NO
Bveda de seguridad (anti incendio, bajo mxima proteccin) SI NO
13. Se tiene piso elevado?
SI NO
En caso afirmativo
14. Est limpia la cmara plena?
SI NO
15. Est fcil la limpieza?
SI NO
46
16. El piso es antiesttico?
SI NO
17. La temperatura en la que trabajan los equipos es la recomendada por el

proveedor?
SI NO
18. Los ductos del aire acondicionado cuentan con alarmas contra intrusos?
SI NO
19. Los ductos de aire acondicionado estn limpios?
SI NO
20. Se controla la humedad de acuerdo con las especificaciones del proveedor?
SI NO
21. De qu forma?
________________________________________________________________
22. Con que periodicidad?
________________________________________________________________
23. Se cuenta con alarmas contra inundaciones?

SI NO
24. Se han adoptado medidas de seguridad en el rea de cmputo?
SI NO
25. Existe personal responsable de la seguridad?
SI NO
26. Existe personal de vigilancia en la institucin?
SI NO
27. Se investiga a los vigilantes cuando son contratados directamente?
SI NO
28. Se controla el trabajo fuera del horario?
SI NO
47
29. Se registra las acciones de los operadores para evitar que realicen alguna que
pueda daar el sistema?
SI NO
30. Se identifica a la persona que ingresa?
SI NO
31. De qu forma?
32. Cmo se contra el acceso?
Vigilante ()
Recepcionista ()
Tarjeta de control de acceso ()
Puerta de combinacin ()
Puerta con cerradura ()
Puerta electrnica ()
Puerta sensorial ()
Registro de entradas ()
Puertas dobles ()
Escolta controlada ()
Alarmas ()
Tarjetas magnticas ()
Control biomtricos ()
Identificacin personal ()
33. Existe vigilancia en el cuarto de mquina las 24 horas?
SI NO
48
34. Se ha instruido a estas personas sobre qu medidas tomar en caso de que
alguien pretenda entrar sin autorizacin?
SI NO
35. Son controladas las visitas y demostraciones en el centro de cmputo?

Cmo son controladas?
36. Se registra el acceso al centro de datos de personas ajenas al rea de cmputo?
SI NO
37. Se tienen establecidos procedimientos de actualizacin para estas copias?
SI NO
38. Identifique el nmero de copias que se tienen, e acuerdo con la forma en que se
clasifica la informacin
________________________________________________________________
39. Existe departamento de auditora interna en la institucin?
SI NO
40. Este departamento de auditora interna conoce todos los aspectos de los
sistemas?
SI NO
41. Qu tipo de controles ha propuesto?
42. Se cumplen?
SI NO
43. Se auditan los sistemas en operacin?
SI NO
44. Con que frecuencia?

Cada seis meses ()
Cada ao ()
Otra (especifique) ()
49
45. Cunto se efectan modificaciones a los programas, a iniciativa de quin?
Usuario ()
Director ()
Jefe de cmputo ()
Otro(especifique) _____________________
46. La solicitud de modificaciones a los programas se hacen en forma?

Oral ()
Escrita ()
(En caso de ser escrita solicite ()

formatos)
47. Una vez adecuadas las modificaciones Se presentan las pruebas a los
interesados?
SI NO
48. Existe control estricto en las modificaciones?
SI NO
49. Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
SI NO
50. Se ha establecido el nivel de usuario de la informacin?
SI NO
51. Se ha establecido un nmero mximo de violaciones en sucesin para que la

computadora cierre el terminal y se d aviso al responsable de ella?
SI NO
52. Se registra cada violacin a los procedimientos con el fin de llevar estadsticas
y frenar las tendencias mayores?
SI NO
53. Existen controles y medidas de seguridad sobre las siguientes operaciones?

Cules son?
Recepcin de documentos ()
50
Informacin confidencial ()
Capacitacin de documentos ()
Cmputo electrnico ()
Programas ()
Discotecas y cintotecas ()
Documentos de salida ()
Activos magnticos ()
51
2.3 Resultados de la Auditoria
2.3.1 RESUMEN EJECUTIVO
El Data Center, se debe considerar aspectos sobre la Continuidad de Negocio,

para lo cual se hace necesario adecuar y sincronizar los Planes de Continuidad
del Negocio de La Gerencia Regional de Educacin La Libertad, con los de El
Ministerio de Educacin, que deben estar enfocados a restablecer los Procesos
Crticos del Negocio. Asimismo, se sugiere incluir dentro de las condiciones
contractuales la programacin de visitas peridicas al Data Center para verificar
el cumplimiento de los controles de seguridad y de respaldo de informacin.
Como parte del proceso de cambio que viene experimentado la institucin

(reestructuracin de la organizacin y el traslado del Data Center), se sugiere
revisar y, de ser el caso, adecuar las Polticas y Procedimientos de Seguridad de
Informacin de tal forma que se ajuste a esta nueva realidad.
Se est contemplando la instalacin de un ambiente de pruebas, con lo cual se

busca minimizar errores de los sistemas en el ambiente de produccin. Para
lograr una mayor efectividad en las pruebas se recomienda que este ambiente de
prueba mantenga caractersticas idnticas al ambiente de produccin (en lo que
respecta al hardware, software y configuraciones). Asimismo, desde el punto de
vista de confidencialidad de la informacin, se sugiere que los datos de pruebas
sean distintos a los que se generan y procesan en el ambiente de produccin.
Se percibe de las respuestas y entrevistas realizadas en el presente ao, que, en

lneas generales, los sistemas han mejorado y continan en este proceso para
satisfacer las necesidades internas y externas de los usuarios.
Es importante precisar que si bien no se cuenta con un Plan Estratgico de

Tecnologas de Informacin (PETI), los servicios informticos, se supervisan y
controlan a travs de reuniones permanentes en el rea de Cmputo. Para revisar
y evaluar los proyectos de tecnologa.
52
De otro lado, se debe mencionar que las llamadas Cadas de los servidores, se
han reducido con respecto al ao 2012; sin embargo, se debe indicar que an
mantiene algunas dificultades.
2.3.2 INTRODUCCIN
El propsito principal de esta Revisin General de Sistemas es identificar

recomendaciones y salvaguardas respectivas que se alineen a los objetivos de La
Gerencia Regional de Educacin La Libertad y que, a su vez, se ajuste a la
normatividad vigente, sobre los servicios de auditora de sistema de informacin
que debe efectuar la institucin.
El contenido del presente informe se basa principalmente en el (i)

Levantamiento de Informacin, (ii) Anlisis de Informacin, (iii) Validacin de
la Informacin y (iv) Emisin de Conclusiones y Recomendaciones con respecto
a los puntos dbiles o crticos detectados durante el estudio.
Durante la etapa de levantamiento de informacin se revis y analiz el

resultado de los cuestionarios resueltos por los Usuarios del rea de Cmputo,
representado por la Jefa de Sistemas; (personal de las rea de Cmputo). La
informacin ha sido analizada de acuerdo a los siguientes frentes:
Seguridad de Informacin
Administracin de las operaciones y comunicaciones
Desarrollo y mantenimiento de sistemas de informacin
Respaldo de Informacin
Plan de Continuidad de Negocio
Auditora Interna
Planificacin
Metodologas
53
La Auditoria de Sistemas se orienta a evaluar los sistemas de control dentro del
ambiente de tecnologa de informacin, con el fin de formular recomendaciones
para mejorar estos mecanismos de control y/o proponer nuevos controles que se
complementen a los actualmente implementados. La implementacin de mejoras
y nuevos controles tiene el propsito minimizar la ocurrencia de errores o
riesgos futuros que pongan en peligro la gestin informtica y, por lo tanto,
genere un impacto desfavorable.
2.3.3 PROPUESTA TCNICA
2.3.4 Antecedentes
Un 22 de setiembre de 1962, se da el Decreto Ley 11209, con el cual se crean las

Direcciones Regionales de Educacin, cuyos fines fueron: Descongestionar el
Ministerio de Educacin Pblica; la Diversificacin del Sistema Educativo;
Resolver la problemtica Educativa en el mismo lugar donde se presentan;
Descentralizar Administrativamente la Administracin de la Educacin Pblica.
La Gerencia Regional de Educacin, es el rgano de lnea del Gobierno

Regional La Libertad, encargado de asegurar la educacin y aplicacin de las
polticas nacionales y regionales de educacin, cultura, deporte, recreacin,
ciencia y tecnologa, basado en valores con inclusin y equidad social, que
aporta iniciativas para mejorar los niveles de aprendizaje de nias y
nios, adolescentes, jvenes y adultos, para elevar la calidad educativa;
contribuyendo al desarrollo integral de los Ciudadanos de la Regin La Libertad
2.3.5 Objetivos
Objetivo General
Realizar un Estudio de Auditora de Sistemas para La Gerencia Regional de

Educacin La Libertad, que permita evaluar la operacin, uso de los sistemas de
informacin, niveles de seguridad, procedimiento de respaldo, seguridad de los
equipos de cmputo, redes y comunicaciones, evaluar el nivel de prestacin de
54
servicios informticos y de tecnologa de informacin, con el fin de brindar las
recomendaciones necesarias que se incorporen en forma integral a los sistemas
de control y gestin de riesgos de tecnologas de informacin de la organizacin
Objetivos Especficos
Evaluar los servicios informticos que brinda soporte a las operaciones de la

Institucin.
Identificar el nivel de riesgo existen sobre los distintos activos informticos

de La Gerencia Regional de Educacin La Libertad, sealando las medidas
correctivas que minimice la ocurrencia del riesgo.
Evaluar los controles de respaldo de informacin y continuidad de negocio

que actualmente mantiene la empresa.
Determinar los niveles de seguridad fsica y lgica, as como el nivel de

exposicin al riesgo en La Gerencia Regional de Educacin La Libertad, en
aspectos de tecnologas de informacin.
Determinar la calidad de los sistemas de informacin de La Gerencia

Regional de Educacin La Libertad en funcin a la operativa, tiempo de
respuesta y uso de recursos informticos (Hardware, Software, Redes y
Comunicaciones).
Identificar las recomendaciones necesarias referidas a la calidad del servicio

prestado respecto a sistemas informticos y a tecnologa de informacin, de
modo que respondan a los requerimientos internos de La Gerencia Regional
de Educacin La Libertad.
Alcance
Realizar un diagnstico y sus respectivas recomendaciones acerca de los

procesos y uso de recursos en el rea de Sistemas, a fin de medir el grado de
eficiencia, efectividad y rendimiento de los sistemas de La Gerencia Regional
55
de Educacin La Libertad, acorde con los estndares ISO 27001 y de mejores
prcticas COBIT.
Efectuar una revisin general de la calidad de los sistemas de informacin de

la Institucin en funcin a los siguientes aspectos:
Disposicin de todas las facilidades utilitarias de reorganizacin de
archivos y copias de respaldo.
Disposicin de procedimientos de respaldo ante cadas del sistema.
ptima operativa del sistema de informacin.
Razonabilidad del consumo de los recursos informticos y su nivel de
planificacin.
Mecanismos de seguridad, acceso y control de las operaciones.
Realizar una revisin General de las caractersticas del esquema,

funcionalidad, soporte y servicios de los sistemas de informacin actuales de
la Institucin y el uso de herramientas de tecnologa de informacin:
Efectuar una evaluacin general de la metodologa de desarrollo de

sistemas y de gestin de proyecto para los nuevos sistemas y la debida
aplicacin de los controles.
Efectuar una evaluacin general de los planes existentes en la
Organizacin (Plan Estratgico, Plan de Sistemas, Plan de Seguridad,
Plan de Continuidad de Negocio, Plan de Capacitacin, Plan de
Adquisiciones), y su nivel de alineamiento a los objetivos estratgicos
de la Institucin.
Realizar una evaluacin del avance de las implementaciones de las
recomendaciones de la ltima Auditoria de Sistemas realizada.
2.3.5.1 Programa de Trabajo
El enfoque se ha empleado en la presente Auditora de Sistemas se basa en la

ejecucin del siguiente programa:
56
Etapa de Planificacin
Elaborar cuestionarios dirigido a usuarios y al encargado del rea de

Sistemas de acuerdo a los objetivos y alcance de la Auditora de Sistemas.
Coordinar la distribucin de cuestionarios dirigidos al personal del rea de
Cmputo.
Recibir documentacin solicitada de acuerdo a los resultados analizados en

los cuestionarios.
Identificar temas crticos segn informacin preliminar proporcionada por la

Institucin.
Preparar documentacin para entrevistas al rea de Cmputo y reas

usuarias.
Etapa de Trabajo de Campo
Revisar y analizar documentacin entregada.
Revisar y analizar cuestionarios recibidos.
Efectuar entrevista al rea de Cmputo con relacin a los temas crticos de

acuerdo al objetivo y alcance de la Auditoria de Sistemas.
Efectuar entrevistas a las reas usuarias con relacin a lo temas crticos de

acuerdo al objetivo y alcance de la Auditoria de Sistemas y de acuerdo al
resultado de la entrevista con el rea de Cmputo.
Visitas al ambiente de cmputo y ubicacin de equipos de comunicaciones.
Revisin y evaluacin de los Sistemas Informticos.
Etapa de anlisis y estructuracin de la informacin.
Luego de analizar y revisar la informacin se proceder a ordenar las debilidades

identificadas en la auditoria de sistemas y desarrollar las sugerencias de mejoras.
57
Etapa de la Elaboracin del Informe
El informe de auditora de sistemas se desarrollar a partir del anlisis de

resultado de cuestionarios, revisin de informes, entrevista con el responsable
rea de Cmputo, entrevistas con las reas usuarias, inspeccin del ambiente de
cmputo y comunicaciones, anlisis de informacin y la identificacin de
sugerencias y recomendaciones.
2.3.5.2 Tcnicas Utilizadas
En la evaluacin efectuada se han empleado los siguientes procedimientos y

tcnicas generales:
La Jefa de Cmputo, determin quienes seran entrevistados (usuarios claves)

para identificar el contexto del negocio (operaciones y servicios) y cmo ste
es soportado por los sistemas de informacin; estas entrevistas permitieron
tambin identificar la percepcin de los usuarios entrevistados en relacin al
servicio que brinda el rea de Cmputo y la calidad de los sistemas
informticos.
Cruce de Informacin. Mediante cruce de informacin documental, las

entrevistas y cuestionarios se pudo confirmar hechos que evidenciaban una
determinada debilidad.
2.3.6 EVALUACIN GENERAL
2.3.6.1 Aspectos del Plan de Seguridad de Informacin
En esta etapa se realiz la verificacin del Plan de Seguridad de la informacin

PSI, el cual debe hacer referencia a los activos tecnolgicos que deben ser
protegidos de posibles riesgos, as como las estrategias de mitigar dichos
riesgos. La verificacin del PSI busca determinar el grado de desarrollo en
cuanto a la adecuada combinacin de polticas, procedimientos, estructura
organizacional y herramientas informticas especializadas a efectos que la
58
informacin cumpla los criterios de confidencialidad, integridad y
disponibilidad; en tal sentido se ha evaluado el PSI en funcin de:
Definicin de una poltica de seguridad.
Evaluacin de riesgos de seguridad a los que est expuesta los activos de

informacin.
Seleccin de controles y objetivos de control para reducir, eliminar o

evitar los riesgos identificados, indicando las razones de su inclusin o
exclusin.
Plan de implementacin de los controles y procedimientos de revisin

peridicos.
Mantenimiento de registros adecuados que permitan verificar el

cumplimiento de las normas, estndares, polticas, procedimientos y otros
definidos por la institucin, as como mantener pistas adecuadas de
auditora.
Para la verificacin y evaluacin del PSI se tom como referencia dos

documentos entregados por el rea de Cmputo: (i) Manual de Seguridad
de Informacin y (ii) Polticas y Procedimientos. Asimismo, se sostuvo una
reunin con personal del rea de cmputo fin de discutir sobre los aspectos
mencionados.
2.3.6.2 Aspectos de la Seguridad de Informacin
En esta etapa se realiz la verificacin de los niveles de seguridad:
Seguridad Lgica: Existencia de polticas para el control de acceso a los

sistemas de informacin, redes y sistemas operativos
Seguridad del personal: Existencia de procedimientos que permitan

reducir los riesgos asociados al error humano, robo, fraude o mal uso de
activos entre otros vinculados al riesgo de tecnologa de informacin.
59
Seguridad fsica y ambiental: Existencia de controles fsicos al acceso,
dao o interceptacin de informacin, esto incluir la revisin de
instalaciones fsicas, reas de trabajo, equipamiento, cableado, entre otros
bienes fsicos susceptibles a riesgos de seguridad.
Clasificacin de la seguridad: Existencia de inventarios peridicos de

activos asociados a la tecnologa de informacin que tenga por objetivo
proveer la base para una posterior clasificacin de seguridad de dichos
activos
Para la verificacin y evaluacin de los aspectos de la Seguridad de

Informacin se tom como referencia los documentados entregados por
el rea de Cmputo: Roles y Responsabilidades del Personal y Manual
de Seguridad de Informacin. Asimismo, se sostuvieron entrevistas y
encuestas con personal usuario clave y una reunin con personal de
sistemas a fin de discutir sobre los aspectos mencionados.
En la presente auditoria no se ha identificado ninguna observacin

relevante referida a este aspecto. Sin embargo, se debe precisar que ms
adelante se abordar temas relacionados a este aspecto de la pasada
Auditora realizada.
2.3.6.3 Aspectos de la Administracin de Operaciones y Comunicaciones
En esta etapa se realiz la verificacin de las medidas de administracin de las

operaciones y comunicaciones que entre otros aspectos contiene lo siguiente:
Control sobre los cambios en el ambiente operativo, que incluye cambios en

los sistemas de informacin, las instalaciones de procesamiento y los
procedimientos
Control sobre los cambios del ambiente de desarrollo al de produccin.
Separacin de funciones para reducir el riesgo de error o fraude.
Separacin del ambiente de produccin y el de desarrollo.
60
Controles preventivos y de deteccin sobre el uso de software de procedencia
dudosa, virus y otros similares.
Seguridad sobre las redes, medios de almacenamiento y documentacin de

sistemas.
Seguridad sobre correo electrnico.
Para la verificacin y evaluacin de la Administracin de Operaciones y

Comunicaciones se tom como referencia los documentos entregados por el
rea de Cmputo: Roles y Responsabilidades del Personal y Polticas y
Procedimientos. Asimismo, se realizaron pruebas con algunos mdulos del
sistema con el propsito de realizar una evaluacin general sobre el nivel de
respuesta del mismo, se sostuvieron entrevistas y encuestas con personal usuario
clave, reunin con personal de sistemas a fin de discutir sobre los aspectos
mencionados.
De acuerdo a la informacin proporcionada, los cambios realizados en las

instalaciones del Data Center, impact sobre servicio informtico durante dos
das en el cual se tuvieron que realizar las actividades de manera manual. Esto
no fue significativo en las operaciones de la institucin.
2.3.6.4 Aspectos del Desarrollo y Mantenimiento de Sistemas de Informacin
En esta etapa se realiz la verificacin de las medidas de desarrollo y

mantenimiento de sistemas de informacin que entre otros aspectos contiene lo
siguiente:
Incluir en el anlisis de requerimientos para nuevos sistemas o mejoras a los

sistemas actuales, controles el ingreso, el procesamiento y la informacin de
salida.
Aplicar tcnicas de encriptacin sobre la informacin crtica que debe ser

protegida.
61
Definir controles sobre la implementacin de aplicaciones antes del ingreso a
produccin.
Controlar el acceso a las libreras de programas fuente.
Mantener un estricto y formal control de cambios, que ser debidamente

apoyado por sistemas informticos en el caso de ambientes complejos o con
alto nmero de cambios.
62
SITUACIN ACTUAL RIESGO ASOCIADO RECOMENDACIONES
Actualmente no se cuenta con una ambiente de La rplica de la Base de Datos de Produccin al Se recomienda que el Ambiente de Pruebas sea
pruebas en el cual se pueda realizar las pruebas de ambiente de Pruebas permitir, de alguna forma, de caractersticas idnticas al ambiente de
esfuerzo (stress) e identificar problemas de mejorar la realizacin la efectividad de las produccin (hardware, software y
performance de estos sistemas que ayuden a pruebas (por ejemplo, pruebas de esfuerzo). Sin configuraciones), para garantizar que el
mejorar los tiempos de respuesta. embargo, el acceso de esta Base de Datos con proceso de pruebas sea ms efectivo.
informacin de produccin en el ambiente de
Actualmente, esta prueba se viene desarrollando Se recomienda aplicar mecanismos de
pruebas, puede generar problemas de
en el ambiente de desarrollo. transformacin de datos para evitar que en
confidencialidad de informacin.
ambiente de prueba se utilicen datos que se
trabaja en produccin y, de esa forma, proteger
la confidencialidad de la informacin.
No se cuenta con un Sistema de Gestin de la Existe la probabilidad que existan errores en los
Establecer y mantener un Sistema de Gestin
Calidad, para asegurar la buena performance de los sistemas de informacin en el ambiente de
de la Calidad que considere los siguientes
sistemas de informacin en Produccin. produccin debido a una limitada aplicacin de
aspectos:
controles de calidad.
Responsables de control calidad (evaluar si
es necesario implementar un comit como
parte de la organizacin de la gestin de
63
calidad).
Definicin de criterios de calidad.
Definicin de procesos claves de TI su
secuencia e interaccin con otros procesos.
Polticas, criterios y mtodos para descubrir
actividades erradas.
Procedimientos para supervisar y medir la
eficacia y aceptacin del QA y aplicar
proceso de mejoramiento continuo
La implantacin de un Sistema de Control de

Calidad tiene el propsito de minimizar los
errores (o cadas) de los sistemas de
informacin, as como tambin poder detectar
los problemas de performance antes que stos
ingresen a Produccin.
64
2.3.6.5 Aspectos de los Procedimientos de Respaldo
En esta etapa se realiz la verificacin de los procedimientos de respaldo

regulares peridicamente validados. Estos deben incluir las medidas necesarias
para asegurar la recuperacin en caso de falla en los medios o luego de un
evento mayor. Estas medidas deben ser coherentes con la estrategia de
continuidad de negocios de la institucin y deben evitar que la informacin de
respaldo y los procedimientos de restauracin estn expuestos ante posibles
eventos que comprometan la operacin del centro principal de procesamiento.
Para la verificacin y evaluacin del Desarrollo y Mantenimiento de Sistemas de

Informacin se tom como referencia el documento entregado por el rea de
Cmputo: Polticas y Procedimientos.
2.3.6.6 Aspectos del Plan de Continuidad de Negocio
En este punto se verifica que la institucin cuente con el "Plan de Continuidad

de Negocios" (PCN), el cual debe ser peridicamente validado, garantizando de
esta manera un nivel aceptable de operatividad de los procesos crticos, ante
fallas mayores internas o externas.
65
Los Servidores estn ubicados en las Instalaciones del Existe la probabilidad que, por Se recomienda:
segundo piso de la Institucin. desconocimiento del personal y por falta
El Plan de Continuidad de Negocio de La
de pruebas al plan, no se desarrollen
De acuerdo a informacin proporcionada en las Gerencia Regional de Educacin La Libertad
todas las actividades de recuperacin de
entrevistas, El ministerio de educacin tiene un Plan de debe estar sincronizado con el Plan del
operaciones de manera adecuada durante
Continuidad de Negocio para su Data Center. Ministerio de Educacin
un evento de emergencia.
Planificar y ejecutar pruebas del Plan de

Continuidad de Negocio, donde se pruebe la
sincronizacin y consistencia con el Plan de la
GRELL.
66
2.3.6.7 Aspectos de la Auditora Interna
En esta etapa se verific que la institucin cuente con un servicio permanente de

auditora de sistemas, que colabor con el rea de auditora interna en la
verificacin del cumplimiento de los criterios de control interno para las
tecnologas de informacin, dentro del marco del plan de auditora anual
En la presente auditoria no se ha identificado ninguna observacin relevante

referida a este aspecto.
2.3.6.8 Aspectos Metodolgicos
Segn las mejores prcticas de Tecnologas de Informacin expuestas en COBIT

en su procedimiento P010 la institucin deben seguir procedimientos que
aseguren una correcta Administracin de Proyectos. En tal sentido, en esta etapa
se verific que la institucin cuente con metodologas de gestin de proyectos y
con formatos de documentacin estndar.
Actualmente el desarrollo de Sistemas se realiza mediante una Metodologa

propia. En la presente auditoria no se identific ninguna observacin relevante
con relacin al aspecto de metodologas.
2.3.6.9 Aspectos de Planificacin
En esta etapa se verific que la institucin cuente con planes operativos, planes
estratgicos, entre otros, que le marquen el camino a seguir con respecto a las
tecnologas de informacin dentro un periodo. Para este propsito se us como
referencia el procedimiento P01 Definir Plan Estratgico TI expuesto en la
versin 4.1 de COBIT.
Para la verificacin y evaluacin de los Aspectos de Planificacin se tom como

referencia la reunin sostenida con el Jefe de Desarrollo de Proyectos y
posteriormente con el Jefe de Produccin, que fue designado por el Gerente
Regional de Educacin La Libertad, en su reemplazo.
67
A la fecha an no cuenta con un Plan Estratgico de Tecnologa de Informacin
que marque la tendencia tecnolgica de mediano y largo plazo de acuerdo al
Plan Estratgico de La Gerencia Regional de Educacin La Libertad (estrategias
de hardware, software, comunicaciones y personal). sta fue una observacin
de la Auditora 2009. Ms adelante, en el punto 3.5 Estado al 2013, se revisa
el estado de esta observacin.
68
2.3.7 REVISIN DEL AVANCE DE IMPLEMENTACIN DE RECOMENDACIONES DE LA AUDITORIA ANTERIOR
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACION
SITUACIN ACTUAL RIESGO ASOCIADO RECOMENDACIONES 2009 ESTADO AL 2013
De acuerdo al documento Si bien se definen los proyectos de TI que Formalizar el Plan Estratgico Se est reestructurando la
denominado Manual de Seguridad debern ser desarrollados como mnimo a de Tecnologas de Informacin organizacin a fin de fortalecer el
de Informacin elaborado por lo largo del ao y estos son identificados (PETI) y, en base a la cumplimiento de todos los objetivos
sistemas GRELL; el cual es de con las reas de negocio; no se cuenta con orientacin tecnolgica del de la Institucin, lo cual permitir
aplicacin del personal de GRELL y un Plan Estratgico de Tecnologa de negocio, desarrollar el Plan de facilitar el desarrollo apropiado de
del personal de las instituciones Informacin formalmente desarrollado. Seguridad de Informacin que los planes y Sistemas de
asociadas; se tiene por objetivo crear En tal sentido existe el riesgo que los se alinee a ste. Tal como Informacin. En este contexto se
un conjunto de reglas bsicas que documentos en donde se ampla el Plan establecen las buenas prcticas proyecta formalizar el Plan
rijan el comportamiento del personal de Seguridad de Informacin no est de Control Interno de Estratgico de Tecnologas de
en el uso de informacin para el correctamente alineado con los objetivos Tecnologas de Informacin Informacin (PETI) y otros planes,
desarrollo de sus tareas. estratgicos del negocio persigue; sea por (Ver Cobit 4.1 Procedimiento tal como el Plan de Seguridad de
falta de actualizacin o por falta de P01 Definir el Plan Estratgico Informacin. Se estima que en el
Asimismo, en el documento 1.12
identificacin formal de nuevos activos de TI Control Objectives for Primer Trimestre 2013, ya se cuente
Polticas y Procedimientos se han
de tecnologa de informacin que Information and related con algunos resultados.
definido, como parte del captulo
soportan las estrategias del negocio. Technology), el desarrollo del
69

Administracin de Seguridad de PETI es importante, puesto que
Informacin, Objetivos de Control y facilita la orientacin de TI del
Acciones referidos a los siguientes negocio y permite establecer los
factores: Exposiciones y Controles estndares tcnicos de mediano
de Acceso Lgico, Seguridad de y largo plazo.
Infraestructura de Red,
Beneficios:
Exposiciones y Controles
Ambientales, Exposiciones y 1. Actualizacin permanente de
Controles de Acceso Fsico. los controles de Seguridad de
Informacin.
Ambos documentos tienen una
orientacin de control y de 2. Aseguramiento en la
salvaguarda de la informacin que razonabilidad al implementar
GRELL administra; sin embargo, se controles de Seguridad de
observa que se puede reforzar la Informacin alineados al
gestin de la seguridad de negocio especficos de
informacin si ste respondiera a un GRELL
70

Plan Estratgico de TI orientado al
3. Involucramiento de las reas
negocio y de actualizacin
de negocio en la Seguridad de
peridica.
Informacin desde la
definicin de los objetivos
estratgicos de TI e
identificacin de activos de
informacin.
4. Respuesta inmediata a
requerimientos para revisar el
cumplimiento de
normatividad vigente.
71
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACIN
El Manual de Seguridad de Informacin hace Realizar un inventario de activos El rea de cmputo, est en proceso
referencia a Activos de Informacin: asociados a la Tecnologa de de completar el inventario de activos
Informacin, Equipos que la soportan y Informacin, realizar un anlisis de y debe culminar esta actividad antes
personas que la utilizan; sin embargo falta los riesgos a los cuales cada uno de que finalice el presente ao. Se
identificar de manera detallada los activos stos se encuentra expuesto, obtendr, a travs de este proceso, un
especficos que requieren ser protegidos asignar una clasificacin de los inventario que permita la precisin en
segn el grado de exposicin al riesgo en el mismos en funcin de la la gestin de cambios y facilita la
que se encuentran. exposicin de los riesgos, con lo gestin de riesgos
cual se identifiquen objetivos de
control para los Activos crticos.
Beneficios:
1. Focalizacin de esfuerzos hacia

la proteccin de activos crticos
2. Facilita la sealizacin,
72
ASPECTOS DEL PLAN DE SEGURIDAD DE INFORMACIN

tratamiento y proteccin de los
activos de informacin.
3. Facilita el anlisis de causas

ante incidentes que afecten la
confidencialidad, integridad y
disponibilidad de los recursos
TI.
73
ASAPECTOS DE LA SEGURIDAD DE LA INFORMACIN
El procedimiento de Control de Se hace necesario la Revisin Revisar y actualizar el Se recomienda revisar el nuevo servicio
Ingreso al Centro de Cmputo no permanente y la Actualizacin procedimiento de Control de ofrecido por MINISTERIO del Per, en
existe. Es por ello que en la actualidad del procedimiento de acceso Ingreso al Centro de Cmputo y el Data Center, que debe considerar
en GRELL, no se cuenta con un para garantizar la Seguridad del realizar un seguimiento aspectos de Control de Ingreso,
Sistema de Acceso al Centro de Equipamiento y el Control de peridico que facilite la administracin de los recursos y
Cmputo. acceso peridico para verificar el actualizacin del procedimiento adicionalmente se recomienda realizar
cumplimiento de los mismos. en funcin del historial de un cronograma de Visitas al Centro de
eventos que se hayan producido datos, para comprobar la realizacin de
entre el periodo comprendido pruebas para garantizar la Seguridad de
entre una revisin y otra. los Servidores y de manera especial la
Informacin que se encuentra
Beneficios:
distribuida en la Base de Datos.
1. Alineamiento de las
actividades de control en
funcin a hechos o eventos
concretos. Actualizacin en
74

funcin a la realidad del
ambiente.
2. Formalizacin /
Estandarizacin.
Al igual que es necesario mantener un Al no tener un inventario de Realizar un inventario de activos Se reitera la recomendacin que es muy
inventario de Activos de Informacin activos de TI la administracin de TI o de Elementos de necesario el inventario de activos de TI
por las razones antes expuestas; es de la hoja de vida sobre los Configuracin (CI: y los elementos que lo conforman, para
necesario tambin mantener un activos de TI se vuelve ms Configuration Item) por mantener informacin sobre las
inventario de activos de TI en donde complicada, tanto para su jerarquas o grados de caractersticas y propiedades de cada
se especifique el detalle de hardware, identificacin como para el profundidad en donde se tenga tem, para conocer su emplazamiento,
software, aplicaciones y licencias. De control y seguimiento. A travs informacin sobre sus atributos pertenencia, nmero de serie y la
la revisin de la documentacin de esta hoja de vida, se podr (fsicos, pertenencia, ubicacin, clasificacin de Seguridad que es
alcanzada se ha identificado que se asociar los activos con los etc.) y la relacin entre los necesario, por lo expuesto en Seguridad.
tiene un inventario de aplicaciones y incidentes reportados sobre stos mismos.
75

licencias al 19/11/2008 en donde se y, de esta manera, poder realizar
Beneficios: Los beneficios son los mismos
especifica software de ofimtica anlisis de problemas sobre una
expuestos en nuestras recomendaciones
principalmente (Office XP
Small base estadsticas de incidentes 1. Permite asociar incidentes
del ao 2009.
Business, Office 2003, Visio y ms recurrentes sobre un grupo sobre un activo especfico,
Project); sin embargo este inventario particular de activos. con lo cual se puede extraer
no refleja atributos adicionales tales informacin sobre activos
como relacin entre los mismos, afectados y tendencias.
ubicacin, etc.; guardando detalles
actuales e histricos sobre los estados 2. Mejora la precisin en la
durante el ciclo de vida. gestin de cambios y facilita

la gestin de riesgos
3. Las relaciones entre Activos

de Informacin son tiles para
diagnosticar errores y predecir
la disponibilidad de los
servicios; (i) Fsicas: Forma
76

parte de, est conectado a, es
necesario para, y (ii) Lgica:
Es copia de, se relaciona con,
es usado por.
4. Mejora el control del

hardware y el software.
77
ASPECTOS DE LA ADMINISTRACIN DE OPERACIONES Y COMUNICACIONES
A pesar que existe un formato para la Un formato de solicitud de Realizar mejoras a los Las solicitudes debidamente
solicitud de requerimientos de sistemas requerimientos debe permitir al procedimientos de establecidas mediante un formato
para nuevas funcionalidades y/o proyectos, usuario canalizar sus necesidades Requerimiento de Sistemas en establecido, son revisadas por el
segn las encuestas aplicadas a los al rea de sistemas y debe ser el donde se considere una Comit de Sistemas, Comit de
usuarios claves, ste no se aplica de primer input de informacin con clasificacin por prioridad Negocios y el Comit SIAF, a
acuerdo a lo especificado. lo cual el rea de sistemas pueda (cambios de emergencia, travs de los cuales se priorizan, se
interpretar la necesidad. cambios urgentes, cambios de clasifican y se atienden de acuerdo
No se ha logrado an estandarizar la
prioridad normal, cambios de a su grado de urgencia. Todos los
canalizacin de requerimientos; los Sin embargo, el formato debe ser
baja prioridad) e impacto requerimientos solicitados
usuarios no tienen una forma estndar de un primer input de informacin
(impacto menor, impacto mediante el formato son atendidos,
solicitar sus requerimientos; las solicitudes del requerimiento; informacin
sustancial, impacto mayor). El de acuerdo a su prioridad
se hacen a travs del formato, a travs de que debe ser complementada en
formato de requerimientos debe
correo electrnico o por telfono. las etapas sucesivas con Considerar la implementacin o
estar alineados a los
informacin adicional que le d al desarrollo de una herramienta que
Asimismo, a travs de las entrevistas con procedimientos y permitir al
usuario y al equipo de sistemas permita el soporte de la
los usuarios, se percibe un distanciamiento usuario y al personal de
informacin sobre el avance de la administracin de requerimientos.
entre el rea de TI y sus clientes (usuarios). sistemas registrar la
78

solicitud, estados, fechas, informacin relevante de la
responsables, etc. De esta manera, solicitud y la que se requiere
el usuario se siente identificado controlar en las etapas de
con el servicio y el rea de planificacin, coordinacin e
sistema mantiene control sobre la implementacin del cambio.
evolucin de los requerimientos.
Disear una fuente de
informacin en donde se
registre la informacin de los
requerimientos que faciliten el
seguimiento y la evaluacin y
que a su vez permita informar
al usuario de manera gil el
estado de su solicitud,
mejorando la comunicacin en
ambos sentidos.
79
Beneficios:
1. Evolucin favorable de los

sistemas al estar el usuario
conectado e identificado con
sus requerimientos.
2. Revisar los procedimientos

de comunicacin con el
usuario (el de solicitud de
requerimientos en uno de
ellos) es un claro mensaje de
la orientacin del proveedor
del servicio con su cliente.
3. Mejora la informacin
administrativa sobre los
80

cambios, mejora el
diagnstico.
4. Mejora la flexibilidad de
adaptacin ante cambios de
mayor impacto y de mayor
prioridad; mediante un
procedimiento conocido y
aceptado por el usuario.
5. Una fuente de informacin

facilita el control mediante
indicadores de rendimiento
del proceso.
Actualmente se cuenta con 1 ambiente Al no tener centralizada la funcin Asignar un responsable para A la fecha, no se cuenta con un
uno de produccin en donde se de administracin de fuentes para administrar las fuentes en el control centralizado de los
encuentran los objetos organizados a realizar el checkout y check in de ambiente de desarrollo, que sea programas fuente, lo cual puede
81

travs de una librera independiente para los objetos en el Visual quin libere los objetos conducir a errores significativos
GRELL y un ambiente de desarrollo y SourceSafe, existe un riesgo que mediante solicitudes aprobadas por el limitado control de versiones
pruebas. se pierda el control de los cambios sustentadas por un anlisis (por ejemplo: uso de versiones
realizados en las fuentes de los previo de tipo tcnico. incorrectas o desactualizadas,
El ambiente de produccin es controlado
programas y que los cambios no modificacin simultnea del
y administrado por EL Jefa del rea de Complementar el
sean correctamente liberados al mismo programa fuente por dos
Computo. Los programas fuentes son Procedimiento de Pase a
ambiente de produccin. personas, entre otros casos).
administradas a travs del Visual Produccin con lo cual se
Asimismo, la toma de un objeto Actualmente cada Jefe de Proyecto
SourceSave; sin embargo, no existe una reflejen los responsables del
para que sea modificado debe de Sistemas es responsable por el
funcin centralizada para realizar el pase (coordinacin, ejecucin,
necesariamente estar autorizada en control de los programas fuente. El
checkout y check in de los programas aseguramiento y control);
funcin del cambio aprobado por ambiente de prueba est en proceso
fuentes, por tanto estos programas considerando una segregacin
el usuario y un anlisis previo de de implementacin. Se sugiere
fuentes pueden ser tomadas por de funciones entre el personal
los objetos que se requieren para evaluar, adicionalmente, la
cualquiera de los programadores del de desarrollo y el personal de
aplicar el cambio solicitado. Es implementacin de un ambiente de
equipo asignado. produccin.
necesario llevar un registro de las control de calidad.
Si bien el ambiente de produccin es ltimas versiones de los objetos Evaluar la implementacin de
82

administrado por el Jefe de Computo, la con lo cual, en el momento de un ambiente de pruebas que
actualizacin de objetos para realizar los liberar a produccin se asegure las simule el ambiente de
pases a produccin es realizada tanto por liberaciones de las ltimas produccin en donde se puedan
el Jefe de Negocios TI como por una de versiones de aquellos objetos realizar las pruebas en un
los Analistas modificados producto de ambiente ms estable que el
requerimientos aprobado. actual.
Es necesario que las liberaciones Beneficios:

de objetos al ambiente de
1. Mejora las pruebas de los
produccin sea ejecutado por
programas ante de la puesta
quien administra este ambiente,
en produccin y reduce el
debidamente coordinado con los
riesgo de inestabilidad en los
responsables de desarrollo; con lo
sistemas.
cual se tenga una separacin de
ambientes (de desarrollo
y 2. Mejor control en la
produccin) de manera fsica, administracin y asignacin
lgica y funcional. de programas fuentes en la
83

gestin de cambios.
Carecer de un ambiente de
pruebas, implica que las pruebas 3. Evita que el personal sea
deben ser realizadas o en el juez y parte ante la puesta en
ambiente de desarrollo (como produccin de programas y
actualmente se realiza) o en el fortalece el control de los
ambiente de produccin. Esta ambientes.
situacin implica un riesgo al
4. Formalizacin /
realizar el pase a produccin
Estandarizacin.
puesto que las pruebas en un
ambiente de desarrollo implica
realizar pruebas en un ambiente
inestable; entendiendo como tal
a un ambiente que est siendo
manipulado en alguno de sus
objetos y no se puede simular con
precisin la casustica de la
84

funcionalidad modificada o de la
nueva funcionalidad simulando
situaciones reales. Esto conlleva
en ocasiones activar
procedimientos para revesar el
cambio (back out) con lo cual se
genera inestabilidad en el
ambiente de produccin lo cual
puede afectar a varios usuarios.
De la revisin del Contrato de Locacin de No contar con un catlogo de Revisar el Contrato de A la fecha no se cuenta con un
Servicios celebrado en el mes de diciembre servicios detallado en el que se Servicios Informticos y catlogo de los acuerdos de niveles
de 2008; se puede observar que no se especifique como mnimo las detallar mediante un catlogo de servicios, ni se cuenta con una
detalla con precisin el alcance del servicio necesidades del cliente por los de servicios los acuerdos de persona para realizar la evaluacin
de TI ofrecido. servicios contratados, acuerdos de niveles de servicio que del cumplimiento de estos niveles
niveles de servicio, tiempos de permitan evaluar el servicio de servicio.
Especficamente el Contrato de Locacin
respuesta y esquema de monitoreo provedo.
85

de Servicios indica en su segunda clusula: y evaluacin del servicio dificulta
Asimismo, se sugiere asignar
Por el presente contrato, La Locadora se controlar el servicio de TI que se
un responsable que evale el
obliga a prestar entre otros, los servicios recibe; con lo cual se pueda
servicio de TI, que emita
de Cobranzas, Compras, Seguridad, identificar ajustes en el servicio
reportes de desempeo en
Suministros, Contabilidad, Recursos necesarios para mejorar
funcin de mtricas objetivas a
Humanos, Fotocopiado, Mensajera, permanentemente el servicio
la Alta Direccin de GRELL.
Central Telefnica y Sistemas en el Uso, recibido.
Desarrollo y Mantenimiento de En concreto el SLA:
Aplicaciones, Uso del Servidor, Sistemas - Es un acuerdo escrito entre
de la institucin Operaciones por Internet, la organizacin TI y el
Centrales y Gestin de Proyectos cliente
Informticos, as como cualquier otro - Describe los detalles en
servicio que resulte necesario para La trminos cuantitativos
Comitente. (mtrica) de los servicios a
ser proporcionados
Como se observa en la segunda clusula
- Describe los servicios en
del contrato no se especifica de manera
86

detallada los servicios de TI ofrecidos, los trminos no tcnicos
acuerdos de niveles de servicio
Beneficios:
establecidos, tiempos de respuesta,
esquema de monitoreo y seguimiento a los 1. Mantener y mejorar la
servicios, entregables, etc. calidad del servicio TI, a
travs de un ciclo constante,
que involucra: abordar,
monitorear, generar reportes
y revisar mejoras del servicio
TI.
Tal como se menciona en el Plan Cadas constantes en los Las cadas del SERVIDORES El Sistemas de la institucin, est
Estratgico de enero de 2009, uno de los SERVIDORES implica cerrar un ms que incidentes se deben de en continuo mejoramiento. Se han
objetivos estratgicos del negocio es canal de atencin que tiene un considerar como un problema revisado las causas que producan
intensificar el uso del SIAF, lo cual impacto directo en el cliente; un (entindase como problema a los problemas identificados en la
permite reducir considerablemente los impacto tanto en la operatividad una condicin identificada Auditoria 2009. La solucin
tiempos de ciclo para las operaciones tanto del negocio como en la como resultado de mltiples adoptada le ha permitido al
87

de ingresos y liberaciones. percepcin de la efectividad del incidentes que exhiben Usuario Final, (Cliente), mejorar la
SERVIDORES para sostener una sntomas comunes segn como disponibilidad, acceso y
El SIAF, desde su lanzamiento ha
estrategia institucional que lo denomina ITIL). En tal explotacin de la informacin.
evolucionado favorablemente desde el
requiere de la aceptacin de sentido, se sugiere realizar un
punto de vista funcional, sin embargo falla
agentes externos a GRELL. anlisis de causas (puede haber
desde el punto de vista de disponibilidad.
ms de una) detallado de las
El usuario principal responsable del Si bien el SERVIDORES ha
cadas que se presentan en el
desarrollo SIAF ha registrado 13 demostrado que logra reducir
sistemas de la institucin y
incidentes en el periodo comprendido del considerablemente los tiempos de
atacar el problema desde la raz
15 de junio al 7 de julio (17 das tiles) que ciclo, no tener controlado la
del problema para brindar una
impide al usuario realizar operaciones (no disponibilidad del servicio pone
solucin estructural.
se tiene registro sobre incidentes en riesgo la sostenibilidad de la
anteriores). solucin, le resta competitividad Se sugiere tambin, tratar de
contra la solucin alternativa de la identificar y documentar
competencia , pone en riesgo la workarounds para errores
implementacin de una estrategia conocidos que faciliten el
institucional que responde a una restablecimiento del servicio en
88

tendencia del mercado. el menor costo posible. La
documentacin en este caso es
importante, debido a que se
trata de un servicio crtico que
debe poder ser levantado en un
corto tiempo independiente de
las personas disponibles en el
momento que se produce la
cada.
Beneficios:
1. Definir y documentar
workarounds reducen el
tiempo en el que se levanta
el servicio por errores
conocidos.
89
2. Atacar las diferentes causas

reducen considerablemente a
la ocurrencia de un nmero
elevado de incidentes y el
impacto es percibido
inmediatamente por el
cliente (usuario).
90
ASPECTOS DE LOS PROCEDIMIENTOS DE RESPALDO
Adems de tener los

GRELL sistemas tiene implementando un Es importante realizar chequeos Se recomienda revisar servicios
procedimiento de backup de informacin, el procedimientos sobre los procedimientos de ofrecido por el Ministerio, en el
documentados, es importante
cual se realiza con las frecuencia y alcance respaldo con determinada Data Center, que debe considerar
que los procedimientos sean
necesario. Segn el jefe de sistemas, cuando frecuencia y de manera aspectos sobre los Procedimientos
ha sido necesario restaurar informacin de los conocidos por las personas sorpresiva. Estos chequeos de Respaldo, que satisfagan la
backups el procedimiento ha sido aplicado con involucradas para su deben estar orientados a simular necesidad de Servicio de la
ejecucin. El procedimiento
xito; sin embargo, lo que no hay evidencia es la restauracin parcial y total de institucin, como la informacin
que se realicen pruebas de restauracin de de restauracin, por ser un la informacin crtica del diaria, semanal, mensual e
informacin crtica para asegurar la aplicacin procedimiento de negocio. histrica. Se recomienda realizar
de los procedimientos y un conocimiento contingencia, su ejecucin se un cronograma de Visitas al
manera Beneficios:
extensivo del personal involucrado para su realiza de Ministerio, para comprobar la
extraordinaria y un buen
aplicacin. 1. Aseguramiento por parte del realizacin de pruebas de backups
entrenamiento contribuye al
negocio que los orientadas a simular la
xito de su ejecucin cuando
procedimientos de respaldo restauracin parcial y total de la
es requerido.
funcionan correctamente y el informacin crtica del negocio.
91
ASPECTOS DE LOS PROCEDIMIENTOS DE RESPALDO

Equipo de Software y
Asimismo, las pruebas de
Aplicaciones de Negocio
backups son importantes para
estn entrenados para
verificar que los datos
recuperar la informacin en
almacenados estn completos,
periodo oportuno bajo
estn bien guardados (sin
situaciones de alto stress.
errores). Asimismo, es
importante verificar el tiempo
de vida de los medios de
almacenamiento para asegurar
que no se presenten fallas en
la restauracin originados por
problemas del medio de
almacenamiento.
92
ASPECTOS DEL PLAN DE CONTINUIDAD DEL NEGOCIO

El nuevo servicio ofrecido por
El documento 1.12 Polticas y Procedimientos Sin un Plan Estratgico de Revisar de manera detallada el
MINISTERIO del Per, en el
incluye una seccin de Recuperacin de Tecnologa de Informacin Plan de Continuidad de
Data Center, debe considerar
Desastres y Continuidad de Negocio; formalmente desarrollado, Negocio y determinar el
aspectos sobre la Continuidad de
asimismo, ha sido revisado el documento Plan existe el riesgo se definan alcance de su aplicacin para
Negocio, para lo cual se hace
de Continuidad de Negocio donde se identifica estrategias de continuidad que las operaciones de la
necesario adecuar y sincronizar
los procesos crticos identificados por GRELL impliquen destinar esfuerzos institucin.
los Planes de Continuidad del
en la implementacin de
Sin embargo, en ninguno de los documentos se En base a esta referencia, se Negocio de la institucin con los
controles para recuperar
contempla la totalidad de los temas requeridos sugiere actualizar el Plan de de MINISTERIO, que deben
operaciones del negocio que
por la norma: Continuidad de Negocio; bajo estar enfocados a restablecer los
no se ajusten completamente
responsabilidad de las reas de Procesos Crticos del Negocio y a
1. Entendimiento de la Organizacin: Donde con los requerimientos de
negocio en coordinacin con el satisfacer lo dispuesto.
se define un (i) Anlisis de Impacto para mediano y largo plazo.
rea de sistemas. Es importante, Se sugiere desarrollar
determinar el impacto de una interrupcin
Asimismo, si bien existe una que la elaboracin y peridicamente prueba de los
de los procesos de TI que soportan al
buena base del Plan de actualizacin del Plan de planes para verificar la
negocio; y un (ii) Anlisis de Riesgos para
Continuidad de Negocio, an Continuidad de Negocio efectividad y consistencia de los
determinar los riesgos que podran
93

interrumpir el negocio. hay espacio para mejorar el responda a un anlisis de los mismos como cadas de tensin,
documento y explotar la procesos crticos alineados al prdida del fluido elctrico en las
2. Seleccin de la Estrategia de Continuidad:
metodologa utilizada para la Plan Estratgico y al Plan Instalaciones, fallas en la
Donde se seleccionan las estrategias de
complementar el Plan de Estratgicos de TI. comunicacin que MINISTERIO
continuidad para los riesgos crticos
Continuidad de Negocio. garantiza la Continuidad del
En el documento 1.12 Polticas
3. Plan de Crisis y Plan de Continuidad de Negocio, mediante sus Servidores
y Procedimientos se ha definido
Negocio Espejo (Mirrow).
la Organizacin para la
4. Plan de Pruebas y Actualizacin de los recuperacin de desastres y se

Planes establecen responsabilidad. Se
sugiere que de manera
complementaria se desarrollen
cartillas operativas donde se
detalle a nivel individual para
los miembros de cada equipo
las actividades a realizar o
checklist de actividades durante
94

la activacin de los procesos de
emergencia.
Beneficios:
1. Ms all de desarrollar un
documento de Plan de
Continuidad de Negocio, el
beneficio de hacerlo es
reducir los riesgos de
paralizacin de operaciones
crticas con el consecuente
impacto en el cliente; tanto
de cobranzas, imagen,
servicio, etc.
2. Identificacin detallada de
procesos de TI crticos
95

alineados a los objetivos
estratgicos, con el
consecuente aseguramiento y
proteccin del servicio.
3. Disear una cartilla ayuda al

personal asignado a uno de
los equipos de recuperacin
a actual de manera diligente
en una situacin de alta
presin; donde la precisin
en las actividades es crtica y
el tiempo es un factor de
stress adicional.
96
ASPECTOS METODOLGICOS
El rea de sistemas mantienen comits con Aplicar parcialmente tcnicas de Hay que considerar que un A la fecha no se cuenta con la
las reas de negocio en donde se revisa el gestin de proyectos pone en proyecto no es el fin en s mismo Metodologa de Gestin de
avance de los proyectos y requerimientos, en riesgo al proyecto en s; aumenta sino un medio para aplicar una Proyectos recomendada en la
donde se levanta un acta en donde se las probabilidades de error en estrategia especfica. En tal Auditoria 2009.
describe los Acuerdos Tomadas y se asignan alguno de las reas del proyecto sentido, la misin del Gerente de
Adicionalmente se puede
responsables y fechas para las siguientes (integracin, alcance, tiempo, Proyecto es alcanzar el objetivo
mencionar que la Gerencia de TI
actividades. costo, riesgos etc.) con lo cual se deseado segn las definiciones
no cuenta con una herramienta
pueden presentar desviaciones en del negocio considerando
Sin embargo, de acuerdo al Jefe de que le permita Controlar
algunas de las fases del proyecto. tiempo, costos y calidad.
Sistemas, no existe una aplicacin efectivamente sus proyectos, para
exhaustiva de tcnicas de gestin de Tomando en cuenta la definicin determinar el grado de avance,
proyectos que permita documentar el anterior, se sugiere formalizar objetivos parciales alcanzados,
proyecto, identificar las desviaciones en la una metodologa para la gestin costos, entre otros aspectos.
planificacin, gestionar los riesgos del de proyectos con lo cual se
Actualmente cada Jefe de
proyecto, medir los costos, etc. pueda controlar con mayor
Proyecto controla sus proyectos
precisin el avance y la
con herramientas como el MS
97

medicin de los resultados. La Project, que brinda facilidades de
metodologa ms difundida de control en lo que respecta al
gestin de proyecto es la cumplimiento de las actividades
PMBOK difundida por el PMI, y el rol de los responsables.
esta aborda la gestin de
Se recomienda evaluar el uso de
proyectos en diferentes reas de
una herramienta integrada para el
conocimiento y proporciona
control de proyectos que facilite
buenas prcticas en cada una de
la aplicacin de la metodologa.
stas. Se sugiere revisar en
detalle esta metodologa y
adecuarla a las necesidades de la
institucin para su
formalizacin.
Beneficios:
1. Mejorar la gestin de
98

proyectos y contribuir para
que stos cumplan los
objetivos de tiempo, costos y
calidad.
99
ASPECTO DE PLANIFICACIN
El rea de sistemas de GRELL no cuenta Sin un Plan Estratgico de Desarrollar el Plan Estratgico An no se cuenta con un Plan
con un Plan Estratgico de Tecnologa de Tecnologa de Informacin no de Informacin en coordinacin Estratgico de Tecnologa de
Informacin que marque la tendencia se puede establecer con claridad con el rea de sistemas de Informacin que marque la
tecnolgica de mediano y largo plazo de cul es el rumbo donde se debe GRELL y las reas de negocio tendencia tecnolgica de
acuerdo al Plan Estratgico de GRELL alinear las actividades de TI, y y establecer los procedimientos mediano y largo plazo de
(estrategias de hardware, software, para GRELL resultara ms para actualizacin y revisin acuerdo al Plan Estratgico de
comunicaciones y personal). complejo hacer un seguimiento anual. GRELL (estrategias de
como usuario del servicio de TI. hardware, software,
Beneficios:
comunicaciones y personal).
No tener una Plan Estratgico de
1. Sustentar las actividades de El Usuario responsable
TI impide medir la performance
sistemas sobre la base de un manifest que mediante la
del servicio de TI y evaluar los
Plan Estratgico de Reorganizacin del Grupo en
logros obtenidos. En base a este
Tecnologas de Informacin el Primer Trimestre del ao
plan se deben elaborar otros
facilita que los esfuerzos de 2012, se tendrn resultados.
planes, tales como el plan de
sistemas en cada uno de sus
capacitacin, plan de La Unidad de TI, ha
frentes estn alineados con
100
ASPECTO DE PLANIFICACIN

adquisicin de recursos y las estrategias del negocio y presentado un Plan
contratacin de servicios, plan a travs de sus seguimiento y Estratgico primario que debe
de continuidad de negocio, plan monitoreo de resultados actualizarse, para alinear con
de seguridad de informacin, permite identificar los cambios de ubicacin de
entre otros. desviaciones en su ejecucin; Servidores, Sistema de
asegurando un adecuado Seguridad de Informacin,
soporte al negocio por parte, Sistema de Respaldo, entre
tanto por las aplicaciones otros.
como por la organizacin y
estructura del rea sistemas
responsable de proveer el
servicio.
101
2.3.8 CONCLUSIONES DE LA AUDITORIA
A continuacin se listan de manera resumidas las recomendaciones realizadas a

lo largo del presente informe. Es importante mencionar que se deber evaluar
cada una de estas recomendaciones y, en funcin del apetito de riesgo de la
institucin, realizar un plan para su atencin tomando en cuenta variables como
impacto en el negocio, importancia, urgencia, esfuerzo de la implementacin,
entre otras.
1. Desarrollar la funcionalidad que actualmente no est soportada por los

Sistemas de Informacin, en base a un estudio integral de requerimientos.
2. Revisar el procedimiento de contratacin de servicios con terceros que

afecten servicios de TI en que se considere un anlisis de riesgo previo
por cambios de proveedores o cambios en el alcance del servicio.
3. La organizacin no tiene un IHTI detallado ni en unidades ni en valores.

No se conserva adecuadamente los equipos fuera de uso, provocando que
se deterioren y ya no sirvan.
4. La organizacin no tiene un Plan Estratgico.
5. No se prueba el Plan de Continuidad del negocio.
6. Comnmente es confundido con el Plan de Contingencia Informtica.
7. La organizacin no tiene un Plan de Seguridad de la Informacin.
8. Las claves de seguridad de acceso a diversas tecnologas de la

informacin son conocidas por personas que no necesitan saberlo o son
cambiadas sin notificar al jefe encargado de ello.
9. Errores en la seguridad fsica:
Los extinguidores de incendios no son apropiados para apagar incendios

de equipos electrnicos. Ej.: extinguidores de chorro de agua en lugar de
extinguidores de dixido de carbono o polvo qumico seco.
102
Existencia de material inflamable como cuadernos, papeles, madera, etc.
10. La reestructuracin de la Institucin La Gerencia Regional de Educacin

La Libertad es una ventaja competitiva que de seguro permitir el
desarrollo de los Planes en el que se incluye el Plan Estratgico de
Tecnologas de Informacin, Plan de Seguridad de Informacin, Plan de
Continuidad de Negocio, entre otros.
11. Hay diferencias en los modelos de estaciones de trabajo instaladas,

debido al cual en algunas estaciones se percibe mayor lentitud durante las
consultas y procesos que en algunas otras hay respuestas ptimas,
ejemplo (PCs de Inspectora, lentas, vs PCs de Negocios, ms rpidas).
12. Desarrollar la funcionalidad que actualmente no est soportada por los

Sistemas de Informacin, en base a un estudio integral de requerimientos.
103
Captulo III: PLAN DE MEJORA DEL SISTEMA DE GESTIN DE
LA SEGURIDAD DE LA INFORMACIN Y CONTINUIDAD
3. SGSI Y PCN
3.1 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA

INFORMACIN
Despus de realizar la auditoria a la GRELL, la alternativa que se plantea, es

seguir un Sistema de Gestin de Seguridad de la Informacin.
Y por qu implantar un SGSI?
Porque un SGSI permite dotar y mantener seguridad, sobre la informacin

que maneja la organizacin. Si adems se certifica con el estndar
ISO/IEC 27001, ofrece una ventaja competitiva.
La certificacin ISO/IEC 27001 demuestra:
El cumplimiento de requisitos para la gestin corporativa y la

continuidad del negocio.
El valor que tiene la seguridad de la informacin para la organizacin
debido al compromiso de la cpula directiva.
La garanta de controles externos a la propia organizacin.
Que los riesgos de la organizacin estn identificados, evaluados y
controlados.
El cumplimiento de leyes y normativas que sean de aplicacin.
La mejora continua consecuencia de las revisiones peridicas.
El SGSI se basa en un conjunto de polticas orientadas a conseguir y a mantener

la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad
de la Informacin.
104
3.1.1 OBJETIVOS
1) Implementar un Plan de Mejora de un Sistema de Gestin de Seguridad de

Informacin y Continuidad, bajo lineamientos y buenas prcticas:
a. ISO 27001. Sistema de Gestin de Seguridad de la Informacin

b. COBIT 4.0Buenas prcticas
2) Presentar el resultado del diagnstico de las actividades de Gerencia

Regional de Educacin La Libertad.
3) Identificar las brechas y proponer acciones para cubrirlas a fin de

lograr implementar efectivamente un Sistema de Gestin Seguridad de la
Informacin.
4) Identificar la documentacin necesaria que debe adecuarse o elaborarse

para cumplir con los requisitos de las normas.
3.1.2 ALCANCE DEL DIAGNOSTICO SITUACIONAL INICIAL
1. El alcance del diagnstico est referido a las actividades en las

instalaciones de Gerencia Regional de Educacin La Libertad.
2. El alcance incluye la identificacin de procesos, evaluacin de la
documentacin existente y el grado de implementacin de los requisitos de
la normatividad mencionada.
3.1.3 METODOLOGA
Se visit, entrevisto y se hizo encuestas al personal de las instalaciones de la

institucin GRELL el da 21 de enero de 2013, en horas de la maana,
realizndose las siguientes acciones:
1. ENTREVISTA AL PERSONAL
Se entrevist a la Jefa de Computo, previa coordinacin.
2. REVISIN DE LA DOCUMENTACIN
105
Se solicit la documentacin existente en la institucin relacionadas a las
normas.
3. EVALUACIN IN SITU
Se bas en conversaciones con el entrevistado y el recorrido a las
reas de: rea de Cmputo y Centro de Datos
4. COMPROMISO DE CONFIDENCIALIDAD
El consultor/auditor externo se compromete a mantener absoluta reserva
de la informacin proporcionada por GRELL
3.1.4 DIAGNOSTICO SITUACIONAL INICIAL
De manera general, como resultado de la visita a las instalaciones, se

encontraron las siguientes observaciones:
1. DOCUMENTACIN DE LA EMPRESA:
a. No existen polticas de seguridad de la Informacin.
b. No existe documentacin de procesos.
c. No existe documentacin de continuidad del centro de datos.
d. Objetivos de empresa de manera informal.
e. Falta de identificacin formal de requisitos del cliente.
f. No existen plan de capacitacin establecido.
2. CONTROLES OPERACIONALES
a. No existen acciones asociadas a la normativa 27001
b. Falta de delimitacin de rea.
c. Falta de identificacin de peligros y evaluacin de peligros.
d. Desconocimiento del impacto operacional de la institucin.
f. No se cuenta con procedimientos operaciones ni controles.
g. No existe registro de accidentes.
h. No se tiene definido qu situaciones merecen dar origen a
acciones correctivas, preventivas y de mejora y cmo tratar cada una de
ellas.
Como resultado de la evaluacin documentaria se ha considerado necesario
106
elaborar la siguiente estructura documentaria como base necesaria para sustentar
el PLAN DE MEJORA:
- Manual de Gestin en Seguridad de la Informacin
- Procedimientos Generales y Especficos
- Manual de Continuidad del Centro de Datos
- Registros asociados a los procedimientos
Adicionalmente, se determinar la documentacin necesaria en funcin a la
complejidad de los procesos de GRELL y la competencia del personal
3.1.5 TIEMPO DE IMPLEMENTACIN
1. Se considerar un tiempo estimado de 4 meses.

2. Existen factores a considerar dentro de la implementacin del SGSI:
a. Experiencia y/o cultura de gestin
b. Recursos internos
c. Competencia del personal
d. Exigencia corporativa
e. Generacin de la documentacin
f. Auditoras internas
g. Identificacin de peligros y evaluacin de riesgos
h. Identificacin de aspectos ambientales significativos
107
3.1.6 CRONOGRAMA DE ACTIVIDADES
ETAPAS ACTIVIDADES Jun-13 Jul-13 Ago-13 Oct-13 Nov-13 Dic

Diagnostico Situacional inicial
Diagnostico
Presentacin de propuesta
Caracterizar la organizacin
Planeacin Elaborar polticas
Elaborar FODA de la organizacin
Estructurar la empresa por procesos
Definir la estructura organizativa en el SGSI
Asignar responsabilidades y autoridades
Diseo Definir el alcance y las conclusiones del SGSI
Definir indicadores de desempeo en el SGSI
Objetivos Integrales - Metas Integrales
Elaborar documentacin del Sistema
Definir el programa de implementacin del SGSI
Implementacin
Divulgacin del SGSI a todos los niveles
Realizar auditoras internas
Verificacin Acciones de mejora
Medicin del desempeo por indicadores
Revisin por la Direccin
Mejora Continua Revisar cumplimiento de objetivos
Mantenimiento y mejora del SGSI
108
3.1.7 FASES Y ACTIVIDADES
La alta gerencia es la responsable del proyecto de implantacin. Se debe asignar

a un gerente (nivel tctico) de la organizacin la responsabilidad de la gestin
del proyecto y sus actividades. Este gerente estar controlando el avance de las
fases del ciclo y el consumo de recursos. En esta etapa es importante decidir
quin tendr, a lo largo del proyecto de implantacin, la responsabilidad por la
documentacin del modelo.
3.1.7.1 FASE 1 TALLER ESTRATGICO CON LA GERENCIA PARA ANALIZAR

REQUERIMIENTOS
Esta fase es fundamental; tanto los niveles estratgicos como los tcticos en la
organizacin deben entender los requerimientos de la norma y la lgica del
funcionamiento del SGSI, as como sus beneficios.
3.1.7.2 FASE 2 DETERMINACIN DEL ALCANCE
El ISO 27001:2005 est concebido bajo la ptica de sistemas. Vale decir, lo que
se aplica al todo puede aplicarse a cada elemento del todo. La amplitud del
alcance en una empresa depender de muchos factores. Uno de ellos sern los
recursos disponibles, la experiencia en la implantacin y la criticidad de algunos
procesos en relacin con el riesgo de informacin. Por lo general, la
implantacin del modelo se realiza por procesos, que se han considerado
crticos, por su exposicin al riesgo y el impacto en la competitividad de la
firma. Cuando es la primera vez que se desea implantar el modelo en una
empresa, no se debe ser tan ambicioso y escoger un proceso muy complejo que
pudiera hacer fracasar la implantacin.
La definicin del alcance, obedece a 2 etapas: la primera es la estratgica, y la

otra tctica, que es la netamente tcnica.
Etapa estratgica para determinar el alcance del modelo

Esta etapa est dirigida a resolver la pregunta Cul o cules procesos son los
109
candidatos para implantar el modelo?
Esta etapa consiste en identificar los factores crticos del xito de la empresa
y, por otro lado, identificar los procesos crticos de la organizacin.
Etapa tctica para determinar el alcance del modelo

La etapa tctica consiste en aplicarles a los procesos identificados en la etapa
estratgica.
Conviene tener en cuenta que la ejecucin de las etapas estratgica y tctica para
determinar el alcance debe ser realizada por grupos multidisciplinarios,
compuestos por representantes de los procesos organizacionales que se estn
analizando. Esto es vital, porque slo los responsables del proceso son los que
ms conocimientos tienen sobre la problemtica y la naturaleza de su proceso.
Adems, hay6 algo muy importante: la dinmica de grupo que se va

desarrollando a lo largo de la metodologa de implantacin hace que se genere
un espritu de equipo, el cual facilita de manera significativa la implantacin y la
aceptacin del modelo en la firma.
3.1.7.3 FASE 3 - EFECTUAR UN ANALISIS Y EVALUACIN DE RIESGO
En esta fase los aspectos que deben lograrse son la identificacin detallada de
todos los activos de informacin, comprendidos en el alcance del modelo de la
empresa. En seguida, para conocer el impacto de cada activo de informacin en
la organizacin, se debe tasar cada activo con base en su confidencialidad,
integridad y disponibilidad. Una vez efectuada la tasacin, la empresa decidir
cuales son aquellos activos de informacin considerados importantes.
El paso que se debe de seguir es iniciar el anlisis de riesgo para concluir con un
estimado de riesgo por cada activo de informacin. A los activos de informacin
que como resultado del anlisis de riesgo se les considere ms crticos, se les
efectuar una evaluacin de riesgo. El resultado de esa evaluacin es identificar
aquellos activos de informacin ms significativos. Se recomienda utilizar
COBIT para anlisis de riesgo.
110
Una vez concluidos el anlisis y la evaluacin del riesgo, es el momento ms
propicio para redactar la poltica y los objetivos de seguridad de informacin.
3.1.7.4 FASE 4 ELABORACIN DEL PLAN DE CONTINUIDAD DEL NEGOCIO
La secuencia metodolgica de un plan de continuidad del negocio est redactada

con el detalle necesario en el captulo 4. Todos los componentes de la
metodologa cumplen con las actividades de esta fase.
Esta fase de elaborar un plan de continuidad del negocio, sea ubicado en esta
parte del mtodo, pues usualmente el lead time del proyecto de implantacin
viene determinado por el plan de continuidad del negocio.
3.1.7.5 FASE 5 IMPLEMENTAR Y OPERAR EL SGSI
Esta fase se ha dividido en las actividades siguientes, explicadas a continuacin.
Elaborar el plan de tratamiento del riesgo. Utilizando como insumos las

decisiones de las opciones para el tratamiento del riesgo y la seleccin de los
controles y objetivos de control a implantar, se debe elaborar el plan de
tratamiento del riesgo. Este plan es una pormenorizacin de las
responsabilidades, los recursos, tiempos y mecanismos de control para implantar
las estrategias escogidas de tratamiento del riesgo. Se recomienda utilizar
COBIT en este punto.
Determinar la efectividad de los controles y la mtrica. Aqu se debe

determinar la mtrica que se utilizar para identificar la efectividad de los
controles seleccionados, y que tambin definir cmo se va a utilizar estas
mediciones para evaluar la efectividad del control para producir resultados
comparables y reproducibles.
3.1.7.6 FASE 6 MONITOREAR Y REVISAR EL SGSI
Una vez el modelo est funcionando en la institucin/empresa, es necesario

haber diseado los mecanismos para monitorear y revisar su desempeo, y poder
111
cerciorarse de que el SGSI opera como estaba planeado. Las actividades de esta
fase son las siguientes:
Deteccin de incidentes y eventos de seguridad. La organizacin debe tener

los procedimientos respectivos para poder rpidamente reportar incidentes de
seguridad y detectar los eventos de seguridad, tomar acciones y evitar que se
conviertan en incidentes de seguridad.
Realizacin de las revisiones peridicas al SGSI. Se deben desarrollar los
procedimientos que aseguren que, de manera peridica, se revisa el
funcionamiento del SGSI y se verifica la efectividad de los controles
instaurados.
3.1.7.7 FASE 7 MANTENER Y MEJORAR EL SGSI
En esta fase se deben establecer los mecanismos que permitan generar la

evidencia objetiva de que el SGSI se mantiene y se mejora constantemente.
Implementar las acciones correctivas y preventivas. Se deben tener los

respectivos procedimientos documentados (exigencias de la norma), y haber
generado en la cultura de la organizacin el hbito de que, antes un no
cumplimiento de requerimientos (no conformidad), se generen acciones
correctivas. Por otro lado, la empresa debe haber desarrollado el hbito de estar
peridicamente revisando estadsticas, observar tendencias y, con base en esa
informacin, elaborar acciones preventivas.
3.1.7.8 FASE 8 DESARROLLO DE COMPETENCIAS ORGANIZACIONALES
En esencia, se requieren tres competencias bsicas, las cuales conforman las tres
actividades de esta fase:
Entrenamiento en documentacin de un SGSI. Es de vital importancia que el

personal afectado por la implantacin del modelo tenga destrezas para poder
documentar procedimientos, polticas, instrucciones de trabajo, y saber
identificar registros del Sistema de Seguridad de Informacin. Un entrenamiento
112
formal es importante. Quizs esta actividad debiera ejecutarse al inicio del
proyecto.
Entrenamiento en manejo de accin correctiva y preventiva. Ante la

ocurrencia de una no conformidad (el no cumplimiento con los requerimientos)
se debe iniciar la accin correctiva. El objetivo de este requerimiento es que, con
base en evidencias objetivas de ocurrencias, se vean las tendencias y la empresa
desarrolle acciones preventivas para evitar que la no conformidad se presente. Es
de suma importancia que el personal en la empresa conozca la metodologa y las
herramientas para el correcto manejo de la accin correctiva y preventiva.
Entrenamiento en manejo de auditora interna. La auditora interna, tal como

exige la clusula 6 de la norma, requiere que la empresa se audite a s misma
para demostrar que su sistema se mantiene y que busca nuevas oportunidades de
mejora.
3.1.7.9 FASE 9 REDACCIN DEL MANUAL DE SEGURIDAD DE

INFORMACIN
La actividad bsica de esta fase es la redaccin del Manual de Seguridad de

Informacin
3.1.7.10 FASE 10 EJECUCIN DE AUDITORIAS INTERNAS
Para poder cumplir con los requerimientos de las auditoras internas, ellas deben
llevarse a cabo cumpliendo todas las exigencias de la clusula 6 de la norma. En
una prctica internacional que, en 12 meses, la empresa haya auditado la
implantacin de todas las clusulas de la norma.
Realizacin de las auditoras internas. La empresa debe haber decidido si las
auditoras internas sern subcontratadas o realizadas por personal interno. Bien
sea una u otra opcin, las auditoras deben realizarse cumpliendo con todas las
exigencias de la clusula 6 de la norma, y utilizando el lineamiento ISO
19011:2002.
113
3.1.7.11 FASE 11 OBTENCIN DE LA CERTIFICACIN INTERNACIONAL
FASES ACTIVIDADES
I. Entendimiento de los requerimientos del 1. Taller con niveles estratgicos y tcticos
modelo
II. Determinacin del Alcance 2.Etapa estratgica
3. Etapa Tctica
III. Anlisis y Evaluacin del riesgo 4. Realizacin del anlisis y evaluacin del
riesgo.
5.Definicin de poltica de seguridad de
informacin y objetivos
6. Evaluacin de las opciones para el
tratamiento del riesgo
7. Seleccin de controles y objetivos de
control.
8. Evaluacin de la declaracin de
aplicabilidad.
IV. Elaboracin del plan de continuidad 9.Realizar el Business Impact Analysis
del negocio 10. Efectuar el anlisis del riesgo e
identificar escenarios de amenazas.
11. Elaborar estrategias de continuidad.
12. Disear plan de reanudacin de
operaciones
13. Disear procesos de ensayos
V. Implementar y operar el SGSI 14. Elaborar el plan de tratamiento del
riesgo.
15. Determinar la efectividad de los
controles y las mtricas
VI. Monitorear y revisar el SGSI 16. Deteccin de incidentes y eventos de
seguridad.
17. Realizacin de revisiones peridicas al
SGSI.
VII. Mantener y mejorar el SGSI 18. Implementar las acciones correctivas y
preventivas.
114
VIII. Desarrollo de competencias 19. Entrenamiento en documentacin del
organizacionales SGSI.
20. Entrenamiento en manejo de la accin
correctiva y preventiva.
21. Entrenamiento en manejo de auditora
interna.
IX. Redaccin del Manual de Seguridad de 22. Redaccin de las auditoras internas
Informacin
X. Ejecucin de las auditoras internas 23. Realizacin de las auditoras internas
XI. Obtencin de la certificacin 24. Bsqueda de la empresa certificadora.
internacional. 25. Realizacin de la auditoria por parte de
la certificadora.
26. Obtencin de la certificacin
3.1.8 CONSIDERACIONES A LA IMPLEMENTACIN DEL SGSI
1. Beneficios potenciales de un SGSI.

Mejora la organizacin y asignacin de responsabilidades en lo relativo a
seguridad de la informacin de la empresa.
Permite documentar y estandarizar las actividades referentes a la gestin
de la seguridad de la informacin
Disminuye el riesgo del posible uso de informacin confidencial por
parte de personal ajeno.
Conseguir un sistema que aprenda de los errores y que evolucione
constantemente.
Involucrar al personal como parte activa y creativa en el proyecto.
Aumenta la rentabilidad a mediano y corto plazo, al disminuir la
probabilidad de prdida y fuga de informacin de la institucin
2. Racionalizacin de los recursos.

La implantacin de un SGSI permite la racionalizacin de recursos,
ajustando las inversiones en tecnologa a las prioridades impuestas a
travs del Anlisis de Riesgos, evitando as gastos innecesarios,
115
inesperados y sobredimensionados.
3. Reduccin de riesgos
Mediante la implantacin de controles, se garantiza la continuidad del
negocio frente a las amenazas y vulnerabilidades.
5. Integra la seguridad en la gestin de la empresa:

Deja de lado un conjunto de actividades tcnicas ms o menos
organizadas, para transformarse en un ciclo de vida metdico y
controlado.
6. Cumplimiento legal
Los aspectos de conformidades legales de la norma exigen la
verificacin, la adecuacin y cumplimiento de la legislacin del pas, en
concreto, proteccin de datos, propiedad intelectual, servicios de la
sociedad de la informacin y comercio electrnico, etc.
3.1.9 DIFICULTADES DE UN SGSI
1. Falta de Compromiso de la Alta Gerencia
El estndar ISO/IEC 27001:2005 es un documento que principalmente

establece la necesidad de compromiso por parte de la Alta Direccin para la
adecuada definicin de Alcance, Limitaciones, definicin de los Roles y
Responsabilidades en materia de seguridad y la Asignacin de los Recursos
requeridos. La formacin, toma de conciencia y competencia del personal
son otras responsabilidades de la Alta Direccin, junto con la participacin
en la revisin de la eficacia y eficiencia del Sistema de Gestin implantado.
Todos estos aspectos en muchos casos, son difciles de encontrar en las
empresas.
116
2. Ausencia de una adecuada Gestin de Riesgo
Otro tema fundamental al momento de implementar un Sistema de Gestin

de la Seguridad es conocer los riesgos a los cuales se encuentra expuesta la
Organizacin, y a travs del anlisis de los mismos establecer el tratamiento
que se considere el ms adecuado. Si bien es uno de los requisitos del
estndar, es poco frecuente encontrar que hayan realizado alguna vez un
anlisis de riesgos. En algunos se encuentra por el tipo de actividad de la
Organizacin, pero en muchos otros casos no se realiza. Tambin se pueden
encontrar casos en donde la Organizacin describe un anlisis de riesgos y
en realidad slo han evaluado subjetivamente algunas pocas amenazas sobre
los activos que ms conocen, sin tener una idea clara de su valor y por otro
lado sin conformar la totalidad de los activos de la Organizacin o al menos
del proceso evaluado.
3. Debilidades en la Gestin de Activos

Un aspecto que resulta clave al momento de implantar un SGSI es el referido
a los Activos de Informacin y el tratamiento que la Organizacin le da a los
mismos. En principio el factor principal es contar con los activos de
informacin ms relevantes (o al menos los incluidos en el proceso que
queramos analizar), algo que no es fcil de lograr y que en pocas ocasiones
se encuentra. En algunos casos no existe tal inventario o es el resultado de
varios inventarios, cada uno con distinto nivel de falta de informacin y
actualizacin. En este sentido es importante contar con un nico inventario,
completo y actualizado.
4. Falta de Recursos
La provisin de recursos, aspecto fundamental para cualquier iniciativa que
se quiera llevar adelante, pero en temas asociados con un SGSI resulta
fundamental, y es tan importante que el estndar lo describe directamente en
el punto asociado a las Responsabilidades de la Direccin. Esto es
claramente as, si no contamos con los recursos necesarios, resultar muy
difcil implantar el SGSI y luego llevar a cabo las actividades asociadas al
mantenimiento y mejora del mismo. Es la Direccin la encargada de brindar
117
los recursos necesarios. Para lograr el inters de la Direccin las reas
involucradas en los proyectos de SGSI recurren a distintos mtodos, entre los
que se pueden encontrar: charlas, talleres, relevamientos de seguridad,
auditorias, etc.
5. Ausencia de Documentacin
Si bien el estndar especfica un apartado exclusivo orientado a los requisitos

de documentacin es poco frecuente encontrar que la Institucin haya
documentado en principio lo mnimo requerido por el estndar y adems lo
requerido para el correcto desarrollo de las actividades de negocio. En este
sentido, en las Instituciones que se encuentra mayor documentacin es en
aquellas que han tenido experiencias asociadas a la implementacin de otros
Sistemas de Gestin, como pueden ser de la Calidad o de cuidado del Medio
Ambiente o tambin en aquellas que deben cumplir alguna regulacin que
exige la existencia de procedimientos operativos documentados.
6. Ausencia de Roles y Responsabilidades

Las personas que integran una Organizacin deben tener claro qu deben
hacer para ayudar al logro de los objetivos de negocio establecidos. Esto
parece ser algo muy fcil de lograr e identificar, pero en temas asociados a
seguridad de la informacin es un aspecto difcil de encontrar con el mismo
nivel de madurez que en otras posiciones. Muchas personas que trabajan en
reas de seguridad o sistemas no tienen claro que deben hacer para ayudar al
logro de los objetivos de la Organizacin. Esto es una responsabilidad de la
Direccin y el estndar lo identifica claramente en el requisito 5.2.2.
Recursos Humanos es el rea responsable de definir las descripciones de
puesto en conjunto con los referentes de rea que correspondan, pero es esta
rea la que debe documentar el puesto y describir claramente las
responsabilidades en materia de seguridad tanto de este puesto como de
cualquier otro puesto en la Organizacin. Esto ltimo no se encuentra con
frecuencia en las Organizaciones, sino que las personas entienden que la
seguridad depende de un rea especfica o de sistemas, y no es frecuente
que se identifique como una responsabilidad de todos los miembros de la
Organizacin. En los casos en los cuales se encuentra un nivel de madurez
118
superior es en aquellas industrias con fuerte regulacin al respecto, como
puede ser la industria financiera.
7. Resistencia al cambio
Las personas se resisten a los cambios, esto no es una novedad, y
obviamente no est fuera de las dificultades que vamos a enfrentar al
momento de implantar un Sistema de Gestin de la Seguridad de la
Informacin. Para ello debemos identificar los agentes del cambio que
servirn de facilitadores para convertir la Poltica de Seguridad definida en
algo tangible y objetivos cumplibles y evidenciables. Frases como esto se
viene haciendo as, no somos un banco, ya sabamos esto y un centenar
de frases ms, no son ms que ejemplos de resistencia al cambio. Es
importante tener en cuenta que la resistencia al cambio se debe reducir desde
la Direccin de la Organizacin, es ms, podramos definirla como una
nueva "responsabilidad de la direccin", dado que es sta la que tiene que
marcar el camino, brindar los recursos y apoyar cada una de las iniciativas
que permitan establecer el programa de seguridad que permita llevar a la
realidad la Poltica de Seguridad de la Informacin.
3.1.10 SELECCIN DE LA PLATAFORMA DE CONTROL Y LOS OBJETIVOS

DE CONTROL
La plataforma de control seleccionada para el diseo del SGSI ser el marco de

control COBIT 4.1. Debido a que el sistema que se va a desarrollar en esta tesis
es un Plan de Mejora y se plantea un Sistema de Gestin de Seguridad de
Informacin, este va a estar enfocado bsicamente en aquellos procesos de TI
cuyo enfoque est relacionado con los tres pilares de la seguridad de la
informacin, que son: la integridad, la confidencialidad y la disponibilidad. Para
esto se tomar en cuenta aquellos procesos de TI en cuyo enfoque se muestren
como primario o como secundario, por ltimo, si es que as se considere
adecuado, segn el giro del negocio, los pilares de seguridad de la informacin.
En otros casos, puede ser que los procesos de TI no tengan que ver con ninguno
de los tres enfoques mencionados, pero se incluirn para poder cumplir con la
parte de administracin de riesgos.
119
Por esta razn, los procesos de TI que actuarn como la plataforma de control
del SGSI, y que sern especificados en la declaracin de aplicabilidad, son los
siguientes:
PO2. Definir la arquitectura de la informacin

PO4. Definir los procesos, organizacin y relaciones de TI
PO6. Comunicar las aspiraciones y la direccin de la gerencia.
PO8. Administrar la calidad.
PO9. Evaluar y administrar los riesgos de TI.
AI2. Adquirir y mantener software aplicativo.
AI3. Adquirir y mantener infraestructura tecnolgica.
AI4. Facilitar la operacin y el uso.
AI6. Administrar cambios.
AI7. Instalar y acreditar soluciones y cambios.
DS1. Definir y administrar los niveles de servicio.
DS2. Administrar los servicios de terceros.
DS4. Garantizar la continuidad del servicio.
DS5. Garantizar la seguridad de los sistemas.
DS7. Educar y Entrenar a los usuarios.
DS9. Administrar la configuracin.
DS10. Administracin de problemas.
DS11. Administracin de datos.
DS12. Administracin del ambiente fsico.
DS13. Administracin de operaciones.
ME2. Monitorear y evaluar el control interno.
3.2 PLAN DE CONTINUIDAD DE NEGOCIO

Es importante mencionar algunos de los enfoques ms relevantes al tema de un
PCN usados internacionalmente, y que guardan cierta estrecha relacin y a su
vez diferencias. El BCP es una disciplina que prepara a la organizacin a poder
continuar operando durante un desastre, a travs de la implantacin de un plan
de continuidad. Un PCN es un documento que contiene procedimientos y
lineamientos para ayudar a la recuperacin y restablecimiento de procesos
120
interrumpidos y recursos al estado de operacin normal, en un tiempo
prudencial
Disaster Recovery Planning (DRP): Se enfoca en la recuperacin de

los servicios de TI y los recursos, dados un evento que ocasionara una
interrupcin mayor en su funcionamiento.
Business Resumption Planning (BRP): Se centraliza en la reanudacin

de los procesos de negocio afectados por una falla en las aplicaciones de
TI. Se enfoca en la utilizacin de procedimientos relacionados con el
rea de trabajo.
Continuity of Operations Planning (COOP): Busca la recuperacin de

las funciones estratgicas de una organizacin que se desempee en sus
instalaciones corporativas.
Contingency Planning (CP): Se enfoca en la recuperacin de los

servicios y recursos de TI, despus de un desastre de dimensiones
mayores o de una interrupcin menor. Especifica procedimientos y
lineamientos para la recuperacin, tanto en reas de la empresa como en
las alternas.
Emergency Response Planning: Su objetivo es salvaguardar a los
empleados, el pblico, el ambiente y los activos de la empresa.
ltimamente se busca de inmediato llevar la situacin de crisis a un
estado de control.
Todos los enfoques tienen un denominador comn, el cual es su alcance tan

estrecho. Cada una de las pticas de planeacin se centra en la proteccin de
aspectos especficos de la organizacin, ignorando otras reas crticas. Para
entender esta limitacin, se requiere un enfoque de planeacin integrado, que
permita proteger todas las reas crticas de la organizacin.
121
3.2.1 Fases
3.2.1.1 FASE I BUSINESS IMPACT ANALYSIS (BIA)
Esta fase BIA consiste en identificar aquellos procesos relacionados con apoyar
la misin de la empresa, y analizar con muchos detalles los impactos en la
gestin comercial del negocio, si esos procesos fuesen interrumpidos como
resultados de un desastre.
El entregable consiste en un informe en el cual se identifican las reas del

negocio que son crticas para el alcance de la misin de la firma, as como la
magnitud potencial del impacto operativo y financiero de una interrupcin en el
desempeo de la empresa, y los requerimientos de tiempo para la recuperacin
de una interrupcin del negocio.
3.2.1.2 FASE II GESTIN DE RIESGO

Las actividades de la gestin del riesgo evalan las amenazas de un desastre,
pormenorizan las vulnerabilidades existentes, los potenciales impactos de un
desastre, identifican e implementan los controles necesarios para prevenir o
reducir los riesgos de un desastre y terminan identificando escenarios de
amenazas para aquellos procesos considerados esenciales en el BIA.
El entregable de esta etapa es un informe de Riesgos y Controles. Este

documento identifica las posibles amenazas potenciales de interrupciones del
negocio y los respectivos riesgos. Este informe puntualiza las recomendaciones
para hacer el control de los riesgos que pudiesen alterar el normal desempeo de
los procesos esenciales del negocio.
3.2.1.3 FASE III DESARROLLO DE ESTRATEGIAS DE UN PCN

Aqu se evalan los requerimientos y se identifican las opciones p ara la
recuperacin de procesos crticos y sus recursos, en el escenario en que fuesen
interrumpidos por un desastre.
El entregable es un informe en donde se pormenoriza la identificacin de

opciones viables para la recuperacin de recursos y servicios, dada la posibilidad
de que fuesen impactados por una interrupcin del negocio. Por cada escenario
122
de amenazas se elaboran estrategias que contemplen los escenarios de amenazas
identificados.
3.2.1.4 FASE IV DESARROLLO DE PLAN DE REANUDACIN DE

OPERACIONES
La fase IV desarrolla un plan para mantener la continuidad del desempeo del
negocio, basado en las fases previas, especficamente en la gestin del riesgo y
en el Business Impact Analysis, as como en los aspectos planeados en el
desarrollo de la estrategia de un PCN.
El entregable es un informe que contiene procedimientos y lineamientos

concretos para la recuperacin y el restablecimiento de los recursos daados, y
los procesos cuyo desempeo se ha interrumpido.
3.2.1.5 FASE V ENSAYO PCN

En esta fase se efecta el ensayo del plan, con miras a poder determinar su grado
de precisin y actualizacin.
Aqu el entregable son simplemente los registros que deben llenarse para
demostrar a terceros que se realizan los ensayos, as como las acciones
correctivas que la empresa debe emprender para hacer el ajuste al Plan de
Reanudacin de Operaciones.
3.2.2 Plan de Normalizacin de Servicios luego de la contingencia
La ejecucin de actividades implica la creacin de equipos de trabajo para

realizar las actividades previamente planificadas. Cada uno de estos contar con
un coordinador que deber reportar diariamente el avance de los trabajos de
recuperacin y, en caso producirse algn problema, reportarlo de inmediato a la
jefatura a cargo del Plan de Contingencias.
Los trabajos de recuperacin tendrn dos etapas, la primera: la restauracin del

servicio usando los recursos de la Institucin, y la segunda etapa es volver a
contar con los recursos en las cantidades y lugares propios de los Sistemas de
Informacin, debiendo ser esta ltima etapa lo suficientemente rpida y eficiente
123
para no perjudicar el buen servicio, como pata no perjudicar la operatividad de la
Institucin.
A continuacin las actividades consideradas para la normalizacin luego de una

contingencia.
Actividad Responsable
Evaluar condiciones del centro de cmputo principal. Equipo de Cmputo.
Inmediatamente despus que el siniestro ha concluido, se deber
evaluar la magnitud del dao que se ha producido, que sistemas se
est afectando, que equipos han quedado no operativos, cuales se
pueden recuperar, y en cunto tiempo, etc.
Adicionalmente se deber avanzar en las labores de preparacin del
Centro de Datos Alterno.
Priorizacin de actividades del Plan de Continuidad. Comit de contingencia
Toda vez que el BCP es general y contempla una prdida total, la
evaluacin de daos reales y su comparacin contra el Plan, nos dar
la lista de actividades que debemos realizar, siempre priorizndola en
vista a las actividades estratgicas y urgentes de la institucin.
Es importante evaluar la dedicacin del personal actividades que
puedan no haberse afectado, para ver su asignamiento temporal a las
actividades afectadas, en apoyo al personal de los sistemas afectados
y soporte tcnico.
Proceso de compras Jefe de Cmputo
Poner rdenes de compra de reemplazo de equipos, rdenes de
servicio y/o reparacin en la medida de que sea necesario.
Cobro de Plizas de Seguro aplicables a los daos presentados Equipo de Comunicacin
durante la contingencia
En el evento de que ocurriera una contingencia, y si estuvieran
asegurados los activos de la institucin, la primera opcin para
recuperar las operaciones normales es recurrir al cobro de plizas de
seguro.
Si bien es cierto, que este dinero ser devuelto en un plazo inmediato,
eventualmente servir para la adquisicin de toda la infraestructura
necesaria para que el negocio pueda funcionar paulatinamente como
antes. Es vital entonces que el plan contenga la informacin clave del
124
Actividad Responsable
seguro que se adquiera en la institucin.
Supervisar la instalacin del hardware, lneas , telfonos, etc. Equipo de logstica
Validad si las acometidas elctricas estn en condiciones adecuadas Jefe de Cmputo
de funcionamiento
Verificar las condiciones de seguridad fsica del centro de datos y Jefe de Cmputo
autorizar el reingreso del personal
Inspeccionar las condiciones de operatividad de los equipos de Jefe de Cmputo
cmputo
Preparar todos los respaldos de sistema operativos, aplicaciones, base Jefe de Cmputo
de datos, redes.
Iniciar la fase de recuperacin de informacin desde los registros Jefe de Cmputo
manuales de contingencia o en base a la informacin del servidor de
replicacin.
Inspeccionar las condiciones de operatividad de las instalaciones. Si Jefe de Cmputo
est apto para recibir al personal autorizar su reingreso.
Inicio de prestacin de servicios en modalidad de prueba Jefe de Cmputo
Comunicacin del fin de la contingencia. Jefe de Cmputo
Mejoramiento continuo del Plan de Normalizacin de los servicios Jefe de Cmputo
de la contingencia.
Pasos para la reactivacin del servicio del Centro de Datos.
Paso Actividad
1 Lder de Cmputo decreta la salida de lnea del Sistema desde el Sitio alterno.
2 Equipo de Comunicaciones ordena la Sucursal.
3 Lder de Cmputo coordina con el proveedor de Comunicaciones, hacia el enlace

principal restaurado
4 Jefe de Cmputo comunica el cambio exitoso al enlace principal de red.
5 Jede de Cmputo saca respaldos de los sistemas y se traslada con ellos al Centro de
Datos.
6 Jefe de Cmputo carga respaldos de los sistemas y hace pruebas preliminares.
7 Jefe de Cmputo define y hace pruebas con la replicacin entre el Centro de Cmputo
125
Paso Actividad
Principal y el Alterno (No se cuenta)
8 Jefe de Cmputo verifica comunicaciones a travs de enlace restaurado.
9 Jefe de Cmputo coordina la entrada progresiva a usuarios a los sistemas, si el avance

es el esperado, decreta operacin desde el Centro de Cmputo Principal.
10 Equipo de Comunicaciones comunica a los puntos que pasen a modo normal.
126
Captulo IV: REQUERIMIENTOS DE TI E INVERSIN DE LA
SOLUCIN
4.1 COSTO DE LA INVERSIN
Descripcin S/
Servicio de consultora Auditoria TI 14 000.00
Servicio de Implementacin SGSI 14 000.00
Servicio de Implementacin PCN 16 000.00
Total en Nuevos Soles 44 000.00
INC. IGV
Son cuarenta y cuatro mil con 00/100 nuevos soles peruanos.

El Costo del Proyecto esta dimensionado en base a:
Honorarios profesionales calculados en base a una tasa horaria estimada del

Equipo de Trabajo especializado y considerando los plazos previstos para la
ejecucin del proyecto.
El pago ser 50% de inicial y 50% a la finalizacin de los servicios
La propuesta esta expresada en Nuevos Soles e incluye IGV.
En el presente se describirn todos los materiales necesarios para realizar la

implementacin de cada uno de los subsistemas descritos anteriormente.
Luego se obtendr el presupuesto que se requiere respecto a un plan de
contingencia.
P.
tem Descripcin Cant. Total
Unit.
01 Mano de Obra
Cableado de puntos de Data 70 12.00 840.00
Cableado de puntos de Voz 20 12.00 240.00
Instalacin de puntos elctricos 70 12.00 840.00
Certificacin de Puntos UTP * 90 5.50 495.00
Instalacin de canaletas 160 1.60 256.00
Instalacin de tuberas 70 1.60 112.00
127
P.
Unit.
Perforaciones y Resanes Gbl 1 190.00 190.00
Instalacin de Cajas de pase 20 2.00 40.00
Instalacin de Tablero Elctrico 1 36.00 36.00
Rotulacin y entregables Gbl 1 150.00 150.00
02 Materiales
Cable UTP Cat 5E DIXON x Cja 16 83.00 1,328.00
Jack RJ45 Cat. 5E DIXON 90 1.25 112.50
Face Plate doble DIXON 70 0.61 42.70
Tapas ciegas para face plate DIXON 50 0.30 15.00
Patch Panel 24 puertos DIXON 4 28.50 114.00
Ordenadores Horizontales DIXON 2 8.50 17.00
Patch cord de 5 Feet DIXON 70 1.03 72.10
Cable 12 AWG THW Color rojo negro y amarillo x Rollo 15 43.00 645.00
Tomacorrientes Leviton con puesta a tierra color naranja 71 5.43 385.53
Cajas de montaje de 2" x 4" DIXON 140 1.03 144.20
Canaleta de pared DXN 40x40 para data 48 4.40 211.20
Canaleta de pared DXN 60x40 para data 12 6.61 79.32
Canaleta de pared DXN de 25x40 25 4.10 102.50
Canaleta de Piso DXN de 60mm 3 5.10 15.30
Canaletas de pared de 40x40 para elctrico 84 4.45 373.80
Accesorios para Canaletas para data 50 1.35 67.50
Accesorios para canaleta para elctrico 50 0.80 40.00
Tablero Elctrico Con 10 llaves 1 55.00 55.00
Transformado de aislamiento de 5 KV 1 72.00 72.00
Tubos de 3/4 SAP para data 35 1.55 54.25
Tubos de 1" SAP para elctrico 35 2.20 77.00
128
P.
Unit.
Cajas de pase de 4x4 Data 12 1.53 18.36
Cajas de pase de 4x4 para elctrico 12 1.53 18.36
Curvos de 3/4 para data 12 0.35 4.20
Curvos de 1 para elctrico 12 0.51 6.12
HP 1910-24G Switch - Conmutador - Gestionado - 24 x 1 335.00 335.00

10/100/1000 + 4 x SFP - montaje en
rack
HP 1410-24G Switch - Conmutador - sin gestionar - 24 x 1 250.00 250.00

10/100/1000 + 2 x SFP compartido-
sobremesa, montaje en rack, montaje en pared
Sub $7,854.94
Total
IGV $1,413.89
Total $9,268.83
129
CONCLUSIONES
a. A travs de su enfoque y marco metodolgico de MAIGTI permiti dirigir de

mejor manera las actividades de cada una de las fases de la auditora facilitando
con ello el anlisis y evaluacin del centro de datos, concluyndose que tiene
una seguridad insipiente, de baja aplicacin de las normas tcnicas y buenas
prcticas, adolece de un SGSI.
Uno de los factores de xito en la realizacin de la Auditoria de Sistemas

es el apoyo total y compromiso de la Gerencia, as como de los auditados
al grupo auditor, de esta manera los auditores obtendr la informacin
necesaria para encontrar sus debilidades y as dar las mejores recomendaciones
al auditado. De la misma manera, el auditado cumplir y buscar el beneficio
de la organizacin a travs de las recomendaciones emitidas por el grupo
auditor.
b. Continuamente se permite el ingreso al edificio a personas ajenas a las labores

de la organizacin. Ej.: Personas que vienen a realizar gestiones de otras
organizaciones que se encuentren en el mismo edificio y transitan por pisos que
no son los correctos. El personal de recepcin entrega un ticket de visitante y no
pregunta a quien va a visitar la persona a la cual le entrega el ticket. Las puertas
de acceso al centro de cmputo no tiene dispositivo para colocar clave y no se
lleva un registro de quienes ingresan o salen del centro de cmputo, as como la
hora en que se produjo la entrada o salida.
c. Estn realizando procedimientos de control, estn en camino de mejora

alineados a buenas prcticas y lineamientos internacionales, As mismo el Plan
de Continuidad del Negocio es una manera de controlar el destino de la empresa.
Bsicamente tener un PCN significa en la organizacin que se han identificado
los procesos esenciales, se han determinado los tiempos de recuperacin
mximos tolerables, bajo los cuales estos procesos pueden estar paralizados sin
colapsar la empresa desde las perspectivas operacional y financiera.
d. Las normas de control interno se cumplen en un 50% por cambio de personal,
130
puesto que los encargados del rea de cmputo, se retiraron borrando toda la
informacin. Revisar el procedimiento de contratacin de servicios con terceros
que afecten servicios de TI en que se considere un anlisis de riesgo previo por
cambios de proveedores o cambios en el alcance del servicio.
Poner mayor nfasis en el Control de Cambios en los Sistemas, para clasificarlos

debidamente de acuerdo a su urgencia y prioridad.
Necesariamente debe asignarse un responsable para administrar las fuentes en el

ambiente de desarrollo, que sea quin libere los objetos mediante solicitudes
aprobadas y sustentadas tcnicamente.
e. Los escenarios de contingencia que cubre el Plan de Continuidad de Negocio

son insuficientes para cubrir las operaciones de negocio ante catstrofes:
incendio del edificio de la institucin, terremotos, etc., se basan en un Plan de
contingencia realizado para el Ministerio de Educacin, que no se adecua al
100% con la institucin.
f. El plan de mejora basado en el modelo ISO 27001:2005 y buenas prcticas

COBIT requiere una participacin completa a nivel estratgico. Su papel tiene
que ser protagnico en la implantacin del modelo.
El auditor debe tener conocimiento claro sobre el entorno auditable, ya que, de

esta manera explora ms profundamente el proceso, y puede obtener
resultados ms objetivos respecto a la evaluacin.
De implantarse un Sistema de Gestin de Seguridad de la Informacin y la

instalacin de un ambiente de prueba, estos impactarn significativamente sobre
la calidad de los sistemas de informacin.
131
RECOMENDACIONES
Se recomienda a todas las dems empresas o instituciones de los distintos rubros a

contar con un Plan de Seguridad de la Informacin y/o un Sistema de Gestin de
Seguridad de la Informacin que sera lo ms indicado, ya que es importante que la
informacin que manejan y que mueve su negocio se encuentre debidamente protegida,
para evitar prdidas de ventaja competitiva y, en el peor de los casos, el paro de la
empresa. La informacin, en la actualidad, es lo nico que mueve a la mayora de las
empresas. Si pasa un desastre y se pierde el edificio de la compaa se puede recuperar
(lo ms probable es que est asegurado). Si asaltan a una empresa se puede recuperar
una parte o todo el dinero, segn el seguro con el que se cuente, pero si se pierde la
informacin de la compaa simplemente la empresa deja de operar.
Una buena prctica en las organizaciones para las reas de TI, en este caso rea
de Cmputo es realizar peridicamente evaluaciones de riesgos con el objeto de
minimizar los mismos y priorizar aquellos catalogados como riesgos altos. As
como tambin considerar evaluaciones peridicas de auditora de sistemas que
permitan identificar procesos a mejorar.
En la planificacin de la Auditora de Sistemas es necesario identificar correctamente

los elementos que intervienen de modo que se tenga una visin global y concreta de los
objetivos de la evaluacin del proceso de auditora.
Completar el inventario de activos asociados a la Tecnologa de Informacin, realizar

un anlisis de los riesgos a los cuales cada uno de stos se encuentra expuesto y asignar
una clasificacin de los mismos en funcin de la exposicin de los riesgos.
132
REFERENCIAS BIBLIOGRFICAS
Bertoln, J. A. (2008). Seguridad de la Informacin. Redes, informtica y sistemas

de informacin. Madrid: Learning Paraninfo, S.A.
Contralora General de la Repblica. (s.f.). Recuperado el 2 de Abril de 2012, de

https://apps.contraloria.gob.pe/dv/index.htm
Hernndez, R; Hernndez, C. y P. Batista. (1997). Metodologa de la Investigacin.

Mxico: McGraw-Hill.
Institute, I. G. (2007). IT Governance Institute. Recuperado el 10 de 01 de 2012, de

Cobit 4.1: www.itgi.org
ITIL-Gestin de Servicios TI. (s.f.). Recuperado el 10 de 10 de 2011, de

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_
TI/que_es_ITIL/que_es_ITIL.php
Lopez, R. V. (1970). Diseo Experimental no Parametrico. Mexico: S. Trillas.
Paredes, E. A. (2011). Metodologa para la auditora integral de la gestin de las

tecnologas de la informacin (Vol. 1). Lima, Per: Universidad Privada Norbert
Wiener S.A - Fondo Editorial.
Razo, C. M. (2002). Auditora en Sistemas Computacionales.Mxico: Pearson

Education; 1st. edition.
Real Academia Espaola. (s.f.). Recuperado el 4 de 1 de 2012, de

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=informaci%F3n
Real Acadmia Espaola. (s.f.). Recuperado el 5 de Enero de 2012, de

http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=contraloria
Urbina Mancilla, R. (03 de 11 de 2006). Resolucin de Contralora General N 320-

2006-CG. Lima, Per.
133
ANEXOS
Anexo 1: Relacin del Personal Entrevistado
Nombre Cargo rea Fecha
Blanca Mostacero M. Jefa de Cmputo Cmputo 21-01-13
Edgardo Zegarra Practicante de Sistemas Cmputo 21-01-13
134
Anexo 2: Tabulacin de Encuesta Usuarios Claves
Resultado
I. SOBRE LOS SISTEMAS DE INFORMACIN
%
Oportuna
La informacin proporcionada por el Sistema Correcta
es: Consistente
Confiable
Lento
Al guardar informacin, realizar clculos y
Rpido
realizar bsquedas y consulta, el sistema es:
Normal en Velocidad
Fcil de Usar
Al utilizar el sistemas ste es:
Complicado de Usar
Flexible
La bsqueda de informacin en el sistema es:
Limitada
Por telfono
A travs de un formato
A travs de qu medios canaliza requerimientos
Personalmente
de sistemas
Por correo electrnico
A travs del jefe del departamento/rea
135
Resultado
I. SOBRE LOS SISTEMAS DE INFORMACIN
%
No hace requerimientos
Otros
Si
Tiene requerimientos que no haya solicitado
No
Si
Utiliza todas la opciones del sistema
No
Resultado
II. SOBRE EL DESARROLLO DE SISTEMAS Y HERRAMIENTAS
%
Solicitud de Requerimientos
Anlisis y Diseo
Durante el desarrollo Ud. participa en: Desarrollo
Pruebas
Implantacin
Ha recibido una buena capacitacin en el uso Si
del sistema No
136
Resultado
III. SOBRE EL SOPORTE DE SISTEMAS
%
Frecuentes
Varias veces
Las cadas (fallas) del sistema son:
Pocas veces
Nunca
Reporta e informa a Sistemas
Siempre que hay estas cadas Ud.
Reinicia la computadora
Oportuno
Ante requerimientos urgentes el soporte de
Poco oportuno
sistemas es (helpdesk):
Inoportuno
Resultado
IV. ASPECTOS DE SEGURIDAD
%
Si
Se le ha borrado informacin del disco duro
No
Si
Sabe dnde guardar su informacin
No
Si
Ha notado presencia de virus
No
137
Resultado
%
El rea de sistemas le informa sobre nuevos Si
virus No
Si
Comparte su password
No
Vacaciones
Licencia
Ha dado su password en caso de: Enfermedad
Comisin
Nunca
Niveles de Acceso a la informacin
Creacin de claves de acceso
Cambio de claves peridicos
Copia de respaldo de documentos (word, excel,
Ha recibido orientacin en: etc.)
Uso apropiado del Internet
Uso del Intranet
Que hacer en casos de fallas del Sistema
Confidencialidad de Informacin
138
Resultado
%
Buen uso de los recursos de cmputo
Si
Usa protector de pantalla con password
No
Si
Deja la PC encendida al finalizar el da
No
139
140

Yan Freddy Mejora Seguridad Cobit PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Yan Freddy Mejora Seguridad Cobit PDF

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD PRIVADA ANTENOR ORREGO

Plan de mejora de la Seguridad de Informacin y Continuidad del

TESIS PARA OBTENER EL TITULO PROFESIONAL DE INGENIERO DE

BACH. YAN CARRANZA, FREDDY

BACH. ZAVALA VASQUEZ, CINTHIA LILIANA

ING. DIAZ SNCHEZ, JAIME EDUARDO

Bach. YAN CARRANZA, FREDDY

Bach. ZAVALA VASQUEZ, CINTHIA LILIANA

Ing. Karla Melndez Revilla, CIP 120097

Ing. Carlos Gaytn Toledo, CIP 84519

Ing. Walter Moncada Carcamo, CIP 33829

Ing. Jaime E. Daz Snchez, CIP 73304

Seores Miembros del Jurado:

De conformidad y en cumplimiento de los requisitos estipulados en el reglamento

El contenido de la presente tesis ha sido desarrollado tomando como marco de

Bach. ZAVALA VASQUEZ, CINTHIA

A Dios, por darme vida, me diste varias pruebas de fe, y a

A mis padres Susana y Hernn, por sus consejos y

Al amor de mi vida Freddy, al cual amo cada da ms.

A mis hermanos Carlos y Wendy, por su afecto y

A mis amigos Oscar, Laly, Faby, Diego, Carmen y

A Dios, por darme vida, me diste varias pruebas de fe, y a

A mis padres Genaro y Ana, papi taplenco me enseaste

A mis hermanos, Genaro por molestarme a seguir

A mi princesita bella Cinthia por su apoyo en los

A la memoria de mi linda wawita, gracias por ser

A mi amigo Daniel por los das de relajo y

A nuestro asesor el Ing. Jaime Daz, quien por sus valiosos

A los Ingenieros Karla Melendez, Carlos Gaytn y Walter

Por: Freddy Yan Carranza

El Captulo I presenta una descripcin de las definiciones, buenas prcticas, lineamientos y

El Captulo III detalla los planes de mejora, como la Implementacin de un Sistema de

El Captulo IV detalla la inversin de la solucin.

Finalmente, se presentan las conclusiones y recomendaciones de la tesis.

Por: Freddy Yan Carranza

Chapter IV details the solution investment.

Finally, this thesis project recommendations and conclusions are presented.

Cap. I: FUNDAMENTO TEORICO 11

Cap. II: RESULTADOS 32

2. Aplicacin de la Auditoria de Sistemas 32

Captulo III: PLAN DE MEJORA DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA

3. SGSI Y PCN 104

Captulo IV: REQUERIMIENTOS DE TI E INVERSIN DE LA SOLUCIN 127

REFERENCIAS BIBLIOGRFICAS 133

Cuadro N 1: Lista de Objetivos de Control segn ISO 1779 ......................................................................... 22

En los ltimos aos todo lo relacionado respecto a seguridad de la informacin y

En una poca como la actual, donde estamos en un mundo globalizado, donde la

La Gerencia Regional de Educacin La Libertad no es ajena a esta problemtica, es un

La presente tesis busca disear un Plan de Mejora de la Seguridad de la Informacin y

Por lo anterior, se formula el siguiente problema de investigacin: Cmo mejorar la

Asimismo, el Objetivo General a conseguir es: Elaborar un Plan de Mejora para el

a. Aplicar una Auditora de Sistemas al Centro de Datos de la GRELL.

Los aportes de la investigacin son:

- Tecnolgico: Uso eficiente de las tecnologas de informacin, para tener un

- Sistmico: Uso seguro y adecuado de los sistemas de informacin bajo

Seguridad: Es el conjunto de medidas tcnicas, educacionales, mdicas y

Informacin: Comunicacin o adquisicin de conocimientos que permiten ampliar

Plan de Contingencias: es un documento de carcter confidencial que describe los

Sistema de Informacin: est constituido por los mtodos y procedimientos

Contralora: La Contralora General es el ente tcnico rector del Sistema Nacional

Evento: Acaecimiento. Eventualidad, hecho imprevisto, o que puede acaecer. (Real

Impacto: El resultado o efecto de un evento. Puede existir una gama de posibles

Integridad: est relacionada con la precisin y completitud de la informacin, as