INFORME FINAL

1. Aspectos Preliminares
El cumplimiento de las funciones de la Universidad Privada de La Paz una asesoría externa, se llevara a
cabo un seguimiento y evaluación a la aplicacion que el área de sistemas ha venido implementado para el
registro de la universidad Privada La Paz.

1.1. Propósito u objetivo de la auditoria

Verificar las actividades realizadas para el funcionamiento del sistema web y software se adquieren siempre
y cuando tengan la seguridad de que los sistemas computarizados de la sala computación, conformidad con
las necesidades de la Universidad, que permita a la comunidad universitaria cumplir lo referente al
calendario académico.

1.2. Alcance
La auditoría, comprende en el periodo comprendido entre el 1 de enero de 2018 y el 30 de noviembre de
2018 y se ha realizado en el área de sistemas en la sala de computación de acuerdo a las Normas ISO
27001:2005 de la empresa disposiciones aplicables al efecto, A.10.8 Intercambio de información, A.10.9
Servicio de comercio, A.10.10 Monitoreo.

1.3. Objetivo(s) general(es) y Especifico(s)

Objetivo general: Revisar y evaluar los controles, sistemas, procedimientos de informática de los
equipos de cómputo y sus programas de software se prueba su utilidad, eficiencia y seguridad, del área de
sistemas que participan en el procesamiento de la información, y esto ayudara y asegurara para un
adecuado servicio para los estudiantes en la sala de computación de la universidad privada de la paz.

Objetivos especifico
 Evaluar el diseño y prueba del sistema web.
 Verificar si el software cumplen con licencias y seguridad de los programas así proporcionar
beneficios a los estudiantes UPLP.
 Verificar si cuentan con todo los programas necesarios para los estudiantes en la sala de
computación.
1.4. Enfoque
La presente Auditoria de acuerdo con las normas internacionales de la Auditoria (NIA) habiéndose aplicado
procedimientos de auditoria que se consideran necesarios de acuerdo a las circunstancias en el área de
evaluar del área de sistemas, contaremos con normas, supervisión y evaluación de los métodos,
procedimientos técnicas e informática utilizados para la sala de computación como de la página web de la
misma universidad.

1.5. Métodos, procedimientos y técnicas

En el proceso de consolidación de la información para realizar el proceso de la auditora se utilizaron
métodos, técnicas, procedimientos e instrumentos como:
a) Inspección
b) Análisis
 c) Visita
d) Observación
2. Características Generales
Marco Regulatorio: Los aspectos y normas a tener en cuenta en la Auditoria se tomaron usando como
regencia la norma ISO 2700:2005 específicamente los procesos A.10 gestión de las comunicaciones y
operaciones A.10.8 Intercambio de información, A.10.9 Servicios de comercio electrónico y A.10.10
monitoreo.

A.10.8 Intercambio de información

Objetivo: mantener la seguridad de la información y software intercambios dentro de una organización
y con cualquier entidad externa
A.10.8.1 Procedimientos y Control:
políticas de Se deben establecer políticas, procedimientos y controles de
información y software intercambio formales para proteger el intercambio de información
a través del uso de todos los tipos de medios de comunicación.
A.10.8.2 Acuerdos de Control:
intercambio Se deben establecer acuerdos para el intercambio de información y
software entre la organización y entidades externas.
A.10.8.3 Medios físicos en Control: los medios que contienen información deben ser
transito protegidos contra un acceso no-autorizado, mal uso o corrupción
durante el trasporte más allá de los límites físicos de una
organización.
A.10.8.4 Mensajes electrónicos Control:
Se debe proteger adecuadamente los mensajes electrónicos.
A.10.8.5 Sistemas de Control: se deben desarrollar e implementar políticas y
información comercial procedimientos para proteger la información asociada con la
interconexión de los sistemas de información comercial
A.10.9 Servicios de comercio electrónico
Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uno seguro.
A10.9.1 Comercio electrónico Control:
Se debe proteger la información involucrada en el comercio
electrónico que se trasmite a través de redes públicas de cualquier
actividad fraudulenta, disputa contractual y divulgación y
modificación no autorizada.
A10.9.2 Transacciones en-línea Control:
Se debe proteger la información involucrada en las transacciones
en-línea para evitar la trasmisión incompleta, rutas equivocadas,
alteración no-autorizado del , mensaje, divulgación no-autorizada
y duplicación o re-envió no-autorizado del mensaje
A10.9.3 Información disponible Control:
públicamente Se debe proteger la integridad de la información disponible
públicamente para evitar la modificación no autorizada.
A.10.10 Monitoreo
Objetivo: detectar actividades de procedimiento de informaciones no autorizadas.
A10.10.1 Registro de auditoria Control:
Se deben producir registros de la actividades de auditoria,
excepciones y eventos de seguridad de la información y se deben
mantener durante un periodo acordado para ayudar en
investigaciones futuras y monitorear el control de acceso
 A10.10.2 Uso del sistema de Control:
monitoreo Se deben producir registros de la actividades de auditoria,
excepciones y eventos de seguridad de la información y se deben
mantener durante un periodo acordado para ayudad en
investigaciones futuras y monitorear el control de acceso.
A10.10.3 Protección de la Control:
información del Se deben proteger los medios de registro y la información del
registro registro contra alteraciones y acceso no autorizado.
A10.10.4 Registros del Control:
administrador y Se deben registrar las actividades del administrador y operador del
operador sistema
A10.10.5 Registros de fallas Control:
Las fallas se deben registrar, analizar y se debe tomar la acción
apropiada.
A10.10.6 Sincronización de Control:
relojes Los relojes de los sistemas de procedimiento de información
relevantes de una organización o dominio de seguridad deben estar
sincronizados con una fuente de tiempo exacta acordada.

3. Observaciones derivados del análisis

Con base en el desarrollo de la auditoria se determinaron 3 observaciones.
Observación 1: Perdida de información del estudiantado.
3.1. Condición: Al revisar el sitio web de la universidad que está habilitada para el uso de los
estudiantes para la información de sus notas académicas al intentar registrar me en una metería
vía web de la universidad no fue posible hacerlo ya que estaba en base prueba en el sitio web de
la universidad.
3.2. Criterio: La Norma ISO 27001 articulo A.10.9.2 Control: Se debe proteger la información
involucrada en las tracciones en-línea para evitar la transmisión incompleta, rutas equivocadas
alteración no-autorizada del mensaje divulgación no-autorizada y duplicación o re-envió no-
autorizado del mensaje.
3.3. Causas: Falta de protección la información debida en la página web de la universidad que tienen
acceso los estudiantes.
3.4. Efectos: Uno de los puntos más negativos es a la hora de registrarse por el sitio web de los
estudiantes hay una posibilidad de que se pierdan los datos de los estudiantes.
Observaciones 2: Daño a la imagen Institucional.
3.1. Condición: Al revisar los programas que tienen los estudiantes a mano en el laboratorio de
computación encontramos irregularidades en los programas que no cumplen con la norma por que
no cuentan con las licencias de varios programas.
3.2. Criterio: La Norma ISO 27001 articulo Registro de fallas A.10.10.5 Control: Las fallas se deben
registrar, analizar y se debe tomar la acción apropiada.
3.3. Causas: Falta de licencias de software y en los programas que tienen acceso los estudiantes.
3.4. Efectos: lo más negativo que hay en universidad es no contar con licencias y con software piratas
que hace reflejar un daño en la imagen en la institución.
Observaciones 3: Recursos insuficientes para el proceso de enseñanza-aprendizaje.
3.1. Condición: Al revisar las maquinas que cuentan en el laboratorio identificamos la falta de
programas que no cuenta la universidad.
3.2. Criterio: La norma ISO 27001articulo Procedimientos y políticas de información y software
A.10.8.1: control se deben establecer política, procedimiento y controles de intermedio formales
para proteger el intermedio de información a través del uso de todos los tipos de medios de
comunicación.
3.3. Causas: Falta de programas necesarios para los estudiantes de la universidad privada de la paz.
3.4. Efectos: lo más negativo que puede ocurrir es la falta de educación de los estudiantes y la falta de
conocimiento que puede llegar a futuro y no cumplir las metas de la universidad y sacer estudiantes
capacitados profesionalmente.